Zásady ochrany údajů v evropském regionu Tyto zásady ochrany údajů v evropském regionu (dále jen Evropské zásady ) tvoří součást Zásad ochrany údajů společnosti Gates Corporation (dále jen Firemní zásady ) a definují dodatečné zásady a postupy pro činnosti společnosti Gates v rámci evropského regionu (dále jen Region ). A. Přehled Tyto Evropské zásady zahrnují odkaz na Firemní zásady. Obsahují další specifické zásady a postupy pro shromažďování, uchovávání a zpracování osobních údajů evropskými ústředími společnosti Gates se sídlem v Erembodegemu, Belgie (dále jen Evropská ústředí ) a dalšími jednotkami společnosti Gates, které jsou činné v daném regionu. Pojmem osobní údaje se v těchto Evropských zásadách rozumí konkrétně osobní údaje obyvatel zemí EU. Kromě těchto Evropských zásad platí v některých místech, v nichž společnost Gates provozuje svou činnost v Evropě ( místo ) speciální dodatky k zásadám ochrany osobních údajů na místní úrovni, v nichž jsou dále specifikovány místní požadavky pro danou zemi. Osobní údaje, které jsou shromažďovány, uchovávány nebo jakýmkoli způsobem zpracovávány v každém místě, podléhají Firemním zásadám, těmto Evropským zásadám a Místnímu dodatku. B. Regionální a místní manažeři pro ochranu údajů (DPM) 1. Regionální manažer pro ochranu údajů (DPM). Evropský ředitel pro lidské zdroje je současně manažerem pro ochranu údajů pro daný region (dále jen Regionální DPM ) a je hlavní kontaktní osobou pro záležitosti týkající se ochrany osobních údajů v regionu. Je zodpovědný za provádění a řízení regionálních postupů, jak je specifikováno v těchto Evropských zásadách, a to za asistence odborníků na danou problematiku z jiných oblastí společnosti, včetně odd. řízení vztahů se zákazníky, nákupu, marketingu, prodeje a IT. Regionální DPM je rovněž zodpovědný za řízení a poskytování pomoci Místním DPM při provádění a dodržování ustanovení Místních dodatků. 2. Místní manažer pro ochranu údajů (DPM). Každé místo má svého manažera pro ochranu údajů (dále jen Místní DPM ), který zodpovídá za provádění a řízení požadavků obsažených v Místním dodatku. Stanovení Místního DPM je v každém případě uvedeno v Místním dodatku. C. Oblast působnosti Tyto Evropské zásady jsou rozděleny do následujících kategorií: 1. Zásady a postupy ochrany osobních údajů zaměstnanců 2. Zásady a postupy ochrany osobních údajů zákazníků 3. Zásady a postupy ochrany osobních údajů dodavatelů 1
4. Zásady a postupy ochrany údajů získaných z webových stránek 5. Zásady a postupy ochrany údajů získávaných z CCTV 6. Obecné zásady a postupy ochrany údajů D. Zásady a postupy ochrany údajů Zásady a postupy ochrany osobních údajů zaměstnanců omezí shromažďování a využívání osobních údajů (ve smyslu definice v zásadách společnosti) o potenciálních, současných i bývalých zaměstnancích na legitimní obchodní účely. a. Osobní údaje shromažďované o potenciálních, současných a bývalých zaměstnancích by měly být ve většině případů omezeny na identifikace osob (např. jméno, adresa), osobní charakteristiky (např. datum narození, rodinný stav, jazykové znalosti, národnost, velikosti jednotného nebo ochranného oděvu a jiné tělesné či osobní charakteristiky ve vztahu k práci), finanční údaje (např. plat a číslo bankovního účtu) a údaje týkající se zaměstnání (například historie předešlých zaměstnání, vzdělání, kvalifikace a certifikace, včetně řidičských kvalifikací a informace o plnění výkonů). b. Legitimní obchodní účely zahrnují nábor a správu personálu a řízení (např. mzdové operace, learning management, management výkonnosti a management výhod). Oznámení. Společnost Gates zveřejní podrobný popis svých činností týkajících se svých současných zaměstnanců a nezávislých dodavatelů prostřednictvím svých intranetových stránek. Novým zaměstnancům budou poskytnuty tyto informace při zahájení jejich zaměstnání u společnosti Gates. Budou přijata vhodná opatření k informování zájemců o činnosti spojené se zpracováním údajů během procesu náboru. i Souhlas. Společnost Gates získá souhlas nových zaměstnanců při zahájení jejich zaměstnání v těch zemích, kde je takovýto souhlas vyžadován. Regionální DPM bude konzultovat s Místními DPM způsob, jakým bude realizovat zajištění souhlasu s přihlédnutím k požadavkům, stanoveným v Místním dodatku zásad. iv. Sledování IT. Společnost Gates omezí sledování používání IT a telekomunikačních zařízení personálem společnosti (včetně telefonů, internetu a e-mailů) na čistě legitimní obchodní účely. Společnost Gates informuje všechny zaměstnance o specifickém účelu sledování IT a způsobu provádění tohoto sledování. Regionální DPM konzultuje s Místními DPM provádění vhodných postupů, s ohledem na požadavky stanovené v Místních dodatcích. 2
2. Zásady a postupy ochrany osobních údajů zákazníků, marketing omezí shromažďování a využívání osobních údajů (ve smyslu definice ve Firemních zásadách) o zákaznících a potenciálních zákaznících a jiných osobách na legitimní, čistě obchodní účely. a. Osobní údaje shromažďované o osobách, které nejsou zaměstnanci či dodavateli společnosti Gates budou ve většině případů omezeny na informace typu jméno a obchodní kontakty, včetně titulu (nebo profese), společnost, jazykové znalosti, e-mailová adresa, telefonní číslo a mailingové adresa. b. Legitimní obchodní účely zahrnují kontaktování současných, bývalých a potenciálních zákazníků, pokud jde o obchodní příležitosti. i Oznámení. Společnost Gates informuje své zákazníky a potenciální zákazníky o zpracování jejich osobních údajů a příslušných ustanoveních ve svých standardních obchodních podmínkách a zásadách ochrany údajů na webových stránkách. Přímý marketing. a. Společnost Gates vynaloží přiměřené úsilí k tomu, aby omezila shromažďování a využívání osobních údajů subjektů údajů pro marketingové aktivity na informace typu jméno a obchodní kontakty, včetně titulu (nebo profese), společnost, jazykové znalosti, e-mailová adresa, telefonní číslo a mailingová adresa. b. Pokud byly osobní údaje získány od třetích stran za účelem využití v rámci marketingových činností společnosti Gates, budou tyto údaje shromažďovány v souladu se zákonem pro zamýšlený účel použití. Regionální DPM bude konzultovat jejich použití s příslušnými obchodními týmy skupiny Gates, aby zjistil, zda mohou být v této souvislosti poskytnuty třetím stranám příslušné záruky. c. Zásady společnost Gates zahrnují: - získání předchozího souhlasu pro užití osobních údajů pro účely přímého marketingu; - informování příjemců o marketingových komunikacích ohledně skutečnosti, že společnost Gates využívá jejich osobní údaje pro účely přímého marketingu; - poskytnutí možnosti příjemcům, aby odstoupili od jakékoli komunikace; - nezasílání marketingových komunikací příjemcům, kteří od těchto komunikací odstoupili. 3
3. Zásady a postupy ochrany osobních dat dodavatelů omezí shromažďování a využívání osobních údajů (ve smyslu definice ve Firemních zásadách) o dodavatelích a jiných osobách na legitimní, čistě obchodní účely. a. Údaje shromažďované o osobách, které nejsou zaměstnanci či dodavateli společnosti Gates budou ve většině případů omezeny na informace typu jméno a obchodní kontakty, včetně titulu (nebo profese), společnost, jazykové znalosti, e-mailová adresa, telefonní číslo a mailingové adresa. b. Legitimní obchodní účely zahrnují kontaktování současných, bývalých a potenciálních dodavatelů a poskytovatelů služeb, pokud jde o obchodní příležitosti společnosti Gates. Informace. Společnost Gates vynaloží přiměřené úsilí, aby informovala své současné, bývalé a potenciální dodavatele a poskytovatele služeb o svých činnostech v oblasti zpracování jejich osobních údajů včetně příslušných ustanovení standardních Servisních smluv a Podmínek objednávání. 4. Zásady a postupy ochrany údajů získaných z webových stránek omezí shromažďování osobních údajů (ve smyslu definice ve Firemních zásadách) na legitimní, čistě obchodní účely. a. Osobní údaje shromažďované o návštěvnících webových stránek budou ve většině případů omezeny na kontaktní informace, poskytnuté návštěvníky stránek a informace související s využitím a prohlížením webových stránek návštěvníky. b. Legitimní obchodní účely zahrnují kontaktování návštěvníků webových stránek v reakci na jejich požadavky nebo souhlas týkající se obchodních příležitostí a využití informací shromážděných za účelem zlepšení fungování a používání webových stránek. Zásady ochrany údajů získaných z webových stránek. Společnost informuje návštěvníky webových stránek o shromažďování, využívání a zpracování jejich osobních údajů prostřednictvím webových stránek společnosti Gates, zaměřených na obyvatele zemí EU prostřednictvím zveřejnění textu zásad ochrany osobních údajů získaných z webových stránek na těchto stránkách. 4
i Cookies. Právní předpisy EU stanoví požadavky pro vyžadování souhlasu, pokud jde o používání jistých druhů cookies. Webové stránky společnosti Gates, zaměřené na obyvatele zemí EU, mají pronajímatele webhostingu v Bruselu, Belgie. Společnost Gates informuje uživatele webových stránek o používání cookies prostřednictvím pop-ups (vyskakovacích oken), zásadách ochrany soukromých údajů získaných z webových stránek a dalších standardních metodách oznamování. Jakékoli odchylky nebo specifické požadavky na jakýchkoli webových stránkách společnosti Gates, s webhostingem v určitém konkrétním místě, jiném než jsou sídla ústředí společnosti Gates, budou řešeny v Místních dodatcích v daných místech. 5. Zásady a postupy týkající se CCTV i. Omezení týkající se shromažďování a využívání osobních údajů. Videa ze sledovacích kamer nebo uzavřených televizních okruhů (CCTV) budou použita výhradně pro legitimní obchodní účely zahrnující bezpečnost zaměstnanců, návštěvníků a majetku společnosti. Používání video monitorování bude přiměřeně vyvážené vzhledem k zájmu subjektům údajů. i Oznámení. Na místech, kde se provádí sledování kamerami, bude umístěno upozornění a rovněž jméno správce dat, který zajišťuje sledování. Místní požadavky. Regionální DPM konzultuje s Místními DPM způsob, jakým se budou provádět jakékoli další místní právní předpisy pro používání CCTV a video monitorování, jako například požadavek oznamování místním orgánům pro ochranu údajů. Tyto dodatečné požadavky mohou být dále specifikovány v Místních dodatcích pro každé místo, přichází-li to v úvahu. 6. Obecné zásady a postupy ochrany údajů použitelné pro veškeré osobní údaje. i. Zabezpečení informací. Společnost Gates přijme vhodná technická a organizační opatření k omezení fyzického a technického přístupu k osobním údajům zaměstnanci společnosti Gates a jiným autorizovaným personálem, který potřebuje mít přístup k těmto údajům. Tato opatření budou přijata po zvážení úrovně zabezpečení přiměřeného možné škodě, která by mohla vzniknout v důsledku neautorizovaného nebo neoprávněného zpracování nebo náhodné ztráty, zničení nebo poškození údajů, a úměrně k povaze údajů. a. Přístup k osobním údajům uloženým v počítačích, mobilních telefonech nebo jiných zařízeních a počítačových systémech (včetně osobních údajů s hostingem v softwarových systémech třetích stran) bude chráně heslem a bude povolený pouze autorizovaným osobám. Heslo nebude sdíleno. b. Papírové dokumenty obsahující osobní údaje budou skladovány na bezpečném místě, kde je přístup umožněn pouze autorizovaným osobám, které musí mít zcela legitimně přístup k těmto údajům. 5
c. Regionální DPM konzultuje s týmy IT společnosti Gates způsob, jakým budou realizována technická opatření zajišťující adekvátní úroveň zabezpečení proti náhodnému nebo neoprávněnému zničení nebo náhodné ztrátě, změně, neautorizovanému sdělování nebo přístupu k personálním údajům. i iv. Požadavky na aktualizaci nebo vymazání osobních údajů. Místní DPM reaguje v přiměřeném termínu na žádosti subjektů údajů o umožnění přístupu ke svým osobním údajům za účelem jejich přezkoumání, aktualizace nebo vymazání a přezkoumává a uznává tyto požadavky v souladu s pokyny vydávanými právním oddělením společnosti Gates. Uchovávání a výmaz osobních údajů. Záznamy obsahující osobní údaje jsou uchovávány a průběžně vymazávány v souladu se zásadami uchovávání dokumentů ve společnosti Gates. Specifické podmínky uchovávání mohou být stanoveny v Místních dodatcích. Využívání třetích stran jako poskytovatelů služeb. Když společnost Gates vstupuje do smluvních vztahů s třetími stranami, které budou zpracovávat osobní údaje v zájmu společnosti Gates, vynaloží přiměřené úsilí, aby smluvně požadovala, že třetí strany jako poskytovatelé služeb zpracovávají osobní údaje pouze pro účely poskytování služeb pro společnost Gates a že využívají standardní průmyslová bezpečnostní opatření k zabránění neautorizovaného zveřejnění osobních údajů. Společnost Gates bude rovněž smluvně požadovat, aby poskytovatelé služeb dodržovali platné právní předpisy v oblasti ochrany údajů. V případě, že tito poskytovatelé služeb mají sídlo nebo zpracovávají osobní údaje obyvatel zemí EU mimo region EU, společnost Gates ověří, že poskytovatelé služeb se sídlem v USA vlastní certifikát Safe Harbor a/nebo přijmou příslušná smluvní a provozní opatření, která umožňují přenos takových osobních údajů mimo region EU, např. prostřednictvím dohod o Vzorových ustanoveních pro přenos údajů. V některých situacích, například při zpracování údajů o zaměstnancích, kteří mají bydliště v zemi EU, mimo region EU, může společnost Gates vyžadovat souhlas zaměstnanců jako právní základ pro přenos údajů. v. Přenos osobních údajů uvnitř skupiny. Přenos osobních údajů mezi pobočkami společnosti Gates v rámci regionu podléhá vnitropodnikovým smlouvám, které upravují zpracování takových osobních údajů. Společnost Gates se připojila k Vzorovým ustanovením pro své pobočky se sídlem mimo region EU, které upravují zpracování osobních údajů obyvatel zemí EU organizačními jednotkami společnosti Gates, které sídlí mimo region EU a vystupují jako společní správci údajů. Regionální DPM spolupracuje s právním oddělením společnosti Gates při zavádění vhodných smluvních a provozních opatření na každé úrovni, kde budou osobní údaje obyvatel zemí EU přenášena mimo území EHP. 6