Tell Me Privacy
-
Indice
1. Introduzione
2. Titolare(i) del trattamento
3. Responsabile della Protezione dei Dati
4. Categorie di Dati Personali
5. Finalità e Base Giuridica del Trattamento
6. Divulgazione dei Dati Personali a Terzi
7. Trasferimento Internazionale dei Dati Personali
8. Conservazione dei Dati
9. I Tuoi Diritti Legali
10. Definizioni
Allegato 1 Dettagli dei Titolari del Trattamento
Allegato 2 Modifiche alle Leggi Locali
1. Introduzione
La presente informativa sulla privacy ("Informativa sulla privacy"
) viene emanata da ciascuna delle entità del gruppo Kia elencata nell'allegato 1 qui di seguito ("Gruppo Kia Europa"
). Lo scopo della presente informativa sulla privacy è quello di informarvi sulle modalità con cui i vostri dati personali vengono trattati dalla corrispondente entità del Gruppo Kia Europa in merito alla gestione delle segnalazioni presentate dai dipendenti o dagli ex dipendenti del Gruppo Kia Europa, compresi i manager, i membri del Consiglio di amministrazione, i lavoratori interinali, i coordinatori espatriati, i tirocinanti, nonché le persone che lavorano sotto la supervisione e la direzione di appaltatori, subappaltatori e fornitori del Gruppo Kia Europa (i “segnalatori”
) sulla piattaforma per la segnalazione di comportamenti illeciti Kia Compliance: Tell Me (la "piattaforma Tell Me"
). Siete pregati di consultare l'allegato 2 per le modifiche della presente informativa sulla privacy ai sensi della normativa locale.
La piattaforma Tell Me offre ai segnalatori un canale di comunicazione dedicato alla segnalazione delle violazioni di leggi e statuti esterni e delle infrazioni di regolamenti interni (ad es. il Kia EU Compliance & Integrity Code
), nella misura applicabile all'entità competente del Gruppo Kia Europa. Per ulteriori informazioni sulla piattaforma Tell Me e su quando e come effettuare una segnalazione, siete pregati di consultare l’informativa Kia Compliance: Tell Me Policy
.
2. Titolare(i) del trattamento
Se il caso o l’incidente segnalato riguarda soltanto Kia Europe GmbH ("Kia EU"
), allora Kia EU è l’unico ed indipendente titolare dei dati personali trattati in correlazione alla ricezione, all’analisi e all’elaborazione delle segnalazioni effettuate sulla piattaforma Tell Me (i "Dati personali pertinenti"
).
Se la segnalazione riguarda una faccenda pertinente ad un’altra entità del Gruppo Kia Europa ("Entità Kia competente"
), Kia EU e l’entità Kia competente collaboreranno strettamente, valutando ed indagando sul caso segnalato (i dettagli relativi alla procedura di gestione dei casi vengono forniti nell’informativa Kia Compliance: Tell Me Policy
). Pertanto, in tal caso, Kia EU e l’entità Kia competente determineranno assieme gli scopi e le modalità di trattamento dei dati personali pertinenti, in qualità di cosiddetti contitolari del trattamento.
A tal fine, hanno stabilito le rispettive responsabilità in materia di compliance agli obblighi derivanti dal GDPR come segue:
(a) Qualora esercitiate i vostri diritti legali ai sensi del paragrafo 9 della presente informativa sulla privacy, sarà l’entità Kia competente ad avere la responsabilità di tenere conto di tali diritti. Tuttavia, Kia EU fornirà tempestivamente l’adeguata e necessaria assistenza all’entità Kia competente, affinché quest’ultima possa ottemperare alla vostra richiesta in conformità al GDPR;
(b) L’entità Kia competente e Kia EU rispetteranno il loro obbligo di fornirvi le informazioni riguardanti il trattamento dei dati personali pertinenti ai sensi dell’art. 13 e dell’art. 14 del GDPR come segue: (i) entrambe pubblicheranno la presente informativa sulla privacy sui loro sistemi intranet; (ii) Kia EU si assicurerà che la presente informativa sulla privacy venga riportata sulla piattaforma Tell Me; e (iii) se e nella misura in cui sia applicabile, l’entità Kia competente vi fornirà le informazioni pertinenti ai sensi dell’art. 14 del GDPR.
(c) Indipendentemente dai paragrafi 2(a) e 2(b) sopra riportati, l’entità Kia competente e Kia EU riconoscono che avete la facoltà di esercitare i vostri diritti ai sensi del GDPR contro una qualsiasi di esse nella loro qualità di contitolari del trattamento. Tuttavia, siete pregati di notare che normalmente sarà l’entità Kia competente a rispondere alla vostra richiesta.
Le informazioni di contatto di ciascuna entità del Gruppo Kia Europa sono riportate nell'allegato 1.
3. Responsabile della Protezione dei Dati
Per qualsiasi domanda riguardante o legata alla presente informativa sulla privacy, potete contattare o il responsabile della protezione dei dati di Kia EU all’indirizzo dpo@kia-europe.com
o il responsabile della protezione dei dati ("RPD") dell’entità Kia competente. Le informazioni di contatto del RPD di ciascuna entità del Gruppo Kia Europa sono riportate nell'allegato 1.
4. Categorie di Dati Personali
Il funzionamento di una piattaforma per la segnalazione di comportamenti illeciti e l’indagine dei casi segnalati sulla piattaforma richiederanno inevitabilmente il trattamento dei dati personali. Tuttavia, in primo luogo, è il segnalatore ad avere il completo controllo di cosa viene segnalato,
perché la piattaforma Tell Me è un sistema a forma libera, vale a dire che il segnalatore non è tenuto ad effettuare alcuna categorizzazione prima di presentare la sua segnalazione. Ciò vale anche per l’identità
del segnalatore,
della persona accusata,
di un testimone
o di qualsiasi altra persona menzionata nella segnalazione in questione
(chiamati insieme gli "interessati"
e ognuno singolarmente un "interessato"
).
In qualità di segnalatore, dovete sempre considerare con attenzione se rivelare o meno la vostra identità. Sebbene l'identità del segnalatore e di qualsiasi persona terza menzionata nella segnalazione venga trattata con la massima riservatezza, in determinate circostanze, Kia EU o l'entità Kia competente potrebbero dover rivelare l'identità del segnalatore o della persona terza in questione. Ecco perché il Gruppo Kia Europa ha adottato la piattaforma Kia Compliance: Tell Me, uno strumento specifico che consente ai segnalatori di effettuare una segnalazione in forma anonima.
Siete pregati di consultare l’informativa Kia Compliance: Tell Me Policy
per gli ulteriori canali di comunicazione, se decidete di rivelare la vostra identità in qualità di informatore.
I tipi di dati personali, che Kia EU e l’entità Kia competente (ove applicabile) trattano in relazione alla piattaforma Tell Me e alla gestione delle segnalazioni pertinenti, possono includere qualsiasi delle seguenti informazioni relative all’interessato (sempre a seconda del contenuto e delle informazioni fornite dal segnalatore nella segnalazione): nome e genere; nazionalità; indirizzo e città; numero di telefono (cellulare); indirizzo e-mail; (funzione) titolo; ruolo e posizione aziendale; dipartimento; numeri dell’amministrazione/numeri del dipendente; dettagli e circostanze dell’incidente; misure adottate; rapporti investigativi; altri dati relativi all’incidente (ad es. data, ora e luogo); codice d’accesso; file audio, indirizzo IP e altri dati tecnici; registri dei consensi (ovvero registri dei consensi dati dal segnalatore).
Come stabilito nell'informativa Kia Compliance: Tell Me Policy
, il Gruppo Kia Europa offre un elevato livello di protezione dell'anonimato del segnalatore, qualora quest'ultimo decida di rimanere anonimo, nella misura possibile e ove proporzionato. A tal fine, il Gruppo Kia Europa non avrà accesso ad alcun dato tecnico che consenta di identificare un segnalatore anonimo (ad es. indirizzo IP, registrazioni vocali e dati della chiamata).
In qualità di segnalatori, siete pregati di astenervi dal divulgare speciali categorie di dati personali, quali razza od origine etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza a sindacati e dati riguardanti la salute o la vita sessuale che non sono pertinenti al caso. Se in una segnalazione vengono riportati tali dati non pertinenti, Kia EU e l’entità Kia competente li cancelleranno dalla segnalazione e dai set di dati pertinenti. Lo stesso vale per quei dati personali che non sono strettamente e oggettivamente necessari a verificare le accuse mosse in una segnalazione.
5. Finalità e Base Giuridica del Trattamento
Kia EU e l’entità Kia competente trattano i dati personali pertinenti ai fini della segnalazione iniziale, della successiva analisi della segnalazione e dell’indagine del caso segnalato.
Le basi giuridiche per tali attività di trattamento sono le seguenti:
• Consenso (art. 6(1)(a) GDPR):
la base giuridica per determinati tipi di trattamento dei dati personali pertinenti da parte dell'entità competente del Gruppo Kia Europa è il previo consenso del segnalatore (ad es. laddove un incontro tra l'entità competente del Gruppo Kia Europa e il segnalatore avvenga tramite videochiamata, su richiesta del segnalatore).
• Adempimento di un obbligo legale (art. 6(1)(c) GDPR):
l’adozione e la fornitura di sistemi per la segnalazione di comportamenti illeciti sono obbligatorie in alcune giurisdizioni. Laddove un'entità del Gruppo Kia Europa sia obbligata per legge ad adottare e fornire tale sistema per la segnalazione di comportamenti illeciti e nella misura in cui tali adozione e fornitura richiedano il trattamento di dati personali pertinenti, la base giuridica per il trattamento è l'adempimento all'obbligo legale applicabile.
• Esecuzione di un compito svolto nell'interesse pubblico (art. 6(1)(e) GDPR):
sebbene l’adozione e la fornitura di sistemi per la segnalazione di comportamenti illeciti possano essere obbligatorie in alcune giurisdizioni, l'entità competente del Gruppo Kia Europa non è obbligata ad adottare un canale che consenta la segnalazione in forma anonima o ad esaminare le segnalazioni effettuate in forma anonima. In tal caso, la base giuridica per il trattamento dei dati personali pertinenti è l'esecuzione di un compito svolto nell'interesse pubblico.
• Legittimo interesse (art. 6(1)(f) GDPR):
laddove il trattamento dei dati personali pertinenti non sia necessario all'adempimento di un obbligo legale, l'entità competente del Gruppo Kia Europa tratterà i dati personali pertinenti allo scopo di perseguire i propri legittimi interessi. Il legittimo interesse consiste nel monitoraggio della conformità alle leggi e agli statuti vigenti e ai regolamenti interni (ad es. il Codice di compliance & integrità di Kia EU), nonché nel rilevare e prevenire comportamenti disonesti e illeciti. L' entità competente del Gruppo Kia Europa determinerà sempre caso per caso se gli interessi o i diritti e le libertà fondamentali della persona interessata, a cui le informazioni si riferiscono, prevalgono o meno sui suoi interessi.
Come già menzionato in precedenza, speciali categorie di dati personali, che non sono pertinenti al caso, non devono essere incluse nelle segnalazioni effettuate tramite la piattaforma Tell Me e verranno cancellate di conseguenza. Tuttavia, se e nella misura in cui tali dati siano rilevanti per il caso, la base giuridica per il trattamento di tali informazioni è l'art. 9(2)(f) del GDPR (ovvero il trattamento è necessario per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria) o l'art. 9(2)(g) del GDPR (ovvero il trattamento è necessario per motivi di sostanziale interesse pubblico, in base alla normativa nazionale o dell'Unione europea).
6. Divulgazione dei Dati Personali a Terzi
Kia EU e l'entità Kia competente tratteranno i dati personali pertinenti con la massima riservatezza. I dati verranno divulgati esclusivamente in relazione agli scopi del trattamento sopra illustrati e sempre in conformità alle leggi vigenti. Tra i possibili destinatari dei dati personali pertinenti vi sono le seguenti aziende, istituzioni o persone:
• Fornitori di servizi:
include il fornitore People Intouch B.V. (e i suoi subincaricati approvati), in qualità di gestore della piattaforma Tell Me, con sede all’indirizzo Olympisch Stadion 6, 1076 DE Amsterdam, Paesi Bassi. People Intouch B.V. tratterà i dati personali pertinenti in qualità di incaricato del trattamento di Kia EU ed esclusivamente secondo le istruzioni di Kia EU. Kia EU e People Intouch B.V. hanno stipulato a tal proposito un accordo sul trattamento dei dati.
• Consulenti legali:
in alcuni casi, Kia EU o l’entità Kia competente potranno comunicare i dati ai loro consulenti legali, allo scopo di tutelare i loro interessi o far valere i loro diritti. I consulenti legali tratteranno tali dati in qualità di titolari del trattamento indipendenti.
• Tribunali e altre autorità normative:
Kia EU o l’entità Kia competente potranno comunicare i dati a tribunali o ad autorità normative, ove richiesto per legge o se necessario a ottemperare a procedure giudiziarie, ordinanze del tribunale, richieste delle autorità o per tutelare i loro interessi o far valere i loro diritti. I tribunali o le autorità normative in questione tratteranno tali dati in qualità di titolari del trattamento indipendenti.
• Altri:
Kia EU o l’entità Kia competente potranno comunicare i dati ad altri soggetti terzi (ad es. la persona accusata o membri esterni di organi di controllo), ma solo se è richiesto dalla legge. Tali soggetti terzi tratteranno i dati pertinenti in qualità di titolari del trattamento indipendenti.
7. Trasferimento Internazionale dei Dati Personali
Allo scopo di trattare i dati personali pertinenti nella maniera illustrata in questa informativa sulla privacy, Kia EU o l’entità Kia competente potrebbero aver bisogno di trasmettere i dati personali pertinenti ad altri soggetti terzi, come riportato al paragrafo 6. Tuttavia, i dati personali pertinenti non verranno di norma trasmessi a un destinatario situato in un paese che non è membro dello Spazio economico europeo (SEE) o per il quale la Commissione europea non ha emanato una decisione sull’adeguatezza, secondo cui il paese in questione offre un adeguato livello di protezione dei dati personali. Qualora, in un qualsiasi momento, i dati personali pertinenti dovessero essere trasmessi a un destinatario situato in un paese che non appartiene alle categorie sopra menzionate, tale trasferimento sarà sempre soggetto ad appropriate misure di salvaguardia ai sensi del GDPR.
8. Conservazione dei Dati
Kia EU e l’entità Kia competente tratteranno i dati personali pertinenti solo fintanto che sarà necessario agli scopi illustrati nella presente informativa sulla privacy o se previsto dalla legge vigente.
Per determinare il periodo di conservazione, Kia EU e l’entità Kia competente prendono in considerazione gli scopi per cui i dati personali pertinenti vengono trattati, se tali scopi possono essere raggiunti anche senza i dati, le categorie dei dati pertinenti, i rischi in caso di violazione dei dati e gli obblighi legali secondo cui Kia EU o l’entità Kia competente sono tenute a conservare i dati. Di norma, ciò significa che i dati personali pertinenti verranno conservati come segue:
• I dati personali non pertinenti al caso verranno cancellati o resi anonimi senza indebito ritardo.
• I dati personali pertinenti, contenuti nella documentazione relativa alla questione considerata, verranno conservati per il periodo necessario a valutare la segnalazione e a svolgere l'indagine (ove applicabile) e verranno cancellati o resi anonimi al più tardi entro tre anni dalla fine della valutazione e/o dell'indagine (come applicabile), a meno che non vengano avviati procedimenti legali o adottate misure disciplinari, per cui è necessario continuare a conservare i dati personali pertinenti oppure se la normativa vigente richiede un periodo di conservazione diverso, sempre a patto che tale conservazione sia necessaria e adeguata.
9. I Tuoi Diritti Legali
Qualora Kia EU o l’entità Kia competente tratti i vostri dati personali sulla base del vostro consenso, avete il diritto di revocare in qualsiasi momento tale consenso (art. 7(3) del GDPR).
Se avete domande sulle modalità con cui Kia EU o l’entità Kia competente trattano i vostri dati personali, Kia EU o l’entità Kia competente (nella misura applicabile) saranno ovviamente liete di fornirvi informazioni sui vostri dati personali e sulle relative attività di trattamento (art. 15 del GDPR). Purché vengano soddisfatti i requisiti legali, avete anche diritto ad ottenere: (a) la rettifica dei vostri dati personali (art. 16 del GDPR); (b) la cancellazione dei vostri dati personali (art. 17 del GDPR); e (c) la limitazione del trattamento dei vostri dati personali (art. 18 del GDPR). Avete anche diritto alla portabilità dei dati (art. 20 del GDPR) e il diritto di presentare un reclamo presso un'autorità preposta alla protezione dei dati (art. 77 del GDPR).
Diritto di opposizione: qualora Kia EU o l’entità Kia competente tratti i vostri dati personali in base all’art. 6(1)(f) del GDPR, avete il diritto di opporvi in qualsiasi momento a tale trattamento per motivi connessi alla vostra situazione particolare (art. 21(1) del GDPR).
Qualora l’entità Kia competente e Kia EU trattino i vostri dati personali in qualità di contitolari del trattamento, siete pregati di consultare il paragrafo 2, lett. a-c per determinare quale entità risponderà alla vostra richiesta.
10. Definizioni
"Titolare del trattamento"
: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.
Per "GDPR"
si intende (i) per quanto riguarda Kia UK LTD come titolare del trattamento, il Regolamento sulla protezione dei dati del Regno Unito adattato con il Data Protection Act 2018 (GDPR del Regno Unito); e (ii) per quanto riguarda tutte le altre entità del Gruppo Kia Europa elencate nell'allegato 1, il Regolamento (UE) 2016/679 (Regolamento generale sulla protezione dei dati).
"Dati personali"
: qualsiasi informazione riguardante una persona fisica identificata o identificabile.
Per “trattare” / “trattamento”
si intende qualsiasi operazione o insieme di operazioni applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.
"Incaricato del trattamento"
: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
Allegato 1 – Dettagli dei Titolari del Trattamento
| Entità pertinenti del gruppo Kia | Dettagli di contatto | Dettagli di contatto del DPO |
|---|---|---|
| Kia Europe GmbH (Kia EU) | Theodor-Heuss-Allee 11, 60486 Francoforte, Germania Email: info@kia-europe.com |
dpo@kia-europe.com |
| Kia Nederland B.V. | De Corridor 25, 3621 ZA Breukelen, Paesi Bassi Email: info@kia.nl |
info@kia.nl |
| Kia Austria GmbH | Sverigestrasse 5, 1220 Wien, Austria Email: office@kia.at |
datenschutz@kia.at |
| Kia Belgium N.V. | Ikaroslaan 33, 1930 Zaventem, Belgio Email: info@kia.be |
privacy@kia.be |
| Kia France SAS | 2 rue des Martinets, Rueil-Malmaison 92560, Francia Email: relation.clientele@kia.fr |
dpo@kia.fr |
| Kia Sales Slovakia s.r.o. | Einsteinova 19, Bratislava 851 01, Slovacchia Email: info@kmss.sk |
dpo@kiasales.sk |
| Kia Iberia S.L.U. | Calle de Anabel Segura, 16 Edificio Vega Norte, Planta 2, 28108 Alcobendas, Madrid, Spagna Email: contacto@kia.es |
consultalopd@kia.es |
| Kia Deutschland GmbH | Theodor-Heuss-Allee 11, 60486 Francoforte, Germania Email: info@kia.de |
datenschutz@kia.de |
| Kia Sweden AB | Kanalvägen 10A, 194 61 Upplands Väsby, Svezia Email: info@kia.se |
d.elander@kia.se |
| Kia Polska SP. Z.O.O. | Pulawska 366, 02-819 Varsavia, Polonia Email: infolinia@kiapolska.pl |
iod@kiapolska.com.pl |
| Kia Czech s.r.o. | Jihlavská 1558/21, Michle 140 00, Praga 4, Repubblica Ceca Email: kia-info@kia.cz |
gdpr@kia.cz |
| Kia Hungary Kft. | 1117 Budapest, Budafoki út 56, Ungheria Email: info@kiahungary.hu |
adatvedelem@kiahungary.hu |
| Kia UK LTD | Walton Green, Walton-On-Thames, Surrey, KT12 1FJ, Regno Unito Email: dpo@kia.co.uk |
dpo@kia.co.uk |
| Kia Ireland | Unit A8 Calmount Park, Calmount Road, Dublino, D12 X266, Irlanda Email: admin@kiaireland.ie |
dpo@kia.co.uk |
| Kia Italia S.r.l | Via Gallarate 184, 20151 Milano, Italia Email: infokia@kia.it |
dpo@kia.it |
| Kia Connect GmbH | Theodor-Heuss-Allee 11, 60486 Francoforte, Germania Email: info@kia-connect.eu |
dpo@kia-connect.eu |
Si applicano le seguenti modifiche ai sensi della normativa locale:
AUSTRIA
In Austria, la direttiva UE sugli informatori è stata recepita con la Legge sulla protezione degli informatori (HSchG). Nei casi in cui le indicazioni di violazione della legge rientrino nell'ambito dell'HSchG, l'elaborazione di queste informazioni per prevenire ed evitare possibili violazioni legali si basa sull'adempimento di un obbligo legale (art. 6 par. 1 lett. c del GDPR in combinato disposto con §§ 2 et segg. HSchG).
BELGIO
Ai sensi della legge belga per la protezione degli informatori del 28 novembre 2022, che recepisce la Direttiva (UE) 2019/1937:
I seguenti paragrafi vanno aggiunti al Paragrafo 8 (Conservazione dei dati) come ultimi paragrafi:
In particolare, ai sensi della legge belga per la protezione degli informatori, il nome, la funzione e le informazioni di contatto del segnalatore e di qualsiasi persona a cui vengono estese le misure di protezione e supporto, nonché le informazioni della persona interessata, incluso (ove applicabile) il suo numero aziendale, vengono conservati finché la violazione segnalata non cade in prescrizione ai sensi della legge vigente.
Kia Belgio conserverà un registro di tutte le segnalazioni effettuate, nel pieno rispetto degli obblighi di riservatezza definiti al paragrafo 11 dell'informativa Kia Compliance: Tell Me. Indipendentemente dal paragrafo di cui sopra, se applicabile, le segnalazioni verranno conservate per tutta la durata del rapporto contrattuale tra Kia Belgio e il segnalatore.
ITALIA
Il paragrafo 4 viene sostituito con il testo seguente:
Il funzionamento di una piattaforma per la segnalazione di comportamenti illeciti e l’indagine dei casi segnalati sulla piattaforma richiederanno inevitabilmente il trattamento dei dati personali. Tuttavia, in primo luogo, è il segnalatore ad avere il completo controllo di cosa viene segnalato. Questo perché la piattaforma Tell Me è un sistema a forma libera, vale a dire che il segnalatore non è tenuto ad effettuare alcuna categorizzazione prima di presentare la sua segnalazione. Ciò vale anche per l’identità del segnalatore, della persona accusata, di un testimone o di qualsiasi altra persona menzionata nella segnalazione in questione (chiamati insieme gli "interessati" e ognuno singolarmente un "interessato").
In qualità di segnalatore, dovete sempre considerare con attenzione se rivelare o meno la vostra identità. Sebbene l'identità del segnalatore e di qualsiasi persona terza menzionata nella segnalazione venga trattata con la massima riservatezza, in determinate circostanze, Kia EU o l'entità Kia competente potrebbero dover rivelare l'identità del segnalatore o della persona terza in questione. Ecco perché il Gruppo Kia Europa ha adottato la piattaforma Kia Compliance: Tell Me, uno strumento specifico che consente ai segnalatori di effettuare una segnalazione in forma anonima. Siete pregati di consultare l’informativa Kia Compliance: Tell Me per gli ulteriori canali di comunicazione, se decidete di rivelare la vostra identità in qualità di informatore.
Nell'ambito della piattaforma Tell Me e della gestione delle segnalazioni pervenute, Kia EU e l'entità Kia competente potrebbero (se del caso) trattare dati personali di qualunque tipo. Infatti, oltre ai dati identificativi e di contatto (il cui trattamento è necessario per l'elaborazione della segnalazione), tutte le informazioni contenute nella segnalazione potrebbero essere oggetto di trattamento.
Indipendentemente dalla loro volontà, Kia EU e l'entità Kia competente potrebbero (se del caso) dover trattare dati personali relativi alle categorie particolari di cui all'articolo 9 del GDPR o dati personali relativi a condanne penali, reati o a misure di sicurezza connesse all'articolo 10 del GDPR che potrebbero essere contenuti nella segnalazione e/o in atti o documenti ad essa allegati. Tali dati saranno utilizzati esclusivamente per elaborare la segnalazione in oggetto ai sensi dei principi di proporzionalità e necessità: Kia EU e l'entità Kia competente provvederanno a eliminare dalla segnalazione e dalle relative banche dati qualsiasi dato non rilevante o non strettamente necessario per l'accertamento dei fatti riportati nella segnalazione.
Come stabilito nell'informativa Kia Compliance: Tell Me, il Gruppo Kia Europa offre un elevato livello di protezione dell'anonimato del segnalatore, qualora quest'ultimo decida di rimanere anonimo, nella misura possibile e ove proporzionato. A tal fine, il Gruppo Kia Europa non avrà accesso ad alcun dato tecnico che consenta di identificare un segnalatore anonimo (ad es. indirizzo IP, registrazioni vocali e dati della chiamata).
Il paragrafo 5 viene modificato come segue:
• La base giuridica “Esecuzione di un compito svolto nell'interesse pubblico (art. 6(1)(e) GDPR)” non si applica all'Italia.
• Interessi legittimi (Art. 6(1)(f) GDPR): Quando il trattamento di dati personali non è necessario all'adempimento di un obbligo giuridico, l'entità competente del Gruppo Kia Europa tratterà i dati personali per perseguire i suoi legittimi interessi, ovvero la protezione dei diritti contrattuali e precontrattuali di una persona o dei diritti derivanti da qualsiasi altro tipo di relazione esistente. L'entità competente del Gruppo Kia Europa determinerà sempre caso per caso se gli interessi o i diritti e le libertà fondamentali della persona interessata, a cui le informazioni si riferiscono, prevalgono o meno sui suoi interessi.
Come menzionato in precedenza, le categorie particolari di dati personali (ai sensi dell'articolo 9 del GDPR) non rilevanti per il caso non devono essere incluse nella segnalazione inviata tramite la piattaforma Tell Me. Tali dati saranno eliminati di conseguenza. Tuttavia, se e nella misura in cui tali dati risultino rilevanti per il caso, la base giuridica per il trattamento di tali informazioni è costituita dall'art. 9(2)(b) del GDPR (il trattamento è necessario per adempiere agli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell'Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell'interessato) e dall'art. 9(2)(f) del GDPR (il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria).
Il paragrafo 6 viene modificato come segue:
• Altri: Kia EU o l'entità Kia competente potrebbero condividere i dati con terzi, come ad esempio membri di organi di sorveglianza esterni, entità di supporto, consulenti o aziende di consulenza, studi professionali o altre entità che collaborano con Kia a qualunque titolo, ma solo se richiesto a termini di legge o per l'adempimento delle finalità definite nella presente informativa sulla privacy.
Il paragrafo 9 viene modificato come segue:
Se avete domande sulle modalità con cui Kia EU o l’entità Kia competente trattano i vostri dati personali, Kia EU o l’entità Kia competente (nella misura applicabile) saranno ovviamente liete di fornirvi informazioni sui vostri dati personali e sulle relative attività di trattamento (art. 15 del GDPR). Purché vengano soddisfatti i requisiti legali, avete anche diritto ad ottenere: (a) la rettifica dei vostri dati personali (art. 16 del GDPR); (b) la cancellazione dei vostri dati personali (art. 17 del GDPR); e (c) la limitazione del trattamento dei vostri dati personali (art. 18 del GDPR). Avete, inoltre, diritto a presentare un reclamo presso un'autorità per la protezione dei dati (art. 77 del GDPR).
Il paragrafo 10 viene modificato come segue:
Il termine "Responsabile" indica la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
Paragrafo aggiuntivo:
Ai sensi dell'articolo 14 (2)(f) del GDPR, i dati personali vengono raccolti direttamente dall'interessato o da terzi, a seconda che si tratti di:
• dati relativi all'informatore, nel qual caso i dati vengono raccolti direttamente dall'interessato, che comunica i propri dati al momento dell'invio della segnalazione;
• dati relativi ad altri soggetti interessati (come la persona accusata, i testimoni o qualsiasi altra persona menzionata nella segnalazione), nel qual caso i dati vengono raccolti tramite terzi, come ad esempio la persona che effettua la segnalazione.
SPAGNA
Kia Iberia S.L.U. (KES) eseguirà le necessarie attività di trattamento per la gestione dei reclami interni che si desidera inviare tramite il canale locale implementato da KES (canale KES) in qualità di titolare del trattamento dei dati. L'informativa sulla privacy per questo canale di segnalazione interna può essere consultata all'Allegato 2B.
La Sezione 8 (Conservazione dei dati) deve essere integrata con la seguente aggiunta:
Ai sensi di legge per le comunicazioni provenienti dalla Spagna, dopo tre mesi dalla comunicazione e in assenza di indagini, la comunicazione deve essere eliminata a meno che la conservazione della stessa serva a tenere traccia del funzionamento del sistema. Le comunicazioni a cui non viene dato seguito possono essere registrate solo in forma anonima.
SVEZIA
Il seguente paragrafo va aggiunto al Paragrafo 1 (Introduzione) come ultimo paragrafo:
Oltre al trattamento dei dati personali rilevanti descritto nella presente informativa sulla privacy, Kia Sweden AB (“Kia Svezia”) tratta i dati personali nell'ambito della gestione del canale di segnalazione locale istituito da Kia Svezia (denominato "Canale svedese"). Nell'Allegato 2A sono riportate le informazioni sul trattamento dei dati personali nel Canale svedese da parte di Kia Svezia.
Il paragrafo 5 (Scopi e basi giuridiche del trattamento) va sostituito con il testo seguente:
Kia EU e Kia Svezia trattano i dati personali rilevanti ai fini della segnalazione iniziale, della sua successiva analisi e delle indagini sul caso oggetto della segnalazione.
Per Kia EU, le basi applicabili per il trattamento sono le seguenti:
• Consenso (art. 6(1)(a) del GDPR): Per determinate attività di trattamento di dati personali da parte di Kia EU, la base giuridica è rappresentata dal consenso del segnalatore (ad es. qualora un incontro tra Kia EU e il segnalatore si svolga tramite videoconferenza su richiesta di quest'ultimo).
• Adempimento di un obbligo legale (art. 6(1)(c) del GDPR): Laddove Kia EU sia obbligata per legge ad adottare e fornire tale sistema per la segnalazione di comportamenti illeciti e nella misura in cui tali adozione e fornitura richiedano il trattamento di dati personali pertinenti, la base giuridica per il trattamento è l'adempimento all'obbligo legale applicabile. In alcune giurisdizioni, l’adozione e la fornitura di sistemi per la segnalazione di comportamenti illeciti sono obbligatorie.
• Esecuzione di un compito svolto nell'interesse pubblico (art. 6(1)(e) del GDPR): Nonostante in alcune giurisdizioni sia obbligatorio adottare e fornire un sistema per la segnalazione di comportamenti illeciti, Kia EU non è tenuta a implementare un canale che consenta di effettuare segnalazioni anonime né a esaminare segnalazioni inviate in forma anonima. In tal caso, la base giuridica per il trattamento dei dati personali pertinenti è l'esecuzione di un compito svolto nell'interesse pubblico.
• Interessi legittimi (art. 6(1)(f) del GDPR): Laddove il trattamento dei dati personali pertinenti non sia necessario all'adempimento di un obbligo legale, Kia EU tratterà i dati personali pertinenti per i propri interessi legittimi. Il legittimo interesse consiste nel monitoraggio della conformità alle leggi e agli statuti vigenti e ai regolamenti interni (ad es. il Codice di compliance & integrità di Kia EU), nonché nel rilevare e prevenire comportamenti disonesti e illeciti. Kia EU determinerà sempre caso per caso se gli interessi o i diritti e le libertà fondamentali della persona interessata, a cui le informazioni si riferiscono, prevalgono o meno sui suoi interessi.
Come già menzionato in precedenza, speciali categorie di dati personali (ai sensi dell'articolo 9 del GDPR), che non sono pertinenti al caso, non devono essere incluse nelle segnalazioni effettuate tramite la piattaforma Tell Me e verranno cancellate di conseguenza. Tuttavia, se e nella misura in cui tali dati siano rilevanti per il caso, la base giuridica per il trattamento di tali informazioni è l'art. 9(2)(f) del GDPR (ovvero il trattamento è necessario per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria) o l'art. 9(2)(g) del GDPR (ovvero il trattamento è necessario per motivi di sostanziale interesse pubblico, in base alla normativa nazionale o dell'Unione europea).
Per Kia Svezia, le basi applicabili per le attività di trattamento sono le seguenti:
• Interessi legittimi (art. 6(1)(f) del GDPR): Per quanto riguarda il trattamento dei dati personali pertinenti da parte di Kia Svezia, la base giuridica ai sensi del GDPR è il suo interesse legittimo nel monitoraggio della conformità alle leggi e agli statuti vigenti e ai regolamenti interni (ad es. il Codice di compliance & integrità di Kia EU), nonché nel rilevare e prevenire comportamenti disonesti e illeciti. Quando condivide tali dati personali pertinenti con terzi, Kia Svezia agisce sulla base del proprio interesse legittimo di accertare il comportamento illecito segnalato o di intraprendere azioni derivanti dall'esito delle indagini.
• Il trattamento è necessario per adempiere agli obblighi ed esercitare i diritti specifici in materia di diritto del lavoro (Art. 9(2)(b) del GDPR): Se e nella misura in cui Kia Svezia tratta categorie particolari di dati personali pertinenti, che sono rilevanti per il caso, allo scopo di ricevere e accertare una segnalazione, la base giuridica per tale trattamento da parte di Kia Svezia ai sensi del GDPR è costituita dalla necessità di adempiere agli obblighi ed esercitare i diritti specifici in materia di diritto del lavoro.
• Il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria (Art. 9(2)(f) del GDPR: Se e nella misura in cui Kia Svezia condivide categorie particolari di dati personali pertinenti al fine di intraprendere azioni in merito all'esito di un'indagine, la base giuridica di tale condivisione da parte di Kia Svezia ai sensi del GDPR è costituita dalla necessità di accertare, esercitare o difendere un diritto in sede giudiziaria.
• Il trattamento è necessario per accertare se una persona, che occupa una posizione di spicco o svolge un ruolo chiave all'interno del Gruppo Kia Europa, è stata coinvolta in gravi irregolarità oppure per accertare, esercitare o difendere un diritto in sede giudiziaria (sezione 5(2) del regolamento integrativo svedese (2018:219) al GDPR (Sw. Förordning med kompletterande bestämmelser till EU:s dataskyddsförordning) e alla sezione 2(4) del regolamento Integritetsskyddsmyndigheten’s DIFS 2018:2 (Sw. Föreskrifter om behandling av personuppgifter som rör lagöverträdelser): Se e nella misura in cui Kia Svezia tratta i dati personali pertinenti a (presunti) atti criminali e reati commessi da una persona che occupa una posizione di spicco o svolge un ruolo chiave all'interno del Gruppo Kia Europa, la base giuridica di tale trattamento di dati da parte di Kia Svezia è la necessità di accertare se tale persona è effettivamente coinvolta in gravi irregolarità. Se e nella misura in cui Kia Svezia condivide dati personali i dati personali pertinenti a (presunti) atti criminali e reati commessi da una persona che occupa una posizione di spicco o svolge un ruolo chiave all'interno del Gruppo Kia Europa al fine di intraprendere un'azione in merito all'esito di un'indagine, la base giuridica di tale condivisione da parte di Kia Svezia è la necessità di accertare, esercitare o difendere un diritto in sede giudiziaria.
Versione del 15 dicembre 2023
