Duomenų apsaugos pareigūnas
Mums svarbu apsaugoti jūsų asmens duomenis, todėl mūsų veiklos procesai sukurti taip, kad į tai būtų atsižvelgta. Jūsų (asmens) duomenis, kuriais dalijatės pranešimo pateikimo kontekste, tvarkome kaip griežtai konfidencialius ir tik laikydamiesi įstatymų nuostatų.
Toliau norime jus informuoti apie asmens duomenų rinkimą, tvarkymą ir naudojimą pranešimų apie pažeidimus sistemoje. Prieš perduodami pranešimą, atidžiai perskaitykite šią informaciją apie privatumo apsaugą.
1. Duomenų valdytojas
Pranešimų apie pažeidimus sistemos („BKMS® System“, pasiekiama adresu https://www.bkms-system.net/voestalpine) duomenų valdytojas pagal Bendrąjį duomenų apsaugos reglamentą 1 (toliau – BDAR)) yra
1. „voestalpine AG“
voestalpine-Straße 1
4020 Linz, Austrija
el. paštas group-dataprotection@voestalpine.com
2. Jos patronuojamosios įmonės
(dabartinę kontaktinę informaciją rasite adresu https://www.voestalpine.com/locations)
kaip nepriklausomi duomenų valdytojai (toliau – „voestalpine“, mes, mūsų ir pan.)
1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas).
2. Pranešimų apie pažeidimus sistemos paskirtis ir teisinis pagrindas
Pranešimų apie pažeidimus sistema („BKMS® System“) skirta pranešimams apie (įtariamus) įstatymų ar „voestalpine“ atitikties taisyklių pažeidimus gauti ir nagrinėti saugiu ir konfidencialiu kanalu. Jūsų bendrinamų (asmens) duomenų tvarkymas „BKMS® System“ pranešimų kontekste padeda atskleisti ir užkardyti netinkamą veiklą ir išvengti su tuo susijusios žalos ne tik „voestalpine Group“, bet ir mūsų darbuotojams bei klientams. Šio (asmens) duomenų tvarkymo teisinis pagrindas yra BDAR 6 straipsnio 1 dalies f punktas (teisėti duomenų valdytojo interesai atskleisti ir užkardyti netinkamą veiklą bei išvengti su tuo susijusios žalos ne tik „voestalpine“ grupei, bet ir mūsų darbuotojams bei klientams). Be to, duomenų tvarkymas yra svarbus viešajam interesui (6 str. 1 d. e punktas), kad gauta informacija leistų užkardyti nusikalstamas veikas ir jos būtų atskleistos, o naudojant pranešimų apie pažeidimus sistemas būtų atgrasoma nuo nusikalstamų veikų padarymo. Toms patronuojamosioms įmonėms, kurioms pranešimų apie pažeidimus sistema yra privaloma pagal Informavimo apie pažeidimus direktyvą ir jos nacionalinius įgyvendinimo įstatymus, BDAR 6 str. 1 d. c punktas (teisinės prievolės įvykdymas) taip pat turi būti teisinis pagrindas.
Prašome į savo pranešimą neįtraukti jokių specialių asmens duomenų kategorijų (įskaitant duomenis, nurodančius fizinio asmens rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus arba narystę profesinėse sąjungose, taip pat genetinių ir biometrinių duomenų, sveikatos duomenų ar duomenų apie seksualinę veiklą arba seksualinę orientaciją). Jei vis dėlto tokiais duomenimis pasidalysite, teisinis tokio tvarkymo pagrindas yra BDAR 9 straipsnio 2 dalies f punktas (siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus).
Teismo sprendimų duomenys pagal baudžiamąją teisę ir nusikalstamas veikas ar susijusias saugumo priemones tvarkomi tik tiek, kiek leidžiama pagal Europos Sąjungos ar valstybių narių įstatymus, kurie suteikia tinkamas garantijas dėl susijusių asmenų teisių ir laisvių.
3. Pranešimų apie pažeidimus sistemos naudojimas ir renkamų asmens duomenų pobūdis
3.1. Tvarkomų asmens duomenų rūšys
Pranešimų apie pažeidimus sistema naudojama savanoriškai. Jei pranešimą perduodate per pranešimų apie pažeidimus sistemą, toliau išvardytų susijusių asmenų, kuriuos savanoriškai nurodote savo pranešime, tvarkome tokius asmens duomenis ir informaciją:
Pranešėjas apie pažeidimą / pranešimo perdavėjas: - jūsų vardas, jei pasirenkate (savanoriškai) atskleisti savo tapatybę;
- ar esate atitinkamos įmonės darbuotojas;
- kaip esate susiję su atitinkama įmone;
- pavadinimas ir trumpas situacijos aprašymas;
- kiti asmens duomenys apie jus ir pranešime nurodytus asmenis, kuriuos savanoriškai nurodote pranešimo kontekste.
Nagrinėjimo metu taip pat galime paprašyti jūsų pateikti papildomų duomenų, kurie padėtų nagrinėti jūsų pranešimą. Dalijimasis informacija visada vyksta savanoriškai. Šie duomenys skirstomi į tokias kategorijas:
- asmeninė ir profesinė kontaktinė informacija (pvz., vardas, pavardė, telefono numeris, el. pašto adresas, adresas);
- gimimo data;
- ryšys su „voestalpine“ (pvz., tiekėjas, darbuotojas, klientas, verslo partneris);
- „voestalpine“ darbuotojų duomenys;
- kiti asmens duomenys, kurie padeda nagrinėti konkretų atvejį ir kuriais dalijatės savo noru;
kitos pranešėjo apie pažeidimą pranešime nurodytos susijusios šalys (pvz., kaltinamieji, liudytojai, asmenys, turintys informacijos): - vardas ir kiti asmens duomenys, kuriais pranešėjas apie pažeidimą dalijasi pranešimo kontekste.
Jums pateikus išsamius atsakymus į pranešimo kontekste užduodamus klausimus, galėsime lengviau nagrinėti jūsų pranešimą. Atkreipiame dėmesį, kad, jeigu aprašyti (asmens) duomenys nepateikiami arba nepateikiami reikiama apimtimi arba jei mes negalime tokių duomenų surinkti, galime nesugebėti nagrinėti jūsų pranešimo arba pranešimo nagrinėjimas gali užtrukti.
3.2. Pranešimų apie pažeidimus portalo naudojimas
Komunikacija tarp jūsų įrenginio (kompiuterio, planšetinio kompiuterio, mobiliojo telefono ir pan.) ir pranešimų apie pažeidimus sistemos vyksta per užšifruotą ryšį (SSL). Kai naudojatės pranešimų apie pažeidimus sistema, jūsų IP adresas nėra įrašomas. Siekiant palaikyti ryšį tarp jūsų įrenginio ir „BKMS® System“, jūsų įrenginyje išsaugomas slapukas, kuriame yra tik seanso ID (vadinamasis sesijos slapukas). Šis slapukas galioja tik iki seanso pabaigos ir nustoja galioti, kai užveriate naršyklės langą.
Bet kokią gautą informaciją standartiškai nagrinės „voestalpine AG“ pranešėjų komitetas arba – tam tikrais atvejais – tiesiogiai susijusi patronuojamoji įmonė, ir ši informacija visada bus laikoma konfidencialia.
4. Perdavimas ir tolesnis dalijimasis
Nagrinėjant pranešimą būtina visa apimtimi arba iš dalies juo pasidalyti su „voestalpine AG“ darbuotojais, atsakingais už nagrinėjimą, atitinkamais kompetentingais padaliniais ir patronuojamosiomis įmonėmis, kurios taip pat yra susijusios su pranešimo tema, o kai kuriais atvejais – ir išorės konsultantais (pvz., teisininkais, auditoriais, vertėjais arba teismo medicinos ekspertais, kurie tiria pranešimą „voestalpine“ pavedimu).
Šiame kontekste „voestalpine AG“ ir atitinkamos su pranešime minimu atveju susijusios grupės įmonės turi teisėtą interesą, kad „voestalpine AG“ perduotų ir tvarkytų duomenis tiek, kiek reikia nagrinėjant atvejį, nes galimi pažeidimai dažnai nėra išaiškinami arba nepakankamai išaiškinami ir atmetami vietos lygmeniu, todėl reikia įsikišti ir juos peržiūrėti patronuojančiajai grupės įmonei. Todėl atitinkama grupės įmonė turi teisėtą interesą tvarkyti duomenis ir perduoti juos „voestalpine AG“, o „voestalpine AG“ turi teisėtą interesą gauti ir toliau tvarkyti duomenis naudodama „BKMS® System“.
Jūsų informacija bus prieinama tik tiems asmenims, kuriems skubiai reikia informacijos jūsų pranešimui nagrinėti. Visada pasirūpiname, kad dalijantis pranešimais būtų laikomasi galiojančių duomenų apsaugos įstatymų. Visi prieigą prie duomenų gaunantys asmenys įpareigojami išlaikyti konfidencialumą.
Be to, duomenimis gali būti dalijamasi su kitomis kompetentingomis šalimis (pvz., valdžios institucijomis), jei būsime įpareigoti tai daryti pagal teisės aktų nuostatas arba vykdytinus valdžios institucijų ar teismų sprendimus.
4.1. Duomenų tvarkytojai
Pranešimų apie pažeidimus sistemą „voestalpine“ pavedimu valdo specializuota įmonė „EQS Group GmbH“, Bayreuther Str. 35, 10789 Berlin, Vokietija.
„voestalpine AG“ veikia kaip duomenų tvarkytoja, kaip apibrėžta BDAR 28 straipsnyje, naudodama „BKMS® System“ ir teikdama pirmojo lygio paramą grupės įmonėms.
Į pranešimų apie pažeidimus sistemą įrašyti asmens duomenys ir asmeninė informacija laikomi aukšto saugumo lygio duomenų centre esančioje duomenų bazėje, kurią valdo „EQS Group GmbH“. Prieigą prie šių duomenų gali turėti tik „voestalpine“. „EQS Group GmbH“ ir kitos trečiosios šalys prieigos prie duomenų neturi. Tai užtikrinama naudojant sertifikuotą procedūrą ir išsamias technines bei organizacines priemones. Visi duomenys laikomi užšifruoti ir apsaugoti kelių lygių slaptažodžiais, taip garantuojant, kad prieigą turėtų tik labai mažas skaičius žmonių, kuriuos aiškiai įgalioja „voestalpine“ (žr. pirmiau „Perdavimas ir tolesnis dalijimasis“). „EQS Group GmbH“ svetainėje (www.eqs.bkms-system.com) pateiktame produkEQS Group GmbHto vaizdo įraše trumpai ir glaustai paaiškinama, kaip veikia „BKMS® System“.
4.2. Dalijimasis su gavėjais už ES ar EEE ribų
Šiame 4 skyriuje aprašyti gavėjai gali būti ne Europos Sąjungos šalyse (toliau – trečiosios šalys), kuriose taikomi įstatymai negarantuoja tokio paties duomenų apsaugos lygio, koks yra jūsų gimtojoje šalyje. Šiuo atveju bet koks duomenų perdavimas pagal teisės aktų reikalavimus vyksta tik tuo atveju, jei yra Europos Komisijos sprendimas dėl trečiosios šalies tinkamumo, su gavėju susitarta dėl atitinkamų garantijų (pvz., ES standartinės sutarties sąlygų), gavėjas dalyvauja patvirtintoje sertifikavimo sistemoje, yra privalomos įmonės taisyklės pagal BDAR 47 straipsnį arba tam tikroms situacijoms taikoma leidžianti nukrypti nuostata pagal BDAR 49 straipsnį (pvz., duomenų perdavimas yra būtinas siekiant pareikšti, vykdyti ar ginti teisinius reikalavimus). Mūsų galite pareikalauti gavėjų trečiosiose šalyse apžvalgos ir tinkamą duomenų apsaugos lygį užtikrinančių konkrečiai suderintų taisyklių kopijos. Norėdami to pareikalauti naudokitės skirsnyje „Kontaktiniai duomenys“ pateikta informacija.
5. Duomenų saugojimo trukmė
Asmens duomenys saugomi, kol reikia išnagrinėti situaciją ir galutinai įvertinti pranešimą arba kol yra teisėtas įmonės interesas, taip pat jei saugoti reikalauja teisės aktai. Vėliau duomenys bus ištrinti arba nuasmeninti pagal teisės aktų reikalavimus.
6. Duomenų subjektų teisės
Pagal Europos duomenų apsaugos teisės aktus jūs, kaip pranešėjas apie pažeidimą, ir pranešime nurodyti duomenų subjektai turi teisę į informaciją, jos ištaisymą, ištrynimą, duomenų tvarkymo apribojimą, duomenų perkeliamumą ir teisę prieštarauti dėl asmens duomenų tvarkymo. Jūs taip pat turite teisę užregistruoti skundą priežiūros institucijai.
7. Su kitais duomenų subjektais susijusi informacija
Jei yra tokia teisinė prievolė, informuosime kitus duomenų subjektus (pvz., kaltinamuosius, liudytojus, informacijos turinčius asmenis ir kt.), kad gavome apie juos pranešimą. Jūsų, kaip pranešėjo apie pažeidimą, tapatybė nebus atskleista (tiek, kiek tai leistina teisiškai), taip pat bus užtikrinta, kad nebus galima daryti išvadų dėl jūsų, kaip pranešėjo, tapatybės. Konfidencialumas negali būti garantuotas sąmoningai perduodant melagingus pranešimus siekiant diskredituoti asmenį (įskundimas). Šio asmens duomenų tvarkymo teisinis pagrindas yra BDAR 6 straipsnio 1 dalies c punktas (siekiant laikytis teisinės prievolės).
8. Pastaba dėl priedų siuntimo
Kai perduosite pranešimą ar papildymą, kartu atsakingam „voestalpine“ darbuotojui galite išsiųsti priedus. Jei norite perduoti anoniminį pranešimą, atkreipkite dėmesį į šį saugos nurodymą: failuose gali būti paslėptų asmens duomenų, kurie gali pakenkti jūsų anonimiškumui. Prieš siųsdami dokumentus tokius duomenis pašalinkite. Jei jų pašalinti negalite arba nesate tikri, kaip tai padaryti, nukopijuokite priedo tekstą į pranešimo tekstą arba anonimiškai nusiųskite išspausdintą dokumentą aplanke nurodytu adresu, pacituodami pranešimo proceso pabaigoje gautą pranešimo numerį.
9. Kontaktiniai duomenys
Kilus klausimų duomenų apsaugos tema, taip pat dėl pirmiau aprašytų jūsų teisių pareiškimo, galite kreiptis į „voestalpine“ duomenų apsaugos organizaciją el. paštu group-dataprotection@voestalpine.com arba adresu
voestalpine AG, Legal, M&A and Compliance, voestalpine-Straße 1, 4020 Linz, Austrija.
10. Pranešimo dėl duomenų apsaugos keitimas
Šis pranešimas dėl duomenų apsaugos retkarčiais yra keičiamas. Todėl visada atkreipkite dėmesį į esamą mūsų pareiškimo dėl privatumo apsaugos versiją.
Versija: 2022 m. spalis
(Siekdami supaprastinti tekstą, nenaudojame lyties atžvilgiu neutralios formuluotės. Jei nuorodos į asmenis suformuluotos naudojant vyriškosios giminės versiją, bet kuri tokia formuluotė vienodai taikoma visoms lytims.)