Information om databeskyttelse
Denne information vedr. databeskyttelsen beskriver, hvordan BAUHAUS behandler personoplysninger i forbindelse med anvendelsen af whistleblowing-systemet og behandlingen af rapporter. Den beskriver hvilke databeskyttelsesrettigheder du har, og hvordan du kan kontakte os med spørgsmål om databeskyttelsen.
I. Dataansvarlig og databeskyttelsesansvarlig
Hvilken BAUHAUS-afdeling der er dataansvarlig for databehandlingen iht. artikel 4 (7) i GDPR er afhængig af, hvilket firma der er valgt af en whistleblower. Det firma, der er valgt af whistlebloweren, er modtageren af rapporten og dermed dataansvarlig.
Dette firma er efterfølgende benævnt som "vi" eller "os" eller "BAUHAUS" i forhold til den dataansvarlige, der er ansvarlig for databehandlingen.
Whistleblowing-systemet drives på det tekniske niveau af det specialiserede firma EQS Group GmbH (Bayreuther Str. 35, 10789 Berlin i Tyskland), på vegne af BAUHAUS, men denne tjenesteudbyder har ingen ukrypteret adgang til data, der er gemt i whistleblowing-systemet. Systemet videresender automatisk rapporten til den kompetente compliance-afdeling i den respektive BAUHAUS-afdeling.
For særlige henvendelser i forhold til Tyskland, er du også velkommen til at kontakte databeskyttelsesrådgiveren direkte ved at sende en e-mail til datenschutzbeauftragter@bauhaus.info. Emnerne og indholdet der diskuteres her behandles fortroligt. For generelle spørgsmål om databeskyttelsen og dine rettigheder som registreret, kontakt venligst det interne databeskyttelseskontor hos BAUHAUS, sammen med detaljeret information om din forespørgsel til datenschutz@bauhaus.info.
II. Cookies
Kommunikationen mellem din computer og whistleblowing-systemet foregår via en SSL-krypteret forbindelse. Din IP-adresse gemmes ikke ved brug af whistleblowing-systemet. For at opretholde forbindelsen mellem din computer og systemet, gemmes en cookie, som udelukkende indeholder en session-ID, på din computer. Denne cookie gælder kun indtil sessionens afsluttes og slettes, når du lukker din browser. Cookien er nødvendigt for driften af den webbaserede rapporteringsformular og oprettes derfor automatisk af os.
III. Databehandling og formål
Den konkrete databehandling, der finder sted, afhænger i høj grad af, hvilke informationer BAUHAUS fremadrettet modtager i form af rapporter. Den databehandling, der udføres ved hjælp af whistleblowing-systemet, tjener til sikker og fortrolig modtagelse, behandling og håndtering af rapporter om (mistænkte) lovovertrædelser eller væsentlige overtrædelser af compliance-regler. Personoplysninger og andre data, som du giver os via whistleblowing-systemet, gemmes i en database, der drives af EQS Group GmbH, i et datacenter med høj sikkerhed. Det er kun det interne rapporteringskontor i firmaet, valgt af whistlebloweren, der er i stand til at se dataene. Dette sikres ved hjælp af en certificeret fremgangsmåde med omfattende tekniske og organisatoriske foranstaltninger.
Hvilke data vi behandler ved hjælp af whistleblowing-systemet afhænger i høj grad af de rapporter, der sendes til os i hvert enkelt tilfælde. Whistleblowere skal altid angive det land, hvor rapporten er indgivet og hvilken slags formodet overtrædelse der er indgivet rapport om (som f.eks. korruption). I skemaet til indgivelse af en rapport, bliver whistleblowere også bedt om at beskrive den formodede overtrædelse og dele oplysninger, der kan være nyttige for efterforskningen. Hvis det deles af whistlebloweren i den enkelte sag, indsamler vi også navnet på whistlebloweren og yderligere kontaktoplysninger, navne på personer nævnt i rapporterne og oplysninger om deres deltagelse i en formodet overtrædelse samt tilknytning til en BAUHAUS-afdeling. Vi indsamler også et referencenummer, som tilknyttes til hver rapport som er indgivet. Hvis du opretter en postkasse i whistleblowing-systemet, behandles det valgte pseudonym og den valgte adgangskode i krypteret form samt at der knyttes et ID-nummer til postkassen.
Personoplysninger, som ikke er relevant for behandlingen af rapporten, slettes med det samme. Vi slører også personlige data, i det omfang det er nødvendigt, for at beskytte identiteten af whistleblowere og for at beskytte personer, der er nævnt i rapporter (f.eks. før intern videresendelse til behandling af en rapport).
IV. Underretning af den beskyldte person
Vi er iht. artikel 14 i GDPR lovmæssigt forpligtet til at informere beskyldte parter om de rapporter vi modtager, som omhandler dem, så snart offentliggørelsen af denne information ikke længere bringer undersøgelsen i fare. Din identitet som whistleblower bliver ikke afsløret, medmindre vi bliver underlagt retslige krav herom.
V. Fortrolig håndtering og videresendelse af rapporter
Indgående rapporter modtages af en lille gruppe specielt autoriserede medarbejdere og behandles altid fortroligt. Efter modtagelsen af en rapport, vurderer vi rapporten og de beskrevne forhold og foretager yderligere undersøgelser, som den konkrete sag måtte kræve. Ved behandling af en rapport eller udførelsen af undersøgelser kan det være nødvendigt at dele rapporter med andre medarbejdere hos BAUHAUS, herunder ansatte i tilknyttede firmaer, advokatfirmaer, konsulentfirmaer eller i særlige tilfælde også strafferetlige myndigheder. Hvis det er nødvendigt for behandlingen af en rapport eller til undersøgelse af sagen, kan vi få tekster oversat. Alle personer, som får adgang til dataene, er kontraktmæssigt eller lovmæssigt forpligtet til at behandle dem fortroligt.
VI. Information om muligheden for at indgive anonyme rapporter
Hvis du ønsker at beskytte din anonymitet når du indgiver en rapport, beskytter whistleblowing-systemet dig på et teknisk niveau. Sørg for, at de oplysninger, du indtaster i rapporteringsformularen og eventuelle uploadede dokumenter, ikke indeholder henvisninger til din identitet. Hvis du bruger postkasse-funktionen, er oplysninger om dig generelt ikke længere anonyme, men fremstår som pseudonymer.
VII. Information om upload af bilag
Når du indgiver en rapport eller en tilføjelse til en tidligere rapport, kan du samtidigt uploade vedhæftede bilag til systemet. Hvis du vil indgive en anonym rapport, skal du være opmærksom på rådene vedrørende din sikkerhed.
VIII. Information om muligheden for at oprette en postkasse
Når du har indgivet en rapport, har du mulighed for at oprette en elektronisk postkasse i whistleblowing-systemet, som er sikret med et individuelt valgt pseudonym og en adgangskode. Adgangskoden gemmes krypteret; postkassen er ligeledes krypteret og tilknyttet et ID-nummer. Hvis login-oplysninger går tabt, kan de ikke genskabes. Whistleblowere kan bruge postkassen til at se oplysninger om behandlingsstatus, give yderligere oplysninger, uploade filer og læse eller udskrive rapporter. Hvis du ikke ønsker at oplyse dit navn, skal du sørge for, at dit pseudonym og enhver information, der deles med os, ikke tillader, at din identitet kan afsløres, og at du ikke deler dit navn under kommunikationen med os.
IX. Retsgrundlag
Vi baserer vores behandling af personoplysninger som beskrevet i denne databeskyttelsesinformation på vores legitime interesse i at opdage og forhindre overtrædelser og derved afværge materiel og immateriel skade på og ansvarsrisici for BAUHAUS (artikel 6 (1)(f) GDPR og, i sagen om en tysk BAUHAUS-afdeling, i forbindelse med § 30, 130 loven om administrative lovovertrædelser (OWiG)). Hvis behandlingen af særlige kategorier af personoplysninger er påkrævet til dette formål, udfører vi en sådan databehandling på yderligere grundlag af artikel 9 (2)(f) GDPR. Hvis en rapport, der modtages, vedrører en ansat hos BAUHAUS, tjener behandlingen også til at forhindre kriminelle handlinger eller andre lovovertrædelser i forbindelse med ansættelsesforholdet og i Tyskland yderligere på grundlag af § 26 (1)(2) den tyske databeskyttelseslov (BDSG).
I løbet af en undersøgelse af en formodet overtrædelse og efterfølgende løsning behandler BAUHAUS data i enkeltsager for at udøve og forsvare vores interesser, rettigheder og krav baseret på vores legitime interesser i at udøve og forsvare vores interesser, rettigheder og krav iht. artikel 6 (1)(f) GDPR. Hvis behandlingen af særlige kategorier af personoplysninger er påkrævet til at hævde, udøve eller forsvare juridiske krav, udfører vi en sådan databehandling på yderligere grundlag af artikel 9 (2)(f) GDPR.
Vi behandler også personoplysninger via whistleblowing-systemet på grundlag af juridiske forpligtelser, artikel 6 (1)(c) GDPR (i kombination med direktiv (EU) 2019/1937 og tilsvarende (fremtidige) nationale bestemmelser. For eksempel er vi forpligtet til at slette data, hvis vi ikke længere har et lovligt grundlag for at opbevare dem.
Hvis du som whistleblower befinder dig uden for EU/EØS på tidspunktet for indgivelsen af rapporten, vil dataoverførslen uundgåeligt finde sted i løbet af indgivelsen af din rapport. En sådan dataoverførsel finder sted på grundlag af artikel 49, stk. (1), litra (d) GDPR.
X. Tredjepartskilder
Vi modtager generelt oplysninger fra en whistleblower om personer, der er mistænkt for at have begået en overtrædelse. I sådanne tilfælde er datakilden, som defineret i artikel 14 (2)(f) GDPR, whistlebloweren. Det kan også være nødvendigt at indsamle data fra BAUHAUS-afdelingen, hvor en person, der er mistænkt for at begå en rapporteret overtrædelse, er ansat eller fra andre BAUHAUS-afdelinger. Hvis det er relevant og nødvendigt i den pågældende sag, gør vi også brug af data, som er offentligt tilgængelige.
XI. Varighed af lagringen
Det er ikke muligt præcist at oplyse, hvor længe data opbevares, da en vurdering af den enkelte sag er påkrævet for at fastslå dette. Personoplysninger gemmes, så længe det er nødvendigt for at afklare situationen og for at foretage en afsluttende vurdering af en rapport, eller så længe som den lovmæssige interesse er gældende i forhold til BAUHAUS og så længe det kræves af lovgivningen. Personoplysninger, som ikke er relevant for behandlingen af rapporten, slettes med det samme. Vi slører også personlige data, for at beskytte identiteten af whistleblowere og for at beskytte personer, der er nævnt i rapporter (f.eks. før intern videresendelse til behandling af en rapport, hvis disse data ikke er nødvendige for behandlingen).
XII. Den registreredes rettigheder
Som registreret har du følgende databeskyttelsesrettigheder, som er betinget af, at de respektive gældende forudsætninger er opfyldte:
- Retten til adgang (artikel 15 GDPR)
- Retten til berigtigelse (artikel 16 GDPR)
- Retten til sletning (artikel 17 GDPR)
- Retten til begrænsning af behandlingen (artikel 18 GDPR)
- Retten til dataoverførsel (artikel 20 GDPR)
- Retten til at indgive en klage til en myndighed (artikel 77 GDPR)
Du har også ret til gøre indsigelse (artikel 21 GDPR), hvis vi udfører databehandlingen på grundlag af artikel 6 (1)(f) GDPR. Bemærk venligst, at der i tilfælde af databehandling til andre formål end direkte reklame skal angives årsager, der skyldes din særlige situation. Du kan også informere os om din indsigelse ved at sende en e-mail til vores databeskyttelsesansvarlige i Tyskland (datenschutzbeauftragter@bauhaus.info). Dette videresendes til den ansvarlige afdeling.
Version fra december 2021
