RPM INTERNATIONAL INC. JA SEN TYTÄRYHTIÖT JA OPERATIIVISET YRITYKSET SAFE HARBOR -TIETOSUOJAILMOITUS VOIMAANTULOPÄIVÄ: 12. elokuuta 2015 Tässä ilmoituksessa esitetään periaatteet, joita RPM International Inc. ja sen Yhdysvalloissa sijaitsevat operatiiviset yhtiöt, tytäryhtiöt tai osastot ja ryhmät (jäljempänä RPM ) noudattavat työntekijöiden henkilötietojen (henkilöresurssitiedot) sekä myyjien ja asiakkaiden henkilötietojen siirtämisessä Yhdysvaltoihin Euroopan talousalueen (ETA) jäsenvaltioiden alueilta. RPM noudattaa Yhdysvaltain kauppaministeriön esittämää Yhdysvaltain ja EU:n välisiä Safe Harbor -puitteita sekä Yhdysvaltain ja Sveitsin välisiä Safe Harbor puitteita, jotka koskevat Euroopan unionin jäsenvaltioista ja Sveitsistä lähtöisin olevien henkilötietojen keräämistä, käyttöä ja säilyttämistä. RPM on vahvistanut noudattavansa Safe Harbor -tietosuojaperiaatteita, jotka koskevat ilmoitusta, valintaa, välittämistä, turvallisuutta, tietojen loukkaamattomuutta, pääsyä ja lainvalvontaa. Saat lisätietoja Safe Harbor -ohjelmasta ja näet RPM:n sertifikaatin osoitteessa http://www.export.gov/safeharbor/. Kuten käytetty ilmoituksessa: Työntekijän henkilökohtaiset tiedot tarkoittavat tietoja, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan RPM:n työntekijään ja joita ylläpidetään sähköisenä tiedostona tai asianmukaisessa arkistointijärjestelmässä. Määritelmä kattaa tiedot, joita työntekijään liitettyinä voidaan käyttää hänen tunnistamiseensa (esimerkiksi osoite, puhelinnumero, sukupuoli, syntymäaika, palkkahallinnon tiedot, puhelin- ja tietoliikennetiedot, työsuorituksen arvioinnit). Tilastollisia, historiallisia ja tieteellisiä tai muita tarkoituksia varten käytetyt nimettömät tiedot ovat poissuljettuja. Myyjän henkilökohtaiset tiedot tarkoittavat tietoja, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan RPM:n myyjään tai myyjän työntekijään tai liittolaiseen ja joita ylläpidetään sähköisenä tiedostona tai asianmukaisessa arkistointijärjestelmässä. Määritelmä kattaa tiedot, joita myyjään tai myyjän työntekijään tai liittolaiseen liitettyinä voidaan käyttää hänen tunnistamiseensa (esimerkiksi liikeosoite, sähköpostiosoite, puhelinnumero, sukupuoli, syntymäaika). Tilastollisia, historiallisia ja tieteellisiä tai muita tarkoituksia varten käytetyt nimettömät tiedot ovat poissuljettuja. Asiakkaan henkilökohtaiset tiedot tarkoittavat tietoja, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan RPM:n työntekijään ja joita ylläpidetään sähköisenä tiedostona tai asianmukaisessa arkistointijärjestelmässä. Määritelmä kattaa tiedot, joita asiakkaaseen tai työntekijään tai asiakkaan liittolaiseen liitettyinä voidaan käyttää hänen tunnistamiseensa (esimerkiksi työosoite, sähköpostiosoite, puhelinnumero, sukupuoli, syntymäaika). Tilastollisia, historiallisia ja tieteellisiä tai muita tarkoituksia varten käytetyt nimettömät tiedot ovat poissuljettuja. Arkaluonteiset työntekijän tiedot ovat työntekijöiden henkilökohtaisia tietoja, jotka käsittävät työntekijän potilastiedot tai joista voidaan tunnistaa rotu tai etninen alkuperä, poliittiset {00667695.DOC;1 }COI-1400422v1
mielipiteet, uskonnollinen tai filosofinen vakaumus, ammattiliittoon kuuluminen tai sukupuolielämä. Edustaja tarkoittaa kolmatta osapuolta, joka käyttää RPM:n antamia työntekijöiden henkilökohtaisia tietoja tehtävien suorittamiseen RPM:n puolesta ja sen ohjeiden mukaisesti. SOVELTAMISALA Tämä ilmoitus koskee kaikkia RPM:n hallussa olevien ja lähettämien työntekijöiden, myyjien tai asiakkaiden henkilökohtaisten tietojen kaikissa muodoissa (myös sähköisesti, kirjallisesti tai suullisesti) Yhdysvaltoihin ETA:n alueelta tietoliikenne- tai tietokonelinjojen kautta tai paperiversiona; ja riippumatta siitä, onko niiden toimittaja työntekijä, myyjä vai asiakas; RPM ja sen operatiivinen yhtiö tai edustaja tai kolmas osapuoli jollain muulla tavalla. HENKILÖTIETOJEN KERÄÄMINEN, KÄYTTÖ JA TALLENTAMINEN RPM kerää, käyttää ja säilyttää työntekijöiden, myyjien ja asiakkaiden henkilötietoja vain, jos tällaiset tiedot ovat tarpeen ja asianmukaista laillista liiketoimintaa ja oikeudellisia tarkoituksia varten. Kun RPM kerää työntekijöiden, myyjien tai asiakkaiden henkilötietoja suoraan yksittäisiltä henkilöiltä ETA:n talousalueella, se pyrkii ilmoittamaan heille, mihin tarkoituksiin tietoja kerätään ja käytetään, minkä tyyppisille kolmansia osapuolia edustaville ei-edustajille RPM paljastaa näitä tietoja, ja millaisia valintoja ja keinoja RPM tarjoaa tietojen käytön ja julkistamisen rajoittamiseen. RPM pyrkii antamaan ilmoituksen selkeästi ja yksiselitteisesti samassa yhteydessä, kun henkilöitä ensimmäisen kerran pyydetään antamaan tällaisia tietoja RPM:lle, tai mahdollisimman pian sen jälkeen, ja joka tapauksessa ennen kuin RPM käyttää tietoja muuhun tarkoitukseen kuin mihin ne on alun perin kerätty. Kun RPM saa työntekijöiden, myyjien tai asiakkaiden henkilötietoja tytäryhtiöiltä, sisaryhtiöiltä, edustajilta ja muilta tahoilta ETA:ssa, se käyttää näitä tietoja näiden tahojen antamien ilmoitusten mukaan ja noudattaen niiden henkilöjen valintoja, joihin tiedot liittyvät. Yksittäisten työntekijöiden, myyjien ja asiakkaiden henkilötietojen käyttäjiä ja jakajia ovat RPM:n osastot, tytäryhtiöt ja sisaryhtiöt, edustajat (esim. tietotekniikka- ja muut ammatilliset ja ei-ammatilliset palvelut, etuusohjelmien rahoittajat ja hallintohenkilöstö, jne.), asianmukaiset valtion elimet ja virastot, ja kolmannet osapuolet lakien tai määräysten sallimalla tai vaatimalla tavalla tai tuomioistuimen päätöksen mukaisesti. Työntekijöiden henkilötietojen käyttöihin voi sisältyä: Johdon ja työntekijöiden viestintä ja ilmoitukset Virkailijoiden ja työntekijöiden henkilöhistoriat, ansioluettelo ja vastaavat tiedot Hätätilanteen yhteystiedot Globaali yrityksen henkilöstömäärä ja Johtajan ja toimihenkilöiden vastuuvakuutus Tytäryrityksen pankkitilien perustaminen Terveydenhuollon palvelujen suunnittelu ja huolehtiminen, kuten huumekokeet, {00667695.DOC;1 }COI-1400422v1-2 -
väestötiedot Urakehitys ja eteneminen Henkilöstösuunnittelu Seuraajasuunnittelu Korvaukset ja etuudet Työsuhde-etuuksien ja etuussuunnitelmien perustaminen ja hallinto Palkinnot ja tunnustukset Matka- ja kulukorvaukset, kuten matkaja/tai luottokorttihallinto Koulutus Siirto Veroraportointi ja ennakonpidätykset Palkkahallinto, mukaan lukien vähennykset, maksut jne. Teolliset suhteet, mukaan lukien epäkohtien käsittely Sisäänkirjautumis-, tietokone- ja verkkosivustoapu Riskinarviointimittaus ja riskien vähentäminen Myyjien tai asiakkaiden henkilötietojen käyttöön voi sisältyä: Tuotteiden markkinointi Koulutus Takuut ja vakuutuskorvausvaatimus Sisäänkirjautumis-, tietokone- ja verkkosivustoapu työntekijöiden korvauskäsittely tai vastaavat terveys- ja turvallisuusohjelmat Henkilökohtainen turvallisuus, mukaan lukien pääsynvalvonta ja tietokone- ja muiden järjestelmien turvallisuus Raportointi ja tilastolliset analyysit Henkilöstöön liittyvät toimet Oikeudellinen ja lainsäädännöllinen raportointi ja muut vaatimukset, mukaan lukien työpaikan ympäristö, terveys- ja turvallisuusraportointi ja hallinto Viisumit, lisenssit ja muut työoikeusluvat Tuonti- ja vientikontrollit Sisäiset ja ulkoiset tutkimukset, mukaan lukien liiketoiminnan käytäntöjen tarkistukset, Internet, intranet, sähköposti ja muu elektroninen valvonta, lainvalvonta ja muut valtiovallan tiedustelut Liiketoiminnan suunnittelu, mukaan lukien fuusioiden syytteeseenpano, yritysostot ja -myynnit, sekä Johtaja- ja virkamiestason rekisteröinti/arkistointi valtion eri virastojen kanssa. Kirjanpidon, hallinnon ja raportoinnin tuotantoketju Laskutus ja maksut Asiakaspalvelu ja tuoteapu Riskinarviointimittaus ja riskien vähentäminen VALINTA RPM pyrkii tarjoamaan työntekijöille, myyjille tai asiakkaille mahdollisuuden valita (opt-out) voidaanko heidän henkilötietojaan (a) paljastaa ulkopuoliselle ei-edustajille tai (b) käyttää muuhun kuin siihen tarkoitukseen, johon se on alun perin kerätty tai jälkeenpäin valtuutettu. {00667695.DOC;1 }COI-1400422v1-3 -
RPM voi joskus ilmoittaa työntekijöille, myyjille ja asiakkaille saatavilla olevista tarjouksista valikoiduilta ulkopuolisilta ei-edustajilta, mutta RPM pyrkii varmistamaan, ettei työntekijöiden, myyjien ja asiakkaiden henkilökohtaisia tietoja luovuteta tällaisille osapuolille ilman työntekijän suostumusta. Arkaluontoisten henkilötietojen kohdalla RPM pyrkii tarjoamaan henkilöille tilaisuuden antaa nimenomainen suostumus (opt-in) ennen (a) tietojen paljastamista ulkopuoliselle ei-edustajalle tai (b) ennen tietojen käyttöä muuhun kuin siihen tarkoitukseen, johon ne on alun perin kerätty tai johon ne on jälkeenpäin valtuutettu. Henkilöille, jotka valitsevat opt-in-vaihtoehdon, ilmoitetaan menettelytavasta, jota noudatetaan tämän valinnan käytössä. TIETOJEN SUOJAAMINEN RPM käyttää työntekijöiden, myyjien ja asiakkaiden henkilötietoja vain tavalla, joka vastaa tarkoituksia, joihin ne on kerätty tai joihin ne on myöhemmin valtuutettu. RPM ryhtyy kohtuullisiin toimiin varmistaakseen, että henkilötiedot ovat merkityksellisiä sen käyttötarkoitukselle ja että ne ovat tarkat, täydelliset ja ajantasaiset. SIIRROT EDUSTAJILLE RPM pyrkii saamaan edustajiltaan takeet siitä, että ne turvaavat työntekijöiden, myyjien tai asiakkaiden henkilökohtaisia tietoja johdonmukaisesti tämän ilmoituksen mukaisesti. Jos RPM saa tietoonsa, että edustaja käyttää tai luovuttaa työntekijän, myyjien tai asiakkaiden henkilötietoja tämän ilmoituksen vastaisesti, RPM ryhtyy kohtuullisiin toimenpiteisiin tällaisen käytön tai julkistamisen estämiseksi tai lopettamiseksi. PÄÄSY JA KORJAUSTOIMENPITEET Pyynnöstä RPM myöntää henkilöille kohtuullisen pääsyn työntekijöiden, myyjien tai asiakkaiden omiin henkilökohtaisiin tietoihin. Lisäksi RPM ryhtyy kohtuullisiin toimenpiteisiin, jotta henkilöt voivat korjata, muuttaa tai poistaa vääriksi tai puutteellisiksi osoittautuneet tiedot. TURVALLISUUS RPM tekee parhaansa varmistaakseen työntekijöiden, myyjien ja asiakkaiden henkilökohtaisten tietojen turvallisuuden ja eheyden riippumatta siitä, onko tietojen toimittaja ollut työntekijä, RPM ja sen operatiivinen yhtiö tai sen edustaja tai kolmas osapuoli muulla tavalla. RPM ryhtyy kohtuullisiin varotoimiin suojatakseen hallussaan olevia henkilötietoja katoamiselta, väärinkäytöksiltä ja luvattomalta käytöltä, paljastumiselta, muutoksilta tai tuhoutumiselta. Työntekijän henkilötiedot ovat saatavilla RPM:n sisällä ainoastaan henkilöille, jotka tarvitsevat näitä tietoja liiketoiminnan harjoittamiseen. TÄYTÄNTÖÖNPANO RPM pyrkii käyttämään säännöllisiä varmistuskatsauksia, joista vastaavat henkilöstöhallinto, osto- ja myyntipalvelujohtajat ja muut työntekijöiden, myyjien tai asiakkaiden henkilötietoja käsittelevät henkilöt. Tarkoituksena on tämän ilmoituksen noudattamisen varmistaminen ja {00667695.DOC;1 }COI-1400422v1-4 -
vuosittaisen Safe Harbor-mukautumissertifikaattien tukeminen Yhdysvaltain kauppaministeriölle. Työntekijä, joka rikkoo tätä ilmoitusta, kohdistuu kurinpidollisille toimille, mukaan lukien irtisanominen. YHTEYSTIEDOT JA ERIMIELISYYKSIEN SOVITTELU Kysymyksiä tai huolenaiheita, jotka koskevat tätä ilmoitusta ja sen soveltamista, tulee osoittaa RPM:n lainopilliselle neuvonantajalle alla annetussa osoitteessa. RPM tutkii ja yrittää ratkaista kysymyksiä, valituksia ja erimielisyyksiä tämän ilmoituksen sisältämien periaatteiden mukaisesti. Valitukset, joita RPM ei voi ratkaista, RPM pyrkii ratkaisemaan yhteistyössä Euroopan tietosuojaviranomaisten kanssa. RPM noudattaa tarvittaessa erityisiä tietosuojaviranomaisten määräämiä toimia Safe Harbor -periaatteiden noudattamiseksi. Tätä ilmoituksia koskevat kysymykset tai kommentit voidaan osoittaa RPM:n lainopilliselle neuvonantajalle, Edward W. Moore, postitse tai sähköpostitse seuraavasti: RPM International Inc. Attn: Edward W. Moore, General Counsel 2628 Pearl Road, P.O. Box 777 Medina, Ohio 44258 emoore@rpminc.com MUUTOKSIA TÄHÄN TIEDOTTEESEEN Tätä ilmoitusta voidaan tarvittaessa muuttaa aika ajoin Safe Harbor -periaatteiden mukaisesti. Tällaisista muutoksista annetaan asianmukainen julkinen ilmoitus. {00667695.DOC;1 }COI-1400422v1-5 -