Brembo N.V., z siedzibą w Via Brembo 25, 24035 Curno ( BG), Włochy i inne spółki Grupy Brembo, jak wskazano poniżej (zwane dalej indywidualnie „Spółką”, łącznie „Grupą” lub „Współadministratorami”), wdrożyły system zapobiegania i zwalczania niezgodnych z prawem zachowań w Grupie, w tym system mający na celu przyjmowanie i zarządzanie zgłoszeniami takich zachowań, zarówno za pośrednictwem platformy internetowej, jak i za pośrednictwem Aplikacji o nazwie „Legality Whistleblowing” i regulowany przez procedurę korporacyjną dotyczącą sygnalistów (zwaną dalej „Platformą Whistleblowingu”).

System jest udostępniany spółkom, które jako współadministratorzy danych zgodnie z art. 26 ogólnego rozporządzenia o ochronie danych osobowych (RODO). 26 ogólnego rozporządzenia o ochronie danych Unii Europejskiej - rozporządzenia (UE) 2016/679 (zwanego dalej „RODO”), podpisały umowę o współadministrowaniu danymi, której wyciąg jest dostępny dla osób, których dane dotyczą, na żądanie przesłane na adresy wskazane na dole niniejszej informacji.

W kontekście zarządzania wyżej wymienionymi zgłoszeniami Współadministratorzy będą przetwarzać dane osobowe przekazane i/lub w każdym przypadku otrzymane w kontekście Platformy Whistleblowingowej zgodnie z przepisami obowiązującego prawa o ochronie danych osobowych i niniejszym powiadomieniem.

Rodzaj danych osobowych

Dane osobowe uzyskane za pośrednictwem zgłoszenia to:

• Dane identyfikacyjne osoby zgłaszającej nieprawidłowości, o ile jest to istotne dla zarządzania procedurą i dozwolone przez obowiązujące przepisy, oraz w granicach wskazanych poniżej, w tym imię i nazwisko, dane uwierzytelniające rejestrację w systemie zgłaszania nieprawidłowości wdrożonym przez Współadministratorów i zarządzanym za pośrednictwem Platformy Whistleblowingowej, oferowanej przez zewnętrznego dostawcę, który działa jako podmiot przetwarzający dane Współadministratorów i zobowiązany do zachowania poufności, w sposób całkowicie oddzielony od systemów Grupy. Dane identyfikacyjne i rejestracyjny adres e-mail (który nie może być firmowym adresem e-mail Brembo w celu ochrony poufności sygnalisty) są podawane przez sygnalistę podczas rejestracji na platformie i dokonywania zgłoszenia lub mogą zostać uzyskane, w razie potrzeby, podczas działań dochodzeniowych i wynikających z nich ocen;
• Dane identyfikacyjne osoby, której dotyczy zgłoszenie, podane przez zgłaszającego i/lub uzyskane w trakcie czynności dochodzeniowych i wynikających z nich ocen;
• Informacje dotyczące zgłaszanych zdarzeń, w zależności od treści zgłoszenia, w tym wszelkie odniesienia do danych dotyczących osób trzecich, które powinny być zaangażowane w zdarzenia będące przedmiotem zgłoszenia i zgłoszone przez sygnalistę lub uzyskane w trakcie późniejszych dochodzeń.

Do celów zarządzania raportem dane osobowe mogą być uzupełniane na podstawie publicznie dostępnych informacji i/lub gromadzone za pośrednictwem stron trzecich, w zależności od konkretnych okoliczności raportu i zawsze zgodnie z zasadą minimalizacji, i/lub gromadzone od osoby, której dane dotyczą i/lub już dostępne dla Współadministratora procesu, którego dotyczy raport.

Przyjmuje się, że na podstawie zgłoszonych faktów, dane należące do kategorii, o których mowa w art. 9 ust. 1 RODO (a w szczególności, w tych kontekstach, dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność do związków zawodowych, dane dotyczące zdrowia lub życia seksualnego lub orientacji seksualnej danej osoby) i/lub dane dotyczące wyroków skazujących i przestępstw lub powiązanych środków bezpieczeństwa zgodnie z art. 10 RODO mogą być zgłaszane lub później pozyskiwane w kontekście prowadzonych dochodzeń.

Współadministratorzy nie gromadzą danych osobowych, które w oczywisty sposób nie są przydatne do przetwarzania konkretnego zgłoszenia, a w razie ich przypadkowego zgromadzenia (podczas zgłaszania lub późniejszego dochodzenia) niezwłocznie je usuwają. Raporty nie mogą zatem zawierać nieistotnych faktów.

 

Cel i podstawa prawna przetwarzania

Podane dane będą przetwarzane w celu przeprowadzenia niezbędnych dochodzeń, na podstawie obowiązujących przepisów, mających na celu weryfikację ważności faktu podlegającego zgłoszeniu oraz przyjęcie wynikających z niego środków i procedur administracyjnych, sądowych i/lub dyscyplinarnych.

Podstawą prawną jest zatem zgodność z obowiązkiem prawnym (art. 6 (1) lit. c) oraz, w przypadku szczególnych kategorii danych, art. 9 (2) lit. g). 9 (2) lit. g) RODO, zgodnie z przepisami krajowymi wdrażającymi dyrektywę UE 2019/1937) dotyczącymi ochrony osób zgłaszających naruszenia prawa Unii i mających zastosowanie krajowych przepisów[1].

Charakter świadczenia i metody przetwarzania

Podanie przez zgłaszającego danych takich jak adres e-mail i hasło jest niezbędne do zarejestrowania się i uzyskania dostępu do poufnego obszaru zgłoszenia na platformie zarządzanej przez zewnętrznego dostawcę, a tym samym do zagwarantowania poufności tożsamości zgłaszającego, osoby, której dotyczy zgłoszenie i osoby wymienionej w zgłoszeniu, a także treści zgłoszenia i związanej z nim dokumentacji; w związku z tym ich niepodanie uniemożliwi administratorowi zaakceptowanie zgłoszenia.

Wysłanie zgłoszenia jest całkowicie opcjonalne. Jeżeli jednak sygnalista zdecyduje się wysłać zgłoszenie, podanie przez niego innych danych, takich jak imię i nazwisko, jest obowiązkowe, ponieważ nie przewiduje się możliwości dokonywania zgłoszeń anonimowych. Niepodanie takich danych uniemożliwia kontynuowanie procesu zgłaszania nieprawidłowości.

Dane będą przetwarzane za pomocą narzędzi informatycznych i elektronicznych, których organizacja i przetwarzanie są ściśle związane z celami wskazanymi powyżej, jak wskazano w odpowiedniej korporacyjnej procedurze zgłaszania nieprawidłowości, a w każdym razie w celu zagwarantowania poprawności, bezpieczeństwa, integralności i poufności danych zgodnie ze środkami organizacyjnymi, fizycznymi i logicznymi przewidzianymi w obowiązujących przepisach.

Informacje i dokumentacja związane ze zgłoszeniem, a także przepływy informacji z podmiotami zaangażowanymi w kontrolę, są zarządzane i przechowywane wyłącznie w ramach platformy, w celu zagwarantowania najwyższego poziomu bezpieczeństwa i poufności oraz zgodnie z obowiązującymi przepisami.

Należy zauważyć, że w przypadku, gdy do dokonania zgłoszenia wykorzystano formę pisemną, nadal możliwe jest, za zgodą zainteresowanej strony, przystąpienie do przechowywania danych poprzez rejestrację na odpowiednim urządzeniu lub za pomocą szczegółowego raportu lub protokołu.

W przypadku zgłoszeń dokonanych ustnie za pośrednictwem kanału komunikacyjnego Platformy Whistleblowing lub bezpośrednio do Głównego Inspektora Audytu Wewnętrznego, zgłoszenie zostanie udokumentowane w formie pisemnej, za uprzednią zgodą sygnalisty, poprzez rejestrację na Platformie.

Odbiorcy danych i przekazywanie danych

Gromadzone dane osobowe są przetwarzane przez personel upoważniony specjalnie do tego przetwarzania, wskazany przez Grupę Brembo, zgodnie z odpowiednią procedurą zgłaszania, a w szczególności przez osoby odpowiedzialne za raportowanie w Globalnej Centralnej Funkcji Audytu Wewnętrznego Brembo N.V., które działają na podstawie szczegółowych instrukcji dotyczących celów i metod samego przetwarzania.

Dane osobowe są również dostępne wyłącznie w celu zarządzania Platformą Whistleblowing, dla firmy, która udostępnia Platformę Whistleblowing i wykonuje działania outsourcingowe w imieniu Współadministratorów, która została wyznaczona jako Podmiot Przetwarzający Dane (Digital PA S.r.l.).

Ponadto, w przypadkach, w których jest to konieczne, w celu ustalenia zasadności faktu będącego przedmiotem zgłoszenia, związanych z nim działań dochodzeniowych i podjęcia odpowiednich środków, dane osobowe osób, których dane dotyczą, mogą zostać przesłane pracownikom Współadministratora, których dotyczy zgłoszenie, należącym do działów odpowiedzialnych za przyjęcie środków ochrony Współadministratorów lub za wszczęcie jakichkolwiek środków dyscyplinarnych, a także konsultantom prawnym, organom sądowym i odpowiednim organom oraz innym organom / organom prawa publicznego właściwym w związku ze zgłoszoną sprawą.

Przyjmuje się, że tożsamość sygnalisty nie może zostać ujawniona bez jego zgody, o którą Współadministrator zwróci się w przypadkach określonych w Regulaminie zgłaszania nieprawidłowości.

Dane osobowe będą przetwarzane na terenie Unii Europejskiej i przechowywane na serwerach znajdujących się na terenie Unii Europejskiej. 

Przechowywanie danych osobowych

Dane będą przechowywane przez okres niezbędny i proporcjonalny do wypełnienia obowiązku nałożonego przez przepisy dotyczące zgłaszania nieprawidłowości. Przyjmuje się, że zgodnie z zasadą minimalizacji dane osobowe, które w oczywisty sposób nie są przydatne do przetwarzania konkretnego zgłoszenia, nie będą gromadzone, a w razie przypadkowego zgromadzenia muszą zostać natychmiast usunięte przez Administratora danych.

Zgłoszenia i związana z nimi dokumentacja są przechowywane przez okres wymagany do przetworzenia zgłoszenia, a w każdym razie nie dłużej niż przez pięć lat od daty powiadomienia sygnalisty o ostatecznym wyniku zgłoszenia.

Prawa osoby, której dane dotyczą

Osoby, których dane dotyczą, mogą skorzystać z praw przewidzianych w art. 15-21 RODO (prawo dostępu, sprostowania, anulowania i ograniczenia przetwarzania, a także sprzeciwu), kontaktując się w pierwszej kolejności z Brembo N.V., która działa jako punkt kontaktowy, lub jej inspektorem ochrony danych (IOD) pod adresem e-mail privacy@brembo.com lub pisemnie na poniższy adres. Brembo N.V. rozpatrzy wniosek i przekaże informację zwrotną zgodnie z prawem (zgodnie z Art. 26 (3) RODO, osoba, której dane dotyczą, może w każdym przypadku skorzystać ze swoich praw również w odniesieniu do innych Współadministratorów pod adresami wskazanymi w poniższej tabeli), bez uszczerbku dla ograniczeń w korzystaniu z praw przewidzianych w obowiązującym ustawodawstwie krajowym, w przypadku gdy skorzystanie z tych praw może skutkować skutecznym i konkretnym naruszeniem poufności tożsamości osoby zgłaszającej naruszenie, o którym dowiedziała się z racji pełnionej funkcji.

Osoba, której dane dotyczą, może również złożyć skargę do właściwego organu nadzorczego (na przykład Organ Ochrony danych osobowych we Włoszech).

Tożsamość i dane kontaktowe współadministratorów i inspektora ochrony danych

Administratorami danych osobowych są (w zależności od spółki, której dotyczy raport)

Administrator danych	Dane kontaktowe	Dane kontaktowe Inspektora Ochrony Danych (IOD)
Brembo S.p.A	Curno (BG), via Brembo no.25 - 24035, Italy telephone +39 035 6052111	privacy@brembo.com
LACAM (Lavorazioni Camune) S.r.l.	Stezzano (BG), Viale Europa 2, 24040, Italy Telephone  +39 035 6052111	privacy@brembo.com
SBS Friction A/S	Kuopiovej 11, DK-5700 Svendborg, Denmark, telephone +45 6321 1515	privacy.sbs@sbs.dk
Brembo Czech s.r.o.	Na rovince 875, Hrabová, 720 00, Czech Republic, +420 569 765 202	privacy.czech@cz.brembo.com