RPM INTERNATIONAL INC. ORAZ JEJ SPÓŁKI ZALEŻNE I OPERACYJNE ZASADY PRYWATNOŚCI SAFE HARBOR OBOWIĄZUJE OD: 12 sierpnia 2015 r. Niniejsze zasady określają reguły obowiązujące w firmie RPM International Inc. oraz w jej spółkach zależnych i operacyjnych, jej oddziałach lub grupach, których siedziba znajduje się w USA (zwanej dalej RPM ) w odniesieniu do przesyłania/przekazywania danych osobowych pracowników (informacji pochodzących z działu kadr) oraz danych osobowych kontrahentów i klientów do USA z placówek firmy znajdujących się na terenie państw członkowskich Europejskiego Obszaru Gospodarczego ( EOG ). RPM przestrzega zasad porozumienia Safe Harbor zawartego między Unią Europejską i Szwajcarią a Stanami Zjednoczonymi, ustanowionych przez Departament Handlu Stanów Zjednoczonych i odnoszących się do gromadzenia, wykorzystywania i przechowywania danych osobowych pochodzących z krajów członkowskich Unii Europejskiej i Szwajcarii. RPM poświadcza, że stosuje się do przepisów Safe Harbor w zakresie ochrony prywatności dotyczących ogłaszania, wyboru, dalszego przekazywania, bezpieczeństwa, integralności, dostępu i egzekwowania danych. Aby dowiedzieć się więcej o programie Safe Harbor i zapoznać się z odpowiednim certyfikatem RPM prosimy odwiedzić stronę http://www.export.gov/safeharbor/. W rozumieniu niniejszych zasad: Dane osobowe pracowników oznaczają informacje odnoszące się do konkretnego pracownika RPM lub pozwalające na ustalenie jego tożsamości, które przechowywane są w formie elektronicznej lub w innym systemie służącym do przechowywania danych. Definicja ta obejmuje takie informacje, które w przypadku skojarzenia ich z danym pracownikiem mogą posłużyć do ustalenia jego tożsamości (np. adres zamieszkania, numer telefonu, płeć, data urodzenia, dane z listy płac, informacje telefoniczne i telekomunikacyjne, wyniki oceny wydajności w pracy). Informacje anonimowe, wykorzystywane w celach statystycznych, historycznych, badawczych lub innych, nie są objęte tą definicją. Dane osobowe kontrahentów oznaczają informacje odnoszące się do konkretnego kontrahenta RPM lub pozwalające na ustalenie jego tożsamości, a także informacje odnoszące się lub pozwalające na ustalenie tożsamości jego pracowników lub partnerów, które przechowywane są w formie elektronicznej lub w innym systemie służącym do przechowywania danych. Definicja ta obejmuje takie informacje, które w przypadku skojarzenia ich z danym kontrahentem lub pracownikiem bądź parterem kontrahenta mogą posłużyć do ustalenia jego tożsamości (np. adres firmy, adres e-mail, numer telefonu, płeć, data urodzenia). Informacje anonimowe, wykorzystywane w celach statystycznych, historycznych, badawczych lub innych, nie są objęte tą definicją. Dane osobowe klientów oznaczają informacje odnoszące się do konkretnego klienta RPM lub pozwalające na ustalenie jego tożsamości, a także informacje odnoszące się lub pozwalające na ustalenie tożsamości jego pracowników lub partnerów, które przechowywane są w formie elektronicznej lub w innym systemie służącym do przechowywania danych. Definicja ta obejmuje informacje, które w przypadku skojarzenia ich z danym klientem lub pracownikiem {00667695.DOC;1 }COI-1400422v1
bądź parterem klienta mogą posłużyć do ustalenia jego tożsamości (np. adres firmy, adres e-mail, numer telefonu, płeć, data urodzenia). Informacje anonimowe, wykorzystywane w celach statystycznych, historycznych, badawczych lub innych, nie są objęte tą definicją. Dane wrażliwe pracowników to dane osobowe pracownika, na które składają się: dokumentacja medyczna, dane dotyczące rasy lub pochodzenia etnicznego, poglądów politycznych, przekonań religijnych i filozoficznych, członkostwa w związkach zawodowych lub życia seksualnego. Pełnomocnik oznacza wszelkie strony trzecie, które wykorzystują dane osobowe pracowników udostępnione przez RPM w celu wykonania zadania w imieniu lub zgodnie z zaleceniami RPM. ZAKRES Niniejsze zasady odnoszą się do wszelkich danych osobowych pracowników, kontrahentów lub klientów przetwarzanych przez RPM, które są przekazywane/przesyłane, bez względu na ich format (w tym danych elektronicznych, na papierze lub przekazywanych ustnie), do USA z placówek firmy znajdujących się na terenie EOG, czy to za pośrednictwem linii telekomunikacyjnych, komputerowych, czy też w formie wydruków papierowych, bez względu na to, czy zostały one udostępnione przez pracowników, kontrahentów lub klientów, wygenerowane przez RPM i jej spółki operacyjne, czy też w dowolny inny sposób przekazane przez pełnomocników lub inne strony trzecie. GROMADZENIE, WYKORZYSTYWANIE I PRZECHOWYWANIE DANYCH OSOBOWYCH RPM gromadzi, wykorzystuje i przechowuje dane osobowe pracowników, kontrahentów i klientów jedynie wtedy, gdy informacje tego typu są konieczne i mają zastosowanie z biznesowego lub prawnego punktu widzenia. W przypadku gdy RPM gromadzi dane osobowe pracowników, kontrahentów lub klientów bezpośrednio od osób z obszaru EOG, firma podejmie starania, by poinformować o celu, w jakim ich dane osobowe są gromadzone i do jakich celów będą wykorzystywane, a także o trzecich stronach niebędących pełnomocnikami, którym RPM udostępnia takie informacje oraz o możliwościach, jakie RPM daje właścicielowi danych względem ograniczenia ich wykorzystania lub ujawnienia. RPM dołoży starań by przekazać pracownikom zasady napisane jasnym i zrozumiałym językiem, gdy po raz pierwszy zostaną oni proszeni o podanie RPM swoich danych osobowych lub możliwie najszybciej po tym fakcie, oraz w każdym przypadku przed wykorzystaniem tych danych przez RPM w jakimkolwiek celu innym niż ten, dla którego zostały one pierwotnie zebrane. W przypadku gdy RPM otrzyma dane osobowe pracowników, kontrahentów lub klientów ze swoich spółek zależnych, stowarzyszonych, od swoich pełnomocników lub innych podmiotów z obszaru EOG, wówczas takie informacje zostaną wykorzystane zgodnie z zasadami dostarczonymi przez te podmioty oraz zgodnie z wyborami dokonanymi przez osoby, do których takie informacje się odnoszą. {00667695.DOC;1 }COI-1400422v1-2 -
Dane osobowe poszczególnych pracowników, kontrahentów i klientów są wykorzystywane przez RPM oraz udostępniane oddziałom firmy, spółkom zależnym, stowarzyszonym, pełnomocnikom (np. działom IT i innym podmiotom świadczącym usługi zarówno profesjonalne, jak i niemające charakteru zawodowego, sponsorom programów świadczeniowych i ich administratorom itp.), stosownym organom i urzędom administracji rządowej oraz stronom trzecim, zgodnie z wymogami prawnymi, regulacyjnymi lub nakazami sądowymi bądź ze względu na nie. Sposoby wykorzystywania danych osobowych pracowników mogą obejmować: Zarządzanie pracownikami oraz komunikację i powiadomienia odnoszące się do nich; Przechowywanie biografii osób kadry kierowniczej i innych pracowników, ich życiorysów lub podobnych informacji; Dane kontaktowe na wypadek nagłych sytuacji; Kwestie obsady personalnej i danych demograficznych we wszystkich jednostkach przedsiębiorstwa; Rozwój zawodowy i awanse; Planowanie obsady stanowisk pracy; Planowanie sukcesji pracowników; Wynagrodzenia i świadczenia dla pracowników; Ustanowienie i administrowanie świadczeniami pracowniczymi i programami świadczeniowymi; Nagrody i wyróżnienia; Zwrot kosztów podróży, w tym zarządzanie delegacjami i/lub kartami kredytowymi; Szkolenia; Przeniesienia; Zeznania podatkowe i podatki odciągane przez pracodawcę; Administrację listą płac, w tym potrącenia, składki itp.; Kontakty branżowe, w tym postępowania w sprawie skarg; Pomoc w logowaniu, w obsłudze komputerów i stron internetowych; Ocenę ryzyka i jego ograniczanie; Ubezpieczenie od odpowiedzialności cywilnej członków zarządu i pracowników kadry kierowniczej; Zakładanie dodatkowych rachunków bankowych; Planowanie i zapewnienie opieki zdrowotnej, w tym badania na obecność narkotyków, obsługę pracowniczych odszkodowań z tytułu świadczeń chorobowych/powypadkowych lub podobne programy odnoszące się do zdrowia i bezpieczeństwa pracowników; Bezpieczeństwo osobiste, w tym mechanizmy kontroli dostępu oraz bezpieczeństwo systemów komputerowych i innych; Raportowania i analizy statystyczne; Transakcje odnoszące się do pracowników; Zgłoszenia o charakterze prawnym lub regulacyjnym bądź też wynikające z innych wymogów, w tym odnoszące się do środowiska miejsca pracy oraz sprawozdań i administrowania kwestiami BHP; Wizy, licencje i inne pozwolenia na pracę; Mechanizmy kontrolne w działalności importowej i eksportowej; Wewnętrzne i zewnętrzne kontrole, w tym weryfikacja praktyk biznesowych; monitorowanie Internetu, intranetu, poczty elektronicznej i inne formy {00667695.DOC;1 }COI-1400422v1-3 -
monitoringu elektronicznego; egzekwowanie prawa i inne śledztwa prowadzone przez ograny rządowe; Planowanie działalności firmy, w tym kontynuowanie fuzji, przejęć i pozbywanie się majątku; oraz Rejestrację/składanie dokumentacji przez członków zarządu i kadrę kierowniczą w różnych organach rządowych. Sposoby wykorzystywania danych osobowych kontrahentów lub klientów mogą obejmować: Marketing produktów; Szkolenia; Obsługę roszczeń gwarancyjnych i ubezpieczeniowych; Pomoc w logowaniu, w obsłudze komputerów i stron internetowych; Działania z zakresu księgowości, zarządzania i sprawozdawczości dotyczące łańcucha dostaw; Fakturowanie i płatności; Obsługę klienta i serwis produktów; Ocenę ryzyka i jego ograniczanie. PRAWO WYBORU RPM dokłada starań, by pracownicy, kontrahenci lub klienci mieli możliwość dokonania wyboru i niewyrażenia zgody (opt-out) na to, aby ich dane osobowe mogły być (a) udostępniane stronie trzeciej niebędącej pełnomocnikiem lub (b) wykorzystywane w celu innym niż ten, dla którego zostały pierwotnie zebrane lub na który została w późniejszym czasie udzielna zgoda. RPM może co jakiś czas powiadamiać pracowników, kontrahentów i klientów o ofertach składanych przez wybrane strony trzecie niebędące pełnomocnikami. Niemniej jednak RPM stara się zapewnić, że dane osobowe pracowników, kontrahentów i klientów nie zostaną przekazane owym stronom trzecim bez zgody pracownika. W przypadku wrażliwych danych osobowych RPM dokłada starań, by pracownicy mieli możliwość jednoznacznego wyrażenia zgody (opt-in), zanim nastąpi (a) udostępnienie tego typu danych stronie trzeciej niebędącej pełnomocnikiem lub (b) wykorzystanie takich danych w celu innym niż ten, dla jakiego zostały one pierwotnie zebrane lub na który została w późniejszym czasie udzielna zgoda. Pracownicy, którzy wybiorą opcję opt-in zostaną powiadomieni o procedurze, według której trzeba będzie postępować, by skorzystać z tej możliwości. {00667695.DOC;1 }COI-1400422v1-4 -
SPÓJNOŚĆ DANYCH RPM będzie wykorzystywać dane osobowe pracowników, kontrahentów i klientów jedynie w sposób, który jest zgodny z celami, dla których zostały one zebrane lub na które została w późniejszym czasie udzielna zgoda. RPM podejmie odpowiednie kroki, by zadbać o to, że dane osobowe są istotne dla celu, w jakim zostały zebrane, a zarazem będą dokładne, pełne i aktualne. PRZESYŁANIE/PRZEKAZYWANIE DANYCH DO PEŁNOMOCNIKÓW RPM stara się otrzymać zapewnienie ze strony swoich pełnomocników, że powierzone im dane osobowe pracowników, kontrahentów lub klientów będą chronione zgodnie z zapisami niniejszych zasad. Jeśli RPM dowie się, że pełnomocnik wykorzystuje lub ujawnia dane osobowe pracowników, kontrahentów lub klientów w sposób niezgodny z niniejszymi zasadami, to wówczas RPM postara się podjąć odpowiednie kroki, by zapobiec lub położyć kres takiemu niewłaściwemu wykorzystywaniu lub ujawnieniu. DOSTĘP I NANOSZENIE ZMIAN RPM udzieli na wniosek pracowników, kontrahentów lub klientów stosownej zgody na dostęp do swoich danych osobowych. Ponadto RPM podejmie odpowiednie kroki mające na celu umożliwienie pracownikom dokonania korekty, wprowadzenia poprawek lub wykasowania informacji, co do których zostanie dowiedzione, że są niedokładne lub niepełne. BEZPIECZEŃSTWO RPM dołoży wszelkich starań, by zapewnić bezpieczeństwo i spójność danych osobowych pracowników, kontrahentów i klientów, bez względu na to, czy zostały one przekazane firmie przez pracowników, wygenerowane przez RPM i jej spółki operacyjne lub też dostarczone przez pełnomocników lub strony trzecie. RPM podejmie uzasadnione środki ostrożności mające na celu zabezpieczenie danych osobowych będących w posiadaniu firmy przed utratą, niewłaściwym wykorzystaniem, nieupoważnionym dostępem, ujawnieniem, modyfikacją lub zniszczeniem. Dane osobowe pracowników udostępniane są w ramach RPM wyłącznie tym osobom, które zostały upoważnione do powoływania się na klauzulę uzasadnionej konieczności. EGZEKWOWANIE PRZEPISÓW RPM dokłada starań, by przeprowadzać okresowe kontrole wewnętrzne w postaci audytów lub inspekcji kierowników działów kadr, zaopatrzenia i obsługi klienta oraz innych osób, które zarządzają danymi osobowymi pracowników, kontrahentów lub klientów. Działania kontrolne mają na celu sprawdzenie przestrzegania niniejszych zasad oraz coroczne uzyskanie certyfikatów zgodności z przepisami Safe Harbor wydawanych przez Departament Handlu Stanów Zjednoczonych. Każdy pracownik, który narusza niniejsze zasady podlega postępowaniu dyscyplinarnemu, ze zwolnieniem z pracy włącznie. {00667695.DOC;1 }COI-1400422v1-5 -
DANE KONTAKTOWE I ROZSTRZYGANIE SPORÓW Wszelkie pytania lub wątpliwości związane z niniejszymi zasadami i ich zastosowaniem należy kierować do radcy prawnego firmy RPM, na adres podany poniżej. Po zapoznaniu się z pytaniami, skargami lub sporami, firma RPM postara się je rozwiązać zgodnie z założeniami zawartymi w niniejszych zasadach. W przypadku wątpliwości, których RPM nie będzie w stanie usunąć, firma będzie współpracować z europejskimi organami odpowiedzialnymi za ochronę danych osobowych w celu rozstrzygnięcia sporów. Kiedy będzie to konieczne, firma RPM będzie przestrzegać określonych działań narzuconych przez organy odpowiedzialne za bezpieczeństwo danych osobowych w celu przestrzegania przepisów Safe Harbor. Pytania lub uwagi związane z niniejszymi zasadami można kierować do radcy prawnego firmy RPM, Edwarda W. Moore, przesyłając je zwykłą pocztą lub e-mailem na adres: RPM International Inc. Attn: Edward W. Moore, General Counsel 2628 Pearl Road, P.O. Box 777 Medina, Ohio 44258 emoore@rpminc.com ZMIANY DO NINIEJSZYCH ZASAD Treść niniejszych zasad może być co jakiś czas zmieniana, by zapewnić jej zgodność z przepisami Safe Harbor. Wszelkie takie zmiany zostaną w odpowiedni sposób podane do wiadomości publicznej. {00667695.DOC;1 }COI-1400422v1-6 -