Oznámení o ochraně dat
Ochrana vašich osobních údajů je pro nás důležitá a naše obchodní postupy jsou navrženy tak, aby toto zohledňovaly. (Osobní) údaje vámi sdělené v rámci oznámení zpracováváme jako přísně důvěrné a pouze v souladu se zákonnými ustanoveními.
V následujícím textu bychom vás rádi informovali o shromažďování, zpracování a používání osobních údajů v rámci systému nahlašování. Před podáním hlášení si pečlivě přečtěte tyto informace o ochraně osobních údajů.
1 Správce údajů
Správcem údajů pro systém nahlašování (BKMS® System – přístupný na adrese https://www.bkms-system.net/voestalpine) v souladu s obecným nařízením o ochraně osobních údajů 1 (dále jen „GDPR“) je
1. voestalpine AG
voestalpine-Straße 1
4020 Linec, Rakousko
E-mail: group-dataprotection@voestalpine.com
2. a její pobočky
(aktuální kontaktní údaje viz https://www.voestalpine.com/locations)
jako nezávislí správci údajů (dále jen „voestalpine“, „my“ nebo „nás“).
1 Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
2 Účel a právní základ systému nahlašování
Systém nahlašování (BKMS® System) slouží k přijímání a zpracování hlášení o (podezření na) porušení zákonů nebo pravidel dodržování předpisů firmy voestalpine prostřednictvím zabezpečeného a důvěrného kanálu. Zpracování (osobních) údajů, které sdílíte v rámci systému BKMS® System, slouží k odhalování a prevenci nekalých praktik a k odvrácení souvisejících škod nejen pro skupinu voestalpine, ale také pro naše zaměstnance a zákazníky. Právním základem pro toto zpracování (osobních) údajů je čl. 6 odst. 1 písm. f) GDPR (oprávněný zájem správce údajů na odhalování a předcházení nekalým praktikám a odvracení souvisejících škod nejen pro skupinu voestalpine, ale i pro naše zaměstnance a naše zákazníky). Zpracování údajů je dále v důležitém veřejném zájmu (čl. 6 odst. 1 písm. e) GDPR) na předcházení a odhalování trestných činů prostřednictvím obdržených informací a na odrazování od páchání trestné činnosti prostřednictvím existence systémů nahlašování. U těch poboček, pro které je systém nahlašování povinný podle směrnice o nahlašování a jejích vnitrostátních prováděcích právních předpisů, musí být jako právní základ rovněž použit čl. 6 odst. 1 písm. c) GDPR (plnění zákonné povinnosti).
Žádáme vás, abyste ve svém hlášení neuváděli žádné zvláštní kategorie osobních údajů (včetně údajů, které označují rasový nebo etnický původ, politické názory, náboženské nebo filozofické přesvědčení nebo členství v odborech, jakož i genetické a biometrické údaje, údaje o zdravotním stavu nebo údaje týkající se sexuální aktivity nebo sexuální orientace fyzické osoby). Pokud takové údaje přesto sdílíte, je právním základem pro toto zpracování čl. 9 odst. 2 písm. f) GDPR (určení, výkon nebo obhajoba právních nároků).
Údaje týkající se soudních rozhodnutí podle trestního práva a trestných činů nebo souvisejících bezpečnostních opatření jsou zpracovávány pouze v rozsahu, v jakém to umožňují právní předpisy Evropské unie nebo členských států, které poskytují vhodné záruky pro práva a svobody dotčených osob.
3 Používání systému nahlašování a typ shromažďovaných osobních údajů
3.1 Typy zpracovávaných osobních údajů
Systém nahlašování používáte dobrovolně. Podáte-li hlášení prostřednictvím systému nahlašování, zpracováváme následující osobní údaje a informace týkající se níže uvedených zúčastněných osob, které nám dobrovolně poskytnete v rámci svého hlášení:
Oznamovatel/předkladatel hlášení: - vaše jméno, odhalíte-li (dobrovolně) svou totožnost;
- zda jste zaměstnáni v dotčené firmě;
- v jakém vztahu jste k dotčené firmě;
- pojmenování a stručný popis situace;
- další osobní údaje týkající se vás a osob uvedených v hlášení, které poskytnete dobrovolně v kontextu hlášení.
V průběhu zpracování vás můžeme také požádat o poskytnutí dalších údajů, které by pomohly při zpracování vašeho hlášení. Sdílení informací probíhá vždy dobrovolně. Tyto údaje spadají do následujících kategorií:
- soukromé a profesní kontaktní údaje (např. jméno, telefonní číslo, e-mail, adresa);
- datum narození;
- vztah k firmě voestalpine (např. dodavatel, zaměstnanec, zákazník, obchodní partner);
- údaje o zaměstnancích firmy voestalpine;
- další osobní údaje, které pomáhají při zpracování konkrétního případu a které dobrovolně sdělujete;
další dotčené osoby uvedené v hlášení oznamovatelem (např. obviněné osoby, svědci, osoby, které mají informace): - jméno a další osobní údaje, které oznamovatel v souvislosti s hlášením sdílí.
Poskytnete-li úplné odpovědi na otázky položené v rámci hlášení, pomůžete nám tím při zpracování vašeho hlášení. Upozorňujeme, že pokud nebudou popsané (osobní) údaje poskytnuty nebo nebudou poskytnuty v potřebném rozsahu nebo pokud nebudeme schopni takové údaje shromáždit, je možné, že nebudeme schopni vaše hlášení zpracovat nebo se zpracování vašeho hlášení zpozdí.
3.2 Používání ohlašovacího portálu
Komunikace mezi vaším zařízením (počítač, tablet, mobilní telefon atd.) a systémem nahlašování je realizována pomocí šifrovaného připojení (SSL). Vaše IP adresa nebude během používání systému nahlašování uložena. Aby bylo zachováno připojení mezi vaším zařízením a systémem BKMS® System, je ve vašem zařízení ukládán soubor cookie, v němž je uloženo pouze ID relace (tzv. relační cookie). Tento soubor cookie je platný pouze do konce dané relace a jeho platnost vyprší po zavření prohlížeče.
Veškeré obdržené informace budou standardně zpracovávány Výborem pro nahlašování firmy voestalpine AG nebo v jednotlivých případech přímo dotčenou pobočkou a bude s nimi vždy zacházeno důvěrně.
4 Předávání a další sdílení
V rámci zpracování hlášení je nutné sdílet hlášení zcela nebo zčásti se zaměstnanci firmy voestalpine AG odpovědnými za zpracování, resp. příslušnými odděleními a těmi pobočkami, které se zabývají předmětem hlášení, a v některých případech také s externími konzultanty (např. právníky, auditory, tlumočníky/překladateli nebo soudními znalci, kteří vaše hlášení jménem firmy voestalpine prošetřují).
V této souvislosti mají firma voestalpine AG a příslušné dotčené firmy ze skupiny oprávněný zájem na předávání a zpracování údajů firmou voestalpine AG v rozsahu zpracování případu, protože případná porušení často nejsou (dostatečně) objasněna a vyloučena na místní úrovni, a proto vyžadují přezkum a zásah mateřské firmy skupiny. Z těchto důvodů má dotčená firma skupiny oprávněný zájem na zpracování údajů a jejich předání firmě voestalpine AG a firma voestalpine AG má oprávněný zájem na přijetí a dalším zpracování údajů pomocí systému BKMS® System.
Vaše informace budou zpřístupněny pouze těm osobám, které je nezbytně potřebují ke zpracování vašeho hlášení. Při odeslání hlášení vždy zajišťujeme, aby byly dodrženy platné předpisy na ochranu dat. Všechny osoby, které získají přístup k údajům, jsou povinny zachovávat mlčenlivost.
Kromě toho mohou být údaje sděleny dalším příslušným stranám (např. veřejným orgánům), pokud jsme povinni tak činit ze zákona nebo na základě vykonatelných rozhodnutí orgánů veřejné moci nebo soudů.
4.1 Zpracovatelé údajů
Systém nahlašování je provozován specializovanou firmou, EQS Group GmbH, Bayreuther Str. 35, 10789 Berlín v Německu, jménem firmy voestalpine.
Firma voestalpine AG působí jako zpracovatel ve smyslu čl. 28 GDPR, pokud jde o používání systému BKMS® System a podporu první úrovně pro firmy ze skupiny.
Osobní údaje a informace zadané do systému nahlašování jsou uloženy v databázi datového centra s vysokou úrovní zabezpečení, které je provozováno firmou EQS Group GmbH. Přístup k údajům má pouze firma voestalpine. Ani firma EQS Group GmbH, ani jiné třetí strany nemají k údajům přístup. To je zajištěno pomocí rozsáhlých technických a organizačních opatření, která jsou součástí certifikované procedury. Veškeré údaje se ukládají šifrovaně pod víceúrovňovou ochranou heslem, takže přístup je omezen na velmi malý okruh osob výslovně oprávněných ve firmě voestalpine (viz výše v části „Předávání a další sdílení“). Produktové video na webových stránkách firmy EQS Group GmbH (www.eqs.bkms-system.com) poskytuje krátké a stručné vysvětlení fungování systému BKMS® System.
4.2 Sdílení s příjemci mimo EU nebo EHP
Příjemci popsaní v tomto oddíle 4 se mohou nacházet v zemích mimo Evropskou unii („třetí země“), ve kterých platné zákony nezaručují stejnou úroveň ochrany dat jako ve vaší domovské zemi. V takovém případě se případné předání podle zákonných požadavků uskuteční pouze tehdy, pokud pro danou třetí zemi existuje rozhodnutí Evropské komise o odpovídající ochraně, s příjemcem byly dohodnuty příslušné záruky (např. standardní smluvní doložky EU), příjemce je účastníkem schváleného certifikačního systému, existují závazná podniková pravidla podle čl. 47 GDPR nebo existuje výjimka pro specifické situace podle čl. 49 GDPR (např. předání je nezbytné pro určení, výkon nebo obhajobu právních nároků). Můžete si od nás vyžádat přehled týkající se příjemců ve třetích zemích a kopii konkrétně dohodnutých pravidel pro zajištění odpovídající úrovně ochrany dat. Chcete-li o něj požádat, použijte informace poskytnuté v oddíle Kontakt.
5 Doba trvání uložení, doby uchování
Osobní data jsou uchovávána po dobu nezbytně nutnou k objasnění dané situace a provedení konečného vyhodnocení, nebo tak dlouho, dokud existuje oprávněný zájem ze strany firmy nebo je uchování vyžadováno zákonem. Poté budou údaje vymazány nebo anonymizovány v souladu se zákonnými požadavky.
6 Práva subjektů údajů
V souladu s evropskými právními předpisy o ochraně osobních údajů máte vy jako oznamovatel a další subjekty údajů uvedené v hlášení právo na informace, opravu, vymazání, omezení zpracování, přenositelnost údajů a právo na námitku proti zpracování vašich osobních údajů. Kromě toho máte možnost registrovat stížnost u dozorčího orgánu.
7 Informace týkající se dalších subjektů údajů
Pokud existuje zákonná povinnost, informujeme další subjekty údajů (např. obviněné osoby, svědky, osoby, které mají informace, atd.) o tom, že jsme o nich obdrželi hlášení. Vaše totožnost oznamovatele nebude zveřejněna – je-li to právně přípustné – a bude rovněž zajištěno, aby nebylo možné vyvozovat žádné závěry týkající se vaší totožnosti oznamovatele. V případě úmyslného podání nepravdivého hlášení s cílem diskreditovat určitou osobu (udání) nelze zaručit důvěrnost. Právním základem tohoto zpracování osobních údajů je čl. 6 odst. 1 písm. c) GDPR (dodržení zákonné povinnosti).
8 Poznámka k odesílání příloh
Při odesílání hlášení nebo doplňujících informací můžete zároveň odpovědnému zaměstnanci voestalpine odeslat přílohy. Chcete-li podat hlášení anonymně, přečtěte si níže uvedené bezpečnostní upozornění: soubory mohou obsahovat skryté osobní údaje, které by mohly ohrozit vaši anonymitu. Tyto údaje před odesláním dokumentů odstraňte. Nemůžete-li tyto údaje odstranit nebo si nejste jistí, jak to provést, zkopírujte text přílohy do textu hlášení nebo odešlete vytištěný dokument anonymně na adresu uvedenou v zápatí, přičemž uveďte referenční číslo obdržené na konci procesu oznamování.
9 Kontakt
V případě dotazů k tématu ochrany dat, jakož i pro určení vašich dříve popsaných práv se můžete obrátit na organizaci pro ochranu dat firmy voestalpine na adrese group-dataprotection@voestalpine.com nebo
voestalpine AG, Legal, M&A and Compliance, voestalpine-Straße 1, 4020 Linec, Rakousko.
10 Změna oznámení o ochraně dat
Toto oznámení o ochraně dat se příležitostně upravuje. Proto se vždy seznamte s aktuální verzí našeho prohlášení o ochraně osobních dat.
Verze: Říjen 2022
(Pro zjednodušení toku textu nepoužíváme žádné genderově neutrální formulace. Pokud jsou odkazy na osoby formulovány pomocí mužského rodu, platí veškeré takové formulace pro všechna pohlaví stejně).