Datenschutz
Michelin ist davon überzeugt, dass der Schutz personenbezogener Daten eine vertrauensvolle Beziehung zu seinen Stakeholdern fördert. Daher verpflichtet sich die Gruppe, nur die für ihre Tätigkeiten notwendigen Daten zu erheben und zu verarbeiten.
Begriffsklärungen und Hintergrund
Personenbezogene Daten sind Informationen, die es erlauben, eine natürliche Person direkt oder indirekt zu identifizieren.
Dies sind also beispielsweise Daten
- zur direkten Identifizierung einer Person wie ein Foto oder Angaben zum Personenstand (Vorname, Nachname...),
- zur indirekten Identifizierung einer Person wie eine einmalig vergebene Nummer (Nummernschild, Michelin ID, Handynummer) oder eine Kombination aus verschiedenen Angaben (Geschlecht, Alter, Beruf, Wohnort usw.).
Solche personenbezogene Daten müssen geschützt werden.
In den letzten Jahren ist die Anzahl der Regelungen zum Schutz der Privatsphäre und personenbezogener Daten weltweit stark angestiegen. In vielen Ländern ist bei einem Verstoß gegen diese Regelungen nunmehr mit empfindlichen Bußgeldern oder gar einer strafrechtlichen Verfolgung zu rechnen. Häufig wird auch in den Medien über die verhängten Strafen berichtet.
Leitsätze
Die personenbezogenen Daten der Mitarbeiter, Kunden, Lieferanten, Aktionäre, Partner oder Subunternehmen müssen gemäß geltender Gesetze und Regelungen sowie den Richtlinien der Gruppe zum Schutz personenbezogener Daten verarbeitet werden.
Daher verpflichtet sich die Gruppe, nur die für ihre Tätigkeiten notwendigen Daten zu erheben und zu verarbeiten.
Personenbezogene Daten dürfen nicht an Dritte weitergegeben werden, es sei denn, dies ist notwendig und gesetzlich zulässig.
Michelin ist darüber hinaus davon überzeugt, dass Datenschutz einen wichtigen Wettbewerbsvorteil darstellt und eine vertrauensvolle Beziehung zu sämtlichen Stakeholdern fördert.
Der Schutz personenbezogener Daten gelingt nur, wenn alle hierzu beitragen..
Do's:
- Erheben oder bearbeiten Sie nur personenbezogene Daten, die für das angestrebte Ziel notwendig sind. Stellen Sie dabei sicher, dass dieses Ziel rechtmäßig und klar definiert ist.
- Vergewissern Sie sich, dass die Erhebung und Nutzung der personenbezogenen Daten den Informationen entspricht, die den betreffenden Personen übermittelt wurden. Sofern erforderlich, holen Sie das Einverständnis der Person ein, bevor Sie deren Daten erheben und nutzen.
- Geben Sie nur in den dafür vorgesehenen Freitextfeldern relevante, für den jeweiligen Zweck angemessene Kommentare ein. Stellen Sie sich dabei stets die Frage, ob es Ihnen unangenehm wäre, der Person die Bemerkung im direkten Gespräch mitzuteilen.
- Löschen Sie fehlerhafte oder unvollständige Daten und achten Sie die Rechte der Personen an ihren Daten.
- Übermitteln Sie personenbezogene Daten nur intern und nur an befugte Empfänger, die ein legitimes Interesse an ihnen haben.
- Übermitteln Sie personenbezogene Daten nur an externe Stellen, wenn Sie gesetzlich dazu verpflichtet sind oder es sich um Unternehmen handelt, mit denen die Gruppe eine Vereinbarung geschlossen hat.
- Lesen und beachten Sie sämtliche innerhalb der Gruppe geltenden Verpflichtungen im Hinblick auf einen zulässigen Zugriff auf Daten aus anderen Ländern oder international übermittelten Daten. Die entsprechenden Unterlagen sind im Intranet abrufbar, z.B. die als unternehmensinterne Regeln (BCR - Binding Corporate Rules) bezeichneten verbindlichen internen Datenschutzvorschriften.
- Stellen Sie die Sicherheit und Vertraulichkeit personenbezogener Daten sicher, beispielsweise indem Sie die Sicherheitsvorschriften der Gruppe bei ihrer Übermittlung einhalten (also beispielsweise indem Sie die Datei verschlüsseln).
- Informieren Sie das Computer Emergency Response Team (CERT) von Michelin oder den lokalen Datenschutzbeauftragten von Michelin im Falle von IT-Sicherheitsvorfällen gemäß dem bei einer Verletzung der Datensicherheit (Datenverlust, unbefugter Zugriff, ungenehmigte Veröffentlichung usw.) anwendbaren Verfahren.
- Besuchen Sie regelmäßig Weiterbildungen, wenn Ihre Tätigkeit einen Umgang mit personenbezogenen Daten erfordert. Sie müssen den geltenden Rahmen für Ihre Tätigkeit kennen.
Don'ts:
- Erheben Sie keine personenbezogenen Daten, ohne dass die betroffene Person davon weiß.
- Erheben Sie keine sogenannten sensiblen Daten (zum Gesundheitszustand, der sexuellen Orientierung, politischen Einstellungen oder religiösen Überzeugungen, der rassischen oder ethnischen Herkunft), ohne das Einverständnis der betreffenden Person oder nur, sofern das Gesetz dies vorschreibt.
- Lassen Sie keine Person in einem anderen Land auf personenbezogene Daten zugreifen, ohne vorher die Rechtsabteilung konsultiert zu haben.
- Speichern Sie personenbezogene Daten nicht länger als dies für die Erfüllung des Zwecks notwendig ist, für den sie ursprünglich erhoben und gespeichert wurden.
Beispiel 1
Sie sind Teil eines Vertriebsteams und möchten eine enge Kundenbeziehung mit Ihren Kunden aufbauen. Hierzu möchten Sie ein paar Details aus dem Privatleben im CRM-Tool der Gruppe erfassen. So hätte auch Ihre Vertretung Zugriff auf diese Informationen, wenn Sie einmal abwesend sind. Ist das erlaubt?
Nein. Sie dürfen ausschließlich faktenbasierte Informationen im Zusammenhang mit dem beruflichen Umfeld erheben. Zudem ist die Erfassung bestimmter sensibler Daten (Gesundheitszustand, Religion...) streng verboten. Vergessen Sie nicht, dass Ihr Kunde Einblick in seine personenbezogenen Daten verlangen kann.
Beispiel 2
Ein Kollege hatte einen Arbeitsunfall. Sie möchten allen Produktionsstandorten vom Vorfall berichten und übermitteln folgende Informationen: Ronan A., Ausbilder am Standort Vannes, Details zu seinen Verletzungen und zu den Umständen des Unfalls. Haben Sie sich regelkonform verhalten, da Sie nur den Vornamen des Kollegen genannt haben?
Hierzu müssen Sie sich folgende Fragen stellen:
- 1. Verfolgen Sie ein legitimes Ziel?
- Ja. Sie möchten die Sicherheit der Mitarbeiter durch Ihren Erfahrungsbericht verbessern.
- 2. Ist es unerlässlich, all diese Informationen zu übermitteln?
- Nein. Der Standort, die Stelle des Mitarbeiters und sein Vorname sind nicht notwendig, um über den Unfall zu berichten.
- Um personenbezogene Daten zu anonymisieren, müssen Sie sich darüber hinaus auch immer fragen, ob es möglich ist, die Person anhand der übermittelten Daten zu identifizieren. In diesem Fall würden der Standort, die Stelle des Mitarbeiters und sein Vorname ausreichen, um die Person zu identifizieren.