Legal Notices: Whistleblowing Privacy Notice
INFORMACJA O PRYWATNOŚCI
Prywatność użytkowników jest dla nas ważna. Niniejsza Informacja o ochronie prywatności określa sposób, w jaki traktujemy i przetwarzamy dane osobowe gromadzone w związku z naszymi procedurami zgłaszania nieprawidłowości i dochodzeniami ("Proces zgłaszania nieprawidłowości").
Niniejsza Informacja o ochronie prywatności ma na celu pomóc w podejmowaniu świadomych decyzji podczas korzystania z procesu zgłaszania nieprawidłowości, aby zrozumieć, w jaki sposób dane osobowe mogą być przetwarzane. Prosimy o poświęcenie chwili na jej przeczytanie i zrozumienie. Niniejsza Informacja o ochronie prywatności ma na celu zapewnienie jak największej spójności w całej naszej działalności i krajach, w których jesteśmy obecni. Możliwe jest jednak, że lokalne przepisy prawa w danym kraju będą określać pewne dodatkowe lub inne wymogi, które mogą mieć zastosowanie do użytkownika, w zależności od jego konkretnej sytuacji. W związku z tym należy również zapoznać się z wszelkimi informacjami dotyczącymi poszczególnych krajów, które są zawarte w załączniku do niniejszej Informacji o ochronie prywatności (w stosownych przypadkach).
1. Informacje o administratorze danych
DLA Piper UK LLP jest administratorem danych osobowych przetwarzanych w ramach procesu zgłaszania nieprawidłowości. Należy pamiętać, że w zależności od charakteru zgłoszenia, inne podmioty DLA Piper mogą być również administratorami danych odpowiedzialnymi za przetwarzanie danych. Więcej informacji na temat tych podmiotów można znaleźć na stronach www.dlapiper.com/practicingentities i https://www.dlapiper.com/en/europe/legalnoticespage/governance-service-entities/.
Safecall, dostawca usługi whistleblowingu, może w ograniczonych okolicznościach być również administratorem niektórych danych osobowych użytkownika.
2. Jakie dane osobowe przetwarzamy
W zakresie dozwolonym przez prawo proces zgłaszania nieprawidłowości może być wykorzystywany bez podawania danych osobowych. Użytkownik może jednak dobrowolnie ujawnić swoje dane osobowe, w szczególności informacje o swojej tożsamości i dane kontaktowe, np. imię i nazwisko, adres, kraj zamieszkania, numer telefonu, adres e-mail oraz nazwę firmy, w której pracuje. W ramach zwykłego procesu zgłaszania nieprawidłowości nie gromadzimy żadnych danych szczególnej kategorii ani danych wrażliwych (takich jak rasa/pochodzenie etniczne, religia lub orientacja seksualna), jednak dane te mogą być również przetwarzane, jeśli zostaną dostarczone przez użytkownika. Prosimy o podawanie tego typu danych tylko wtedy, gdy są one niezbędne do zgłoszenia. Możemy również przetwarzać dane osobowe innych osób, które mogły zostać przekazane w ramach zgłoszenia. W zależności od charakteru zgłoszenia osoby te mogą mieć możliwość ustosunkowania się do niego. Nie ujawnimy tożsamości użytkownika, chyba że: jest to konieczne; użytkownik wyraził na to zgodę; lub jest to wymagane przez prawo.
Ponadto będziemy również wykorzystywać dane osobowe użytkownika do celów sprawozdawczych i statystycznych w sposób anonimowy.
3. Podstawa prawna przetwarzania danych
Przetwarzamy dane osobowe w celu zbadania zgłoszeń dokonanych za pośrednictwem Procesu zgłaszania nieprawidłowości oraz w celu wdrożenia wszelkich działań i środków zaradczych, które zostaną uznane za konieczne i odpowiednie w wyniku dochodzenia. Opieramy się na następujących podstawach prawnych przetwarzania danych osobowych, które mają zastosowanie w konkretnych okolicznościach:
- Użytkownik wyraził zgodę na przetwarzanie swoich danych osobowych (art. 6 ust. 1 RODO). 6 (1));
- Naszym prawnym obowiązkiem jest wykorzystywanie danych osobowych użytkownika w celu wypełnienia wszelkich nałożonych na nas zobowiązań prawnych (art. 6 ust. 1 lit. c RODO). 6(1)(c)); i/lub
- W naszym uzasadnionym interesie lub w uzasadnionym interesie strony trzeciej leży wykorzystanie danych osobowych w celu zbadania zgłoszeń o nieprawidłowościach (art. 6 ust. 1 lit. f RODO). 6(1)(f)).
Podstawą prawną przetwarzania przez nas wszelkich danych wrażliwych, które użytkownik może nam udostępnić na swój temat, jest jego wyraźna zgoda (art. 9 ust. 2 RODO). 9 (2)).
4. Techniczne i organizacyjne środki ochrony danych osobowych użytkownika
Zobowiązujemy się do zapewnienia bezpieczeństwa przekazanych nam danych osobowych i wdrożyliśmy odpowiednie środki techniczne i organizacyjne w celu ochrony przetwarzanych przez nas danych osobowych przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, zmianą, nieuprawnionym dostępem lub wykorzystaniem.
5. Ujawnianie danych osobowych
W razie konieczności i stosownie do okoliczności konkretnego dochodzenia w sprawie zgłoszenia nieprawidłowości dane użytkownika zostaną ujawnione ograniczonej liczbie osób w firmie, które są upoważnione do zbadania zgłoszenia nieprawidłowości i wdrożenia wszelkich środków zaradczych. Mogą one również zostać ujawnione osobom związanym z dochodzeniem oraz innym podmiotom DLA Piper w razie potrzeby, zgodnie z ust. 1 powyżej.
W zależności od charakteru raportu możemy również być zmuszeni do udostępnienia danych użytkownika innym stronom trzecim, takim jak:
- Nasi profesjonalni doradcy, tacy jak prawnicy i księgowi;
- Organy rządowe lub regulacyjne; oraz
- Ubezpieczenie od odpowiedzialności cywilnej z tytułu wykonywania zawodu lub inny odpowiedni ubezpieczyciel.
Ponadto dane użytkownika będą ujawniane niektórym stronom trzecim, którym zlecamy niektóre usługi, takie jak między innymi przetwarzanie dokumentów i usługi tłumaczeniowe, dostawcy systemów informatycznych i oprogramowania oraz dostawcy dokumentów i przechowywania, w szczególności Safecall, dostawca usługi whistleblowingu. Safecall wdrożył odpowiednie środki w celu zapewnienia odpowiedniej ochrony danych osobowych użytkowników.
W przypadku, gdy ujawnienie danych osobowych użytkownika jest wymagane zgodnie z obowiązkiem prawnym, powiadomimy go o tym w zakresie dozwolonym przez prawo.
6. Jak długo przechowujemy dane osobowe użytkowników
Będziemy przechowywać dane osobowe tak długo, jak będzie to konieczne do zbadania zgłoszenia. Możemy przechowywać niektóre dane w związku z dochodzeniem przez co najmniej 6 lat po zamknięciu zgłoszenia zgodnie z naszymi obowiązkami prawnymi i regulacyjnymi. Dane, które nie są już wymagane, zostaną usunięte i/lub zanonimizowane.
7. Przekazywanie danych osobowych użytkownika
W celu zbadania zgłoszenia możemy być zmuszeni do przekazania danych osobowych użytkownika do lokalizacji poza jurysdykcją, w której użytkownik je przekazał. Jeśli użytkownik ma siedzibę w Europejskim Obszarze Gospodarczym (EOG), należy pamiętać, że w razie potrzeby przekażemy dane osobowe do krajów spoza EOG.
Wszystkie podmioty DLA Piper podpisały umowę o udostępnianiu danych, która opiera się na standardowych klauzulach umownych UE w celu zapewnienia zgodności z naszymi zobowiązaniami prawnymi i regulacyjnymi w odniesieniu do przetwarzania danych osobowych, w tym posiadania zgodnej z prawem podstawy do przekazywania danych osobowych i wprowadzenia odpowiednich zabezpieczeń w celu zapewnienia odpowiedniego poziomu ochrony danych osobowych.
8. Twoje prawa
Użytkownikowi przysługują następujące prawa w odniesieniu do przechowywanych przez nas jego danych osobowych:
- Prawo dostępu
Na prośbę użytkownika potwierdzimy, czy przetwarzamy jego dane osobowe, a w razie potrzeby przekażemy kopię tych danych osobowych (wraz z pewnymi innymi szczegółami). Jeśli użytkownik zażąda dodatkowych kopii, może być konieczne naliczenie rozsądnej opłaty.
- Prawo użytkownika do sprostowania
Jeśli przechowywane przez nas dane osobowe użytkownika są niedokładne lub niekompletne, użytkownik ma prawo zażądać ich sprostowania. Jeśli użytkownik jest uprawniony do sprostowania i jeśli udostępniliśmy jego dane osobowe innym osobom, poinformujemy je o sprostowaniu, jeśli będzie to możliwe. Jeśli użytkownik o to poprosi, o ile będzie to możliwe i zgodne z prawem, poinformujemy go również, komu udostępniliśmy jego dane osobowe, aby mógł skontaktować się z nimi bezpośrednio.
- Prawo do usunięcia danych
Użytkownik może poprosić nas o usunięcie jego danych osobowych w pewnych okolicznościach, np. gdy nie są one już nam potrzebne lub gdy użytkownik wycofa swoją zgodę (w stosownych przypadkach). Jeśli użytkownik jest uprawniony do usunięcia danych i jeśli udostępniliśmy jego dane osobowe innym osobom, w miarę możliwości poinformujemy je o usunięciu danych. Jeśli użytkownik zwróci się do nas z taką prośbą, o ile będzie to możliwe i zgodne z prawem, poinformujemy go również, komu udostępniliśmy jego dane osobowe, aby mógł skontaktować się z nimi bezpośrednio.
- Prawo użytkownika do ograniczenia przetwarzania
Użytkownik może poprosić nas o "zablokowanie" lub wstrzymanie przetwarzania jego danych osobowych w określonych okolicznościach, na przykład w przypadku zakwestionowania dokładności tych danych osobowych lub wyrażenia sprzeciwu wobec nas. Jeśli użytkownik jest uprawniony do ograniczenia i jeśli udostępniliśmy jego dane osobowe innym osobom, poinformujemy je o ograniczeniu, o ile będzie to dla nas możliwe. Na prośbę użytkownika, o ile jest to możliwe i zgodne z prawem, poinformujemy go również o tym, komu udostępniliśmy jego dane osobowe, aby użytkownik mógł skontaktować się z nimi bezpośrednio.
- Prawo do przenoszenia danych
Użytkownik ma prawo, w pewnych okolicznościach, uzyskać dane osobowe, które nam przekazał (w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego) i ponownie wykorzystać je w innym miejscu lub poprosić nas o przekazanie ich wybranej przez siebie stronie trzeciej.
- Prawo do sprzeciwu
Użytkownik może poprosić nas o zaprzestanie przetwarzania jego danych osobowych, a my to zrobimy, jeśli opieramy się na własnych lub cudzych uzasadnionych interesach w celu przetwarzania danych osobowych użytkownika, z wyjątkiem sytuacji, gdy możemy wykazać inne właściwe podstawy prawne przetwarzania.
- Prawo do wycofania zgody
Jeśli podstawą prawną przetwarzania danych osobowych użytkownika jest jego zgoda, użytkownik ma prawo wycofać tę zgodę w dowolnym momencie.
Należy pamiętać, że niektóre z tych praw mogą być ograniczone w przypadku, gdy mamy nadrzędny interes lub prawny obowiązek dalszego przetwarzania danych lub gdy dane mogą być zwolnione z ujawnienia ze względu na tajemnicę zawodową lub zobowiązania do zachowania tajemnicy zawodowej.
Aby dochodzić któregokolwiek z powyższych praw, prosimy o kontakt pod adresem privacyteam@dlapiper.com.
Jeśli masz obawy dotyczące jakiegokolwiek aspektu naszych praktyk w zakresie prywatności, w tym sposobu, w jaki przetwarzamy Twoje dane osobowe, możesz zgłosić to odpowiedniemu organowi nadzorczemu, w szczególności w kraju, w którym mieszkasz.
W przypadku jakichkolwiek pytań dotyczących przetwarzania danych osobowych w ramach usługi whistleblowingu należy skontaktować się bezpośrednio z inspektorem ds. prywatności firmy, Mariette Kruger, DLA Piper UK LLP, Londyn lub z zespołem ds. prywatności firmy, privacyteam@dlapiper.com.
Więcej informacji na temat przetwarzania danych osobowych w firmie można znaleźć w naszej Polityce prywatności.
POLSKA ZAŁĄCZNIK KRAJOWY
Dane osobowe przetwarzane przez nas w związku z Procesem Zgłaszania Nieprawidłowości będą przechowywane przez nas przez okres trzech lat po zakończeniu roku kalendarzowego, w którym Proces Zgłaszania Nieprawidłowości (w tym, w stosownych przypadkach, wszelkie powiązane działania następcze) został zakończony, lub przez okres w inny sposób dozwolony lub wymagany przez obowiązujące przepisy prawa i regulacje. Na Twój wniosek i w przypadku stwierdzenia, że dane osobowe nie są istotne dla Procesu Zgłaszania Nieprawidłowości, dane te zostaną usunięte w ciągu czternastu dni od stwierdzenia ich nieistotności.
Nie ujawnimy Twojej tożsamości osobom, których dotyczy zgłoszenie nieprawidłowości, chyba że: (i) wyraźnie wyraził_ś zgodę na ujawnienie swojej tożsamości lub (ii) takie ujawnienie jest koniecznym i proporcjonalnym obowiązkiem w związku z dochodzeniami prowadzonymi przez organy publiczne lub postępowaniami sądowymi, w tym w celu ochrony prawa do obrony wyżej wymienionych osób.