Tell Me Privacy
-
Obsah
1. Úvodem
2. Správce osobních údajů
3. Pověřenec pro ochranu osobních údajů
4. Kategorie osobních údajů
5. Účely a právní základ zpracovávání osobních údajů
6. Zpřístupňování osobních údajů třetím subjektům
7. Přeshraniční přenos osobních údajů
8. Uchovávání osobních údajů
9. Vaše zákonná práva
10. Vymezení pojmů
Příloha 1 - Správci osobních údajů
Příloha 2 - Místní právní úpravy
1. Úvodem
Vydavatelem tohoto prohlášení o ochraně osobních údajů ( „prohlášení o ochraně osobních údajů“
) jsou povinné subjekty skupiny Kia vyjmenované v příloze 1 ( „skupina Kia Europe“
). Smyslem tohoto prohlášení o ochraně osobních údajů je informovat o způsobu zpracovávání osobních údajů příslušnými povinnými subjekty skupiny Kia Europe v rámci nakládání s oznámeními podávanými současnými nebo bývalými zaměstnanci, včetně vedoucích pracovníků, zástupců managementu, agenturních pracovníků, koordinátorů působících v zahraničí, učňů, stážistů i studentů a osob pracujících pod dohledem a podle pokynů smluvních partnerů, dodavatelů a subdodavatelů skupiny Kia Europe ( „oznamující osoby“, „oznamovatelé“
), prostřednictvím platformy Kia Compliance: Tell Me pro oznamování nepřípustného jednání ( „platforma Tell Me“
).
Místní právní úpravy tohoto prohlášení o ochraně osobních údajů najdete v příloze 2.
Platforma Tell Me je speciálním komunikačním kanálem, prostřednictvím kterého mohou oznamovatelé nahlašovat případy porušování externích zákonů a právních předpisů a vnitropodnikových úprav (např. kodexu Kia EU Compliance & Integrity Code
) příslušně platných v rámci povinných subjektů skupiny Kia Europe.
Další informace o platformě Tell Me a o tom, kdy a jak oznámení podávat, najdete v interní směrnici platformy Kia Compliance: Tell Me Policy
.
2. Správce osobních údajů
Týká-li se oznamovaný případ nebo incident čistě společnosti Kia Europe GmbH ( „Kia EU“
), je Kia EU jediným a nezávislým správcem osobních údajů zpracovávaných v souvislosti s příjmem, rozborem a zpracováváním oznámení podávaných prostřednictvím platformy Tell Me ( „relevantní osobní údaje“
).
Vztahuje-li se oznamovaná záležitost na jiný povinný subjekt skupiny Kia Europe ( „příslušný povinný subjekt Kia“
), pak Kia EU případ posuzuje a šetří v těsné spolupráci s příslušným povinným subjektem Kia (podrobné informace o procesu vyřizování nahlašovaných případů najdete v interní směrnici platformy Kia Compliance: Tell Me Policy
).
V takových případech si pak Kia EU a příslušný povinný subjekt Kia definují účely a prostředky zpracovávání relevantních osobních údajů společně jako tzv. společní správci osobních údajů.
S tímto spojené jednotlivé podíly odpovědnosti správců za plnění povinností vyplývajících z obecného nařízení o ochraně osobních údajů byly přitom vymezeny následovně:
(a) Využijete-li svých zákonných práv podle odstavce 9 tohoto prohlášení o ochraně osobních údajů, bude za naplnění těchto Vašich práv odpovídat příslušný povinný subjekt Kia. Kia EU však příslušnému povinnému subjektu Kia za účelem zajištění vyřízení žádosti v souladu s obecným nařízením o ochraně osobních údajů bezodkladně poskytne veškerou potřebnou pomoc.
(b) Povinnosti spojené s informováním subjektů o způsobu zpracovávání relevantních osobních údajů na základě článků 13 a 14 obecného nařízení o ochraně osobních údajů budou příslušný povinný subjekt Kia a Kia EU plnit takto: (i) všichni toto prohlášení o ochraně osobních údajů zveřejní na svém intranetu; (ii) Kia EU zajistí, že toto prohlášení o ochraně osobních údajů bude k dispozici na platformě Tell Me, a (iii) příslušný povinný subjekt Kia Vás bude na Vaši žádost příslušně v oprávněných případech a v zákonem stanoveném rozsahu informovat podle článku 14 obecného nařízení o ochraně osobních údajů.
(c) Příslušný povinný subjekt Kia a Kia EU bez ohledu na odstavec 2(a) a (b) uznávají Vaše právo uplatňovat práva vyplývající z obecného nařízení o ochraně osobních údajů vůči oběma jakožto společným správcům. Upozorňujeme však, že žádosti bude zpravidla vyřizovat příslušný povinný subjekt Kia.
Kontaktní údaje všech příslušných povinných subjektů skupiny Kia Europe najdete v příloze 1.
3. Pověřenec pro ochranu osobních údajů
S dotazy ohledně nebo v souvislosti s tímto prohlášením o ochraně osobních údajů se můžete obracet také na pověřence pro ochranu osobních údajů Kia EU na dpo@kia-europe.com
nebo pověřence pro ochranu osobních údajů příslušného povinného subjektu Kia ( „DPO“
). Kontaktní údaje DPO jednotlivých příslušných povinných subjektů skupiny Kia Europe najdete v příloze 1.
4. Kategorie osobních údajů
Zpracovávání osobních údajů je nezbytným předpokladem fungování platformy pro oznamování protiprávního jednání a provádění následného prošetřování oznámených případů. Oznamovatel má
však přitom obsah podávaného oznámení zcela pod kontrolou.
A to proto, že platforma Tell Me neoperuje s formuláři, nýbrž umožňuje oznamovateli podat podnět volnou formou, bez nutnosti jej jakkoliv dále specifikovat či kategorizovat. Totéž platí pro uvádění totožnosti oznamovatele, obviňované osoby, svědka
nebo dalších osob v oznámení zmiňovaných
(označovaných společně jako „relevantní subjekty osobních údajů“
nebo samostatně jako „relevantní subjekt osobních údajů“)
.
Prozrazení své totožnosti byste si při oznamování měli vždy velmi dobře zvážit. S totožností oznamovatele a případných třetích subjektů, které ve svém oznámení uvede, bude zacházeno velmi důvěrně. Za určitých okolností však může být Kia EU nebo příslušný povinný subjekt Kia nucen totožnost oznamovatele nebo relevantního třetího subjektu odtajnit.
Proto skupina Kia Europe zřídila platformu Kia Compliance: Tell Me, prostřednictvím které mohou oznamující osoby podávat oznámení anonymní cestou
.
Jestliže budete chtít uvést svoji totožnost, můžete tak učinit prostřednictvím příslušných dalších komunikačních kanálů pro oznamovatele, jejichž popis najdete v interní směrnici platformy Kia Compliance: Tell Me Policy
.
Osobní údaje zpracovávané společností Kia EU a (případně také) příslušným povinným subjektem Kia v souvislosti s podnětem podaným prostřednictvím platformy Tell Me a jeho vyřizováním mohou zahrnovat následující informace o relevantním subjektu ochranných údajů (které vždy vycházejí z obsahu a z informací sdělených oznamovatelem samotným): jméno a příjmení, pohlaví, státní příslušnost; adresa, město; (mobilní) telefonní číslo; e-mailová adresa; role a pozice ve společnosti; evidenční číslo/personální číslo; popis události a průvodních okolnosti; přijatá opatření; zprávy ze šetření; další informace spojené s událostí (např. datum a čas, místo); přístupový kód; zvukový soubor a IP adresa a další technická data; záznamy o svolení (např. záznamy o svolení poskytnutých oznamující osobou).
V případě, že si oznamující osoba bude přát zůstat v anonymitě, zaručuje skupina Kia Europe oznamující osobě do velké míry ochranu její anonymity, a to v maximální možné a zároveň přiměřené míře, tak jak je to specifikováno v interní směrnici platformy Kia Compliance: Tell Me Policy
Skupina Kia Europe tak nebude mít žádný přístup k technickým datům, na základě kterých by bylo anonymní oznamující osobu možné identifikovat (např. IP adresa, soubory s hlasovými zprávami či data příchozího telefonátu).
Jakožto oznamující osoba neuvádějte žádné osobní údaje zvláštních kategorií jako rasový nebo etnický původ, politické názory, náboženské vyznání nebo filozofické přesvědčení, členství v odborech ani informace o svém zdravotním stavu či sexuálním životě, pokud by nebyly pro řešený případ relevantní.
Bude-li oznámení takováto nerelevantní data obsahovat, Kia EU a příslušný povinný subjekt Kia je z oznámení a příslušných datových souborů odstraní.
Stejným způsobem naloží i s osobními údaji, jež nebudou pro ověření vzneseného obvinění nezbytně objektivně nutná.
5. Účely a právní základ zpracovávání osobních údajů
Ke zpracovávání relevantních osobních údajů ze strany Kia EU a příslušného povinného subjektu Kia dochází za účelem umožnění iniciálního podání oznámení, následného prověření obsahu podaného oznámení a vyšetření oznámeného případu.
Zpracovávání je založeno na následujícím právním základě:
• Udělení souhlasu (čl. 6(1)(a) obecného nařízení o ochraně osobních údajů)
: v určitých případech je právním základem zpracovávání relevantních osobních údajů příslušným povinným subjektem skupiny Kia Europe příslušný předchozí souhlas oznamující osoby (např. se schůzkou oprávněného zástupce příslušného povinného subjektu Kia Europe s oznamující osobou - na žádost oznamující osoby - formou videokonference).
• Plnění právní povinnosti (čl. 6(1)(c) obecného nařízení o ochraně osobních údajů):
zavedení a provozování systému pro oznamování protiprávního jednání je v určitých jurisdikcích nařízeno zákonem. Pokud je tedy povinný subjekt skupiny Kia Europe ze zákona povinen systém pro oznamování protiprávního jednání zavést a provozovat a pokud zavedení a provozování tohoto systému vyžaduje zpracovávání relevantních osobních údajů, je právním základem tohoto zpracovávání plnění příslušně platné právní povinnosti.
• Plnění úkolu prováděného ve veřejném zájmu (čl. 6(1)(e) obecného nařízení o ochraně osobních údajů):
zavedení a provozování systému pro oznamování protiprávního jednání může být v určitých právních řádech povinné ze zákona, příslušné povinné subjekty skupiny Kia Europe nicméně nejsou povinny zřídit komunikační kanál umožňující anonymní oznamování ani anonymní posuzování přijatých oznámení. Právním základem pro zpracovávání relevantních osobních údajů je v tomto případě plnění úkolu prováděného ve veřejném zájmu.
• Oprávněné zájmy (čl. 6(1)(f) obecného nařízení o ochraně osobních údajů):
není-li zpracovávání relevantních osobních údajů příslušným povinným subjektem skupiny Kia Europe nezbytným předpokladem pro plnění určité právní povinnosti, dochází k němu za účelem sledování oprávněných zájmů. Těmito oprávněnými zájmy jsou kontrola dodržování platných zákonů, vyhlášek a vnitropodnikových úprav (např. kodexu Kia EU Compliance & Integrity Code) a odhalování a prevence nepřípustného a protiprávního jednání. Příslušný povinný subjekt skupiny Kia Europe bude vždy posuzovat také případnou nadřazenost základních práv a svobod dotčené osoby, jíž se relevantní informace budou týkat, nad těmito svými oprávněnými zájmy.
Jak bylo uvedeno výše, oznámení podávaná prostřednictvím platformy Tell Me by neměla obsahovat žádné osobní údaje zvláštních kategorií, jež by pro oznamovaný případ nebyla relevantní. Pokud se tak stane, budou příslušně odstraněna. Pokud však tyto osobní údaje budou pro oznámený případ relevantní, bude zpracovávání těchto informací v příslušně relevantním rozsahu vycházet z platného právního základu v podobě buď čl. 9(2)(f) obecného nařízení o ochraně osobních údajů (tj. zpracovávání bude nezbytné pro určení, výkon nebo obhajobu právních nároků), nebo čl. 9(2)(g) obecného nařízení o ochraně osobních údajů (tj. zpracovávání bude nezbytné z důvodu významného veřejného zájmu za základě unijního nebo vnitrostátního práva).
6. Zpřístupňování osobních údajů třetím subjektům
Kia EU a příslušný povinný subjekt Kia budou s relevantními osobními údaji zacházet velmi důvěrně. Data budou zpřístupňována výhradně a pouze v souvislosti s výše uvedenými účely zpracovávání, a to vždy v souladu s platnými zákony. Potenciálními příjemci relevantních osobních údajů budou mimo jiné tyto společnosti, instituce a osoby:
• Poskytovatelé služeb:
mimo jiné společnost People Intouch B.V. (a touto společností pověření další zpracovatelé) jakožto provozovatel platformy Tell Me s registrovaným sídlem na adrese Olympisch Stadion 6, 1076 DE Amsterdam, Nizozemsko. Společnost People Intouch B.V. je relevantní osobní údaje oprávněna zpracovávat výhradně na základě svého postavení zpracovatele pověřeného Kia EU, a to pouze podle pokynů Kia EU. Kia EU a společnost People Intouch B.V. mají za tímto účelem uzavřenou smlouvu upravující zpracovávání osobních údajů.
• Právní poradci:
Kia EU nebo příslušný povinný subjekt Kia jsou v určitých případech oprávněny zpřístupnit data svým právním poradcům, a to za účelem zajištění ochrany nebo výkonu svých práv. Právní poradci budou zpřístupněná data zpracovávat jako nezávislí správci.
• Soudy a dohledové orgány:
Kia EU nebo příslušný povinný subjekt Kia jsou oprávněny zpřístupnit data soudům a dohledovým orgánům, a to v zákonem stanovených případech, za účelem poskytnutí součinnosti v průběhu soudních řízení a také na základě soudního nařízení a žádosti dohledových orgánů anebo za účelem zajištění ochrany nebo výkonu svých práv.
• Dotčené soudy a dohledové orgány budou zpřístupněná data zpracovávat jako nezávislí správci.
• Ostatní:
Kia EU nebo příslušný povinný subjekt Kia jsou oprávněny zpřístupnit data dalším třetím subjektům (např. obviněným osobám, externím členům dozorčích orgánů), ovšem pouze tehdy, pokud to bude vyžadovat zákon. Tyto třetí subjekty budou zpřístupněná data zpracovávat jako nezávislí správci.
7. Přeshraniční přenos osobních údajů
Kia EU nebo příslušný povinný subjekt Kia mohou být za účelem zpracovávání relevantních osobních údajů specifikovaných v těchto zásadách ochrany soukromí nuceny předávat relevantní osobní údaje třetím subjektům uvedeným v odstavci 6. Obvykle se přitom však nebude jednat o přenos relevantních osobních údajů příjemcům nacházejícím se ve státech, které by nebyly členy Evropského hospodářského prostoru (EHP) anebo pro které by Evropská komise nevydala rozhodnutí o přiměřenosti, kterým se potvrzuje zajištění přiměřené úrovně ochrany osobních údajů. V případě předání určitých relevantních osobních údajů příjemci ve státě do předchozích kategorií nespadajícím budou poskytnuty příslušné záruky v souladu s obecným nařízením o ochraně osobních údajů.
8. Doba uchovávání osobních údajů
Kia EU a příslušný povinný subjekt Kia budou relevantní osobní údaje zpracovávat výhradně a pouze po dobu nezbytnou pro dosažení účelů specifikovaných v tomto prohlášení o ochraně osobních údajů anebo po dobu předepsanou platným zákonem. Při stanovení doby uchovávání zohlední Kia EU a příslušný povinný subjekt Kia účely zpracovávání relevantních osobních údajů a případné alternativní cesty k jejich dosažení bez těchto osobních údajů, dále kategorie relevantních osobních údajů, rizika spojená s únikem osobních údajů a právní povinnosti, které vyžadují, aby Kia EU či příslušný povinný subjekt Kia osobní údaje uchovávaly.
Zpravidla to bude znamenat, že relevantní osobní údaje budou uchovávány následovně:
• Osobní údaje nerelevantní pro řešené případy budou bez zbytečného odkladu vymazány nebo anonymizovány.
• Relevantní osobní údaje obsažené v dokumentaci týkající se určité záležitosti budou uchovávány po dobu nezbytně nutnou pro zajištění přístupu k oznámení a pro (případné) provedení šetření, přičemž do tří let od vyhodnocení a/nebo vyšetření oznámení bude následovat anonymizace nebo výmaz relevantních osobních údajů, ledaže bude zahájeno soudní nebo disciplinární řízení, které by vyžadovalo jejich další uchovávání, anebo se na ně bude ze zákona vztahovat jiná povinná archivační doba, přičemž se vždy bude přihlížet k tomu, zda je uchovávání nezbytně nutné a přiměřené.
9.Vaše zákonná práva
V případě, že Kia EU nebo příslušný povinný subjekt Kia zpracovává osobní údaje na základě Vašeho souhlasu, máte právo na to svůj souhlas kdykoliv odvolat (článek 7(3) obecného nařízení o ochraně osobních údajů).
Kia EU nebo příslušný povinný subjekt Kia Vám na vyžádání ochotně poskytne informace o tom, jaké osobní údaje o Vás zpracovává a jakým způsobem (čl. 15 obecného nařízení o ochraně osobních údajů). Za předpokladu, že budou splněny nezbytné právní předpoklady, máte také právo na: (a) opravu svých osobních údajů (čl. 16 obecného nařízení o ochraně osobních údajů); (b) výmaz svých osobních údajů (čl. 17 obecného nařízení o ochraně osobních údajů); and (c) omezení zpracování svých osobních údajů (čl. 18 obecného nařízení o ochraně osobních údajů). Kromě toho máte také právo na přenositelnost údajů (čl. 20 obecného nařízení o ochraně osobních údajů) a právo podat stížnost k příslušnému úřadu pro dozor nad ochranou osobních údajů (čl. 77 obecného nařízení o ochraně osobních údajů).
Právo na vznesení námitky proti zpracování: v případech, kdy Kia EU nebo příslušný povinný subjekt Kia Vaše osobní údaje zpracovává na základě čl. 6(1)(f) obecného nařízení o ochraně osobních údajů, máte právo na to vznést proti tomuto zpracovávání s odkazem na Vaši konkrétní situaci kdykoliv námitku (čl. 21(1) obecné nařízení o ochraně osobních údajů).
Jestliže jsou Vaše osobní údaje zpracovávány příslušným povinným subjektem Kia a Kia EU společně jakožto společnými správci, najdete informace o tom, který z těchto subjektů bude zodpovědný za vyřízení shora uvedených žádostí, v odstavci 2(a)-(c).
10. Vymezení pojmů
Pojmem „správce“ je myšlena fyzická nebo právnická osoba, veřejná instituce, orgán státní správy nebo jiný subjekt, který sám nebo spolu s ostatními určuje účely a prostředky zpracování osobních údajů.
Pojmem „obecné nařízení o ochraně osobních údajů" jsou myšleny (i) se zřetelem ke Kia UK LTD jakožto správci osobních údajů předpisy Spojeného království o ochraně osobních údajů formulované v zákoně o ochraně osobních údajů z roku 2018 (transpozice obecného nařízení o ochraně osobních údajů do práva Spojeného království); a (ii) se zřetelem k ostatním povinným subjektům skupiny Kia Europe uvedeným v příloze 1 nařízení (EU) č. 2016/679 (obecné nařízení o ochraně osobních údajů).
Pojmem „osobní údaje“ jsou myšleny jakékoliv informace týkající se identifikované nebo identifikovatelné fyzické osoby.
Pojmem „zpracování”/„zpracovávání” je myšlen jakýkoliv úkon nebo soubor úkonů prováděných s osobními údaji nebo soubory osobních údajů jako shromažďování, zaznamenávání, uspořádávání, strukturování, ukládání, upravování nebo pozměňování, vyhledávání, prohlížení, využívání, předávání, šíření nebo jiné způsoby zpřístupňování, třídění nebo kombinování, omezování, vymazávání nebo likvidace.
Pojmem „zpracovatel osobních údajů“ je myšlena fyzická nebo právnická osoba, veřejná instituce, orgán státní správy nebo jiný subjekt, který jménem správce zpracovává osobní údaje.
Příloha 1 Správci osobních údajů
| Příslušné entity skupiny Kia | Kontaktní údaje | Kontaktní údaje DPO |
|---|---|---|
| Kia Europe GmbH (Kia EU) | Theodor-Heuss-Allee 11, 60486 Frankfurt, Německo E-mail: info@kia-europe.com |
dpo@kia-europe.com |
| Kia Nederland B.V. | De Corridor 25, 3621 ZA Breukelen, Nizozemsko E-mail: info@kia.nl |
info@kia.nl |
| Kia Austria GmbH | Sverigestrasse 5, 1220 Wien, Rakousko E-mail: office@kia.at |
datenschutz@kia.at |
| Kia Belgium N.V. | Ikaroslaan 33, 1930 Zaventem, Belgie E-mail: info@kia.be |
privacy@kia.be |
| Kia France SAS | 2 rue des Martinets, Rueil-Malmaison 92560, Francie E-mail: relation.clientele@kia.fr |
dpo@kia.fr |
| Kia Sales Slovakia s.r.o. | Einsteinova 19, Bratislava 851 01, Slovensko E-mail: info@kmss.sk |
dpo@kiasales.sk |
| Kia Iberia S.L.U. | Calle de Anabel Segura, 16 Edificio Vega Norte, Planta 2, 28108 Alcobendas, Madrid, Španělsko E-mail: contacto@kia.es |
consultalopd@kia.es |
| Kia Deutschland GmbH | Theodor-Heuss-Allee 11, 60486 Frankfurt, Německo E-mail: info@kia.de |
datenschutz@kia.de |
| Kia Sweden AB | Kanalvägen 10A, 194 61 Upplands Väsby, Švédsko E-mail: info@kia.se |
d.elander@kia.se |
| Kia Polska SP. Z.O.O. | Pulawska 366, 02-819 Varšava, Polsko E-mail: infolinia@kiapolska.pl |
iod@kiapolska.com.pl |
| Kia Czech s.r.o. | Jihlavská 1558/21, Michle 140 00, Praha 4, Česká republika E-mail: kia-info@kia.cz |
gdpr@kia.cz |
| Kia Hungary Kft. | 1117 Budapešť, Budafoki út 56, Maďarsko E-mail: info@kiahungary.hu |
adatvedelem@kiahungary.hu |
| Kia UK LTD | Walton Green, Walton-On-Thames, Surrey, KT12 1FJ, Spojené království E-mail: dpo@kia.co.uk |
dpo@kia.co.uk |
| Kia Ireland | Unit A8 Calmount Park, Calmount Road, Dublin, D12 X266, Irsko E-mail: admin@kiaireland.ie |
dpo@kia.co.uk |
| Kia Italia S.r.l | Via Gallarate 184, 20151 Milán, Itálie E-mail: infokia@kia.it |
dpo@kia.it |
| Kia Connect GmbH | Theodor-Heuss-Allee 11, 60486 Frankfurt, Německo E-mail: info@kia-connect.eu |
dpo@kia-connect.eu |
Kromě shora uvedeného platí následující místní právní úpravy:
RAKOUSKO
Směrnice EU o whistleblowingu byla transponována do rakouského práva jako zákon na ochranu oznamovatelů (whistleblowing) (HSchG). V případech, kdy podezření na porušení právních přepisů spadá do oblasti platnosti zákona HSchG („oblast platnosti“), je základem zpracovávání příslušných informací poskytovaných za účelem prevence a inhibice možného porušování právních přepisů plnění povinností vyplývajících ze zákona (čl. 6 odst. 1 písm. c) obecného nařízení o ochraně osobních údajů ve spojení s §§ 2 a násl. HSchG).
BELGIE
V souladu s belgickým zákonem na ochranu oznamovatelů z 28. listopadu 2022, kterým byla do belgického práva transponována směrnice (EU) č. 2019/1937, dochází k následující úpravě:
Na konec odstavce 8 (Uchovávání osobních údajů) se doplňují tato ustanovení:
Podle belgického zákona na ochranu oznamovatelů se konkrétně archivuje jméno, funkce a kontaktní údaje oznamovatele a dalších osob, na které se vztahují příslušná ochranná a podpůrná opatření, a také osoby, které se oznámení týká, včetně případného personálního čísla, a to do uplynutí nárokovatelnosti důsledků oznamovaného porušení platných zákonných předpisů.
Kia Belgium bude o všech oznámeních vést evidenci, přičemž přitom bude přísně vázána povinností zachovávat mlčenlivost podle odstavce 11 interní směrnice Kia Compliance: Tell Me. V nezbytných případech bude možno oznámení uchovávat bez ohledu na předchozí ustanovení až do ukončení smluvního vztahu mezi Kia Belgium a oznamovateli.
ITÁLIE
Odstavec 4 byl nahrazen tímto textem:
Provozování platformy pro oznamování nepřípustného jednání a následné prošetřování oznámených případů nutně vyžaduje zpracovávání osobních údajů. Oznamovatel má však přitom obsah podávaného oznámení zcela pod kontrolou To proto, že platforma Tell Me umožňuje oznamujícím osobám podávat oznámení volnou formou, bez nutnosti jakkoliv kategorizovat oznamovaný obsah. Totéž platí pro uvádění totožnosti oznamovatele, obviňované osoby, svědka nebo dalších osob v oznámení zmiňovaných (označovaných společně jako „relevantní subjekty osobních údajů“ nebo samostatně jako „relevantní subjekt osobních údajů“).
Oznamující osoba by měla vždy dobře zvážit, zda svoji identitu prozradí či nikoliv. Ačkoliv bude totožnost oznamující osoby a všech dalších subjektů v oznámení zmiňovaných udržována do velké míry v tajnosti, za určitých okolností mohou být Kia EU či příslušný subjekt Kia povinni totožnost oznamující osoby nebo dalšího subjektu odtajnit. Proto skupina Kia Europe zavedla platformu Kia Compliance: Tell Me, tedy speciální nástroj umožňující oznamujícím osobám podávat oznámení anonymně. Osoby, které chtějí při podávání oznámení prozradit svoji totožnost, odkazujeme na interní směrnici Kia Compliance: Tell Me, ve které jsou popsány další komunikační kanály.
Podle platformy Tell Me a správy příslušných zpráv mohou Kia EU a příslušný subjekt Kia (je-li to relevantní) zpracovávat jakýkoliv typ osobních údajů. Ve skutečnosti kromě identifikačních a kontaktních údajů (jejichž zpracování je nezbytné pro zpracování oznámení) mohou být zpracovávány všechny informace obsažené ve zprávě.
Kia EU a příslušný subjekt Kia (je-li to relevantní), nezávisle na jejich vlastní vůli, mohou zpracovávat osobní údaje spadající do zvláštních kategorií podle článku 9 obecného nařízení o ochraně osobních údajů nebo osobní údaje týkající se trestních odsouzení, trestných činů nebo souvisejících bezpečnostních opatření podle článku 10 obecného nařízení o ochraně osobních údajů, které mohou být obsaženy ve zprávě a/nebo v připojených dokumentech. Takové údaje budou použity výhradně za účelem zpracování oznámení, v plném souladu s principy proporcionality a nezbytnosti; pokud budou oznámeny irelevantní údaje nebo údaje, které nejsou přísně a objektivně nezbytné k ověření vznesených obvinění, Kia EU a příslušný subjekt Kia je odstraní ze zprávy a příslušných datových sad.
Jak je uvedeno v interní směrnici Kia Compliance: Tell Me, skupina Kia Europe poskytuje vysokou úroveň ochrany anonymity oznamující osoby v případě, že se oznamující osoba rozhodne zůstat anonymní, pokud je to možné a přiměřené. Za tímto účelem nebude mít skupina Kia Europe přístup k žádným technickým údajům, které by mohly identifikovat anonymní oznamující osobu (např. IP adresa, nahrané hlasové soubory a údaje o příchozím hovoru).
Odstavec 5 byl změněn takto:
• Právní základ „Plnění úkolu prováděného ve veřejném zájmu (čl. 6 odst. 1 e) obecného nařízení o ochraně osobních údajů)“
pro situaci v Itálii neplatí.
• Oprávněné zájmy (čl. 6 odst. 1 f) obecného nařízení o ochraně osobních údajů):
V případech, kdy zpracovávání relevantních osobních údajů není nezbytné pro plnění zákonných povinností, dochází k jejich zpracovávání ze strany příslušného subjektu skupiny Kia Europe za účelem sledování jejich oprávněných zájmů spočívajících v ochraně smluvních a předsmluvních práv nebo práv vyplývajících ze stávajících vztahů. Příslušný subjekt skupiny Kia Europe bude vždy případ od případu posuzovat, zda zájmy nebo základní práva a svobody relevantní osoby, které se informace týkají, nejsou nadřazené jeho vlastním zájmům.
Jak bylo uvedeno výše, neměla by oznamující osoba do oznámení podávaného prostřednictvím platformy Tell Me zahrnovat žádné osobní údaje zvláštních kategorií (viz článek 9 obecného nařízení o ochraně osobních údajů), jež by se netýkaly oznamovaného případu. Takové údaje budou příslušně odstraňovány. Jestliže jsou však takové údaje pro případ relevantní, je právním základem jejich zpracovávání v rámci relevantnosti článek 9 odst. 2 písmeno b) obecného nařízení o ochraně osobních údajů (zpracování je nezbytné pro účely plnění povinností a výkon zvláštních práv správce nebo subjektu údajů v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany, pokud je povoleno právem Unie nebo členského státu nebo kolektivní dohodou podle práva členského státu, v němž se stanoví vhodné záruky týkající se základních práv a zájmů subjektu údajů), článek 9 odst. 2 písmeno f) obecného nařízení o ochraně osobních údajů (tj. zpracování je nezbytné pro určení, výkon nebo obhajobu právních nároků).
Odstavec 6 byl změněn takto:
• Ostatní:
Kia EU nebo příslušný subjekt Kia může osobní údaje oznamujících osob zpřístupňovat dalším třetím subjektům jako např. externím členům dozorčích orgánů, subjektům poskytujícím podporu při provozování oznamovacího systému, poradenským nebo auditorským firmám, odborným firmám a dalším subjektům, které s Kia jakkoliv kooperují, ovšem pouze pokud to vyžaduje zákon nebo pokud je to nezbytné pro dosažení cílů stanovených ve směrnici pro ochranu soukromí.
Odstavec 9 byl změněn takto:
Budete-li mít dotazy ohledně zpracovávání svých osobních údajů, pak Vám Kia EU či příslušný subjekt Kia na požádání samozřejmě ochotně poskytne informace o tom, jaké osobní údaje a jakým způsobem zpracovává (čl. 15 obecného nařízení o ochraně osobních údajů). Kromě toho máte také další práva, jež jsou však podmíněna splněním příslušných zákonných předpokladů: (a) právo na opravu svých osobních údajů (čl. 16 obecného nařízení o ochraně osobních údajů); (b) právo na výmaz svých osobních údajů (čl. 17 obecného nařízení o ochraně osobních údajů); a (c) právo na omezení zpracování svých osobních údajů (čl. 18 obecného nařízení o ochraně osobních údajů). Kromě toho máte též právo podat stížnost k příslušnému úřadu pro dozor nad ochranou osobních údajů (čl. 77 obecného nařízení o ochraně osobních údajů).
Odstavec 10 byl změněn takto:
„Zpracovatel osobních údajů“ znamená fyzickou nebo právnickou osobu, veřejný orgán, agenturu nebo jiný subjekt, který zpracovává osobní údaje jménem správce.
Nový odstavec:
V souladu s článkem 14 odst. 2 f) obecného nařízení o ochraně osobních údajů: osobní údaje jsou získávány buď přímo od subjektu osobních údajů, anebo od třetích subjektů, a to v závislosti na tom, zda se jedná:
• o osobní údaje týkající se oznamovatelů, kdy je jejich zdrojem přímo subjekt osobních údajů, který osobní údaje spolu se zasílaným oznámením sám sděluje;
• o osobní údaje týkající se jiných subjektů osobních údajů (například obviňovaných osob, svědků anebo dalších osob zmíněných v oznámení), kdy je jejich zdrojem třetí subjekt, tj. osoba podávající oznámení.
ŠPANĚLSKO
Potřebné kroky v rámci zpracovávání osobních údajů za účelem vyřizování vnitropodnikových stížností podávaných lokálním kanálem zřízeným společností KES (kanál KES) bude provádět společnost Kia Iberia S.L.U. (KES) jakožto správce osobních údajů. Zásady ochrany osobních údajů v rámci kanálu pro podávání vnitropodnikových stížností najdete v dodatku 2B.
Odstavec 8 (Archivace osobních údajů) se doplňuje takto:
U oznámení podávaných ze španělského území nařizuje zákon v případě, že nebude zahájeno odpovídající vyšetřování, po uplynutí tří měsíců od podání povinný výmaz. Výjimkou jsou případy, kdy je účelem archivace doložení fungování tohoto systému pro podání oznámení. Ústní oznámení, jež nebudou předmětem dalšího šetření, mohou být nahrána v anonymizované podobě.
ŠVÉDSKO
Odstavec 1 (Úvodem) byl doplněn o následující text:
Kia Sweden AB (”Kia Sweden”
) zpracovává relevantní osobní údaje nejen způsobem popisovaným v těchto zásadách ochrany soukromí, ale i v rámci managementu vlastního lokálního oznamovacího kanálu (tzv. „švédského kanálu
“). Informace o zpracovávání osobních údajů v Kia Sweden v rámci švédského kanálu najdete v dodatku 2A.
Odstavec 5 (Účel a právní základ zpracovávání) byl nahrazen tímto textem:
Kia EU a Kia Sweden zpracovávají relevantní osobní údaje za účelem iniciálního podání oznámení, jeho následného prověření a prošetření oznámeného případu.
Právní základy zpracovávání osobních údajů pro Kia EU jsou následující:
• Udělení příslušného souhlasu (čl. 6 odst. 1 a) obecného nařízení o ochraně osobních údajů):
Právním základem zpracování určitých relevantních osobních údajů v Kia EU je předchozí souhlas oznamující osoby (např. v rámci videokonference mezi Kia EU a oznamující osobou na přání oznamující osoby).
• Plnění zákonných povinností (čl. 6 odst. 1 c) obecného nařízení o ochraně osobních údajů):
Plnění zákonných povinností je právním základem zpracovávání relevantních osobních údajů v případech, kdy se od Kia EU ze zákona vyžaduje zavedení a provozování systému pro oznamování nepřípustného jednání, a to v rozsahu, ve kterém se zavedení a provozování zpracovávání relevantních osobních údajů vyžaduje. Zavedení a provozování systému pro oznamování nepřípustného jednání je v určitých právních systémech povinné.
• Plnění úkolu prováděného ve veřejném zájmu (čl. 6 odst. 1 e) obecného nařízení o ochraně osobních údajů):
Zatímco zavedení a provozování systému pro oznamování nepřípustného jednání může být v určitých právních systémech povinné, nevztahuje se na Kia EU žádná povinnost zřídit kanál, který by umožňoval anonymní oznamování, ani vyhodnocovat anonymně podávaná oznámení. V takových případech je právním základem zpracovávání relevantních osobních údajů plnění úkolu prováděného ve veřejném zájmu.
• Oprávněné zájmy (čl. 6 odst. 1 f) obecného nařízení o ochraně osobních údajů):
V případech, kdy zpracovávání relevantních osobních údajů není nezbytné pro plnění zákonných povinností, dochází k jejich zpracovávání ze strany Kia EU za účelem sledování jejích oprávněných zájmů. Oprávněné zájmy přitom spočívají v hlídání dodržování platných zákonů a norem, interních směrnic (např. kodexu právní konformity a morální integrity) a zjišťování a předcházení porušování a nepřípustného jednání. Kia EU bude případ od případu posuzovat, zda zájmy nebo základní práva a svobody relevantní osoby, které se informace týkají, nejsou nadřazené jejím vlastním zájmům.
Jak bylo uvedeno výše, neměla by oznamující osoba do oznámení podávaného prostřednictvím platformy Tell Me zahrnovat žádné osobní údaje zvláštních kategorií, jež by se netýkaly oznamovaného případu. Takové údaje budou příslušně odstraňovány. Jestliže jsou však takové údaje pro případ relevantní, je právním základem jejich zpracovávání v rámci relevantnosti čl. 9 odst. 2 f) obecného nařízení o ochraně osobních údajů (tj. zpracování je nezbytné pro určení, výkon nebo obhajobu právních nároků) nebo čl. 9 odst. 2 g) obecného nařízení o ochraně osobních údajů (tj. zpracování je nezbytné z důvodu významného veřejného zájmu na základě práva Unie nebo členského státu).
Právní základy zpracovávání osobních údajů pro Kia Sweden jsou následující:
• Oprávněné zájmy (čl. 6 odst. 1 f) obecného nařízení o ochraně osobních údajů):
Právním základem zpracovávání relevantních osobních údajů v Kia Sweden je podle obecného nařízení o ochraně osobních údajů skutečnost, že se jedná o oprávněný zájem této společnosti spočívající v hlídání dodržování platných zákonů a norem, interních směrnic (např. kodexu právní konformity a morální integrity) a zjišťování a předcházení porušování a nepřípustného jednání. Při sdílení relevantních osobních údajů s jinými subjekty vychází Kia Sweden ze svého oprávněného zájmu, který spočívá v prošetření oznámeného nepřípustného jednání nebo podniknutí určitých kroků v závislosti na výsledku šetření.
• Zpracovávání je nezbytné pro účely plnění povinností a výkon zvláštních práv v oblasti pracovního práva (čl. 9 odst. 2 b) obecného nařízení o ochraně osobních údajů):
Jestliže však Kia Sweden zpracovává osobní údaje zvláštních kategorií relevantní pro určitý případ za účelem přijetí a prošetření oznámení, je právním základem jejich zpracovávání v rámci relevantnosti podle obecného nařízení o ochraně osobních údajů skutečnost, že je toto zpracovávání nezbytné pro účely plnění povinností a výkon zvláštních práv v oblasti pracovního práva.
• Zpracovávání je nezbytné pro určení, výkon nebo obhajobu právních nároků (čl. 9 odst. 2 f) obecného nařízení o ochraně osobních údajů):
Jestliže však Kia Sweden sdílí osobní údaje zvláštních kategorií relevantní pro určitý případ za účelem podniknutí určitých kroků v závislosti na výsledku šetření, je právním základem jejich sdílení v rámci relevantnosti podle obecného nařízení o ochraně osobních údajů skutečnost, že je toto sdílení nezbytné pro určení, výkon nebo obhajobu právních nároků.
• Zpracování je nezbytné ke zjištění, zda osoba na vedoucí pozici nebo z řad klíčového personálu v rámci skupiny Kia Europe byla zapojena do závažných nesrovnalostí, anebo pro určení, výkon nebo obhajobu právních nároků (odstavec 5(2) švédské doplňkové právní úpravy (2018:219) k obecnému nařízení o ochraně osobních údajů (švédsky: Förordning med kompletterande bestämmelser till EU:s dataskyddsförordning) a odstavec 2(4) úpravy Integritetsskyddsmyndigheten DIFS 2018:2 (švédsky: Föreskrifter om behandling av personuppgifter som rör lagöverträdelser):
Jestliže však Kia Sweden zpracovává relevantní osobní údaje týkající se (údajných) předchozích odsouzení, trestných činů a přestupků osoby na vedoucí pozici nebo z řad klíčového personálu v rámci skupiny Kia Europe, je právním základem jejich zpracovávání v rámci relevantnosti skutečnost, že je toto zpracovávání nezbytné za účelem zjištění, zda tato osoba byla zapojena do závažných nesrovnalostí či nikoliv. Jestliže však Kia Sweden sdílí relevantní osobní údaje týkající se (údajných) předchozích odsouzení, trestných činů a přestupků osoby na vedoucí pozici nebo z řad klíčového personálu v rámci skupiny Kia Europe za účelem podniknutí určitých kroků v závislosti na výsledku šetření, je právním základem jejich sdílení skutečnost, že je toto sdílení nezbytné pro určení, výkon nebo obhajobu právních nároků.
Verze z 15. prosince 2023
