Ochrana osobních údajů

Zásady ochrany osobních údajů


1 Účel zpracování údajů

1.1 V souladu s naší povinností vyplývající z německého zákona o ochraně oznamovatelů (Hin-SchG) a německého zákona o náležité péči v dodavatelském řetězci (LkSG) jsme zřídili interní digitální ohlašovnu pro stížnosti a hlášení (dále jen „portál pro hlášení“). Ten je součástí našeho systému řízení shody s předpisy.
1.2 Zaměstnanci, zákazníci, obchodní partneři nebo jiní oznamovatelé mohou prostřednictvím tohoto systému bezpečným a důvěrným způsobem hlásit podezření na porušení zákonů a interních předpisů, lidskoprávních a environmentálních rizik a porušení lidskoprávních a environmentálních povinností. To má podpořit odhalování a prevenci mate-riálních porušení pravidel, rizik a porušení a odvrátit významná rizika a škody.

2 Odpovědnost

2.1 Správcem odpovědným za zpracování vašich osobních údajů je společnost SCHOTT AG, Compliance & Security, Hattenbergstrasse 10, 55122 Mainz, compliance.office@schott.com (dále jen „SCHOTT“).
2.2 V rámci zpracování hlášení a následných opatření, která mají být přijata, může být nezbytné poskytnout informace o nahlášeném incidentu právním poradcům nebo příslušným orgánům
2.3 V případě jakýchkoli dotazů týkajících se ochrany osobních údajů se obraťte na našeho pověřence pro ochranu osobních údajů na adrese info.datenschutz@schott.com.

3 Technická infrastruktura

3.1 Portál pro oznamování je provozován pomocí softwaru systému pro oznamovatele AdvoWhistle od poskytovatele technologických služeb iComply GmbH, Grosse Langgasse 1A, 55116 Mainz, Německo.
3.2 Osobní údaje a informace vložené do portálu pro oznamování jsou uloženy v databázi provozované poskytovatelem technických služeb v datovém centru s certifikací ISO/IEC 27001. Přístup k údajům mají pouze výslovně oprávnění zpracovatelé. Koncové šifrování všech údajů, víceúrovňová ochrana heslem, technická a organizační opatření a pravidelné certifikace zajišťují, že poskytovatelé technických služeb, provozovatel datového centra a další třetí strany nemají k údajům přístup.


4 Právní základ

4.1 Právním základem pro zpracování informací, které spadají do působnosti zákona o ochraně whis-tleblowerů, je právní povinnost podle čl. 6 odst. 1 c) GDPR ve spojení s § 10 zákona o ochraně oznamovatelů (HinSchG).
4.2 Právním základem pro zpracování informací týkajících se porušení vnitřních předpisů je převažující oprávněný zájem na odhalování a prevenci závažných porušení předpisů a s tím související prevence rizik a škod podle čl. 6 pa-ra. 1 písm. f) obecného nařízení o ochraně osobních údajů.
4.3 Pokud se hlášení týká porušení předpisů o praní špinavých peněz, je zpracování perzonálních údajů založeno na čl. 6 odst. 1 c) GDPR ve spojení s § 11a německého zákona proti praní špinavých peněz (GwG).
4.4 Pokud se oznámení týká porušení předpisů bankovního dohledu, jako je německý zákon o bankovnictví (KWG) a na něm založené vyhlášky, jakož i dalších předpisů, jejichž dodržování sleduje německý Spolkový úřad pro finanční dohled (BaFin) v rámci dohledu nad finančním trhem (např. nařízení CRR, nařízení o zneužívání trhu, nařízení SSM, nařízení PRIIPS, nařízení o prospektu), německý zákon o obchodování s cennými papíry (WpHG) a na něm založené vyhlášky, je zpracování osobních údajů v rámci tohoto systému whistleblowerů založeno na čl. 1 odst. 1 písm. c) GDPR. 6 odst. 1 písm. c) GDPR ve spojení s předpisy finančního dohledu.
4.5 Pokud se oznámení týká rizik v oblasti lidských práv nebo životního prostředí nebo porušení povinností v oblasti lidských práv nebo životního prostředí, je zpracování osobních údajů založeno na čl. 6 odst. 1 c GDPR ve spojení s § 8 LkSG.

5 Používání portálu pro podávání zpráv

5.1 Používání portálu pro podávání zpráv je dobrovolné. Při podání hlášení společnost SCHOTT shromažďuje následující osobní údaje a informace: 
(a) Oznamovatel: jméno (pokud sdělíte svou totožnost), kontaktní údaje (pokud je poskytnete). 
(b) Osoby, jichž se incidenty týkají: Jméno a příjmení, informace o incidentech a podezření na porušení zákona a pravidel.  
(c) Svědci a/nebo třetí strany uvedené v oznámení (např. zákazníci, dodavatelé, kolegové nebo obchodní partneři): jméno a příjmení, kontaktní údaje.
5.2 Při podávání informací a zasílání doplňků lze předávat přílohy souborů. Má-li být zachována anonymita, je třeba před odesláním odstranit skryté osobní údaje. Pokud to není možné, lze do digi-tálního formuláře oznámení zkopírovat například pouze text z těchto souborů, nebo lze výtisky těchto souborů zaslat na poštovní adresu odpovědné osoby.

6 Důvěrnost

Za příjem a zpracování všech příchozích hlášení, s nimiž vždy nakládají důvěrně, odpovídá malá skupina výslovně pověřených osob. Tyto osoby prověřují skutkovou podstatu případu a v případě potřeby provádějí další objasnění skutečností souvisejících s případem. Každá osoba, která má přístup k údajům, je povinna zachovávat plnou důvěrnost.

7 Práva subjektů údajů

7.1 Osoby, jejichž osobní údaje jsou zpracovávány (subjekty údajů), mají právo na požádání a bezplatně získat informace o osobních údajích, které jsou o nich uchovávány, o jejich původu a příjemcích a o účelu zpracování údajů. Pokud vaše údaje zpracováváme na základě našeho oprávněného zájmu, máte právo vznést námitku proti zpracování z oprávněných důvodů týkajících se vaší konkrétní situace (právo vznést námitku). 
7.2 Kromě toho mají subjekty údajů právo na opravu nepřesných osobních údajů, právo na výmaz osobních údajů, právo na omezení zpracování osobních údajů a právo na přenositelnost údajů. 
7.3 Subjekty údajů mají rovněž právo podat stížnost u dozorového úřadu. Da-ta subjekty se za tímto účelem mohou obrátit na dozorový úřad v místě svého obvyklého bydliště nebo pracoviště.


8 Doba uchovávání údajů

8.1 Dokumentace hlášení a osobní údaje v ní obsažené se zpravidla vymažou tři roky po ukončení řízení. V jednotlivých případech může být dokumentace uchovávána déle, aby byly splněny požadavky zákona o ochraně oznamovatelů (HinSchG) nebo jiných právních předpisů, pokud je to nezbytné a přiměřené. Pro účely dokumentace se uchovává také závěrečné vyhodnocení.
8.2 Pokud se oznámení týká rizik pro lidská práva nebo životní prostředí nebo porušení povinností v oblasti lidských práv nebo životního prostředí, je zpracování osobních údajů založeno na čl. 6 odst. 1 c GDPR ve spojení s § 8 LkSG.