Adatvédelmi politika

Adatvédelem

A Platform Specialty Products Corporation vállalatcsoport adatkezelési és adatvédelmi szabályzata

  • Bevezetés
  • Cél
  • Hatáskör
  • Az adatkezelés általános alapelvei
  • A személyes adatok
  • Az adatalany jogai
  • Eljárási szabályok
  • Definíciók

Globális üzleti folyamataink támogatása érdekében létfontosságú, hogy a Platform vállalatcsoport tagja a szükséges adatok és információk birtokában legyenek. A vállalatcsoport nemzetközi jelenléte szükségessé teszi, hogy különböző országok és régiók jogi előírásainak feleljen meg, ezzel egyidőben ügyfeleink és munkatársaink adatainak védelme ugyanúgy fontos szempont. A személyes adatok országhatárokon túli továbbítása csak azok megfelelő védelme esetén engedhető meg, vagy amennyiben a cég adatokat feldolgozó egysége megfelelő garanciát tud adni, hogy az érintett személyek adatai biztonságban vannak. Ezen vállalati adatkezelési és adatvédelmi irányelv azt hivatott biztosítani, hogy a vállalatcsoport minden tagja megfelel ezeknek az követelményeknek.

1.Bevezetés

Egy innovatív globális vállalat számára, mint a Platform vállalatcsoport, az információ megszerzése és megfelelő használata óriási jelentőségű a vállalat céljainak elérése érdekében az üzleti élet minden területén. A mai kommunikációs csatornák, például az internet, az intranetek, vagy az email létfontosságúak az információ elérésében és cseréjében. Mindezek lehetővé teszik a vállalatcsoport számára, hogy gyorsabban és hatékonyabban tervezzen meg és hozzon meg üzleti döntéseket. Ezzel együtt az információs technológia fejlődése a korábbinál nagyobb kockázatokat rejt magában, amelyeket egy Platform-hoz hasonló etikus vállalatnak figyelembe kell venni. Az információs technológia nem megfelelő vagy hibás használata például sérthet személyes jogokat. A vállalatcsoport törekszik arra, hogy megvédje minden személy általa kezelt személyes adatait, legyen szó alkalmazottakról, vásárlókról, beszállítókról vagy egyéb szerződéses partnerről, az adatok gyűjtésének módjától függetlenül. Ebben az összefüggésben a Platform vállalatcsoport elkészítette a következő, adatkezelésre és adatvédelemre vonatkozó vállalati irányelvet, amely a Platform 1vállalatcsoport minden tagjára kötelező érvényű.

2.Cél

Ezen vállalati irányelv céljául tűzi ki a személyes adatok feldolgozására, tárolására, és vállalatcsoporton belüli továbbítására vonatkozó szabványok meghatározását, hogy ezzel biztosítsa az érintett jogalanyok személyes jogainak megfelelő védelmét. Az ezen irányelvnek való megfelelés a vállalatcsoporton belüli szabad információcsere feltétele.

3.Hatáskör

Ezen vállalati irányelv minden adatkezelési és adatvédelmi kérdésre vonatkozik. A vállalatcsoporton belül feldolgozott akármilyen személyes adatra vonatkozik annak eredetétől függetlenül, legyen szó alkalmazottakról, vásárlókról, beszállítókról vagy egyéb szerződéses partnerekről. Az irányelvben lefektetett adatkezelési és adatvédelmi sztenderdek a vállalatcsoport minden tagjára kötelező érvényűek. Az adott államok és területek szabályozása, amelyekben az adatok gyűjtése vagy feldolgozása történik, elsőbbséget élvez ezen irányelvvel szemben. Ennek megfelelően az adatok minden címzettjének kötelessége ellenőrizni, hogy a munkakörére vonatkoznak-e ezen előírások, és amennyiben igen, megfelelni nekik. Amennyiben viszont az adott országok adatvédelmi szabályozása kevésbé szigorú ezen irányelvnél, ezen irányelv élvez elsőbbséget. Bizonyos országban az adatvédelmi hatóságok igénylik, hogy értesítsék őket, mielőtt a személyes adatok részlegesen vagy teljesen automatizált feldolgozása megtörténik. A Platform vállalatcsoport minden tagjának kötelessége az adott országok értesítési kötelezettségeinek megfeleljen. A személyes adatok kormányszerveknek és kormányügynökségek való továbbítása csak az adott ország törvényeinek megfelelően történhet. Amennyiben egy vállalati egységnek alapos oka van feltételezni, hogy egy alkalmazandó jogi szabályozás megakadályozza a kötelező cégen belüli szabályozások betartását, és hátrányosan érintené az ebben vállalt garanciákat, kötelessége azonnal értesíteni a vállalatcsoport jogi osztályát, kivéve, ha az adott állam bűnüldözési szervei ezt megtiltják.

4.A személyes adatok feldolgozásának általános elvei

4.1. Az adatfeldolgozás megengedhetősége A személyes adatok feldolgozására csak azon esetben kerülhet sor, amennyiben az adatalany ehhez hozzájárult, vagy az adatkezelés helyére vonatkozó szabályozás ezt lehetővé teszi. Az adatfeldolgozás megengedhetősége az 5.szakasznak megfelelően az adatok továbbításának előfeltétele. A beleegyezés írásban, vagy egyéb törvényes módokon történhet, melynek során az adatalanyt előzetesen informálják az adatok felhasználásának céljairól, valamint harmadik személyeknek történő lehetséges továbbításáról. A hozzájárulásnak nyilvánvalónak kell lennie az adatalany számára.

4.2 Rendeltetésszerű felhasználás A személyes adatokat csupán meghatározott, kifejezett és jogszerű célokra lehet gyűjteni, ezen rendeltetésszerű felhasználáson kívül nem kerülhetnek feldolgozásra. A vállalatcsoport egy másik tagjától érkező adat címzettjének figyelembe kell ezt vennie az adatok további feldolgozásánál és tárolásánál. A felhasználás célját csupán az adatalany hozzájárulásával lehet megváltoztatni, vagy amennyiben az ország szabályozása, amelyből az adatok származnak, ezt lehetővé teszi.

4.3. Adatgazdaság Az adott célhoz szükséges kell, hogy legyen a személyes adatok feldolgozása. Amennyiben lehetséges, és a költség arányos az elérendő adatvédelmi céllal, az anonimizáció és pszeudoanonimizáció szóba jöhető lépéseit az adatfeldolgozás korai szakaszában kell megtenni. Ez különösen a klinikai tesztek alanyainak, illetve pácienseinek személyes adataira vonatkozik.
4.4 Az adatok minősége A személyes adatoknak tényszerűen pontosnak kell lennie, és naprakésznek, amennyiben szükséges. Megfelelő és arányos lépéseket kell tenni annak érdekében, hogy a hibás vagy hiányos adatok kijavításra vagy törlésre kerüljenek.

4.5 Adatbiztonság Az adat kezelőjének meg kell tennie a kellő adatbiztonsághoz szükséges technikai és organizációs lépéseket. Ezek a lépések különösen a számítógépekre vonatkoznak (szerverek és munkaállomások), továbbá hálózatokra, linkekre és alkalmazásokra. A vállalatcsoporton belül bevezetett intézkedések arra szolgálnak, hogy elkerüljük a személyes adatok jogtalan felhasználását. További intézkedések szükségesek, hogy ezen adatokat a véletlenszerű, jogszerűtlen törléstől megóvjuk.

4.6 Az adatkezelés bizalmassága Személyes adatokat csak felhatalmazott, adatvédelmi követelményekkel tisztában lévő személyzet kezelhet és dolgozhat fel. Tiltott számukra, hogy ezen adatokat személyes céljaikra használják fel, vagy illetéktelen személyek számára elérhetővé tegyék. Azon alkalmazottak, akiknek a munkaköre nem teszi szükségessé a személyes adatok felhasználását, nem férhetnek hozzá az adatokhoz. Ezen bizalmassági kötelezettség nem szűnik meg a munkaviszonnyal.

 4.7. A személyes adatok speciális kategóriái Az érzékeny személyes adatok gyűjtése és kezelése csak az alábbi esetekben lehetséges:

  • Az adatalany hozzájárulását adta,
  • az adatalany nyilvánosságra hozta ezeket az adatokat
  • amennyiben az adatalany vagy egy harmadik személy létfontosságú érdekeinek védelmében szükséges, és az adatalany fizikai vagy jogi okokból nem képes hozzájárulását adni
  • amennyiben szükség van az adatokra jogszerű követelések vagy védelem megállapításához, és nem elvárható, hogy az adatalany igazolható személyes joga arra, hogy ne gyűjtsék és dolgozzák fel adatait, előnyt élvezzen
  • amennyiben szükség van rájuk a normális üzleti működéshez, és nélkülük az üzleti célok nem, vagy csak aránytalanul nagy erőfeszítéssel érhetőek el

4.8 Szerződéses adatfeldolgozó partnerek Amennyiben a vállalatcsoport egy tagja szerződésben áll egy partnerrel, aki a szerződés keretein belül személyes adatokat dolgoz fel, az alábbiak lépnek érvénybe:

  • Olyan adatfeldolgozó partnert kell kiválasztani, aki garantálni tudja a személyes adatok kezeléséhez szükséges technikai és organizációs hátteret, és kellő garanciát tud adni a személye jogok védelmével és érvényhez juttatásával kapcsolatban.
  • A személyes adatok egy adatfeldolgozó általi feldolgozásához írásbeli megállapodást kell kötni, amelyben a főkötelezett, illetve a megbízott adatfeldolgozó jogai és kötelezettségei rögzítésre kerülnek.
  • A szerződéses adatfeldolgozó partnernek folyamatosan kötelessége, hogy a személyes adatokat kizárólag a szerződés és a főkötelezett utasításainak keretein belül dolgozza fel. A személyes adatok semmilyen más célból nem kerülhetnek feldolgozásra.

4.9. Adatalanyokat érintő automatizált döntések Bizonyos országok jogi szabályozásukban korlátozásokat alkalmaznak az adatalanyokat érintő automatizált döntésekkel kapcsolatban. Ez azon döntésekre vonatkozik, amelyek következtében a jogalanyokra a személyes adatok automatikus feldolgozása jogi következményekkel vagy hátrányos következményekkel jár. Ezekben a kivételes esetekben, amelyekben a vállalatcsoport tagjai automatikus döntéshozást alkalmaznak, az adatalanyokat értesíteni kell ezen rájuk hatást gyakorló automatikus döntésekről, és lehetőséget kell, hogy kapjanak, hogy megjegyzéseket tegyenek ezen döntésekkel kapcsolatban, vagy megkérdőjelezzék azokat. Ezekben az esetekben a döntést felül kell vizsgálni.

5.Személyes adatok továbbítása

A személyes adatok Európai Gazdasági Térségen3 (EGT) belüli továbbítása általában akkor megengedett, amennyiben az adatok feldolgozása szintén megengedett a 4.1-es szakasznak megfelelően. A személyes adatok adott országon belüli továbbításához biztosítani kell az adott ország jogi követelményeinek való megfelelést.

5.1 Személyes adatok továbbítása az Európai Gazdasági Térségből harmadik országokba Ezen vállalati irányelv 4.1.-es szakasza alapján a személyes adatok EGT-ből harmadik országokba csak az alábbi esetekben megengedett:

  • az adatalany hozzájárulását adta, vagy
  • a személyes adatok továbbítása szükséges az adatalany és az adatkezelő közti szerződés teljesítéséhez, vagy szükséges a szerződés adatalany által korábban kezdeményezett megkötéséhez, vagy
  • a személyes adatok továbbítása szükséges a szerződés teljesítéséhez, amely az adatalany érdekében, amelyet az adatkezelő írt meg vagy fog megírni, vagy
  • a személyes adatok továbbítását törvény írja elő vagy teszi szükségessé egy fontos közérdekű szempont miatt, vagy jogszerű követelések vagy védelem megállapításához, vagy
  • az adatok továbbítása szükséges az adatalany létfontosságú érdekeinek védelmében, vagy a személyes adatok továbbítása szükséges egy harmadik országba, amelyekre az Európai Bizottság úgy tekint, hogy megfelelő adatvédelmi szabványokkal bírnak
  • az adatok címzettje megfelelő garanciákat ad ezen irányelv keretein belül az adatvédelemre és a jogok gyakorlására vonatkozóan. A vállalatcsoport tagjai esetén ez áll fenn, rájuk vonatkozik ez az irányelv.

Amennyiben az adatok címzettje nem a vállalatcsoport tagja, biztosítani kell, hogy ezen irányelv megfelelő módon alkalmazásra kerüljön. Az adat címzettjeinek visszaélései esetén a vállalatcsoport adatokat továbbító tagja meg fogja tenni a megfelelő jogi lépéseket.

5.2. Személyes adatok továbbítása harmadik országokon belül vagy más harmadik országba Az EGT-be már továbbított adatok harmadik országokba, vagy harmadik országokon belüli továbbítása a 4.1.-es szakasznak megfelelően akkor megengedett, amennyiben az adott harmadik ország megfelelő adatvédelmi szabályozással bír, vagy az 5.1.-es szakaszban fennálló esetekben, vagy amennyiben ezen irányelv hatályos.

5.3 A működési cím, funkcionális és kommunikációs adatok megadása A vállalati belső kommunikáció céljára megengedett a működési cím, funkcionális és kommunikációs adatok megadása, a költségközpontokra vonatkozó információkkal együtt – például intranet vagy központi igazgatóságokon keresztül – a vállalatcsoporton belül a célnak megfelelő mértékben. Az adatok felhasználásának korlátolt célját az összes felhasználónak figyelembe kell venni.

6.Az adatalanyok jogai

6.1. Az információhoz való jog Minden adatalanynak joga van, hogy informálódjon a vállalatcsoport által feldolgozott, rá vonatkozó személyes adatokra vonatkozóan. Ezen információ megosztásra kerül az információ feldolgozásának helyétől függetlenül. Az adatalany a vállalatcsoport tagjainak helyi HR-részlegnél adhat be információra vonatkozó kérvényt (lásd: 7.3-as szakasz). Az érintett részlegnek meg biztosítania kell a kellő támogatást. 6.2 Adatmódosítás Amennyiben a tárolt személyes adatok tévesek, az adatalany kérvényezheti azok javítását. Az adatalanyok felelősek a vállalatcsoport tagja számára kizárólag helyes személyes adatokat megadni. Az adatalany köteles továbbá a vállalatcsoport tagját értesíteni személyes adatainak releváns megváltozásáról (pl. név, cím).

6.3 Az információra vagy javításra vonatkozó kérvény elutasítása Amennyiben az információra vagy javításra vonatkozó kérvény elutasításra kerül, az adatalany értesítve lesz ennek okáról.
6.4. Adatok törlése Amennyiben az adatalany bizonyítja, hogy az adat tárolásának célja az adott körülmények között már nem megengedhető, szükséges vagy ésszerű, az adott személyes adatok törlésre kerülnek, amennyiben ez nem történik meg, az jogi következményekkel jár.
6.5. A tiltakozás joga Minden adatalanynak joga an tiltakozni, amennyiben személyes adatai reklám-, piac- vagy véleménykutatáshoz kerülnek felhasználásra. Amennyiben az adott ország törvényei előírják, az adatalanyt tájékoztatni kell tiltakozási jogáról, illetve az adatkezelőről. Ebben az esetben a személyes adatokat nem lehet ezen célokra felhasználni. Szintén megemlítendő, hogy bizonyos országokban az adatok feldolgozása előtt hozzájárulást kell kérni a fent említett célokra. Továbbá, az adatalanynak általános tiltakozási joga van az adatai feldolgozásával kapcsolatban. Amennyiben egy vizsgálat kimutatja, hogy a személy speciális személyes helyzetéből fakadó érdekeinek védelme indokoltabb, mint az adatot feldolgozó egységnek ebből származó előnye, ennek helyt kell adni. Ezen tiltakozásnak nem lehet viszont helyt adni, amennyiben az adatalany adatainak feldolgozását hatályos törvény írja elő.
6.6 Kérdések, panaszok és korrekciós intézkedések A lehetséges kérdésekkel, panaszokkal és korrekciós intézkedésekkel kapcsolatban a 7.3. szakasz irányadó. A Platform vállalatcsoport tartja magát a „biztonságos kikötő” megegyezéshez (Safe Harbor Agreement), amely a személyes adatok Európai Unióból, illetve Svájcból az USA-ba történő továbbítására vonatkozik. Ennek megfelelően e vállalatcsoport minden személyes adatra vonatkozóan követni fogja az USA Kereskedelmi Minisztériuma által kiadott „biztonságos kikötő” adatvédelmi elveket, illetve a Svájci Szövetségi Adatvédelmi Törvényt.

7.Eljárási szabályok

7.1. A Platform vállalatcsoporton belüli alkalmazás A vállalatcsoport tagjai, mint adatkezelők, meg kell, hogy feleljenek ezen vállalati irányelvnek. Ebben a tekintetben a vállalatcsoport tagjainak vezető beosztású alkalmazottjaknak kell biztosítani, hogy ezen irányelv alkalmazásra kerül, különös tekintettel az alkalmazottak tájékoztatására.
7.2 Kérdések, panaszok és korrekciós intézkedések Az adatalanyok bármikor felkereshetik személyes adataik feldolgozásával kapcsolatban a vállalatcsoport jogi részlegét. Ezen kérdések és panaszok bizalmasan kerülnek kezelésre.

Amennyiben egy kérdés vagy panasz ezen vállalati irányelv feltételezett megsértését veti fel egy, az adatalany tartózkodási helyétől eltérő országban, az adatalany felkeresheti a vállalatcsoport adatokat továbbító tagját. Amennyiben a feltételezések bizonyításra kerülnek, a vállalatcsoport érintett tagjai kooperálnak az érintett felekkel (pl. adatvédelmi és egyéb szervezetekkel) ezen irányelv mentén, és megteszik a kellő korrekciós intézkedéseket. Amennyiben a felvetett probléma nem kerül megoldásra, az adatalany panaszt tehet a vállalat jogi osztályán. A jogi osztály tájékoztatni fogja az adatalanyt a döntésről és a korrekciós intézkedésekről. A jelen vállalati irányelvben megfogalmazott eljárások az adatalany számára elérhető összes többi jogi korrekciós intézkedés és eljárás mellett alkalmazandók, amelyek magában foglalják például az adatalany jogát, hogy a megfelelő adatvédelmi szervek irányába kérdésekkel és megjegyzésekkel éljen.
7.3. Az adatvédelmi hatóságokkal szembeni kötelezettségek A EGT-ből egy harmadik országba továbbított adatot birtokló félnek kérés esetén kötelessége kooperálni az adatot továbbító ország adatvédelmi hatóságaival és elfogadni annak megállapításait, amennyiben a vizsgálat a küldő és adott országok törvényeinek megfelelően történt. Az adatot az EGT-ből továbbító félnek szintén joga van megtekinteni, hogyan kerülnek az adatok felhasználásra.
7.4. A vállalati irányelv kiegészítése és folyamatos alkalmazása A vállalatcsoport fenntartja ezen irányelv kiegészítésének jogát, hogy folyamatosan megfelelhessen a különböző adatvédelmi alapokmányok, szabályozások változásainak, a különböző adatvédelmi szervezetek elvárásainak, illetve vállalati belső igényeknek. Ahol ezt törvény írja elő, a vállalatcsoport rendszeresen ellenőrzésre bocsátja az irányelvet minden kiegészítés esetén. Amennyiben ezen irányelv érvényét vesztené, ennek okaitól függetlenül minden olyan személyes adat, amely az érvénytelenné válás előtt került továbbításra, ezen irányelvnek megfelelően kell, hogy feldolgozásra kerüljön, kivéve, ha ezen irányelv új szabályozás által helyettesítésre kerül.
7.5 Nyilvánosság Ezen vállalati adatvédelmi irányelv jelen verziója elérhetővé kell, hogy téve legyen minden adatalany számára, például az internet vagy intranet segítségével.

8.Definíciók

Az anonimizáció a személyes adatok olyan megváltoztatása, hogy az ne lehessen a későbbiekben egy bizonyos, megállapítható személyhez köthető. A hozzájárulás az adatalany bármely szabadon tett, információ birtokában lévő hozzájárulása, amelyben hozzájárul személyes adatainak feldolgozásához. A hozzájárulásra vonatkozhatnak az adott ország törvényi szabályozásai. Adatfeldolgozó: az a személy vagy jogi személy, amely az adatkezelő nevében adatot dolgoz fel. Adatkezelő: a vállalatcsoport tagja, amely meghatározza az személyes adatok felhasználásának céljait és módjait. Adatvédelem/adatkezelés: az adatalanyok személyes jogainak védelme érdekében tett intézkedések összessége. Adatalany: minden személy, akinek személyes adatai a vállalatcsoporton belül feldolgozásra kerülnek, például volt, jelenlegi és jövőbeli alkalmazottak, vásárlók, beszállítók és egyéb szerződéses partnerek. Személyes adat: bármilyen, adott azonosítható személyhez köthető adat. Egy személy azonosítható, amennyiben követlen módon azonosítható, például egy referenciaszámmal. Személyes adatok feldolgozása: bármilyen automatizált vagy nem automatizált művelet vagy műveletsorozat, amelynek során személyes adatok vannak kezelve, például gyűjtés, tárolás, blokkolás, visszamentés, adaptáció, módosítás, szelektálás, használat, továbbítás, törlés. Ebből a definícióból származik a feldolgozott adat fogalom is. Pszeudoanonimizáció: az adatalany nevének és egyéb azonosítható tulajdonságainak cseréje egy címkével, hogy meggátolják ill. megnehezítsék az illetéktelenek általi azonosítást. Biztonságos harmadik ország: az Európai Bizottság által megfelelő adatkezelési szabványokkal rendelkezőnek nyilvánított ország. Érzékeny adatok: speciális személyes adatok, amelyek származásra, politikai nézetekre, vallási vagy filozófiai hiedelmekre, szexuális orientációra, szakszervezeti tagságra vagy egészségre vonatkoznak. Harmadik ország minden, az Európai Gazdasági Térségen (EGT) kívül eső ország. Személyes adatok továbbítása: a személyes adatok továbbítása, elosztása, vagy harmadik személyekhez bármilyen módon történő eljutattása. Ezen definícióhoz tartoznak ebben a kontextusban a „továbbított” illetve „továbbító” szavak.

A Platform vállalatcsoport a Platform Specialty Products Corporation-t jelöli, illetve minden céget, amelyben a cég közvetlen vagy közvetett módon 50%-nál több részvényt birtokol, vagy hasonló ellenőrzési joggal rendelkezik.