Newsroom ARBEITE BEI UNS Contact us

PRIVACY POLICY

Datenschutzrichtlinie

  1. 1.      Zweck

Die Datenschutz- und Datenschutzrichtlinie der Teleperformance Group ("die Richtlinie ") drückt das starke Engagement von Teleperformance aus, die Daten jedes Einzelnen, seiner Mitarbeiter und Kunden zu respektieren und zu schützen. Alle Mitarbeiter der Gesellschaften der Gruppe ("Teleperformance-Unternehmen" oder "Teleperformance") müssen diese Richtlinie befolgen.

  1. 2.      Safe Harbor

Das US-Handelsministerium und die Europäische Kommission haben sich auf eine Reihe von Datenschutzgrundsätzen und häufig gestellte Fragen geeinigt, die es US-amerikanischen Unternehmen ermöglichen, personenbezogene Daten zu schützen, die aus dem Europäischen Wirtschaftsraum (EWR) in die Vereinigten Staaten gemäß den Gesetzen der Europäischen Union (Safe-Harbor-Abkommen USA-EU) transferiert werden. Das US-Handelsministerium und der Bundesbeauftragte für Datenschutz und Information der Schweiz haben sich auf ähnliche Prinzipien und häufig gestellte Fragen geeinigt, die es US-amerikanischen Unternehmen ermöglichen, von der Schweiz transferierte personenbezogene Daten gemäß schweizerischen Gesetzen (Swiss Safe Harbor Abkommen USA-Schweiz) zu schützen. TPUSA, Inc. (US-Tochter der Teleperformance) hält sich an das Safe-Harbour-Abkommen zwischen den USA und der EU sowie das Safe-Harbour-Abkommen zwischen den USA und der Schweiz wie vom US-Handelsministerium festgelegt. Weitere Informationen zum Safe-Harbor-Programm finden sich auf der Website des US-Handelsministeriums unter http://www.export.gov/safeharbor/.

  1. 3.      Scope

Die in dieser Richtlinie enthaltenen Datenschutzstandards und -anforderungen gelten für alle Teleperformance-Unternehmen, die sich als Datenverantwortlicher oder Datenverarbeiter mit der Verarbeitung, Erhebung, Speicherung oder Übertragung personenbezogener Daten befassen. Alle Teleperformance-Gesellschaften haben in erster Linie lokale Gesetzen und Vorschriften einzuhalten. Bei einem Widerspruch zwischen lokalen Gesetzen und dieser Richtlinie gelten die lokalen Gesetze.

  1. 4.      Definitionen

“Datenverantwortlicher” bezeichnet das Unternehmen oder die Person, die die Zwecke, den Inhalt, die Verwendung und die Art der Verarbeitung personenbezogener Daten bestimmt.
“Datensubjekt” die natürliche Person, der die Daten gehören, die gemäß der Definition „Verarbeitung“ verarbeitet werden.
“Datenverarbeiter” bezeichnet das Unternehmen oder die Person, die personenbezogene Daten im Auftrage des Datenverantwortlichen verarbeitet.
“Einwilligung des Datensubjektes” jede freie, eindeutige, spezifische und sachkundige Willenserklärung, mit der die betroffene Person der Verarbeitung personenbezogener Daten zustimmt.
"Freundliches Drittland" ist bezüglich der Übermittlung von Daten außerhalb des Europäischen Wirtschaftsraums (EWR) jedes Land, das außerhalb des EWR liegt, jedoch ein angemessenes Schutzniveau gewährleistet. Die Liste dieser Länder ist abrufbar unter: http://ec.europa.eu/justice/data-protection/international-transfers/index_en.htm

"Nicht-freundliches Land" bezeichnet in Bezug auf die Übertragung von Daten außerhalb des Europäischen Wirtschaftsraums, ein nicht im EWR ansässiges Land oder ein Land, das kein freundliches Drittland ist.

"Personenbezogene Daten" bezeichnet alle Informationen in Bezug auf eine identifizierte oder identifizierbare natürliche Person (Datensubjekt). Eine identifizierbare Person ist eine Person, die direkt oder indirekt, insbesondere mittels einer Ausweisnummer oder durch eines oder mehrere Merkmale, die für ihre physische, physiologische, mentale, wirtschaftliche, kulturelle oder soziale Identität spezifisch sind, identifiziert werden kann.

"Verarbeitung" bezeichnet, in Bezug auf Informationen und Daten, die Sammlung, Aufzeichnung und Aufbewahrung von Informationen oder Daten sowie einen oder mehrerer Verarbeitungsvorgänge an den Informationen oder Daten, unabhängig davon, ob diese automatisch oder nicht automatisch erfolgen. Die Verarbeitung umfasst die Organisation, Speicherung, Anpassung oder Änderung der Informationen oder Daten, das Abrufen, die Konsultation oder die Verwendung der Informationen oder Daten, die Weitergabe der Informationen oder Daten durch Übermittlung, Verbreitung oder anderweitige Bereitstellung sowie die Angleichung, Verknüpfung, Sperrung, Löschung oder Zerstörung der Informationen oder Daten.

 

5.   Verarbeitung personenbezogener Daten

5.1.      Zweck der Verarbeitung personenbezogener Daten

Teleperformance darf für folgende Zwecke angemessene und relevante personenbezogene Informationen und Daten verarbeiten:

1. Für Personal- und Personalmanagement-Prozesse, die Personalgewinnung, Personalplanung, Schulungen und Leistungsmanagement, Gehalt und Zusatzleistungen, Verwaltung von Urlaubs- und Zusatzleistungsansprüchen, Zustellung von Gehaltsabrechnungen, Mitarbeiterinformation und Qualifikationserfassung, Mitarbeiterbefragung, Austrittsgespräche sowie Zwecke des Gesundheits- und Arbeitsschutzes. Hierbei handelt das Teleperformance-Unternehmen als Datencontroller.

2. Für personenbezogene Daten der Mitarbeiter von Lieferanten und Zulieferern, von Mitarbeitenden, Kunden und Interessenten sowie Besuchern. Hierbei handelt das Teleperformance-Unternehmen ebenfalls als Datencontroller.

3. Für die Ausführung von Geschäfts- und Managementprozessen, die sämtliche Tätigkeiten und Dienstleistungen einschließen, die ein Teleperformance-Unternehmen im Auftrag oder für einen Kunden durchführt. In diesen Fällen handelt das Teleperformance-Unternehmen als Datenverarbeiter.

5.2.      Zu beachtende Regeln bei der Verarbeitung personenbezogener Daten

Jedes Teleperformance-Unternehmen einschließlich seiner Mitarbeiter und Lieferanten muss bei der Verarbeitung personenbezogener Daten folgende Grundsätze beachten:

1. Personenbezogene Daten müssen angemessen und rechtmäßig verarbeitet werden.

2. Personenbezogene Daten müssen zu einem oder mehreren bestimmten und rechtmäßigen Zwecken gesammelt werden und dürfen nicht in nicht mit diesen Zwecken vereinbarer Weise verarbeitet werden. Die Weiterverarbeitung der Daten zu geschichtlichen, statistischen oder wissenschaftlichen Zwecken ist als nicht mit diesen Zwecken vereinbar zu betrachten.

3. Die Erhebung personenbezogener Daten muss in Bezug auf die Zwecke, für die die Daten verarbeitet werden, angemessen, maßgeblich und maßvoll sein.

4. Persönliche Daten müssen fehlerfrei und auf dem neuesten Stand sein, um die gegenwärtige Situation der betroffenen Person wahrheitsgemäß abzubilden.

5. Persönliche Daten dürfen nicht länger als nötig aufbewahrt werden. Daten sind zu löschen, wenn sie für den Zweck, zu dem sie bezogen oder aufgezeichnet wurden, nicht mehr erforderlich oder maßgeblich sind.

6. Es sind geeignete technische und organisatorische Maßnahmen gegen unbefugte oder unrechtmäßige Verarbeitung personenbezogener Daten sowie gegen ihren unbeabsichtigten Verlust, ihre Zerstörung oder Beschädigung zu ergreifen.

7. Personenbezogene Daten dürfen nicht außerhalb des Landes, aus dem sie hervorgegangen sind, übertragen werden, es sei denn, diese Übertragung entspricht Abschnitt 5 dieser Richtlinie.

8. Die Erhebung von Daten durch betrügerische, unbillige oder illegale Mittel ist verboten.

 

5.3.      Zusätzlich einzuhaltende Bestimmungen, wenn Teleperformance-Unternehmen als Datenverantwortliche handeln

Teleperformance-Unternehmen müssen als Datenverantwortliche folgende Zusatzanforderungen erfüllen:

1. die Melde- oder Registrierungspflicht bei einer entsprechenden Datenschutzbehörde, wenn durch einschlägige lokale Datenschutzgesetzgebung gefordert.

2. Sofern nicht durch Gesetzgebung anders geregelt, muss die Einwilligung zur Verarbeitung personenbezogener Daten durch das Datensubjekt vor der Erhebung, Verarbeitung oder Speicherung von personenbezogenen Daten erteilt werden. Jedes Datensubjekt ist über den Zweck, für den personenbezogene Daten erhoben, gespeichert oder verarbeitet werden, zu informieren.

3. Teleperformance-Unternehmen informieren Datensubjekte über die Identität und Anschrift des Dateninhabers oder seines Vertreters und – sofern zutreffend – die Zwecke der Datenverarbeitung, den Empfänger bzw. die Arten von Datenempfängern, das Recht auf Zugang und Berichtigung, Löschung und Einwände gegen die das Datensubjekt betreffende Daten.

4. Internationale Übermittlung personenbezogener Daten

6.   In diesem Abschnitt werden verschiedene Hypothesen zur Übertragung personenbezogener Daten behandelt:

• a. Übermittlung innerhalb des EWR oder vom EWR in ein freundliches Drittland;

• b. Übermittlung personenbezogener Daten aus dem EWR in ein nicht-freundliches Land;

• c. Grenzüberschreitende Übermittlung (aus einem Land, das nicht zum EWR gehört).

6.1.      Übertragung innerhalb des EWR oder vom EWR in ein freundliches Drittland

Dieser Abschnitt erläutert die Übermittlung personenbezogener Daten, die von Teleperformance im Namen eines Kunden innerhalb des EWR verarbeitet werden, sowie die Übertragung personenbezogener Daten von einem Teleperformance-Unternehmen als Datenverantwortlicher an einen Dritten innerhalb des EWR einschließlich der Übertragung an dritte Teleperformance-Unternehmen. Ein Beispiel könnte die personenbezogenen Daten von Kunden (einzelne Datensubjekte) eines Klienten (der als Datenverantwortlicher handelt) sein, die von Teleperformance (als Datenverarbeiter) in Callcentern in Frankreich, Deutschland und Spanien betreut werden. Personenbezogene Daten können in Spanien von einer Teleperformance-Gesellschaft in Frankreich gesammelt und auf einem Server in Deutschland gespeichert werden. Die Übermittlung personenbezogener Daten von Spanien nach Frankreich und nach Deutschland ist eine Übertragung personenbezogener Daten innerhalb des EWR, da alle beteiligten Länder dem EWR angehören. Die Einwilligung zur Datenübermittlung durch die Datensubjekte ist nicht erforderlich, wenn die Übermittlung personenbezogener Daten (zwischen dem Datenverantwortlichen und dem Datenverarbeiter bzw. zwischen dem im Auftrag des Datenverantwortlichen handelnden Datenverarbeiters und einem dritten Datenverarbeiter) innerhalb der Mitgliedsländer des EWR erfolgt. Die Übermittlung personenbezogener Daten (zwischen dem Datenverantwortlichen und dem Datenverarbeiter bzw. zwischen dem im Auftrag des Datenverantwortlichen handelnden Datenverarbeiters und einem dritten Datenverarbeiter) in ein freundliches Drittland ist zulässig. Die Liste der freundlichen Drittländer ist abrufbar unter: http: //ec.europa.eu/justice/data-protection/international-transfers/index_en.htm. Die Übermittlung personenbezogener Daten in die Vereinigten Staaten von Amerika (USA) ist zulässig, sofern US-Unternehmen das Safe-Harbor-Abkommen zwischen den USA und der EU eingehalten haben.


 6.2.      Übertragung personenbezogener Daten aus dem EWR in ein nicht-freundliches Land

In diesem Abschnitt wird die Übermittlung personenbezogener Daten erläutert, die von einem Teleperformance-Unternehmen oder einem Dienstleister im Auftrag einer Teleperformance-Gesellschaft in einem nicht-freundlichen Land verarbeitet werden sowie der Übermittlung personenbezogener Daten von einem Teleperformance-Unternehmen als Datenverantwortlicher an eine Drittpartei einschließlich dritter Teleperformance-Unternehmen in einem nicht-freundlichen Land. Ein Beispiel könnte die Übermittlung von personenbezogenen Daten durch eine Teleperformance-Gesellschaft in Frankreich an eine Teleperformance-Gesellschaft in den Philippinen sein. Ein weiteres Beispiel könnte ein Teleperformance-Unternehmen sein, das Dienstleistungen von einem Serviceanbieter in Indien bezieht.

In Fällen, in denen personenbezogene Daten in ein nicht-freundliches Land übertragen werden sollen, sind folgenden Grundsätze zu beachten:
a.           Ermitteln Sie, ob das Zielland einen angemessenen Schutz der personenbezogenen Daten gewährt, anhand folgender Faktoren:         

 i.            Umfang der vorhandenen Datenschutzgesetzgebung;   

 ii.            Möglichkeiten, die Einhaltung von Standards in der Praxis sicherzustellen, und          

iii.            Effektive Vorgehensweisen, mit denen Einzelpersonen ihre Rechte durchsetzen und Schadenersatz bei Fehlern geltend machen können.

b. Teleperformance-Unternehmen müssen angemessene Anstrengungen unternehmen, um in ihren Handelsverträgen die einschlägigen Standardvertragsklauseln der Europäischen Kommission einzuführen, die angemessene Absicherung vorsehen im Hinblick auf (i) Datenschutz und (ii) die Grund- und Freiheitsrechte des Einzelnen, die Ausübung dieser Grundrechte und – sofern erforderlich – die vorherige Genehmigung durch die lokale Datenschutzbehörde.

c. Bestimmen Sie, ob die Einwilligung zur Übermittlung personenbezogener Daten durch Datensubjekte erforderlich ist.

6.3.      Grenzüberschreitende Übermittlung personenbezogener Daten

a. Jede Übertragung von personenbezogenen Daten aus einem Land, das nicht zum EWR gehört, in ein anderes Land muss den lokalen Datenschutzgesetzen des Herkunftslandes entsprechen.                

        i.            Es ist erforderlich, die Anforderungen an die Verarbeitung personenbezogener Daten gemäß den jeweiligen lokalen Datenschutzgesetzen zu ermitteln, wie z. B. die Registrierungs- oder Meldepflichten bei lokalen Datenschutzbehörden, die Einholung der Einwilligung des Datensubjektes oder die Einhaltung bestimmter Sicherheitsanforderungen.               

      ii.            Es ist erforderlich zu ermitteln, ob das Empfängerland einen angemessenen Schutz personenbezogener Daten gewährleistet.

b. Teleperformance-Unternehmen müssen bei der Verarbeitung personenbezogener Daten oder Informationen stets die in Abschnitt 4 dieses Dokuments enthaltenen Grundsätze befolgen.

c. In jedem Fall ist durch Teleperformance sicherzustellen, dass die Übertragung oder Verarbeitung personenbezogener Daten mit sorgfältigen und angemessenen Sicherheits- und Schutzvorkehrungen erfolgt. Es ist sicherzustellen, dass die empfangende Organisation oder ein Drittanbieter ein im gleichen Maße angemessenes Schutzniveau gewährleistet.

 

7.   Speicherung von Daten

Die Speicherung personenbezogener Daten durch Teleperformance-Unternehmen hat gemäß folgender Vorgaben zu erfolgen:

a. Die angemessene Dauer, während der personenbezogene Daten gespeichert werden, ist regelmäßig zu überprüfen.

b. Die Datenspeicherung muss dem Zweck bzw. den Zwecken entsprechen, für den/die sie vorgenommen wurde, und ist nicht fortzuführen, nachdem dieser Zweck/diese Zwecke erreicht wurde(n);

c. Alle personenbezogenen Daten müssen auf sichere Weise gelöscht oder anonymisiert werden, um den Schutz vor widerrechtlichen oder ungerechtfertigten Zugriffen zu gewährleisten.

d. Die gespeicherten personenbezogenen Daten müssen fehlerfrei, archiviert und auf dem neuesten Stand sein. Sie müssen sicher gelöscht werden, sobald sie veraltet sind. Das Datensubjekt ist dafür verantwortlich, Teleperformance über Ungenauigkeiten oder Änderungen seiner personenbezogenen Daten zu informieren. Teleperformance wird jedoch wirtschaftlich vertretbare Anstrengungen unternehmen, um den Datenbestand so fehlerfrei und aktuell wie möglich zu halten. Sofern die Teleperformance-Gesellschaft personenbezogene Daten unter ihren Tochtergesellschaften weitergibt, haben diese Tochtergesellschaften einzuwilligen, wie mit personenbezogenen Daten zu verfahren ist, sobald diese Informationen nicht mehr benötigt werden.

8.   Informationssicherheit

a. Teleperformance-Unternehmen haben zu gewährlisten, dass nur autorisierte Personen auf personenbezogene Daten zugreifen, diese ändern, offenlegen oder vernichten können und dass diese Personen ausschließlich im Rahmen ihrer Befugnisse in Bezug auf personenbezogene Daten handeln. Es ist ein System einzurichten, um (i) personenbezogene Daten vor versehentlichem Verlust, Veränderung oder Zerstörung zu schützen und (ii) personenbezogenen Daten wiederherstellen zu können, um Schäden oder Gefahren für betroffene Datensubjekte abzuwenden.

b. Es sind Maßnahmen zum Schutz personenbezogener Daten zu treffen. Diese Schutzmaßnahmen können sich auf die physische Sicherheit oder die Sicherheit des Umfeldes erstrecken (wie z. B. Betriebseinrichtungen, Berechtigungskontrollen bei Arbeitsplatz- und Zugang), die Computersicherheit betreffen (wie Sicherheitsvorrichtungen und Verschlüsselung) oder das Sicherheitsbewusstsein der Mitarbeiter betreffen (wie Neueinstellungen und jährliche Schulungen). Jedes Teleperformance-Unternehmen hat eine Risikobewertung durchzuführen und ist rechenschaftspflichtig in Bezug auf die organisationalen und prozessualen, sowie die Dokumentations- und Richtlinien-Anforderungen.

c. Die Sicherheitsanforderungen der lokalen Datenschutzgesetze können von Land zu Land unterschiedlich sein. IT-Standards haben daher lokalen und vertraglichen Anforderungen zu entsprechen. Datensicherheitsbeauftragte haben daher stets über aktuelle Sicherheitsstandards für personenbezogener Daten informiert zu sein und diese anzuwenden.  

d. Im Falle einer Verletzung des Schutzes personenbezogener Daten haben Teleperformance-Unternehmen einen Maßnahmenplan für Datenschutzverletzungen anzuwenden. Dieser umfasst mindestens Folgendes:              

        i.            Schadensbegrenzung und Wiederherstellung – Teleperformance muss den Vorfall durch Anwendung eines Wiederherstellungsplans lösen und, falls erforderlich, Verfahren zur Schadensbegrenzung anwenden.              

      ii.            Risikobewertung – Teleperformance muss mit dem Vorfall verbundenen Risiken bewerten wie z. B. die Nachteile für Einzelpersonen, die Schwere der Datenschutzverletzung und das Risiko einer Wiederholung.             

    iii.            Benachrichtigung bei Verstößen – Teleperformance muss die von einem Verstoß gegen die Informationssicherheit Betroffenen, die zuständige Datenschutzbehörde und andere einschlägige Beteiligte wie Polizei und Banken informieren.             

     iv.            Prozessbewertung – Es ist eine Untersuchung zur Klärung der Datenschutzverletzung durchzuführen und die Wirksamkeit der durchgeführten Gegenmaßnahmen zu bewerten. Richtlinien und Verfahren sind dabei entsprechend anzuwenden.

9.   Zusammenarbeit mit Datenschutzbehörden

Alle Teleperformance-Unternehmen und ihre Mitarbeiter sind verpflichtet mit zuständigen lokalen Datenschutzbehörden zusammenzuarbeiten und sämtliche Anfragen oder Anforderungen der zuständigen lokalen Datenschutzbehörden sorgfältig und angemessen zu erwidern. Dabei kann es sich beispielsweise um eine Audit-Anfrage oder eine Aufforderung zu einer notwendig erachteten Auditierung eines Teleperformance-Unternehmen handeln oder die Aufforderung, die Weisungen der Datenschutzbehörden in allen Fragen bezüglich der Einhaltung von Standards oder der Einhaltung von Datenschutzgesetzen zu befolgen.

 

10.   Sanktionen

Jeder Mitarbeiter, der gegen diese Richtlinie fahrlässig oder vorsätzlich tatsächlich oder mutmaßlich verstoßen hat oder versucht dagegen zu verstoßen, hat mit arbeitsrechtlichen Konsequenzen gemäß einschlägiger Rechtsvorschriften und im freien Ermessen des Teleperformance-Unternehmens zu rechnen einschließlich der Beendigung des Arbeitsverhältnisses.