个人数据的处理和披露（《个人数据保护法》第 13 和 14 条）

Brembo N.V..、注册地荷兰阿姆斯特丹，运营和行政总部位于意大利贝加莫 （Stezzano n.87 - 24126，意大利），以及布雷博集团的其他公司（以下简称为 "公司"、"集团 "或 "共同控制"），已在集团内部实施了一套预防和制止不法行为的系统，包括通过网络平台和名为 "合法举报 "的应用程序（以下简称为 "举报平台"）接收和管理有关此类行为的举报的系统。

根据《欧盟通用数据保护条例》（EU）2016/679（以下简称 "GDPR"）第 26 条的规定，这些公司作为联合数据控制方，已签署联合控制人协议，其摘录可应要求提供给数据主体，地址如本通知底部所示。

在管理上述报告的过程中，联合控制者将根据适用的个人数据保护立法和本通知的规定，处理您在举报平台上提供和/或在任何情况下收到的个人数据。

个人数据类型

通过报告获取的个人数据包括

• 举报人的身份数据（如与诉讼管理目的相关且为适用法律所允许，并在下文规定的范围内），包括姓名、由数据主体实施并通过举报平台管理的举报系统的注册凭证，举报平台由外部供应商提供，该供应商作为数据主体的数据处理商，有保密义务，与集团的系统完全分离。身份数据和注册电子邮件（为保护举报人的机密性，不得使用布雷博公司的电子邮件）由举报人在平台上注册并进行相关举报时自行提供，或在必要时在随后的调查活动和评估过程中获取；
• 由举报人提供和/或在随后的调查活动和评估中进一步获得的被举报人的身份资料；
• 与所报告事实有关的信息（取决于报告的内容），包括提及可能与所报告事实有关的第三方的任何数据，这些数据由报告人本人报告或在随后的调查活动中获得。

为处理报告，可根据报告的具体情况并始终遵循最小化原则，在公开信息的基础上补充个人数据，和/或通过第三方收集个人数据，和/或从数据主体处收集个人数据，和/或报告相关数据控制者已经掌握的个人数据。

据了解，根据所报告的事实，属于《个人数据保护法》第 9 (1) 条所述特殊类别的数据（更具体地说，在这些情况下，揭示种族或民族血统、政治观点、宗教或哲学信仰或工会会员身份的数据，以及与个人健康有关的数据）可能会被删除。9 (1) GDPR（更具体地说，在这些情况下，揭示种族或民族血统、政治观点、宗教或哲学信仰或工会会员身份的数据，与个人健康或性生活或性取向有关的数据），和/或与刑事定罪和犯罪有关的数据，或根据 GDPR 第 10 条采取的相关安全措施。

共同所有人不得收集对处理特定警报明显无用的个人数据，如果意外收集到这些数据（在警报期间或随后的调查活动中），应立即删除。因此，报告不得包含无关事实。

处理目的和法律依据

处理所提供的数据的目的是根据适用法律开展必要的调查活动，以核实举报事实的依据，并采取相应的行政、司法和/或纪律措施和程序。

[1]因此，法律依据是履行法律义务（《欧洲个人信息权公约》第 6 (1) c 条，对于特殊类别的数据，《欧洲个人信息权公约》第 9 (2) g 条，载于欧盟第 2019/1937 号指令的国家实施条款），涉及对违反欧盟法律和适用的国家立法（以下简称 "举报立法"）的举报人的保护。）

授予性质和处理方法

举报人提供电子邮件和密码等数据对于在第三方提供商管理的平台上注册和访问报告的机密区域是必要的，因此能够保证举报人、有关人员和报告中提到的人员的身份以及报告内容和相关文件的机密性；因此，如果不提供这些信息，控制器将无法接受该报告。

发送报告完全是非强制性的。但是，如果报告人决定发送报告，报告人必须提供其他数据，如姓名，因为匿名报告是不可能的。如果不提供这些数据，报告程序将无法继续。

数据将使用IT和电子工具进行处理，其组织和处理逻辑与上述目的严格相关，如相关公司举报程序所示，在任何情况下，都是为了保证数据的正确性、安全性、完整性和机密性，符合现行规定规定的组织、物理和逻辑措施。

与报告相关的信息和文件，以及与参与核查的机构之间的信息流，仅在平台内进行管理和存储，以确保最高级别的安全性和保密性，并符合适用的法规。

需要注意的是，如果使用书面形式进行报告，在征得当事人同意的情况下，仍然可以通过适当的设备或详细记录或会议记录的方式保存报告。

如果是通过举报平台的信息渠道进行口头举报，或直接与首席内部审计官商议，在征得举报人同意的情况下，举报将以书面形式记录在案，并在平台上进行记录。

数据接收者和数据传输

收集的个人数据由布雷博集团指定的专门授权人员处理，如联合控制人的相关举报程序所示，特别是负责向布雷博N.V.全球中央职能内部审计部门报告的人员，他们根据有关处理目的和方法的具体指示行事。

仅出于管理举报平台的目的，提供举报平台并代表联合数据控制方开展外包活动的公司（Digital PA S.r.l.）也可访问个人数据，该公司已被指定为数据处理方。

此外，在必要的情况下，为了确定需要报告的事实的证据、相关的调查活动和采取相应的措施，数据主体的个人数据可以发送给负责采取措施保护联合控制者或启动任何纪律措施的部门的报告所涉的联合控制者的工作人员，以及任何法律顾问、司法当局和有关当局以及与所报告案件有关的其他公法委员会/机构。

不言而喻，未经举报人同意，不得披露其身份，在《举报条例》明确规定的情况下， 相关数据控制员应征求举报人的同意。

个人数据将在欧盟境内处理，并存储在欧盟境内的服务器上。 

个人资料的保留

为履行《举报条例》规定的义务，将在必要和相称的期限内保存数据。不言而喻，根据最小化原则，对于处理具体举报明显无用的个人数据将不予收集，如果意外收集，数据控制者应立即删除。

报告和相关文件的保存期限为处理报告所需的时间，但无论如何不得超过自报告程序最 终结果通报之日起五年。

资料当事人的权利

数据当事人可行使GDPR第15至21条规定的权利（访问权、更正权、取消权、限制处理权以及反对权），可优先联系布雷博（Brembo N.V.）（布雷博为联系人）或其数据保护官（DPO）（电子邮件地址：privacy@brembo.com），或向以下地址发送书面信函。Brembo N.V.将处理该请求，并在法律规定的范围内提供答复（根据《欧盟数据保护条例》第26(3)条，在任何情况下，相关人员也可通过下表所列地址对其他数据控制方行使其权利），但不妨碍适用的国家法律对行使权利所规定的限制，前提是行使这些权利可能会对举报人因其职责而知晓的非法行为的身份保密性造成实际和具体的损害。

数据当事人也可向主管监督机构（如意大利数据保护局）投诉。

数据保护官的身份和联系方式

数据控制者是（根据报告涉及的公司）：

业主	联系方式	数据保护官（DPO）的联系方式
布雷博公司	注册办事处：荷兰阿姆斯特丹，业务和行政总部：意大利贝加莫，via Stezzano n. 87 - 24126 电话 +39 035 6052111	privacy@brembo.com
LACAM (Lavorazioni Camune) S.r.l.	Stezzano (BG)，Viale Europa 2，24040，意大利，电话 +39 035 6052111	privacy@brembo.com
SBS Friction A/S	Kuopiovej 11, DK-5700 Svendborg, Denmark, 电话 +45 6321 1515	privacy.sbs@sbs.dk
布雷博捷克公司	Na rovince 875，Hrabová，720 00，捷克共和国，+420 569 765 202	privacy.czech@cz.brembo.com
BSCCB S.p.A.	Viale Europa, 2 - 24040 Stezzano (BG) Italy, +39 035 6052111	privacy@bsccb.com
J.JUAN, S.A.U.	Polígono Industrial Camí Ral, Calle Miquel Servet, 21-23, 08850 Gavà (Barcelona), Spain, +34 93 633 59 59	privacyjjuan@jjuan.com
Corporacion upwards 98 S.A.	Calle La Habana, 17, 50198 Polígono Industrial Centrovía, La Muela - Zaragoza, Spain, +34 976 144560	privacy.spain@brembo.es
BREMBO POLAND Sp.zo.o.	Dąbrowa Górnicza, ul. Roździeńskiego 13, Poland, +48 32 295-66-00	privacy.poland@brembo.pl