preloader
Get In Touch
Hydro Extrusion Offenburg GmbH
Industriestraße 10
77656 Offenburg
Dein Ansprechpartner
Sarah Paulus
sarah.paulus@hydro.com
M: +49 (0) 174 1876147
Back

Impressum / Datenschutz / AGBs

Impressum

Hydro Holding Offenburg GmbH
Industriestraße 10
77656 Offenburg

Geschäftsführung
Tor Gule, Jacques Podszun, Sacha Brandt

Sitz der Gesellschaft
Offenburg

Registergericht
Amtsgericht Freiburg i. Br. HRB 711898

Umsatzsteuer-ID:
DE 265508860

Ansprechpartner
Hubert Ronecker

Bei Anfragen, sowohl zur Website als auch zum Unternehmen, wenden Sie sich bitte per Mail an info.offenburg@hydro.com oder telefonisch an die Nummer +49 (0) 781 5060.

Redaktion
Hydro Extrusion Deutschland GmbH
Kati Forkert
Am Wasserwerk 1
04519 Rackwitz
Deutschland

Texte: Anna Spiess 

Bei Anfragen zur Website wenden Sie sich bitte per Mail an extrusion.dach@hydro.com.

Aktualisiert: August 27, 2021

Datenschutzerklärung

Datenschutzerklärung

Im Folgenden informieren wir über die Erhebung personenbezogener Daten bei Nutzung unserer Website. Personenbezogene Daten sind alle Daten, die auf Sie persönlich beziehbar sind, z. B. Name, Adresse, E-Mail-Adressen, Nutzerverhalten. Wir haben umfangreiche technische und betriebliche Schutzvorkehrungen getroffen, um Ihre Daten vor zufälligen oder vorsätzlichen Manipulationen, Verlust, Zerstörung oder dem Zugriff unberechtigter Personen zu schützen. Unsere Sicherheitsverfahren werden regelmäßig überprüft und dem technologischen Fortschritt angepasst.

1. Verantwortlicher für die Datenverarbeitung
Verantwortlicher gem. Art. 4 Abs. 7 DSGVO ist:
Hydro Extrusion Offenburg GmbH
Industriestraße 10
77656 Offenburg
(siehe unser Impressum)

2. Kontaktmöglichkeit des Datenschutzbeauftragten
Unseren Datenschutzbeauftragten erreichen Sie unter:
Herr Maximilian Mertin
c/o intersoft consulting services AG
Beim Strohhause 17
20097 Hamburg
mmertin@intersoft-consulting.de

3. Zweck und Rechtsgrundlage für die Verarbeitung
Persönliche Daten werden nur dann erhoben, wenn Sie uns diese von sich aus mitteilen, wie z.B beim Abschluss einer Versicherung über unsere Website oder beim Ausfüllen des Kontaktformulars. Wir verwenden diese Daten ausschließlich für den Zweck, für den Sie Ihre Daten eingegeben haben. Für andere Zwecke erfolgt eine Verwendung nur nach ausdrücklichem Hinweis bzw. nach Einholung Ihrer Einwilligung, Art. 6 Abs. 1 lit. a) DSGVO. In bestimmten Fällen werden personenbezogene Daten aufgrund eines berechtigten Interesses nach Art. 6 Abs. 1 lit. f) DSGVO (siehe Ziffer 4).

4. Verarbeitung aufgrund eines berechtigte Interesses nach Art. 6 Abs. 1 lit. f) DSGVO
Eine Verarbeitung von personenbezogenen Daten auf der Basis des Art. 6 Abs. 1 lit. f) DSGVO findet in folgenden Fällen statt:


4.1. Erhebung von personenbezogenen Daten bei Besuch unserer Website
Bei der bloß informatorischen Nutzung der Website erheben wir nur die personenbezogenen Daten, die Ihr Browser an unseren Server übermittelt. Wenn Sie unsere Website betrachten möchten, erheben wir die folgenden Daten, die für uns technisch erforderlich sind, um Ihnen unsere Website anzuzeigen und die Stabilität und Sicherheit zu gewährleisten:
• Browsertyp und Browserversion
• verwendetes Betriebssystem
• Referrer URL
• Hostname des zugreifenden Rechners
• Uhrzeit der Serveranfrage
• IP-Adresse
Das berechtigte Interesse liegt in der einwandfreien Darstellung seiner Internetpräsenz sowie der Gewährleistung von Stabilität und Sicherheit unserer Website.


4.2. Einsatz von Cookies
Was sind Cookies? Cookies sind Daten, die von einer Website, die Sie besuchen, auf Ihrem Rechner hinterlegt werden und eine erneute Zuordnung Ihres Browsers ermöglichen. Durch Cookies werden der Stelle, die den Cookie einsetzt, Informationen übermittelt. Cookies können verschiedene Informationen speichern, wie beispielsweise Ihre Spracheinstellung, die Besuchsdauer auf unserer Website oder Ihre dort getroffenen Eingaben. Dadurch wird z.B. vermieden, dass Sie bei jeder Nutzung erforderliche Formulardaten erneut eingegeben müssen. Die in Cookies gespeicherten Informationen können auch dazu genutzt werden, Präferenzen zu erkennen und Inhalte nach Interessengebieten auszurichten.
Es gibt verschiedene Arten von Cookies: Session-Cookies sind Datenmengen, die nur vorübergehend im Arbeitsspeicher vorgehalten und gelöscht werden, wenn Sie Ihren Browser schließen. Dauerhafte oder persistente Cookies werden automatisiert nach einer vorgegebenen Dauer gelöscht, die sich je nach Cookie unterscheiden kann. Die Informationen können bei dieser Art Cookies auch in Textdateien auf Ihrem Rechner gespeichert werden. Sie können jedoch auch diese Cookies über die Einstellungen Ihres Browsers jederzeit löschen.
Erstanbieter-Cookies werden von der Webseite gesetzt, die Sie gerade besuchen. Nur diese Webseite darf Informationen aus diesen Cookies lesen. Drittanbieter-Cookies werden von Organisationen gesetzt, die nicht Betreiber der Webseite sind, die Sie besuchen. Diese Cookies werden zum Beispiel von Marketing-Unternehmen verwendet.
Die Rechtsgrundlagen für mögliche Verarbeitungen personenbezogener Daten mittels Cookies und deren Speicherdauer können variieren. Soweit Sie uns eine Einwilligung erteilt haben, ist Rechtsgrundlage Art. 6 Abs. 1 lit. a) DSGVO. Soweit die Datenverarbeitung auf der Grundlage unserer überwiegenden berechtigten Interessen erfolgt, ist Rechtsgrundlage Art. 6 Abs. 1 lit. f) DSGVO. Der angegebene Zweck entspricht dann unserem berechtigten Interesse.
Wir verwenden Cookies um den ordnungsgemäßen Betrieb der Website sicherzustellen, zur Bereitstellung grundlegender Funktionalitäten, zur Reichweitenmessung und - mit Ihrer Einwilligung - um unsere Services auf bevorzugte Interessengebiete zuzuschneiden. Dafür nutzen wir sowohl transiente Cookies also auch persistente Cookies
Sie können bereits auf Ihrem Endgerät gespeicherte Cookies jederzeit löschen. Wenn Sie das Speichern von Cookies verhindern wollen, können Sie dies über die Einstellungen in Ihrem Internetbrowser. Eine Anleitung für gängige Browser finden Sie hier: Internet Explorer, Firefox, Google Chrome, Google Chrome mobile, Microsoft Edge, Safari, Safari mobile. Alternativ können Sie auch sogenannte Ad-Blocker installieren. Bitte beachten Sie, dass einzelne Funktionen unserer Website möglicherweise nicht funktionieren, wenn Sie die Verwendung von Cookies deaktiviert haben.


4.3. Webseitenanalyse
Für Zwecke der Analyse und Optimierung unserer Webseiten verwenden wir verschiedene Dienste, die im Folgenden dargestellt werden. So können wir z.B. analysieren, wie viele Nutzer unsere Seite besuchen, welche Informationen am gefragtesten sind oder wie Nutzer das Angebot auffinden. Wir erfassen unter anderem Daten darüber, von welcher Internetseite eine betroffene Person auf eine Internetseite gekommen ist (sogenannter Referrer), auf welche Unterseiten der Internetseite zugegriffen oder wie oft und für welche Verweildauer eine Unterseite betrachtet wurde. Dies hilft uns, unsere Angebote nutzerfreundlich auszugestalten und zu verbessern. Die dabei erhobenen Daten dienen nicht dazu, einzelne Benutzer persönlich zu identifizieren.
Google Universal Analytics
Soweit Sie Ihre Einwilligung erklärt haben, nutzt Hydro Google Analytics, ein Webanalysedienst der Google LLC. Zuständiger Dienstanbieter in der EU ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland („Google“).

Google Analytics verwendet Cookies, die eine Analyse der Benutzung unserer Webseiten durch Sie ermöglichen. Die mittels der Cookies erhobenen Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert.

Wir nutzen die Funktion User-ID. Mithilfe der User ID können wir einer oder mehreren Sitzungen (und den Aktivitäten innerhalb dieser Sitzungen) eine eindeutige, dauerhafte ID zuweisen und Nutzerverhalten geräteübergreifend analysieren.

Wir nutzen Google Signale. Damit werden in Google Analytics zusätzliche Informationen zu Nutzern erfasst, die personalisierte Anzeigen aktiviert haben (Interessen und demographische Daten) und Anzeigen können in geräteübergreifenden Remarketing-Kampagnen an diese Nutzer ausgeliefert werden.
Wir nutzen die Funktion ‘anonymizeIP’ (sog. IP-Masking): Aufgrund der Aktivierung der IP-Anonymisierung auf dieser Webseite wird Ihre IP-Adresse von Google innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt.
Während Ihres Website-Besuchs werden u.a. folgende Daten erfasst:
• die von Ihnen aufgerufenen Seiten, Ihr „Klickpfad“
• Erreichung von „Website-Zielen“ (Conversions, z.B. Newsletter-Anmeldungen, Downloads)
• Ihr Nutzerverhalten (beispielsweise Klicks, Verweildauer, Absprungraten)
• Ihr ungefährer Standort (Region)
• Ihre IP-Adresse (in gekürzter Form)
• technische Informationen zu Ihrem Browser und den von Ihnen genutzten Endgeräten (z.B. Spracheinstellung, Bildschirmauflösung)
• Ihr Internetanbieter
• die Referrer-URL (über welche Website/ über welches Werbemittel Sie auf diese Website gekommen sind)
Zwecke der Verarbeitung
Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre (pseudonyme [NICHT BEI NUTZUNG VON USER-ID]) Nutzung der Website auszuwerten und um Reports über die Website-Aktivitäten zusammenzustellen. Die durch Google Analytics bereitgestellten Reports dienen der Analyse der Leistung unserer Website und des Erfolgs unserer Marketing-Kampagnen.
Empfänger
Empfänger der Daten ist Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland als Auftragsverarbeiter. Hierfür haben wir mit Google einen Auftragsverarbeitungsvertrag abgeschlossen. Die Google LLC mit Sitz in Kalifornien, USA, und ggf. US-amerikanische Behörden können auf die bei Google gespeicherten Daten zugreifen.
Speicherdauer
Die von uns gesendeten und mit Cookies verknüpften Daten werden nach 14 Monaten automatisch gelöscht. Die Löschung von Daten, deren Aufbewahrungsdauer erreicht ist, erfolgt automatisch einmal im Monat.
Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem Sie
a. Ihre Einwilligung in das Setzen des Cookies nicht erteilen oder
b. das Browser-Add-on zur Deaktivierung von Google Analytics HIER herunterladen und installieren.
Sie können die Speicherung von Cookies auch durch eine entsprechende Einstellung Ihrer Browser-Software verhindern. Wenn Sie Ihren Browser so konfigurieren, dass alle Cookies abgelehnt werden, kann es jedoch zu Einschränkung von Funktionalitäten auf dieser und anderen Websites kommen.

Um die Erfassung durch Universal Analytics über verschiedene Geräte hinweg zu verhindern, müssen Sie das Opt-Out auf allen genutzten Systemen durchführen. Wenn Sie hier klicken, wird das Opt-Out-Cookie gesetzt: <a href="javascript:gaOptout()"><strong>Google Analytics deaktivieren</strong></a></p>
Nähere Informationen zu Nutzungsbedingungen von Google Analytics und zum Datenschutz bei Google finden Sie unter https://marketingplatform.google.com/about/analytics/terms/de/ und unter https://policies.google.com/?hl=de.
Rechtsgrundlage und Widerrufsmöglichkeit
für diese Datenverarbeitung ist Ihre Einwilligung, Art. 6 Abs. 1 lit. a) DSGVO. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie die Datenschutz-Einstellungen unten links („Kreis“) öffnen und dort den Regler entsprechend betätigen.

Matomo
Soweit Sie Ihre Einwilligung erklärt haben, nutzt Hydro den Open-Source-Webanalysedienst Matomo, einen Dienst der "InnoCraft Ltd", ein Unternehmen mit Sitz in 7 Waterloo Quay PO625 Wellington, Neuseeland. Da InnoCraft außerhalb der EU ansässig ist, hat das InnoCraft einen Vertreter in der EU benannt: ePrivacy Holding GmbH, Große Bleichen 21, 20354 Hamburg (privacy@innocraft.com). Matomo verwendet Cookies, durch welche eine Analyse der Benutzung der Webseite möglich wird. Zu diesem Zweck werden die im Cookie erfassten Nutzungsinformationen (einschließlich Ihrer gekürzten IP-Adresse) an den in der EU befindlichen Server von Matomo übertragen und zu Nutzungsanalysezwecken gespeichert. Mit Matomo werden keine Daten an Server übermittelt, die außerhalb unserer Kontrolle liegen. Ihre IP-Adresse wird bei diesem Vorgang umgehend anonymisiert, so dass Sie als Nutzer für uns nicht identifizierbar sind. Die gesammelten Informationen über Ihre Benutzung dieser Webseite werden nicht an Dritte weitergegeben. Wir nutzen die erhobenen Daten zur statistischen Analyse des Nutzerverhaltens zum Zweck der Optimierung der Funktionalität und Stabilität der Website und zu Marketingzwecken. Die Interessen der Nutzer werden durch die Anonymisierung hinreichend gewahrt.
Wir speichern die Analysedaten nur so lange es der Zweck der Datenverarbeitung erfordert, maximal jedoch [eigene Einstellung in Matomo, Zeitraum angeben ].
Rechtsgrundlage und Widerrufsmöglichkeit
für diese Datenverarbeitung ist Ihre Einwilligung, Art. 6 Abs. 1 lit. a) DSGVO. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie die Datenschutz-Einstellungen unten links („Kreis“) öffnen und dort den Regler entsprechend betätigen.


Google Tag Manager
Aus Gründen der Transparenz weisen wir darauf hin, dass wir den Google Tag Manager nutzen. Dies ist ein Tag-Management-System zum Verwalten von JavaScript- und HTML-Tags, die für die Implementierung von Tracking- und Analysetools verwendet wird. Der Anbieter des Dienstes ist Google Ireland Limited, Google Building Gordon House, 4 Barrow St, Dublin, D04 E5W5, Ireland.

Der Google Tag Manager erfasst selbst keine personenbezogenen Daten. Der Tag Manager erleichtert uns die Einbindung und Verwaltung unserer Tags. Tags sind kleine Codeelemente, die unter anderem dazu dienen, Traffic und Besucherverhalten zu messen, die Auswirkung von Online-Werbung und sozialen Kanälen zu erfassen, Remarketing und die Ausrichtung auf Zielgruppen einzurichten und Webseiten zu testen und zu optimieren. Wenn Sie eine Deaktivierung vorgenommen haben, wird diese Deaktivierung vom Google Tag Manager berücksichtigt. Für weiter Informationen zum Google Tag Manager siehe:
www.google.com/intl/de/tagmanager/use-policy.html
https://www.google.com/intl/de/tagmanager/faq.html
https://safety.google/privacy/privacy-controls/

4.4 Werbung
Wir verwenden Cookies für Marketingzwecke, um unsere Nutzer mit interessengerechter Werbung anzusprechen. Zusätzlich verwenden wir die Cookies, um die Wahrscheinlichkeit der Ausspielung einer Werbeanzeige einzuschränken und die Effektivität unserer Werbemaßnahmen zu messen. Diese Information können auch mit Dritten, wie z. B. Ad-Netzwerken, geteilt werden. Rechtsgrundlage dafür ist Art. 6 Abs. 1 lit. a) DSGVO.
DoubleClick by Google
Soweit Sie Ihre Einwilligung erklärt haben, nutzt Hydro Google das Online Marketing Tool DoubleClick by Google eingesetzt. Zuständiger Dienstanbieter in der EU ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.
DoubleClick setzt Cookies ein, um für die Nutzer relevante Anzeigen anzuzeigen, die Berichte zur Kampagnenleistung zu verbessern oder um zu vermeiden, dass Nutzer die gleichen Anzeigen mehrmals angezeigt bekommen. Google erfasst dafür über eine Cookie-ID welche Anzeigen in welchem Browser geschaltet werden. So wird ausgeschlossen, dass mehrfach die gleiche Anzeige geschaltet wird. Darüber hinaus kann DoubleClick mithilfe von Cookie-IDs sog. Conversions mit Bezug zu Anzeigen erfassen. Das ist etwa der Fall, wenn ein Nutzer eine DoubleClick-Anzeige sieht und später mit demselben Browser die Website des Werbetreibenden aufruft und dort etwas kauft.
Beim Aufruf einer Seite, die DoubleClick nutzt und bei der das DoubleClick-Script zugelassen ist, baut Ihr Browser automatisch eine direkte Verbindung mit dem Server von Google auf. Durch die Einbindung von DoubleClick erhält Google die Information, dass Sie den entsprechenden Teil unseres Internetauftritts aufgerufen oder eine Anzeige von uns angeklickt haben. Sofern Sie bei einem Dienst von Google registriert sind, kann Google den Besuch Ihrem Account zuordnen.
Bitte beachten Sie, dass dieser Service Daten außerhalb der Europäischen Union und des europäischen Wirtschaftsraums und in ein Land, welches kein angemessenes Datenschutzniveau bietet, übertragen kann. Falls die Daten in die USA übertragen werden, besteht das Risiko, dass Ihre Daten von US- Behörden zu Kontroll- und Überwachungszwecken verarbeitet werden können, ohne dass Ihnen möglicherweise Rechtsbehelfsmöglichkeiten zustehen.
Sie können die Erfassung durch dieses Tracking-Verfahren auf verschiedene Weise verhindern: a. durch eine entsprechende Einstellung Ihres Browsers. Die Unterdrückung von Drittcookies führt dazu, dass Sie keine Anzeigen von Drittanbietern angezeigt bekommen. b. Durch Deaktivierung der Cookies für Conversion-Tracking verhindern Sie, dass Sie interessebezogene Werbung angezeigt bekommen. Hierzu müssen Sie in Ihrem Browser Cookies von der Domain „www.googleadservices.com“ blocken. c. Unter https://www.google.de/settings/ads können Sie ein Opt-out Cookie setzen. Diese Einstellung wird allerdings gelöscht, wenn Sie alle Ihre Cookies löschen. d. Durch Deaktivierung der interessenbezogenen Anzeigen der Anbieter, die Teil der Selbstregulierungs-Kampagne „About Ads“ sind, über den Link http://www.aboutads.info/choices, wobei diese Einstellung gelöscht wird, wenn Sie Ihre Cookies löschen; d) durch dauerhafte Deaktivierung von Cookies in Ihrem Browser unter dem Link https://www.google.com/settings/ads/plugin. Wir weisen Sie darauf hin, dass Sie in diesem Fall gegebenenfalls nicht alle Funktionen unserer Website vollumfänglich nutzen können.
Weitere Informationen zu DoubleClick by Google erhalten Sie unter https://www.google.de/doubleclick und https://support.google.com/adsense/answer/2839090, sowie zum Datenschutz bei Google allgemein: https://www.google.de/intl/de/policies/privacy. Alternativ können Sie die Webseite der Network Advertising Initiative (NAI) unter https://www.networkadvertising.org besuchen.
Rechtsgrundlage und Widerrufsmöglichkeit
für diese Datenverarbeitung ist Ihre Einwilligung, Art. 6 Abs. 1 lit. a) DSGVO. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie die Datenschutz-Einstellungen unten links („Kreis“) öffnen und dort den Regler entsprechend betätigen.


4.5 Einsatz von Social-Plugins und eingebettete Funktionen
Google YouTube
Soweit Sie Ihre Einwilligung erklärt haben, nutzt Hydro Dienste von YouTube ein, einem Anbieter von Videoinhalten der Google LLC. Zuständiger Dienstanbieter in der EU ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland („Google“). Dies dient der Verbesserung unseres Onlineangebotes.
Dies setzt immer voraus, dass die Anbieter dieser Inhalte (nachfolgend bezeichnet als "Dritt-Anbieter") die IP-Adresse der Nutzer wahrnehmen. Denn ohne die IP-Adresse könnten sie die Inhalte nicht an den Browser des jeweiligen Nutzers senden. Die IP-Adresse ist damit für die Darstellung dieser Inhalte erforderlich. Wir bemühen uns nur solche Inhalte zu verwenden, deren jeweilige Anbieter die IP-Adresse lediglich zur Auslieferung der Inhalte verwenden. Jedoch haben wir keinen Einfluss darauf, falls die Dritt-Anbieter die IP-Adresse z.B. für statistische Zwecke speichern. Soweit dies uns bekannt ist, klären wir die Nutzer darüber auf.
Rechtsgrundlage und Widerrufsmöglichkeit
für diese Datenverarbeitung ist Ihre Einwilligung, Art. 6 Abs. 1 lit. a) DSGVO. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie die Datenschutz-Einstellungen unten links („Kreis“) öffnen und dort den Regler entsprechend betätigen.


5. Bewerbungen
Ihre Angaben werden für die Bearbeitung Ihrer Bewerbung und die Entscheidung über die Begründung eines Beschäftigungsverhältnisses verwendet. Rechtsgrundlage ist § 26 Abs. 1 i.V.m. Abs. 8 S. 2 BDSG. Weiterhin können Ihre personenbezogenen Daten verarbeitet werden, soweit dies zur Abwehr von geltend gemachten Rechtsansprüchen aus dem Bewerbungsverfahren gegen uns erforderlich sein sollte. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. f) DSGVO. In den angegebenen Zwecken liegt auch das berechtigte Interesse an der Verarbeitung.
Soweit es zu einem Beschäftigungsverhältnis zwischen Ihnen und uns kommt, können wir gemäß § 26 Abs. 1 BDSG die bereits von Ihnen erhaltenen personenbezogenen Daten für Zwecke des Beschäftigungsverhältnisses weiterverarbeiten, wenn dies für die Durchführung oder Beendigung des Beschäftigungsverhältnisses oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.
Eine über die beschriebene Nutzung hinausgehende Verarbeitung Ihrer Bewerbungsdaten findet nicht statt.
Ihre personenbezogenen Daten werden nach Abschluss des Bewerbungsverfahrens spätestens nach 6 Monaten gelöscht, sofern einer Löschung keine sonstigen berechtigten Interessen unsererseits entgegenstehen oder Sie uns keine Einwilligung für eine längere Speicherung erteilt haben. Sonstiges berechtigtes Interesse in diesem Sinne ist beispielsweise eine Beweispflicht in einem Verfahren nach dem Allgemeinen Gleichbehandlungsgesetz (AGG).


9. Datenübermittlung und Empfänger oder Kategorien von Empfängern
Eine Übermittlung Ihrer Daten an Dritte findet grundsätzlich nicht statt, es sei denn, wir sind gesetzlich dazu verpflichtet, oder die Datenweitergabe ist zur Durchführung des Vertragsverhältnisses erforderlich oder Sie haben zuvor ausdrücklich in die Weitergabe Ihrer Daten eingewilligt.


10. Dauer der Speicherung
Personenbezogene Daten die wir erheben, werden bei Fortfall des Zwecks der Verarbeitung oder innerhalb der gesetzlichen Aufbewahrungsfristen gelöscht


11. Informationen über Bereitstellungspflichten des Betroffenen
Bei der Nutzung unserer Website trifft Sie keine gesetzliche oder vertragliche Bereitstellungspflicht.

12. Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling
Eine automatisierte Entscheidungsfindung inkl. Profiling gem. Art. 22 DSGVO findet nicht statt.

13. Ihre Rechte
Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:


13.1. Allgemeine Rechte
Sie haben ein Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung und auf Datenübertragbarkeit. Soweit eine Verarbeitung auf Ihrer Einwilligung beruht, haben Sie das Recht, diese uns gegenüber mit Wirkung für die Zukunft zu widerrufen.


13.2. Rechte bei der Datenverarbeitung nach dem berechtigten Interesse
Sie haben gem. Art. 21 Abs.1 DSGVO das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs.1 e DSGVO (Datenverarbeitung im öffentlichen Interesse) oder aufgrund Artikel 6 Abs.1 f DSGVO (Datenverarbeitung zur Wahrung eines berechtigten Interesses) erfolgt, Widerspruch einzulegen, dies gilt auch für ein auf diese Vorschrift gestütztes Profiling. Im Falle Ihres Widerspruchs verarbeiten wir Ihre personenbezogenen Daten nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.


13.3. Rechte bei Direktwerbung
Sofern wir Ihre personenbezogenen Daten verarbeiten, um Direktwerbung zu betreiben, so haben Sie gem. Art. 21 Abs. 2 DSGVO das Recht, jederzeit Widerspruch gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen, dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
Im Falle Ihres Widerspruchs gegen die Verarbeitung zum Zwecke der Direktwerbung werden wir Ihre personenbezogenen Daten nicht mehr für diese Zwecke verarbeiten


13.4. Recht auf Beschwerde bei einer Aufsichtsbehörde
Sie haben zudem das Recht, sich bei einer zuständigen Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren.

14. Kontaktaufnahme per E-Mail oder Kontaktformular
Bei Ihrer Kontaktaufnahme mit uns per E-Mail oder über ein Kontaktformular werden die von Ihnen mitgeteilten Daten (Ihre E-Mail-Adresse und Ihr Name) von uns gespeichert, um Ihre Fragen zu beantworten. Soweit wir über unser Kontaktformular Eingaben abfragen, die nicht für eine Kontaktaufnahme erforderlich sind, haben wir diese stets als optional gekennzeichnet. Diese Angaben dienen uns zur Konkretisierung Ihrer Anfrage und zur verbesserten Abwicklung Ihres Anliegens. Eine Mitteilung dieser Angaben erfolgt ausdrücklich auf freiwilliger Basis und mit Ihrer Einwilligung, Art. 6 Abs. 1 lit. a) DSGVO. Soweit es sich hierbei um Angaben zu Kommunikationskanälen (beispielsweise E-Mail-Adresse, Telefonnummer) handelt, willigen Sie außerdem ein, dass wir Sie ggf. auch über diesen Kommunikationskanal kontaktieren, um Ihr Anliegen zu beantworten. Diese Einwilligung können Sie selbstverständlich jederzeit für die Zukunft widerrufen.
Die in diesem Zusammenhang anfallenden Daten löschen wir, nachdem die Speicherung nicht mehr erforderlich ist, oder schränken die Verarbeitung ein, falls gesetzliche Aufbewahrungspflichten bestehen.


15. Datensicherheit
Wir haben umfangreiche technische und betriebliche Schutzvorkehrungen getroffen, um Ihre Daten vor zufälligen oder vorsätzlichen Manipulationen, Verlust, Zerstörung oder dem Zugriff unberechtigter Personen zu schützen. Unsere Sicherheitsverfahren werden regelmäßig überprüft und dem technologischen Fortschritt angepasst.
16. Datenübermittlung und beabsichtigte Datenübermittlung in ein Drittland oder eine internationale Organisation
Eine Übermittlung Ihrer Daten an Dritte findet grundsätzlich nicht statt, es sei denn, wir sind gesetzlich dazu verpflichtet, oder die Datenweitergabe ist zur Durchführung des Vertragsverhältnisses erforderlich oder Sie haben zuvor ausdrücklich in die Weitergabe Ihrer Daten eingewilligt.

AGBs

Hydro's Binding Corporate Rules (EN)

Hier finden sie die öffentliche Version der verbindlichen konzerninternen Datenschutzvorschriften, die die Basis für die Übermittlung personenbezogener Daten zwischen allen Unternehmen im Hydro-Konzern bildet. Die Vorschriften gelten für alle personenbezogenen Daten im Hydro-Konzern, die durch das geltende EU-Datenschutzrecht geschützt sind.

The BCR apply to all personal data, within the Hydro Group, which are protected by applicable EU data protection law.

1 Introduction

While conducting its day-to-day business Hydro processes Personal Data related to employees, customers, suppliers and other business partners. On a regularly basis Personal data is transferred between members of the Hydro Group in the course of the company’s legitimate business activities.

Norsk Hydro ASA and all Hydro Legal Entities established within in the EEA are bound by rules in the Applicable EU Data Protection Law that contains strict requirements on the Processing and Transfer of Personal Data. As a general rule, the Applicable EU Data Protection Law does not allow for the Transfer of Personal Data to Third Countries that do not ensure an adequate level of protection of the Personal Data.

Hence, Norsk Hydro ASA has committed itself on the general principle of the protection of Personal Data in the Hydro Code of Conduct.

This Data Protection Procedure sets out how such protection shall be implemented to ensure consistent and uniform principles in Hydro for the Processing of all Personal Data and to establish the necessary legal basis for Transfer of Personal Data from Hydro Legal Entities established in EEA to Hydro Legal Entities established outside EEA in accordance with Applicable EU Data Protection Law.

This Data Protection Procedure is based on the Applicable EU Data Protection Law and the Norwegian data protection legislation that implements said Applicable EU Data Protection Law. The purpose of this Data Protection Procedure is to ensure compliance with the Applicable EU Data Protection Law, and to ensure adequate safeguards for the Transfer of Personal Data.

2 Scope and applicability

2.1 Scope

This Data Protection Procedure is a procedure under the responsibility of the Corporate Compliance Department. This Data Protection Procedure forms the Hydro Binding Corporate Rules (BCR) as defined in Section 7.

This Data Protection Procedure addresses all Hydro’s Processing of Personal Data protected by Applicable EU Data Protection Law.

The routines and requirements described herein are supplementary to information security measures and requirements set out in Hydro Steering Documents.

2.2 Applicability

This Data Protection Procedure applies to all Legal Entities in the Hydro Group as defined in section 7 and to all Hydro employees including contractors and other personnel representing Hydro. In addition, Third Party Data Subjects shall benefit from the rights granted to them herein.

2.3 Implementation

This Data Protection Procedure shall form part of Hydro’s Steering Documents from the time of adoption by the Head of Corporate Compliance of Norsk Hydro ASA.

The Head of Data Privacy has the supervisory role of the implementation of and compliance with this Data Privacy Procedure in the Hydro Group.

2.4 Accountability

In accordance with the designated ownership of IT-systems and -applications, the relevant Corporate function or Business Area management shall ensure that the operations and procedures are in compliance with this Data Protection Procedure when relevant. This includes the accountability for ensuring the establishment and maintenance of adequate internal control documentation as outlined in this Data Protection Procedure.

3 Processing and Transfer covered by this Procedure

3.1 IT-registers and data-flow

This Data Protection Procedure covers the Processing and Transfer of Personal Data by use of IT-systems and applications in Hydro involving data flowing between Legal Entities and across the national borders. The Head of Data Privacy maintains a list of all Legal Entities to which this Data Protection Procedure applies, with information on their geographical location.

3.2 Personal Data categories and purposes of Processing

This section provides an overview of categories of Personal Data and the purposes for Processing that is covered by this Data Protection Procedure.

HR management data
Administer and manage the employee relationship (including applicants, former employees, contractors and dependents)

IT-administration data
Support and manage information technology (IT) and information system (IS) administration and information security.

HSE data
Support and manage occupational health services and the registration, managing and reporting of health, service and environment (HSE) related information (incidents, issues, etc.)

Video surveillance / access logs
Support and manage safeguarding against illegal or unauthorized entry into areas, buildings or rooms or to support the control of equipment and/or production processes

Business relations data
Support and manage customer, supplier or partner relationships (internal /external) as well as handling of information in recruitment processes

Complaints
Follow up on complaints and concerns reported by employees

Investigation information
Support and manage investigation of incidents and concerns (e.g. related to employee’s potential violation of terms of employment or incidents or concerns that may have an adverse effect on the business)

4 Hydro’s responsibilities when Processing Personal Data

4.1 Hydro in the role as a Controller

Generally, each Legal Entity is considered an individual Controller that determines the purposes and means of the Processing of Personal Data. In certain cases, where Norsk Hydro ASA determines the purposes and means of the Processing of Personal Data in the Hydro Group Norsk Hydro ASA is considered the Controller. To the extend two or more Legal Entities determines the purposes and means of the Processing of Personal Data they are considered joint Controllers.

A Data Processing Agreement in accordance with the General Data Protection Regulation shall be executed in a situation where a Legal Entity acting as a Controller contracts with a Third Party service provider for the delivery of services that involve the Processing of Personal Data protected by EU Data Protection Law on behalf of the Controller.

The required legal grounds for the Transfer of Personal Data involved shall be established cf. section 6, in a situation where a Legal Entity established in the EEA contracts with a Third Party Processor established in a Third Country on the delivery of services that involve the Processing of Personal Data protected under Applicable EU Data Protection Law.

4.2 Hydro in the role as a Processor

A Legal Entity may provide services that involve the Processing of Personal Data on behalf of another Legal Entity that is regarded the Controller of such Personal Data.

In the course of such Processing, the Legal Entity providing the relevant services will be regarded as a Processor that Processes the Personal Data on behalf of the receiving Legal Entity, which has the responsibility as a Controller. In such cases, the Legal Entity acting as Processor acts solely on behalf of the Controller and shall act at the Controller’s direction and in accordance with the requirements and principles set out in this Data Protection Procedures, cf. section 6. To the extent required under applicable local data protection law, the Controller shall instruct the Processor by written agreement in accordance with the local requirements.

5 Key principles of this Data Protection Procedure

This section provides an overview of the key principles to be observed by the Hydro Group and its personnel in relation to the Processing of Personal Data under the scope of this Data Protection Procedure.

5.1 Duty to respect the Procedure

This Data Protection Procedure applies to all Legal Entities in the Hydro Group. Each Legal Entity shall be committed to comply with this Data Protection Procedure by the reference in Hydro’s Code of Conduct and shall execute agreements with Norsk Hydro ASA regarding the duty to respect this Data Protection Procedure.

All Hydro personnel shall be required to adhere to the rules in this Data Protection Procedure as part of Hydro’s Code of Conduct and according to the relevant terms of employment.

Hydro personnel reporting personal data breaches shall not suffer any negative consequences as a result thereof. Where appropriate, additional data privacy training shall be provided, cf. section 5.4 of this Data Protection Procedure.

5.2 Data Subjects rights

All Data Subjects whose Personal Data is being Processed under this Data Protection Procedure shall benefit from the rights herein.

The Data Subject’s rights include the right to enforce the general privacy principles set out in section 6 of this Data Protection Procedure including the principles on:

  • Fair and lawful Processing
  • Purpose limitation
  • Data quality and proportionality
  • Legitimate Processing
  • Transparency and information
  • Rights of access, rectification, erasure and blocking of data
  • Right to object to the Processing
  • Security and confidentiality
  • Restrictions on onward Transfer outside of the group of companies

The rights enforceable by the affected Data Subjects as third-party beneficiaries includes judicial remedies for any breach of the rights granted, and the right to receive compensation, where appropriate, according to Applicable EU Data Protection Law.

Data Subjects can choose to lodge a claim before

  • a competent data protection authority, or
  • the court of Norsk Hydro ASA (EEA headquarters) in Norway, the court where the EEA-based Controller or Processor has an establishment or where the Data Subject has his or her habitual residence.

Data Subjects are encouraged to first follow the complaints procedure set forth in section 5.7 of this Data Protection Procedure before filing any complaint with the competent data protection authorities or the courts.

5.3 Information to Data Subjects

All Data Subjects who benefit from this Data Protection Procedure shall have easy access to information describing their data privacy rights.

Information shall be provided for in the following documents:

  • Hydro Code of Conduct 
    Sets out the principles for how Personal Data shall be protected in order to ensure compliance with applicable laws and regulations.
  • Privacy Statement (internal) 
    The purpose of the internal privacy statement is to give information to all Hydro personnel about the processing of Personal Data undertaken by Hydro. The statement is available at Hydro intranet. A link is provided in the statement to this Data Protection Procedure.
  • Hydro Privacy Statement (external) 
    The purpose of the external privacy statement is to give information to external individuals visiting Hydro.com including subsites. A link is provided to other relevant documents such as this public version of the Data Protection Procedure.
  • Public version of the Data Protection Procedure 
    This public version of the Data Protection Procedure, which extracts the non-confidential information, shall be available on Hydro.com. This public version explains Hydro’s Binding Corporate Rules (BCR) for Processing of Personal Data, the legal basis for Transfer of Personal Data to Third Countries and affected Data Subject’s rights pursuant to these rules.

5.4 Training and awareness

Appropriate data privacy training and awareness programs in Hydro shall ensure implementation and compliance with this Data Protection Standard in all functions and areas of the Hydro Group. The aim of appropriate training is to make this Data Protection Procedure known, understood and effectively applied throughout the Hydro Group.

5.5 Supervision and Compliance

Hydro has established internal roles overseeing supervision and compliance with this Data Protection Procedure. Contact information to the Head of Data Privacy is available in section 8.

5.6 Audit and review

To ensure compliance with this Data Protection Procedure, Hydro will carry out audits and reviews regarding Hydro's compliance with the Data Protection Procedure.

5.7 Complaint handling

If any Data Subject is of the opinion that the Processing of Personal Data within Hydro is not compliant with this Data Protection Procedure or applicable local laws or regulations, the Data Subject may file a complaint to Hydro.

A complaint may be made anonymous or under full name by addressing the Head of Data Privacy, a Data Privacy Coordinator or Data Privacy Champion or the line management or by using Hydro’s “AlertLine”.

Within four (4) weeks after receipt of a complaint, Hydro shall revert to the Data Subject in writing of the result of the complaint handling. If, due to the complexity of the complaint, a response cannot be given within the four (4) weeks period, Hydro will inform the Data Subject accordingly and provide a reasonable estimate for the timescale within which a response will be provided. The time limit shall not exceed three (3) months from receipt of the complaint.

The above stated procedure is without prejudice to the Data Subject’s right to take a case to the competent data protection authorities or courts, cf. sections below.

5.8 Liability

Norsk Hydro ASA takes on the responsibility for any damages by a Legal Entity established outside the EEA resulting from a violation of additional safeguards, rights or remedies granted under this Data Protection Procedure for the Processing of Personal Data protected under the Applicable EU Data Protection Law and in accordance with the scope of this Data Protection Procedure. Further, Norsk Hydro ASA shall take necessary actions to remedy such acts of a Legal Entity established outside the EEA and shall, where appropriate, pay compensation for the damages resulting from the violation.

The burden of proof lies with Norsk Hydro ASA and not the Data Subject. Hence, where Norsk Hydro ASA can prove that a Legal Entity of the Hydro Group is not responsible for a breach of additional safeguard under this Data Protection Procedure resulting in the damage claimed by a Data Subject, it may discharge itself from any responsibility.

5.9 Cooperation with the data protection authorities

Hydro undertakes to cooperate with the competent data protection authorities, particularly by applying recommendations and advice from the authorities, and by responding to requests from the authority regarding this Data Protection Procedure. The competent data protection authorities may conduct audits in order to verify compliance with this Data Protection Procedure.

The Head of Data Privacy will be the contact point for the Norwegian Data Protection Authority on any matter relating to this Data Protection Procedure or the Processing of Personal Data in Hydro in general.

5.10 Applicable law and jurisdiction

This Data Protection Procedure shall be governed by and interpreted in accordance with the Applicable EU Data Protection Law and the relevant Norwegian data protection legislation implementing such law.

Data Subjects shall keep their rights and remedies as available in their local jurisdictions where such applicable local law provides more protection than this Data Protection Procedure. Where this Data Protection Procedure provides more protection than applicable local law, or provides additional safeguards, rights or remedies for Data Subjects, this Data Protection Procedure shall precede.

Without prejudice to the jurisdiction of the competent data protection authority or other government authorities according to applicable local law, compliance with this Data Protection Procedure is supervised by the Norwegian Data Protection Authority, appointed as the Lead Authority in the process of approval of Hydro’s Binding Corporate Rules under the Applicable EU Data Protection Law. The Norwegian Data Protection Authority is authorized to advise Norsk Hydro ASA on the application of this Data Protection Procedure at all times and shall have investigative powers based on the Norwegian data protection law. To the extent the Norwegian Data Protection Authority has discretionary powers related to enforcement of the Norwegian data protection law, it shall have similar discretionary powers for enforcement of this Data Protection Procedure.

Any complaints or claims of a Data Subject concerning any right supplemental to the rights under Applicable EU Data Protection Law, and that the Data Subject may have under this Data Protection Procedure, shall be directed to Norsk Hydro ASA. The complaints or claims can, at the Data Subject's choice, be brought before the competent data protection authority at the Data Subject's place of habitual residence, place of work or place of the alleged infringement, or before the competent courts in the jurisdiction where the Controller or Processor has an establishment or at the Data Subject's place of habitual residence. Data subjects are encouraged to follow the complaints procedure set forth in section 5.7 of this Data Protection Procedure before filing complaints or claims under any such supplemental rights with the competent data protection authorities or the courts.

5.11 Update of this Data Protection Procedure

Hydro may amend this Data Protection Procedure, e.g. due to changes to relevant legislation or changes to Hydro’s Legal Structure. Norsk Hydro ASA shall notify the Norwegian Data Protection Authority in case of changes to this Data Protection Procedure or of the list of members of the Hydro Group on a yearly basis. If any amendment would possibly affect the level of protection or significantly affect this Data Protection Procedure, Norsk Hydro ASA shall promptly notify the Norwegian Data Protection Authority.

Hydro shall communicate any substantial amendments to this Data Protection Procedure to the Data Subjects by making the necessary changes to the relevant documents, including the Code of Conduct, the Privacy Statements and this Data Protection Procedure. The current version of this Data Protection Procedure shall always be available for all Legal Entities, Hydro personnel and third-party beneficiaries.

6 General data privacy principles for the Processing of Personal Data

The following general data privacy principles shall apply to Hydro in accordance with the Applicable EU Data Protection Law.

By implementing this Data Protection Procedure, including the Binding Corporate Rules for Transfer of Personal Data, Hydro is committed to establish internal control and relevant routines when Processing and Transferring Personal Data to ensure compliance with these principles.

6.1 Fair, lawful and transparent Processing

Personal Data shall be Processed fairly, lawfully and in a transparent manner and pursuant to the principles stipulated in this Data Protection Procedure. This means that Personal Data shall be processed in accordance with law, and that the legitimate interests of the Data Subject should be taken into account when Processing Personal Data.

6.2 Purpose specification and limitation

Personal Data shall be collected only for specified, explicit and legitimate purposes and not further Processed in a manner incompatible with those purposes, cf. section 3.

6.3 Data quality and proportionality

Personal Data shall be:

  1. adequate, relevant and limited to what is necessary in relation to the purposes for which they are collected and /or further Processed ("data minimisation");
  2. accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that data which are inaccurate, having regard to the purposes for which they were collected or for which they are further Processed, are erased or rectified without delay ("accuracy");
  3. kept in a form which permits identification of Data Subjects for no longer than is necessary for the purposes for which the Personal Data were collected or for which they are further Processed ("storage limitation").

6.4 Criteria for lawful Processing of Personal Data

Personal Data may lawfully be Processed only if at least one of the following legal bases applies:

  1. Data Subject has given his or her Consent for one or more specific purposes. In order to rely on Consent, the conditions in section 6.12 must be fulfilled;
  2. Processing is necessary for the performance of a contract to which the Data Subject is party or in order to take steps at the request of the Data Subject prior to entering into a contract;
  3. Processing is necessary for compliance with a legal obligation to which the Controller is subject;
  4. Processing is necessary in order to protect the vital interests of the Data Subject or of another natural person;
  5. Processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the Controller; or
  6. Processing is necessary for the purposes of the legitimate interests pursued by the Controller or by the Third Party, except where such interests are overridden by the interests or fundamental rights and freedoms of the Data Subject which require Protection of Personal Data under Applicable EU Data Protection Law.

6.5 Criteria for legitimate Processing of Sensitive Personal Data

Except from such circumstances as stated below it is prohibited to process Personal Data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs or trade-union membership, and the Processing of genetic data, biometric data for the uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation (Sensitive Personal Data).

The Processing of Sensitive Personal Data shall be lawful if at least one of the following legal bases applies:

  1. the Data Subject has given explicit Consent to the Processing of those Personal Sensitive Data, except where applicable law provide that the prohibition above may not be lifted by the Data Subject’s giving his Consent. In order to rely on Consent, the conditions in section 6.12 must be fulfilled;
  2. Processing is necessary for the purposes of carrying out the obligations and exercising specific rights of the Controller or of the Data Subject in the field of employment and social security law in so far as it is authorized by applicable law or a collective agreement pursuant to applicable law providing for adequate safeguards for the fundamental rights and the interests of the Data Subject;
  3. Processing is necessary to protect the vital interests of the Data Subject or of another natural person where the Data Subject is physically or legally incapable of giving Consent;
  4. the Processing relates to data which are manifestly made public by the Data Subject or is necessary for the establishment, exercise or defence of legal claims: or
  5. the Processing is allowed according to rules other than a)-d) above that have been established in accordance with the Applicable EU Data Protection Law.

Processing of data relating to offences, criminal convictions or security measures may be carried out only under the control of official authority, or if suitable specific safeguards for the rights and freedoms of Data Subjects are provided under law, subject to derogations which may be granted by applicable law.

6.6 Automated decision making

The Data Subject shall have the right not to be subject to a decision based solely on automated processing, including profiling which produces legal effects concerning him or her or similarly significantly affects him or her, unless the decision:

a) is necessary for entering into, or performance of, a contract between the Individual and a Legal Entity;

b) is authorized by applicable local law to which the Legal Entity is subject and which also lays down suitable measures to safeguard the Data Subject's rights, freedoms and legitimate interests; or

c) is based on the Data Subject's explicit Consent.

In the cases referred to in a) and c) above, the Legal Entity shall implement suitable measures to safeguard the Data Subject's rights, freedoms and legitimate interests, and at least the right to obtain human intervention on the part of the Legal Entity, to express his or her point of view and to contest the decisions.

The automated decisions referred to in this section shall not be based on Sensitive Personal Data unless section 6.5 a applies and suitable measures to safeguard the Data Subject's rights, freedoms and legitimate interests are in place.

6.7 Duty of information

In cases of collection of Personal Data from a Data Subject, and provided the Data Subject does not already have the information, the following information shall be provided:

  1. the identity and contact details of the Controller and of his representative, if any;
  2. the contact details of the data protection officer, where applicable;
  3. the purposes of the Processing and legal basis for such Processing;
  4. which legitimate purposes are pursued when the Processing is based on section 6) f;
  5. the recipients or categories of recipients of the Personal Data, if any;
  6. when relevant, the fact that the Controller intends to Transfer the Personal Data to a Third Country and the legal basis for making such Transfer lawful.

In addition, when required by Applicable EU Data Protection Law and if necessary to ensure fair and transparent processing, the Data Subject shall be provided the following further information:

  1. the period for which the Personal Data will be stored, or the criteria used to determine that period;
  2. the existence of the right to request access to, correction, deletion or restriction of Processing or to object to Processing as well as the right to data portability;
  3. where the Processing is based on the Data Subject's Consent, the existence of the right to withdraw Consent at any time, without affecting the lawfulness of Processing based on Consent before its withdrawal;
  4. the right to lodge a complaint with a data protection authority;
  5. whether the provision of Personal Data is a statutory or contractual requirement, or a requirement necessary to enter into a contract, and whether the Data Subject is obliged to provide the Personal Data and of the possible consequences of failure to provide such data;
  6. the existence of automated decision-making, including profiling, referred to in section 6.6 and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such Processing for the Data Subject.

Where the Personal Data have not been collected from the Data Subject, the Data Subject shall be provided with the following information:

  1. the identity and contact details of the Controller and of his representative, if any;
  2. the contact details of the data protection officer, where applicable;
  3. the purposes of the Processing and legal basis for such Processing;
  4. the categories of Personal Data concerned;
  5. the recipients or categories of recipients of the Personal Data, if any;
  6. when relevant, the fact that the Controller intends to Transfer the Personal Data to a Third Country and the legal basis for making such Transfer lawful.

In addition, when required by Applicable EU Data Protection Law and if necessary to ensure fair and transparent processing, the Data Subject shall be provided the following further information:

  1. the period for which the Personal Data will be stored, or if that is not possible, the criteria used to determine that period;
  2. which legitimate purposes are pursued when the Processing is based on section 6.4 f;
  3. the existence of the right to request access to, correction, deletion or restriction of Processing concerning the Data Subject or to object to Processing as well as the right to data portability;
  4. where the Processing is based on the Data Subject's Consent, the existence of the right to withdraw Consent at any time, without effecting the lawfulness of the Processing based on Consent before its withdrawal;
  5. the right to lodge a complaint with a data protection authority;
  6. from which source the Personal Data originate, and if applicable, whether it came from publicly accessible sources;
  7. the existence of automated decision-making, including profiling, referred to in section 6.6 and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such Processing for the Individual.

Information mentioned in paragraph 3 and 4 above shall be provided within reasonable time, however no later than one month after the Personal Data are obtained or, where relevant, at the latest at the time of the first communication with the Data Subject by use of said data or at the time of disclosing the data the first time. Derogations may apply if the Data Subject already has the relevant information, or where the provision of such information proves impossible, or would involve a disproportionate effort, or is likely to seriously impair the achievement of the objectives or according to applicable law.

6.8 Data Subject's rights

6.8.1 Data Subject's right of access

Every Data Subject shall have the right to obtain from the Controller:

a) confirmation as to whether or not data relating to him are being processed and where that is the case, access to the Personal Data processed by the Controller;

b) information about the purposes of the Processing, the categories of Personal Data concerned, and the recipients or categories of recipients to whom the data are disclosed, in particular recipients located in a Third Country. If the Third Country is not recognized by the EU Commission as ensuring an adequate level of protection, the Data Subject shall have the right to be informed of the appropriate safeguards referred to in section 6.10

c) where possible, information about the envisaged period for which the Personal Data will be stored, or, if not possible, the criteria used to determine that period;

d) information about the existence of the right to request from the Controller rectification or erasure of Personal Data or restriction of the Processing of Personal Data concerning the Data Subject or to object to such Processing;

e) information about the right to lodge a complaint with a Data Protection Authority;

f) where the Personal Data have not been collected from the Data Subject, any available information as to their source; and

g) the existence of automated decision-making, including profiling, referred to in the section 6.6 and, at least in those cases, meaningful information about the logic involved in any automatic Processing as well as the significance and the envisaged consequences of such Processing for the Data Subject.

6.8.2 Data Subject's right of rectification

The Data subject shall have the right to obtain from the Controller without undue delay the rectification of inaccurate Personal Data concerning him or her. Taking into account the purposes of the Processing, the Data Subject shall further have the right to have incomplete Personal Data completed, including by means of a supplementary statement.

6.8.3 Data Subject's right of erasure

Where required by applicable law, the Data Subject shall have the right to obtain from the Controller the erasure of Personal Data concerning him or her without undue delay. The Controller shall have the obligation to meet such a request by erasing Personal Data without undue delay when one of the following grounds applies:

a) the Personal Data are no longer necessary in relation to the purposes for which they were collected or otherwise Processed;

b) the Data Subject withdraws his or her Consent to the Processing and where there is no other legal basis for the Processing;

c) the Data Subject objects to the Processing pursuant to Section 6.8.7 (a) and there are no overriding legitimate grounds for the Processing, or the Data Subject objects to the Processing pursuant to Section 6.8.7 (b);

d) the Personal Data have been unlawfully Processed;

e) the Personal Data have to be erased for compliance with a legal obligation in applicable EU/EEA law to which the Controller is subject.

The Data Subject's right to erasure shall not apply to the extent that Processing is necessary for:

a) exercising the right of freedom of expression and information;

b) compliance with a legal obligation which requires Processing by applicable EU/EEA law to which the Controller is subject or for the performance of a task carried out in the public interest or in the exercise of official authority vested in the Controller;

c) the establishment, exercise or defence of legal claims.

6.8.4 Data Subject's right of restriction of Processing

Where required by applicable law, the Data Subject shall have the right to obtain from the Controller restriction of Processing where one of the following applies:

a) the accuracy of the Personal Data is contested by the Data Subject for a period enabling the controller to verify the accuracy of the Personal Data;

b) the processing is unlawful and the data Subject opposes the erasure of the Personal Data and requests the restriction of their use instead;

c) the controller no longer needs the Personal data for the purposes of the Processing, but they are required by the Data Subject for the establishment, exercise or defence of legal claims;

d) the Data Subject has objected to the Processing under Section 6.8.7 pending the verification whether the legitimate grounds of the Controller override those of the Data Subject.

Where Processing has been restricted under paragraph 1, such Personal Data shall, with the exception of storage, only be Processed with the Data Subject's Consent or for the establishment, exercise or defence of legal claims or for the protection of the rights of another natural or legal person or for reasons of important public interest of the EU/EEA or of a EU/EEA country where the Controller is established. The Controller shall inform the Data Subject who has obtained restriction of Processing, prior to the lifting the restriction.

6.8.5 Notification obligation regarding rectification or erasure of Personal Data or restriction of Processing

Where required by applicable law, the Controller shall communicate any rectification or erasure of Personal Data or restriction of Processing carried out in accordance with Section 6.8.2 to 6.8.4 above to each recipient to whom the Personal Data have been disclosed, unless this proves impossible or involves disproportionate effort.

Where required by applicable law, the Controller shall inform the Data Subject about those recipients if the Data Subject so requests.

6.8.6 Data Subject's right of data portability

Where required by applicable law, the Data Subject shall have the right to data portability, being the right to receive the Personal Data concerning him or her, which he or she has provided to the Controller, in a structured, commonly used and machine-readable form and have the right to transmit those data to another Controller without hindrance.

6.8.7 Data Subject's right to object to the Processing

The Data Subject has the right to object at any time, on grounds relating to his/her particular situation, to the Processing of data concerning him or her in the cases referred to in Section 6.4 e) and f), save where otherwise provided by applicable law. This includes profiling based on those provisions.

If a Data Subject objects to the Processing, the Controller shall no longer Process the Personal Data unless:

a) the Controller demonstrates compelling legitimate grounds for the Processing which override the interests, rights and freedoms of the Data Subject; or

b) the Processing is necessary for the establishment, exercise or defence of a legal claim.

The Data Subject shall, where Personal Data are Processed for the purposes of direct marketing, have the right to object at any time to Processing of Personal Data concerning him or her for such marketing. This includes profiling to the extent that it is related to such direct marketing. Where the Data Subject objects to Processing for direct marketing purposes, the Personal Data shall no longer be processed for such purposes.

The right to object shall be explicitly brought to the Data Subject's attention in a clear way and separately from any other information, at the latest at the time of the first communication with the Data Subject.

6.9 Security and confidentiality

Appropriate technical and organizational measures, including such measures by design and by default, shall be implemented and to protect the Personal Data against accidental or unlawful destruction or accidental loss, alteration, unauthorized disclosure or access, in particular where the Processing involves the transmission of the data over a network, and against all other unlawful forms of Processing. Having regard to the particular kind and the cost of their implementation, such measures shall ensure a level of security appropriate to the risks represented by the Processing and the nature of the data to be protected.

6.10 Transfer of Personal Data to Third Parties

The Transfer of Personal Data to Third Parties includes situations in which Hydro discloses Personal Data to a natural or legal person or other body or institution that is not a member of the Hydro Group, including the onward Transfer of Personal Data to such Third Parties.

There are two categories of Third Parties:

a) Third Party Controllers that Process and determine the purposes and means of the Processing of the Personal Data (e.g. government authorities such as tax authorities or service providers that provide services directly to the Data Subject).

b) Third Party Processors, that Process the Personal Data solely on behalf of Hydro and at its direction (e.g. a service provider that Process salaries on behalf of Hydro).

Below is an overview of the requirements on Transfer of Personal Data protected by the Applicable EU Data Protection Law.

Transfer to a Third Party Controller established in the EEA

Transfer to a Third Party Controller established in the EEA may take place, provided that:

  • it is not incompatible with the legitimate purpose for which the Personal Data were collected;
  • it is in accordance with the principle of data quality and proportionality;
  • the criteria for making data Processing legitimate is fulfilled;
  • relevant information is given to the Data Subject (if applicable); and
  • appropriate security measures is implemented to protect the Personal Data during the Transfer and in relation to the further Processing by the receiving party.

Applicable local law may have additional requirements and should always be considered before making such Transfer.

Transfer to a Third Party Controller established outside the EEA
Transfer to a Third Party Controller established outside the EEA is prohibited, except when one of the following requirements is fulfilled:

  • the receiving Controller is established in a country which the EU Commission has considered having an adequate level of protection, cf. the Commission’s decisions on the adequacy of the protection of Personal Data in third countries provided at: http://ec.europa.eu/justice/policies/privacy/thridcountries/index_en.htm; or
  • the receiving Controller has been certified under a program that is recognized under Applicable EU Data Protection Law as providing an “adequate” level of data protection; or
  • one of the derogations for specific situations according to Applicable EU Data Protection Law applies (e.g. the Data Subjects having explicitly consented to the Transfer or the Transfer is necessary to conclude or perform a contract); or
  • the Transfer is regulated by the Standard Contractual Clauses for Controller to Controller Transfer of Personal Data.

Transfer to a Third Party Processor established within the EEA
Transfer to a Processor established in the EEA may take place, provided that:

  • the Processor provides sufficient guarantees in respect of the technical security measures and organizational measures governing the Processing to be carried out; and
  • the carrying out of Processing by way of a Processor is governed by a contract or legal act (Data Processing Agreement) in accordance with the requirements set out in the third paragraph of Section 4.1.

Transfer to a Third Party Processor established outside the EEA
Transfer to a Processor established outside the EEA is prohibited, except when, in accordance with Applicable EU Data Protection Law:

  • the receiving Processor is established in a country which the EU Commission has considered having an adequate level of protection (on the basis of “an adequacy decision”), or
  • the receiving Processor has been certified under a program that is recognized under Applicable EU Data Protection Law as providing an “adequate” level of data protection; or
  • one or more of the derogations for specific situations set out in the Applicable EU Data Protection Law applies (such as the Data Subjects having explicitly consented to the Transfer or the Transfer is necessary to conclude or perform a contract etc.); or
  • the Transfer is regulated by the Standard Contractual Clauses for Controller to Processor Transfer of Personal Data;

and the following conditions are fulfilled;

  • the Processor provides sufficient guarantees in respect of the technical security measures and organizational measures governing the Processing to be carried out;
  • the carrying out of Processing by way of a Processor is governed by a contract or legal act (Data Processing Agreement) in accordance with the General Data Protection Regulation Article 28 (3).

6.11 Demonstrating compliance

Every Legal Entity acting as a Controller shall be responsible for and able to demonstrate compliance with the Data Protection Procedure.

If a type of Processing is likely to result in a high risk to the rights and freedoms of natural persons, the Controller shall, prior to the Processing, carry out an assessment of the impact of the envisaged Processing operations on the protection of Personal Data (data protection impact assessment). If the data protection impact assessment indicates that the Processing would result in a high risk in the absence of measures taken by the controller to mitigate the risk, the controller shall consult the competent supervisory authority prior to the Processing.

6.12 Conditions for Consent

If Consent is required or appropriate as a legal basis under applicable law for the Processing of Personal Data or Processing of Sensitive Data, the following conditions apply:

a) The Controller must be able to demonstrate that the Data Subject has consented to the Processing of his/her Personal Data. Where Processing is undertaken at the request of the Data Subject, he or she is deemed to have provided Consent to the Processing;

b) The Controller must inform the Data Subject in accordance with the provisions set forth in Section 6.7 above;

c) If the Data Subject's Consent is given in the context of a written declaration which also concerns other matters, the request for Consent shall, where applicable law so requires, be presented in a manner which is clearly distinguishable from the other matters, in an intelligible and easily accessible form using clear and plain language; and

d) Consent is only to be used when it is likely to be valid as a legal basis for the Processing. With regard to employment relationships, Consent should therefore not be used as a legal basis, unless it is clear that it is freely given. This will typically be when the Data Subjects voluntarily participate in a survey or events arranged by Hydro or register for a newsletter from Hydro.

e) The Data Subject may withdraw his/her Consent at any time and the Data Subject shall, where applicable law so requires, be informed of his or her right to withdraw the Consent. The withdrawal of Consent shall not affect the lawfulness of the Processing based on such Consent before its withdrawal. It shall be as easy to withdraw as to give Consent.

7 Definitions

Unless otherwise specifically stated, where relevant, the following definitions shall be interpreted in consistency with and have the same meaning as definitions set out in the Applicable EU Data Protection Law:

Applicable EU Data Protection Law
Applicable EU Data Protection Law shall mean the EU Directive 95/46/EC and the EU Regulation 2016/679 (General Data Protection Regulation) repealing Directive 95/46/EC.

Business Area
A Business Area is a division of operations in Hydro with common core business activities as described on Hydro’s website. The Business Areas are divided into business units when applicable and may represent one or more Legal Entities established in one or more countries

Consent
A Consent shall mean any freely given, specific, informed and unambiguous indication of the Data Subject’s wishes by which he or she, by statement, or by a clear affirmative action, signifies agreement to the Processing of Personal Data relating to him or her.

Controller
A Controller is a Legal Entity that determines the purposes and means of the Processing of Personal Data of Data Subjects irrespective of whether the Processing takes place by and within the Legal Entity or by an external Processor.

Head of Data Privacy
The Head of Data Privacy is the person who shall supervise implementation of the Data Protection Procedure and who is responsible for overall monitoring data privacy compliance in the Hydro Group.

Data Privacy Coordinator
A Data Privacy Coordinator shall mean the dedicated staff with responsibility for monitoring and coordinating data privacy compliance in a given Hydro corporate function or Business Area.

Data Processing Agreement
A Data Processing Agreement is an agreement that regulates how the Processor may process Personal Data on behalf of the Controller.

Data Subject
A Data Subject is the identified or identifiable natural person to whom the Personal Data being Processed relates. A Data Subject may for example be an employee of Hydro, an external consultant working for Hydro, or a person applying for a job in Hydro.

European Economic Area (EEA)
EEA means the European Economic Area, meaning the EU member states together with the EFTA countries (Liechtenstein, Iceland and Norway).

Hydro (Hydro Group)
For the purpose of this Data Protection Procedure Hydro or Hydro Group (or Hydro Group of companies) shall mean Norsk Hydro ASA and all Legal Entities. The term Hydro refers to the whole Hydro Group of companies or each of the members of the Hydro Group, as the case may be.

Legal Entity
For the purpose of this Data Protection Procedure, a Legal Entity is a fully owned subsidiary of Norsk Hydro ASA as well as other legal entities where Hydro directly or indirectly controls more than 50% of the voting rights and that adheres to the Hydro Code of Conduct and Hydro’s Steering Documents.

Data Privacy Champion
A Data Privacy Champion shall mean the staff designated at the relevant level in Hydro with tasks to ensure implementation and management of and compliance with this Data Protection Procedure in the given area, unit or function.

Personal Data
Personal Data means any information relating to an identified or identifiable natural person (Data Subject) who can be identified directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person.

Processing of Personal Data
Processing means any operation performed upon or use of Personal Data, whether or not by automatic means, such as collection, recording, alignment, storage and disclosure, or a combination of such use. The definition is technology neutral and includes fully or partly Processing of Personal Data with the aid of computers or similar equipment that is capable of automatically Processing of Personal data. The definition also includes manual registration or filing systems if Personal Data is included.

Processor
A Processor is any natural or legal person, public authority, agency or other body, which Processes Personal Data on behalf of a Controller. Examples of Processors include external IT-service providers or outsourcing partners of Hydro. A Hydro Legal Entity (such as Norsk Hydro ASA) may act as an internal Processor, which Processes the Personal Data on behalf of another Legal Entity acting as a Controller.

Sensitive Personal Data
Sensitive Personal Data is any Personal Data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, trade union membership, genetic data, biometric data (for uniquely identifying a natural person), health, sex life or sexual orientation or offences and criminal conviction.

Standard Contractual Clauses (SCC)
The Standard Contractual Clauses or SCC are standard data protection contracts as adopted by the EU Commission to be executed between a Controller established in an EEA member country and a Controller or Processor in a Third County in order to provide a legal basis for the Transfer of Personal Data from an EEA member country to a Third Country.

Third Country
A Third Country shall mean a country outside the EEA, i.e. all countries except the EU member states and the EFTA countries (Liechtenstein, Iceland and Norway).

Third Party
For the purpose of this Data Protection Procedure a Third Party shall mean any person, private organization or government body outside Hydro.

Transfer
A Transfer shall include any disclosure, copy or move of Personal Data, which are undergoing Processing or are intended for Processing after the disclosure, copy or move, from one Legal Entity to another Legal Entity or to a Third Party, irrespectively of the type of medium or technical measures used to access the Personal Data.

8 Contact

The Head of Data Privacy may be contacted at:

EmailLine.Schartum-Hansen@hydro.com

Postal address: Norsk Hydro ASA, Drammensveien 264, Oslo, Norway

9 Effective date and last update

Effective date: May 24, 2018

Last update: May 24, 2018