Informatie over de verwerking van persoonsgegevens
Hieronder vind je informatie over de verwerking van persoonsgegevens die plaatsvindt in verband met onze behandeling van klokkenluiderszaken en jouw rechten als betrokkene.
Verantwoordelijke voor de gegevensverwerking
Verantwoordelijke voor de verwerking van persoonsgegevens is:
Cipax AB, org. nr. 556065-7875
Stinsvägen 11
763 93 Skebobruk, Sweden
info@cipax.com
+46 (0)175-252 00
Voor meer informatie over de wijze waarop wij persoonsgegevens verwerken, verwijzen wij naar ons geldende Privacybeleid.
Doel van en rechtsgrond voor verwerking
Het doel van de verwerking is te voldoen aan de wettelijke eisen die aan de organisatie worden gesteld om te voorzien in een klokkenluidersfunctie en om het onderzoek uit te voeren dat op grond van de binnengekomen zaken vereist is. Het doel is eveneens om persoonsgegevens te verwerken wanneer dat nodig is in verband met een vervolgonderzoek. Dit houdt in dat we mogelijk persoonsgegevens moeten verwerken om:
- Gemelde klokkenluiderszaken af te handelen;
- De rechten van de organisatie veilig te stellen en haar verplichtingen met betrekking tot onregelmatigheden die door klokkenluiders aan het licht zijn gebracht, na te komen;
- Te voldoen aan de wettelijke eisen die aan de organisatie worden gesteld.
De wettelijke grondslag voor de verwerking van persoonsgegevens in verband met klokkenluiderszaken is als uitgangspunt een wettelijke verplichting krachtens hoofdstuk 5 artikel 2 van Wet (2021:890) betreffende de bescherming van personen die misstanden melden.
De wettelijke grondslag voor de verwerking van persoonsgegevens in verband met de afhandeling van klokkenluiderszaken en andere maatregelen die zijn genomen in verband met een gemelde zaak, is de nakoming van een wettelijke verplichting of het gerechtvaardigd belang van de organisatie bij het vrijwaren van haar rechten op basis van vermoedelijke of vastgestelde onregelmatigheden.
Categorieën van betrokkenen
In verband met de behandeling van klokkenluiderszaken kunnen persoonsgegevens van de volgende categorieën betrokkenen worden verwerkt:
- De persoon die een zaak meldt, als deze persoon er niet voor kiest om anoniem te blijven;
- De persoon of personen die in een melding worden genoemd;
- Iedereen die een administratieve rol heeft bij de verwerking en het onderzoek van aangemelde zaken.
Openbaarmaking van gegevens en gegevensverwerkers
De gegevens kunnen openbaar worden gemaakt aan autoriteiten (bijvoorbeeld aan de politie in gevallen waarin klokkenluiderszaken leiden tot aangifte bij de politie). In verband met vervolgonderzoek en herstel naar aanleiding van een klokkenluiderszaak, kan informatie ook openbaar worden gemaakt aan andere bedrijfsonderdelen of bedrijven binnen de Groep.
De verwerking in verband met klokkenluiderszaken wordt ook door gegevensverwerkers uitgevoerd. Zij mogen daarbij alleen handelen op onze aanwijzingen, die specifiek in de verwerkersovereenkomst zijn geregeld.
Overdrachten naar derde landen
We streven ernaar om geen gegevens over te dragen naar een land of bedrijf buiten de EU/EER en alle opslag van persoonsgegevens met betrekking tot de inhoud van klokkenluiderszaken vindt plaats binnen de EU/EER op servers die eigendom zijn van bedrijven in Zweden.
Het inlogbeheer vindt plaats via Microsoft Azure Active Directory. De opslag vindt plaats binnen de EU/EER, maar aangezien de provider Amerikaans is, bestaat het risico dat inlog-gerelateerde persoonsgegevens beschikbaar worden gesteld aan Amerikaanse autoriteiten. Dit kan negatieve gevolgen hebben voor de privacybescherming, omdat Amerikaanse autoriteiten niet verplicht zijn de Europese GDPR (AVG) na te leven. In het geval dat er een overdracht naar een derde land plaatsvindt, zijn er standaard contractuele clausules als beschermingsmaatregel. Neem contact met ons op voor meer informatie over hoe wij jouw persoonsgegevens beschermen.
Bewaren en verwijderen van gegevens
De persoonsgegevens in een klokkenluiderszaak worden gedurende twee jaar na afsluiting van de zaak bewaard.
De persoonsgegevens voor het beheer van de administratie en de toegang worden bewaard voor de duur van de toegang.
Indien een zaak nader intern onderzoek vereist, gaat de verwerking van persoonsgegevens door zolang de zaak dit vereist.
Na het verstrijken van de bewaartermijn worden alle persoonsgegevens gewist.