Merknader om personvern
BESKYTTELSE AV PERSONDATA HOS LOWELL
Grundig behandling og beskyttelse av dine data er viktig for oss. Vi vil også sørge for at du kjenner rettighetene dine relatert til behandlingen av personopplysninger.
Vi tar personvern og fortrolighet svært alvorlig, og vi forholder oss til bestemmelsene i EU sin generelle personvernforordning (EU-GDPR) samt gjeldende nasjonal lovgiving om personvern. Vennligst les denne informasjonen om personvern nøye før du sender en melding.
I denne personvernpolicyen beskriver vi hvordan vi behandler personopplysninger i forbindelse med varslerplattformen (BKMS® System) og prosedyre. Meldesystemet driftes av et spesialisert firma, EQS Group GmbH, Bayreuther Str. 35, D-10789 Berlin i Tyskland, på vegne av Lowell Nordic.
1. DATA BEHANDLINGSANSVARLIG OG KONTAKTINFORMASJON
Databehandlingsansvarlig i varslingsprosedyren er Lowell Nordics Oy, (2788135-4), PB 20, 20101 Turku, Finland Helsinki, Finland) på egenskap av egne og følgende datterselskaper:
- Lowell Suomi Oy (0140351-4), Helsinki, Finland
- Lowell Sverige AB (556209-5363), 412 93 Göteborg, Sverige
- Lowell Finans AS, (913 953 517), PB. 6354 Etterstad, 0604 Oslo, Norge
- Lowell Norge AS, (979 683 529), PB. 6354 Etterstad, 0604 Oslo, Norge
- Lowell Danmark A/S, (18457970), Langmarksvej 57 D, 8700 Horsens, Danmark
2. PERSONVERNOMBUD
Hver enhet i Lowell har utnevnt et personvernombud som kan kontaktes på post til Lowell Suomi Oy, Data Protection Officer, P.O. Box 20, FI-20101 Turku, Finland, eller på epost på tietosuojavastaava@lowell.com.
Spørsmål om personvern kan også sendes til:
- Danmark: DPO.Denmark@lowell.com
- Sverige: DPO.sverige@lowell.com
- Norge: DPO.norge@lowell.com
3. FORMÅL OG RETTSLIG GRUNNLAG FOR BEHANDLING
Vi behandler personopplysningene som er mottatt gjennom varslingssystemet (BKMS® System) eller andre kanaler for å oppdage, undersøke og forhindre dårlig oppførsel i strid med lovene og reglene til Lowell, i samsvar med gjeldende lovgivning.
Behandlingen av personopplysninger er basert på de juridiske forpliktelsene og legitime interessene til vårt selskap for å oppdage, forhindre og undersøke feil og dermed unngå skade på Lowell, dets ansatte, klienter og kunder. Artikkel 6 (1) (c) og (f) i EU-GDPR tjener som rettslig grunnlag for denne databehandlingen.
4. KATEGORIER AV DATASUBJEKTER OG DATA
I forbindelse med varslingssaker kan vi behandle personopplysninger om varsleren, personen som er gjenstand for varslingsrapporten og personen som viser seg å være knyttet til mistenkt dårlig oppførsel på grunnlag av rapporten.
Håndtering av varslingsrapporter kan innebære behandling av forhold av spesiell kategori og/eller straffbare forhold som er nødvendig for etablering, trening, forsvar eller forlik av juridiske krav.
Innlevering av en varslingsrapport finner sted på frivillig basis. Hvis du sender en melding via vårt varslingssystem, innhenter vi følgende persondata og informasjon, hvis du velger å røpe dem:
- ditt navn
- hva er ditt forhold til Lowell Nordic
Vedrørende personen som er subjekt for varslingsrapporten, kan vi behandle følgende personopplysninger, hvis du velger å røpe dem:
- navn
- kontaktinformasjon
- informasjon om ansattes personalia
- informasjon om rapportert dårlig oppførsel
- informasjon om handlinger og observasjoner basert på undersøkelse av saken
Når det gjelder en person som viser seg å være knyttet til den mistenkte oppførslen, kan vi behandle følgende personopplysninger, hvis du velger å røpe dem:
- navn
- kontaktinformasjon
- informasjon om arbeidsgiver og profesjon
- informasjon om forholdet til Lowell Nordic
Som et grunnprinsipp er vi juridisk forpliktet til å informere de beskyldte personene om at vi har mottatt en melding som vedrører dem, med mindre dette setter ytterligere etterforskning av meldingen i fare. Når vi gjør dette, så vil identiteten til varsleren ikke avsløres så fremt dette er juridisk mulig.
5. DATAKILDER
Personopplysninger blir samlet inn fra varsleren og fra de ansatte hos kontrolleren og selskaper som tilhører samme gruppe som kontrolleren. I tillegg kan personopplysninger akkumuleres i behandlingsansvarliges egne aktiviteter ved behandling av meldingen.
6. TILGANG TIL OG UTGIVELSE AV PERSONOPPLYSNINGER
Personopplysninger og informasjon som legges inn på meldesystemet lagres i en database som driftes av EQS Group i et høysikkerhets datasenter. Kun Lowell Nordic har tilgang til dataene. EQS Group og andre tredjeparter har ikke tilgang til dataene. Dette sikres i den sertifiserte prosedyren ved hjelp av avanserte tekniske og organisatoriske tiltak.
Alle opplysningene lagres kryptert med flere passordbeskyttelsesnivåer, slik at tilgangen er begrenset til et svært lite utvalg av uttrykkelig autoriserte personer hos Lowell Nordic.
Meldinger som sendes inn, mottas av et lite utvalg av uttrykkelig autoriserte og spesielt opplærte ansatte innen Lowell Nordic sin compliance organisasjon, og de behandles alltid fortrolig. De ansatte vil evaluere saken og utføre ytterligere undersøkelser som kreves av den spesifikke saken.
Under behandlingen av en rapport eller gjennomføringen av en spesialetterforskning, kan det bli nødvendig å dele rapporter med myndigheter (for eksempel politi) og ytterligere ansatte i Lowell Nordic eller ansatte i andre selskaper i konsernet, for eksempel hvis rapportene refererer til bekymringer i datterselskaper. På grunn av dette kan dine personopplysninger overføres til utenfor EU og europeisk økonomisk område, ettersom noen av Lowell-gruppens selskaper er lokalisert i UK. Dataoverføring til UK er basert på EU-kommisjonens beslutning om tilstrekkelighet.
Alle personer som har tilgang til opplysningene, er forpliktet til å opprettholde taushetsplikt.
7. DATALAGRINGSPERIODER
Dataene som er mottatt gjennom rapporteringskanalen, beholdes i henhold til de tidsperioder som er angitt nedenfor etter mottak av rapporten. Oppbevaringsperioden er som angitt nedenfor, med mindre de mottatte dataene er nødvendige for etablering, utøvelse eller forsvar av juridiske krav. Personopplysninger som tydelig ikke er relevante for behandlingen av rapporten, blir slettet uten unødig forsinkelse.
Oppbevaringstiden er som følger for de enkelte landene:
- Finland: fem (5) år
- Sverige og Danmark: to (2) år
- Oppbevaringsperioden for Norge vil være i henhold til nasjonal lovgivning når den er godkjent og vedtatt.
8. DATASUBJEKTETS RETTIGHETER
Som datasubjekt relatert til varslingsprosedyre har du rettigheter til:
- Rett til tilgang til dataene. Datasubjektets rett til innsyn kan imidlertid begrenses med hensyn til personopplysningsrapportert varslerprosedyre, dersom det er nødvendig og forholdsmessig for å sikre nøyaktigheten av rapporten, eller for å beskytte varslerens identitet.
- Rett til å rette dataene.
- Rett til sletting av dataene.
- Rett til begrensning av behandling. Imidlertid kan retten til den som er varslet om i forbindelse med varsling, til å begrense behandlingen, være begrenset av nasjonal lovgivning.
- Rett til objektprosessering. Dersom det kreves innsigelsesrett, vil vi umiddelbart undersøke i hvilken grad de lagrede opplysningene fortsatt er nødvendige for behandlingen av en rapport.
Hvis du vil utøve din rett til å få tilgang til dine personopplysninger, kan du be om dataene dine herfra:
- Finland: tietosuojavastaava@lowell.com
- Danmark: DPO.Denmark@lowell.com
- Sverige: DPO.sverige@lowell.com
- Norge: DPO.norge@lowell.com
RETT TIL Å KLAGE
Du har rett til å sende inn en klage hvis du mener at behandlingen av dine personopplysninger ikke er lovlig. Henvis til de relevante personvernmyndighetene for de nordiske landene.
I Danmark er denne myndigheten Datatilsynet:
Kontoret til datatilsynet, sentralbord: +45 33 19 32 00, gateadresse: Carl Jacobsens Vej 35, 2500 Valby. E-post: dt@datatilsynet.dk
I Finland er denne myndigheten personvernombudet
Kontoret til personvernombudet, sentralbord: +358 29 56 66700, gateadresse: Lintulahdenkuja 4, 00530 Helsinki, postadresse: P.O. Box 800, 00521 Helsinki, Finland. E-post: tietosuoja@om.fi
I Norge er denne myndigheten Datatilsynet:
Kontoret til datatilsynet, sentralbord: +47 22396900, postadresse: Postboks 458 Sentrum 0105 Oslo. E-post: postkasse@datatilsynet.no
I Sverige er denne myndigheten IMY:
Kontoret til IMY, sentralbord: +46 (0)8 657 61 00. Postadresse: Integritetsskyddsmyndigheten, Box 8114, 104 20 Stockholm, Sverige. E-post: imy@imy.se
9. FORSKJELLIG
Bruken av meldeportalen
Kommunikasjonen mellom din datamaskin og meldesystemet finner sted via en kryptert forbindelse (SSL). Din IP-adresse vil ikke bli lagret under din bruk av meldesystemet. For å opprettholde forbindelsen mellom din datamaskin og BKMS® System, lagres det en informasjonskapsel på datamaskinen din. Denne informasjonskapselen inneholder kun øktens ID (en såkalt sesjonsavhengig informasjonskapsel). Denne informasjonskapselen er kun gyldig inntil økten din er ferdig, og den utløper så snart du lukker nettleseren din.
Det er mulig å opprette en postkasse i rapporteringssystemet som er sikret med et individuelt valgt pseudonym/ brukernavn og passord. Dette lar deg sende rapporter til de ansvarlige ansatte i Lowell Nordic enten ved navn eller på en anonym, sikker måte. Dette systemet lagrer bare data innenfor rapporteringssystemet, noe som gjør det sikkert. Det er ikke noen form for vanlig e-post kommunikasjon.
Merknad om sending av vedlegg
Ved innsending av rapport eller et tillegg, kan du samtidig sende vedlegg til de ansvarlige ansatte i Lowell Nordic.
Hvis du ønsker å sende inn en anonym melding, må du merke deg følgende prosedyre for personvern: Filene kan muligens inneholde skjulte personopplysninger som kan sette anonymiteten din i fare. Fjern disse opplysningene før du sender filene. Hvis du ikke klarer å fjerne disse dataene eller er usikker på hvordan du gjør det, kan du kopiere teksten til vedlegget ditt i meldingsteksten eller sende det utskrevne dokumentet anonymt til adressen som er oppført i bunnteksten, angi referansenummeret mottatt på slutten av meldingsprosessen.
Dato: Mars 2023