Informacje o ochronie danych dotyczące systemu zgłoszeniowego GDA
Ochrona danych i zachowanie tożsamości sygnalisty w tajemnicy są dla nas bardzo ważne. Oczywiście firma przetwarza dane osobowe wyłącznie zgodnie z obowiązującymi przepisami o ochronie danych, np. unijnym ogólnym rozporządzeniem UE o ochronie danych (RODO). Koncepcja szyfrowania i zarządzania uprawnieniami gwarantuje wysoki poziom ochrony danych w systemie zgłoszeniowym, w tym ochrony Państwa tożsamości. Firma umożliwia również anonimowe wysyłanie zgłoszeń.
Cel i podstawa prawna systemu zgłoszeniowego
System zgłoszeniowy (BKMS® Compliance System) służy do bezpiecznego i poufnego odbierania i przetwarzania zgłoszeń oraz zarządzania zgłoszeniami dotyczącymi naruszeń prawa i nadużyć, których dopuścili się pracownicy i rezydenci firmy, ich krewni, zleceniobiorcy oraz klienci spółki z o. o. ds. usług na rzeczludzi w zaawansowanym wieku (Gesellschaft für Dienste im Alter mbH), która w dalszej części określana jest jak „GDA”), a także podmioty trzecie.
Przetwarzanie danych osobowych w ramach systemu BKMS® Compliance System odbywa się zgodnie z art. 6 ust. 1 punkt 1 f RODO, na podstawie uzasadnionego interesu prawnego naszej firmy w wykrywaniu naruszeń prawa i nieuczciwych praktyk i zapobieganiu im. Takie incydenty mogą znacząco zaszkodzić naszej sytuacji finansowej i reputacji. Uzasadniony interes naszej firmy przeważa tym samym nad prawem osób, których dane dotyczą, do samostanowienia informatycznego, w szczególności ze względu na środki techniczne i organizacyjne, które stosujemy w celu zminimalizowania jakichkolwiek ograniczeń powyższego samostanowienia i w celu ochrony poufności i integralności danych.
Podmioty odpowiedzialne
Podmiotem odpowiedzialnym za ochronę danych w systemie zgłoszeniowym jest ółki z o. o. ds. usług na rzeczludzi w zaawansowanym wieku (Gesellschaft für Dienste im Alter mbH - GDA), Hildesheimer Strasse 187, 30173 Hanover (Hanower), Germany (Niemcy).
Operatorem systemu zgłoszeniowego jest wyspecjalizowana firma EQS Group AG, Bayreuther Str. 35, 10789 Berlin (Niemcy), działająca w imieniu GDA.
Dane osobowe i informacje wprowadzone do systemu zgłoszeniowego przechowywane są w bazie danych obsługiwanej przez EQS Group AG w centrum danych o zaostrzonych standardach bezpieczeństwa. Odszyfrować i wyświetlać dane może wyłącznie doradca ds. zaufania w GDA, Wolfgang Lindner z firmy Lindner-Compliance, Salzpfännerstrasse 2, 31162 Bad Salzdetfurth w Niemczech. Dostępu do możliwych do zinterpretowania danych nie ma EQS Group AG, GDA ani żaden inny podmiot trzeci. Zapewnia to certyfikowana procedura oraz liczne środki techniczne i organizacyjne. Przechowywane dane są szyfrowane i zabezpieczone wielopoziomową strukturą haseł, dzięki czemu dostęp do danych ma tylko Wolfgang Lindner.
Firma GDA wyznaczyła inspektora ds. ochrony danych. Pytania dotyczące ochrony danych w GDA można kierować do inspektora ochrony danych za pośrednictwem wiadomości e-mail na adres: datenschutz@gda.de. Inspektor ochrony danych zobowiązany jest do zachowania tajemnicy i poufności.
Rodzaje zbieranych danych osobowych
Korzystanie z systemu zgłoszeniowego jest dobrowolne. Przy wysyłaniu zgłoszenia przez system zgłoszeniowy początkowo zbieramy wyłącznie dane udostępnione przez Państwa. Do tych danych ogólnie należą:
- imię i nazwisko, jeśli sygnalista zrezygnował z anonimowości (opcjonalnie),
- informacje, czy sygnalista jest zatrudniony w GDA i w jakim dziale,
- inne dane osobowe zawarte w zgłoszeniu, a także
- imiona i nazwiska oraz inne dane osób wymienionych w zgłoszeniu, jeśli takie osoby wystąpiły.
W przypadku zebrania uzupełniających danych osobowych w toku postępowania związanego ze zgłoszeniem, dane te również mogą być przetwarzane w ramach systemu zgłoszeniowego.
Poufne przetwarzanie zgłoszeń
Otrzymywane zgłoszenia są przetwarzane przez doradcę ds. zaufania w GDA, Wolfganga Lindnera. Do jego zadań należy analiza sprawy i przeprowadzenie dodatkowego postępowania, jeśli wymaga tego dany przypadek.
Podczas przetwarzania zgłoszenia albo prowadzenia specjalnego postępowania może okazać się konieczne udostępnienie zgłoszenia zarządowi oraz specjaliście ds. compliance w GDA. Wolfgang Lindner ogranicza wszystkie zgłoszenia do opisu sytuacji. Tożsamość sygnalisty zawsze jest chroniona. Imiona i nazwiska są ujawniane wyłącznie za zgodą sygnalisty. Zarząd oraz specjalista ds. compliance w GDA opracują i zaplanują środki odpowiednie dla danego postępowania. Ewentualne włączenie w sprawę dodatkowych pracowników GDA oraz specjalistów zewnętrznych będzie możliwe wyłącznie w zakresie niezbędnym do realizacji określonych celów.
Tożsamość sygnalistów, którzy zdecydowali się ujawnić swoje imię i nazwisko, zostanie udostępniona zarządowi i specjaliście ds. zgodności wyłącznie, jeśli sygnalista udzieli na to zgody doradcy ds. zaufania. Osoby oskarżane o naruszenia albo świadkowie wymienieni przez sygnalistę będą mieli możliwość wypowiedzenia się na temat okoliczności opisanych w zgłoszeniu, jeśli tylko będzie to wskazane. Jeśli to konieczne, dostarczone informacje zostaną również udostępnione organom publicznym.
Doradca ds. zaufania będzie na bieżąco informować sygnalistę o kolejnych etapach postępowania, w zakresie wynikającym z odnośnych przepisów prawa.
Udostępniając zgłoszenie, zawsze upewniamy się, że będą przestrzegane odpowiednie przepisy dot. ochrony danych.
Każda osoba uzyskująca dostęp do danych jest zobowiązana do zachowania poufności.
Informacje na temat osoby obwinionej
Firma jest prawnie zobowiązana poinformować osoby obwinione o jakichkolwiek zgłoszeniach skierowanych przeciwko nim w chwili, gdy ujawnienie tych informacji nie wpłynie negatywnie na prowadzone postępowanie. Nawet jeśli sygnalista nie wysyła zgłoszenia anonimowo, jego tożsamość zostanie ujawniona dopiero wtedy, gdy będzie tego wymagać prawo.
Prawa osób, których dane dotyczą
Zgodnie z europejskimi przepisami o ochronie danych, sygnalista oraz wszystkie osoby wskazane w zgłoszeniu (osoby, których dane dotyczą) mają prawo dostępu do danych, do ich sprostowania, usuwania, ograniczania przetwarzania oraz wniesienia sprzeciwu wobec przetwarzania danych osobowych. Skorzystanie z prawa do sprzeciwu wobec przetwarzania danych osobowych spowoduje niezwłoczną ocenę konieczności przechowywania tych danych w celu analizy przesłanego zgłoszenia. W takim przypadku dalsze przetwarzanie będzie miało miejsce wyłącznie, jeśli firma będzie w stanie wykazać uzasadnioną podstawę, przeważającą nad interesem, prawami i wolnościami osoby, której dane dotyczą. Niewymagane dane zostaną natychmiast usunięte. Co więcej, osoba, której dane dotyczą, ma prawo złożyć skargę do odpowiedniego organu nadzorczego:
Landesbeauftragte für den Datenschutz Niedersachsen (pełnomocnik kraju związkowego Dolnej Saksonii ds. ochrony danych)
Prinzenstrasse 5, 30159 Hanover (Hanower), Germany (Niemcy)
Telefon: +49 511 120 4500
E-mail: poststelle@lfd.niedersachsen.de
Okres przechowywania danych osobowych
Dane osobowe są przechowywane tak długo, jak jest to niezbędne do wyjaśnienia sytuacji i przeprowadzenia końcowej oceny przypadku albo przez okres, w którym istnieje uzasadniony interes firmy, czy też wymaga tego prawo. Po zakończeniu przetwarzania zgłoszenia dane są usuwane zgodnie z wymogami ustawowymi.
Korzystanie z systemu zgłoszeniowego
Komunikacja między komputerem sygnalisty a systemem zgłoszeniowym jest szyfrowana (SSL). W trakcie korzystania z systemu zgłoszeniowego adres IP komputera nie jest zapisywany. W celu utrzymania połączenia między komputerem a systemem zgłoszeniowym BKMS® Compliance System, na dysku twardym komputera zapisywany jest plik cookie, który zawiera jedynie ID sesji (tzw. cookie sesji). Ten plik cookie zachowuje ważność tylko do zakończenia sesji i wygasa po zamknięciu przeglądarki.
W systemie zgłoszeniowym można skonfigurować bezpieczną skrzynkę pocztową, zabezpieczoną wybranym pseudonimem / nazwą użytkownika i hasłem. Umożliwia to wysłanie dodatkowych informacji albo odpowiadanie na pytania doradcy ds. zaufania w GDA, Wolfganga Lindnera, zarówno pod nazwiskiem, jak i anonimowo. Wszystkie dane przesłane przez skrzynkę pocztową są zaszyfrowane i przechowywane wyłącznie w systemie zgłoszeniowym, co zapewnia, że dane objęte są specjalną ochroną, silniejszą niż w przypadku zwykłej komunikacji e-mailowej.
Informacja o wysyłaniu załączników
Wysyłając zgłoszenie lub uzupełnienie zgłoszenia doradcy ds. zaufania w GDA, Wolfgangowi Lindnerowi, można również wysłać załączniki. Jeśli zgłoszenie ma być wysłane anonimowo, należy uwzględnić następującą wskazówkę dotyczącą bezpieczeństwa: Pliki mogą zawierać ukryte dane osobowe, co zagraża anonimowości. Przed wysłaniem pliku należy usunąć wszelkie informacje tego rodzaju. Jeżeli usunięcie tych danych jest niemożliwe albo problematyczne, należy skopiować tekst z załącznika do tekstu zgłoszenia albo anonimowo wysłać wydrukowany dokument na adres podany w stopce, oznaczając go numerem referencyjnym nadanym na końcu procedury zgłoszeniowej.