数据隐私声明
Syntegon 尊重您的隐私
在处理个人身份信息的整个过程中保护您的隐私,就像保护所有业务数据的安全一样,是我们在所有业务流程中考量的一项非常重要的主题。我们将仅在法律规定框架内以保密的方式处理个人数据。
控制方
根据欧盟《通用数据保护条例》(GDPR) 规定,您用于发送合规报告之 BKMS® System 的控制方为作为母公司的企业 Syntegon Technology GmbH(Stuttgarter Str. 130, 71332 Waiblingen,以下简称“Syntegon GmbH”、“我们”,或“我方”)。
我们在合规方面的联系方为:
- Syntegon Technology GmbH
- Corporate Legal and Compliance
- Stuttgarter Str. 130
- 71332 Waiblingen
- GERMANY(德国)
- 电邮:Compliance.management@syntegon.com
我们在数据隐私方面的联系方为:
- Syntegon Technology GmbH
- Corporate Information Security and Privacy
- Stuttgarter Str. 130
- 71332 Waiblingen
- GERMANY(德国)
- 电邮:DPO@syntegon.com
个人数据的处理
个人数据指的是与已识别或可识别自然人有关的所有信息,例如姓名、地址、电话号码、电子邮件地址、合同主数据、合同会计和付款数据,前提是这些数据能够体现自然人的身份。
我们仅在有法律依据或您同意处理个人数据的情况下处理个人数据。
所处理数据的类别
使用 BKMS® System 发送合规或数据保护报告或数据主体请求均采取自愿原则。如果您使用本系统,我们可能会要求您提供以下类别的数据:
- 通信数据(如姓名、电话、电邮、地址)
- Syntegon 员工数据以及
- 如适用,您报告中所提及人员的姓名和其他个人数据
如果您能够完整回答合规或数据保护报告或数据主体请求中的所有问题,将有助于我们处理您的报告。如果您提供的数据不完整,我们可能无法处理报告,或者只能延迟处理。
处理目的和法律依据
BKMS® System 旨在为您的合规或数据保护报告提供一条沟通渠道,并确保 Syntegon GmbH 按照 Compliance Management System(合规管理系统)的流程处理您的报告,执行企业法和监管法以及数据保护法的法律规定。
处理您的个人数据主要出于以下目的:
- 合规报告:对可能违反合规要求的报告进行标识和追踪。您可以通过 BKMS® System 以实名或匿名,且安全的方式向 Syntegon 负责部门报告此类违规行为。
法律依据:Syntegon Technology GmbH 的合法权益,包括起诉刑事犯罪、执行民事索赔、继续或终止雇佣关系,或侦查与雇佣关系相关的刑事犯罪,以及避免违反《德国违反秩序法》(OWiG) 的规定(GDPR 第 6 (1) f 条、《德国数据保护法》(BDSG) 第 24 (1) 条;GDPR 第 88 条、BDSG 第 26 (1) 条和 OWiG 第 30 和 130 条)。
- 合规管理:集中管理和分配整个集团的合规问题。
法律依据:作为管理职能的一部分,Syntegon GmbH 集中统筹合规报告(GDPR 第 6 (1) f 条)以及行使和捍卫我方权利的合法利益。
- 数据保护报告:涉及可能违反数据保护规定的报告和报告调查(GDPR 第 33 条)。您可使用 BKMS® System 实名或匿名,且以安全的方式向 Syntegon 负责员工发送报告。
法律依据:为履行控制方必须履行的法律义务,有必要进行处理(GDPR 第 6 (1) c 条)。
- 数据主体请求:追踪数据主体发送的请求和访问请求(GDPR 第 12 至 21 条)。不允许匿名发送数据主体请求,因为在这种情况下我们必须毫无疑问地确定您的身份。
法律依据:为履行控制方必须履行的法律义务,有必要进行处理(GDPR 第 6 (1) c 条)。
- 数据保护管理:集中管理和处理与整个集团相关的数据保护事件。
法律依据:Syntegon Technology GmbH 集中统筹数据主体请求和数据保护报告(GDPR 第 6 (1)(f) 条),以及维护和捍卫我方权利的合法利益。
储存日志文件/ 使用 Cookie
为了保持您的计算机和 BKMS® System 之间的连接,将在您的电脑上储存一个 Cookie,仅包含会话 ID(会话 Cookie)。此 Cookie 有效期只至您的会话结束,并在您关闭浏览器时到期。
在发送合规报告后,可以在 BKMS® System 内设置一个信箱,以展开进一步沟通,该信箱由自行选择的假名/ 用户名和密码进行保护。
向 Syntegon 员工、潜在嫌疑人和其他控制方传输数据
在处理合规报告时,有必要与负责处理报告的 Syntegon GmbH 员工或受报告影响的子公司员工分享报告的全部或部分内容。您的信息只提供给负责处理您报告的员工,而且仅限处理您报告所需的范围。
如果您在合规报告中提供了自己的身份信息,根据 GDPR,我们有义务将您(我们所收到个人数据之来源)的身份信息告知潜在的嫌疑人(GDPR 第 14 (3) a) 条)。如果提供这些信息极有可能危及我们对指控进行有效调查,或收集必要证据的能力,那么只要存在这种风险,我们就会推迟提供所需的嫌疑人信息(GDPR 第 14 (5) b) 条)。
您的个人数据只有在为履行进一步法律义务所必需的情况下,才会被传输至其他控制方。
此外,如果法律规定或当局或法院下达强制执行令要求我们这样做,我们可以将数据传输给其他控制方(如当局)。
服务供应商(概述)
Syntegon GmbH 委托专业企业 EQS Group GmbH(地址:Bayreuther Str. 35, 10789 Berlin,以下简称“服务供应商”)代表 Syntegon GmbH 运维合规报告系统。输入该系统的数据储存在由 EQS Group GmbH 运维的数据库中。该数据库位于欧盟的一个高度安全的数据中心内。
Syntegon GmbH 精心挑选上述服务供应商,并定期对其进行监督审核,重点在于对其所储存数据的谨慎处理和安全保护。只有经过筛选的 Syntegon 员工才有权访问数据(参见上文“向 Syntegon 员工和其他控制方传输数据”)。服务供应商无法访问数据。我们在认证程序中通过全方位技术和组织措施对此予以确保。
Syntegon GmbH 规定服务供应商有义务对数据保密并遵守法律规定。
向欧盟和/ 或欧洲经济区以外的接收方传输
我们也可以将个人数据传输给位于欧盟或欧洲经济区以外的第三国/地区的 Syntegon 法律实体或机构。在这种情况下,我们会在传输之前确保数据接收方提供适当的数据保护水平(例如,根据欧盟委员会对相关国家/地区的充分性决定,或根据与接收方达成的欧盟标准数据保护条款协议),或者您已同意传输。
您可以从我们这里获得第三国/地区接收方的名单,以及确保适当数据保护水平之具体商定条款的副本。如需索取名单,请参见“联系方式”一节。
储存期限;保留期
合规:
我们通常会在必要时储存您的数据,以澄清与您报告相关的合规事件。
合规报告处理完毕后,我们将删除您的个人数据,但为维护和捍卫我们的权利而需要继续储存和处理的数据除外。
当行政犯罪、刑事行为或主张民事索赔的最长时效期结束后,我们将删除以主张和捍卫自身权益为目的而储存及处理的您的个人数据(OWiG [德国违反秩序法] 第 31 条第 2 款、第 33 条第 3 款;StGB [德国刑法] 第 78 条第 3 款,第 78c 条第 3 款;以及 BGB [德国民法典] 第 195 条及以下条款)。
数据保护:
我们通常会在必要时储存您的数据,以澄清数据保护事件或处理您的请求。
在完成对数据保护报告或数据主体请求的处理后,我们将删除您的个人数据,但为维护和捍卫我们的权利而需要继续储存和处理的数据除外。
当行政犯罪的最长时效期结束后,我们将删除为维护和捍卫我们的权利而需要继续储存和处理的个人数据(OWiG [德国违反秩序法] 第 31 条第 2 款、第 33 条第 3 款)。在完成数据保护报告或数据主体请求的处理后六年内,数据将被删除。
安全
我们的员工和服务供应商有义务为我们的协议保密,并遵守适用的数据保护法规。
任何所收到的报告由明确获得授权并经过专门培训的 Syntegon 员工接收,而且始终获得保密处理。Syntegon 员工将对事件进行评估,并针对特定情况采取所需的进一步调查。所有上述拥有数据访问权限的人员均有保密义务。
我们将采取所有必要的技术和组织措施,以确保适当的保护水平,特别是保护我们所管理的您的数据免受无意或非法破坏、操纵、丢失、改变、未经授权的披露或访问的风险。我们的安全措施会随技术发展而时刻改进。您计算机与用于报告违反合规要求情况的 BKMS® System 之间的通信通过加密连接 (TLS) 进行。
知情权和访问权
您有权向我们了解您的数据是否正在接受处理,如果正在接受处理,您有权访问我们所处理之您的个人信息。
更正和擦除/ 删除权
如果符合法律规定,您可以要求我们纠正不准确的数据,以及补充完整或删除您的数据。这不适用于为工资和会计目的所需的任何数据,也不适用法定保留责任。但是,如果不需要访问这些数据,则对这些数据的处理将受到限制(见下文)。
限制处理权
如果符合法律规定,您可以要求我们限制对您数据的处理。
反对数据处理权
此外,只要数据处理以“合法利益”为法律依据,您有权在任何时候以您的特殊情况为由反对我们对您的数据进行处理。之后,我们将终止处理您的数据,除非我们能够根据法律规定,证明有强制性合法理由进一步处理您的数据,且这些理由优先于您的权利,或用于建立、行使或捍卫法律主张(GDPR 第 21 条)。
对监管当局提起控告权
您也有权向数据保护机构提出投诉。为此,请联系负责您居住地或德国各州的数据保护机构,或管辖我们的数据保护机构。后者为:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit(数据保护和信息自由专员)
- 地址:
- Lautenschlagerstraße 20
- D-70173 Stuttgart
- 邮政地址:
- Post Office Box 10 29 32
- 70025 Stuttgart
- Tel.: 0711/615541-0
- FAX: 0711/615541-15
- E-Mail:poststelle@lfdi.bwl.de
通过电话提交报告
当您通过电话提交举报信息时,您的匿名性同样会受到 BKMS® System 的保护。我们的组织和单位与 EQS 都无法获得您的电话号码。您对事件的描述在 BKMS® System 中以录音方式被记录下来。之后,加密的声音文件由对此负责的员工转写成文本。如果您在通过电话提交报告结束时设置了一个保密信箱,您就可以收到对此负责的员工以录音形式提供的反馈,且如有必要,您还可向报告中添加信息。或者,您也可以通过网页应用程序进入您的保密信箱,查看反馈并以书面方式进行补充。为保护您的报告或补充内容的机密性,您既不能在电话中、也不能在基于网络的保密信箱中听到它的内容。
对数据保护通知的变更
我们保留更改我方安全和数据保护措施的权利。在这种情况下,我们也会相应调整我方的数据保护通知信息。因此,请注意我们最新版本的数据保护声明,因为该声明可能会有变动。
联系方式
您可以通过“控制方”一节提供的地址联系我们。
生效日期:2019 年 12 月 4 日