Verilerin korunması
Gizlilik Politikası
1 Veri işlemenin amacı
1.1 Alman İhbarcıyı Koruma Yasası (Hin-SchG) ve Alman Tedarik Zinciri Durum Tespiti Yasası (LkSG) kapsamındaki yükümlülüğümüz uyarınca, şikayetler ve raporlar için şirket içi bir dijital raporlama ofisi kurduk (bundan böyle “raporlama portalı” olarak anılacaktır). Bu, uyum yönetim sistemimizin bir parçasıdır.
1.2 Çalışanlar, müşteriler, iş ortakları veya diğer ihbarcılar bu sistemi kullanarak şüpheli yasa ve iç kural ihlallerini, insan hakları ve çevre risklerini ve insan hakları ve çevre yükümlülüklerinin ihlallerini güvenli ve gizli bir şekilde bildirebilirler. Bu, kural ihlallerinin, risklerin ve ihlallerin tespit edilmesini ve önlenmesini teşvik etmeyi ve önemli riskleri ve hasarları önlemeyi amaçlamaktadır.
2 Sorumluluk
2.1 Kişisel verilerinizin işlenmesinden sorumlu olan kontrolör SCHOTT AG, Compliance & Security, Hattenbergstrasse 10, 55122 Mainz, compliance.office@schott.com (bundan böyle “SCHOTT” olarak anılacaktır)
2.2 Raporların işlenmesi ve alınacak takip önlemlerinin bir parçası olarak, bildirilen bir olay hakkında hukuk danışmanlarına veya yetkili makamlara bilgi verilmesi gerekebilir
2.3 Veri koruma hakkında herhangi bir sorunuz varsa, lütfen info.datenschutz@schott.com adresinden veri koruma görevlimizle iletişime geçin.
3 Teknik altyapı
3.1 Raporlama portalı, iComply GmbH, Grosse Langgasse 1A, 55116 Mainz, Almanya adresindeki teknoloji hizmet sağlayıcısının ihbar sistemi yazılımı AdvoWhistle ile işletilmektedir.
3.2 Raporlama portalına girilen kişisel veriler ve bilgiler, teknik hizmet sağlayıcı tarafından ISO/IEC 27001 sertifikalı bir veri merkezinde işletilen bir veri tabanında saklanır. Verilere erişim yalnızca açıkça yetkilendirilmiş işlemciler için mümkündür. Tüm verilerin uçtan uca şifrelenmesi, çok seviyeli şifre koruması, teknik ve organizasyonel önlemler ve düzenli sertifikasyonlar, teknik servis sağlayıcıların, veri merkezi operatörünün ve diğer üçüncü tarafların verilere erişememesini sağlar.
4 Yasal dayanak
4.1 Whis-tleblower Koruma Yasası kapsamına giren bilgilerin işlenmesinin yasal dayanağı, Madde 6 uyarınca yasal zorunluluktur. 6 para. 1 c) GDPR ile bağlantılı olarak İhbarcıyı Koruma Yasası'nın (HinSchG) 10. maddesi uyarınca yasal yükümlülüktür.
4.2 İç kuralların ihlaline ilişkin bilgilerin işlenmesinin yasal dayanağı, kuralların önemli ihlallerinin tespiti ve önlenmesi ve buna bağlı olarak risk ve zararların önlenmesine yönelik ağır basan meşru menfaattir. 6 pa-ra. 1 f) GDPR.
4.3 Bir rapor kara para aklama düzenlemelerinin ihlaliyle ilgiliyse, kişisel verilerin işlenmesi GDPR'nin 6 para. 1 c) Alman Kara Para Aklama ile Mücadele Kanunu (GwG) Bölüm 11a ile bağlantılı olarak GDPR.
4.4 Bir ihbarın Alman Bankacılık Kanunu (KWG) ve buna dayalı yönetmelikler gibi bankacılık denetim düzenlemelerinin yanı sıra Alman Federal Finansal Denetim Otoritesi (BaFin) tarafından finansal piyasa denetiminin bir parçası olarak uyumu izlenen diğer hükümlerin (örneğin CRR Yönetmeliği, Piyasa Suistimal Yönetmeliği, SSM Yönetmeliği, PRIIPS Yönetmeliği, Prospektüs Yönetmeliği), Alman Menkul Kıymetler Ticareti Kanunu (WpHG) ve buna dayalı yönetmeliklerin ihlali ile ilgili olması halinde, kişisel verilerin bu ihbar sistemi çerçevesinde işlenmesi Madde 6 para. 6 para. 1 c) mali denetim yönetmelikleri ile bağlantılı olarak GDPR'ye dayanmaktadır.
4.5 Bir raporun insan hakları veya çevresel risklerle ya da insan hakları veya çevresel yükümlülüklerin ihlaliyle ilgili olması halinde, kişisel verilerin işlenmesi GDPR md. 6 para. 1 c Bölüm 8 LkSG ile bağlantılı olarak GDPR.
5 Raporlama portalının kullanımı
5.1 Raporlama portalının kullanımı gönüllülük esasına dayanmaktadır. Bir rapor gönderirken, SCHOTT aşağıdaki kişisel veri ve bilgileri toplar:
(a) İhbarcı: isim (eğer kimliğinizi açıklarsanız), iletişim bilgileri (eğer sağlarsanız)
(b) Olaylardan etkilenen kişiler: Ad ve soyad, olaylar hakkında bilgi ve yasa ve kuralların şüpheli ihlalleri
(c) Bildirimde adı geçen tanıklar ve/veya üçüncü taraflar (örneğin müşteriler, tedarikçiler, meslektaşlar veya iş ortakları): ad ve soyad, iletişim bilgileri
5.2 Bilgi gönderirken ve ek gönderirken dosya ekleri iletilebilir. Anonimliğin korunması isteniyorsa, gizli kişisel veriler gönderilmeden önce kaldırılmalıdır. Bu mümkün değilse, örneğin bu dosyalardaki metin dijital bildirim formuna kopyalanabilir veya bu dosyaların çıktıları sorumlu kişinin posta adresine gönderilebilir.
6 Gizlilik
Açıkça yetkilendirilmiş kişilerden oluşan küçük bir grup, gelen tüm raporların alınması ve ele alınmasından sorumludur ve bu raporlar her zaman gizli tutulur. Bu kişiler vakanın gerçeklerini kontrol eder ve gerekirse vakayla ilgili daha fazla açıklama yapar. Verilere erişimi olan her kişi tam gizliliği korumakla yükümlüdür.
7 Veri sahiplerinin hakları
7.1 Kişisel verileri işlenen kişiler (veri sahipleri), talep üzerine ve ücretsiz olarak, kendileri hakkında saklanan kişisel veriler, bunların kaynağı ve alıcıları ve veri işlemenin amacı hakkında bilgi edinme hakkına sahiptir. Verilerinizi meşru menfaatimize dayanarak işliyorsak, özel durumunuzla ilgili meşru gerekçelere dayanarak işlemeye itiraz etme hakkına sahipsiniz (itiraz hakkı).
7.2 Ayrıca, veri sahipleri yanlış kişisel verilerin düzeltilmesi hakkına, kişisel verilerin silinmesi hakkına, kişisel verilerin işlenmesinin kısıtlanması hakkına ve veri taşınabilirliği hakkına sahiptir.
7.3 Veri sahipleri ayrıca bir denetim makamına şikayette bulunma hakkına da sahiptir. Da-ta süjeleri bu amaçla olağan ikamet yerlerinin veya iş yerlerinin denetim makamına başvurabilir.
8 Veri saklama süresi
8.1 Raporların dokümantasyonu ve burada yer alan kişisel veriler genellikle prosedürün tamamlanmasından üç yıl sonra silinir. Münferit durumlarda, İhbarcıları Koruma Yasası (HinSchG) veya diğer yasal hükümlerin gerekliliklerini yerine getirmek için, gerekli ve orantılı olduğu sürece belgeler daha uzun süre saklanabilir. Nihai bir değerlendirme de dokümantasyon amacıyla saklanır.
8.2 Bir rapor insan hakları veya çevresel risklerle ya da insan hakları veya çevresel yükümlülüklerin ihlaliyle ilgiliyse, kişisel verilerin işlenmesi Madde 6'ya dayanır. 6 para. 1 c GDPR ile bağlantılı olarak Madde 8 LkSG'ye dayanmaktadır.