Meddelande om skydd av personuppgifter och integritet vid visselblåsning

Introduktion till Selecta whistleblowingsystem (EthicsLine, även känt som SpeakUp)

Syftet med ett visselblåsarsystem är att förse dig med en konfidentiell kanal för att rapportera misstänkta missförhållanden eller risken för missförhållanden som påverkar Selecta och/eller något av dess dotterbolag.

Vi har ingått avtal med en tredje part, NAVEX Global, för att erbjuda EthicsLine (på Selecta kallar vi det “SpeakUp”) till våra medarbetare och tredje parter.

EthicsLine är ett omfattande och konfidentiellt rapporteringsverktyg som tillhandahålls av NAVEX för att hjälpa ledningen och medarbetarna att arbeta tillsammans för att hantera bedrägerier, missbruk och andra oegentligheter på arbetsplatsen, samtidigt som en positiv arbetsmiljö främjas.

Med EthicsLine har alla medarbetare eller tredje part möjlighet att lämna in en konfidentiell rapport via antingen telefon eller webbintag och är utformad för att rapportera eventuella överträdelser av vår uppförandekod eller andra problem som du kan ha. Du kan rapportera dina problem via webbsidan EthicsPoint - Selecta AG. Telefonnummer finns också tillgängliga via den länken efter val av plats.

Detta meddelande ger dig information om hur dina personuppgifter kommer att behandlas genom visselblåsarsystemet.

Kontrollant:
Selecta AB, Torggatan 15, 17154 Solna, Sverige (hädanefter även kallat "bolaget" eller "Selecta”)

GDPR:
På engelska Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)

Syfte:
Hantering av visselblåsarrapporter Hantering av visselblåsarrapporter som påverkar Selecta eller dess dotterbolag (på Selecta hänvisar vi också till “SpeakUp-rapporter”)

Lagstiftningsgrund:
Hantering av visselblåsarrapporter Hantering av visselblåsarrapporter som påverkar Selecta eller dess dotterbolag (hos Selecta hänvisar vi även till “SpeakUp-rapporter”)

Processor:
Navex som hostingleverantör Navex som hostingleverantör och leverantör av kanalen samt annan tredje part som agerar som underbiträde som anlitas av Navex från fall till fall i syfte att tillhandahålla tjänsterna (t.ex. översättare, tolkar etc.)

Processor

Rättigheter:
Tillgång, rättelse, radering Åtkomst, rättelse, radering, begränsning av behandling, invändning mot behandling och andra rättigheter

Personuppgifter:
Personuppgifter Personuppgifter som du kan välja att lämna till detta visselblåsarsystem inkluderar följande: (a) fullständigt namn och/eller kontaktuppgifter; (b) jobbtitel/avdelning och/eller plats; (c) personuppgifter från tredje part som härrör från fakta som du beskriver i din rapport; (d) identitet, funktion och kontaktuppgifter för personer som påstås vara inblandade i den misstänkta överträdelsen; (e) identitet, funktion och kontaktuppgifter för personer som kan tillhandahålla information om den misstänkta överträdelsen; (f) all annan information som du väljer att lämna i rapporten, vid det första ifyllnadsstadiet, om du vill integrera din redan inlämnade rapport eller om du senare uppmanas att göra det av Selecta för att ge oss bättre kunskap om ärendet och för att utföra lämplig och/eller nödvändig utvärdering av fakta; och (g) personlig PIN-kod för att logga in på Navex-portalen för uppföljning och uppdatering av rapporter.

1. Vem är personuppgiftsansvarig för behandlingen av personuppgifterna?

Identity: Selecta AB, Torggatan 15, 17154 Solna, Sverige (hereafter  "Company" or "Selecta“)    

Email: hq.dataprivacy@selecta.com

2. Vad är syftet med vår behandling av personuppgifterna och dess rättsliga grund?

Syftet med behandlingen av Personuppgifterna är att ta emot, analysera, utreda och hantera rapporter och eventuella följdåtgärder, och i synnerhet att fastställa de fakta som rapporterats och vidta nödvändiga åtgärder. Mer specifikt är syftet med behandlingen av personuppgifterna att hantera visselblåsarrapporter som levereras via EthicsLine och som berör Selecta och/eller något av dess dotterbolag för (i) brott mot Selectas uppförandekod och/eller policyer, (ii) lagbrott, (iii) fall som innebär eller kan innebära en risk för någon av Selecta-koncernens enheter eller dess verksamhet och rykte.

Syftet med behandlingen av personuppgifterna är att ta emot, analysera, utreda och hantera rapporter och eventuella följdåtgärder, särskilt för att fastställa rapporterade fakta och vidta åtgärder.

Alla personuppgifter som samlas in inom ramen för denna behandling är strikt funktionella och nödvändiga för att följa bestämmelserna i artikel 6.1(c) i GDPR och relevanta tillämpliga lokala lagar om skydd av personuppgifter, samt för eventuella interna revisionsändamål, övervakning av affärsrisker, försvar av en rättighet i domstol eller för den personuppgiftsansvariges legitima intressen i enlighet med artikel 6.1(f) i GDPR. Under begränsade och specifika omständigheter kommer bestämmelser enligt artikel 9 och artikel 10 i GDPR och relevanta tillämpliga lokala lagar att gälla när särskilda kategorier av personuppgifter och/eller personuppgifter som rör fällande domar i brottmål och överträdelser tillhandahålls i din visselblåsarrapport.

Du kan skicka in din rapport på 2 olika sätt:

  • genom att identifiera dig själv, eller
  • genom att förbli anonym, om det är tillåtet enligt lokala lagar.

All kontaktinformation som tillhandahålls av visselblåsaren kommer att användas om direktkontakt med visselblåsaren är nödvändig och för uppdateringar angående rapporten.

3. Vilka är mottagarna av personuppgifterna?”

Navex fungerar som Personuppgiftsbiträde för hanteringen av visselblåsarsystemet och relaterad rapportering. Personuppgifterna lagras i systemet som hostas och hanteras av Navex i egenskap av personuppgiftsbiträde, i Tyskland och Nederländerna. Personuppgiftsbiträdet har vidtagit lämpliga tekniska och organisatoriska åtgärder för att behandla personuppgifterna och för att säkerställa sekretess, tillgänglighet och integritet för dessa. Om du har några frågor om de nämnda åtgärderna, vänligen kontakta hq.dataprivacy@selecta.com.

För rapporter som tas emot via telefon tar Navex personal emot dessa telefonsamtal och informationen matas in i EthicsLine-applikationen.

För att uppnå de ovan nämnda syftena görs de personuppgifter som tillhandahålls via EthicsLine endast tillgängliga för personer på den juridiska avdelningen som är behöriga att ta emot eller följa upp analys, undersökning och hantering av rapporter och eventuella åtgärder som följer därav. Dessa personer är vederbörligen instruerade att undvika förlust, tillgång till data av obehöriga personer eller obehörig behandling av data och, mer allmänt, i förhållande till skyldigheter avseende skydd av personuppgifter.

I vissa fall kan personuppgifter behöva lämnas ut till andra avdelningar och personer, i enlighet med bestämmelserna i lokal lagstiftning. I syfte att behandla och utreda en rapport och/eller fatta lämpliga beslut och/eller vidta korrigerande/disciplinära åtgärder kan personuppgifterna och informationen komma att nås, behandlas och användas av relevant personal på Selecta enligt principen om behov att känna till. Personuppgifterna kan också lämnas ut till relevant(a) Selecta-dotterbolag i Europa och/eller i Storbritannien som, i samarbete med Selecta, kan utföra nödvändig intern bedömning och utredning och fatta relevanta beslut.

 

Personuppgifterna kan även komma att behandlas av externa konsulter och rådgivare, om nödvändigt, för att stödja eventuella utredningar.

Slutligen kan personuppgifterna också överföras till andra oberoende personuppgiftsansvariga, i enlighet med lag eller föreskrifter (t.ex. offentliga myndigheter, rättsliga myndigheter etc.).

Navex kan också komma att dela Personuppgifter med tredje part som anlitas för att tillhandahålla tjänster som är strikt nödvändiga för ovan nämnda ändamål, t.ex. översättare. Vänligen kontakta hq.dataprivacy@selecta.com för att begära en lista över tredje parter.

EthicsLine innebär användning av tolkning (direktsända telefonsamtal) och översättning (översättning av skrivna ord). De enskilda tolkarna och översättarna finns över hela världen för att stödja icke-engelska språk. Som ett resultat av detta kan personuppgifter och information som tillhandahålls i en rapport överföras utanför Storbritannien, Schweiz, Europeiska unionen och/eller Europeiska ekonomiska samarbetsområdet i syfte att tillhandahålla översättningar eller administrera denna tjänst. Navex har åtagit sig att upprätthålla efterlevnad av alla tillämpliga dataskyddskrav och integritets- och säkerhetspraxis. Om Personuppgifter behöver överföras utanför det Europeiska ekonomiska samarbetsområdet kommer samma skyddsnivå att upprätthållas på grundval av efterlevnad av bestämmelserna i europeiska regler för skydd av personuppgifter. Följaktligen kommer internationella dataöverföringar att ske (i) till länder som Europeiska kommissionen har förklarat ha en adekvat skyddsnivå, (ii) på grundval av tillhandahållande av adekvata garantier såsom standardavtalsvillkor eller relaterade företagsstandarder, eller (iii) i enlighet med tillstånd från behörig tillsynsmyndighet eller andra villkor som fastställs i tillämpliga bestämmelser om skydd av personuppgifter.

4. Hur länge kommer vi att lagra personuppgifter?

Personuppgifter kommer att sparas i visselblåsarsystemet under den tid som krävs för att behandla rapporten, genomföra och slutföra en intern utredning, utvärdera ärendet och vidta alla nödvändiga åtgärder.  Personuppgifter kommer under alla omständigheter att raderas från visselblåsarsystemet i enlighet med lokala lagar.

Om det efter en sådan utvärdering uppstår ett rättsligt anspråk ska sådana Personuppgifter lagras under den ytterligare period som är nödvändig för ändamålet med det rättsliga anspråket.

5. Vilka rättigheter har du som registrerad?

I enlighet med bestämmelserna i artiklarna 15 till 22 i GDPR har registrerade rätt att utöva särskilda rättigheter. Specifikt, i förhållande till behandlingen av dina personuppgifter som omfattas av denna policy, har du

rätt att begära följande från Selecta:

  • Tillgång: du kan begära bekräftelse på huruvida dina personuppgifter behandlas eller inte, tillsammans med ytterligare förtydliganden av den information som avses i denna policy;
  • Rättelse: du kan begära att de uppgifter som du har lämnat rättas eller integreras om uppgifterna är felaktiga eller ofullständiga;
  • Radering: du kan begära att dina uppgifter raderas om de inte längre är nödvändiga för de ändamål som anges ovan, om samtycke återkallas eller om behandlingen motsätter sig, vid olaglig behandling eller om det finns en rättslig skyldighet att radera uppgifterna;
  • Begränsning av behandling: du kan begära att dina uppgifter endast behandlas i lagringssyfte, med uteslutande av andra behandlingar, under den tid som krävs för att rätta dina uppgifter, vid olaglig behandling som du motsätter dig radering av, varvid du måste utöva dina rättigheter i domstol och de lagrade uppgifterna kan vara till nytta för dig och slutligen om du motsätter dig behandling och en kontroll utförs om Selectas legitima skäl väger tyngre än dina egna;
  • Invändning: du kan när som helst invända mot behandlingen av dina uppgifter, såvida det inte finns berättigade skäl för behandlingen som går före dina egna, till exempel för att utöva eller försvara rättsliga anspråk;
  • Portabilitet: du kan begära att få dina uppgifter eller att skicka dem till en annan personuppgiftsansvarig som du har angett i ett strukturerat, allmänt använt och maskinläsbart format.

För att utöva ovan nämnda rättigheter, vänligen skriv till Selecta och ange tydligt vilken rättighet du vill utöva, på Selecta AB, Torggatan 15, 17154 Solna, Sverige eller via e-post till hq.dataprivacy@selecta.com.