Upozornění k ochraně osobních údajů
Za účelem zjednodušení hlášení potenciálních porušení pravidel a zajištění účinných následných opatření zavedla skupina ERGO Group AG v Düsseldorfu (dále jen „ERGO“) tento zabezpečený a důvěrný systém hlášení, který rovněž splňuje požadavky Směrnice Evropského parlamentu a Rady (EU) 2019/1937, o ochraně osob, které oznamují porušení práva Unie. Tento systém umožňuje zabezpečený a důvěrný příjem a zpracovávání informací o porušení pravidel. Použití systému hlášení je dobrovolné.
Systém hlášení provozuje společnost EQS Group GmbH, Bayreuther Str. 35, 10789 Berlín, Německo, jménem skupiny ERGO. Komunikace mezi Vaším počítačem a systémem hlášení je šifrovaná (SSL). Osobní údaje zadané do systému hlášení jsou šifrované, chráněné a uložené v databázi provozované společností EQS Group v datovém centru v Německu s vysokou úrovní zabezpečení. EQS Group GmbH nemá k těmto datům přístup.
Kdo je odpovědný za zpracování osobních údajů?
1) Stranou odpovědnou za hlášení adresovaná oddělení Compliance skupiny ERGO je následující společnost:
ERGO Group AG
ERGO-Platz 1
40198 Düsseldorf
E-mail: hinweisgeber@ergo.de
Máte-li jakékoli dotazy ohledně těchto informací o zpracování osobních údajů, obraťte se na pověřence pro ochranu osobních údajů skupiny ERGO. Chcete-li pověřence pro ochranu osobních údajů kontaktovat poštou, zašlete svůj dopis na výše uvedenou adresu „Datenschutzbeauftragter“ (pověřence pro ochranu osobních údajů). Můžete také zaslat e-mail na adresu datenschutzbeauftragter@ergo.de.
2) Stranou odpovědnou za hlášení adresovaná centrálnímu ombudsmanovi skupiny ERGO je následující společnost:
BDO AG Wirtschaftsprüfungsgesellschaft
Markus Brinkmann
Fuhlentwiete 12
20355 Hamburk
Německo
Telefon: +49 (40) 33 47 53 74 35
E-mail: ombudsmann.ergo@bdo.de
3) Stranou odpovědnou za hlášení adresovaná příslušnému/příslušným pracovníkovi/pracovníkům v jednotlivých místních společnostech je příslušná místní společnost, kterou lze zvolit v průběhu procesu podávání hlášení. V tomto případě platí navíc ustanovení místních předpisů o zpracování osobních údajů.
Jaké kategorie dat používáme a odkud data pocházejí?
Použití systému hlášení je dobrovolné. Pokud nám je sdělíte, shromažďujeme v rámci Vašeho hlášení následující osobní údaje a informace:
- Vaše křestní jméno a příjmení a Vaše kontaktní údaje,
- zda jste zaměstnáni ve společnosti, která je součástí skupiny ERGO,
- jména osob a další osobní údaje o osobách, které uvedete v příslušném hlášení.
IP adresa Vašeho počítače nebude během a ani po ukončení používání systému hlášení uložena. Aby bylo zachováno spojení mezi Vaším počítačem a systémem hlášení, je v počítači uložen soubor cookie, v němž je uloženo pouze ID relace (známý jako relační soubor cookie). Tento soubor cookie je platný pouze do konce dané relace a jeho platnost vyprší po zavření prohlížeče. Návštěva systému hlášení však může ve Vašem počítači zanechat stopy. Pokud k systému nahlašování přistupujete z firemního počítače, měli byste se postarat především o odstranění dočasných dat (vyrovnávací paměti) z prohlížeče.
V systému hlášení máte možnost zřídit chráněnou poštovní schránku s individuálně zvoleným pseudonymem/ uživatelským jménem a heslem. To vám umožní anonymní a bezpečnou výměnu zpráv a souborů s pracovníkem odpovědným za zpracování Vašeho hlášení. Nejde o standardní e-mailovou komunikaci. Data se ukládají výhradně v systému hlášení, a proto jsou chráněna zvláštním způsobem.
Pro jaké účely a na jakém právním základě zpracováváme Vaše osobní údaje?
Vaše osobní údaje zpracováváme v souladu s příslušnými ustanoveními Obecného nařízení EU o zpracování osobních údajů (GDPR) a všemi dalšími platnými národními zákony a předpisy o zpracování osobních údajů, jako je např. zákon č. 110/2019 Sb. o zpracování osobních údajů.
Účelem zpracování dat je povinnost skupiny ERGO, jak je stanoveno vv zákoně č. 171/2023 Sb. o ochraně oznamovatelů, zavést proces, který umožňuje zaměstnancům a třetím stranám oznamovat potenciální nebo skutečné porušení pravidel a zároveň chrání důvěrnost jejich totožnosti. Je v rámci oprávněných zájmů skupiny ERGO účinně a vysoce důvěrně odhalovat, vyšetřovat, pozastavovat a postihovat nezákonnou činnost a závažná porušení povinností zaměstnanců v rámci celé skupiny, aby se předešlo škodám a rizikům spojeným s odpovědností. Společnosta, které svou zprávu adresujete, bude zpracovávat osobnI údaje i jména a další data související s hlášením a jeho obsahem důvěrně a výhradně pro účely bezpečného a důvěrného přijetí a zpracování Vašeho hlášení. Pokud sdílíte informace v systému hlášení, systém Vás požádá o souhlas. Tento souhlas je právním důvodem pro zpracování Vašich osobních údajů podle čl. 6, odst. 1, písm. a) nařízení GDPR. Pokud svůj souhlas odvoláte, může být zpracování založeno na čl. 6, odst. 1, písm. f) nařízení GDPR a na vnitrostátních předpisech provádějících Směrnici Evropského parlamentu a Rady (EU) 2019/1937, o ochraně osob, které oznamují porušení práva Unie. (např. zákon č. 171/2023 Sb. o ochraně oznamovatelů), a to tehdy, kdyjsou Vaše osobní údaje v konkrétním případě nezbytné k ochraně výše uvedených oprávněných zájmů skupiny ERGO pokud tyto zájmy převažují nebo jsou závažné.
Probíhá sdílení osobních údajů?
Pokud v systému hlášení uvedete své jméno, zajistíme, aby s Vaší identitou jako oznamovatele bylo nakládáno důvěrně.
Přístup k Vámi sdíleným osobním údajům získá pouze velmi úzký výběr výslovně oprávněných osob v příslušné roli, které jsou odpovědné za zpracování Vašeho hlášení (na základě Vašeho výběru příjemce hlášení). V závislosti na obsahu zprávy mohou k osobním údajům získat přístup určité výslovně pověřené osoby v oddělení interního auditu spolu s pověřencem pro ochranu osobních údajů a jednotlivými pověřenými osobami v pobočkách/ dceřiných společnostech, pokud je to pro zpracování určitých informací nezbytné. Mají-li tyto pobočky/ dceřiné společnosti sídlo v zemích mimo Evropskou unii nebo Evropský hospodářský prostor, budou zajištěny odpovídající a vhodné záruky ochrany osobních údajů. Pokud pro danou třetí zemi neexistuje konkrétní rozhodnutí Evropské komise o odpovídající ochraně, spočívají tato bezpečnostní opatření zejména v závazných vnitřních pravidlech ochrany osobních údajů nebo standardních smluvních doložkách Evropské unie. Ve výjimečných případech se můžeme odchýlit od bezpečnostních opatření stanovených v čl. 49 nařízení GDPR. Může k tomu dojít například v případě, kdy je předání nezbytné pro určení, výkon nebo obhajobu právních nároků.
Prošetřování nahlášených informací probíhá přísně důvěrně. Každá osoba, která má přístup k osobním údajům, je povinna udržovat je v tajnosti. Vaše jméno a okolnosti, které by mohly ohrozit Vaši totožnost oznamovatele, se zásadně nezveřejňují. Jsme však povinni zveřejnit Vaše jméno v určitých výjimečných případech, například když nám to ukládá zákon.
Existuje-li podezření, mohou být informace předány jinému internímu oddělení za účelem zahájení řízení o potrestání pachatele nebo orgánům činným v trestním řízení.
Informace o osobě/osobách, které/kterých se hlášení týká
V určitých případech jsme ze zákona povinni informovat dotčené osoby o tom, že jsme o nich obdrželi hlášení. K tomu může dojít pouze tehdy, pokud toto oznámení dotčeným osobám již neohrožuje prošetřování obdrženého hlášení. Dotčená osoba může mít dále právo na přístup k údajům, která se jí týkají. V rozsahu povoleném zákonem nebudou v průběhu tohoto procesu zveřejněny žádné přímé ani nepřímé informace o oznamovateli.
Jak dlouho budou osobní údaje uchovávány?
Osobní údaje související s Vaším oznámením uchováváme po dobu nezbytnou pro šetření a po dobu, po kterou jsme povinni je uchovávat na základě zákonných nebo smluvních lhůt. Po uplynutí tohoto časového období budou obdržené informace buď vymazány, nebo anonymizovány v souladu s právními požadavky dané země; jinými slovy: všechny odkazy na Vaši totožnost oznamovatele budou trvale a neodvolatelně vymazány.
Právo odvolat souhlas a právo vznést námitku
Máte právo kdykoli odvolat svůj souhlas s účinností do budoucna a vznést námitku proti zpracovávání Vašich osobních údajů, aniž byste tím utrpěli jakoukoli újmu. Zpracovávání ukončíme, pokud nemáme závažné oprávněné zájmy na zpracování údajů na základě čl. 6, odst. 1, písm. f) a čl. 21 nařízení GDPR (zpracování údajů na základě oprávněných zájmů), ovšem pokud údaje nejsou zpracovávány za účelem určení, výkonu nebo obhajoby právních nároků, nebo nám vnitrostátní předpisy provádějící směrnici Evropského parlamentu a Rady (EU) 2019/1937, o ochraně osob, které oznamují porušení práva Unie. (např. oznamovatelůzákon č. 171/2023 Sb. o ochraně oznamovatelů) neumožňují pokračovat ve zpracovávání. Odvolání souhlasu a námitka mohou být vydány v jakékoli formě a měly by být adresovány příslušné společnosti, které jste své hlášení adresovali.
Jaká další práva mají uživatelé systému hlášení?
Kromě práva být informován o zpracování svých osobních údajů máte – v souladu se zákonnými ustanoveními – právo na přístup podle čl. 15 nařízení GDPR, právo na opravu podle čl. 16 nařízení GDPR, právo na výmaz podle čl. 17 nařízení GDPR, právo na omezení zpracování podle čl. 18 nařízení GDPR a právo na přenositelnost údajů podle čl. 20 nařízení GDPR. Vámi poskytnutá data Vám na požádání zpřístupníme ve strukturovaném, běžně používaném a strojově čitelném formátu. Chcete-li tato práva uplatnit, obraťte se na příslušnou společnost, které jste hlášení adresovali.
Kromě toho máte právo podat stížnost u dozorčího orgánu dle vlastního výběru (čl. 77 nařízení GDPR ve spojení s § 54 odst. 2 písm c) zákona č. 110/2019 Sb. o zpracování osobních údajůs).
Příslušným orgánem pro skupinu ERGO Group AG je:
Zemský zástupce pro ochranu dat a svobodu informací v Severním Porýní-Vestfálsku
Kavalleriestr. 2-4
40213 Düsseldorf
Telefon: 0211/38424-0
Fax: 0211/38424-999
E-mail: poststelle@ldi.nrw.de
Internet: https://www.ldi.nrw.de/
Verze: Únor 2023