Informacje o ochronie danych
Traktujemy ochronę danych i bezpieczeństwo powierzonych nam danych osobowych bardzo poważnie i przestrzegamy warunków ogólnego rozporządzenia o ochronie danych (RODO), a także krajowych regulacji w zakresie ochrony danych. Przed wysłaniem zgłoszenia należy dokładnie zapoznać się z niniejszymi informacjami o ochronie danych.
Cel i podstawa prawna systemu zgłoszeniowego
System zgłoszeniowy (BKMS® System) służy do bezpiecznego i poufnego odbierania i przetwarzania zgłoszeń dotyczących naruszeń zasad compliance w Deutsche Lufthansa AG i spółkach grupy LH, w których Deutsche Lufthansa AG posiada większościowe udziały (zgodnie z § 18 niemieckiej ustawy o spółkach akcyjnych [AktG]) oraz do zarządzania tymi zgłoszeniami. Przetwarzanie danych osobowych w ramach BKMS® System odbywa się w oparciu o uzasadniony interes firmy, przejawiający się w dążeniu do wykrywania nadużyć i zapobieganiu im, a tym samym do ochrony grupy LH, jej pracowników, klientów oraz akcjonariuszy przed szkodami. Podstawą prawną przetwarzania danych osobowych jest art. 6, ust. 1, lit. f) RODO (ogólnego rozporządzenia o ochronie danych).
Podmioty odpowiedzialne
Stronami odpowiedzialnymi za ochronę danych w systemie zgłoszeniowym są
- Deutsche Lufthansa AG, biuro grupy ds. compliance (FRA CJ/C) oraz
- spółki zależne z większościowym udziałem (patrz §18 AktG)
jako podmioty o wzajemnie odrębnej odpowiedzialności (dalej również jako „podmioty odpowiedzialne”). Operatorem systemu zgłoszeniowego jest wyspecjalizowana firma EQS Group GmbH, Bayreuther Str. 35, 10789 Berlin (Niemcy) działająca w imieniu Deutsche Lufthansa AG oraz całej grupy LH. Grupa Lufthansa obejmuje linie lotnicze Lufthansa oraz inne firmy, w których grupa Lufthansa posiada większościowe udziały (§18 AktG).
Dane osobowe i informacje wprowadzane do systemu zgłoszeniowego są przechowywane w bazie danych prowadzonej przez EQS Group GmbH w centrum danych o zaostrzonych standardach bezpieczeństwa. Dostęp do danych mają wyłącznie firmy skladające się na grupę LH. EQS Group GmbH ani inne osoby trzecie nie mają do nich dostępu. Zapewniają to certyfikowana procedura oraz liczne środki techniczne i organizacyjne.
Przechowywane dane są szyfrowane i zabezpieczone wielopoziomową strukturą haseł w ramach systemu uprawnień, dzięki czemu dostęp do nich ma tylko niewielka grupa jednoznacznie upoważnionych osób zfirm składających się na grupę LH.
Deutsche Lufthansa AG oraz wszystkie powiązane firmy grupy LH wyznaczyły inspektorów ochrony danych. Pytania dotyczące ochrony danych w Deutsche Lufthansa AG i jej niemieckich spółkach zależnych (§18 AktG) można wysyłać na adres:
Deutsche Lufthansa AG
Group Data Protection
CJ/D
Airportring – Geb. LAC
60546 Frankfurt, Germany
Datenschutz@dlh.de
Ponadto w grupie LH wyznaczono następujących inspektorów ochrony danych:
Air Dolomiti S.p.A. Linee Aeree Regionali Europee
privacy@airdolomiti.it
Brussels Airlines SA/NV
privacy@brusselsairlines.com
Swiss Group
dataprotection@swiss.com
Lufthansa AirPlus Servicekarten GmbH
datenschutz@airplus.com
Lufthansa Cityline GmbH
datenschutz-info.cityline@dlh.de
Rodzaje zbieranych danych osobowych
Korzystanie z systemu zgłoszeniowego jest dobrowolne. Podczas wysyłania zgłoszenia za pośrednictwem systemu zgłoszeniowego zbierane są następujące dane osobowe i informacje:
- Imię i nazwisko sygnalisty w przypadku rezygnacji z anonimowości
- Informacje o zatrudnieniu w grupie LH
- Imiona i nazwiska oraz inne dane osób wymienionych w zgłoszeniu, jeśli takie osoby wystąpiły
Poufne przetwarzanie zgłoszeń
Nadesłane zgłoszenia trafiają do wąskiej grupy wyraźnie uprawnionych i specjalnie przeszkolonych pracowników będących członkami organizacji ds. compliance Deutsche Lufthansa AG albo spółek grupy LH i są zawsze traktowane jako poufne. Pracownicy z jednostki organizacyjnej ds. compliance analizują sytuację i przeprowadzają dalsze postępowanie dotyczące konkretnego przypadku.
W ramach przetwarzania zgłoszenia lub prowadzenia specjalnego dochodzenia może okazać się konieczne udostępnienie zgłoszenia pracownikom Deutsche Lufthansa AG albo firmy grupy LH, np. jeżeli zgłoszenie odnosi się do incydentów w oddziałach. Takie podmioty mogą mieć siedziby poza terenem Unii Europejskiej lub Europejskiego Obszaru Gospodarczego, gdzie mogą obowiązywać inne przepisy o ochronie danych osobowych. Zgłoszenie udostępnia się dopiero, gdy zagwarantowane jest przestrzeganie przepisów o ochronie danych.
Każda osoba uzyskująca dostęp do danych jest zobowiązana do zachowania poufności.
Informacje na temat osoby obwinionej
Firma jest prawnie zobowiązana poinformować osoby obwinione o wszelkich zgłoszeniach skierowanych przeciwko nim w chwili, gdy ujawnienie tych informacji nie wpłynie negatywnie na prowadzone postępowanie. Tożsamość sygnalisty nie zostanie ujawniona, chyba że wymagają tego przepisy prawa.
Prawa osób, których dane dotyczą
Zgodnie z europejskimi przepisami o ochronie danych sygnalista oraz wszystkie osoby wskazane w zgłoszeniu mają prawo dostępu do danych, ich poprawiania, usuwania, ograniczania przetwarzania oraz do wniesienia sprzeciwu wobec przetwarzania danych osobowych. Skorzystanie z prawa do sprzeciwu wobec przetwarzania danych osobowych spowoduje niezwłoczną ocenę konieczności przechowywania tych danych w celu analizy przesłanego zgłoszenia. Niewymagane dane zostaną natychmiast usunięte. Osoba, której dane dotyczą, ma również prawo złożyć skargę do organu nadzorczego.
Okres przechowywania danych osobowych
Dane osobowe są przechowywane tak długo, jak jest to niezbędne do wyjaśnienia sytuacji i przeprowadzenia końcowej oceny przypadku albo przez okres, w którym istnieje uzasadniony interes firmy, czy też wymaga tego prawo. Po zakończeniu przetwarzania zgłoszenia dane są usuwane zgodnie z wymogami ustawowymi.
Korzystanie z systemu zgłoszeniowego
Komunikacja między komputerem sygnalisty a systemem zgłoszeniowym jest szyfrowana (SSL). W trakcie korzystania z systemu zgłoszeniowego adres IP Twojego komputera nie jest zapisywany. W celu utrzymania połączenia między komputerem a systemem zgłoszeniowym BKMS® System, na dysku twardym komputera zapisywany jest plik cookie, który zawiera jedynie identyfikator sesji (tzw. cookie sesyjne). Ten plik cookie zachowuje ważność tylko do zakończenia sesji i wygasa po zamknięciu przeglądarki.
W systemie zgłoszeniowym można stworzyć bezpieczną skrzynkę pocztową, zabezpieczoną wybranym pseudonimem / nazwą użytkownika i hasłem. Umożliwia to bezpieczne wysłanie spersonalizowanego albo anonimowego zgłoszenia do odpowiedniego pracownika organizacji ds. compliance. System przechowuje dane wyłącznie wewnątrz systemu zgłoszeniowego, co gwarantuje wysoki poziom bezpieczeństwa. Nie jest to forma typowej komunikacji mailowej.
Informacja o wysyłaniu załączników
Wysyłając zgłoszenie lub uzupełnienie zgłoszenia odpowiedniemu pracownikowi organizacji ds. compliance, można również wysłać załączniki. Jeśli zgłoszenie ma zostać wysłane anonimowo, należy wziąć pod uwagę następujące wskazówki dotyczące bezpieczeństwa: Pliki mogą zawierać ukryte dane osobowe, co zagraża anonimowości. Przed wysłaniem pliku należy usunąć wszelkie informacje tego rodzaju. Jeżeli usunięcie tych danych jest niemożliwe albo problematyczne, należy skopiować tekst z załącznika do tekstu zgłoszenia albo anonimowo wysłać wydrukowany dokument na adres podany w stopce, oznaczając go numerem referencyjnym nadanym na końcu procedury zgłoszeniowej.
Wersja: 21 marca 2021
