Gegevensbeschermingsverklaring
De bescherming van uw persoonlijke gegevens is belangrijk voor ons en onze bedrijfsprocessen zijn ontworpen om hiermee rekening te houden. Wij verwerken de door u in het kader van een melding gedeelde (persoons)gegevens als strikt vertrouwelijk en uitsluitend in overeenstemming met de wettelijke bepalingen.
Hieronder willen wij u informeren over de verzameling, de verwerking en het gebruik van persoonsgegevens in het kader van het klokkenluidersysteem. Lees deze privacy-informatie zorgvuldig na vóór u een melding afgeeft.
1 Beheerder
De beheerder voor het klokkenluidersysteem (BKMS® System - toegankelijk via https://www.bkms-system.net/voestalpine) overeenkomstig de Algemene Verordening Gegevensbescherming 1 (“AVG”) is.
1. voestalpine AG
voestalpine-Straße 1
4020 Linz, Oostenrijk
E-mail: group-dataprotection@voestalpine.com
2. haar dochterondernemingen
(voor actuele contactgegevens zie https://www.voestalpine.com/locations)
als onafhankelijke beheerders (hierna "voestalpine", "wij" of "ons")
1 Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming).
2 Doel en rechtsgrondslag van de klokkenluidersysteem
Het klokkenluidersysteem (BKMS® System) dient voor het ontvangen en verwerken van meldingen van (vermoedelijke) overtredingen van wetten of de nalevingsvoorschriften van voestalpine via een beveiligd en vertrouwelijk kanaal. De verwerking van de door u gedeelde (persoons)gegevens in het kader van de BKMS® System dient om misstanden aan het licht te brengen en te voorkomen en de daarmee gepaard gaande schade af te wenden, niet alleen voor de voestalpine-groep, maar ook voor onze medewerkers en onze klanten. De rechtsgrond voor deze verwerking van (persoons)gegevens is artikel 6 paragraaf 1 punt f AVG (gerechtvaardigd belang van de verantwoordelijke voor de verwerking om wanpraktijken aan het licht te brengen en te voorkomen en de daarmee gepaard gaande schade af te wenden, niet alleen voor de voestalpine-groep maar ook voor onze medewerkers en onze klanten). Voorts is de gegevensverwerking in het zwaarwegend algemeen belang (artikel 6, par. 1, punt e AVG) om strafbare feiten te voorkomen en aan het licht te brengen door middel van ontvangen informatie en om het plegen van strafbare feiten te ontmoedigen door middel van klokkenluidersystemen. Voor de dochterondernemingen waarvoor een klokkenluidersysteem verplicht is op grond van de klokkenluidersrichtlijn en de nationale uitvoeringswetten daarvan, moet artikel 6, par. 1 punt c AVG (nakoming van een wettelijke verplichting) ook als rechtsgrondslag worden gebruikt.
Wij verzoeken u in uw melding geen bijzondere categorieën persoonsgegevens op te nemen (waaronder gegevens over ras of etnische afkomst, politieke opvattingen, religieuze of filosofische overtuigingen of vakbondslidmaatschap, alsmede genetische en biometrische gegevens, gezondheidsgegevens of gegevens over de seksuele activiteit of seksuele geaardheid van een natuurlijke persoon). Voor zover u dergelijke gegevens niettemin deelt, is de rechtsgrondslag voor deze verwerking artikel 9, par. 2, punt f AVG (vaststelling, uitoefening of verdediging van rechtsvorderingen).
Gegevens betreffende strafrechtelijke beslissingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen worden alleen verwerkt voor zover dit is toegestaan volgens de wetgeving van de Europese Unie of de lidstaten, die passende waarborgen biedt voor de rechten en vrijheden van de betrokken personen.
3 Gebruik van het klokkenluidersysteem en type verzamelde persoonsgegevens
3.1 Soort verwerkte persoonsgegevens
Het gebruik van het klokkenluiderssysteem gebeurt op vrijwillige basis. Als u een melding afgeeft via het klokkenluidersysteem, verwerken wij de volgende persoonsgegevens en informatie over de hieronder genoemde betrokkenen die u vrijwillig verstrekt in het kader van uw melding:
Klokkenluider/afgever melding: - Uw naam, als u (vrijwillig) uw identiteit wilt bekendmaken
- Of u een werknemer van het betrokken bedrijf bent
- Welke relatie u heeft met het betrokken bedrijf
- Benaming en korte beschrijving van de situatie
- Andere persoonsgegevens over u en de in de melding genoemde personen die u vrijwillig verstrekt in het kader van de melding
In de loop van de verwerking kunnen wij u ook verzoeken aanvullende gegevens te verstrekken die de verwerking van uw melding vergemakkelijken. Het delen van informatie gebeurt altijd vrijwillig. Deze gegevens vallen in de volgende categorieën uiteen:
- persoonlijke en professionele contactgegevens (bijv. naam, telefoonnummer, e-mail, adres)
- geboortedatum
- relatie tot voestalpine (bijv. leverancier, medewerker, klant, zakenpartner)
- medewerkergegevens van voestalpine medewerkers
- andere persoonsgegevens die helpen bij de verwerking van het concrete geval en die u vrijwillig deelt
Andere betrokkenen die door de klokkenluider in de melding worden genoemd (bv. beschuldigden, getuigen, mensen met informatie): - naam en andere persoonsgegevens die door de klokkenluider in het kader van de melding worden gedeeld
Door volledige antwoorden te geven op de vragen die in het kader van de melding helpt u ons om uw melding te verwerken. Houd er rekening mee dat voor zover de beschreven (persoons)gegevens niet of niet in de noodzakelijke mate worden verstrekt of wij dergelijke gegevens niet kunnen verzamelen, wij uw melding mogelijk niet in behandeling kunnen nemen of de verwerking van uw melding vertraging kan oplopen.
3.2 Gebruik van de klokkenluidersportaalsite
De communicatie tussen uw toestel (pc, tablet, mobiele telefoon, etc.) en het klokkenluidersysteem verloopt via een versleutelde verbinding (SSL). Uw IP-adres wordt niet opgeslagen tijdens uw gebruik van het klokkenluidersysteem. Om de verbinding tussen uw toestel en de BKMS® System in stand te houden, wordt een cookie op uw apparaat opgeslagen die enkel de sessie-ID bevat (een zogenaamde sessiecookie). Deze cookie is uitsluitend geldig tot het einde van uw sessie en vervalt wanneer u uw browser sluit.
Alle ontvangen informatie zal standaard worden verwerkt door het klokkenluiderscomité van voestalpine AG of, in individuele gevallen, rechtstreeks door de betrokken dochteronderneming en zal altijd vertrouwelijk worden behandeld.
4 Doorgifte en verder delen
In het kader van de verwerking van een melding is het noodzakelijk een melding geheel of gedeeltelijk te delen met de medewerkers van voestalpine AG die verantwoordelijk zijn voor de verwerking, de respectievelijk bevoegde afdelingen en de dochterondernemingen die betrokken zijn bij het onderwerp van de melding, alsmede in sommige gevallen met externe adviseurs (bijvoorbeeld advocaten, accountants, tolken/vertalers of forensische deskundigen die uw melding in opdracht van voestalpine onderzoeken).
In dit verband hebben voestalpine AG en de respectieve betrokken bedrijven van de groep een legitiem belang bij de doorgifte en verwerking van gegevens door voestalpine AG in het kader van de verwerking van gevallen, omdat mogelijke schendingen vaak niet of niet voldoende op lokaal niveau worden opgehelderd en uitgesloten, en dus controle en interventie door het moederbedrijf van de groep vereisen. Om deze redenen heeft het betrokken groepsbedrijf een rechtmatig belang om de gegevens te verwerken en door te geven aan voestalpine AG, en heeft voestalpine AG een rechtmatig belang om de gegevens te ontvangen en verder te verwerken met behulp van BKMS® System.
Uw informatie wordt alleen beschikbaar gesteld aan personen die de informatie dringend nodig hebben voor de behandeling van uw melding. Wanneer we meldingen met anderen delen, zorgen we er altijd voor dat de toepasselijke voorschriften inzake gegevensbescherming worden gevolgd. Alle personen die toegang krijgen tot de gegevens, zijn verplicht om de gegevens vertrouwelijk te behandelen.
Bovendien kunnen gegevens worden gedeeld met andere bevoegde partijen (bijvoorbeeld overheidsinstanties) voor zover wij verplicht zijn om dit te doen op basis van wettelijke bepalingen of uitvoerbare beslissingen van overheidsinstanties of rechtbanken.
4.1 Verwerkers
Het klokkenluiderssysteem wordt namens voestalpine beheerd door een gespecialiseerd bedrijf, EQS Group GmbH, Bayreuther Str. 35, 10789 Berlijn in Duitsland.
voestalpine AG treedt op als verwerker in de zin van art. 28 AVG met betrekking tot het gebruik van BKM® Incident Reporting en First-Level-Support voor de bedrijven van de groep.
Persoonsgegevens en informatie ingevoerd in klokkenluidersysteem zijn opgeslagen in een gegevensbank van een hoogbeveiligd gegevenscentrum dat geëxploiteerd wordt door EQS Group GmbH. Enkel voestalpine heeft toegang tot de gegevens. EQS Group GmbH en andere derde partijen hebben geen toegang tot de gegevens. Dit wordt verzekerd door middel van uitgebreide technische en organisatorische maatregelen in de gecertificeerde procedure. Alle gegevens worden gecodeerd opgeslagen met meerdere niveaus van wachtwoordbeveiliging, zodat de toegang wordt beperkt tot een zeer kleine selectie van uitdrukkelijk bevoegde personen bij voestalpine (zie hierboven onder "Overdracht en verder delen"). De productvideo op de website van EQS Group GmbH (www.eqs.bkms-system.com) geeft een korte en bondige uitleg over de werking van de BKMS® System.
4.2 Delen met ontvangers buiten de EU of de EER
De in dit punt 4 beschreven ontvangers kunnen gevestigd zijn in landen buiten de Europese Unie ("derde landen"), waar de toepasselijke wetgeving niet hetzelfde niveau van gegevensbescherming garandeert als in uw eigen land. In dit geval vindt doorgifte volgens de wettelijke voorschriften alleen plaats indien er een besluit van gepastheid van de Europese Commissie voor het derde land bestaat, er met de ontvanger passende garanties zijn overeengekomen (bijv. standaardcontractbepalingen van de EU), de ontvanger deelneemt aan een goedgekeurd certificeringssysteem, er bindende bedrijfsvoorschriften overeenkomstig artikel 47 AVG bestaan of er een afwijking is voor specifieke situaties overeenkomstig artikel 49 AVG (bijv. de doorgifte is vereist voor de vaststelling, de uitoefening of de verdediging van een rechtsvordering). U kunt bij ons een overzicht opvragen van de ontvangers in derde landen en een kopie van de specifiek overeengekomen regels om een passend niveau van gegevensbescherming te waarborgen. Gebruik de informatie in de sectie Contact om dit aan te vragen.
5 Duur van opslag, retentieperiodes
Persoonsgegevens worden bewaard zolang als nodig is om de situatie te verduidelijken en een afsluitende evaluatie uit te voeren of zolang er een legitiem belang bestaat voor het bedrijf of indien bewaring wettelijk vereist is. Daarna worden de gegevens overeenkomstig de wettelijke voorschriften gewist of geanonimiseerd.
6 Rechten van de betrokkenen
Krachtens de Europese wetgeving inzake gegevensbescherming hebben u als klokkenluider en de andere in de melding genoemde betrokkenen recht op informatie, rectificatie, wissing, beperking van de verwerking, gegevensportabiliteit en bezwaar tegen de verwerking van uw persoonsgegevens. U hebt ook de mogelijkheid om een klacht in te dienen bij de toezichthoudende autoriteit.
7 Informatie over de andere betrokkenen
Indien er een wettelijke verplichting bestaat, stellen wij andere betrokkenen (bv. beschuldigden, getuigen, mensen met informatie, enz.) ervan op de hoogte dat wij een melding over hen hebben ontvangen. Uw identiteit als klokkenluider zal niet openbaar worden gemaakt – voor zover dit wettelijk is toegestaan – en er zal ook voor worden gezorgd dat er geen conclusies kunnen worden getrokken met betrekking tot uw identiteit als klokkenluider. In geval van opzettelijke indiening van valse meldingen met de bedoeling een persoon in diskrediet te brengen (aanklacht), kan de vertrouwelijkheid niet worden gegarandeerd. De wettelijke grondslag voor deze verwerking van persoonsgegevens is artikel 6 paragraaf 1 punt c AVG (naleving van een wettelijke verplichting).
8 Opmerking over het verzenden van bijlagen
Bij het afgeven van een melding of een aanvullende informatie kunt u tegelijkertijd bijlagen naar de verantwoordelijke voestalpine medewerker sturen. Als u anoniem een melding wilt afgeven, neem dan het volgend veiligheidsadvies in acht: bestanden kunnen verborgen persoonsgegevens bevatten die uw anonimiteit in het gedrang brengen. Verwijder deze gegevens voordat u de documenten verzendt. Indien u niet in staat bent deze gegevens te verwijderen of u twijfelt over hoe u dit moet doen, kopieer dan de tekst van uw bijlage naar uw meldingstekst of verzend het afgedrukte document anoniem naar het adres dat in de voetnoot vermeld staat, waarbij u het referentienummer vermeldt dat u aan het einde van het meldingsproces ontvangt.
9 Contact
Bij vragen over het onderwerp gegevensbescherming en voor de vaststelling van uw eerder beschreven rechten kunt u contact opnemen met de gegevensbeschermingsorganisatie van voestalpine op group-dataprotection@voestalpine.com of
voestalpine AG, Legal, M&A and Compliance, voestalpine-Straße 1, 4020 Linz, Oostenrijk.
10 Wijziging van de gegevensbeschermingsverklaring
Deze gegevensbeschermingsverklaring wordt van tijd tot tijd gewijzigd. Let daarom altijd op de actuele versie van onze privacyverklaring.
Versie: Oktober 2022
(om de tekststroom te vereenvoudigen gebruiken wij geen genderneutrale formuleringen. Voor zover verwijzingen naar individuen in de mannelijke versie zijn geformuleerd, gelden die formuleringen in gelijke mate voor alle geslachten).