Varstvo podatkov je naša skrb
ÖeBB kot javno podjetje pripisuje velik pomen varovanju zasebnosti podatkov. To še posebej velja za obravnavo obvestil o nezakonitem in drugem neskladnem ravnanju.
Da bi vsem omogočili posredovanje ustreznih informacij, je ÖBB poleg elektronskega naslova compliance@oebb.at vzpostavil tudi spletno platformo. To spletno platformo za ÖBB zagotavlja znani zunanji ponudnik informacijskih rešitev na področju skladnosti.
Ta izjava o zasebnosti pregledno prikazuje, kako bodo uporabljeni podatki, prejeti na tem e-poštnem naslovu in spletni platformi, ter drugi podatki, zbrani v zvezi s temi informacijami.
Splošna uredba o varstvu podatkov
Členi, navedeni v tem dokumentu, se nanašajo na Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, v nadaljnjem besedilu: GDPR). GDPR se neposredno uporablja v vseh državah članicah EU.
Zakon o zaščiti žvižgačev
Avstrijski zakon o zaščiti žvižgačev in ustrezni pravni akti v nacionalnih pravnih sistemih (HSchG) v nacionalno zakonodajo prenašajo Direktivo EU 2019/1937 o zaščiti žvižgačev. Podjetja so dolžna zagotoviti kanale za sporočanje, ki žvižgačem omogočajo, da zaupno sporočijo pomisleke o kršitvah. V skladu z zakonom HSchG je žvižgačem zagotovljena posebna zaščita. Sklicevanja na posamezne odstavke in dele besedila se nanašajo na avstrijski HSchG.
Upravljavec
Upravljavec osebnih podatkov, ki se obdelujejo med prijavljanjem nepravilnosti (npr. oseba žvižgača ali osebe, ki bi lahko bile vpletene v opisane pravne kršitve), kot je opredeljeno v členu 4, točki 7 GDPR, je vsako podjetje v skupini ÖBB Group, v škodo katerega je bilo storjeno preiskovano dejanje ali v pravico katerega je bilo s preiskovanim dejanjem poseženo. To velja tudi, če podjetje v prejetih informacijah ni izrecno navedeno ali je napačno navedeno.
Podjetja skupine ÖBB Group skupaj upravljajo sistem za žvižgače v skladu s členom 8, vrstico 4 HSchG in so sklenile pogodbo kot »skupni upravljavci« v skladu s členom 26 GDPR. Ta skupna odgovornost vključuje samo prejemanje informacij in izpolnjevanje obveznosti razkritja, predpisanih v členu 13, vrstici 9 HSchG.
Urad za skladnost ÖBB-Holding AG, Am Hauptbahnhof 2, 1100 Dunaj (Urad za skladnost) predstavlja notranjo organizacijo, kot jo opredeljuje člen 5, vrstica 6 HSchG.
Začetek preiskav
Informacije, prejete na elektronski naslov compliance@oebb.at, prek spletne platforme ali na drug način (npr. po pošti ali telefonu), se najprej preverijo glede verodostojnosti. Informacije se nato posredujejo ustreznemu podjetju v skupini. Vsako podjetje v skupini je za svoje poslovno področje odgovorna, da zagotovi preiskavo suma, na katerem temelji informacija. To podjetje v skupini je tudi »gospodar podatkov«, ki se določijo med preiskavo, in je tako »upravljavec« v smislu GDPR.
Povezava do najpomembnejših podjetij skupine ÖBB Group in njihovih odtisov je na voljo na naslovu: https://konzern.oebb.at/en/imprint. Iz odtisov je razviden tudi ustrezen namen podjetja v skupini.
Obdelovalci na ravni skupine
Pri analizi prejetih informacij podjetjem v skupini pomaga Urad za skladnost ÖBB-Holding AG, ki ga vodi glavni pooblaščenec za skladnost ÖBB.
ÖBB-Holding AG zato sodeluje pri analizi prejetih informacij kot »obdelovalec« v smislu člena (4)(8) GDPR. Urad za skladnost dodeli prejete informacije zadevnemu podjetju skupine ter mu pomaga pri notranji preiskavi in s tem povezani dokumentaciji.
Spletno platformo, ki se uporablja za prejemanje sporočil, za ÖBB zagotavlja podjetje EQS Group GmbH (prej EQS Group GmbH), D-80333 München. Podjetje EQS Group GmbH sama tehnično ne more imeti dostopa do podatkov, posredovanih prek spletne platforme, ali do informacij, ki so tam shranjene. EQS Group GmbH zato ni obdelovalec v smislu člena 4, vrstica 8 GDPR.
Pooblaščena oseba za varstvo podatkov
V skupini ÖBB Group je bilo za vsako podjetje skupine imenovana pooblaščena oseba za varstvo podatkov. Pregled najdete na spletni strani: https://konzern.oebb.at/en/imprint/data-protection-officers.
Pooblaščena oseba za varstvo podatkov skupine je na voljo tudi na elektronskem naslovu datenschutz.konzern@oebb.at.
Pravna podlaga za obdelavo podatkov
Pravna podlaga za obdelavo podatkov je
- Člen 6(1)(a) GDPR, tj. privolitev žvižgača za obdelavo njegovih podatkov,
- člena 6(1)(c) GDPR, tj. pravna obveznost, ki izhaja iz HSchG, da upravljavec (zadevno podjetje skupine ÖBB Group) vzpostavi kanale za prijavo pravnih kršitev ter dokumentira in razišče prejeta sporočila,
- člena 6(1)(f) GDPR, tj. zakonitega interesa upravljavca (zadevnega podjetja iz skupine ÖBB Group), da razišče znake nepravilnega ravnanja v škodo podjetja.
Če uporaba podatkov temelji na privolitvi žvižgača, preklic te privolitve ne vpliva na zakonitost obdelave in posredovanja podatkov, ki se do preklica izvaja na podlagi privolitve (člen 8(2) in (4) HSchG). Ko so podatki enkrat posredovani, jih torej ni mogoče umakniti ali »preklicati«.
Opis in obseg obdelave podatkov
Namen dejavnosti obdelave podatkov je raziskati dejstva,
- ki vključujejo kršitev prava Unije na področjih iz člena 2 Direktive (EU) 2019/1937 z dne 23. oktobra 2019 in ustreznih nacionalnih izvedbenih določb (HSchG) ali,
- ki bi sicer lahko vzbudila sum na nepravilno ravnanje,
- ki spadajo v pristojnost Urada za skladnost poslovanja v skladu s Smernico 15 skupine ÖBB Group ali
- služijo za preprečevanje resnih neugodnih posledic za upravljavca, ki so posledica prekrškov njegovih zaposlenih zaradi drugega nezakonitega ravnanja.
Anonimnost žvižgača
Na splošno se identiteta žvižgača razkrije le na podlagi privolitve. Na spletni platformi lahko žvižgači anonimno pošljejo nasvete in nato tudi anonimno komunicirajo z zaposlenimi v Uradu za skladnost poslovanja.
Če je identiteta žvižgača znana Uradu za skladnost poslovanja, bo v teh primerih razkrita ne glede na soglasje žvižgača:
- v skladu z javnim pravom obstaja obveznost razkritja identitete žvižgača sodišču ali upravnemu organu, npr. pri zaslišanju priče (za zaposlene v skupini ÖBB Group, ki se ukvarjajo z vprašanji skladnosti poslovanja, velja obveznost pričanja in nimajo pravice zavrniti pričanja)
- informacije, ki se posredujejo posameznikom, na katere se nanašajo osebni podatki, v skladu s členom 15 GDPR, če je obvestilo neresnično in je bilo dano v slabi veri, zato žvižgač nima zakonitega interesa, da ohrani svojo identiteto v tajnosti.
Obveščanje posameznikov, na katere se nanašajo osebni podatki
Če informacije, ki jih zagotovi žvižgač, omenjajo določeno osebo (zlasti v zvezi s sumom, usmerjenim proti njej), bodo podatki shranjeni v povezavi z informacijami, posameznik, na katerega se nanašajo osebni podatki, pa bo v skladu s členom 14 GDPR o tem obveščen takoj, ko te informacije ne morejo več ogroziti ciljev preiskave.
Načeloma se to zgodi med notranjo preiskavo, ko Urad za skladnost poslovanja zaslišuje zadevno osebo, saj bi predhodno obvestilo lahko ogrozilo namen preiskave.
Posameznik, na katerega se nanašajo osebni podatki, bo pravočasno obveščen o preiskovanem sumu. Prav tako bo obveščeno podjetje skupine ÖBB Group, ki je odgovorno za preiskavo suma, in vsa druga vpletena podjetja skupine ÖBB Group. Poleg tega bo naveden način, kako je mogoče uveljavljati pravice do obrambe in druge pravice do obveščenosti.
Ravnanje z drugimi informacijami
Prejetih informacij, ki niso potrebne za doseganje zgoraj opisanega namena, tj. ki se na primer ne nanašajo na nepravilno ravnanje zaposlenega ali organa podjetja ÖBB ali se nanašajo na ravnanje, ki očitno ni moglo povzročiti podjetju ÖBB nobene škode ali drugih prikrajšanj niti kršiti zakonodaje Unije, Služba za skladnost poslovanja ne bo obravnavala in jih bo po potrebi posredovala ustreznim notranjim oddelkom.
Vendar pa si ÖBB pridržuje pravico, da določene informacije, ki na prvi pogled kažejo na dogodek, ki ni pomemben za skladnost, je pa pomemben po kazenskem pravu, posreduje javnim organom, pri čemer ohrani anonimnost osebe, ki je posredovala informacije v zgoraj opisanem smislu.
Prejemniki podatkov
- Notranji prejemniki ÖBB
Osebni podatki se uporabljajo za sporočanje pristojnemu izvršilnemu upravnemu organu, ki dokončno odloči o nadaljnjem postopku (npr. disciplinskih posledicah).
Podatki se uporabljajo tudi za sporočanje o ukrepih, sprejetih znotraj skupine ÖBB Group, izvršnim organom matičnih podjetij podskupine ter ÖBB-Holding AG.
- Zunanji prejemniki
Podatki, ugotovljeni v okviru obdelave informacij, se lahko posredujejo varnostnim organom, regulatorjem, državnim tožilstvom in kazenskim sodiščem za namene kazenskega pregona, da bi po potrebi zagotovili dokaze v kazenskih zadevah. Podatki se lahko uporabijo tudi v civilnih sodnih postopkih za uveljavljanje zahtevkov in zagotavljanje dokazov. Podjetje ÖBB, ki vstopa v postopek, lahko imenuje strokovne zastopnike stranke (odvetnike), ki jo zastopajo v zadevnem postopku.
V takšnih primerih se identiteta osebe, ki je posredovala informacije, razkrije le na podlagi soglasja ali če je razkritje predpisano z uradnim aktom. V zvezi s tem vas obveščamo, da so zaposleni v skupini ÖBB Group, ki so vključeni v zadeve v zvezi s skladnostjo, dolžni pričati in nimajo pravice zavrniti pričanja.
Ponudnik storitev
ÖBB-Holding AG poleg spletne platforme za upravljanje primerov uporablja tudi programsko aplikacijo, ki jo kot obdelovalec upravlja ÖBB-BCC GmbH.
ÖBB-Holding AG v posameznih primerih kot dodatne obdelovalce za preiskovanje kompleksnih dejstev uporablja ponudnike forenzičnih storitev, katerih dejavnosti varuje obveznost varovanja poklicne skrivnosti.
Z vsemi obdelovalci so sklenjene ustrezne pogodbe. V vsakem primeru je obdelovalcem prepovedano odločati o uporabi podatkov.
Obdobje shranjevanja
Podatki, zbrani v preiskavi, se hranijo pet let. Poleg tega se podatki hranijo toliko časa, kolikor je to potrebno za izvedbo že začetih upravnih ali sodnih postopkov ali preiskovalnih postopkov v skladu z Zakonikom o kazenskem postopku (StPO) (člen 8, vrstica 11 HSchG). Če so v skladu z veljavno nacionalno zakonodajo potrebna krajša obdobja, se ta ustrezno upoštevajo.
Informacije v zvezi z zadevo, zlasti zapisniki razgovorov, opombe in kopije drugih spisov, se po izteku tega roka hrambe arhivirajo v elektronski obliki. Arhiviranje poteka tako, da zaposleni in organi podjetja ÖBB nimajo več dostopa do teh arhiviranih datotek. Dostop je tako mogoč le za glavnega pooblaščenca za skladnost poslovanja, za katerega ne veljajo nobena navodila organov podjetja v zvezi z njegovimi dejavnostmi in deluje le na podlagi uradne zahteve. Izvedeni postopki obdelave se beležijo. Podatki iz dnevnika o teh postopkih se izbrišejo tri leta po prenehanju obveznosti hrambe (člen 8, vrstica 11 HSchG).
Podatki bodo v celoti izbrisani po sedmih letih.
Neutemeljena sporočila, ki ne spadajo na področje uporabe HSchG, se arhivirajo dva meseca po zaključku preiskav.
Pravice podatkovnih subjektov
V zvezi z uporabo vaših osebnih podatkov imate naslednje pravice:
- pravico do dostopa
- pravico do popravka
- pravico do izbrisa
- pravico do omejitve obdelave
- pravico do prenosljivosti podatkov
- pravico do ugovora
Če želite uveljavljati zgoraj navedene pravice pri družbi ÖBB-Holding AG ali katerem koli drugem podjetju skupine, pošljite sporočilo na zgoraj navedene kontaktne podatke ali pooblaščeni osebi za varstvo podatkov, navedeni v odtisu vsake hčerinske družbe. V polju teme navedite uveljavljanje svojih pravic v skladu z GDPR ter kontekst vašega vprašanja (obdelava podatkov v okviru posebnega primera skladnosti).
Upoštevajte, da preiskava o skladnosti ne temelji na privolitvi in zato ni pravice do prenosljivosti podatkov.
Imate možnost vložiti pritožbo pri nadzornem organu za varstvo podatkov. Nadzorni organ, pristojen za skupino ÖBB Group, je: Avstrijski organ za varstvo podatkov (Österreichische Datenschutzbehörde), Barichgasse 40-42, 1030 Dunaj; e-pošta: dsb@dsb.gv.at.