Datenschutzhinweis
Der Schutz Ihrer persönlichen Daten ist uns ein besonderes Anliegen. In dieser Datenschutzinformation informieren wir Sie über die wichtigsten Aspekte der Verarbeitung Ihrer personenbezogenen Daten im Rahmen einer Hinweisgebermeldung (Whistleblowing).
Bitte lesen Sie sich diese datenschutzrechtlichen Hinweise aufmerksam durch.
Hinweisgebersystem
Die Abgabe einer Hinweisgebermeldung erfolgt über das Hinweisgeberportal auf der Homepage der HYPO Oberösterreich. Hinweise können aber über diverse Kanäle (E-Mail, Telefon, etc.) abgegeben werden. Sämtliche Hinweise werden in einem zentralen Hinweisgebersystem erfasst, verarbeitet und koordiniert, eine Aufzeichnung von Telefongesprächen findet nicht statt. Das Hinweisgebersystem (BKMS® System) wird durch ein darauf spezialisiertes Unternehmen, der EQS Group GmbH, Karlsstraße 47, 80333 München in Deutschland, im Namen und im Auftrag der HYPO Oberösterreich und der OÖ Hypo Leasinggesellschaft m.b.H. betrieben.
Über das Hinweisgebersystem besteht zusätzlich die Möglichkeit Compliance-Anfragen zu stellen. Die unten angeführten Informationen beziehen sich auch auf diese Möglichkeit.
Zweck des Hinweisgebersystems und Rechtsgrundlage
Ein Hinweisgebersystem dient dazu, Hinweise auf Verstöße gegen rechtliche Bestimmungen und Compliance-Regelungen auf einem sicheren und vertraulichen Weg entgegenzunehmen, zu bearbeiten und zu verwalten. Die Verarbeitung von personenbezogenen Daten im Rahmen eines Hinweisgebersystems ist gestützt auf die rechtliche Verpflichtung der Oberösterreichischen Landesbank Aktiengesellschaft und der OÖ Hypo Leasinggesellschaft m.b.H. ein Hinweisgebersystem einzurichten. Ein Hinweisgebersystem dient der Aufdeckung und Prävention von Missständen und der Abwendung von Schaden für zB. Eigentümer, Mitarbeiter und Kunden.
Die Rechtsgrundlage dieser Verarbeitung von personenbezogenen Daten ist Artikel 6 Abs. 1c EU-DSGVO und im Rahmen von Compliance-Anfragen auch Artikel 6 Abs. 1a bzw. f EU-DSGVO.
Verantwortliche Stellen
Die für den Datenschutz verantwortlichen Stellen des Hinweisgebersystems sind die
Oberösterreichische Landesbank Aktiengesellschaft (HYPO Oberösterreich), FN 157656y
Landstraße 38, 4010 Linz
und
OÖ Hypo Leasinggesellschaft m.b.H., FN 580853x
Landstraße 38, 4010 Linz
als verantwortliche Stellen (im Folgenden auch: „Verantwortliche“).
Zugriff auf Daten und Informationen
Personenbezogene Daten und Informationen, die in das Hinweisgebersystem eingegeben werden, werden in einer von der EQS Group GmbH betriebenen Datenbank in einem Hochsicherheitsrechenzentrum gespeichert. Die EQS Group GmbH und andere Dritte haben keinen Zugang zu den Daten. Dies wird in dem zertifizierten Verfahren durch umfassende technische und organisatorische Maßnahmen gewährleistet.
Alle Daten sind verschlüsselt und mehrstufig passwortgeschützt gespeichert und unterliegen einem Berechtigungskonzept, so dass der Zugang auf einen sehr engen Empfängerkreis ausdrücklich autorisierter Personen bei der HYPO Oberösterreich beschränkt ist.
Datenschutzbeauftragter
Die Verantwortlichen haben gemeinsam einen Beauftragten für den Datenschutz bestellt.
Anfragen zum Datenschutz können an die
HYPO Oberösterreich
Datenschutzbeauftragter / Vertraulich
Landstraße 38
4010 Linz
oder an
datenschutz@hypo-ooe.at
gesendet werden.
Art der erhobenen personenbezogenen Daten – Erhebung der Daten bei der betroffenen Person Art. 13 EU-DSGVO
Die Nutzung des Hinweisgebersystems erfolgt auf freiwilliger Basis. Wenn eine Meldung abgegeben wird, werden folgende personenbezogenen Daten und Informationen des Hinweisgebers erhoben:
- Namen, sofern die Hinweisgeber ihre Identität offenlegen,
- gegebenenfalls E-Mail-Adresse oder Postadresse,
- in welcher Beziehung die Hinweisgeber zu den Verantwortlichen stehen (Mitarbeiter, ehemaliger Mitarbeiter, Kunde, Lieferant, Dienstleister, Sonstiges),
- sonstige personenbezogene Daten zu der Person des Hinweisgebers, die in der Meldung genannt oder durch angehängte Dokumente offengelegt werden.
- Sensible Daten gemäß Art 9 EU-DSGVO und Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art 10 EU-DSGVO werden nur verarbeitet, wenn dies unbedingt erforderlich und notwendig ist.
Art der erhobenen personenbezogenen Daten – Erhebung der Daten nicht bei der betroffenen Person Art. 14 EU-DSGVO
Wenn ein Hinweisgeber eine Meldung erstattet, dann können neben den Daten des Hinweisgebers auch personenbezogene Daten und Informationen von, in den gemeldeten Vorfall, involvierten Personen erhoben werden:
- Namen,
- sonstige personenbezogene Daten zu der Person, die in der Meldung genannt oder durch angehängte Dokumente offengelegt werden,
- sonstige personenbezogene Daten von durch Folgemaßnahmen betroffene Personen.
- Sensible Daten gemäß Art 9 EU-DSGVO und Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art 10 EU-DSGVO werden nur verarbeitet, wenn dies unbedingt erforderlich und notwendig ist.
Vertrauliche Behandlung von Hinweisen
Die autorisierten Mitarbeiter der HYPO Oberösterreich prüfen den Sachverhalt und führen gegebenenfalls eine weitergehende fallbezogene Sachverhaltsaufklärung durch.
Im Rahmen der Bearbeitung einer Meldung oder im Rahmen einer Sonderuntersuchung kann es notwendig sein, Hinweise weiteren Mitarbeitern der HYPO Oberösterreich oder der OÖ Hypo Leasinggesellschaft m.b.H. weiterzugeben.
Jede Person, die Zugang zu den Daten erhält, ist zur Vertraulichkeit verpflichtet.
Offenlegung der Identität
Ohne ausdrückliche Zustimmung des Hinweisgebers wird die Identität des Hinweisgebers keiner anderen Person als gegenüber den autorisierten Mitarbeitern der HYPO Oberösterreich offengelegt. Abweichend davon erfolgt eine Offenlegung dann, wenn dies nach dem Unionsrecht oder dem nationalen Recht eine notwendige und verhältnismäßige Pflicht ist. Dies dient zB. der Untersuchung des Vorfalls durch Behörden und Gerichte. Der Hinweisgeber wird vorab über die geplante Offenlegung informiert, es sei denn dies würde zB. die laufende Untersuchung gefährden.
Dies betrifft auch für vom Hinweis betroffene Personen.
Betroffenenrechte
Hinweisgeber und die im Hinweis genannten Personen haben grundsätzlich das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung sowie ein Widerspruchsrecht gegen die Verarbeitung Ihrer personenbezogenen Daten. Es ist dabei aber abzuwägen, ob das Interesse an der Aufklärung des Hinweises, nicht diesen aufgezählten Rechten entgegensteht und ob auch nicht die Rechte und Freiheiten anderer Personen durch zB. das Recht auf Auskunft beeinträchtigt werden würden. Allfällige gesetzliche Einschränkungen sind zu beachten.
Wird das Widerspruchsrecht in Anspruch genommen, wird umgehend geprüft, inwieweit die gespeicherten Daten für die Bearbeitung eines Hinweises noch erforderlich sind.
Nicht mehr benötigte Daten werden unverzüglich gelöscht.
Die Rechte können gegenüber jedem Verantwortlichen geltend gemacht werden.
Den betroffenen Personen steht ein Beschwerderecht bei der Datenschutzbehörde (www.dsb.gv.at) zu.
Aufbewahrungsdauer von personenbezogenen Daten
Personenbezogene Daten werden so lange aufbewahrt, wie es die Aufklärung und abschließende Beurteilung des Hinweises erfordern und dies verhältnismäßig ist oder dies aufgrund eines Gesetzes erforderlich ist. Nach Abschluss der Hinweisbearbeitung werden diese Daten entsprechend den gesetzlichen Vorgaben gelöscht.
Nutzung des Hinweisgeberportals (Geschützter Postkasten und Cookies)
Die bevorzugte Abgabe eines Hinweises erfolgt über das Hinweisgeberportal auf der Homepage.
Die Kommunikation zwischen dem Rechner des Hinweisgebers und dem Hinweisgebersystem erfolgt über eine verschlüsselte Verbindung (SSL). Die IP-Adresse des Rechners wird während der Nutzung des Hinweisgeberportals nicht gespeichert. Zur Aufrechterhaltung der Verbindung zwischen dem Rechner und dem BKMS® System wird ein Cookie auf dem Rechner gespeichert das lediglich die Session-ID beinhaltet (sog. Null-Cookie). Das Cookie ist nur bis zum Ende der Session gültig und wird beim Schließen des Browsers ungültig.
Der Hinweisgeber hat die Möglichkeit, mit einem selbst gewählten Pseudonym/ Benutzername und Passwort einen geschützten Postkasten im Hinweisgebersystem einzurichten. Auf diese Weise können dem autorisierten Mitarbeiter der HYPO Oberösterreich namentlich oder anonym und sicher Meldungen gesendet werden. Bei diesem System sind die Daten ausschließlich in dem Hinweisgebersystem gespeichert und dadurch besonders gesichert; es handelt sich nicht um eine gewöhnliche E-Mail-Kommunikation.
Hinweise zum Versand von Anhängen
Bei der Meldungsabgabe oder beim Versand einer Ergänzung hat der Hinweisgeber die Möglichkeit, dem autorisierten Mitarbeiter der HYPO Oberösterreich Anhänge zu senden.
Wenn der Hinweisgeber anonym eine Meldung abgeben möchten, ist folgender Sicherheitshinweis zu beachten: Dateien können versteckte personenbezogene Daten enthalten, die die Anonymität gefährden. Diese Daten sind vor dem Versenden zu entfernen.
Sollte dies nicht möglich sein, oder diesbezüglich Unsicherheit bestehen, ist der Text des Anhangs in den Meldungstext zu kopieren oder das gedruckte Dokument anonym unter Angabe der Referenznummer, die am Ende des Meldungsprozesses angezeigt wird, an die nachfolgende Adresse zu übermitteln:
HYPO Oberösterreich
Whistleblowing-Stelle / Vertraulich
Landstraße 38
4010 Linz
Stand: August 2023
