关于数据保护的信息
下面,我们希望向您介绍有关在举报系统框架内收集、处理和使用个人数据的信息。发送报告前,请认真阅读此数据保护信息。
举报系统的目的
举报系统 (BKMS® System) 通过安全保密的渠道接收和处理有关(涉嫌)违反法律或 Schörghuber Group 内部规定的报告,以及有关自身业务领域或 Schörghuber Group 供应链中违规行为的报告。我们的目标是以高度的保密性为基础,有效识别、调查、消除和惩罚集团内任何领域出现的违法行为和严重违反员工义务的行为,包括对企业有害的行为和商业犯罪,以及供应商和商业伙伴企业中出现的不当行为,并避免 Schörghuber Stiftung & Co. Holding KG、其附属企业、所有员工、客户和商业伙伴及其他人员遭受损害或承担责任风险,并避免对环境造成污染【《行政犯罪法》(OWiG) 第 30、130 条】。
个人数据的处理和法律依据
个人数据将在 BKMS® System 框架内获得收集和存储。此类数据处理遵守适用的数据保护法。
只有客观上需要的数据才会获得处理,以达到举报系统(见上文)的目的。
所收集的数据仅用于上述举报系统的目的。所提供的数据尤其旨在保障企业的法律义务与合规要求。数据处理在履行雇佣合同义务的框架内进行【德国《联邦数据保护法》(BDSG) 第 26(1) 条】,且 Schörghuber Stiftung & Co. Holding KG 的合法权益高于各数据主体的权益【欧盟《通用数据保护条例》(GDPR) 第 6(1)(f) 条】。合法权益包括确保企业内部的合规性。这些涉及揭露和调查违法行为和严重违反员工义务的行为,包括对企业有害的行为和商业犯罪,以及在自己的业务领域和 Schörghuber Group 供应链中的不当行为,并保护所有员工、客户和业务合作伙伴以及所有其他人和环境。另一项法律依据为 GDPR 第 6(1)(c) 条与 LkSG 联用。
负责部门和数据安全
举报系统中负责数据保护的各方:
Schörghuber Stiftung & Co. Holding KG
Möhlstrasse 10
81675 Munich
电话:+49 89 3074917-0
电邮:kontakt@schoerghuber.group
举报系统系统由专业企业——EQS Group GmbH(Bayreuther Str. 35, 10789 Berlin, Germany)代表 Schörghuber Stiftung & Co. Holding KG 进行运维。
输入至举报系统中的个人数据和信息将被存储在由 EQS Group GmbH 运维的高度安全的德国数据中心的数据库中,且独立于由 Schörghuber Stiftung & Co. Holding KG 保存的其他数据。仅 Schörghuber Stiftung & Co. Holding KG 能够访问这些数据。EQS Group GmbH 与其他第三方无法访问数据。在认证程序中,我们通过相应的许可制度和全方位技术及组织措施来确保这一点。
所有数据均通过多层密码保护加密储存,只有 Schörghuber Stiftung & Co. Holding KG 内获得明确授权的一小部分人员有权访问。此外,为了确保高水平的数据保护与数据安全,Schörghuber Stiftung & Co. Holding KG 和 EQS Group GmbH 之间已根据 GDPR 第 28 条达成数据处理协议。
Schörghuber Stiftung & Co. Holding KG 已经任命了一名数据保护专员。有关数据保护的问询请发送至:
Schörghuber Stiftung & Co. Holding KG
Data protection officer(数据保护专员)
Möhlstrasse 10
81675 Munich
电话:+49 89 3074917-0
电邮:datenschutz@schoerghuber.group
收集个人数据的类型
举报系统的使用采取自愿原则。您没有提供个人数据的法律或合同义务。
如果通过举报系统发送检举报告,我们将收集以下个人数据和信息:
- 您的姓名、私人联系方式和身份信息,前提是您透露自己的身份和此类数据(非匿名报告)
- 您是否受雇于 Schörghuber Group 的旗下企业,即专业联系信息以及组织和单位关系,前提是您提供此类信息(非匿名报告)
- 您在报告中所指明的其他人员的姓名和其他个人数据(如适用)。
报告的机密处理
所收到的报告由明确获得授权并经过专门培训的 Schörghuber Stiftung & Co. Holding KG 员工接收,而且始终获得保密处理。这些获得授权的员工对事件进行评估,并针对特定情况实施必要的后续调查。只有这些员工才能访问举报系统中存储的数据。
处理报告或进行内部调查时,在合理的个别情况下,可能需要与 Schörghuber Stiftung & Co. Holding KG 的其他员工或 Schörghuber Stiftung & Co. Holding KG 其他集团关联企业的员工分享,例如,如果报告涉及在 Schörghuber Stiftung & Co. Holding KG 分部发生的事件。在调查中可能需要与 Schörghuber Group 位于欧盟或欧洲经济区以外国家/ 地区的分部共享数据,这些国家/ 地区可能适用不同的个人数据保护法规。我们将始终确保共享报告时遵守适用的数据保护法规,并根据数据保护法为数据主体提供合理的保障(例如欧盟标准数据保护条款或 GDPR 第 49 条的豁免条款)。
如有必要,您发送的检举报告文本将与 EQS Group GmbH 的分包合作伙伴共享,以便进行翻译。与 EQS Group GmbH 签订的数据保护协议也适用于这些服务提供商。
如果存在相应的法律义务,或者在 Schörghuber Stiftung & Co. Holding KG 或第三方对报告进行调查时,其他可能的接收方还包括执法机构、反垄断机构、其他行政机构和法院。在这种情况下,可能还需要与律师事务所和审计公司以及 Schörghuber Stiftung & Co. Holding KG 或 Schörghuber Stiftung & Co. Holding KG 附属的其他集团企业雇用的外部数据保护和 IT 安全专员共享报告。这些接收方也有职业上或法律上的保密义务。
所有拥有数据访问权限的人员均有保密义务。
有关被指控方的信息
根据数据保护法和 GDPR 第 13 和 14 条规定的通知义务,我们将在适当的时候通知报告中涉及的每个人,并就对其涉嫌不当行为的指控通知其本人,前提是此类通知不会影响调查工作的继续进行。如果不存在此类危险,一般会在一个月内进行通知,或不迟于调查结束后。在某些情况下,被告有权根据 GDPR 第 15 条要求提供所存储的其个人数据的相关信息。
即使您与我们分享了您的姓名或其他个人数据(非匿名报告),在履行我们的通知义务或向被告提供信息时,您作为举报人的身份——在法律允许的范围内——将不会被披露,而且不会得出任何有关您作为举报人身份的结论。如果您同意披露您的身份或存在适用的相应法律义务,则适用例外规定。尤其在例如为使受报告影响的人员能够行使听证权的情况下,披露必不可少。在任何情况下,您都会针对身份披露提前获得通知。然而,只要举报人在身份保密方面有压倒性的合法权益,我们就不会作出披露(BDSG 第 29(1) 条),只要对报告事项的调查尚未结束,原则上即属于此类情况。因为在调查结束后,特别是在调查未得出结果的情况下,所有与举报人有关的信息原则上都会被删除或完全匿名化(见下文),因此在此类情况下,也从根本上排除了暴露身份的可能性。
数据主体的权利
根据 GDPR,除上述访问权和知情权外,您以及报告中所指明的人员有权更正、删除、限制处理或封锁并拒绝处理个人数据。如果行使了个人数据处理拒绝权,我们会立即评估用于报告审核的所存储数据的必要性,并告知数据主体允许此类数据处理的压倒性权益。在此评估期间,这些数据将出于这些目的被封锁。不再需要的数据将被立即删除。
如果数据已与第三方共享,我们将根据法律规定通知接收方,以更正、删除或封锁数据。您也有权向数据保护主管监督机构提出投诉。对于我方,适用的机构为巴伐利亚州数据保护局。
个人数据的保留期
如果法律、合同或章程规定了相关的保留期限,那么个人数据将被保留到必要的时间,以澄清报告中详述的情况并进行结论性评估,且可能超过这一时间。如果报告导致刑事、处分或民事法律程序,保留期可延长至相关程序最终结束。收集到的报告数据如果与程序无关,将立即删除。在报告处理结束后,数据将按照法定要求被删除或接受匿名化处理。在匿名化过程中,任何与您的举报人身份有关的关联都将被最终且不可逆转地删除。
举报系统的使用
您的电脑和举报系统之间的通信采用加密连接 (SSL)。您的 IP 地址不会在使用举报系统时被存储。为了保持您电脑和 BKMS® System 之间的连接,将在您的电脑上储存一个 cookie,仅包含会话 ID(所谓的会话 cookie)。此 Cookie 在会话结束前一直有效,并在关闭浏览器后失效。
在举报系统中可以设置保密信箱,并自行选择假名/ 用户名和密码。这使您可以通过实名或匿名且安全的方式向 Schörghuber Stiftung & Co. Holding KG 的相应负责员工发送报告。此系统只将数据存储在举报系统中,因此特别安全。这并非普通的电子邮件通信形式。
附件发送注意事项
在发送报告或补充文件时,可同时发送附件给 Schörghuber Stiftung & Co. Holding KG 的负责员工。如果您希望发送匿名报告,请注意以下安全提示:文件可能包含隐藏的个人数据,这将会损害您的匿名性。请在文件发送前删除所有此类信息。如果无法删除这些数据或不确定如何操作,则可将附件内容复制到检举报告文本框内,或以匿名方式(遮盖个人数据)将文档打印件发送至脚注中列出的报告收件人处,同时注明报告程序结束时获取的参考编号。
版本:2023 年 3 月 15 日