保护隐私和个人数据
米其林相信,为激发米其林与利益相关方之间信任关系,个人数据的保护十分关键。集团承诺仅搜集和处理对其活动有必要性的数据。
定义和背景
个人数据:指直接或间接辨识自然人身份的信息。
例如,其中包括:
- 直接辨识身份的信息:关于个人公民身份(姓氏、名字等)的照片或信息。
- 间接辨识身份的信息:唯一身份编号(汽车牌照、米其林身份标识符、手机号码等)或者综合信息(性别、年龄、职业、居住城市等)。
所有这些个人信息必须得到保护。
近年来,全球保护隐私权和个人数据的法规急剧增加。在许多国家,现在如果没有遵守相关法规,可能面临非常严厉的财务制裁(时常有新闻报导),甚至刑事制裁。
指导原则
对员工、客户、供应商、股东、合作伙伴或分包商个人数据的处理,必须遵守有关个人数据保护的法律法规和相关集团指引。
集团承诺仅搜集和处理对其活动有必要性的数据。
除非有必要并且法律准许,否则不得向第三方传递任何个人数据。
另外,米其林还认为,数据保护是一个主要的竞争性资产,是与所有利益相关方建立信任关系的媒介。
只有在每个人的互助下才能确保个人数据获得保护。
允许的行为:我必须
- 仅搜集和处理为达成既定目标所必需的个人数据,并且确保该目标合法且定义明确。
- 确保个人数据的搜集和使用符合提供给相关人员的信息;如有要求,要确保取得相关人员的数据搜集和使用同意书。
- 在自由评论字段,只填写相关的、适度的、不过分的评论; 问问自己,我是否愿意与被评论者分享此评论。
- 销毁或纠正不准确或不完整的数据,尊重个人的数据权利。
- 仅将个人数据发送给那些有合法需求并且经过授权的内部接收人员。
- 只有在履行法定义务时,才可将个人数据向外发送,或者只将个人数据发送给那些与集团签署协议的公司。
- 在授权访问其他国家数据或国际传递数据时,阅读并遵守集团内部的全部承诺条款,该等文档可在
内网访问(例如,公司的约束性规则(BCR))。
- 确保个人数据的安全和保密(例如,在发送资料时,遵守集团有关档案加密的安全规定)。
- 当发生数据泄露时(数据遗失、未经授权的访问、未经授权的出版物等),根据相关规定,立即通知米其林计算机应急响应团队(CERT - 负责管理IT安全事件)。
- 如果我的职务需要处置个人数据,我要参加定期培训。了解适用于我的活动框架。
禁止行为:我不得
- 不得在数据主体不知情的情况下,收集个人数据。
- 不得在未经相关人员同意的情况下,收集“敏感”数据(健康状况、性取向、政治观点、宗教信仰、人种或种族出身),或者仅可在法律要求的情况下收集。
- 不得在未经咨询法务部的情况下,向位于其他国家的人员授予个人数据访问权限。
- 保留个人数据的时限不得超出为达成相关目的所需的时限。
实际案例1
您是销售团队的一员,您想要与您的客户建立密切关系。您想要在集团的客户关系管理工具里,输入一些有关客户私人生活的详细数据。这样,当您不在时,您的接替者就能访问这些信息。这种做法是否允许?
不允许。您只能搜集与职业领域有关的事实性信息。另外,严禁收集某些敏感信息(健康状况、宗教信仰等)。记住:您的客户可以请求访问他们自己的个人数据。
实际案例2
一名同事在工作期间遭遇意外。您希望向所有的工厂提供反馈。您提供了以下信息:Ronan A.,监督员,瓦讷工厂,另外还提供了他的详细意外情形和事故背景。您只提及了该同事的名字,这是否符合相关规定?
您应当问自己以下几个问题。
- 所期望的目标是否合法?
是。这样做是为了通过反馈,保障员工的安全。
- 分享所有这些信息是否十分必要?
否。就事故报告而言,工作地点、职位、姓名是无用信息。
为使个人数据匿名,您必须总是问自己:凭借我所提供的信息,我能否确认该人的身份?在本案中,在提供
名字、职务以及提及工作地点信息的过程中,您提供的信息足够确认该员工的身份。
