Polityka

prywatności

Polityka dotycząca etyki

biznesowej Prywatność

Spis treści

Wprowadzenie 3

Denicje 3

Zakres 4

Odpowiedzialność 4

Zasady ochrony danych osobowych 5

Zapis przetwarzania 6

Prawa i wnioski Podmiotów danych 6

Bezpieczeństwo 7

Uwzględnianie ochrony prywatności w fazie projektowania i ocena

wpływu na prywatność danych 7

Ograniczenia udostępniania i przesyłania danych 8

Szkolenia i audyt 8

Usługi outsourcingowe 8

Zautomatyzowane przetwarzanie / prolowanie / podejmowanie decyzji

i marketing bezpośredni 9

Zmiany w niniejszym standardzie ochrony prywatności 9

Załącznik 1 – Kontakt z Biurem Ochrony Prywatności 11

Załącznik 2 – Podstawa prawna przetwarzania danych 12

Załącznik 3 – Wnioski podmiotów danych 13

Załącznik 4 – Oceny wpływu na prywatność danych 14

1. Wprowadzenie

Niniejsza Polityka prywatności jest uzupełnieniem Polityki

etyki biznesowej GXO Logistics, Inc. „Polityka etyki biznesowej

– ochrona danych”. Dotyczy ona GXO Logistics, Inc, w tym

wszystkich jej spółek zależnych, oddziałów i innych jednostek

operacyjnych (zwanych łącznie „GXO”, „My” lub „Spółka”). Na

wszystkich dyrektorach, kierownikach i pracownikach GXO

oraz osobach trzecich działających w naszym imieniu ciąży

odpowiedzialność za przestrzeganie i spełnianie wymogów

niniejszej Polityki.

2. Denicje

Słowa lub skróty użyte w niniejszej Polityce będą miały znaczenie

nadane im w poniższej tabeli.

Polityka dotycząca etyki

biznesowej Prywatność

Zautomatyzowane

podejmowanie decyzji

(ADM)

Gdy podejmowana jest decyzja oparta wyłącznie na Zautomatyzowanym przetwarzaniu (w tym prolowaniu),

która wywołuje skutki prawne lub znacząco wpływa na osobę zyczną. RODO zakazuje Zautomatyzowanego

podejmowania decyzji (chyba że spełnione są pewne warunki), ale nie zautomatyzowanego przetwarzania.

Zautomatyzowane

przetwarzanie

Każda forma zautomatyzowanego przetwarzania Danych osobowych polegająca na wykorzystaniu Danych

osobowych do oceny niektórych aspektów osobistych związanych z daną osobą, w szczególności do analizy lub

przewidywania aspektów dotyczących wydajności pracy tej osoby, jej sytuacji ekonomicznej, zdrowia, osobistych

preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się. Prolowanie to przykład

Zautomatyzowanego przetwarzania.

Personel Spółki Wszyscy zatrudnieni, pracownicy, kontrahenci, pracownicy agencji, konsultanci, dyrektorzy, członkowie i inne osoby.

Zgoda

Zgoda, która musi być wyrażona dobrowolnie, wyraźna, świadoma i stanowić jednoznaczne wskazanie woli

podmiotu danych, w formie oświadczenia lub działania o charakterze pozytywnym, oznacza zgodę na przetwarzanie

dotyczących tego podmiotu danych osobowych.

Administrator danych

Osoba lub organizacja, która określa kiedy, dlaczego i jak przetwarzać Dane osobowe. Odpowiada za ustalanie

praktyk i zasad zgodnych z RODO. GXO jest Administratorem danych wszystkich Danych osobowych dotyczących

Personelu GXO oraz Danych osobowych wykorzystywanych przez GXO do celów komercyjnych.

Podmiot danych

Żyjąca, zidentykowana lub możliwa do zidentykowania osoba, której dane osobowe posiadamy. Podmioty

danych mogą być obywatelami lub rezydentami dowolnego kraju i mogą posiadać prawa dotyczące ich

Danych osobowych.

Ocena wpływu na

prywatność danych (DPIA)

Narzędzia i oceny stosowane do identykacji i ograniczania ryzyka związanego z czynnościami

przetwarzania danych.

EOG: 28 państw UE oraz Islandia, Liechtenstein i Norwegia

Ogólne rozporządzenie

o ochronie danych (RODO):

ogólne rozporządzenie o ochronie danych ((UE) 2016/679). Dane Osobowe podlegają zabezpieczeniom prawnym

określonym w RODO.

Dane osobowe:

Wszelkie informacje identykujące Podmiot danych lub informacje odnoszące się do Podmiotu danych, które

możemy zidentykować (bezpośrednio lub pośrednio) na podstawie samych danych lub w połączeniu z innymi

identykatorami, które posiadamy lub do których możemy uzyskać dostęp. Dane osobowe obejmują Wrażliwe

dane osobowe i Dane osobowe pseudonimizowane, ale nie obejmują danych anonimowych lub danych, z których

tożsamość osoby zycznej została trwale usunięta. Dane osobowe mogą mieć charakter faktograczny (np. imię

i nazwisko, adres e-mail, miejsce zamieszkania lub data urodzenia) lub stanowić opinię na temat działań lub

zachowania danej osoby.

Naruszenie danych

osobowych

Wszelkie działania lub zaniechania naruszające bezpieczeństwo, poufność, integralność lub dostępność Danych

osobowych lub zyczne, techniczne, administracyjne lub organizacyjne zabezpieczenia, które Spółka lub jej

zewnętrzni dostawcy usług wprowadzili w celu ich ochrony. Utrata lub nieuprawniony dostęp, ujawnienie lub

pozyskanie Danych osobowych to Naruszenie danych osobowych.

Prywatność w fazie

projektowania

Skuteczne wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia zgodności

z RODO

Polityka dotycząca etyki

biznesowej Prywatność

Informacje o prywatności

(zwane również

informacjami o rzetelnym

przetwarzaniu)

Oddzielne powiadomienia określające informacje, które mogą być przekazywane Podmiotom danych, gdy

Spółka gromadzi informacje na ich temat. Powiadomienia te mogą mieć formę ogólnych oświadczeń o ochronie

prywatności mających zastosowanie do określonej grupy osób (na przykład informacji o ochronie prywatności

pracowników lub polityki prywatności witryny internetowej) lub mogą być samodzielnymi, jednorazowymi

oświadczeniami o ochronie prywatności obejmującymi Przetwarzanie związane z określonym celem

Przetwarzanie lub proces

Wszelkie działania, które wiążą się z wykorzystaniem Danych osobowych. Obejmuje to uzyskiwanie, zapisywanie lub

przechowywanie danych, jak również przeprowadzanie wszelkich operacji lub zestawu operacji na danych, w tym

organizowanie, zmienianie, wyszukiwanie, wykorzystywanie, ujawnianie, usuwanie lub niszczenie.

Przetwarzanie obejmuje również przekazywanie lub przesyłanie Danych osobowych stronom trzecim.

Pseudonimizacja lub

Pseudonimizowany

Zastąpienie informacji, które bezpośrednio lub pośrednio identykują osobę zyczną, co najmniej jednym

sztucznym identykatorem lub pseudonimem, tak aby nie można było zidentykować osoby, której dane dotyczą,

bez użycia dodatkowych informacji, które mają być przechowywane oddzielnie i bezpiecznie

Wrażliwe dane osobowe:

Informacje ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub podobne,

przynależność do związków zawodowych, stan zdrowia zycznego lub psychicznego, życie seksualne, orientację

seksualną, dane biometryczne lub genetyczne oraz Dane osobowe dotyczące przestępstw i wyroków skazujących.

3. Zakres

Niniejsza Polityka prywatności określa, w jaki sposób GXO

gromadzi i przechowuje Dane osobowe osób przez nas

zatrudnionych, pracowników, klientów, dostawców i innych

stron trzecich.

Niniejsza Polityka została opracowana zgodnie z Ogólnym

Rozporządzeniem o Ochronie Danych (UE) 2016/679 ("„RODO”)

i ma zastosowanie do wszystkich Danych osobowych (co

oznacza informacje dotyczące lub identykujące żyjące

osoby zyczne), w przypadku gdy Dane osobowe są

Przetwarzane przez;

• osoby prawne lub przedsiębiorstwa zlokalizowane w UE,

nawet jeśli przetwarzanie odbywa się poza UE; oraz

• przedsiębiorstwa lub osoby prawne mające siedzibę poza

UE, gdy takie przedsiębiorstwa lub osoby prawne sprzedają

towary lub usługi osobom zycznym w UE lub angażują się

w działania polegające na monitorowaniu zachowania osób

zycznych w UE.

Ma to zastosowanie do działań GXO w odniesieniu do jej

pracowników, potencjalnych pracowników, klientów, dostawców

i innych stron trzecich, w odniesieniu do których GXO

przetwarza Dane osobowe.

W zakresie, w jakim niniejsza Polityka różni się od Polityki Etyki

Biznesowej – Ochrona danych GXO Logistics, Inc. lub ma od niej

bardziej rygorystyczne wymagania, wówczas niniejsza Polityka

i wymagania RODO będą nadrzędne.

4. Odpowiedzialność

Prawidłowe zarządzanie danymi ma kluczowe znaczenie

dla utrzymania zaufania wszystkich tych stron, z którymi

współpracujemy. Ochrona poufności i integralności Danych

osobowych jest krytycznym obowiązkiem, który zawsze

traktujemy poważnie.

Wszyscy dyrektorzy, kadra kierownicza i pracownicy GXO oraz

strony trzecie działające w naszym imieniu są odpowiedzialni za

przestrzeganie niniejszej Polityki i muszą wdrożyć odpowiednie

praktyki, procesy, kontrole i szkolenia, aby zapewnić

taką zgodność.

Główny Specjalista ds. Zgodności jest odpowiedzialny za

nadzór nad niniejszą Polityką prywatności oraz opracowywanie

powiązanych polityk i wytycznych dotyczących prywatności.

Można się z nim skontaktować pod adresem: ethics@gxo.com

Główny Specjalista ds. Zgodności jest wspierany w tych

działaniach przez Biuro ds. Prywatności. Można się z nim

skontaktować pod adresem: gdpr@gxo.com

Każdy kraj / jednostka biznesowa ma wyznaczonego Specjalistę

ds. Prywatności Zostanie on wskazany przez lokalnego partnera

biznesowego ds. zasobów ludzkich.

W przypadku pytań lub wątpliwości dotyczących zarządzania

Danymi osobowymi lub zgodności z RODO prosimy o kontakt

z Biurem ds. Prywatności lub lokalnym Specjalistą ds. Prywatności.

Zawsze kontaktuj się z Biurem ds. Prywatności i lokalnym

Specjalistą ds. Prywatności, jeśli uważasz, że doszło do

naruszenia ochrony Danych osobowych (patrz punkt 8.2), lub

jeśli otrzymałeś(-aś) wniosek od Podmiotu danych o skorzystanie

Polityka dotycząca etyki

biznesowej Prywatność

z przysługujących mu praw (patrz punkt 7) oraz w związku

z innymi sprawami wymienionymi w Załączniku 1.

5. Zasady ochrony Danych osobowych

Podczas przetwarzania Danych osobowych musimy przestrzegać

Zasad ochrony danych osobowych. Zasady to:

5.1. Zgodność z prawem, uczciwość i przejrzystość

Dane osobowe muszą być przetwarzane zgodnie z prawem,

uczciwie i w sposób przejrzysty w stosunku do Podmiotu danych.

5.2. Zgodność z prawem i uczciwość:

Dane osobowe można gromadzić, przetwarzać i udostępniać

wyłącznie w sposób uczciwy i zgodny z prawem oraz

w określonych celach. Ograniczenia te nie mają na celu

uniemożliwienia Przetwarzania, ale zapewniają, że Przetwarzamy

Dane osobowe uczciwie i bez negatywnego wpływu na

Podmiot danych.

Dane można przetwarzać wyłącznie w jednym z celów zgodnych

z prawem. Są one wymienione w Załączniku 2.

Jeżeli zgoda Podmiotu danych stanowi podstawę prawną

Przetwarzania, zgoda ta musi być wyraźna, co oznacza, że

Podmioty danych muszą jasno wyrazić swoją zgodę poprzez

oświadczenie lub zaznaczenie odpowiedniego pola. Wstępnie

zaznaczone pola, milczenie lub brak aktywności nie stanowią

potwierdzenia zgody osoby, której dane dotyczą.

5.3. Przejrzystość (powiadamianie Podmiotów danych):

RODO wymaga od Administratorów danych przekazania

Podmiotom danych szczegółowych, konkretnych informacji

(niezależnie od tego, czy informacje zostały zebrane

bezpośrednio od Podmiotów danych, czy z innego źródła)

na temat:

• kim jest Administrator danych;

• jakie Dane osobowe są gromadzone;

• jak i dlaczego będą one przetwarzane;

• komu zostaną ujawnione;

• w jaki sposób będziemy je chronić; oraz

• jak długo je zachowamy.

Takie informacje muszą być dostarczone w odpowiednich

Informacjach o prywatności.

Informacje te musimy przekazywać za pośrednictwem

Informacjach o prywatności, które muszą być przedstawione

przy pierwszym przekazaniu Danych osobowych przez Podmiot

danych. Informacje muszą być zwięzłe, przejrzyste, zrozumiałe,

łatwo dostępne oraz napisane jasnym i prostym językiem, tak aby

Podmiot danych mógł je łatwo zrozumieć.

Obejmuje to Dane osobowe, które zbieramy do celów

związanych z zasobami ludzkimi i zatrudnieniem.

5.4. Ograniczenie celu

Dane osobowe muszą być gromadzone wyłącznie w określonych,

jednoznacznych i prawnie uzasadnionych celach. Nie mogą być

dalej przetwarzane w sposób niezgodny z tymi celami.

Nie można wykorzystywać Danych osobowych do nowych,

innych lub niezgodnych celów niż te, które zostały ujawnione

przy ich pierwszym uzyskaniu, chyba że poinformowano Podmiot

danych o tych nowych celach, a Podmiot danych w razie

potrzeby wyraził na nie zgodę.

5.5. Minimalizacja danych

Dane osobowe muszą być wystarczające, odpowiednie

i ograniczone do tego, co jest konieczne w związku z celami,

dla których są przetwarzane.

Można gromadzić tylko te Dane osobowe, które są potrzebne

do wykonywania obowiązków służbowych: nie należy gromadzić

nadmiernej ilości danych.

Należy zapewnić, że gdy Dane osobowe nie są już potrzebne do

określonych celów, zostaną one usunięte lub zanonimizowane

zgodnie z wszelkimi obowiązującymi przepisami lub wytycznymi.

Polityka dotycząca etyki

biznesowej Prywatność

5.6. Dokładność

Dane osobowe muszą być dokładne i aktualne. W przypadku

nieścisłości należy je bezzwłocznie skorygować lub usunąć.

Należy sprawdzić dokładność wszelkich Danych osobowych

w momencie ich gromadzenia, a następnie w regularnych

odstępach czasu. Należy podjąć wszelkie uzasadnione kroki

w celu zniszczenia lub zmiany niedokładnych lub nieaktualnych

Danych osobowych.

5.7. Ograniczenie przechowywania

Dane osobowe nie mogą być przechowywane w formie

umożliwiającej identykację dłużej, niż jest to konieczne do

celów, dla których dane są przetwarzane.

Nie wolno przechowywać Danych osobowych w formie

umożliwiającej identykację Podmiotu danych dłużej, niż jest to

konieczne do osiągnięcia uzasadnionego celu biznesowego lub

celów, dla których zostały one pierwotnie zebrane, w tym

do celów spełnienia wymogów prawnych, księgowych

lub sprawozdawczych.

Spółka będzie przestrzegać zasad i procedur przechowywania

Danych osobowych, aby zapewnić, że zostaną one usunięte

po upływie czasu odpowiedniego do celów, dla których były

przechowywane, chyba że prawo wymaga, aby dane te były

przechowywane przez minimalny czas.

5.8. Prawa i wnioski Podmiotu danych

Dane osobowe muszą być udostępniane Podmiotom danych,

a Podmioty danych mogą korzystać z pewnych praw

w odniesieniu do swoich Danych osobowych. (Patrz punkt

7 poniżej).

5.9. Bezpieczeństwo, integralność i poufność

Dane osobowe muszą być Przetwarzane w sposób zapewniający

ich bezpieczeństwo poprzez zastosowanie odpowiednich

środków technicznych i organizacyjnych zabezpieczających

przed niedozwolonym lub niezgodnym z prawem

Przetwarzaniem oraz przed przypadkową utratą,

zniszczeniem lub uszkodzeniem. (Patrz punkt 8 poniżej).

5.10. Ograniczenie przekazywania

Dane osobowe nie mogą być przekazywane do innego kraju bez

odpowiednich zabezpieczeń. (Patrz punkt 10 poniżej).

6. Zapis przetwarzania

RODO wymaga od nas prowadzenia pełnej i dokładnej

ewidencji wszystkich naszych działań związanych

z przetwarzaniem danych. Odpowiedzialność za zapewnienie

prowadzenia prawidłowej dokumentacji korporacyjnej

odzwierciedlającej nasze Przetwarzanie zgodnie z wytycznymi

Spółki dotyczącymi prowadzenia dokumentacji spoczywa

na pracowniku.

Zapisy te powinny zawierać nazwisko i dane kontaktowe

Administratora danych, jasne opisy typów Danych osobowych,

typów Podmiotów danych, czynności przetwarzania, celów

przetwarzania, odbiorców Danych osobowych będących

osobami trzecimi, miejsc przechowywania Danych osobowych,

transferów Danych osobowych, okresu przechowywania Danych

osobowych oraz opis zastosowanych środków bezpieczeństwa.

Zapisy dotyczące przetwarzania danych są zarządzane przez

Biuro ds. Prywatności. Jednakże odpowiadasz za pomoc Biuru ds.

Prywatności w tworzeniu i utrzymaniu tych zapisów dotyczących

przetwarzania danych i musisz informować Biuro ds. Prywatności

o wszelkich nowych działaniach związanych z Przetwarzaniem lub

zmianach w czynnościach związanych z Przetwarzaniem.

7. Prawa i wnioski Podmiotów danych

Osoby, których Dane osobowe przetwarzamy, określane

są w RODO jako Podmioty danych. Podmioty danych mają

prawa dotyczące sposobu, w jaki postępujemy z ich Danymi

osobowymi. Prawa te są wymienione w całości w Załączniku 3.

W przypadku otrzymania wniosku od Podmiotu danych

w związku z przetwarzaniem jego Danych osobowych należy

postępować zgodnie z Procedurą dostępu do Danych

osobowych i zarejestrować wniosek w Biurze ds. Prywatności

i u lokalnego Specjalisty ds. Prywatności, zgłaszając go

pod adresem: gdpr@gxo.com – wiadomość e-mail należy

zatytułować: Wniosek Podmiotu danych dotyczący dostępu

Biuro ds. Prywatności doradzi i pomoże w odpowiedzi na zapytanie.

Odpowiedzi na Wnioski o udostępnienie danych muszą zostać

udzielone w ciągu 30 dni kalendarzowych. Należy zwerykować

tożsamość osoby, która zwraca się o udostępnienie danych na

mocy któregokolwiek z praw wymienionych powyżej (nie należy

pozwalać osobom trzecim na nakłanianie do ujawnienia Danych

osobowych bez odpowiedniego upoważnienia).

Polityka dotycząca etyki biznesowej

Prywatność

8. Bezpieczeństwo

8.1. Techniczne i organizacyjne środki bezpieczeństwa

Musimy wdrożyć odpowiednie środki techniczne i organizacyjne,

aby zapewnić, że nasze systemy przetwarzania Danych

osobowych są bezpieczne i zgodne z Zasadami ochrony danych.

Wymagany poziom bezpieczeństwa powinien uwzględniać

najnowocześniejsze technologie, koszt wdrożenia oraz charakter,

zakres, kontekst i cel Przetwarzania. Takie środki

mogą obejmować:

• anonimizację lub pseudonimizację i szyfrowanie danych

osobowych;

• zdolność do zapewnienia poufności, integralności,

dostępności i odporności systemów i usług przetwarzania;

• możliwość utrzymania i przywrócenia dostępności i dostępu

do Danych osobowych;

• proces regularnego testowania, oceny i werykacji ważności

Danych osobowych.

• należy przestrzegać Polityki bezpieczeństwa informacyjnego

GXO w odniesieniu do danych osobowych.

8.2. Zgłaszanie naruszeń danych

RODO wymaga od Administratorów danych, aby w ciągu

72 godzin od powzięcia wiadomości o naruszeniu Danych

osobowych powiadomili o nim właściwy organ nadzoru oraz,

w niektórych przypadkach, Podmiot danych.

Naruszenie Danych osobowych to działanie lub zaniechanie,

które skutkuje utratą lub nieuprawnionym dostępem,

ujawnieniem lub nabyciem Danych osobowych.

Wprowadziliśmy procedury postępowania w przypadku

podejrzenia Naruszenia Danych osobowych i powiadomimy

Podmioty danych lub wszelkie właściwe organy nadzoru, jeśli

będziemy do tego prawnie zobowiązani.

Jeśli wiesz lub podejrzewasz, że doszło do naruszenia

Danych osobowych:

• Bezzwłocznie zgłoś naruszenie lub podejrzenie naruszenia

na adres: gdpr@gxo.com – wiadomość e-mail należy

zatytułować: Podejrzenie Naruszenia Danych osobowych.

• Skontaktuj się z Biurem ds. Prywatności i lokalnym Specjalistą

ds. Prywatności.

• Nie próbuj samodzielnie badać sprawy.

• Zachowaj wszystkie dowody dotyczące potencjalnego

Naruszenia Danych osobowych.

9. Ochrona prywatności w fazie projektowania i Ocena

wpływu na ochronę danych (DPIA)

Jesteśmy zobowiązani do wdrożenia środków Ochrony prywatności

w fazie projektowania podczas Przetwarzania Danych osobowych

poprzez wdrożenie odpowiednich środków technicznych

i organizacyjnych (takich jak Pseudonimizacja) w skuteczny sposób,

aby zapewnić zgodność z zasadami prywatności danych.

Należy ocenić, jakie środki Ochrony prywatności w fazie

projektowania można wdrożyć we wszystkich programach/

systemach/procesach, które przetwarzają Dane osobowe, biorąc

pod uwagę następujące kwestie:

a) najnowocześniejsze technologie;

b) koszt wdrożenia;

c) charakter, zakres, kontekst i cele Przetwarzania; oraz

d) ryzyko o różnym prawdopodobieństwie wystąpienia i wadze

dla praw oraz wolności Podmiotów danych wynikające

z Przetwarzania.

Administratorzy danych muszą również przeprowadzać Ocenę

wpływu na prywatność danych (DPIA) w odniesieniu do

Przetwarzania wysokiego ryzyka oraz przy wdrażaniu dużych

programów zmian systemowych lub biznesowych obejmujących

Przetwarzanie Danych osobowych. Należy skontaktować się

Polityka dotycząca etyki

biznesowej Prywatność

z Biurem ds. Prywatności w celu ustalenia, czy DPIA jest

wymagana, jeśli wykonują wykonujesz te czynności.

Szczegóły DPIA znajdują się w Załączniku 4.

10. Ograniczenia udostępniania i przesyłania danych

Dane osobowe powinny być udostępniane stronom

trzecim tylko wtedy, gdy wprowadzono zabezpieczenia

i ustalenia umowne.

10.1. Udostępnianie danych w ramach grupy spółek GXO

Dane osobowe przechowywane przez Spółkę można

udostępniać innemu pracownikowi, agentowi lub

przedstawicielowi Grupy GXO (która obejmuje nasze spółki

zależne oraz naszą spółkę holdingową wraz z jej spółkami

zależnymi) tylko wtedy, gdy odbiorca ma potrzebę poznania tych

informacji w związku z wykonywaną pracą.

W przypadku przekazywania Danych osobowych w ramach

Grupy GXO mamy umowę o udostępnianiu danych wewnątrz

grupy, która reguluje takie przekazywanie danych, nawet

jeśli odbywa się ono poza UE do spółek GXO w Stanach

Zjednoczonych. Jeśli zostaniesz poproszony(-a) o przesłanie

informacji poza UE do kraju innego niż Stany Zjednoczone,

musisz skontaktować się z Biurem ds. Prywatności.

10.2. Udostępnianie danych stronom trzecim

Możesz udostępniać przechowywane przez nas Dane osobowe

stronom trzecim (spoza GXO), takim jak nasi dostawcy

usług, tylko wtedy, gdy muszą oni znać te informacje w celu

świadczenia usług i mają w pełni podpisaną pisemną umowę

zawierającą klauzule stron trzecich zatwierdzone przez RODO.

10.3. Przekazywanie danych poza UE

RODO ogranicza przekazywanie danych do krajów spoza EOG

w celu zapewnienia, że poziom ochrony danych zapewniony

osobom zycznym przez RODO nie zostanie naruszony.

Przekazanie ma miejsce, gdy Dane osobowe są wysyłane z kraju

w UE do kraju, który nie jest częścią UE.

Dane osobowe można przekazywać poza EOG tylko wtedy, gdy

spełniony jest jeden z poniższych warunków:

a) Dane osobowe są przekazywane do spółki GXO w Stanach

Zjednoczonych, a odbiorca ma potrzebę posiadania tych

Danych osobowych w związku z wykonywaną pracą, lub

b) dane są przekazywane do strony trzeciej i posiadasz

potwierdzenie z Biura ds. Prywatności, że zastosowano

odpowiednie zabezpieczenia i że Podmiot danych wyraził

zgodę na proponowane przekazanie po otrzymaniu informacji

o wszelkich potencjalnych zagrożeniach. Lub przekazanie

danych jest konieczne z jednego z innych powodów

określonych w RODO, w tym w celu wykonania umowy między

nami a Podmiotem danych, ze względu na interes publiczny,

w celu ustanowienia, wykonania lub obrony roszczeń

prawnych lub w celu ochrony żywotnych interesów Podmiotu

danych, w przypadku gdy Podmiot danych jest zycznie lub

prawnie niezdolny do wyrażenia Zgody oraz, w niektórych

ograniczonych przypadkach, ze względu na nasz

uzasadniony interes.

11. Szkolenia i audyt

Jesteśmy zobowiązani do zapewnienia, że wszyscy pracownicy

GXO przeszli odpowiednie szkolenie, które umożliwi im

przestrzeganie przepisów dotyczących prywatności danych.

Musimy również regularnie testować nasze systemy i procesy,

aby ocenić zgodność. Należy ukończyć wszystkie obowiązkowe

szkolenia związane z ochroną danych osobowych, które

są wymagane.

Należy regularnie sprawdzać wszystkie systemy i procesy

pozostające pod naszą kontrolą, aby zapewnić ich zgodność

z niniejszą Polityką prywatności oraz sprawdzić, czy istnieją

odpowiednie kontrole zarządzania i zasoby w celu zapewnienia

właściwego wykorzystania i ochrony Danych osobowych.

12. Usługi outsourcingowe

Gdy musimy zlecić usługi osobom trzecim, takim jak dostawcy

usług IT lub dostawcy usług w chmurze, które wiążą się

z przetwarzaniem Danych osobowych, powoduje to konieczność

rozważenia kwestii ochrony danych. Zazwyczaj dostawcy usług

działają jako podmioty przetwarzające i należy zawrzeć pisemną

umowę na przetwarzanie danych.

Polityka dotycząca etyki

biznesowej Prywatność

13. Zautomatyzowane przetwarzanie / prolowanie /

podejmowanie decyzji i marketing bezpośredni

RODO ma ścisłe zasady dotyczące automatycznego

przetwarzania, podejmowania decyzji i prolowania. Działania

związane z automatycznym przetwarzaniem danych można

prowadzić wyłącznie po konsultacji z Biurem ds. Prywatności

i po sporządzeniu oceny DPIA.

Analogicznie istnieją szczególne zasady dotyczące marketingu

bezpośredniego. Kampanie marketingu bezpośredniego

powinny być podejmowane wyłącznie po konsultacji z Biurem

ds. Prywatności i po sporządzeniu oceny DPIA.

14. Zmiany w niniejszym standardzie ochrony prywatności

Zastrzegamy sobie prawo do zmiany niniejszej Polityki

prywatności w dowolnym momencie bez uprzedzenia.

Niniejsza Polityka prywatności nie zastępuje żadnych

obowiązujących krajowych przepisów i regulacji dotyczących

prywatności danych w krajach, w których działa GXO,

a w niektórych krajach mogą obowiązywać lokalne odstępstwa

od niniejszego Standardu prywatności, które są dostępne na

żądanie w Biurze ds. Prywatności.

Niniejszy Standard prywatności został ostatnio zmieniony 2

sierpnia 2021 r.

Załącznik

Polityka dotycząca etyki

biznesowej Prywatność

Załącznik 1

Należy zawsze skontaktować się z Biurem ds. Prywatności

w następujących okolicznościach:

a) w przypadku braku pewności co do podstawy prawnej, na

której opiera się przetwarzanie Danych osobowych (w tym

uzasadnionych interesów stosowanych przez Spółkę) (patrz

punkt 5 i Załącznik 2);

b) w przypadku konieczności oparcia się na Zgodzie i/lub

konieczności uzyskania Zgody (patrz punkt 5.2 i Załącznik 2);

c) w przypadku konieczności sporządzenia Informacji

o prywatności (patrz punkt 5.3);

d) w przypadku braku pewności co do okresu przechowywania

Przetwarzanych Danych osobowych (patrz punkt 5.7);

e) w przypadku braku pewności co do tego, jakie środki

bezpieczeństwa lub inne środki należy wdrożyć w celu ochrony

Danych osobowych (patrz punkt 8.1 poniżej);

f) jeśli doszło do Naruszenia Danych osobowych (punkt 8.2);

g) w przypadku braku pewności, na jakiej podstawie należy

przekazywać Dane osobowe poza EOG (patrz punkt 10);

h) w razie potrzeby uzyskania pomocy w zakresie praw, na które

powołuje się Podmiot danych (patrz punkt 7 i Załącznik 3);

i) za każdym razem, gdy angażujesz się w istotną nową lub

zmienioną czynność Przetwarzania, która prawdopodobnie

będzie wymagać oceny DPIA (patrz punkt 9) lub planujesz

wykorzystywać Dane osobowe do celów innych niż te, do

których zostały zebrane;

j) jeśli planujesz podjąć jakiekolwiek działania obejmujące

Zautomatyzowane przetwarzanie, w tym prolowanie lub

Zautomatyzowane podejmowanie decyzji (patrz punkt 13);

k) jeśli potrzebna jest pomoc w zachowaniu zgodności

z obowiązującym prawem przy prowadzeniu działań z zakresu

marketingu bezpośredniego (patrz punkt 13); lub

l) jeśli potrzebna jest pomoc w zakresie umów lub innych

obszarów związanych z udostępnianiem Danych osobowych

osobom trzecim (w tym sprzedawcom) (patrz punkt 9 i punkt 12).

Polityka dotycząca etyki

biznesowej Prywatność

Załącznik 2

RODO zezwala na Przetwarzanie w określonych celach, z których

niektóre przedstawiono poniżej:

a) Podmiot danych wyraził zgodę;

Podmiot danych zgadza się na przetwarzanie swoich Danych

osobowych, jeśli jasno wyrazi zgodę na przetwarzanie poprzez

oświadczenie lub pozytywne działanie. Zgoda wymaga działania

potwierdzającego, więc milczenie, zaznaczone wcześniej pola lub

brak aktywności raczej nie wystarczą. Jeśli Zgoda jest wyrażona

w dokumencie, który dotyczy innych spraw, wówczas Zgoda musi

być przechowywana oddzielnie od tych innych spraw.

Podmioty danych muszą mieć możliwość łatwego wycofania

Zgody na Przetwarzanie w dowolnym momencie, a wycofanie

musi być bezzwłocznie honorowane. Zgoda może wymagać

odświeżenia, jeśli zamierzasz przetwarzać Dane osobowe

w innym i niezgodnym celu, który nie został ujawniony, gdy

Podmiot danych wyrażał zgodę po raz pierwszy.

O ile nie możemy powołać się na inną podstawę prawną

Przetwarzania, Zgoda jest zazwyczaj wymagana

w przypadku Przetwarzania wrażliwych danych osobowych,

Zautomatyzowanego podejmowania decyzji oraz Przekazywania

danych za granicę. Zazwyczaj w przypadku przetwarzania

większości rodzajów Danych wrażliwych opieramy się na innej

podstawie prawnej (i nie wymagamy Zgody). W przypadku gdy

wymagana jest Wyraźna zgoda, należy wydać Podmiotowi danych

Informację o rzetelnym przetwarzaniu w celu uzyskania Zgody.

b) Przetwarzanie jest niezbędne do wykonania umowy

z Podmiotem danych;

c) aby spełnić nasze zobowiązania dotyczące zgodności

z prawem;

d) w celu ochrony żywotnych interesów Podmiotu danych;

e) w celu realizacji naszych uzasadnionych interesów w celach,

w których nie są one nadrzędne, ponieważ Przetwarzanie narusza

interesy lub podstawowe prawa i wolności Podmiotów danych. Cele,

dla których przetwarzamy Dane osobowe w ramach uzasadnionych

interesów, muszą być określone w odpowiednich Informacjach

o prywatności lub Informacjach o rzetelnym przetwarzaniu.

Polityka dotycząca etyki

biznesowej Prywatność

Załącznik 3

Prawa Podmiotu danych to:

a) wycofanie Zgody na Przetwarzanie w dowolnym momencie;

b) otrzymywanie pewnych informacji na temat czynności

Przetwarzania danych przez Administratora danych;

c) zażądanie dostępu do swoich Danych osobowych, które są

w naszym posiadaniu;

d) zapobieganie wykorzystywaniu przez nas Danych osobowych

do celów marketingu bezpośredniego;

e) zwrócenie się do nas o usunięcie Danych osobowych, jeśli

nie są one już potrzebne w związku z celami, dla których zostały

zebrane lub Przetwarzane, lub o sprostowanie niedokładnych

danych lub uzupełnienie niekompletnych danych;

f) ograniczenie Przetwarzania w określonych okolicznościach;

g) zakwestionowanie Przetwarzania, które zostało uzasadnione

na podstawie naszych uzasadnionych interesów lub

w interesie publicznym;

h) zażądanie kopii umowy, na podstawie której Dane osobowe

są przekazywane poza EOG;

i) sprzeciwienie się decyzjom opartym wyłącznie na

Zautomatyzowanym przetwarzaniu, w tym prolowaniu (ADM);

j) zapobieganie Przetwarzaniu, które może spowodować szkodę

lub cierpienie Podmiotu Danych lub kogokolwiek innego;

k) powiadomienie o Naruszeniu Danych osobowych, które może

skutkować wysokim ryzykiem naruszenia jego praw i wolności;

l) złożenie skargi do odpowiedniego organu nadzorczego/

organu ustawowego; i

m) w ograniczonych okolicznościach otrzymywanie lub

poproszenie o przekazanie jego Danych osobowych stronie

trzeciej w ustrukturyzowanym, powszechnie używanym formacie

nadającym się do odczytu maszynowego.

Polityka dotycząca etyki

biznesowej Prywatność

Załącznik 4

Należy skontaktować się z Biurem ds. Prywatności w celu

przeprowadzenia oceny DPIA (i omówienia wyników) przy

wdrażaniu dużych programów zmian systemowych lub biznesowych

związanych z przetwarzaniem Danych osobowych, w tym:

a) wykorzystanie nowych technologii (programów, systemów lub

procesów) lub zmiana technologii (programów, systemów lub

procesów);

b) Zautomatyzowane przetwarzanie, w tym prolowanie i ADM;

c) przetwarzanie Danych wrażliwych na dużą skalę; i

d) systematyczny monitoring na dużą skalę ogólnodostępnego

obszaru.

Ocena DPIA musi zawierać:

a) opis Przetwarzania, jego celów oraz, w stosownych

przypadkach, uzasadnionych interesów Administratora danych;

b) ocenę konieczności i proporcjonalności Przetwarzania

w stosunku do jego celu;

c) ocenę ryzyka dla osób; i

d) zastosowane środki ograniczające ryzyko i wykazanie

zgodności.

Należy przestrzegać procesów Spółki dotyczących oceny DPIA

i Prywatności w fazie projektowania.