Proteção de dados pessoais
Política de privacidade
1 Objetivo do processamento de dados
1.1 De acordo com nossa obrigação nos termos da Lei Alemã de Proteção a Denunciantes (Hin-SchG) e da Lei Alemã de Due Diligence da Cadeia de Suprimentos (LkSG), criamos um escritório digital interno para denúncias e relatórios (doravante denominado “portal de denúncias”). Isso faz parte do nosso sistema de gerenciamento de conformidade.
1.2 Funcionários, clientes, parceiros comerciais ou outros denunciantes podem usar esse sistema para relatar suspeitas de violações de leis e regras internas, riscos ambientais e de direitos humanos e violações de obrigações ambientais e de direitos humanos de forma segura e confidencial. O objetivo é promover a detecção e a prevenção de violações materiais de regras, riscos e violações e evitar riscos e danos significativos.
2 Responsabilidade
2.1 O controlador responsável pelo processamento de seus dados pessoais é a SCHOTT AG, Compliance & Security, Hattenbergstrasse 10, 55122 Mainz, compliance.office@schott.com (doravante “SCHOTT”).
2.2 Como parte do processamento de relatórios e medidas de acompanhamento a serem tomadas, pode ser necessário fornecer informações sobre um incidente relatado a consultores jurídicos ou autoridades competentes
2.3 Se tiver alguma dúvida sobre a proteção de dados, entre em contato com nosso responsável pela proteção de dados em info.datenschutz@schott.com.
3 Infraestrutura técnica
3.1 O portal de denúncias é operado com o software do sistema de denúncias AdvoWhistle do provedor de serviços de tecnologia iComply GmbH, Grosse Langgasse 1A, 55116 Mainz, Alemanha.
3.2 Os dados pessoais e as informações inseridas no portal de denúncias são armazenados em um banco de dados operado pelo provedor de serviços técnicos em um centro de dados com certificação ISO/IEC 27001. O acesso aos dados só é possível para processadores expressamente autorizados. A criptografia de ponta a ponta de todos os dados, a proteção por senha em vários níveis, as medidas técnicas e organizacionais e as certificações regulares garantem que os provedores de serviços técnicos, o operador do data center e outros terceiros não tenham acesso aos dados.
4 Base legal
4.1 A base legal para o processamento de informações que se enquadram no escopo da Lei de Proteção ao Denunciante é a obrigação legal de acordo com o Art. 6 para. 1 c) do GDPR em conjunto com a Seção 10 da Lei de Proteção ao Denunciante (HinSchG).
4.2 A base legal para o processamento de informações relacionadas a violações de regras internas é o interesse legítimo primordial na detecção e prevenção de violações materiais de regras e a prevenção associada de riscos e danos, de acordo com o Art. 6 pa-ra. 1 f) do GDPR.
4.3 Se um relatório se referir a violações de regulamentos de lavagem de dinheiro, o processamento de dados pessoais será baseado no Art. 6 para. 1 c) do GDPR em conjunto com a Seção 11a da Lei Alemã contra Lavagem de Dinheiro (GwG).
4.4 Se um relatório estiver relacionado a violações de regulamentos de supervisão bancária, como a Lei Bancária Alemã (KWG) e portarias baseadas nela, bem como outras disposições, cuja conformidade é monitorada pela Autoridade Federal de Supervisão Financeira Alemã (BaFin) como parte da supervisão do mercado financeiro (por exemplo, Regulamento CRR, Regulamento de Abuso de Mercado, Regulamento SSM, Regulamento PRIIPS, Regulamento de Prospecto), a Lei Alemã de Negociação de Valores Mobiliários (WpHG) e regulamentos baseados nela, o processamento de dados pessoais no âmbito deste sistema de denúncia é baseado no Art. 6 para. 1 c) do GDPR em conjunto com os regulamentos de supervisão financeira.
4.5 Se um relatório se referir a direitos humanos ou riscos ambientais ou à violação de direitos humanos ou obrigações ambientais, o processamento de dados pessoais será baseado no Art. 6 para. 1 c GDPR em conjunto com a Seção 8 LkSG.
5 Uso do portal de relatórios
5.1 O uso do portal de relatórios é voluntário. Ao enviar um relatório, a SCHOTT coleta os seguintes dados e informações pessoais:
(a) Denunciante: nome (caso revele sua identidade), detalhes de contato (caso os forneça)
(b) Pessoas afetadas por incidentes: Nome e sobrenome, informações sobre incidentes e suspeitas de violações da lei e das regras
(c) Testemunhas e/ou terceiros mencionados na notificação (por exemplo, clientes, fornecedores, colegas ou parceiros de negócios): nome e sobrenome, detalhes de contato
5.2 Anexos de arquivos podem ser transmitidos ao enviar informações e complementos. Se for necessário manter o anonimato, os dados pessoais ocultos deverão ser removidos antes do envio. Se isso não for possível, apenas o texto desses arquivos poderá ser copiado para o formulário de notificação digital, por exemplo, ou as impressões desses arquivos poderão ser enviadas para o endereço postal da pessoa responsável.
6 Confidencialidade
Um pequeno grupo de pessoas explicitamente autorizadas é responsável por receber e lidar com todos os relatórios recebidos, que são sempre tratados confidencialmente. Essas pessoas verificam os fatos do caso e, se necessário, realizam esclarecimentos adicionais sobre os fatos relacionados ao caso. Todas as pessoas que têm acesso aos dados são obrigadas a manter total confidencialidade.
7 Direitos dos titulares dos dados
7.1 As pessoas cujos dados pessoais são processados (titulares dos dados) têm o direito, mediante solicitação e gratuitamente, de obter informações sobre os dados pessoais armazenados sobre elas, sua origem e destinatários e a finalidade do processamento de dados. Se processarmos seus dados com base em nosso interesse legítimo, você tem o direito de se opor ao processamento por motivos legítimos relacionados à sua situação específica (direito de objeção).
7.2 Além disso, os titulares de dados têm o direito de retificar dados pessoais imprecisos, o direito de apagar dados pessoais, o direito de restringir o processamento de dados pessoais e o direito à portabilidade de dados.
7.3 Os titulares dos dados também têm o direito de apresentar uma reclamação a uma autoridade supervisora. Os titulares dos dados podem entrar em contato com a autoridade supervisora do seu local de residência ou local de trabalho habitual para essa finalidade.
8 Período de retenção de dados
8.1 A documentação dos relatórios e os dados pessoais neles contidos são geralmente excluídos três anos após a conclusão do procedimento. A documentação pode ser armazenada por mais tempo em casos individuais para atender às exigências da Lei de Proteção ao Denunciante (HinSchG) ou outras disposições legais, desde que isso seja necessário e proporcional. Uma avaliação final também é armazenada para fins de documentação.
8.2 Se um relatório se referir a direitos humanos ou riscos ambientais ou à violação de direitos humanos ou obrigações ambientais, o processamento de dados pessoais será baseado no Art. 6 para. 1 c GDPR em conjunto com a Seção 8 LkSG.