Tyto zásady ochrany osobních údajů vysvětlují, jaké osobní údaje, jak a pro jaké účely jsou zpracovávány v souvislosti s platformou pro oznamování („kanál pro oznamování“), která byla vytvořena v souladu se směrnicí Evropské unie 2019/1937, o ochraně osob, které oznamují porušení práva Unie (dále jen „směrnice o oznamování“), a příslušnými vnitrostátními zákony.
4finance Group, uzavřená společnost s ručením omezeným zapsaná v Lucembursku, včetně všech jí přímo či nepřímo ovládaných právnických osob, vystupuje jako správce osobních údajů nebo spolusprávce v závislosti na příslušných národních zákonech.
Tento proces zahrnuje kanál pro oznamování a veškeré zprávy v něm podané a z toho vyplývající kroky a vyšetřování, a to vše v souladu s obecným nařízením o ochraně osobních údajů („GDPR“).
1. Spolusprávci
Pokud se zpráva týká zaměstnanců nebo jiných spřízněných osob dceřiné společnosti 4finance Group jiné než 4finance AS, kontrolují zpracování osobních údajů v kontextu tohoto procesu společně společnosti 4finance AS a Zaplo Finance s.r.o..
2. Účel
Účelem zpracování osobních údajů je nastavení a údržba kanálu pro oznamování a přijímání, vyšetřování a řešení jakýchkoli porušení, pochybení nebo jiných záležitostí nahlášených prostřednictvím kanálu pro oznamování v souladu s interními zásadami spolusprávce a požadavky směrnice o oznamování a vnitrostátními zákony. Přestože může společnost 4finance Group obdržet v oznámení jakýkoli druh informací, včetně nesprávných nebo přehnaných informací, cílem je vytvořit důkazy, které jsou následně přezkoumány.
3. Právní základ
Veškeré zpracování je založeno na směrnici o oznamování transponované do lotyšského zákona o oznamování a [subsidiárního zákona o oznamování]. Dále je zpracování osobních údajů týkajících se subjektů oznámení, oznamovatelů a správců případů založeno na oprávněném zájmu správce předcházet, odhalovat, vyšetřovat a řešit nepravosti. Bez úmyslu mohou být spolusprávci vystaveni zvláštním kategoriím osobních údajů obsaženým ve zprávě o oznámení podle výjimek povolených článkem 9 GDPR, například v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany (čl. 9 odst. 2 písm. b)) a pro určení, výkon nebo obhajobu právních nároků nebo pokud soudy jednají v rámci svých soudních pravomocí (čl. 9 odst. 2 písm. f)). Veškeré nepodstatné nebo nadbytečné osobní údaje jsou podle čl. 17 směrnice o oznamování vymazány.
4. Kategorie subjektů údajů a osobních údajů
Oznamovatelé. Oznamovatel zpravidla podává oznámení anonymně. Oznamovatel může také poskytnout osobní údaje (např. jméno, místo, oddělení, věk, pohlaví, finanční informace atd.), pokud to pomůže vyšetřování. Informace poskytované oznamovatelem mohou také obsahovat zvláštní kategorie osobních údajů (jako jsou informace o zdraví osoby, biometrické údaje, víra, sexualita, odsouzení za trestný čin). Okolnosti případu mohou zahrnovat nepřímou identifikaci oznamovatele. Patří mezi ně zaměstnanci společnosti 4finance Group a externí zainteresované strany, jako jsou osoby jiné než pracovníci, kteří se s danou osobou setkávají při svých pracovních činnostech, jako například poskytovatelé služeb, distributoři, dodavatelé a obchodní partneři.
Předměty oznámení. Oznámení o pochybení mohou obsahovat informace o dalších relevantních osobách (např. jméno, příjmení, pozici, místo, finanční informace, obrázky nebo videozáznamy), jejich chování a okolnosti a další osobní údaje. Výjimečně mohou oznámení obsahovat zvláštní kategorie osobních údajů.
Správci případu. Osoby odpovědné za vyšetřování obdrží informace obsažené v oznámení. Tyto osoby jsou zaměstnanci konkrétně pověření spolusprávci ke zpracování oznámení. Zpracovává se jejich jméno, pozice, uživatelské jméno a data protokolu.
5. Přístup k osobním údajům a jejich zpřístupnění
Přímý přístup k osobním údajům v oznámení mají pouze správci případů. V případě zákonné povinnosti nebo oprávněného zájmu mohou být osobní údaje zpřístupněny třetím stranám, jako jsou státní orgány nebo externí auditoři. Při podávání oznámení z počítače ve veřejné nebo pracovní síti se navštívené webové stránky zapisují do historie prohlížeče a/nebo do systémového protokolu, což potenciálně za výjimečných okolností umožňuje identifikaci, proto se oznamovateli doporučuje používat privátní síť a prohlížeč v anonymním režimu.
6. Zpracování osobních údajů v zemích EU/EHP
Správcem kanálu pro oznamování je externí poskytovatel služeb: společnost Falcony Ltd., zapsaná ve finském obchodním rejstříku, IČ: 2900763-6, Annankatu 27 A, 00100 Helsinki, Finsko, +358 20 131 0611, support@falcony.io (zpracovatel). Spolusprávci mají v platnosti nezbytné smlouvy, aby zajistili, že zpracovatel používá osobní údaje shromážděné prostřednictvím kanálu pro oznamování pouze v souladu s platnými zákony na ochranu osobních údajů. Zpracovatel má subdodavatele, který zajišťuje ukládání technických dat – Amazon AWS, Irsko (dílčí zpracovatel). Údaje jsou zpracovávány a uchovávány pouze v rámci EU/EHP.
7. Doba, po kterou jsou osobní údaje uloženy
Osobní údaje obsažené v oznámení jsou uchovávány nejdéle po dobu dvou (2) let od ukončení každého vyšetřování. Doba, po kterou jsou osobní údaje uchovávány, může být delší kvůli povinným zákonným povinnostem vyplývajícím například z trestního řízení, právních nároků, zákonů o bezpečnosti práce atd.
8. Práva oznamovatele
Oznamovatel má právo:
- získat od správce potvrzení, zda jsou osobní údaje, které se ho či jí týkají, zpracovávány, a pokud tomu tak je, získat k osobním údajům přístup;
- požadovat od správce opravu svých osobních údajů;
- požadovat od správce omezení zpracování svých osobních údajů za okolností uvedených v článku 18 GDPR;
- požadovat od správce výmaz svých osobních údajů; nebo
- vznést námitku proti zpracování svých osobních údajů za okolností uvedených v článku 21 GDPR.
Tato práva mohou být v souladu s GDPR za určitých okolností omezena.
9. Bezpečnost informací
Všechna data jsou přenášena a ukládána šifrovaná. Žádné nešifrované informace nejsou odesílány přes otevřený internet. Riziko porušení a nepřímé identifikace je zanedbatelné.
10. Dotazy týkající se osobních údajů a právního základu kanálu pro oznamování
Máte-li jakékoli dotazy týkající se zpracování osobních údajů, kontaktujte prosím pracovníka pro ochranu osobních údajů společnosti 4finance Group na e-mailové adrese privacy@4finance.com.
Máte-li dotazy týkající se právního rámce kanálu pro oznamování a vyšetřování oznámení, obraťte se na pracovníka zodpovědného za zajišťování dodržování předpisů společnosti 4financeGroup: compliance@4finance.com.
V otázkách rámce pro boj proti praní peněz se prosím obraťte na vedoucího AML a DP společnosti 4finance Group: aml@4finance.com.
