Luftaufnahme von Carthago Gelände mit Werk, Verkaufsausstellung, Verwaltungsgebäude

BESTÄMMELSER OM UPPGIFTSSKYD FÖR RAPPORTERINGSSYSTEM

1. Ansvarig och personuppgiftsansvarig

Ansvarig är Carthago Reisemobilbau GmbH, Carthago-Ring 1, 88326 Aulendorf, +49 (0)7525 92000.

Personuppgiftsansvarig: Christoph Boser
Carthago Ring 1, 88326 Aulendorf
Telefon: +49 7525 9200 3000
E-post: datenschutz@carthago.com
 
Vid frågor om uppgiftsskydd kan nu alltid kontakta vår personuppgiftsansvarige via e-post. E-post datenschutz@carthago.com.
 

2. Syfte med vårt interna rapporteringssystem

Vi tillhandahåller ett internt rapporteringssystem för att kunna ta emot, hantera, bearbeta och förvalta rapporter om potentiella missförhållanden, lagöverträdelser och övriga oegentligheter i företaget på ett säkert och konfidentiellt sätt.
 

3. Rapporterande person

Vårt interna rapporteringssystem står till förfogande för medarbetare och före detta medarbetare i vårt företag och tredje part (t.ex. kunder, affärspartner, leverantörer, medarbetare i relaterade företag).
 

4. Typ av uppgifter

  • Vid en anonym rapport registrerar och behandlar inte vårt rapporteringssystem några slags personuppgifter från den rapporterande personen (visselblåsaren).
  • Vid en konfidentiell rapport har den externa tillhandahållaren av vårt rapporteringssystem CONFDNT kontaktuppgifterna för den rapporterande personen. Vi har dock inte tillgång till dem. Vid en konfidentiell rapport finns för oss möjlighet till direkt kommunikation med den rapporterande personen för att t.ex. bekräfta att respektive rapport har inkommit, ställa frågor om sakförhållandet och kunna informera den rapporterande personen om vidtagna åtgärder. Vår får dock ingen information om den rapporterande personens identitet. Den externa tillhandahållaren av vårt rapporteringssystem CONFDNT fungerar som ”anonymiseringsvägg” mellan oss och den rapporterande personen.
  • Vid en öppen rapport får den kontaktperson som är internt ansvarig i företaget hos oss för hantering av rapporter åtkomst till uppgifterna om den rapporterande personens identitet och kan kommunicera direkt med den rapporterande personen. Enligt EU:s visselblåsardirektiv är vi då skyldiga att upprätthålla sekretessen för den rapporterande personens identitet, dvs. endast den medarbetare (ingen annan i företaget), som hanterar respektive rapport får känna till den rapporterande personens identitet.

 

5. Hanterade personuppgifter

Om en rapport inkommer via rapporteringssystemet hanterar vid följande personuppgifter:

  • Namn och kontaktuppgifter för den rapporterande personen, såtillvida dessa anges vid en öppen rapport, vid en konfidentiell rapport kommer inte den externa tillhandahållaren av vårt rapporteringssystem CONFDNT att lämna vidare den rapporterande personens personuppgifter till oss. Vid en anonym anmälan hanteras inga som helst personuppgifter för den rapporterande personen.
  • IP-adressen för den rapporterande personen sparas inte i applikationen för hantering av en anmälan. För att upprätthålla tillgänglighet, sekretess och integritet för servern och de applikationer och gränssnitt som är kopplade till servern, protokolleras åtkomster till servern för att identifiera och kunna åtgärda potentiella säkerhetsöverträdelser. Åtkomster som inte kan kopplas till någon säkerhetsöverträdelse, raderas enligt underhållsintervaller senast efter en kalendermånad.
  • Företagstillhörighet resp. funktion hanteras, såtillvida detta anges inom ramen av en rapport
  • Personuppgifter för en person som nämns i en rapport hanteras för att undersöka resp. hantera en rapport

Kommunikationen mellan datorn för den rapporterande personen och rapporteringssystemet görs via en krypterad anslutning (SSL). För att upprätthålla anslutningen mellan datorn och rapporteringssystemet sparas en cookie i datorn som endast innehåller sessions-ID:t (s.k. null-cookie). Cookien är endast giltig fram till slutet av respektive session och raderas när man stänger webbläsaren.
 

6. Konfidentiell hantering av rapporter och vidarelämning

Rapporter som inkommer tas emot och hanteras av ett fåtal auktoriserade medarbetare. Dessa medarbetare är uttryckligen skyldiga att alltid hantera samtliga rapporter konfidentiellt. Dessa ansvariga medarbetare kontrollerar rapporten och genomför eventuellt ett fallrelaterad klarläggande av sakförhållandet. Inom ramen av klarläggandet av sakförhållandet och eventuell efterföljande inledning av åtgärder kan det bli nödvändigt att vidarelämna information till fler medarbetare i företaget. Detta görs uteslutande om det är nödvändigt för klarläggande eller för att inleda åtgärder och vi ser alltid till att hithörande integritetsskyddande bestämmelser efterlevs när rapporter vidarelämnas. I vissa fall finns integritetsskyddande skyldighet att informera den berörda personen om de gjorda påståendena. Detta krävs enligt lag om det står fast objektivt att utlämning av information till den berörda personen inte (längre) kan påverka klarläggandet av rapporten. Den rapporterande personens identitet kommer då, i den mån detta är juridiskt möjligt, inte att röjas och det kommer att säkerställas att det inte går att dra några slutsatser om den rapporterande personens identitet när den berörda personen informeras. Vid medveten felaktig rapportering med målet att misskreditera (ange) en person kan inte sekretessen för den rapporterande personens identitet garanteras. Vid hithörande rättslig förpliktelse eller integritetsskyddande nödvändighet för klarläggande av rapporten kommer ytterligare kategorier som mottagare såsom åklagarmyndigheter, kartellmyndigheter, övriga förvaltningsmyndigheter, domstolar samt advokat- och bokföringsbyråer.
 

7. Skapade av ett konto

Den rapporterande personen skapar ett konto för rapporten. Man kommer till kontot via en QR-kod och/eller en personlig länk. Via kontot kan kommunikationen ske mellan medarbetarna på företaget som har i uppdrag att hantera rapporten och den rapporterande personen. När kontot skapas och används registreras inga ytterligare personuppgifter. En anonym registrering för användningen av rapporteringssystemet kan göras, det går då inte att dra några slags slutsatser om enskilda användare. Enskilda rapporter märks entydigt med ett identifieringsnummer. Identifieringsnumret är då aldrig till för att identifiera den rapporterande personen utan endast för att separera olika rapporter och rapporterande personer logiskt från varandra. Den rapporterande personen kan alltid se de personuppgifter som har angivits i kontot för rapporteringssystemet. Ytterligare personuppgifter är de personuppgifter som anges i kontot sparas inte av rapporteringssystemet. Alla uppgifter som anges av den rapporterande personen sparas i en databas separat krypterade.
 

8. Rättsliga grunder

Hanteringen av personuppgifter inom ramen av rapporteringssystemet stöds på fullgörandet av rättsliga plikter, samt vårt övervägande berättigade intresse att avslöja och förebygga missförhållanden och för att förhindra relaterade skador och ansvarsrisker för företaget. Rättslig grund är i enlighet med detta art. 6 avs. 1 lit. c) och lit. f) GDPR tillsammans med §§ 30, 130 tyska OWiG (ung. lagen om otillbörligt agerande).
Om en rapport gäller någon av våra medarbetare, är hanteringen dessutom till för att förhindra och avslöja brott eller övriga överträdelser som är relaterade till anställningsförhållandet. Rättslig grund i det här fallet är § 26 avs. 1 tyska BDSG (dataskyddslagen).
 

9. Förvaring och radering

Personuppgifter sparas så länge som det behövs för att klarlägga och därefter bedöma en rapport eller om det finns ett berättigat intresse för företaget eller om det är nödvändigt på grund av en lag.
Därefter raderas dessa uppgifter enligt lagbestämmelserna. Tidsperioden som uppgifterna lagras rättar sig särskilt efter hur allvarlig misstanken är och den rapporterade eventuella pliktförsummelsen.
Raderingen av registrerade uppgifter görs då principiellt inom två månader efter att de interna utredningarna har avslutats.
Om följden av en oegentlighet enligt det här direktivet eller missbruk av rapporteringssystemet blir rättegång i brottsmål, disciplinärt eller civilrättsligt förfarande, kan lagringstiden förlängas fram till att respektive förfarande har vunnit laga kraft.
Personuppgifter som uppenbarligen inte är relevanta för att hantera en specifik rapport, insamlas inte eller raderas omedelbart om de har insamlats oavsiktligt.
 

10. Tjänsteleverantör

Vårt rapporteringssystem ställs till förfogande av tjänsteleverantören One GmbH i Tyskland baserat på en överenskommelse om personuppgiftsbiträdesavtal enligt art. 28 GDPR.
 

11. Dina rättigheter som berörd person

Som berörd person har du följande rättigheter i den mån de lagstadgade förutsättningar för detta är uppfyllda:

  • Rätt till information, art. 15 GDPR
  • Rätt till rättelse, art. 16 GDPR
  • Rätt till radering, art. 17 GDPR
  • Rätt till begränsning av behandling, art. 18 GDPR
  • Rätt till dataportabilitet, art. 20 GDPR
  • Rätt att göra invändningar, art. 21 GDPR

Såtillvida uppgiftsbehandlingen baseras på en avvägning av berättigade intressen, har du rätt att invända mot den här uppgiftsbehandlingen. För detta måste berättigade skäl föreligga, vilka ges av din speciella situation.
Du har dessutom rätt att lämna in besvär hos tillsynsmyndigheter för uppgiftsskydd om databehandlingen.
 

12. Ändring av den här informationen om uppgiftsskydd

Vi förbehåller oss att vid behov anpassa den här informationen om uppgiftsskydd så att den alltid uppfyller aktuella rättskrav och/eller för att återspegla förändringar av uppgiftshanteringen. För förnyat nyttjande gäller då den nya informationen om uppgiftsskydd.