Bescherming van privacy en persoonsgegevens
Michelin is ervan overtuigd dat de bescherming van persoonsgegevens essentieel is voor het vertrouwen in de relaties met stakeholders. De Groep verbindt zich ertoe alleen gegevens te verzamelen en verwerken die noodzakelijk zijn voor haar activiteiten.
Definitie en context
Persoonsgegevens zijn gegevens waarmee een fysiek persoon direct of indirect kan worden geïdentificeerd.
Hieronder vallen, onder andere:
- voor het rechtstreeks identificeren van een persoon: een foto of informatie over de burgerlijke staat van de persoon (achternaam, voornaam, enz.);
- voor indirecte identificatie: een uniek identificatienummer (kentekenplaat, Michelin-ID, mobiel telefoonnummer) of een combinatie van gegevens (geslacht, leeftijd, beroep, woonplaats, enz.).
Deze persoonsgegevens moeten worden beschermd.
Het aantal voorschriften ter bescherming van de privacy en persoonsgegevens is de afgelopen jaren wereldwijd sterk toegenomen. In veel landen kan de niet-naleving van deze voorschriften tegenwoordig worden bestraft met aanzienlijke financiële sancties (die vaak in de pers bekend worden gemaakt), en zelfs met strafrechtelijke sancties.
Basisprincipes
De persoonsgegevens van medewerkers, klanten, leveranciers, aandeelhouders, partners en toeleveranciers dienen te worden verwerkt in overeenstemming met de wet- en regelgeving en de toepasselijke voorschriften van de Groep ten aanzien van de bescherming van persoonsgegevens.
De Groep belooft alleen gegevens te verzamelen en te verwerken die noodzakelijk zijn voor haar activiteiten.
Persoonsgegevens mogen nooit worden medegedeeld aan derden, tenzij dit noodzakelijk en wettelijk toegestaan is.
Michelin is er daarnaast van overtuigd dat de bescherming van persoonsgegevens een belangrijk concurrentievoordeel is en essentieel is voor het vertrouwen in de relaties met alle stakeholders.
De bescherming van persoonsgegevens kan alleen worden gewaarborgd als iedereen daarbij helpt.
Do's
- Alleen persoonsgegevens verzamelen en verwerken die noodzakelijk zijn voor het beoogde doel. Verzekeren dat dit doel legitiem en duidelijk omschreven is.
- Waarborgen dat het verzamelen en gebruiken van persoonsgegevens in overeenstemming is met de informatie die aan de betrokkenen is verstrekt; als het noodzakelijk is, moet u de betrokkene om toestemming vragen voor het verzamelen en gebruiken van zijn/haar gegevens.
- In vrije tekstvelden alleen relevante, passende en niet-overbodige opmerkingen invullen; vraag uzelf af of u zich er gemakkelijk bij zou voelen om deze opmerking mee te delen aan de betrokkene.
- Onjuiste en onvolledige gegevens vernietigen of corrigeren, en de rechten van betrokkenen ten aanzien van hun gegevens respecteren.
- Persoonsgegevens alleen verstrekken aan bevoegde interne ontvangers, die een rechtmatige behoefte hebben om er kennis van te nemen.
- Persoonsgegevens alleen aan externe partijen overdragen als dat wettelijk verplicht is, of aan ondernemingen die een overeenkomst met de Groep hebben gesloten.
- Alle verbintenissen die binnen de Groep van toepassing zijn voor toegang tot gegevens afkomstig uit andere landen of internationale overdrachten lezen en naleven; deze documenten zijn te raadplegen op het intranet (bijvoorbeeld de bindende bedrijfsregels, 'BCR').
- De veiligheid en vertrouwelijkheid van persoonsgegevens waarborgen. Bijvoorbeeld door de veiligheidsregels van de Groep te respecteren bij overdrachten van gegevensbestandenversleuteling van persoonsgegevensbestanden).
- Informeer het Michelin CERT (Computer Emergency Response Team - team dat verantwoordelijk is voor het beheer van IT-veiligheidsincidenten) conform de toepasselijke procedure over datalekken (verlies van gegevens, toegang door onbevoegden, niet-toegestane publicatie, enz.).
- Regelmatig een training volgen als u in het kader van uw functie met persoonsgegevens te maken hebt. U moet bekend zijn met het kader dat van toepassing is op uw activiteiten.
Don'ts
- Persoonsgegevens verzamelen zonder dat de betrokkene hiervan op de hoogte is.
- Zogenaamde 'gevoelige' gegevens verzamelen (over gezondheid, seksuele voorkeur, politieke opvattingen, religieuze overtuigingen, ras of etnische afkomst) zonder toestemming van de persoon; dit is alleen toegestaan als de wet het voorschrijft.
- Toegang tot persoonsgegevens verlenen aan iemand in een ander land zonder dat u de juridische afdeling hebt geraadpleegd.
- Persoonsgegevens langer bewaren dan noodzakelijk is voor het beoogde doel.
Praktijksituatie 1
U bent medewerker in een verkoopteam en wilt graag een hechte band met uw klanten opbouwen. U wilt wat informatie over hun privéleven invoeren in het programma voor klantrelatiebeheer van de Groep. Zo kan uw vervanger deze gegevens raadplegen wanneer u afwezig bent. Is deze praktijk toegestaan?
Nee. U mag alleen feitelijke en zakelijke informatie verzamelen. Daarnaast is het streng verboden om bepaalde gevoelige informatie (over gezondheid, religie enz.) te verzamelen. Onthoud dat uw klant kan vragen om toegang tot zijn persoonsgegevens.
Praktijksituatie 2
Een collega van u heeft een arbeidsongeval gehad. U wilt alle industriële vestigingen op de hoogte stellen. U verstuurt de volgende informatie: Ronan A., toezichthouder, vestiging van Vannes, aangevuld met de details van het letsel en de omstandigheden van het ongeval. U vermeldt alleen de voornaam van uw collega. Is dit in overeenstemming met de regelgeving?
U moet u het volgende afvragen:
- 1. Dient dit een legitiem doel?
- Ja. Deze mededeling heeft als doel de veiligheid van werknemers te verbeteren.
- 2. Is het noodzakelijk om al deze informatie te verstrekken?
- Nee. De vestiging, de functie en de voornaam hebben geen toegevoegde waarde in de mededeling over het ongeval.
- Als u persoonsgegevens wilt anonimiseren, dient u zich altijd afvragen: is het mogelijk deze persoon te identificeren aan de hand van de verstrekte informatie? Door de locatie, de functie en de voornaam te vermelden, geeft u in dit geval voldoende informatie om de persoon te identificeren.
