Informacje o ochronie danych – Dania
Traktujemy ochronę danych i poufność bardzo poważnie i przestrzegamy warunków ogólnego rozporządzenia o ochronie danych (RODO), a także krajowych regulacji w zakresie ochrony danych (w tym duńskiej ustawy o ochronie danych osobowych z 2020). Przed wysłaniem zgłoszenia należy dokładnie zapoznać się z informacjami dot. ochrony prywatności.
Podmiot odpowiedzialny (administrator danych)
Podmiotem odpowiedzialnym za przetwarzanie danych jest:
ALDI Danmark ApS
- Nr CVR: 89 79 72 17
- Adres: Herstedøstervej 27-29C, 2620 Albertslund
- Telefon: +45 88 80 35 00
- E-mail: persondata@aldi.dk
Cel i zasady działania systemu zgłoszeniowego
System zgłoszeniowy (BKMS® System) służy do bezpiecznego i poufnego odbierania oraz przetwarzania zgłoszeń dotyczących naruszeń polityki compliance oraz do zarządzania tymi zgłoszeniami.
Operatorem systemu zgłoszeniowego jest wyspecjalizowana firma EQS Group GmbH, Bayreuther Str. 35, 10789 Berlin, Niemcy, działająca w imieniu ALDI Denmark.
W systemie zgłoszeniowym można stworzyć skrzynkę pocztową, zabezpieczoną wybranym pseudonimem / nazwą użytkownika i hasłem. Umożliwia to bezpieczne przesłanie anonimowego albo imiennego zgłoszenia. Dane osobowe są przetwarzane wyłącznie w ramach bezpiecznego środowiska systemu BKMS® System. Nie jest to forma typowej komunikacji mailowej.
Przechowywane dane są szyfrowane i zabezpieczone wielopoziomową strukturą haseł, dzięki czemu dostęp do danych ma tylko bardzo niewielka grupa wyraźnie upoważnionych pracowników ALDI Denmark, por. niżej.
Wysyłając zgłoszenie lub uzupełnienie zgłoszenia można również wysłać załączniki. Jeśli zgłoszenie ma być anonimowe, należy uwzględnić następującą wskazówkę dotyczącą bezpieczeństwa: niektóre pliki zawierają ukryte dane osobowe, które mogą ujawnić tożsamość sygnalisty. Przed wysłaniem plików należy usunąć takie dane. Jeżeli usunięcie tych danych jest niemożliwe albo problematyczne, należy skopiować tekst z załącznika do tekstu zgłoszenia albo anonimowo wysłać wydrukowany dokument na adres podany w stopce, oznaczając go numerem referencyjnym nadanym na końcu procedury zgłoszeniowej
Rodzaje przetwarzanych danych osobowych
Korzystanie z systemu zgłoszeniowego jest dobrowolne. W przypadku wysłania zgłoszenia zbierane i przetwarzane są następujące dane osobowe i informacje, w zakresie ujawnionym przez sygnalistę:
- Imię i nazwisko, dane kontaktowe oraz miejsce zatrudnienia sygnalisty (jeśli zostało ujawnione)
- Wszelkie dane osobowe zawarte w zgłoszeniu (w tym dane poufne, dane wrażliwe albo dane dotyczące przestępstw), np. informacje o domniemanych wykroczeniach oraz
- Imiona i nazwiska oraz inne dane osobowe osób wymienionych w zgłoszeniu, jeśli takie osoby wystąpiły.
Podstawa prawna przetwarzania
Podstawa prawna przetwarzania danych to:
- Uzasadniony interes firmy, przejawiający się w prawidłowym zarządzaniu systemem zgłoszeniowym, w tym w ustanawianiu, dochodzeniu lub obronie roszczeń prawnych, por. artykuł 6, ustęp 1f RODO
- Przetwarzanie wrażliwych danych osobowych jest niezbędne dla ustanawiania, dochodzenia i obrony roszczeń prawnych, por. artykuł 9, ustęp 2f RODO oraz
- Przetwarzanie danych osobowych związanych z przestępstwami jest niezbędne do ochrony uzasadnionego interesu (patrz wyżej), gdy uzasadniony interes jest wyraźnie nadrzędny w stosunku do interesu osoby, której dane dotyczą, por. artykuł 8, ustęp 3 duńskiej ustawy o ochronie danych osobowych z 2020 r., albo gdy jest niezbędny dla ustanawiania, dochodzenia albo obrony roszczeń prawnych, por. artykuł 8, ustęp 5 duńskiej ustawy o ochronie danych osobowych z 2020 r.
Źródła danych osobowych
Zbierane dane mogą pochodzić z następujących źródeł (w zależności od typów osób, które korzystają z systemu zgłoszeniowego):
- pracownicy,
- członkowie zarządu,
- dostawcy,
- partnerzy biznesowi oraz
- doradcy.
O ile przetwarzane dane osobowe są dostarczane przez sygnalistę w związku z przesłaniem zgłoszenia, ich podanie jest dobrowolne. Jeśli dane nie zostaną udostępnione, przetworzenie zgłoszenia może być niemożliwe.
Kategorie odbiorców
Dane osobowe i informacje wprowadzane do systemu zgłoszeniowego są przechowywane w bazie danych prowadzonej przez EQS Group GmbH w centrum danych o zaostrzonych standardach bezpieczeństwa. Dostęp do danych mają wyłącznie wykwalifikowani i upoważnieni pracownicy ALDI Denmark. EQS Group GmbH ani inne osoby trzecie nie mają dostępu do danych, chyba że taki dostęp zostanie im wyraźnie udzielony, por. niżej. Zapewnia to certyfikowana procedura oraz liczne środki techniczne i organizacyjne.
Nadesłane zgłoszenia trafiają do wąskiej grupy wykwalifikowanych, wyraźnie uprawnionych i specjalnie przeszkolonych pracowników będących członkami organizacji ds. compliance ALDI i są zawsze traktowane jako poufne. Pracownicy ALDI Denmark z organizacji ds. compliance analizują sytuację i przeprowadzają dalsze postępowanie dostosowane do poszczególnych przypadków. Każda osoba uzyskująca dostęp do danych jest zobowiązana do zachowania poufności.
Podczas przetwarzania zgłoszenia albo prowadzenia specjalnego postępowania może okazać się konieczne udostępnienie zgłoszenia innym podmiotom. Zgłoszenie udostępnia się dopiero, gdy zagwarantowane jest przestrzeganie przepisów o ochronie danych.
W zależności od okoliczności i biorąc pod uwagę odpowiednie przepisy dotyczące ochrony danych oraz poufności, dane osobowe mogą zostać ujawnione następującym odbiorcom:
- Odpowiednia spółka zależna Aldi, w której zatrudniony jest sygnalista albo osoba wymieniona w zgłoszeniu,
- Zewnętrzni doradcy, między innymi prawnicy i księgowi,
- Policja albo inne władze państwowe, w zależności od przypadku oraz
- Podmiot przetwarzający dane zarządzający systemem zgłoszeniowym, tutaj w związku z rozwiązywaniem problemów.
Przekazywanie danych osobowych do krajów trzecich
Nie przekazujemy danych osobowych do krajów trzecich (krajów spoza UE/EOG).
Prawa osoby, której dane dotyczą
W oparciu o europejskie regulacje o ochronie danych osoby, których dane dotyczą, mają prawo dostępu do danych, ich poprawiania, usuwania, żądania ograniczenia ich przetwarzania oraz prawo do wniesienia sprzeciwu wobec przetwarzania danych osobowych oraz kilka innych. Osoba, której dane dotyczą, ma również prawo złożyć skargę do organu nadzorczego https://www.datatilsynet.dk/generelt-om-databeskyttelse/klage-til-datatilsynet/.
Okres przechowywania danych osobowych
Dane osobowe są przechowywane tak długo, jak jest to niezbędne do wyjaśnienia sytuacji i przeprowadzenia końcowej oceny przypadku albo tak długo, jak istnieje uzasadniony interes firmy czy wymaga tego prawo. Po zakończeniu przetwarzania zgłoszenia dane są anonimizowane i usuwane zgodnie z wymogami ustawowymi. W przypadku ujawnienia danych osobowych władzom państwowym, dane zostaną usunięte po zamknięciu sprawy.
Wykorzystanie plików cookie
Komunikacja między komputerem sygnalisty a systemem zgłoszeniowym jest szyfrowana (SSL). W trakcie korzystania z systemu zgłoszeniowego adres IP komputera nie jest zapisywany. W celu utrzymania połączenia między komputerem a systemem zgłoszeniowym BKMS® System, na dysku twardym komputera zapisywany jest plik cookie, który zawiera jedynie ID sesji (tzw. cookie sesji). Ten plik cookie zachowuje ważność tylko do zakończenia sesji i wygasa po zamknięciu przeglądarki.
Informacje o ochronie danych – strona internetowa
Proszę zwrócić uwagę na informacje o ochronie danych na stronie internetowej:
https://www.aldi.dk/services/databeskyttelse.html