Сигурността на данните е грижа за нас
Като публична фирма OeBB отдава голямо значение на защитата на поверителността на данните. Това е особено важно за обработката на известия относно незаконно и друго несъответстващо поведение.
За да даде възможност на всички да подават подходяща информация, OeBB не само е създала имейл адреса compliance@oebb.at, но и предоставя уеб платформа. Тази уеб платформа е предоставена за OeBB от добре познат външен доставчик на ИТ решения в областта на съответствието.
Настоящата декларация за поверителност прави прозрачен начина, по който ще се използват данните, получени на тази електронна поща и уеб платформа, както и други данни, събрани във връзка с такава информация.
Общ регламент относно сигурността на данните
Статиите, цитирани в този документ, се отнасят до Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица по отношение на обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно сигурността на данните, наричан по-долу „ОРЗД“). ОРЗД е пряко приложим във всички държави-членки на ЕС.
Закон за защита на лицата, подаващи сигнали за нередности
Австрийският закон за защита на лицата, сигнализиращи за нередности, и съответните правни актове в националните правни системи (HSchG) прилагат Директивата на ЕС за подаване на сигнали за нередности 2019/1937 в националното законодателство. Фирмите са длъжни да осигурят канали за докладване, които да позволят на лицата, подаващи сигнали за нарушения, да съобщават поверително за своите опасения. На лицата, подаващи сигнали за нередности, се предоставя специална защита от HSchG. Референциите към конкретни параграфи и текстови пасажи се отнасят до австрийския HSchG.
Администратор
Администратор на лични данни, обработвани в хода на подаването на сигнал за нередност (напр. лицето, подало сигнала, или на лица, които биха могли да бъдат замесени в посочените законови нарушения), както е определено в чл. 4, т. 7 от ОРЗД, е всяка фирма от OeBB Group, в чиято вреда е извършено разследваното деяние или чието право се накърнява от разследваното деяние. Това важи също така, ако фирмата не е изрично спомената или е неправилно посочена в получената информация.
Фирмите от OeBB Group колективно управляват системата за сигнали за нередности съгласно чл. 8, ал. 4 от HSchG и са сключили споразумение като „съвместни администратори“ съгласно чл. 26 от ОРЗД. Тази съвместна отговорност включва само получаване на информация и изпълнение на задълженията за оповестяване, предписани в § 13, ред 9 от HSchG.
Службата за съответствие на ÖBB-Holding AG, Am Hauptbahnhof 2, 1100 Виена ("Служба за съответствие") представлява вътрешната организация, както е определено в § 5, ред 6 от HSchG.
Започване на разследвания
Информацията, получена на имейл адреса compliance@oebb.at, чрез уеб платформата или по друг начин (например по пощата или по телефона), първо се проверява за достоверност. След това информацията се предава на съответната фирма от групата. Всяка фирма от групата носи отговорност за своята бизнес област, за да гарантира, че подозрението, на което се основава информацията, е разследвано. Тази фирма от групата е също така „управител на данните", които са установени в хода на разследването, и следователно е "администратор" по смисъла на ОРЗД.
Връзка към най-важните фирми от OeBB Group и техните отпечатъци е достъпна на адрес: https://konzern.oebb.at/en/imprint. Отпечатъците показват и съответната корпоративна цел на фирми от групата.
Обработващи личните данни за цялата група
При анализа на получената информация фирмите от групата се подпомагат от Службата за съответствие на ÖBB-Holding AG, която се ръководи от Главния директор по съответствието на OeBB.
Поради това ÖBB-Holding AG участва в анализа на входящата информация като "обработващ" по смисъла на член 4, точка 8 от ОРЗД. Службата за съответствие възлага входящата информация на съответната фирма от групата и подкрепя фирмата във вътрешното разследване и свързаната документация.
Уеб платформата, използвана за получаване на съобщения, е предоставена за OeBB от фирмата EQS Group GmbH (по-рано EQS Group GmbH), D-80333 München. Технически е невъзможно самият EQS Group GmbH да има достъп до данните, предавани чрез уеб платформата, или да има достъп до информацията, съхранявана там. Следователно EQS Group GmbH не е обработващ лични данни по смисъла на чл. 4, пар. 8 от ОРЗД.
Длъжностно лице по сигурност на данните
В рамките на OeBB Group за всяка фирма от групата е назначено длъжностно лице по сигурност на данните. Моля, намерете общ преглед на адрес: https://konzern.oebb.at/en/imprint/data-protection-officers.
Длъжностно лице по сигурност на данните за групата е на разположение и на имейл адреса datenschutz.konzern@oebb.at.
Правно основание за обработка на данни
Правното основание за обработката на данни е
- Чл. 6, параграф 1, буква а) от ОРЗД, т.е. съгласието, дадено от лицето, подало сигнала, за обработката на неговите данни,
- Чл. 6, параграф 1, буква c от ОРЗД, т.е. правното задължение, произтичащо от HSchG за администратора (съответната фирма от OeBB Group) да създаде канали за докладване на правни нарушения и да документира и разследва получените съобщения,
- Чл. 6, параграф 1, буква е) от ОРЗД, т.е. законните интереси, преследвани от администратора (съответната фирма от групата OeBB), за разследване на индикации за неправомерно поведение в ущърб на фирмата.
Ако използването на данните се основава на съгласието на подателя на сигнала, оттеглянето на това съгласие не засяга законосъобразността на обработката и предаването на данните, извършени въз основа на съгласието до оттеглянето (чл. 8, ал. 2 и 4 от HSchG). След като веднъж е предоставена информация, тя не може да бъде оттеглена или "отменена".
Описание и обхват на обработката на данни
Целта на дейността по обработката е да се проучат фактите,
- които включват нарушение на правото на Съюза в областите, посочени в член 2 от Директива (ЕС) 2019/1937 от 23 октомври 2019 г. и съответните национални разпоредби за прилагане (HSchG); или
- които в противен случай е вероятно да породят подозрение за неправомерно поведение,
- което попада в компетенциите на Службата за съответствие съгласно Насока 15 на OeBB Group или
- служи за предотвратяване на сериозни неудобства за администратора, произтичащи от неправомерно поведение на неговите служители поради друго незаконно поведение.
Анонимност на лицето, подало сигнала за нередности
По принцип самоличността на подателя на сигнала се разкрива само със съгласието му. На уеб платформата лицата, подаващи сигнали, могат да подават анонимни сигнали и впоследствие да общуват анонимно със служителите на Службата за съответствие.
Ако самоличността на лицето, подало сигнала, е известна на Службата за съответствие, тя ще бъде разкрита в тези случаи, независимо от съгласието на подателя на сигнала:
- По силата на публичното право съществува задължение за разкриване на самоличността на подателя на сигнала пред съд или административен орган, напр. при разпит на свидетел (служителите на OeBB Group, които се занимават с въпроси, свързани със спазването на законодателството, подлежат на задължението да свидетелстват и нямат право да откажат да свидетелстват)
- Информация, предоставена на субекти на данни в съответствие с член 15 от ОРЗД, ако уведомлението е невярно и е направено недобросъвестно, поради което подателят на сигнала няма законен интерес да запази самоличността си в тайна.
Уведомяване на субектите на данни
Ако в информацията, предоставена от лицето, подало сигнала, се споменава конкретно лице (по-специално във връзка с подозрение, насочено срещу него или нея), данните се съхраняват във връзка с информацията, а субектът на данните се информира за съхранението на данните в съответствие с член 14 от ОРЗД незабавно, веднага щом тази информация вече не може да застраши целите на разследването.
По принцип това се случва по време на вътрешното разследване, докато съответното лице се разпитва от Службата за съответствие, тъй като предварителното уведомление може да застраши целта на разследването.
Субектът на данните ще бъде своевременно информиран за разследваното подозрение. По същия начин фирмата от OeBB Group, отговорна за разследването на предполагаемия случай, както и всички други участващи фирми от OeBB Group ще бъдат информирани. Освен това ще бъде посочен начинът, по който може да се упражни правото на защита и други права на информация.
Работа с друга информация
Получената информация, която не е необходима за постигане на горепосочената цел, т.е. която не е свързана например с неправомерно поведение на служител или орган на фирма на OeBB или която се отнася до поведение, което очевидно не е причинило на OeBB вреди или други неблагоприятни последици, нито нарушава правото на Съюза, няма да бъде разглеждана от отдел "Съответствие" и, ако е необходимо, ще бъде предадена на съответните вътрешни отдели.
Въпреки това OeBB си запазва правото да предаде определена информация на публичните органи, която на пръв поглед показва инцидент, който не е от значение за спазването на правилата, но е от значение за наказателното право, като запазва анонимността на лицето, което е предоставило информацията в смисъла, описан по-горе.
Получатели на данни
- Вътрешни получатели на OeBB
Личните данни се използват за съобщаване на отговорния изпълнителен ръководен орган, който в крайна сметка взема решение за по-нататъшната процедура (напр. дисциплинарни последствия).
Данните се използват и за съобщаване на мерките, предприети в рамките на OeBB Group, на изпълнителните органи на фирмите майки на подгрупата, както и на ÖBB-Holding AG.
- Външни получатели
Данните, определени като част от обработката на информация, могат да бъдат предадени на органите за сигурност, регулаторните органи, прокуратурите и наказателните съдилища за целите на наказателното преследване, за да се предоставят доказателства по наказателни дела, ако е необходимо. Данните могат да се използват и в граждански съдебни производства за принудително изпълнение на искове и за предоставяне на доказателства. Встъпилата фирма OeBB може да назначи професионални представители на страните (адвокати), които да я представляват в съответните производства.
В такива случаи самоличността на лицето, което е предоставило информацията, се разкрива само със съгласието му или ако официален акт налага разкриването. В този контекст, моля, имайте предвид, че служителите на OeBB Group, които са ангажирани с въпроси, свързани със спазването на законодателството, са задължени да свидетелстват и нямат право да откажат да свидетелстват.
Доставчик на услуги
В допълнение към уеб платформата за управление на делата ÖBB-Holding AG използва софтуерно приложение, управлявано от ÖBB-BCC GmbH като обработващ.
В отделни случаи ÖBB-Holding AG използва доставчици на съдебномедицински услуги, чиято дейност е защитена от задължението за опазване на професионална тайна, като допълнителни обработващи за разследване на сложни факти.
Съответните споразумения се сключват с всички обработващи сигналите. Във всеки случай на обработващите лични данни е забранено да вземат решения относно използването на данните.
Период на съхранение
Данните, събрани в рамките на разследването, се съхраняват в продължение на пет години. Освен това данните се съхраняват толкова дълго, колкото е необходимо за провеждане на вече започнати административни или съдебни производства или на следствени действия съгласно StPO (§ 8, ал. 11 HSchG). Ако съгласно приложимото национално законодателство се изискват по-кратки срокове, те ще бъдат разгледани по съответния начин.
Информацията, свързана с делото, особено протоколите от интервютата, бележките и копията на други документи, се архивират в електронен вид след изтичането на този срок за съхранение. Архивирането се извършва по такъв начин, че служителите и органите на OeBB вече нямат достъп до такива архивирани файлове. Тогава достъпът е възможен само за главния служител по съответствието, който не подлежи на никакви инструкции от юридическите лица по отношение на дейността си и действа само по официално искане. Извършваните операции по обработка се записват. Регистрационните данни за тези процеси ще бъдат изтрити три години след прекратяване на задължението за запазване (§ 8, ал. 11 от HSchG).
Данните ще бъдат напълно изтрити след седем години.
Необоснованите съобщения, които не са в обхвата на HSchG, се архивират два месеца след приключване на разследванията.
Права на субектите на данни
Имате следните права по отношение на използването на Вашите лични данни:
- Право на достъп
- Право на коригиране
- Право на изтриване
- Право на ограничаване на обработването
- Право на преносимост на данните
- Право на възражение
В случай че искате да упражните горепосочените права срещу ÖBB-Holding AG или друга фирма от групата, моля, изпратете съобщение на горепосочените данни за контакт или на длъжностното лице по сигурността на данните, посочено в импринта на всяко дъщерно дружество. Моля, посочете в полето за темата заявяването на Вашите права в съответствие с ОРЗД, както и контекста на въпроса Ви (обработване на данни в контекста на конкретен случай на съответствие).
Моля, имайте предвид, че разследването за съответствие не се основава на съгласие и следователно няма право на преносимост на данните.
Имате възможност да подадете жалба до надзорния орган за сигурността на данните. Надзорният орган, отговорен за OeBB Group, е: Австрийски орган по сигурността на данните (Österreichische Datenschutzbehörde), Barichgasse 40-42, 1030 Vienna; e-mail: dsb@dsb.gv.at.