Wytyczne koncernu. Ochrona danych klientów i partnerów.

Transkrypt

1 Wytyczne koncernu. Ochrona danych klientów i partnerów.

2 02 Przedmowa Szanowni Państwo! Drodzy Pracownicy! Ze względu na daleko idącą elektroniczną realizację procesów sprzedaży, Internet i coraz więcej przepisów ustawowych ochrona danych przy obchodzeniu się z informacjami na temat naszych interesantów i klientów stawia coraz wyższe wymagania, którym pragniemy sprostać. Jako firma działająca na arenie międzynarodowej Daimler AG i jej spółki-córki muszą sprostać bardzo różnym na całym świecie wymaganiom prawnym w odniesieniu do gromadzenia i przetwarzania danych osobowych. Chcielibyśmy zaoferować naszym klientom i partnerom biznesowym z całego świata wysoki, jednolity standard postępowania z ich danymi osobowych. Należyte obchodzenie się z tymi danymi jest zgodne z oczekiwaniami naszych klientów i partnerów biznesowych i stanowi podstawę opartej na zaufaniu relacji biznesowej. Niniejsze Wytyczne koncernu ustanawiają międzynarodowy standard postępowania z danymi osobowymi naszych interesantów, klientów i partnerów biznesowych w spółkach koncernu, w oparciu o wymagania ustawowe i ogólnie przyjęte zasady ochrony danych osobowych. W przypadku transgranicznej wymiany danych osobowych między poszczególnymi spółkami należącymi do koncernu muszą być spełnione szczególne wymogi prawne. Transgraniczne przekazywanie danych osobowych jest często dozwolone tylko wtedy, gdy odbiorca danych zagwarantuje odpowiedni poziom ochrony danych. Ten odpowiedni poziom ochrony danych określają Wytyczne koncernu pt. Ochrona danych klientów i partnerów oraz Ochrona danych osobowych. Realizacja zobowiązań wynikających z Wytycznych dotyczących ochrony danych i zapewnienie zgodności z przepisami krajowymi w zakresie ochrony danych leży w gestii kierownictwa i pracowników przedsiębiorstwa. Obowiązkiem Pełnomocnika koncernu ds. ochrony danych jest zadbanie o to, aby Wytyczne dotyczące ochrony danych i przepisy ustawowe były realizowane. W razie pytań dotyczących ochrony danych moi pracownicy i ja jesteśmy do Państwa dyspozycji. dr Joachim Rieß Pełnomocnik koncernu ds. ochrony danych

3 03 Spis treści I. Cel Wytycznych dotyczących ochrony danych 4 II. Definicje 4 III. Zakres obowiązywania i zmiana Wytycznych 6 IV. Obowiązywanie prawa państwowego 6 V. Zasady przetwarzania danych osobowych 7 1. Rzetelność i zgodność z prawem 7 2. Cele 7 3. Przejrzystość 7 4. Ograniczenie do niezbędnego minimum danych osobowych 7 5. Poprawność merytoryczna, aktualność danych 7 6. Szczególnie wrażliwe dane 7 7. Zasada ograniczonego dostępu ( need-to know ) 8 8. Zautomatyzowane decyzje indywidualne 8 VI. Dopuszczalność przetwarzania danych 8 1. Przetwarzanie danych do celów umowy 8 2. Przetwarzanie danych do celów reklamowych 8 3. Wyrażenie zgody na przetwarzanie danych 9 4. Przetwarzanie danych wynikające z wymogów ustawowych 9 5. Przetwarzanie danych ze względu na słuszny interes 9 VII. Przekazywanie danych osobowych 9 VIII. Przekazywanie danych w ramach koncernu 10 IX. Zlecanie przetwarzania danych 10 X. Telekomunikacja i Internet 11 XI. Prawa podmiotu danych 11 XII. Poufność przetwarzania danych 12 XIII. Bezpieczeństwo przetwarzania danych 12 XIV. Odpowiedzialność i sankcje 12 XV. Pełnomocnik koncernu ds. ochrony danych 13

4 04 I. Cel Wytycznych dotyczących ochrony danych Dane klientów i partnerów są ważnym czynnikiem konkurencyjności i przyczyniają się w znacznym stopniu do tworzenia wartości koncernu Daimler. Dane te muszą być chronione przed zagrożeniami związanymi z nieuprawnionym dostępem. Oprócz ochrony technicznej, klienci i partnerzy oczekują jednak również zasadniczo należytego obchodzenia się z ich danymi. Długotrwałe relacje biznesowe, bez opartej na zaufaniu relacji z naszymi klientami i partnerami, nie są możliwe do zrealizowania. Daimler jest świadomy tego wyzwania i uznaje w ramach swojej odpowiedzialności korporacyjnej obowiązek odpowiedzialnego obchodzenia się z danymi. Daimler ustanawia w niniejszych Wytycznych oparty na ogólnie przyjętych zasadach podstawowych, jednolity i ogólnie obowiązujący standard ochrony i bezpieczeństwa przetwarzania danych osobowych klientów i partnerów. Wytyczne wspierają konkurencyjność koncernu i stanowią podstawę dla stworzenia trwałej i opartej na zaufaniu relacji biznesowej. Wytyczne ustanawiają również jeden z niezbędnych warunków ramowych w odniesieniu do globalnej wymiany danych pomiędzy jednostkami koncernu, ponieważ gwarantują one wymagany przez europejską dyrektywę o ochronie danych i inne ustawy krajowe odpowiedni poziom ochrony danych w ruchu transgranicznym, także w tych krajach, gdzie obecnie nadal nie ma odpowiednich przepisów prawnych dotyczących ochrony danych. II. Definicje Odpowiedni poziom ochrony danych w państwach trzecich zostanie przez Komisję Europejską uznany wtedy, gdy główny element prywatności, tak jak jest on rozumiany w państwach członkowskich UE, będzie zasadniczo chroniony. Przy podejmowaniu decyzji Komisja Europejska uwzględnia wszystkie okoliczności, które odgrywają istotną rolę przy przekazywaniu danych lub kategorii przekazywania danych. Obejmuje to ocenę prawa państwowego oraz każdorazowo obowiązujących zasad regulaminów zawodowych i środków bezpieczeństwa. Dane mają anonimowy charakter, gdy tożsamość osoby nie może być trwale i przez nikogo ustalona lub gdy ustalenie tożsamości osoby wymagałoby nadmiernych kosztów, czasu i działań. Szczególnie wrażliwe dane to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność do związków zawodowych lub dotyczące zdrowia lub życia seksualnego podmiotu danych. Ze względu na prawo państwowe, jako szczególnie wrażliwe mogą zostać zakwalifikowane inne kategorie danych lub treść kategorii danych może być zróżnicowana. Również dane dotyczące przestępstw często mogą być przetwarzane tylko pod specjalnymi warunkami ustanowionymi przez prawo. Podmiotem danych w rozumieniu niniejszych Wytycznych jest każda osoba fizyczna, której dane są przetwarzane. W niektórych krajach podmiotami danych mogą być również osoby prawne. 1 Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, dostępna na stronie index_de.htm#richtlinie

5 05 Stroną trzecią jest każdy z wyjątkiem podmiotu danych i podmiotu odpowiedzialnego za przetwarzanie danych. Stroną trzecią nie są również osoby zajmujące się przetwarzaniem danych ustawowo przypisane do podmiotu odpowiedzialnego. Państwami trzecimi w rozumieniu niniejszych Wytycznych są wszystkie państwa poza Unią Europejską/ EOG. Wyłączone są kraje, których poziom ochrony danych został uznany przez Komisję UE za właściwy. Zgoda oznacza dobrowolne, wiążące prawnie oświadczenie o wyrażeniu zgody na przetwarzanie danych. Przetwarzanie danych osobowych jest wymagane, jeśli dozwolony cel lub słuszny interes nie mogą zostać osiągnięte bez odpowiednich danych osobowych lub gdy jest to związane z nieproporcjonalnie dużym nakładem. EOG to obszar gospodarczy związany z UE, który obejmuje Norwegię, Islandię i Liechtenstein. Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osoba możliwa do zidentyfikowania to przykładowo osoba, której tożsamość można ustalić poprzez powiązanie informacji z przypadkowo dostępną wiedzą dodatkową. Przekazanie to jakiekolwiek ujawnienie danych chronionych przez podmiot odpowiedzialny wobec stron trzecich. Przetwarzanie danych osobowych oznacza każdą operację dokonywaną - także metodami automatycznej obróbki danych - mającą na celu gromadzenie, zapis, porządkowanie, przechowywanie, przekształcanie, przeglądanie, wykorzystywanie, ujawnianie przez przekazywanie, rozpowszechnianie lub zestawianie i porównywanie danych; Obejmuje to również niszczenie, usuwanie i blokowanie danych i nośników danych. Podmiotem odpowiedzialnym jest samodzielna pod względem prawnym spółka koncernu Daimler, której działalność gospodarcza wymaga dokonania danej operacji przetwarzania danych.

6 06 III. Zakres obowiązywania i zmiana Wytycznych Niniejsze Wytyczne koncernu odnoszą się do wszystkich spółek koncernu Daimler, tj. spółki Daimler AG i wszystkich zależnych od niej spółek koncernu oraz jednostek powiązanych i ich pracowników. Zależne oznacza w niniejszych Wytycznych, że Daimler AG może bezpośrednio lub pośrednio - na podstawie posiadanej większości praw głosu, większości w kierownictwie przedsiębiorstwa lub w umowie - zażądać, aby niniejsze Wytyczne zostały wdrożone. Wytyczne koncernu odnoszą się do wszystkich operacji przetwarzania danych osobowych klientów i partnerów. Obejmuje to również dane dotyczące interesantów, dostawców i akcjonariuszy. Niniejsze Wytyczne mają również zastosowanie do danych osób prawnych, jeżeli zgodnie z odpowiednim prawem państwowym osoby są objęte zakresem ochrony prawa o ochronie danych. Poszczególne spółki koncernu nie są upoważnione do wprowadzania odstępstw od niniejszych Wytycznych. Zmiany niniejszych Wytycznych są dokonywane wyłącznie przez Pełnomocnika koncernu ds. ochrony danych w ramach określonej procedury zmiany Wytycznych. Spółki należące do koncernu muszą przestrzegać postanowień niniejszych Wytycznych w aktualnie obowiązującej wersji. Tylko w przypadku, gdyby wiązało się to z pogorszeniem sytuacji podmiotu danych, stosuje się tę wersję, która obowiązywała w momencie przetwarzania jego danych. W przypadku utraty mocy obowiązującej przez Wytyczne i nieustanowienia nowych przepisów, spółki należące do koncernu są zobowiązane do stosowania niniejszych Wytycznych w ostatnio obowiązującej wersji w odniesieniu do danych, które zostały do tego momentu przetworzone. IV. Obowiązywanie prawa państwowego Niniejsze Wytyczne dotyczące ochrony danych zawierają ogólnie przyjęte zasady ochrony danych, przy czym nie zastępują one istniejącego prawa państwowego. Wytyczne mają zawsze zastosowanie, o ile nie pozostają w sprzeczności z obowiązującym w danym przypadku prawem państwowym; ponadto należy stosować prawo państwowe, jeśli nakłada ono dodatkowe wymagania. Należy przestrzegać właściwego prawa państwowego, jeśli zawiera ono istotne odstępstwa od niniejszych Wytycznych lub dodatkowe przepisy. Treści niniejszych Wytycznych muszą być przestrzegane również wtedy, gdy nie istnieją odpowiednie przepisy prawa państwowego. W przypadku przekazywania danych z Unii Europejskiej/ EOG oraz z państw, które w przypadku przekazywania danych do innych krajów wymagają odpowiedniego standardu ochrony danych, podmioty importujące dane, przy przetwarzaniu przekazanych danych osobowych, muszą stosować właściwe prawo krajowe państwa, z którego dane zostały przekazane. Powyższe nie ma zastosowania do przekazywania danych w obrębie Unii Europejskiej/ EOG lub do przekazywania danych do krajów poza Unią Europejską/ EOG, których poziom ochrony danych został oceniony przez Komisję Europejską jako odpowiedni. Należy przestrzegać obowiązków zgłaszania operacji przetwarzania danych nałożonych przez prawo państwowe. Każda prawnie niezależna spółka koncernu Daimler musi sprawdzić, czy i w jakim zakresie istnieje obowiązek zgłaszania. W przypadku wątpliwości można skonsultować się z Pełnomocnikiem koncernu ds. ochrony danych.

7 07 V. Zasady przetwarzania danych osobowych 1. Rzetelność i zgodność z prawem Przy przetwarzaniu danych osobowych należy chronić dobra osobiste podmiotu danych. Dane muszą być przetwarzane rzetelnie i zgodnie z prawem. 2. Cele Przetwarzanie danych osobowych może służyć do realizacji jedynie tych celów, które zostały ustalone, zanim dane zostały zebrane. Późniejsze zmiany celów są możliwe tylko w ograniczonym zakresie. Mogą one być dokonywane na podstawie porozumień umownych z podmiotem danych, zgody podmiotu danych lub na mocy prawa państwowego. 3. Przejrzystość Podmiot danych musi zostać poinformowany o wykorzystywaniu jego danych. Dane osobowe powinny być zasadniczo pozyskiwane od samego podmiotu danych. Przy zbieraniu danych podmiot danych musi być w stanie rozpoznać lub musi zostać poinformowany o: tożsamości podmiotu odpowiedzialnego celu przetwarzania danych stronach trzecich lub kategoriach stron trzecich, którym dane mogą być przekazywane Podmiot danych powinien zostać poinformowany o dobrowolności podawania danych do celów marketingowych. W standardach koncernu określone są wymagania dotyczące niezbędnych informacji o wykorzystaniu danych podmiotu danych. W uzupełnieniu do wymogów określonych w standardach koncernu dodatkowe lub inne wymogi co do treści i zakresu informacji może nakładać również prawo państwowe. Mogą to być na przykład wymagania dotyczące informacji na temat prawa sprzeciwu podmiotu danych wobec kontaktowania się z nim w celach marketingowych i reklamowych. 4. Ograniczenie do niezbędnego minimum danych osobowych Przed każdą operacją przetwarzania danych osobowych należy sprawdzić, czy i w jakim zakresie jest ona konieczna, aby osiągnąć zamierzony przez nią cel. Jeśli osiągnięcie celu jest możliwe i nie wiąże się to z nadmiernymi nakładami w stosunku do zamierzonego celu, można wykorzystać dane anonimowe lub statystyczne. Analizy statystyczne i badania, które są wykonywane na podstawie anonimowych danych, nie podlegają niniejszym Wytycznym. Dane osobowe nie mogą być gromadzone na zapas w celu potencjalnego wykorzystania w przyszłości, o ile nie wymaga tego prawo państwowe. Dane, które nie są już wymagane, powinny zostać usunięte zgodnie z istniejącymi obowiązkami przechowywania. 5. Poprawność merytoryczna, aktualność danych Gromadzone dane muszą być prawidłowe i aktualne. Należy podjąć odpowiednie kroki, aby zapewnić, że niewłaściwe lub niepełne dane zostaną usunięte, poprawione lub uzupełnione. 6. Szczególnie wrażliwe dane Szczególnie wrażliwe dane osobowe mogą być przetwarzane tylko pod pewnymi warunkami. Przetwarzanie musi być wyraźnie dozwolone lub wymagane przez przepisy prawa państwowego lub jest niezbędne w celu dochodzenia, wykonania lub obrony roszczeń prawnych wobec podmiotu danych. Podmiot danych może również wyrazić wyraźną zgodę na przetwarzanie.

8 08 7. Zasada ograniczonego dostępu ( need-to know ) W obliczu coraz bardziej elastycznej organizacji pracy należy zadbać o to, aby pracownicy mieli dostęp do danych osobowych zgodnie z zasadą need-to-know. Zasada ograniczonego dostępu oznacza, że pracownicy mogą mieć dostęp do danych osobowych tylko zgodnie z charakterem i zakresem swoich obowiązków. Wymaga to starannego podziału i rozdziału ról i kompetencji oraz ich realizacji. 8. Zautomatyzowane decyzje indywidualne Automatyczne przetwarzanie danych osobowych służące do oceny indywidualnych cech osoby (np. zdolności kredytowej) musi spełniać specjalne wymagania. Nie mogą one być wyłączną podstawą do podejmowania decyzji mających negatywne skutki lub powodujących poważne utrudnienia dla podmiotu danych. W celu uniknięcia błędnych decyzji należy zagwarantować kontrolę i ocenę wiarygodności przez pracownika. Podmiot danych musi zostać również poinformowany o fakcie i wyniku zautomatyzowanej decyzji indywidualnej. Należy mu również umożliwić zajęcie stanowiska. Należy przestrzegać bardziej restrykcyjnych przepisów prawa państwowego w zakresie zautomatyzowanych decyzji indywidualnych. VI. Dopuszczalność przetwarzania danych 1. Przetwarzanie danych do celów umowy Dane osobowe podmiotu danych mogą być przetwarzane w celu realizacji umowy. Odnosi się to również do obsługi partnera umowy po zawarciu umowy, o ile jest to związane z celem umowy. Nie dotyczy to działań związanych z utrzymaniem klienta lub działań reklamowych. Przed zawarciem umowy a więc na etapie jej negocjacji dozwolone jest przetwarzanie danych osobowych w celu sporządzenia oferty, przygotowywania wniosku zakupowego lub spełnienia innych życzeń strony zainteresowanej warunkujących zawarcie umowy (np. jazda testowa). W trakcie negocjacji umowy można kontaktować się ze stroną zainteresowaną, korzystając z podanych przez nią danych. Należy przestrzegać ograniczeń określonych przez zainteresowanego. W odniesieniu do innych działań reklamowych obowiązują wymagania określone w rozdziale VI Przetwarzanie danych do celów reklamowych Przetwarzanie danych osobowych do celów reklamowych jest dozwolone, o ile da się ono pogodzić z celem, w jakim dane były pierwotnie zgromadzone. W ramach komunikacji z podmiotem danych należy uzyskać jego zgodę na przetwarzanie danych do celów reklamowych. (zob. VI.3.). Jeżeli podmiot danych zwróci się do jakiejkolwiek spółki koncernu Daimler z prośbą o udostępnienie informacji (np. z prośbą o przesłanie materiałów informacyjnych o produkcie), wówczas przetwarzanie danych w celu realizacji tego zapytania jest zawsze dozwolone bez względu na to, czy została uzyskana na nie zgoda. Jeżeli podmiot danych wyrazi sprzeciw wobec wykorzystania jego danych w celach reklamowych, dalsze przetwarzanie jego danych do tych celów nie jest dozwolone. Należy przestrzegać innych ograniczeń obowiązujących w niektórych krajach w zakresie wykorzystania danych do celów reklamowych. Mogą one dotyczyć w szczególności reklamy prowadzonej za pośrednictwem poczty elektronicznej, telefonu i faksu.

9 09 3. Wyrażenie zgody na przetwarzanie danych Przetwarzanie danych wymaga zgody podmiotu danych. Zmiana celu przetwarzania jest również możliwa za zgodą podmiotu danych. Przed wyrażaniem zgody podmiot danych musi zostać poinformowany zgodnie z rozdziałem V.3. niniejszych Wytycznych. Z przyczyn dowodowych zgoda powinna być zasadniczo wyrażona na piśmie lub w formie elektronicznej. W pewnych okolicznościach, np. w przypadku konsultacji telefonicznych, zgoda może być również wyrażona ustnie. Wyrażenie zgody musi być udokumentowane. Należy przestrzegać szczególnych wymagań dotyczących wyrażenia zgody określonych w prawie państwowym. 4. Przetwarzanie danych wynikające z wymogów ustawowych Przetwarzanie danych osobowych jest dozwolone również wtedy, gdy państwowe przepisy prawa tego wymagają, to zakładają lub na to zezwalają. Rodzaj i zakres przetwarzania danych musi spełniać wymagania dozwolonego zgodnie z prawem przetwarzania danych i opierać się na tych przepisach prawnych. 5. Przetwarzanie danych ze względu na słuszny interes Przetwarzanie danych osobowych jest dozwolone również wtedy, gdy jest to konieczne z punktu widzenia uzasadnionego interesu podmiotu odpowiedzialnego lub strony trzeciej. Uzasadniony interes ma z reguły charakter prawny (np. egzekwowanie przeterminowanych należności) lub gospodarczy (np. unikanie naruszeń umowy). Przetwarzanie danych osobowych ze względu na uzasadniony interes nie jest dozwolone, jeżeli w konkretnym przypadku istnieją przesłanki wskazujące na to, iż wymagający ochrony interes podmiotu danych przeważa nad interesem związanym z przetwarzaniem. Należy to sprawdzić przed każdą operacją przetwarzania. VII. Przekazywanie danych osobowych W przypadku niektórych procesów biznesowych konieczne jest, aby dane osobowe klientów czy partnerów były udostępniane stronie trzeciej. Jeśli nie wynika to z obowiązku prawnego, należy za każdym razem sprawdzić, czy na przeszkodzie nie stoi wymagający ochrony interes podmiotu danych. W przypadku przekazywania danych osobowych jednostce spoza koncernu Daimler muszą zostać spełnione wymagania określone w rozdziale VI. Jeśli odbiorca znajduje się w kraju trzecim, musi zapewnić on odpowiedni poziom ochrony danych zgodnie z wymogami niniejszych Wytycznych. Powyższe nie ma zastosowania, jeżeli przekazywanie danych wynika z ustawowego lub innego obowiązku prawnego. Odbiorca musi być zobowiązany na podstawie umowy do wykorzystywania danych tylko do określonych celów. Ujawnianie danych instytucjom lub organom państwowym jest dozwolone, jeżeli wymagają tego odpowiednie przepisy prawne. W przypadku przekazywania danych przez strony trzecie spółkom koncernu Daimler konieczne jest zapewnienie, aby dane były gromadzone zgodnie z przepisami obowiązującego w danym przypadku prawa i mogły być wykorzystywane do zamierzonego celu przetwarzania.

10 10 VIII. Przekazywanie danych w ramach koncernu Przekazywanie danych osobowych przez prawnie niezależną spółkę koncernu innej spółce koncernu stanowi w rozumieniu prawa przekazanie danych stronie trzeciej. Taka operacja przekazywania danych wymaga spełnienia warunków określonych w rozdziale VI. Jeżeli dane osobowe są przekazywane przez spółki koncernu z siedzibą w Unii Europejskiej/ EOG do spółki koncernu mającej siedzibę w państwie trzecim, Pełnomocnik ds. ochrony danych i spółka importująca dane są zobowiązani do współpracy z właściwym organem nadzoru w kraju, w którym ma siedzibę jednostka eksportujące dane, w przypadku jakichkolwiek zapytań z jego strony, a także do przestrzegania ustaleń organu nadzoru w odniesieniu do przetwarzania przekazanych danych. W przypadku, gdy podmiot danych podejrzewa, że niniejsze Wytyczne zostały naruszone przez spółkę koncernu importującą dane mającą siedzibę w państwie trzecim, spółka eksportująca dane mająca siedzibę w Unii Europejskiej/ EOG zobowiązuje się pomóc podmiotowi danych, którego dane zostały zebrane w Unii Europejskiej/ EOG, w wyjaśnieniu okoliczności, jak również zapewnić wyegzekwowanie jego praw zgodnie z rozdziałem XI niniejszych Wytycznych wobec jednostki koncernu importującej dane. Ponadto podmiot danych może dochodzić swoich praw wynikających z rozdziału XI również od spółki koncernu eksportującej dane. W przypadku przekazywania danych osobowych przez spółkę koncernu z siedzibą w Unii Europejskiej/ EOG do spółki koncernu mającej siedzibę w państwie trzecim, jednostka przekazująca dane musi w przypadku naruszenia niniejszych Wytycznych przez spółkę koncernu mającą siedzibę w państwie trzecim przyjąć z punktu widzenia odpowiedzialności prawnej takie stanowisko wobec podmiotu danych, którego dane osobowe zostały zebrane w Unii Europejskiej/ EOG, jak gdyby to naruszenie zostało popełnione przez tę jednostkę przekazującą dane. Sądem właściwym jest sąd właściwy dla siedziby jednostki eksportującej dane. IX. Zlecanie przetwarzania danych W przypadku zlecania przetwarzania danych usługodawca otrzymuje zlecenie przetworzenia danych, przy czym nie następuje przeniesienie na niego odpowiedzialności za związany z tym proces biznesowy. W przypadku ujawniania danych osobowych w ramach zlecania przetwarzania danych, zleceniodawcą pozostaje jednostka odpowiedzialna za przetwarzanie danych, wobec której podmiot danych może dochodzić wszelkich swoich praw. Ponadto przy zlecaniu przetwarzania danych należy przestrzegać następujących zasad: 1. Przy wyborze wykonawcy konieczne jest zapewnienie, że jest on w stanie zagwarantować spełnienie niezbędnych przy przetwarzaniu danych wymagań technicznych i organizacyjnych oraz zapewnić środki bezpieczeństwa. Przy wyborze należy kierować się kryteriami określonymi przez Pełnomocnika koncernu ds. ochrony danych. 2. Realizacja zlecenia przetwarzania danych musi być uregulowana w formie pisemnej umowy, w której należy uzgodnić wymagania w zakresie ochrony danych i bezpieczeństwa informacji. W szczególności należy ustalić, iż wykonawca może przetwarzać dane wyłącznie zgodnie z zaleceniami zleceniodawcy. 3. Przy przygotowywaniu umowy należy kierować się Wytycznymi koncernu.

11 11 4. W przypadku zlecania przetwarzania danych osobowych z Unii Europejskiej/ EOG usługodawcom spoza Unii Europejskiej/ EOG, usługodawca musi być zapewnić odpowiedni poziom ochrony danych zgodnie z niniejszymi Wytycznymi, jeżeli chce on przetwarzać dane w państwie trzecim. Należy również przestrzegać analogicznych przepisów zawartych w ustawach o ochronie danych innych państw. Ponadto w przypadku zlecania przetwarzania danych usługodawcom spoza Unii Europejskiej/ EOG muszą być spełnione wymagania określone w rozdziale VII. X. Telekomunikacja i Internet Przetwarzanie danych osobowych wynikające z komunikacji telefonicznej z podmiotem danych, w tym z komunikacji internetowej, musi odbywać się zgodnie z lokalnie obowiązującymi instrukcjami pracy lub zgodnie z każdorazowo obowiązującym prawem. Należy przestrzegać standardów koncernu w zakresie realizacji wymogów prawnych przy projektowaniu stron internetowych. XI. Prawa podmiotu danych Każdemu podmiotowi danych przysługują następujące prawa. Właściwa jednostka musi niezwłocznie dokonać ich rozpatrzenia. 1. Podmiot danych może zażądać informacji o tym, jakie dane osobowe, z jakiego źródła i w jakim celu zostały o nim zebrane. 2. Jeżeli dane osobowe są przekazywane stronom trzecim, należy poinformować podmiot danych również o tożsamości odbiorcy lub o kategoriach odbiorców. 3. Jeśli dane osobowe są nieprawidłowe lub niepełne, podmiot danych może zażądać ich korekty lub uzupełnienia. 4. Podmiot danych ma prawo zażądać usunięcia swoich danych, jeżeli brak jest podstawy prawnej do przetwarzania danych lub podstawa tak już nie istnieje. To samo dotyczy przypadku, w którym cel przetwarzania danych wskutek upływu czasu lub z innych przyczyn przestał obowiązywać. Należy przestrzegać obowiązujących wymagań dotyczących przechowywania danych. 5. Podmiot danych może wyrazić sprzeciw wobec przetwarzania swoich danych osobowych do celów marketingu bezpośredniego lub badań rynku i opinii publicznej. Dane muszą być zablokowane, aby nie były wykorzystywane do tych celów. 6. Podmiot danych ma zasadnicze prawo do wniesienia sprzeciwu wobec przetwarzania jego danych, który należy uwzględnić, jeżeli wymagający ochrony interes podmiotu danych ze względu na jego sytuację osobistą przeważa nad interesem jednostki odpowiedzialnej. Powyższe nie ma zastosowania, jeżeli przepisy prawne nakładają obowiązek przetwarzania danych.

12 12 XII. Poufność przetwarzania danych Dane osobowe klientów i partnerów będą traktowane jako poufne; zabronione jest nieuprawnione zbieranie, przetwarzanie lub wykorzystywanie tych danych przez pracowników. Nieuprawnione jest każde przetwarzanie dokonywane przez pracownika, któremu nie powierzono takiego zadania w ramach wykonywanych przez niego obowiązków i który nie posiada odpowiednich uprawnień. W szczególności zabrania się wykorzystywania danych osobowych do własnych celów osobistych lub gospodarczych, ich przekazywania osobom nieuprawnionym lub udostępniania w inny sposób. XIII. Bezpieczeństwo przetwarzania danych W celu zapewnienia bezpieczeństwa danych wdrażane są odpowiednie środki techniczne i organizacyjne, które zapewniają ochronę danych osobowych przed nieupoważnionym dostępem, niewłaściwym przetwarzaniem lub ujawnieniem, przypadkową utratą, zmianą lub zniszczeniem. Odnoszą się one do bezpieczeństwa danych wymagających ochrony zarówno przy przetwarzaniu elektronicznym, jak i w formie papierowej. Środki techniczne i organizacyjne są częścią zintegrowanego systemu zarządzania bezpieczeństwem informacji i są stale dostosowywane do zmian technologicznych i organizacyjnych. XIV. Odpowiedzialność i sankcje Zarządy i kierownictwa spółek koncernu są jako podmioty odpowiedzialne za przetwarzanie danych zobowiązane zapewnić, aby przestrzegane były wymagania ochrony danych określone w przepisach prawa oraz w Wytycznych dotyczących ochrony danych. Kierownictwo ma za zadanie w swoim zakresie odpowiedzialności zapewnić za pomocą środków organizacyjnych, personalnych i technicznych właściwe przetwarzanie danych z uwzględnieniem ochrony danych. Zgodność z Wytycznymi i obowiązującymi przepisami o ochronie danych jest weryfikowana w ramach okresowych audytów w zakresie ochrony danych. Niewłaściwe przetwarzanie danych osobowych lub inne naruszenia przepisów o ochronie danych są w wielu państwach ścigane przez prawo karne i mogą prowadzić do roszczeń odszkodowawczych. Naruszenia prawa, za które mogą być pociągnięci do odpowiedzialności indywidualni pracownicy, pociągają za sobą zasadniczo sankcje z zakresu prawa pracy zgodnie z obowiązującymi przepisami danego prawa krajowego (zob. Wytyczne dotyczące działań dyscyplinarnych).

13 13 XV. Pełnomocnik koncernu ds. ochrony danych Pełnomocnik ds. ochrony danych nadzoruje jako wewnętrzny i autonomiczny organ przestrzeganie krajowych i międzynarodowymi przepisów dotyczących ochrony danych. Jest on odpowiedzialny za wytyczne obowiązujące w zakresie ochrony danych oraz nadzoruje ich przestrzeganie. Przeprowadza on kontrole i audyty w zakresie ochrony danych. Pełnomocnik ds. ochrony danych jest powoływany przez zarząd Daimler AG. Dyrektorzy i kierownicy poszczególnych zakładów muszą wyznaczyć koordynatora ds. ochrony danych, który będzie współpracował z Pełnomocnikiem ds. ochrony danych. Organizacyjnie zadania te mogą być wykonywane przez koordynatora ds. ochrony danych w porozumieniu z Pełnomocnikiem ds. ochrony danych również dla kilku spółek i zakładów. Koordynatorzy ds. ochrony danych pełnią lokalnie funkcję osób kontaktowych w sprawach dotyczących ochrony danych. Mogą oni przeprowadzać kontrole i muszą przekazywać pracownikom treści Wytycznych dotyczących ochrony danych. Dyrektorzy poszczególnych spółek są zobowiązani do wspierania Pełnomocnika koncernu ds. ochrony danych i koordynatorów ds. ochrony danych w ich działalności. Działy muszą informować koordynatorów ds. ochrony danych o nowych operacjach przetwarzania danych osobowych. Koordynatorzy ds. ochrony danych informują Pełnomocnika koncernu ds. ochrony danych odpowiednio wcześnie o zagrożeniach związanych z ochroną danych. W przypadku operacji przetwarzania danych, które mogą być źródłem szczególnego ryzyka dla dóbr osobistych podmiotu danych, Pełnomocnik koncernu ds. ochrony danych musi być włączony w dany proces jeszcze przed rozpoczęciem przetwarzania. Dotyczy to zwłaszcza szczególnie wrażliwych danych osobowych. Działy mają obowiązek zapewnić przeszkolenie swoich pracowników w niezbędnym zakresie w kwestii obchodzenia się z danymi osobowymi. Pełnomocnik koncernu ds. ochrony danych udostępnia internetowe narzędzie szkoleniowe. W przypadku naruszenia ochrony danych i skarg odpowiedzialna kadra kierownicza jest zobowiązana do niezwłocznego poinformowania właściwego koordynatora ds. ochrony danych lub Pełnomocnika koncernu ds. ochrony danych. Ponadto każdy podmiot danych może w każdym momencie zwrócić się do Pełnomocnika koncernu ds. ochrony danych z uwagami, pytaniami, wnioskami lub skargami dotyczących kwestii ochrony i bezpieczeństwa danych. Zapytania i skargi będą na życzenie - traktowane jako poufne. Dyrektorzy muszą respektować decyzje Pełnomocnika koncernu ds. ochrony danych, których celem jest zapobieganie naruszeniom ochrony danych. Dane kontaktowe Pełnomocnika i jego pracowników: Daimler AG, Pełnomocnik koncernu ds. ochrony danych, HPC 0624, D Stuttgart, Niemcy Tel , Fax , joachim.riess@daimler.com W intranecie pod

14 Daimler AG Stuttgart, Niemcy