Informacja o poufności danych
Bardzo poważnie traktujemy ochronę danych i poufność oraz przestrzegamy przepisów ogólnego rozporządzenia UE o ochronie danych („RODO”), a także krajowych regulacji w zakresie ochrony danych. Przed wysłaniem zgłoszenia należy dokładnie zapoznać się z niniejszymi informacjami o ochronie danych.
Cel i podstawa prawna systemu zgłoszeniowego
System zgłoszeniowy (BKMS® Incident Reporting) służy do bezpiecznego i poufnego odbierania i przetwarzania zgłoszeń dotyczących poważnych naruszeń przepisów antymonopolowych, korupcji i łapownictwa, konfliktu interesów, oszustwa i kwestii związanych ze sprawozdawczością finansową, spraw pracowniczych oraz innych materialnych naruszeń prawa lub polityk grupy ZF. Na potrzeby tej polityki dane osobowe oznaczają jakiekolwiek informacje – zarówno osobne, jak i połączone w innymi pozyskiwanymi przez nas informacjami – odnoszące się do danej osoby jako zidentyfikowanej lub możliwej do zidentyfikowania jednostki.
Przetwarzanie danych osobowych w ramach BKMS® Incident Reporting wynika z (1) uzasadnionego interesu firmy, który przejawia się w wykrywaniu nadużyć i zapobieganiu im, aby uniknąć szkody dla grupy ZF, oraz pracowników i klientów tej firmy; oraz obejmuje (2) compliance, rozumiane jako zgodność z przepisami prawnymi, którym podlegamy. Podstawę prawną przetwarzania stanowią artykuły 6 (1) (c) i (f) RODO.
Wszelkie naruszenia oraz nieprawidłowe sposoby korzystania z systemu zgłoszeniowego, np. w postaci złośliwego przekazywania nieprawidłowych twierdzeń odnoszących się do innych, mogą skutkować środkami dyscyplinarnymi lub prawnymi.
Podmiot odpowiedzialny
Podmiotem odpowiedzialnym za ochronę danych w systemie zgłoszeniowym jest ZF Friedrichshafen AG. Ze spółką ZF Friedrichshafen AG można skontaktować się pocztą na adres Löwentaler Str. 20, 88046 Friedrichshafen, Niemcy, poprzez e-mail na adres compliance@zf.com, albo telefonicznie pod numerem +49 7541 77-0.
Operatorem systemu zgłoszeniowego jest wyspecjalizowana firma Business Keeper AG, Bayreuther Str. 35, 10789 Berlin w Niemczech, w imieniu ZF Friedrichshafen AG.
Dane osobowe i informacje wprowadzone do systemu zgłoszeniowego są przechowywane w bazie danych prowadzonej przez Business Keeper AG w centrum danych o zaostrzonych standardach bezpieczeństwa. Dostęp do danych ma wyłącznie ZF Friedrichshafen AG. Business Keeper AG ani inne osoby trzecie nie mają dostępu do danych. Zapewnia to certyfikowana procedura oraz liczne środki techniczne i organizacyjne (dalsze szczegóły pod adresem https://www.business-keeper.com/pl).
Przechowywane dane są szyfrowane i zabezpieczone wielopoziomową strukturą haseł, dzięki czemu dostęp do danych ma tylko bardzo niewielka grupa wyraźnie upoważnionych pracowników ZF Friedrichshafen AG i jej spółek zależnych („Grupa ZF”).
ZF Friedrichshafen AG wyznaczyła inspektora ochrony danych. Pytania dotyczące ochrony danych i prywatności można kierować do p. Josef Hermes, DPO grupy, na adres Löwentaler Str. 20, 88046 Friedrichshafen, albo drogą elektroniczną na adres: datenschutz@zf.com.
Rodzaj zbieranych danych osobowych
Korzystanie z systemu zgłoszeniowego jest dobrowolne. Jeżeli sygnalista wysyła zgłoszenie za pośrednictwem systemu zgłoszeniowego zbierane są następujące dane osobowe i informacje, udostępniane dobrowolnie przez sygnalistę:
- Nazwisko sygnalisty, jeśli postanowi wyjawić tożsamość,
- Fakt zatrudnienia w grupie ZF oraz
- Nazwiska osób i inne dane osobowe osób wskazanych w zgłoszeniu.
Będziemy również gromadzić wszelkie dodatkowe informacje, które sygnalista będzie chciał nam przekazać, w tym dane osobowe. Jednocześnie, po wstępnej analizie przesłanych zarzutów, ograniczymy przetwarzanie danych osobowych do danych bezpośrednio i obiektywnie niezbędnych do weryfikacji tych zarzutów.
Poufność w stosunku do zgłoszeń, odbiorców danych i międzynarodowych transferów danych
Nadesłane zgłoszenia trafiają do wąskiej grupy wyraźnie uprawnionych i specjalnie przeszkolonych pracowników, będących członkami organizacji ds. compliance w grupie ZF, i są zawsze traktowane jako poufne. Pracownicy organizacji compliance grupy ZF ocenią sprawę i podejmą decyzję o kolejnych krokach podejmowanych w celu ochrony firmy.
Podczas przetwarzania zgłoszenia lub prowadzenia specjalnego postępowania może pojawić się konieczność udostępnienia informacji i zgłoszenia innym pracownikom ZF Friedrichshafen AG lub pracownikom powiązanych firm, np. jeżeli zgłoszenie odnosi się do incydentów w spółkach zależnych albo jeżeli przedmiot zgłoszenie odnosi się do innego działu, w którym to przypadku dochodzenie i zgłoszenie mogą być obsługiwane przez ten innych dział (inne działy) w ramach grupy ZF. Przekazanie informacji i zgłoszeń, w tym tożsamości sygnalisty, może okazać się również konieczne w przypadku, gdy ją ujawnił, zewnętrznym usługodawcom (np. prawnikom, audytorom itp.) albo urzędnikom publicznym (np. prokuraturze, sądowi itp.) celem ochrony grupy ZF. Może to obejmować udostępnianie informacji pracownikom grupy ZF lub innym osobom trzecim w krajach spoza Unii Europejskiej i spoza Europejskiego Obszaru Gospodarczego. Zgłoszenie jest udostępniane po zagwarantowaniu przestrzegania przepisów o ochronie danych i tylko do krajów, w których obowiązują standardy ochrony danych adekwatne do określonych w specyfikacji Komisji Europejskiej. Alternatywnie zgłoszenia przekazywane będą wyłącznie po zastosowaniu odpowiednich zabezpieczeń, by adekwatnie chronić dane osobowe sygnalisty oraz dane osobowe osób wskazany w zgłoszeniu i celem zapewnienia, że takie przekazania danych są zgodne z regulacjami prawnymi o ochronie danych. Grupa ZF w obsłudze międzynarodowych transferów danych stosuje umowy oparte na klauzulach modelowych UE. Kopię tych umów można uzyskać kontaktując się z ZF DPO.
Dostęp do informacji będzie zapewniany wyłącznie wg rygorystycznie przestrzeganej zasady „tylko to, co trzeba wiedzieć” (need-to-know).
Informacje na temat osoby obwinionej
Zgodnie z prawem jesteśmy zobowiązani poinformować osoby obwinione o otrzymaniu zgłoszenia na ich temat, chyba że mogłoby to negatywnie wpłynąć na dalsze postępowanie, tzn. tam, gdzie występuje poważne ryzyko, że taka informacja zagroziłaby zdolności firmy do efektywnego zbadania oskarżeń lub zgromadzenia niezbędnych dowodów, poinformowanie osoby obwinionej może zostać przesunięte na czas, w którym nie będzie już takiego ryzyka.
Prawa osób, których dane dotyczą
Zgodnie z europejskimi przepisami o ochronie danych sygnalista oraz wszystkie osoby wskazane w zgłoszeniu mają prawo dostępu do danych, do żądania ich sprostowania, usunięcia oraz ograniczenia ich przetwarzania.
Sygnalista oraz wszystkie osoby wskazane w zgłoszeniu mają również prawo sprzeciwu wobec przetwarzania danych osobowych, które ich dotyczą.
Jeśli osoba, której dane dotyczą, wniesie sprzeciw wobec przetwarzania jej danych osobowych, firma niezwłocznie oceni stopień, w jakim przechowywane dane są niezbędne do przetworzenia zgłoszenia. Niewymagane dane będą natychmiast usunięte. Dodatkowo sygnalista oraz osoby wskazane w zgłoszeniu, mają prawo złożyć skargę do organu nadzorczego.
Powyższe prawa można wykonywać w dowolnym momencie, kontaktując się z DPO grupy. Jednocześnie wykonywanie tych praw można ograniczyć w celu ochrony praw i wolności innych osób zaangażowanych w daną sprawę. Osoba oskarżona w zgłoszeniu w żadnym wypadku nie może otrzymać informacji o danych sygnalisty powołując się na prawo dostępu dodanych, za wyjątkiem sytuacji, w której wysunięte oskarżenia okażą się niezgodne z prawdą i złożone w złej wierze albo jeśli sygnalista wyrazi zgodę na takie ujawnienie danych.
Okres przechowywania danych osobowych
Dane osobowe są przechowywane tylko tak długo, jak jest to potrzebne do wyjaśnienia sytuacji i oceny zgłoszenia, jak długo istnieje uzasadniony interes firmy, albo jak długo jest to wymagane przez prawo.
Generalną zasadą jest usuwanie danych osobowych w przeciągu dwóch miesięcy od zakończenia dochodzenia w zakresie faktów zarzucanych w zgłoszeniu. W przypadku podjęcia działań prawnych albo dyscyplinarnych przeciwko osobie oskarżanej albo przeciwko sygnaliście w razie fałszywych zeznań lub pomówień, dane osobowe będą przechowywane do zakończenia postępowania i zakończenia okresu na apelację. Takie okresy przechowywania wynikają ze stosowanego prawa krajowego. Ponadto dane osobowe będą przechowywane tak długo, jak długo jest to wymagane przez odpowiednie przepisy prawne, np. odnoszące się do archiwizacji danych w firmie.
Dane osobowe dotyczące oskarżeń, które okażą się bezpodstawne, zostaną usunięte niezwłocznie.
Korzystanie z portalu zgłoszeniowego
Komunikacja między komputerem wysyłanym do przesyłania zgłoszenia sygnalisty a systemem zgłoszeniowym jest szyfrowana (SSL). W trakcie korzystania z systemu zgłoszeniowego adres IP komputera sygnalisty nie zostanie zapisany. W celu utrzymania połączenia między komputerem sygnalisty a systemem zgłoszeniowym BKMS® Incident Reporting, na dysku twardym komputera zapisywany jest plik cookie, który zawiera jedynie ID sesji (tzw. cookie sesji). Ten plik cookie zachowuje ważność tylko do zakończenia sesji i wygasa po zamknięciu przeglądarki.
W systemie zgłoszeniowym można stworzyć skrzynkę pocztową, zabezpieczoną wybranym pseudonimem / nazwą użytkownika i hasłem. Pozwala ona bezpiecznie wysyłać imienne albo anonimowe zgłoszenia do odpowiedniego pracownika korporacyjnego działu compliance grupy ZF. System przechowuje dane wyłącznie wewnątrz systemu zgłoszeniowego, co gwarantuje wysoki poziom bezpieczeństwa. Nie jest to forma typowej komunikacji mailowej.
Informacja o wysyłaniu załączników
Przy wysyłaniu zgłoszenia lub jego uzupełnienia, można również przesłać załączniki do odpowiedniego pracownika korporacyjnego działu compliance grupy ZF. Przed wysłaniem anonimowego zgłoszenia należy zwrócić uwagę na następującą wskazówkę dotyczącą bezpieczeństwa: Pliki mogą zawierać ukryte dane osobowe, potencjalnie zagrażające anonimowości sygnalisty. Te dane należy usunąć przed wysłaniem pliku. Jeżeli ręczne usunięcie danych jest utrudnione, zalecamy skopiować tekst załącznika do tekstu zgłoszenia sygnalisty lub przesłać wydrukowany dokument anonimowo na adres odbiorcy zgłoszenia (patrz stopka), podając numer referencyjny, otrzymany na koniec procesu zgłoszenia.