Ochrona prywatności i danych osobowych
Michelin jest przekonany, że ochrona danych osobowych ma kluczowe znaczenie dla wzbudzania zaufania w relacjach z wszystkimi interesariuszami. Grupa zobowiązuje się do gromadzenia i przetwarzania tylko tych danych, które są niezbędne do jej działalności.
Definicja i kontekst
Dane osobowe to informacje, które bezpośrednio lub pośrednio identyfikują osobę fizyczną.
Informacje te obejmują, przykładowo:
- dane służące bezpośredniej identyfikacji osoby, zdjęcie lub informacje dotyczące stanu cywilnego osoby (nazwisko, imię itp.).
- dane do identyfikacji pośredniej: indywidualny numer identyfikacyjny (nr rejestracyjny, nr identyfikatora Michelin, numer telefonu komórkowego) lub kombinacja danych (płeć, wiek, zawód, miasto zamieszkania itp.).
Wszystkie te informacje te muszą być chronione.
W ostatnich latach na całym świecie gwałtownie wzrosła liczba przepisów mających na celu ochronę prywatności i danych osobowych. W wielu krajach nieprzestrzeganie tych przepisów jest obecnie zagrożone wysokimi sankcjami finansowymi (często opisywanymi w prasie), a nawet sankcjami karnymi.
Zasady przewodnie
Dane osobowe pracowników, klientów, dostawców, udziałowców, partnerów lub podwykonawców muszą być przetwarzane zgodnie z przepisami ustawowymi i wykonawczymi, jak również z obowiązującymi dyrektywami Grupy dotyczącymi ochrony danych osobowych.
Grupa zobowiązuje się do gromadzenia i przetwarzania tylko tych danych, które są niezbędne do jej działalności.
Żadne dane osobowe nie powinny być przekazywane osobom trzecim, chyba że jest to konieczne i dozwolone przez prawo.
Michelin wierzy, że ochrona danych jest istotnym atutem konkurencyjnym i czynnikiem zaufania w relacjach ze wszystkimi zainteresowanymi stronami.
Ochrona danych osobowych może być zapewniona tylko z zaangażowaniem wszystkich.
Właściwe praktyki: Muszę
- Zbierać i przetwarzać tylko te dane osobowe, które są niezbędne do osiągnięcia zamierzonego celu, oraz upewnić się, że cel ten jest zgodny z prawem i jasno określony.
- Upewnić się, że gromadzenie i wykorzystywanie danych osobowych jest zgodne z informacjami przekazanymi zainteresowanym osobom; jeśli jest to wymagane, upewniam się, że uzyskałem zgodę danej osoby na gromadzenie i wykorzystywanie danych.
- W polach wolnych komentarzy wpisywać tylko te informacje, które są istotne, adekwatne i nie są nadmierne; muszę zadać sobie pytanie, czy czułbym się komfortowo dzieląc się tym komentarzem z osobą, której on dotyczy.
- Usuwać lub poprawiać dane niedokładne lub niekompletne oraz szanować prawa osób fizycznych do ich danych.
- Przekazywać dane osobowe tylko do upoważnionych odbiorców wewnętrznych, którzy mają uzasadnioną potrzebę poznania tych danych.
- Przekazywać dane osobowe na zewnątrz tylko w przypadku obowiązku prawnego lub do firm, które zawarły umowę z Grupą.
- Zapoznać się i przestrzegać wszystkich zobowiązań obowiązujących w Grupie w przypadku autoryzowanego dostępu do danych z innych krajów lub transferów międzynarodowych, w przypadku gdy dokumenty te są dostępne w intranecie (np. wiążące zasady dla firmy (BCR)).
- Zapewnić bezpieczeństwo i poufność danych osobowych (np. w przypadku przesyłania dokumentów, przestrzegając obowiązujących w Grupie zasad bezpieczeństwa dotyczących szyfrowania plików);
- Poinformować zespół CERT Michelin (Computer Emergency Response Team - zespół odpowiedzialny za zarządzanie incydentami bezpieczeństwa informatycznego) zgodnie z procedurą obowiązującą w przypadku naruszenia danych (utrata danych, nieuprawniony dostęp, nieuprawniona publikacja itp.)
- Uczestniczyć w regularnych szkoleniach, jeśli pełnione przeze mnie funkcje wymagają przetwarzania danych osobowych. Muszę znać zasady ramowe mające zastosowanie do mojej działalności.
Niewłaściwe praktyki: Nie wolno mi
- Gromadzić danych osobowych bez wiedzy osoby, której dane dotyczą.
- Gromadzić tzw. informacji „wrażliwych” (na temat stanu zdrowia, preferencji seksualnych, poglądów politycznych, przekonań religijnych, pochodzenia rasowego lub etnicznego) bez zgody danej osoby lub tylko wtedy, gdy wymaga tego prawo.
- Udostępniać danych osobowych osobie znajdującej się w innym kraju, bez uprzedniej konsultacji z Działem Prawnym.
- Przechowywać dane osobowe dłużej niż jest to konieczne do osiągnięcia zamierzonego celu.
Praktyczny przypadek nr 1
Należysz do zespołu sprzedaży i chciałbyś nawiązać bliskie relacje z klientami. Chciałbyś wprowadzić do narzędzia do zarządzania relacjami z klientami Grupy pewne szczegóły związane z ich życiem prywatnym. W ten sposób osoba, która Cię zastąpi, będzie miała dostęp do tych informacji podczas Twojej nieobecności. Czy taka praktyka jest dozwolona?
Nie. Możesz gromadzić tylko informacje merytoryczne związane ze sferą zawodową. Ponadto, zbieranie niektórych informacji wrażliwych (np. dotyczących stanu zdrowia, religii itp.) jest surowo zabronione. Pamiętaj, że klient może zażądać prawa dostępu do treści swoich danych osobowych.
Praktyczny przypadek nr 2
Twój współpracownik miał wypadek przy pracy. Chcesz przekazać informację zwrotną do wszystkich zakładów przemysłowych. Podajesz następujące informacje: Ronan A., Dyżurny, zakład Vannes, jak również szczegóły dotyczące jego obrażeń i kontekstu wypadku. Wymieniasz tylko imię swojego kolegi – czy postępujesz zgodnie z przepisami?
Musisz zadać sobie następujące pytania.
1. Czy realizujesz uzasadniony cel?
Tak. Chodzi o to, aby dzięki tej informacji zwrotnej poprawić bezpieczeństwo pracowników.
2. Czy istotne jest przekazanie tych wszystkich informacji?
Nie. Miejsce, stanowisko czy imię nie są przydatne w kontekście zgłaszania tego wypadku.
W celu „anonimizacji” danych osobowych należy zawsze zadać sobie pytanie: czy mogę zidentyfikować tę osobę na podstawie podanych informacji? W tym przypadku, podając imię i nazwisko, funkcję i nazwę zakładu przemysłowego, podajesz wystarczająco dużo informacji, aby można było zidentyfikować daną osobę.