Informacje o ochronie danych
Ochrona Twoich danych osobowych jest dla nas ważna, a nasze procesy biznesowe zostały zaprojektowane tak, aby to uwzględnić. Dane (osobowe) udostępniane przez Ciebie w ramach zgłoszenia przetwarzamy jako informacje ściśle poufne i tylko zgodnie z przepisami ustawowymi.
Poniższa część zawiera informacje o zbieraniu, przetwarzaniu i wykorzystywaniu danych osobowych w kontekście systemu zgłoszeniowego. Przed wysłaniem zgłoszenia należy dokładnie zapoznać się z informacjami dot. ochrony prywatności.
1 Administrator danych osobowych
Administratorem danych dla systemu zgłoszeniowego (BKMS® System – dostępny pod adresem https://www.bkms-system.net/voestalpine) zgodnie z Ogólnym rozporządzeniem o ochronie danych osobowych 1 („RODO”) jest
1. voestalpine AG
voestalpine-Straße 1
4020 Linz, Austria
E-mail: group-dataprotection@voestalpine.com
2. spółki zależne
(aktualne dane kontaktowe znajdują się na stronie https://www.voestalpine.com/locations)
jako niezależni administratorzy danych (w dalszej części „voestalpine”, „my” lub „nas”)
1 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych).
2 Cel i podstawa prawna systemu zgłoszeniowego
System zgłoszeniowy (BKMS® System) służy do przyjmowania i przetwarzania zgłoszeń (podejrzeń) o naruszeniu przepisów prawa lub regulacji związanych z compliance firmy voestalpine poprzez bezpieczny i poufny kanał. Przetwarzanie udostępnionych przez Ciebie danych (osobowych) w ramach BKMS® System służy ujawnianiu i zapobieganiu niewłaściwym praktykom oraz zapobieganiu związanym z tym szkodom nie tylko dla grupy voestalpine, lecz także dla naszych pracowników i klientów. Podstawą prawną tego przetwarzania danych (osobowych) jest art. 6 ust. 1 lit. f RODO (uzasadnione interesy administratora danych w ujawnianiu i zapobieganiu niewłaściwym praktykom oraz zapobieganiu związanym z tym szkodom, nie tylko dla grupy voestalpine, ale także dla naszych pracowników i naszych klientów). Ponadto przetwarzanie danych leży w ważnym interesie publicznym (art. 6 ust. 1 lit. e RODO), aby zapobiegać przestępstwom i ujawniać je dzięki otrzymywanym informacjom oraz aby zniechęcać do popełniania przestępstw dzięki istnieniu systemów zgłoszeniowych. W przypadku tych spółek zależnych, dla których system zgłoszeniowy jest obowiązkowy zgodnie z dyrektywą o ochronie sygnalistów i jej krajowymi przepisami wykonawczymi, art. 6 par. 1 pkt c RODO (wypełnienie obowiązku prawnego) musi być również stosowany jako podstawa prawna.
Prosimy o nieumieszczanie w zgłoszeniu specjalnych kategorii danych osobowych (w tym danych wskazujących na pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne albo przynależność do związków zawodowych, a także danych genetycznych i biometrycznych, danych dotyczących zdrowia lub danych dotyczących aktywności seksualnej lub orientacji seksualnej osoby fizycznej). O ile mimo to udostępniasz takie dane, podstawą prawną tego przetwarzania jest art. 9 par. 2 punkt f RODO (ustanowienie, wykonywanie lub obrona roszczeń prawnych).
Dane dotyczące wyroków sądowych w sprawach karnych i czynów karalnych lub związanych z nimi środków bezpieczeństwa są przetwarzane tylko w zakresie, w jakim jest to dozwolone zgodnie z przepisami prawa Unii Europejskiej lub państw członkowskich, zapewniających odpowiednie gwarancje praw i wolności osób, których dotyczą.
3 Korzystanie z systemu zgłoszeniowego i rodzaj gromadzonych danych osobowych
3.1 Rodzaje przetwarzanych danych osobowych
Korzystanie z systemu zgłoszeniowego jest dobrowolne. W przypadku przesłania zgłoszenia za pośrednictwem systemu zgłoszeniowego przetwarzamy następujące dane osobowe oraz informacje dotyczące osób zaangażowanych wymienionych poniżej, które podajesz dobrowolnie w ramach swojego zgłoszenia:
Sygnalista/osoba przesyłająca zgłoszenie: - Twoje nazwisko, jeśli zdecydujesz się (dobrowolnie) ujawnić swoją tożsamość
- Czy jesteś pracownikiem danej spółki
- Jakie relacje łączą Cię z daną spółką
- Wskazanie i krótki opis sytuacji
- Inne dane osobowe dotyczące Ciebie oraz osób wymienionych w raporcie, które podasz dobrowolnie w związku ze zgłoszeniem
W trakcie przetwarzania możemy również poprosić o podanie dodatkowych danych, które pomogą w przetwarzaniu zgłoszenia. Udostępnianie informacji ma zawsze charakter dobrowolny. Dane te dzielą się na następujące kategorie:
- Prywatne i zawodowe dane kontaktowe (np. imię i nazwisko, numer telefonu, e-mail, adres)
- Data urodzenia
- Relacja z grupą voestalpine (np. dostawca, pracownik, klient, partner biznesowy)
- Dane pracowników voestalpine
- Inne dane osobowe, które pomagają w załatwieniu konkretnej sprawy i które udostępniasz dobrowolnie
Inne zainteresowane strony wymienione w zgłoszeniu przez sygnalistę (np. osoby oskarżone, świadkowie, osoby posiadające informacje): - Imię i nazwisko oraz inne dane osobowe udostępnione przez sygnalistę w kontekście zgłoszenia
Udzielenie pełnych odpowiedzi na zadane pytania związane ze zgłoszeniem pomaga nam w przetworzeniu tego zgłoszenia. Zwracamy uwagę, że o ile opisane dane (osobowe) nie zostaną podane lub nie zostaną podane w niezbędnym zakresie lub jeśli nie będziemy w stanie zebrać tych danych, możemy nie być w stanie przetworzyć zgłoszenia lub przetworzenie zgłoszenia może się opóźnić.
3.2 Korzystanie z portalu zgłoszeniowego
Komunikacja między urządzeniem sygnalisty (komputer, tablet, telefon komórkowy itp.) a systemem zgłoszeniowym jest szyfrowana (SSL). W trakcie korzystania z systemu zgłoszeniowego adres IP komputera nie jest zapisywany. W celu utrzymania połączenia pomiędzy urządzeniem sygnalisty a systemem BKMS® System, na urządzeniu zapisywany jest plik cookie, który zawiera jedynie identyfikator sesji (tzw. plik cookie sesji). Ten plik cookie zachowuje ważność tylko do zakończenia sesji i przestaje funkcjonować po zamknięciu przeglądarki.
Wszelkie otrzymane informacje będą standardowo przetwarzane przez Komisję ds. Sygnalistów voestalpine AG lub w indywidualnych przypadkach bezpośrednio przez daną spółkę zależną i będą zawsze traktowane jako poufne.
4 Przekazanie i dalsze udostępnianie
W ramach przetwarzania zgłoszenia konieczne jest udostępnienie zgłoszenia w całości lub w części pracownikom voestalpine AG odpowiedzialnym za to przetwarzanie, odpowiednio właściwym działom i tym spółkom zależnym, które są zaangażowane w przedmiot zgłoszenia, jak również w niektórych przypadkach konsultantom zewnętrznym (np. prawnikom, audytorom, tłumaczom lub biegłym sądowym, którzy badają dane zgłoszenie na zlecenie voestalpine).
W tym kontekście spółka voestalpine AG i odpowiednie spółki grupy, których to dotyczy, mają uzasadniony interes w przekazywaniu i przetwarzaniu danych przez spółkę voestalpine AG w zakresie przetwarzania sprawy, ponieważ potencjalne naruszenia często nie są lub są niewystarczająco wyjaśnione i wykluczone na poziomie lokalnym, a tym samym wymagają kontroli i interwencji ze strony spółki matki grupy. Z tych powodów dana spółka grupy ma uzasadniony interes w przetwarzaniu danych i przekazywaniu ich do voestalpine AG, a voestalpine AG ma uzasadniony interes w otrzymywaniu i dalszym przetwarzaniu danych za pomocą BKMS® System.
Twoje informacje zostaną udostępnione tylko tym osobom, które pilnie potrzebują tych informacji do przetworzenia zgłoszenia. Zgłoszenie jest udostępniane jedy, gdy zagwarantowane jest przestrzeganie przepisów o ochronie danych. Każda osoba uzyskująca dostęp do danych jest zobowiązana do zachowania poufności.
Ponadto dane mogą być udostępniane innym właściwym podmiotom (np. władzom publicznym) w zakresie, w jakim jesteśmy do tego zobowiązani ze względu na postanowienia prawne lub prawomocne decyzje władz publicznych bądź sądów.
4.1 Podmioty przetwarzające dane
Operatorem systemu zgłoszeniowego jest wyspecjalizowana firma EQS Group GmbH, Bayreuther Str. 35, 10789 Berlin (Niemcy), działająca w imieniu voestalpine.
voestalpine AG działa jako podmiot przetwarzający dane w rozumieniu art. 28 RODO w zakresie korzystania z systemu BKMS® System oraz podmiot pierwszej linii wsparcia dla spółek grupy.
Dane osobowe i informacje wprowadzane do systemu zgłoszeniowego są przechowywane w bazie danych prowadzonej przez EQS Group GmbH w centrum danych o zaostrzonych standardach bezpieczeństwa. Dostęp do danych ma wyłącznie voestalpine. EQS Group GmbH ani jakiekolwiek inne osoby trzecie nie mają dostępu do danych. Zapewnia to certyfikowana procedura oraz zaawansowane środki techniczne i organizacyjne. Wszystkie dane są przechowywane w postaci zaszyfrowanej i chronione hasłem na wielu poziomach, dzięki czemu dostęp do nich jest ograniczony do bardzo wąskiego grona wyraźnie upoważnionych osób w voestalpine (patrz poniżej „Przekazanie i dalsze udostępnianie”). Film produktowy na stronie internetowej firmy EQS Group GmbH (www.eqs.bkms-system.com) zawiera krótkie i zwięzłe wyjaśnienie działania systemu BKMS® System.
4.2 Przekazywanie danych do odbiorców spoza UE lub EOG
Odbiorcy opisani w niniejszym punkcie 4 mogą znajdować się w krajach spoza Unii Europejskiej („państwa trzecie”), w których obowiązujące przepisy nie gwarantują takiego samego poziomu ochrony danych jak w Twoim kraju. W tym przypadku wszelkie przekazywanie zgodnie z wymogami ustawowymi ma miejsce tylko wtedy, gdy dla państwa trzeciego istnieje decyzja Komisji Europejskiej o adekwatności, z odbiorcą uzgodniono odpowiednie gwarancje (np. standardowe klauzule umowne UE), odbiorca uczestniczy w zatwierdzonym systemie certyfikacji, istnieją wiążące reguły korporacyjne zgodnie z art. 47 RODO lub istnieje odstępstwo dla szczególnych sytuacji zgodnie z art. 49 RODO (np. przekazanie jest wymagane do ustanowienia, wykonania lub obrony roszczeń prawnych). Możesz zażądać od nas informacji na temat odbiorców w krajach trzecich oraz kopii specjalnie uzgodnionych zasad zapewnienia odpowiedniego poziomu ochrony danych. Aby o to zawnioskować, należy skorzystać z informacji podanych w dziale Kontakt.
5 Czas przechowywania; retencja danych
Dane osobowe są przechowywane tak długo, jak jest to niezbędne do wyjaśnienia sytuacji i przeprowadzenia końcowej oceny przypadku albo przez okres, w którym istnieje uzasadniony interes firmy, czy też wymaga tego prawo. Później dane są usuwane lub anonimizowane zgodnie z wymogami ustawowymi.
6 Prawa osób, których dane dotyczą
Zgodnie z europejskimi przepisami dotyczącymi ochrony danych, sygnalista oraz wszystkie osoby wskazane w zgłoszeniu mają prawo do informacji, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych oraz sprzeciwu wobec przetwarzania ich danych osobowych. Osoba, której dane dotyczą, ma również prawo złożyć skargę do organu nadzorczego.
7 Informacje dotyczące innych osób, których dane dotyczą
Jeśli istnieje obowiązek prawny, poinformujemy inne osoby, których dane dotyczą (np. oskarżonych, świadków, osoby posiadające informacje itp.), że otrzymaliśmy zgłoszenie na ich temat. Twoja tożsamość jako sygnalisty nie zostanie ujawniona – o ile jest to prawnie dopuszczalne – i zostanie zapewnione, że nie będzie można wyciągnąć żadnych wniosków dotyczących Twojej tożsamości jako sygnalisty. W przypadku celowego przesyłania fałszywych zgłoszeń z zamiarem zdyskredytowania danej osoby (donos) nie można zagwarantować poufności. Podstawą prawną przetwarzania danych osobowych jest artykuł 6, ustęp 1, punkt c RODO (zgodność z obowiązkiem prawnym).
8 Informacja o wysyłaniu załączników
Do zgłoszenia albo uzupełnienia zgłoszenia wysyłanego pracownikowi voestalpine można dołączyć załączniki. Jeśli zgłoszenie ma być anonimowe, należy uwzględnić następującą wskazówkę dotyczącą bezpieczeństwa: niektóre pliki zawierają ukryte dane osobowe, które mogą ujawnić tożsamość sygnalisty. Przed wysłaniem dokumentów należy usunąć takie dane. Jeżeli usunięcie tych danych jest niemożliwe albo ich sposób usunięcie sprawia prroblemy, należy skopiować tekst z załącznika do tekstu zgłoszenia albo anonimowo wysłać wydrukowany dokument na adres podany w stopce, oznaczając go numerem referencyjnym otrzymanym na końcu procedury zgłoszeniowej.
9 Kontakt
W przypadku pytań na temat ochrony danych, jak również w celu ustalenia opisanych powyżej praw, można zwrócić się do organizacji ochrony danych grupy voestalpine pod adresem group-dataprotection@voestalpine.com lub
voestalpine AG, Legal, M&A and Compliance, voestalpine-Straße 1, 4020 Linz, Austria.
10 Zmiany w informacjach o ochronie danych
Niniejsza informacja o ochronie danych osobowych jest co jakiś czas modyfikowana. W związku z tym proszę zawsze zapoznawać się z aktualną wersją naszej polityki prywatności.
Wersja: październik 2022 r.
(Dla uproszczenia płynności tekstu nie używamy żadnych neutralnych płciowo sformułowań. O ile odniesienia do osób są sformułowane przy użyciu wersji męskiej, każde takie sformułowanie dotyczy w równym stopniu wszystkich płci).