RPM INTERNATIONAL INC. OG DETS DATTER- OG DRIFTSSELSKAPER KUNNGJØRING OM PERSONVERN IHT. SAFE HARBOR-PRINSIPPENE GYLDIG FRA OG MED: 12. august 2015 Denne kunngjøringen beskriver prinsippene som RPM International Inc., og selskapets driftsselskaper, datterselskaper, avdelinger eller grupper i USA (heretter RPM ) følger, med hensyn til overføring av personopplysninger om ansatte (personalopplysninger), samt overføring av personopplysninger om leverandører og kunder, til USA fra medlemsstater i det europeiske økonomiske samarbeidsområde ( EØS ). RPM retter seg etter Safe Harbor-prinsippene for personvern som er fastsatt av det amerikanske handelsdepartementet og omhandler innsamling, bruk og oppbevaring av personopplysninger som stammer fra EØS-landene og Sveits. Selskapet har bekreftet at det er sertifisert etter og overholder Safe Harbor-prinsippene for varsling, valg, videreformidling, sikkerhet, dataintegritet, tilgang og håndhevelse. For mer informasjon om Safe Harbor-programmet og for å se RPMs sertifisering, gå til http://www.export.gov/safeharbor/. Som brukt i kunngjøringen: Personopplysninger om ansatte betyr opplysninger relatert til en identifisert eller identifiserbar arbeidstaker hos RPM som oppbevares som et elektronisk dokument eller i et relevant arkivsystem. Definisjonen omfatter opplysninger som, når de assosieres med en ansatt, kan brukes til å identifisere ham eller henne (for eksempel: adresse, telefonnummer, kjønn, fødselsdato, lønningslister, telefon- og telekommunikasjonsregninger, medarbeiderevalueringer). Anonym informasjon som brukes til statistiske, historiske, vitenskapelige eller andre formål er unntatt. Personopplysninger om leverandører betyr opplysninger relatert til en identifisert eller identifiserbar RPM-leverandør, eller en identifisert eller identifiserbar arbeidstaker hos eller person tilknyttet leverandøren, som oppbevares som et elektronisk dokument eller i et relevant arkivsystem. Definisjonen omfatter opplysninger som, når de assosieres med en leverandør, en arbeidstaker hos eller person tilknyttet leverandøren, kan brukes til å identifisere ham eller henne (f.eks. forretningsadresse, e-postadresse, telefonnummer, kjønn, fødselsdato). Anonym informasjon som brukes til statistiske, historiske, vitenskapelige eller andre formål er unntatt. Personlige opplysninger om kunder betyr opplysninger relatert til en identifisert eller identifiserbar RPM-kunde, eller en identifisert eller identifiserbar arbeidstaker hos eller person tilknyttet kunden, som oppbevares som et elektronisk dokument eller i et relevant arkivsystem. Definisjonen omfatter opplysninger som, når de assosieres med en kunde, en arbeidstaker hos eller person tilknyttet kunden, kan brukes til å identifisere ham eller henne (f.eks. forretningsadresse, e-postadresse, telefonnummer, kjønn, fødselsdato). Anonym informasjon som brukes til statistiske, historiske, vitenskapelige eller andre formål er unntatt. Sensitiv informasjon om ansatte er personopplysninger om ansatte som omfatter helsejournaler, eller identifisering av rase eller etnisk opprinnelse, politiske meninger, religiøs eller filosofisk overbevisning, fagforeningsmedlemskap eller sexliv. {00667695.DOC;1 }COI-1400422v1
Agent betyr enhver tredjepart som benytter de personopplysningene om ansatte som RPM har formidlet, for å utføre oppgaver på vegne og under instruksjoner av RPM. OMFANG Denne kunngjøringen gjelder for all overføring av personopplysninger som RPM har om sine ansatte, leverandører eller kunder, til USA fra steder innen EØS, uansett format (herunder elektronisk, på papir eller verbalt) eller overføringsmedium (tele- eller datalinjer, eller på papir), og uansett om de er gitt av ansatte, leverandører eller kunder, generert av RPM og selskapets driftsselskaper, eller for øvrig gitt av agenter eller tredjeparter. INNSAMLING, BRUK OG OPPBEVARING AV PERSONOPPLYSNINGER RPM samler inn, bruker og oppbevarer personopplysninger om ansatte, leverandører og kunder kun dersom slik informasjon er nødvendig og hensiktsmessig for legitime forretnings- og juridiske formål. Når RPM samler inn personopplysninger om en ansatt, leverandør eller kunde direkte fra personer i EØS, vil selskapet forsøke å informere dem om til hvilke formål det samler inn og bruker personopplysningene om dem, hvilke typer tredjeparter RPM offentliggjør opplysningene til som ikke er agenter, samt hvilke valg og midler RPM tilbyr for å begrense bruken og utleveringen av opplysningene. RPM vil bestrebe seg på å bruke et klart og tydelig språk i kunngjøringen når den enkelte for første gang blir bedt om å gi slike opplysninger til RPM eller så snart som mulig etter det, og i alle tilfeller før RPM bruker opplysningene til andre formål enn det de opprinnelig ble samlet inn for. Når RPM mottar personopplysninger om ansatte, leverandører eller kunder fra sine datterselskaper, tilknyttede selskaper, agenter og andre enheter innen EØS, vil selskapet bruke slike opplysninger i henhold til kunngjøringene som er gitt av slike enheter og valgene som er gjort av personene som opplysningene gjelder for. Personopplysninger om den enkelte ansatte, leverandør og kunde blir brukt av og delt mellom RPMs divisjoner, datterselskaper og tilknyttede selskaper, agenter (f.eks. IT- og andre profesjonelle og ikke-profesjonelle tjenester, sponsorer for forsikringsordninger og administratorer, osv.), aktuelle statlige organisasjoner og etater, samt tredjeparter, som tillatt eller påkrevd ved lov, forskrift eller rettskjennelse. Bruk av opplysninger om ansatte kan omfatte: Kommunikasjon med og kunngjøringer for ledere og ansatte Vedlikehold av personalia, curriculum vitae og lignende informasjon for ledere og ansatte Nødnummer og -adresser Antall ansatte på verdensbasis og demografi Ansvarsforsikring for styremedlemmer og ledere Etablering av bankkonti for datterselskaper Planlegging og levering av helsetjenester, herunder narkotikatesting, behandling av uføreforsikring, eller andre lignende programmer for helse og sikkerhet {00667695.DOC;1 }COI-1400422v1-2 -
Karriereutvikling og avansement Bemanningsplanlegging Etterfølgerplanlegging Lønn og frynsegoder Etablering og administrasjon av ytelser og forsikringsordninger for ansatte Belønninger og anerkjennelse Refusjon av reise- og representasjonsutgifter, herunder reiseog/eller kredittkortadministrasjon Opplæring: Relokalisering Skatterapportering og -trekk Lønnsadministrasjon, herunder fradrag, bidrag, osv. Industrielle relasjoner, herunder klagebehandling Hjelp til innlogging, bruk av datamaskin og nettsider Risikovurdering, måling og begrensning av risiko Personlig sikkerhet, herunder adgangskontroll og sikkerhet for datasystemer og andre systemer Rapportering og statistiske analyser Relaterte personaltransaksjoner Lov- og forskriftsbestemt rapportering og andre krav, herunder rapportering og administrasjon av arbeidsmiljø, helse og sikkerhet Visum, lisenser og andre tillatelser som gir arbeidstillatelse Import- og eksportkontroller Interne og eksterne granskinger, herunder gjennomgang av forretningspraksiser, overvåking av Internett, intranett, e-post og annet elektronisk tilsyn, samt forespørsler fra politi og andre offentlige henvendelser Forretningsplanlegging, herunder gjennomføring av fusjoner, oppkjøp og avhendelser, og Registrering/innlevering av informasjon om styremedlemmer og ledere til ulike offentlige etater. Bruk av opplysninger om leverandører eller kunder kan omfatte: Markedsføring av produkter Opplæring Garantibehandling og behandling av forsikringskrav Hjelp til innlogging, bruk av datamaskin og nettsider Regnskap, administrasjon og rapportering knyttet til forsyningskjeden Fakturering og betaling Kundeservice og produktrådgivning Risikovurdering, måling og begrensning av risiko {00667695.DOC;1 }COI-1400422v1-3 -
VALG RPM bestreber seg på å gi personer, enten de er ansatte, leverandører eller kunder, muligheten til å velge (opt-out) om de ønsker at personopplysningene deres skal kunne (a) overføres til en tredjepart som ikke er agent eller (b) benyttes til andre formål enn det formålet som de opprinnelig ble samlet inn eller senere godkjent for. RPM kan av og til komme til å informere ansatte, leverandører og kunder om tilgjengelige tilbud fra utvalgte tredjeparter som ikke er agenter. RPM bestreber seg imidlertid på å sikre at personopplysningene om den ansatte, leverandøren eller kunden ikke overføres til slike parter uten den ansattes samtykke. For sensitive personopplysninger bestreber RPM seg på å gi personer muligheten til å gi et bekreftende og eksplisitt samtykke (opt-in) før (a) opplysningene offentliggjøres til en tredjepart som ikke er agent, eller (b) opplysningene brukes til et annet formål enn det de opprinnelig ble samlet inn eller senere godkjent for. Personer som velger å samtykke (opt-in) vil motta informasjon om prosessen som skal følges for å benytte dette valget. DATAINTEGRITET RPM vil bruke personopplysninger om ansatte, leverandører og kunder på måter som er forenlig med de formål som de ble samlet inn eller senere godkjent for. RPM vil ta rimelige forholdsregler for å sikre at personopplysningene er relevante for den tiltenkte bruken, at de er nøyaktige, fullstendige og oppdatert. OVERFØRING TIL AGENTER RPM bestreber seg på å få forsikringer fra sine agenter om at de vil ivareta personopplysningene til de ansatte, leverandører eller kunder i overensstemmelse med denne kunngjøringen. I tilfeller hvor RPM har kunnskap om at en agent bruker eller offentliggjør personopplysninger om ansatte, leverandører eller kunder på en måte som er i strid med denne kunngjøringen, vil RPM bestrebe seg på å treffe rimelige tiltak for å forhindre eller stoppe bruken eller offentliggjøringen. TILGANG OG KORRIGERING På forespørsel vil RPM gi ansatte, leverandører eller kunder tilgang til personopplysninger innenfor det som anses som rimelig. I tillegg vil RPM gjennomføre rimelige tiltak for å gi personer tilgang til å korrigere, endre eller slette opplysninger som er dokumentert å være uriktig eller ufullstendig. SIKKERHET RPM vil gjøre sitt beste for å ivareta sikkerheten og integriteten til de ansattes, leverandørenes eller kundenes personopplysninger, uansett om de er gitt av ansatte, generert av RPM og dets driftsselskaper, eller for øvrig gitt av agenter eller tredjeparter. RPM vil ta rimelige forholdsregler for å beskytte personopplysninger selskapet har i sin besittelse fra tap, misbruk og uautorisert adgang, offentliggjøring, endring eller ødeleggelse. Personinformasjon om ansatte gjøres kun tilgjengelig internt i RPM til de personer som har et forretningsmessig behov for innsyn. {00667695.DOC;1 }COI-1400422v1-4 -
HÅNDHEVELSE RPM bestreber seg på å gjennomføre sikkerhetsvurderinger i form av periodiske revisjoner, eller spørreundersøkelser av personalledere, innkjøps- og kundeserviceledere og andre som håndterer de ansattes, leverandørenes eller kundenes personopplysninger. Dette for å bekrefte at denne kunngjøringen følges og for å støtte årlige Safe Harbor-samsvarsertifiseringer til U.S. Department of Commerce. Enhver ansatt som handler i strid med denne kunngjøringen er gjenstand for disiplinære tiltak, opp til og inkludert oppsigelse. KONTAKTINFORMASJON OG KONFLIKTLØSNING Eventuelle spørsmål eller bekymringer vedrørende denne kunngjøringen og bruken av denne skal rettes til RPMs juridiske direktør, på adressen nedenfor. RPM vil granske og forsøke å løse spørsmål, klager og tvister i samsvar med prinsippene i denne kunngjøringen. For klager som ikke kan løses av RPM, vil RPM samarbeide med europeiske myndigheter for datavern om å løse tvistene. RPM vil følge bestemte handlinger pålagt av myndighetene for datavern når det er nødvendig for å overholde Safe Harbor-prinsippene. Spørsmål eller kommentarer vedrørende denne kunngjøringen kan sendes til RPMs juridiske direktør, Edward W. Moore, via vanlig post eller e-post som følger: RPM International Inc. Attn: Edward W. Moore, General Counsel 2628 Pearl Road, PO Box 777 Medina, Ohio 44258, USA emoore@rpminc.com ENDRINGER TIL DENNE KUNNGJØRINGEN Denne kunngjøringen kan bli endret fra tid til annen ved behov for at den skal være i samsvar med Safe Harbor-prinsippene. Kunngjøringer om slike endringer vil bli offentliggjort som hensiktsmessig. {00667695.DOC;1 }COI-1400422v1-5 -