保护隐私和个人数据
米其林相信,为激发米其林与利益相关方之间信任关系,个人数据的保护十分关键。集团公司承诺仅收集和处理对其活动有必要性的数据。
定义和背景
个人数据:指直接或间接辨识自然人身份的信息。
例如,其中包括:
- 直接辨识身份的信息:关于个人民事状态(姓氏、名字等)的照片或信息。
- 直接辨识身份的信息:唯一身份编号(汽车牌照、米其林身份标识符号、手机号码等)或者综合信息(性别、年龄、职业、居住城市等)。
所有这些个人信息必须得到保护。
近年来,全球保护隐私权和个人数据的法规急剧增加。在许多国家,现在如果没有遵守相关法规,可能面临非常严厉的财务制裁(往往有新闻报道),甚至刑事制裁。
指导原则
对员工、客户、供应商、股东、合作伙伴或分包商个人数据的处理,必须遵守有关个人数据保护的法律法规和相关集团指引。
集团公司承诺仅收集和处理对其活动有必要性的数据。
除非有必要并且经过法律准许,否则不得向第三方传递任何个人数据。
另外,米其林还认为,数据保护是一个主要的竞争性资产,是与所有利益相关方建立信任关系的媒介。
只有在每个人的帮助下,个人数据的保护才有保证。
允许的行为:我必须
- 仅收集和处置对我的目标有必要性的个人数据,并且确保该目标是合法和清晰定义的目标。
- 确保个人数据的收集和使用符合提供给相关人员的信息;如有要求,我要确保取得相关人员的数据收集和使用同意书。
- 在自由评价字段,仅填写相关的、适度的、不过分的评论;自问:如果我把这条评论分享给数据主体,我是否会感觉自在。
- 销毁或纠正不准确或不完整的数据,尊重个人的数据权利。
- 仅将个人数据传递给那些有合法需求并且经过授权的内部接收人员。
- 只有在履行法定义务时,才会将个人数据向外传递,或者只将个人数据对外传递给那些与集团公司签署协议的公司。
- 在授权访问其他国家数据或国际传递数据时,阅读并遵守集团公司内部的全部承诺条款,该等文档可在内网访问(例如,公司的约束性规则)。
- 确保个人数据的安全和保密(例如,在传递数据时,遵守集团公司有关文件加密的安全规则);
- 当发生数据泄漏时(数据丢失、未经授权的访问、未经授权的公开等),根据相关规程,通知米其林电脑应急响应团队(CERT——负责管理IT安全事件)。
- 如果我的职务需要处置个人数据,我要参加定期培训。知道我的工作活动框架。
禁止行为:我不得
- 不得在数据主体不知情的情况下,收集个人数据。
- 不得在未经相关人员同意的情况下,收集“敏感”数据(健康状况、性取向、政治观点、宗教信仰、人种或种族出身),或者仅可在法律要求的情况下收集。
- 不得在未经咨询法务部的情况下,向位于其他国家的人员授予个人数据访问权限。
- 保留个人数据的时限不得超出为达成相关目的所需的时限。
实际案例1
您是销售团队的一员,您想要与您的客户建立密切关系。您想要在集团公司的客户关系管理工具里,输入一些有关客户私人生活的详细数据。这样,当您不在时,您的接替者就能访问这些信息。这种做法是否允许?
不允许。您只能收集与职业圈有关的事实性信息。另外,严禁收集某些敏感信息(健康状况、宗教信仰等)。记住:您的客户可以请求访问客户的个人数据。
实际案例2
一名同事在工作期间遭遇意外。您希望向所有工业站点提供反馈。您提供了以下信息:洛南·A,监督员,瓦讷站,另外还提供了他的详细伤情和事故背景。您只提及了该同事的名字,这是否符合相关规定?
您应当问自己以下几个问题。
- 1. 您追求的是否是合法目标?
- 是。这样做是为了通过反馈,提高员工的安全。
- 2. 传递所有这些信息是否十分必要?
- 否。就事故报告而言,站点、职位、姓氏是无用信息。
- 为使个人数据匿名,您必须总是问自己:凭借我所提供的信息,我能否确认该人的身份?在本案中,在提供名字、职务以及提及工业站点信息的过程中,您提供的信息足够确认该人的身份。