Tell Me Privacy

2. Administrator(rzy)

Jeżeli zgłoszona sprawa lub zdarzenie dotyczy wyłącznie sprawy Kia Europe GmbH ( „Kia EU” ), jedynym i niezależnym Administratorem Danych Osobowych przetwarzanych w związku z otrzymywaniem, analizowaniem i przetwarzaniem zgłoszeń przesyłanych za pośrednictwem platformy Tell Me ( „Właściwe Dane Osobowe” ) jest Kia EU.

Jeżeli zgłoszenie dotyczy sprawy innego podmiotu Grupy Kia Europe ( „Właściwy Podmiot Kia” ), Kia EU i Właściwy Podmiot Kia będą bardzo ściśle ze sobą współpracować przy ocenie i badaniu zgłoszonej sprawy (szczegóły dotyczące procesu obsługi sprawy znajdują się w Kia Compliance: Tell Me Policy ). W takim wypadku Kia EU i Właściwy Podmiot Kia wspólnie określą cele i sposoby Przetwarzania Właściwych Danych Osobowych jako tzw. Współadministratorzy. W tym celu określiły one swój zakres odpowiedzialności za zgodność z obowiązkami wynikającymi z RODO:

(a) W razie skorzystania z przysługujących Ci praw zgodnie z punktem 9 niniejszej Informacji o ochronie prywatności Właściwy Podmiot Kia będzie odpowiedzialny za ich wykonanie. Tym niemniej Kia EU niezwłocznie zapewni Właściwemu Podmiotowi Kia wszelką odpowiednią i niezbędną pomoc w celu spełnienia Twojego żądania zgodnie z RODO;

(b) Właściwy Podmiot Kia i Kia EU spełnią swoje zobowiązania w zakresie przekazania stosownych informacji na temat Przetwarzania Właściwych Danych Osobowych zgodnie z art. 13 i art. 14 RODO w następujący sposób: (i) każdy z nich udostępni niniejszą Informację o ochronie prywatności w swoim systemie intranetowym; (ii) Kia EU zapewni, aby niniejsza Informacja o ochronie prywatności została udostępniona na platformie Tell Me; (iii) w razie potrzeby i w zakresie, w jakim ma to zastosowanie, Właściwy Podmiot Kia przekaże Ci stosowne informacje zgodnie z art. 14 RODO.

(c) Niezależnie od punktów 2(a) i (b) powyżej, Właściwy Podmiot Kia i Kia EU przyjmują do wiadomości, że możesz korzystać ze swoich praw wynikających z RODO wobec każdego z nich w ramach ich kompetencji jako Współadministratorów. Należy jednak pamiętać, że to zazwyczaj Właściwy Podmiot Kia udzieli odpowiedzi na Twoje żądanie.

Dane kontaktowe każdego z podmiotów Grupy Kia Europe znajdują się w Załączniku 1.

3. Inspektor ochrony danych

W razie jakichkolwiek pytań dotyczących niniejszej Informacji o ochronie prywatności lub z nią związanych możesz również skontaktować się z inspektorem ochrony danych Kia EU pod adresem dpo@kia-europe.com lub inspektorem ochrony danych Właściwego Podmiotu Kia ( „IOD” ). Dane kontaktowe IOD każdego z podmiotów Grupy Kia Europe znajdują się w Załączniku 1.

4. Kategorie Danych Osobowych

Obsługa platformy do zgłaszania niewłaściwego postępowania oraz prowadzenie dochodzenia w sprawach zgłoszonych na platformie nieuchronnie wymaga Przetwarzania Danych Osobowych. Jednakże w pierwszej kolejności pełną kontrolę nad tym, co jest zgłaszane, ma Osoba zgłaszająca. Wynika to z faktu, że platforma Tell Me jest systemem bezformatowym, co oznacza, że Osoba zgłaszająca nie musi z góry dokonywać żadnej kategoryzacji podczas dokonywania zgłoszenia.
Dotyczy to również tożsamości Osoby zgłaszającej, osoby oskarżanej, świadka lub innej osoby, która jest wymieniona w danym zgłoszeniu (łącznie zwanych dalej „Właściwymi Osobami, których dane dotyczą” , a każda z nich z osobna „Właściwą Osobą, której dane dotyczą” ).

Osoba zgłaszająca powinna zawsze dokładnie rozważyć, czy ujawniać swoją tożsamość. Chociaż tożsamość Osoby zgłaszającej lub osoby trzeciej wymienionej w zgłoszeniu będzie traktowana z zachowaniem wysokiego poziomu poufności, w pewnych okolicznościach Kia EU lub Właściwym Podmiot Kia mogą być zobowiązani do ujawnienia tożsamości Osoby zgłaszającej lub danej osoby trzeciej. Z tego też względu Grupa Kia Europe wdrożyła platformę Kia Compliance: Tell Me, będącą specjalnym narzędziem umożliwiającym Osobom zgłaszającym dokonanie zgłoszenia w sposób anonimowy. Zapoznaj się z Kia Compliance: Tell Me Policy w zakresie innych kanałów komunikacji, jeżeli chcesz ujawnić swoją tożsamość jako Osoba zgłaszająca.

Rodzaje Danych Osobowych przetwarzanych przez Kia EU i Właściwy Podmiot Kia (jeśli dotyczy) w związku z platformą Tell Me i obsługą odpowiednich zgłoszeń mogą obejmować dowolne z poniższych informacji dotyczących Właściwej Osoby, której dane dotyczą (zawsze z zastrzeżeniem treści i informacji podanych w zgłoszeniu przez Osobę zgłaszającą): imię i nazwisko, płeć, narodowość, adres i miasto; numer telefonu (komórkowego); adres e-mail; funkcja (tytuł); rola i stanowisko w spółce; dział; numery administracyjne/numery pracowników; opis i okoliczności zdarzenia; podjęte środki; raporty z dochodzenia; inne dane dotyczące zdarzenia (np. data, godzina i miejsce); kod dostępu; plik dźwiękowy i adres IP oraz inne dane techniczne; rejestry zgód (tj. rejestry zgód udzielonych przez Osobę zgłaszającą).

Zgodnie z Kia Compliance: Tell Me Policy , Grupa Kia Europe zapewnia wysoki poziom ochrony anonimowości Osoby zgłaszającej w przypadku, gdy zdecyduje się ona zachować anonimowość w możliwym zakresie i zgodnie z zasadą proporcjonalności. W związku z tym Grupa Kia Europe nie będzie miała dostępu do żadnych danych technicznych umożliwiających identyfikację anonimowej Osoby zgłaszającej (np. adres IP, nagrane pliki głosowe i dane dotyczące połączeń telefonicznych).

Osoby zgłaszające proszone są o niepodawanie żadnych szczególnych kategorii Danych Osobowych, takich jak pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność do związków zawodowych oraz dane dotyczące zdrowia lub życia seksualnego, które nie są istotne dla sprawy. W razie podania takich nieistotnych danych w zgłoszeniu Kia EU i Właściwy Podmiot Kia usuną je ze zgłoszenia i odnośnych zbiorów danych. To samo dotyczy Danych Osobowych, które nie są ściśle i obiektywnie niezbędne do weryfikacji zarzutów zawartych w zgłoszeniu.

5. Cele i podstawa prawna Przetwarzania

Kia EU i Właściwy Podmiot Kia przetwarzają Właściwe Dane Osobowe na potrzeby wstępnego zgłoszenia, późniejszego przeglądu danego zgłoszenia oraz dochodzenia w zgłoszonej sprawie.

Podstawy prawne mające zastosowanie do tych czynności Przetwarzania są następujące:

• Zgoda (art. 6 ust. 1 lit. a) RODO): Podstawą prawną niektórych czynności Przetwarzania Właściwych Danych Osobowych przez właściwy podmiot Grupy Kia Europe jest uprzednia zgoda Osoby zgłaszającej (np. jeżeli spotkanie pomiędzy właściwym podmiotem Grupy Kia Europe a Osobą zgłaszającą – na wniosek Osoby zgłaszającej – ma formę telerozmowy).

• Wypełnienie obowiązku prawnego (art. 6 ust. 1 lit. c) RODO): Wdrożenie i udostępnienie systemów zgłaszania niewłaściwego postępowania jest obowiązkowe w niektórych jurysdykcjach. Jeżeli podmiot Grupy Kia Europe jest prawnie zobowiązany do wdrożenia i udostępnienia takiego systemu zgłaszania niewłaściwego postępowania i w zakresie, w jakim takie wdrożenie i udostępnienie wymaga Przetwarzania Właściwych Danych Osobowych, podstawą prawną takiego Przetwarzania jest wypełnienie obowiązku prawnego.

• Wykonanie zadania realizowanego w interesie publicznym (art. 6 ust. 1 lit. e) RODO): Chociaż wdrożenie i udostępnienie systemów zgłaszania niewłaściwego postępowania może być obowiązkowe w niektórych jurysdykcjach, właściwy podmiot Grupy Kia Europe nie jest zobowiązany do wdrożenia kanału umożliwiającego anonimowe dokonywanie zgłoszeń lub przegląd zgłoszeń dokonanych anonimowo. W takim przypadku podstawą prawną Przetwarzania Właściwych Danych Osobowych jest wykonanie zadania realizowanego w interesie publicznym.

• Prawnie uzasadnione interesy (art. 6 ust. 1 lit. f) RODO): W przypadku, gdy Przetwarzanie Właściwych Danych Osobowych nie jest niezbędne w celu wypełnienia obowiązku prawnego, właściwy podmiot Grupy Kia Europe przetwarza Właściwe Dane Osobowe na potrzeby realizacji celów swoich prawnie uzasadnionych interesów. Prawnie uzasadnionym interesem jest monitorowanie zgodności z obowiązującymi prawami i ustawami, wewnętrznymi regulacjami (np. Kodeksem Zgodności i Spójności Kia EU) oraz wykrywanie niewłaściwych działań i postępowań oraz zapobieganie im. Właściwy podmiot Grupy Kia Europe zawsze określi indywidualnie, czy jego interesy są nadrzędne wobec interesów lub podstawowych praw i obowiązków danej osoby, której informacje dotyczą.

Jak wspomniano powyżej, szczególne kategorie Danych Osobowych, które nie są istotne dla danej sprawy, nie będą uwzględniane w zgłoszeniach dokonywanych na platformie Tell Me i będą odpowiednio usuwane. Jednakże, jeżeli i w zakresie, w jakim takie dane są istotne dla sprawy, właściwą podstawą prawną dla Przetwarzania takich informacji jest art. 9 ust. 2 lit. f) RODO (tj. Przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń prawnych) albo art. 9 ust. 2 lit. g) RODO (tj. Przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego).

6. Ujawnienie Danych Osobowych osobom trzecim

Kia EU i Właściwy Podmiot Kia będą traktować Właściwe Dane Osobowe z zachowaniem wysokiego poziomu poufności. Dane będą ujawniane wyłącznie w związku z celami Przetwarzania określonymi powyżej i zawsze zgodnie z obowiązującymi przepisami prawa. Możliwymi odbiorcami Właściwych Danych Osobowych są poniższe firmy, instytucje lub osoby:

• Dostawcy usług: Do nich zalicza się People Intouch B.V. (i jej zatwierdzonych podwykonawców) jako operatora platformy Tell Me z siedzibą pod adresem Olympisch Stadion 6, 1076 DE Amsterdam, Holandia. People Intouch B.V. będzie przetwarzać Właściwe Dane Osobowe jako Podmiot przetwarzający Kia EU i wyłącznie zgodnie z instrukcjami Kia EU. W związku z tym Kia EU i People Intouch B.V. zawarli umowę powierzenia przetwarzania danych.

• Doradcy prawni: W niektórych przypadkach Kia EU lub Właściwy Podmiot Kia mogą ujawniać dane swoim doradcom prawnym w celu ochrony swoich interesów lub egzekwowania przysługujących im praw. Doradcy prawni będą przetwarzać takie dane jako niezależni Administratorzy.

• Sądy i organy regulacyjne: Kia EU lub Właściwy Podmiot Kia mogą ujawniać dane sądom lub organom regulacyjnym zgodnie z wymogami prawa lub gdy jest to koniecznie w ramach postępowań sądowych, na mocy nakazów sądowych, żądań organów regulacyjnych lub w celu ochrony swoich interesów lub egzekwowania przysługujących im praw.

• Właściwe sądy lub organy regulacyjne będą Przetwarzać te dane jako niezależni Administratorzy.

• Inne: Kia EU lub Właściwy Podmiot Kia mogą ujawniać dane innym osobom trzecim (np. osobie oskarżanej, zewnętrznym członkom organów nadzorczych), ale tylko wtedy, gdy wymaga tego prawo. Takie osoby trzecie będą Przetwarzać te dane jako niezależni Administratorzy.

7. Międzynarodowe przekazywanie Danych Osobowych

W celu Przetwarzania Właściwych Danych Osobowych zgodnie z niniejszą Informacją o ochronie prywatności Kia EU lub Właściwy Podmiot Kia mogą być zmuszeni do przekazania Właściwych Danych Osobowych innym osobom trzecim, jak wskazano w punkcie 6 powyżej. Jednakże Właściwe Dane Osobowe zasadniczo nie będą przekazywane odbiorcy nieznajdującemu się w kraju, który nie należy do Europejskiego Obszaru Gospodarczego (EOG) lub w stosunku do którego Komisja Europejska nie wydała decyzji stwierdzającej odpowiedni poziom ochrony danych. Jeżeli kiedykolwiek jakiekolwiek Właściwe Dane Osobowe zostaną przekazane odbiorcy w kraju, który nie zalicza się do wyżej wymienionych kategorii, takie przekazanie będzie zawsze podlegało odpowiednim zabezpieczeniom zgodnie z RODO.

8. Przechowywanie danych

Kia EU i Właściwy Podmiot Kia będą przetwarzać Właściwe Dane Osobowe wyłącznie przez okres niezbędny do realizacji celów określonych w niniejszej Informacji o ochronie prywatności lub zgodnie z obowiązującym prawem. Przy określaniu okresu przechowywania danych Kia EU i Właściwy Podmiot Kia uwzględniają cele, dla których przetwarzają Właściwe Dane Osobowe i to, czy cele te można osiągnąć bez tych danych, kategorie właściwych danych, ryzyka związane z naruszeniem danych oraz zobowiązania prawne, które wymagają od Kia EU lub Właściwego Podmiotu Kia przechowywania danych.

Zazwyczaj oznacza to, że Właściwe Dane Osobowe będą przechowywane w następujący sposób:

• Dane Osobowe nieistotne dla sprawy będą usuwane lub anonimizowane bez zbędnej zwłoki.

• Właściwe Dane Osobowe zawarte w dokumentacji dotyczącej danej sprawy będą przechowywane przez czas niezbędny do oceny zgłoszenia, przeprowadzenia dochodzenia (jeżeli dotyczy), a następnie zostaną usunięte lub zanonimizowane najpóźniej w ciągu trzech lat od zakończenia oceny i/lub dochodzenia, chyba że zostanie wszczęte postępowanie prawne lub dyscyplinarne, w przypadku którego wymagane jest dalsze przechowywanie Właściwych Danych Osobowych, lub inny okres przechowywania jest wymagany przez obowiązujące prawo, zawsze z zastrzeżeniem, że takie przechowywanie jest niezbędne i stosowne.

9. Twoje prawa

W przypadku, gdy Kia EU lub Właściwy Podmiot Kia przetwarza Twoje Dane Osobowe na podstawie Twojej zgody, masz prawo do wycofania swojej zgody w dowolnym momencie (art. 7 ust. 3 RODO).

W razie jakichkolwiek pytań dotyczących Przetwarzania Twoich Danych Osobowych przez Kia EU lub Właściwy Podmiot Kia, Kia EU lub Właściwy Podmiot Kia (jeśli dotyczy) na Twoją prośbę udzieli Ci informacji na temat Twoich Danych Osobowych oraz związanych z nimi czynności Przetwarzania (art. 15 RODO). Z zastrzeżeniem spełnienia wymogów prawnych masz również prawo do: (a) sprostowania swoich Danych Osobowych (art. 16 RODO); (b) usunięcia swoich Danych Osobowych (art. 17 RODO); oraz (c) ograniczenia Przetwarzania swoich Danych Osobowych (art. 18 RODO).

Przysługuje Ci również prawo do przenoszenia danych (art. 20 RODO) oraz prawo do złożenia skargi do organu ochrony danych (art. 77 RODO).

Twoje prawo do sprzeciwu: W przypadku, gdy Kia EU lub Właściwy Podmiot Kia przetwarza Twoje Dane Osobowe na podstawie art. 6 ust. 1 lit. f) RODO, przysługuje Ci prawo do wniesienia sprzeciwu wobec takiego Przetwarzania w dowolnym momencie z przyczyn związanych z Twoją szczególną sytuacją (art. 21 ust. 1 RODO).

W przypadku, gdy Właściwy Podmiot Kia i Kia UE przetwarzają Twoje Dane Osobowe jako Współadministratorzy, zapoznaj się z punktem 2(a)-(c) w celu ustalenia, który z podmiotów odpowie na Twoje żądanie.

10. Definicje

„Administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby Przetwarzania danych osobowych.

„RODO” oznacza (i) w odniesieniu do Kia UK LTD jako Administratora, brytyjskie Rozporządzenie o ochronie danych dostosowane przez Ustawę z 2018 r. o ochronie danych (brytyjskie RODO); oraz (ii) w odniesieniu do wszystkich pozostałych podmiotów Grupy Kia Europe wymienionych w Załączniku 1, Rozporządzenie (UE) 2016/679 (Ogólne rozporządzenie o ochronie danych).

„Dane Osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

„Przetwarzać”/„Przetwarzanie” oznacza wszelkie działania lub szereg działań wykonywanych na Danych Osobowych lub na zbiorach Danych Osobowych, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptacja lub zmiana, pobieranie, konsultowanie, wykorzystywanie, ujawnianie przez przesyłanie, rozpowszechnianie lub udostępnianie w inny sposób, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

„Podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza Dane Osobowe w imieniu Administratora.

Załącznik 1 – Dane Administratorów

Załącznik 2 – Zmiany wynikające z przepisów prawa miejscowego

Wersja 15, grudzień 2023 r.