Protezione dati
Informativa sulla privacy
1 Scopo del trattamento dei dati
1.1 In conformità con i nostri obblighi ai sensi della legge tedesca sulla protezione degli informatori (Hin-SchG) e della legge tedes ca sulla due diligence nella catena di fornitura (LkSG), abbiamo istituito un ufficio interno di segnalazione digitale per reclami e segnalazioni (di seguito “portale di segnalazione”). Questo fa parte del nostro sistema di gestione della conformità.
1.2 Dipendenti, clienti, partner commerciali o altri informatori possono utilizzare questo sistema per segnalare in modo sicuro e confidenziale sospette violazioni di leggi e norme interne, diritti umani e rischi ambientali e violazioni dei diritti umani e degli obblighi ambientali. Lo scopo è quello di promuovere l'individuazione e la prevenzione di violazioni materiali delle norme, rischi e violazioni e di scongiurare rischi e danni significativi.
2 Responsabilità
2.1 Il responsabile del trattamento dei dati personali è SCHOTT AG, Compliance & Security, Hattenbergstrasse 10, 55122 Mainz, Germania, compliance.office@schott.com (di seguito “SCHOTT”).
2.2 Nell'ambito dell'elaborazione delle segnalazioni e delle misure di follow-up da adottare, potrebbe essere necessario fornire informazioni su un incidente segnalato a consulenti legali o autorità competenti.
2.3 In caso di domande sulla protezione dei dati, contattare il nostro responsabile della protezione dei dati all'indirizzo info.datenschutz@schott.com.
3 Infrastruttura tecnica
3.1 Il portale di segnalazione è gestito con il software di segnalazione AdvoWhistle del fornitore di servizi tecnologici iComply GmbH, Grosse Langgasse 1A, 55116 Mainz, Germania.
3.2 I dati personali e le informazioni inserite nel portale di segnalazione sono memorizzati in un database gestito dal fornitore di servizi tecnici in un data center certificato ISO/IEC 27001. L'accesso ai dati è consentito solo a responsabili del trattamento espressamente autorizzati. La crittografia end-to-end di tutti i dati, la protezione con password multilivello, le misure tecniche e organizzative e le certificazioni periodiche garantiscono che i fornitori di servizi tecnici, il gestore del data center e altre terze parti non abbiano accesso ai dati.
4 Base giuridica
4.1 La base giuridica per il trattamento delle informazioni che rientrano nell'ambito di applicazione della legge sulla protezione degli informatori è l'obbligo legale ai sensi dell'art. 6 par. 1 c) del GDPR in combinato disposto con la sezione 10 della legge sulla protezione degli informatori (HinSchG).
4.2 La base giuridica per il trattamento delle informazioni relative a violazioni delle norme interne è il legittimo interesse prevalente a individuare e prevenire violazioni sostanziali delle norme e la relativa prevenzione di rischi e danni ai sensi dell'art. 6 par. 1 f) GDPR.
4.3 Se una segnalazione riguarda violazioni delle norme antiriciclaggio, il trattamento dei dati personali si basa sull'art. 6 par. 1 c) GDPR in combinato disposto con la Sezione 11a della Legge tedesca contro il riciclaggio di denaro (GwG).
4.4 Se una segnalazione riguarda violazioni delle normative di vigilanza bancaria come la Legge bancaria tedesca (KWG) e le ordinanze basate su di essa, nonché altre disposizioni, il cui rispetto è monitorato dall'Autorità federale tedesca di vigilanza finanziaria (BaFin) nell'ambito della vigilanza sui mercati finanziari (ad esempio Regolamento CRR, Regolamento sugli abusi di mercato, Regolamento SSM, Regolamento PRIIPS, Regolamento sui prospetti), la legge tedesca sul commercio di valori mobiliari (WpHG) e i regolamenti basati su di essa, il trattamento dei dati personali nell'ambito di questo sistema di segnalazione si basa sull'art. 6 par. 1 c) GDPR in combinato disposto con i regolamenti di vigilanza finanziaria.
4.5 Se una segnalazione riguarda i diritti umani o i rischi ambientali o la violazione dei diritti umani o degli obblighi ambientali, il trattamento dei dati personali si basa sull'art. 6 par. 1 c GDPR in combinato disposto con la sezione 8 LkSG.
5 Utilizzo del portale di segnalazione
5.1 L'utilizzo del portale di segnalazione è volontario. Quando si invia una segnalazione, SCHOTT raccoglie i seguenti dati e informazioni personali:
(a) Informatore: nome (se si rivela la propria identità), recapiti (se forniti)
(b) Persone coinvolte negli incidenti: nome e cognome, informazioni sugli incidenti e sospette violazioni di leggi e norme
(c) Testimoni e/o terze parti citate nella segnalazione (ad es. clienti, fornitori, colleghi o partner commerciali): nome e cognome, recapiti
5.2 Al momento dell'invio delle informazioni e dei supplementi è possibile trasmettere allegati. Se si desidera mantenere l'anonimato, prima dell'invio è necessario rimuovere i dati personali nascosti. Se ciò non è possibile, è possibile copiare solo il testo di questi file nel modulo di notifica digitale, ad esempio, oppure inviare le stampe di questi file all'indirizzo postale della persona responsabile.
6 Riservatezza
Un piccolo gruppo di persone esplicitamente autorizzate è responsabile della ricezione e della gestione di tutte le segnalazioni in entrata, che trattano sempre in modo confidenziale. Queste persone verificano i fatti del caso e, se necessario, effettuano ulteriori chiarimenti relativi ai fatti. Ogni persona che ha accesso ai dati è tenuta a mantenere la massima riservatezza.
7 Diritti degli interessati
7.1 Le persone i cui dati personali vengono trattati (interessati) hanno il diritto, su richiesta e gratuitamente, di ottenere informazioni sui dati personali memorizzati che li riguardano, sulla loro origine e sui destinatari e sullo scopo del trattamento dei dati. Se trattiamo i tuoi dati sulla base del nostro legittimo interesse, hai il diritto di opporti al trattamento per motivi legittimi relativi alla tua situazione particolare (diritto di opposizione).
7.2 Inoltre, gli interessati hanno il diritto di rettifica dei dati personali inesatti, il diritto alla cancellazione dei dati personali, il diritto alla limitazione del trattamento dei dati personali e il diritto alla portabilità dei dati.
7.3 Gli interessati hanno anche il diritto di presentare un reclamo a un'autorità di controllo. A tal fine, gli interessati possono contattare l'autorità di controllo del loro luogo di residenza o di lavoro abituale.
8 Periodo di conservazione dei dati
8.1 La documentazione delle segnalazioni e i dati personali in essa contenuti vengono generalmente cancellati tre anni dopo la conclusione della procedura. La documentazione può essere conservata più a lungo in singoli casi per soddisfare i requisiti della legge sulla protezione degli informatori (HinSchG) o altre disposizioni di legge, purché ciò sia necessario e proporzionato. A fini di documentazione viene conservata anche una valutazione finale.
8.2 Se una segnalazione riguarda i diritti umani o i rischi ambientali o la violazione dei diritti umani o degli obblighi ambientali, il trattamento dei dati personali si basa sull'art. 6 par. 1 c GDPR in combinato disposto con la sezione 8 LkSG.