ERKLÄRUNG ÜBER DIE VERARBEITUNG VON PERSONENBEZOGENEN DATEN BEI DER BEARBEITUNG VON MELDUNGEN ÜBER RECHTSWIDRIGES VERHALTEN (WHISTELBLOWING)
Nach Artikel 13 der EU-Verordnung Nr. 679/2016 (nachstehend „DSGVO“) und des italienischen Gesetzesdekrets 196/2003 i.d.g.F. erteilt ACS DATA SYSTEMS S.P.A. (nachstehend das „Unternehmen“ oder der „Verantwortliche“) die folgenden Informationen über die Verarbeitung personenbezogener Daten (nachstehend die „Daten“), die im Zusammenhang mit der Bearbeitung von Whistleblowing-Meldungen (schriftliche oder mündliche Mitteilungen von Informationen über Verstöße) gemäß Gesetzesdekret 24/2023 steht.
A. VERANTWORTLICHER UND AUFTRAGSVERARBEITER
Für die Daten der Nutzer der Website ist ACS DATA SYSTEMS S.P.A., mit Firmensitz in 39100 - Bozen (Bozen), Via Luigi Negrelli 6 („ACS“ oder „Verantwortlicher“) verantwortlich.
Das Unternehmen kann unter folgenden Adressen kontaktiert werden:
- auf dem Postweg: ACS DATA SYSTEMS S.P.A., Via Luigi Negrelli, 6, 39100 - Bozen
- per E-Mail: privacy@acs.it
- per zertifizierte Post: info@pec.acs.it
Das Unternehmen hat einen Datenschutzbeauftragten ernannt, der wie folgt kontaktiert werden kann:
- auf dem Postweg: ACS DATA SYSTEMS S.P.A., Via Luigi Negrelli, 6, 39100 – Bozen – Zu Händen des Data Protection Officer
- per E-Mail: privacy@acs.it
- per zertifizierte Post: info@pec.acs.it
B. ART DER DATEN, DIE GEGENSTAND DER VERARBEITUNG SIND
Das Unternehmen nutzt für die Abgabe der Meldungen in Wort und Schrift die Plattform EcosAgile von Softagile S.r.l. Darüber hinaus sieht es die Möglichkeit eines Gesprächs mit dem für die Bearbeitung der Meldungen zuständigen Personal vor.
Bei der Übermittlung einer Meldung von Misständen nach dem italienischen Gesetzesdekret 24/2023 über die vom Unternehmen bereitgestellten Kanäle können eine Reihe von Informationen erfasst werden (zur Beantwortung der Meldung erforderliche Kontaktdaten und weitere personenbezogene Daten, die in der Meldung oder in den beigefügten Unterlagen enthalten sind. Diese Daten könnten auch zu besonderen Datenkategorien gehören oder sich auf strafrechtliche Verurteilungen und Straftaten beziehen).
Die Vertraulichkeit der Identität des Hinweisgebers wird gemäß den geltenden Rechtsvorschriften gewährleistet. Ferner drohen in Übereinstimmung mit dem Gesetzesdekret 24/2023 all denen, die gegen die Maßnahmen zum Schutz des Hinweisgebers verstoßen, Disziplinarmaßnahmen und Vertragsstrafen. Die Regelung sieht zuletzt auch Garantien zum Schutz des Hinweisgebers vor direkten oder indirekten Repressalien und Benachteiligungen vor, die sich gegen ihn aus Gründen richten, die direkt oder indirekt mit seiner Meldung im Zusammenhang stehen.
C. RECHTSGRUNDLAGE UND ZWECK DER VERARBEITUNG
ACS DATA SYSTEMS S.P.A. verwendet die verarbeiteten personenbezogenen Daten für die Bearbeitung der Meldung in Übereinstimmung mit den geltenden Vorschriften.
Die Rechtsgrundlage für die Verarbeitung beruht auf der Notwendigkeit, einer rechtlichen Verpflichtung nachzukommen, die der Verantwortliche nach Art. 6.1.c DSGVO und eventuell 9.2.b DSGVO und 10 DSGVO zu erfüllen hat.
Die Daten dürfen nur dann verarbeitet werden, wenn nach Art. 6.1.a DSGVO und 9.2.a DSGVO der Hinweisgeber seine Einwilligung gegeben hat und bestimmte Fälle vorliegen:
- wenn die Identität des Hinweisgebers und alle weiteren Informationen preisgegeben werden müssen, aus denen nicht für die Entgegennahme oder Bearbeitung der Meldung zuständige Personen direkt oder indirekt die Identität des Hinweisgebers schlussfolgern können (siehe hierzu Art. 12 Abs. 2 Gesetzesdekret 24/2023);
- wenn die Kenntnis der Identität des Hinweisgebers für die Verteidigung des Beschuldigten unabdingbar ist, sofern die Vorhaltung ganz oder teilweise auf der Meldung fußt (siehe hierzu Art. 12 Abs. 5 Gesetzesdekret 24/2023);
- wenn die Meldung während eines Gesprächs mit dem zuständigen Personal mündlich abgegeben wurde, um sie durch die Aufzeichnung auf einem Stimmaufnahme oder mittels eines Protokolls dokumentieren zu können (siehe hierzu Art. 14 Abs. 4 Gesetzesdekret 24/2023).
Es wird darauf hingewiesen, dass die übermittelten Daten in bestimmten Fällen auch verarbeitet werden können, um:
- weitere Verpflichtungen zu erfüllen, die sich aus geltenden Gesetzen (bez. Whistleblowing), Verordnungen oder EU-Rechtsvorschriften ergeben, oder um behördlichen Aufforderungen nachzukommen. Die Rechtsgrundlage für die Verarbeitung beruht auf der Verpflichtung des Verantwortlichen, die zwingenden Vorschriften gemäß Art. 6.1.c DSGVO und 9.2.b DSGVO zu erfüllen;
- die Rechte des Verantwortlichen im Rahmen von Rechtsstreitigkeiten, auch vor Gericht, zu verteidigen. Die Rechtsgrundlage für die Verarbeitung beruht auf dem berechtigten Interesse des Verantwortlichen, seine Rechte gemäß Art. 6.1.f DSGVO zu wahren.
D. EMPFÄNGER DER DATEN
Die Daten können folgenden Personen mitgeteilt werden:
- Personen, die als Auftragsverarbeiter nach Art. 28 DSGVO handeln, einschließlich des Verwalters der vom Unternehmen genutzten Plattform EcosAgile, bzw. Personen, die mit dem Unternehmen bei der Verfolgung des obigen Zwecks zusammenarbeiten und zur Geheimhaltung verpflichtet sind;
- Personen, die vom Unternehmen nach Art. 29 DSGVO zur Datenverarbeitung befugt sind, die für die Durchführung von Tätigkeiten erforderlich ist, die in enger Verbindung mit der Erbringung von Dienstleistungen stehen, und zur Geheimhaltung verpflichtet sind;
- Personen, Einrichtungen oder Behörden, denen die Daten aufgrund von gesetzlichen Bestimmungen oder behördlichen Anordnungen mitgeteilt werden müssen.
E. ÜBERMITTLUNG DER DATEN
Die Daten können außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt werden, zum Beispiel im Falle einer Inanspruchnahme unterstützender Dienstleistungen zur Vorbereitung und Verwaltung von Meldekanälen, die die Datenübermittlung in Drittländer vorsehen. In diesem Fall erfolgt die Übermittlung nur, sofern ein Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO oder die sonstigen regulatorisch vorgesehenen Voraussetzungen vorliegen, die eine Datenübermittlung außerhalb des EWR zulassen.
F. SPEICHERUNG DER DATEN
Die Daten werden so lange aufbewahrt, wie es zur Erreichung des Zwecks der Verarbeitung unbedingt erforderlich ist, wobei die Grundsätze der Minimierung und Verhältnismäßigkeit Beachtung finden. Dabei gilt Folgendes:
- Daten, die im Rahmen rechtlicher Verpflichtungen verarbeitet werden, werden so lange gespeichert, wie es die jeweils geltende rechtliche Verpflichtung oder die anwendbare Rechtsvorschrift für nötig erachtet (für die Bearbeitung der Meldung nach Art. 14 Abs. 1 des Gesetzesdekrets 24/2023 für einen Zeitraum von maximal 5 Jahren ab dem Zeitpunkt, zu dem das Endergebnis des Meldeverfahrens mitgeteilt wurde);
- Daten, die zur Verteidigung der Rechte des Verantwortlichen verarbeitet werden, werden nur so lange gespeichert, wie es die italienischen Rechtsvorschriften zum Schutz seiner Interessen vorsehen und zulassen.
G. RECHTE DER BETROFFENEN PERSONEN
Nach Art. 15 ff. DSGVO hat die betroffene Person das Recht, vom Unternehmen Auskunft über ihre Daten zu verlangen, sie zu berichtigen oder zu löschen oder Einspruch gegen ihre Verarbeitung zu erheben, die Einschränkung ihrer Verarbeitung in den Fällen nach Art. 18 DSGVO zu verlangen sowie in den Fällen nach Art. 20 DSGVO die sie betreffenden Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Eine erteilte Einwilligung kann anschließend jederzeit widerrufen werden.
Die Anträge sind unter den oben genannten Adressen schriftlich an das Unternehmen zu richten.
Die betroffene Person hat in jedem Fall nach Art. 77 DSGVO das Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde bzw. Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden Daten gegen die geltenden Rechtsvorschriften verstößt.