Tell Me Privacy

Beleid
Privacybeleid

Table of Contents
- 1. Inleiding
- 2. Verwerkingsverantwoordelijke(n) (r)
- 3. Functionaris voor gegevensbescherming
- 4. Categorieën van persoonsgegevens
- 5. Doeleinden en rechtsgrondslag van de Verwerking
- 6. Bekendmaking van Persoonsgegevens aan derden
- 7. Internationale doorgifte van Persoonsgegevens
- 8. Bewaring van gegevens
- 9. Uw wettelijke rechten
- 10.Definities
- Bijlage 1. Informatie over de Verwerkingsverantwoordelijken
- Bijlage 2.Wijzigingen op grond van lokaal recht

1. Inleiding

Deze privacyverklaring ("Privacyverklaring" ) wordt uitgegeven door elk van de entiteiten van de Kia-groep die in bijlage 1 worden vermeld ("Kia Europe-Groep" ). Het doel van deze Privacyverklaring is om u te informeren over de verwerking van uw persoonsgegevens door de betreffende entiteit van de Kia Europe-Groep in verband met de behandeling van meldingen die door huidige of oud-werknemers, managers, bestuursleden, tijdelijke werknemers, expatcoördinatoren, trainees en personen die onder toezicht en aanwijzing werken voor aannemers en leveranciers van de Kia Europe-Groep (de "Melders" ) worden ingediend op het Kia Compliance: Tell Me-platform voor het melden van wangedrag (het "Tell Me-platform" ). Zie bijlage 2 voor wijzigingen op grond van lokaal recht in deze Privacyverklaring. Het Tell Me-platform biedt de Melders een specifiek communicatiekanaal voor het melden van schendingen van externe wetten en statuten en het schenden van interne regels (bijv. de Kia EU Compliance & Integrity Code ), elk voor zover van toepassing op de betreffende entiteit van de Kia Europe-Groep. Voor meer informatie over het Tell Me-platform en wanneer en hoe meldingen kunnen worden ingediend, verwijzen wij naar het Kia Compliance: Tell Me Policy -beleid.

2. Verwerkingsverantwoordelijke(n)

Indien het gemelde geval of incident uitsluitend betrekking heeft op een zaak van Kia Europe GmbH ("Kia EU" ), is Kia EU de enige en onafhankelijke Verwerkingsverantwoordelijke van de Persoonsgegevens die worden verwerkt in verband met het ontvangen, analyseren en verwerken van de meldingen die via het Tell Me-platform worden ingediend (de "Relevante Persoonsgegevens" ).

Als de melding betrekking heeft op een zaak van een andere entiteit van de Kia Europe-Groep ("Relevante Kia-Entiteit" ), zullen Kia EU en de Relevante Kia-Entiteit zeer nauw samenwerken bij de beoordeling en het onderzoek van de gemelde zaak (NB: de details van de procedure voor de behandeling van een zaak zijn te vinden in het Kia Compliance: Tell Me Policy -beleid). In een dergelijk geval bepalen Kia EU en de Relevante Kia-Entiteit dus gezamenlijk de doeleinden en middelen van de Verwerking van de Relevante Persoonsgegevens als zogenaamde gezamenlijke Verwerkingsverantwoordelijken. Daartoe hebben zij hun respectieve verantwoordelijkheden voor de naleving van de verplichtingen op grond van de AVG als volgt vastgesteld:

(a) Wanneer u uw wettelijke rechten uitoefent in overeenstemming met paragraaf 9 van deze Privacyverklaring, is de Relevante Kia-Entiteit verantwoordelijk voor de uitvoering van dergelijke rechten. Kia EU moet de Relevante Kia-Entiteit echter onverwijld alle bijstand verlenen die passend en noodzakelijk is voor de Relevante Kia-Entiteit om aan uw verzoek te voldoen, in overeenstemming met de AVG.

(b) De Relevante Kia-Entiteit en Kia EU zullen als volgt voldoen aan hun verplichtingen om u te voorzien van de relevante informatie over de Verwerking van de Relevante Persoonsgegevens in overeenstemming met Art. 13 en Art. 14 van de AVG: (i) elk van hen zal deze Privacyverklaring beschikbaar stellen op hun intranetsystemen; (ii) Kia EU zal ervoor zorgen dat deze Privacyverklaring wordt verstrekt op het Tell Me-platform en (iii) indien en voor zover van toepassing, zal de Relevante Kia-Entiteit de relevante informatie aan u verstrekken overeenkomstig Art. 14 van de AVG.

(c) Ongeacht paragraaf 2(a) en (b) hierboven, erkennen de Relevante Kia-Entiteit en Kia EU dat u uw rechten onder de AVG kunt uitoefenen tegen elk van hen in hun hoedanigheid van gezamenlijke Verwerkingsverantwoordelijken. Houd er echter rekening mee dat gewoonlijk de Relevante Kia-Entiteit op uw desbetreffende verzoek zal reageren.

De contactgegevens van elke entiteit van de Kia Europe-Groep zijn te vinden in de bijlage 1.

3. Functionaris voor gegevensbescherming

Als u vragen hebt over of in verband met deze Privacyverklaring, kunt u ook contact opnemen met de functionaris voor gegevensbescherming van Kia EU via dpo@kia-europe.com of met de functionaris voor gegevensbescherming ("DPO" ) van de Relevante Kia-Entiteit. De betreffende contactgegevens van de DPO van elke entiteit van de Kia Europe-Groep zijn te vinden in bijlage 1.

4. Categorieën van persoonsgegevens

De werking van een meldplatform voor wangedrag en het onderzoek van de op het platform gemelde gevallen vereisen onvermijdelijk de Verwerking van Persoonsgegevens. In de eerste plaats heeft de Melder echter de volledige controle over wat er wordt gemeld. Het Tell Me-platform is namelijk een free form-systeem, wat betekent dat de Melder bij het indienen van de melding niet vooraf een indeling in categorieën hoeft te maken.
Dit geldt ook voor de identiteit van de Melder, de beschuldigde, een getuige, of elke andere persoon die in de betreffende melding wordt genoemd (samen de "Betrokkenen", en elk een "Betrokkene" ).

Overweeg als Melder zorgvuldig of u uw identiteit bekendmaakt. Hoewel de identiteit van de Melder en van andere derde partijen die in de melding worden genoemd met een hoge mate van vertrouwelijkheid zal worden behandeld, kan het onder bepaalde omstandigheden nodig zijn dat Kia EU of de Relevante Kia-Entiteit de identiteit van de Melder of derde partijen moeten bekend maken. Daarom heeft de Kia Europe-Groep het Kia Compliance: Tell Me-platform geïmplementeerd, een speciaal instrument waarmee Melders anoniem een melding kunnen indienen. Raadpleeg het Kia Compliance: Tell Me Policy -beleid voor andere communicatiekanalen indien u uw identiteit als melder bekend wenst te maken.

De soorten Persoonsgegevens die Kia EU en de Relevante Kia-Entiteit (indien van toepassing) verwerken in verband met het Tell me-platform en de afhandeling van relevante meldingen kunnen de volgende informatie bevatten met betrekking tot de Betrokkene (altijd afhankelijk van de inhoud en informatie die de Melder in de melding heeft verstrekt): naam, geslacht; nationaliteit; adres en woonplaats; (mobiel) telefoonnummer; e-mailadres; (functie)titel; functie en positie in het bedrijf; afdeling; administratienummers/werknemersnummers; kenmerken van het incident; genomen maatregelen; onderzoeksrapporten; andere gegevens met betrekking tot het incident (bijv. datum, tijd en plaats); toegangscode; geluidsbestand en IP-adres en andere technische gegevens; documentatie over toestemmingen (bijv. documentatie over toestemmingen van de Melder).

Zoals uiteengezet in het Kia Compliance: Tell Me Policy -beleid, biedt de Kia Europe-Groep een hoog niveau van bescherming van de anonimiteit van de Melder in het geval dat de Melder besluit anoniem te blijven voor zover dat mogelijk en redelijk is. Voor dit doel heeft de Kia Europe-Groep geen toegang tot technische gegevens waarmee een anonieme Melder kan worden geïdentificeerd (bijv. IP-adres, opgenomen spraakbestanden en inbelgegevens).

Wij verzoeken u als Melder af te zien van het verstrekken van bijzondere categorieën Persoonsgegevens, zoals ras of etnische afkomst, politieke opvattingen, godsdienstige of levensbeschouwelijke overtuigingen, lidmaatschap van een vakvereniging, en gegevens betreffende de gezondheid of het seksleven die voor de zaak niet relevant zijn. Indien dergelijke niet-relevante gegevens in een verslag worden verstrekt, zullen Kia EU en de Relevante Kia-Entiteit deze gegevens uit het verslag en de relevante gegevensreeksen verwijderen. Hetzelfde geldt voor Persoonsgegevens die niet strikt en objectief noodzakelijk zijn om de aantijgingen in een rapport te verifiëren.

5. Doeleinden en rechtsgrondslag van de Verwerking

Kia EU en de Relevante Kia-Entiteit verwerken de Relevante Persoonsgegevens ten behoeve van de eerste melding, de daaropvolgende beoordeling van de betreffende melding en het onderzoek van de gemelde zaak.

Op deze verwerkingsactiviteiten zijn de volgende rechtsgrondslagen van toepassing:

• Toestemming (Art. 6(1)(a) AVG): Voor bepaalde Verwerking van Relevante Persoonsgegevens door de betreffende entiteit van de Kia Europe-Groep is de rechtsgrondslag de voorafgaande toestemming van de Melder (bijv. wanneer een vergadering tussen de relevante entiteit van de Kia Europe-Groep en de Melder - op verzoek van de Melder - plaatsvindt via videobellen).

• Voldoen aan een wettelijke verplichting (Art. 6(1)(c) AVG): In bepaalde rechtsgebieden zijn systemen voor het melden van wangedrag verplicht. Wanneer een entiteit van de Kia Europe-Groep wettelijk verplicht is om een dergelijk meldsysteem voor wangedrag te implementeren en beschikbaar te stellen en voor zover voor deze implementatie en beschikbaarstelling het Verwerken van Relevante Persoonsgegevens vereist is, is de rechtsgrondslag voor de Verwerking het voldoen aan de toepasselijke wettelijke verplichting.

• Het uitvoeren van een taak in het algemeen belang (Art. 6(1)(e) AVG): Hoewel de implementatie en beschikbaarstelling van systemen voor het melden van wangedrag verplicht kunnen zijn, is het in bepaalde rechtsgebieden niet verplicht voor de betreffende entiteit van de Kia Europe-Groep om een kanaal te implementeren dat het melden op anonieme basis mogelijk maakt of om meldingen te beoordelen die op anonieme basis zijn ingediend. In dat geval is de rechtsgrondslag voor de Verwerking van de Relevante Persoonsgegevens het uitvoeren van een taak in het algemeen belang.

• Gerechtvaardigde belangen (Art. 6(1)(f) AVG): Wanneer de Verwerking van de Relevante Persoonsgegevens niet noodzakelijk is om te voldoen aan een wettelijke verplichting, verwerkt de betreffende entiteit van de Kia Europe-Groep de Relevante Persoonsgegevens voor de doeleinden van haar gerechtvaardigde belangen. Het gerechtvaardigde belang is het toezicht op de naleving van de toepasselijke wetgeving, de Kia Compliance & Integrity Code of ander intern beleid en het opsporen en voorkomen van misstanden en wangedrag. De betreffende entiteit van de Kia Europe-Groep zal altijd per geval bepalen of haar belangen zwaarder wegen dan de belangen of de fundamentele rechten en vrijheden van de betrokken persoon op wie de informatie betrekking heeft.

Zoals hierboven vermeld, worden speciale categorieën Persoonsgegevens die niet relevant zijn voor de zaak, niet opgenomen in verslagen die op het Tell Me-platform worden ingediend en worden deze dienovereenkomstig verwijderd. Indien en voor zover dergelijke gegevens echter relevant zijn voor de zaak, is de toepasselijke rechtsgrondslag voor de Verwerking van dergelijke informatie ofwel Art. 9(2)(f) AVG (bijv. voor het vaststellen, uitoefenen of verdedigen van rechtsvorderingen) ofwel Art. 9(2)(g) AVG (bijv. het Verwerken is noodzakelijk voor een zwaarwegend algemeen belang, op basis van de wetgeving van de Europese Unie of de nationale wetgeving).

6. Bekendmaking van Persoonsgegevens aan derden

Kia EU en de Relevante Kia-Entiteit zullen de Relevante Persoonsgegevens met een hoge mate van vertrouwelijkheid behandelen. De gegevens zullen uitsluitend worden bekendgemaakt in verband met de hierboven uiteengezette doeleinden van de Verwerking en altijd in overeenstemming met de toepasselijke wetgeving. Tot de mogelijke ontvangers van de Relevante Persoonsgegevens horen de volgende bedrijven, instellingen of personen:

• Dienstverleners: Dit omvat People Intouch B.V. (en haar goedgekeurde sub-verwerkers) als de exploitant van het Tell Me-platform met haar statutaire zetel op het adres te Olympisch Stadion 6, 1076 DE Amsterdam, Nederland. People Intouch B.V. zal de Relevante Persoonsgegevens verwerken als Verwerker van Kia EU en uitsluitend in overeenstemming met de instructies van Kia EU. Voor dit doel hebben Kia EU en People Intouch B.V. een overeenkomst voor gegevensverwerking gesloten.

• Juridische adviseurs: In sommige gevallen kan Kia EU of de Relevante Kia-Entiteit de gegevens bekendmaken aan haar juridische adviseurs om hun belangen te beschermen of hun rechten af te dwingen. De juridische adviseurs zullen dergelijke gegevens verwerken als onafhankelijke Verwerkingsverantwoordelijken.

• Rechtbanken en regelgevende instanties: Kia EU of de Relevante Kia-Entiteit kan de gegevens bekendmaken aan rechtbanken of regelgevende instanties zoals vereist door de wet, of wanneer dit nodig is om te voldoen aan gerechtelijke procedures, gerechtelijke bevelen, verzoeken van regelgevende instanties of om hun belangen te beschermen of hun rechten af te dwingen. De betrokken rechtbanken of regelgevende instanties zullen dergelijke gegevens verwerken als onafhankelijke Verwerkingsverantwoordelijken.

• Overige: Kia EU of de Relevante Kia-Entiteit kan de gegevens bekendmaken aan andere derden (bijv. de beschuldigde persoon; externe leden van toezichthoudende organen), maar alleen indien dit wettelijk verplicht is.

7. Internationale doorgifte van Persoonsgegevens

Voor de Verwerking van de Relevante Persoonsgegevens zoals uiteengezet in deze Privacyverklaring kan het nodig zijn dat Kia EU of de Relevante Kia-Entiteit de Relevante Persoonsgegevens doorgeeft aan andere derde partijen, zoals vermeld in paragraaf 6 hierboven. De Relevante Persoonsgegevens zullen gewoonlijk echter niet worden doorgegeven aan een ontvanger die niet gevestigd is in een land dat lid is van de Europese Economische Ruimte (EER) of in een land waarvoor de Europese Commissie geen adequaatheidsbesluit heeft uitgevaardigd waarbij het betrokken land een adequaat niveau van gegevensbescherming biedt. Indien op enig moment Relevante Persoonsgegevens zouden worden doorgegeven aan een ontvanger in een land dat niet onder de bovengenoemde categorieën valt, zou een dergelijke doorgifte altijd onderworpen zijn aan passende waarborgen in overeenstemming met de AVG.

8. Bewaring van gegevens

Kia EU en de Relevante Kia-Entiteit zullen de Relevante Persoonsgegevens slechts Verwerken zolang dat nodig is voor de doeleinden die in deze Privacyverklaring zijn uiteengezet of voor zover vereist door de toepasselijke wetgeving. Bij het bepalen van de bewaartermijn houden Kia EU en de Relevante Kia-Entiteit rekening met de doeleinden waarvoor zij de Relevante Persoonsgegevens Verwerken en of dergelijke doeleinden kunnen worden bereikt zonder de gegevens, de categorieën van de relevante gegevens, risico's in het geval van een datalek en wettelijke verplichtingen die Kia EU of de Relevante Kia-Entiteit ertoe verplichten de gegevens te bewaren. Doorgaans betekent dit dat de Relevante Persoonsgegevens als volgt worden bewaard:

• Persoonsgegevens die voor de zaak niet relevant zijn, worden zonder onnodige vertraging gewist of anoniem gemaakt.

• Relevante Persoonsgegevens die zijn opgenomen in de documentatie met betrekking tot de betreffende zaak worden bewaard zolang als het nodig is om de melding te beoordelen, het onderzoek uit te voeren (indien van toepassing) en worden uiterlijk drie jaar na afronding van de beoordeling en/of het onderzoek (indien van toepassing) verwijderd of geanonimiseerd, tenzij er een gerechtelijke procedure of disciplinaire maatregelen worden gestart waarvoor verdere bewaring van de Relevante Persoonsgegevens vereist is of een andere bewaartermijn wordt voorgeschreven door de toepasselijke wetgeving, altijd op voorwaarde dat deze bewaring noodzakelijk en toereikend is.

9. Uw wettelijke rechten

Wanneer Kia EU of de Relevante Kia-Entiteit uw Persoonsgegevens verwerkt op basis van uw toestemming, hebt u het recht om uw toestemming te allen tijde in te trekken (Art. 7(3) AVG).

Als u vragen hebt over de Verwerking van uw Persoonsgegevens door Kia EU of de Relevante Kia-Entiteit, is Kia EU of de Relevante Kia-Entiteit (zoals van toepassing) uiteraard graag bereid u de informatie te verstrekken over de Persoonsgegevens die op u betrekking hebben en de daarmee verband houdende Verwerkingsactiviteiten (Art. 15 AVG). Op voorwaarde dat aan de wettelijke vereisten is voldaan, hebt u ook het recht om: (a) uw Persoonsgegevens te rectificeren (Art. 16 AVG); (b) uw Persoonsgegevens te wissen (Art. 17 AVG); en (c) de Verwerking van uw Persoonsgegevens te beperken (Art. 18 AVG). U hebt ook een recht op dataportabiliteit (Art. 20 AVG) net als het recht om een klacht in te dienen bij een gegevensbeschermingsautoriteit (Art. 77 AVG).

Uw recht om bezwaar te maken: Wanneer Kia EU of de Relevante Kia-Entiteit uw Persoonsgegevens Verwerkt op basis van Art. 6(1)(f) AVG, hebt u het recht om te allen tijde bezwaar te maken tegen een dergelijke Verwerking op gronden die verband houden met uw specifieke situatie (Art. 21(1) AVG).

Wanneer de Relevante Kia-Entiteit en Kia EU uw Persoonsgegevens als gezamenlijke Verwerkingsverantwoordelijken verwerken, wordt u verwezen naar paragraaf 2(a)-(c) om te bepalen welke entiteit op uw verzoek zal reageren.

10. Definities

"Verwerkingsverantwoordelijke": een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

"AVG"/"GDPR": (i) met betrekking tot Kia UK LTD als Verwerkingsverantwoordelijke, gaat het hier om de UK Data Protection Regulation op basis van de Data Protection Act 2018 (UK GDPR) en (ii) met betrekking tot de overige entiteiten van de Kia Europe-Groep die in bijlage 1 staan genoemd, gaat het om Verordening (EU) 2016/679 (Algemene Verordening Gegevensbescherming).

"Persoonsgegevens": alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.

"Verwerken"/"Verwerking": elke bewerking of elk geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, aligneren of combineren, alsmede het beperken, uitwissen of vernietigen van gegevens.

"Verwerker": een natuurlijke of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de Verwerkingsverantwoordelijke Persoonsgegevens verwerkt.

Bijlage 1. Informatie over de Verwerkingsverantwoordelijken

Kia Contactgegevens

Relevante Kia-groepsentiteiten	Contactgegevens	Contactgegevens van DPO
Kia Europe GmbH (Kia EU)	Theodor-Heuss-Allee 11, 60486 Frankfurt, Duitsland E-mail: info@kia-europe.com	dpo@kia-europe.com
Kia Nederland B.V.	De Corridor 25, 3621 ZA Breukelen, Nederland E-mail: info@kia.nl	info@kia.nl
Kia Austria GmbH	Sverigestrasse 5, 1220 Wien, Oostenrijk E-mail: office@kia.at	datenschutz@kia.at
Kia Belgium N.V.	Ikaroslaan 33, 1930 Zaventem, België E-mail: info@kia.be	privacy@kia.be
Kia France SAS	2 rue des Martinets, Rueil-Malmaison 92560, Frankrijk E-mail: relation.clientele@kia.fr	dpo@kia.fr
Kia Sales Slovakia s.r.o.	Einsteinova 19, Bratislava 851 01, Slowakije E-mail: info@kmss.sk	dpo@kiasales.sk
Kia Iberia S.L.U.	Calle de Anabel Segura, 16 Edificio Vega Norte, Planta 2, 28108 Alcobendas, Madrid, Spanje E-mail: contacto@kia.es	consultalopd@kia.es
Kia Deutschland GmbH	Theodor-Heuss-Allee 11, 60486 Frankfurt, Duitsland E-mail: info@kia.de	datenschutz@kia.de
Kia Sweden AB	Kanalvägen 10A, 194 61 Upplands Väsby, Zweden E-mail: info@kia.se	d.elander@kia.se
Kia Polska SP. Z.O.O.	Pulawska 366, 02-819 Warschau, Polen E-mail: infolinia@kiapolska.pl	iod@kiapolska.com.pl
Kia Czech s.r.o.	Jihlavská 1558/21, Michle 140 00, Praag 4, Tsjechische Republiek E-mail: kia-info@kia.cz	gdpr@kia.cz
Kia Hungary Kft.	1117 Budapest, Budafoki út 56, Hongarije E-mail: info@kiahungary.hu	adatvedelem@kiahungary.hu
Kia UK LTD	Walton Green, Walton-On-Thames, Surrey, KT12 1FJ, Verenigd Koninkrijk E-mail: dpo@kia.co.uk	dpo@kia.co.uk
Kia Ireland	Unit A8 Calmount Park, Calmount Road, Dublin, D12 X266, Ierland E-mail: admin@kiaireland.ie	dpo@kia.co.uk
Kia Italia S.r.l	Via Gallarate 184, 20151 Milaan, Italië E-mail: infokia@kia.it	dpo@kia.it
Kia Connect GmbH	Theodor-Heuss-Allee 11, 60486 Frankfurt, Duitsland E-mail: info@kia-connect.eu	dpo@kia-connect.eu

Bijlage 2. Wijzigingen op grond van lokaal recht

De volgende wijzigingen op grond van lokaal recht zijn van toepassing:

OOSTENRIJK

De EU-richtlijn inzake klokkenluiders is in Oostenrijk in de nationale wetgeving geïmplementeerd via de Oostenrijkse wet inzake de bescherming van klokkenluiders (HSchG). In gevallen waarin aanwijzingen van wetsovertredingen binnen het toepassingsgebied van de HSchG ("bestreken gebied") vallen, is de verwerking van deze informatie met het oog op het voorkomen en verhinderen van mogelijke wetsovertredingen gebaseerd op het nakomen van een wettelijke verplichting (Art. 6 lid 1c AVG in combinatie met §§2 e.v. HSchG).

BELGIË

Overeenkomstig de Belgische wet van 28 november 2022 betreffende de bescherming van melders van inbreuken ter omzetting van Richtlijn (EU) 2019/1937:
De volgende paragrafen worden toegevoegd aan Hoofdstuk 8 (Bewaring van gegevens) als laatste alinea's:

In het bijzonder geldt onder de Belgische wet betreffende de bescherming van melders van inbreuken dat de naam, de functie en de contactgegevens zowel van de melder en elke persoon tot wie de beschermings- en ondersteuningsmaatregelen zich uitstrekken, evenals van de betrokkene, met inbegrip van, in voorkomend geval, het ondernemingsnummer, worden bewaard tot wanneer de gemelde inbreuk is verjaard.

Kia Belgium zal een register met alle gedane meldingen bijhouden, onder strikte naleving van de vertrouwelijkheidsverplichting zoals uiteengezet in Hoofdstuk 11 van het Kia Compliance: Tell Me-beleid. Ongeacht bovenstaande alinea, en indien van toepassing, zullen de meldingen worden bewaard voor de duur van de contractrelatie tussen Kia Belgium en de Melders.

ITALIË

Hoofdstuk 4 wordt vervangen door:

Het beheer van een meldplatform voor wangedrag en het onderzoek van de zaken die op het platform worden gemeld, vereisen onvermijdelijk de Verwerking van Persoonsgegevens. In de eerste plaats heeft de Melder echter de volledige controle over wat er wordt gemeld. Het Tell Me-platform is namelijk een free form-systeem, wat betekent dat de Melder bij het indienen van de melding niet vooraf een indeling in categorieën hoeft te maken. Dit geldt ook voor de identiteit van de Melder, de beschuldigde, een getuige, of elke andere persoon die in de betreffende melding wordt genoemd (samen de "Betrokkenen", en elk een "Betrokkene").

Het beheer van een meldplatform voor wangedrag en het onderzoek van de zaken die op het platform worden gemeld, vereisen onvermijdelijk de Verwerking van Persoonsgegevens. In de eerste plaats heeft de Melder echter de volledige controle over wat er wordt gemeld. Het Tell Me-platform is namelijk een free form-systeem, wat betekent dat de Melder bij het indienen van de melding niet vooraf een indeling in categorieën hoeft te maken. Dit geldt ook voor de identiteit van de Melder, de beschuldigde, een getuige, of elke andere persoon die in de betreffende melding wordt genoemd (samen de "Betrokkenen", en elk een "Betrokkene").

Als Melder moet u altijd zorgvuldig overwegen of u uw identiteit bekendmaakt. Hoewel de identiteit van de Melder en elke andere derde die in het rapport wordt vermeld, met een hoge mate van vertrouwelijkheid zal worden behandeld, kan Kia EU of de relevante Kia-Entiteit onder bepaalde omstandigheden verplicht worden om de identiteit van de Melder of de relevante derde bekend te maken.
Om deze reden heeft de Kia Europe-Groep het Kia Compliance: Tell Me-platform ingevoerd. Dit is een specifiek hulpmiddel waarmee Melders anoniem een melding kunnen indienen. Raadpleeg het Kia Compliance: Tell Me beleid voor andere communicatiekanalen als u uw identiteit als Melder openbaar wilt maken.

Afhankelijk van het Tell Me-platform en het beheer van de ingediende meldingen kunnen Kia EU en de betreffende Kia-Entiteit (indien van toepassing) elk type persoonlijke gegevens verwerken. Naast de identificatie- en contactgegevens (waarvan de verwerking noodzakelijk is voor de verwerking van de melding), mag alle informatie in de melding worden verwerkt.

Kia EU en de betreffende Kia-Entiteit (indien van toepassing) mogen, onafhankelijk van hun eigen wil, persoonsgegevens verwerken die vallen onder bijzondere categorieën van gegevens volgens Artikel 9 AVG of persoonsgegevens met betrekking tot strafrechtelijke veroordelingen, strafbare feiten of daarmee verband houdende veiligheidsmaatregelen volgens Artikel 10 AVG die mogelijk zijn opgenomen in het verslag en/of in de daaraan verbonden akten en documenten.

Dergelijke gegevens worden uitsluitend gebruikt voor de verwerking van de melding met volledige inachtneming van de beginselen van evenredigheid en noodzakelijkheid; indien er niet-relevante gegevens of gegevens die niet strikt en objectief noodzakelijk zijn om de beweringen in de melding te verifiëren, worden gerapporteerd, zullen Kia EU en de betreffende Kia-Entiteit deze gegevens uit de melding en de betreffende datarecords verwijderen.

Zoals uiteengezet in het Kia Compliance: Tell Me-beleid, biedt die Kia Europe-Groep een hoog niveau van bescherming van de anonimiteit van de Melder in het geval de Melder besluit anoniem te blijven voor zover dit mogelijk en proportioneel is.

Om deze reden heeft de Kia Europe-Groep geen toegang tot technische gegevens waarmee een anonieme Melder kan worden geïdentificeerd (bijv. IP-adres, opgenomen spraakbestanden en inbelgegevens).

Hoofdstuk 5 is als volgt gewijzigd:

• De rechtsgrondslag "Uitvoering van een taak van algemeen belang (Art. 6 (1) e) AVG)): is niet van toepassing op Italië.
• Gerechtvaardigde belangen (Art. 6 (1) f) AVG): Indien de Verwerking van Relevante Persoonsgegevens niet noodzakelijk is om te voldoen aan een wettelijke verplichting, verwerkt de betreffende Kia-groep de Relevante Persoonsgegevens met het oog op haar gerechtvaardigde belangen, bestaande uit de bescherming van iemands contractuele en precontractuele rechten of, in elk geval, voortvloeiend uit bestaande relaties. De relevante Kia Europe-Groep zal altijd van geval tot geval bepalen of haar belangen moeten wijken voor de belangen of fundamentele rechten en vrijheden van de relevante persoon waarop de informatie betrekking heeft.

Zoals hierboven vermeld, mogen speciale categorieën van persoonsgegevens (uit Art. 9 AVG) die niet relevant zijn voor de zaak niet worden opgenomen in de meldingen die via het Tell Me-platform worden gedaan. Deze gegevens worden als zodanig verwijderd. Als en voor zover dergelijke gegevens relevant zijn voor de zaak, is de rechtsgrondslag voor de verwerking van dergelijke informatie Art. 9 (2) b) AVG (de verwerking is noodzakelijk om de verplichtingen na te komen en de specifieke rechten uit te oefenen door de verwerkingsverantwoordelijke of de betrokkene op het gebied van arbeidsrecht en sociale verzekeringsrecht en sociale bescherming, voor zover dit is toegestaan door de wetgeving van het land of de lidstaten of door een collectieve overeenkomst op basis van het recht van de lidstaten, onder voorbehoud van adequate waarborgen voor de fundamentele rechten en belangen van de betrokkene), Art. 9 (2) f) AVG (d.w.z. de verwerking is noodzakelijk voor de vaststelling, uitoefening of verdediging van rechtsvorderingen).

Hoofdstuk 6 is als volgt gewijzigd:

• Overige: Kia EU of de relevante Kia-instantie kan de gegevens bekendmaken aan derden, zoals externe leden van toezichthoudende organen, ondersteunende verslaggevende instanties, consultants of adviesbureaus, professionele bedrijven, evenals andere instanties die met Kia samenwerken in welke hoedanigheid dan ook, maar alleen als dit wettelijk verplicht is of als dit noodzakelijk is om de doelen te bereiken die in dit privacybeleid uiteengezet worden.

Hoofdstuk 9 is als volgt gewijzigd:

Wanneer u vragen hebt over het Verwerken van uw Persoonsgegevens door Kia EU of een desbetreffende Kia-entiteit, is Kia EU of de betreffende Kia-entiteit graag bereid om u informatie te verstrekken omtrent de Persoonsgegevens die u betreffen en de betrokken Verwerkingsactiviteiten (Art. 15 AVG). Onder de voorwaarde dat aan de wettelijke vereisten is voldaan, hebt u ook: (a) het recht op rectificatie van uw Persoonsgegevens (Art. 16 AVG); (b) het recht op wissen van uw Persoonsgegevens (Art. 17 AVG); en (c) het recht op beperking van de Verwerking van uw Persoonsgegevens (Art. 18 AVG). U hebt ook het recht om een klacht in te dienen bij de bevoegde gegevensbeschermingsautoriteit (Art. 77 AVG).

Hoofdstuk 10 is als volgt gewijzigd:

"Verantwoordelijk" betekent een natuurlijke of juridische persoon, openbare autoriteit, agency of andere instantie die de Persoonsgegevens verwerkt namens de Verwerker.

Aanvullend hoofdstuk:

Overeenkomstig Artikel 14 (2) f) AVG: Persoonsgegevens worden rechtstreeks verzameld bij de betrokken personen of bij derden, afhankelijk of het gaat om:
• gegevens met betrekking tot de klokkenluider, in welk geval de gegevens rechtstreeks worden verzameld bij de betrokken persoon die zijn of haar gegevens door het versturen van de melding communiceert:
• gegevens met betrekking tot andere betrokkenen (zoals de beschuldigde persoon, getuigen of andere personen die in de melding worden genoemd), in welk geval de gegevens worden verzameld bij derden, d.w.z. bij de persoon die de melding indient.

SPANJE

Kia Iberia S.L.U. (KES) zal de nodige verwerkingsactiviteiten doorvoeren voor het beheer van interne meldingen die u wenst in te dienen via het lokale kanaal dat door KES (KES-kanaal) is ingevoerd in haar hoedanigheid van Verwerkingsverantwoordelijke. U vindt het Privacybeleid van dit lokale interne meldingskanaal in Bijlage 2B.

Aan hoofdstuk 8 (Bewaring van gegevens) wordt het volgende toegevoegd:

Voor communicatie afkomstig uit Spanje en zoals vereist door de wet, moet deze communicatie na drie maanden zonder dat een onderzoek is gestart, worden verwijderd, tenzij het doel van deze opslag is om gegevens te bewaren over de werking van het systeem. Communicatie die niet is opgevolgd, mag alleen worden opgeslagen in in geanonimiseerde vorm.

ZWEDEN

De volgende paragraaf wordt toegevoegd aan hoofdstuk 1 (Inleiding) als laatste alinea:

Naast de Verwerking van Relevante Persoonsgegevens zoals beschreven in dit Privacybeleid, verwerkt Kia Sweden AB ("Kia Sweden" ) Persoonsgegevens in verband met het beheer van het meldingskanaal dat lokaal is opgericht door Kia Zweden ("Zweeds kanaal" ).
Informatie over het Verwerken van Persoonsgegevens door Kia Zweden via het Zweeds kanaal is te vinden in Bijlage 2A.

Hoofdstuk 5 (Doeleinden en Rechtsgrondslag voor Verwerking) wordt als volgt vervangen:

Kia EU en Kia Zweden verwerken de Relevante Persoonsgegevens voor de doeleinden van de initiële melding, de daaropvolgende beoordeling van de melding en het onderzoek naar de gemelde zaak.

De volgende rechtsgrondslagen zijn van toepassing op de Verwerkingsactiviteiten van Kia EU:

• Toestemming (art. 6 (1) a) AVG): Voor bepaalde Verwerkingen van Relevante Persoonsgegevens door Kia EU is de rechtsgrondslag de voorafgaande toestemming van de Melder (bijv. wanneer op verzoek van de Melder een videogesprek plaatsvindt tussen Kia EU en de Melder).
• Naleving van een wettelijke verplichting (Art. 6 (1) c) AVG): : Indien Kia EU wettelijk verplicht is om een dergelijk systeem voor het melden van wangedrag te implementeren en beschikbaar te stellen en voor zover een dergelijke implementatie en beschikbaarstelling de Verwerking van Relevante Persoonsgegevens vereist, is de rechtsgrondslag voor een dergelijke Verwerking het voldoen aan de wettelijke verplichting. In bepaalde rechtssystemen is het verplicht om systemen voor het melden van wangedrag te implementeren en aan te bieden.
• Uitvoering van een taak van algemeen belang (Art. 6 (1) e) AVG): : Hoewel de implementatie en beschikbaarstelling van systemen voor het melden van wangedrag verplicht kunnen zijn, is er in bepaalde rechtsgebieden geen verplichting voor Kia EU om een kanaal te implementeren waarmee meldingen op anonieme wijze ingediend of beoordeeld kunnen worden. In dat geval is de rechtsgrondslag voor de Verwerking van Relevante Persoonsgegevens de uitvoering van een taak van algemeen belang.
• Gerechtvaardigde belangen (Art. 6 (1) f) AVG): : Indien de Verwerking van Relevante Persoonsgegevens niet noodzakelijk is om te voldoen aan een wettelijke verplichting, verwerkt Kia EU de Relevante Persoonsgegevens met het oog op haar gerechtvaardigde belangen. Het gerechtvaardigde belang is het toezicht op de naleving van de toepasselijke wetten en statuten, interne voorschriften (zoals de Kia EU Compliance & Integrity Code) en het vaststellen en voorkomen van overtredingen en wangedrag. Kia EU zal altijd van geval tot geval bepalen of haar belangen moeten wijken voor de belangen of fundamentele rechten en vrijheden van de relevante persoon waarop de informatie betrekking heeft.

Zoals hierboven vermeld, worden speciale categorieën van persoonsgegevens (uit Art. 9 AVG) die niet relevant zijn voor de zaak niet opgenomen in de meldingen die via het Tell Me-platform worden gedaan. Deze gegevens worden verwijderd. Indien en voor zover dergelijke gegevens relevant zijn voor de zaak, is de toepasselijke rechtsgrondslag voor de Verwerking van dergelijke informatie ofwel Art. 9 (2) f) AVG (d.w.z. de Verwerking is noodzakelijk voor het vaststellen, uitoefenen of verdedigen van rechtsvorderingen), ofwel Art. 9 (2) g) AVG (d.w.z. de Verwerking is noodzakelijk om redenen van zwaarwegend algemeen belang, op basis van Europese of nationale wetgeving).

De volgende rechtsgrondslagen zijn van toepassing op de Verwerkingsactiviteiten van Kia Zweden:

• Gerechtvaardigde belangen (Art. 6 (1) f) AVG): De rechtsgrondslag onder AVG voor de Verwerking van Relevante Persoonsgegevens door Kia Zweden is het gerechtvaardigde belang van Kia Zweden om toezicht te houden op de naleving van de toepasselijke wetten en statuten, interne voorschriften (zoals de Kia EU Compliance & Integrity Code) en het vaststellen en voorkomen van overtredingen en wangedrag. Bij het delen van dergelijke Relevante Persoonsgegevens met andere partijen doet Kia Zweden een beroep op haar gerechtvaardigd belang om het gemelde wangedrag te onderzoeken of om actie te ondernemen in verband met de uitkomst van een onderzoek.
• De Verwerking is noodzakelijk voor het nakomen van de verplichtingen en het uitoefenen van specifieke rechten op het gebied van arbeidsrecht (Art. 9 (2) b) AVG): : Indien en voor zover Kia Zweden bijzondere categorieën van Relevante Persoonsgegevens verwerkt die relevant zijn om een melding te ontvangen en te onderzoeken, is de rechtsgrondslag in het kader van de AVG voor de Verwerking door Kia Zweden dat de Verwerking noodzakelijk is voor het uitvoeren van de verplichtingen en het uitoefenen van specifieke rechten op het gebied van arbeidsrecht
• De Verwerking is noodzakelijk voor het vaststellen, uitoefenen of verdedigen van rechtsvorderingen (Art. 9 (2) f) AVG): :Indien en voor zover Kia Zweden bijzondere categorieën van Relevante Persoonsgegevens deelt om actie te ondernemen in verband met de uitkomst van een onderzoek, is de rechtsgrondslag in het kader van de AVG voor het delen van de Relevante Persoonsgegevens door Kia Zweden dat dit noodzakelijk is voor het vaststellen, uitoefenen of verdedigen van rechtsvorderingen.
• De Verwerking is noodzakelijk om te onderzoeken of een persoon die binnen de Kia Europe-Groep een leidinggevende functie heeft of als een sleutelfiguur beschouwd wordt, betrokken is geweest bij ernstige onregelmatigheden of voor het vaststellen, uitoefenen of verdedigen van rechtsvorderingen (hoofdstuk 5 (2) van de Zweedse Aanvullende Verordening (2018:219) van de AVG (Zweeds: Förordning med kompletterande bestämmelser till EU:s dataskyddsförordning) en hoofdstuk 2(4) van Verordening DIFS 2018:2 inzake Integritetsskyddsmyndigheten (Zweeds: Föreskrifter om behandling av personuppgifter som rör lagöverträdelser) : Indien en voor zover Kia Zweden Relevante Persoonsgegevens verwerkt met betrekking tot (vermoedens van) strafrechtelijke veroordelingen en overtredingen van een persoon die binnen de Kia Europe-Groep een leidinggevende functie bekleedt of beschouwd wordt als sleutelfiguur, is de rechtsgrondslag voor de Verwerking door Kia Zweden dat de Verwerking noodzakelijk is om te onderzoeken of een dergelijke persoon betrokken is geweest bij ernstige onregelmatigheden. Indien en voor zover Kia Zweden Relevante Persoonsgegevens deelt met betrekking tot (vermoedens van) strafrechtelijke veroordelingen en overtredingen van een persoon die binnen de Kia Europe-Groep een leidinggevende functie bekleedt of beschouwd wordt als sleutelfiguur, om actie te ondernemen in verband met de uitkomst van een onderzoek, is de rechtsgrondslag in het kader van de AVG voor het delen van de Relevante Persoonsgegevens door Kia Zweden dat dit noodzakelijk is voor het vaststellen, uitoefenen of verdedigen van rechtsvorderingen.

Versie 15 december 2023