Ochrana osobných údajov je pre nás dôležitá
ÖBB ako verejná spoločnosť prikladá ochrane súkromia a osobných údajov veľkú dôležitosť. Je to obzvlášť dôležité pre vybavovanie oznámení týkajúcich sa nezákonného a iného nevyhovujúceho konania.
Na to, aby mala každá osoba možnosť odoslať relevantné informácie, spoločnosť ÖBB zriadila nielen e-mailovú adresu compliance@oebb.at, ale poskytuje aj webovú platformu. Táto webová platforma je vytvorená pre ÖBB známym externým poskytovateľom riešení IT v oblasti dodržiavania predpisov (compliance).
Toto vyhlásenie o ochrane osobných údajov transparentne uvádza, ako budú použité údaje prijaté na tejto e-mailovej adrese a webovej platforme a ďalšie údaje zhromaždené v súvislosti s týmito informáciami.
Všeobecné nariadenie o ochrane údajov
Články citované v tomto dokumente odkazujú na nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov, ďalej len „GDPR“). Nariadenie GDPR je priamo uplatniteľné vo všetkých členských štátoch EÚ.
Zákon na ochranu oznamovateľov
Rakúsky zákon o ochrane oznamovateľov a zodpovedajúce právne predpisy vo vnútroštátnych právnych systémoch (HSchG) implementujú do vnútroštátneho práva smernicu EÚ 2019/1937 o ochrane osôb, ktoré nahlasujú porušenia práva Únie. Spoločnosti sú povinné poskytnúť kanály na nahlasovanie, aby podávateľom hlásení umožnili nahlasovať obavy z porušení so zachovaním dôvernosti. Zákon HSchG poskytuje podávateľom hlásení osobitnú ochranu. Odkazy na konkrétne odseky a texty sa vzťahujú na rakúsky zákon HSchG.
Prevádzkovateľ údajov
Prevádzkovateľom osobných údajov spracovávaných v priebehu oznamovania (napr. osoby podávateľa hlásenia or osôb, ktoré by mohli byť zapojené do opisovaných porušení práva) podľa definície v čl. 4, bode 7 nariadenia GDPR je každá spoločnosť skupiny ÖBB, na ktorej úkor bol spáchaný prešetrovaný skutok alebo do práva ktorej je prešetrovaným skutkom zasahované. To platí aj v prípade, že spoločnosť nie je v prijatých informáciách výslovne uvedená alebo je uvedená nesprávne.
Spoločnosti skupiny ÖBB Group spoločne prevádzkujú systém podávania hlásení podľa § 8 odsek 4 HSchG a uzavreli dohodu ako „spoloční prevádzkovatelia“ podľa článku 26 GDPR. Táto spoločná zodpovednosť zahŕňa len prijímanie informácií a plnenie povinností zverejňovania informácií predpísaných v § 13 bode 9 zákona HSchG.
Oddelenie Compliance spoločnosti ÖBB-Holding AG, Am Hauptbahnhof 2, 1100 Viedeň (Compliance Office) predstavuje internú organizáciu v zmysle definície v § 5 bode 6 zákona HSchG.
Začatie prešetrovania
Informácie prijaté na e-mailovej adrese compliance@oebb.at, prostredníctvom webovej platformy alebo iným spôsobom (napr. poštou alebo telefonicky) sa najprv preveria z hľadiska hodnovernosti. Informácie sa následne postúpia príslušnej spoločnosti skupiny. Každá spoločnosť skupiny zodpovedá za svoju oblasť činnosti a za zabezpečenie prešetrenia podozrenia, ktoré vyplýva z príslušných informácií. Príslušná spoločnosť v skupine je tiež „vlastníkom údajov“, ktoré sa určia v priebehu prešetrovania – a teda je „prevádzkovateľom“ v zmysle GDPR.
Odkaz na najvýznamnejšie spoločnosti skupiny ÖBB Group a ich tiráže je k dispozícii na adrese: https://konzern.oebb.at/en/imprint. V imprinte je uvedený aj príslušný účel spoločností skupiny.
Sprostredkovatelia na úrovni skupiny
Pri analýze prijatých informácií poskytuje spoločnostiam skupiny podporu oddelenie Compliance spoločnosti ÖBB-Holding AG pod vedením ÖBB Chief Compliance Officera.
ÖBB-Holding AG sa preto podieľa na analýze prijatých informácií ako „sprostredkovateľ“ v zmysle článku 4 bodu 8 GDPR. Oddelenie Compliance pridelí prijaté informácie príslušnej spoločnosti skupiny a poskytuje podporu danej spoločnosti pri internom prešetrovaní a vypracovaní súvisiacej dokumentácie.
Webovú platformu slúžiacu na prijímanie hlásení pre ÖBB poskytuje spoločnosť EQS Group GmbH (predtým EQS Group GmbH), D-80333 Mníchov. Pre samotnú spoločnosť EQS Group GmbH je technicky nemožné mať prístup k údajom prenášaným cez webovú platformu alebo mať prístup k informáciám, ktoré sa v platforme uchovávajú. Spoločnosť EQS Group GmbH preto nie je sprostredkovateľom v zmysle čl. 4 bodu 8 GDPR.
Odborník na ochranu osobných údajov
V rámci skupiny ÖBB Group bola pre každú spoločnosť skupiny určená osoba zodpovedná za ochranu osobných údajov. Prehľad nájdete na adrese: https://konzern.oebb.at/en/imprint/data-protection-officers.
Zodpovedná osoba skupiny pre ochranu osobných údajov je dostupná aj prostredníctvom e-mailovej adresy datenschutz.konzern@oebb.at.
Právny základ spracovania údajov
Právnym základom pre spracovanie údajov je
- čl. 6, ods. 1, písm. a) nariadenia GDPR, t. j. súhlas udelený podávateľom hlásenia so spracovaním jeho údajov,
- Článok 6 ods. 1 písm. c) GDPR, t. j. zákonná povinnosť vyplývajúca zo zákona HSchG pre prevádzkovateľa (príslušnú spoločnosť skupiny ÖBB Group) zriadiť kanály na nahlasovanie porušení právnych predpisov a prijaté hlásenia zdokumentovať a prešetriť,
- čl. 6 ods. 1 písm. f) GDPR, t. j. oprávnené záujmy prevádzkovateľa (príslušnej spoločnosti skupiny ÖBB Group) na prešetrovanie náznakov nesprávneho konania na úkor danej spoločnosti.
Ak je použitie údajov založené na súhlase podávateľa hlásenia, odvolanie tohto súhlasu nemá vplyv na zákonnosť spracovania a prenosu údajov, ktoré sa vykonávajú na základe súhlasu až do jeho odvolania (článok 8, ods. 2 a 4 zákona HSchG). Po poskytnutí informácií ich preto nemožno stiahnuť ani „odvolať“.
Opis a rozsah spracovania údajov
Účelom činnosti spracovania je prešetriť skutočnosti,
- ktoré zahŕňajú porušenie práva Únie v oblastiach uvedených v článku 2 smernice (EÚ) 2019/1937 z 23. októbra 2019 a zodpovedajúcich vnútroštátnych vykonávacích ustanoveniach (HSchG); alebo
- ktoré by inak mohli vzbudiť podozrenie z porušenia predpisov,
- ktoré spadajú do pôsobnosti oddelenia Compliance podľa Usmernenia ÖBB Group č. 15 alebo
- slúžia na odvrátenie závažných nevýhod pre prevádzkovateľa vyplývajúcich z nesprávneho konania jeho zamestnancov v dôsledku iného protiprávneho konania.
Anonymita podávateľa hlásenia
Totožnosť podávateľa hlásenia bude prezradená len na základe súhlasu. Na webovej platforme môžu podávatelia hlásení anonymne podávať tipy a následne anonymne komunikovať aj so zamestnancami oddelenia Compliance.
Ak je totožnosť podávateľa hlásenia známa oddeleniu Compliance, bude v týchto prípadoch vyzradená bez ohľadu na súhlas podávateľa hlásenia:
- Existuje verejnoprávna povinnosť oznámiť totožnosť podávateľa hlásenia súdu alebo správnemu orgánu, napr. pri výsluchu svedka (zamestnanci ÖBB Group zaoberajúci sa compliance záležitosťami podliehajú povinnosti vypovedať a nemajú právo odmietnuť výpoveď)
- Informácie poskytnuté dotknutým osobám v súlade s čl. 15 GDPR, ak je oznámenie nepravdivé a bolo podané v zlej viere, a preto podávateľ hlásenia nemá oprávnený záujem na utajení svojej totožnosti.
Upovedomenie dotknutých osôb
Ak sa v informáciách poskytnutých podávateľom hlásenia spomína konkrétna osoba (najmä v súvislosti s podozrením namiereným proti nej), v súvislosti s týmito informáciami sa budú uchovávať údaje, pričom dotknutá osoba bude o uchovávaní údajov informovaná v súlade s článkom 14 GDPR bezodkladne ihneď po tom, čo tieto informácie už nebudú môcť ohroziť účely prešetrovania.
Zásadne sa to uskutočňuje počas interného prešetrovania, keď príslušnú osobu vypočúva oddelenie Compliance, pretože predchádzajúce oznámenie by mohlo ohroziť účel prešetrovania.
Dotknutá osoba bude o prešetrovanom podozrení včas informovaná. Rovnako bude informovaná aj príslušná spoločnosť skupiny ÖBB Group zodpovedná za prešetrenie podozrenia prípadu, ako aj všetky ostatné zapojené spoločnosti ÖBB Group. Okrem toho sa uvedie spôsob, akým možno uplatniť právo na obhajobu a iné práva na informácie.
Nakladanie s inými informáciami
Získaným informáciám, ktoré nie sú potrebné na dosiahnutie vyššie uvedeného účelu, t. j. ktoré sa netýkajú napríklad neprávneho konania zamestnanca alebo orgánu spoločnosti ÖBB, alebo ktoré sa týkajú konania, ktoré zjavne nemohlo spôsobiť spoločnosti ÖBB žiadnu škodu alebo inú ujmu, ani porušovať právo Únie, sa oddelenie Compliance nebude venovať a v prípade potreby ich postúpi príslušným interným útvarom.
Spoločnosť ÖBB si však vyhradzuje právo postúpiť určité informácie orgánom verejnej moci, ktoré na prvý dojem naznačujú prípad, ktorý nie je relevantný z hľadiska compliance, ale z hľadiska trestného práva, pričom zachováva anonymitu osoby, ktorá poskytla informácie vo vyššie uvedenom zmysle.
Príjemcovia údajov
- Interní príjemcovia údajov ÖBB
Osobné údaje sa používajú na podávanie hlásení zodpovednému výkonnému riadiacemu orgánu, ktorý v konečnom dôsledku rozhoduje o ďalšom postupe (napr. o disciplinárnych dôsledkoch).
Údaje sa používajú aj na podávanie hlásení o opatreniach prijatých v rámci skupiny ÖBB Group výkonným orgánom materských spoločností podskupiny, ako aj spoločnosti ÖBB-Holding AG.
- Externí príjemcovia
Údaje zistené v rámci spracovania informácií môžu byť podľa potreby odovzdané bezpečnostným orgánom, regulačným orgánom, prokuratúram a trestným súdom na účely trestného stíhania s cieľom poskytnúť dôkazy v trestných veciach. Údaje sa môžu použiť aj v občianskoprávnych konaniach na vymáhanie nárokov a na zabezpečenie dôkazov. Intervenujúca spoločnosť ÖBB môže vymenovať profesionálnych zástupcov strany (právnikov), ktorí ju budú zastupovať v príslušnom konaní.
V takýchto prípadoch sa totožnosť osoby, ktorá poskytla informácie, odhalí len so súhlasom alebo ak to vyžaduje úradný úkon. V tejto súvislosti majte na pamäti, že zamestnanci spoločnosti ÖBB Group, ktorí sa podieľajú na compliance záležitostiach, sú povinní vypovedať a nemajú právo odmietnuť vypovedať.
Poskytovateľ služieb
Spoločnosť ÖBB-Holding AG okrem webovej platformy na správu prípadov používa softvérovú aplikáciu, ktorú prevádzkuje spoločnosť ÖBB-BCC GmbH ako sprostredkovateľ.
Spoločnosť ÖBB-Holding AG v jednotlivých prípadoch využíva poskytovateľov forenzných služieb, ktorých činnosť je chránená povinnosťou zachovávať služobné tajomstvo, ako ďalších sprostredkovateľov pri prešetrovaní zložitých skutočností.
So všetkými sprostredkovateľmi sú uzavreté zodpovedajúce dohody. Sprostredkovatelia majú v každom prípade zakázané rozhodovať o použití údajov.
Doba uchovávania
Údaje zhromaždené v rámci prešetrovania sa uchovávajú päť rokov. Okrem toho sa údaje uchovávajú dovtedy, kým sú potrebné na vykonanie už začatého správneho alebo súdneho konania alebo vyšetrovacieho konania podľa StPO (§ 8 bod 11 HSchG). Ak sa podľa platných vnútroštátnych právnych predpisov vyžadujú kratšie lehoty, tieto sa zodpovedajúcim spôsobom zohľadnia.
Informácie týkajúce sa prípadu, najmä prepisy vypočúvaní, poznámky a kópie iných spisov, sa po uplynutí tejto lehoty archivujú elektronicky. Archivácia sa vykonáva tak, aby zamestnanci a orgány spoločnosti ÖBB už nemali prístup k takto archivovaným spisom. Prístup je potom možný len pre Chief Compliance Officera, ktorý sa neriadi žiadnymi príkazmi orgánov spoločnosti týkajúcimi sa jeho činnosti a koná len na základe oficiálnej žiadosti. Vykonané operácie spracovania sa zaznamenávajú. Zaznamenané údaje o týchto procesoch sa vymažú tri roky po skončení povinnosti uchovávania (§ 8 bod 11 zákona HSchG).
Údaje sa úplne vymažú po siedmich rokoch.
Nepodložené hlásenia, ktoré nepatria do pôsobnosti HSchG, sa archivujú dva mesiace po ukončení prešetrovania.
Práva dotknutých osôb
V súvislosti s používaním vašich osobných údajov máte tieto práva:
- Právo na prístup
- Právo na opravu
- Právo na vymazanie
- Právo na obmedzenie spracovania
- Právo na prenosnosť údajov
- Právo namieta
V prípade, že chcete uplatniť vyššie uvedené práva voči spoločnosti ÖBB-Holding AG alebo inej spoločnosti skupiny, pošlite správu na vyššie uvedené kontaktné údaje alebo zodpovednej osobe pre ochranu osobných údajov uvedenej v tiráži každej dcérskej spoločnosti. Do predmetu uveďte uplatnenie vašich práv v súlade s GDPR, ako aj kontext vašej otázky (spracovanie údajov v súvislosti s konkrétnym prípadom týkajúcim sa compliance).
Vezmite na vedomie, že compliance prešetrovanie nie je založené na súhlase, a preto neexistuje právo na prenosnosť údajov.
Máte možnosť podať sťažnosť dozornému orgánu dohľadu nad ochranou osobných údajov. Dozorný orgán zodpovedný za ÖBB Group: Rakúsky úrad na ochranu údajov (Österreichische Datenschutzbehörde), Barichgasse 40-42, 1030 Viedeň; e-mail: dsb@dsb.gv.at.