Kontaktiere uns

Die britischen Datenschutzstandards
(die Standards")

1. ZWECK

1.1         Über uns

Flex ist ein sozial verantwortlicher und führender Anbieter von Fertigungsdienstleistungen für Elektronik, der Design-, Engineering- und Fertigungsdienstleistungen für Hersteller von Originalausrüstung in den Bereichen Luft- und Raumfahrt, Verteidigung, Automobil, Computer, Verbraucher, Industrie, Infrastruktur, Medizin, Energie und Mobilgeräte anbietet. Flex unterstützt Kunden bei der Entwicklung, Herstellung, Lieferung und Wartung von Elektronik und anderen Produkten über ein Netzwerk internationaler Niederlassungen. Diese globale Präsenz bietet Design- und Engineering-Lösungen in Kombination mit zentralen Fertigungs- und Logistikdienstleistungen für Elektronik.

1.2         Unser Engagement für den Datenschutz

Diese Standards legen unseren Ansatz und die Verpflichtung der Flex Group und ihrer Geschäftsleitung und ihres Vorstands dar, die höchsten Datenschutzstandards einzuhalten. Diese Standards für die Verarbeitung personenbezogener Daten beziehen sich auf die personenbezogenen Daten von Mitarbeitern, Auftragnehmern und Geschäftskontakten oder anderen Personen und müssen von allen Mitgliedern und Mitarbeitern der Flex Group eingehalten werden, und die Geschäftsleitung und der Vorstand werden deren Einhaltung durchsetzen. Die Nichteinhaltung dieser Standards führt zu entsprechenden Korrektur- und Disziplinarmaßnahmen.

1.3         Ziel dieser Standards

Wir behandeln alle personenbezogenen Daten in Übereinstimmung mit den Datenschutzgesetzen und allen anderen geltenden Gesetzen. Unsere Einhaltung dieser Standards bietet Ihnen den erforderlichen Schutz, damit wir bestimmte personenbezogene Daten innerhalb der Flex-Gruppe verarbeiten können, einschließlich der Übermittlung dieser personenbezogenen Daten außerhalb des Vereinigten Königreichs.

2. DEFINITIONEN UND ABKÜRZUNGEN

Anwendbares Recht bezeichnet alle anwendbaren lokalen Gesetze und Bestimmungen zum Datenschutz und zur Wahrung der Privatsphäre, einschließlich aber nicht beschränkt auf die Datenschutzgesetze.

Geschäftliche Kontaktdaten bezeichnet personenbezogene Daten im Zusammenhang mit die Geschäftskontakte bei Kunden und Lieferanten der Flex Group;

Datencontroller bezeichnet die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet;

Datenprivatsphäre bedeutet Datenschutz gemäß den Datenschutzgesetzen;

Datenprozessor bezeichnet die natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Datenverantwortlichen verarbeitet;

Datenschutzgesetze bedeutet britische Datenschutzgesetze;

Betroffener bezeichnet eine identifizierte oder identifizierbare natürliche Person;

Personenbezogene Daten von Mitarbeitern bedeutet Personenbezogene Daten in Bezug auf: (a) aktuelle, ehemalige und potenzielle Mitarbeiter; (b) aktuelle, ehemalige und potenzielle einzelne Auftragnehmer; (c) Freiwillige; (d) Vertreter; (e) Zeit- und Gelegenheitsarbeiter; und (f) Angehörige, Verwandte, Erziehungsberechtigte und Partner der in (a) bis (e) der Flex-Gruppe genannten betroffenen Personen;

Flex-Gruppe bezeichnet Flex Ltd. mit Sitz in Singapur und Sitz in 2 Changi South Lane, Singapur, und alle ihre Tochtergesellschaften, die an diese Standards gebunden sind;

Globaler Datenschutzbeauftragter ist der Datenschutzbeauftragte im Sinne der britischen Datenschutzgesetze;

Globale Richtlinie zu den Rechten betroffener Personen bezeichnet die beigefügte Police Anhang C dieser Standards;

Globales Verfahren zur Erhebung und Bearbeitung von Datenschutzbeschwerden bezeichnet die beigefügte Police Anhang D dieser Standards;

Persönliche Daten bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, die anhand dieser Informationen direkt oder indirekt identifiziert werden kann, einschließlich, aber nicht beschränkt auf personenbezogene Mitarbeiterdaten, Geschäftskontaktdaten und Daten Dritter;

Regulierung / DSGVO bezeichnet die Datenschutz-Grundverordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und alle Gesetze, die diese umsetzen, ergänzen, sich darauf beziehen oder sie ersetzen.

wird bearbeitet hat die in den britischen Datenschutzgesetzen und -prozessen festgelegte Bedeutung und Prozesse sind entsprechend auszulegen.

Daten besonderer Kategorien bezeichnet alle personenbezogenen Daten, aus denen die rassische oder ethnische Herkunft einer betroffenen Person hervorgeht; ihre politischen Meinungen, religiösen oder philosophischen Überzeugungen oder ihre Gewerkschaftsmitgliedschaft; genetische Daten; biometrische Daten, die zum Zweck der eindeutigen Identifizierung einer natürlichen Person verarbeitet werden; Daten über Gesundheit, Sexualleben oder sexuelle Orientierung; und umfasst für die Zwecke dieser Standards auch Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten;

Aufsichtsbehörde bezeichnet das Information Commissioner's Office;

Normen bezeichnet die in diesem Dokument dargelegten Bedingungen;

Daten von Drittanbietern bezeichnet personenbezogene Daten in Bezug auf Dritte, wie etwa Kontaktdaten anderer Personen, Informationen zu Beschwerden und CCTV-Bilder;

Vereinigtes Königreich bedeutet das Vereinigte Königreich;

Britische Datenschutzgesetze bezeichnet die Datenschutz- und Privatsphärengesetze im Vereinigten Königreich (einschließlich der Verordnung in der durch jegliche Gesetzgebung geänderten Fassung, die sich aus dem Austritt des Vereinigten Königreichs aus der Europäischen Union ergibt („DSGVO für Großbritannien”) und dem Data Protection Act 2018 in der jeweils gültigen Fassung;

Wir, unser und/oder uns bezeichnet die Flex-Gruppe und ihre Mitarbeiter; und

Du bezeichnet eine betroffene Person, deren personenbezogene Daten von der Flex-Gruppe verarbeitet werden.

3. HINTERGRUND

3.1         Was ist Datenschutzrecht?

Der Datenschutz (auch als „Datenschutz“ bekannt) verlangt von Unternehmen, personenbezogene Daten gemäß bestimmten Grundsätzen guter Praxis zu verarbeiten. Er gewährt Einzelpersonen auch bestimmte Rechte (zum Beispiel auf Zugriff und Korrektur ihrer Informationen). Das Datenschutzgesetz regelt die Art und Weise, wie Flex personenbezogene Daten über Mitarbeiter, Auftragnehmer, Geschäftskontakte und andere Personen sammelt, speichert und verwendet.

3.2         Welchen internationalen Einfluss hat das Datenschutzgesetz auf Flex?

Datenschutzgesetze erlauben keine internationale Übermittlung personenbezogener Daten in Länder außerhalb des Vereinigten Königreichs, sofern sie nicht ein angemessenes Datenschutzniveau gewährleisten. Flex hat geeignete Schritte unternommen, um sicherzustellen, dass jede Übermittlung personenbezogener Daten in Länder außerhalb des Vereinigten Königreichs rechtmäßig ist. Diese Standards schaffen einen verbindlichen Rahmen für Unternehmensregeln, um die in den Datenschutzgesetzen enthaltenen Regeln einzuhalten und ein angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten, die gemäß den Datenschutzgesetzen (insbesondere dem in den britischen Datenschutzgesetzen festgelegten Mechanismus zur Genehmigung verbindlicher Unternehmensregeln) an Unternehmen der Flex-Gruppe außerhalb des Vereinigten Königreichs übermittelt werden. Flextronics Global Services (Manchester) Limited ist das Mitglied der Flex-Gruppe mit delegierter Verantwortung für den Datenschutz und ist für die Einhaltung dieser Standards verantwortlich.

4. GELTUNGSBEREICH

4.1         Von diesen Standards abgedeckte Daten

Diese Standards gelten für unsere Verarbeitung und die Übermittlung personenbezogener Daten durch uns, die den Datenschutzgesetzen unterliegen, für die wir Datenverantwortlicher sind, sowie für:

(a) die Verarbeitung dieser personenbezogenen Daten durch ein Mitglied der Flex-Gruppe im Vereinigten Königreich;

(b) die Verarbeitung dieser personenbezogenen Daten im Vereinigten Königreich durch ein Mitglied der Flex Group mit Sitz außerhalb des Vereinigten Königreichs: (i) während die Datenschutz-Grundverordnung (EU) 2016/679 im Vereinigten Königreich als Recht gilt, in einem Land, das nicht zum EWR gehört, oder in einem Land, das gemäß einer Entscheidung der Europäischen Kommission gemäß Artikel 45 der DSGVO für die Zwecke der Übermittlung personenbezogener Daten als angemessen erachtet wird; und (ii) zu dem Zeitpunkt, wenn die Datenschutz-Grundverordnung (EU) 2016/679 im Vereinigten Königreich nicht mehr als Recht gilt, in einem Land, das gemäß den Angemessenheitsbestimmungen gemäß Abschnitt 17A des Data Protection Act 2018 für die Zwecke der Übermittlung personenbezogener Daten nicht als angemessen erachtet wird;

(c) die Übermittlung dieser personenbezogenen Daten aus dem Vereinigten Königreich nach außerhalb des Vereinigten Königreichs: (i) während die Datenschutz-Grundverordnung (EU) 2016/679 im Vereinigten Königreich als Recht gilt, in einem Land, das nicht zum EWR gehört, oder in einem Land, das gemäß einer Entscheidung der Europäischen Kommission gemäß Artikel 45 der DSGVO für die Zwecke der Übermittlung personenbezogener Daten als angemessen erachtet wird; und (ii) zu dem Zeitpunkt, wenn die Datenschutz-Grundverordnung (EU) 2016/679 im Vereinigten Königreich nicht mehr als Recht gilt, in einem Land, das gemäß den Angemessenheitsbestimmungen gemäß Abschnitt 17A des Data Protection Act 2018 für die Zwecke der Übermittlung personenbezogener Daten nicht als angemessen erachtet wird, in jedem Fall von einem Mitglied der Flex-Gruppe an ein anderes Mitglied der Flex-Gruppe und die anschließende Verarbeitung oder Weiterübermittlung dieser personenbezogenen Daten durch dieses Mitglied an andere Mitglieder der Flex-Gruppe.

(d) Die von uns durchgeführte Verarbeitung kann manuell oder automatisiert erfolgen. Die von uns verarbeiteten Arten personenbezogener Daten sind personenbezogene Mitarbeiterdaten, Geschäftskontaktdaten und andere personenbezogene Daten.

4.2         Die beigefügten Tabellen Anhang B dieser Standards enthalten eine allgemeine Beschreibung der personenbezogenen Daten, die im Rahmen dieser Standards übertragen werden.

4.3         Die Standards gelten für die gesamte Verarbeitung personenbezogener Daten innerhalb der Flex-Gruppe, sofern diese personenbezogenen Daten den Datenschutzgesetzen und Abschnitt 4.1 der Standards unterliegen.

5. GRUNDSÄTZE

Wenn Flex ein Datenverantwortlicher ist, gelten die folgenden Grundsätze:

5.1         Wir verarbeiten personenbezogene Daten rechtmäßig, fair und transparent („Rechtmäßigkeit, Fairness und Transparenz“)

Wir verarbeiten personenbezogene Daten fair und rechtmäßig. Eine oder mehrere der in Anhang A oder gemäß Datenschutzgesetzen, auf die man sich stützen sollte, um die Datenverarbeitung zu legitimieren, werden immer eingehalten. Wir stellen sicher, dass für Sie klar ist, wie Ihre personenbezogenen Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden oder werden. Wir stellen auch die gemäß Datenschutzgesetzen erforderlichen Informationen bereit, darunter Informationen zur Erläuterung, wie wir personenbezogene Daten offenlegen und/oder übertragen können, sowie die Rechtsgrundlage für die Verarbeitung, berechtigte Interessen, Empfängerkategorien und verfügbaren Rechte. Alle Informationen und Mitteilungen in Bezug auf die Verarbeitung Ihrer personenbezogenen Daten sind leicht zugänglich und leicht verständlich.

5.2         Wir informieren Sie über die Verarbeitung Ihrer personenbezogenen Daten und informieren Sie über Ihre Rechte gemäß diesen Standards.

Diese Standards sind öffentlich auf der öffentlichen Website von Flex sowie auf dem internen Datenschutzportal von Flex und auf schriftliche Anfrage beim globalen Datenschutzbeauftragten verfügbar. Bevor Ihre personenbezogenen Daten verarbeitet werden, teilen wir Ihnen die Identität des Unternehmens der Flex-Gruppe mit, das der Datenverantwortliche ist, und stellen Ihnen alle Informationen zur Verfügung, die gemäß den Datenschutzgesetzen und diesen Standards erforderlich sind.

5.3         Wir stellen sicher, dass personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke verarbeitet werden („Zweckbindung“).

Wir stellen sicher, dass die von uns über Sie gespeicherten personenbezogenen Daten für bestimmte, eindeutige und legitime Zwecke verarbeitet werden, die zum Zeitpunkt der Erfassung der personenbezogenen Daten festgelegt wurden, und nicht für zusätzliche Zwecke weiterverarbeitet werden, die mit den ursprünglichen Zwecken, für die die personenbezogenen Daten erhoben wurden, unvereinbar sind.

5.4         Wir stellen sicher, dass wir die Grundsätze der Datenminimierung in Bezug auf personenbezogene Daten einhalten („Datenminimierung“)

Wir stellen sicher, dass wir bei unseren Verarbeitungsvorgängen personenbezogene Daten verarbeiten, die angemessen und relevant sind und sich auf das beschränken, was für die Zwecke, für die wir die personenbezogenen Daten verarbeiten, erforderlich ist. Wir stellen sicher, dass der Zeitraum, für den die personenbezogenen Daten gespeichert werden, auf ein striktes Minimum beschränkt ist. Wir bewahren personenbezogene Daten nicht länger auf, als es für die Zwecke, für die sie erhoben und verarbeitet werden, erforderlich ist, es sei denn, sie sind nach geltendem Recht länger aufzubewahren. Personenbezogene Daten werden nur verarbeitet, wenn die Zwecke der Verarbeitung nicht auf andere Weise erfüllt werden können.  Wir beschränken den Zugriff auf personenbezogene Daten auf diejenigen Mitarbeiter, die diesen Zugriff zur Erfüllung ihrer Aufgaben benötigen. Wir verlangen von unseren Verkäufern und Lieferanten, dass sie einen ähnlichen Umgang mit personenbezogenen Daten verfolgen, auf die sie bei der Erbringung von Dienstleistungen für Flex zugreifen.

5.5         Wir stellen sicher, dass personenbezogene Daten korrekt sind und, falls erforderlich, auf dem neuesten Stand gehalten werden („Richtigkeit“)

Wir stellen sicher, dass personenbezogene Daten auf dem neuesten Stand und korrekt sind. Flex bietet Einzelpersonen verschiedene Möglichkeiten, ihre personenbezogenen Daten zu aktualisieren und zu korrigieren, unter anderem online, mithilfe von Self-Service-Systemen und durch Kontaktaufnahme mit HR Global Business Services oder der entsprechenden Person. Wir stellen sicher, dass wir alle angemessenen Schritte unternehmen, um sicherzustellen, dass ungenaue personenbezogene Daten unverzüglich korrigiert oder gelöscht werden.

5.6         Wir stellen sicher, dass personenbezogene Daten in einer Form gespeichert werden, die die Identifizierung von Einzelpersonen nur so lange ermöglicht, wie es für die Zwecke, für die die personenbezogenen Daten verarbeitet werden, erforderlich ist („Speicherbegrenzung“).

Wir stellen sicher, dass für die Löschung oder regelmäßige Überprüfung der personenbezogenen Daten Fristen gemäß der geltenden Gesetzgebung, einschließlich der Datenschutzgesetze, festgelegt werden.

5.7         Wir verwenden angemessene Sicherheits- und Vertraulichkeitsvorkehrungen, um Ihre personenbezogenen Daten zu schützen („Integrität und Vertraulichkeit“)

Wir verwenden geeignete technische, organisatorische, administrative und physische Sicherheitsmaßnahmen, um Ihre personenbezogenen Daten vor unbefugter oder unrechtmäßiger Verarbeitung und vor versehentlichem Verlust, Zerstörung oder Beschädigung zu schützen. Unter Berücksichtigung des Stands der Technik, der Kosten für die Umsetzung dieser Maßnahmen sowie der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung und der unterschiedlichen Wahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen wir Sicherheitsmaßnahmen, die den durch die Verarbeitung und die Art der zu schützenden Daten bedingten Risiken angemessen sind. Darüber hinaus wird Flex im Falle einer Datenschutzverletzung die Aufsichtsbehörde benachrichtigen, es sei denn, es ist unwahrscheinlich, dass die Datenschutzverletzung zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt, und die betroffenen Personen benachrichtigen, wenn die Datenschutzverletzung wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen führt.

5.8         Wir gewähren Ihnen das Recht auf Zugang, Berichtigung, Löschung, Einschränkung, Portabilität und Widerspruch gegen die Verarbeitung gemäß den Datenschutzgesetzen.

Sie haben das Recht, eine Kopie aller über Sie gespeicherten personenbezogenen Daten anzufordern. Wir gewähren Ihnen Zugriff auf diese Daten, soweit dies nach den Datenschutzgesetzen erforderlich ist, es sei denn, wir sind nach den Datenschutzgesetzen dazu berechtigt, die Anfrage abzulehnen oder nur teilweise zu erfüllen (z. B. wenn Anfragen einer betroffenen Person offensichtlich unbegründet oder übertrieben sind, insbesondere aufgrund ihres repetitiven Charakters). Sofern dies nach den Datenschutzgesetzen zulässig ist, können wir hierfür eine Gebühr erheben.

Sie haben das Recht, von uns die Berichtigung Ihrer personenbezogenen Daten zu verlangen, wenn diese unrichtig sind, einschließlich mittels einer ergänzenden Erklärung, wenn die personenbezogenen Daten unvollständig sind.

Darüber hinaus haben Sie unter bestimmten Umständen das Recht auf Löschung Ihrer personenbezogenen Daten, auf eine Einschränkung der Verarbeitung Ihrer personenbezogenen Daten oder auf Einspruch gegen die Verarbeitung personenbezogener Daten oder gegen Direktmarketing aus Gründen, die sich aus Ihrer besonderen Situation ergeben.

Sie haben unter bestimmten Umständen das Recht, zu verlangen, dass wir Ihre personenbezogenen Daten in einem strukturierten, allgemein verwendeten und maschinenlesbaren Format an Sie oder einen Dritten übertragen.

Wenn Sie eines dieser Rechte ausüben möchten, wenden Sie sich bitte an den Datenschutzbeauftragten, den globalen Datenschutzbeauftragten oder, wenn Sie Mitarbeiter von Flex sind, an HR Global Business Services. Weitere Informationen und Vorgehensweisen finden Sie in der globalen Richtlinie zu den Rechten betroffener Personen, die beigefügt ist unter Anhang C.

5.9         Wir erkennen Ihr Widerspruchsrecht gegen Direktmarketing an

Wenn wir Ihre personenbezogenen Daten für Direktmarketing verwenden, tun wir dies nur, wenn wir Ihre Zustimmung zu einem solchen Marketing eingeholt haben oder wenn dies anderweitig gemäß den Datenschutzgesetzen zulässig ist. Wenn Sie Einwände gegen unsere Verwendung Ihrer personenbezogenen Daten für Direktmarketing haben, sollten Sie sich an den Global Data Privacy Officer, HR Global Business Services, wenden oder eine andere Methode verwenden, die in der jeweiligen Marketingmitteilung angegeben ist.

5.10       Wir nutzen nur begrenzt automatisierte Entscheidungsfindung

Gemäß den Datenschutzgesetzen gibt es Anforderungen, die sicherstellen, dass keine Bewertung oder Entscheidung über eine Person, die rechtliche Auswirkungen hat oder sie in ähnlicher Weise erheblich beeinflusst, ausschließlich auf der automatisierten Verarbeitung personenbezogener Daten basieren kann, außer in begrenzten Fällen. Beispielsweise nutzen wir in bestimmten Einstellungsverfahren automatisierte Entscheidungsfindung, um die Eignung eines bestimmten Kandidaten zu testen. Dieses Verfahren wird jedoch normalerweise in Verbindung mit anderen Einstellungsverfahren wie Vorstellungsgesprächen verwendet und daher nicht ausschließlich automatisiert durchgeführt. Wenn Flex wichtige Entscheidungen ausschließlich automatisiert trifft, wird es gemäß den Datenschutzgesetzen Schutzmaßnahmen ergreifen, beispielsweise das Recht der Personen, menschliches Eingreifen zu erwirken, ihren Standpunkt auszudrücken und die Entscheidung anzufechten.

5.11       Wir treffen sorgfältige Vorsichtsmaßnahmen bei der Verarbeitung von Daten besonderer Kategorien und Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten

Wir verarbeiten Ihre Daten besonderer Kategorien und Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten nur in Übereinstimmung mit den Datenschutzgesetzen, einschließlich der Erfüllung mindestens einer der in den britischen Datenschutzgesetzen festgelegten Bedingungen, die für die Verarbeitung dieser Daten erforderlich sind. Dies kann, falls erforderlich, die Verwendung verstärkter Sicherheitsvorkehrungen in Bezug auf solche Daten besonderer Kategorien und Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten umfassen.

5.12       Wir ergreifen geeignete Maßnahmen im Hinblick auf den Einsatz von Datenverarbeitern

Zu den Datenverarbeitern können Mitglieder der Flex-Gruppe oder externe Anbieter gehören, die personenbezogene Daten im Auftrag eines Mitglieds der Flex-Gruppe verarbeiten. Wenn wir interne oder externe Datenverarbeiter einsetzen, stellen wir Folgendes sicher:

(a) wir verfügen über einen schriftlichen Vertrag mit diesem Datenverarbeiter;

(b) der schriftliche Vertrag alle Klauseln enthält, die nach den britischen Datenschutzgesetzen und anderen Datenschutzgesetzen zwingend vorgeschrieben sind;

(c) Der schriftliche Vertrag wird über den Datenverarbeiter unter anderem Folgendes veranlassen:

(i) ausschließlich auf Anweisung des Verantwortlichen handeln wird; und

(ii) ist verpflichtet, Flex unverzüglich über jegliche Verletzung des Schutzes personenbezogener Daten zu informieren. Es kann eine Pflicht zur Benachrichtigung betroffener Personen bestehen, wenn die Verletzung des Schutzes personenbezogener Daten wahrscheinlich ein hohes Risiko für ihre Rechte und Freiheiten zur Folge hat. Der Datenverarbeiter ist verpflichtet, jegliche Verletzung des Schutzes personenbezogener Daten zu dokumentieren, einschließlich der Fakten im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen. Die Dokumentation sollte der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden.

Wir verfügen außerdem über ein umfassendes Auditprogramm, um sicherzustellen, dass die Datenverarbeiter die oben genannten Maßnahmen einhalten (siehe Absatz 6.2 weiter unten).

5.13       Wir beschränken die Übermittlung personenbezogener Daten

Grundsätzlich sind internationale Übermittlungen personenbezogener Daten aus dem Vereinigten Königreich in ein Land oder Gebiet mit unzureichenden Datenschutzgesetzen nicht zulässig, sofern nicht angemessene Sicherheitsvorkehrungen gemäß den Datenschutzgesetzen getroffen werden, beispielsweise indem ein Mitglied der Flex Group (mit Sitz außerhalb des Vereinigten Königreichs) diese Standards unterzeichnet oder Vertragsklauseln (wie die nach den britischen Datenschutzgesetzen anerkannten Standardvertragsklauseln) eingeführt werden, die die übermittelten personenbezogenen Daten schützen. Wir übermitteln personenbezogene Daten nur, wenn entsprechende Sicherheitsvorkehrungen gemäß den Datenschutzgesetzen getroffen wurden und vorausgesetzt, dass ein angemessener Schutz gemäß den britischen Datenschutzgesetzen gewährleistet ist. Wir stellen sicher, dass bei allen Übermittlungen personenbezogener Daten an externe Anbieter außerhalb des Vereinigten Königreichs neben den Vorschriften für Übermittlungen außerhalb des Vereinigten Königreichs auch die Vorschriften für Auftragsverarbeiter (wie in Abschnitt 5.12 oben dargelegt) eingehalten werden.

6. WIE WIR DIE STANDARDS EINHALTEN UND DURCHSETZEN

6.1         Unsere Datenschutzbeauftragten

Wir unterhalten ein umfassendes Netzwerk von Datenschutzbeauftragten in der gesamten Flex-Gruppe, die für den Datenschutz in ihrem Land, ihrer Region oder ihrem Segment verantwortlich sind, einschließlich der Einhaltung dieser Standards. Jeder Datenschutzbeauftragte untersteht dem jeweiligen regionalen Datenschutzbeauftragten und letztlich dem globalen Datenschutzbeauftragten, der wiederum direkt dem Vorstand untersteht. Der Vorstand von Flex besteht aus dem Leiter der Rechtsabteilung, dem Finanzvorstand und dem Personalvorstand und untersteht dem Vorstandsvorsitzenden. Der globale Datenschutzbeauftragte ist der Datenschutzbeauftragte im Sinne der britischen Datenschutzgesetze und trägt die Gesamtverantwortung für das Netzwerk der regionalen Datenschutzbeauftragten und Datenschutzbeauftragten, die Entwicklung und Umsetzung dieser Standards, die Beantwortung von Anfragen der Aufsichtsbehörde, die Zusammenarbeit mit der Aufsichtsbehörde sowie die Überwachung und jährliche Berichterstattung über die Einhaltung gegenüber dem Vorstand. Die regionalen Datenschutzbeauftragten und Datenschutzbeauftragten sind verantwortlich für die Bearbeitung lokaler Beschwerden betroffener Personen, die Meldung von Datenschutzproblemen an den globalen Datenschutzbeauftragten, die Überwachung von Schulungen und die Einhaltung auf lokaler Ebene sowie die Unterstützung bei der Beantwortung von Anfragen der Aufsichtsbehörde und die Zusammenarbeit mit der Aufsichtsbehörde.

6.2         Audit und Compliance

Darüber hinaus verfügen wir über ein umfassendes Prüfprogramm, das regelmäßige interne Datenschutzbewertungen umfasst, die alle Aspekte dieser Standards abdecken. Die Ergebnisse dieser Datenschutzbewertungen werden dem Global Data Privacy Officer und dem Vorstand von Flex Ltd zur Verfügung gestellt.Wenn wir Lücken bei der Einhaltung unserer Datenschutzanforderungen (einschließlich dieser Standards) feststellen, werden Arbeitspläne erstellt, um diese Lücken zu schließen. Soweit sich eine solche Bewertung auf diese Standards bezieht, werden sie der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt.

6.3         Trainingsprogramm

Wir nehmen den Datenschutz sehr ernst und stellen dies unter Beweis, indem wir allen Mitarbeitern, die permanenten oder regelmäßigen Zugriff auf personenbezogene Daten haben, die an der Erfassung personenbezogener Daten oder an der Entwicklung von Tools zur Verarbeitung personenbezogener Daten im Rahmen ihrer Aufgaben beteiligt sind, obligatorische Schulungen zum Datenschutz anbieten. Darüber hinaus müssen alle Mitarbeiter alle Richtlinien und Verfahren von Flex einhalten, zu denen auch diese Standards gehören, und ihre Anerkennung des Verhaltenskodex von Flex bestätigen, der die Verpflichtung der Flex-Gruppe zum Datenschutz und zur Vertraulichkeit darlegt.

6.4         Rechenschaftspflicht

Jedes Mitglied der Flex-Gruppe, das als Datenverantwortlicher fungiert, ist für die Einhaltung der Standards verantwortlich und in der Lage, die Einhaltung dieser Standards nachzuweisen, wenn es personenbezogene Daten verarbeitet, die in Abschnitt 4.1 der Standards beschrieben sind. Um die Einhaltung nachzuweisen, dokumentieren die Mitglieder der Flex-Gruppe die Kategorien der durchgeführten Verarbeitungsaktivitäten gemäß den Anforderungen der britischen Datenschutzgesetze. Diese Aufzeichnung sollte schriftlich, auch in elektronischer Form, geführt und der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden.

6.5         Datenschutz-Folgenabschätzungen

Um die Einhaltung der Vorschriften zu verbessern und wenn erforderlich, führen die Mitglieder der Flex-Gruppe in Absprache mit dem Global Data Privacy Officer Datenschutz-Folgenabschätzungen für Verarbeitungsvorgänge durch, die wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen. Wenn das Ergebnis einer Datenschutz-Folgenabschätzung darauf hinweist, dass die Verarbeitung ein hohes Risiko mit sich bringen würde, wenn das Mitglied der Flex-Gruppe keine Maßnahmen zur Risikominderung ergreift, sollte vor der Verarbeitung die Aufsichtsbehörde konsultiert werden.

6.6         Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

Die Mitglieder der Flex-Gruppe sollten geeignete technische und organisatorische Maßnahmen ergreifen, um die Datenschutzgrundsätze gemäß dem britischen Datenschutzgesetz umzusetzen und die Einhaltung der in diesen Standards festgelegten Anforderungen zu erleichtern.

6.7         Die nationale Gesetzgebung und diese Standards

Wir stellen sicher, dass diese Standards für unsere Verarbeitung personenbezogener Daten gelten, wenn geltende Datenschutzgesetze weniger Schutz bieten als diese Standards. Wenn geltende Datenschutzgesetze jedoch einen höheren Schutz bieten, stellen wir sicher, dass wir den höheren Standard einhalten. Wenn ein Mitglied der Flex-Gruppe der Ansicht ist, dass ein Konflikt mit geltenden Datenschutzgesetzen es daran hindert, seinen Pflichten gemäß diesen Standards nachzukommen (einschließlich der Befolgung des Ratschlags der Aufsichtsbehörde), wird dieses Mitgliedsunternehmen umgehend den Global Data Privacy Officer oder den zuständigen Data Privacy Liaison Officer benachrichtigen, der (gegebenenfalls in Absprache mit der Rechtsabteilung oder der Aufsichtsbehörde) verantwortungsbewusst entscheidet, welche Maßnahmen zu ergreifen sind.

Flex stellt sicher, dass es, wenn Grund zu der Annahme besteht, dass die für es geltenden Gesetze es daran hindern, seinen Verpflichtungen aus diesen Standards nachzukommen, oder seine Fähigkeit zur Einhaltung dieser Standards erheblich beeinträchtigen, das für den Datenschutz verantwortliche Mitglied der Flex-Gruppe und den globalen Datenschutzbeauftragten umgehend benachrichtigt, sofern dem nicht durch eine Strafverfolgungsbehörde, beispielsweise ein strafrechtliches Verbot, etwas anderes untersagt ist, um die Vertraulichkeit einer polizeilichen Ermittlung zu wahren.

Wenn eine gesetzliche Anforderung, der Flex in einem Land außerhalb des Vereinigten Königreichs unterliegt, voraussichtlich erhebliche nachteilige Auswirkungen auf den durch diese Standards gebotenen Schutz hat, sollte das Problem der Aufsichtsbehörde gemeldet werden. Dies umfasst jede rechtlich verbindliche Aufforderung zur Offenlegung der personenbezogenen Daten durch eine Strafverfolgungsbehörde oder ein staatliches Sicherheitsorgan. Die Aufsichtsbehörde sollte klar über die Aufforderung informiert werden, einschließlich Informationen über die angeforderten Daten, die anfordernde Stelle und die Rechtsgrundlage für die Offenlegung (sofern nicht anderweitig verboten, wie z. B. ein strafrechtliches Verbot zur Wahrung der Vertraulichkeit einer polizeilichen Ermittlung). In diesen Fällen wird das Flex-Mitglied sein Bestes tun, um das Recht zu erhalten, dieses Verbot aufzuheben, um so viele Informationen wie möglich und so schnell wie möglich mitzuteilen und nachweisen zu können, dass es dies getan hat. Wenn das Flex-Mitglied in den oben genannten Fällen trotz aller Bemühungen nicht in der Lage ist, die Aufsichtsbehörde zu benachrichtigen, muss Flex der Aufsichtsbehörde jährlich allgemeine Informationen über die erhaltenen Anfragen zur Verfügung stellen (z. B. Anzahl der Anträge auf Offenlegung, Art der angeforderten Daten, Antragsteller, wenn möglich usw.). In jedem Fall darf die Übermittlung personenbezogener Daten durch ein Mitglied der Gruppe Flex an eine Behörde nicht massiv, unverhältnismäßig und wahllos erfolgen und über das in einer demokratischen Gesellschaft erforderliche Maß hinausgehen.

7. BEZIEHUNG ZUR AUFSICHTSBEHÖRDE

7.1         Zusammenarbeit mit der Aufsichtsbehörde

Die Mitglieder der Flex-Gruppe arbeiten mit der Aufsichtsbehörde zusammen und unterstützen sich gegenseitig, um dies zu tun und alle Anfragen oder Beschwerden von betroffenen Personen oder Untersuchungen oder Anfragen zu bearbeiten. Alle Fragen zu unserer Einhaltung der Datenschutzgesetze sollten an den Global Data Privacy Officer gerichtet werden. Die Kontaktdaten finden Sie am Ende dieser Standards. Er wird sich gegebenenfalls mit der Aufsichtsbehörde beraten.

Mitglieder der Flex-Gruppe befolgen die Ratschläge der Aufsichtsbehörde in allen Fragen zur Auslegung dieser Standards gemäß den Datenschutzgesetzen. Die Aufsichtsbehörde ist befugt, jedes Mitglied der Flex-Gruppe, das an diese Standards gebunden ist, zu prüfen und in allen Angelegenheiten im Zusammenhang mit diesen Standards zu beraten. Diese Mitglieder der Flex-Gruppe müssen die Entscheidungen der Aufsichtsbehörde respektieren, soweit dies mit den Datenschutzgesetzen und dem ordnungsgemäßen Verfahren vereinbar ist, und dürfen nicht auf Verteidigungs- oder Berufungsrechte verzichten.

8. IHRE RECHTE NACH DIESEN STANDARDS

8.1         Unsere Haftung Ihnen gegenüber

Die in diesen Standards beschriebenen Richtlinien und Verfahren gelten zusätzlich zu allen anderen Rechtsmitteln, die gemäß den geltenden Datenschutzgesetzen zur Verfügung stehen oder im Rahmen unserer anderen Richtlinien und Verfahren vorgesehen sind. 

Flextronics Global Services (Manchester) Limited wurde von der Flex Group als das Unternehmen innerhalb des Vereinigten Königreichs benannt, das im Rahmen der britischen Datenschutzgesetze die Verantwortung für diese Standards trägt. Flextronics Global Services (Manchester) Limited ist verantwortlich für Verstöße von Mitgliedern der Flex Group außerhalb des Vereinigten Königreichs, die an diese Standards gebunden sind, und ergreift alle erforderlichen Maßnahmen, um diese zu beheben. Das Unternehmen verfügt über ausreichende Mittel, um alle Schäden zu ersetzen, die aus einem Verstoß gegen diese Standards resultieren. Dies umfasst alle verhängten Sanktionen oder andere Rechtsmittel, die gemäß den geltenden Datenschutzgesetzen zur Verfügung stehen, einschließlich der Verpflichtung, für alle materiellen oder immateriellen Schäden, die aus einem Verstoß gegen die Standards durch Mitglieder der Flex Group außerhalb des Vereinigten Königreichs resultieren, eine Entschädigung zu zahlen. Wenn ein Mitglied der Flex Group außerhalb des Vereinigten Königreichs gegen diese Standards verstößt, sind die Gerichte oder die Aufsichtsbehörde in England und Wales zuständig und Flextronics Global Services (Manchester) Limited haftet Ihnen gegenüber, als ob der Verstoß von ihnen in England und Wales und nicht von dem Mitglied der Flex Group außerhalb des Vereinigten Königreichs verursacht worden wäre. Flextronics Global Services (Manchester) Limited haftet nicht, wenn es nachweisen kann, dass das Mitglied der Flex Group, dem der Verstoß vorgeworfen wird, nicht für den schadensverursachenden Verstoß haftet oder dass ein solcher Verstoß nicht stattgefunden hat. Die Beweislast dafür, dass das Mitglied der Flex Group außerhalb des Vereinigten Königreichs, dem der Verstoß vorgeworfen wird, nicht für einen Verstoß gegen die Standards haftet, der zu dem Schadensersatzanspruch geführt hat, liegt bei Flextronics Global Services (Manchester) Limited. Wird in jedem der oben genannten Fälle ein Verstoß gegen diese Standards festgestellt, liegt es in der Verantwortung des Klägers, nachzuweisen, dass ihm ein Schaden entstanden ist und Tatsachen darzulegen, die belegen, dass der Schaden wahrscheinlich auf einen solchen Verstoß zurückzuführen ist.

8.2         Ihre Rechte nach diesen Standards

Wenn Sie der Meinung sind, dass ein Mitglied der Flex-Gruppe gegen diese Standards verstößt, können Sie eine Beschwerde einreichen, indem Sie sich an HR Global Business Services oder den Global Data Privacy Officer wenden (siehe Absatz 10 unten). Bitte beachten Sie auch das globale Verfahren zur Erhebung und Bearbeitung von Datenschutzbeschwerden (eine Kopie davon finden Sie auf dem Flex-Datenschutzportal und unter Anhang D zu diesen Standards), in dem weitere Einzelheiten zum Beschwerdeverfahren dargelegt sind.

Sie können die in diesen Standards festgelegten Rechte (einschließlich der in den Absätzen 5, 6.4, 6.7, 7, 8.1, 8.2, 8.3 und 9.1 festgelegten Rechte als Drittbegünstigter in Bezug auf die Übermittlung personenbezogener Daten durch ein Mitglied der Flex Group oder einen von einem Mitglied der Flex Group ernannten Datenverarbeiter mit Sitz im Vereinigten Königreich in ein Land außerhalb des Vereinigten Königreichs geltend machen, (i) während die Datenschutz-Grundverordnung (EU) 2016/679 im Vereinigten Königreich als Recht gilt, in einem Land, das nicht zum EWR gehört, oder in einem Land, das gemäß einer Entscheidung der Europäischen Kommission gemäß Artikel 45 der DSGVO für die Zwecke der Übermittlung personenbezogener Daten als angemessen erachtet wird; und (ii) zu dem Zeitpunkt, wenn die Datenschutz-Grundverordnung (EU) 2016/679 im Vereinigten Königreich nicht mehr als Recht gilt, in einem Land, das für die Zwecke der Übermittlung personenbezogener Daten gemäß den Angemessenheitsbestimmungen in Abschnitt 17A des Data Protection Act 2018 nicht als angemessen erachtet wird. Dies kann erfolgen, indem (a) der Verstoß bei der Aufsichtsbehörde angesprochen und vorgebracht wird oder der Verstoß vor den Gerichten mit der Gerichtsbarkeit von England und Wales vorgebracht wird. Die in diesem Absatz enthaltenen Rechte gelten zusätzlich zu anderen Rechten oder Rechtsmitteln, die Ihnen möglicherweise gesetzlich zustehen, einschließlich des Rechts auf Entschädigung, falls zutreffend, und beeinträchtigen diese nicht. Unbeschadet der Bestimmungen in Abschnitt 8.2 gilt Flex nicht als Verletzer dieser Standards, wenn es unter den gegebenen Umständen die angemessene Sorgfaltspflicht eingehalten oder anderweitig in Übereinstimmung mit dem Datenschutzgesetz gehandelt hat.

8.3         Alle betroffenen Personen, die als Drittbegünstigte von diesen Rechten profitieren, erhalten die Informationen gemäß den britischen Datenschutzgesetzen (Artikel 13 und 14 der Verordnung und, sofern die Verordnung in Großbritannien nicht mehr gilt, der britischen DSGVO). Die Standards enthalten die erforderlichen Informationen zu ihren Rechten als Drittbegünstigte in Bezug auf die Verarbeitung ihrer personenbezogenen Daten und zu den Mitteln zur Ausübung dieser Rechte in der Haftungsklausel und den Klauseln zu den Datenschutzgrundsätzen. Diese Standards sind auf der Flex-Website verfügbar, werden in jeder geltenden Datenschutzrichtlinie erwähnt und sind auf Anfrage beim Global Data Privacy Officer erhältlich.

9. ALLGEMEINES

9.1         Aktualisierungen dieser Standards

Von Zeit zu Zeit können wir diese Standards ändern (auch um Änderungen des regulatorischen Umfelds oder der Unternehmensstruktur Rechnung zu tragen). Weitere Mitglieder der Flex-Gruppe können an die Standards gebunden werden und bestimmte Mitglieder der Flex-Gruppe können nicht mehr an diese Standards gebunden sein. Daher werden wir sicherstellen, dass eine vollständig aktualisierte Liste der Mitglieder der Flex-Gruppe beim Global Data Privacy Officer erhältlich ist, und werden diese Informationen den betroffenen Personen und der Aufsichtsbehörde auf Anfrage zur Verfügung stellen. Der Global Data Privacy Officer wird alle Aktualisierungen der Standards verfolgen und aufzeichnen. Darüber hinaus unterliegen alle Änderungen der Standards der Genehmigung des Global Data Privacy Officer und werden unverzüglich allen Mitgliedern der Flex-Gruppe und der Aufsichtsbehörde gemeldet.

Alle Änderungen an den Standards oder an der Liste der Mitglieder der Flex-Gruppe müssen der Aufsichtsbehörde mindestens einmal jährlich mit einer kurzen Erläuterung der Gründe für die Aktualisierung gemeldet werden. Wesentliche Änderungen, wie solche, die möglicherweise das von den Standards gebotene Schutzniveau beeinträchtigen oder die Standards erheblich beeinflussen, müssen der Aufsichtsbehörde unverzüglich mitgeteilt werden, und bei Bedarf wird die Genehmigung der Aufsichtsbehörde eingeholt. 

Sobald Änderungen an den Standards genehmigt sind, werden diese allen Mitgliedern der Flex-Gruppe, die an diese Standards gebunden sind, mitgeteilt und auf der öffentlichen Website von Flex und dem Datenschutzportal im Intranet der Flex-Gruppe veröffentlicht. Alle Änderungen an den Standards müssen das Datum der Änderung enthalten. Wir werden keine personenbezogenen Daten, die unter diese Standards fallen, an ein Mitglied der Flex-Gruppe übertragen, bis dieses Mitglied an diese Standards gebunden ist und die Einhaltung gewährleisten kann.

9.2         Datum des Inkrafttretens

30. Juni 2015
Datum der Aktualisierung gültig ab: 22. Dezember 2020

10. KONTAKTINFORMATIONEN

Wenn Sie Fragen zu diesen Standards, Ihren Rechten im Rahmen dieser Standards oder anderen Datenschutzproblemen haben, können Sie uns unter der folgenden E-Mail-Adresse kontaktieren: dataprotection@flex.com.

ANHANG A — Von Flex zu erfüllende Bedingungen vor der Verarbeitung personenbezogener Daten

Mindestens eine der folgenden Bedingungen muss erfüllt sein, bevor die Flex-Gruppe personenbezogene Daten gemäß Abschnitt 4.1 dieser Standards verarbeiten kann:

  • Die betroffene Person gibt ihre Einwilligung;
  • Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
  • Die Verarbeitung ist für die Erfüllung der rechtlichen Verpflichtungen von Flex erforderlich, mit Ausnahme einer vertraglichen Verpflichtung;
  • Die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich;
  • Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
  • Die Verarbeitung ist zur Wahrung der berechtigten Interessen von Flex oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Mindestens eine der folgenden Bedingungen muss erfüllt sein, bevor die Flex-Gruppe personenbezogene Daten gemäß Abschnitt 4.1 dieser Standards verarbeiten kann, bei denen es sich um Daten besonderer Kategorien handelt:

  • Die betroffene Person hat ihre ausdrückliche Einwilligung erteilt;
  • Die Verarbeitung ist erforderlich, damit der Verantwortlichen oder die betroffene Person ihren Pflichten nachkommen und bestimmte Rechte aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes ausüben kann, soweit dies nach dem Unionsrecht oder dem britischen Recht oder – wenn die Verordnung im Vereinigten Königreich nicht mehr gilt – nur nach britischem Recht oder einem Tarifvertrag nach dem Recht eines Mitgliedstaats bzw. – wenn die Verordnung im Vereinigten Königreich nicht mehr gilt – nur nach britischem Recht zulässig ist, das geeignete Garantien für die Grundrechte und Interessen der betroffenen Person vorsieht;
  • Die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus physischen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben.
  • Die Verarbeitung erfolgt im Rahmen ihrer rechtmäßigen Tätigkeit mit angemessenen Garantien durch eine Stiftung, einen Verein oder eine andere gemeinnützige Organisation mit politischem, philosophischem, religiösem oder gewerkschaftlichem Ziel und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemaligen Mitglieder der Organisation oder auf Personen bezieht, die im Zusammenhang mit ihrer Zweckbestimmung regelmäßig mit ihr in Kontakt stehen, und dass die personenbezogenen Daten ohne Einwilligung der betroffenen Personen nicht außerhalb dieser Organisation weitergegeben werden;
  • Die Verarbeitung bezieht sich auf personenbezogene Daten, die von der betroffenen Person offensichtlich öffentlich gemacht wurden;
  • Die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich;
  • Die Verarbeitung ist aus Gründen eines erheblichen öffentlichen Interesses auf Grundlage des Unionsrechts oder des Rechts des Vereinigten Königreichs oder – wenn die Verordnung im Vereinigten Königreich nicht mehr gilt – ausschließlich des Rechts des Vereinigten Königreichs erforderlich, das in angemessenem Verhältnis zum verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und geeignete und spezifische Maßnahmen zum Schutz der Grundrechte und Interessen der betroffenen Person vorsieht;
  • Die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Arbeitnehmers, für die medizinische Diagnostik, die Bereitstellung von Gesundheits- oder Sozialfürsorge oder Behandlung oder für die Verwaltung von Gesundheits- oder Sozialfürsorgesystemen und -diensten auf Grundlage des Unionsrechts oder des britischen Rechts oder – zu dem Zeitpunkt, zu dem die Verordnung im Vereinigten Königreich nicht mehr gilt – ausschließlich des britischen Rechts oder aufgrund eines Vertrags mit einem medizinischen Fachpersonal erforderlich;
  • Die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit erforderlich, etwa zum Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf Grundlage des Unionsrechts oder des Rechts des Vereinigten Königreichs oder – zu dem Zeitpunkt, zu dem die Verordnung im Vereinigten Königreich nicht mehr gilt – ausschließlich des Rechts des Vereinigten Königreichs, das geeignete und besondere Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person vorsieht, insbesondere der Berufsgeheimniserklärung;
  • Die Verarbeitung ist für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 der Verordnung auf Grundlage des Unionsrechts oder des britischen Rechts erforderlich, und, sofern die Verordnung im Vereinigten Königreich nicht mehr gilt, gemäß Artikel 89 Absatz 1 der UK-DSGVO auf Grundlage des britischen Rechts, das in einem angemessenen Verhältnis zum verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und geeignete und spezifische Maßnahmen zum Schutz der Grundrechte und Interessen der betroffenen Person vorsieht.

Die gesamte Verarbeitung von Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten durch die Flex-Gruppe erfolgt auf Grundlage der Bedingungen der Datenschutzgesetze.

ANHANG B — Beschreibung des materiellen Anwendungsbereichs der Normen

Übermittlung personenbezogener Mitarbeiterdaten

Zwecke des Exports oder Imports

  • Rekrutierung einschließlich Planung und Umsetzung von Rekrutierungsstrategien und Personalbesetzung in der gesamten Flex-Gruppe
  • Personalbeschaffung und Personalbestandsmanagement
  • Gehaltsabrechnung und Verwaltung von Mitarbeiterleistungen, einschließlich Urlaubs- und Vergütungsverwaltung, Leistungsbeurteilung und Mitarbeiterbetreuungsservices
  • Karriere- und berufliche Entwicklung und Talentmanagement
  • Altersvorsorge, wie z. B. Pensionsbeiträge
  • Aktienverwaltung einschließlich Verwaltung des Mitarbeiteraktienkaufplans, Archivierung und Berichterstattung
  • Disziplinar- und Beschwerdeverfahren
  • Chancengleichheitsmanagement in den USA
  • Leistungsmanagement und Beurteilungen
  • Verwaltung von Personalakten und Unterstützung bei Anfragen, auch in Bezug auf Urlaub, Abwesenheit, Bezahlung und Sozialleistungen
  • Führen von Verzeichnissen und Ermöglichen der Aufzeichnung von Geschäftsmitteilungen und/oder Mitteilungen an Mitarbeiter und Auftragnehmer
  • Trainingsverwaltung
  • Zur Betrugsprävention oder -untersuchung oder zu anderen Zwecken des Risikomanagements
  • Auf schriftliche Anfrage der betroffenen Person, gegebenenfalls
  • Sicherheit, einschließlich Unterstützungsinformationen für Arbeitsunfallansprüche und in Notfällen, in denen die Gesundheit oder Sicherheit einer Person gefährdet ist
  • Geschäftsreise
  • Einhaltung vertraglicher, gesetzlicher und regulatorischer Verpflichtungen und Umgang mit Rechtsansprüchen und Streitigkeiten
  • Andere Personalangelegenheiten in Bezug auf die betroffene Person, die gesetzlich oder durch Vorschriften erforderlich oder zulässig sind.
  • Kontakt mit Angehörigen
  • Berechtigungskontrollen und Datensicherheit
  • Backup und Geschäftskontinuität
  • Schutz geistigen Eigentums, vertraulicher Informationen und Vermögenswerte
  • Prognosen des Managements und Planung von Änderungen in der Konzernstruktur

Arten betroffener Personen

Zum Personal gehören:

  • Aktuelle, ehemalige und potenzielle Mitarbeiter
  • Aktuelle, ehemalige und potenzielle Auftragnehmer
  • Freiwillige
  • Agenten
  • Zeitarbeitskräfte und Gelegenheitsarbeiter
  • Angehörige, Verwandte, Erziehungsberechtigte und Partner der oben genannten betroffenen Personen

Kategorien personenbezogener Daten

  • Persönliche Daten, einschließlich Namen, Geburtsdatum, Privatadresse, Steuernummer, Sozialversicherungsnummer, Führerscheinnummer, Passnummer und persönliche E-Mail-Adresse
  • Familie, Lebensstil und soziale Umstände, darunter möglicherweise Familienstand, Angaben zum Partner, Angaben zu den Kindern und Name der Mutter
  • Angaben zu Ausbildung und Training, einschließlich Qualifikationen, akademischen Zeugnissen, Schulen, Ausbildungsnachweisen und beruflicher Expertise
  • Angaben zur Beschäftigung, einschließlich Beschäftigungsstatus, Berufsbezeichnung, Einstellungsdatum, Arbeitsort, Kündigungsdatum, Status, Beurteilungsdetails und organisatorische Details wie Arbeitgeber, Büroadresse, berufliche Telefonnummer, persönliches Foto, Abteilung und Vorgesetzte, Kostenstelle, Mitarbeitertyp und ob Vollzeit oder Teilzeit, berufliche E-Mail-Adresse, Intranet-Benutzeranmeldung, Angaben zum Vorgesetzten, Angaben zum Personalberater, andere E-Mail-Adressen, Stellenbeschreibung, Codes und Mitarbeiter-ID
  • Finanzielle Details, einschließlich Angaben zu Leistungen, Aktienbesitz, Gehalt, Ausgaben, Gehaltsscheckinformationen und Bankkontoinformationen, Bonusziel und Renteninformationen
  • Angaben zu Waren und Dienstleistungen, einschließlich Angaben zu den von den betroffenen Personen verkauften Waren oder Produkten

Art der Daten besonderer Kategorien oder Daten im Zusammenhang mit strafrechtlichen Verurteilungen oder Straftaten

  • Rasse oder ethnische Herkunft
  • Religiöse oder andere Überzeugungen ähnlicher Art
  • Gewerkschaftsmitgliedschaft
  • Körperliche oder geistige Gesundheit oder Verfassung
  • Straftaten (einschließlich mutmaßlicher Straftaten)

Art der Personen, die Zugriff auf die personenbezogenen Daten haben

Mitarbeiterdaten werden von Mitarbeitern der Personalabteilung, den entsprechenden Personalmanagern und Mitarbeitern der HR Global Business Services für die oben genannten Zwecke verarbeitet. Bestimmte dieser Mitarbeiterdaten können auch an folgende Stellen gesendet werden:

  • Betroffene Personen selbst
  • Verwandte, Erziehungsberechtigte oder andere mit der betroffenen Person verbundene Personen
  • Aktuelle, frühere oder zukünftige Arbeitgeber der betroffenen Person
  • Bildungs-, Ausbildungsstätten und Prüfungsorgane
  • Geschäftspartner und andere professionelle Berater
  • Andere Flextronics-Einheiten
  • Mitarbeiter und Vertreter von Flextronics
  • Lieferanten und/oder Anbieter von Waren und Dienstleistungen
  • Finanzorganisationen und Berater
  • Kreditauskunfteien
  • Handels-, Arbeitgeber- und Berufsverbände
  • Regierungsbehörden und Strafverfolgungsbehörden, soweit gesetzlich erforderlich
  • Arbeitsvermittlung und Personalvermittlung
  • Pensionsfondsverwalter
  • Bestimmte von Flextronics beauftragte Datenverarbeiter zur Verarbeitung der Daten
  • Potentielle Erwerber oder Käufer im Zusammenhang mit der Veräußerung von Flex-Geschäften oder Vermögenswerten

Länder, aus denen personenbezogene Daten exportiert werden

Weltweit, darunter Australien, Österreich, Bermuda, Brasilien, Britische Jungferninseln, Kanada, Kaimaninseln, Chile, China, Costa Rica, Curaçao, Tschechische Republik, Dänemark, Finnland, Frankreich, Deutschland, Hongkong, Ungarn, Indien, Indonesien, Irland, Israel, Italien, Japan, Labuan, Luxemburg, Malaysia, Mauritius, Mexiko, Niederlande, Neuseeland, Philippinen, Polen, Rumänien, Schweiz, Schweden, Großbritannien, Singapur, Spanien, Südkorea, Taiwan, Türkei, Ukraine und die USA.

Länder, in die personenbezogene Daten exportiert werden

Weltweit, darunter Australien, Österreich, Bermuda, Brasilien, Britische Jungferninseln, Kanada, Kaimaninseln, Chile, China, Costa Rica, Curaçao, Tschechische Republik, Dänemark, Finnland, Frankreich, Deutschland, Hongkong, Ungarn, Indien, Indonesien, Irland, Israel, Italien, Japan, Labuan, Luxemburg, Malaysia, Mauritius, Mexiko, Niederlande, Neuseeland, Philippinen, Polen, Rumänien, Schweiz, Schweden, Großbritannien, Singapur, Spanien, Südkorea, Taiwan, Türkei, Ukraine und die USA.

Grundlage für die Weiterübermittlung

Auf der Grundlage der Einhaltung einer oder mehrerer Bedingungen in Anhang A der Datenschutzstandards.

Übertragung von Geschäftskontaktinformationen

Zwecke des Exports oder Imports

  • Pflege und Ausbau von Kunden- und Lieferantenbeziehungen
  • Geschäftliche Planung
  • Zur Durchführung einer von einer betroffenen Person initiierten Transaktion
  • Zur Durchführung einer von einem Mitglied der Flex-Gruppe initiierten Transaktion, wie etwa dem Kauf von Vorräten oder Ausrüstung
  • Um eine Transaktion mit oder für Flex-Kunden durchzuführen
  • Führung von Konten im Zusammenhang mit Geschäften oder anderen Aktivitäten von Flex
  • Entscheidung, ob eine Person als Kunde oder Lieferant akzeptiert wird
  • Führung von Aufzeichnungen über Käufe, Verkäufe oder andere Transaktionen, um sicherzustellen, dass die erforderlichen Zahlungen und/oder Lieferungen vorgenommen bzw. Dienstleistungen erbracht werden
  • Durchführung von Kundenzufriedenheitsumfragen
  • Forschung und Entwicklung
  • Geschäftsentwicklung
  • Veranstaltungsmanagement
  • Datenbankmanagement
  • Laufwettbewerbe
  • Sicherheit
  • Zur Betrugs- und Diebstahlprävention oder -untersuchung oder zu anderen Zwecken des Risikomanagements
  • Einhaltung vertraglicher, gesetzlicher und regulatorischer Verpflichtungen
  • Auf schriftliche Anfrage der betroffenen Person, gegebenenfalls

Arten betroffener Personen

Flex Kunden (einschließlich der Kunden unserer Klienten), Geschäftskontakte und Lieferanten

Kategorien personenbezogener Daten

  • Persönliche Daten, einschließlich Name, Privatadresse, Arbeitgeber, Büroadresse, private und geschäftliche Telefonnummern sowie private und geschäftliche E-Mail-Adressen.
  • Finanzielle Details, einschließlich geleisteter und erhaltener Zahlungen und Mehrwertsteuer
  • Lieferte oder gekaufte Waren oder Dienstleistungen

Art der Daten besonderer Kategorien oder Daten im Zusammenhang mit strafrechtlichen Verurteilungen oder Straftaten

Keiner

Art der Personen, die Zugriff auf die personenbezogenen Daten haben

Geschäftskontaktdaten werden in erster Linie von Flex-Mitarbeitern verwendet, soweit dies zur Erfüllung ihrer Arbeitsanforderungen erforderlich ist. Geschäftskontaktdaten können jedoch auch an folgende Personen gesendet werden:

  • Geschäftspartner und andere professionelle Berater
  • Andere Mitarbeiter, Vertreter und Auftragnehmer von Flextronics
  • Lieferanten und/oder Anbieter von Waren und Dienstleistungen
  • Dritte, auch zum Zwecke des Veranstaltungsmanagements
  • Regierungsbehörden, Gerichte und Strafverfolgungsbehörden, soweit gesetzlich vorgeschrieben
  • Anspruchsteller, Begünstigte, Zessionare und Zahlungsempfänger
  • Potentielle Erwerber oder Käufer im Zusammenhang mit der Veräußerung von Flex-Geschäften oder Vermögenswerten

Länder, aus denen personenbezogene Daten exportiert werden

Weltweit, darunter Australien, Österreich, Bermuda, Brasilien, Britische Jungferninseln, Kanada, Kaimaninseln, Chile, China, Costa Rica, Curaçao, Tschechische Republik, Dänemark, Finnland, Frankreich, Deutschland, Hongkong, Ungarn, Indien, Indonesien, Irland, Israel, Italien, Japan, Labuan, Luxemburg, Malaysia, Mauritius, Mexiko, Niederlande, Neuseeland, Philippinen, Polen, Rumänien, Schweiz, Schweden, Großbritannien, Singapur, Spanien, Südkorea, Taiwan, Türkei, Ukraine und die USA.

Länder, in die personenbezogene Daten exportiert werden

Weltweit, darunter Australien, Österreich, Bermuda, Brasilien, Britische Jungferninseln, Kanada, Kaimaninseln, Chile, China, Costa Rica, Curaçao, Tschechische Republik, Dänemark, Finnland, Frankreich, Deutschland, Hongkong, Ungarn, Indien, Indonesien, Irland, Israel, Italien, Japan, Labuan, Luxemburg, Malaysia, Mauritius, Mexiko, Niederlande, Neuseeland, Philippinen, Polen, Rumänien, Schweiz, Schweden, Großbritannien, Singapur, Spanien, Südkorea, Taiwan, Türkei, Ukraine und die USA.

Grundlage für die Weiterübermittlung

Auf der Grundlage der Einhaltung einer oder mehrerer Bedingungen in Anhang A der Datenschutzstandards.

Übermittlung anderer personenbezogener Daten

Kriminalprävention und Strafverfolgung

Zwecke des Exports oder Imports

  • Kriminalprävention und Unterstützung der zuständigen Behörden und Stellen bei der Aufdeckung, Festnahme und strafrechtlichen Verfolgung von Straftätern
  • Die Überwachung und Erfassung von visuellen Bildern zum Zwecke der Aufrechterhaltung der Sicherheit der jeweiligen Flex-Räumlichkeiten
  • Als Reaktion auf eine rechtmäßige Anfrage eines Gerichts oder einer Regierungsbehörde oder zur sonstigen Einhaltung geltender Gesetze oder obligatorischer Verfahren

Arten betroffener Personen

  • Flex Kunden und Klienten (einschließlich Kunden unserer Klienten), Geschäftskontakte und Lieferanten
  • Berater, Gutachter und andere professionelle Experten
  • Mitglieder der Öffentlichkeit
  • Flex-Personal, einschließlich Freiwilliger, Agenten sowie Zeit- und Gelegenheitsarbeiter
  • Personen, die sich im Überwachungsbereich befinden, diesen betreten oder sich in dessen unmittelbarer Nähe aufhalten

Kategorien personenbezogener Daten

  • Persönliche Daten
  • Familie, Lebensstil und soziale Umstände
  • Angaben zu Ausbildung und Beschäftigung
  • Finanzielle Details
  • Erbrachte Waren oder Dienstleistungen
  • Ton und/oder visuelle Bilder

Art der Daten besonderer Kategorien oder Daten im Zusammenhang mit strafrechtlichen Verurteilungen oder Straftaten

  • Straftaten einschließlich mutmaßlicher Straftaten
  • Strafverfahren, Ausgang und Strafmaß

Art der Personen, die Zugriff auf die personenbezogenen Daten haben

  • Die betroffenen Personen selbst
  • Geschäftspartner und andere professionelle Berater
  • Andere Mitarbeiter und Vertreter von Flex
  • Weitere Unternehmen der Flex-Gruppe
  • Personen, die eine Anfrage oder Beschwerde einreichen
  • Regierungsbehörden, Gerichte und Strafverfolgungsbehörden, soweit gesetzlich vorgeschrieben
  • Lieferanten und/oder Anbieter von Waren und Dienstleistungen
  • Dritte, die Anbieter- und Sicherheitsdienste bereitstellen

Länder, aus denen personenbezogene Daten exportiert werden

Weltweit, darunter Australien, Österreich, Bermuda, Brasilien, Britische Jungferninseln, Kanada, Kaimaninseln, Chile, China, Costa Rica, Curaçao, Tschechische Republik, Dänemark, Finnland, Frankreich, Deutschland, Hongkong, Ungarn, Indien, Indonesien, Irland, Israel, Italien, Japan, Labuan, Luxemburg, Malaysia, Mauritius, Mexiko, Niederlande, Neuseeland, Philippinen, Polen, Rumänien, Schweiz, Schweden, Großbritannien, Singapur, Spanien, Südkorea, Taiwan, Türkei, Ukraine und die USA.

Länder, in die personenbezogene Daten exportiert werden

Weltweit, darunter Australien, Österreich, Bermuda, Brasilien, Britische Jungferninseln, Kanada, Kaimaninseln, Chile, China, Costa Rica, Curaçao, Tschechische Republik, Dänemark, Finnland, Frankreich, Deutschland, Hongkong, Ungarn, Indien, Indonesien, Irland, Israel, Italien, Japan, Labuan, Luxemburg, Malaysia, Mauritius, Mexiko, Niederlande, Neuseeland, Philippinen, Polen, Rumänien, Schweiz, Schweden, Großbritannien, Singapur, Spanien, Südkorea, Taiwan, Türkei, Ukraine und die USA.

Grundlage für die Weiterübermittlung

Auf der Grundlage der Einhaltung einer oder mehrerer Bedingungen in Anhang A der Datenschutzstandards.

Gesellschafter verwalten

Zwecke des Exports oder Imports

  • Entscheidung über die Aufnahme einer Person als Aktionär
  • Führen von Aufzeichnungen und Verwalten von Aktienkäufen oder anderen relevanten Transaktionen
  • Zur Betrugsprävention oder -untersuchung oder zu anderen Zwecken des Risikomanagements
  • An potenzielle Käufer und zum Schutz der gesetzlichen Rechte oder Vermögenswerte von Flex, um den Erwerb oder die Veräußerung von Flex-Unternehmen zu erleichtern
  • Als Reaktion auf eine rechtmäßige Anfrage einer Regierungsbehörde, eines Gerichts oder einer Strafverfolgungsbehörde und zur sonstigen Einhaltung geltender Gesetze oder obligatorischer Verfahren

Arten betroffener Personen

Aktionäre und Kontakte der Aktionäre

Kategorien personenbezogener Daten

  • Persönliche Daten einschließlich Kontaktdaten
  • Finanzielle Details

Art der Daten besonderer Kategorien oder Daten im Zusammenhang mit strafrechtlichen Verurteilungen oder Straftaten

Keiner

Art der Personen, die Zugriff auf die personenbezogenen Daten haben

Personenbezogene Daten werden in erster Linie von Mitarbeitern von Flex verwendet, soweit dies zur Erfüllung ihrer Arbeitsanforderungen und zur Verwaltung von Aktionärsvorteilen erforderlich ist. Personenbezogene Daten können jedoch auch an folgende Personen gesendet werden:

  • Die betroffenen Personen selbst
  • Geschäftspartner und andere professionelle Berater
  • Andere Mitarbeiter und Vertreter von Flex
  • Weitere Unternehmen der Flex-Gruppe
  • Potentielle Erwerber oder Käufer im Zusammenhang mit der Veräußerung von Flex-Geschäften oder Vermögenswerten
  • Regierungsbehörden, Gerichte und Strafverfolgungsbehörden, soweit gesetzlich vorgeschrieben
  • Ombudsleute und Regulierungsbehörden

Länder, aus denen personenbezogene Daten exportiert werden

Weltweit, darunter Australien, Österreich, Bermuda, Brasilien, Britische Jungferninseln, Kanada, Kaimaninseln, Chile, China, Costa Rica, Curaçao, Tschechische Republik, Dänemark, Finnland, Frankreich, Deutschland, Hongkong, Ungarn, Indien, Indonesien, Irland, Israel, Italien, Japan, Labuan, Luxemburg, Malaysia, Mauritius, Mexiko, Niederlande, Neuseeland, Philippinen, Polen, Rumänien, Schweiz, Schweden, Großbritannien, Singapur, Spanien, Südkorea, Taiwan, Türkei, Ukraine und die USA.

Länder, in die personenbezogene Daten exportiert werden

Weltweit, darunter Australien, Österreich, Bermuda, Brasilien, Britische Jungferninseln, Kanada, Kaimaninseln, Chile, China, Costa Rica, Curaçao, Tschechische Republik, Dänemark, Finnland, Frankreich, Deutschland, Hongkong, Ungarn, Indien, Indonesien, Irland, Israel, Italien, Japan, Labuan, Luxemburg, Malaysia, Mauritius, Mexiko, Niederlande, Neuseeland, Philippinen, Polen, Rumänien, Schweiz, Schweden, Großbritannien, Singapur, Spanien, Südkorea, Taiwan, Türkei, Ukraine und die USA.

Grundlage für die Weiterübermittlung

Auf der Grundlage der Einhaltung einer oder mehrerer Bedingungen in Anhang A der Datenschutzstandards.

ANHANG C – Globale Richtlinie zu den Rechten betroffener Personen

1. EINLEITUNG

1.1         Zweck dieser globalen Richtlinie zu den Rechten betroffener Personen

(a) Flextronics (Flex) setzt sich für den Datenschutz ein und respektiert die Rechte derjenigen, deren personenbezogene Daten Flex erfasst und verwendet. Die Unterstützung des Datenschutzes erfordert von uns allen, dass wir uns der Rechte bewusst sind, die Einzelpersonen an den ihnen gehörenden Daten haben, die wir erfassen oder speichern.

(b) Jede Person, deren personenbezogene Daten wir speichern und verwenden, hat Rechte in Bezug auf diese Daten. Dazu gehören Mitarbeiter, Geschäftskontakte und Website-Benutzer. Diese Richtlinie soll es uns ermöglichen, diese Rechte gemäß unseren Datenschutzstandards zu respektieren.

(c) Die in dieser Richtlinie enthaltenen individuellen Rechte spiegeln die in den Datenschutzstandards und in Abschnitt 7 der globalen Datenschutzrichtlinie und -regeln von Flex beschriebenen Rechte wider.

(d) Flex unterstützt die Rechte von Einzelpersonen, ihre Rechte zum Schutz und zur Überprüfung der korrekten Verwendung ihrer personenbezogenen Daten auszuüben. Flex wird schnell und hilfreich antworten, wenn eine Einzelperson uns eine Frage zu den personenbezogenen Daten stellt, die Flex über sie gespeichert hat. Flex wird Einzelpersonen die Ausübung dieser Rechte erleichtern und, soweit praktikabel, elektronische Mittel zur Ausübung dieser Rechte bereitstellen.

(e) Einzelpersonen können Flex mündlich oder schriftlich kontaktieren, um zu verlangen, dass Flex Maßnahmen in Bezug auf ihre personenbezogenen Daten ergreift. Anfragen sollten zunächst an den lokalen Datenschutzbeauftragten für Ihren Zuständigkeitsbereich oder an den globalen Datenschutzbeauftragten gerichtet werden, der der Datenschutzbeauftragte im Sinne der britischen Datenschutzgesetze ist und wie folgt kontaktiert werden kann: dataprotection@flex.com oder +43 1 602 4100 1737.

(f) Diese Richtlinie erläutert, wie Flex Anfragen von Einzelpersonen bezüglich ihrer Daten identifiziert und beantwortet.

(g) Im Allgemeinen muss Flex auf Anfragen innerhalb eines Monats nach Eingang der Anfrage antworten. Daher ist es wichtig, dass Anfragen identifiziert und so schnell wie möglich an die richtigen Personen bei Flex weitergeleitet werden.

(h) Unsere Hauptziele bei der Bearbeitung von Anfragen von Einzelpersonen sind:

(ich)            identifizieren die Art der Anfrage so bald wie möglich;

(ii)           antworten an die Person, die die Anfrage stellt, und zwar zeitnah;

(iii)          arbeiten mit dass die anfragende Person ihr Anliegen und ihre Anliegen versteht und weiß, wie wir helfen können; und

(iv)          Führen Sie klare Aufzeichnungen bezüglich jeder Anfrage, die wir erhalten, und unserer Antwort.

1.2         Welche Rechte haben Einzelpersonen?

(a) Einzelpersonen haben das Recht, hinsichtlich der von Flex über sie gespeicherten personenbezogenen Daten folgende Anfragen zu stellen: 

(ich)            Auskunftsrecht (Anfragen auf Auskunft über personenbezogene Daten) — das Recht, eine Kopie der personenbezogenen Daten anzufordern, die Flex über die Person besitzt, sowie unterstützende Informationen, die erklären, wie die personenbezogenen Daten verwendet werden.

(ii)           Recht auf Berichtigung — das Recht, von uns die Berichtigung unrichtiger personenbezogener Daten über die Person zu verlangen.

(iii)          Recht auf Löschung (Recht auf Vergessenwerden) — das Recht, in bestimmten Situationen die Löschung aller die Person betreffenden personenbezogenen Daten zu verlangen.

(iv)          Recht auf Einschränkung der Verarbeitung — das Recht, in bestimmten Situationen zu verlangen, dass Flex die von der betreffenden Person bereitgestellten personenbezogenen Daten nicht verwendet (z. B. wenn die Person der Ansicht ist, dass diese nicht korrekt sind).

(v)           Recht auf Datenübertragbarkeit — das Recht, in bestimmten Situationen zu verlangen, dass Flex die Daten der betreffenden Person in einem maschinenlesbaren Format an diese Person oder ihren neuen Anbieter überträgt.

ab (vi)          Widerspruchsrecht — das Recht, bestimmten Verarbeitungen ihrer personenbezogenen Daten zu widersprechen (es sei denn, Flex hat zwingende Gründe, die Verarbeitung fortzusetzen) und das Recht, Direktmarketing/Profiling zu widersprechen.

(vii)         Rechte in Bezug auf automatisierte Entscheidungsfindung — das Recht, keiner automatisierten Entscheidungsfindung unterworfen zu werden, die eine natürliche Person erheblich beeinträchtigt (z. B. bestimmte Arten von Profiling).

(b) Flex wird auf die in 1.2(a) oben aufgeführten Anfragen gemäß Anhang C 1.1(g) antworten. Unter bestimmten Umständen kann diese Frist jedoch um weitere zwei Monate verlängert werden, wobei die Komplexität der Anfrage(n) und die Anzahl der gestellten Anfragen zu berücksichtigen sind. Gegebenenfalls wird der GDPO in Absprache mit dem Rechtsteam diese Entscheidung treffen und die betroffene Person innerhalb eines Monats nach Eingang der Anfrage zusammen mit den Gründen für die Verzögerung benachrichtigen. Wenn die betroffene Person die Anfrage in elektronischer Form gestellt hat, werden die Informationen nach Möglichkeit auf elektronischem Wege bereitgestellt, sofern die betroffene Person nichts anderes verlangt.

2. ROLLEN UND VERANTWORTLICHKEITEN

Betroffener: Eine Person, die das Recht hat, eine Anfrage zu individuellen Rechten / Betroffenenrechten zu stellen.

Datenschutzbeauftragter (DPLO): Verantwortlich für die Eskalation individueller Rechteanfragen innerhalb ihres Zuständigkeitsbereichs und für die in Abschnitt 6 der globalen Datenschutzrichtlinie und -regeln Flex festgelegten Aufgaben. Bericht an den zuständigen regionalen Datenschutzbeauftragten.

Regionaler Datenschutzbeauftragter (RDPO): Verantwortlich für die in Abschnitt 6 der globalen Datenschutzrichtlinie und -regeln Flex festgelegten Aufgaben und für die Einhaltung der Datenschutzstandards. Untersteht dem globalen Datenschutzbeauftragten.

Globaler Datenschutzbeauftragter (GDPO): Auch bekannt als Datenschutzbeauftragter (DPO) im Sinne der britischen Datenschutzgesetze. Verantwortlich für Aufgaben gemäß Abschnitt 6 der globalen Datenschutzrichtlinie und -regeln Flex und verantwortlich für das Netzwerk regionaler Datenschutzbeauftragter, Datenschutz-Verbindungsbeauftragter, die Entwicklung und Umsetzung der Datenschutzstandards, die Beantwortung von Anfragen der Aufsichtsbehörde und die Zusammenarbeit mit der Aufsichtsbehörde. Kann Aufgaben im Rahmen dieser Richtlinie an den RDPO delegieren.

3. IDENTIFIZIERUNG VON INDIVIDUELLEN RECHTSANFRAGEN

(a) Die Identifizierung von Anfragen von Einzelpersonen bezüglich ihrer personenbezogenen Daten ist von entscheidender Bedeutung und erfordert die Unterstützung aller innerhalb von Flex.

(b) Es ist wichtig, dass wir die relevanten Personen innerhalb von Flex identifizieren und benachrichtigen, sobald wir eine Anfrage von einer Einzelperson erhalten.

(c) Flex ist verpflichtet, innerhalb eines Monats nach Eingang der Anfragen zu antworten und diese zu bearbeiten. Flex muss daher rasch und wirksam handeln.

3.1         Identifizierung des individuellen Rechteantrags

(a) Anfragen in Bezug auf personenbezogene Daten sind nicht immer ganz offensichtlich oder eindeutig. Anfragen können sich auf das Datenschutzgesetz beziehen, müssen sich jedoch nicht auf ein Gesetz beziehen, um gültig zu sein.

(b) Achten Sie auf Schlüsselwörter und -sätze, um zu erkennen, ob es sich bei einer bestimmten Mitteilung um eine Anfrage bezüglich personenbezogener Daten handelt. Die folgenden Schlüsselwörter und -sätze stellen eine nicht abschließende Liste von Indikatoren dar:

(i) Können Sie mir bitte alle persönlichen Informationen geben/bereitstellen/senden, die Flex über mich gespeichert hat.

(ii) Verwenden Sie meine Daten / warum verwenden Sie meine Daten / wie verwenden Sie meine Daten / mit wem teilen Sie meine Daten?

(iii) Sie haben [Adresse, Geburtsdatum, Nachname, Geschlecht usw.] für mich falsch angegeben. Bitte ändern Sie es in …

(iv) Löschen/Entfernen/Beseitigen aller Informationen, die Sie über mich haben.

(v) Verwenden Sie meine Daten nicht mehr. Eine derartige Verwendung ist gesetzeswidrig / die Daten sind ungenau / Sie müssen sie nicht mehr verwenden / ich möchte nicht, dass Sie sie für … verwenden.“

(vi) „Geben Sie mir alle meine Daten an….“

(c) Flex unterhält über seine Global Business Services (GBS) eine spezielle E-Mail-Adresse, an die Betroffene individuelle Rechteanfragen richten können. Die Adresse lautet dataprivacy@flextronics.com. Rechteanfragen können jedoch auf beliebige Weise gestellt werden, z. B. persönlich, telefonisch, per E-Mail, Brief oder Fax. Es ist auch möglich, in derselben Mitteilung mehr als eine Form von Rechteanfragen zu erhalten.

(d) Wenn Sie feststellen, dass eine Anfrage personenbezogene Daten betrifft oder betreffen könnte, informieren Sie unverzüglich den Datenschutzbeauftragten (Data Privacy Liaison Officer, DPLO).

(e) Wenn Sie nicht sicher sind, ob die Anfrage legitim ist oder ob die anfragende Person diejenige ist, für die sie sich ausgibt, dann ergreifen Sie vernünftige Maßnahmen, um dies zu überprüfen. Rufen Sie beispielsweise eine von der Person angegebene Nummer an, um zu überprüfen, ob sie die Anfrage gestellt hat, oder bitten Sie sie, eine E-Mail von einem anerkannten Konto zu senden. Wenn Sie sich immer noch nicht sicher sind, wer die anfragende Person ist, wenden Sie sich an den Global Data Privacy Officer (GDPO), um zu bestimmen, welche weiteren Schritte unternommen werden sollten.

4. MELDUNG UND BEANTWORTEN VON ANFRAGEN EINZELNER PERSONEN

(a) Wenn Sie etwas erhalten, das wie eine Anfrage zu personenbezogenen Daten aussieht oder sein könnte, benachrichtigen Sie bitte umgehend den Datenschutzbeauftragten. Wenn Sie den Datenschutzbeauftragten nicht kennen oder dieser nicht erreichbar ist, wenden Sie sich an Ihren Vorgesetzten oder die Rechtsabteilung.

(b) Der GDPO wird mit dem DPLO zusammenarbeiten, um von der meldenden Person alle Informationen anzufordern, die zur Ermittlung der Art der Anfrage erforderlich sein können, z. B. die Anforderung einer Kopie des Reisepasses der Person und/oder einer aktuellen Strom-/Gasrechnung.

(c) Der GDPO wird feststellen, ob es sich bei der Anfrage um eine gültige Anfrage in Bezug auf personenbezogene Daten handelt oder nicht, und sicherstellen, dass Flex der betreffenden Person den Eingang der Anfrage bestätigt hat.

(d) Es ist auch möglich, dass individuelle Rechteanfragen auch über einen Dritten gestellt werden können. Oft handelt es sich dabei um einen Anwalt, der im Namen der Person handelt. In diesen Fällen überprüft Flex, ob der Dritte befugt ist, eine Anfrage im Namen der Person zu stellen. Der Dritte muss einen Nachweis dieser Ermächtigung erbringen. Der Nachweis kann in schriftlicher Form erfolgen, um dem Dritten die Möglichkeit zu geben, eine solche Anfrage zu stellen, oder es kann sich auch um eine allgemeine Vollmacht handeln.  

(e) Der GDPO identifiziert die Kategorie der Anfrage und antwortet gemäß dem unten beschriebenen relevanten Verfahren und den datenschutzrechtlichen Verpflichtungen von Flex. Der GDPO arbeitet bei der Beantwortung von Anfragen mit Unterstützung des DPLO, RDPO, Ihres Vorgesetzten, der IT und der Rechtsabteilung.

(f) Der GDPO überprüft regelmäßig die Gesamtzahl der eingegangenen Anfragen und stellt sicher, dass diese gemäß dieser Richtlinie behandelt wurden. Gegebenenfalls prüft er alle den Anfragen zugrunde liegenden Probleme.

(g) Sobald eine Anfrage einer Einzelperson identifiziert wurde, befolgt der GDPO das unten beschriebene entsprechende Verfahren.

4.2         Auskunftsrecht (Antrag auf Auskunft über personenbezogene Daten)

(a) Sie arbeiten mit dem GDPO und dem IT-Team zusammen, um eine Zugriffsanfrage voranzutreiben, indem Sie eine Suche in allen unseren relevanten Systemen nach den entsprechenden personenbezogenen Daten (einschließlich lokaler Speicher wie gemeinsam genutzte und persönliche Laufwerke), E-Mail-Servern, Backup-Standorten und Anwendungen von Drittanbietern veranlassen, auf denen personenbezogene Daten in unserem Namen und unter unserer Anweisung gespeichert werden (z. B. HR-Systeme, CRM-Plattformen, Buchhaltungsprogramme usw.). Lassen Sie die Person nach Möglichkeit ein Formular zur Anforderung individueller Rechte ausfüllen. Kopien der Formulare sind auf dem Portal verfügbar.

(b) Der Suchvorgang muss so bald wie möglich begonnen werden, da er sehr detailliert und zeitaufwändig sein kann.

(c) Alle relevanten Teams/Abteilungen sollten kontaktiert werden, um sicherzustellen, dass alle relevanten Dateien, Ordner (elektronisch oder in Papierform) und Anwendungen Dritter durchsucht werden.

(d) Wenn eine allgemeine Anfrage nach „allen von Flex gespeicherten Informationen“ gestellt wird, sollten die Suchkriterien zunächst so breit wie möglich sein, um alle möglichen Dokumente zu identifizieren, die sich auf die betreffende Person beziehen. Suchkriterien wie Name, Adresse, Initialen, Alias usw. der betreffenden Person sollten als Hilfestellung verwendet werden. Die personenbezogenen Daten der betreffenden Person können in Briefen, Memos, E-Mails, Aktennotizen, elektronischen Adressbüchern usw. sowie in unserer Kunden- oder Personaldatenbank und in Kundenprofilen erscheinen.

(e) Nach Abschluss der Suche arbeiten Sie mit dem GDPO (und ggf. der Rechtsabteilung) zusammen, um die Anfrage vorzubereiten und der Person zu antworten, indem Sie Kopien der relevanten personenbezogenen Daten und der zugehörigen Informationen bereitstellen, auf deren Erhalt die Person gesetzlich Anspruch hat.

(f) Alle Antworten müssen vom GDPO unterzeichnet sein und die folgenden Informationen enthalten:

i) die Zwecke der Verarbeitung;

(ii) die Kategorien personenbezogener Daten, die verarbeitet werden;

(iii) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere Empfänger in Ländern außerhalb des Vereinigten Königreichs oder internationale Organisationen (und gegebenenfalls Informationen über die geeigneten Garantien für internationale Übermittlungen);

(iv) soweit möglich, die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

v) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch Flex oder eines Widerspruchsrechts gegen diese Verarbeitung;

(vi) das Recht, eine Beschwerde bei der Aufsichtsbehörde (dem britischen Information Commissioner (ICO)) einzureichen;

(vii) sofern die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden, alle verfügbaren Informationen über deren Herkunft (z. B. bei Partnern Dritter); und

(viii) das Bestehen einer automatisierten Entscheidungsfindung – einschließlich Profiling – im Zusammenhang mit ihren Daten, Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person. Die Offenlegung von Informationen zum Profiling ist nur erforderlich, wenn das Profiling rechtliche Auswirkungen hat oder die betroffene Person in anderer Weise erheblich beeinträchtigt. Beispielsweise bestimmt es, ob eine Person eine Anstellung oder Beförderung erhält, oder bestimmt den Preis, zu dem ihr ein Produkt oder eine Dienstleistung angeboten wird, oder zielt auf gefährdete Personengruppen ab.

(g) Wird der Antrag auf Auskunft über die personenbezogenen Daten in elektronischer Form (z. B. per E-Mail) gestellt, so sollten die Informationen in einem allgemein verwendeten elektronischen Format bereitgestellt werden, beispielsweise im PDF-, Word- oder Excel-Format (sofern die betroffene Person nichts anderes verlangt).

(H)           Ausnahmen:

(i) Flex sollte der Person keine Daten bereitstellen, wenn hierdurch die Rechte anderer beeinträchtigt würden (Daten über die Person, die keine Auswirkungen auf andere haben, müssen dennoch bereitgestellt werden, etwa wenn die Daten Informationen über Dritte preisgeben, die sich nachteilig auf diese auswirken könnten).

(ii) Falls Flex über eine große Menge personenbezogener Daten zu einer Person verfügt, kann Flex die Person auffordern, die Informationen oder die Verwendung der Daten anzugeben, auf die sich ihre Anfrage bezieht. Sobald wir die Informationen identifiziert haben, muss Flex jedoch dennoch auf die Anfrage antworten.

(iii) Flex sollte keine Informationen preisgeben, die einer gesetzlichen Geheimhaltungspflicht unterliegen.

(i) Wenn der GDPO der Ansicht ist, dass eine Ausnahme gelten könnte, benachrichtigt er die Rechtsabteilung, und der GDPO und die Rechtsabteilung müssen gemeinsam eine Entscheidung treffen.

(J)            Zeitliche Koordinierung

(i) Flex muss diese Informationen einer Person unverzüglich und spätestens innerhalb eines Monats nach Eingang der Anfrage zur Verfügung stellen.

(ii) Wenn der GDPO, gegebenenfalls in Zusammenarbeit mit der Rechtsabteilung, entscheidet, dass eine Ausnahmeregelung gilt, benachrichtigt der GDPO die antragstellende Person unverzüglich und innerhalb eines Monats darüber und erläutert ihr die Gründe, warum Flex ihrem Antrag nicht nachkommen wird.

(k)           Aufzeichnungen

(i) Das HR Global Business Services-Team führt für jede Anfrage vollständige Aufzeichnungen über den Vorgang und die Antworten.

4.3         Recht auf Berichtigung

(a) Sie arbeiten mit dem GDPO und dem IT-Team zusammen, um die Daten zu lokalisieren, von denen die Person behauptet, sie seien falsch. Wenn die Umstände den von der Person beschriebenen entsprechen, korrigieren Sie die Daten in allen unseren Dateien und Systemen, in denen sie gespeichert sind.

(b) Wenn die Person die Vervollständigung unvollständiger Daten verlangt, arbeiten Sie mit dem GDPO und dem IT-Team zusammen, um die Daten zu vervollständigen. Dazu gehört auch, dass die Person die Möglichkeit hat, eine ergänzende Erklärung zur Vervollständigung der Daten abzugeben.

(c) Sie arbeiten mit dem GDPO zusammen, um die Person schnellstmöglich darüber zu informieren, dass die Informationen korrigiert/vervollständigt wurden.

(D)           Zeitraum

(i) Flex muss die betreffenden Informationen unverzüglich und spätestens innerhalb eines Monats nach Erhalt der Anfrage berichtigen/vervollständigen.

e)           Aufzeichnungen

(i) Das HR Global Business Services-Team führt für jede Anfrage vollständige Aufzeichnungen über den Vorgang und die Antworten.

4.4         Recht auf Löschung (Recht auf Vergessenwerden)

(a) Dieses Recht steht nur unter bestimmten Umständen zu (siehe unten). Der GDPO prüft zunächst, ob die Person tatsächlich dieses Recht hat, bevor er sich mit dem HR Information Systems-Team in Verbindung setzt, um die Löschung vorzunehmen.

(B)           Dieses Recht besteht nur, wenn:

i) Die Daten sind für die Zwecke, für die sie erhoben bzw. verarbeitet wurden, nicht mehr notwendig;

(ii) die Person ihre Einwilligung zur Verarbeitung widerruft (und es keine andere Rechtfertigung für die Verarbeitung gibt);

(iii) die betroffene Person Widerspruch gegen die Nutzung ihrer Daten durch Flex einlegt und Flex nicht nachweisen kann, dass zwingende berechtigte Gründe für die Verarbeitung vorliegen;

(iv) Flex ihre Daten unrechtmäßig verwendet haben; oder

(v) die Daten müssen gelöscht werden, um gesetzlichen Vorschriften zu entsprechen.

(c) Wenn der GDPO zu dem Schluss kommt, dass dieses Recht gilt, wird diese Schlussfolgerung zur Überprüfung an das Rechtsteam weitergeleitet. Wenn das Rechtsteam und der GDPO übereinstimmend der Auffassung sind, dass das Recht gilt, wird das IT-Team dabei behilflich sein, die relevanten Daten aus unseren Systemen (und allen Systemen Dritter, auf denen die Daten der betreffenden Person gespeichert sind (z. B. IT-Hosting-Anbieter, Datenbankanbieter usw.)) zu löschen.

(d) Wenn die Daten von Flex öffentlich gemacht wurden, ist es außerdem erforderlich, andere, die diese Daten möglicherweise verwenden (z. B. Partner, verknüpfte Social-Media-Sites usw.), darüber zu informieren, dass die Person die Löschung ihrer Daten beantragt hat. Flex wird angemessene Schritte unternehmen, um dies zu erreichen (unter Berücksichtigung der verfügbaren Technologie und der Kosten der Umsetzung). Der GDPO wird, bei Bedarf in Zusammenarbeit mit dem Rechtsteam, entscheiden, welche angemessenen Schritte dies sind.

e)           Ausnahmen

(i) Flex sind nicht verpflichtet, einer Aufforderung zur Löschung von Daten nachzukommen, wenn die Verarbeitung der Daten erforderlich ist:

(A) zur Ausübung des Rechts auf freie Meinungsäußerung und Information;

(B) um Gesetze einzuhalten;

(C) aus Gründen der öffentlichen Gesundheit;

(D) für im öffentlichen Interesse liegende Archivzwecke

(E) zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken; oder

(F) wenn dies im Zusammenhang mit Rechtsansprüchen erforderlich ist;

(ii) Flex sind ebenfalls nicht verpflichtet, der Aufforderung nachzukommen, wenn sie offensichtlich unbegründet oder übertrieben ist (insbesondere, wenn die gleiche Person dieselbe Anfrage mehrfach gestellt hat).

(iii) Wenn der GDPO der Ansicht ist, dass eine Ausnahme gelten könnte, benachrichtigt er die Rechtsabteilung, und der GDPO und die Rechtsabteilung treffen gemeinsam eine Entscheidung.

(F)           Zeitraum

(i) Flex muss diese Informationen unverzüglich und spätestens innerhalb eines Monats nach Erhalt der Anfrage löschen.

(ii) Wenn der GDPO, gegebenenfalls in Zusammenarbeit mit der Rechtsabteilung, feststellt, dass eine Ausnahme gilt, benachrichtigt der GDPO die antragstellende Person unverzüglich und innerhalb eines Monats darüber und erläutert die Gründe, warum Flex ihrem Antrag nicht nachkommen wird.

(G)           Aufzeichnungen

(i) Das HR Global Business Services-Team führt für jede Anfrage vollständige Aufzeichnungen über den Vorgang und die Antworten.

4.5         Recht auf Einschränkung der Verarbeitung

(a) Eine Einzelperson kann von Flex unter bestimmten Umständen die Einschränkung der Verarbeitung ihrer personenbezogenen Daten verlangen.

(b) Dieses Recht besteht nur, wenn:

(i) die Person die Richtigkeit der von Flex gespeicherten Daten bestreitet;

(ii) die betroffene Person Widerspruch gegen die Verarbeitung einlegt und noch nicht feststellt, ob berechtigte Gründe für die weitere Verarbeitung ihrer personenbezogenen Daten vorliegen;

(iii) die Verarbeitung unrechtmäßig ist, die betroffene Person jedoch eine Löschung ablehnt und stattdessen eine Einschränkung verlangt;

(iv) Flex die Daten nicht weiter benötigt, die betroffene Person diese jedoch im Zusammenhang mit einem Rechtsanspruch benötigt.

(c) In jedem der oben beschriebenen Szenarien kann von Flex verlangt werden, die Nutzung der Daten einzuschränken, bis die Situation geklärt ist; Flex kann die Daten jedoch weiterhin speichern. Dieses Recht ist nur als vorübergehende Maßnahme gedacht.

(d) Wenn Daten beschränkt sind, darf Flex die Daten nur speichern. Andernfalls darf es nicht verwendet werden, es sei denn:

i) die betroffene Person ihre Zustimmung gibt;

(ii) ihre Nutzung im Zusammenhang mit einem Rechtsanspruch erforderlich ist; oder

(iii) es ist aus Gründen des öffentlichen Interesses erforderlich.

(e) Der GDPO prüft, ob das Recht gilt, und arbeitet, wenn dies der Fall ist, mit dem IT-Team zusammen, um die Verarbeitung der betreffenden Daten einzuschränken.

(f) Sofern die betreffenden Daten üblicherweise automatisch verarbeitet werden, weist der GDPO das IT-Team an, Maßnahmen zur Isolierung oder Sperrung der betreffenden Daten zu ergreifen.

(g) Der GDPO arbeitet mit der Geschäftseinheit zusammen, die die personenbezogenen Daten verarbeitet, um sicherzustellen, dass alle relevanten Mitarbeiter über die geltenden Beschränkungen informiert sind.

(h) Der GDPO kann, gegebenenfalls in Zusammenarbeit mit der Rechtsabteilung, feststellen, dass die Einschränkung nicht mehr gilt, da die oben genannten Anforderungen nicht mehr erfüllt werden können. Bevor die Einschränkung der Datenverarbeitung aufgehoben wird, muss der GDPO zunächst die betreffende Person informieren.

(ich)            Zeitraum

(i) Flex muss auf einen Antrag auf Einschränkung der Verarbeitung unverzüglich und in jedem Fall innerhalb eines Monats nach Eingang des Antrags antworten.

(J)           Aufzeichnungen

(i) Das HR Global Business Services-Team führt für jede Anfrage vollständige Aufzeichnungen über den Vorgang und die Antworten.

4.6         Recht auf Datenübertragbarkeit

(a) Eine Einzelperson kann verlangen, dass wir bestimmte über sie gespeicherte Daten an die Einzelperson oder an eine andere Stelle übertragen.

(b) Dieses Recht gilt nur:

(i) auf Daten, die die Person Flex bereitgestellt hat (und gilt daher nicht für Daten, die Flex über die Person erstellt hat). Informationen darüber, wie eine Person ein Produkt, eine Dienstleistung oder ein Gerät verwendet, gelten jedoch als „von der Person bereitgestellt“;

(ii) wenn die Verarbeitung der betreffenden Daten auf der Einwilligung der betroffenen Person oder auf einem Vertrag mit ihr beruhte; und

(iii) die Verarbeitung mithilfe automatisierter Verfahren erfolgt.

(c) Wenn dieses Recht besteht, muss Flex der betroffenen Person die betreffenden Daten in einem strukturierten, allgemein gebräuchlichen und maschinenlesbaren Format bereitstellen. Dies bedeutet eine Excel-Tabelle, ein Word-Dokument oder eine andere gängige Textdatei.

(d) Dieses Recht bezweckt, die Nutzung der Informationen durch Drittanbieter zu ermöglichen und geht über das bloße Auskunftsrecht hinaus.

(e) Wenn die betroffene Person die direkte Übermittlung ihrer Daten an eine andere Stelle verlangt, muss Flex dieser Übermittlung nachkommen, soweit dies technisch machbar ist.

(F)            Befreiung

(i) Flex müssen die Daten nicht übertragen, wenn dadurch die Rechte anderer Personen beeinträchtigt würden. Dies gilt, wenn die zu übertragenden Informationen Informationen über Dritte enthalten, die für andere Zwecke verwendet werden.

(ii) Flex ist nicht verpflichtet, die Daten zu übertragen, wenn dadurch unsere geistigen Eigentumsrechte verletzt oder unsere Geschäftsgeheimnisse preisgegeben würden. Wenn die Informationen jedoch ohne Beeinträchtigung dieser Rechte freigegeben werden können, sollten sie auf diese Weise freigegeben werden.

(g) Wenn der GDPO der Ansicht ist, dass eine Ausnahme gelten könnte, benachrichtigt er die Rechtsabteilung, und der GDPO und die Rechtsabteilung treffen gemeinsam eine Entscheidung.

(H)           Zeitraum

(i) Flex muss diese Informationen unverzüglich und spätestens innerhalb eines Monats nach Eingang der Anfrage an eine Einzelperson oder ein anderes Unternehmen weitergeben.

(ii) Wenn der DSB, gegebenenfalls in Zusammenarbeit mit der Rechtsabteilung, feststellt, dass eine Ausnahme gilt, benachrichtigt der DSB die antragstellende Person unverzüglich und innerhalb eines Monats darüber und erläutert ihr die Gründe, warum Flex ihrem Antrag nicht nachkommen wird.

(J)           Aufzeichnungen

(i) Das HR Global Business Services-Team führt für jede Anfrage vollständige Aufzeichnungen über den Vorgang und die Antworten.

4.7         Widerspruchsrecht (auch gegen Direktmarketing)

(a) Eine Person kann uns mitteilen, dass sie Einspruch gegen die Verarbeitung ihrer personenbezogenen Daten durch uns erhebt.

(b) Dieses Recht gilt nur, wenn Flex die personenbezogenen Daten der Person auf Grundlage seiner berechtigten Interessen oder der eines Dritten verarbeitet (und nicht, weil eine Einwilligung für eine solche Verarbeitung eingeholt wurde oder eine solche Verarbeitung erforderlich ist, um der Person die angeforderten Produkte oder Dienstleistungen bereitzustellen) und Flex nicht nachweisen kann, dass diese berechtigten Interessen Vorrang vor den Rechten der Person haben oder dass die Verarbeitung für die Rechtsansprüche von Flex erforderlich ist.

(c) Der GDPO prüft gemeinsam mit der Rechtsabteilung (falls erforderlich), ob Flex (oder ein relevanter Dritter) fortbestehende berechtigte Interessen hat, die Vorrang vor den Rechten und Freiheiten der Person haben. Dabei werden alle besonderen Umstände in Bezug auf diese Person berücksichtigt, die Flex bekannt sind.

(d) Wenn der GDPO und das Rechtsteam feststellen, dass Flex (oder der Dritte) keine fortbestehenden überwiegenden berechtigten Interessen hat, stellt Flex die Verarbeitung der personenbezogenen Daten dieser Person ein. Die personenbezogenen Daten werden aus den Systemen von Flex (und den Systemen Dritter) gelöscht.

(e) Eine Einzelperson kann außerdem verlangen, dass Flex die Nutzung ihrer personenbezogenen Daten für Direktmarketing einstellt; dies gilt auch für jegliches Profiling, das Flex in Verbindung mit derartigem Marketing durchführt.

(f) Nach Erhalt einer Aufforderung, die Verwendung personenbezogener Daten für Direktmarketing einzustellen, informiert der GDPO die entsprechenden Betriebs- und Marketingteams, die die Verwendung der personenbezogenen Daten der betreffenden Person für Marketingzwecke so schnell wie möglich einstellen und keine Marketingnachrichten mehr an diese Person senden müssen. Auch jegliches Profiling dieser Person im Zusammenhang mit dem Marketing muss eingestellt werden. 

(G)           Zeitraum

(i) Wir müssen auf derartige Anfragen reagieren und die entsprechende Verarbeitung gegebenenfalls unverzüglich und innerhalb eines Monats nach Eingang der Anfrage einstellen.

(H)           Aufzeichnungen

(i) Das HR Global Business Services-Team führt für jede Anfrage vollständige Aufzeichnungen über den Vorgang und die Antworten.

4.8         Rechte bei automatisierter Entscheidungsfindung

(a) Dieses Recht gilt, wenn Flex ausschließlich automatisierte Mittel verwendet, um eine Entscheidung zu treffen, die eine Person erheblich betrifft. Dies kann Entscheidungen über Anstellung oder Beförderung umfassen, die ausschließlich auf Eignungstests oder der Einführung psychometrischer Tests beruhen. Es kann auch gelten, wenn wir gezielte Nachrichten an Benutzer generieren, die den Preis für den Einzelnen anpassen oder gefährdete Gruppen gezielt ausnutzen.

(b) Eine Person kann Flex darüber informieren, dass sie Einspruch gegen eine wichtige Entscheidung einlegt, die wir über sie treffen und die ausschließlich auf einer automatisierten Verarbeitung beruht.

(c) Geht ein solcher Antrag ein, prüft der GDPO gemeinsam mit der Rechtsabteilung, ob eine Ausnahmeregelung gilt.

d) Ausnahmen

(i) Die automatisierte Entscheidung ist für den Abschluss oder die Erfüllung eines Vertrags mit der betroffenen Person erforderlich.

(ii) Die automatisierte Entscheidung ist nach britischem Recht zulässig.

(iii) Flex über die ausdrückliche Zustimmung des Einzelnen verfügt, eine solche Entscheidung zu treffen.

(e) Wenn eine solche Ausnahme nicht gilt, darf Flex eine solche Entscheidung nicht ausschließlich auf automatisierten Mitteln basieren. Stattdessen muss jede solche Entscheidung von einem geeigneten Mitglied des betreffenden Teams/der betreffenden Geschäftseinheit überprüft werden.

(f) Wenn eine Ausnahmeregelung gilt, kann Flex mit dieser Entscheidung fortfahren, muss jedoch:

i) sicherzustellen, dass die zur Erstellung dieser Informationen verwendeten Informationen richtig und aktuell sind;

(ii) zu prüfen, ob es angemessen ist, die Entscheidung ohne die Verwendung automatisierter Mittel zu treffen;

iii) auf Wunsch des Einzelnen ein menschliches Eingreifen in den Entscheidungsprozess zuzulassen; und

(iv) etwaige Einwände des Einzelnen gegen die Entscheidung so bald wie angemessen möglich und im Idealfall innerhalb desselben Monats zu prüfen, innerhalb dessen die erste Antwort erforderlich ist.

(G)           Zeitraum

(i) Wir müssen auf derartige Anfragen reagieren und die entsprechende Verarbeitung gegebenenfalls unverzüglich und innerhalb eines Monats nach Eingang der Anfrage einstellen.

(H)           Aufzeichnungen

(i) Das HR Global Business Services-Team führt für jede Anfrage vollständige Aufzeichnungen über den Vorgang und die Antworten.

ANHANG D — Globales Verfahren zur Erhebung und Bearbeitung von Datenschutzbeschwerden

1. EINLEITUNG, ZWECK UND DEFINITIONEN

1.1         Einführung

(a) Flextronics (Flex) verpflichtet sich zum Datenschutz und zur fairen Verarbeitung personenbezogener Daten und ermöglicht Einzelpersonen unter anderem die Ausübung der Rechte in Bezug auf ihre personenbezogenen Daten, die ihnen gemäß unseren Datenschutzstandards und den geltenden lokalen Datenschutzgesetzen zustehen.

(b) Viele Datenschutzsysteme (einschließlich der Datenschutzgesetze des Vereinigten Königreichs) gewähren Einzelpersonen häufig bestimmte Rechte in Bezug auf die Erhebung und Verarbeitung ihrer personenbezogenen Daten durch Organisationen. Flex verpflichtet sich, diese Rechte zu respektieren und Einzelpersonen die Ausübung dieser Rechte zu ermöglichen, wie in unseren Datenschutzstandards und der globalen Richtlinie zu den Rechten betroffener Personen dargelegt.

(c) Eine betroffene Person hat das Recht, eine Datenschutzbeschwerde in Bezug auf die Verarbeitung ihrer personenbezogenen Daten durch Flex oder eine Flex-Einheit einzulegen.

1.2         Zweck der Richtlinie

(a) Der Zweck dieser Richtlinie besteht darin, das Verfahren festzulegen, das befolgt werden muss von:

(i) Einzelpersonen (betroffene Personen), die eine Datenschutzbeschwerde einreichen; und

(ii) Flex, wenn eine Datenschutzbeschwerde eingeht. 

1.3         Definitionen

(A)           Datenschutzbeschwerden: Eine Beschwerde oder Sorge in Bezug auf Datenschutzangelegenheiten gegenüber einer Person oder einem Unternehmen, einschließlich einer Beschwerde, dass Flex oder ein bestimmtes Flex-Unternehmen die Datenschutzstandards, die Flex-Richtlinien in Bezug auf den Datenschutz oder die geltenden Datenschutzgesetze nicht einhält.

(B)           Geschäftskontakt: Ein Geschäftskontakt bei allen Kunden, Investoren, Aktionären, Lieferanten, Partnern oder Verkäufern.

(C)           Betroffener: Alle Personen, deren personenbezogene Daten von einer oder mehreren Flex-Einheiten verarbeitet werden, einschließlich aktueller und ehemaliger Mitarbeiter, Geschäftskontakte und sonstiger betroffener Personen. Betroffene Personen haben das Recht, eine Datenschutzbeschwerde bezüglich der Verarbeitung ihrer personenbezogenen Daten durch Flex oder eine Flex-Einheit einzulegen.

(D)           Persönliche Daten: Informationen über eine identifizierte oder identifizierbare natürliche Person, die direkt oder indirekt identifiziert werden kann, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Identifikationsnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind. Beispiele hierfür sind unter anderem:

(i) Name, Adresse, Steueridentifikationsnummer, Sozialversicherungsnummer, nationale Identitätsnummer, Geburtsdatum, persönliche Kontonummern, Kredit-/Debitkartennummern, Benutzernamen für das Online-Banking (unabhängig davon, ob sie zusammen mit Passwörtern verwendet werden oder nicht);

(ii) Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, die Gewerkschaftsmitgliedschaft, der körperliche oder geistige Gesundheitszustand, das Sexualleben und die kriminelle Vergangenheit hervorgehen.

2. ROLLEN UND VERANTWORTLICHKEITEN

Betroffener: Eine Person, die das Recht hat, eine Datenschutzbeschwerde einzureichen.

Datenschutzbeauftragter (DPLO): Verantwortlich für die Weiterleitung aller Datenschutzbeschwerden an den GDPO und die in Abschnitt 6 der globalen Datenschutzrichtlinie und -regeln Flex festgelegten Aufgaben. Bericht an den zuständigen regionalen Datenschutzbeauftragten.

Regionaler Datenschutzbeauftragter (RDPO): Verantwortlich für die in Abschnitt 6 der globalen Datenschutzrichtlinie und -regeln Flex festgelegten Aufgaben und für die Einhaltung der Datenschutzstandards. Untersteht dem globalen Datenschutzbeauftragten.

Globaler Datenschutzbeauftragter (GDPO): Der Datenschutzbeauftragter (DPO) im Sinne der britischen Datenschutzgesetze. Verantwortlich für Aufgaben gemäß Abschnitt 6 der globalen Datenschutzrichtlinie und -regeln Flex und verantwortlich für das Netzwerk regionaler Datenschutzbeauftragter, Datenschutz-Verbindungsbeauftragter, die Entwicklung und Umsetzung der Datenschutzstandards, die Beantwortung von Anfragen der Aufsichtsbehörde und die Zusammenarbeit mit der Aufsichtsbehörde. Kann Aufgaben im Rahmen dieser Richtlinie an den RDPO delegieren.

3. Eingang einer Datenschutzbeschwerde

3.1         Eine betroffene Person kann eine Datenschutzbeschwerde einreichen, indem sie HR Global Business Services (GBS) und den Global Data Privacy Officer über die folgende E-Mail-Adresse kontaktiert: dataprotection@flex.com.

3.2         Flex unterhält über seine Global Business Services (GBS) die oben genannte spezielle E-Mail-Adresse, an die Betroffene Datenschutzbeschwerden einreichen können. Datenschutzbeschwerden können jedoch auf jede beliebige Art und Weise eingereicht werden, z. B. persönlich, telefonisch, per E-Mail, Brief oder Fax. Flex stellt Musterbeschwerdeformulare zur Verfügung, um Betroffene zu unterstützen. Kopien der Formulare sind auf der Flex-Website und dem Datenschutzportal verfügbar.

3.3         Ungeachtet des Vorstehenden gilt: Wenn eine betroffene Person eine Datenschutzbeschwerde auf anderem schriftlichen oder mündlichen Weg einreicht, wird ein Mitarbeiter, der eine solche Datenschutzbeschwerde erhält, diese Datenschutzbeschwerde unverzüglich an den globalen Datenschutzbeauftragten unter Verwendung der oben genannten E-Mail-Adresse weiterleiten.

4. Fristen für die Bearbeitung von Beschwerden

Für Datenschutzbeschwerden, die im Rahmen dieses Verfahrens behandelt werden, gilt der folgende Zeitrahmen.

Name

Zeitfenster

Beschreibung

Eingang der Beschwerde bestätigen

Innerhalb von sieben (7) Tagen

Flex bestätigt den Eingang jeder Datenschutzbeschwerde innerhalb von sieben (7) Tagen nach Erhalt per E-Mail.

Weitere Informationen anfordern

Innerhalb von vierzehn (14) Tagen

Falls die betroffene Person nicht genügend Informationen bereitstellt, kann der Globale Datenschutzbeauftragte innerhalb von vierzehn (14) Tagen nach Erhalt der Datenschutzbeschwerde weitere Informationen zu der Beschwerde anfordern.

Triff eine Entscheidung

Ohne unangemessene Verzögerung und in jedem Fall innerhalb eines (1) Monats

Der Global Data Privacy Officer prüft die Datenschutzbeschwerde und alle bereitgestellten Zusatzinformationen. Der GDPO trifft unverzüglich und in jedem Fall innerhalb eines (1) Monats nach Eingang der Beschwerde eine Entscheidung.

Sollte es im erwarteten Zeitrahmen für die Antwort zu Verzögerungen kommen, wird der GDPO die betroffene Person während des gesamten Prozesses auf dem Laufenden halten.

Wenn die Beschwerde komplex ist oder mehrere Beschwerden vorliegen

Innerhalb von drei (3) Monaten

Angesichts der Komplexität und Anzahl von Datenschutzbeschwerden kann die einmonatige Frist zur Entscheidungsfindung um maximal zwei weitere Monate verlängert werden. Die Entscheidung wird ohne unangemessene Verzögerung und in jedem Fall innerhalb von drei (3) Monaten nach Eingang der Beschwerde getroffen.

Die betroffene Person sollte vom GDPO innerhalb eines (1) Monats nach Eingang der Beschwerde schriftlich darüber informiert werden.

Sollte es im erwarteten Zeitrahmen für die Antwort zu Verzögerungen kommen, wird der GDPO die betroffene Person während des gesamten Prozesses auf dem Laufenden halten.

4.1         Die Entscheidung des Global Data Privacy Officer erfolgt schriftlich.

4.2         Die Entscheidung des Global Data Privacy Officer enthält mindestens folgende Informationen:

(a) eine Beschreibung der Datenschutzbeschwerde,

(b) eine Beschreibung der Antwort(en) des Beklagten auf die Datenschutzbeschwerde, sofern vorhanden;

(c) und eine Erklärung der Feststellungen und Schlussfolgerungen des Global Data Privacy Officer.

4.3         Der Global Data Privacy Officer veranlasst, dass dem Beschwerdeführer innerhalb von drei Werktagen nach dem Datum der Entscheidung eine Kopie der Entscheidung per Post zugesandt wird.

5. FOLGEN DER ENTSCHEIDUNG

5.1         Für den Fall, dass der Datenschutzbeschwerde stattgegeben wird, wird der Global Data Privacy Officer in Absprache mit der Rechtsabteilung die erforderlichen Schritte veranlassen, darunter gegebenenfalls eine Entschädigung an die betroffene Person für materiellen oder immateriellen Schaden.

5.2         Falls die Datenschutzbeschwerde abgelehnt wird oder der Datenschutzbeschwerde stattgegeben wird, die betroffene Person jedoch mit der vorgeschlagenen Antwort nicht zufrieden ist, hat die betroffene Person Anspruch auf Folgendes:

(a) die Angelegenheit vor dem Information Commissioner's Office zur Sprache bringen;

(b) die Angelegenheit vor den Gerichten mit Zuständigkeit in England und Wales zur Sprache zu bringen.

6. BESCHWERDEESKALATION

6.1         Wenn festgestellt wird, dass eine Datenschutzbeschwerde ein Risiko für Flex darstellen könnte oder anderweitig erheblich ist, muss sie möglicherweise an den Chief Compliance Officer weitergeleitet werden.

7. AUFBEWAHRUNG VON AUFZEICHNUNGEN

7.1         Die gesamte relevante Dokumentation im Zusammenhang mit diesem Verfahren muss von GBS aufgezeichnet und aufbewahrt werden.

7.2         Die Aufzeichnungen zu Datenschutzbeschwerden müssen eine Kopie der Datenschutzbeschwerde enthalten und sämtliche Mitteilungen und Antworten müssen aufbewahrt werden.

8. COMPLIANCE UND AUDIT

8.1         Dieses Verfahren unterliegt einer regelmäßigen risikobasierten Überwachung durch das Datenschutznetzwerk und das Compliance-Team von Flex, um sicherzustellen, dass es wirksam ist und seinen Zweck erfüllt. Darüber hinaus kann es einer unabhängigen Prüfung durch das interne Revisionsteam von Flex unterzogen werden.

9. WIRKUNG ANDERER GELTEN GESETZE

9.1         Wenn sich die Datenschutzbeschwerde auf das Verhalten oder die Führung einer anderen, konkret identifizierten Person bezieht, wird die Datenschutzbeschwerde gemäß aller Rechte behandelt, die dieser Person gemäß der geltenden lokalen Gesetzgebung zustehen, einschließlich (sofern zutreffend) des Rechts dieser Person, eine Antwort auf die Datenschutzbeschwerde einzureichen.

10. AUSBILDUNG

10.1       Regionale Datenschutzbeauftragte und Datenschutz-Verbindungsbeauftragte schulen das entsprechende Personal in den in diesem Dokument beschriebenen Verfahren. Regionale Datenschutzbeauftragte und Datenschutz-Verbindungsbeauftragte können die Geschäftseinheiten oder die GBS-Abteilung darin schulen, häufige Probleme im Zusammenhang mit der Bearbeitung von Datenschutzbeschwerden zu erkennen.

11. VERWALTUNGSINFORMATIONEN

(a) Alle Fragen im Zusammenhang mit der Auslegung und Anwendung dieser Richtlinie sollten an den Global Data Privacy Officer unter folgender Adresse gerichtet werden: dataprotection@flex.com.

(b) Im Falle von Unstimmigkeiten zwischen den in dieser Richtlinie enthaltenen Hinweisen und den Datenschutzstandards oder anderen Standards, Richtlinien oder Verfahren wenden Sie sich bitte an den globalen Datenschutzbeauftragten.