Adatvédelem
Adatvédelmi szabályzat
1 Az adatkezelés célja
1.1 A német Whistleblower Protection Act (Hin-SchG) és a német Supply Chain Due Diligence Act (LkSG) szerinti kötelezettségünknek megfelelően létrehoztunk egy belső digitális bejelentő irodát a panaszok és bejelentések számára (a továbbiakban „bejelentő portál”). Ez a megfelelőségirányítási rendszerünk részét képezi.
1.2. A munkavállalók, ügyfelek, üzleti partnerek vagy más bejelentők ezt a rendszert használhatják, hogy biztonságos és bizalmas módon jelenthessék a törvények és belső szabályok, az emberi jogi és környezetvédelmi kockázatok, valamint az emberi jogi és környezetvédelmi kötelezettségek megsértésének gyanúját. Ennek célja, hogy elősegítse a társas szabályszegések, kockázatok és jogsértések felderítését és megelőzését, valamint a jelentős kockázatok és károk elhárítását.
2 Felelősség
2.1 Az Ön személyes adatainak feldolgozásáért felelős adatkezelő a SCHOTT AG, Compliance & Security, Hattenbergstrasse 10, 55122 Mainz, compliance.office@schott.com (a továbbiakban „SCHOTT”).
2.2 A bejelentések és a meghozandó nyomon követési intézkedések feldolgozása keretében szükségessé válhat, hogy a bejelentett incidensről információt adjunk a jogi tanácsadóknak vagy az illetékes hatóságoknak.
2.3 Ha bármilyen kérdése van az adatvédelemmel kapcsolatban, kérjük, forduljon adatvédelmi tisztviselőnkhöz a info.datenschutz@schott.com címen.
3 Technikai infrastruktúra
3.1 A bejelentő portált az iComply GmbH (Grosse Langgasse 1A, 55116 Mainz, Németország) technológiai szolgáltatótól származó AdvoWhistle bejelentő rendszer szoftverével működtetjük.
3.2 A bejelentő portálra bevitt személyes adatokat és információkat a technikai szolgáltató által üzemeltetett adatbázisban tárolják, amely egy ISO/IEC 27001 tanúsítvánnyal rendelkező adatközpontban található. Az adatokhoz csak a kifejezetten erre felhatalmazott adatfeldolgozók férhetnek hozzá. Az összes adat végponttól végpontig tartó titkosítása, a többszintű jelszóvédelem, a technikai és szervezési intézkedések és a rendszeres tanúsítások biztosítják, hogy a műszaki szolgáltatók, az adatközpont üzemeltetője és más harmadik felek ne férjenek hozzá az adatokhoz.
4 Jogalap
4.1 A Whis-tleblower Protection Act hatálya alá tartozó információk feldolgozásának jogalapja a jogi kötelezettség az Art. 6. bek. 1 c) GDPR 10. szakaszával összefüggésben a bejelentő védelméről szóló törvény (HinSchG) 10. szakaszával összefüggésben.
4.2. A belső szabályok megsértésével kapcsolatos információk feldolgozásának jogalapja a szabályok lényeges megsértésének felderítéséhez és megelőzéséhez, valamint az ezzel kapcsolatos kockázatok és károk megelőzéséhez fűződő nyomós jogos érdek az Art. 6 pa-ra. 1 f) GDPR.
4.3 Ha egy bejelentés a pénzmosási szabályok megsértésére vonatkozik, a személyes adatok feldolgozása a GDPR Art. 6 para. 1 c) GDPR alapján, a német pénzmosás elleni törvény (GwG) 11a. szakaszával összefüggésben.
4.4 Ha egy bejelentés bankfelügyeleti előírások, például a német bankfelügyeleti törvény (KWG) és az azon alapuló rendeletek, valamint egyéb olyan rendelkezések megsértésére vonatkozik, amelyek betartását a német szövetségi pénzügyi felügyelet (BaFin) a pénzügyi piacfelügyelet keretében ellenőrzi (pl. CRR-rendelet, piaci visszaélésekről szóló rendelet, SSM-rendelet, PRIIPS-rendelet, tájékoztatóról szóló rendelet), a német értékpapír-kereskedelmi törvény (WpHG) és az azon alapuló rendeletek megsértésére vonatkozik, a személyes adatok feldolgozása e bejelentő rendszer keretében a GwG Art. 6. bek. 1. c) GDPR alapján, a pénzügyi felügyeleti szabályokkal összefüggésben.
4.5. Ha egy bejelentés emberi jogi vagy környezeti kockázatokra vagy az emberi jogok vagy a környezetvédelmi kötelezettségek megsértésére vonatkozik, a személyes adatok feldolgozása az Art. 6. bek. GDPR 1. c) pontja alapján, összefüggésben az LkSG 8. szakaszával.
5 A jelentési portál használata
5.1 A jelentési portál használata önkéntes. A jelentés benyújtásakor a SCHOTT a következő személyes adatokat és információkat gyűjti:
(a) bejelentő: név (ha felfedte a személyazonosságát), elérhetőségek (ha megadta azokat)
(b) Az incidensek által érintett személyek: Kereszt- és vezetéknév, az incidensekre és a törvények és szabályok feltételezett megsértésére vonatkozó információk
(c) Tanúk és/vagy a bejelentésben megnevezett harmadik felek (pl. ügyfelek, beszállítók, kollégák vagy üzleti partnerek): kereszt- és vezetéknév, elérhetőségek.
5.2 Az információk benyújtásakor és a kiegészítések elküldésekor fájlmellékletek továbbíthatók. Az anonimitás megőrzése érdekében a rejtett személyes adatokat elküldés előtt el kell távolítani. Ha ez nem lehetséges, akkor csak a fájlok szövegét lehet bemásolni például a digitális bejelentő űrlapba, vagy a fájlok kinyomtatott példányait lehet elküldeni a felelős személy postacímére.
6 Bizalmasság
A kifejezetten felhatalmazott személyek egy kis csoportja felelős az összes beérkező bejelentés fogadásáért és kezeléséért, amelyeket mindig bizalmasan kezelnek. Ezek a személyek ellenőrzik az ügy tényállását, és szükség esetén elvégzik a tények további, az ügyhöz kapcsolódó tisztázását. Minden személy, aki hozzáfér az adatokhoz, köteles teljes titoktartásra.
7 Az érintettek jogai
7.1 Azoknak a személyeknek, akiknek a személyes adatait kezelik (érintettek), joguk van arra, hogy kérésre és ingyenesen tájékoztatást kapjanak a róluk tárolt személyes adatokról, azok eredetéről és címzettjeiről, valamint az adatkezelés céljáról. Ha az Ön adatait jogos érdekünk alapján kezeljük, Ön jogosult arra, hogy az Ön különleges helyzetével kapcsolatos jogos okokra hivatkozva tiltakozzon az adatkezelés ellen (tiltakozási jog).
7.2 Ezenkívül az érintetteknek joguk van a pontatlan személyes adatok helyesbítéséhez, a személyes adatok törléséhez, a személyes adatok feldolgozásának korlátozásához és az adathordozhatósághoz.
7.3 Az érintetteknek joguk van továbbá panaszt tenni egy felügyeleti hatóságnál. Az érintettek e célból a szokásos tartózkodási helyük vagy munkahelyük szerinti felügyeleti hatósághoz fordulhatnak.
8 Adatmegőrzési időszak
8.1 A jelentések dokumentációját és az abban szereplő személyes adatokat általában az eljárás lezárását követő három év elteltével törlik. A dokumentációt egyedi esetekben a bejelentő védelméről szóló törvény (HinSchG) vagy más jogi rendelkezések követelményeinek teljesítése érdekében hosszabb ideig is tárolhatják, amennyiben ez szükséges és arányos. A végső értékelést dokumentációs céllal szintén tárolják.
8.2. Ha egy bejelentés emberi jogi vagy környezeti kockázatokra, illetve az emberi jogok vagy környezetvédelmi kötelezettségek megsértésére vonatkozik, a személyes adatok feldolgozása az Art. 6. bek. GDPR 1. c) pontja alapján, összefüggésben az LkSG 8. szakaszával.