Dieses Dokument beschreibt den Ansatz zum Umgang mit privaten Informationen von Mitarbeitern und Kunden. Alle identifizierten Ausnahmen werden nachverfolgt und der Geschäftsleitung gemeldet. Mitarbeiter der GFL oder Tochtergesellschaften, die berechtigt sind, private Informationen zu verarbeiten, müssen sich mit dieser Richtlinie vertraut machen.
Privatsphäre Richtlinie
-
Einführung
-
Geltungsbereich
Diese Richtlinie umfasst alle privaten Informationen, die von der GFL gesammelt oder von GFL-Kunden zur Verarbeitung übertragen werden, oder die anderweitig GFL-Auftragnehmern und -Mitarbeitern zugänglich gemacht werden, einschließlich aber nicht beschränkt auf folgende:
• Informationen über GFL-Mitarbeiter oder -Auftragnehmer;
• Informationen über Mitarbeiter, Auftragnehmer oder Kunden der GFL-Kunden;
• Private Informationen, die zur Verarbeitung an die GFL übertragen werden, außer den oben genannten. Alle privaten Informationen, für die die GFL Verantwortung übernommen hat, fallen unter diese Richtlinie. -
Rollen und Verantwortlichkeiten
Dmytro Dolyna, CISO – verantwortlich für die Entwicklung dieser Richtlinie, die Durchsetzung der Richtlinie und die Führungsunterstützung aller datenschutzbezogenen Initiativen;
-
Zweckbestimmung
Alle privaten Informationen, für die die GFL Verantwortung übernimmt, müssen durch einen geschäftlichen Zweck gerechtfertigt sein. GFL-Auftragnehmern oder -Mitarbeitern ist es untersagt, private Informationen jeglicher Herkunft zu sammeln, es sei denn, dies wurde anderweitig von der Geschäftsleitung genehmigt. Die Geschäftsleitung muss den Zweck auf der Grundlage des Verständnisses der Konsequenzen der Übernahme der Verantwortung für private Daten bewerten, wie z.B.: Kosten zum Schutz der privaten Daten, rechtliche und Rufrisiken usw.
-
Private Informationen, die von den Eigentümern erhalten werden
Die GFL muss die ausdrückliche Zustimmung der Eigentümer privater Informationen einholen, wenn die GFL private Informationen direkt sammelt. Solche Fälle umfassen unter anderem folgende:
• Sammlung privater Daten von Mitarbeitern und Auftragnehmern bei der Einführung ins Unternehmen;
• Sammlung privater Daten von Bewerbern und potenziellen Mitarbeitern für Zwecke der Hintergrundüberprüfung;
• Sammlung von Informationen der Website-Besucher;
• Informationen der Teilnehmer von durch die GFL organisierten Veranstaltungen;
• Private Informationen von Partnern, potenziellen.Partnern und potenziellen Kunden. Dateninhaber müssen ohne Einschränkungen über folgende Punkte informiert werden:
• Arten der gesammelten privaten Daten;
• Der Zweck der Sammlung privater Informationen;
• Wer Zugang zu privaten Daten haben wird;
• Verfahren zur Entfernung oder Aktualisierung der privaten Daten auf Anfrage des Dateninhabers. -
Private Informationen, die von Dritten übertragen werden
Die GFL muss vor der Übertragung privater Daten vom Importeur sicherstellen, dass solche privaten Daten rechtmäßig und nach ähnlichen Grundsätzen gesammelt wurden, die die GFL verwendet, wenn sie Daten direkt von den Eigentümern sammelt. Solche Grundsätze sind in Absatz 6.1 dieser Richtlinie aufgeführt.
-
Begrenzung der Sammlung
Eine Zustimmung muss ausdrücklich und direkt eingeholt werden. Eine Zustimmung darf nicht durch irreführende Mittel eingeholt werden. Die GFL darf nicht mehr Informationen sammeln, als für die Zweckbestimmung erforderlich ist.
-
Begrenzung der Nutzung, Offenlegung und Aufbewahrung
Die GFL darf persönliche Informationen nicht in einer anderen Weise verwenden, offenlegen oder speichern, als der Dateninhaber seine ausdrückliche Zustimmung dafür gegeben hat. Wenn möglich, muss die GFL die Speicherung privater Informationen vermeiden, die zur Verarbeitung an die GFL übertragen oder ihr Zugang gewährt wurden. Zu diesem Zweck müssen automatische Mittel eingesetzt werden, um jede temporäre Speicherung auf GFL-Seite unmittelbar nach der Verarbeitung der Daten durch einen GFL-Mitarbeiter zu löschen. Private Informationen, die von der GFL zum Zweck der Geschäftstätigkeit gesammelt wurden, müssen so lange gespeichert werden, wie es für den bestimmten Zweck erforderlich ist. Als veraltet geltende Daten müssen unter Verwendung von Techniken vernichtet werden, die eine Wiederherstellung solcher Daten verhindern, wie z.B. Low-Level-Formatierung oder physische Medienvernichtung, falls erforderlich.
-
Genauigkeit
Die GFL muss alle wirtschaftlich angemessenen Anstrengungen unternehmen, um sicherzustellen, dass die privaten Daten, für die die GFL verantwortlich ist, genau sind, um zu vermeiden, dass Entscheidungen auf der Grundlage ungenauer Voraussetzungen getroffen oder die Daten versehentlich offengelegt werden usw.
-
Schutzmaßnahmen
Die GFL muss Maßnahmen ergreifen, um private Daten vor Offenlegung, Zerstörung oder Veränderung zu sichern und zu schützen. Die Unternehmenssicherheitsrichtlinie bietet detaillierte Leitlinien zu den genauen Maßnahmen und Kontrollen, die die GFL zum Schutz privater Daten einsetzt. Verstöße gegen private Daten müssen bei der Risikobewertung für jedes neue oder laufende Projekt berücksichtigt werden. Die GFL muss ihre Mitarbeiter und Auftragnehmer über die in dieser Richtlinie dokumentierten Grundsätze schulen.
-
Offenheit und individueller Zugang
Die GFL muss in allen ihren Beziehungen, die den Umgang mit privaten Daten betreffen, transparent sein. Diese Richtlinie muss Kunden, Mitarbeitern und anderen Eigentümern privater Daten zur Verfügung gestellt werden. Eigentümern privater Daten muss auf schriftliche Anfrage zeitnah Zugang zu ihren Informationen gewährt werden.
-
Recht auf Vergessenwerden
Eigentümern privater Daten müssen die Mittel zur Verfügung gestellt werden, ihre von der GFL gespeicherten Daten auf Anfrage zu löschen und eine Bestätigung dieser Maßnahme zu erhalten.
-
Compliance
Die GFL muss die folgenden Gesetze und Vorschriften einhalten:
• Ukrainisches Gesetz über den Schutz privater Daten;
• Kanadas Gesetz über den Schutz privater Informationen und elektronische Dokumente;
• Verordnung (EU) 2016/679 (EU-DSGVO);
• Grundsätze des US-EU Safe Harbor Frameworks.
Gemeinsam bewegen wir Berge!