PERSONVERNBESTEMMELSER VARSLERSYSTEM

1. Behandlingsansvarlig og personvernombud

Behandlingsansvarlig er Carthago Reisemobilbau GmbH, Carthago-Ring 1, 88326 Aulendorf, +49 (0)7525 92000.

Personvernombud: Christoph Boser
Carthago Ring 1, 88326 Aulendorf
Telefon: +49 7525 9200 3000
e-post: datenschutz@carthago.com
 
Ved spørsmål til personvern kan du til enhver tid ta per e-post kontakt med vårt personvernombud. E-post datenschutz@carthago.com.
 

2. Formål ved vårt interne varslersystem

Vi stiller et internt varslersystem til rådighet for å kunne motta, behandle og administrere informasjon om potensielle misforhold, lovbrudd og uakseptabel atferd i bedriften på en sikker og konfidensiell måte.
 

3. Varslere

Vårt interne varslersystem står våre medarbeidere og tidligere medarbeidere i vår bedrift og tredjeparter (f.eks. kunder, forretningspartnere, medarbeidere i tilknyttede bedrifter) til rådighet.
 

4. Type informasjon

  • Varslersystemet samler inn og behandler ved anonyme informasjoner ikke personopplysninger til den respektive varsleren.
  • Ved en konfidensiell informasjon foreligger den eksterne operatøren av vårt varslersystem CONDNT bare kontaktdataene til varslerne, disse blir imidlertid ikke lagt frem for oss. Ved konfidensiell informasjon har vi muligheten til umiddelbar kommunikasjon med varslerne f.eks. for å bekrefte mottaket av den respektive informasjonen, stille spørsmål til saksforholdet og for å kunne informere varsleren om det trufne tiltaket. Vi får imidlertid ingen informasjon om varslerens identitet. Den eksterne operatøren av vårt varslersystem CONFDNT står som “anonymiseringslag” mellom oss og varslerne.
  • Ved en transparent informasjon mottar kontaktpersonen som internt hos oss i bedriften er ansvarlig for behandlingen av informasjonen tilgang til dataene til identitet av varsleren og kan umiddelbart kommunisere med varselgiveren. Ifølge EU direktivet om vern av varslere er vi forpliktet å bevare identiteten av varselgiveren, dvs. bare de eller den medarbeider(e) som behandler den respektive informasjonen kan få kjennskap til identiteten av varselgiveren, ikke noen andre i bedriften.

 

5. Behandlede personopplysninger

Når en informasjon blir gitt via varslersystemet, behandler vi følgende personopplysninger:

  • Navn og kontaktdata til varselgiveren, hvis disse oppgis ved en transparent informasjon, ved en konfidensiell informasjon vil den eksterne operatøren av vårt varslersystem CONFDNT personopplysningene til varselgiveren ikke gis videre til oss, ved en anonym melding behandles ikke personopplysningene til varselgiveren.
  • IP-adressen til varselgiveren lagres ikke til behandling av en melding i applikasjonen. For å bevare tilgjengelighet, konfidensialitet og integritet av nettleser og applikasjoner og grensesnitt forbundet med nettleseren, protokolleres tilgang til nettleseren for å kunne oppdage og behandle potensielle sikkerhetsbrudd. Tilgang som ikke kan fås i sammenheng med et sikkerhetsbrudd, slettes betinget av vedlikeholdsintervallet senest etter en kalendermåned.
  • Bedriftsmedlemskap eller funksjon blir behandlet hvis disse blir oppgitt innenfor rammen av en informasjon.
  • Personopplysninger fra personer som nevnes i en informasjon, behandles til undersøkelse eller behandling av en informasjon.

Kommunikasjonen mellom varselgiverens datamaskin og varslersystemet utføres via en kryptert forbindelse (SSL). For å opprettholde forbindelsen mellom datamaskin og varslersystemet lagres en informasjonskapsel på datamaskinen som bare inneholder sesjons-ID (såkalte null cookies). Informasjonskapselen er bare gyldig inntil slutt på den respektive sesjonen og slettes når nettleseren lukkes.
 

6. Konfidensiell behandling av informasjoner og videresending

Innkommende informasjon tas imot og behandles av få autoriserte medarbeidere. Disse medarbeiderne er uttrykkelig forpliktet til alltid å behandle all informasjon konfidensielt. Disse ansvarlige medarbeidere sjekker informasjonen og gjennomfører eventuelt en videregående oppklaring av saksforholdet. I forbindelse med oppklaring av saksforholdet og eventuelt tilsluttende innledning av tiltak kan det være nødvendig og gi informasjon videre til andre medarbeidere i bedriften. Det skjer kun når det er nødvendig for oppklaringen eller innledning av tiltak, og vi passer alltid på å overholde de relevante personvernbestemmelser når vi gir informasjon videre. I bestemte tilfeller finnes den personrettslige forpliktelsen til å informere personen som er beskyldt om bebreidelsen rettet mot ham. I slike tilfeller er det lovpålagt, hvis det objektivt er fastsatt at informasjonen gitt dem som har gjort seg skyldig, den konkrete oppklaringen av informasjonen ikke (lenger) kan påvirke negativt. Identiteten av varsleren blir ikke lagt frem så vidt det rettslig er mulig, og det sikres at konklusjoner om varslerens identitet ikke blir mulig. Ved forsettlig oppgitt falsk informasjon med det formål å diskreditere en person (angiveri) kan konfidensialiteten om varslerens identitet ikke garanteres. Ved lovpålagt forpliktelse eller hvis det er personvernrettslig nødvendig for oppklaring av informasjonen, kommer som videre kategorier av mottakere påtalemyndigheter, konkurransetilsynet, andre administrasjoner, domstoler samt advokater og revisjonsselskaper som vi har bemyndiget på tale.
 

7. Oppretting av en konto

Varslere oppretter en konto for sin informasjon. Kontoen kan oppnås via en QR-kode og/eller en individuell lenke. Via kontoen kan kommunikasjonen mellom medarbeiderne som er betrodd med behandling av informasjonen og varsleren utføres. Ved oppretting og bruk av kontoen samles ikke inn ekstra personopplysninger. Bruk av varslersystemet kan registreres anonymt, konklusjoner om enkelte brukere er imidlertid ikke mulig. Enkelte informasjoner merkes entydig med et identifikasjonsnummer. Identifikasjonsnummeret benyttes ikke til å identifisere varsleren, men kun til å skille forskjellige informasjoner logisk fra hverandre. Personopplysningene oppgitt i varslersystemet kan av varsleren i kontoen til enhver tid fås innsyn i. Ytterligere personopplysninger enn dem som er oppgitt i kontoen lagres ikke i varslersystemet. Alle data som varsleren har skrevet inn krypteres individuelt i en database. 
 

8. Rettsgrunnlag

Behandlingen av personopplysningene innenfor rammen av varslersystemet baserer på at rettslige forpliktelser blir oppfylt samt på vår berettiget interesse for avsløring og prevensjon av misforhold og derved forbundet med avverging av skader og ansvarsrisiko for bedriften. Rettsgrunnlaget er tilsvarende GDPR [personvernforordning] artikkel 6 nr. 1 bokstav c og f i forbindelse med OWiG [tysk lov om overtredelser] §§ 30, 130.
Hvis en informasjon vedrører en av våre medarbeidere, tjener behandlingen også til at straffbare forhold eller andre rettsbrudd som står i sammenheng med ansettelsesforholdet blir forhindret og avdekket. Rettsgrunnlag er i dette tilfellet BDSG [tysk personvernlov] § 26 1. ledd.
 

9. Oppbevaring og sletting

Personopplysninger oppbevares så lenge som det er nødvendig for oppklaringen og den avsluttende vurderingen av en informasjon eller hvis bedriften har en berettiget interesse eller hvis det er nødvendig på grunn av lov.
Deretter blir disse data slettet i samsvar med lovmessige spesifikasjoner. Lagringsperioden retter seg spesielt etter mistankens alvorlighetsgrad og den rapporterte eventuelle pliktforsømmelsen.
De innsamlede data slettes prinsipielt innen to måneder etter at de interne undersøkelsene er avsluttet.
Kommer det på grunn av en uakseptabel atferd i betydning av dette direktivet eller misbruk av varslersystemet til en straffeprosess, disiplinærsak eller sivilprosess, kan lagringsperioden forlenges til rettskraftig avslutning av den respektive prosessen.
Personopplysninger som åpenbart ikke er relevante for behandlingen av en  spesifikk informasjon, samles ikke inn eller slettes omgående hvis de er blitt samlet inn utilsiktet.
 

10. Tjenesteyter

Vårt varslersystem stilles til rådighet fra tjenesteyteren Compliance.One GmbH i Tyskland på basis av en avtale for databehandling iht. GDPR artikkel 28.
 

11. Dine rettigheter som vedkommende

Som vedkommende har du følgende rettigheter så vidt de lovmessige forutsetninger er oppfylt:

  • Rett til innsyn, GDPR artikkel 15
  • Rett til retting, GDPR artikkel 16
  • Rett til sletting, GDPR artikkel 17
  • Rett til begrensning av behandlingen, GDPR artikkel 18
  • Rett til dataportabilitet, GDPR artikkel 20
  • Rett til å protestere, GDPR artikkel 21

Så vidt databehandlingen baserer på en avveining av de berettigede interessene, har du rett til å protestere mot denne databehandlingen. Til dette må det foreligge berettigede grunner som følger av din spesielle situasjon.
Du har dessuten rett til å protestere mot databehandlingen hos tilsynsmyndighetene for personvern.
 

12. Endring av denne personvernopplysningen

Vi forbeholder oss å tilpasse denne personvernopplysningen av og til, slik at den alltid er i samsvar med de aktuelle rettmessige kravene og/eller for å gjengi endringer av databehandlingen tilsvarende. For din gjentatte bruk gjelder da de nye personverninformasjoner.