Bemærkninger om databeskyttelse
BESKYTTELSEN AF PERSONOPLYSNINGER HOS LOWELL
Den grundige behandling og beskyttelse af dine personoplysninger er vigtig for os. Vi ønsker også at sikre os, at du kender dine rettigheder i forhold til databehandlingen af personoplysninger.
Vi tager beskyttelsen af personoplysninger og fortrolighed meget alvorligt, og overholder den gældende, europæiske databeskyttelsesforordning (GDPR) samt aktuelle nationale databeskyttelseslove. Du bedes læse disse informationer om databeskyttelse omhyggeligt igennem, før du indgiver en rapport.
I privatlivspolitikken beskriver vi, hvordan vi behandler personoplysninger i forhold til whistleblowing-platformen (BKMS® System) og proceduren. Whistleblowing-systemet drives af et specialiseret firma, EQS Group GmbH, Bayreuther Str. 35, 10789 Berlin i Tyskland, på vegne af Lowell Nordic.
1. DATAANSVARLIG OG KONTAKTINFORMATIONER
Den dataansvarlige i whistleblowing-proceduren er Lowell Nordics Oy, (2788135-4), PB 20, 20101 Turku, Finland Helsinki, Finland) på egne vegne og af følgende datterselskaber:
- Lowell Suomi Oy (0140351-4), Helsinki, Finland
- Lowell Sverige AB (556209-5363), 412 93 Göteborg, Sverige
- Lowell Finans AS, (913 953 517), PB. 6354 Etterstad, 0604 Oslo, Norge
- Lowell Finans AS, (979 683 529), PB. 6354 Etterstad, 0604 Oslo, Norge
- Lowell Danmark A/S, (18457970), Langmarksvej 57 D, 8700 Horsens, Danmark
2. DATABESKYTTELSESANSVARLIG
Hvert Lowell selskab har en databeskyttelsesansvarlig, som du kan kontakte pr. brev via Lowell Suomi Oy, Data Protection Officer, P.O. Box 20, FI-20101 Turku, Finland, eller via e-mail på tietosuojavastaava@lowell.com.
Spørgsmål om databeskyttelse og fortrolighed kan sendes til:
- Danmark: DPO.Denmark@lowell.com
- Sverige: DPO.sverige@lowell.com
- Norge: DPO.norge@lowell.com
3. FORMÅL OG LOVGRUNDLAG FOR DATABEHANDLING
Vi behandler personoplysninger, som vi modtager gennem whistleblowing-systemet (BKMS® System), eller andre kanaler for at opspore, undersøge og forebygge forseelser i strid med lovgivningen og Lowells compliance regler i overensstemmelse med gældende lovgivning.
Behandlingen af personoplysninger er baseret på firmaets juridiske forpligtigelse og oprigtige interesse i at afsløre, forebygge og undersøge forseelser, og derved undgå skader for Lowell, firmaets medarbejdere, klienter og kunder. Retsgrundlaget for denne databehandling er art. 6 (1), (c) og (f) i GDPR.
4. KATEGORIER AF REGISTREREREDE PERSONER OG DATA
I forbindelse med whistleblowing sager, kan vi behandle personoplysninger om whistlebloweren, den person som er årsag for whistleblowing-rapporten, og personer som har forbindelse til en forseelse.
Håndteringen af whistleblowing rapporter kan omfatte behandlingen af særlige kategorier og/eller strafbare data, som er nødvendige for at fastsætte, udøve, forsvare eller afvikle retskrav.
Indgivelsen af en whistleblowing rapport foregår på frivillig basis. Hvis du indgiver en rapport via whistleblowing systemet, indsamler vi følgende personoplysninger og data, hvis du vælger at offentliggøre dem:
- dit navn
- din relation til Lowell Nordic
I forbindelse med den person, som rapporten omhandler, behandler vi muligvis følgende personoplysninger, hvis du vælger at offentliggøre dem:
- navn
- kontaktinformationer
- oplysninger om beskæftigelsesforhold
- oplysninger om den rapporterede forseelse
- oplysninger om handlinger og observationer på baggrund af hændelsens undersøgelse
I forhold til den person, som har forbindelse til den formodede forseelse, behandler vi muligvis følgende personoplysninger, hvis du vælger at offentliggøre dem:
- navn
- kontaktinformationer
- oplysninger om medarbejder og stilling
- oplysninger om relationen til Lowell Nordic
Rent principielt er vi lovmæssigt forpligtede til at informere de beskyldte personer om, at vi har modtaget en rapport på dem, medmindre dette udgør en fare for yderligere undersøgelser af rapporten. Din identitet som whistleblower vil ikke blive afsløret, så vidt det er juridisk muligt.
5. DATAKILDER
Personoplysninger indsamles fra whistlebloweren og den dataansvarliges ansatte, og firmaer som hører til samme gruppe som den dataansvarlige. Desuden kan personoplysninger indsamles gennem den dataansvarliges egne aktiviteter under behandlingen af meddelelsen.
6. ADGANG TIL OG OFFENTLIGGØRELSE AF PERSONOPLYSNINGER
Personoplysninger og -data, der indtastes i whistleblowing systemet, gemmes i en database, der drives af EQS Group, i et datacenter med høj sikkerhed. Kun Lowell Nordic har adgang til disse data. EQS Group og andre parter har ikke adgang til disse data. Dette sikres ved hjælp af en certificeret procedure med omfattende tekniske og organisatoriske foranstaltninger.
Alle data gemmes krypteret med beskyttelse af adgangskoder på flere niveauer, hvilket sikrer, at adgangen begrænses til et meget lille udvalg af specielt autoriserede personer hos Lowell Nordic.
Indgående rapporter modtages af en lille gruppe specielt autoriserede og uddannede medarbejdere hos compliance afdelingen hos Lowell Nordic og bliver altid behandlet fortroligt. Medarbejderne vurderer sagen og foretager yderligere undersøgelser, som kræves i det enkelte tilfælde.
Ved behandling af en rapport, eller udførelse af særlige undersøgelser, kan det være nødvendigt at dele rapporterne med andre myndigheder (f.eks. politiet), og andre medarbejdere hos Lowell Nordic, eller ansatte i andre firmaer i koncernen, hvis rapporterne f.eks. omhandler hændelser i datterselskaber. Derfor bliver dine personoplysninger muligvis overført til lande uden for EU og det Europæiske Økonomiske Samarbejde, da nogle af Lowell-koncernens selskaber er beliggende i Storbritannien. Dataoverførsel til Storbritannien er baseret på EU-Kommissionens afgørelse om tilstrækkelighed.
Alle personer, som får adgang til dataene, har pligt til at behandle dem fortroligt.
7. DATALAGRINGSPERIODER
De data som modtages via rapporteringskanalen opbevares i forhold til de opbevaringsperioder som er anført nedenfor. Opbevaringsperioden er som angivet nedenfor, medmindre disse data er nødvendige for at fastslå, udøve eller forsvare retskrav. Personoplysninger, som ikke er relevante for behandlingen af rapporten, slettes uden unødig forsinkelse.
Opbevaringsperioden er som følger i de respektive lande:
- Finland: fem (5) år
- Sverige og Danmark: to (2) år
- Opbevaringsperioden for Norge vil være i overensstemmelse med national lovgivning, når den er blevet godkendt og vedtaget.
8. DEN REGISTREREDES RETTIGHEDER
Som registreret i en whistleblowing procedure har du ret til at:
- få adgang til oplysninger. Den registreredes ret til indsigt kan dog begrænses i forhold til personoplysninger i whistleblowing proceduren, hvis det er nødvendigt eller for at beskytte whistleblowerens identitet.
- Retten til at få rettet oplysninger.
- Retten til sletning af oplysninger.
- Retten til begrænsning af behandlingen. Retten til at få behandlingen begrænset i en whistleblowing proces kan dog være underlagt national lovgivning.
- Retten til at gøre indsigelse. Hvis retten til indsigelse udøves, kontrollerer vi omgående, i hvilket omfang de gemte data stadig er nødvendige for at behandle rapporten.
Hvis du ønsker at sikre din ret til at få adgang til dine personoplysninger, kan du anmode om dine personoplysninger her:
- Finland: tietosuojavastaava@lowell.com
- Danmark: DPO.Denmark@lowell.com
- Sverige: DPO.sverige@lowell.com
- Norge: DPO.norge@lowell.com
RETTEN TIL AT INDGIVE EN KLAGE
Du har ret til at indgive en klage, hvis du mener, at behandlingen af dine personoplysninger ikke er lovlig. Der henvises til de relevante databeskyttelsesmyndigheder i de nordiske lande.
I Danmark, er denne myndighed Datatilsynet:
Datatilsynet, tlf.: +45 33 19 32 00, postadresse: Carl Jacobsens Vej 35, 2500 Valby. E-mail: dt@datatilsynet.dk
I Finland, er denne myndighed Data Protection Ombudsman
Data Protection Ombudsman, tlf.: +358 29 56 66700, Adresse: Lintulahdenkuja 4, 00530 Helsinki, postadresse: P.O. Box 800, 00521 Helsinki, Finland. E-mail: tietosuoja@om.fi
I Norge, er denne myndighed Datatilsynet:
Datatilsynet, tlf.: +47 22396900, postadresse: Postboks 458 Sentrum 0105 Oslo. E-mail: postkasse@datatilsynet.no
I Sverige, er denne myndighed IMY:
IMY, tlf.: +46 (0)8 657 61 00. Postadresse: Integritetsskyddsmyndigheten, Box 8114, 104 20 Stockholm, Sverige. E-mail: imy@imy.se
9. DIVERSE
Brug af whistleblowing portalen
Kommunikationen mellem din computer og whistleblowing systemet foregår via en krypteret forbindelse (SSL). Din IP-adresse gemmes ikke, mens du bruger whistleblowing-systemet. For at opretholde forbindelsen mellem din computer og BKMS® System gemmes en cookie på din computer, som kun indeholder en session-ID (en såkaldt sessionscookie). Denne cookie gælder kun indtil sessionens afslutning og udløber, når du lukker din browser.
Du kan oprette en postkasse i whistleblowing systemet, som er sikret med et individuelt valgt pseudonym/ brugernavn og en adgangskode. Det gør det muligt at sende rapporter til de ansvarlige medarbejdere hos Lowell Nordic enten med navns nævnelse eller på en anonym og sikker måde. Systemet gemmer kun data i whistleblowing systemet, hvilket gør det særdeles sikkert. Det kan ikke sammenlignes med almindelig e-mailkommunikation.
Bemærkning vedrørende forsendelse af bilag
Ved indgivelse af en rapport eller en tilføjelse kan du samtidig sende bilag til den ansvarlige medarbejder hos Lowell.
Hvis du vil indgive en anonym rapport, skal du bemærke følgende om din sikkerhed: Filer kan indeholde skjulte personoplysninger, der kan kompromittere din anonymitet. Fjern disse oplysninger før afsendelse. Hvis du ikke kan fjerne oplysningerne eller ikke ved, hvordan du skal gøre det, kan du kopiere teksten fra din vedhæftede fil til din rapporttekst eller sende det udskrevne dokument anonymt til adressen i fodnoten med angivelse af referencenummereret, du har modtaget i slutningen af rapporteringsprocessen.
Dato: Marts 2023