FRANKLIN ELECTRIC CO., INC. DATENSCHUTZRICHTLINIE. September 2010

Transkript

1 FRANKLIN ELECTRIC CO., INC. DATENSCHUTZRICHTLINIE A. Zweck September 2010 Franklin Electric Co., Inc. und seine Tochtergesellschaften sowie verbundenen Unternehmen (zusammen das Unternehmen ) sind zum Schutz der Privatsphäre jener Personen verpflichtet, die ihnen ihre persönlichen Daten anvertrauen. Der Zweck dieser Datenschutzrichtlinie (der Richtlinie ) besteht darin, die Verpflichtung des Unternehmens zur Schaffung eines Umfelds darzustellen, in dem sich die Mitarbeiter auf die vertrauliche Behandlung ihrer persönlichen Informationen verlassen können, sowie in der Aufstellung von Standards für alle leitenden Angestellten und Mitarbeiter des Unternehmens zur Wahrung der Privatsphäre. B. Rahmen dieser Richtlinie Im Rahmen dieser Richtlinie sind Beschäftigungs- und Mitarbeiterdaten alle persönlichen Daten über identifizierte oder nicht identifizierbare Einzelpersonen, die das Unternehmen erhält. Zu den von dieser Richtlinie geschützten Personen gehören Stellenbewerber, Mitarbeiter (einschließlich Aushilfskräfte, Vollzeit- und Teilzeitmitarbeiter), freie Mitarbeiter, Praktikanten, Zeitarbeitskräfte, Pensionäre und ehemalige Mitarbeiter sowie von ihnen abhängige Personen oder andere Personen, deren persönliche Daten dem Unternehmen von den durch diese Richtlinie geschützten Personen übergeben wurden. Diese Richtlinie erstreckt sich nicht auf anonymisierte Daten, bei denen Einzelpersonen nicht oder nur mit einem unverhältnismäßig großen Zeit- oder Arbeitsaufwand identifizierbar sind bzw. auf Situationen, in denen Pseudonyme benutzt werden. Die Aussagen in dieser Richtlinie schränken den Geltungsumfang sämtlicher anderer Unternehmensrichtlinien nicht ein. C. Prinzipien und Praktiken 1. Datenschutzgrundsätze. Die folgenden Datenschutzgrundsätze gelten für alle vom Unternehmen im Rahmen von Personalangelegenheiten erfassten, verwendeten und offengelegten Daten. Diese Richtlinie bietet einen Standard für das Unternehmen im Hinblick auf den Schutz von Beschäftigungs- und Mitarbeiterdaten und sonstiger persönlicher Daten (wie nachstehend definiert) weltweit. Der Begriff Persönliche Daten bezeichnet alle Informationen, die eine Einzelperson identifizieren bzw. mit geringem Aufwand zu deren Identifizierung benutzt werden können. Verschlüsselte oder anonymisierte Daten bzw. öffentlich verfügbare Informationen gehören nicht zu den persönlichen Daten. Der Begriff Sensible persönliche Daten bezeichnet persönliche Informationen, die die

2 Hautfarbe, ethnische Abstammung, politische Auffassungen, religiöse oder philosophische Überzeugungen, Gewerkschaftsmitgliedschaften, Gesundheitszustand/Erkrankungen bzw. Sexualleben/sexuelle Orientierung offenlegen. Sensible persönliche Daten werden vom Unternehmen nicht für interne Zwecke benutzt. Vielmehr werden sensible persönliche Daten ausschließlich 1) von einem zugelassenen externen Verwalter erfasst, um eine Dienstleistung für das Unternehmen zu erbringen (d. h. zahnärztliche und ärztliche Versicherungsforderungen ) oder 2) vom Unternehmen auf anonyme Weise erfasst und zum Zweck der Übermittlung statistischer Daten an externe Organisationen verwendet. Bestimmte örtlich geltende Gesetze erfordern u. U. eine strengere Standardisierung. Daher wird das Unternehmen Daten an diesen Standorten gemäß den geltenden Gesetzen und Bestimmungen des Ortes, an dem die Daten verarbeitet werden, handhaben. (a) Mitteilung. Das Unternehmen informiert Einzelpersonen (1) über die Zwecke, für die es persönliche Daten über sie erfasst und benutzt, (2) über die Möglichkeiten zur Kontaktaufnahme mit dem Unternehmen, (3) über die Arten von Drittparteien, an die es möglicherweise persönliche Daten weiterleitet sowie (4) über Methoden, wie Einzelpersonen die Nutzung und Weiterleitung persönlicher Daten einschränken können. Das Unternehmen stellt eine derartige Mitteilung bereit, wenn Einzelpersonen erstmals gebeten werden, derartige persönliche Daten zur Verfügung zu stellen, oder sobald wie möglich danach. (b) Option zur Verweigerung der Zustimmung (Opt-out-Option). Das Unternehmen bietet Einzelpersonen die Möglichkeit, ihre Zustimmung zu verweigern oder auszuwählen, ob persönliche Daten an (a) eine Drittpartei weitergeleitet werden oder (b) zu einem anderen als zu dem Zweck benutzt werden können, für den die Daten ursprünglich erfasst oder von den Einzelpersonen nachträglich freigegeben wurden. (c) Option der ausdrücklichen Zustimmung (Opt-in-Option). Für sensible persönliche Daten gibt das Unternehmen Einzelpersonen die Möglichkeit der ausdrücklichen Zustimmung (Opt-in), um festzulegen, ob die Informationen an Drittparteien weitergegeben oder zu einem anderen als zu dem Zweck benutzt werden können, für den die Daten ursprünglich erfasst oder von den Einzelpersonen nachträglich freigegeben wurden. (d) Zugriff. Das Unternehmen stellt Einzelpersonen angemessenen Zugriff auf ihre eigenen persönlichen Daten zur Verfügung und gestattet ihnen bei begründeter Anfrage die Korrektur persönlicher Daten, wenn sie nachweisen können, dass sie falsch oder unvollständig sind. (e) Weiterleitung an Bevollmächtigte. Das Unternehmen leitet persönliche Daten nur an Bevollmächtigte weiter, wenn der Bevollmächtigte Zusicherungen abgegeben hat, dass er derartige persönliche Daten in Bezug auf den Schutz 2

3 der Privatsphäre in gleicher Weise schützen wird, wie es von dieser Richtlinie vorgeschrieben wird. Erhält das Unternehmen Kenntnis davon, dass ein Bevollmächtigter persönliche Daten auf eine Art benutzt bzw. weiterleitet, die nicht mit dieser Richtlinie übereinstimmt, wird das Unternehmen angemessene Maßnahmen zur Verhinderung derartiger Aktivitäten ergreifen. (f) Weiterleitung an Drittparteien. Das Unternehmen leitet persönliche Daten nur an nicht bevollmächtigte Drittparteianbieter weiter, wenn diese der den Einzelpersonen bereitgestellten Mitteilung entsprechen und wenn die Zustimmung dieser Einzelpersonen vorliegt. (g) Integrität der Informationen. Das Unternehmen nutzt persönliche Informationen über Einzelpersonen und leitet diese auf eine Art weiter, die im Einklang mit den Zwecken steht, zu denen die Daten erfasst und/oder von diesen Einzelpersonen freigegeben wurden. Das Unternehmen wird im notwendigen Umfang angemessene Schritte unternehmen, um sicherzustellen, dass die Daten genau und vollständig sind. (h) Sicherheit der Informationen. Das Unternehmen wird geeignete Vorsichtsmaßnahmen treffen, um persönliche Daten vor Verlust, Missbrauch und unbefugtem Zugriff, Offenlegung, Modifizierung und Vernichtung zu schützen. (i) Durchsetzung. Das Unternehmen hat Prozesse eingerichtet, um die kontinuierliche Einhaltung dieser Datenschutzgrundsätze zu überprüfen. Wir empfehlen allen dieser Richtlinie unterliegenden Einzelpersonen, Bedenken über die Art und Weise der Verarbeitung ihrer persönlichen Daten durch Kontaktaufnahme mit dem Chief Financial Officer, Corporate Counsel oder dem internen Audit Manager vorzubringen. 2. Sicherheit. Das Unternehmen verpflichtet sich, geeignete Maßnahmen zum Schutz von Beschäftigungs-/Mitarbeiterdaten zu ergreifen und trifft angemessene Vorsichtsmaßnahmen zum Schutz vor unbefugtem Zugriff oder Offenlegung. Zu diesen Maßnahmen gehören: (a) Datenschutz (Systeme). Zum Schutz vor unbefugtem Zugriff auf Beschäftigungs-/Mitarbeiterdaten und persönliche Daten durch Drittparteien und/oder Anbieter werden vom Unternehmen gespeicherte elektronische Daten auf Systemen aufbewahrt, die von einer sicheren Netzwerkarchitektur geschützt werden und die Firewalls und Intrusion-Detection-Systeme enthalten. Die diese Daten speichernden Server werden regelmäßig gesichert (d. h. die Daten werden auf separaten Datenträgern aufgezeichnet), um jeglichen unbeabsichtigten Verlust bzw. die Vernichtung von Daten zu vermeiden. Die Server sind in Betriebsstätten mit umfassenden Sicherheitseinrichtungen und Feuermelde- und Löschsystemen untergebracht. In gesicherten Systemen gespeicherte Beschäftigungs-/Mitarbeiterdaten und 3

4 persönliche Daten werden im Einklang mit dieser Richtlinie geschützt und aufbewahrt. (b) Datenschutz (Zugriff). Das Unternehmen beschränkt den Zugriff auf interne Systeme, die gespeicherte Beschäftigungs-/Mitarbeiterdaten und persönliche Daten enthalten, auf eine ausgewählte Gruppe von berechtigten Benutzern, die durch Verwendung einer spezifischen Kennung und eines Passworts Zugriff auf derartige Systeme bekommen. Der Zugriff auf diese Daten ist auf Einzelpersonen zum Zwecke der Erfüllung ihrer betrieblichen Aufgaben beschränkt. Sensible persönliche Daten mit Identifizierungsmerkmalen werden nicht für betriebliche Aufgaben verwendet. Vielmehr werden sensible persönliche Daten nur für betriebliche Aufgaben verwendet, wenn die Daten von einem Drittparteianbieter in anonymer Form bereitgestellt werden, damit kein Unternehmensmitarbeiter durch seine sensiblen persönlichen Daten identifiziert oder mit diesen in Zusammenhang gebracht werden kann. Entscheidungen bezüglich des Zugriffs werden vom Chief Financial Officer getroffen und genehmigt und von einem Sicherheitsbeauftragten zugeteilt. 3. Beschäftigungs-/Mitarbeiterrechte. Die Mitarbeiter haben das Recht, sich nach der Art der vom Unternehmen oder dem Drittpartei-Anbieter über sie gespeicherten bzw. verarbeiteten Beschäftigungs-/Mitarbeiterdaten im Einklang mit und gemäß den Gesetzen des Landes, in dem die Mitarbeiter sich befinden, zu erkundigen. Den Mitarbeitern wird der Zugriff auf ihre persönlichen Daten gewährt, wie es in ihren Wohnsitzländern gesetzlich vorgeschrieben ist, unabhängig vom Standort, an dem die Daten gespeichert oder verarbeitet werden. Das Unternehmen wird bei der Bereitstellung eines derartigen Zugriffs entweder direkt oder durch den beschäftigenden Betrieb mitwirken. Alle derartigen Zugriffsanfragen können über den Vertreter der lokalen Personalabteilung des Mitarbeiters erfolgen. Falls Beschäftigungs-/Mitarbeiterdaten falsch oder unvollständig sein sollten, kann der Mitarbeiter beantragen, dass die Daten geändert oder, falls erforderlich, gesperrt oder gelöscht werden. Örtlich geltende Gesetze, die eine Einschränkung der Nutzung persönlicher Daten von Mitarbeitern vorsehen (z. B. das Recht, Einspruch gegen Marketing zu erheben), werden ebenfalls eingehalten. 4. Beschäftigungs-/Mitarbeiterpflichten. Jeder Mitarbeiter ist dafür verantwortlich, der Personalabteilung korrekte Daten über sich zur Verfügung zu stellen und die Personalabteilung über alle Änderungen (z. B. Änderung der Wohnanschrift oder des Namens) zu informieren. Falls der Zugriff oder eine Korrektur abgelehnt wird, wird der Grund für die Ablehnung mitgeteilt und eine schriftliche Aufzeichnung der Anfrage und des Grundes für die Ablehnung erstellt. 5. Übertragung von Daten an andere zu Franklin gehörende Gesellschaften. Das Unternehmen wird angemessene Vorsichtsmaßnahmen einsetzen, um einen adäquaten Schutz für verarbeitete bzw. zwischen Unternehmenseinheiten übertragene 4

5 Beschäftigungs-/Mitarbeiterdaten und persönliche Daten sicherzustellen. Folgende Anforderungen müssen erfüllt sein, bevor eine Übertragung erfolgen kann: (a) Der Datentransfer basiert auf der operativen Geschäftsanforderung für den vorgesehenen Zweck; (b) Die Empfängereinheit stellt geeignete physische und organisatorische Sicherheit für die Daten zur Verfügung; (c) Die Empfängereinheit stellt bei der Übertragung einer darauffolgenden Verarbeitung der Daten die Einhaltung dieser Richtlinie sicher; und (d) Die Übertragung der Daten steht im Einklang mit dieser Richtlinie. 6. Weiterleitung von Daten an nicht zu Franklin gehörende Gesellschaften. Das Unternehmen darf Beschäftigungs-/Mitarbeiterdaten und persönliche Daten an ausgewählte externe Drittparteien weiterleiten, die zur Durchführung bestimmter Dienstleistungen verpflichtet wurden. Diese Drittparteien dürfen die Daten nur gemäß den Anweisungen des Unternehmens verarbeiten (Datenverarbeiter) oder als Teil der Bereitstellung ihrer Dienstleistungen Entscheidungen (z. B. für die Berechtigung zu Kranken-, Lebens, Arbeitsunfähigkeitsversicherung usw.) in Bezug auf die Daten treffen (für die Daten Verantwortliche). In beiden Fällen wählt das Unternehmen zuverlässige Anbieter aus, die sich vertraglich oder durch andere rechtsverbindliche und zulässige Mittel verpflichten, geeignete administrative, technische und überwachte Sicherheitsmaßnahmen einzusetzen, um ein adäquates Schutzniveau und die gesetzlichen Anforderungen des entsprechenden Landes sicherzustellen, in dem die Daten, die sie erhalten, ursprünglich erfasst und verarbeitet wurden. Derart ausgewählte Drittparteien erhalten ausschließlich zur Durchführung der in dem entsprechenden Leistungsvertrag aufgeführten Dienstleistungen Zugriff auf diese Daten. Wenn das Unternehmen erfährt, dass ein Anbieter nicht alle Verpflichtungen wie dargestellt einhält, wird es sofort angemessene Maßnahmen zur Behebung einer derartigen Nichteinhaltung ergreifen und erforderliche Strafmaßnahmen implementieren. Notfälle und vorgeschriebene Offenlegungen. Gelegentlich kann das Unternehmen darüber hinaus gezwungen sein, bestimmte Beschäftigungs-/Mitarbeiterdaten und persönliche Daten an andere Drittparteien von Rechts wegen (z. B. zur Abwehr eines Rechtsanspruchs) bzw. in Notfällen, wenn die Gesundheit oder Sicherheit von Personen gefährdet ist, offenzulegen. 7. Durchsetzungsrechte und -verfahren. Das Unternehmen benutzt das Selbstbewertungsverfahren, um die Einhaltung dieser Richtlinie sicherzustellen. Das Unternehmen überprüft in regelmäßigen Zeitabständen, ob die Richtlinie korrekt, für die jeweils vorgesehenen Daten umfassend, gut sichtbar angezeigt, vollständig implementiert und rechtskonform ist. (a) Verbindliche Einhaltung. Alle Mitarbeiter, Auftragnehmer und 5

6 8. Pflichten Drittparteianbieter, die Zugriff auf Beschäftigungs-/Mitarbeiterdaten und persönliche Daten haben, müssen diese Richtlinie einhalten. In einigen Ländern können Verstöße gegen Datenschutzbestimmungen zu Strafen und/oder Schadenersatzklagen seitens der Personen führen, die dadurch Nachteile erlitten haben. (b) Nichteinhaltung. Die Nichtbeachtung dieser Richtlinie oder der vorsätzliche Verstoß gegen die Geheimhaltung oder Sicherheit von Beschäftigungs- /Mitarbeiterdaten und persönlichen Daten kann zu Disziplinarmaßnahmen gegen die beteiligten und/oder verantwortlichen Personen führen. Falls eine Person zu irgendeinem Zeitpunkt der Meinung ist, dass bei der Verarbeitung von sie betreffenden persönlichen Daten gegen diese Richtlinie verstoßen wurde, kann sie ihre Bedenken dem Chief Financial Officer, Corporate Counsel, internen Audit Manager oder über die Ethics and Integrity Hotline berichten. (a) Berichterstattungspflicht. Jeder Mitarbeiter, der Kenntnis von einem Verstoß gegen diese Datenschutzrichtlinie erhält, ist dazu verpflichtet, einen derartigen Verstoß zu berichten. Eine Unterlassung der Berichterstattung kann zu Disziplinarmaßnahmen bis einschließlich der Kündigung führen. (b) Prüfungsverfahren. Zur zusätzlichen Sicherstellung der Durchsetzung dieser Richtlinie richtet die Innenrevision des Unternehmens Verfahren und Audits zur Einhaltung dieser Richtlinie ein. (c) Legitimer Zweck. Alle Beschäftigungs-/Mitarbeiterdaten und persönlichen Daten werden auf faire und rechtmäßige Weise verarbeitet. Sie werden zu den angegebenen, legitimen Zwecken erfasst und nicht auf andere Weise weiterverarbeitet, die mit diesen Zwecken unvereinbar sind. (d) Nachrangigkeit bestehender Richtlinien. Ab Datum der Implementierung dieser Richtlinie werden alle innerhalb der Gruppe bestehenden Vereinbarungen, die die entsprechenden Datenschutzleitlinien oder -praktiken des Unternehmens in Zusammenhang mit der Verarbeitung von Beschäftigungs-/Mitarbeiterdaten und persönlichen Daten behandeln, von den Bedingungen dieser Richtlinie ersetzt und entsprechend geändert. 9. Datenschutzbehörden. Mitarbeiter, die Anforderungen und/oder Anfragen von Datenschutzbehörden über diese Richtlinie oder die Einhaltung der maßgeblichen Datenschutzgesetze erhalten, sollten sich mit dem Chief Financial Officer oder Corporate Counsel in Verbindung setzen, um sicherzustellen, dass das Unternehmen zügig und angemessen auf die Anforderung reagiert. 10. Kontaktaufnahme. Jegliche Fragen bzw. Bedenken im Zusammenhang mit der Nutzung 6

7 oder Offenlegung von Beschäftigungs-/Mitarbeiterdaten oder persönlichen Daten sollten an den Chief Financial Officer, Corporate Counsel, internen Audit Manager oder an die Ethics and Integrity Hotline des Unternehmens gerichtet werden. 11. Europäische Datenschutzrichtlinie. Zusätzlich zu den in dieser Richtlinie angegebenen oder anderweitig bestehenden Rechten und Pflichten werden diese in Anbetracht der Richtlinie 95/46/EG ( Europäische Datenschutzrichtlinie ) auf Beschäftigungs-/ Mitarbeiterdaten angewendet, die vom Unternehmen in der Europäischen Union/im Europäischen Wirtschaftsraum erfasst und an anderen Orten verarbeitet werden. In Rechtsordnungen, in denen diese Richtlinie gilt, finden die in dieser Richtlinie erwähnten Durchsetzungsrechte und -mechanismen ebenfalls Anwendung. Diese Richtlinie gewährt den Mitarbeitern weder zusätzliche Rechte noch begründet sie für das Unternehmen weitere Pflichten, die über die gemäß der Europäischen Datenschutzrichtlinie zu erfüllenden Pflichten hinausgehen. 7

8 FRANKLIN ELECTRIC CO., INC. EINVERSTÄNDNIS MIT DER DATENSCHUTZRICHTLINIE Ich habe die mit September 2010 datierte Datenschutzrichtlinie des Unternehmens erhalten, gelesen und verstanden und stimme der vollständigen Einhaltung sämtlicher darin enthaltenen Aspekte zu. Mit Ausnahme des Nachfolgenden habe ich an keiner Handlung teilgenommen bzw. werde an keiner Handlung teilnehmen, die entsprechend dieser Datenschutzrichtlinie verboten ist oder zu deren Nichteinhaltung führen könnte. (Falls keine, Keine angeben) Sollten mir irgendwelche Informationen oder Handlungen bekannt werden, welche die oben angegebenen Ausnahmen ändern, werde ich unverzüglich den Chief Financial Officer oder den internen Audit Manager schriftlich oder über die Ethics and Integrity Hotline informieren. Ich willige ein, sämtliche Einzelheiten, die er oder sie vernünftigerweise anfordert, beizubringen. Unterschrieben am Tag des Monats Unterschrift: Name in Druckbuchstaben: Titel: Ort: 8