Този канал за сигнализиране ("Whistleblowing Channel") е разработен в съответствие с Директива на ЕС 2019/1937 относно защитата на лицата, които докладват за нарушения на правото на ЕС и приложимото национално законодателство. Настоящата политика за поверителност содържа информация относно личните данни, които се обработват, как те ще бъдат обработени и на каква правна основа.
Mellenu Holding S.A., компания с ограничена отговорност със седалище в Люксембург, както и нейните дъщерни предприятия, са отговорните лица за обработка на данните, събрани чрез този канал за сигнализиране.
На основата на Общия регламент за защита на данните ("GDPR") и приложимото национално законодателство, обработката на данните се ограничава до Канала за сигнализиране, сигнализациите, представени чрез системата, всички информация и документация, предоставени поради сигнализацията, както и всички действия, разследвания и информация, произтичащи от нея.
1. Отговорни лица за обработка
В случай, че сигнализацията се отнася до служители или други лица, свързани с дъщерното предприятие на Група Mellenu, отговорните лица за обработка на данните ще бъдат съвместно SIA Credit Solutions и VIVUS.BG EOOD. За този канал съотговорниците са:
2. Цел на обработката
Целта на обработката на личните данни е да се установи и поддържа Каналът за сигнализиране, както и да се получават, разследват и решават всички нарушения, неправилно поведение или други въпроси, докладвани чрез Канала за сигнализиране в съответствие с вътрешните политики на отговорните лица и изискванията на Директива 2019/1937 и приложимото национално законодателство.
Тъй като естеството на сигнализацията може да включва всякакъв вид информация, дори неправилна или излишна, нейната обработка има за цел разработка и разследване на доказателства, които, ако е необходимо, ще бъдат отхвърлени.
3. Правна основа за обработката
Обработката се основава на Директива 2019/1937 и приложимото държавно законодателство. Обработката на личните данни, касаещи субектите на сигнализацията, сигнализаторите и ръководителите на случаи, се основава на легитимния интерес на отговорното лице с цел предотвратяване, открояване, разследване и справяне с нарушенията.
Поради специфичното естество на сигнализациите и разнообразието на тяхното съдържание, отговорните лица могат неволно да бъдат изложени на специални категории личните данни, съдържащи се в доклада за сигнализиране, в съответствие с изключенията, разрешени от член 9 на GDPR. Всички нерелевантни или неприложими лични данни ще бъдат изтрити в съответствие с член 17 на Директива 2019/1937.
4. Категории на субектите и данни, които се обработват
Сигнализатори. По подразбиране системата управлява сигнализацията анонимно. Въпреки това, в случай че определени данни могат да помогнат при разследването, се предоставя възможност за включване на лична информация на сигнализатора (като неговото име, местоположение, отдел, възраст, пол, финансова информация и т.н.).
Поради специфичното естество на докладваните факти, информацията, предоставена от сигнализатора, може да содържа специални категории лични данни (като информация за здравето на лице, биометрични данни, убеждения, сексуалност, наказания). По същия начин, обстоятелствата на случая могат да позволят непрякото идентифициране на сигнализатора.
Сигнализаторите могат да бъдат служители на Група Mellenu и всяко външно заинтересовано лице, които имат отношения с организацията чрез своята професионална дейност, като например поставки на услуги, дистрибьютори, доставчици и търговски партньори.
Субекти на сигнализациите. Сигнализациите за неправилно поведение могат да съдържат данни за други съответни лица (например име, фамилия, длъжност, местоположение, финансова информация, снимки или видеа), тяхното поведение и лични обстоятелства, между другото. Изключително докладите могат да съдържат специални категории лични данни.
Отговорни за разследването. Лицето, отговорно за разследването, получава информацията, съдържаща се в доклада. Тези лица са служители, специално определени от съотговорниците за обработка на доклада. Обработват се техните име, длъжност, потребителско име и данни за регистрация.
5. Достъп и разкриване на лични данни
Само отговорниците за разследването имат преки достъп до личните данни от доклада. Личните данни могат да бъдат разкрити на трети страни, като органи на властта или външни одитори, в случай на правна задължение или легитимен интерес.
Когато се докладва от устройство, свързано с обществена или работна мрежа, посетените уеб страници остават записани в историята на браузъра и/или в системния дневник, което може да позволи идентифицирането в някои обстоятелства, поради което се препоръчва на сигнализатора да използва частна мрежа и браузър в режим на инкогнито.
6. Обработка на лични данни в други страни на ЕС/ЕИП
Администраторът на Канала за сигнализиране е външен поставчик на услуги: Falcony Ltd., Регистър на финландските търговци ID: 2900763-6, Annankatu 27 A, 00100 Helsinki, Финландия, +358 20 131 0611, support@falcony.io (Обработвател на данни).
Отговорните лица са установили необходимите споразумения и механизми, за да гарантират, че обработвателят използва личните данни, събрани чрез Канала за сигнализиране само както е разрешено от приложимите закони за защита на данните. Обработвателят на данни е поддоговорил съхранението на данни с компания Amazon AWS, Ирландия (Подобработвател на данни). Данните се обработват и съхраняват само в рамките на ЕС/ЕИП.
7. Период на съхранение на данните
Данните от сигнализацията ще бъдат съхранени максимум два (2) години след завършване на разследването. Този период може да се продължи в случай на проверка на правна задължение, например, произтичаща от законодателството за предотвратяване на прането на пари, наказателното, административното или гражданското право, регулирането на предотвратяване на професионалните рискове и т.н.
8. Права на сигнализатора
Сигнализаторът има право на:
- Да получи от отговорното лице информация относно това дали неговите данни се обработват и, ако е така, да получи достъп до своите лични данни.
- Да коригира своите лични данни.
- Да ограничи или да възрази на обработката на своите лични данни.
- Да изтрие своите лични данни.
- Да възрази на обработката на своите данни.
- Да поднесе жалба пред органите по защита на данните.
9. Сигурност на информацията
Всички данни се предават и съхраняват криптирани. Никоя информация не се изпраща без криптиране, поради което рискът от нарушение и непрякото идентифициране е незначителен.
10. Запитвания относно лични данни и правната основа на Канала за сигнализиране
За всякакви запитвания относно обработката на личните данни, свържете се с Отговорния за защита на данните на Група Mellenu: privacy@mellenu.com
За въпроси, свързани с правната рамка на Канала за сигнализиране и разследването на същите, свържете се с Отговорния за съответствие на Mellenu Group: compliance@mellenu.com
За въпроси, свързани с борбата срещу прането на пари, свържете се с Отговорния за AML на Mellenu Group: aml@mellenu.com
