Protecția datelor este o preocupare pentru noi
În calitate de companie publică, OeBB acordă o mare importanță protecției datelor. Acest lucru este relevant în special pentru gestionarea notificărilor privind comportamente ilegale și alte comportamente neconforme.
Pentru a oferi tuturor posibilitatea de a transmite informații relevante, OeBB a creat nu numai adresa de e-mail compliance@oebb.at, ci și o platformă web. Această platformă web este pusă la dispoziția OeBB de către un furnizor extern renumit de soluții IT în domeniul conformității.
Prezenta politică de confidențialitate are scopul de a clarifica modul în care vor fi utilizate datele primite la această adresă de e-mail și pe această platformă web, precum și alte date colectate cu privire la aceste informații.
Regulamentul general privind protecția datelor
Articolele citate în acest document se referă la Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor, denumit în continuare „RGPD”). RGPD este direct aplicabil în toate statele membre ale UE.
Legea privind protecția informatorului
Legea austriacă privind protecția informatorului și actele juridice corespunzătoare din sistemele juridice naționale (HSchG) transpun Directiva UE 2019/1937 privind avertizarea în interes public în dreptul național. Companiile sunt obligate să furnizeze mijloace de sesizare care să permită informatorilor să raporteze în mod confidențial preocupările lor cu privire la încălcări. Informatorii beneficiază de protecție specială în conformitate cu HSchG. Referințele la paragrafe și pasaje specifice fac trimitere la HSchG austriacă.
Operatorul
Operatorul de date cu caracter personal prelucrate în cadrul procedurii de informare (de exemplu, informații despre informator sau despre persoanele care ar putea fi implicate în încălcările legii semnalate) în conformitate cu articolul 4 alineatul (7) din RGPD este fiecare companie din Grupul OeBB în detrimentul căreia a fost săvârșită fapta investigată sau al cărei drept este încălcat prin fapta investigată. Acest lucru se aplică și în cazul în care compania nu este menționată în mod expres sau este denumită incorect în informațiile primite.
Companiile din Grupul OeBB operează în mod colectiv sistemul de sesizări în conformitate cu articolul 8 alineatul (4) din HSchG și au încheiat un acord ca „operatori asociați” în conformitate cu articolul 26 din RGPD. Această responsabilitate comună include doar primirea informațiilor și îndeplinirea obligațiilor de divulgare prevăzute la articolul 13 alineatul (9) din HSchG.
Biroul de conformitate al ÖBB-Holding AG, Am Hauptbahnhof 2, 1100 Viena (Biroul de conformitate) constituie organizația internă definită la articolul 5 alineatul (6) din HSchG.
Deschiderea investigațiilor
Informațiile primite la adresa de e-mail compliance@oebb.at, prin intermediul platformei web sau prin alte mijloace (de exemplu, prin poștă sau telefon) sunt verificate mai întâi pentru a se stabili dacă sunt plauzibile. Informațiile sunt apoi transmise companiei relevante din cadrul grupului. Fiecare companie din cadrul grupului este responsabilă pentru domeniul său de activitate, pentru a se asigura că suspiciunile pe care se bazează informațiile sunt investigate. Această companie din cadrul grupului este, de asemenea, „proprietarul datelor” obținute în cursul investigației - și este, prin urmare, „operatorul” în sensul RGPD.
Un link către cele mai importante companii ale Grupului OeBB și mențiunile legale ale acestora este disponibil la: https://konzern.oebb.at/en/imprint. Mențiunile legale indică, de asemenea, obiectul de activitate al companiilor din cadrul grupului.
Persoanele împuternicite de operator la nivel de grup
În cadrul analizei informațiilor primite, companiile din cadrul grupului sunt sprijinite de Biroul de conformitate al ÖBB-Holding AG, condus de directorul de conformitate al OeBB.
ÖBB-Holding AG participă, prin urmare, la analiza informațiilor primite în calitate de „persoană împuternicită de operator” în sensul articolului 4 alineatul (8) din RGPD. Biroul de conformitate atribuie informațiile primite companiei în cauză din cadrul grupului și sprijină compania în ancheta internă și în documentarea aferentă.
Platforma web utilizată pentru primirea mesajelor este pusă la dispoziția OeBB de către compania EQS Group GmbH (fosta EQS Group GmbH), D-80333 München. Este imposibil din punct de vedere tehnic ca EQS Group GmbH să aibă acces la datele transmise prin intermediul platformei web sau la informațiile stocate acolo. Prin urmare, EQS Group GmbH nu este o persoană împuternicită de operator în sensul articolului 4 alineatul (8) din RGPD.
Responsabilul cu protecția datelor
În cadrul Grupului OeBB, a fost numit un responsabil cu protecția datelor pentru fiecare companie din cadrul grupului. Găsiți o prezentare generală la: https://konzern.oebb.at/en/imprint/data-protection-officers.
Responsabilul cu protecția datelor al grupului poate fi contactat și la adresa de e-mail datenschutz.konzern@oebb.at.
Temeiul juridic pentru prelucrarea datelor
Temeiul juridic pentru prelucrarea datelor este
- articolul 6 alineatul (1) litera (a) din RGPD, și anume consimțământul acordat de informator pentru prelucrarea datelor sale,
- articolul 6 alineatul (1) litera (c) din RGPD, și anume obligația legală care decurge din HSchG pentru operator (compania relevantă din cadrul Grupului OeBB) de a crea canale pentru raportarea încălcărilor legii și de a documenta și investiga mesajele primite,
- articolul 6 alineatul (1) litera (f) din RGPD, și anume interesele legitime ale operatorului (compania relevantă din cadrul Grupului OeBB) de a investiga indiciile unor abateri în detrimentul companiei.
În cazul în care utilizarea datelor se bazează pe consimțământul informatorului, retragerea acestui consimțământ nu afectează legalitatea prelucrării și a transmiterii datelor efectuate pe baza consimțământului până la retragerea acestuia [articolul 8 alineatele (2) și (4) din HSchG]. Odată furnizate, informațiile nu pot fi retrase sau „revocate”.
Descrierea și domeniul de aplicare al prelucrării datelor
Scopul activității de prelucrare este investigarea faptelor
- care implică o încălcare a dreptului Uniunii în domeniile prevăzute la articolul 2 din Directiva (UE) 2019/1937 din 23 octombrie 2019 și de dispozițiile naționale de transpunere corespunzătoare (HSchG); sau
- a faptelor care sunt susceptibile să dea naștere unei suspiciuni de conduită necorespunzătoare,
- care intră în competența Biroului de Conformitate potrivit Ghidului Grupului OeBB 15 sau
- care servesc la prevenirea unor dezavantaje grave pentru operator, rezultate din abaterile săvârșite de angajații săi ca urmare a unui comportament ilicit.
Anonimatul informatorului
În general, identitatea informatorului va fi dezvăluită numai cu acordul acestuia. Pe platforma web, informatorii pot transmite informații în mod anonim și, ulterior, pot comunica tot în mod anonim cu angajații Biroului de conformitate.
În cazul în care Biroul de conformitate cunoaște identitatea informatorului, aceasta va fi dezvăluită în următoarele cazuri, indiferent dacă informatorul își dă sau nu consimțământul:
- Există o obligație de drept public de a dezvălui identitatea informatorului unei instanțe sau unei autorități administrative, de exemplu, atunci când un martor este interogat (angajații Grupului OeBB care se ocupă de aspecte de conformitate sunt supuși obligației de a depune mărturie și nu au dreptul de a refuza depunerea mărturiei)
- Informațiile furnizate persoanelor vizate în conformitate cu articolul 15 din RGPD în cazul în care notificarea este falsă și a fost făcută cu rea-credință și, prin urmare, informatorul nu are un interes legitim în păstrarea secretului identității sale.
Notificări cu privire la persoanele vizate
În cazul în care informațiile furnizate de un informator fac referire la o persoană specifică (în special cu privire la o suspiciune care o vizează), datele vor fi stocate împreună cu informațiile respective, iar persoana vizată va fi informată cu privire la stocarea datelor, în conformitate cu articolul 14 din RGPD, imediat ce aceste informații nu mai pot compromite scopurile anchetei.
În principiu, acest lucru are loc în timpul anchetei interne, în timp ce persoana în cauză este intervievată de Biroul de conformitate, deoarece notificarea prealabilă ar putea compromite scopul anchetei.
Persoana vizată va fi informată în timp util cu privire la suspiciunea investigată. De asemenea, va fi informată compania din cadrul Grupului OeBB responsabilă cu investigarea cazului suspect, precum și orice altă companie din cadrul Grupului OeBB implicată. În plus, se va preciza modul în care pot fi exercitate drepturile la apărare și alte drepturi privind informațiile.
Prelucrarea altor informații
Informațiile primite care nu sunt necesare pentru atingerea scopului menționat mai sus, adică cele care nu se referă, de exemplu, la o abatere săvârșită de un angajat sau un organ al unei companii OeBB sau care se referă la o conduită care, în mod evident, nu ar fi putut cauza OeBB niciun prejudiciu sau alt dezavantaj și nici nu ar încălca dreptul Uniunii, nu vor fi cercetate de către departamentul de conformitate și, dacă este cazul, vor fi transmise departamentelor interne relevante.
Cu toate acestea, OeBB își rezervă dreptul de a transmite anumite informații autorităților publice, care, la prima vedere, indică un incident care nu este relevant din punct de vedere al conformității, dar este relevant din punct de vedere penal, păstrând anonimatul persoanei care a furnizat informațiile în sensul descris mai sus.
Destinatarii datelor
- Destinatari interni OeBB
Datele cu caracter personal sunt utilizate pentru raportarea către organul de conducere responsabil care decide în ultimă instanță cu privire la procedura ulterioară (de exemplu, consecințe disciplinare).
Datele sunt utilizate, de asemenea, pentru raportarea măsurilor luate în cadrul Grupului OeBB către organele executive ale companiilor-mamă ale subgrupului, precum și către ÖBB-Holding AG.
- Destinatari externi
Datele obținute în cadrul prelucrării informațiilor pot fi transmise autorităților de securitate, autorităților de reglementare, parchetelor și instanțelor penale în scopul urmăririi penale, pentru a furniza probe în cauze penale, dacă este necesar. Datele pot fi, de asemenea, utilizate în proceduri civile pentru exercitarea drepturilor și pentru furnizarea de probe. Compania OeBB intermediară poate numi reprezentanți profesioniști (avocați) care să o reprezinte în cadrul procedurilor respective.
În aceste cazuri, identitatea persoanei care a furnizat informațiile este dezvăluită numai cu consimțământul acesteia sau dacă un act oficial impune acest lucru. În acest context, vă rugăm să rețineți că angajații Grupului OeBB care sunt implicați în aspecte legate de conformitate sunt supuși obligației de a depune mărturie și nu au dreptul de a refuza depunerea mărturiei.
Furnizor de servicii
Pe lângă platforma web destinată gestionării cazurilor, ÖBB-Holding AG utilizează o aplicație software operată de ÖBB-BCC GmbH în calitate de persoană împuternicită de operator.
În cazuri individuale, ÖBB-Holding AG utilizează furnizori de servicii criminalistice, ale căror activități sunt protejate de obligația de confidențialitate profesională, ca persoane împuternicite de operator suplimentare pentru investigarea unor fapte complexe.
Se încheie acorduri în acest sens cu toate persoanele împuternicite de operator. În orice caz, persoanelor împuternicite de operator li se interzice luarea de decizii cu privire la utilizarea datelor.
Perioada de stocare
Datele colectate în cadrul investigației sunt stocate timp de cinci ani. În plus, datele sunt stocate pe durata necesară desfășurării procedurilor administrative sau judiciare deja deschise sau a procedurilor de investigare în temeiul StPO [articolul 8 alineatul (11) din HSchG]. Dacă legislația națională în vigoare prevede perioade mai scurte, acestea vor fi luate în considerare în mod corespunzător.
Informațiile referitoare la caz, în special transcrierile interviurilor, notele și copiile altor dosare sunt arhivate electronic după expirarea acestei perioade de stocare. Arhivarea se realizează astfel încât angajații și organele companiei OeBB să nu mai poată accesa aceste dosare arhivate. Accesul este posibil ulterior doar pentru ofițerul de conformitate, care nu este supus niciunei instrucțiuni din partea organelor companiei în ceea ce privește activitățile sale și acționează doar la solicitare oficială. Operațiunile de prelucrare efectuate sunt înregistrate. Datele înregistrate referitoare la aceste procese vor fi șterse după trei ani de la încetarea obligației de stocare [articolul 8 alineatul (11) din HSchG].
Datele vor fi șterse integral după șapte ani.
Mesajele nefondate care nu fac obiectul HSchG sunt arhivate două luni după finalizarea investigațiilor.
Drepturile persoanelor vizate
Beneficiați de următoarele drepturi în ceea ce privește utilizarea datelor dvs. cu caracter personal:
- Dreptul de acces
- Dreptul la rectificare
- Dreptul la ștergerea datelor
- Dreptul la restricționarea prelucrării
- Dreptul la portabilitatea datelor
- Dreptul la opoziție
În cazul în care doriți să vă exercitați drepturile menționate mai sus împotriva ÖBB-Holding AG sau a oricărei alte companii din cadrul grupului, vă rugăm să trimiteți un mesaj prin intermediul datelor de contact menționate mai sus sau către responsabilul cu protecția datelor specificat în mențiunile legale ale fiecărei filiale. Vă rugăm să indicați în câmpul destinat subiectului faptul că vă exercitați drepturile în conformitate cu RGPD, precum și contextul întrebării dvs. (prelucrarea datelor în contextul unui anumit caz de conformitate).
Vă rugăm să rețineți că o investigație de conformitate nu se bazează pe consimțământ, prin urmare nu există dreptul la portabilitatea datelor.
Aveți posibilitatea de a depune plângere în fața unei autorități de supraveghere a protecției datelor. Autoritatea de supraveghere responsabilă pentru Grupul OeBB este: Autoritatea austriacă pentru protecția datelor (Österreichische Datenschutzbehörde), Barichgasse 40-42, 1030 Viena; e-mail: dsb@dsb.gv.at.