refactor(privacy-policy): remove 6. Hinweisgebersystem
This commit is contained in:
parent
a3b12a6957
commit
140d271b28
@ -162,138 +162,6 @@
|
||||
<a href="https://www.bfdi.bund.de/DE/Service/Anschriften/Laender/Laender-node.html">Laender-node.html</a>
|
||||
</p>
|
||||
</section>
|
||||
|
||||
<section>
|
||||
<h2>6. Hinweisgebersystem</h2>
|
||||
<p>
|
||||
Die Einhaltung gesetzlicher Vorschriften und interner Richtlinien, einschließlich unseres Verhaltenskodexes
|
||||
sowie des Verhaltenskodexes für Geschäftspartner, hat für uns (die verarbeitende Stelle) oberste Priorität.
|
||||
Dies gilt sowohl für unseren eigenen Geschäftsbereich als auch für unsere Lieferketten.
|
||||
</p>
|
||||
<p>
|
||||
Es ist uns wichtig, Risiken frühzeitig zu identifizieren und Verstöße zu vermeiden. Wir möchten rechtzeitig
|
||||
geeignete Maßnahmen ergreifen, um mögliche Schäden für Betroffene, Kunden, Mitarbeiter, Geschäftspartner und
|
||||
unsere Unternehmensgruppe zu verhindern.
|
||||
</p>
|
||||
<p>
|
||||
Aus diesem Grund haben wir ein unabhängiges, neutrales und vertrauliches Hinweisgebersystem eingerichtet,
|
||||
das es internen und externen Hinweisgebenden ermöglicht, auch anonym Meldungen abzugeben. Durch unser
|
||||
transparentes Beschwerdeverfahren bieten wir insbesondere den Betroffenen, den Hinweisgebenden und den
|
||||
Mitarbeitenden, die an der Aufklärung der gemeldeten Vorfälle mitwirken, den größtmöglichen Schutz.
|
||||
</p>
|
||||
<p>
|
||||
Im Rahmen dieses Verfahrens können alle tatsächlichen und vermeintlichen Verstöße gegen gesetzliche
|
||||
Vorgaben, unseren Verhaltenskodex sowie den Verhaltenskodex für Geschäftspartner gemeldet werden. Auch
|
||||
menschenrechtliche oder umweltbezogene Risiken sowie Pflichtverletzungen entlang der gesamten Lieferkette
|
||||
unserer Konzernunternehmen und in unserem eigenen Geschäftsbereich können Gegenstand einer Meldung sein.
|
||||
</p>
|
||||
<p>
|
||||
Einheitliche und zügige Prozesse sowie eine vertrauliche und professionelle Bearbeitung der Hinweise durch
|
||||
interne Experten bilden die Grundlage dieses fairen Verfahrens. Benachteiligungen oder Bestrafungen von
|
||||
Hinweisgebenden sowie von Personen, die mit der Bearbeitung von Beschwerden und Hinweisen betraut sind,
|
||||
werden nicht toleriert.
|
||||
</p>
|
||||
|
||||
<h3>6.1 Zweck und Rechtsgrundlage der Datenverarbeitung</h3>
|
||||
<p>
|
||||
Der Zweck der Verarbeitung personenbezogener Daten besteht in der Verwaltung des Hinweisgebersystems, das
|
||||
auch die Aufdeckung schwerwiegender Verstöße oder potenzieller Verstöße gegen geltendes Recht sowie anderer
|
||||
ernsthafter Angelegenheiten umfasst. Die Verarbeitung dieser Daten ist notwendig, um rechtlichen
|
||||
Verpflichtungen nachzukommen, die uns auferlegt sind, gemäß Art. 6 Abs. 1 S. 1 lit. c) DSGVO. Dies
|
||||
bezieht
|
||||
sich auf das Gesetz, das den Schutz von Hinweisgebern verbessert (Hinweisgeberschutzgesetz - HinSchG).
|
||||
</p>
|
||||
<p>
|
||||
Zudem dient die Verarbeitung dem berechtigten Interesse, schwerwiegende Verstöße oder mögliche Verstöße
|
||||
gegen geltendes Recht sowie andere ernsthafte Angelegenheiten aufzudecken, gemäß Art. 6 Abs. 1 S. 1 lit.
|
||||
f)
|
||||
DSGVO.
|
||||
</p>
|
||||
<p>
|
||||
Im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten ist diese auf Grundlage des
|
||||
Hinweisgeberschutzgesetzes aus Gründen eines erheblichen öffentlichen Interesses erforderlich, gemäß Art. 9
|
||||
Abs. 2 lit. g) DSGVO. Die Verarbeitung dieser besonderen Daten erfolgt gemäß Art. 9 Abs. 2 lit. f)
|
||||
DSGVO in
|
||||
Verbindung mit Art. 6 Abs. 1 S. 1 lit. f) DSGVO, um Rechtsansprüche festzustellen, auszuüben oder zu
|
||||
verteidigen.
|
||||
</p>
|
||||
<p>
|
||||
Betroffene Personen sind diejenigen, über die eine Meldung gemacht wird. Dies können Mitarbeiter,
|
||||
Vertragspartner oder andere Personen sein, die in beruflicher Verbindung zu der verarbeitenden Stelle
|
||||
stehen. Darüber hinaus verarbeiten wir personenbezogene Daten der hinweisgebenden Person, wenn diese ihre
|
||||
Kontaktinformationen oder andere identifizierende Informationen übermittelt. Hinweisgebende Personen sollten
|
||||
sich daher bewusst sein, dass wir im Rahmen der Bearbeitung des gemeldeten Falls personenbezogene Daten über
|
||||
sie verarbeiten können.
|
||||
</p>
|
||||
|
||||
<h3>6.2 Kategorien personenbezogener Daten</h3>
|
||||
<p>
|
||||
Die Meldung kann anonym erfolgen, wodurch keine personenbezogenen Daten der meldenden Person verarbeitet
|
||||
werden. Die Art der personenbezogenen Daten, die verarbeitet werden, hängt von den übermittelten
|
||||
Informationen ab. Wenn die meldende Person personenbezogene Daten über eine andere Person, einschließlich
|
||||
der gemeldeten Person oder Personen, angibt, werden auch diese Daten verarbeitet. Folgende Kategorien von
|
||||
personenbezogenen Daten können verarbeitet werden:
|
||||
</p>
|
||||
<ul>
|
||||
<li>Allgemeine personenbezogene Daten (z.B.: Vorname, Nachname, Adresse, E-Mail-Adresse, Telefonnummer,
|
||||
usw.)</li>
|
||||
<li>Personenbezogene Daten zu strafrechtlichen Verurteilungen oder Verdachtsmomenten</li>
|
||||
<li>Besondere Kategorien personenbezogener Daten (Informationen über rassische oder ethnische Herkunft,
|
||||
politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit,
|
||||
Gesundheitsdaten sowie Informationen über das Sexualleben oder die sexuelle Orientierung einer Person)
|
||||
</li>
|
||||
</ul>
|
||||
<p>
|
||||
Wir bitten die meldende Person, ausschließlich Informationen zu übermitteln, die für den jeweiligen Fall von
|
||||
Bedeutung sind, und insbesondere keine sensiblen Informationen zu melden, es sei denn, diese sind für die
|
||||
Bearbeitung des gemeldeten Falls von zentraler Relevanz.
|
||||
</p>
|
||||
|
||||
<h3>6.3 Verpflichtung zur Bereitstellung personenbezogener Daten</h3>
|
||||
<p>
|
||||
Es ist nicht erforderlich, die im Abschnitt 6.2 genannten personenbezogenen Daten bereitzustellen, da auch
|
||||
eine anonyme Meldung möglich ist. Bitte beachte jedoch, dass wir möglicherweise nicht in der Lage sind, die
|
||||
Meldung zu bearbeiten, wenn keine personenbezogenen Daten angegeben werden.
|
||||
</p>
|
||||
|
||||
<h3>6.4 Empfänger personenbezogener Daten</h3>
|
||||
<p>Die Meldungen werden bei der verarbeitenden Stelle im System als Vorgänge erfasst. Nach einer Bewertung
|
||||
werden diese Vorgänge intern an die zuständigen Fachabteilungen weitergeleitet, und gegebenenfalls werden
|
||||
Folgemaßnahmen eingeleitet. Sollte eine Meldung eine der Konzerngesellschaften der verarbeitenden Stelle
|
||||
betreffen, werden die relevanten Vorgänge an die zuständigen Personen der jeweiligen Gesellschaft
|
||||
weitergegeben, die dann intern eine Bewertung vornehmen und gegebenenfalls Maßnahmen ergreifen. Bei der
|
||||
Weitergabe personenbezogener Daten wird der Grundsatz der Datenminimierung beachtet, was bedeutet, dass nur
|
||||
die unbedingt notwendigen Daten zur Bearbeitung der Meldung weitergegeben werden.</p>
|
||||
<p>Personenbezogene Daten der hinweisgebenden Person werden an Behörden weitergeleitet, wenn dies erforderlich
|
||||
ist, um schwerwiegende Verstöße oder Angelegenheiten zu behandeln oder das Recht auf Verteidigung der
|
||||
betroffenen Personen zu sichern. In anderen Fällen erfolgt die Weitergabe personenbezogener Daten der
|
||||
hinweisgebenden Person nur mit deren Zustimmung. Daten über andere Personen als die hinweisgebende Person
|
||||
werden nur im Rahmen der Nachverfolgung eines gemeldeten Falls oder zur Bearbeitung schwerwiegender Verstöße
|
||||
oder Angelegenheiten weitergegeben.</p>
|
||||
<p>Die Meldeplattform wird von dem Auftragsverarbeiter WhistleB Whistleblowing Centre AB mit Sitz in Stockholm,
|
||||
Schweden, bereitgestellt. Weitere Informationen zu WhistleB und den entsprechenden Nutzungsbedingungen sind
|
||||
dort einsehbar.
|
||||
<a
|
||||
href="https://report.whistleb.com/content/documents/whistleb_terms_of_use.pdf">whistleb_terms_of_use.pdf</a>
|
||||
</p>
|
||||
|
||||
<h3>6.5 Speicherdauer</h3>
|
||||
<p>Personenbezogene Daten, die sich als nicht relevant für die Bearbeitung eines gemeldeten Falls herausstellen,
|
||||
sowie Meldungen, die wir als unbegründet ansehen, werden umgehend als "nicht relevant" eingestuft. In diesem
|
||||
Fall wird der Personenbezug entfernt, es sei denn, es handelt sich bereits um eine anonyme Meldung. Um die
|
||||
gesetzlich vorgeschriebene Dokumentationspflicht und die Löschfristen gemäß § 11 Abs. 1 und Abs. 5 HinSchG
|
||||
zu erfüllen, wird die Meldung zunächst ohne Personenbezug archiviert, jedoch noch nicht gelöscht.
|
||||
Archivierte Fälle dienen ausschließlich der Erfüllung dieser Dokumentationspflichten und können danach nicht
|
||||
mehr zur Bearbeitung herangezogen werden.</p>
|
||||
<p>Die Meldungen und personenbezogenen Daten, die im Zuge der Bearbeitung einer Meldung erfasst werden, bilden
|
||||
die Grundlage für die weitere Bearbeitung und werden so schnell wie möglich anonymisiert. Sollte es
|
||||
notwendig sein, Folgemaßnahmen gemäß §§ 3 Abs. 8 und 18 HinSchG zu ergreifen, kann es jedoch erforderlich
|
||||
sein, von der Anonymisierung abzuweichen, sei es aufgrund behördlicher Anordnungen oder zur Wahrung von
|
||||
Rechtsansprüchen. In solchen Fällen wird in der Regel eine Pseudonymisierung angestrebt, es sei denn, es
|
||||
gibt andere Vorgaben, wie etwa eine richterliche Anordnung. Die Dokumentation wird drei Jahre nach Abschluss
|
||||
des Verfahrens gelöscht. Sie kann jedoch länger aufbewahrt werden, um den Anforderungen dieses Gesetzes oder
|
||||
anderer Rechtsvorschriften gerecht zu werden, solange dies notwendig und angemessen ist.</p>
|
||||
</section>
|
||||
</body>
|
||||
|
||||
</html>
|
||||
@ -153,133 +153,6 @@
|
||||
<a href="https://www.bfdi.bund.de/DE/Service/Anschriften/Laender/Laender-node.html">Laender-node.html</a>
|
||||
</p>
|
||||
</section>
|
||||
|
||||
<section>
|
||||
<h2>6. Whistleblower System</h2>
|
||||
<p>
|
||||
Compliance with legal regulations and internal guidelines, including our Code of Conduct and the Code of
|
||||
Conduct for Business Partners, is our (the data processing entity's) top priority. This applies both to our
|
||||
own business operations and to our supply chains.
|
||||
</p>
|
||||
<p>
|
||||
It is important to us to identify risks early and avoid violations. We aim to take appropriate measures in a
|
||||
timely manner to prevent potential harm to affected persons, customers, employees, business partners, and
|
||||
our corporate group.
|
||||
</p>
|
||||
<p>
|
||||
For this reason, we have established an independent, neutral, and confidential whistleblower system that
|
||||
enables internal and external whistleblowers to submit reports, including anonymously. Through our
|
||||
transparent complaint procedure, we offer the greatest possible protection, especially to the affected
|
||||
persons, whistleblowers, and employees involved in investigating reported incidents.
|
||||
</p>
|
||||
<p>
|
||||
Under this procedure, any actual or alleged violations of legal requirements, our Code of Conduct, or the
|
||||
Code of Conduct for Business Partners may be reported. Human rights or environmental risks, as well as
|
||||
breaches of duty along the entire supply chain of our group companies and in our own business operations,
|
||||
can also be the subject of a report.
|
||||
</p>
|
||||
<p>
|
||||
Standardized and swift processes, as well as confidential and professional handling of the reports by
|
||||
internal experts, form the basis of this fair procedure. Discrimination or punishment of whistleblowers and
|
||||
individuals responsible for handling complaints and reports will not be tolerated.
|
||||
</p>
|
||||
|
||||
<h3>6.1 Purpose and Legal Basis of Data Processing</h3>
|
||||
<p>
|
||||
The purpose of processing personal data is to manage the whistleblower system, which also includes
|
||||
identifying serious violations or potential violations of applicable law and other serious matters. The
|
||||
processing of this data is necessary to comply with legal obligations imposed on us, in accordance with Art.
|
||||
6 para. 1 sentence 1 lit. c) GDPR. This refers to the law that enhances the protection of whistleblowers
|
||||
(Whistleblower Protection Act - HinSchG).
|
||||
</p>
|
||||
<p>
|
||||
Additionally, the processing serves the legitimate interest of identifying serious violations or potential
|
||||
violations of applicable law and other serious matters, in accordance with Art. 6 para. 1 sentence 1 lit. f)
|
||||
GDPR.
|
||||
</p>
|
||||
<p>
|
||||
Regarding the processing of special categories of personal data, this is necessary based on the
|
||||
Whistleblower Protection Act for reasons of significant public interest, in accordance with Art. 9 para. 2
|
||||
lit. g) GDPR. The processing of such special data is carried out in accordance with Art. 9 para. 2 lit. f)
|
||||
GDPR in conjunction with Art. 6 para. 1 sentence 1 lit. f) GDPR to establish, exercise, or defend legal
|
||||
claims.
|
||||
</p>
|
||||
<p>
|
||||
Affected persons are those about whom a report is made. These can be employees, contractors, or other
|
||||
individuals in a business relationship with the data processing entity. Furthermore, we process personal
|
||||
data of the whistleblower if they provide their contact details or other identifying information.
|
||||
Whistleblowers should be aware that we may process personal data about them during the handling of the
|
||||
reported case.
|
||||
</p>
|
||||
|
||||
<h3>6.2 Categories of Personal Data</h3>
|
||||
<p>
|
||||
Reports can be made anonymously, in which case no personal data of the reporting person will be processed.
|
||||
The type of personal data processed depends on the information provided. If the reporting person provides
|
||||
personal data about another individual, including the reported individual or persons, that data will also be
|
||||
processed. The following categories of personal data may be processed:
|
||||
</p>
|
||||
<ul>
|
||||
<li>General personal data (e.g., first name, last name, address, email address, phone number, etc.)</li>
|
||||
<li>Personal data related to criminal convictions or suspicions</li>
|
||||
<li>Special categories of personal data (information about racial or ethnic origin, political opinions,
|
||||
religious or philosophical beliefs, trade union membership, health data, and information about a
|
||||
person's sex life or sexual orientation)</li>
|
||||
</ul>
|
||||
<p>
|
||||
We ask the reporting person to only provide information relevant to the case and to avoid reporting
|
||||
sensitive information unless it is essential for handling the reported case.
|
||||
</p>
|
||||
|
||||
<h3>6.3 Obligation to Provide Personal Data</h3>
|
||||
<p>
|
||||
It is not mandatory to provide the personal data mentioned in section 6.2, as anonymous reporting is also
|
||||
possible. However, please note that we may be unable to process the report if no personal data is provided.
|
||||
</p>
|
||||
|
||||
<h3>6.4 Recipients of Personal Data</h3>
|
||||
<p>
|
||||
Reports are logged in the system of the data processing entity as cases. After evaluation, these cases are
|
||||
forwarded internally to the relevant departments, and follow-up actions may be initiated. If a report
|
||||
involves one of the group companies of the data processing entity, the relevant cases are forwarded to the
|
||||
responsible individuals at the respective company, who will then conduct an internal evaluation and take
|
||||
action if necessary. When transferring personal data, the principle of data minimization is observed,
|
||||
meaning only the data strictly necessary for handling the report is shared.
|
||||
</p>
|
||||
<p>
|
||||
Personal data of the whistleblower will be shared with authorities when necessary to address serious
|
||||
violations or issues, or to safeguard the right to defense of the affected persons. In other cases, personal
|
||||
data of the whistleblower will only be shared with their consent. Data about persons other than the
|
||||
whistleblower will only be shared in connection with the investigation of a reported case or to address
|
||||
serious violations or issues.
|
||||
</p>
|
||||
<p>
|
||||
The reporting platform is provided by the processor WhistleB Whistleblowing Centre AB, based in Stockholm,
|
||||
Sweden. Further information about WhistleB and the corresponding terms of use can be found at:
|
||||
<a
|
||||
href="https://report.whistleb.com/content/documents/whistleb_terms_of_use.pdf">whistleb_terms_of_use.pdf</a>
|
||||
</p>
|
||||
|
||||
<h3>6.5 Retention Period</h3>
|
||||
<p>
|
||||
Personal data that is found to be irrelevant to the processing of a reported case, as well as reports deemed
|
||||
unfounded, will be immediately classified as "not relevant." In this case, the personal reference is removed
|
||||
unless the report was anonymous from the outset. To meet the legally required documentation obligations and
|
||||
deletion periods pursuant to § 11 para. 1 and para. 5 HinSchG, the report is initially archived without
|
||||
personal reference but is not yet deleted. Archived cases serve solely to fulfill these documentation
|
||||
obligations and can no longer be used for further processing.
|
||||
</p>
|
||||
<p>
|
||||
Reports and personal data collected during the processing of a report form the basis for further handling
|
||||
and are anonymized as soon as possible. However, if it is necessary to take follow-up actions pursuant to §§
|
||||
3 para. 8 and 18 HinSchG, it may be necessary to deviate from anonymization, whether due to official orders
|
||||
or to protect legal claims. In such cases, pseudonymization is generally sought, unless other directives
|
||||
apply, such as a court order. Documentation is deleted three years after the conclusion of the process, but
|
||||
it may be retained longer if required to meet the requirements of this law or other legal provisions, as
|
||||
long as it remains necessary and appropriate.
|
||||
</p>
|
||||
</section>
|
||||
|
||||
</body>
|
||||
|
||||
</html>
|
||||
Loading…
x
Reference in New Issue
Block a user