Съобщение за сигурността на данните
Защитата на Вашите лични данни е важна за нас и нашите бизнес процеси са разработени така, че да отчитат това. Обработваме споделените от Вас (лични) данни в контекста на съобщението като строго поверителни и само в съответствие със законовите разпоредби.
По-долу бихме искали да Ви информираме за събирането, обработката и използването на лични данни в рамките на системата за сигнали за нередности. Моля, прочетете внимателно тази информация за поверителност преди да изпратите съобщение.
1 Администратор
Администраторът на системата за сигнали за нередности (BKMS® System – достъпна на https://www.bkms-system.net/voestalpine) – в съответствие с Общия регламент за защита на данните 1 („ОРЗД“) е
1. voestalpine AG
voestalpine-Straße 1
4020 Linz, Austria
Имейл: group-dataprotection@voestalpine.com
2. нейните дъщерни дружества
(за актуална информация за контакт вижте https://www.voestalpine.com/locations)
като независими администратори (наричани по-долу „voestalpine“, „ние“ или „нас“)
1 Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните).
2 Цел и правно основание на системата за сигнали
Системата за сигнали (BKMS® System) служи за получаване и обработване на съобщения за (предполагаеми) нарушения на закони или наредби за съответствие на voestalpine по сигурен и конфиденциален канал. Обработката на споделените от Вас (лични) данни в контекста на BKMS® System служи за разкриване и предотвратяване на злоупотреби и за предотвратяване на свързаните с тях щети не само за voestalpine Group, но и за нашите служители и нашите клиенти. Правното основание за това обработване на (лични) данни е член 6, параграф 1, буква е) от ОРЗД (легитимни интереси на администратора за разкриване и предотвратяване на злоупотреби и предотвратяване на свързаните с тях щети не само за voestalpine Group, но и за нашите служители и нашите клиенти). Освен това обработването на данните е от важен обществен интерес (член 6, параграф 1, буква д) от ОРЗД) за предотвратяване и разкриване на престъпления чрез получената информация и за възпиране на извършването на престъпления чрез съществуването на системи за сигнали за нарушения. За тези дъщерни дружества, за които системата за сигнали е задължителна съгласно Директивата за подаване на сигнали за нередности и националните закони за нейното прилагане, чл. 6, ал. 1, буква в) от ОРЗД (изпълнение на правно задължение) трябва да се използва и като правно основание.
Молим да не включвате в съобщението си специални категории лични данни (включително данни, които посочват расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикати, както и генетични и биометрични данни, данни за здравословното състояние или данни за сексуалната активност или сексуалната ориентация на физическо лице). Доколкото въпреки това споделяте такива данни, правното основание за тази обработка е член 9, параграф 2, буква е) от ОРЗД (установяване, упражняване или защита на правни претенции).
Данни, свързани със съдебни решения по наказателни дела и престъпни деяния или свързани с тях мерки за сигурност, се обработват само дотолкова, доколкото това е разрешено съгласно законите на Европейския съюз или на държавите членки, които предоставят подходящи гаранции за правата и свободите на засегнатите лица.
3 Използване на системата за сигнали за нередности и вид на събраните лични данни
3.1 Видове събирани лични данни
Използването на системата за сигнали се извършва на доброволни начала. Ако изпратите съобщение чрез системата за сигнали, ние обработваме следните лични данни и информация относно участващите лица, изброени по-долу, които предоставяте доброволно в контекста на Вашето съобщение:
Лицето, подало сигнала/съобщението подател: - Вашето име, ако решите (доброволно) да разкриете самоличността си
- Дали сте служител на съответната фирма
- Връзката, която имате със съответната фирма
- Наименование и кратко описание на ситуацията
- Други лични данни, отнасящи се до Вас и лицата, посочени в съобщението, които предоставяте доброволно в контекста на съобщението
В хода на обработката може да поискаме от Вас да предоставите допълнителни данни, които биха помогнали при обработката на Вашето съобщение. Споделянето на информация винаги се извършва доброволно. Тези данни попадат в следните категории:
- Лична и професионална информация за контакт (напр. име, телефонен номер, имейл, адрес)
- Дата на раждане
- Връзка с voestalpine (напр. доставчик, служител, клиент, бизнес партньор)
- Данни за служител при служители на voestalpine
- Други лични данни, които спомагат за обработката на конкретния случай и които споделяте доброволно
Други засегнати страни, посочени в съобщението на лицето подало сигнала (напр. обвиняеми, свидетели, лица, разполагащи с информация): - Име и други лични данни, които са споделени от лицето подало сигнала в рамките на съобщението
Предоставянето на пълни отговори на зададените въпроси в контекста на съобщението ни помага да обработим Вашето съобщение. Моля, имайте предвид, че ако описаните (лични) данни не са предоставени или не са предоставени в необходимия обем, или ако не сме в състояние да съберем такива данни, може да не сме в състояние да обработим Вашето съобщение или обработката на Вашето съобщение може да се забави.
3.2 Употреба на портала за сигнали
Комуникацията между Вашето устройство (компютър, таблет, мобилен телефон и т.н.) и системата за сигнали се извършва през криптирана връзка (SSL). Вашият IP адрес няма да бъде запаметен, докато използвате системата за сигнали. За да се поддържа връзката между Вашето устройство и BKMS® System, на Вашето устройство се съхранява бисквитка, която съдържа само идентификацията на сесията (т.нар. бисквитка от сесията). Тази бисквитка е валидна само до приключването на Вашата сесия и изтича след затваряне на браузъра.
Всяка получена информация ще бъде обработвана стандартно от Комисията за подаване на сигнали за нередности на voestalpine AG или, в отделни случаи, директно от съответната дъщерна компания и винаги ще бъде третирана като поверителна.
4 Предаване и по-нататъшно споделяне
В контекста на обработката на съобщение е необходимо съобщението да бъде споделено изцяло или частично със служителите на voestalpine AG, отговорни за обработката, съответно компетентните отдели и тези дъщерни дружества, които имат отношение към предмета на съобщението, както и с външни консултанти в някои случаи (напр. адвокати, одитори, преводачи или съдебни експерти, които разследват Вашето съобщение от името на voestalpine).
В този контекст voestalpine AG и съответните засегнати фирми от Групата имат легитимен интерес от предаването и обработката на данни от voestalpine AG в рамките на обработката на случаи, тъй като потенциалните нарушения често не са или не са достатъчно изяснени и изключени на местно ниво и по този начин изискват преглед и намеса от страна на фирмата майка от Групата. По тези причини съответната фирма от Групата има легитимен интерес да обработва данните и да ги предава на voestalpine AG, а voestalpine AG има легитимен интерес да получава и обработва данните чрез BKMS® System.
Вашата информация ще бъде предоставена само на онези лица, които спешно се нуждаят от нея за обработката на Вашето съобщение. Винаги ще гарантираме, че приложимите разпоредби за сигурност на данните са спазени при споделяне на съобщения. Всички лица, които получават достъп до данните, са задължени да ги обработват конфиденциално.
Освен това данните могат да бъдат споделяни с други компетентни страни (напр. публични органи), доколкото сме задължени да го направим въз основа на законови разпоредби или влезли в сила решения на публични органи или съдилища.
4.1 Процесори
Системата за сигнали за нередности се управлява от специализирана фирма, EQS Group GmbH, Bayreuther Str. 35, 10789 Berlin in Germany, от името на voestalpine.
voestalpine AG действа като обработващ лични данни по смисъла на чл. 28 от ОРЗД по отношение на използването на BKMS® System and First-Level-Support за фирмите от групата.
Личните данни и информацията, записана в системата за сигнали се съхраняват в база данни, управлявана от EQS Group GmbH. Само voestalpine има достъп до данните. EQS Group GmbHи други трети лица нямат достъп до данните. Това се гарантира в сертифицираната процедура чрез обширни технически и организационни мерки. Всички данни се съхраняват криптирани с множество нива на защита на паролата, така че достъпът е ограничен до много малък избор от изрично упълномощени лица при voestalpine (вж. по-горе в раздел „Прехвърляне и по-нататъшно споделяне“). Продуктовото видео на уебсайта на EQS Group GmbH (www.eqs.bkms-system.com) предоставя кратко и сбито обяснение за функционирането на BKMS® System.
4.2 Споделяне с получатели извън ЕС или ЕИП
Получателите, описани в този раздел 4, може да се намират в страни извън Европейския съюз („трети страни“), в които приложимите закони не гарантират същото ниво на сигурност на данните, както във Вашата страна. В този случай предаването в съответствие със законовите изисквания се извършва само ако за третата държава има решение на Европейската комисия за адекватност, с получателя са договорени подходящи гаранции (напр. стандартни договорни клаузи на ЕС), получателят участва в одобрена система за сертифициране, съществуват задължителни корпоративни правила съгласно член 47 от ОРЗД или има дерогация за специфични ситуации съгласно член 49 от ОРЗД (напр. предаването е необходимо за установяването, упражняването или защитата на правни претенции). Можете да поискате от нас преглед на получателите в трети държави и копие от специално договорените правила за осигуряване на подходящо ниво на сигурност на данните. За да поискате това, моля, използвайте информацията, предоставена в раздел „Контакти“.
5 Продължителност на съхранение, периоди на задържане
Личните данни се съхраняват толкова дълго, колкото е необходимо, за да се изясни ситуацията и да се извърши окончателна оценка или докато съществува законен интерес от страна на фирмата, или съхранението им се изисква по закон. След това данните ще бъдат изтрити или анонимизирани в съответствие със законовите изисквания.
6 Права на субектите на данни
Съгласно европейското законодателство за сигурност на данните Вие като лице, подало сигнала и другите субекти на данни, посочени в съобщението, имате право на информация, коригиране, изтриване, ограничаване на обработването, преносимост на данните и възражение срещу обработването на личните Ви данни. Също така имате възможност да подадете жалба до надзорния орган.
7 Информация относно другите субекти на данни
Ако съществува законово задължение, ще информираме други субекти на данни (напр. обвиняеми, свидетели, лица, разполагащи с информация, и т.н.), че сме получили съобщение за тях. Самоличността Ви като лице, подало сигнала няма да бъде разкрита - доколкото това е законово допустимо - и също така ще бъде гарантирано, че не е възможно да се правят заключения относно самоличността ви като лице, подало сигнала. В случай на умишлено подаване на фалшиви съобщения с цел дискредитиране на дадено лице (донос) поверителността не може да бъде гарантирана. Правното основание за тази обработка на лични данни е член 6, параграф 1, буква в) от ОРЗД (спазване на правно задължение).
8 Бележка за изпращане на приложения
При изпращане на съобщение или допълнение, можете едновременно да изпращате приложения към отговорния служител на voestalpine. Ако желаете да изпратите анонимно съобщение, моля, обърнете внимание на следното указание за сигурност: файловете могат да съдържат скрити лични данни, които могат да застрашат Вашата анонимност. Премахнете тези данни преди изпращане на документи. Ако не можете да премахнете тези данни или не сте сигурни как да направите това, копирайте текста на Вашето приложение в текста на Вашето съобщение или изпратете отпечатания документ анонимно до адреса в долната част, цитирайки референтния номер, получен в края на процеса на изпращане на съобщението.
9 Данни за контакт
В случай на въпроси по темата за сигурността на данните, както и за установяване на описаните по-горе права, можете да се свържете с организацията за сигурност на данните на voestalpine на адрес group-dataprotection@voestalpine.com или на
voestalpine AG, Legal, M&A and Compliance, voestalpine-Straße 1, 4020 Linz, Austria.
10 Модификация на съобщението за сигурността на данните
Настоящото съобщение за сигурност на данните се променя периодично. Затова Ви молим винаги да се съобразявате с актуалната версия на нашата декларация за поверителност.
Версия: Октомври 2022
(За да опростим текста, не използваме неутрални по отношение на пола формулировки. Доколкото референциите към лица са формулирани в мъжки род, всяка такава формулировка се отнася еднакво за всички полове.)