隐私保护
隱私權政策
1 資料處理的目的
1.1 依據《德國舉報者保護法》(Hin-SchG) 和《德國供應鏈盡職審查法》(LkSG) 所規定的義務,我們設立了一個內部投訴和舉報的數位舉報處 (以下稱「舉報入口網站」)。這是我們合規管理系統的一部分。
1.2 員工、客戶、業務夥伴或其他舉報者可以使用此系統,以安全保密的方式舉報涉嫌違反法律和內部規 則的行為、人權和環境風險,以及違反人權和環境義務的行為。此舉的目的在於促進發現和預防配偶違反規定、風險和違規行為,並避免重大風險和損害。
2 責任
2.1 負責處理您個人資料的控制者為 SCHOTT AG, Compliance & Security, Hattenbergstrasse 10, 55122 Mainz, compliance.office@schott.com (以下稱「SCHOTT」)
2.2 在處理報告和採取後續措施時,可能有必要向法律顧問或主管機關提供有關報告事件的資訊。
2.3 如果您有任何關於資料保護的問題,請與我們的資料保護人員聯繫:info.datenschutz@schott.com。
3 技術基礎架構
3.1 舉報入口網站使用技術服務供應商 iComply GmbH (Grosse Langgasse 1A, 55116 Mainz, Germany) 的舉報系統軟體 AdvoWhistle 來操作。
3.2 輸入到舉報入口網站的個人資料和資訊會儲存在技術服務供應商在 ISO/IEC 27001 認證資料中心運作的資料庫中。只有經過明確授權的處理人員才能存取資料。所有資料的端對端加密、多層密碼保護、技術和組織措施以及定期認證,可確保技術服務供應商、資料中心營運者和其他第三方無法存取資料。
4 法律依據
4.1 處理屬於 Whistleblower Protection Act(告密者保護法)範圍內的資訊的法律依據是依據 Art. 6 para. 1 c) GDPR 與《告發者保護法》(HinSchG) 第 10 條相結合的法律義務。
4.2 處理與違反內部規定相關資訊的法律依據,是根據 Art. 6 pa-ra. 1 f) GDPR。
4.3 如果報告涉及違反洗錢法規,個人資料的處理是基於 Art. 6 para. 1 c) GDPR 與德國反洗錢法 (GwG) 第 11a 條。
4.4 如果舉報涉及違反銀行監管法規,例如德國銀行法 (KWG) 和基於該法規的條例,以及其他由德國聯邦金融監督管理局 (BaFin) 作為金融市場監管 (例如 CRR 法規、市場濫用法規、SSM 法規、PRIIPS 法規、招股章程法規) 一部分所監督的規定的遵守情況,德國證券交易法 (WpHG) 和基於該法規的條例,則在此舉報系統框架內對個人資料的處理是基於 Art. 6 para. 1 c) GDPR 與金融監督法規。
4.5 如果舉報涉及人權或環境風險,或違反人權或環境義務,則個人資料的處理是基於 Art. 6 para. 1 c GDPR 與 LkSG 第 8 條。
5 報告入口網站的使用
5.1 使用報告入口網站屬自願性質。提交舉報時,肖特會收集以下個人資料和資訊:
(a) 舉報者:姓名 (若您公開身份)、聯絡方式 (若您提供)
(b) 受事件影響的人: 姓名、事件相關資訊以及涉嫌違反法律和規則的資訊
(c) 證人和/或通知中提及的第三方(如客戶、供應商、同事或業務夥伴):姓氏和名字、聯絡資訊
5.2 提交資訊和寄送補充資料時,可傳送檔案附件。如果要保持匿名性,則必須在發送前刪除隱藏的個人資料。若無法刪除,則可將這些檔案的文字複製到數位通知表格中,或將這些檔案的列印本寄到負責人的郵政地址。
6 保密
一小群經過明確授權的人員負責接收和處理所有收到的報告,他們始終對這些報告保密。這些人員會檢查案件的事實,並在必要時進一步澄清與案件相關的事實。每個接觸資料的人都有義務完全保密。
7 資料當事人的權利
7.1 個人資料被處理的人(資料當事人)有權在提出要求時免費獲取關於其儲存的個人資料、資料來源和接收者以及資料處理目的的資訊。如果我們是基於合法利益而處理您的資料,您有權根據與您特定情況相關的合法理由(反對權利)反對該處理。
7.2 此外,資料當事人有權更正不準確的個人資料、有權刪除個人資料、有權限制個人資料的處理以及有權進行資料轉移。
7.3 資料當事人也有向監督機構提出申訴的權利。為此目的,資料當事人可與其慣常居住地或工作地點的監督機構聯絡。
8 資料保留期限
8.1 報告文件及其中包含的個人資料一般會在程序結束三年後刪除。在個別情況下,為了符合《告發者保護法》(HinSchG) 或其他法律規定的要求,只要有必要且符合比例,文件可能會儲存更長時間。最後的評估結果也會被儲存以備存檔。
8.2 如果舉報涉及人權或環境風險,或違反人權或環境義務,則個人資料的處理是基於 Art. 6 para. 1 c GDPR 與 LkSG 第 8 條。