Polaris Industries Inc. (das „Unternehmen“) respektiert die individuelle Privatsphäre und schätzt das Vertrauen seiner Kunden, Mitarbeiter und Geschäftspartner. Das Unternehmen ist mit den Prinzipien der Rechtmäßigkeit, Fairness, Transparenz, Zweckbeschränkung, Datenminimierung, Genauigkeit, Speicherbeschränkung, Integrität, Vertraulichkeit, Rechtmäßigkeit der Verarbeitung, Mitteilung, Wahl, Weiterübermittlung, Sicherheit, des Zugangs, der Berichtigung, Löschung, Portabilität und Durchsetzung konform, die unter geltenden Gesetzen, Regeln und Vorschriften einschließlich der DSGVO erforderlich sind.
Diese Datenschutzerklärung (die „Erklärung“) legt die Datenschutzprinzipien fest, an die sich das Unternehmen hält.
Diese Erklärung gilt für vom Unternehmen in jedem beliebigen Format erhaltene personenbezogene Daten, einschließlich in elektronischer Form, auf Papier oder verbal.
Sofern in dieser Erklärung nicht anders definiert, haben die Fachtermini die hierin festgelegten Bedeutungen.
„Vertreter“ meint eine Drittorganisation, die Aufgaben im Auftrag oder unter Anweisung des Unternehmens durchführt.
„Verantwortlicher“ meint die natürliche oder juristische Person, öffentliche Behörde, Agentur oder sonstige Körperschaft, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt.
„Auftragsverarbeiter“ meint die natürliche oder juristische Person, öffentliche Behörde, Agentur oder sonstige Körperschaft, die personenbezogene Daten im Auftrag des Datenverantwortlichen verarbeitet.
„Betroffene Person“ meint eine identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten von einem Verantwortlichen oder Auftragsverarbeiter erfasst und verarbeitet werden.
„DSB“ steht für die europäischen Datenschutzbehörden.
„EDSÖB“ steht für den eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten.
„DSGVO“ steht für die Datenschutzgrundverordnung 2016.
„Nichtvertreter-Dritte“ meint alle unabhängigen Anbieter, die keine Vertreter sind.
„Personenbezogene Daten“ bezieht sich auf alle Informationen in Bezug auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“). Eine identifizierbare natürliche Person kann direkt oder indirekt, insbesondere durch Bezugnahme auf eine Kennung wie einen Namen, eine ID-Nummer, Ortsdaten, einen Online-Identifikator oder einen oder mehrere Faktoren, die für die physische, physiologische, genetische, geistige, ökonomische oder soziale Identität dieser natürlichen Person spezifisch sind, identifiziert werden.
„Datenschutzbehörden“ bezieht sich auf die DSBs, den EDSÖB und die Aufsichtsbehörden.
„Verarbeitung“ bedeutet jeglichen Vorgang oder jegliche Vorgangsreihe, der bzw. die an personenbezogenen Daten oder Sätzen personenbezogener Daten ausgeführt wird, ob durch automatisierte Mittel oder nicht, wie Erfassung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Adaption oder Änderung, Abruf, Konsultation, Nutzung, Offenlegung per Übertragung, Verbreitung oder sonstiges Verfügbarmachen, Ausrichten oder Kombinieren, Einschränken, Löschen oder Vernichten.
„Öffentliche Informationen“ bezieht sich auf Datensätze, die von staatlichen Behörden oder Instanzen aufbewahrt werden und für die Öffentlichkeit im Allgemeinen zur Konsultation offen stehen.
„Sensible personenbezogene Daten“ meint personenbezogene Daten, die die Rasse oder ethnische Herkunft, politische Ansichten, religiöse, ideologische oder philosophische Anschauungen, Ansichten oder Aktivitäten in Bezug auf die Mitgliedschaft in Gewerkschaften und Handelsorganisationen oder die sexuelle Orientierung offenlegen oder personenbezogene Daten in Bezug auf Sozialversicherungsmaßnahmen oder administrative oder strafrechtliche Verfahren, Sanktionen, Verstöße oder strafrechtliche Verurteilung. Sensible personenbezogene Daten umfassen auch nationale ID-Nummern, wenn das geltende Recht ausdrücklich angibt, dass nationale ID-Nummern in der Definition enthalten sind. Das Unternehmen wird alle Informationen, die es von einem unabhängigen Anbieter erhält und die dieser als sensibel behandelt und identifiziert, als sensible Informationen behandeln.
„Aufsichtsbehörde“ meint eine unabhängige öffentliche Stelle, die von einem EU-Mitgliedsland eingerichtet wurde.
Die Datenschutzprinzipien des Unternehmens lauten:
Rechtmäßigkeit, Fairness und Transparenz
Wenn das Unternehmen personenbezogene Daten erfasst, werden diese rechtmäßig, fair und auf für die betroffene Person transparente Weise verarbeitet.
Zweckbeschränkung
Wenn das Unternehmen personenbezogene Daten erfasst, werden diese für die spezifizierten, ausdrücklichen und legitimen Zwecke erfasst und auf keine Weise weiterverarbeitet, die nicht diesen Zwecken entspricht.
Wenn das Unternehmen personenbezogene Daten erfasst, so sind diese angemessen, relevant und darauf beschränkt, was in Bezug auf die Zwecke der Verarbeitung notwendig ist.
Wenn das Unternehmen personenbezogene Daten erfasst, sind diese richtig und werden ggf. aktualisiert. Es wird jeder angemessene Schritt unternommen, um zu gewährleisten, dass unrichtige oder für die Zwecke ihrer Verarbeitung nicht erforderliche personenbezogene Daten unverzüglich gelöscht oder berichtigt werden.
Wenn das Unternehmen personenbezogene Daten erfasst, werden diese in einer Form aufbewahrt, die die Identifizierung der betroffenen Personen nicht länger zulässt als für die Zwecke der Verarbeitung der personenbezogenen Daten notwendig.
Wenn das Unternehmen personenbezogene Daten erfasst, werden diese auf eine Weise verarbeitet, die die angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor nicht autorisierter oder unrechtmäßiger Verarbeitung und versehentlichem Verlust, Zerstörung oder Beschädigung. Dazu werden angemessene technische oder organisatorische Maßnahmen eingesetzt.
Jegliche Verarbeitung muss rechtmäßig erfolgen. Das Unternehmen und jeder Vertreter oder Nichtvertreter-Dritte werden personenbezogene Daten nur verarbeiten, wenn mindestens einer der folgenden Punkte zutrifft, und nur im angegebenen Ausmaß: (1) die betroffene Person hat der Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere spezifische Zwecke zugestimmt; (2) die Verarbeitung ist für die Erfüllung eines Vertrags notwendig, dessen Partei die betroffene Person ist, oder um auf Anforderung der betroffenen Person Schritte zu ergreifen, bevor ein Vertrag in Kraft tritt; (3) die Verarbeitung ist notwendig, um rechtliche Verpflichtungen einzuhalten, denen der Verantwortliche unterliegt; (4) die Verarbeitung ist notwendig, um die vitalen Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen; (5) die Verarbeitung ist notwendig, um eine Aufgabe im öffentlichen Interesse oder in Ausübung der dem Verantwortlichen übertragenen öffentlichen Gewalt auszuführen; und (6) die Verarbeitung ist für den Zweck der legitimen Interessen des Verantwortlichen oder eines Dritten notwendig, außer wenn solche Interessen durch die Interessen oder fundamentalen Rechte und Freiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, außer Kraft gesetzt werden, insbesondere, wenn es sich bei der betroffenen Person um ein Kind handelt.
Wenn das Unternehmen personenbezogene Daten von Einzelpersonen in der EU, im EWR oder in der Schweiz erfasst, wird es: (1) die Einzelpersonen über die Empfänger der personenbezogenen Daten informieren, (2) sie darüber informieren, ob sie verpflichtet sind, Fragen zu beantworten, und was die Konsequenzen sind, wenn sie Fragen nicht beantworten, (3) sie über die Ausübung von Rechten bezüglich des Zugangs zu und der Berichtigung ihrer personenbezogenen Daten informieren, (4) sie über die Zwecke informieren, für die es personenbezogene Daten über sie erfasst und verwendet, (5) sie über die Arten von Nichtvertreter-Dritten informieren, denen das Unternehmen die Informationen offenlegt, (6) sie über die Optionen und Mittel zur Beschränkung der Nutzung und Offenlegung ihrer personenbezogener Daten informieren, (7) sie darüber informieren, wie sie mit dem Unternehmen Kontakt aufnehmen können und (8) ihre vorherige Zustimmung zu einer solchen Erfassung einholen. Die Mitteilung erfolgt in klarer und deutlicher Sprache, wenn Einzelpersonen zum ersten Mal gebeten werden, dem Unternehmen personenbezogene Daten bereitzustellen oder sobald danach wie praktikabel, und in jedem Fall, bevor das Unternehmen die Informationen für einen anderen Zweck als den der ursprünglichen Erfassung nutzt oder offenlegt.
Das Unternehmen wird Einzelpersonen die Gelegenheit bieten, der Offenlegung solcher personenbezogenen und sensiblen Daten einem Nichtvertreter-Dritten gegenüber oder der Nutzung der personenbezogenen oder sensiblen personenbezogenen Daten für einen anderen Zweck als den, für den sie ursprünglich erfasst oder nachfolgend von der Einzelperson autorisiert wurden, ausdrücklich bestätigend zuzustimmen (Opt-in).
Das Unternehmen wird Einzelpersonen leicht verfügbare, erschwingliche und angemessene Mechanismen zur Ausübung ihrer Wahlfreiheitsrechte bereitstellen. Hinsichtlich personenbezogener Daten mit Bezug zum Beschäftigungsverhältnis wird das Unternehmen angemessene Anstrengungen unternehmen, um den Datenschutzpräferenzen der Mitarbeiter Folge zu leisten. Diese können z. B. die Beschränkung des Zugangs zu den Daten, die Anonymisierung bestimmter Daten oder die Zuweisung von Codes oder Pseudonymen umfassen, wenn die tatsächlichen Namen für den jeweiligen Verwaltungszweck nicht erforderlich sind.
Überträgt das Unternehmen personenbezogene Daten an einen Vertreter oder Nichtvertreter-Dritten außerhalb der EU, wird das Unternehmen mit einem solchen Dritten eine schriftliche Vereinbarung treffen, die die standardmäßigen vertraglichen Klauseln umfasst, die von der EU für die Zwecke der Festlegung beschlossen wurden, dass solche Vertreter und Nichtvertreter-Dritte angemessene Schutzmaßnahmen für die an sie übertragenen personenbezogenen Daten einrichten und aufrechterhalten.
Das Unternehmen wird angemessene Schritte ergreifen, um die personenbezogenen Daten in seinem Besitz vor Verlust, Missbrauch, unberechtigtem Zugang, Offenlegung, Änderung und Vernichtung zu schützen, und wird alle nützlichen Maßnahmen in Bezug auf die Natur der Daten und die Risiken der Verarbeitung treffen, um die Sicherheit der Daten zu wahren und insbesondere deren Änderung und Beschädigung oder den Zugriff durch unbefugte Dritte zu verhindern. Das Unternehmen hat technische, physische und organisatorische Verfahren und Sicherheitsmaßnahmen implementiert, die die personenbezogenen Daten vor Vernichtung, Verlust, Änderung, unberechtigtem Zugang oder Offenlegung bzw. anderen Formen unberechtigter oder illegaler Verarbeitung zu schützen, und zwar im Verhältnis zu den Risiken der jeweiligen Verarbeitungsart, der Natur der personenbezogenen Daten und in Übereinstimmung mit der DSGVO und allen anderen Gesetzen und geltenden Richtlinien, die ggf. von Behörden beschlossen werden, die rechtlich dafür zuständig sind, sowie unter Erwägung der Kosten einer solchen Implementierung. Das Unternehmen kann die Sicherheit personenbezogener Daten, die im Internet frei verfügbar oder über das Internet übertragen werden, nicht garantieren.
Das Unternehmen wird sich an die DSGVO und andere örtlich geltenden Gesetze, Regeln und Vorschriften in Bezug auf die Offenlegung und Benachrichtigung bei Datenverletzungen halten.
Auf Anfrage, die durch Ausfüllen dieses Formulars durch die Einzelperson eingereicht werden kann, erteilt das Unternehmen Einzelpersonen angemessenen Zugang zu Ihren personenbezogenen Daten. Dieser Zugang wird Folgendes umfassen: (1) die Bestätigung, ob personenbezogene Daten über die jeweilige Person verarbeitet werden; (2) die Zwecke der Verarbeitung; (3) die Kategorien der betroffenen personenbezogenen Daten; (4) den Empfänger oder die Empfängerkategorien, denen gegenüber die zu verarbeitenden Daten offengelegt wurden oder werden, insbesondere Empfänger in Drittländern oder internationale Organisationen; (5) wenn möglich, den geschätzten Zeitraum, über den die personenbezogenen Daten gespeichert werden, oder falls nicht möglich, die Kriterien, die zur Bestimmung dieses Zeitraums angewendet werden; (6) die Anwendbarkeit des Rechts, eine Berichtigung oder Löschung personenbezogener Daten zu fordern oder Widerspruch gegen eine solche Verarbeitung einzulegen; (7) das Recht, eine Beschwerde bei der Aufsichtsbehörde einzureichen; (8) Informationen über die Quelle der Daten, falls sie nicht direkt von der betroffenen Person stammen; (9) ob die personenbezogenen Daten automatisierter Verarbeitung einschließlich Profilerstellung unterliegen und falls ja, die dabei angewandte Logik und die jeweiligen Konsequenzen und, (10) falls die Daten in ein Drittland oder an eine internationale Organisation übertragen werden, Informationen über die dabei angewandten Sicherheitsvorkehrungen.
Hinsichtlich das Beschäftigungsverhältnis betreffende personenbezogener Daten wird das Unternehmen die örtlich geltenden Vorschriften einhalten und sicherstellen, dass Mitarbeiter in der EU, im EWR und in der Schweiz Zugang zu den Informationen haben, wie dies in ihren Heimatländern gesetzlich vorgeschrieben ist, ungeachtet des Orts der Datenverarbeitung und -speicherung. Erfolgt die Verarbeitung von das Beschäftigungsverhältnis betreffenden personenbezogenen Daten in den USA, wird das Unternehmen bei der Bereitstellung eines solchen Zugangs entweder direkt oder über den Arbeitgeber in der EU, im EWR oder in der Schweiz kooperieren.
Fordert die betroffene Person dies, so werden ihre vom Unternehmen erfassten personenbezogenen Daten berichtigt und unvollständige personenbezogene Daten basierend auf den von der betroffenen Person bereitgestellten Informationen vervollständigt. Wenn notwendig, wird das Unternehmen Schritte unternehmen, um die Informationen durch die betroffene Person bestätigen zu lassen, um deren Richtigkeit zu gewährleisten, bevor die Daten abgeändert werden.
Fordert die betroffene Person dies, so werden ihre vom Unternehmen erfassten personenbezogenen Daten ohne unnötige Verzögerung gelöscht, so lange einer der folgenden Fälle zutrifft: (1) die personenbezogenen Daten sind nicht mehr für die Zwecke notwendig, für die sie erfasst wurden; (2) die betroffene Person widerruft ihre Zustimmung und es gibt keinen anderen rechtmäßigen Grund für die Verarbeitung; (3) die betroffene Person widerspricht der Verarbeitung der personenbezogenen Daten; (4) die personenbezogenen Daten wurden unrechtmäßig verarbeitet; (5) die personenbezogenen Daten wurden gelöscht, um die rechtlichen Verpflichtungen des Unternehmens einzuhalten oder (6) wenn sich die personenbezogenen Daten auf ein Kind beziehen.
Fordert die betroffene Person dies, so werden ihre vom Unternehmen erfassten personenbezogenen Daten in strukturierter, gebräuchlicher und maschinenlesbarer Form bereitgestellt oder an einen Dritten übertragen.
Das Unternehmen wird einen Eigenbeurteilungsansatz anwenden, um die Einhaltung dieser Erklärung zu belegen und von Zeit zu Zeit prüfen, ob die Erklärung richtig, für die dadurch abzudeckenden Informationen umfassend, gut sichtbar, implementiert und zugänglich sowie mit dieser Erklärung konform ist.
Das Unternehmen empfiehlt interessierten Personen, alle Sorgen oder Fragen mithilfe der in dieser Erklärung bereitgestellten Kontaktinformationen vorzubringen. Das Unternehmen wird alle Beschwerden und Streitfälle in Bezug auf die Nutzung und Offenlegung personenbezogener Daten in Übereinstimmung mit dieser Erklärung untersuchen und zu beheben versuchen. Alle Mitarbeiter des Unternehmens, die nach Erkenntnissen des Unternehmens diese Erklärung verletzen, unterliegen disziplinarischen Maßnahmen bis hin zur fristlosen Kündigung.
Das Unternehmen wird (1) betroffenen Personen hinsichtlich der Durchsetzung dieser Erklärung einen Regressanspruch gewähren; (2) Nachfolgeverfahren für die Überprüfung, ob die Bescheinigungen und Behauptungen des Unternehmens in Bezug auf seine Datenschutzpraktiken zutreffen, bereitstellen und (3) bei Problemen, die aus der Nichteinhaltung dieser Erklärung durch das Unternehmen hervorgehen, Abhilfe schaffen. Ist das Unternehmen verpflichtet oder bestimmt es, dass es der DSGVO oder jeglichen anderen geltenden Gesetzen oder Vorschriften in Verbindung mit der Durchsetzung dieser Erklärung entspricht (z. B. bezüglich Beschwerden über eine mögliche Verletzung von Datenschutzrechten eines Mitarbeiters des Unternehmens in der EU, im EWR oder in der Schweiz hinsichtlich mit dem Beschäftigungsverhältnis zusammenhängender personenbezogener Daten), wird das Unternehmen seine Verpflichtung gemäß den Klauseln (1) und (3) dieses Absatzes wie folgt einhalten:
(A) Das Unternehmen wird bei der Untersuchung und Lösung der Beschwerden mit den Datenschutzbehörden kooperieren und
(B) Das Unternehmen wird sich an jegliche von den Datenschutzbehörden ausgesprochenen Empfehlungen halten, wenn die Datenschutzbehörden der Ansicht sind, dass das Unternehmen spezifische Maßnahmen ergreifen muss, um dem geltenden Recht zu entsprechen, einschließlich Abhilfe- oder Kompensationsmaßnahmen zugunsten der Einzelpersonen, die von einer Nichteinhaltung des geltenden Rechts betroffen sind, und wird den Datenschutzbehörden schriftlich bestätigen, dass solche Maßnahmen ergriffen wurden.
In Übereinstimmung mit der Erklärung verpflichtet sich das Unternehmen, Beschwerden über den Datenschutz, die Erfassung und die Nutzung personenbezogener Daten nachzugehen und zu beheben. Das Unternehmen hat einen Datenschutzbeauftragten ernannt, der für die Datenschutzpraktiken des Unternehmens verantwortlich ist. Personen mit Anfragen oder Beschwerden in Bezug auf diese Erklärung wird empfohlen, sich zunächst per E-Mail unter privacy@polaris.com, oder auf dem Postweg unter DPO – Polaris Sales Europe SARL, Place de l’Industrie 2, 1180 Rolle, Switzerland an den Datenschutzbeauftragten des Unternehmens zu wenden.
Bei Konflikten in Bezug auf das Beschäftigungsverhältnis betreffende personenbezogene Daten, die das Unternehmen aus der EU, dem EWR oder der Schweiz erhält, oder wenn Mitarbeiter des Unternehmens in der EU, im EWR oder in der Schweiz sich über Verletzungen ihrer Datenschutzrechte beschweren und mit den Ergebnissen der internen Prüf-, Beschwerde- und Einspruchsverfahren des Unternehmens (oder allen im Rahmen eines Vertrags mit einer Gewerkschaft anwendbaren Missstandsverfahren) nicht zufrieden sind, werden sie an die bundesstaatlichen oder nationalen Datenschutzbehörden bzw. die Arbeitsbehörde in dem jeweiligen Rechtsgebiet verwiesen, in dem der Mitarbeiter tätig ist. Dies schließt Fälle ein, bei denen der angebliche falsche Umgang mit personenbezogenen Daten in den USA stattgefunden hat, im Verantwortungsbereich der US-Organisation liegt, die die Informationen vom Arbeitgeber in der EU, dem EWR oder der Schweiz erhalten hat und durch eine Verletzung dieser Erklärung geltend gemacht wird. Das Unternehmen verpflichtet sich daher, bei Untersuchungen von Datenschutz- und Arbeitsbehörden in der EU, im EWR und in der Schweiz sowie anderen zuständigen Behörden zu kooperieren und deren Empfehlungen zu befolgen sowie sich an den Konfliktlösungsverfahren des durch die Datenschutz-, Arbeits- und sonstigen zuständigen Behörden festgelegten Gremiums zu beteiligen.
Diese Erklärung kann von Zeit zu Zeit den Anforderungen des geltenden Rechts entsprechend geändert oder ergänzt werden. Wird diese Erklärung geändert, wird vom Unternehmen auf der Unternehmenswebsite unter www.polaris.com eine entsprechende Mitteilung veröffentlicht.
Das Unternehmen verfügt über weitere Richtlinien, die für die im Umfang dieser Datenschutzerklärung enthaltenen personenbezogenen Daten gelten können. Solche Richtlinien können sich von dieser Richtlinie unterscheiden.
Polaris Products Privacy Policy
Fragen, Anmerkungen oder Mitteilungen zu dieser Erklärung können unter der folgenden Anschrift auf dem Postweg beim Unternehmen eingereicht werden:
Polaris Sales Europe SARL
Place de l’Industrie 2
1180 Rolle
Switzerland
Attention: Data Protection Officer
Oder per e-mail to: privacy@polaris.com