Skydd av personuppgifter
Att skydda dina personuppgifter är viktigt för oss och våra affärsprocesser är utformade för att ta hänsyn till detta. Vi behandlar de (person)uppgifter som delas av dig inom ramen för en anmälan som strikt konfidentiella och endast i enlighet med lagstadgade bestämmelser.
I det följande vill vi informera dig om insamling, behandling och användning av personuppgifter inom ramen för anmälningssystemet. Vi ber dig att noga läsa igenom datasekretessinformationen innan du skickar en anmälan.
1 Controller
Controllern för anmälningssystemet (BKMS® System – tillgänglig på https://www.bkms-system.net/voestalpine) i enlighet med den allmänna dataskyddsförordningen 1 (”GDPR”) är
1. voestalpine AG
voestalpine-Straße 1
4020 Linz, Österrike
E-post: group-dataprotection@voestalpine.com
2. dess dotterbolag
(för aktuella kontaktuppgifter se https://www.voestalpine.com/locations)
som oberoende controllers (hädanefter ”voestalpine”, ”vi” eller ”oss”)
1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om fri rörlighet för sådana uppgifter och om upphävande av direktiv 95/46/EG (Allmän dataskyddsförordning).
2 Anmälningssystemets syfte och rättsliga grund
Anmälningssystemets (BKMS® System) tjänar syftet att ta emot och behandla anmälningar om (misstänkta) överträdelser av lagar eller voestalpines efterlevnadsregler via en säker och konfidentiell kanal. Behandlingen av de (person)uppgifter som du delar inom ramen för BKMS® System används för att avslöja och förebygga missförhållanden och att avvärja associerade skador, inte bara för voestalpine-koncernen utan även för våra anställda och våra kunder. Den rättsliga grunden för denna behandling av (person)uppgifter är artikel 6.1f i GDPR (berättigade intressen för den personuppgiftsansvarige av att avslöja och förhindra missförhållanden och avvärja de relaterade skadorna, inte bara för voestalpine-koncernen utan även för våra anställda och våra kunder). Vidare är databehandlingen av viktigt allmänintresse (art. 6.1e i GDPR) för att förebygga och avslöja brott genom mottagen information och för att förhindra att brott begås genom att det finns anmälningssystem. För de dotterbolag för vilka ett anmälningssystem är obligatoriskt enligt Visselblåsardirektivet och dess nationella genomförandelagar, ska art. 6.1c i GDPR (uppfyllelse av en rättslig skyldighet) också tillämpas som rättslig grund.
Vi ber dig att inte ta med några särskilda kategorier av personuppgifter i din anmälan (inklusive uppgifter som indikerar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt genetiska och biometriska data, hälsodata eller data om sexuell aktivitet eller sexuell läggning hos en fysisk person). I den mån du ändå delar sådana uppgifter är den rättsliga grunden för denna behandling artikel 9.2f i GDPR (fastställande, utövande eller försvar av rättsliga anspråk).
Uppgifter om straffrättsliga domar och brottsliga handlingar eller associerade säkerhetsåtgärder behandlas endast i den mån detta är tillåtet enligt lagarna i Europeiska unionen eller medlemsstaterna, för att ge lämpliga garantier för de inblandade personernas rättigheter och friheter.
3 Användning av anmälningssystemet och typ av insamlade personuppgifter
3.1 Typer av behandlade personuppgifter
Det är frivilligt att använda anmälningssystemet. Om du lämnar in en anmälan via anmälningssystemet behandlar vi följande personuppgifter och information om de inblandade personerna nedan som du lämnar frivilligt inom ramen för din anmälan:
Anmälare/inskickare av anmälan: - Ditt namn, om du (frivilligt) vill uppge vad du heter
- Om du är anställd hos det berörda företaget
- Vilken relation du har med det berörda företaget
- Beteckning och kort beskrivning av situationen
- Andra personuppgifter om dig och de personer som nämns i anmälan som du lämnar frivilligt inom ramen för anmälan
Under behandlingens gång kan vi också begära att du tillhandahåller ytterligare uppgifter som skulle kunna underlätta behandlingen av din rapport. Informationsutbytet sker alltid frivilligt. Dessa data delas in i följande kategorier:
- Privata och professionella kontaktuppgifter (t.ex. namn, telefonnummer, e-post, adress)
- Födelsedatum
- Relation till voestalpine (t.ex. leverantör, anställd, kund, affärspartner)
- Anställningsdata för voestalpine-medarbetare
- Andra personuppgifter som hjälper till vid handläggningen av det konkreta ärendet och som du delar med dig av frivilligt
Andra berörda parter som nämns i anmälan av anmälaren (t.ex. anklagade personer, vittnen, personer med information): - Namn och andra personuppgifter som delas av anmälaren inom ramen för anmälan
Att ge fullständiga svar på de frågor som ställs inom ramen för anmälan gör det lättare för oss att behandla din anmälan. Observera att i den mån de beskrivna (person)uppgifterna inte tillhandahålls eller inte tillhandahålls i nödvändig omfattning eller om vi inte kan samla in sådana uppgifter, kanske vi inte kan behandla din anmälan eller så kan behandlingen av din anmälan försenas.
3.2 Använda anmälningsportalen
Kommunikation mellan din enhet (dator, surfplatta, mobiltelefon osv.) och anmälningssystemet sker via en krypterad anslutning (SSL). Din IP-adress sparas inte när du använder anmälningssystemet. För att förbindelsen mellan din enhet och BKMS® System ska finnas kvar sparas en cookie som bara innehåller sessionens ID (en så kallad sessionscookie) på enheten. Cookien är bara giltig tills sessionen avslutas och du stänger webbläsaren.
All information som tas emot kommer att behandlas av voestalpine AG:s Anmälningskommitté som standard eller, i enskilda fall, direkt av det berörda dotterbolaget och kommer alltid att behandlas konfidentiellt.
4 Överföring och ytterligare delning
Inom ramen för behandlingen av en anmälan är det nödvändigt att dela en anmälan helt eller delvis med de anställda på voestalpine AG som ansvarar för behandlingen, respektive behöriga avdelningar och de dotterbolag som också är involverade i anmälans ämne, liksom eventuella externa konsulter i vissa fall (t.ex. advokater, revisorer, tolkar/översättare eller kriminaltekniska experter som utreder din anmälan på uppdrag av voestalpine).
I detta sammanhang har voestalpine AG och respektive berörda koncernbolag ett berättigat intresse av överföring och behandling av data av voestalpine AG för ärendebehandlingen, eftersom potentiella överträdelser ofta inte, eller inte i tillräcklig utsträckning, klargörs och utesluts på lokal nivå och därför kräver granskning och ingripande av koncernens moderbolag. Av dessa skäl har det berörda koncernföretaget ett berättigat intresse av att behandla uppgifterna och överföra dem till voestalpine AG, och voestalpine AG har ett berättigat intresse av att ta emot och vidarebehandla uppgifterna med hjälp av BKMS® System.
Din information kommer endast att göras tillgänglig för de personer som behöver informationen akut för behandlingen av din anmälan. Vi ser alltid till att följa alla tillämpliga dataskyddsbestämmelser när vi delar innehållet i en anmälan. Alla personer som får tillgång till informationen är skyldiga att hantera den konfidentiellt.
Dessutom kan uppgifter komma att delas med andra behöriga parter (t.ex. offentliga myndigheter) i den mån vi är skyldiga att göra det på grundval av lagstadgade bestämmelser eller verkställbara beslut av offentliga myndigheter eller domstolar.
4.1 Registerförare
Anmälningssystemet drivs av ett specialiserat företag, EQS Group GmbH, Bayreuther Str. 35, 10789 Berlin, för voestalpines räkning.
voestalpine AG agerar som registerförare i den mening som avses i art. 28 i GDPR angående användningen av BKMS® System och förstanivåsupport för koncernbolagen.
Personuppgifter och information som matas in i anmälningssystemet lagras i en databas som drivs av EQS Group GmbH på ett högsäkerhetsdatacenter. Endast voestalpine har åtkomst till dessa data. EQS Group GmbH och andra utomstående parter kan inte komma åt uppgifterna. Detta garanteras av en certifierad procedur som innefattar omfattande tekniska och organisatoriska åtgärder. Alla uppgifter lagras med kryptering på flera lösenordskyddade nivåer för att garantera att åtkomsten begränsas till ett mycket litet antal uttryckligen auktoriserade personer på voestalpine (se ovan under ”Överföring och vidare delning”). Produktvideon på EQS Group GmbH:s webbplats (www.eqs.bkms-system.com) ger en kort och koncis förklaring av hur BKMS® System fungerar.
4.2 Delning med mottagare utanför EU eller EEA
Mottagarna som beskrivs i detta avsnitt 4 kan vara belägna i länder utanför EU (”tredjeländer”), där tillämpliga lagar inte garanterar samma nivå av dataskydd som i ditt hemland. I sådana fall sker all överföring enligt lagstadgade krav endast om ett lämplighetsbeslut från Europeiska kommissionen finns för tredjelandet, lämpliga garantier har överenskommits med mottagaren (t.ex. EU-standardavtalsklausuler), mottagaren deltar i ett godkänt certifieringssystem, bindande företagsregler enligt artikel 47 i GDPR finns eller om det finns ett undantag för specifika situationer i enlighet med artikel 49 i GDPR (t.ex. om överföring krävs för upprättande, utövande eller försvar av rättsliga anspråk). Du kan begära översikt över mottagarna i tredjeländer av oss samt en kopia av de specifikt överenskomna reglerna för att säkerställa lämplig nivå av dataskydd. För att begära detta, använd informationen i avsnittet Kontakt.
5 Lagringstid, kvarhållningsperioder
Personuppgifter sparas så länge det behövs för att klargöra och utvärdera situationen eller så länge företaget har ett berättigat intresse av att göra det eller är skyldigt till det enligt lag. Efteråt kommer uppgifterna att raderas eller anonymiseras i enlighet med lagstadgade krav.
6 Den registrerades rättigheter
Enligt europeisk dataskyddslagstiftning har du som anmälare och de andra registrerade personerna som nämns i anmälan rätt till information, rättelse, radering, begränsning av behandling, dataportabilitet och invändning mot behandling av de egna personuppgifterna. Du har också en möjlighet att registrera en anmälan hos tillsynsmyndigheten.
7 Information om de andra registrerade personerna
Om det finns en rättslig skyldighet kommer vi att informera andra registrerade (t.ex. åtalade personer, vittnen, personer med information osv.) att vi har fått en rapport om dem. Din identitet som anmälare kommer inte att avslöjas – i den mån det är lagligt tillåtet – och det kommer också att säkerställas att det inte går att dra några slutsatser om din identitet som anmälare. Vid avsiktlig inlämnande av falska rapporter i avsikt att misskreditera en individ (angivelse), kan sekretess inte garanteras. Den rättsliga grunden för denna behandling av personuppgifter är artikel 6.1c i GDPR (efterlevnad av en rättslig skyldighet).
8 Information om att skicka bilagor
När du gör en anmälan eller skickar ett tillägg kan du också bifoga bilagor till en behörig medarbetare hos voestalpine. Om du vill lämna in en rapport anonymt, observera följande säkerhetsanvisning: filer kan innehålla dolda personuppgifter som kan äventyra din anonymitet. Ta bort dessa uppgifter innan du skickar dokument. Om du inte kan ta bort den här informationen eller inte vet hur det går till ska du kopiera texten från bilagan till anmälningstexten eller skicka en utskrift av den anonymt med det referensnummer du får i slutet av anmälningsprocessen till den adress som anges i sidfoten.
9 Kontakt
När det gäller frågor avseende dataskydd samt för fastställande av dina tidigare beskrivna rättigheter kan du kontakta dataskyddsorganisationen hos voestalpine på group-dataprotection@voestalpine.com eller
voestalpine AG, Legal, M&A and Compliance, voestalpine-Straße 1, 4020 Linz, Österrike.
10 Ändring av skyddet av personuppgifter
Detta skydd av personuppgifter ändras från tid till annan. Observera därför alltid den aktuella versionen av vår dataskyddsförsäkran.
Version: Oktober 2022
(För att förenkla textflödet använder vi inte någon könsneutral formulering. I den mån hänvisningar till individer är formulerade med den maskulina versionen, gäller alla sådana formuleringar lika för alla kön.)