Informatie over gegevensbescherming
In deze informatie over gegevensbescherming wordt beschreven hoe BAUHAUS bij de werking van het klokkenluidersysteem en de verwerking van meldingen persoonsgegevens verwerkt en welke gegevensbeschermingsrechten u hebt en hoe u hierover met ons contact kunt opnemen, alsook bij vragen over gegevensbescherming.
I. Verwerker en zijn functionaris voor gegevensbescherming
Welke BAUHAUS-onderneming de verwerker is voor de gegevensverwerking volgens art. 4 (7) AVG, hangt af van welke onderneming door een klokkenluider is geselecteerd. De door de klokkenluider geselecteerde onderneming is de geadresseerde van de melding en tevens de verwerker van de gegevens.
Deze onderneming wordt hierna aangeduid als "wij" of "ons" of "BAUHAUS" vanuit het oogpunt van de verwerker verantwoordelijk voor de gegevensverwerking.
Het klokkenluiderssysteem wordt op een technisch niveau beheerd door een gespecialiseerd bedrijf, EQS Group GmbH (Bayreuther Str. 35, 10789 Berlijn in Duitsland) in opdracht van BAUHAUS, maar deze dienstverlener heeft geen onversleutelde toegang tot gegevens die in het klokkenluidersysteem zijn opgeslagen. Het systeem stuurt de melding automatisch door naar de bevoegde Compliance afdeling van de betreffende BAUHAUS-onderneming.
Voor speciale vragen voor Duitsland kunt u ook rechtstreeks contact opnemen met de functionaris voor gegevensbescherming door een e-mail te sturen naar datenschutzbeauftragter@bauhaus.info. De onderwerpen en inhoud die op deze manier worden besproken, worden vertrouwelijk behandeld. Voor algemene vragen over gegevensbescherming en de uitoefening van uw rechten als betrokkene kunt u zich wenden tot de interne gegevensbeschermingsdienst van BAUHAUS, samen met gedetailleerde informatie over uw vraag, op datenschutz@bauhaus.info.
II. Cookies
De communicatie tussen uw computer en het klokkenluidersysteem vindt plaats via een SSL-gecodeerde verbinding. Het IP-adres wordt niet opgeslagen tijdens het gebruik van het klokkenluidersysteem. Om de verbinding tussen uw computer en het systeem in stand te houden, wordt een cookie opgeslagen die alleen de sessie-ID bevat. Deze cookie is slechts geldig tot het einde van uw sessie en wordt verwijderd bij het sluiten van de browser. De cookie is nodig voor de werking van het webgebaseerde meldingsformulier en wordt daarom automatisch door ons geplaatst.
III. Verwerking van gegevens en doeleinden
De specifieke gegevensverwerking die plaatsvindt, hangt in grote mate af van de informatie die BAUHAUS in de toekomst in de vorm van meldingen ontvangt. De gegevensverwerking die met behulp van het klokkenluidersysteem wordt uitgevoerd, dient voor het veilig en vertrouwelijk ontvangen, verwerken en beheren van meldingen van (vermoedelijke) schendingen van de wet of aanzienlijke schendingen van de nalevingsvoorschriften. Persoonsgegevens en andere informatie die u via het klokkenluidersysteem aan ons verstrekt, worden opgeslagen in een database die wordt beheerd door EQS Group GmbH in een streng beveiligd datacentrum. Alleen het interne meldpunt van de door de klokkenluider geselecteerde onderneming kan de gegevens inzien. Dit wordt in de gecertificeerde oplossing gewaarborgd door uitgebreide technische en organisatorische maatregelen.
Welke gegevens wij met behulp van het klokkenluidersysteem verwerken, hangt grotendeels af van de meldingen die ons in elk individueel geval worden toegezonden. Klokkenluiders moeten altijd aangeven voor welk land een melding wordt afgegeven en welk type vermoedelijke overtreding wordt gemeld (zoals corruptie). In het formulier voor het afgeven van een melding wordt klokkenluiders ook gevraagd de vermoede overtreding te beschrijven en informatie te delen die nuttig kan zijn voor het onderzoek. Indien dit door de klokkenluider in het individuele geval wordt gedeeld, verzamelen we ook de naam van de klokkenluider en aanvullende contactgegevens, namen van personen die in de melding worden genoemd en informatie over hun betrokkenheid bij een vermoedelijke overtreding, evenals verbondenheid met een BAUHAUS-onderneming. Wij verzamelen ook een referentienummer dat is gekoppeld aan elke melding die wordt afgegeven. Als u in het klokkenluidersysteem een postbus aanmaakt, worden het geselecteerde pseudoniem en het geselecteerde wachtwoord in gehashte vorm, alsmede een aan de postbus gekoppelde ID verwerkt.
Persoonsgegevens die duidelijk niet relevant zijn voor de verwerking van een specifieke melding, worden onmiddellijk gewist. Wij maken ook persoonsgegevens onleesbaar, voor zover dat nodig is om de identiteit van klokkenluiders te beschermen en om personen die in meldingen worden genoemd te beschermen (bijvoorbeeld vóór interne doorzending voor verwerking van een melding).
IV. Kennisgeving aan de beschuldigde
Wij zijn wettelijk verplicht volgens Art. 14 AVG om beschuldigde partijen op de hoogte te brengen van meldingen die wij over hen hebben ontvangen, zodra de openbaarmaking van deze informatie het onderzoek niet langer in gevaar brengt. Uw identiteit als klokkenluider wordt niet kenbaar gemaakt, tenzij we daartoe wettelijk verplicht zijn.
V. Vertrouwelijke verwerking en doorzending van meldingen
Binnenkomende meldingen worden ontvangen door een klein aantal uitdrukkelijk gemachtigde personen en altijd vertrouwelijk behandeld. Na ontvangst van een melding beoordelen wij de melding en de daarin beschreven kwestie en voeren wij eventueel verder onderzoek uit dat voor het specifieke geval vereist is. Bij het verwerken van een melding of het uitvoeren van een onderzoek kan het nodig zijn om meldingen te delen met werknemers van BAUHAUS, met inbegrip van werknemers van gelieerde ondernemingen, advocatenkantoren, adviesbureaus of, in bijzondere gevallen, strafrechtelijke autoriteiten. Indien het voor de verwerking van een melding of het onderzoek van de kwestie noodzakelijk is, kunnen wij teksten laten vertalen. Alle personen die toegang krijgen tot de gegevens zijn contractueel of wettelijk verplicht tot geheimhouding.
VI. Informatie over de mogelijkheid om anonieme meldingen af te geven
Indien u uw anonimiteit wenst te beschermen bij het afgeven van een melding, beschermt het klokkenluidersysteem u op technisch niveau. Zorg ervoor dat de informatie die u in het meldingsformulier en in eventuele geüploade documenten invult, geen verwijzingen naar uw identiteit bevat. Indien u de postbusfunctie gebruikt, is de informatie die op u betrekking heeft over het algemeen niet langer anoniem maar eerder pseudoniem.
VII. Informatie over het verzenden van bijlagen
Wanneer u een melding afgeeft of een aanvulling op een eerdere melding verstuurt, kunt u bijlagen naar het systeem uploaden. Indien u een anonieme melding wenst af te geven, wordt u vriendelijk verzocht rekening te houden met het veiligheidsadvies.
VIII. Informatie over de mogelijkheid om een postbus aan te maken
Nadat u een melding hebt afgegeven, kunt u binnen het klokkenluidersysteem een elektronische postbus instellen die is beveiligd met een zelfgekozen pseudoniem en wachtwoord. Het wachtwoord wordt opgeslagen als een hash; de postbus wordt gecodeerd en heeft een bijbehorende ID. Als de inloggegevens verloren zijn gegaan, is er geen manier om ze te herstellen. Klokkenluiders kunnen de postbus gebruiken om informatie over de verwerkingsstatus te bekijken, aanvullende informatie te verstrekken, bestanden te uploaden en meldingen te lezen of af te drukken. Als u uw naam niet met ons wilt delen, zorg er dan voor dat uit uw pseudoniem en uit alle met ons gedeelde informatie, uw identiteit niet kan worden herleid en dat u uw naam niet deelt in de loop van de communicatie met ons.
IX. Juridische basis
Wij baseren onze verwerking van persoonsgegevens zoals beschreven in deze gegevensbeschermingsinformatie op ons gerechtvaardigd belang om wanpraktijken op te sporen en te voorkomen en daarmee materiële en immateriële schade en aansprakelijkheidsrisico's voor BAUHAUS af te wenden (art. 6 (1)(f) AVG en, in het geval van een Duitse BAUHAUS-onderneming, in combinatie met §§ 30, 130 Wetboek van administratieve overtredingen (OWiG)). Indien de verwerking van speciale categorieën persoonsgegevens voor dit doel vereist is, voeren wij deze gegevensverwerking uit op de aanvullende grondslag van art. 9 (2)(f) AVG. Indien een ontvangen melding een werknemer van BAUHAUS betreft, dient de verwerking ook ter voorkoming van strafbare feiten of andere wetsovertredingen in verband met de arbeidsrelatie en in Duitsland aanvullend op grond van § 26 (1)(2) Bundesdatenschutzgesetz (BDSG).
In de loop van een onderzoek naar een vermoedelijke overtreding en de daaruit voortvloeiende oplossing, verwerkt BAUHAUS in individuele gevallen gegevens om onze belangen, rechten en vorderingen op basis van onze legitieme belangen uit te oefenen en te verdedigen in overeenstemming met Art. 6 (1)(f) AVG. Indien de verwerking van speciale categorieën persoonsgegevens nodig is voor de vaststelling, uitoefening of verdediging van rechtsvorderingen, voeren wij deze gegevensverwerking uit op de aanvullende grondslag van art. 9 (2)(f) AVG.
Wij verwerken ook persoonsgegevens via het klokkenluidersysteem op basis van wettelijke verplichtingen, art. 6 (1)(c) AVG (in combinatie met Richtlijn (EU) 2019/1937 en overeenkomstige (toekomstige) nationale implementaties). Zo zijn wij bijvoorbeeld verplicht gegevens te wissen indien wij niet langer een rechtsgrondslag hebben voor de opslag ervan.
Als u zich als klokkenluider buiten de EU/EER bevindt op het moment dat u uw melding indient, zal de gegevensoverdracht onvermijdelijk plaatsvinden in de loop van de indiening van uw melding. Dergelijke gegevensoverdracht vindt in dit geval plaats op grond van art. 49 (1)(d) AVG.
X. Bronnen van derden
Over het algemeen ontvangen wij informatie van een klokkenluider over personen die ervan worden verdacht een overtreding te hebben begaan. In dergelijke gevallen is de bron van de gegevens als bedoeld in art. 14 (2)(f) AVG de klokkenluider. Het kan ook nodig zijn om gegevens te verzamelen van de BAUHAUS-onderneming waar een persoon werkt die van een gemelde overtreding wordt verdacht, of van andere BAUHAUS-ondernemingen. Indien relevant en noodzakelijk in het individuele geval, gebruiken wij ook openbare gegevens.
XI. Duur van de opslag
Hoe lang de gegevens precies zullen worden opgeslagen, kan niet generiek worden bepaald, aangezien een evaluatie van het individuele geval vereist is om dit vast te stellen. Persoonsgegevens worden zo lang bewaard als nodig is om de situatie op te helderen en een definitieve beoordeling van een melding in het individuele geval uit te voeren of zolang er van de kant van BAUHAUS een zwaarwegend legitiem belang bestaat of bewaring door de wet verplicht is. Persoonsgegevens die duidelijk niet relevant zijn voor de verwerking van een specifieke melding, worden onmiddellijk gewist. Wij verbergen ook persoonsgegevens om de identiteit van klokkenluiders te beschermen en om in meldingen genoemde personen te beschermen (bijvoorbeeld vóór interne doorzending voor verwerking van een melding, voor zover dergelijke gegevens niet nodig zijn voor de verwerking).
XII. Rechten van de betrokkene
Als betrokkene beschikt u over de volgende rechten inzake gegevensbescherming, mits aan de respectievelijke toepasselijke voorwaarden is voldaan:
- Recht van inzage (art. 15 AVG)
- Recht op rectificatie (art. 16 AVG)
- Recht op wissen (art. 17 AVG)
- Recht op beperking van de verwerking (art. 18 AVG)
- Recht op gegevensoverdraagbaarheid (art. 20 AVG)
- Recht om een klacht in te dienen bij een toezichthoudende autoriteit (art. 77 AVG)
U hebt ook het recht om bezwaar aan te tekenen (art. 21 AVG), voor zover wij gegevens verwerken op basis van art. 6 (1)(f) AVG. Houd er rekening mee dat in het geval van gegevensverwerking voor andere doeleinden dan directe reclame, redenen moeten worden opgegeven die voortvloeien uit uw specifieke situatie. U kunt ons op de hoogte brengen van uw bezwaar door een e-mail te sturen naar onze functionaris voor gegevensbescherming in Duitsland (datenschutzbeauftragter@bauhaus.info). Dit zal worden doorgestuurd naar het desbetreffende kantoor.
Versie van december 2021
