Employees Privacy Notice der Viessmann Gruppe – Stand April 2018 – Einleitung Dieses Dokument dient dazu, Sie über die Verarbeitung Ihrer personenbezogener Daten im Rahmen Ihres Arbeitsverhältnisses zu informieren. Personenbezogene Daten sind alle Informationen, die ein Unternehmen der Viessmann Gruppe Ihnen zuordnen kann. Hierzu zählen auch diejenigen Informationen, die Ihnen nur indirekt, etwa mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten oder zu einer Online-Kennung zugeordnet werden können. Als identifizierbar wird auch eine Person angesehen, die anhand von einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind. Übersicht Diese Privacy Notice verfügt über einen allgemeinen Teil (Abschnitte 1 und 2), in denen allgemeine Informationen über die Verarbeitung von personenbezogenen Daten durch die Viessmann Gruppe mitgeteilt werden. In Abschnitt 2.c werden Sie auch über Ihre Rechte informiert. Darüber hinaus erfolgen in den folgenden Abschnitten Informationen über die einzelnen datenverarbeitenden Verfahren, die Sie betreffen können. Einleitung 1 Übersicht 1 1. Anwendungsbereich 1 2. Allgemeine Hinweise 2 3. Informationen zu dem Verfahren „Führen der Personalakte“ 3 4. Informationen zu dem Verfahren „Weitere Verfahren“ 6 Anwendungsbereich Diese Privacy Notice gilt für verschiedene Gesellschaften der Viessmann Gruppe. Datenschutzrechtlich verantwortlich für die Verarbeitung Ihrer personenbezogenen Daten ist grundsätzlich diejenige Gesellschaft mit der Sie einen Arbeitsvertrag geschlossen haben. Soweit im Folgenden der Begriff „Viessmann“ verwendet wird, meint dies Ihren Arbeitgeber, soweit nichts Anderweitiges angegeben ist. Bei einzelnen datenschutzrechtlichen Verfahren wird angegeben, dass neben Ihrem Arbeitgeber auch noch eine oder mehrere weitere Viessmann Gesellschaften gemeinschaftlich verantwortlich sind. Eine Privacy Notice ist für sämtliche Gesellschaften der Viessmann Gruppe anwendbar, die unter 2 a) genannt sind. [Alternativ könnte für jede Viessmann Gesellschaft eine eigene Privacy Notice erstellt werden. Dies erfordert jedoch in der Erstellung und Pflege der Dokumente einen sehr hohen Aufwand. Auf der anderen Seite muss berücksichtigt werden, dass bei einer Einbeziehung sehr vieler Gesellschaften zweifelhaft ist, ob die Privacy Notice noch gemäß Art 12 DSGVO als „transparent, verständlich in einer klaren und einfachen Sprache verfasst“ gelten kann. Dies kann nicht auf Ebene eine Templates geprüft werden, sondern erst nach der Eintragung sämtlicher Verantwortlicher und sämtlicher Verfahren. Vielleicht bietet es sich auch an, für Landesgesellschaften, für die ohnehin eigene Sprachfassung notwendig sind, den Anwendungsbereich auf die jeweilige Landesgesellschaft zu begrenzen.] Einzelne Verfahren gelten nur für bestimmte Gesellschaften. Hierauf wird während der Verfahrensbeschreibung genau eingegangen. Allgemeine Hinweise Kontaktdaten des Verantwortlichen (sowie gegebenenfalls seines Vertreters) Die Kontaktdaten der jeweils Verantwortlichen sind: Viessmann GmbH & Co KG Viessmannstraße 1 35108 Allendorf (Eder) Telefon: 06452 70-0 Telefax: 06452 70-2780 E-Mail: info@viessmann.com [Hier bitte alle weiteren Gesellschaften einfügen] Kontaktdaten des Datenschutzbeauftragten lauten: Die Kontaktdaten der jeweils Verantwortlichen sind: [Die mitzuteilenden Kontaktdaten umfassen eine (ladungsfähige) Anschrift sowie die elektronische und/oder telefonische Erreichbarkeit des Datenschutzbeauftragten. Eine Angabe des Namens des Datenschutzbeauftragten ist nicht erforderlich.] Ihre Rechte Sie haben das Recht, über die personenbezogenen Daten, die über Sie gespeichert wurden, auf Antrag unentgeltlich Auskunft zu erhalten. Zusätzlich haben Sie das Recht, auf Berichtigung unrichtiger Daten, das Recht die Einschränkung der Verarbeitung von zu umfangreich verarbeiteten Daten und das Recht auf Löschung von unrechtmäßig verarbeiteten bzw. zu lange gespeicherten personenbezogenen Daten (soweit dem keine gesetzliche Aufbewahrungspflicht und keine sonstigen Gründe nach Art. 17 Abs. 3 DSGVO entgegensteht). Darüber hinaus steht Ihnen das Recht auf Übertragung sämtliche, von Ihnen an Viessmann übergebenen Daten in einem gängigen Dateiformat zu (Recht auf Datenportabilität). Soweit Sie gegen einzelne Verfahren auch ein Recht auf Widerspruch gegen die Verarbeitung haben, wird dies im Rahmen der Beschreibung der einzelnen Verfahren behandelt. Zur Ausübung Ihrer Rechte genügt eine E-Mail an [XYZ@viessmann.de]. Freiwilligkeit und Erforderlichkeit für Ihre Daten Die Bereitstellung Ihrer personenbezogenen Daten an Viessmann ist vertraglich durch Viessmann vorgeschrieben und zudem teilweise durch das Sozialversicherungsrecht erforderlich. Sie sind daher verpflichtet, Ihre entsprechenden personenbezogenen Daten bereitzustellen. Soweit die Bereitstellung von personenbezogenen Daten in Einzelfällen freiwillig ist, wird dies im Rahmen der einzelnen Verfahrensbeschreibungen erwähnt. Wenn Sie Viessmann die erforderlichen Angaben (also die nicht freiwilligen Angaben) nicht zur Verfügung stellen, verletzen Sie eine Nebenpflicht aus Ihrem Arbeitsvertrag. Gleiches gilt auch, wenn Sie eine Veränderung Ihrer personenbezogenen Daten nicht mitteilen. Dies kann eine Abmahnung zur Folge haben. Informationen zu dem Verfahren „Führung der Personalakte“ Beschreibung und Zweckbestimmung des Verfahrens (gegebenenfalls Hinweise zu anderen Verantwortlichen) In einer digitalen Personalakte in dem System SAP-HCM wird zu folgenden Zwecken eine digitale Personalakte geführt: Archivierung sämtlicher arbeitsrechtlich relevanter Dokumente, wie etwa Arbeitsverträge, Kündigungsschreiben, Abmahnungen, Krankmeldungen, Zertifikate und abgeschlossenen Schulungen. In Ihrer digitalen Personalakte werden auch allgemeine Daten zu Ihnen verarbeitet, wie etwa Name, Kontaktdaten, Anschrift, Bankverbindung, die für die Durchführung des Arbeitsverhältnisses erforderlich sind. Zudem wird die digitale Personalakte auch zum Zweck der Verwaltung von Urlaubstagen und der Zeiterfassung geführt. Rechtsgrundlage Die Verarbeitung von Ihren personenbezogenen Daten im Rahmen der Führung der digitalen Personalakte erfolgt auf Basis von Art. 6 (1) b) DSGVO, § 26 (1) BDSG-neu (wobei letzteres nur in Deutschland anwendbar ist). Diese Erlaubnistatbestände gestatten die Verarbeitung von personenbezogenen Daten, soweit das zur Durchführung eines (Arbeits-) Vertrags erforderlich ist. Die Verarbeitung erfordert auch die Verarbeitung besonders sensibler Daten gemäß Art. 9 Abs. 1 DSGVO wie etwa Krankmeldungen und (zu Zwecken der Gehaltsabrechnung) die Verarbeitung der Konfession. Die Verarbeitung dieser Daten erfolgt auf Basis von Art. 9 Abs. 2 lit. b DSGVO. Dieser Erlaubnistatbestand gestattet die Verarbeitung von besonders sensiblen personenbezogenen Daten zur Erfüllung von Verpflichtungen aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes. Informationen über Empfänger von Daten inklusive Angaben zur Übermittlung an ein Drittland oder eine internationale Organisation Das IT-System, mit welchem die digitale Personalakte geführt wird (SAP-HCM), wird von der Viessmann IT-Service GmbH, [Adresse] gehostet. In diesem Rahmen verarbeitet die Viessmann IT-Service GmbH Ihre personenbezogenen Daten gemäß des oben beschrieben Verfahrens. Dies erfolgt nur im Auftrag und gemäß der Weisung der Viessmann Gesellschaft bei der Sie angestellt sind. Es ist der Viessmann IT-Service GmbH nicht gestattet, eigenständig die Mittel und Zwecke der Verarbeitung Ihrer personenbezogenen Daten zu bestimmten. [Sollten noch weitere Gesellschaften die „Mittel und Zwecke der Datenverarbeitung“ als „Verantwortliche“ mitzubestimmen (dies dürfte bei einer zentralen Lohnbuchhaltung regelmäßig der Fall sein), muss dies hier ebenfalls angegeben werden. Grundsätzlich muss auch für die Übertragung von personenbezogenen Daten an andere Gesellschaften ein Erlaubnistatbestand angegeben werden. Dies kann regelmäßig nur das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO sein. Achtung: Dies gestattet nicht die Weitergaben von Daten nach Art. 9 DSGVO, die in einer digitalen Personalakte regelmäßig gespeichert werden!] [Formulierungsbeispiel: Die Übertragung von personenbezogene Daten und die Verarbeitung derselben durch die [Gesellschaft] erfolgt auf Basis der folgenden gesetzlichen Grundlage: Art. 6 Abs. 1 lit. f DSGVO. Dieser Erlaubnistatbestand gestattet die Verarbeitung von personenbezogenen Daten im Rahmen des „berechtigten Interesses“ des Verantwortlichen bzw. der [Gesellschaft], soweit nicht Ihre Grundrechte, Grundfreiheiten oder Interessen des Berechtigten an der Unterlassung der Datenverarbeitung überwiegen. Unser berechtigtes Interesse besteht in der zentralen HR-Administration. Sie können dieser Datenverarbeitung jederzeit widersprechen, wenn Gründe vorliegen, die in Ihrer besonderen Situation bestehen und die gegen die Datenverarbeitung sprechen. Hierzu genügt eine E-Mail an [XYZ@viessmann.de].] Dauer der Datenspeicherung Die im Rahmen des vorliegend beschriebenen Verfahrens verarbeiteten personenbezogenen Daten werden grundsätzlich in Deutschland gemäß den handels- und steuerrechtlichen Aufbewahrungsfristen aus § 147 Abgabenordnung und § 257 Handelsgesetzbuch 10 Jahre bis zum Ablauf des Vertrages aufbewahrt. [Abweichende Aufbewahrungsfristen für andere Länder bitte ebenfalls hier eintragen, falls anwendbar] Dies gilt nicht für die folgenden Daten, die entweder nicht von den steuer- und handelsrechtlichen Aufbewahrungsfristen erfasst werden oder für die eine kürze Aufbewahrungsfrist gilt: Die Speicherung einer Abmahnungen erfolgt in der Regle für 3 Jahre Informationen über die Zeiterfassung werden in der Regle nach [XXX Monaten/Jahren] gelöscht Informationen über Schulungen und während der Tätigkeit für die Viessmann Gruppe erworbene Zertifikate und Bescheinigungen werden 3 Jahre nach Beendigung des Arbeitsverhältnisses gelöscht. Verpflichtung zur Bereitstellung der personenbezogenen Daten Die Verarbeitung der personenbezogenen Daten in einer Personalakte ist teilweise sozialrechtlich vorgegeben und ist ansonsten durch Ihren Arbeitsvertrag verpflichtend. Ausgenommen sind die in dem Personalbogen ausdrücklich als freiwillige Angaben gekennzeichneten Felder:, wie etwa die Kontaktperson, die in einem Notfall benachrichtigt werden sollte [Diese Felder sollten hier noch einmal genannt werden.] Informationen zu dem Verfahren „Weitere Verfahren“ [Es sollten sämtliche Verfahren, die nach Art. 30 Abs. 1 DSGVO im Verzeichnis der Verarbeitungstätigkeiten im HR-Bereich dokumentiert sind, in der Privacy Notice nach Art. 13 DSGVO abgebildet werden.] Beschreibung und Zweckbestimmung des Verfahrens Rechtsgrundlage [Wenn die Rechtsgrundlage in einer Einwilligungserklärung besteht, so muss auf das Recht zum Widerruf der Einwilligung mit Wirkung für die Zukunft hingewiesen werden]. [Siehe ansonsten die obigen Beispiele für Rechtsgrundlagen] Informationen über Empfänger von Daten inklusive Angaben zur Übermittlung an ein Drittland oder eine internationale Organisation [Alle Empfänger müssen eingetragen werden, auch die konzerninternen Empfänger. Für die Weitergabe von personenbezogenen Daten innerhalb des Konzerns sollte ein Erlaubnistatbestand genannt werden.] Dauer der Datenspeicherung [Die Dauer der Datenspeicherung muss angegeben werden.] Angaben zu einer automatisierten Entscheidungsfindung einschließlich Profiling [Das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Absätze 1 und 4 DSGVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.] Viessmann Group’s Employees Privacy Notice – Status April 2018 – Introduction This document serves to inform you as an employee of the Viessmann Group (see for the corporations to which this Privacy Notice is applicable Section 1 below) about the processing of your personal data. Personal Data Personal Data means any information that can be related to you. This also includes information that can only be related to you indirectly, for example by assigning it to an identifier such as a name, an ID Number, location data or an online identifier. Identifiable is also a person who can be identified on the basis of one or more specific characteristics which are an expression of the physical, physiological, genetic, psychological, economic, and cultural or social identity of that natural person. Overview This Privacy Notice consists of a general part (Sections 1 and 2), in which general information about the processing of personal data by the Viessmann Group are provided. In Section 2.c you will be informed about your rights. Furthermore, you will receive information about single processes regarding your personal data in the following sections. Introduction 1 Overview 1 1. Scope of Application 1 2. General Information 2 3. Information about the Process “Managing the Personnel File” 3 4. Information on the Process “Further Processes” 6 Scope of Application This Privacy Notice is applicable for several corporations of the Viessmann Group. In principle, the corporation you have concluded a labor contract is responsible for the processing of your personal data within the frame of the employment relationship. Whenever this Privacy Notice refers to “Viessmann” the entity which is the contractual partner of your employment agreement is meant. In some cases, it is stated that one or more companies of the Viessmann Group are jointly responsible in addition to your employer. This is highlighted in the description of the respective processing activity. [Alternatively, one could provide each Viessmann company with an own Privacy Notice. Though this would generate a high effort regarding the creation and maintenance of the documents. On the other hand, considering the inclusion of many companies, it is not clear whether the following criteria according to Art. 12 GDPR will be fulfilled: Presentation of the “information” in a concise, transparent, intelligible and easily accessible form, using clear and plain language […]”. This cannot be assessed on the basis of a template but rather has to be checked after all relevant data processing activities are included in this document. It should be considered to write separate privacy notices for national companies which have to be provided with an own language version anyway.] Some processing activities only to certain companies. This is described in detail in the process description. General Information Contact details of the controller (and, where applicable, of the controller’s representative) This Privacy Notice is applicable for the data processing activities of the following entities Viessmann GmbH & Co KG Viessmannstraße 1 35108 Allendorf (Eder) GERMANY Tel.: 06452 70-0 Fax: 06452 70-2780 E-Mail: info@viessmann.com Contact details of the data protection officer The contact details of each data protection officer are the following: [The contact details consist in address (which is capable for delivery) as well as an electronic and/or an availability of the data protection officer by telephone. Mentioning the name of the data protection officer is not necessary.] Your Rights On request, you have the right to obtain free information on your stored personal data. Additionally, you have the right to obtain the rectification of inaccurate personal data, the right to obtain a restriction of excessively processing of personal data as well as the right to obtain the erasure of unlawful processed personal data or data which is stored too long (as far as there are no legal obligations to store the data). Furthermore, you have the right to receive your personal data, which you have provided to a Viessmann. The data will be given to you (or a third party you name), in a structured, commonly used and machine-readable format (Right to data portability) Insofar you have also a right to object in individual processes this is dealt within the description of the individual process. In order to exercise your rights you can write an e-mail to [XYZ@viessmann.de]. Information about the Process “Managing the Personnel File” Description and purpose limitation of the process (and, where applicable, a note concerning the other controllers) A digital personnel file in the SAP-HCM system is processed for the following purposes: Archiving and making available of all labor law relevant documents, for example labor contracts, letter of dismissal, warning notice, notification if illness, certificates and completed training courses. In your digital personnel file also general personal data which is necessary to perform the labor contract is processed, for example your name, contact details, address, bank account details, Additionally, the digital personnel file is kept in order to manage the holiday-planning and time recording. Legal Basis The processing of your personal data within the digital personnel file is based on Art. 6 (1) b) GDPR and Sec. 26 (1) BDSG-neu (whereby the latter is only applicable in Germany). These legal basis allow the processing of personal data as far as it is necessary in order to perform the (labor) contract. The processing activity also requires the processing of special categories of personal data according to Art. 9 (1) GDPR, i.e. of sick leave and (in order to perform the payroll accounting) the confession. The processing of these data is based on Art. 9 (2) lit. b GDPR. This legal basis allows the processing of specific categories of personal data in order to perform obligations and exercise specific rights of the controller or of the data subject in the field of employment and social security and social protection law. Information on the Recipients of Data including Information on Transfer to a Third Country or International Organization The IT system in which the digital personnel file is kept (SPA-HCM) is hosted by the Viessmann IT-Service GmbH [Address]. In this context, the Viessmann IT-Service GmbH processes your personal data according to procedures described above. This is only carried out on behalf and according to the instructions of the company at which you are employed. The Viessmann IT-Service GmbH is not permitted to determine independently the means and purposes of the processing of your personal data. If other companies also determine the „means and purposes of data processing“ as “controllers“ (this is likely to be the case with central payroll accounting), this must also be stated here. Principally, also the transfer of personal data to other companies has to be legitimized on a legal basis. Regularly, this will be the legitimate interest according to Art. 6 (1) lit. f GDPR. Caution: this does not permit the transfer of data within the frame of Art. 9 GDPR which are stored regularly in a digital personnel file. [Example: The transfer and processing of personal data by the [Company] is based on Art. 6 (1) lit. f GDPR. The legal basis permits the processing of personal data within the frame of the controller’s “legitimate interest” respectively the company’s legitimate interest, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data. Our “legitimate interest” consists in the HR administration. You may object this processing at any time, if you provide reasons which arise from your individual situation and which speak against the processing. In order to do so, you can contact us by e-Mail [XYZ@viessmann.de].] Storage Period The personal data which is processed within the frame of the described process are in Germany basically stored for 10 years until the expiry of the contract according to Sec. 147 Abgabenordnung and Sec. 257 Handelsgesetzbuch. [Deviating data retention obligations from other countries to be included here]. These legal obligations do not apply to the obligations arising from Sec. 147 Abgabenordnung and Sec. 257 Handelsgesetzbuch or do have a shorter storage period: Dies gilt nicht für die folgenden Daten, die entweder nicht von den steuer- und handelsrechtlichen Aufbewahrungsfristen erfasst werden oder für die eine kürze Aufbewahrungsfrist gilt: The storage period for a warning letter is 3 years Information on the time recording are deleted regularly after [XXXmonths/years] Information on training courses and certificates as well as attestations obtained during the work for the Viessmann Group are deleted 3 years after completion of the employment relationship Obligation to provide Personal Data The processing of personal data in a personnel file is partly prescribed by social law and is otherwise required by your labor contract. Excluded are the panels in your personal file which are clearly marked as free options. [These panels should be mentioned here.] Information on the Process “Further Processes” [All processes, which are documented in the record of processing activities according to Art. 30 (1) GDPR, should be mentioned in the Privacy Notice according to Art. 13 GDPR.] Description and Purpose Limitation of the Processing Legal Basis [If the data processing is based on consent, you have to refer to the right to withdraw the consent at any time with effect for the future.] [Apart form that, see the abovementioned examples for the legal basis of processing.] Information on the Recipients of Data including Information on Transfer to a Third Country or International Organization [All recipients have to be registered, even intern recipients. In order to transfer personal data within the group you should mention a legal basis for that.] Storage Period [The storage period of the data processing has to be recorded.] Obligation to provide Personal Data [Whether the provision of personal data is a statutory or contractual requirement or a requirement necessary to enter into a contract, as well as whether the data subject is obliged to provide the personal data and of the possible consequences of failure to provide such data] Information of the Existence of Automated Decision-Making, including Profiling [The existence of an automated decision-making including profiling according to Art. 22 (1), (4) GDPR and – at least in these cases – meaningful information on the logic involved as well as the scope and the aspired effects of such a processing for the person concerned.]