Informationen zur Verarbeitung personenbezogener Daten
Nachfolgend finden Sie Informationen über die Verarbeitung personenbezogener Daten im Zusammenhang mit unserer Bearbeitung von Hinweisgeberfällen und Ihre Rechte als betroffene Person.
Datenverantwortlicher
Verantwortlich für die Verarbeitung personenbezogener Daten ist:
Cipax AB, Org.-Nr. 556065-7875
Stinsvägen 11
763 93 Skebobruk, Sweden
info@cipax.com
+46 175-252 00
Weitere Informationen zu unserem Umgang mit personenbezogenen Daten finden Sie in unserer jeweils gültigen Datenschutzerklärung.
Zweck und Rechtsgrundlage der Verarbeitung
Der Zweck der Verarbeitung besteht darin, die gesetzlichen Anforderungen zu erfüllen, die der Organisation auferlegt sind. Dabei geht es um die Bereitstellung einer Hinweisgeberstelle und um die Durchführung von Prüfungen, die aufgrund der eingegangenen Hinweise erforderlich sind. Ferner werden personenbezogene Daten verarbeitet, wenn dies im Zusammenhang mit Folgefällen erforderlich ist. Dies bedeutet, dass wir möglicherweise personenbezogene Daten verarbeiten müssen, um:
- gemeldete Whistleblowing-Fällen zu bearbeiten.
- die Rechte der Organisation zu schützen und ihre Verpflichtungen zu erfüllen, die sich aus den in Whistleblowing-Fällen aufgedeckten Missständen ergeben.
- die der Organisation auferlegten gesetzlichen Anforderungen zu erfüllen.
Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten im Zusammenhang mit Whistleblowing-Fällen ist in erster Linie eine gesetzliche Verpflichtung gemäß Kapitel 5, Abschnitt 2 des Gesetzes (2021:890) über den Schutz von Personen, die Missstände melden.
Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten im Zusammenhang mit der Bearbeitung von Whistleblowing-Fällen und anderen Maßnahmen, die als Reaktion auf einen gemeldeten Fall ergriffen werden, besteht in der Erfüllung einer rechtlichen Verpflichtung oder dem berechtigten Interesse der Organisation an der Verteidigung ihrer Rechte aufgrund von vermuteten oder festgestellten Missständen.
Kategorien betroffener Personen
Im Zusammenhang mit der Bearbeitung von Whistleblowing-Fällen können personenbezogene Daten der folgenden Kategorien von betroffenen Personen verarbeitet werden:
- Die Person, die einen Fall meldet, es sei denn, sie möchte anonym bleiben.
- Die Person oder die Personen, die in einer Meldung erscheinen.
- Die Person, die eine administrative Rolle bei der Bearbeitung und Untersuchung der gemeldeten Fälle innehat.
Offenlegung von Daten und Datenverarbeitern
Die Daten können an öffentliche Behörden weitergegeben werden (z. B. an Polizeibehörden, wenn Whistleblowing-Fälle zu einer polizeilichen Anzeige führen). Die Daten können im Zusammenhang mit der Untersuchung, Weiterverfolgung und Behebung eines Whistleblowing-Falls auch an andere Geschäftsbereiche innerhalb unserer Organisation oder andere Unternehmen innerhalb der Gruppe weitergegeben werden.
Die Verarbeitung im Zusammenhang mit Whistleblowing-Fällen findet auch bei Datenverarbeitern statt. Diese dürfen ausschließlich gemäß unseren Weisungen handeln, wie in der zugrundeliegenden Datenbearbeitungsvereinbarung festgehalten.
Übermittlungen in Drittländer
Wir sind bestrebt, keine Daten an ein Land oder ein Unternehmen außerhalb der EU/des EWR zu übermitteln, und die gesamte Speicherung personenbezogener Daten, die sich auf den Inhalt von Whistleblowing-Fällen beziehen, erfolgt innerhalb der EU/des EWR auf Servern, die Unternehmen in Schweden gehören.
Die Verwaltung von Anmeldungen erfolgt über Microsoft Azure Active Directory. Die Speicherung erfolgt innerhalb der EU/EWR, aber da der Anbieter in den USA ansässig ist, besteht das Risiko, dass personenbezogene Daten im Zusammenhang mit einer Anmeldung an US-Behörden weitergegeben werden, was sich negativ auf den Datenschutz auswirken kann, da US-Behörden nicht zur Einhaltung der DSGVO verpflichtet sind. Für den Fall der Übermittlung in ein Drittland greifen Standardvertragsklauseln als Absicherung. Bitte kontaktieren Sie uns für weitere Informationen darüber, wie wir Ihre personenbezogenen Daten schützen.
Speicherung und Löschung
Die in einem Whistleblowing-Fall verarbeiteten persönlichen Daten werden für zwei Jahre nach Abschluss des Falles gespeichert.
Die zur Administration und zur Zuständigkeit verwendeten personenbezogenen Daten werden so lange gespeichert, wie die Zuständigkeit gültig ist.
Wenn ein Fall intern weiter geprüft werden muss, wird die Verarbeitung personenbezogener Daten so lange fortgesetzt, wie der Fall dies erfordert.
Wenn die Aufbewahrungsfrist abläuft, werden alle personenbezogenen Daten gelöscht.