Polityka ochrony danych w MTU Aero Engines AG przy korzystaniu s systemu zgłoszeniowego iTrust (BKMS® System)
Spółka MTU Aero Engines AG (zwana dalej „MTU”) traktuje ochronę danych osobowych bardzo poważnie. Przetwarzamy dane osobowe w sposób całkowicie zgodny ze wszystkimi obowiązującymi przepisami prawnymi w zakresie ochrony i bezpieczeństwa danych. Przed wysłaniem zgłoszenia należy dokładnie zapoznać się z niniejszymi informacjami o ochronie danych.
§1 Administrator i zakres
Administratorem danych osobowych, w rozumieniu Ogólnego rozporządzenia o ochronie danych osobowych (RODO), niemieckiej federalnej ustawy o ochronie danych (BDSG) i innych regulacji z zakresu ochrony danych jest:
- MTU Aero Engines AG
- Dachauer Straße 665
- 80995 München
- NIEMCY
§ 2 Inspektor ochrony danych
Inspektorem ochrony danych po stronie administratora jest:
- p. Helga Schorr
- MTU Aero Engines AG
- Dachauer Straße 665
- 80995 München
- NIEMCY
- E-mail: MTU.DSB@mtu.de
§ 3 Czym są dane osobowe?
Danymi osobowymi są informacje o sytuacji osobistej lub majątkowej określonej, możliwej do zidentyfikowania osoby (tzn. podmiotu danych). Obejmują one np. nazwisko danej osoby, jej adres, numer telefonu, datę urodzenia, adres e-mail. Informacje, których nie można przyporządkować do określonej osoby (albo gdy takie przyporządkowanie wymaga niewspółmiernego wysiłku), np. informacje zanonimizowane, nie są danymi osobowymi.
§4 Generalne informacje o przetwarzaniu danych
a) Zakres
Gromadzimy i wykorzystujemy dane osobowe użytkowników iTrust wyłącznie w zakresie, w jakim jest to konieczne do przetwarzania zgłoszenia.
Twoje dane osobowe nie są wykorzystywane w innym celu, w szczególności w celach marketingowych. Nigdy nie udostępnimy Twoich danych osobowych jakimkolwiek podmiotom zewnętrznym bez Twojej zgody, z wyjątkiem sytuacji opisanych poniżej lub takich, w których obliguje nas do tego prawo.
Jeżeli to konieczne, możemy udostępniać dane osobowe firmom powiązanym z MTU Aero Engines AG zgodnie z punktem 15 i nast. AktG dla celów wskazanych w punkcie 5.
Możemy również udostępniać dane osobowe sądom, organom nadzorczym (w szczególności urzędom kontroli bezpieczeństwa w lotnictwie) oraz doradcom prawnym w celu zapewnienia zgodności z prawem albo zabezpieczenia roszczeń prawnych, ich wykonania lub obrony przed nimi, jeśli to konieczne.
b) Podstawy prawne
iTrust ma na celu bezpieczne i poufne otrzymywanie i przetwarzanie zgłoszeń dotyczących karalnego lub nielegalnego zachowania oraz łamania praw człowieka powiązanego z naszą firmą i zarządzanie tymi zgłoszeniami. Przetwarzanie danych osobowych w ramach iTrust wynika z uzasadnionej troski o interes firmy, przejawiający się w dążeniu do wykrywania nadużyć i zapobiegania im, a tym samym do ochrony firmy MTU, jej pracowników i partnerów handlowych. Ponadto mamy uzasadniony interes prawny w przetwarzaniu danych osobowych w celu zapewnienia legalności działalności firmy. Podstawą prawną naszych procedur jest artykuł 6, ustęp 1 f RODO (ogólnego rozporządzenia o ochronie danych). W przypadkach, w których będziemy zobowiązani do przetwarzania danych osobowych w celu wypełnienia wymogów prawnych stawianych naszej firmie, podstawą prawną będzie artykuł 6, ustęp 1 c RODO (ogólnego rozporządzenia o ochronie danych).
c) Okres usuwania i przechowywania danych
Twoje dane osobowe zostaną usunięte lub zablokowane bezpośrednio po ustaniu pierwotnej przyczyny ich przechowywania. Jeżeli prawodawca europejski lub krajowy wymaga na mocy dyrektyw unijnych, ustaw lub innych regulacji obowiązujących administratora dłuższych okresów przechowywania danych, dane mogą być przechowywane dłużej. Dane osobowe zostaną również zablokowane lub usunięte kiedy ustawowy termin określony przez jakikolwiek z wymienionych standardów utraci ważność, chyba że dalsze przechowywanie danych jest konieczne do zawarcia lub wykonania umowy.
§ 5 Cel przetwarzania danych
W ramach procedury zgłoszeniowej przede wszystkim przetwarzamy dane osobowe w następujących celach:
- zarządzanie ryzykiem w celu zapewnienia i badania postępowania naruszającego zasady umowy lub prawo,
- zapewnienie zgodności z wymogami prawnymi (w szczególności wymogami prawa lotniczego, podatkowego, handlowego i eksportowego);
- zabezpieczenie i podnoszenie roszczeń prawnych (w postępowaniach sądowych i pozasądowych).
§ 6 Kategorie danych osobowych
Używanie systemu iTrust jest w pełni dobrowolne. Przy wysyłaniu zgłoszenia przez iTrust gromadzimy następujące dane osobowe i informacje:
- podstawowe dane osobowe, np. Twoje imię, nazwisko, adres służbowy, numer telefonu lub faksu i służbowy adres e-mail, o ile postanowisz ujawnić swoją tożsamość,
- informacje o zatrudnieniu w MTU, oraz
- imiona i nazwiska oraz inne dane osób wymienionych w zgłoszeniu, jeśli takie osoby wystąpiły.
§ 7 Środki bezpieczeństwa stosowane do ochrony danych przechowywanych w naszych systemach
Operatorem BKMS® System jest wyspecjalizowana firma EQS Group GmbH, Bayreuther Str. 35, 10789 Berlin (Niemcy), działająca w imieniu MTU.
Dane osobowe i informacje wprowadzone do systemu zgłoszeniowego są przechowywane w bazie danych prowadzonej przez EQS Group GmbH w centrum danych o zaostrzonych standardach bezpieczeństwa. Dostęp do danych ma wyłącznie MTU. EQS Group GmbH ani inne osoby trzecie nie mają dostępu do danych. Zapewnia to certyfikowana procedura oraz liczne środki techniczne i organizacyjne.
Przechowywane dane są szyfrowane i zabezpieczone wielopoziomową strukturą haseł, dzięki czemu dostęp do danych ma tylko bardzo niewielka grupa wyraźnie upoważnionych pracowników MTU.
§ 8 Poufne przetwarzanie zgłoszeń
Nadesłane zgłoszenia trafiają do wąskiej grupy wyraźnie uprawnionych i specjalnie przeszkolonych pracowników, będących członkami organizacji ds. compliance MTU, i są zawsze traktowane jako poufne. Pracownicy MTU z organizacji ds. compliance analizują sytuację i przeprowadzają dalsze dochodzenie dostosowane do poszczególnych przypadków.
Podczas przetwarzania zgłoszenia lub prowadzenia specjalnego dochodzenia może pojawić się konieczność udostępnienia zgłoszenia innym pracownikom MTU lub pracownikom powiązanych firm, np. jeżeli zgłoszenie odnosi się do incydentów w spółkach zależnych. Spółki te mogą mieć siedziby poza terenem Unii Europejskiej lub Europejskiego Obszaru Gospodarczego i mogą tam obowiązywać inne przepisy o ochronie danych osobowych. Zgłoszenie udostępnia się dopiero, gdy zagwarantowane jest przestrzeganie przepisów o ochronie danych.
Każda osoba uzyskująca dostęp do danych jest zobowiązana do zachowania poufności.
§ 9 Informacje na temat osoby obwinionej
Jesteśmy prawnie zobowiązani poinformować osoby obwinione o jakichkolwiek zgłoszeniach skierowanych przeciwko nim w chwili, gdy ujawnienie tych informacji nie wpłynie negatywnie na prowadzone dochodzenie. Tożsamość sygnalisty nie zostanie ujawniona, chyba że wymagają tego przepisy prawa.
§ 10 Korzystanie z portalu zgłoszeniowego
Komunikacja między komputerem sygnalisty a systemem zgłoszeniowym jest szyfrowana (SSL). W trakcie korzystania z systemu zgłoszeniowego adres IP komputera nie jest zapisywany. W celu utrzymania połączenia między komputerem a systemem zgłoszeniowym BKMS® System, na dysku twardym komputera zapisywany jest plik cookie, który zawiera jedynie ID sesji (tzw. cookie sesji). Ten plik cookie zachowuje ważność tylko do zakończenia sesji i wygasa po zamknięciu przeglądarki.
W systemie zgłoszeniowym można stworzyć skrzynkę pocztową, zabezpieczoną wybranym pseudonimem / nazwą użytkownika i hasłem. Pozwala ona bezpiecznie wysyłać anonimowe albo imienne zgłoszenia do odpowiedniego pracownika MTU. System przechowuje dane wyłącznie wewnątrz systemu zgłoszeniowego, co gwarantuje wysoki poziom bezpieczeństwa. Nie jest to forma typowej komunikacji mailowej.
§ 11 Informacja o wysyłaniu załączników
Do zgłoszenia albo uzupełnienia zgłoszenia wysyłanego pracownikowi MTU można dołączyć załączniki. Jeśli zgłoszenie ma być wysłane anonimowo, należy uwzględnić następującą wskazówkę dotyczącą bezpieczeństwa: niektóre pliki zawierają ukryte dane osobowe, które mogą ujawnić tożsamość sygnalisty. Przed wysłaniem plików należy usunąć takie dane. Jeżeli usunięcie tych danych jest niemożliwe albo problematyczne, należy skopiować tekst z załącznika do tekstu zgłoszenia albo anonimowo wysłać wydrukowany dokument na adres podany w stopce, oznaczając go numerem referencyjnym nadanym na końcu procedury zgłoszeniowej.
§ 12 Prawa osób, których dane dotyczą
Jeżeli przetwarzamy Twoje dane osobowe, masz związane z tym określone prawa. Mogą do nich należeć:
1. Prawo dostępu
Możesz zwrócić się do administratora z pytaniem, czy przetwarza jakiekolwiek Twoje dane osobowe i otrzymać potwierdzenie.
W przypadku przetwarzania Twoich danych możesz zażądać od administratora następujących informacji:
- cel przetwarzania twoich danych osobowych,
- kategorie przetwarzanych danych osobowych,
- odbiorcy lub kategorie odbiorców, którym zostały lub będą ujawnione przedmiotowe dane osobowe,
- zamierzony okres przechowywania danych osobowych albo, jeśli nie ma konkretnych informacji o okresie przechowywania, kryteria określania okresu przechowywania,
- istnienie prawda do poprawienia lub usunięcia Twoich danych osobowych, prawo do ograniczenia przetwarzania przez administratora albo prawo do wyrażenia sprzeciwu wobec przetwarzania Twoich danych,
- istnienie prawa do złożenia skargi do organu nadzorczego,
- wszystkie dostępne informacje o źródle danych w przypadkach, w których dane nie zostały zebrane bezpośrednio od podmiotu.
Masz prawo zażądać informacji o jakimkolwiek ujawnieniu Twoich danych osobowych odbiorcom w kraju trzecim lub międzynarodowym organizacjom. W tym kontekście możesz zażądać informacji o stosownych zabezpieczeniach w rozumieniu art. 46 RODO.
2. Prawo do sprostowania
Masz prawo do sprosotowania lub uzupełnienia Twoich danych przez administratora, jeżeli Twoje dane są nieprawidłowe lub niekompletne. Administrator zobowiązany jest do niezwłocznego wprowadzenia korekt.
3. Prawo do ograniczenia przetwarzania
W przypadku spełnienia poniższych warunków możesz zażądać ograniczenia przetwarzania Twoich danych osobowych:
- jeżeli kwestionujesz poprawność Twoich danych osobowych we wskazanym okresie,
- jeżeli Twoje dane były przetwarzane bezprawnie, ale wybierasz ograniczenie przetwarzania zamiast żądania usunięcia,
- jeżeli administratorowi nie są już potrzebne Twoje dane w pierwotnym celu przetwarzania, ale są mu potrzebne do zabezpieczenia lub podnoszenia roszczeń prawnych lub obrony przed nimi, lub
- jeżeli sprzeciwiasz się przetwarzaniu Twoich danych osobowych w oparciu o art. 21 ust. 1 RODO i konieczne jest określenie, czy uzasadniony interes prawny administratora przeważa nad przyczynami Twojego sprzeciwu.
Jeżeli przetwarzanie Twoich danych osobowych zostało ograniczone, ich przetwarzanie jest możliwe wyłącznie za Twoją zgodą – za wyjątkiem przechowywania – albo w celu zabezpieczenia lub podnoszenia roszczeń prawnych lub obrony przed nimi, w celu obrony praw innych osób fizycznych lub prawnych lub z uwagi na ważny interes publiczny Unii Europejskiej lub krajów członkowskich.
W przypadku wystąpienia którejkolwiek z powyższych przyczyn i związanego z tym zaistnienia przesłanek zniesienia ograniczenia, administrator poinformuje Cię przed zniesieniem ograniczenia.
4. Prawo do usunięcia danych
a) Obowiązek usunięcia
Możesz żądać od administratora niezwłocznego usunięcia Twoich danych osobowych. Administrator będzie zobowiązany to zrobić przy założeniu zaistnienia jednej z poniższych przyczyn:
- Twoje dane osobowe nie są już niezbędne dla celu, dla którego zostały zebrane lub były przetwarzane w inny sposób.
- Wycofanie zgody, na której opierało się przetwarzanie danych w rozumieniu art. 6 ust. 1 a lub art. 9 ust. 2 (a) RODO i brak podstaw prawnych uzasadniających przetwarzanie.
- Twój sprzeciw wobec przetwarzania danych zgodnie z art. 21 ust. 1 RODO przy jednoczesnym braku przeważającego uzasadnionego interesu prawnego administratora w przetwarzaniu danych, albo sprzeciw wobec przetwarzania danych w oparciu o art. 21 ust. 2 RODO.
- Twoje dane osobowe są przetwarzane nielegalnie.
- Usunięcie Twoich danych osobowych jest niezbędne do zapewnienia zgodności z przepisami prawnymi UE lub przepisami obowiązującymi w kraju administratora.
- Twoje dane osobowe zostały zebrane zgodnie z zasadami usług społeczeństwa informacyjnego w rozumieniu art. 8 ust. 1 RODO.
b) Ujawnianie informacji osobom trzecim
W każdym przypadku upublicznienia danych osobowych przez administratora, kiedy zgodnie z art. 17 ust. 1 RODO jest zobowiązany do usunięcia danych osobowych, administrator, uwzględniając dostępną technologię i koszty implementacji, podejmie rozsądne kroki, w tym zastosuje środki techniczne, aby poinformować administratorów przetwarzających dane osobowe, że osoba, której dane dotyczą zażądała usunięcia przez tych administratorów odnośnych danych osobowych wraz ze wszystkimi powiązaniami, kopiami i powieleniami.
c) Wyjątki
Prawo do usunięcia danych nie dotyczy sytuacji w których przetwarzanie danych jest niezbędne ze względu na poniższe przyczyny:
- korzystanie z prawa wolności słowa i informacji,
- zapewnienie spełnienia obowiązku prawnego, by dane były przetwarzane zgodnie z prawem Unijnym lub prawem kraju członkowskiego właściwego dla administratora albo, jeśli przetwarzanie jest niezbędne dla realizacji zadania wykonywanego w interesie publicznym lub w ramach wykonywania obowiązków publicznoprawnych powierzonych administratorowi,
- realizacja interesu publicznego w obszarze zdrowia publicznego w rozumieniu art. 9 ust. 2 h i art. 9 ust. 3 RODO;
- realizacja celów związanych z interesem publicznym, badaniami naukowymi, historycznymi lub statystycznymi, zgodnie z art. 89 ust. 1 RODO, pod warunkiem, że uprawnienie wymienione w podpunkcie a) uczyni niemożliwym lub poważnie utrudni osiągnięcie konkretnego celu przetwarzania danych, lub
- powstanie i podniesienie roszczeń prawnych lub obrona przed nimi.
5. Prawo do informacji
W przypadku wykonania prawa do sprostowania, usunięcia lub ograniczenia przetwarzania w stosunku do administratora, administrator zobowiązany jest poinformować wszystkich odbiorców, którym ujawniono dane osobowe o ograniczeniu przetwarzania lub usunięciu danych, chyba że jest to niemożliwe lub wymaga niewspółmiernych nakładów.
Masz prawo do uzyskania od administratora informacji o tych odbiorcach.
6. Prawo do przenoszenia danych
Masz prawo do uzyskania danych osobowych dostarczonych administratorowi w ustrukturyzowanym, powszechnie używanym formacie, możliwym do odczytu maszynowego. Masz również prawo do przekazania tych danych innemu administratorowi bez utrudnień ze strony administratora, któremu dane były pierwotnie przekazane, przy czym
- przetwarzanie opiera się na zgodzie w rozumieniu podpunktu a) w art. 6 ust. 1 RODO lub podpunktu a) w art. 9 ust. 2 RODO albo na umowie w rozumieniu podpunktu b) art. 6 ust. 1 RODO i
- przetwarzanie realizowane jest w sposób zautomatyzowany.
Wykonując swoje prawo do przenoszenia danych, masz również prawo do żądania przekazania danych osobowych bezpośrednio od jednego administratora do innego, jeśli to technicznie wykonalne. Nie może to wpływać na prawa i wolności innych osób.
Prawo do przenoszenia danych nie obowiązuje, jeśli przetwarzanie jest niezbędne dla realizacji zadania wykonywanego w interesie publicznym lub w ramach wykonywania obowiązków publicznoprawnych powierzonych administratorowi.
7. Prawo do wycofania zgody
Możesz wycofać swoją zgodę w dowolnym czasie. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania danych odbywającego się do czasu jej wycofania.
8. Prawo do złożenia skargi do organu nadzorczego
Bez konieczności wcześniejszego podejmowania jakikolwiek środków administracyjnych lub prawnych masz prawo złożyć skargę do organu nadzorczego, w szczególności do organu w kraju członkowskim swojego miejsca zamieszkania, miejsca pracy lub miejsca ewentualnego naruszenia, jeśli uważasz, że przetwarzanie Twoich danych osobowych jest niezgodne z RODO.
