Política para la Protección de Datos PersonalesCódigo:AJ-PL001Versión: 03Fecha de vigencia:28/10/2020Área LegalPágina: 3de 10DOCUMENTO NO CONTROLADO –Verifique en Intranet la versión vigente1.OBJETIVOS Y ALCANCEEsta Política describe los requisitos de protección de datos del Grupo Adecco para el manejo de Datos Personales por parte de su Personal en el Perú. Proporciona un estándar mínimo uniforme y se aplica a todo el personal del Grupo Adecco en todo el mundo. Cuando la ley local aplicable proporcione un nivel de protección mayor que el establecido por esta Política, el Grupo Adecco seguirá la ley local aplicable.Se permiten excepciones a esta Política donde lo permita la ley local aplicable, pero todas esas excepciones deben ser aprobadas por escrito por el Oficial de Protección de Datos local y el del Grupo mediante el uso del formulario adjunto como Anexo 1 a esta Política.2.DEFINICIONES-“Adecco Group” significa Adecco Group AG y sus subsidiarias, afiliadas y divisiones comerciales en todo el mundo. Los términos «nosotros», «nos» o «nuestro» se refieren al Grupo Adecco.-«Controlador de datos» significa la entidad responsable de determinar los propósitos y los medios del procesamiento (por ejemplo, la entidad del Grupo Adecco aplicable que recopila datos de los candidatos cuando solicitan un trabajo a través de un sitio web).-«Procesador de datos» significa la entidad que procesa los Datos Personales en nombre y siguiendo las instrucciones del controlador de datos (por ejemplo, un proveedor que aloja el sistema de oficina principal utilizado por la entidad del Grupo Adecco correspondiente).-“Marketing directo” se refiere a las actividades de marketing del Grupo Adecco dirigidas a personas específicas.-“UE” significa la Unión Europea (los países miembros se enumeran en http://europa.eu/about-eu/countries/index_en.htm).-“Espacio Económico Europeo” o “EEE” significa los países miembros de la UE, Islandia, Liechtenstein y Noruega.-“Responsable de la protección de datos del grupo” o “Responsable de la privacidad” significa la persona cuyas obligaciones son observar el cumplimiento de las leyes de protección de datos.-La “Oficina de Privacidad del Grupo” está compuesta por el Oficial de Protección de Datos del Grupo y su equipo y se ocupa tanto de asuntos legales de TI como de protección de datos a nivel global.-“GSOC” significa el Centro de Operaciones de Seguridad Global.-«Titular de Datos Personales/persona” significa una persona natural cuyos datos se procesan (por ejemplo, cualquier miembro del personal, candidato, accionista, agente, representante o proveedor). Esta Política no se aplica a los datos relacionados con personas jurídicas.-“Intra-Grupo” significa cualquier relación entre las entidades del Grupo Adecco en relación con las actividades de Procesamiento de Datos.-“TI” significa tecnología de la información.-“ITSRCM” significa el Gerente de Seguridad, Riesgos y Cumplimiento de la Tecnología de la Información.-“Líder de privacidad local” es la persona cuyas obligaciones son observar el cumplimiento de las leyes de protección de datos a nivel local y reporta al Oficial de Protección de Datos del Grupo o su representante. Si la legislación local requiere un delegado de protección de datos local, esta persona puede actuar como tal delegado de protección de datos local.
Política para la Protección de Datos PersonalesCódigo:AJ-PL001Versión: 03Fecha de vigencia:28/10/2020Área LegalPágina: 4de 10DOCUMENTO NO CONTROLADO –Verifique en Intranet la versión vigente-«Datos Personales» significa cualquier información sobre una persona identificada o identificable (por ejemplo, nombre, dirección, video entrevista o foto), incluida la información de “Datos Confidenciales”. -«Procesamiento» o «Procesamiento de datos» significa cualquier operación o conjunto de operaciones que se realiza sobre Datos Personales, como recopilación, registro, organización, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o realización disponible, alineación o combinación, bloqueo, borrado o destrucción.-“Datos confidenciales” significa Datos Personales que revelanorigen racial o étnico, opiniones políticas, creencias religiosas o filosóficas o afiliación sindical, datos genéticos, datos biométricos, vida sexual, orientación sexual, así como datos sobre salud, datos judiciales y datos económicos (incluidos los laborales).-“Personal” significa todos los colegas y asociados (es decir, personal temporal) empleados o contratados por miembros del Grupo Adecco, así como cualquiera de sus directores y funcionarios y contratistas individuales de los miembros del Grupo Adecco.-«Cláusulas contractuales estándar» significa un conjunto de cláusulas estándar adoptadas por la Comisión Europea para aducir salvaguardias adecuadas con respecto a la protección de privacidad y derechos y libertades fundamentales de las personas para latransferencia por parte del controlador de datos de la UE a un procesador de datos fuera de la UE / EEE y publicado en http://ec.europa.eu/justice/data-protection/document/international-transfers/transfer/ index_en.htm “Terceros / Partes” significa una persona física o jurídica, autoridad pública, agencia u organismo que no sea el sujeto de datos, controlador, procesador y personas que, bajo la autoridad directa del controlador o procesador, están autorizadas para Procesar Personal Datos.3.DESCRIPCIÓN DE LA POLÍTICA3.1.ANTECEDENTESEl Grupo Adecco, interactuando con sus empleados, candidatos, asociados, contratistas, clientes y proveedores, y cualquier tercero, recopila, procesa y almacena Datos Personales. El Grupo Adecco reconoce la importancia para su negocio del acceso a los Datos Personales y, por lo tanto, valora la confianza que estas personas depositan en el Grupo Adecco cuando comparten Datos Personales. Para promover y preservar esa confianza y en apoyo del compromiso del Grupo Adecco con el cumplimiento de los principios generales de protección de datos reconocidos establecidos por la ley, el Grupo Adecco ha establecido esta Política de Protección de Datos («Política») que rige el manejo y uso de Datos Personales del Grupo Adecco a lo largo de sus operaciones, adaptándola al ámbito local.Creemos que cada uno de nuestro personal juega un papel crucial y, por lo tanto, capacitamos a nuestro personal en los principios clave de protección de datos y esta Política. Es obligatorio que todo el personal nuevo reciba dicha capacitación dentro de los tres meses posteriores a la fecha de inicio y que todo el personal cumpla con esta Política.La función de gobierno de protección de datos del Grupo Adecco en Perú es ejecutada por el Oficial de Protección de Datos local y los Líderes de Privacidad Locales que trabajan en conjunto con el Jefe Global de Seguridad de TI, Riesgos y Cumplimiento y ITSRCM local o roles equivalentes y otras funciones según sea necesario.3.2.PRINCIPIOS CLAVE DE PROTECCIÓN DE DATOS DEL GRUPO ADECCO3.2.1.Base legal para procesar Datos Personales
Política para la Protección de Datos PersonalesCódigo:AJ-PL001Versión: 03Fecha de vigencia:28/10/2020Área LegalPágina: 5de 10DOCUMENTO NO CONTROLADO –Verifique en Intranet la versión vigenteDebemos tener un fundamento legal válido como base para cualquier procesamiento de Datos Personales, por.Ejemplo necesidad contractual o consentimiento inequívoco otorgado libremente a través de una acción afirmativa del Titular de Datos Personales. El líder de privacidad local debeparticipar en la obtención de los consentimientos de las personas.Debido a los límites restrictivos en el uso del consentimiento para procesar Datos Personales, debemos buscar basarnos en un fundamento legal que no sea el consentimiento del Titular de Datos Personalesen la medida de lo posible.3.2.2.Salvaguardias especiales para el procesamiento de datos sensiblesLos datos confidenciales (por ejemplo, datos de salud, ingresos laborales, entre otros) tienen una protección especial bajo la ley local que debemos cumplir.3.2.3.Notificación Se notificará a las personas sobre los Datos Personalesque procesamos sobre ellos y el propósito o los fines para los que recopilamos esos Datos Personales(«Aviso»).3.2.4.ResponsabilidadDebemos llevar a cabo nuestras actividades de procesamiento de datos de acuerdo con la ley local sobre protección de datos y debemos poder demostrarlo. En este sentido, hemos tomado (y tomaremos) las acciones apropiadas y legalmente requeridas, como llevar a cabo Evaluaciones de impacto de protección de datos («DPIA») cuando sea necesario, nombrar un oficial de protección de datos, documentar las actividades de procesamiento de datos y mantener Registros de procesamiento de datos, y selección de procesadores de datos de manera diligente y en línea con esta Política.3.2.5 Límites de recopilación y retenciónDebemos limitar la cantidad y el tipo de Datos Personalesrecopilados a lo que sea necesario para los fines previstos identificados en el Aviso y no debemos utilizarlos para otros fines sin una autorización legal específicay previa por parte del dueño de los Datos Personales.No debemos conservar los Datos Personalesdurante más tiempo del necesario para el logro de los fines para los que se procesan dichos Datos Personales, sin perjuicio de los requisitos legales deretención obligatorios según la ley local o de cualquiera de nuestros intereses comerciales legítimos para conservar dichos Datos Personales. 3.2.6.Precisión de los datosDebemos tomar medidas razonables para mantener los Datos Personalesprecisos y, cuando sea necesario, actualizados, porejemplo,recordando a las Personas que cambien sus Datos Personalesa través de portales de autoservicio.3.2.7.Respetar los derechos de las personas para acceder, corregir, eliminar, oponerse al procesamiento y portar sus datosA petición de los dueños de los Datos Personales, les informaremos si procesamos, les proporcionaremos acceso, corregiremos y/o eliminaremos sus Datos Personales,a menos que la ley local permita la retención de dichos Datos Personalespor motivos legítimos (p. como prueba en procesos judiciales).
Política para la Protección de Datos PersonalesCódigo:AJ-PL001Versión: 03Fecha de vigencia:28/10/2020Área LegalPágina: 6de 10DOCUMENTO NO CONTROLADO –Verifique en Intranet la versión vigenteLas personas dueñas de los Datos Personales también pueden oponerse a nuestro procesamiento de Datos Personalessobre ellos, si se aplican ciertos motivos legales. Por ejemplo, un candidato debe tener la oportunidad de oponerse a la recopilación y el uso de sus Datos Personalespara fines de marketing directo (por ejemplo, a través de funciones de inclusión / exclusión voluntaria).A solicitud de las personas, les proporcionaremos sus Datos Personalesen unformato estructurado, de uso común y formato legible por máquina;así como transmitir esa informacióna un tercero, en la medida requerida por la legislación local y teniendo en cuenta la tecnología disponible.3.2.8.»Privacidad por diseño»Debemos aceptar y esforzarnos siempre por ser una organización que implemente la “privacidad por diseño” en todas las facetas relacionadas con el procesamiento de Datos Personales. La privacidad por diseño significa que incorporamos la facilidad de uso y tenemos en cuenta la privacidad y la protección de datos en todas las actividades comerciales.3.2.9.El Grupo Adecco como Procesador de datosCuando actuamos como Procesador de datos (por ejemplo, Procesamiento en relación con servicios de reubicación o como proveedor de servicios administrados a través de, por ejemplo, Pontoon o LHH), se debe celebrar un acuerdo de procesamiento de datos por escrito con el Controlador de datos relevante.3.2.10.Seguridad de los datos e informes de incidentes Debemos mantener e implementar las medidas de seguridad adecuadas para proteger los Datos Personalescontra la destrucción, pérdida, alteración, divulgación o acceso no autorizados o accesos accidentales o ilegales y contra todas las demás formas ilegales de procesamiento.Debemos manejar cualquier incidente de seguridad y violación de Datos Personalesde acuerdo con nuestro Runbook de manejo de incidentes y el Proceso de gestión de violación de Datos Personales(estándar). Todo el personal debe notificar inmediatamente a su supervisor, al ITSRCM local o función equivalente, al GSOC y / o al líder de privacidad localde cualquier incidente de seguridad real o sospechado o posible violación de datos. El ITSRCM local o el Líder de privacidad local debe informar al Oficial de protección de datos del grupo de acuerdo con el Proceso de gestión de violaciones de Datos Personales(Estándar).Algunos ejemplos de infracciones reportables de Datos Personalesincluyen la pérdida de documentos en papel que contienen Datos Personales(como CV), la divulgación de Datos Personalesa una persona no autorizada (por ejemplo, porque un miembro del personal envió accidentalmente a dicha persona no autorizada un correo electrónico con nóminas de asociados o le dio a dicha persona no autorizada acceso a una base de datos), o un ciberataque durante el cual se pudo haber accedido a Datos Personalesde manera no autorizada.3.2.11.Procesamiento y elaboración de perfiles automatizadosDebemos respetar el derecho de las Personas a no ser objeto de una decisión basada únicamente en el procesamiento automatizado sin ninguna intervención humana, incluida la elaboración de perfiles, que produzca efectos legales o similares que les afecte significativamente.
Política para la Protección de Datos PersonalesCódigo:AJ-PL001Versión: 03Fecha de vigencia:28/10/2020Área LegalPágina: 7de 10DOCUMENTO NO CONTROLADO –Verifique en Intranet la versión vigente3.3.EXPORTACIONES DE DATOSNo debemos transferir Datos Personalesa otros países a menos que se hayan implementado las medidas adecuadas para proteger dichos Datos Personales.El Delegado de Protección de Datos del Grupo (o representante) o el Líder de Privacidad Local, según sea el caso, debe aprobar cualquier transferencia de Datos Personalesfuera de la UE / EEE antes de que tenga lugar y asegurarse de que los requisitos legales para dicha transferencia se cumplen (por ejemplo, Privacy Shield (solo en Estados Unidos), Normas corporativas vinculantes y Cláusulas contractuales estándar de la UE).Otras jurisdicciones fuera de la UE / EEE imponen obligaciones similares (por ejemplo, China y Singapur). Si hay dudas sobre si es necesario implementar protecciones adicionales al exportar Datos Personalesdesde un país, se debe contactar a los líderes de privacidad locales.3.4.ACTIVIDADES DE PROCESAMIENTO DE DATOS INTRAGRUPOLos líderes de privacidad locales deben ser informados de cualquier actividad de procesamiento de datos intragrupo antes de que ocurran, y ese líder de privacidad local debe informar al oficial de protección de datos del grupo (o representante) inmediatamente antes de que nuevase importantes actividades intragrupo de procesamiento de datos se lleven a cabo..3.5.NUEVAS INICIATIVAS Y PRUEBASSi se va a lanzar una nueva iniciativa (que incluya, entre otros, un nuevo sistema, tecnología, herramienta o sitio web), el Líder de privacidad local correspondiente (para iniciativas locales) o el delegadoo representante de protección de datos del grupo (para iniciativas que afecten a más de un país) debe ser informado con anticipación y se debe completar una DPIA, involucrando a otras partes interesadas según sea necesario. El responsable de privacidad local o el responsable o representante de protección de datos de grupo, según corresponda, debe aprobar cualquier iniciativa nueva antes de que entre en funcionamiento. Para las iniciativas existentes, el Líder de Privacidad Local o el Oficial de Protección de Datos de Grupo, según corresponda, debe ser informado y proporcionar aprobación previa de cualquier lanzamiento, versión o modificación de dicha iniciativa existente que cambie la manera en que se Procesan los Datos Personales. de cualquier forma.Las pruebas con Datos Personalesreales no deben realizarse (ya sea internamente o utilizando terceros) amenos que la Dirección Generalapruebe una excepción en consulta con el líder de privacidad local. Todas estas solicitudes de excepción deben utilizar el formulario aprobado por el Responsable de Protección de Datos del Grupo.3.6.QUEJASSi una persona presenta una queja formal, debe ser respondida por el líder de privacidad local. La queja generalmente se considera concluidaen la fecha en que el Líder de Privacidad Local comunica su respuesta a la Persona (que será enviada tan pronto como sea razonablemente posible a partir de la fecha en que se reciba la queja, a menos que la ley local imponga un plazo más corto). Si un Titular de Datos Personalesdiscutela
Política para la Protección de Datos PersonalesCódigo:AJ-PL001Versión: 03Fecha de vigencia:28/10/2020Área LegalPágina: 8de 10DOCUMENTO NO CONTROLADO –Verifique en Intranet la versión vigenterespuesta, El Oficial de Protección de Datosdebe ser notificado y puede daro modificaruna respuesta ala persona.3.7.DERECHOS DE TERCEROSEsta Política es material interno y patentado del Grupo Adecco. No debe circularseni enviarse fuera del Grupo Adecco a menos que lo apruebe el responsablede protección de datos del grupo (o representante) o el Líder de privacidad local. No se interpretará que esta políticacrea obligación del Grupo Adecco hacia cualquier persona o entidad, incluyendo cualquier cliente, proveedor, un miembro del personal, o de cualquiertercero porley, incluyendo agravio, negligencia, acuerdoo cualquier concepto legal equivalente o similar en cualquier parte del mundo.3.8.PREGUNTASSi tienealguna pregunta sobre esta Política, la forma en que debe implementarse o la protección de datos en general, comuníquese con su Líder de privacidad local (los detalles de contacto se pueden encontrar aquí) o el Oficial de protección de datos del grupo en globalprivacy@adeccogroup.com. 3.9.APROBACIÓN / ENMIENDASEsta Política es propiedad del Departamento Legal del Grupo, emitida por el Oficial de Privacidad del Grupo y aprobada por el CEO y el CFO del Grupo.El Grupo Adecco puede actualizar esta Política de vez en cuando para reflejar cambios en la ley local, la orientación regulatoria y / o nuestras prácticas comerciales. Los cambios a esta Política se notificarán al personal a través de los canales habituales.4.ANEXOSANEXO 1FORMULARIO DE EXCEPCIÓNPropósito del documento:este documento debe ser utilizado por las unidades comerciales locales para solicitar excepciones a la Política de grupo sobre protección de datos.Procedimiento:1) El líder de privacidad local completa este formulario con la ayuda de los representantes comerciales («Solicitante(s)») detallando los detalles de las excepciones solicitadas y otra información relevante, y debe obtenerla aprobación del Director General(según corresponda) del país o entidad local para dichas solicitudes. 2) El Líder de Privacidad Local envía el formulario completo al Oficial de Protección de Datos del Grupo para su revisión y consideración de tales solicitudes de excepción.
