Globale Mitarbeiter-Datenschutzrichtlinie
Ansprechpartner für die Datenschutzrichtlinie: Globaler Datenschutzbeauftragter
Datum: 1. Juni 2019
(compliance.im@pg.com)
Region: Weltweit
Geltungsbereich: Alle Mitarbeiter
1.0 Zielsetzung
P&G schätzt das Vertrauen und die Loyalität seiner Mitarbeiter und hat diese Globale Mitarbeiter-Datenschutzrichtlinie mit dem Ziel ausgearbeitet, sowohl die geschäftlichen Bedürfnisse des Unternehmens zu erfüllen als auch die Sicherheit und den Schutz der personenbezogenen Daten von P&G-Mitarbeitern zu gewährleisten. Diese Richtlinie informiert Sie darüber, wie The Procter & Gamble Company, deren Tochtergesellschaften und/oder verbundenen Unternehmen („P&G“ oder das „Unternehmen“) personenbezogene Mitarbeiterdaten erheben und verwalten. Sie erläutert ferner die Verpflichtungen, die das Unternehmen den Personen auferlegt, die die personenbezogenen Daten von Mitarbeitern erfassen und verwalten.
Diese Richtlinie ist mit P&Gs Zielen, Werten und Prinzipien abgestimmt. Viele Länder haben außerdem spezifische gesetzliche Vorschriften hinsichtlich der Nutzung personenbezogener Daten und insbesondere solcher Daten von Mitarbeitern eingeführt. Das Unternehmen befolgt alle diese Gesetze und Vorschriften einschließlich lokaler Datenschutz- und Mitbestimmungsgesetze und es verpflichtet sich, zusätzliche Verfahren, Standards und Richtlinien einzuführen, wann immer dies notwendig ist, um diesen Vorschriften zu entsprechen.
Wenn Sie Fragen zu dieser Richtlinie haben, wenden Sie sich bitte an den zuvor genannten Ansprechpartner für die Richtlinie, einen Vertreter Ihrer lokalen Rechts- oder Personalabteilung oder das Ethik- und Compliance-Büro unter compliance.im@pg.com.
2.0 Grundsätze
- Erheben und Verwalten der minimal erforderlichen Menge an personenbezogenen Mitarbeiterdaten
- Schutz der Privatsphäre jedes Einzelnen
- Einhaltung unserer PVPs, dieser Richtlinie und relevanter Gesetze
- Befolgung angemessener Standards und Verfahren bei der Erhebung und/oder Verwaltung von personenbezogenen Mitarbeiterdaten
3.0 Befolgung dieser Richtlinie
Personenbezogene Mitarbeiterdaten sollten nur von Personen verarbeitet werden, die dazu vom Unternehmen autorisiert wurden. Alle diese Mitarbeiter haben diese Richtlinie zu befolgen.
Das Unternehmen erwartet von seinen Mitarbeitern und jeglichen Auftragnehmern, Lieferanten, Agenturen und Zeitarbeitnehmern von P&G sowie von anderen in seinem Auftrag tätigen Personen (zusammengefasst als „externe Parteien“ bezeichnet), die personenbezogene Mitarbeiterdaten erfassen oder verwalten, diese Richtlinie zu befolgen, wobei keine Rolle spielt, ob sie P&Gs und/oder eigene elektronische Systeme und Datenmanagement-Tools verwenden. Mitarbeiter sind dafür verantwortlich sicherzustellen, dass alle externen Parteien, mit denen sie in Unterstützung der Geschäfte von P&G zusammenarbeiten, diese Richtlinie befolgen.
Die Nichtbefolgung dieser Richtlinie durch Mitarbeiter kann zu disziplinarischen Maßnahmen führen, zu denen gegebenenfalls auch Kündigung zählt. Alle disziplinarischen Maßnahmen werden in einer mit lokalem Recht vereinbaren Art und Weise getroffen. Im Fall von externen Parteien, die personenbezogene Mitarbeiterdaten erfassen oder verwalten, kann die Nichtbefolgung dieser Richtlinie zu negativen geschäftlichen Konsequenzen bis hin zu und einschließlich Beendigung der Geschäftsbeziehung, Weiterleitungen an Regulierungsbehörden und/oder Schadenersatzansprüchen führen.
Das Unternehmen unternimmt alle zumutbaren Anstrengungen, um zu gewährleisten, dass die personenbezogenen Mitarbeiterdaten für ihren vorgesehenen Zweck richtig und aktuell sind. Mitarbeiter sind gleichermaßen dafür verantwortlich, die P&G überlassenen Informationen zu aktualisieren und deren Richtigkeit zu überprüfen. Wenn Sie personenbezogene Daten anderer (z. B. Ihrer Begünstigten und Familienmitglieder) vorlegen, sind Sie verpflichtet sicherzustellen, dass diese Personen ihre Zustimmung für die Überlassung dieser Daten an das Unternehmen erteilt haben. Mitarbeiter sind ebenso dafür verantwortlich die Privatsphäre und Sicherheit eigener personenbezogener Daten und der Daten anderer Mitarbeiter zu schützen, indem sie die Vorgaben und Richtlinien des Unternehmens für „Security Fit“ einhalten, die unter http://security.pg.comeingesehen werden können.
Jede P&G-Geschäftseinheit führt ihre eigenen Selbstbewertungen zur Einhaltung dieser Richtlinie durch. Darüber hinaus überprüft die Globale Innenrevision von P&G in regelmäßigen Abständen, ob Mitarbeiter und relevante externe Anbieter diese Richtlinie und zugehörige Unternehmensstandards und -verfahren befolgen, wenn sie personenbezogene Mitarbeiterdaten verarbeiten. Falls notwendig werden angemessene Folgemaßnahmen getroffen.
4.0 Richtlinie
P&G achtet Ihre Privatsphäre. Die Richtlinie erläutert, wie wir personenbezogene Mitarbeiterdaten verarbeiten, welche Arten von Informationen wir erheben, für welche Zwecke wir sie benutzen, an wen wir sie weitergeben und welche Wahlmöglichkeiten Sie hinsichtlich unserer Nutzung von personenbezogenen Mitarbeiterdaten haben. Wir erläutern ferner die Maßnahmen, die wir zur Gewährleistung der Sicherheit von personenbezogenen Mitarbeiterdaten ergreifen, sowie die Art und Weise, wie Sie uns in Bezug auf unsere Datenschutzpraktiken kontaktieren können.
4.1 Arten der von uns erhobenen personenbezogenen Mitarbeiterdaten
Zu den Arten von personenbezogenen Mitarbeiterdaten, die das Unternehmen von Ihnen bzw. über Sie erheben kann, gehören unter anderem:
- Persönliche Merkmale wie Geschlecht, Geburtsdatum, Familienstand, Staatsbürgerschaft und Aufenthaltsstatus und Geburtsort
- Kontaktinformationen wie Name, Adresse, Postleitzahl, Telefon-/Handynummer, E-Mail-Adresse
- Frühere berufliche und akademische Daten wie Lebenslauf, CV sowie bildungsbezogener und beruflicher Werdegang, einschließlich Referenzen
- Aktuelle berufliche Daten, einschließlich P&G-Bandebene, ID-Nummer, Arbeitsort, E-Mail, Telefonnummer
- Gewerkschaftsmitgliedschaft
- Ihr Bild und Ihre Stimme
- Finanzielle Kontoinformationen
- Informationen, die während des Bewerbungsprozesses erhoben wurden
- Daten zur Leistungsanmeldung, einschließlich Familienzusammenstellung und Daten über Angehörige
- Gehalts- und Vergütungsdaten
- Daten, die für die Befolgung gesetzlicher und behördlicher Vorschriften benötigt werden, einschließlich Informationen, die als Ergebnis interner Untersuchungen, behördlicher Nachforschungen oder in Zusammenhang mit Gerichtsverfahren erfasst werden
- Daten zu Leistungen, Anwesenheit, Disziplinarmaßnahmen und Beschwerden
- Digitale Signatur, elektronische Identifikationsdaten und Informationen über Ihre Nutzung von P&G-Geräten, Software und Ihren Zugriff auf das P&G-Netzwerk (wie etwa Ihre Nutzung von E-Mail, Internet und sozialen Medien) sowie Daten, die wir mithilfe des Einsatzes von „Cookies“ und ähnlichen Technologien erfassen, in Übereinstimmung mit der Richtlinie für die Überwachung von elektronischen Netzwerken und Geräten
- Informationen, die von P&G-Sicherheitssystemen wie etwa CCTV und Zugangskontrollsystemen erfasst werden
- Informationen, die anlässlich Ihrer freiwilligen Teilnahme an Marketing- und Forschungsgruppen oder Fokusgruppen für P&G-Produkte und -Leistungen erhoben wurden
- Informationen, deren Weitergabe Sie selbst veranlassen (wie zum Beispiel Kommunikationen über die WBCM-Helpline, das Service Center für Mitarbeiter, IT Support, PG Pulse, PG One Communities, P&G Yammer, externe Websites von P&G oder andere Sharing-Tools und -Serviceleistungen)
- Informationen, die öffentlich zugänglich und für legitime Geschäftsaktivitäten des Unternehmens notwendig sind (einschließlich Daten, die durch Leumundsprüfungen, wie z. B. Strafregister, erhalten wurden, soweit gesetzlich zulässig)
- Medizinische und Gesundheitsdaten, in deren Erhebung Sie einwilligen oder die das Unternehmen per Gesetz erfassen muss
- Ethnizität, Rasse, politische Zugehörigkeit, sexuelle Orientierung, religiöse/philosophische Überzeugungen, soweit sie vom Unternehmen nach geltendem Recht erhoben oder verarbeitet werden müssen, oder auf Grundlage Ihrer Einwilligung.
- Biometrische Daten unter bestimmten Umständen
- Alle anderen personenbezogenen Daten, die gesetzlich erhoben werden müssen
4.2 Verwendungszwecke für personenbezogene Mitarbeiterdaten
Das Unternehmen kann personenbezogene Mitarbeiterdaten für legitime Geschäftszwecke und dabei unter anderem für die nachstehenden Leistungen und/oder Tätigkeiten verwenden:
- Rekrutierung, Personalbeschaffung und organisatorische Planung sowie verbundene Analysen
- Vergütung, Gehaltsabrechnung, Kostenerstattung
- Krankenversicherung, Altersvorsorge und andere Sozialleistungen
- Versetzungs- und Reisemanagement, einschließlich staatlich vorgeschriebener Reisedokumente
- Zeiterfassung, Urlaub, Freistellungen und andere Abwesenheiten
- Leistungsbeurteilung, Karriereentwicklung, Schulung
- Betriebliche Gesundheits- und Wellnessprogramme
- Anlagen-, Sicherheits- und Notfallplanungszwecke
- Anmeldung und Verwaltung von elektronischen Geräten
- Optimierung der Netzwerk- und Gerätenutzung und damit verbundene physische und Cyber-Sicherheitskontrollen
- Verkauf oder Übertragung des gesamten Unternehmens oder einzelner Geschäftssparten
- Gerichtsverfahren, Ermittlungen, Prüfungen, Streitschlichtungen
- Tägliche Arbeitsabläufe (z. B. Authentifizierung/Einloggen in unsere Systeme)
- Freiwillige Unternehmensprogramme und Standortservices
- Unternehmensversammlungen und Veranstaltungen
- Befolgung steuerlicher oder anderer gesetzlicher oder behördlicher Vorschriften
- Sonstiges personalbezogenes Datenmanagement, einschließlich Mitarbeiterbetreuung (Unterstützung von IT und Personalwesen)
Wenn angemessen und wenn dies P&Gs legitimen geschäftlichen Interessen, der von Ihnen gegebenen Einwilligung, den gesetzlichen Verpflichtungen des Unternehmens und/oder den vertraglichen Verpflichtungen des Unternehmens entspricht, werden Sie von P&G über die zu Ihnen erhobenen personenbezogenen Mitarbeiterdaten und die Art und Weise ihrer Verwendung informiert. Wir fragen Sie nach Ihrer Einwilligung, wenn Sie die freiwilligen Leistungen in Anspruch nehmen, die wir unseren Mitarbeitern jeweils anbieten, wie zum Beispiel interne oder externe Social Networking-Plattformen oder andere Online-Tools.
4.3 Weitergabe von personenbezogenen Mitarbeiterdaten
P&G gibt personenbezogene Mitarbeiterdaten nur an diejenigen weiter, die ein legitimes geschäftliches Interesse haben, diese Daten zu kennen.
P&G kann Ihre Daten an externe Parteien weitergeben, die in unserem Auftrag Geschäfte von P&G durchführen. Das Unternehmen verlangt von externen Parteien, beim Umgang mit personenbezogenen Mitarbeiterdaten denselben Umfang an Schutzmaßnahmen wie das Unternehmen selbst anzuwenden. Wir verlangen vertraglich, dass Datenverarbeiter, die als unsere Anbieter tätig sind, personenbezogene Mitarbeiterdaten ausschließlich gemäß unseren Anweisungen verarbeiten und angemessene administrative, technische und physische Sicherheitsmethoden anwenden, um diese Daten zu schützen. Diese Datenverarbeiter dürfen die Informationen weder anderweitig verwenden noch weitergeben, es sei denn, dies wird von P&G genehmigt und/oder dient der Befolgung gesetzlicher Vorschriften.
In bestimmten Situationen werden Sie gebeten personenbezogene Daten direkt an mit P&Gs Mitarbeiterdiensten verbundene Anbieter weiterzugeben, wobei P&G keine Kontrolle darüber hat, wie Ihre Daten verarbeitet werden (z. B. im Fall von Pensionsanbietern). Achten Sie in diesen Fällen darauf, die Datenschutzrichtlinien und -verfahren dieser Anbieter zu lesen und zu verstehen.
Personenbezogene Mitarbeiterdaten können an unsere Konzernzentrale und Tochtergesellschaften in aller Welt weitergeleitet werden, soweit dies für die Erfüllung geschäftsbezogener Zwecke erforderlich und sachdienlich ist, einschließlich der Bereitstellung notwendiger Leistungen und Zahlungen an Sie. Informationen darüber, wie wir in einer solchen Situation personenbezogene Mitarbeiterdaten schützen, finden Sie in Abschnitt 4.5 dieser Richtlinie.
Wir können auch personenbezogene Mitarbeiterdaten offenlegen, um auf erforderliche rechtliche Verfahren zu reagieren; die Rechte und Richtlinien von P&G durchzusetzen oder zu schützen; oder bei der Untersuchung mutmaßlicher bzw. tatsächlicher illegaler Aktivitäten zu helfen. Wir sind ferner berechtigt, personenbezogene Mitarbeiterdaten im Kontext einer geschäftlichen Transaktion weiterzugeben, die Teile von Geschäftsbereichen oder alle Geschäftsbereiche von P&G erfasst, wie etwa eine Fusion oder Übernahme. Im Anschluss an eine derartige geschäftliche Transaktion können Sie sich an das Unternehmen wenden, an das wir Ihre personenbezogenen Mitarbeiterdaten transferiert haben, wenn Sie Fragen bezüglich der Nutzung dieser Daten haben.
4.4 Ihre Datenschutzrechte
Sie haben das Recht, sich an uns zu wenden und Auskunft über die Sie betreffenden personenbezogenen Mitarbeiterdaten, die wir verarbeiten und nutzen, zu verlangen. Sie können verlangen, dass unrichtige, veraltete oder nicht länger benötigte Informationen berichtigt, gelöscht oder eingeschränkt verarbeitet werden. Wenn dies nach geltendem Recht vorgeschrieben ist, können Sie P&G auffordern, Ihre Daten in einem Format zugänglich zu machen, das Ihnen den Transfer der Daten an einen Service-Provider ermöglicht, soweit dies nach den Umständen angemessen ist. Falls die Verarbeitung personenbezogener Mitarbeiterdaten auf Ihrer Einwilligung basiert, haben Sie die Möglichkeit, diese Einwilligung jederzeit
zu widerrufen.
Bei der Ausübung dieser Rechte empfehlen wir Ihnen, zuerst den Abschnitt „Meine personenbezogenen Daten“ innerhalb von „Life & Career“ zu besuchen, um Ihre personenbezogenen Mitarbeiterdaten zu überprüfen, zu aktualisieren und bei Bedarf herunterzuladen. Für weitere Anfragen wenden Sie sich bitte an Ihr Employee Care Team (Kontaktdaten auf Life & Career) oder an einen Vertreter der Personalabteilung in Ihrem Land. Wenn Sie mit unserer Antwort auf Ihr Ersuchen nicht zufrieden sind, können Sie bei der Datenschutzbehörde Ihres Landes eine diesbezügliche Beschwerde einreichen.
4.5 Transferieren wir personenbezogenen Mitarbeiterdaten in andere Länder?
Personenbezogene Mitarbeiterdaten können in andere Länder übertragen werden. P&G ist ein weltweit tätiger Konzern mit Mitarbeitern in vielen Ländern. Personenbezogene Daten von Mitarbeitern können in Systemen in den USA oder anderswo gespeichert, von anderen P&G-Tochtergesellschaften einschließlich ihrer Service-Provider in aller Welt abgefragt oder in andere Länder der Welt transferiert werden, soweit dies für die Abwicklung der jeweiligen Geschäftsvorgänge notwendig ist. Dies bedeutet, dass Ihre personenbezogenen Mitarbeiterdaten in andere Länder außerhalb des Landes, in dem Sie tätig sind, transferiert werden können. Für den Fall, dass Ihre Informationen in andere Länder als Ihr Heimatland transferiert oder von dort abgerufen werden, haben wir ausreichende Sicherheitsvorkehrungen sowie gesetzlich vorgeschriebene Vertragsbestimmungen vorgesehen, um Ihre Informationen zu schützen.
4.6 Sicherung von personenbezogenen Mitarbeiterdaten
Wir ergreifen sachgerechte physische, administrative und technische Maßnahmen wie zum Beispiel Pseudonymisierung, Verschlüsselung und Zugangskontrollen, die den Zweck verfolgen, personenbezogene Mitarbeiterdaten vor Vernichtung, Verlust, Veränderung, Offenlegung, Zugriff oder Nutzung, gleich ob versehentlich, rechtswidrig oder unbefugt geschehen, und allen weiteren rechtswidrigen Formen der Verarbeitung zu schützen.
4.7 Wie lange bewahren wir Ihre personenbezogenen Daten auf?
Wir bewahren personenbezogene Mitarbeiterdaten so lange auf, wie dies für die Erfüllung geschäftsbezogener Zwecke notwendig ist, sofern nach geltendem Recht keine längere Aufbewahrungsfrist vorgeschrieben oder gestattet ist. In manchen Fällen ist es möglich, dass wir personenbezogene Mitarbeiterdaten für einen bestimmten Zeitraum nach Ende Ihres Beschäftigungsverhältnisses mit P&G aufbewahren müssen, um gesetzlichen oder vertraglichen Verpflichtungen nachkommen zu können.
4.8 Überwacht P&G die Netzwerk- und Gerätenutzung?
Das Unternehmen überwacht einige Netzwerk- und Gerätenutzungen. P&G hat die Verpflichtung,
seine Mitarbeiter, Vermögenswerte und Anlagen zu schützen. Zu diesem Zweck hat P&G eine
Richtlinie für die Überwachung von elektronischen Netzwerken und Geräten [https://pgone.sharepoint.com/sites/PrivacyCentral/Pages/devicepolicy.aspx] erstellt, die den Mitarbeitern helfen soll, unsere gesetzlichen Verpflichtungen zu erfüllen und zu verstehen, wie diese Überwachungstätigkeit sie und das Unternehmen schützt. P&G überwacht seine Netzwerke und Geräte nach dieser Richtlinie für zwei Zwecke: (i) Gewährleistung der Sicherheit von Mitarbeitern, Daten, Netzwerken, Vermögenswerten, Anlagen, Reputation und Wettbewerbsinteressen von P&G sowie (ii) Untersuchung mutmaßlicher bzw. bestätigter Verfehlungen im Rahmen der P&G-Richtlinie oder Rechtsverstöße (etwa im Rahmen von Gerichtsverfahren). Diese Überwachung erfolgt konsequent in Übereinstimmung mit den relevanten Gesetzen und Unternehmensrichtlinien.
5.0 Sensible Kategorien von personenbezogenen Daten und „SPI“ (sensible personenbezogene Informationen) auf P&G-Netzwerken und -Geräten
P&G erkennt an, dass bestimmte Arten von Daten sensibler als andere sind. Datenschutzgesetze auf der ganzen Welt verwenden oft unterschiedliche Terminologien bei der Benennung dieser Kategorien sensibler Daten und stellen auch unterschiedliche Compliance-Anforderungen an die Unternehmen, die bei der Verarbeitung dieser Daten befolgt werden müssen. Unabhängig von der Terminologie und den Anforderungen der lokalen Gesetze stellt P&G sicher, dass die relevanten Compliance-Elemente bei der Verarbeitung dieser besonderen Kategorien von personenbezogenen Daten eingehalten werden. Darüber hinaus hat P&G aufgrund der Gesetze einiger Länder einige Kategorien von Daten mit höherer Sensibilität als „Sensible personenbezogene Daten“ oder „SPI“ bezeichnet. P&G definiert SPI als alle Informationen zu identifizierbaren Personen, die die Rasse, ethnische Zugehörigkeit, politischen Meinungen, Religion, Gesundheit, sexuelle Orientierung, genetischen oder biometrischen Daten sowie Informationen über strafrechtliche Verurteilungen und Vergehen betreffen oder darauf schließen lassen.
Um P&Gs potenziellen Zugriff auf Ihre sensiblen personenbezogenen Daten im Rahmen seiner Geschäftsvorgänge zu begrenzen, ist Ihre persönliche Nutzung von SPI auf Netzwerken und Geräten des Unternehmens untersagt. Dies bedeutet, dass ein Mitarbeiter nicht berechtigt ist, Unternehmensgeräte (z. B. Computer und vom Unternehmen überlassene Tablets, Mobilgeräte, usw.) oder Unternehmensnetzwerke (drahtlose Internetverbindungen, Telefonnetze und das LAN von P&G) für persönliche Zwecke zu benutzen, wenn dabei SPI involviert sind. So sollen Mitarbeiter beispielsweise keine Websites aufrufen, die in großem Umfang SPI voraussetzen, wie etwa Webseiten für Fachärzte oder Gotteshäuser. Dies bedeutet, dass Mitarbeiter NICHT berechtigt sind, Funktionen wie etwa E-Mail/Kalender/Internetsurfen für persönliche Aktivitäten zu nutzen, die SPI-Daten nutzen oder voraussetzen. Zur Klarstellung: P&G überwacht keine SPI (oder diesbezügliche Daten) auf privaten Geräten von Mitarbeitern, die nicht an Netzwerke des Unternehmens angeschlossen sind.
Bezogen auf den vorstehenden Absatz ist die Nutzung von SPI nur dann gestattet, wenn sie unternehmensbezogen ist. Für unternehmensbezogene Zwecke verarbeitet und nutzt P&G Ihre SPI nur auf zwei bestimmte Arten: (1) Soweit dies für geschäftliche und beschäftigungsrelevante Zwecke (etwa um Ihnen Gesundheitsleistungen anzubieten oder Fälle von Arbeitsunfähigkeit oder Verletzungen am Arbeitsplatz festzuhalten usw.) notwendig ist und (2) wenn Sie an vom Unternehmen genehmigten Gruppen (wie etwa GABLE und AALN) teilnehmen oder vom Unternehmen gesponserte Anwendungen benutzen, die gegebenenfalls SPI erfassen (beispielsweise eine Gesundheits- und Wellness-App des Unternehmens), sofern Ihre diesbezügliche Zustimmung vorliegt.
Aufgrund des Vorstehenden verarbeitet P&G sensible personenbezogene Daten nur, um Ihnen Leistungen des Unternehmens anzubieten, arbeitsrechtlichen Verpflichtungen nachzukommen und/oder Ihre Daten vor Cyber-Sicherheitsbedrohungen zu schützen. Wenn Sie weitere Fragen dazu haben, was SPI sind und/oder wie P&G mit diesen Daten umgeht, wenden Sie sich bitte an das Datenschutzteam des Unternehmens unter der in Abschnitt 6.0 unten angegebenen E-Mail-Adresse.
6.0 Kontaktangaben
Das P&G-Unternehmen, mit dem Sie Ihren Arbeitsvertrag geschlossen haben, ist Ihr Arbeitgeber und daher der Datenverantwortliche für Ihre personenbezogenen Mitarbeiterdaten. Wenn Sie Fragen zu Ihren personenbezogenen Daten haben, wenden Sie sich bitte an einen Vertreter der Personalabteilung in Ihrem Land oder schicken uns eine E-Mail an [corporateprivacy.im@pg.com]. Bitte lesen Sie auch Abschnitt 4.4 oben für Informationen darüber, wie Sie Ihre Rechte gemäß den geltenden Datenschutzgesetzen ausüben können. Für länderspezifische Kontaktinformationen siehe Anhang A zu dieser Erklärung. Wenn Sie Bedenken bezüglich einer potenziellen Datenschutzverletzung Ihrer personenbezogenen Mitarbeiterdaten oder aller personenbezogenen Daten haben, die von P&G verarbeitet werden, senden Sie uns bitte eine E-Mail an securityincident@pg.com
7.0 Zusätzliche Informationen
Ansprechpartner: Die für Sie zur Verfügung stehenden Ansprechpartner sind in Privacy Central [http://privacy.pg.com] aufgeführt, darunter etwa die von P&G benannten Datenschutzbeauftragten auf Landesebene (siehe Anhang A).
Fragen zur Verwendung Ihrer personenbezogenen Mitarbeiterdaten: Wenn Sie aufgefordert werden, personenbezogene Daten über sich selbst oder Ihre Familienmitglieder zu überlassen und Sie die geschäftliche Relevanz der Aufforderung in Zweifel ziehen oder andere Fragen oder Bedenken hinsichtlich Ihrer personenbezogenen Mitarbeiterdaten haben, wenden Sie sich bitte an einen Vertreter Ihrer Personalabteilung.
Meldung potenzieller Richtlinienverstöße: Wenn Sie der Auffassung sind, dass gegen diese Richtlinie verstoßen wurde, können Sie sich an eine Reihe von Ansprechpartnern zu Unterstützungszwecken wenden, insbesondere an Ihren direkten Vorgesetzten, einen Vertreter Ihrer Personalabteilung, den Global Privacy Officer des Unternehmens, einen Mitarbeiter der P&G-Rechtsabteilung, die WBCM-Helpline (sofern vorhanden) und/oder Ihren Datenschutzbeauftragten (sofern vorhanden). Wir befolgen bei jedem gemeldeten Verstoß die Vorfallreaktionsrichtlinien (Incident Response Guidelines) des Unternehmens.
Künftige Änderungen dieser Richtlinie: P&G behält sich das Recht vor, diese Richtlinie bei Bedarf zu ändern, um Änderungen bei Gesetzen und Vorschriften sowie Unternehmenspraktiken und -verfahren zu berücksichtigen oder um auf neue Gefahren oder neue von Datenschutzbehörden auferlegte Anforderungen zu reagieren. Wenn sich diese Änderungen wesentlich auf unsere Verarbeitung Ihrer personenbezogenen Mitarbeiterdaten auswirken, werden wir Sie entsprechend informieren.
8.0 Definitionen
Mitarbeiter: Im Rahmen dieser Richtlinie schließt der Begriff Mitarbeiter aktive und ehemalige P&G-Mitarbeiter und -Pensionäre ein.
Personenbezogene Daten: Sämtliche Informationen mit Bezug auf eine identifizierte oder identifizierbare Individualperson.
Unternehmen oder P&G: Im Rahmen dieser Richtlinie ist mit Unternehmen oder P&G The Procter & Gamble Company und/oder deren Tochtergesellschaften und verbundenen Unternehmen gemeint.
ANHANG A
Asien:
Procter & Gamble Philippines, Inc.
Jocelyn J. Gregorio-Reyes
+63 2558 4250
Procter & Gamble International Operations SA (ROHQ) – GBS
Jennifer Pascual-Sy
Procter & Gamble Korea S&D Company
Lincoln Park
+82 2 6940 6361
Europäische Union:
Belgien
Belgische Pensionskasse
Guido Pieroth
+41-58 004 7560
Deutschland
P & G Health Germany GmbH
Ernst Kuper
+49 6151 856 3158
Alle anderen deutschen P & G-Unternehmen
Joerg Becker
+49 173 696 8549
Verstöße gegen diese Richtlinie können im Einklang mit lokalen Gesetzen zu Disziplinarmaßnahmen bis hin zu und einschließlich Kündigung führen. Mitarbeiter, für die diese Richtlinie maßgeblich ist, sind verpflichtet, sie zu lesen und zu befolgen, wobei Fragen an den Ansprechpartner für die Richtlinie zu richten sind.
Global Employee Privacy Policy
Privacy Policy Contact: Chief Privacy Officer
Datum: June 1, 2019
(compliance.im@pg.com)
Region: Global
Scope: all employees
1.0 Intent
P&G values the trust and loyalty of our Employees and has designed this Global Employee Privacy Policy to meet both the business needs of the Company and the security and protection of P&G Employees’ Personal Information. This policy informs you of how The Procter & Gamble Company, its subsidiaries and/or affiliates (“P&G” or the “Company”) will collect and manage Employee Personal Information. It also describes the Company’s expectations for those who collect and manage Employees’ Personal Information.
This Policy is in line with P&G’s Purpose, Values, and Principles. In addition, many countries have specific legal requirements governing the use of Personal Information, including Employee Personal Information. The Company will comply with all such laws and regulations, including local data protection and co-determination laws, and it will implement additional procedures, standards, and policies wherever needed to meet these requirements.
If you have any questions about this policy, please consult the Policy Contact listed above, your local Legal or HR representative, or the Ethics & Compliance Office at compliance.im@pg.com
2.0 Principles
- Collect and manage the minimum amount of Employee Personal Information
- Respect individual privacy
- Comply with our PVPs, this policy, and relevant laws
- Follow appropriate standards and procedures when collecting and/or managing Employee Personal Information
3.0 Abiding by this Policy
Employee Personal Information should only be handled by individuals who have been authorized to do so by the Company. All such individuals must abide by this policy.
The Company expects its Employees and any P&G contractors, suppliers, agencies, temporary workers, or any other parties acting on P&G’s behalf (collectively, “External Parties”) who collect or manage Employee Personal Information to follow this policy, whether they are utilizing P&G’s and/or their own electronic systems and data management tools. Employees are responsible for ensuring that any External Parties they work with in support of P&G operations comply with this policy.
Failure by Employees to comply with this policy can result in disciplinary action which may include termination. All disciplinary action will be applied in a manner consistent with local law. For External Parties collecting or managing Employee Personal Information on P&G’s behalf, failure to comply with this policy can lead to negative business consequences, up to and including termination of the business relationship, referrals to regulatory authorities, and/or claims for damages.
The Company makes every reasonable effort to ensure that Employee Personal Information is accurate and up to date for its intended use. Employees are equally responsible for updating and checking the accuracy of the information provided to P&G. If you provide Personal Information of others (e.g., of your beneficiaries and family members), you have the obligation to ensure they have granted consent to provide such Personal Information to the Company. Employees are also responsible for protecting the privacy and security of their and other employees’ Personal Information by complying with the Company’s “Security Fit” guidelines and policies, which can be reviewed at http://security.pg.com
Each P&G business unit shall perform its own self-assessments of compliance with this policy. In addition, P&G Global Internal Audit will periodically assess whether Employees and relevant third parties comply with this policy and related Company standards and procedures when they handle Employee Personal Information. Appropriate follow-up measures, if necessary, are enforced.
4.0 Policy
P&G respects your privacy. This policy describes how we process Employee Personal Information, the types of information we collect, for what purposes we use it, with whom we share it, and the choices you can make about our use of Employee Personal Information. We also describe the measures we take to protect the security of Employee Personal Information and how you can contact us about our privacy practices.
4.1 What types of Employee Personal Information Do We Collect?
The types of Personal Information the Company may collect from or about you include, but are not limited to:
- Personal characteristics such as gender, date of birth, marital status, citizenship and residency status, and place of birth
- Contact information such as name, address, zip code, phone/mobile number, email address
- Prior professional and academic data such as your résumé, CV, education and work history, including references
- Current professional data, including P&G band level, ID number, work location, email, phone number
- Trade union membership
- Your picture and your voice
- Financial account information
- Information collected during the employment application process
- Benefits enrollment data, including family composition and data about dependents
- Salary and compensation data
- Data required for legal and regulatory compliance, including information gathered as a result of internal investigations, regulatory inquiry, or related to litigation
- Performance, attendance, disciplinary and grievance records
- Digital signature, electronic identification data, and records regarding your use of P&G devices, software, and access to the P&G network, (such as your use of email, the internet, social media, and data that we collect through use of “cookie” and similar technologies, in accordance with the Company’s Electronic Network and Device Monitoring Policy
- Information collected by P&G security systems, including CCTV and site access systems
- Information gathered from your voluntary participation in marketing and research panels or focus groups for P&G products and services
- Information you choose to share (such as communications via the WBCM Helpline, Employee Service Center, IT Support PG Pulse, PG One communities, P&G Yammer, P&G external sites, or other sharing tools and services)
- Information available publicly and necessary for legitimate corporate business activities (including data obtained through background checks, such as criminal offense records, as allowed by law)
- Medical and health records you consent to sharing or that the Company is required to collect by law
- Ethnicity, race, political affiliation, sexual orientation, religious/philosophical beliefs as required to be collected or processed by the Company by law, or based on your consent
- Biometric data in limited circumstances
- Any other personal information required to be collected by law
4.2 For What Purposes Do We Use Employee Personal Information?
The Company may use Employee Personal Information for legitimate business purposes, including, but not limited to the following services and/or activities:
- Recruitment, staffing, and organizational planning and related analytics
- Compensation, payroll, expense reimbursement
- Health insurance, pension plan, and other benefits
- Relocation, and travel management, including government-required travel documentation
- Time and attendance, vacation, leave and other absences
- Performance management, career development, training
- Occupational health and wellness programs
- Facilities, security and contingency planning purposes
- Electronic device enrollment and management
- Network and device usage optimization and related physical and cyber security controls
- Sale or transfer of all or part of the business
- Litigation, investigations, audits, dispute resolution
- Daily work processing (e.g., authenticating /logging into our systems)
- Voluntary company programs and site services
- Corporate meetings and events
- Compliance with tax and other legal or regulatory requirements
- Other personnel related data management, including employee care (IT and human resources support)
Whenever reasonably possible and consistent with P&G’s legitimate business interest, your consent, the Company’s legal obligations, and/or to comply with the Company’s contractual obligations, P&G will inform you about the Personal Information that is collected about you and how it will be used. We will ask for your consent when you choose to use voluntary services we offer to our Employees from time to time, such as internal or external social networking platforms or other online tools.
4.3 How Do We Share Employee Personal information?
P&G will only share Employee Personal Information with those who have a legitimate business interest to know.
P&G may share your information with External Parties who perform P&G business operations on our behalf. The Company requires that External Parties provide equivalent levels of protection as applied by the Company when handling Employee Personal Information. We contractually require data processors operating as our vendors to process Employee Personal Data solely in accordance with our instructions and to use appropriate administrative, technical, and physical security methods to protect such data. These data processors may not otherwise use or disclose the information, except as authorized by P&G, and/or to comply with legal requirements.
There are certain situations where you will be asked to share personal information directly with providers connected to P&G’s employee services, where P&G does not control how your data is processed (e.g., pension providers). In those situations, please ensure you read and understand the privacy policies and practices of such providers.
Employee Personal Information may be shared with our headquarters and affiliates globally as necessary and appropriate to fulfill business-related purposes, including providing necessary benefits and payments to you. You can find information on how we protect Employee Personal Information in such a situation in Section 4.5 of this policy.
We may also disclose Employee Personal Information to respond to required legal processes; to enforce or protect the rights and policies of P&G; or to assist in the investigation of suspected or actual illegal activity. We may also share Employee Personal Information in the context of a business transaction involving part or all P&G business operations, such as a merger or acquisition. Following such a business transaction, you may contact the entity to which we transferred your Employee Personal Information with any inquiries concerning the use of that information.
4.4 What Are Your Privacy Rights?
You have the right to contact us and request to access the Employee Personal Information that we process and use about you. You may request that inaccurate, outdated or no longer necessary information be corrected, erased or restricted. Where required by applicable law, you may ask P&G to provide your data in a format that allows you to transfer your data to a service provider as appropriate in the circumstances. Where the processing of Employee Personal Information is based on consent, you have the right to withdraw your consent at any time.
When exercising these rights, we encourage you to first visit the “My Personal Information” section within “Life & Career” to verify your Employee Personal Information, update it and download it as needed. For any additional requests, please contact your Employee Care Team (contact details available on Life & Career) or a Human Resources representative in your country. If you are not happy with our response to your requests, you may lodge a complaint with the data protection authority in your country.
4.5 Do We Transfer Employee Personal Information?
Employee Personal Information may be transferred to other countries. P&G is a global business and has employees in many countries. Employee Personal Information may be stored in systems in the United States or elsewhere, accessed from other P&G affiliates worldwide, including their service providers, or transferred to other countries of the world as necessary to conduct the relevant business operations. This means that your Employee Personal Information may be transferred to countries outside the country in which you work. When your information is transferred to or accessed from countries outside your home country, we implement appropriate safeguards as well as any legally required contractual requirements to protect your information.
4.6 How Do We Secure Employee Personal Information?
We implement appropriate physical, administrative and technical measures, such as pseudonymizing, encryption and access controls, designed to protect Employee Personal Information against accidental, unlawful or unauthorized destruction, loss, alteration, disclosure, access or use, and all other unlawful forms of processing.
4.7 How Long Do We Keep Your Personal Information?
We keep Employee Personal Information for as long as necessary to fulfill business-related purposes, unless a longer retention period is required or permitted by applicable law. In some cases, we may need to retain Employee Personal Information for a period of time after the termination of your relationship with P&G in order to comply with legal or contractual obligations.
4.8 Does P&G Monitor Network and Device Usage
The Company monitors some network and device usage. P&G has an obligation to protect its employees, assets, and facilities. To that end, P&G has created an Electronic Network and Device Monitoring Policy [https://pgone.sharepoint.com/sites/PrivacyCentral/Pages/devicepolicy.aspx] to help meet our legal obligations and to help employees understand how this monitoring activity protects them and the Company. Under this policy, P&G monitors its networks and devices for two purposes: (i) to protect the security of P&G people, data, network, assets, facilities, reputation and competitive interests; and (ii) to investigate suspected or confirmed misconduct under P&G policy or violations of law (including in support of litigation). This monitoring is consistently handled in compliance with relevant laws and Company policies.
5.0 Sensitive Categories of Personal Information and “SPI” on P&G Networks and Devices
P&G acknowledges that certain types of data are more sensitive than others. Privacy laws around the world often use differing terminology in naming these categories of sensitive data, and also set varied compliance requirements for companies to follow in their processing of this data. No matter the terminology and requirements set by local laws, P&G ensures that it meets the relevant compliance elements in its processing of these more sensitive categories of personal data. In addition, P&G has, for purposes of some countries’ laws, labelled some categories of higher sensitivity data as “Sensitive Personal Information” or “SPI.” P&G defines SPI to be any information relating to an identifiable person that includes or implies race, ethnicity, political views, religion, health, sexual orientation, genetic or biometric data, and information about criminal convictions and offenses.
To limit P&G’s potential to access your Sensitive Personal Information in the course of running its business operations, your personal use of SPI is prohibited on P&G networks and devices. This means that an employee may not use Company devices (e.g., computers, Company provisioned tablets, CorporateMobile, etc.) or Company networks (P&G wireless internet connections, telephony networks, and LAN) for personal purposes involving SPI. For example, employees should not visit websites that strongly imply SPI such as medical specialists’ webpages or webpages for houses of worship. This means that employees may NOT use functionality like email/calendar/web browsing for any personal activity that uses or implies SPI data. To be clear, P&G will not monitor SPI (or any data for that matter) on personal employee devices that do not connect to P&G networks.
Related to the previous paragraph, the only permitted use of SPI is Company-related. For Company-related purposes, P&G processes and uses your SPI in only in two, specific ways: (1) as required for business and employment purposes (e.g., providing you with health benefits, recording work disabilities or injuries, etc.) and (2) based on your consent when you participate in Company-approved groups (as examples, GABLE and AALN) or use Company-sponsored applications that might gather SPI (for example, a Company health and wellness app).
Given the above, P&G will only process Sensitive Personal Information to provide you with a Company benefit, fulfill an obligation under employment law, and/or to protect your data from cybersecurity threats. If you have more questions about what is SPI and/or how P&G handles such data, please contact the corporate privacy team, at the email address provided in Section 6.0 below
6.0 Contact Information
The P&G entity with which you have your employment relationship is your employer and therefore the controller of your Employee Personal Information. If you have questions about your Personal Information, contact the HR representative in your country or email us at [corporateprivacy.im@pg.com]. Please also see Section 4.4 above for information about how to exercise any of your rights under applicable data protection laws. For contact information specific to certain countries, see Addendum A to this Notice. If you have concerns about a potential data breach of your Employee Personal Information or any personal information being handled by P&G, please email us at securityincident@pg.com
7.0 Additional Information
Resources: Resources available to you are listed on Privacy Central [http://privacy.pg.com], including the P&G-designated country-level Data Protection Officers (see Appendix A).
Questions About Use of Your Employee Personal Information: If you are asked to provide Personal Information about yourself or your family members and you question the business relevancy of the request or if you have other questions or concerns regarding your Employee Personal Information, please contact your HR representative.
Reporting Potential Policy Violations: If you feel this policy has been violated, you have many resources available to help you, including your immediate manager, your HR representative, the Company’s Global Privacy Officer, a member of the P&G Legal Division, WBCM Helpline (where applicable) and/or your Data Protection Officer (where applicable). We will follow the Company’s Incident Response Guidelines for any reported violation.
Future Modifications of This Policy: P&G reserves the right to modify this policy as needed, for example, to comply with changes in laws, regulations, Company practices and procedures, or to respond to new threats or new requirements imposed by data protection authorities. Where such changes materially affect our processing of your Employee Personal Information, we will accordingly notify you.
8.0 Definitions
Employee: For the purposes of this policy, the term Employee includes current and former P&G employees and retirees.
Personal Information: Any information relating to an identified or identifiable individual.
The Company or P&G: For purposes of this policy, the Company or P&G refers to The Procter & Gamble Company and/or its subsidiaries and affiliates.
ADDENDUM A
Asia:
Procter & Gamble Philippines, Inc.
Jocelyn J. Gregorio-Reyes
+632558-4250
Procter & Gamble International Operations SA (ROHQ) – GBS
Jennifer Pascual-Sy
Procter & Gamble Korea S&D Company
Lincoln Park
+82-2-6940-6361
European Union:
Belgian Pension Fund
Guido Pieroth
+41-58 004 7560
P & G Health Germany GmbH
Ernst Kuper
+49 6151 856 3158
All Other German P&G Companies
Jörg Becker
+49 173 696 8549
Violating this policy may result in disciplinary action, consistent with local laws, up to and including termination. Employees affected by this policy are expected to read and follow it, directing any questions to the Policy Contact.