Protezione dei dati Compliance Sistema Whistleblower

Introduzione

Saremo di lieti di prestarle ascolto. wenglor sensoric GmbH (di seguito denominata “wenglor”, o “noi”) attribuisce grande importanza alla sicurezza dei dati degli utenti e al rispetto delle norme sulla protezione dei dati. Di seguito desideriamo informarla in merito al trattamento dei suoi dati personali nell’ambito della segnalazione di compliance.

Organo autorizzato e responsabile della protezione dei dati

Organo autorizzato:
wenglor sensoric GmbH, wenglor Str. 3, 88069 Tettnang / Germania
Tel.: ( +49 (0)7542 5399-0
E-mail: info@wenglor.com

Responsabile esterno della protezione dei dati:
DDSK GmbH
Tel.: +49 (0)7542 949 21 -0
E-mail: gdpr@wenglor.com

Termini

I termini tecnici utilizzati nella presente Informativa sulla privacy sono da intendersi come legalmente definiti nell’art. 4 del GDPR.

Avvertenze sul trattamento dei dati in caso di segnalazioni di violazioni della compliance

Offriamo la possibilità di contattare il nostro ombudsman ai fini della segnalazione di violazioni della conformità. In caso di segnalazione di compliance, trattiamo i dati della persona che effettua la segnalazione nella misura necessaria per l’elaborazione della segnalazione. Se vengono presentate circostanze che riguardano una persona specifica o identificabile nella nostra azienda, trattiamo i dati della persona interessata dalla presente informativa nella misura in cui ci sono stati comunicati dalla persona che effettua la segnalazione.

Per ulteriori informazioni sull’ulteriore trattamento dei suoi dati personali da parte del nostro ombudsman, consulti questa pagina.

I dettagli sul trattamento dei suoi dati sulla nostra offerta online sono riportati nell’informativa sulla protezione dati separata che le mettiamo a disposizione nell’ambito della segnalazione.

Informazioni che raccogliamo su di lei in qualità di segnalante:

Categorie di dati: nome, dati di contatto (ad es. indirizzo, indirizzo e-mail, numero di telefono o di fax), dati di fatto che riguardano l’utente (a seconda del singolo caso e della segnalazione effettuata, i dati forniti dall’utente possono variare)
Finalità del trattamento: trattamento della segnalazione di una violazione della compliance sulla base dei nostri obblighi legali o aziendali, in particolare in base alle leggi europee e nazionali sul whistleblowing, per ottenere ulteriori informazioni sulle violazioni da voi segnalate, nonché per valutare i vostri dati in relazione alle violazioni indicate
Fondamenti giuridici: Interesse legittimo al rispetto delle disposizioni interne e dei principi etici (art. 6 comma 1 lit. f) GDPR), adempimento dell’obbligo legale (art. 6 par. 1 lit. c) RGPD unitamente alla Direttiva (UE) 2019/1937)

Informazioni che raccogliamo su di lei in qualità di soggetto interessato da una segnalazione:

Categorie di interessati: Persona coinvolta in una segnalazione
Categorie di dati: nome, dati di contatto, eventuali altre caratteristiche per l’identificazione precisa della rispettiva persona nell’azienda
Contenuto della segnalazione: dettagli sulla violazione di volta in volta segnalata nei confronti di disposizioni interne, nazionali o europee, nella misura in cui tali informazioni consentano di risalire a una persona fisica
Finalità del trattamento: trattamento della segnalazione di violazioni della conformità sulla base e in conformità ai nostri obblighi legali e interni, in particolare sulla base delle leggi nazionali ed europee corrispondenti; contattare l’inchiesta di fattispecie per ulteriori informazioni sulle infrazioni da voi segnalate; Analisi dei fatti e confronto con i messaggi passati
Fondamenti giuridici: Interesse legittimo al rispetto delle disposizioni interne e dei principi etici (art. 6 comma 1 lit. f) GDPR), adempimento dell’obbligo legale (art. 6 par. 1 lit. c) RGPD unitamente alla Direttiva (UE) 2019/1937)

Destinatari dei dati

All’interno dell’UE

All’interno della nostra azienda, gli organismi interni o le unità organizzative ricevono i dati necessari al raggiungimento delle finalità summenzionate, in particolare all’indagine sulle violazioni di compliance segnalate. Inoltre, all’interno del nostro gruppo aziendale si riuniscono tutte le conoscenze e le segnalazioni relative alle segnalazioni di compliance, al fine di poterle verificare a livello transnazionale su determinati modelli. A tale scopo vengono utilizzati solo fattispecie senza riferimenti personali. Tutti i report vengono archiviati nel nostro database globale, che viene utilizzato anche per la condivisione dei dati con i database delle autorità.

Condivideremo i dati esclusivamente in modo tale che non sia possibile risalire direttamente alla vostra persona (pseudonimizzata). I dati non vengono trasmessi oltre i casi sopra indicati.

Utilizziamo un fornitore di servizi specializzato come cosiddetto “ombudsman” per registrare ed elaborare le segnalazioni di violazioni della conformità secondo le disposizioni di legge e interne. I dati dell’utente sono soggetti agli stessi standard di sicurezza che abbiamo a disposizione. L’utilizzo dei dati è consentito solo nell'ambito dell'accordo contrattuale, nella misura strettamente necessaria e per le finalità da noi indicate.

Fuori dall’UE

Trasferiamo dati in paesi al di fuori del SEE (i cosiddetti Paesi terzi). Ciò avviene sulla base delle finalità summenzionate (ad es. trasmissione all'interno del Gruppo). La trasmissione avviene solo per adempiere ai nostri obblighi contrattuali e legali o sulla base del consenso precedentemente fornito dalla persona interessata. Inoltre, la trasmissione avviene nel rispetto delle leggi vigenti in materia di protezione dei dati, in particolare tenendo conto dell’art. 44 e segg. GDPR, ad es. sulla base delle decisioni di adeguatezza adottate dalla Commissione europea o di altre garanzie idonee (ad es. clausole standard di protezione dei dati, ecc.).

Panoramica dei destinatari

I seguenti destinatari ricevono i vostri dati nell’ambito del trattamento dei dati qui descritto:
Destinatario: DDSK GmbH, Dr.-Klein-Str. 29, 88069 Tettnang
Trasferimento a Paesi terzi: Il trasferimento a Paesi terzi non è previsto.

Destinatario: Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA
Trasferimento a Paesi terzi: Per il trasferimento non è presente alcuna decisione di adeguatezza. Il trasferimento si basa sull’art. 46 GDPR. I servizi utilizzati sono forniti da Microsoft, un fornitore statunitense. Il trattamento dei dati personali avviene pertanto anche in un Paese terzo. Abbiamo stipulato con il fornitore dei servizi un contratto per l’elaborazione dei dati degli ordini conforme ai requisiti dell’art. 28 GDPR. Il trasferimento dei dati in un Paese terzo avviene solo se vengono soddisfatte le particolari condizioni di cui all’art. 44 e segg. il GDPR è soddisfatto. Il trasferimento di dati negli Stati Uniti avviene sulla base delle clausole standard di protezione dei dati e delle condizioni contrattuali modificate secondo la sentenza Schrems II. Concretamente, nelle nuove clausole contrattuali di Microsoft sono state applicate le seguenti disposizioni:

• il diritto al risarcimento del soggetto interessato, i cui dati sono stati trattati illecitamente e che hanno subito un danno materiale o immateriale;
• l’informazione dell’interessato, laddove Microsoft sia obbligata legalmente a fornire dati alle autorità di sicurezza statunitensi in virtù di un’ordinanza governativa;
• l’impegno di Microsoft a intraprendere le vie legali e i tribunali statunitensi.

Periodo di conservazione

Conserviamo i dati che ci vengono comunicati in relazione alla segnalazione di violazioni della conformità per tutto il tempo in cui ciò è previsto per adempiere al nostro obbligo ai sensi delle leggi e dei regolamenti nazionali o europei a cui siamo soggetti. In tutti gli altri casi, cancelleremo i dati personali una volta raggiunto lo scopo. In caso di segnalazioni di violazioni della compliance, cancelliamo i dati 1 anno dopo la conclusione dell’elaborazione dei fatti, rispettivamente alla fine dell’anno.
Tale periodo di conservazione non pregiudica i dati che trattiamo sulla base di rapporti contrattuali in essere o di altre circostanze di autorizzazione.

Processo decisionale automatizzato

Rinunciamo a un processo decisionale automatizzato o a una profilazione secondo l’art. 22 GDPR.

Fondamenti giuridici

Le basi giuridiche determinanti risultano principalmente dal GDPR. Tali informazioni sono integrate dalle leggi nazionali degli Stati membri e, se del caso, sono applicabili insieme o a complementari al GDPR.

Consenso:  L’art. 6, par. 1, lettera a) del GDPR funge da base giuridica per le operazioni di trattamento per le quali abbiamo ottenuto il consenso per una determinata finalità di trattamento.
Prestazione del contratto: L’art. 6, par. 1, lettera b) del GDPR funge da base giuridica per il trattamento dei dati, necessario per l’esecuzione di un contratto di cui è parte contraente o per l’attuazione di misure precontrattuali su richiesta della persona interessata.
Obbligo legale: L'art. 6 par. 1 lettera c) del GDPR funge da base giuridica per il trattamento dei dati necessari per l’adempimento di un obbligo giuridico.
Interessi vitali: L’art. 6, par. 1, lettera d) del GDPR funge da base giuridica se il trattamento è necessario per proteggere gli interessi vitali dell’interessato o di un’altra persona fisica.
Interesse pubblico: L’art. 6, par. 1, lettera e) del GDPR funge da base giuridica per i trattamenti necessari per l’esecuzione di un compito che rientra nell’interesse pubblico o nell’esercizio della forza pubblica trasferita al titolare del trattamento.
Interesse legittimo: L’art. 6, par. 1, lettera f) del GDPR funge da base giuridica per il trattamento, necessario per il rispetto del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali della persona interessata che richiedono la protezione dei dati personali, in particolare se la persona interessata è un bambino.

Diritti degli interessati

Diritto di informazione: ai sensi dell’art. 15 del GDPR gli interessati hanno il diritto di richiedere una conferma del trattamento dei dati che li riguardano. Può richiedere informazioni su questi dati, nonché ulteriori informazioni di cui all’art. 15 par. 1 del GDPR e una copia dei suoi dati.
Diritto di rettifica: Ai sensi dell’art. 16 del GDPR, gli interessati hanno il diritto di richiedere la correzione o l’integrazione dei dati che li riguardano e che vengono elaborati da noi.
Diritto di cancellazione: Gli interessati hanno il diritto, ai sensi dell’art. 17 del GDPR, di esigere la cancellazione immediata dei dati che li riguardano. In alternativa, è possibile richiedere la limitazione del trattamento dei propri dati. ai sensi dell’art. 18 del GDPR.
Diritto alla portabilità dei dati: Ai sensi dell’art. 20 del GDPR, gli interessati hanno il diritto di richiedere che i dati forniti siano messi a loro disposizione e di chiedere che siano trasferiti ad un altro responsabile del trattamento.
Diritto di ricorso: Gli interessati hanno inoltre il diritto di presentare un reclamo presso l’autorità di controllo competente ai sensi dell’art. 77 del GDPR.
Diritto di opposizione: qualora i dati personali siano basati su interessi legittimi ai sensi Art. 6 par. 1 pag. 1 lit. f) del GDPR, gli interessati hanno il diritto di secondo l’art. 21 GDPR, a opporsi al trattamento dei propri dati personali, nella misura in cui sussistano motivi derivanti dalla loro situazione particolare o se l’opposizione viene presentata nei confronti di pubblicità diretta. In quest’ultimo caso, gli interessati hanno un diritto generale di opposizione, che viene attuato da noi senza dover indicare una situazione particolare.