Polityka ochrony danych
Traktujemy ochronę danych i poufność bardzo poważnie oraz przestrzegamy postanowień ogólnego rozporządzenia o ochronie danych UE (RODO) i obowiązujących krajowych przepisów o ochronie danych. Przed wysłaniem zgłoszenia należy dokładnie przeczytać niniejsze informacje o ochronie danych.
Cel i podstawa prawna systemu zgłoszeniowego
System zgłoszeniowy (BKMS® System) służy do bezpiecznego i poufnego odbierania oraz przetwarzania zgłoszeń dotyczących naruszeń zasad compliance Bain & Company oraz do zarządzania tymi zgłoszeniami. Przetwarzanie danych osobowych w ramach BKMS® System wynika z uzasadnionego interesu firmy, który przejawia się w wykrywaniu nadużyć i zapobieganiu im, aby uniknąć szkody dla Bain & Company oraz pracowników i klientów tej firmy. Podstawę prawną przetwarzania danych stanowi artykuł 6 (1f) RODO.
Podmiot odpowiedzialny
Podmiotem odpowiedzialnym za ochronę danych w systemie zgłoszeniowym jest
- firma Bain & Company oraz
- jej spółki zależne
jako strony o wzajemnie niezależnej odpowiedzialności (dalej również jako „Bain & Company”). Operatorem systemu zgłoszeniowego jest wyspecjalizowana firma EQS Group GmbH, Bayreuther Str. 35, 10789 Berlin (Niemcy), w imieniu Bain & Company.
Dane osobowe oraz informacje wprowadzone do systemu zgłoszeniowego są przechowywane w bazie danych prowadzonej przez EQS Group GmbH w centrum danych o zaostrzonych standardach bezpieczeństwa. Wyłącznie Bain & Company ma dostęp do danych. EQS Group GmbH ani inne osoby trzecie nie mają dostępu do danych. Zapewnia to certyfikowana procedura, wykorzystująca liczne środki techniczne i organizacyjne.
Przechowywane dane są szyfrowane i zabezpieczone wielopoziomową strukturą haseł, tak aby dostęp do nich miała wyłącznie niewielka grupa wyraźnie upoważnionych pracowników Bain & Company.
Firma Bain & Company wyznaczyła inspektora ochrony danych. Pytania dotyczące ochrony danych oraz prywatności można wysyłać do Harry'ego Karaolou, na adres e-mail: Harry.Karaolou@Bain.com.
Rodzaj zbieranych danych osobowych
Korzystanie z systemu zgłoszeniowego jest dobrowolne. Podczas wysyłania zgłoszenia przez system zgłoszeniowy zbierane są następujące dane osobowe oraz informacje:
- imię i nazwisko sygnalisty, jeśli decyduje się ujawnić tożsamość,
- informacja o zatrudnieniu w Bain & Company oraz
- imiona i nazwiska i inne dane osobowe osób wskazanych w zgłoszeniu.
Poufne przetwarzanie zgłoszeń
Odbierane zgłoszenia są zawsze traktowane poufnie i kierowane do niewielkiej grupy wyraźnie upoważnionych i specjalnie przeszkolonych osób, tj. kierowników funkcjonalnych odpowiednich działów Bain & Company. Kierownicy funkcjonalni Bain & Company ocenią zgłoszenie i przeprowadzą dalsze postępowanie dostosowane do danego przypadku.
W trakcie przetwarzania zgłoszenia albo prowadzenia specjalnego postępowania może pojawić się konieczność udostępnienia zgłoszeń dodatkowym pracownikom Bain & Company albo pracownikom innych firm z grupy, np. jeśli zgłoszenia dotyczą incydentów w spółkach zależnych. Spółki te mogą mieć siedziby poza Unią Europejską albo Europejskim Obszarem Gospodarczym i mogą tam obowiązywać inne przepisy o ochronie danych osobowych. Gwarantujemy, że podczas udostępniania zgłoszeń przestrzegane są obowiązujące przepisy o ochronie danych.
Każda osoba otrzymująca dostęp do danych zobowiązana jest do zachowania poufności.
Informacje o osobie obwinionej
Zgodnie z prawem jesteśmy zobowiązani poinformować osoby obwinione o otrzymaniu zgłoszenia na ich temat, chyba że mogłoby to negatywnie wpłynąć na dalsze postępowanie. W takim wypadku tożsamość sygnalisty nie jest ujawniana, o ile nie wymaga tego prawo.
Prawa osób, których dane dotyczą
Zgodnie z europejskimi przepisami o ochronie danych sygnalista oraz osoby wskazane w zgłoszeniu mają prawo dostępu do danych, do żądania ich sprostowania, usunięcia, ograniczenia ich przetwarzania oraz do sprzeciwu wobec przetwarzania danych osobowych, które ich dotyczą. Jeśli osoba, której dane dotyczą, wniesie sprzeciw wobec przetwarzania jej danych osobowych, firma niezwłocznie oceni stopień, w jakim przechowywane dane są niezbędne do przetworzenia zgłoszenia. Niewymagane dane zostaną natychmiast usunięte. Osoba, której dane dotyczą, ma również prawo złożyć skargę do organu nadzorczego.
Okres przechowywania danych osobowych
Dane osobowe są przechowywane tak długo, jak jest to konieczne do wyjaśnienia sytuacji i oceny zgłoszenia, przez cały czas istnienia uzasadnionego interesu firmy albo tak długo, jak wymaga tego prawo. Po zakończeniu przetwarzania zgłoszenia dane są usuwane zgodnie z wymogami ustawowymi.
Korzystanie z portalu zgłoszeniowego
Komunikacja między komputerem sygnalisty a systemem zgłoszeniowym jest szyfrowana (SSL). Podczas korzystania z systemu zgłoszeniowego adres IP komputera sygnalisty nie jest zapisywany. Aby utrzymanie połączenia między komputerem sygnalisty a BKMS® System było możliwe, na komputerze zapisywany jest plik cookie, który zawiera wyłącznie ID sesji (tzw. cookie sesji). Ten plik cookie zachowuje ważność wyłącznie do końca sesji i wygasa po zamknięciu przeglądarki.
W ramach systemu zgłoszeniowego można utworzyć skrzynkę pocztową zabezpieczoną indywidualnie wybranym pseudonimem / nazwą użytkownika i hasłem. Dzięki niej można w bezpieczny sposób wysyłać imienne albo anonimowe zgłoszenia do odpowiedzialnego pracownika Bain & Company. System przechowuje dane wyłącznie wewnątrz systemu zgłoszeniowego, co gwarantuje wysoki poziom bezpieczeństwa. Nie jest to forma typowej komunikacji mailowej.
Informacje o wysyłaniu załączników
Wysyłając zgłoszenie albo uzupełnienie do zgłoszenia odpowiedzialnemu pracownikowi Bain & Company, można również wysłać załączniki. Jeśli zgłoszenie ma zostać wysłane anonimowo, należy wziąć pod uwagę następujące wskazówki dotyczące bezpieczeństwa: Pliki mogą zawierać ukryte dane osobowe, potencjalnie zagrażające anonimowości. Przed wysłaniem plików należy usunąć te dane. Jeśli usunięcie danych jest niemożliwe albo problematyczne, należy skopiować tekst z załącznika do tekstu zgłoszenia albo anonimowo wysłać wydrukowany dokument na adres wskazany w stopce, podając numer referencyjny nadany na końcu procedury zgłaszania.
Data: 7 stycznia 2020
