Informationen gemäß Artikel 13-14 der GDPR (General Data Protection Regulation) 2016/679
Prämisse
Diese Datenschutzerklärung – die als Information gemäß Artikel 13 und 14 der Verordnung (EU) 2016/679 (im Folgenden die „Verordnung“) zu verstehen ist – wird von Namirial S.p.a., Namirial S.R.L, Namirial Deutschland GmbH, Namirial GmbH, Bit4id S.r.l, Uanataca Sa unipersonale (italienische Niederlassung) (im Folgenden gemeinsam die „gemeinsam für die Verarbeitung Verantwortlichen“ oder „Gruppe“) in ihrer Eigenschaft als gemeinsam für die Verarbeitung Verantwortliche zur Verfügung gestellt, um Sie über die Verwendung der personenbezogenen Daten von Whistleblowern, gemeldeten Personen und sonstigen beteiligten Dritten (im Folgenden auch die „betroffenen Personen“) im Zusammenhang mit der Verwaltung der Meldungen zu informieren, die in dem Dokument mit dem Titel „Whistleblowing-Gruppenrichtlinie“ der Gruppe geregelt sind, auf dessen Lektüre Sie für weitere Einzelheiten verwiesen werden.
Identität und Kontaktdaten der gemeinsam für die Verarbeitung Verantwortlichen und des Datenschutzbeauftragten (DSB)
Die gemeinsam für die Verarbeitung Verantwortlichen sind:
- Namirial S.p.a. mit eingetragenem Sitz in der Via Caduti sul Lavoro n. 4, Cap 60019, Senigallia (AN), ITALIEN;
- Namirial S.R. L, mit eingetragenem Sitz in der Str. Nerva Traian No.3, Floor 8 - Sector 3 - 031041 Bukarest, RUMÄNIEN;
- Namirial Deutschland GmbH, mit eingetragenem Sitz in der Kalkofenstraße 51, 71083 Herrenberg, DEUTSCHLAND;
- Namirial GmbH, mit eingetragenem Sitz in der Haider Straße 40a, 4052 Ansfelden, Seilerstätte 16, 1010 Wien, ÖSTERREICH;
- Bit4id S.r.l., mit eingetragenem Sitz in der Via Diocleziano n.107 – 80125 Neapel, ITALIEN;
- Uanataca Sa unipersonale, mit eingetragenem Sitz in der Via Diocleziano n.107 – 80125 Neapel, ITALIEN.
Die gemeinsam für die Verearbeitung Verantwortlichen haben eine Vereinbarung gemäß Art. 26 DSGVO unterzeichnet, deren wesentlicher Inhalt von der betroffenen Person auf Anfrage bei der folgenden Adresse angefordert werden kann: dpo@namirial.com
Kontaktinformationen des Datenschutzbeauftragten (DSB)
Der von Namirial S.p.A. benannte Datenschutzbeauftragte, der als Ansprechpartner für die betroffene Person fungiert, kann unter folgender E-Mail-Adresse kontaktiert werden: dpo@namirial.com. Das Recht der betroffenen Person, ihre Rechte gegenüber anderen gemeinsam für die Verarbeitung Verantwortlichen geltend zu machen, bleibt davon in jedem Fall unberührt.
Datenkategorien
Durch eine Meldung können der Gruppe folgende personenbezogene Daten bekannt werden (bezogen auf die meldende Person, wenn die Meldung nicht anonym ist, und ggf. auf die meldende Person und/oder andere in der Meldung genannte Dritte):
- Name, Vorname, Geburtsdatum, Kopie des Personalausweises (nur für den Fall, dass er/sie sich für eine anonyme Meldung entschieden hat) und E-Mail-Adresse des Melders/der Melderin sowie alle anderen Informationen, die er/sie angeben möchte, wie Telefonnummer, Postanschrift usw.;
- Name, Vorname der gemeldeten Person und/oder Dritter, Unternehmen und Geschäftsbereich, dem die gemeldete Person angehört, sowie sonstige Informationen, die auch Daten besonderer Art über die gemeldete Person enthalten können, die die meldende Person zur besseren Untermauerung ihrer Meldung mitteilen möchte;
- alle die gemeldete Person betreffenden Informationen über Vorgänge im Zusammenhang mit der Begehung von Straftaten oder Strafverfahren. Die Verarbeitung dieser Daten erfolgt gemäß den geltenden Rechtsvorschriften und insbesondere gemäß Artikel 10 DSGVO.
Der Bericht darf weder Fakten enthalten, die für die Zwecke des Berichts selbst nicht relevant sind, noch besondere Kategorien personenbezogener Daten im Sinne von Artikel 9 DSGVO, es sei denn, dies ist unvermeidbar und für die Zwecke des genannten Berichts erforderlich.
Zwecke und Rechtsgrundlage
Die personenbezogenen Daten der betroffenen Personen werden von den gemeinsam für die Verarbeitung Verantwortlichen für die Zwecke der Anwendung der oben genannten „Whistleblowing-Gruppenrichtlinie“ verarbeitet, d. h. für die Verwaltung der eingegangenen Meldungen, die Ermittlung der Fakten, die Gegenstand der Meldungen sind, und die Ergreifung der entsprechenden Maßnahmen.
Gemäß Artikel 6 Absatz 1 Buchstaben c und f der Verordnung sind alle personenbezogenen Daten, die im Rahmen dieser Verarbeitung erhoben werden, streng zweckgebunden und notwendig zur Erfüllung einer rechtlichen Verpflichtung, der die gemeinsam für die Verarbeitung Verantwortlichen unterliegen, im Hinblick auf die Verpflichtung, einen oder mehrere Kanäle für die Übermittlung von Hinweisen auf rechtswidriges Verhalten gemäß Artikel 6 Absatz 2-bis des italienischen Gesetzesdekrets Nr. 231/2001, und für die Verfolgung der damit verbundenen legitimen Interessen der gemeinsam für die Verarbeitung Verantwortlichen in Bezug auf die Aufrechterhaltung der Integrität der Unternehmensorganisation sowie die Vorbeugung und Unterdrückung von Fehlverhalten, auch bei der Umsetzung des Ethikkodex des Unternehmens und des 231 Organisationsmodells jedes Unternehmens der Gruppe. Es wird darauf hingewiesen, dass das Gesetzesdekret 231/2001 nur für die italienischen Gesellschaften der Gruppe gilt.
Enthält der Bericht Daten besonderer Art, so werden die Daten von den gemeinsam für die Verarbeitung Verantwortlichen gemäß Art. 9 Absatz 2 Buchstabe b der Verordnung, damit die gemeinsam für die Verarbeitung Verantwortlichen ihre Pflichten erfüllen und bestimmte Rechte im Bereich des Arbeitsrechts ausüben kann, und gegebenenfalls auch gemäß Art. 9 Absatz 2 Buchstabe f der Verordnung, damit die gemeinsam für die Verarbeitung Verantwortlichem ein Recht vor Gericht feststellen, ausüben oder verteidigen können.
Methode der Verarbeitung
Die Datenverarbeitung erfolgt über ein Portal, das unter der folgenden Webadresse erreichbar ist: https://namirial.segnalazioni.net/. Die Verarbeitung erfolgt im Einklang mit den oben genannten Zwecken und in jedem Fall so, dass die Sicherheit und Vertraulichkeit der Daten gewährleistet ist. Insbesondere die Übermittlung der vom Meldenden durch Ausfüllen der Plattform bereitgestellten Daten erfolgt über das https-Protokoll. Darüber hinaus werden „asymmetrische“ Verschlüsselungstechniken angewandt, bei denen ein öffentliches Schlüsselpaar und ein jedem Nutzer zugewiesener privater Schlüssel verwendet werden, wodurch die Vertraulichkeit der übermittelten Informationen gewährleistet wird.
Aufbewahrung von personenbezogenen Daten
Die Meldungen und die sie betreffenden personenbezogenen Daten werden für einen Zeitraum von höchstens 5 (fünf) Jahren nach Abschluss jeder Meldung aufbewahrt, es sei denn, es wird ein Gerichts- und/oder Disziplinarverfahren gegen die gemeldete Person oder den Meldenden eingeleitet; in diesem Fall können die personenbezogenen Daten bis zum endgültigen Abschluss des Gerichts- und/oder Disziplinarverfahrens aufbewahrt werden, auch wenn dies nach Ablauf der Fünfjahresfrist geschieht.
Übermittlung von Daten an Drittländer
Die gemeinsam für die Verarbeitung Verantwortlichen übermitteln im Rahmen der oben beschriebenen Zwecke keine Daten an Drittländer außerhalb der EU (EXTRA-EU-Länder). Im Falle einer künftigen Einbeziehung von Dritten, die in Ländern außerhalb der EU ansässig sind, werden für die betreffende Datenübermittlung die angemessenen Garantien entsprechend den Angemessenheitsbeschlüssen der Europäischen Kommission und/oder der nationalen Datenschutzbehörde, die von Zeit zu Zeit für den jeweiligen Fall erlassen werden, angenommen. Weitere Informationen über die Fälle möglicher Datenübermittlungen in Länder außerhalb der EU (EXTRA-EU-Länder), die entsprechenden Schutzmaßnahmen sowie Informationen über die Unternehmen, die als Auftragsverarbeiter für personenbezogene Daten eingesetzt werden, werden den betroffenen Personen zur Verfügung gestellt.
.
Umfang der Datenkommunikation
Wie im Verfahren angegeben, werden die Berichte und die sich darauf beziehenden Daten von dem zuständigen Ausschuss der Gruppe bei der Namirial S.p.A. (im Folgenden auch „Muttergesellschaft“) entgegengenommen.
Im Rahmen der oben genannten Zwecke können Ihre Daten auch von den gemeinsam für die Verarbeitung Verantwortlichen übermittelt werden:
- an Dritte, die im Auftrag der gemeinsam für die Verarbeitung Verantwortlichen einen Teil der Verarbeitungstätigkeiten und/oder Tätigkeiten, die mit diesen verbunden sind und dazu beitragen, durchführen. Diese Personen werden auch als Datenverarbeiter gemäß Artikel 28 DSGVO ernannt. Dazu gehört das Unternehmen DigitalPA, das die technologische Plattform für den Versand der Berichte bereitstellt und verwaltet;
- an Einzelpersonen, Angestellte und/oder Mitarbeiter der gemeinsam für die Verarbeitung Verantwortlichen, die mit spezifischen und/oder mehrfachen Verarbeitungstätigkeiten in Bezug auf Ihre personenbezogenen Daten betraut worden sind. Diese Personen haben spezifische Anweisungen für die Sicherheit und die ordnungsgemäße Verwendung personenbezogener Daten erhalten und sind als die Personen definiert, die befugt sind, personenbezogene Daten unter der direkten Aufsicht der gemeinsam für die Verarbeitung Verantwortlichen oder des Datenverarbeiters zu verarbeiten;
- an die Justizbehörde oder andere externe Behörden für die entsprechenden Ermittlungen nach den in den geltenden Vorschriften vorgesehenen Modalitäten.
Andererseits werden Ihre personenbezogenen Daten nicht an nicht näher bezeichnete Empfänger weitergegeben oder veröffentlicht.
Rechte der betroffenen Personen
Die für die Verarbeitung Verantwortlichen gewähren Ihnen die Möglichkeit, die in den Artikeln 15 ff. der Verordnung anerkannten Rechte auszuüben (d. h. Recht auf Zugang zu personenbezogenen Daten, auf deren Berichtigung oder Löschung, auf Einschränkung der Verarbeitung, auf Übertragbarkeit personenbezogener Daten, auf Widerspruch aus Gründen, die sich aus Ihrer besonderen Situation ergeben).
Darüber hinaus haben Sie das Recht, unter den Bedingungen und in den Grenzen der geltenden Gesetzgebung eine Beschwerde bei der italienischen Datenschutzbehörde gemäß Artikel 77 der Verordnung einzureichen. Sie können Ihre Rechte wahrnehmen, indem Sie eine E-Mail an dpo@namirial.com senden. Über dieselbe Adresse können Sie die von Zeit zu Zeit aktualisierte Liste der von den gemeinsam für die Verarbeitung Verantwortlichen ernannten Datenverarbeitern anfordern.
Gemäß den Bestimmungen von Artikel 2 des italienischen Gesetzesdekrets 196/2003 (italienisches Datenschutzgesetz) wird darauf hingewiesen, dass die oben genannten Rechte nicht durch einen Antrag an die für die Verarbeitung Verantwortlichen oder durch eine Beschwerde gemäß Artikel 77 der Verordnung ausgeübt werden können, wenn die Ausübung dieser Rechte zu einer tatsächlichen und konkreten Beeinträchtigung der Vertraulichkeit der Identität des Mitarbeiters führen kann, der eine Meldung gemäß dem italienischen Gesetz Nr. 179 vom 30. November 2017 über eine rechtswidrige Handlung, von der er aufgrund seines Amtes Kenntnis erlangt hat.
Die Ausübung dieser Rechte kann in jedem Fall so lange verzögert, eingeschränkt oder ausgeschlossen werden, wie dies unter Berücksichtigung der Grundrechte und der berechtigten Interessen der betroffenen Person eine notwendige und verhältnismäßige Maßnahme darstellt, um die Vertraulichkeitsinteressen des Meldenden zu wahren. In solchen Fällen können die Rechte der betroffenen Person auch über die italienische Datenschutzbehörde gemäß Artikel 160 des italienischen Datenschutzgesetzes ausgeübt werden. Es wird darauf hingewiesen, dass das Dekret 196/2003 (Datenschutzgesetz) und das Gesetz Nr. 179 vom 30. November 2017 nur für die italienischen Unternehmen der Gruppe gelten.