Informacje o ochronie danych
ista traktuje ochronę danych i poufność bardzo poważnie. Przestrzega postanowień ogólnego rozporządzenia o ochronie danych UE (RODO), a także krajowych regulacji z zakresu ochrony danych. Przed wysłaniem zgłoszenia należy starannie zapoznać się z niniejszymi informacjami o ochronie danych.
Cel i podstawa prawna systemu zgłoszeniowego
System zgłoszeniowy (BKMS® System) służy do bezpiecznego i poufnego odbierania oraz przetwarzania zgłoszeń dotyczących naruszeń zasad compliance ista SE oraz do zarządzania tymi zgłoszeniami. Przetwarzanie danych osobowych w ramach BKMS® System wynika z uzasadnionej troski o interes firmy, przejawiający się w dążeniu do wykrywania nadużyć i zapobiegania im, a tym samym do ochrony firmy ista SE, jej pracowników i klientów. Podstawą prawną przetwarzania danych osobowych jest artykuł 6, ustęp 1f RODO.
Podmiot odpowiedzialny
Podmiotem odpowiedzialnym za ochronę danych w systemie zgłoszeniowym jest
- ista SE oraz
- spółki zależne
jako podmioty o wzajemnie niezależnej odpowiedzialności (dalej jako „ista”). Operatorem systemu zgłoszeniowego jest wyspecjalizowana firma EQS Group GmbH, Karlstraße 47, 80333 Monachium (Niemcy), działająca w imieniu ista.
Dane osobowe i informacje wprowadzane do systemu zgłoszeniowego są przechowywane w bazie danych prowadzonej przez EQS Group GmbH w centrum danych o zaostrzonych standardach bezpieczeństwa. Tylko ista ma dostęp do danych. EQS Group GmbH ani inne osoby trzecie nie mają dostępu do danych. Zapewniają to certyfikowane procedury oraz liczne środki techniczne i organizacyjne.
Przechowywane dane są szyfrowane i zabezpieczone wielopoziomową strukturą haseł, dzięki czemu dostęp do danych ma tylko bardzo niewielka grupa wyraźnie upoważnionych pracowników ista.
Firma ista wyznaczyła inspektora ochrony danych. Pytania dotyczące ochrony danych można kierować do Rainer Dartmann (Datenschutz@ista.com).
Rodzaje zbieranych danych osobowych
Korzystanie z systemu zgłoszeniowego jest dobrowolne. Podczas wysyłania zgłoszenia za pośrednictwem systemu zgłoszeniowego zbierane są następujące dane osobowe i informacje:
- imię i nazwisko, jeśli sygnalista zrezygnował z anonimowości,
- informacje o zatrudnieniu w ista oraz
- imiona i nazwiska oraz inne dane osób wymienionych w zgłoszeniu, jeśli takie osoby wystąpiły.
Poufne przetwarzanie zgłoszeń
Nadesłane zgłoszenia trafiają do niewielkiej grupy wyraźnie upoważnionych i specjalnie przeszkolonych pracowników działu audytu wewnętrznego i compliance i są zawsze traktowane jako poufne. Do zadań tych pracowników należy analiza sprawy i przeprowadzenie dodatkowego dochodzenia, jeśli wymaga tego dany przypadek.
Podczas przetwarzania zgłoszenia albo prowadzenia specjalnego dochodzenia może okazać się konieczne udostępnienie zgłoszenia innym pracownikom ista lub powiązanych firm, np. jeżeli zgłoszenie dotyczy incydentów w spółkach zależnych. Spółki te mogą mieć siedziby poza terenem Unii Europejskiej lub Europejskiego Obszaru Gospodarczego i mogą tam obowiązywać inne przepisy w zakresie ochrony danych osobowych. Zgłoszenie jest udostępniane po zagwarantowaniu przestrzegania przepisów o ochronie danych.
Każda osoba uzyskująca dostęp do danych jest zobowiązana do zachowania poufności.
Informacje na temat osoby obwinionej
Firma ista jest prawnie zobowiązana poinformować osoby obwinione o jakichkolwiek zgłoszeniach skierowanych przeciwko nim w chwili, gdy ujawnienie tych informacji nie wpłynie negatywnie na prowadzone dochodzenie. Tożsamość sygnalisty nie zostanie ujawniona, chyba że wymagają tego przepisy prawa.
Prawa osób, których dane dotyczą
Zgodnie z europejskimi przepisami o ochronie danych, sygnalista oraz wszystkie osoby wskazane w zgłoszeniu mają prawo dostępu do danych, ich poprawiania, usuwania, ograniczania przetwarzania oraz wniesienia sprzeciwu wobec przetwarzania danych osobowych. Skorzystanie z prawa do sprzeciwu wobec przetwarzania danych osobowych spowoduje niezwłoczną ocenę konieczności przechowywania tych danych w celu analizy przesłanego zgłoszenia. Niewymagane dane zostaną natychmiast usunięte. Osoba, której dane dotyczą, ma również prawo złożyć skargę do organu nadzorczego.
Okres przechowywania danych osobowych
Dane osobowe są przechowywane tak długo, jak jest to niezbędne do wyjaśnienia sytuacji i przeprowadzenia końcowej oceny przypadku albo tak długo, jak istnieje uzasadniony interes firmy czy wymaga tego prawo. Po zakończeniu przetwarzania zgłoszenia dane są usuwane zgodnie z wymogami ustawowymi.
Korzystanie z portalu zgłoszeniowego
Komunikacja między komputerem sygnalisty a systemem zgłoszeniowym jest szyfrowana (SSL). W trakcie korzystania z systemu zgłoszeniowego adres IP komputera nie jest zapisywany. Aby utrzymanie połączenia między komputerem a BKMS® System było możliwe, na dysku twardym komputera zapisywany jest plik cookie, który zawiera jedynie ID sesji (tzw. cookie sesji). Ten plik cookie zachowuje ważność tylko do końca sesji i wygasa po zamknięciu przeglądarki.
W systemie zgłoszeniowym można stworzyć skrzynkę pocztową, zabezpieczoną wybranym pseudonimem / nazwą użytkownika i hasłem. Pozwala ona bezpiecznie wysyłać anonimowe albo imienne zgłoszenia do odpowiedniego pracownika ista. System przechowuje dane wyłącznie wewnątrz systemu zgłoszeniowego, co gwarantuje wysoki poziom bezpieczeństwa. Nie jest to forma typowej komunikacji mailowej.
Informacja o wysyłaniu załączników
Wysyłając zgłoszenie albo informacje dodatkowe do działu audytu wewnętrznego i compliance, można również przesłać załączniki. Jeśli zgłoszenie ma być anonimowe, należy uwzględnić następującą wskazówkę dotyczącą bezpieczeństwa: niektóre pliki zawierają ukryte dane osobowe, które mogą ujawnić tożsamość sygnalisty. Przed wysłaniem plików należy usunąć takie dane. Jeżeli usunięcie tych danych jest niemożliwe albo problematyczne, należy skopiować tekst z załącznika do tekstu zgłoszenia albo anonimowo wysłać wydrukowany dokument na adres podany w stopce, oznaczając go numerem referencyjnym nadanym na końcu procedury zgłoszeniowej.
Wersja: 08.05.2018