ข้อมูลเกี่ยวกับการคุ้มครองข้อมูล
ข้อมูลด้านการคุ้มครองข้อมูลนี้อธิบายถึงวิธีที่ BAUHAUS ประมวลผลข้อมูลส่วนบุคคลในการดำเนินการของระบบการแจ้งเบาะแสการกระทำผิดและการดำเนินกระบวนการรายงาน ตลอดจนให้รายละเอียดถึงสิทธิด้านการคุ้มครองข้อมูลของคุณและวิธีที่คุณจะสามารถติดต่อเราเกี่ยวกับประเด็นนี้พร้อมด้วยคำถามเกี่ยวกับการคุ้มครองข้อมูล
1. ผู้ควบคุมข้อมูลและเจ้าหน้าที่คุ้มครองข้อมูล
บริษัทของ BAUHAUS ซึ่งเป็นผู้ควบคุมการประมวลผลข้อมูลตามมาตรา 4(7) ของ GDPR นั้นจะขึ้นอยู่กับว่าผู้แจ้งเบาะแสการกระทำผิดได้เลือกบริษัทใดไว้ บริษัทที่ผู้แจ้งเบาะแสการกระทำผิดเลือกจะเป็นผู้ที่รับรายงานและจะเป็นผู้ควบคุมข้อมูลอีกด้วย
บริษัทนี้จะได้รับการอ้างถึงที่ด้านล่างนี้ว่า “เรา” หรือ “พวกเรา” หรือ “BAUHAUS” จากมุมมองของผู้ควบคุมข้อมูลที่รับผิดชอบในการประมวลผลข้อมูล
ระบบแจ้งเบาะแสการกระทำผิดดำเนินการโดย EQS Group GmbH, Karlstraße 47, 80333 Munich ในนามของ BAUHAUS ข้อมูลที่ได้จะจัดเก็บไว้ในรูปแบบการเข้ารหัส EQS ไม่มีสิทธิเข้าถึงข้อมูลที่ไม่ได้เข้ารหัส ระบบจะส่งต่อรายงานไปยังแผนกกำกับดูแลที่รับผิดชอบของบริษัท BAUHAUS ที่เกี่ยวข้องโดยอัตโนมัติ
สำหรับผู้รายงานในเยอรมนี หากมีข้อซักถามพิเศษ คุณยังสามารถติดต่อเจ้าหน้าที่ด้านการคุ้มครองข้อมูลส่วนบุคคลได้โดยตรงด้วยการส่งอีเมลไปยัง datenschutzbeauftragter@bauhaus.info หัวข้อและเนื้อหาที่ได้มีการอภิปรายกันโดยวิธีนี้จะเก็บไว้เป็นความลับ สำหรับคำถามทั่วไปเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลและการใช้สิทธิของคุณในฐานะเจ้าของข้อมูล กรุณาติดต่อหน่วยงานด้านการคุ้มครองภายในที่ BAUHAUS พร้อมด้วยข้อมูลโดยละเอียดเกี่ยวกับข้อซักถามของคุณที่ datenschutz@bauhaus.info
2. คุกกี้
การสื่อสารระหว่างคอมพิวเตอร์ของคุณกับระบบแจ้งเบาะแสการกระทำผิดจะเกิดขึ้นผ่านการเชื่อมต่อที่ถูกเข้ารหัสลับแบบ SSL จะไม่มีการเก็บที่อยู่ IP ไว้ในระหว่างที่ใช้ระบบแจ้งเบาะแสการกระทำผิด เพื่อรักษาการเชื่อมต่อระหว่างคอมพิวเตอร์ของคุณกับระบบแจ้งเบาะแสการกระทำผิด จะมีการเก็บคุกกี้ไว้เฉพาะคุกกี้ที่ประกอบด้วย ID ของเซสชันเท่านั้น คุกกี้นี้จะใช้งานได้จนสิ้นสุดเซสชันของคุณ และจะถูกลบเมื่อมีการปิดเบราว์เซอร์ คุกกี้จำเป็นสำหรับการดำเนินการของแบบฟอร์มการรายงานบนเว็บไซต์ ด้วยเหตุนี้ เราจึงได้ตั้งให้ทำงานโดยอัตโนมัติ
3. การประมวลผลข้อมูลและวัตถุประสงค์
การประมวลผลข้อมูลแบบเฉพาะที่เกิดขึ้นจะขึ้นอยู่กับข้อมูลที่ BAUHAUS ได้รับในอนาคตในรูปแบบของการรายงานเป็นสำคัญ การประมวลผลข้อมูลที่ดำเนินการด้วยความช่วยเหลือของระบบแจ้งเบาะแสการกระทำผิดใช้สำหรับการรับ การดำเนินการ และการจัดการรายงานที่เกี่ยวข้องกับการ (ต้องสงสัยว่า) ฝ่าฝืนกฎหมายและกฎระเบียบด้านการปฏิบัติตามกฎหมายที่สำคัญอย่างปลอดภัยและเป็นความลับ ข้อมูลส่วนบุคคลและข้อมูลอื่น ๆ ที่คุณมอบให้กับเราผ่านระบบแจ้งเบาะแสการกระทำผิดจะถูกเก็บไว้ในฐานข้อมูลที่ดำเนินการโดยบริษัท EQS Group GmbH ในศูนย์ข้อมูลที่มีการรักษาความปลอดภัยอย่างแน่นหนา เฉพาะหน่วยงานด้านการรายงานภายในของบริษัทที่ผู้แจ้งเบาะแสการกระทำผิดเลือกเท่านั้นที่จะดูข้อมูลได้ กระบวนการนี้ได้รับการรับประกันโดยกระบวนการที่ผ่านการรับรองโดยมาตรการทางเทคนิคและมาตรการบริหารองค์กรอย่างครอบคลุมแล้ว
ข้อมูลที่เราประมวลผลด้วยความช่วยเหลือของระบบแจ้งเบาะแสการกระทำผิดขึ้นอยู่กับรายงานที่ได้ส่งให้เราในแต่ละกรณีเป็นสำคัญ ผู้แจ้งเบาะแสการกระทำผิดจะต้องแจ้งประเทศที่ส่งรายงานและประเภทของการฝ่าฝืนที่ต้องสงสัยที่ได้รับการรายงาน (เช่น การทุจริตคอร์รัปชัน) เสมอ ในแบบฟอร์มสำหรับการส่งรายงาน จะมีการขอให้ผู้แจ้งเบาะแสการกระทำผิดอธิบายถึงการฝ่าฝืนที่ต้องสงสัยและขอให้แบ่งปันข้อมูลที่อาจเป็นประโยชน์สำหรับการสอบสวนอีกด้วย หากผู้แจ้งเบาะแสการกระทำผิดในแต่ละกรณีแบ่งปันข้อมูล เรายังอาจรวบรวมชื่อของผู้แจ้งเบาะแสการกระทำผิดและรายละเอียดการติดต่อเพิ่มเติม ชื่อของบุคคลที่ถูกพาดพิงในรายงานและข้อมูลเกี่ยวกับการมีส่วนร่วมของพวกเขาในการฝ่าฝืนที่ต้องสงสัย ตลอดจนความเกี่ยวข้องกับบริษัท BAUHAUS นอกจากนี้ เรายังรวบรวมหมายเลขอ้างอิงที่เกี่ยวข้องกับทุกรายงานที่ได้มีการส่งเข้ามา หากคุณได้สร้างตู้ไปรษณีย์ในระบบแจ้งเบาะแสการกระทำผิด จะมีการประมวลผลนามแฝงและรหัสผ่านที่เลือกในรูปแบบการ Hash ตลอดจน ID ที่เกี่ยวข้องกับตู้ไปรษณีย์
ข้อมูลส่วนบุคคลที่ไม่มีความเกี่ยวข้องกับการประมวลผลรายงานแบบเฉพาะอย่างชัดแจ้งจะถูกลบโดยทันที เรายังปกปิดข้อมูลส่วนบุคคลเท่าที่จำเป็นเพื่อปกป้องตัวตนของผู้แจ้งเบาะแสการกระทำผิดและเพื่อคุ้มครองผู้ที่มีชื่อในรายงาน (เช่น ก่อนการส่งต่อภายในเพื่อการประมวลผลรายงาน)
4. การแจ้งบุคคลที่ถูกกล่าวหา
เรามีพันธะตามมาตรา 14 ของ GDPR ที่จะต้องแจ้งฝ่ายที่ถูกกล่าวหาให้ทราบถึงการรายงานใด ๆ ที่เกี่ยวกับพวกเขา ทันทีที่การเปิดเผยข้อมูลไม่เป็นอันตรายต่อการสอบสวนอีกต่อไป ตัวตนของคุณในฐานะผู้แจ้งเบาะแสการกระทำผิดจะไม่ถูกเปิดเผย เว้นแต่ว่าเรามีภาระผูกพันตามกฎหมายที่ต้องทำเช่นนั้น
5. การจัดการและการส่งต่อการรายงานอย่างเป็นความลับ
ผู้ที่ได้รับมอบหมายหน้าที่โดยชัดแจ้งกลุ่มเล็ก ๆ จะเป็นผู้รับรายงานที่ส่งเข้ามาและจัดการอย่างเป็นความลับตลอดเวลา หลังจากที่ได้รับรายงาน เราจะประเมินรายงานและเนื้อหาที่ระบุในรายงาน แล้วดำเนินการสอบสวนที่จำเป็นตามลักษณะเฉพาะของกรณีต่อไป ในระหว่างที่ดำเนินการกับรายงานหรือทำการสอบสวน อาจจำเป็นต้องมีการแบ่งปันรายงานให้กับพนักงานอื่น ๆ ของ BAUHAUS ซึ่งรวมถึง พนักงานของบริษัทในเครือ บริษัทกฎหมาย บริษัทที่ปรึกษา หรือในกรณีพิเศษ หน่วยงานด้านการยุติธรรมทางอาญาหากเป็นกรณีพิเศษ หากจำเป็นสำหรับการประมวลผลรายงานหรือการสอบสวน เราอาจใช้ข้อความที่มีการแปลทุกคนที่ได้รับสิทธิในการเข้าถึงข้อมูลมีหน้าที่ที่ต้องเก็บรักษาข้อมูลเป็นความลับตามสัญญาหรือตามกฎหมาย
6. ข้อมูลเกี่ยวกับความสามารถในการส่งรายงานแบบนิรนาม
หากคุณต้องการที่จะปกป้องการไม่เปิดเผยตัวตนของคุณเมื่อทำการส่งรายงาน ระบบแจ้งเบาะแสการกระทำผิดจะปกป้องคุณในระดับเทคนิค โปรดตรวจสอบให้แน่ใจว่าข้อมูลที่คุณแจ้งในแบบฟอร์มการรายงานและเอกสารที่อัปโหลดไม่มีการอ้างอิงใด ๆ ถึงตัวตนของคุณ หากคุณใช้ฟังก์ชันตู้ไปรษณีย์ ข้อมูลเกี่ยวกับคุณโดยทั่วไปจะไม่อยู่ในรูปแบบนิรนามอีกต่อไปแต่จะเป็นแบบนามแฝงแทน
7. ข้อมูลเกี่ยวกับการส่งเอกสารแนบ
เมื่อส่งการรายงานหรือข้อมูลเพิ่มเติมสำหรับการรายงานครั้งก่อน คุณสามารถอัปโหลดเอกสารแนบไปยังระบบได้ หากคุณต้องการส่งรายงานแบบไม่เปิดเผยตัวตน กรุณาตระหนักถึงหมายเหตุคำชี้แจงเรื่องความปลอดภัย
8. ข้อมูลเกี่ยวกับตัวเลือกในการสร้างตู้ไปรษณีย์
หลังจากส่งรายงานแล้ว คุณมีตัวเลือกที่จะสร้างตู้ไปรษณีย์อิเล็กทรอนิกส์ขึ้นภายในระบบแจ้งเบาะแสการกระทำผิด โดยมีการรักษาความปลอดภัยด้วยนามแฝงและรหัสผ่านที่เลือกโดยแต่ละบุคคลได้ รหัสผ่านบันทึกไว้แบบ Hash ตู้ไปรษณีย์ที่เข้ารหัสและมี ID ที่เกี่ยวข้องกัน หากข้อมูลการล็อกอินสูญหาย จะไม่มีวิธีกู้คืนผู้แจ้งเบาะแสการกระทำผิดสามารถใช้ตู้ไปรษณีย์เพื่อดูข้อมูลเกี่ยวกับสถานะการดำเนินการ ให้ข้อมูลเพิ่มเติม อัปโหลดไฟล์ และอ่านหรือพิมพ์รายงานออกมา หากคุณไม่ต้องการแบ่งปันชื่อของคุณกับเรา กรุณาตรวจสอบให้แน่ใจว่านามแฝงของคุณและข้อมูลใด ๆ ที่ได้มีการแบ่งปันให้กับเราจะไม่สื่อไปถึงตัวตนของคุณ และตรวจสอบให้แน่ใจว่าคุณไม่ได้แบ่งปันชื่อของคุณในระหว่างการสื่อสารกับเรา
9. พื้นฐานทางกฎหมาย
เราทำการประมวลผลข้อมูลส่วนบุคคลตามคำอธิบายในข้อมูลด้านการคุ้มครองข้อมูลบนฐานเพื่อผลประโยชน์อันชอบด้วยกฎหมายของเราในการสืบค้นและป้องกันการกระทำผิดและหลีกเลี่ยงความเสียหายทั้งที่ร้ายแรงและไม่ร้ายแรง และความเสี่ยงด้านความรับผิดของ BAUHAUS (มาตรา 6 (1)(f) GDPR และในกรณีของบริษัท BAUHAUS ในเยอรมนี ตามมาตรา 30, 130 ของประมวลกฎหมายว่าด้วยการกระทำผิดทางปกครอง (OWiG)) หากมีความจำเป็นต้องประมวลผลข้อมูลส่วนบุคคลประเภทพิเศษเพื่อวัตถุประสงค์นี้ เราจะดำเนินการประมวลผลข้อมูลดังกล่าวบนพื้นฐานเพิ่มเติมในมาตรา 9 (2)(f) GDPR หากรายงานที่ได้รับเกี่ยวข้องกับพนักงานของ BAUHAUS การประมวลผลยังเป็นการป้องกันการกระทำผิดทางอาญาหรือการฝ่าฝืนกฎหมายอื่น ๆ ที่เกี่ยวข้องกับความสัมพันธ์ด้านการจ้างงาน และในเยอรมนี เพิ่มเติมบนพื้นฐานตามมาตรา 26 (1)(2) ของพระราชบัญญัติการคุ้มครองข้อมูลของรัฐบาลกลางเยอรมนี (BDSG)
ในระหว่างการสอบสวนการฝ่าฝืนที่ต้องสงสัยและผลลัพธ์ที่ตามมา BAUHAUS จะประมวลผลข้อมูลในแต่ละกรณีเพื่อใช้และคุ้มครองผลประโยชน์ สิทธิ และการเรียกร้องบนพื้นฐานผลประโยชน์อันชอบด้วยกฎหมายของเราในการใช้และคุ้มครองผลประโยชน์ สิทธิ และการเรียกร้องตามมาตรา 6 (1)(f) GDPR หากมีความจำเป็นต้องประมวลผลข้อมูลส่วนบุคคลประเภทพิเศษเพื่อการเสนอ ใช้ หรือคุ้มครองการเรียกร้องทางกฎหมาย เราจะดำเนินการประมวลผลข้อมูลดังกล่าวบนพื้นฐานเพิ่มเติมในมาตรา 9 (2)(f) GDPR
เรายังประมวลผลข้อมูลส่วนบุคคลผ่านระบบแจ้งเบาะแสการกระทำผิดบนพื้นฐานพันธะทางกฎหมาย มาตรา 6 (1)(c) GDPR (ตาม Directive (EU) 2019/ 1937 และการปรับใช้ภายในประเทศ (ในอนาคต) ที่สอดคล้องกัน) ตัวอย่างเช่น เรามีพันธะในการลบข้อมูลหากเราไม่มีพื้นฐานทางกฎหมายสำหรับการจัดเก็บข้อมูลนั้นไว้
หากคุณเป็นผู้แจ้งเบาะแสการกระทำผิดที่อยู่นอก EU/ EEA ในเวลาที่มีการส่งรายงาน การส่งข้อมูลจะเกิดขึ้นในระหว่างการส่งรายงานของคุณโดยไม่อาจหลีกเลี่ยงได้ การส่งข้อมูลดังกล่าวที่เกิดขึ้นในกรณีนี้จะอยู่บนพื้นฐานของมาตรา 49 (1)(d) GDPR
10. แหล่งข้อมูลที่เป็นบุคคลที่สาม
โดยปกติ เรารับข้อมูลจากผู้แจ้งเบาะแสการกระทำผิดเกี่ยวกับผู้ที่ตกเป็นผู้ต้องสงสัยว่าได้กระทำการฝ่าฝืน ในกรณีดังกล่าว แหล่งข้อมูลที่นิยามไว้ในมาตรา 14 (2)(f) GDPR คือผู้แจ้งเบาะแสการกระทำผิด นอกจากนี้ ยังอาจมีความจำเป็นที่จะต้องรวบรวมข้อมูลจากบริษัท BAUHAUS ที่ผู้ที่ตกเป็นผู้ต้องสงสัยในการกระทำการฝ่าฝืนตามที่มีการรายงานได้ทำงานอยู่หรือจากบริษัท BAUHAUS อื่น ๆ หากมีความเกี่ยวข้องและจำเป็นในแต่ละกรณี เรายังจะใช้ข้อมูลที่มีอยู่ในที่สาธารณะอีกด้วย
11. ระยะเวลาในการเก็บรักษา
โดยทั่วไปแล้ว ไม่อาจกำหนดระยะเวลาที่จะมีการเก็บข้อมูลไว้อย่างเจาะจงได้ เนื่องจากจำเป็นต้องมีการประเมินตามแต่ละกรณีเพื่อกำหนดระยะเวลา ข้อมูลส่วนบุคคลจะถูกเก็บรักษาไว้ตราบเท่าที่จำเป็นต่อการตรวจสอบสถานการณ์และต่อการดำเนินการประเมินรายงานขั้นสุดท้ายในแต่ละกรณี หรือเก็บไว้นานเท่าที่ BAUHAUS มีส่วนได้เสียโดยชอบด้วยกฎหมายที่สำคัญ หรือหากกฎหมายกำหนดให้ต้องเก็บรักษาไว้ ข้อมูลส่วนบุคคลที่ไม่มีความเกี่ยวข้องกับการประมวลผลรายงานแบบเฉพาะอย่างชัดแจ้งจะถูกลบโดยทันที เรายังปกปิดข้อมูลส่วนบุคคลเท่าที่จำเป็นเพื่อปกป้องตัวตนของผู้แจ้งเบาะแสการกระทำผิดและเพื่อคุ้มครองผู้ที่มีชื่อในรายงาน (ตัวอย่างเช่น ก่อนการส่งต่อภายในเพื่อการประมวลผลรายงาน ตราบเท่าที่ข้อมูลดังกล่าวไม่มีความจำเป็นสำหรับการประมวลผล)
12. สิทธิของเจ้าของข้อมูล
ในฐานะเจ้าของข้อมูล คุณมีสิทธิด้านการคุ้มครองข้อมูลดังต่อไปนี้ โดยขึ้นอยู่กับการปฏิบัติตามเงื่อนไขเบื้องต้นที่เกี่ยวข้องตามลำดับ:
- สิทธิในการเข้าถึง (มาตรา 15 GDPR)
- สิทธิในการแก้ไข (มาตรา 16 GDPR)
- สิทธิในการลบ (มาตรา 17 GDPR)
- สิทธิในการจำกัดการประมวลผล (มาตรา 18 GDPR)
- สิทธิในการเคลื่อนย้ายข้อมูล (มาตรา 20 GDPR)
- สิทธิในการร้องเรียนกับหน่วยงานควบคุมดูแล (มาตรา 77 GDPR)
คุณยังมีสิทธิในการ คัดค้าน (มาตรา 21 GDPR) ตราบเท่าที่เราดำเนินการประมวลผลบนพื้นฐานตามมาตรา มาตรา 6 (1)(f) GDPR โปรดทราบว่า ในกรณีทำการประมวลผลเพื่อวัตถุประสงค์อื่นนอกเหนือไปจากเพื่อการโฆษณาทางตรง จะต้องมีการระบุเหตุผลที่เกิดขึ้นจากสถานการณ์เฉพาะของคุณ คุณสามารถแจ้งเราเกี่ยวกับการคัดค้านของคุณได้ด้วยการส่งอีเมลไปยังเจ้าหน้าที่ด้านการคุ้มครองข้อมูลในเยอรมนี (datenschutzbeauftragter@bauhaus.info) จะมีการส่งต่อข้อคัดค้านนี้ไปยังหน่วยงานที่เกี่ยวข้อง
เวอร์ชันจากเดือนธันวาคม 2021
