Informasjon om personvern
Denne informasjonen om personvern beskriver hvordan BAUHAUS behandler persondata ved driften av varslingssystemet og behandlingen av meldinger og fastsetter hvilke rettigheter du har med danke på personvern og hvordan du kan kontakte oss med spørsmål om personvern.
I. Behandlingsansvarlig og personvernombud
Hvilket BAUHAUS firma som er ansvarlig for databehandlingen ifølge art. 4 (7) GDPR, avhenger av hvilke firma som er valgt av varsleren. Firmaet som varsleren har valgt er adressaten til meldingen og også behandlingsansvarlig for dataene.
Dette firmaet betegnes nedenfor som «vi» eller «oss» eller «BAUHAUS» sett fra perspektivet til personen som er ansvarlig for databehandlingen.
Varslingssystemet drives på tekniske nivå av spesialfirmaet EQS Group GmbH (Bayreuther Str. 35, D-10789 Berlin, i Tyskland), på vegne av BAUHAUS, men denne tjenesteyteren har ingen ukryptert tilgang til noen data som lagres i varslingssystemet. Systemet sender automatisk meldingen til den ansvarlige Compliance-avdelingen i det berørte BAUHAUS firmaet.
For spesielle forespørsler som gjelder Tyskland, er du også velkommen til å kontakte personvernombudet direkte ved å sende en e-post til datenschutzbeauftragter@bauhaus.info. Temaene o innholdet som behandles på denne måten holdes fortrolige. For generelle spørsmål om personvern og håndhevelse av dine rettigheter som registrert person, vennligst ta kontakt med intern avdeling for personvern hos BAUHAUS, sammen med detaljert informasjon om ditt anliggende, via datenschutz@bauhaus.info.
II. Informasjonskapsler
Kommunikasjonen mellom din datamaskin og varslingssystemet finner sted via en SSL-kryptert forbindelse. IP-adressen lagres ikke mens du bruker varslingssystemet. For å opprettholde forbindelsen mellom din datamaskin og systemet, lagres det en informasjonskapsel som bare inneholder bare sesjonens ID. Denne informasjonskapselen er kun gyldig inntil din sesjon avsluttes, og den slettes så snart du lukker nettleseren. Informasjonskapselen er nødvendig til driften av det nettbaserte meldingssystemet, og dette er grunnen til at den settes automatisk av oss.
III. Databehandling og formålene
Den spesifikke databehandlingen som finner sted avhenger i stor grad av hvilken informasjon BAUHAUS mottar i form av meldinger i fremtiden. Databehandlingen so utføres vha. varslingssystemet tjener målsettingen om sikkert og fortrolig mottak, behandling og styring av meldinger som omfatter (mistenkt) lovbrudd og overtredelse av bestemmelser som gjelder etterlevelse av lover og regler. Persondata og annen informasjon som du gir oss via varslingssystemet, lagres i en database som drives av EQS Group GmbH i et høysikkerhets datasenter. Bare den interne meldingsavdelingen til firmaet som varsleren har valgt er i stand til å se dataene. Dette sikres i den sertifiserte løsningen ved hjelp av avanserte tekniske og organisatoriske tiltak.
Hvilke data vi behandler med hjelp av varslingssystemet er i stor grad avhengig av meldingene som sendes oss i hvert enkelt tilfelle. Varslere må alltid angi landet som en melding sendes til og hva slags type mistenkt overtredelse det meldes om (som eksempelvis korrupsjon). I formularet til oversendelse av en melding, blir også varsleren bedt om å beskrive den mistenkte overtredelsen og å dele informasjon som kan være til nytte for etterforskningen. Hvis varsleren også deler dette i de spesifikke tilfellet, henter vi også inn varslerens navn og andre kontaktdata, navn på personer som nevnes i meldingene og informasjon om deres deltakelse i en mistenkt overtredelse samt deres tilknytning til et BAUHAUS firma. Vi tar også vare på et referansenummer som er tilknyttet hver melding som sendes inn. Dersom du oppretter en postkasse i varslingssystemet, så behandles også det valgte pseudonymet og det valgte passordet i hashkodet form.
Persondata som klart ikke er relevant for behandlingen av en spesifikk melding, slettes øyeblikkelig. Vi sladder også persondata for så vidt som nødvendig for å beskytte varslerens identitet og for å beskytte personer som er navngitt i meldinger (for eksempel før intern videreforsendelse til behandling av en melding).
IV. Underretning til den beskyldte
I henhold til art. 14 i GDPR er vi rettslig forpliktet til å informere beskyldte parter om meldinger som er mottatt om dem så snart som avdekkingen av denne informasjonen ikke lenger setter etterforskningen i fare. Din identitet som varsler vil ikke bli avdekket med mindre vi er rettslig forpliktet til å gjøre dette.
V. Fortrolig behandling og forsendelse av meldinger
Meldinger som kommer inn, mottas av et lite antall uttrykkelig autoriserte personer, og de behandles alltid fortrolig. Etter å ha mottatt en melding, evaluerer vi meldingen og saken den beskriver og utfører eventuell ytterligere etterforskning som kan være nødvendig i det spesifikke tilfellet. Under behandlingen av en melding eller gjennomføringen av en etterforskning kan det bli nødvendig å dele meldinger med ansatte hos BAUHAUS, eller hos andre firmaer innen konsernet, advokatkontorer, konsulentfirmaer eller, i spesielle tilfeller, strafferettslige myndigheter. Hvis det er nødvendig for å behandle en melding eller etterforske saken, er det mulig vi må få tekster oversatt. Alle personer som får tilgang til dataene er kontraktmessig eller lovmessig forpliktet til å opprettholde fortrolighet.
VI. Informasjon om muligheten til å sende anonyme meldinger
Hvis du ønsker å verne om din anonymitet når du sender inn en melding, så beskytter varslingssystemet deg på et teknisk nivå. Vennligst påse at informasjonen du gir oss i meldingsformularet og eventuelle opplastede dokumenter, ikke inneholder noen referanser til din identitet. Hvis du bruker postkassefunksjonen, er informasjon som er relatert til deg ikke enger anonym, men heller pseudonym.
VII. Merknad om sending av vedlegg
Når du sender inn en melding eller et tillegg til en tidligere melding, kan du samtidig laste opp vedlegg til systemet. Hvis du ønsker å sende inn en anonym melding, må du merke deg prosedyren for personvern.
VII. Informasjon som gjelder muligheten til å opprette en postkasse
Etter at du har sendt inn en melding, har du muligheten til å opprette en elektronisk postkasse i varslingssystemet som er sikret med et individuelt valgt pseudonym og passord. Passordet lagres som en hash, postkassen krypteres og har en assosiert ID. Dersom påloggingsinformasjonen går tapt, har man ingen muligheter til å gjenopprette den. Varslere kan bruke postkassen til å se på informasjon om fremdriftsstatus, levere tilleggsinformasjon, laste opp filer og lese eller skrive ut meldinger. Hvis du ikke ønsker å dele navnet ditt med oss, må du forsikre deg om at ditt pseudonym og eventuell informasjon som du deler med oss ikke gjør det mulig å trekke slutninger om din identitet og at du ikke deler navnet ditt under kommunikasjonen med oss.
IX. Rettsgrunnlag
Vi baserer vår behandling av persondata som beskrevet i denne informasjonen om personvern på vår legitime interesse av å oppdage og forhindre misligheter og derved avverge materiell og immateriell skade og ansvarsrisiko for BAUHAUS (Art. 6 (1)(f) GDPR samt, i tilfelle av et tysk BAUHAUS firma, i forbindelse med paragraf 30, 130 i tysk lov om lovovertredelser i administrasjonen (OWIG). Dersom behandlingen av spesielle emner innen persondata trenges til dette formålet, så foretar vi slik databehandling på tilleggsgrunnlaget i Art. 9 (2)(f) GDPR. Dersom en melding som mottas omhandler en ansatt ved BAUHAUS, tjener behandlingen også til å forhindre kriminelle handlinger eller andre lovbrudd i forbindelse med ansettelsesforholdet, og i Tyskland dessuten på basis av paragraf 26 (1)(2) i tysk føderal lov om personvern (GDSG).
I løpet av etterforskningen av et mistenkt lovbrudd og et følgende vedtak, behandler BAUHAUS data i individuelle tilfeller for å håndheve og forsvare våre interesser, rettigheter og krav basert på vår legitime interesse av å håndheve og forsvare våre interesser, rettigheter og krav i overensstemmelse med Art. 6 (1)(f) GDPR. Dersom behandlingen av spesielle emner innen persondata trenges for å sikre, håndheve eller forsvare legitime krav, så foretar vi slik databehandling på tilleggsgrunnlaget i Art. 9 (2)(f) GDPR.
Vi behandler også persondata via varslingssystemet på grunnlag av lovfestede forpliktelser Art. 6 (1)(f) GDPR (i forbindelse med direktiv (EU) (EU) 2019/1937 og de tilsvarende (fremtidige) nasjonale implementeringene. Eksempelvis er vi forpliktet til å slette data hvis vi ikke lenger har noe legalt grunnlag for å lagre dem.
Hvis du som varsler befinner deg utenfor EU/EEA i det øyeblikket meldingen sendes inn, så vil dataoverføring nødvendigvis finne sted innenfor rammen av din meldingsinnsendelse. Slik dataoverføring finner i dette tilfelle sted på grunnlag av Art. 49 (1)(d) GDPR.
X. Kilder fra tredjeparter
Generelt mottar vi informasjon fra en varsler om personer som mistenkes for å ha gjort en overtredelse. I slike tilfeller er kilden til data som definert i Art. 14 (2)(f) GDPR varsleren. Det kan også bli nødvendig å samle inn data fra firma BAUHAUS der en person som er mistenkt for å begå en meldt overtredelse er en ansatt eller fra andre BAUHAUS firmaer. Om relevant og nødvendig i det spesifikke tilfellet, bruker vi også offentlig tilgjengelige data.
XI. Lagringens varighet
Nøyaktig hvor lenge dataene blir lagret kan ikke bestemmes generelt, siden en evaluering av det spesifikke tilfellet er nødvendig for å fastsette dette. Persondata holdes tilbake så lenge det er nødvendig for å klargjøre situasjonen og foreta en endelig vurdering av en melding i det spesifikke tilfellet eller så lenge det eksisterer en legitim interesse fra BAUHAUS sin side, eller loven krever tilbakeholdelse. Persondata som klart ikke er relevant for behandlingen av en spesifikk melding, slettes øyeblikkelig. Vi sladder også persondata for å beskytte varslerens identitet og for å beskytte personer som er navngitt i meldinger (for eksempel før intern videreforsendelse til behandling av en melding for så vidt som dataene ikke behøves til behandlingen).
XII. Den registrertes rettigheter
Som registrert har du de følgende personvernrettigheter, forutsatt at de respektive gjeldende betingelsene er oppfylt:
- Rett til tilgang (Art. 15 GDPR)
- Rett til retting (Art. 16 GDPR)
- Rett til sletting (Art. 17 GDPR)
- Rett til begrensning av behandling (Art. 18 GDPR)
- Rett til dataportabilitet (Art. 20 GDPR)
- Rett til å klage til en tilsynsmyndighet (Art. 77 GDPR)
Du kan også ha rett til innsigelse (Art. 21 GDPR), for så vidt som vi utfører databehandling på grunnlag av Art. 6 (1)(f) GDPR. Vær oppmerksom på at i tilfelle av databehandling til andre formål enn direkte reklame, så må grunnene som oppstår ut fra din spesielle situasjon spesifiseres. Du kan informere oss om din innsigelse ved å sende en e-post til vårt personvernombud i Tyskland (datenschutzbeauftragter@bauhaus.info). Denne vil bli sendt til den ansvarlige enheten.
Versjon fra desember 2021
