RPM INTERNATIONAL INC. OCH DESS DOTTERFÖRETAG OCH DRIFTSFÖRETAG SAFE HARBOR SEKRETESSMEDDELANDE GÄLLER FRÅN OCH MED: 12 augusti 2015 Detta meddelande lägger fram de principer som efterföljs av RPM International Inc., och dess driftsföretag, dotterföretag, divisioner eller grupper belägna i USA (härefter RPM ) med avseende på överföringar av personuppgifter om anställda (personaldata) och överföring av personuppgifter om leverantörer och kunder till USA från platser inom medlemstaterna i det Europeiska ekonomiska samarbetsområdet ( EEA ). RPM efterföljer USA:s handelsdepartements Safe Harbor-principer avseende insamlingen, användningen och lagringen av personuppgifter från Schweiz och EU:s medlemsländer. RPM har intygat att det följer Safe Harbor-principerna avseende meddelande, val, vidarebefordring, säkerhet, dataintegritet, åtkomst och upprätthållande. För att få veta mer om Safe Harbor-prorammet, och granska RPM:s certifiering, se http://www.export.gov/safeharbor/. Så som det tillämpas i meddelandet: Personuppgifter om anställd betyder data relaterad till en identifierad eller identifierbar anställd hos RPM som lagras som ett elektroniskt register eller i ett relevant arkivsystem. Definitionen omfattar information som, när den förknippas med en anställd, kan användas för att identifiera honom eller henne (till exempel: adress, telefonnummer, kön, födelsedatum, lönelistor, telefon- och telekommunikationsregister, prestationsutvärderingar). Anonym information som används för statistiska, historiska och vetenskapliga eller andra syften är exkluderad. Personuppgifter om leverantör betyder data angående en identifierad eller identifierbar leverantör eller en identifierad eller identifierbar anställd eller medarbetare hos en leverantör till RPM, som lagras i ett elektroniskt register eller i ett relevant arkivsystem. Definitionen omfattar information som, när förknippad till en leverantör eller en anställd eller medarbetare hos en leverantör, kan användas för att identifiera honom eller henne (till exempel: företagsadress, telefonnummer, kön, födelsedatum). Utesluten är information som är anonym och används för statistiska, historiska och vetenskapliga eller andra ändamål. Kundens personuppgifter betyder data angående en identifierad eller identifierbar kund eller en identifierad eller identifierbar anställd eller medarbetare hos en kund till RPM som lagras i ett elektroniskt register eller i ett relevant arkivsystem. Definitionen omfattar information som när den förknippas till en kund eller en anställd eller medarbetare hos en kund kan användas för att identifiera honom eller henne (till exempel: företagsadress, telefonnummer, kön, födelsedatum). Utesluten är information som är anonym och används för statistiska, historiska och vetenskapliga eller andra ändamål. Känslig information om anställda är personuppgifter om anställda som utgör anställds patientjournal eller identifierar ras eller etniskt ursprung, politiska åsikter, religiösa eller filosofiska trosföreställningar, fackföreningsmedlemskap eller sexliv. {00667695.DOC;1 }COI-1400422v1
Agent betyder alla tredje parter som använder personuppgifter om anställda tillhandahållen av RPM för att utföra uppgifter å RPM:s vägnar och enligt dess instruktioner. OMFATTNING Detta meddelande gäller för alla personuppgifter om leverantörer eller kunder som innehas av och överförs av RPM i alla format (inklusive elektroniskt, skriftligt eller verbalt) till USA från platser inom EEA, vare sig det är via telekommunikationslinjer, datorlinjer eller som hårdkopior; och oavsett om den tillhandahålls av anställda, leverantörer eller kunder, skapade av RPM och dess driftsföretag eller på annat sätt tillhandahållna av agenter eller tredje parter. INSAMLING, ANVÄNDNING OCH LAGRING AV PERSONUPPGIFTER RPM samlar in, använder och lagrar personuppgifter om anställda, leverantörer och kunder endast om sådan information är nödvändig och lämplig för legitima verksamhets- och juridiska syften. När RPM samlar in personuppgifter om anställda, leverantörer eller kunder direkt från individer inom EEA, så skall det eftersträva att informera dem om de syften för vilka de samlar in och använder personuppgifter om dem för, typerna av icke-agent tredje parter för vilka RPM yppar denna information och de alternativ och sätt som RPM erbjuder för att begränsa dess användning och yppande. RPM eftersträvar att tillhandahålla meddelande på ett klart och tydligt språk när individer först ombes tillhandahålla sådan information till RPM, eller så snart som är praktiskt möjligt därefter, och under alla omständigheter innan RPM använder informationen i ett syfte annat än det som det ursprungligen samlades in för. När RPM mottar personuppgifter om anställda, leverantörer och kunder från dess dotterföretag, partners, agenter och andra enheter inom EEA, så kommer det att använda sådan information i enlighet med de meddelanden som tillhandahållits av sådana enheter och valen som gjorts av de individer som sådan information är kopplad till. Personuppgifter om individuella anställda, leverantörer eller kunder används och delas av RPM:s divisioner, dotterföretag och partners, agenter (t.ex. IT och andra professionella och ickeprofessionella tjänster, sponsorer av förmånsplaner och administratörer, etc.), tillämpliga statliga organisationer och byråer, och tredje parter så som tillåtet eller erfordrat enligt lagar, föreskrifter eller domstolsbeslut. Nyttjanden av personuppgifter om anställda kan omfatta: Kommunikationer och meddelanden för ledning och anställda; Upprätthållande av biografier för chefer och anställda, curriculum vitae och annan liknande information; Ansvarsförsäkring för direktörer och chefer; Upprättande av bankkonton för {00667695.DOC;1 }COI-1400422v1-2 -
Nödfallskontakter; Antal anställda i företaget globalt och demografi; Karriärsutveckling och framsteg; Bemanningsplanering; Successionsplanering; Kompensation och förmåner; Etablering och administration av förmåner och förmånsplaner för anställda; Priser och erkännanden; Ersättning för resor och utgifter, inklusive administration av resor och/eller kreditkort; Utbildning; Omplacering; Rapportering och innehållande av skatt Löneadministration, inklusive avdrag, bidrag, etc.; Branschrelationer, inklusive klagomålsprocedurer; Inloggnings-, dator- och webbplatsbistånd Riskbedömning, mätning och begränsning dotterbolag; Planering och tillhandahållande av hälsooch sjukvårdstjänster, inklusive drogscreening, behandling av kompensation till anställda eller liknande hälso- och säkerhetsprogram; Personlig säkerhet, inklusive åtkomstkontroller och säkerhet för datorer och andra system; Rapportering och statistisk analys; Förknippade personaltransaktioner; Juridisk och tillsynsrapportering och andra krav, inklusive arbetsmiljö, hälsooch säkerhetsrapportering och administration; Visum, licenser och andra auktoriseringar för tillstånd att arbeta; Import- och exportkontroller; Interna och externa undersökningar, inklusive granskningar av affärsrutiner; internet, intranät, e-post och annan elektronisk övervakning; rättskipning och andra statliga förfrågningar; Verksamhetsplanering, inklusive handläggning av fusioner, förvärv och avyttringar; och Registrering/arkivering av information om chefer och tjänstemän vid diverse olika statliga myndigheter. Nyttjanden av personuppgifter om leverantörer eller kunder kan omfatta: Marknadsföring av produkter Utbildning Bearbetning av garanti- och försäkringsskadebegäran Inloggnings-, dator- och webbplatsbistånd Redovisning, hantering och rapportering avseende leveranskedja Fakturering och betalningar Kundservice och produkt-bistånd Riskbedömning, mätning och begränsning {00667695.DOC;1 }COI-1400422v1-3 -
ALTERNATIV RPM eftersträvar att erbjuda individer möjligheten av välja (neka till) huruvida deras personliga information om anställda, leverantörer eller kunder får (a) yppas till en icke-agent tredje part, eller (b) användas i ett syfte annat än det syfte för vilket det ursprungligen samlades in eller senare auktoriserades. RPM kan då och då informera anställda, leverantörer och kunder om tillgängliga erbjudanden från utvalda icke-agent tredje parter; men RPM eftersträvar att säkerställa att personuppgifter om anställda, leverantörer och kunder inte överförs till sådana parter utan den anställdes medgivande. För känsliga personuppgifter, eftersträvar RPM att ge individer möjligheten att aktivt och uttryckligen ge sitt medgivande (säga ja) före (a) yppande av informationen till en icke-agent tredje part, eller (b) användning av informationen i ett syfte annat än det som det ursprungligen samlades in eller senare auktoriserades för. Individer som väljer att säga ja kommer att meddelas om proceduren som skall följas när detta val görs. DATA INTEGRITET RPM kommer att använda personuppgifter om anställda, leverantörer och kunder endast på sätt som överensstämmer med de syften som den samlades in eller senare auktoriserades för. RPM kommer att vidta skäliga åtgärder för att säkerställa att personuppgifter är relevant för dess avsedda användning, korrekt, fullständig och uppdaterad. ÖVERFÖRINGAR TILL OMBUD RPM eftersträvar att erhålla försäkringar från dess ombud att de kommer att skydda personuppgifter om anställda, leverantörer eller kunder i enlighet med detta meddelande. När RPM har vetskap om att en agent använder eller yppar personuppgifter om anställda, leverantörer eller kunder på ett sätt som strider mot detta meddelande, så kommer RPM att eftersträva att vidta skäliga steg för att förhindra eller stoppa användningen eller yppandet. ÅTKOMST OCH KORRIGERING På begäran så kommer RPM att ge individer skälig åtkomst till deras personliga information om anställda, leverantörer eller kunder. Dessutom kommer RPM att vidta skäliga steg för att låta individer korrigera, ändra eller ta bort information som har visat sig vara inkorrekt eller ofullständig. SÄKERHET RPM kommer att göra sitt bästa för att säkerställa säkerheten och integriteten för personuppgifter om anställda, leverantörer och kunder, vare sig den tillhandahållits av anställda, skapats av RPM och dess driftsföretag, eller på annat sätt tillhandahållits av agenter eller tredje parter. RPM kommer att vidta skäliga försiktighetsåtgärder för att förhindra att personuppgifter i dess ägo tappas bort, missbrukas eller tillgås, yppas, ändras eller förstörs utan tillstånd. {00667695.DOC;1 }COI-1400422v1-4 -
Personuppgifter om anställda görs tillgänglig inom RPM endast till de personer som har ett behov att känna till i affärssyften. UPPRÄTTHÅLLANDE RPM eftersträvar att genomföra försäkringsgranskningar i form av regelbundna revisioner eller undersökningar av personal-, upphandling och kundservice chefer och andra som hanterar personuppgifter om anställda, leverantörer eller kunder. Detta för att verifiera efterlevnad av detta meddelande och för att stödja årliga Safe Harbor-efterlevnadscertifieringar för USA:s handelsdepartement. Alla anställda som bryter mot detta meddelande är föremål för disciplinära åtgärder, inklusive uppsägning av anställning. KONTAKTINFORMATION OCH TVISTLÖSNING Alla frågor eller farhågor angående detta meddelande och dess tillämpning skall riktas till RPM:s chefsjurist på nedanstående adress. RPM kommer att undersöka och försöka lösa frågor, klagomål och tvister i enlighet med principerna i detta meddelande. För klagomål som inte kan lösas av RPM, så kommer RPM att samarbeta med de Europeiska dataskyddsmyndigheterna för att lösa tvister. RPM kommer att följa specifika åtgärder som beordras av dataskyddsmyndigheterna då detta är nödvändigt för att efterleva Safe Harbor-principerna. Frågor eller kommentarer angående detta meddelande kan inlämnas till RPM:s chefsjurist, Edward W. Moore, via vanlig post eller e-post enligt följande: RPM International Inc. Attn: Edward W. Moore, General Counsel 2628 Pearl Road, P.O. Box 777 Medina, Ohio 44258 emoore@rpminc.com ÄNDRINGAR AV DETTA MEDDELANDE Detta meddelande får ändras från tid till annan enligt behov för att uppfylla Safe Harborprinciperna. Lämplig offentlig kungörelse kommer att utfärdas angående sådana ändringar. {00667695.DOC;1 }COI-1400422v1-5 -