Tell Me
-
Table of Contents
1. Einleitung
2. Verantwortliche(r)
3. Datenschutzbeauftragter
4. Kategorien personenbezogener Daten
5. Zweck und rechtliche Grundlage der Verarbeitung
6. Offenlegung personenbezogener Daten gegenüber Dritten
7. Internationale Übermittlung von personenbezogenen Daten
8. Datenspeicherung
9. Ihre gesetzlichen Rechte
10. Definitionen
Anhang 1 Kontaktinformationen der Verantwortlichen
Annhang 2. – Ergänzungen gemäß lokalen Gesetzen
1. Einleitung
Die vorliegende Datenschutzerklärung ( „Datenschutzerklärung“
) wird von allen in Anhang 1 aufgeführten Unternehmen der Kia-Gruppe ( „Kia Europe Group“
) herausgegeben. Der Zweck dieser Datenschutzerklärung besteht darin, Sie darüber zu informieren, wie die von gegenwärtigen oder ehemaligen Mitarbeitern der Kia EU-Gruppe, einschließlich Führungskräften, Vorstandsmitgliedern, Zeitarbeitskräften, Auslandskoordinatoren, Praktikanten sowie Personen, die unter der Aufsicht und Leitung von Auftragnehmern, Unterauftragnehmern und Lieferanten der Kia Europe Group arbeiten ( „meldende Personen“
), auf der Meldeplattform Kia Compliance: Tell Me ( „Tell-Me-Plattform“
) eingereichten personenbezogenen Daten vom zuständigen Unternehmen der Kia Europe Group weiterverarbeitet werden. Die Ergänzungen gemäß lokalen Gesetzen sind Anhang 2 dieser Datenschutzerklärung zu entnehmen.
Die Tell-Me-Plattform bietet den meldenden Personen einen eigenen Kommunikationskanal zur Meldung von Verstößen gegen externe Gesetze und Vorschriften sowie von Verletzungen gegen interne Regelungen, die für das betreffende Unternehmen der Kia Europe Group gelten (z. B. Kia EU Compliance & Integrity Code
). Weitere Informationen zur Tell-Me-Plattform sowie dazu, wann und wie Sie Ihre Meldungen einreichen können, finden Sie in Kia Compliance: Tell Me Policy
.
2. Verantwortliche(r)
Wenn sich der gemeldete Vorfall nur auf die Kia Europe GmbH ( „Kia EU“
) bezieht, gilt Kia EU als der alleinige und unabhängige Verantwortliche für die personenbezogenen Daten, die bei Erhalt, der Analyse und der Verarbeitung der über die Tell-Me-Plattform eingereichten Meldungen verarbeitet werden ( „relevante personenbezogene Daten“
).
Wenn sich die Meldung auf ein anderes Unternehmen der Kia Europe Group ( „Unternehmen der Kia-Gruppe“
) bezieht, arbeiten Kia EU und das betreffende Unternehmen der Kia-Gruppe bei der Bewertung und Untersuchung des Falls eng zusammen (Details zur Verarbeitung sind der Kia Compliance: Tell Me Policy
zu entnehmen). In einem solchen Fall legen Kia EU und das betreffende Unternehmen der Kia-Gruppe als gemeinsame Verantwortliche
demnach zusammen den Zweck und die Art der Verarbeitung der betreffenden personenbezogenen Daten fest.
In diesem Zusammenhang wurden die jeweiligen Verantwortlichkeiten zur Einhaltung der Verpflichtungen gemäß der DSGVO wie folgt festgelegt:
(a) Für den Fall, dass Sie Ihre gesetzlichen Rechte gemäß Abschnitt 9 dieser Datenschutzerklärung ausüben, obliegt es dem betreffenden Unternehmen der Kia-Gruppe, Ihnen diese Rechte zu gewähren. Kia EU unterstützt das betreffende Unternehmen der Kia-Gruppe jedoch unverzüglich in der angemessenen und erforderlichen Form, damit das betreffende Unternehmen der Kia-Gruppe Ihrer Anfrage in Übereinstimmung mit der DSGVO nachkommen kann.
(b) Das betreffende Unternehmen der Kia-Gruppe und Kia EU kommen ihren Verpflichtungen gemäß Art. 13 und Art. 14 der DSGVO nach und stelle Ihnen alle relevanten Informationen zur Verarbeitung personenbezogener Daten wie folgt zur Verfügung: (i) Beide veröffentlichen diese Datenschutzerklärung in ihren jeweiligen Intranet-Systemen; (ii) Kia EU stellt sicher, dass diese Datenschutzerklärung auf der Tell-Me-Plattform bereitgestellt wird; (iii) wenn und soweit zutreffend, stellt das betreffende Unternehmen der Kia-Gruppe Ihnen relevante Informationen gemäß Art. 14 der DSGVO zur Verfügung.
(c) Ungeachtet der oben stehenden Abschnitte 2 (a) und (b) erkennen das betreffende Unternehmen der Kia-Gruppe und Kia EU an, dass Sie Ihre Rechte nach der DSGVO gegenüber beiden in ihrer Funktion als gemeinsame Verantwortliche ausüben können. Bitte beachten Sie jedoch, dass Ihre Anfrage in der Regel vom betreffenden Unternehmen der Kia-Gruppe bearbeitet wird.
Die Kontaktinformationen des jeweiligen Unternehmens der Kia Europe Group sind Anhang 1 zu entnehmen.
3. Datenschutzbeauftragter
Bei Fragen zu oder in Zusammenhang mit dieser Datenschutzerklärung wenden Sie sich entweder unter dpo@kia-europe.com
an den Datenschutzbeauftragten von Kia EU oder an den Datenschutzbeauftragten des betreffenden Unternehmens der Kia-Gruppe ( „Datenschutzbeauftragter“
). Die Kontaktinformationen des jeweiligen Datenschutzbeauftragten der Kia Europe Group sind Anhang 1 zu entnehmen.
4. Kategorien personenbezogener Daten
Im Rahmen des Betriebs der Plattform zur Meldung von Vorfällen und zur Untersuchung der gemeldeten Fälle ist es zwangsläufig erforderlich, dass personenbezogene Daten verarbeitet werden. Allerdings hat in erster Linie die meldende Person die vollständige Kontrolle darüber, was gemeldet wird.
Das hängt damit zusammen, dass es sich bei der Tell-Me-Plattform um ein offenes System handelt, bei dem die meldende Person vor der Übermittlung der Meldung keine Kategorisierung vornehmen muss. Dies betrifft die Identität
der meldenden Person,
der beschuldigten Person,
etwaiger Zeugen
und aller anderen Personen, die in der betreffenden Meldung erwähnt werden
(gemeinsam die „betroffenen Personen“
und einzeln die „betroffene Person“
).
Als meldende Person sollten Sie stets sorgfältig abwägen, ob Sie Ihre Identität offenlegen möchten. Obgleich die Identität der meldenden Person und aller anderen in der Meldung genannten Dritten streng vertraulich behandelt wird, sind Kia EU oder das betreffende Unternehmen der Kia-Gruppe unter bestimmten Umständen möglicherweise verpflichtet, die Identität der meldenden Person oder des betreffenden Dritten offenzulegen. Aus diesem Grund hat die Kia Europe Group die Plattform Kia Compliance: Tell Me eingeführt, über die meldende Personen anonym
ihre Meldungen einreichen können.
Im Dokument Kia Compliance: Tell Me Policy
finden Sie Informationen zu weiteren Kommunikationskanälen, falls Sie Ihre Identität als meldende Person offenlegen möchten.
Zu den personenbezogenen Daten zur betroffenen Person, die Kia EU und das betreffende Unternehmen der Kia-Gruppe (falls zutreffend) in Zusammenhang mit der Tell-Me-Plattform und den gemeldeten Fällen verarbeiten, zählen unter anderem (stets vorbehaltlich der Inhalte und Informationen, die die meldende Person bereitgestellt hat): Name, Geschlecht; Nationalität; Anschrift und Stadt; (Mobil-)Telefonnummer; E-Mail-Adresse; Titel (Funktion); Rolle und Position im Unternehmen; Abteilung; Verwaltungs-/Arbeitnehmernummer; Angaben zum Vorfall und Umstände; getroffene Maßnahmen; Untersuchungsberichte; sonstige Informationen zum Vorfall (z. B. Datum, Uhrzeit und Ort); Zugriffscode; Audio-Datei und IP-Adresse sowie sonstige technische Daten; Einwilligungen (d. h. Aufzeichnungen über die von der meldenden Person erteilten Einwilligungen).
Die Kia Europe Group ergreift die in der Kia Compliance: Tell Me Policy
genannten Maßnahmen, um die Anonymität der meldenden Person bestmöglich zu wahren, sofern eine Anonymisierung von dieser ausdrücklich gewünscht und dies möglich und verhältnismäßig ist. Aus diesem Grund hat die Kia Europe Group keinen Zugriff auf technische Daten, die die meldende Person identifizieren könnten (z. B. IP-Adresse, aufgezeichnete Audio-Dateien und Informationen zum Anruf).
Als meldende Person sollten Sie davon absehen, Angaben zu speziellen Kategorien personenbezogener Daten zu machen, die für den Fall nicht relevant sind. Hierzu zählen Angaben zur ethnischen Herkunft, zu politischen Ansichten, religiösen oder philosophischen Überzeugungen, Gewerkschaftszugehörigkeit und Angaben zur Gesundheit oder zum Sexualleben.
Wenn solche nicht relevanten Angaben in einer Meldung enthalten sind, werden diese von Kia EU oder dem betreffenden Unternehmen der Kia-Gruppe aus der Meldung und den zugehörigen Datensätzen gelöscht.
Gleiches gilt für personenbezogene Daten, die zur Untersuchung der gemachten Behauptungen nicht unbedingt bzw. aus objektiver Sicht nicht erforderlich sind.
5. Zweck und rechtliche Grundlage der Verarbeitung
Kia EU und das betreffende Unternehmen der Kia-Gruppe verarbeiten die relevanten personenbezogenen Daten zum Zwecke der Erstmeldung, der anschließenden Überprüfung der Meldung sowie zur Untersuchung des gemeldeten Vorfalls.
Die Aktivitäten im Zusammenhang mit der Verarbeitung basieren auf den folgenden rechtlichen Grundlagen:
• Einwilligung (Art. 6(1)(a) DSGVO):
Für die Verarbeitung relevanter personenbezogener Daten durch das betreffende Unternehmen der Kia Europe Group ist die rechtliche Grundlage die vorherige Einwilligung der meldenden Person (z. B. wenn ein Treffen zwischen dem betreffenden Unternehmen der Kia Europe Group und der meldenden Person – auf Wunsch der meldenden Person – per Videogespräch stattfindet).
• Erfüllung einer rechtlichen Verpflichtung (Art. 6(1)(c) DSGVO):
In bestimmten Gerichtsbarkeiten ist die Einführung und Bereitstellung eines Systems zur Meldung von Fehlverhalten verbindlich vorgeschrieben. Wenn ein Unternehmen der Kia Europe Group gesetzlich verpflichtet ist, ein solches System zur Meldung von Fehlverhalten einzuführen und bereitzustellen, und soweit diese Einführung und Bereitstellung die Verarbeitung relevanter personenbezogener Daten erfordert, ist die rechtliche Grundlage für diese Verarbeitung die Erfüllung einer geltenden rechtlichen Verpflichtung.
• Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt (Art. 6(1)(e) DSGVO):
Obgleich die Einführung und Bereitstellung von Systemen zur Meldung von Fehlverhalten verbindlich vorgeschrieben sein kann, besteht in bestimmten Gerichtsbarkeiten keine Verpflichtung für das betreffende Unternehmen der Kia Europe Group zur Einrichtung eines Kanals zur anonymen Meldung oder zur Überprüfung von anonym eingereichten Meldungen. In diesem Fall ist die rechtliche Grundlage für die Verarbeitung der relevanten personenbezogenen Daten die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt.
• Wahrung berechtigter Interessen (Art. 6(1)(f) DSGVO):
Wenn die Verarbeitung der relevanten personenbezogenen Daten nicht aufgrund rechtlicher Verpflichtungen erforderlich ist, basiert die Verarbeitung der relevanten personenbezogenen Daten durch das betreffende Unternehmen der Kia Europe Group auf berechtigten Interessen. Zu diesen berechtigten Interessen zählen die Überwachung der Einhaltung geltender Gesetze und Vorschriften oder sonstiger interner Reglungen (z. B. des Kia Compliance & Integrity Code) sowie die Erkennung und Vermeidung von Fehlverhalten und Verstößen. Das betreffende Unternehmen der Kia Europe Group entscheidet stets von Fall zu Fall, ob die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person die eigenen Interessen überwiegen.
Wie oben erwähnt, dürfen die über die Tell-Me-Plattform eingereichten Meldungen keine Kategorien personenbezogener Daten umfassen, die für die Meldung irrelevant sind. Solche Daten werden entsprechend gelöscht.
Wenn und soweit solche Daten jedoch für den Fall von Relevanz sein sollten, ist die anwendbare rechtliche Grundlage für die Verarbeitung solcher Daten entweder Art. 9(2)(f) DSGVO) (d. h. die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich) oder Art. 9(2)(g) DSGVO (d. h. die Verarbeitung ist aus Gründen eines erheblichen öffentlichen Interesses auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats erforderlich).
6. Offenlegung personenbezogener Daten gegenüber Dritten
Kia EU und das betreffende Unternehmen der Kia-Gruppe behandeln die relevanten personenbezogenen Daten mit höchster Vertraulichkeit.
Die Daten werden nur zu den oben genannten Zwecken der Verarbeitung und stets unter Einhaltung geltender Gesetze offengelegt. Zu den möglichen Empfängern der relevanten personenbezogenen Daten zählen die folgenden Unternehmen, Institutionen oder Personen:
• Dienstleister:
Dies umfasst People Intouch B.V. (und zugelassene Unterauftragsverarbeiter) als Betreiber der Tell-Me-Plattform. Der eingetragene Hauptsitz von People Intouch B.V. befindet sich in Olympisch Stadion 6, 1076 DE Amsterdam, Niederlande.
• People Intouch B.V. verarbeitet die relevanten personenbezogenen Daten in der Funktion als Auftragsverarbeiter von Kia EU und ausschließlich nach den Vorgaben von Kia EU. Zu diesem Zweck haben Kia EU und People Intouch B.V. eine Vereinbarung über die Datenverarbeitung geschlossen.
• Rechtsberater:
In bestimmten Fällen kann Kia EU oder das betreffende Unternehmen der Kia-Gruppe die Daten zur Wahrung seiner Interessen oder zur Ausübung seiner Rechte an seine Rechtsberater weitergeben. Die Rechtsberater verarbeiten diese Daten in der Funktion als unabhängige Verantwortliche.
• Gerichte und Aufsichtsbehörden:
Kia EU oder das betreffende Unternehmen der Kia-Gruppe kann die Daten gegenüber Gerichten oder Aufsichtsbehörden offenlegen, sofern dies gesetzlich vorgeschrieben oder im Rahmen von Gerichtsverfahren, gerichtlichen Anordnungen, Anfragen von Aufsichtsbehörden bzw. zur Wahrung eigener Interessen und zur Ausübung eigener Rechte erforderlich ist.
• Die betreffenden Gerichte oder Aufsichtsbehörden verarbeiten diese Daten in der Funktion als unabhängige Verantwortliche.
• Andere Dritte:
Kia EU oder das betreffende Unternehmen der Kia-Gruppe kann die Daten auch gegenüber anderen Dritten offenlegen (z. B. der beschuldigten Person oder externen Mitgliedern von Aufsichtsgremien), jedoch nur, wenn dies gesetzlich vorgeschrieben ist. Derartige Dritte verarbeiten diese Dateien in der Funktion als unabhängige Verantwortliche.
7. Internationale Übermittlung von personenbezogenen Daten
Zum Zweck der Verarbeitung der relevanten personenbezogenen Daten gemäß der vorliegenden Datenschutzerklärung kann es erforderlich sein, dass Kia EU oder das betreffende Unternehmen der Kia-Gruppe die relevanten personenbezogenen Daten an andere Dritte, wie in Abschnitt 6 aufgeführt, übermittelt. Allerdings werden die relevanten personenbezogenen Daten in der Regel nicht an Empfänger in Ländern übermittelt, die nicht Mitglied des Europäischen Wirtschaftsraums (EWG) sind oder für die die Europäische Kommission keinen Angemessenheitsbeschluss erlassen hat, nach dem das betreffende Land ein angemessenes Schutzniveau bietet. Wenn relevante personenbezogene Daten zu irgendeinem Zeitpunkt an Empfänger in einem Land übermittelt werden sollen, das nicht in die oben aufgeführten Kategorien fällt, unterliegt eine solche Übermittlung stets angemessenen Sicherheitsvorkehrungen in Übereinstimmung mit der DSGVO.
8. Datenspeicherung
Kia EU und das betreffende Unternehmen der Kia-Gruppe verarbeiten die relevanten personenbezogenen Daten nur für die in dieser Datenschutzerklärung beschriebenen Zwecke sowie nach Maßgabe des geltenden Rechts.
Bei der Festlegung der Aufbewahrungsfristen berücksichtigen Kia EU und das betreffende Unternehmen der Kia-Gruppe die Zwecke für die Verarbeitung relevanter personenbezogener Daten und ob diese Zwecke auch ohne die Daten erreichbar sind, die Kategorien der relevanten Daten, die Risiken im Fall einer Datenschutzverletzung und die gesetzlichen Verpflichtungen, die für Kia EU und das betreffende Unternehmen der Kia-Gruppe im Zusammenhang mit der Datenspeicherung gelten.
Für die Speicherung relevanter personenbezogener Daten bedeutet dies in der Regel:
• Personenbezogene Daten, die für den Fall nicht relevant sind, werden unverzüglich gelöscht oder anonymisiert.
• Die relevanten personenbezogenen Daten in der Dokumentation zu der betreffenden Angelegenheit werden so lange aufbewahrt, wie es für die Bearbeitung der Meldung und die Untersuchung (falls zutreffend) erforderlich ist. Spätestens drei Jahre nach Abschluss der Bearbeitung und/oder Untersuchung (falls zutreffend) werden die Daten gelöscht oder anonymisiert, sofern keine Gerichtsverfahren oder Disziplinarmaßnahmen eingeleitet wurden, die eine längere Speicherung der relevanten personenbezogenen Daten erforderlich machen, oder nach geltendem Recht eine andere Aufbewahrungsfrist vorgeschrieben ist, stets unter der Voraussetzung, dass diese Aufbewahrung erforderlich und angemessen ist.
9. Ihre gesetzlichen Rechte
Wenn Kia EU oder das betreffende Unternehmen der Kia-Gruppe Ihre personenbezogenen Daten auf der Basis Ihrer Einwilligung verarbeitet, haben Sie das Recht, diese Einwilligung jederzeit zu widerrufen (Art. 7(3) DSGVO).
Wenn Sie Fragen zur Verarbeitung Ihrer personenbezogenen Daten durch Kia EU oder das betreffende Unternehmen der Kia-Gruppe haben, erteilt Ihnen Kia EU bzw. das betreffende Unternehmen der Kia-Gruppe gern Auskunft über Ihre personenbezogenen Daten und deren Verarbeitung (Art. 15 DSGVO). Vorbehaltlich der gesetzlichen Voraussetzungen haben Sie außerdem Anspruch auf: (a) Recht auf Berichtigung Ihrer personenbezogenen Daten (Art. 16 DSGVO); (b) Recht auf Löschung Ihrer personenbezogenen Daten (Art. 17 DSGVO); und (c) Recht auf Einschränkung der Verarbeitung Ihrer personenbezogenen Daten (Art. 18 DSGVO).
Darüber hinaus haben Sie auch das Recht auf Datenübertragbarkeit (Art. 20 DSGVO) sowie das Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO).
Ihr Widerspruchsrecht: Wenn Kia EU oder das betreffende Unternehmen der Kia-Gruppe Ihre personenbezogenen Daten auf der Grundlage von Art. 6(1)(f) DSGVO verarbeitet, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung einzulegen, aus Gründen, die sich aus Ihrer besonderen Situation ergeben (Art. 21(1) DSGVO).
Wenn Kia EU und das betreffende Unternehmen der Kia-Gruppe Ihre personenbezogenen Daten als gemeinsame Verantwortliche verarbeiten, finden Sie in Abschnitt 2(a)–(c) weitere Informationen dazu, welches Unternehmen Ihre Anfrage beantworten wird.
10. Definitionen
Als „Verantwortlicher“
wird die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle bezeichnet, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
„DSGVO“
bedeutet (i) im Hinblick auf Kia UK LTD als Verantwortlicher die britische Datenschutzverordnung, die durch den Data Protection Act 2018 (UK GDPR) umgesetzt wurde; und (ii) im Hinblick auf alle anderen in Anhang 1 aufgeführten Unternehmen der Kia Europe Group die Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung).
„Personenbezogene Daten“
sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
„Verarbeitung“/„verarbeiten“
umfasst jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Ein „Auftragsverarbeiter“
ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Anhang 1 – Kontaktinformationen der Verantwortlichen
| Relevante Kia-Unternehmensgruppen | Kontaktdaten | Kontaktdaten des Datenschutzbeauftragten |
|---|---|---|
| Kia Europe GmbH (Kia EU) | Theodor-Heuss-Allee 11, 60486 Frankfurt, Deutschland E-Mail: info@kia-europe.com |
dpo@kia-europe.com |
| Kia Nederland B.V. | De Corridor 25, 3621 ZA Breukelen, Niederlande E-Mail: info@kia.nl |
info@kia.nl |
| Kia Austria GmbH | Sverigestrasse 5, 1220 Wien, Österreich E-Mail: office@kia.at |
datenschutz@kia.at |
| Kia Belgium N.V. | Ikaroslaan 33, 1930 Zaventem, Belgien E-Mail: info@kia.be |
privacy@kia.be |
| Kia France SAS | 2 rue des Martinets, Rueil-Malmaison 92560, Frankreich E-Mail: relation.clientele@kia.fr |
dpo@kia.fr |
| Kia Sales Slovakia s.r.o. | Einsteinova 19, Bratislava 851 01, Slowakei E-Mail: info@kmss.sk |
dpo@kiasales.sk |
| Kia Iberia S.L.U. | Calle de Anabel Segura, 16 Edificio Vega Norte, Planta 2, 28108 Alcobendas, Madrid, Spanien E-Mail: contacto@kia.es |
consultalopd@kia.es |
| Kia Deutschland GmbH | Theodor-Heuss-Allee 11, 60486 Frankfurt, Deutschland E-Mail: info@kia.de |
datenschutz@kia.de |
| Kia Sweden AB | Kanalvägen 10A, 194 61 Upplands Väsby, Schweden E-Mail: info@kia.se |
d.elander@kia.se |
| Kia Polska SP. Z.O.O. | Pulawska 366, 02-819 Warschau, Polen E-Mail: infolinia@kiapolska.pl |
iod@kiapolska.com.pl |
| Kia Czech s.r.o. | Jihlavská 1558/21, Michle 140 00, Prag 4, Tschechische Republik E-Mail: kia-info@kia.cz |
gdpr@kia.cz |
| Kia Hungary Kft. | 1117 Budapest, Budafoki út 56, Ungarn E-Mail: info@kiahungary.hu |
adatvedelem@kiahungary.hu |
| Kia UK LTD | Walton Green, Walton-On-Thames, Surrey, KT12 1FJ, Vereinigtes Königreich E-Mail: dpo@kia.co.uk |
dpo@kia.co.uk |
| Kia Ireland | Unit A8 Calmount Park, Calmount Road, Dublin, D12 X266, Irland E-Mail: admin@kiaireland.ie |
dpo@kia.co.uk |
| Kia Italia S.r.l | Via Gallarate 184, 20151 Mailand, Italien E-Mail: infokia@kia.it |
dpo@kia.it |
| Kia Connect GmbH | Theodor-Heuss-Allee 11, 60486 Frankfurt, Deutschland E-Mail: info@kia-connect.eu |
dpo@kia-connect.eu |
Es gelten die folgenden Ergänzungen gemäß lokalen Gesetzen:
ÖSTERREICH
Die EU-Richtlinie zum Schutz von Hinweisgebern wurde in Österreich durch das österreichische Hinweisgeberschutzgesetz (HSchG) in nationales Recht umgesetzt.
In Fällen, in denen Hinweise auf Rechtsverstöße in den Geltungsbereich des HSchG fallen („Geltungsbereich“), erfolgt die Verarbeitung dieser Informationen zum Zwecke der Vorbeugung und Verhinderung möglicher Rechtsverstöße in Erfüllung einer gesetzlichen Verpflichtung (Art. 6 (1) c) DSGVO in Verbindung mit §§ 2 ff. HSchG).
BELGIEN
Gemäß dem belgischen Gesetz zum Schutz von Hinweisgebern vom 28. November 2022 („Belgian Whistleblowing Protection Act“) zur Umsetzung der Richtlinie (EU) 2019/1937 gelten folgende Änderungen:
Der folgende Absatz wird Abschnitt 8 (Datenspeicherung) als letzter Absatz angefügt:
Insbesondere werden gemäß dem belgischen Gesetz zum Schutz von Hinweisgebern der Name, die Position und die Kontaktdaten der meldenden Person und aller Personen, denen Schutz und Unterstützung gewährt wird, sowie die Daten der betroffenen Person, gegebenenfalls einschließlich ihrer Dienstnummer, so lange aufbewahrt, bis der gemeldete Verstoß gemäß geltendem Recht verjährt ist.
Kia Belgium führt ein Verzeichnis mit allen gemeldeten Fällen unter strikter Wahrung der Vertraulichkeitspflichten gemäß Abschnitt 11 der Kia Compliance: Tell Me Policy. Ungeachtet der vorstehenden Bestimmungen werden die Meldungen gegebenenfalls für die Dauer des Vertragsverhältnisses zwischen Kia Belgium und den meldenden Personen aufbewahrt.
ITALIEN
Abschnitt 4 wird wie folgt ersetzt:
Für den Betrieb einer Plattform zur Meldung von Vorfällen und zur Untersuchung gemeldeter Fälle ist es zwangsläufig erforderlich, dass personenbezogene Daten verarbeitet werden. Allerdings hat in erster Linie die meldende Person die vollständige Kontrolle darüber, was gemeldet wird. Das hängt damit zusammen, dass es sich bei der Tell-Me-Plattform um ein offenes System handelt, bei dem die meldende Person vor der Übermittlung der Meldung keine Kategorisierung vornehmen muss. Dies betrifft auch die Identität der meldenden Person, der beschuldigten Person, etwaiger Zeugen und anderer Personen, die in der betreffenden Meldung erwähnt werden (gemeinsam die „betroffenen Personen“ und einzeln die „betroffene Person“).
Als meldende Person sollten Sie stets sorgfältig abwägen, ob Sie Ihre Identität offenlegen möchten. Obgleich die Identität der meldenden Person und aller anderen in der Meldung genannten Dritten streng vertraulich behandelt wird, sind Kia EU oder das betreffende Unternehmen der Kia-Gruppe unter bestimmten Umständen ggf. verpflichtet, die Identität der meldenden Person oder des betreffenden Dritten offenzulegen.
Aus diesem Grund hat die Kia Europe Group die Plattform Kia Compliance: Tell Me eingeführt, über die meldende Personen ihre Meldungen anonym einreichen können.
Im Dokument Kia Compliance: Tell Me Policy finden Sie Informationen zu weiteren Kommunikationskanälen, falls Sie Ihre Identität als meldende Person offenlegen möchten.
Im Rahmen der Tell-Me-Plattform und der Bearbeitung der betreffenden Meldungen können Kia EU und das betreffende Unternehmen der Kia-Gruppe (soweit zutreffend) jegliche Art personenbezogener Daten verarbeiten.
Neben den Daten zur Identifikation und Kontaktaufnahme (deren Verarbeitung für die Bearbeitung der Meldung erforderlich ist), dürfen sämtliche in der Meldung enthaltenen Informationen verarbeitet werden.
Kia EU und das zuständige Unternehmen der Kia-Gruppe (soweit zutreffend) verarbeiten personenbezogene Daten gemäß Artikel 9 DSGVO (besondere Kategorien personenbezogener Daten) oder personenbezogene Daten gemäß Artikel 10 DSGVO (personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln), die ggf. in der Meldung und/oder in den der Meldung beigefügten Akten und Dokumenten enthalten sind, ggf. unabhängig von ihrem eigenen Willen.
Diese Daten werden ausschließlich zum Zweck der Bearbeitung der Meldung unter Berücksichtigung des Verhältnismäßigkeits- und Notwendigkeitsprinzips verwendet. Sollte die Meldung irrelevante Daten oder Daten enthalten, die zur Untersuchung der Angelegenheit nicht unbedingt bzw. aus objektiver Sicht nicht erforderlich sind, werden Kia EU und das betreffende Unternehmen der Kia-Gruppe diese Daten aus der Meldung und den entsprechenden Datensätzen löschen.
Die Kia Europe Group ergreift die in der Kia Compliance: Tell Me Policy genannten Maßnahmen, um die Anonymität der meldenden Person bestmöglich zu wahren, sofern eine Anonymisierung von dieser ausdrücklich gewünscht und dies möglich und verhältnismäßig ist.
Aus diesem Grund hat die Kia Europe Group keinen Zugriff auf technische Daten, die die meldende Person identifizieren könnten (z. B. IP-Adresse, aufgezeichnete Audio-Dateien und Anrufinformationen).
Abschnitt 5 wird wie folgt geändert:
• Die Rechtsgrundlage „Wahrnehmung einer Aufgabe […], die im öffentlichen Interesse liegt (Art. 6 (1) e) DSGVO)“
findet in Italien keine Anwendung.
• Wahrung der berechtigten Interessen (Art. 6 (1) f) DSGVO):
Wenn die Verarbeitung der relevanten personenbezogenen Daten nicht aufgrund rechtlicher Verpflichtungen erforderlich ist, basiert die Verarbeitung der relevanten personenbezogenen Daten durch das betreffende Unternehmen der Kia Europe Group auf berechtigten Interessen, die in der Wahrung seiner vertraglichen und vorvertraglichen Rechte bestehen oder sich im Einzelfall aus bestehenden Beziehungen ergeben. Das betreffende Unternehmen der Kia Europe Group entscheidet stets von Fall zu Fall, ob die Interessen bzw. die Grundrechte und Grundfreiheiten der betroffenen Person die eigenen Interessen überwiegen.
Wie oben erläutert, sollten die über die Tell-Me-Plattform eingereichten Meldungen keine Kategorien personenbezogener Daten (ex-Artikel 9 DSGVO) umfassen, die für die Meldung irrelevant sind. Solche Daten werden entsprechend gelöscht.
Wenn und soweit solche Daten jedoch für den Fall von Relevanz sein sollten, ist die Rechtsgrundlage für die Verarbeitung solcher Daten Art. 9 (2) b) DSGVO (d. h. die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist) oder Art. 9 (2) f) DSGVO (d. h. die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich).
Abschnitt 6 wird wie folgt geändert:
• Andere:
Kia EU oder das betreffende Unternehmen der Kia-Gruppe sind berechtigt, die Daten auch gegenüber anderen Dritten offenzulegen (z. B. externen Mitgliedern von Aufsichtsgremien, unterstützenden Stellen zur Meldungsbearbeitung, Beratungs- oder Consultingfirmen, Sachverständigen sowie anderen Stellen, die in welcher Eigenschaft auch immer mit Kia zusammenarbeiten). Dies gilt jedoch nur, wenn dies gesetzlich vorgeschrieben oder zur Erfüllung der in dieser Richtlinie beschriebenen Zwecke erforderlich ist.
Abschnitt 9 wird wie folgt geändert:
Wenn Sie Fragen zur Verarbeitung Ihrer personenbezogenen Daten durch Kia EU oder das betreffende Unternehmen der Kia-Gruppe haben, erteilt Ihnen Kia EU bzw. das betreffende Unternehmen der Kia-Gruppe gerne Auskunft über Ihre personenbezogenen Daten und deren Verarbeitung (Art. 15 DSGVO). Vorbehaltlich der Einhaltung gesetzlicher Bestimmungen haben Sie außerdem das Recht auf: (a) Berichtigung Ihrer personenbezogenen Daten (Art. 16 DSGVO); (b) Löschung Ihrer personenbezogenen Daten (Art. 17 DSGVO) und (c) Einschränkung der Verarbeitung Ihrer personenbezogenen Daten (Art. 18 DSGVO). Darüber hinaus haben Sie auch das Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO).
Abschnitt 10 wird wie folgt geändert:
Als „verantwortliche Person“ gilt eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Folgender Abschnitt wird hinzugefügt:
Gemäß Artikel 14 (2) f) DSGVO werden personenbezogene Daten entweder direkt bei den betroffenen Personen oder bei Dritten erhoben – je nachdem, ob
• die Daten den Hinweisgeber betreffen. In diesem Fall werden die Daten direkt bei der betroffenen Person erhoben, die ihre Daten durch Einreichung der Meldung übermittelt.
• die Daten andere Personen betreffen (z. B. die beschuldigte Person, Zeugen oder andere Personen, die in der Meldung erwähnt werden). In diesem Fall werden die Daten bei Dritten erhoben, d. h. bei der Person, die die Meldung einreicht.
SPANIEN
Kia Iberia S.L.U. (KES) übernimmt die erforderliche Verarbeitung für die Bearbeitung interner Beschwerden, die über den von KES in ihrer Funktion als Datenverantwortliche eingerichteten lokalen Kanal (KES-Kanal) eingereicht werden. Die Datenschutzrichtlinie dieses lokalen internen Beschwerdekanals finden Sie in Anhang 2B.
Abschnitt 8 (Datenspeicherung) wird um den folgenden Zusatz ergänzt:
Sofern keine Untersuchung eingeleitet wird, sind Meldungen aus Spanien gemäß den gesetzlichen Bestimmungen nach Ablauf von drei (3) Monaten nach Eingang der Meldung zu löschen, es sei denn, die Aufbewahrung dient dem Nachweis des Systembetriebs. Meldungen, zu denen keine Folgemaßnahmen ergriffen werden, dürfen nur in anonymisierter Form aufbewahrt werden.
SCHWEDEN
Der folgende Absatz wird als letzter Absatz zu Abschnitt 1 (Einleitung) hinzugefügt:
Zusätzlich zu der in dieser Datenschutzerklärung beschriebenen Verarbeitung relevanter personenbezogener Daten verarbeitet Kia Sweden AB („Kia Sweden“) personenbezogene Daten in Zusammenhang mit der Verwaltung des durch Kia Sweden lokal eingerichteten Meldewegs („schwedischer Meldeweg“
).
Informationen über die Verarbeitung personenbezogener Daten durch Kia Sweden über den schwedischen Kanal finden Sie in Anhang 2A.
Abschnitt 5 (Zwecke und Rechtsgrundlage der Verarbeitung) wird wie folgt ersetzt:
Kia EU und Kia Sweden verarbeiten die relevanten personenbezogenen Daten zum Zwecke der Erstmeldung, zur anschließenden Überprüfung der Meldung sowie zur Untersuchung des gemeldeten Vorfalls.
Die Aktivitäten im Zusammenhang mit der Verarbeitung basieren für Kia EU auf den folgenden rechtlichen Grundlagen:
• Einwilligung (Art. 6 (1) a) DSGVO):
Für die Verarbeitung relevanter personenbezogener Daten durch Kia EU ist die Rechtsgrundlage die vorherige Einwilligung der meldenden Person (z. B. wenn auf Wunsch der meldenden Person ein Treffen zwischen Kia EU und der meldenden Person per Videogespräch stattfindet).
• Erfüllung einer rechtlichen Verpflichtung (Art. 6 (1) (c) DSGVO)
: Sofern Kia EU gesetzlich verpflichtet ist, ein System zur Meldung von Fehlverhalten einzuführen und bereitzustellen, und soweit für die Bereitstellung eines solchen Systems die Verarbeitung relevanter personenbezogener Daten erforderlich ist, ist die Rechtsgrundlage für diese Verarbeitung die Erfüllung einer geltenden rechtlichen Verpflichtung. In bestimmten Gerichtsbarkeiten ist die Einführung und Bereitstellung eines Systems zur Meldung von Fehlverhalten verbindlich vorgeschrieben.
• Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt (Art. 6 (1) e) DSGVO):
Obgleich die Einführung und Bereitstellung von Systemen zur Meldung von Fehlverhalten in bestimmten Gerichtsbarkeiten verbindlich vorgeschrieben sein kann, besteht für Kia EU keine Verpflichtung zur Einrichtung eines Kanals zur anonymen Meldung oder zur Überprüfung von anonym eingereichten Meldungen. In diesem Fall ist die Rechtsgrundlage für die Verarbeitung der relevanten personenbezogenen Daten die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt.
• Wahrung der berechtigten Interessen (Art. 6 (1) f) DSGVO):
Wenn die Verarbeitung der relevanten personenbezogenen Daten nicht zur Einhaltung gesetzlicher Verpflichtungen erforderlich ist, basiert die Verarbeitung der relevanten personenbezogenen Daten durch Kia EU auf berechtigten Interessen. Zu diesen berechtigten Interessen zählen die Überwachung der Einhaltung geltender Gesetze und Vorschriften oder sonstiger interner Regelungen (z. B. des Kia EU Compliance & Integrity Code) sowie die Erkennung und Vermeidung von Fehlverhalten und Verstößen. Kia EU entscheidet stets von Fall zu Fall, ob die Interessen bzw. die Grundrechte und Grundfreiheiten der betroffenen Person die eigenen Interessen überwiegen.
Wie oben erwähnt, dürfen die über die Tell-Me-Plattform eingereichten Meldungen keine Kategorien personenbezogener Daten (ex-Artikel 9 DSGVO) umfassen, die für die Meldung irrelevant sind. Solche Daten werden entsprechend gelöscht. Wenn und soweit solche Daten jedoch für den Fall von Relevanz sein sollten, ist die anwendbare Rechtsgrundlage für die Verarbeitung solcher Daten entweder Art. 9 (2) f) DSGVO (d. h. die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich) oder Art. 9 (2) g) DSGVO (d. h. die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedsstaats aus Gründen eines erheblichen öffentlichen Interesses erforderlich).
Die Aktivitäten von Kia Sweden im Zusammenhang mit der Verarbeitung basieren auf den folgenden Rechtsgrundlagen:
• Wahrung der berechtigten Interessen (Art. 6 (1) f) DSGVO):
Die Rechtsgru>ndlage gemäß DSGVO für die Verarbeitung der relevanten personenbezogenen Daten durch Kia Sweden beruht auf dem berechtigten Interesse von Kia Sweden, die Einhaltung geltender Gesetze und Vorschriften oder sonstiger interner Regelungen (z. B. des Kia EU Compliance & Integrity Code) zu überwachen sowie Fehlverhalten und Verstöße zu erkennen und zu vermeiden. Bei der Weitergabe solcher relevanten personenbezogenen Daten an Dritte besteht das berechtigte Interesse von Kia Sweden darin, das gemeldete Fehlverhalten zu untersuchen oder Maßnahmen in Bezug auf das Ergebnis einer Untersuchung zu ergreifen.
• Die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann (Art. 9 (2) b) DSGVO)
: Wenn und soweit Kia Sweden besondere Kategorien relevanter personenbezogener Daten verarbeitet, die für den Fall von Relevanz und zur Entgegennahme und Untersuchung einer Meldung erforderlich sind, besteht die Rechtsgrundlage gemäß DSGVO für die Verarbeitung durch Kia Sweden darin, dass die Verarbeitung erforderlich ist, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann.
• Die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich (Art. 9 (2) f) DSGVO)
: Wenn und soweit Kia Sweden besondere Kategorien relevanter personenbezogener Daten weitergibt, um Maßnahmen in Bezug auf das Ergebnis einer Untersuchung zu ergreifen, besteht die Rechtsgrundlage gemäß DSGVO für die Weitergabe relevanter personenbezogener Daten durch Kia Sweden darin, dass die Weitergabe zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.
• Die Verarbeitung ist für die Untersuchung der Frage erforderlich, ob eine Person, die innerhalb der Kia Europe Group eine Führungsposition innehat oder als zentrale Figur gilt, in schwerwiegende Unregelmäßigkeiten verwickelt war, oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Absatz 5 (2) der schwedischen Zusatzverordnung (2018:219) zur DSGVO) (Schwedisch: Förordning med kompletterande bestämmelser till EU:s dataskyddsförordning) und Absatz 2 (4) der Verordnung DIFS 2018:2 (Schwedisch: Föreskrifter om behandling av personuppgifter som rör lagöverträdelser) der schwedischen Datenschutzbehörde Integritetsskyddsmyndigheten:
Wenn und soweit Kia Sweden relevante personenbezogene Daten im Zusammenhang mit (mutmaßlichen) strafrechtliche Verurteilungen und Straftaten einer Person verarbeitet, die innerhalb der Kia Europe Group eine Führungsposition innehat oder als zentrale Figur gilt, besteht die Rechtsgrundlage für die Verarbeitung durch Kia Sweden darin, dass die Verarbeitung für die Untersuchung der Frage erforderlich ist, ob diese Person in schwerwiegende Unregelmäßigkeiten verwickelt war. Wenn und soweit Kia Sweden relevante personenbezogene Daten im Zusammenhang mit (mutmaßlichen) strafrechtlichen Verurteilungen und Straftaten einer Person, die innerhalb der Kia Europe Group eine Führungsposition innehat oder als zentrale Figur gilt, weitergibt, um Maßnahmen in Bezug auf das Ergebnis einer Untersuchung zu ergreifen, besteht die Rechtsgrundlage für die Weitergabe der relevanten personenbezogenen Daten durch Kia Sweden darin, dass diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.
Version vom 15. Dezember 2023
