Polaris Industries Inc. («Selskapet») respekterer individers personvern og verdsetter konfidensialiteten til selskapets kunder, ansatte og forretningspartnere. Selskapet overholder prinsippene for lovlighet, rettferdighet, åpenhet, begrensning av formål, dataminimalisering, nøyaktighet, lagringsbegrensning, integritet, konfidensialitet, lovligheten av behandling, varsling, valg, videre overføring, sikkerhet, tilgang, korrigering, sletting, portabilitet og håndhevelse som kreves ifølge gjeldende lover, regler og bestemmelser, medregnet GDPR.
Denne personvernerklæringen («Erklæringen») beskriver personvernprinsippene som Selskapet følger.
Denne Erklæringen gjelder personlige data som mottas av Selskapet i et hvilket som helst format, medregnet elektronisk, på papir eller verbalt.
Hvis ikke noe annet er definert i denne Erklæringen, har termer med stor forbokstav betydningene som er angitt i dette dokumentet.
«Agent» betyr en tredjepartsorganisasjon som utfører oppgaver på vegne av og ifølge instruksjoner fra Selskapet.
«Datakontrollør» betyr en naturlig eller juridisk person, en offentlig instans, et byrå eller et annet organ som, alene eller sammen med andre, fastslår formålene og metodene for behandling av personlige data.
«Databehandler» betyr en naturlig eller juridisk person, offentlig instans, et byrå eller et annet organ som besitter personlige data på vegne av Datakontrolløren.
«Datasubjekt» betyr en identifisert eller identifiserbar naturlig person som har personlige data som samles inn og behandles av en datakontrollør eller databehandler.
«DPA-er» er en forkortelse som angir europeiske databeskyttelsesinstanser (Data Protection Authorities).
«FDPIC» betyr den føderale sveitsiske databeskyttelses- og informasjonskommissæren (Federal Data Protection and Information Commissioner).
«GDPR» betyr Generell databeskyttelsesbestemmelse (General Data Protection Regulation); vedtatt i 2016.
«Tredjepart uten agentrolle» betyr en tredjepart som ikke er agent.
«Personlige data» betyr enhver informasjon knyttet til en identifisert eller identifiserbar naturlig person («datasubjekt»). En identifiserbar naturlig person er en person som kan identifiseres, direkte eller indirekte, spesielt ved å referere til en identifikator som for eksempel et navn, et identifikasjonsnummer, plasseringsdata, en online-identifikator eller til en eller flere faktorer som er unike for den naturlige personens fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller sosiale identitet.
«Personvernmyndigheter» betyr DPA-ene, FDPIC og tilsynsmyndigheter.
«Behandling» betyr en operasjon eller et sett av operasjoner som utføres på personlige data eller på sett av personlige data, enten det skjer med automatiserte metoder eller ikke, for eksempel innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, henting, konsultasjon, bruk, avsløring gjennom overføring, spredning eller annen tilgjengeliggjøring, oppstilling eller kombinering, begrensning, sletting eller ødeleggelse.
«Offentlig registerinformasjon» betyr registre som vedlikeholdes av myndighetsorganer eller enheter som er åpne for konsultasjon fra allmenhetens side.
«Følsomme personlige data» betyr personlige data som avslører rasemessig eller etnisk opprinnelse, politiske meninger, religiøse, ideologiske eller filosofiske oppfatninger, medlemskap i fagforeninger eller fagforeningsrelaterte synspunkter eller aktiviteter, seksuell legning eller personlige data som berører medisinsk eller helsemessig tilstand, personlig seksualitet, eller seksualliv, eller personlige data knyttet til trygdeforhold eller administrative eller kriminelle saksforhold, sanksjoner, lovbrudd eller domfellelser i straffesaker. Følsomme personlige data vil også omfatte nasjonale identitetsnumre når gjeldende lov angir uttrykkelig at nasjonale identitetsnumre inngår i denne definisjonen. Selskapet vil behandle all informasjon som følsom når den mottas fra en tredjepart som behandler og identifiserer informasjonen som følsom.
«Tilsynsmyndighet» betyr en uavhengig offentlig myndighet som er opprettet av et medlemsland i EU.
Selskapets personvernprinsipper er:
Når Selskapet samler inn personlige data, vil de behandles på en lovlig, rettferdig og åpen måte overfor datasubjektet.
Når Selskapet samler inn personlige data, vil de samles inn for angitte, eksplisitte og legitime formål og ikke behandles ytterligere på en måte som ikke er kompatibel med disse formålene.
Når Selskapet samler inn personlige data, vil de være adekvate, relevante og begrenset til det som er nødvendig i tilknytning til formålene som dataene behandles for.
Når Selskapet samler inn personlige data, vil de være nøyaktige og, når det er nødvendig, holdes oppdatert. Alle rimelige tiltak vil gjennomføres for å sikre at personlige data som er unøyaktige i forhold til formålene som dataene behandles for, umiddelbart blir slettet eller korrigert.
Når Selskapet samler inn personlige data, vil de oppbevares i en form som tillater identifisering av datasubjekter så lenge det er nødvendig for formålene som de personlige dataene behandles for.
Når Selskapet samler inn personlige data, vil de behandles på en måte som sikrer hensiktsmessig sikkerhet for de personlige dataene, medregnet beskyttelse mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade, ved hjelp av hensiktsmessige tekniske eller organisatoriske tiltak.
All behandling vil utføres på lovlig vis. Selskapet og en Agent eller Tredjepart uten agentrolle vil bare behandle personlige data hvis og i den grad minst ett av følgende gjelder: (1) datasubjektet har gitt sitt samtykke til behandling av personlige data for ett eller flere bestemte formål; (2) behandling er nødvendig for å innfri en kontrakt som datasubjektet er part i, eller for å gjennomføre tiltak på anmodning fra datasubjektet før en kontrakt inngås; (3) behandling er nødvendig for å overholde en juridisk forpliktelse som kontrolløren er underlagt; (4) behandling er nødvendig for å beskytte de vitale interessene til datasubjektet eller en annen naturlig person; (5) behandling er nødvendig for å gjennomføre en oppgave av offentlig interesse eller for å utøve en offisiell myndighet som kontrolleren innehar; og (6) behandling er nødvendig for formålene til de legitime interessene som kontrolløren eller en tredjepart etterstreber, unntatt når slike interesser overstyres av interessene eller de fundamentale rettighetene og frihetene til datasubjektet som krever beskyttelse av personlige data, spesielt når datasubjektet er et barn.
Når Selskapet samler inn personlige data fra enkeltpersoner i EU, EØS eller Sveits, vil det: (1) informere dem om mottakerne av de personlige dataene, (2) informere dem om de er pålagt å svare på spørsmål og om konsekvensene av å unnlate å svare, (3) informere dem om eksistensen av tilgangsrett til, og rett til å korrigere, personenes egne personlige data, (4) informere dem om formålene med å samle inn og bruke personlige data om dem, (5) informere dem om typene Tredjeparter uten agentrolle som Selskapet avslører informasjon til, (6) informere dem om valgene og metodene for begrensning av bruk og avsløring av personlige data om dem, (7) informere dem om hvordan de kan kontakte Selskapet, og (8) innhente deres samtykke på forhånd til slik innsamling. Et varsel vil gis på klart og tydelig språk når individer først blir bedt om å oppgi personlige data til Selskapet, eller så snart det er praktisk gjennomførbart, og i alle tilfeller før Selskapet bruker eller avslører informasjonen for et annet formål enn den opprinnelig ble innsamlet for.
Selskapet vil gi individer mulighet til å samtykke definitivt og eksplisitt (aktivt samtykke) til avsløring av slike persondata og følsomme personlige data til en Tredjepart uten agentrolle, eller til bruk av personlige data eller følsomme personlige data for et annet formål enn informasjonen opprinnelig ble innsamlet for eller som senere ble autorisert av enkeltpersonen.
Selskapet vil tilby enkeltpersoner lett tilgjengelige, rimelige og fornuftige mekanismer for å utøve sine valg. Når det gjelder personlige data om arbeidsforhold, vil Selskapet gjøre rimelige anstrengelser for å tilfredsstille de ansattes personvernpreferanser. Dette kan for eksempel omfatte å begrense tilgang til dataene, anonymisering av visse data, eller tilordning av koder eller pseudonymer når de faktiske navnene ikke er påkrevd for det aktuelle administrative forholdet.
Når selskapet overfører personlige data til en Agent eller Tredjepart uten agentrolle utenfor EU, vil Selskapet inngå en skriftlig avtale med en slik tredjepart som inkorporerer de standard kontraktsmessige klausulene som er innført av EU for formålene å sikre at slike Agenter og Tredjeparter uten agentrolle etablerer og opprettholder adekvate beskyttelsesnivåer for de personlige dataene som overføres til dem.
Selskapet vil gjennomføre rimelige tiltak for å beskytte de personlige dataene i selskapets besittelse mot tap, misbruk, uautorisert tilgang, avsløring, endring og ødeleggelse, og vil iverksette alle praktiske forholdsregler med hensyn til dataenes natur og risikoene som er forbundet med behandling, for å bevare dataenes sikkerhet og, nærmere bestemt, forhindre at de endres og skades eller blir tilgjengelige for ikke-autoriserte tredjeparter. Selskapet har innført tekniske, fysiske og organisatoriske prosedyrer og sikkerhetstiltak beregnet på å beskytte og sikre de personlige dataene mot ødeleggelse, tap, endring, uautorisert tilgang eller avsløring, eller andre former for uautorisert eller ulovlig behandling som står i forhold til risikoene som er forbundet med den bestemte typen behandling, de personlige dataenes natur og i samsvar med gjeldende GDRP og enhver annen lov og gjeldende retningslinjer, hvis noen, offentliggjort av myndigheter som har jurisdiksjon derav, mens det samtidig tas hensyn til kostnaden ved å implementere slike tiltak. Selskapet kan ikke garantere sikkerheten til dine personlige data som finnes på eller overføres via Internett.
Selskapet vil overholde GDPR og andre gjeldende lokale lover, regler og bestemmelser med hensyn til avsløring og varsling av datainnbrudd.
Etter en anmodning som enkeltpersoner kan gjøre ved å fylle ut dette skjemaet [insert link data subject access request form], vil Selskapet gi enkeltpersoner rimelig tilgang til egne personlige data. Slik tilgang vil omfatte: (1) bekreftelse av at personlige data knyttet til ham eller henne behandles eller ikke; (2) formålene med behandlingen; (3) kategoriene av berørte personlige data; (4) mottakerne eller mottakerkategorien som behandling av data har avslørt eller vil avsløre, spesielt mottakere i tredjeland eller internasjonale organisasjoner; (5) hvis det er mulig, den antatte perioden som personlige data vil lagres for, eller, hvis det ikke er mulig, kriteriene som brukes til å fastslå den perioden; (6) eksistensen av rettigheten til å be Selskapet korrigere eller slette personlige data eller begrense behandling av personlige data om datasubjektet eller protestere mot slik behandling; (7) rettigheten til å fremsette en klage til en Tilsynsmyndighet; (8) informasjon om datakilden, hvis dataene ikke stammer direkte fra datasubjektet; (9) om de personlige dataene vil være underlagt automatisert behandling, medregnet profilering og, i dette tilfellet, logikken og de potensielle konsekvensene som er involvert; og (10) hvis dataene overføres til et tredjeland eller en internasjonal organisasjon, informasjon om aktuelle sikringstiltak.
Når det gjelder personlige data om arbeidsforhold, vil Selskapet overholde lokale bestemmelser og sikre at ansatte i EU, EØS og Sveits vil ha tilgang til slik informasjon slik loven krever i deres hjemland, uavhengig av hvor databehandlingen og -lagringen finner sted. Hvis behandling av personlige data om arbeidsforhold finner sted i USA, vil Selskapet samarbeide for å tilby slik tilgang, enten direkte eller gjennom arbeidsgiveren i EU, EØS eller Sveits.
Hvis datasubjektet ber om det, vil de personlige dataene som samles inn av Selskapet, korrigeres og ufullstendige personlige data kompletteres basert på informasjonen som tilbys av datasubjektet. Når det er nødvendig, vil Selskapet gjennomføre tiltak for å validere informasjonen fra datasubjektet for å sikre dens nøyaktighet før endring finner sted.
Hvis datasubjektet ber om det, vil de personlige dataene som samles inn av Selskapet, slettes uten opphør så sant ett av følgende gjelder: (1) de personlige dataene er ikke lenger nødvendige for formålene som de ble innsamlet for; (2) datasubjektet trekker tilbake samtykket og det finnes ingen juridisk grunn til behandling; (3) datasubjektet protesterer mot behandling av de personlige dataene; (4) de personlige dataene er behandlet ulovlig; (5) de personlige dataene må slettes for å overholde en juridisk forpliktelse for Selskapet; eller (6) når de personlige dataene var relevante for datasubjektet som barn.
Hvis datasubjektet ber om det, vil de personlige dataene som samles inn av Selskapet, bli tilbudt dem på en strukturert, vanlig brukt og maskinlesbar måte, eller de personlige dataene vil overføres til en annen part.
Selskapet vil bruke en egenevalueringsmetode for å bekrefte overholdelse av denne Erklæringen og periodisk verifisere at Erklæringen er nøyaktig, komplett for det tiltenkte informasjonsformålet, presentert og implementert godt synlig og tilgjengelig, og i samsvar med denne Erklæringen.
Selskapet oppmuntrer interesserte personer til å ta opp eventuelle problemer ved hjelp av kontaktinformasjonen som finnes i denne Erklæringen. Selskapet vil undersøke og forsøke å løse eventuelle klager og tvister i forbindelse med bruk og avsløring av personlige data i samsvar med denne Erklæringen. Enhver ansatt i Selskapet som Selskapet fastslår har opptrådt i konflikt med denne Erklæringen, vil bli gjenstand for disiplinære forføyninger, eventuelt også oppsigelse av arbeidsforhold.
Selskapet vil (1) vil yte assistanse til datasubjekter i forbindelse med håndhevelse av denne Erklæringen; (2) tilby oppfølgingsprosedyrer for å bekrefte at påstandene som Selskapet har fremsatt om sin personvernpraksis er sannferdige; og (3) løse problemer som oppstår fordi Selskapet unnlater å overholde denne Erklæringen. Når Selskapet er pålagt eller bestemmer seg for å overholde GDPR, eller en annen gjeldende lov eller bestemmelse, i forbindelse med håndhevelse av denne Erklæringen (f.eks. ved klager om et påstått brudd på databeskyttelsesrettighetene til en ansatt i Selskapet i EU, EØS eller Sveits som involverer personlige data knyttet til arbeidsforhold), vil Selskapet innfri sin forpliktelse ifølge klausulene (1) og (3) i dette avsnittet som følger:
(A) Selskapet vil samarbeide med personvernmyndighetene for å utrede og løse klager; og
(B) Selskapet vil overholde råd fra personvernmyndighetene når personvernmyndighetene anser at organisasjonen må gjennomføre spesielle tiltak for å overholde den gjeldende loven, medregnet opprettende eller kompenserende tiltak til fordel for enkeltpersoner som er berørt av manglende samsvar med gjeldende lov, og vil sørge for at personvernmyndighetene mottar skriftlig bekreftelse på at slike tiltak er gjennomført.
I samsvar med denne Erklæringen forplikter Selskapet seg til å løse klager om personvern, innsamling og bruk av personlige data. Selskapet har utnevnt en databeskyttelsesoffiser med ansvar for Selskapets personvernpraksis. Personer med forespørsler eller klager om denne Erklæringen blir oppmuntret til først å kontakte Selskapets databeskyttelsesoffiser via e-post til privacy@polaris.com, eller i vanlig post med adresse DPO – Polaris Sales Europe SARL, Place de l’Industrie 2, 1180 Rolle, Switzerland.
Ved tvister som involverer personlige data om arbeidsforhold mottatt av Selskapet fra EU, EØS eller Sveits, eller der Selskapets ansatte i EU, EØS eller Sveits fremsetter klager om brudd på deres databeskyttelsesrettigheter og ikke er fornøyd med resultatene av Selskapets interne evaluerings-, klage- og ankeprosedyrer (eller en aktuell klageprosedyre ifølge kontrakt med en fagforening), vil de omdirigeres til delstaten eller de nasjonale personvernmyndighetene eller arbeidsmyndighetene i rettsområdet der den ansatte arbeider. Dette omfatter tilfeller hvor den påståtte feilbehandlingen av personlige data har funnet sted i USA, og ansvaret ligger hos USA-organisasjonen som har mottatt informasjonen fra arbeidsgiveren i EU, EØS eller Sveits og derfor involverer et påstått brudd på denne Erklæringen. Selskapet forplikter seg derfor til å samarbeide i utredninger av og respektere rådene fra personvernmyndighetene og arbeidsmyndighetene i EU, EØS og Sveits og andre kompetente myndigheter i slike tilfeller, og å delta i tvisteløsningsprosedyrer i panelet som etableres av personvernmyndighetene, arbeidsmyndighetene og andre relevante myndigheter.
Denne Erklæringen kan endres fra tid til annen i tråd med kravene i gjeldende lov. Et varsel vil posteres av Selskapet på Selskapets nettside www.polaris.com når denne Erklæringen endres.
Selskapet har andre policyer som kan gjelde for personlige data innenfor omfanget av dette. Disse policyene kan avvike fra denne policyen.
Polaris Products Privacy Policy
Spørsmål, kommentarer eller kommunikasjon om denne Erklæringen kan sendes til Selskapet på følgende adresse:
Polaris Sales Europe SARL
Place de l’Industrie 2
1180 Rolle
Switzerland
Attention: Data Protection Officer
Or by e-mail to: privacy@polaris.com