Polityka prywatności Tchibo GmbH, Tchibo Coffee Service GmbH oraz maxingvest GmbH & Co. KGaA:
Polityka prywatności Tchibo GmbH
Ochronę danych i poufność traktujemy bardzo poważnie. Przestrzegamy odpowiednich przepisów ogólnego rozporządzenia UE o ochronie danych (RODO) i obowiązujących krajowych przepisów o ochronie danych, takich jak niemiecka federalna ustawa o ochronie danych (BDSG).
Niniejsza Polityka prywatności ma charakter informacyjny i uwzględnia obowiązujące przepisy art. 13, 14 RODO. Prosimy o uważne zapoznanie się z poniższymi informacjami.
Cel i podstawa prawna systemu zgłoszeniowego
Udostępniony przez nas system zgłoszeniowy (BKMS® System) służy do bezpiecznego i poufnego odbierania oraz przetwarzania zgłoszeń dotyczących naruszeń polityki compliance Tchibo Management GmbH oraz do zarządzania tymi zgłoszeniami. Przetwarzanie danych osobowych w ramach BKMS® System wynika z uzasadnionej troski o interes firmy, przejawiający się w dążeniu do wykrywania nadużyć i zapobiegania im, a tym samym do ochrony firmy Tchibo GmbH, jej pracowników i klientów. Podstawą prawną przetwarzania danych osobowych jest artykuł 6, ust. 1 lit. f RODO.
Administrator danych osobowych
Administratorem danych osobowych odpowiedzialnym za ochronę danych w systemie zgłoszeniowym jest:
1) Tchibo GmbH, Überseering 18, 22297 Hamburg oraz
2) spółki zależne
jako podmioty o wzajemnie odrębnej odpowiedzialności (dalej: „Tchibo”). Operatorem systemu zgłoszeniowego jest wyspecjalizowana firma EQS Group AG, Bayreuther Str. 35, 10789 Berlin, Niemcy, w imieniu Tchibo GmbH.
Dane osobowe i informacje wprowadzone do systemu zgłoszeniowego są w tym kontekście przechowywane w bazie danych obsługiwanej przez EQS Group AG w centrum danych o zaostrzonych standardach bezpieczeństwa. Dostęp do tych danych posiada wyłącznie firma Tchibo GmbH. EQS Group AG ani inne osoby trzecie nie mają do nich dostępu. Zapewniają to certyfikowana procedura oraz liczne środki techniczne i organizacyjne.
Przechowywane dane są szyfrowane i zabezpieczone wielopoziomową strukturą haseł w ramach systemu uprawnień, dzięki czemu dostęp do nich ma tylko niewielka grupa jednoznacznie upoważnionych osób z firmy Tchibo.
Tchibo GmbH posiada inspektora ochrony danych, z którym można skontaktować się pod adresem Tchibo GmbH, Datenschutzbeauftragter, Überseering 18, 22297 Hamburg lub za pośrednictwem poczty elektronicznej pod adresem datenschutz@tchibo.de.
Rodzaje zbieranych danych osobowych
Korzystanie z systemu zgłoszeniowego jest dobrowolne. Kiedy zlecenie zostaje wysłane w systemie zgłoszeniowym, gromadzimy następujące dane osobowe i informacje:
- Twoje imię i nazwisko, jeśli zdecydujesz się ujawnić swoją tożsamość, tj. wyraźnie odrzuciłeś anonimowość,
- informacje o tym, czy sygnalista jest pracownikiem Tchibo GmbH oraz
- imiona i nazwiska oraz inne dane osób wymienionych w zgłoszeniu, jeśli takie osoby wystąpiły.
Poufne przetwarzanie zgłoszeń
Nadesłane zgłoszenia trafiają do niewielkiej grupy wyraźnie upoważnionych i specjalnie przeszkolonych pracowników jednostki organizacyjnej ds. compliance firmy Tchibo i są zawsze traktowane jako poufne. Pracownicy z jednostki organizacyjnej ds. compliance firmy Tchibo analizują sytuację i przeprowadzają dalsze postępowanie dotyczące konkretnego przypadku.
Podczas przetwarzania zgłoszenia lub prowadzenia specjalnego postępowania może pojawić się konieczność udostępnienia zgłoszenia innym pracownikom Tchibo GmbH lub pracownikom powiązanych firm, np. jeżeli zgłoszenie odnosi się do incydentów w spółkach zależnych. Spółki te mogą mieć siedziby poza terenem Unii Europejskiej lub Europejskiego Obszaru Gospodarczego i mogą tam obowiązywać inne przepisy o ochronie danych osobowych. Zgłoszenie jest udostępniane po zagwarantowaniu przestrzegania przepisów o ochronie danych.
Każda osoba uzyskująca dostęp do danych jest zobowiązana do zachowania poufności.
Informacje o stronach obwinionych
Co do zasady, zgodnie z art. 14 RODO istnieje prawny obowiązek poinformowania obwinionych – również osób, których dane dotyczą w rozumieniu RODO, o ile otrzymujemy od nich dane w kontekście zgłoszenia – że otrzymaliśmy zgłoszenie na ich temat. W zakresie i tak długo, jak istnieje potrzeba zachowania poufności, w pierwszej kolejności uwzględniamy wyjątki od tego obowiązku informacyjnego zgodnie z art. 14 ust. 5 RODO, art. 29 ust. 1 pkt 1 BDSG i informujemy osobę oskarżoną dopiero wtedy, gdy informacje te przestaną zagrażać dobru postępowania gromadzenia informacji. Tożsamość sygnalisty nie zostanie ujawniona, chyba że wymagają tego przepisy prawa.
Prawa osób, których dane dotyczą
RODO przyznaje sygnaliście i osobom wymienionym w zgłoszeniu tak zwane prawa osoby, której dane dotyczą, czyli zasadniczo prawo dostępu, sprostowania, usunięcia i ograniczenia przetwarzania oraz prawo do wniesienia sprzeciwu wobec przetwarzania danych osobowych. Skorzystanie z prawa do sprzeciwu wobec przetwarzania danych osobowych spowoduje niezwłoczną ocenę konieczności przechowywania tych danych w celu analizy przesłanego zgłoszenia. Dane, które nie są już potrzebne, zostaną usunięte bez zbędnej zwłoki. Osoba, której dane dotyczą, ma również prawo złożyć skargę do organu nadzorczego.
Okres przechowywania danych osobowych
Dane osobowe są przechowywane tak długo, jak jest to niezbędne do wyjaśnienia sytuacji i przeprowadzenia końcowej oceny przypadku albo tak długo, jak istnieje uzasadniony interes firmy czy wymaga tego prawo. Po zakończeniu przetwarzania zgłoszenia dane są usuwane zgodnie z wymogami ustawowymi.
Korzystanie z systemu zgłoszeniowego
Komunikacja między komputerem sygnalisty a systemem zgłoszeniowym jest szyfrowana (SSL). W trakcie korzystania z systemu zgłoszeniowego adres IP komputera sygnalisty nie jest zapisywany. W celu utrzymania połączenia między komputerem a systemem zgłoszeniowym BKMS® System na dysku twardym komputera zapisywany jest plik cookie, który zawiera jedynie identyfikator sesji (cookie sesji). Ten plik cookie zachowuje ważność tylko do zakończenia sesji i wygasa po zamknięciu przeglądarki.
W systemie zgłoszeniowym można stworzyć bezpieczną skrzynkę pocztową, zabezpieczoną wybranym pseudonimem/ nazwą użytkownika i hasłem. Pozwala ona bezpiecznie wysyłać anonimowe albo imienne zgłoszenia do odpowiedniego pracownika Tchibo. System przechowuje dane wyłącznie wewnątrz systemu zgłoszeniowego, co gwarantuje wysoki poziom bezpieczeństwa. Nie jest to forma typowej komunikacji mailowej.
Informacja o wysyłaniu załączników
Wysyłając zgłoszenie lub uzupełnienie zgłoszenia odpowiedniemu prawnikowi, można również wysłać załączniki do pracownika Tchibo GmbH.
Jeśli zgłoszenie ma zostać wysłane anonimowo, należy wziąć pod uwagę następujące wskazówki dotyczące bezpieczeństwa:
Pliki mogą zawierać ukryte dane osobowe, co zagraża anonimowości. Przed wysłaniem pliku należy usunąć wszelkie informacje tego rodzaju. Jeżeli usunięcie tych danych jest niemożliwe albo problematyczne, należy skopiować tekst z załącznika do tekstu zgłoszenia albo anonimowo wysłać wydrukowany dokument na adres podany w stopce, oznaczając go numerem referencyjnym otrzymanym na końcu procedury zgłoszeniowej.
Wersja: Lipiec 2023
Polityka Prywatności Tchibo Coffee Service GmbH
Traktujemy ochronę danych i poufność bardzo poważnie i przestrzegamy warunków ogólnego rozporządzenia o ochronie danych (RODO), a także krajowych regulacji w zakresie ochrony danych. Przed wysłaniem zgłoszenia należy dokładnie zapoznać się z niniejszymi informacjami o ochronie danych.
Cel i podstawa prawna systemu zgłoszeniowego
System zgłoszeniowy (BKMS® System) służy do bezpiecznego i poufnego odbierania oraz przetwarzania zgłoszeń dotyczących naruszeń polityki compliance Tchibo Coffee Services GmbH oraz do zarządzania tymi zgłoszeniami. Przetwarzanie danych osobowych w ramach BKMS® System wynika z uzasadnionej troski o interes firmy, przejawiający się w dążeniu do wykrywania nadużyć i zapobiegania im, a tym samym do ochrony firmy Tchibo Coffee Services GmbH, jej pracowników i klientów. Podstawą prawną przetwarzania danych osobowych jest art. 6 ust. 1 pkt 1 lit. c) RODO w związku z § 10 HinSchG (niemieckiej ustawy o ochronie sygnalistów).
Administrator danych osobowych
Administratorem danych osobowych odpowiedzialnym za ochronę danych w systemie zgłoszeniowym jest:
1) Tchibo Coffee Services GmbH oraz
2) spółki zależne
jako podmioty o wzajemnie odrębnej odpowiedzialności (dalej: „TCS”). Operatorem systemu zgłoszeniowego jest wyspecjalizowana firma EQS Group AG, Bayreuther Str. 35, 10789 Berlin, Niemcy, w imieniu TCS.
Dane osobowe i informacje wprowadzone do systemu zgłoszeniowego przechowywane są w bazie danych obsługiwanej przez EQS Group AG w centrum danych o zaostrzonych standardach bezpieczeństwa. Dane te widoczne są tylko dla pracowników TCS. EQS Group AG ani inne osoby trzecie nie mają do nich dostępu. Zapewniają to certyfikowana procedura oraz liczne środki techniczne i organizacyjne.
Przechowywane dane są szyfrowane i zabezpieczone wielopoziomową strukturą haseł w ramach systemu uprawnień, dzięki czemu dostęp do nich ma tylko niewielka grupa jednoznacznie upoważnionych osób z firmy TCS.
Firma TCS wyznaczyła inspektora ds. ochrony danych. Pytania dotyczące ochrony danych w TCS można kierować do Dr Klaus zu Hoene:
Dr Klaus zu Hoene
Inspektor ochrony danych TCS dla operacji zewnętrznych
Telefon: +49 40 790 235 – 233
Telefon komórkowy: +49 151 624 231 97
E-mail: KHoene@intersoft-consulting.de
Rodzaje zbieranych danych osobowych
Korzystanie z systemu zgłoszeniowego jest dobrowolne. Kiedy zlecenie zostaje wysłane w systemie zgłoszeniowym, gromadzimy następujące dane osobowe i informacje:
- Imię i nazwisko, w przypadku gdy zdecydujesz ujawnić swoją tożsamość,
- czy jesteś pracownikiem TCS oraz
- imiona i nazwiska oraz inne dane osób wymienionych w zgłoszeniu, jeśli takie osoby wystąpiły.
Poufne przetwarzanie zgłoszeń
Nadesłane zgłoszenia trafiają do wąskiej grupy wyraźnie uprawnionych i specjalnie przeszkolonych pracowników będących członkami jednostki organizacyjnej ds. zgodności w firmie TCS, i są zawsze traktowane jako poufne. Pracownicy TCS z jednostki organizacyjnej ds. compliance analizują sytuację i przeprowadzają dalsze dochodzenie dotyczące konkretnego przypadku.
Podczas przetwarzania zgłoszenia lub prowadzenia specjalnego postępowania może pojawić się konieczność udostępnienia zgłoszenia innym pracownikom TCS lub pracownikom powiązanych firm, np. jeżeli zgłoszenie odnosi się do incydentów w spółkach zależnych. Spółki te mogą mieć siedziby poza terenem Unii Europejskiej lub Europejskiego Obszaru Gospodarczego i mogą tam obowiązywać inne przepisy o ochronie danych osobowych. Zgłoszenie jest udostępniane po zagwarantowaniu przestrzegania przepisów o ochronie danych.
Każda osoba uzyskująca dostęp do danych jest zobowiązana do zachowania poufności.
Informacje o stronach obwinionych
Firma jest prawnie zobowiązana poinformować osoby obwinione o jakichkolwiek zgłoszeniach skierowanych przeciwko nim w chwili, gdy ujawnienie tych informacji nie wpłynie negatywnie na prowadzone dochodzenie. Tożsamość sygnalisty nie zostanie ujawniona, chyba że wymagają tego przepisy prawa.
Prawa osób, których dane dotyczą
W oparciu o europejskie przepisy o ochronie danych sygnalista oraz wszystkie osoby wskazane w zgłoszeniu mają prawo dostępu do danych, ich poprawiania, usuwania, ograniczania przetwarzania oraz do wniesienia sprzeciwu wobec przetwarzania danych osobowych. Skorzystanie z prawa do sprzeciwu wobec przetwarzania danych osobowych spowoduje niezwłoczną ocenę konieczności przechowywania tych danych w celu analizy przesłanego zgłoszenia. Dane, które nie są już potrzebne, zostaną usunięte bez zbędnej zwłoki. Osoba, której dane dotyczą, ma również prawo złożyć skargę do organu nadzorczego.
Okres przechowywania danych osobowych
Dane osobowe są przechowywane tak długo, jak jest to niezbędne do wyjaśnienia sytuacji i przeprowadzenia końcowej oceny przypadku albo tak długo, jak istnieje uzasadniony interes firmy czy wymaga tego prawo. Po zakończeniu przetwarzania zgłoszenia dane są usuwane zgodnie z wymogami ustawowymi.
Korzystanie z systemu zgłoszeniowego
Komunikacja między komputerem sygnalisty a systemem zgłoszeniowym jest szyfrowana (SSL). W trakcie korzystania z systemu zgłoszeniowego adres IP komputera sygnalisty nie jest zapisywany. W celu utrzymania połączenia między komputerem a systemem zgłoszeniowym BKMS® System na dysku twardym komputera zapisywany jest plik cookie, który zawiera jedynie identyfikator sesji (cookie sesji). Ten plik cookie zachowuje ważność tylko do zakończenia sesji i wygasa po zamknięciu przeglądarki.
W systemie zgłoszeniowym można stworzyć bezpieczną skrzynkę pocztową, zabezpieczoną wybranym pseudonimem/ nazwą użytkownika i hasłem. Pozwala ona bezpiecznie wysyłać anonimowe albo imienne zgłoszenia do odpowiedniego pracownika TCS. System przechowuje dane wyłącznie wewnątrz systemu zgłoszeniowego, co gwarantuje wysoki poziom bezpieczeństwa. Nie jest to forma typowej komunikacji mailowej.
Informacja o wysyłaniu załączników
Do zgłoszenia albo uzupełnienia zgłoszenia wysyłanego pracownikowi TCS można dołączyć załączniki. Jeśli zgłoszenie ma zostać wysłane anonimowo, należy wziąć pod uwagę następujące wskazówki dotyczące bezpieczeństwa: Pliki mogą zawierać ukryte dane osobowe, co zagraża anonimowości. Przed wysłaniem pliku należy usunąć wszelkie informacje tego rodzaju. Jeżeli usunięcie tych danych jest niemożliwe albo problematyczne, należy skopiować tekst z załącznika do tekstu zgłoszenia albo anonimowo wysłać wydrukowany dokument na adres podany w stopce, oznaczając go numerem referencyjnym otrzymanym na końcu procedury zgłoszeniowej.
Wersja: Lipiec 2023
Informacja o ochronie prywatności firmy maxingvest GmbH & Co. KGaA
Ochronę danych i poufność traktujemy bardzo poważnie. Przestrzegamy odpowiednich przepisów ogólnego rozporządzenia UE o ochronie danych (RODO) i obowiązujących krajowych przepisów o ochronie danych, takich jak niemiecka federalna ustawa o ochronie danych (BDSG).
Niniejsza informacja o ochronie danych ma charakter informacyjny i uwzględnia obowiązujące przepisy art. 13, 14 RODO. Prosimy o uważne zapoznanie się z poniższymi informacjami.
Cel i podstawa prawna systemu zgłoszeniowego
Udostępniony przez nas system zgłoszeniowy (BKMS® System) służy do bezpiecznego i poufnego odbierania oraz przetwarzania zgłoszeń dotyczących naruszeń zasad compliance w firmie maxingvest GmbH & Co. KGaA oraz do zarządzania tymi zgłoszeniami. Przetwarzanie danych osobowych w ramach BKMS® System wynika z uzasadnionej troski o interes firmy, przejawiający się w dążeniu do wykrywania nadużyć i zapobiegania im, a tym samym do ochrony firmy maxingvest GmbH & Co. KGaA, jej pracowników i klientów. Podstawą prawną przetwarzania danych osobowych jest artykuł 6, ust. 1 lit. f RODO.
Administrator danych osobowych
Administratorem danych osobowych odpowiedzialnym za ochronę danych w systemie zgłoszeniowym jest:
1) maxingvest GmbH & Co. KGaA, Alter Wandrahm 17/ 18, 20457 Hamburg oraz
2) spółki zależne
jako podmioty o wzajemnie odrębnej odpowiedzialności (dalej: „maxingvest”). Operatorem systemu zgłoszeniowego jest wyspecjalizowana firma EQS Group AG, Bayreuther Str. 35, 10789 Berlin, Niemcy, w imieniu maxingvest GmbH & Co. KGaA.
Dane osobowe i informacje wprowadzone do systemu zgłoszeniowego są w tym kontekście przechowywane w bazie danych obsługiwanej przez EQS Group AG w centrum danych o zaostrzonych standardach bezpieczeństwa. Dane te widoczne są tylko dla pracowników maxingvest. EQS Group AG ani inne osoby trzecie nie mają do nich dostępu. Zapewniają to certyfikowana procedura oraz liczne środki techniczne i organizacyjne.
Przechowywane dane są szyfrowane i zabezpieczone wielopoziomową strukturą haseł w ramach systemu uprawnień, dzięki czemu dostęp do nich ma tylko niewielka grupa jednoznacznie upoważnionych osób z firmy maxingvest.
maxingvest posiada inspektora ochrony danych, z którym można skontaktować się pod adresem Jennifer Jähn-Nguyen, datenschutz nord GmbH, Sechslingspforte 2, 22087 lub za pośrednictwem poczty elektronicznej pod adresem office@datenschutz-nord.de.
Rodzaje zbieranych danych osobowych
Korzystanie z systemu zgłoszeniowego jest dobrowolne. Kiedy zlecenie zostaje wysłane w systemie zgłoszeniowym, gromadzimy następujące dane osobowe i informacje:
- Twoje imię i nazwisko, jeśli zdecydujesz się ujawnić swoją tożsamość, tj. wyraźnie odrzuciłeś anonimowość,
- informacje o tym, czy sygnalista jest pracownikiem maxingvest oraz
- imiona i nazwiska oraz inne dane osób wymienionych w zgłoszeniu, jeśli takie osoby wystąpiły.
Poufne przetwarzanie zgłoszeń
Nadesłane zgłoszenia trafiają do niewielkiej grupy wyraźnie upoważnionych i specjalnie przeszkolonych pracowników jednostki organizacyjnej ds. compliance firmy maxingvest i są zawsze traktowane jako poufne. Pracownicy z jednostki organizacyjnej ds. compliance firmy maxingvest analizują sytuację i przeprowadzają dalsze postępowanie dotyczące konkretnego przypadku.
Podczas przetwarzania zgłoszenia lub prowadzenia specjalnego postępowania może pojawić się konieczność udostępnienia zgłoszenia innym pracownikom maxingvest lub pracownikom powiązanych firm, np. jeżeli zgłoszenie odnosi się do incydentów w spółkach zależnych. Spółki te mogą mieć siedziby poza terenem Unii Europejskiej lub Europejskiego Obszaru Gospodarczego i mogą tam obowiązywać inne przepisy o ochronie danych osobowych. Zgłoszenie jest udostępniane po zagwarantowaniu przestrzegania przepisów o ochronie danych.
Każda osoba uzyskująca dostęp do danych jest zobowiązana do zachowania poufności.
Informacje o stronach obwinionych
Co do zasady, zgodnie z art. 14 RODO istnieje prawny obowiązek poinformowania obwinionych – również osób, których dane dotyczą w rozumieniu RODO, o ile otrzymujemy od nich dane w kontekście zgłoszenia – że otrzymaliśmy zgłoszenie na ich temat. W zakresie i tak długo, jak istnieje potrzeba zachowania poufności, w pierwszej kolejności uwzględniamy wyjątki od tego obowiązku informacyjnego zgodnie z art. 14 ust. 5 RODO, art. 29 ust. 1 pkt 1 BDSG i informujemy osobę oskarżoną dopiero wtedy, gdy informacje te przestaną zagrażać dobru postępowania gromadzenia informacji. Tożsamość sygnalisty nie zostanie ujawniona, chyba że wymagają tego przepisy prawa.
Prawa osób, których dane dotyczą
RODO przyznaje sygnaliście i osobom wymienionym w zgłoszeniu tak zwane prawa osoby, której dane dotyczą, czyli zasadniczo prawo dostępu, sprostowania, usunięcia i ograniczenia przetwarzania oraz prawo do wniesienia sprzeciwu wobec przetwarzania danych osobowych. Skorzystanie z prawa do sprzeciwu wobec przetwarzania danych osobowych spowoduje niezwłoczną ocenę konieczności przechowywania tych danych w celu analizy przesłanego zgłoszenia. Dane, które nie są już potrzebne, zostaną usunięte bez zbędnej zwłoki. Osoba, której dane dotyczą, ma również prawo złożyć skargę do organu nadzorczego.
Okres przechowywania danych osobowych
Dane osobowe są przechowywane tak długo, jak jest to niezbędne do wyjaśnienia sytuacji i przeprowadzenia końcowej oceny przypadku albo tak długo, jak istnieje uzasadniony interes firmy czy wymaga tego prawo. Po zakończeniu przetwarzania zgłoszenia dane są usuwane zgodnie z wymogami ustawowymi.
Korzystanie z systemu zgłoszeniowego
Komunikacja między komputerem sygnalisty a systemem zgłoszeniowym jest szyfrowana (SSL). W trakcie korzystania z systemu zgłoszeniowego adres IP komputera sygnalisty nie jest zapisywany. W celu utrzymania połączenia między komputerem a systemem zgłoszeniowym BKMS® System na dysku twardym komputera zapisywany jest plik cookie, który zawiera jedynie identyfikator sesji (cookie sesji). Ten plik cookie zachowuje ważność tylko do zakończenia sesji i wygasa po zamknięciu przeglądarki.
W systemie zgłoszeniowym można stworzyć bezpieczną skrzynkę pocztową, zabezpieczoną wybranym pseudonimem/ nazwą użytkownika i hasłem. Pozwala ona bezpiecznie wysyłać anonimowe albo imienne zgłoszenia do odpowiedniego pracownika maxingvest. System przechowuje dane wyłącznie wewnątrz systemu zgłoszeniowego, co gwarantuje wysoki poziom bezpieczeństwa. Nie jest to forma typowej komunikacji mailowej.
Informacja o wysyłaniu załączników
Do zgłoszenia albo uzupełnienia zgłoszenia wysyłanego odpowiedniemu pracownikowi maxingvest można jednocześnie dołączyć załączniki.
Jeśli zgłoszenie ma zostać wysłane anonimowo, należy wziąć pod uwagę następujące wskazówki dotyczące bezpieczeństwa:
Pliki mogą zawierać ukryte dane osobowe, co zagraża anonimowości. Przed wysłaniem pliku należy usunąć wszelkie informacje tego rodzaju. Jeżeli usunięcie tych danych jest niemożliwe albo problematyczne, należy skopiować tekst z załącznika do tekstu zgłoszenia albo anonimowo wysłać wydrukowany dokument na adres podany w stopce, oznaczając go numerem referencyjnym otrzymanym na końcu procedury zgłoszeniowej.
Wersja: Lipiec 2023