BEHANDLING AF PERSONOPLYSNINGER (§ 13 og § 14 i GDPR)

Brembo SpA, med hovedsæde i Via Brembo 25, 24035 Curno (BG), Italien, og de øvrige Brembo-koncernselskaber, som angivet nedenfor (i det følgende individuelt “virksomheden” og i fællesskab “koncernen” eller “de fælles dataansvarlige”), har implementeret et system til forebyggelse og bekæmpelse af ulovlig adfærd i koncernen, herunder et system til modtagelse og håndtering af indberetninger om sådan adfærd, både via webplatform og apps kaldet “Legality Whistleblowing”, som reguleres af virksomhedsproceduren for whistleblowing (i det følgende “whistleblowing-platform”).

Systemet deles mellem de virksomheder, der som fælles dataansvarlige i henhold til artikel 26 i EU’s generelle databeskyttelsesforordning – forordning (EU) 2016/679 (i det følgende “GDPR”) – har underskrevet en aftale om fælles dataansvar, som er tilgængelig i uddrag for registrerede ved anmodning til de kontaktoplysninger, der er angivet nederst i denne bekendtgørelse.

I forbindelse med håndteringen af ovennævnte indberetninger behandler de fælles dataansvarlige dine personoplysninger, der leveres og/eller under alle omstændigheder modtages i forbindelse med whistleblowing-platformen, i overensstemmelse med bestemmelserne i den gældende lovgivning om beskyttelse af personoplysninger og denne bekendtgørelse.

Typer af personoplysninger

De personoplysninger, der indhentes gennem indberetningen, er:

• Whistleblowerens identifikationsoplysninger, hvor dette er relevant for håndteringen af proceduren og tilladt i henhold til gældende lovgivning, samt inden for de grænser, der er angivet nedenfor, herunder for og efternavn, registreringsoplysninger til det indberetningssystem, der er implementeret af de fælles dataansvarlige og forvaltes via whistleblowing-platformen, og som tilbydes af en ekstern leverandør, der fungerer som de fælles dataansvarliges databehandler og er underlagt fortrolighed på måder, der er helt adskilt fra koncernens systemer. Identifikationsoplysningerne og registreringsmailen (som ikke må være en e-mail fra Brembo for at beskytte whistleblowerens identitet) leveres af whistlebloweren, når vedkommende registrerer sig på platformen og indsender en indberetning, eller kan om nødvendigt indhentes under undersøgelsesaktiviteterne og de deraf følgende vurderinger.
• Identifikationsoplysninger om den person, der er berørt af indberetningen, leveret af whistlebloweren og/eller yderligere erhvervet under undersøgelsesaktiviteterne og de deraf følgende vurderinger.
• Oplysninger om de indberettede hændelser afhængigt af indberetningens indhold, herunder enhver henvisning til oplysninger om tredjeparter, som efter forlydende er involveret i de hændelser, der er genstand for indberetningen, og som whistlebloweren har indberettet, eller som indhentes under efterfølgende undersøgelser.

Med henblik på håndtering af indberetningen kan personoplysninger suppleres med offentligt tilgængelige oplysninger og/eller indsamles af tredjeparter, afhængigt af indberetningens specifikke omstændigheder og altid i overensstemmelse med princippet om dataminimering, og/eller indsamles fra den registrerede og/eller allerede være tilgængelige for den fælles dataansvarlige til den proces, der er berørt af indberetningen.

På baggrund af de indberettede faktiske omstændigheder er det underforstået, at oplysninger fra særlige kategorier, der omhandles i artikel 9, stk. 1, i GDPR (og mere specifikt i denne sammenhæng oplysninger, der afslører race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning og fagforeningsmæssigt tilhørsforhold, samt oplysninger om personens helbredstilstand eller seksuel orientering), og/eller oplysninger om straffedomme og lovovertrædelser eller relaterede sikkerhedsforanstaltninger i henhold til artikel 10 i GDPR må indberettes eller efterfølgende indhentes i forbindelse med de efterfølgende undersøgelser. 

De fælles dataansvarlige indsamler ikke personoplysninger, der tydeligvis ikke er nyttige for behandlingen af en specifik indberetning, eller sletter dem straks, hvis de indsamles ved en fejl (ved indberetning eller efterfølgende undersøgelse). Indberetningerne må derfor ikke indeholde irrelevante faktiske omstændigheder.

Formål og retsgrundlag for behandling

De leverede oplysninger behandles med det formål at gennemføre de nødvendige undersøgelser på baggrund af gældende lovgivning med henblik på at kontrollere gyldigheden af det forhold, der er genstand for indberetningen, og vedtagelsen af de deraf følgende administrative, retslige og/eller disciplinære foranstaltninger og procedurer.

Retsgrundlaget er derfor overholdelse af en retlig forpligtelse (artikel 6, stk. 1, litra c), og, i tilfælde af særlige kategorier af oplysninger, artikel 9, stk. 2, litra g), i GDPR som fastsat i de nationale bestemmelser til gennemførelse af EU-direktiv 2019/1937) om beskyttelse af personer, der indberetter overtrædelser af EU-lovgivning og gældende nationale lovbestemmelser[1] (i det følgende “forordningen om whistleblowing”). 

Leveringens art og behandlingsmetoder

Whistleblowerens levering af oplysninger såsom e-mailadresse og adgangskode er nødvendig for whistlesblowerens registrering og adgang til indberetningens fortrolige område på den platform, der forvaltes af en tredjepartsudbyder, og dermed at kunne stille garanti for beskyttelse af identiteten af whistlebloweren, den berørte person og den person, der nævnes i indberetningen, samt indholdet af indberetningen og den tilhørende dokumentation. Manglende levering af oplysningerne medfører, at den dataansvarlige ikke må acceptere indberetningen.

Det er helt valgfrit at indsende en indberetning. Når whistlebloweren beslutter at indsende en indberetning, er whistleblowerens angivelse af andre oplysninger, f.eks. for- og efternavn, dog obligatorisk, da muligheden for anonyme indberetninger ikke kan garanteres på forhånd. Manglende levering af sådanne oplysninger medfører, at whistleblowingprocessen ikke kan fortsætte.

Oplysninger behandles med it-værktøjer og elektroniske værktøjer med organisations- og behandlingslogikker, der udelukkende knytter sig til de formål, der er angivet ovenfor, som angivet i virksomhedens pågældende whistleblowing-procedure, og under alle omstændigheder for at garantere oplysningernes korrekthed, sikkerhed, integritet og fortrolighed i overensstemmelse med de organisatoriske, fysiske og logiske foranstaltninger, der er fastsat i de gældende bestemmelser.

De oplysninger og den dokumentation, der vedrører indberetningen, samt informationsstrømmene mellem de involverede parter i kontrollen forvaltes og lagres kun på platformen for at garantere det højeste sikkerheds- og fortrolighedsniveau og overensstemmelse med de gældende bestemmelser.

Det skal bemærkes, at i tilfælde af at den skriftlige formular er blevet brugt til at udarbejde indberetningen, er det også muligt, med den involverede parts samtykke, at lagre indberetningen via registrering på en passende enhed eller med en detaljeret rapport eller et referat.

I tilfælde af mundtlige indberetninger foretaget via whistleblowing-platformens meddelelseskanal eller direkte til den interne revisionschef dokumenteres indberetningen skriftligt med whistleblowerens forudgående samtykke ved registrering på platformen.

Modtagere og overførsel af oplysninger

De indsamlede personoplysninger behandles af de medarbejdere, der er specifikt autoriseret til denne behandling, hvilket identificeres af Brembo Group, som angivet i den relevante whistleblowingprocedure for de fælles dataansvarlige, og specifikt de ansvarlige personer for indberetning hos Brembo S.p.A. Global Central Function Internal Audit, der handler på baggrund af specifikke instruktioner vedrørende selve behandlingens formål og metoder.

Personoplysninger er også tilgængelige, med det ene formål at administrere whistleblowing-platformen, for den virksomhed, der leverer whistleblowing-platformen og udfører outsourcingaktiviteter på vegne af de fælles dataansvarlige, der er udpeget som databehandler (Digital PA S.r.l.).

I tilfælde, hvor det er nødvendigt for at sikre dokumentationen af det forhold, der skal indberettes, de tilknyttede undersøgelser og vedtagelsen af de deraf følgende foranstaltninger, må de registreredes personoplysninger desuden sendes til den fælles dataansvarliges personale, der er berørt af indberetningen, og som tilhører de afdelinger, der er ansvarlige for vedtagelse af foranstaltningerne til beskyttelse af de fælles dataansvarlige eller for iværksættelse af eventuelle disciplinære foranstaltninger, samt til eventuelle juridiske konsulenter, den retslige myndighed og de relevante myndigheder og andre offentligretlige nævn/organer, der er kompetente i forbindelse med den indberettede sag.

Det er underforstået, at whistleblowerens identitet ikke må videregives uden dennes samtykke, hvilket den pågældende fælles dataansvarlige vil anmode om i de tilfælde, der specifikt er fastsat i forordningen om whistleblowing.

Personoplysninger behandles inden for EU og opbevares på servere, der befinder sig inden for EU. 

Opbevaring af personoplysninger

Oplysningerne opbevares i den periode, der er nødvendig og rimelig for at opfylde forpligtelserne i henhold til forordningen om whistleblowing. I henhold til princippet om dataminimering er det underforstået, at personoplysninger, der tydeligvis ikke er nyttige for behandlingen af en specifik indberetning, ikke indsamles og i tilfælde af utilsigtet indsamling straks slettes af den dataansvarlige.

Indberetninger og tilhørende dokumentation opbevares i den tid, der er nødvendig for behandling af indberetningen, og under alle omstændigheder ikke mere end fem år efter den dato, hvor whistlebloweren underrettes om det endelige resultat af indberetningen.

Den registreredes rettigheder

Registrerede kan udøve de rettigheder, der er fastsat i artikel 15 til 21 i GDPR (ret til indsigt i, berigtigelse og sletning af personoplysninger samt begrænsning af og indsigelse mod behandling) ved som udgangspunkt at kontakte Brembo S.p.A., der fungerer som kontaktpunkt, eller deres Data Protection Officer (DPO) via e-mailadressen privacy.italy@brembo.com eller ved skriftlig henvendelse til nedenstående adresse. Brembo S.p.A. håndterer og besvarer anmodningen i overensstemmelse med loven (i henhold til art. 26, stk. 3, i GDPR må den registrerede under alle omstændigheder udøve sine rettigheder, også i forhold til de andre fælles dataansvarlige via de angivne adresser i nedenstående tabel), uden at det berører begrænsningerne i udøvelsen af de rettigheder, der er fastsat i gældende national lovgivning, i tilfælde af at udøvelsen af disse rettigheder kan medføre et effektivt og konkret brud på fortroligheden for identiteten af den person, der indberetter en overtrædelse, som vedkommende er blevet bekendt med på grund af sit hverv. 

Den registrerede kan også indgive en klage til den relevante tilsynsmyndighed (f.eks. Garante per la protezione dei dati personali i Italien).

Identitet og kontaktoplysninger for de fælles dataansvarlige og Data Protection Officer

Dataansvarlige for personoplysninger er (afhængigt af den virksomhed, som indberetningen vedrører):