关于数据保护的信息
本数据保护信息介绍了 BAUHAUS 在运行举报系统和处理报告过程中如何处理个人数据,并说明了您享有的数据保护权利,以及您如何就此与我们联系,并提出数据保护方面的问题。
I. 控制方及数据保护专员
根据 GDPR 第 4(7) 条,哪家 BAUHAUS 企业为数据处理的控制方取决于举报人所作选的企业。举报人所选的企业既是报告的接收方,也是数据的控制方。
从负责数据处理的控制方的角度出发,下文将该企业称为“我们”、“我方”或“BAUHAUS”。
举报系统由 EQS Group GmbH (Karlstraße 47, 80333 Munich) 代表 BAUHAUS 进行运维。数据以加密形式储存。EQS 无法访问未加密数据。系统会自动将报告转发给相应 BAUHAUS 企业的合规部门。
如需咨询德国方面的特殊问题,也欢迎您直接发送电子邮件至 datenschutzbeauftragter@bauhaus.info 与数据保护专员取得联系。以此方式展开讨论的主题和内容均会获得保密。有关数据保护和行使您作为数据主体权利的一般性问题,请联系 BAUHAUS 内部数据保护办公室,并将您的详细询问信息发送至 datenschutz@bauhaus.info。
II. Cookie
您计算机和举报系统之间的通信通过 SSL 加密连接进行。在使用举报系统期间,IP 地址不会被保存。为了维持您计算机和系统之间的连接,将储存一个只包含有会话 ID 的 Cookie。此 Cookie 有效期仅维持至您的会话结束,并在您关闭浏览器时被删除。运行网络报告表格需要 Cookie,因此我们会自动设置 Cookie。
III. 数据处理与目的
具体实施的数据处理在很大程度上取决于 BAUHAUS 通过报告收到的信息。通过举报系统进行的数据处理,旨在安全、保密地接收、处理和管理有关(涉嫌)违法或严重违反合规条例的报告。您通过举报系统提供的个人数据和其他信息储存在由 EQS Group GmbH 运营的一个高度安全的数据中心的数据库中。只有举报人所选的企业内部报告办公室才能查看数据。我们通过认证解决方案中的全方位技术和组织措施对此予以确保。
我们在举报系统的帮助下处理哪些数据,主要取决于在单独案件中向我们发送的报告。举报人必须始终说明针对哪个国家/ 地区发送报告,以及报告的涉嫌违规类型(如腐败)。在报告发送表格中,还将要求举报人描述涉嫌的违规行为,并分享可能对调查有用的信息。如果举报人在个案中提供了相关信息,我们还将收集举报人的姓名和其他联系方式、报告中提到的人员姓名、其参与涉嫌违法行为的信息以及与 BAUHAUS 企业的隶属关系。我们还会收集与所发送的每份报告相关的参考编号。如果您在举报系统中设置了信箱,所选假名、散列形式的密码,以及与信箱相关的 ID 亦将获得处理。
与处理具体报告明显无关的个人数据将被立即删除。在必要情况下,我们也会掩盖个人数据,以保护举报人的身份,并保护报告中提到的人员(例如在进行内部转发以展开报告处理之前)。
IV. 通知被举报人
根据 GDPR 第 14 条,只要此等信息的披露不再对调查造成妨碍,我们在法律上有义务就收到提及他们的报告通知被举报人。您作为举报人的身份将不会被透露,除非我们有法律义务这样做。
V. 保密处理举报与转发报告
所收到的报告由明确获得授权的员工接收,而且始终获得保密处理。收到报告后,我们会对报告和其中所述事件进行评估,并针对特定情况实施必要的后续调查。在处理报告或进行调查时,可能需要与 BAUHAUS 员工共享报告,包括附属企业、律师事务所、咨询公司的员工,或在特殊情况下与刑事司法机关共享报告。如果处理报告或调查问题需要,我们可以翻译其中文本。所有拥有数据访问权限的人员均有保密义务,并受合同或法律约束。
VI. 关于匿名发送报告可能性的信息
如果您希望在报告发送过程中保护自己的匿名性,举报系统会在技术层面上对您提供保护。请确保您在报告表格和任何上传文件中输入的信息不包含任何与您身份有关的内容。如果您使用信箱功能,与您有关的信息一般情况下不再为匿名形式,而是假名形式。
VII. 关于发送附件的信息
在发送报告或针对以前报告发送补充内容时,可以向系统上传附件。如果您希望发送匿名报告,请注意安全提示。
VIII. 关于设置信箱的信息
发送报告后,您可以选择在举报系统内设置一个电子信箱。该信箱由自行选择的假名和密码保护。密码以散列形式保存;信箱经过加密,并具有一个相关 ID。如果登录信息丢失,则无法恢复。举报人可以使用信箱查看有关处理状态的信息、提供补充信息、上传文件,以及阅读或打印报告。如果您不希望向我们透露您的姓名,请确保您的假名和与我们共享的任何信息不会泄露您的身份,并且在与我们交流的过程中未告知您的姓名。
IX. 法律依据
我们处理本数据保护信息中所述个人数据基于我们揭露和预防渎职行为的合法权益,从而避免对 BAUHAUS 造成重大或非重大损失和责任风险(GDPR 第 6(1)(f) 条,如为德国 BAUHAUS 企业,则适用《违反秩序法》(OWiG) 第 30 条和第 130 条)。如果出于此目的需要处理特殊类别的个人数据,我们将根据 GDPR 第 9(2)(f) 条的补充规定进行处理。如果收到的报告涉及 BAUHAUS 的员工,则处理同样旨在防止与雇佣关系有关的犯罪行为或其他违法行为(在德国,额外适用《德国联邦数据保护法》(BDSG) 第 26(1)(2) 条规定)。
在对涉嫌违法行为的调查过程中以及随后的解决过程中,BAUHAUS 将在个别情况下处理数据,以行使和维护我们的利益、权利和主张,其依据是我们在行使和维护我们的利益、权利和主张时的合法权益(GDPR 第 6(1)(f) 条)。如果需要对特殊类别的个人数据进行处理,以维护、行使或捍卫法律主张,我们将额外根据 GDPR 第 9(2)(f) 条进行数据处理。
此外,我们还根据法律义务(GDPR 第 6(1)(c) 条,与第 2019/ 1937 号(欧盟)指令和相应(未来)国家实施方案相关联)通过举报系统处理个人数据。例如,如果我们不再有保存数据的法律依据,我们有义务删除数据。
如果您作为举报人在发送报告时并非位于欧盟/ 欧洲经济区,那么在您发送报告的过程中将不可避免地进行数据传输。在此情况下,此类数据传输将根据 GDPR 第 49(1)(d) 条进行。
X. 第三方来源
我们通常会收到举报人提供的有关涉嫌违规人员的信息。在这种情况下,根据 GDPR 第 14(2)(f) 条的定义,数据来源为举报人。此外,也有必要从报告中所述违法嫌疑人所在的 BAUHAUS 企业或其他 BAUHAUS 企业收集数据。如果对于个别案件有重要性及必要性,我们也会使用公开数据。
XI.存储期限
数据的确切储存时间一般无法确定,因为需要对个案进行评估方可确定。个人数据将被保留,直到澄清情况并完成最终报告评估为止,或 BAUHAUS 存在压倒性合法权益,或法律规定要求进行保留。与处理具体报告明显无关的个人数据将被立即删除。为保护举报人身份和报告中提到的人员(例如在进行内部转发以展开报告处理之前,前提是只要处理不需要此类数据),我们也会掩盖个人数据。
XII.数据主体的权利
作为数据主体,您享有以下数据保护权利,但必须满足相应前提条件:
- 访问权(GDPR 第 15 条)
- 更正权(GDPR 第 16 条)
- 删除权(GDPR 第 17 条)
- 限制处理权(GDPR 第 18 条)
- 数据可携权(GDPR 第 20 条)
- 对监管当局提起控告权(GDPR 第 77 条)
您还有权 提出异议 (GDPR 第 21 条),前提是我们根据 GDPR 第 6(1)(f) 条进行数据处理。请注意,如果是出于直接广告以外的目的进行数据处理,则必须说明您的特殊情况及理由。您可以向位于德国的数据保护专员发送电子邮件,告知我们您的反对意见,电子邮件地址为:datenschutzbeauftragter@bauhaus.info。这将转发给相关办公室。
版本:2021 年 12 月
