Ochrana údajů je pro nás důležitá
ÖBB, jakožto veřejná firma, klade velký důraz na ochranu údajů. Tato ochrana má obzvláštní význam při zpracovávání oznámení o nezákonném a jiném protiprávním chování.
Aby každý mohl podat relevantní informace, ÖBB nejenže zřídila e-mailovou adresu compliance@oebb.at, ale poskytuje také odpovídající webovou platformu. Tuto webovou platformu pro ÖBB zajišťuje renomovaný externí poskytovatel IT řešení v oblasti compliance.
Toto prohlášení o ochraně osobních údajů transparentně informuje o tom, jak budou použity údaje přijaté na této e-mailové adrese a webové platformě a další údaje shromážděné v souvislosti s těmito informacemi.
Obecné nařízení o ochraně údajů
Články citované v tomto dokumentu se vytahují k nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů, dále jen „GDPR“). GDPR je přímo použitelné ve všech členských státech EU.
Zákon o ochraně oznamovatelů
Rakouský zákon o ochraně oznamovatelů (HinweisgeberInnenschutzgesetz, zkr. HSchG) a odpovídající právní akty ve vnitrostátních právních řádech implementují směrnici EU 2019/1937 o ochraně osob, které oznamují porušení práva Unie, do vnitrostátního práva. Firmy jsou povinny poskytovat kanály pro podávání hlášení umožňující oznamovatelům důvěrným způsobem oznamovat svá podezření týkající se porušení předpisů. Rakouský zákon o ochraně oznamovatelů přiznává oznamovatelům zvláštní ochranu. Odkazy na konkrétní paragrafy a textové pasáže se vztahují k rakouskému zákonu o ochraně oznamovatelů.
Správce údajů
Správcem osobních údajů zpracovávaných v rámci oznamování (např. osoba oznamovatele nebo osoby, které by mohly být zapojeny do popsaných protiprávních jednání) ve smyslu čl. 4 odst. 7 GDPR je každá firma skupiny ÖBB, na jejíž úkor bylo vyšetřované jednání spácháno nebo do jejíchž práv bylo vyšetřovaným jednáním zasaženo. To platí i v případě, že firma není v obdržených informacích výslovně zmiňována nebo je uvedena nesprávně.
Firmy skupiny ÖBB společně provozují systém pro oznamovatele v souladu s § 8 odst. 4 rakouského zákona o ochraně oznamovatelů (HinweisgeberInnenschutzgesetz) a uzavřely mezi sebou ujednání jako „společní správci“ podle čl. 26 GDPR. Tato společná odpovědnost zahrnuje výlučně přijímání informací a plnění povinností vyrozumívání stanovených v § 13 odst. 9 rakouského zákona o ochraně oznamovatelů.
Compliance oddělení společnosti ÖBB-Holding AG, Am Hauptbahnhof 2, 1100 Vídeň (Compliance Office) představuje interní organizaci ve smyslu § 5 odst. 6 rakouského zákona o ochraně oznamovatelů.
Zahájení vyšetřování
Informace přijaté na e-mailové adrese compliance@oebb.at prostřednictvím webové platformy nebo poskytnuté jiným způsobem (např. poštou nebo telefonicky), se nejprve prověří z hlediska hodnověrnosti. Poté jsou tyto informace postoupeny příslušné firmě skupiny. Každá firma skupiny je odpovědná za svou oblast obchodní činnosti, v rámci čehož musí zajistit, aby bylo podezření, na němž jsou informace založeny, vyšetřeno. Tato firma skupiny je také „vlastníkem údajů“, které jsou zjišťovány v průběhu vyšetřování, a tudíž i „správcem údajů“ ve smyslu GDPR.
Odkaz na nejdůležitější firmy skupiny ÖBB a jejich impresa najdete na internetové adrese: https://konzern.oebb.at/en/imprint. Impresa rovněž udávají příslušný předmět činnosti jednotlivých firem skupiny.
Zpracovatelé v rozsahu celé skupiny
S analýzou obdržených informací pomáhá firmám skupiny ÖBB Compliance oddělení společnosti ÖBB-Holding AG, v jehož čele stojí Chief Compliance Officer skupiny ÖBB.
Společnost ÖBB-Holding AG se proto podílí na analýze příchozích informací jako „zpracovatel“ ve smyslu čl. 4 odst. 8 GDPR. Compliance oddělení přiřadí příchozí informace příslušné firmě skupiny a této firmě poskytuje podporu při interním vyšetřování a související dokumentaci.
Webovou platformu používanou pro přijímání hlášení zajišťuje pro skupinu ÖBB společnost EQS Group GmbH (dříve EQS Group GmbH), D-80333 Mnichov. Samotná společnost EQS Group GmbH nemá z technického hlediska žádnou možnost získat přístup k údajům přenášeným prostřednictvím této webové platformy ani k informacím na ní uloženým. Společnost EQS Group GmbH proto není zpracovatelem ve smyslu čl. 4 odst. 8 GDPR.
Pověřenec pro ochranu osobních údajů
V rámci skupiny ÖBB byl ustanoven pověřenec pro ochranu osobních údajů pro každou firmu skupiny. Jejich přehled najdete na internetové adrese: https://konzern.oebb.at/en/imprint/data-protection-officers.
Pověřenec pro ochranu osobních údajů skupiny je rovněž dostupný prostřednictvím e-mailové adresy datenschutz.konzern@oebb.at.
Právní základ pro zpracování údajů
Právním základem pro zpracování údajů je
- Článek 6 odst. 1 písm. a) GDPR, tedy souhlas se zpracováním jeho údajů udělený oznamovatelem,
- Článek 6 odst. 1 písm. c) GDPR, tedy splnění právní povinnosti správce (příslušné firmy skupiny ÖBB) vyplývající pro něj z rakouského zákona o ochraně oznamovatelů (HSchG), zřídit kanály pro oznamování porušení právních předpisů a přijatá hlášení dokumentovat a vyšetřovat,
- Čl. 6 odst. 1 písm. f) GDPR, tj. oprávněné zájmy správce (příslušné firmy skupiny ÖBB) vyšetřovat případy pochybení spáchaných na úkor firmy.
Je-li použití údajů založeno na souhlasu oznamovatele, nemá odvolání tohoto souhlasu vliv na zákonnost zpracování a předávání těchto údajů, které byly provedeny na základě souhlasu až do jeho odvolání (čl. 8 odst. 2 a odst. 4 rakouského zákona o ochraně oznamovatelů (HSchG). Jednou poskytnuté informace nelze proto odvolat ani „anulovat“.
Popis a rozsah zpracování údajů
Účelem zpracování je vyšetření skutečností,
- které zahrnují porušení práva Unie v oblastech uvedených v článku 2 směrnice (EU) 2019/1937 ze dne 23. října 2019 a v příslušných vnitrostátních inkorporačních předpisech (rakouský zákon o ochraně oznamovatelů - HSchG); nebo
- které by jinak mohly vyvolat podezření z pochybení,
- které podle směrnice ÖBB č. 15 spadají do působnosti Compliance oddělení, nebo
- které slouží k odvrácení závažných znevýhodnění správce vyplývajících z pochybení jeho zaměstnanců v důsledku jiného protiprávního jednání.
Anonymita oznamovatele
Obecně platí, že totožnost oznamovatele bude zveřejněna pouze s jeho souhlasem. Na webové platformě mohou oznamovatelé anonymně podávat podněty a následně rovněž anonymně komunikovat se zaměstnanci Compliance oddělení.
Zná-li Compliance oddělení totožnost oznamovatele, zveřejní tuto bez ohledu na souhlas oznamovatele v následujících případech:
- Veřejné legislativa stanoví povinnost sdělit totožnost oznamovatele soudu nebo správnímu orgánu, např. při výslechu svědka (zaměstnanci skupiny ÖBB, kteří se zabývají compliance problematikou, podléhají svědecké povinnosti a nepřísluší jim právo výpověď odepřít).
- Informace poskytované subjektům údajů v souladu s článkem 15 GDPR, pokud je oznámení nepravdivé a bylo podáno ve zlé víře, v důsledku čehož nemá oznamovatel oprávněný zájem na utajení své totožnosti.
Oznámení subjektům údajů
Jestliže informace poskytnuté oznamovatelem zmiňují konkrétní osobu (zejména v souvislosti s podezřením namířeným proti ní), uloží se tyto údaje ve spojení s těmito informacemi a subjekt údajů bude v souladu s článkem 14 GDPR neprodleně informován o tomto uložení údajů, jakmile tyto informace již nebudou moci ohrozit účel vyšetřování.
Toto se zásadně provádí v průběhu interního vyšetřování při výslechu dotčené osoby Compliance oddělením, neboť dřívější oznámení by mohlo ohrozit účel vyšetřování.
O vyšetřovaném podezření bude subjekt údajů informován v příhodný okamžik. Podobně bude informována firma skupiny ÖBB odpovědná za vyšetřování případu podezření a rovněž všechny ostatní dotčené firmy skupiny ÖBB. Kromě toho se poskytnou informace o způsobu, jakým lze uplatňovat právo na obhajobu a další práva na informace.
Nakládání s dalšími informacemi
Informace, které nejsou nezbytné pro dosažení výše uvedeného účelu, tj. které se například netýkají pochybení zaměstnance ani orgánu firmy skupiny ÖBB, nebo které se týkají jednání, které zjevně nemůže skupině ÖBB způsobit škodu ani jinou újmu a které rovněž neporušuje právo Unie, nebudou Compliance oddělením dále prověřovány a budou případně postoupeny příslušným interním orgánům.
ÖBB si však vyhrazuje právo postoupit určité informace orgánům veřejné moci, jestliže tyto informace na první pohled nasvědčují události, která není relevantní z compliance hlediska, ale je relevantní z hlediska trestního práva, přičemž anonymita osoby, která informace poskytla, zůstává zachována ve výše uvedeném smyslu.
Příjemci údajů
- Interní příjemci v rámci ÖBB
Osobní údaje se používají pro účely podávání zpráv odpovědnému výkonnému orgánu vedení, který s konečnou platností rozhoduje o dalším postupu (např. disciplinární důsledky).
Údaje se rovněž používají pro podávání zpráv o opatřeních přijatých v rámci skupiny ÖBB výkonným orgánům mateřských firem podskupiny, stejně jako společnosti ÖBB-Holding AG.
- Externí příjemci
Údaje zjištěné v rámci zpracování informací mohou být předávány bezpečnostním orgánům, regulačním orgánům, státním zastupitelstvím a trestním soudům pro účely trestního řízení, aby v případě potřeby sloužily jako důkazní materiál v trestních věcech. Údaje smějí být rovněž využity v občanském soudním řízení k prokazování nároků a pro účely dokazování. Firma skupiny ÖBB vstupující do řízení si smí pro své zastoupení v odpovídajícím řízení zvolit profesionální zástupce (právníky).
V takových případech je totožnost osoby, která poskytla informace, zveřejněna pouze s jejím souhlasem nebo pokud to vyžaduje úřední akt. V této souvislosti mějte, prosím, na zřeteli, že zaměstnanci skupiny ÖBB zabývající se compliance problematikou, podléhají svědecké povinnosti a nepřísluší jim právo výpověď odepřít.
Poskytovatel služeb
Vedle webové platformy pro správu případů používá společnost ÖBB-Holding AG rovněž softwarovou aplikaci, jejímž provozovatelem v postavení zpracovatele je společnost ÖBB-BCC GmbH.
V individuálních případech využívá společnost ÖBB-Holding AG při vyšetřování složitých skutečností poskytovatele forenzních služeb, jejichž profesní činnost je vázána povinností mlčenlivosti, jako další zpracovatele.
Se všemi zpracovateli jsou uzavírána odpovídající ujednání. Zpracovatelům je v každém případě zapovězeno rozhodovat o použití údajů.
Doba uchovávání
Údaje shromážděné v průběhu vyšetřování se uchovávají po dobu pěti let. Nad tento rámec jsou údaje uchovávány po dobu nezbytnou pro realizaci již zahájených správních nebo soudních řízení nebo úkonů vyšetřování podle trestního řádu (§ 8 odst. 11 rakouského zákona o ochraně oznamovatelů - HSchG). Stanoví-li příslušné vnitrostátní právní předpisy kratší lhůty, zohlední se tyto analogicky.
Informace týkající se případu, zejména přepisy hovorů, poznámky a kopie další dokumentace, jsou po uplynutí této lhůty pro uchovávání elektronicky archivovány. Archivace se provádí tak, aby zaměstnanci ani firemní orgány skupiny ÖBB k archivovaným souborům již neměli přístup. Přístup k nim má poté již jen Chief Compliance Officer, který není při výkonu své činnosti žádným způsobem vázán pokyny orgánů skupiny a úkony činí pouze na základě oficiální žádosti. Prováděné operace se zaznamenávají do protokolu. Protokolová data zaznamenaná při těchto operacích budou vymazána tři roky po uplynutí povinnosti uchovávání (§ 8 odst. 11 HSchG).
Úplný výmaz těchto dat proběhne po uplynutí sedmi let.
Nepodložená hlášení, která nespadají do působnosti rakouského zákona o ochraně oznamovatelů (HSchG), se archivují po dobu dvou měsíců po skončení vyšetřování.
Práva subjektů údajů
V souvislosti s používáním vašich osobních údajů máte následující práva:
- Právo na přístup
- Právo na opravu
- Právo na výmaz
- Právo na omezení zpracování
- Právo na přenositelnost údajů
- Právo vznést námitku
Chcete-li uplatnit výše uvedená práva vůči společnosti ÖBB-Holding AG nebo jiné firmě skupiny, zašlete, prosím, zprávu na shora uvedené kontaktní údaje nebo pověřenci pro ochranu osobních údajů uvedenému v impresech jednotlivých dceřiných společností. V poli předmětu, prosím, uveďte, že uplatňujete svá práva v souladu s GDPR, stejně jako kontext vašeho požadavku (zpracování údajů v souvislosti s konkrétním compliance případem).
Vezměte, prosím, na vědomí, že vyšetřování týkající se compliance není založeno na souhlasu, a proto zde není možné uplatnit právo na přenositelnost údajů.
Máte právo podat stížnost k dozorčímu orgánu pověřenému ochranou osobních údajů. Dozorčím orgánem příslušným pro skupinu ÖBB je: Rakouský úřad pro ochranu osobních údajů (Österreichische Datenschutzbehörde), Barichgasse 40-42, 1030 Vídeň (Wien); e-mail: dsb@dsb.gv.at.