Tell Me Privacy
-
Obsah
1. Úvod
2. Prevádzkovatelia
3. Splnomocnenec pre ochranu údajov
4. Kategórie osobných údajov
5. Účely a právny základ spracúvania osobných údajov
6. Zverejňovanie osobných údajov tretím stranám
7. Medzinárodný prenos osobných údajov
8. Uchovávanie údajov
9. Vaše zákonné práva
10. Definície
Príloha 1 Podrobnosti o prevádzkovateľoch
Príloha 2 Zmeny a doplnenia miestnych zákonov
1. Úvod
Toto vyhlásenie o ochrane osobných údajov ( „Vyhlásenie o ochrane osobných údajov“
) vydáva každý subjekt skupiny Kia uvedený v prílohe 1 nižšie ( „Kia Europe Group“
). Účelom tohto Vyhlásenia o ochrane osobných údajov je informovať vás o spracúvaní vašich osobných údajov zo strany príslušného subjektu Kia Europe Group v súvislosti s riešením hlásení predložených súčasnými alebo bývalými zamestnancami, skupiny Kia Europe Group vrátane manažérov, členov predstavenstva, dočasných pracovníkov, zahraničných koordinátorov, stážistov, ako aj osôb pracujúcich pod dohľadom a vedením dodávateľov, subdodávateľov a dodávateľov skupiny Kia Europe Group (ďalej len „oznamovatelia“
) na platforme pre nahlasovanie postupov v rozpore s pravidlami Kia Compliance: Tell Me (ďalej len „platforma Tell Me“
). Zmeny a doplnenia tohto Vyhlásenia o ochrane osobných údajov v súlade s miestnymi zákonmi nájdete v prílohe 2.
Platforma Tell Me poskytuje oznamovateľom vyhradený komunikačný kanál na hlásenie porušení externých zákonov a štatútov, ako aj porušení interných predpisov (napr. Kia EU Compliance & Integrity Code
), ktoré sa vzťahujú na príslušný subjekt skupiny Kia Europe Group. Ďalšie informácie o platforme Tell Me a čase či postupe podávania hlásení nájdete uvedené v dokumente Kia Compliance: Tell Me Policy
2. Splnomocnenec pre ochranu údajov
V súvislosti s hláseným prípadom alebo incidentom, ktorý sa vzťahuje výlučne na Kia Europe GmbH ( „Kia EÚ“
), je Kia EÚ výlučným a nezávislým prevádzkovateľom osobných údajov spracovaných v súvislosti s príjmom, analýzou a spracovaním hlásení odoslaných cez platformu Tell Me ( „príslušné osobné údaje“
).
Ak sa hlásenie týka iného subjektu Kia Europe Group ( „príslušný subjekt Kia“
), Kia EÚ a príslušný subjekt Kia bude úzko spolupracovať pri posudzovaní a prešetrovaní hláseného prípadu (podrobnosti procesu spracúvania prípadu sú uvedené v Kia Compliance: Tell Me Policy
). V takomto prípade Kia EU a príslušný subjekt Kia spoločne rozhodnú o účeloch a postupoch spracovania príslušných osobných údajov, a to v pozícii takzvaných spoločných prevádzkovateľov.
Na tento účel určili svoje príslušné povinnosti pri dodržiavaní záväzkov podľa GDPR nasledovne:
(a) V prípade, že si budete uplatňovať svoje zákonné práva v súlade s kapitolou 9 tohto Vyhlásenia o ochrane osobných údajov, za udelenie takýchto oprávnení bude zodpovedný príslušný subjekt Kia. Spoločnosť Kia EÚ však príslušnému subjektu Kia urýchlene poskytne akúkoľvek pomoc potrebnú a nevyhnutnú na splnenie vašej požiadavky v súlade s nariadením GDPR.
(b) Príslušný subjekt Kia a Kia EÚ dodržia svoje povinnosti týkajúce sa poskytovania relevantných informácií o spracúvaní príslušných osobných údajov v súlade s čl. 13 a čl. 14 GDPR, a to nasledovne: každá zo strán sprístupní toto Vyhlásenie o ochrane osobných údajov na svojich intranetových systémoch, (ii) Kia EÚ zabezpečí, aby toto Vyhlásenie o ochrane osobných údajov bolo prístupné na platforme Tell Me a (iii) príslušný subjekt Kia vám v platnom rozsahu poskytne informácie v súlade s čl. 14 nariadenia GDPR.
(c) Bez ohľadu na vyššie uvedenú kapitolu 2(a) a (b), príslušný subjekt Kia a spoločnosť Kia EÚ z pozície spoločných prevádzkovateľov uznávajú, že si svoje práva podľa GDPR môžete uplatniť voči ktorémukoľvek z nich. Upozorňujeme však, že obyčajne na vašu príslušnú požiadavku zareaguje príslušný subjekt spoločnosti Kia.
Kontaktné údaje všetkých príslušných subjektov v rámci Kia Europe Group nájdete v prílohe 1.
3. Splnomocnenec pre ochranu údajov
V prípade akýchkoľvek otázok súvisiacich s týmto vyhlásením o ochrane osobných údajov sa môžete obrátiť buď na splnomocnenca pre ochranu údajov Kia EU na adrese dpo@kia-europe.com
alebo na splnomocnenca pre ochranu údajov príslušného subjektu Kia („Splnomocnenec pre ochranu údajov“
). Kontaktné údaje na splnomocnenca pre ochranu údajov jednotlivých príslušných subjektov v rámci Kia Europe Group sú uvedené v prílohe 1.
4. Kategórie osobných údajov
Prevádzka platformy na oznamovanie priestupkov a vyšetrovanie prípadov nahlásených na platforme si nevyhnutne vyžadujú spracúvanie osobných údajov. V prvom rade má však oznamovateľ úplnú kontrolu nad tým, čo oznamuje.
Dôvodom je to, že platforma Tell Me je systém bez štruktúrovaných formulárov, čo znamená, že oznamovateľ pri podávaní oznámenia nemusí vopred vyberať žiadne kategórie. Vzťahuje sa to aj na totožnosťoznamovateľa, obvinenej osoby, svedka
alebo akejkoľvek inej osoby, ktorá je uvedená v príslušnom oznámení
(ďalej spoločne označované ako „dotknuté osoby“
a každý z nich je „dotknutou osobou“
).
Ako oznamovateľ by ste mali vždy dôkladne zvážiť, či zverejníte svoju totožnosť. Hoci totožnosť oznamovateľa a akejkoľvek inej tretej strany uvedenej v oznámení bude vedená ako dôverná, za určitých okolností môže byť spoločnosť Kia EÚ alebo príslušný subjekt Kia povinný zverejniť totožnosť oznamovateľa alebo príslušnej tretej strany. Preto skupina Kia Europe Group zaviedla systém Kia Compliance: Je to špeciálny nástroj, ktorý umožňuje oznamovateľom podávať anonymné oznámenia.
Prečítajte si Kia Compliance: Tell Me Policy
, kde nájdete informácie o ďalších komunikačných kanáloch v prípade, ak si želáte uviesť svoju totožnosť v pozícii oznamovateľa.
Typy osobných údajov, ktoré spoločnosť Kia EU a príslušný subjekt Kia (ak je k dispozícii) spracúvajú v súvislosti s platformou Tell Me, môžu zahŕňať akékoľvek z nasledujúcich informácií týkajúcich sa príslušnej dotknutej osoby (vždy na základe obsahu a informácií, ktoré oznamovateľ uvádza vo svojom oznámení): meno, pohlavie, štátna príslušnosť, adresa a mesto, (mobilné) telefónne číslo, e-mailová adresa, (funkcia) titul, úloha a pozícia v spoločnosti, oddelenie, administratívne čísla/čísla zamestnancov, charakteristika a okolnosti incidentu, prijaté opatrenia, správy z vyšetrovania, iné údaje týkajúce sa incidentu (napr. dátum, čas a miesto), prístupový kód, zvukový súbor a IP adresa ako aj iné technické údaje, záznamy o súhlasoch (t. j. záznamy o súhlasoch udelených oznamovateľom).
Ako je uvedené v programe Kia Compliance: Tell Me Policy
skupiny Kia Europe Group poskytujú vysokú úroveň ochrany anonymity oznamovateľa v prípade, že sa oznamovateľ rozhodne zostať v anonymite v maximálne možnej miere. Za týmto účelom nebude mať skupina Kia Europe Group prístup k žiadnym technickým údajom, ktoré by mohli identifikovať anonymitu oznamovateľa (napr. adresa IP, nahrané hlasové súbory a údaje o volaniach).
Ak ste v pozícii oznamovateľa, vyhýbajte sa poskytovaniu akýchkoľvek osobitých kategórií, osobných údajov, akými sú rasový či etnický pôvod, politické názory, vierovyznanie, či filozofické presvedčenie, informácie o členstve v odboroch a informácie týkajúce sa vášho zdravia či sexuálneho života, ktoré pre daný prípad nie sú relevantné. Ak sú takéto nerelevantné údaje uvedené v hlásení, spoločnosť Kia EÚ a príslušný subjekt Kia vymažú tieto údaje zo správy a aj z príslušných súborov s údajmi. Rovnaký princíp platí aj pre osobné údaje, ktoré nie sú bezpodmienečne a objektívne nevyhnutné na overenie obvinení vyplývajúcich z hlásenia.
5. Účely a právny základ spracúvania osobných údajov
Kia EÚ a príslušný subjekt Kia spracúvajú príslušné osobné údaje na účely umožnenia podania hlásenia, následného posúdenia príslušného hlásenia a prešetrovanie hláseného prípadu.
Na tieto činnosti, spojené so spracovaním, sa vzťahujú nasledujúce právne základy:
• Súhlas (čl. 6 ods. 1 písm. a) GDPR):
v prípade spracúvania niektorých relevantných osobných údajov príslušným subjektom skupiny Kia Europe Group je právnym základom predchádzajúci súhlas oznamovateľa (napr. ak sa stretnutie medzi príslušným subjektom skupiny Kia Europe Group a oznamovateľom – na žiadosť oznamovateľa – uskutoční prostredníctvom videohovoru).
• Dodržiavanie zákonnej povinnosti (čl. 6 ods. 1 písm. c) GDPR):
Zavedenie a poskytovanie systémov oznamovania pochybení je v niektorých jurisdikciách povinné. Ak sa od subjektu skupiny Kia Europe Group vyžaduje, aby zaviedol a poskytol takýto systém oznamovania priestupkov, a v rozsahu, v akom si takéto zavedenie a poskytovanie vyžaduje spracúvanie príslušných osobných údajov, právnym základom takéhoto spracúvania je dodržiavanie príslušnej právnej povinnosti.
• Plnenie úlohy vykonávanej vo verejnom záujme (čl. 6 ods. 1 písm. e) GDPR):
Hoci zavedenie a poskytovanie systémov na oznamovanie pochybení môže byť povinné, v niektorých jurisdikciách neexistuje požiadavka, aby príslušný subjekt skupiny Kia Europe Group zaviedol systém, ktorý by umožňoval anonymné oznamovanie, alebo aby preskúmal oznámenia, ktoré boli podané anonymne. V takom prípade je právnym základom spracúvania príslušných osobných údajov plnenie úlohy vykonávanej vo verejnom záujme.
• Oprávnené záujmy (čl. 6 ods. 1 písm. f) GDPR):
Ak spracovanie príslušných osobných údajov nie je nevyhnutné na splnenie zákonných povinností, príslušný subjekt skupiny Kia Europe Group spracúva príslušné osobné údaje na účely svojich oprávnených záujmov. Oprávneným záujmom je monitorovanie dodržiavania platných zákonov a štatútov, interných predpisov (napr. kódexu dodržiavania predpisov a integrity spoločnosti Kia EÚ) a odhaľovanie a predchádzanie protiprávnemu konaniu a pochybeniam. Príslušný subjekt zo skupiny Kia Europe Group určí vždy v závislosti od konkrétneho prípadu, či sú jeho záujmy nadradené záujmom alebo základným právam a slobodám príslušnej osoby, ktorej sa informácie týkajú.
Ako už bolo spomínané, špeciálne kategórie osobných údajov, ktoré nie sú relevantné pre daný prípad, nemajú byť súčasťou hlásení predkladaných cez platformu Tell Me, a preto dôjde k ich vymazaniu.
Ak sú však takéto údaje relevantné pre daný prípad a v rozsahu, v akom sú relevantné, uplatniteľným právnym základom pre spracúvanie takýchto informácií je buď čl. 9 ods. 2 písm. f) GDPR (t. j. spracúvanie je nevyhnutné na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov) alebo čl. 9 ods. 2 písm. g) GDPR (t. j. spracúvanie je nevyhnutné z dôvodov dôležitého verejného záujmu na základe práva Európskej únie alebo vnútroštátneho práva).
6. Zverejňovanie osobných údajov tretím stranám
Spoločnosť Kia EÚ a príslušný subjekt Kia budú s relevantnými osobnými údajmi zaobchádzať s veľmi dôverne.
Údaje sa budú zverejňovať výlučne v spojení s vyššie uvedenými účelmi spracúvania a vždy v súlade s platnými zákonmi. Medzi možných príjemcov relevantných osobných údajov, patria nasledovné spoločnosti, inštitúcie alebo osoby:
• Poskytovateľ služieb:
Patrí sem spoločnosť People Intouch B.V. (a jej schválení vedľajší spracovatelia), ktorá je prevádzkovateľom platformy Tell Me. Spoločnosť má sídlo na adrese Olympisch Stadion 6, 1076 DE Amsterdam, Holandsko. People Intouch B.V. bude spracúvať príslušné osobné údaje v pozícii prevádzkovateľa Kia EÚ, a to výlučne v súlade s pokynmi zo strany spoločnosti Kia EÚ. Spoločnosť Kia EÚ a spoločnosť People Intouch B.V. uzavreli na tento účel dohodu o spracovávaní osobných údajov.
• Právni poradcovia:
V niektorých prípadoch môže Kia EÚ alebo príslušný subjekt Kia poskytnúť údaje svojim právnym poradcom, a to v záujme ochrany svojich záujmov, prípadne pri uplatňovaní svojich práv. Právni poradcovia budú tieto údaje spracovávať ako nezávislí prevádzkovatelia.
• Súdy a regulačné orgány:
Kia EÚ alebo príslušný subjekt spoločnosti Kia môže údaje poskytnúť súdom alebo regulačným orgánom v takých prípadoch, keď to vyžaduje zákon, alebo ak je to potrebné, aby vyhoveli súdnym konaniam, súdnym príkazom, žiadostiam regulačných orgánov alebo aby chránili svoje záujmy alebo presadzovali svoje práva. Príslušné súdy alebo regulačné orgány budú takéto údaje spracúvať v pozícii nezávislých prevádzkovateľov.
• Ostatné:
Spoločnosť Kia EÚ alebo príslušný subjekt Kia môže poskytnúť údaje iným tretím stranám (napr. obvinenej osobe; externým členom dozorných orgánov), ale len ak to vyžaduje zákon. Takéto tretie strany budú príslušné údaje spracúvať ako nezávislí prevádzkovatelia.
7. Medzinárodný prenos osobných údajov
Na účely spracovania príslušných osobných údajov uvedených v tomto vyhlásení o ochrane osobných údajov môže spoločnosť Kia EÚ alebo príslušný subjekt Kia preniesť príslušné osobné údaje tretím stranám, a to na základe ustanovení uvedených v kapitole 6. Príslušné osobné údaje sa však osobne nebudú prenášať príjemcovi, ktorý sa nenachádza v členskej krajine Európskeho hospodárskeho priestoru (EHP), prípadne do krajiny, pre ktorú Európska komisia neprijala príslušné rozhodnutie o tom, že daná krajina poskytuje adekvátnu úroveň zabezpečenia údajov. Ak by sa kedykoľvek stalo, že by došlo k prenosu príslušných osobných údajov príjemcovi v krajine, ktorá nespadá do vyššie uvedených kategórií, musí takýto prenos vždy podliehať bezpečnostným opatreniam vyplývajúcim z ustanovení nariadenia GDPR.
8. Data Retention
Spoločnosť Kia EÚ a príslušný subjekt spoločnosti Kia budú spracúvať relevantné osobné údaje iba tak dlho, ako to bude potrebné na účely uvedené v tomto vyhlásení o ochrane osobných údajov alebo ako to vyžadujú platné zákony. Pri určovaní obdobia uchovávania údajov Kia EÚ a príslušný subjekt Kia zohľadňujú účely spracovania osobných údajov, skutočnosť, či daný účel možno dosiahnuť bez ich použitia, kategórie príslušných údajov, riziká spojené s únikom takýchto údajov a právne povinnosti, na základe ktorých má spoločnosť Kia EÚ alebo príslušný subjekt Kia povinnosť takéto údaje uchovávať.
Obyčajne to znamená, že sa príslušné osobné údaje budú uchovávať nasledovne:
• Osobné údaje, ktoré nie sú relevantné pre prípad, budú bez zbytočného oneskorenia vymazané alebo anonymizované.
• Relevantné osobné údaje, ktoré sú obsiahnuté v dokumentácii týkajúcej sa príslušnej záležitosti, sa uchovávajú tak dlho, ako je to potrebné na posúdenie správy, vykonanie šetrenia (ak je to potrebné), a vymažú sa alebo anonymizujú najneskôr do troch rokov od ukončenia posúdenia a/alebo šetrenia (ak bolo potrebné), pokiaľ sa nezačne súdne konanie alebo disciplinárne opatrenia, pre ktoré sa vyžaduje ďalšie uchovávanie príslušných osobných údajov, alebo ak sa podľa platných právnych predpisov vyžaduje iná doba uchovávania, vždy za predpokladu, že takéto uchovávanie je nevyhnutné a primerané.
9. Vaše zákonné práva
V prípadoch, kedy Kia EÚ alebo príslušný subjekt Kia spracúva vaše osobné údaje na základe vášho súhlasu, máte právo daný súhlas kedykoľvek odvolať (čl. 7(3) GDPR).
Ak máte akékoľvek otázky k spracovávaniu vašich osobných údajov zo strany Kia EÚ alebo príslušného subjektu Kia, spoločnosť Kia EÚ alebo príslušný subjekt Kia (podľa potreby) vám samozrejme radi poskytnú informácie o osobných údajoch, ktoré sa vás týkajú a o príslušných činnostiach spojených s ich spracovaním (čl. 15 GDPR). Za predpokladu splnenia právnych požiadaviek máte právo aj na tieto úkony: (a) oprava vašich osobných údajov (čl. 16 GDPR); (b) vymazanie vašich osobných údajov (čl. 17 GDPR) a (c) obmedzenie spracovania vašich osobných údajov (čl. 18 GDPR). Zároveň máte právo na prenos údajov (čl. 20 GDPR) a právo na nahlásenie sťažnosti orgánu na ochranu údajov (čl. 77 GDPR).
Právo na vznesenie námietky proti spracovaniu údajov:
V prípadoch, kedy spoločnosť Kia EÚ alebo príslušný subjekt Kia spracúvajú vaše osobné údaje na základe čl. 6(1)(f) GDPR, máte právo kedykoľvek voči takémuto spracovaniu namietať, a to na základe vašej konkrétnej situácie (čl. 21(1) GDPR).
V prípadoch, kedy príslušný subjekt Kia a spoločnosť Kia EU spracúvajú vaše osobné údaje v pozícii spoločných prevádzkovateľov, prečítajte si kapitolu 2(a) – (c), kde nájdete informácie, na základe ktorých zistíte, ktorý subjekt bude na vašu žiadosť reagovať.
10. Definície
„Prevádzkovateľ“
je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určuje účely a prostriedky spracovania osobných údajov.
„GDPR“
je (i) v súvislosti so spoločnosťou Kia UK LTD, ako prevádzkovateľom, nariadenie Spojeného kráľovstva o ochrane osobných údajov prispôsobené zákonu o ochrane osobných údajov z roku 2018 (GDPR Spojeného kráľovstva); a (ii) v súvislosti s inými subjektami Kia Europe Group uvedenými v prílohe 1 ide o nariadenie (EÚ) 2016/679 (Všeobecné nariadenie o ochrane údajov).
„Osobné údaje“
sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby.
„Spracovanie“/„spracúvanie“
predstavuje akékoľvek postupy alebo súbor postupov vzťahujúcich sa na osobné údaje alebo na súbory osobných údajov. Ide napríklad o ich zhromažďovanie, záznam, organizáciu, členenie, ukladanie, prispôsobovanie či úpravu, obnovenie, využitie, používanie, zverejnenie prenosom, šírenie alebo sprístupnenie iným spôsobom, prispôsobenie či ich kombinovanie, obmedzenie, vymazanie alebo ich likvidáciu.
„Spracovateľ“
je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa.
Príloha 1 – Podrobnosti o prevádzkovateľoch
| Príslušné subjekty skupiny Kia | Kontaktné údaje | Kontaktné údaje DPO |
|---|---|---|
| Kia Europe GmbH (Kia EU) | Theodor-Heuss-Allee 11, 60486 Frankfurt, Nemecko Email: info@kia-europe.com |
dpo@kia-europe.com |
| Kia Nederland B.V. | De Corridor 25, 3621 ZA Breukelen, Holandsko Email: info@kia.nl |
info@kia.nl |
| Kia Austria GmbH | Sverigestrasse 5, 1220 Wien, Rakúsko Email: office@kia.at |
datenschutz@kia.at |
| Kia Belgium N.V. | Ikaroslaan 33, 1930 Zaventem, Belgicko Email: info@kia.be |
privacy@kia.be |
| Kia France SAS | 2 rue des Martinets, Rueil-Malmaison 92560, Francúzsko Email: relation.clientele@kia.fr |
dpo@kia.fr |
| Kia Sales Slovakia s.r.o. | Einsteinova 19, Bratislava 851 01, Slovensko Email: info@kmss.sk |
dpo@kiasales.sk |
| Kia Iberia S.L.U. | Calle de Anabel Segura, 16 Edificio Vega Norte, Planta 2, 28108 Alcobendas, Madrid, Španielsko Email: contacto@kia.es |
consultalopd@kia.es |
| Kia Deutschland GmbH | Theodor-Heuss-Allee 11, 60486 Frankfurt, Nemecko Email: info@kia.de |
datenschutz@kia.de |
| Kia Sweden AB | Kanalvägen 10A, 194 61 Upplands Väsby, Švédsko Email: info@kia.se |
d.elander@kia.se |
| Kia Polska SP. Z.O.O. | Pulawska 366, 02-819 Varšava, Poľsko Email: infolinia@kiapolska.pl |
iod@kiapolska.com.pl |
| Kia Czech s.r.o. | Jihlavská 1558/21, Michle 140 00, Praha 4, Česká republika Email: kia-info@kia.cz |
gdpr@kia.cz |
| Kia Hungary Kft. | 1117 Budapešť, Budafoki út 56, Maďarsko Email: info@kiahungary.hu |
adatvedelem@kiahungary.hu |
| Kia UK LTD | Walton Green, Walton-On-Thames, Surrey, KT12 1FJ, Veľká Británia Email: dpo@kia.co.uk |
dpo@kia.co.uk |
| Kia Ireland | Unit A8 Calmount Park, Calmount Road, Dublin, D12 X266, Írsko Email: admin@kiaireland.ie |
dpo@kia.co.uk |
| Kia Italia S.r.l | Via Gallarate 184, 20151 Miláno, Taliansko Email: infokia@kia.it |
dpo@kia.it |
| Kia Connect GmbH | Theodor-Heuss-Allee 11, 60486 Frankfurt, Nemecko Email: info@kia-connect.eu |
dpo@kia-connect.eu |
Uplatňujú sa nasledujúce zmeny a doplnenia miestnych zákonov:
RAKÚSKO
Smernica EÚ o oznamovateľoch korupcie bola implementovaná do rakúskeho vnútroštátneho práva prostredníctvom rakúskeho zákona o ochrane oznamovateľov (HSchG). V prípadoch, keď indície porušenia právnych predpisov patria do pôsobnosti zákona HSchG („oblasť platnosti“), je spracovávanie týchto informácií za účelom predchádzania a zamedzenia možným porušeniam zákona založené na plnení zákonnej povinnosti (čl. 6 ods. 1 písm. c) GDPR v spojení s §§ 2 a násl. HSchG).
BELGICKO
V súlade s belgickým zákonom o ochrane oznamovateľov z 28. novembra 2022, ktorým bola do belgického práva transportovaná smernica (EÚ) 2019/1937:
Na koniec odstavca 8 (Uchovávanie údajov) sa dopĺňajú tieto ustanovenia:
Konkrétne, podľa belgického zákona o ochrane oznamovateľov sa meno, funkcia a kontaktné údaje oznamovateľa a každej osoby, na ktorú sa rozširujú ochranné a podporné opatrenia, ako aj údaje dotknutej osoby, prípadne vrátane jej čísla v podniku, uchovávajú dovtedy, kým sa oznámené porušenie nestanoví podľa platných právnych predpisov.
Spoločnosť Kia Belgium bude viesť register so všetkými podanými oznámeniami, pričom bude prísne dodržiavať povinnosť zachovávať mlčanlivosť, ako sa uvádza v časti 11 internej smernice Kia Compliance: Tell Me. Bez ohľadu na vyššie uvedené ustanovenie sa v relevantných prípadoch oznámenia uchovávajú počas trvania zmluvného vzťahu medzi spoločnosťou Kia Belgium a oznamovateľmi.
TALIANSKO
Časť 4 bola nahradená týmto textom:
Prevádzka platformy na nahlasovanie neprípustného konania a prešetrovanie prípadov nahlásených na platforme si nevyhnutne vyžaduje spracovávanie osobných údajov. V prvom rade má však oznamovateľ úplnú kontrolu nad tým, čo oznamuje. Je tomu tak, pretože platforma Tell Me umožňuje oznamujúcim osobám podávať oznámenia voľnou formou, bez nutnosti akokoľvek kategorizovať oznamovaný obsah. Vzťahuje sa to aj na totožnosť
oznamovateľa,
obvinenej osoby,
svedka
alebo akejkoľvek inej osoby, ktorá je uvedená v príslušnom oznámení
(ďalej spoločne označované ako „dotknuté osoby“
a každý z nich samostatne je „dotknutou osobou“
).
Oznamujúca osoba by mala vždy starostlivo zvážiť, či odhalí svoju identitu. Aj keď sa identita oznamovateľa a akýchkoľvek iných tretích strán uvedených v správe bude chrániť s najvyššou úrovňou dôvernosti, v niektorých prípadoch môžu byť spoločnosť Kia EU alebo príslušný subjekt spoločnosti Kia vyzvaní na zverejnenie identity oznamovateľa alebo dotknutej tretej strany. Práve preto skupina Kia Europe Group implementovala platformu Kia Compliance: Tell Me, ktorá je špeciálne navrhnutá na to, aby umožňovala oznamovateľom podávať hlásenia anonymne. Ak chcete zverejniť svoju identitu ako oznamovateľ, pozrite si pravidlá Kia Compliance: Interná smernica Tell Me, v ktorej sú popísané ďalšie komunikačné kanály.
V súlade s platformou Tell Me a príslušnými predpismi môže spoločnosť Kia EU, a ak je to aplikovateľné, aj príslušný subjekt Kia spracovávať rôzne typy osobných údajov. Okrem identifikačných a kontaktných údajov, ktoré sú nevyhnutné pre spracovanie hlásenia, môžu byť v podstate spracované všetky informácie uvedené v hlásení.
Kia EU a príslušný subjekt Kia môžu, ak je to relevantné, spracúvať osobné údaje patriace do osobitných kategórií podľa článku 9 GDPR, alebo údaje týkajúce sa odsúdení za trestné činy, priestupky alebo súvisiace bezpečnostné opatrenia podľa článku 10 GDPR, ktoré môžu byť zahrnuté v hlásení alebo v priložených dokumentoch. Tieto údaje sa budú používať výhradne na spracovanie hlásenia v súlade so zásadami primeranosti a nevyhnutnosti. Ak sa nahlásia irelevantné údaje alebo také, ktoré nie sú striktne a objektívne potrebné na overenie vznesených obvinení uvedených v hlásení, spoločnosť Kia EU a príslušný subjekt spoločnosti Kia ich odstránia z hlásenia a príslušných databáz.
Podľa interných smerníc Kia Compliance: Tell Me, Kia Europe Group zaručuje vysokú úroveň ochrany anonymity oznamovateľa, ak sa oznamovateľ rozhodne zostať anonymný v najväčšej možnej miere a v súlade s príslušnými predpismi. Z tohoto dôvodu nebude mať skupina Kia Europe Group prístup k žiadnym technickým údajom, ktoré by umožnili identifikáciu anonymného oznamovateľa (ako sú IP adresa, nahrané hlasové súbory a údaje o prichádzajúcom telefonickom hovore).
Časť 5 sa mení a dopĺňa takto:
• Právny základ spočívajúci v „plnení úlohy vo verejnom záujme (čl. 6 ods. 1 písm. e) GDPR)“
sa v Taliansku neuplatňuje.
• Oprávnené záujmy (čl. 6 ods. 1 písm. f) GDPR):
Ak spracúvanie relevantných osobných údajov nie je nevyhnutné na splnenie zákonnej povinnosti, príslušný subjekt skupiny Kia Europe Group ich spracúva na účely svojich oprávnených záujmov, ktoré spočívajú v ochrane svojich zmluvných a predzmluvných práv, alebo v každom prípade vyplývajú z existujúcich vzťahov. Príslušný subjekt skupiny Kia Europe Group bude v každom prípade posudzovať, či jej záujmy prevyšujú záujmy alebo základné práva a slobody dotknutej osoby, na ktorú sa informácie vzťahujú.
Ako bolo spomenuté vyššie, osobitné kategórie osobných údajov (pozri článok 9 GDPR), ktoré sa nebudú týkať konkrétneho prípadu, by nemali byť zahrnuté v hláseniach podávaných cez platformu Tell Me. Takéto údaje budú príslušne odstraňované. V prípade, že sú takéto údaje relevantné, právnym základom pre spracovanie informácií je článok 9 ods. 2 písmeno b) GDPR, ktorý stanovuje, že spracovanie je nevyhnutné na plnenie povinností a výkon špecifických práv prevádzkovateľa alebo dotknutej osoby v oblasti pracovného práva, sociálneho zabezpečenia a sociálnej ochrany, ak to umožňuje právo Únie alebo členského štátu, alebo kolektívna zmluva podľa práva členských štátov za predpokladu, že sú zaručené primerané ochrany základných práv a záujmov dotknutej osoby. Článok 9 ods. 2 písmeno f) GDPR uvádza, že spracovanie je nevyhnutné na určenie, uplatnenie alebo obhajobu právnych nárokov.
Časť 6 sa mení a dopĺňa takto:
• Ostatní:
Kia EU alebo príslušný subjekt Kia môžu zdieľať údaje s inými tretími stranami, ako sú externí členovia regulačných orgánov, subjekty podporujúce oznamovanie, konzultanti alebo poradenské spoločnosti, odborné firmy a ďalšie subjekty spolupracujúce so spoločnosťou Kia v rôznych funkciách, ale len v prípade, že to vyžaduje zákon alebo je to nevyhnutné na dosiahnutie cieľov stanovených v týchto zásadách ochrany osobných údajov.
Časť 9 sa mení a dopĺňa takto:
Ak máte otázky týkajúce sa spracovania vašich osobných údajov spoločnosťou Kia EU alebo príslušným subjektom Kia, spoločnosť Kia EU alebo príslušný subjekt Kia vám samozrejme ochotne poskytne informácie o osobných údajoch, ktoré sa vás týkajú, a o príslušných činostiach spracúvania podľa článku 15 GDPR. Za predpokladu, že sú splnené zákonné požiadavky, máte právo na: (a) opravu vašich osobných údajov podľa článku 16 GDPR; (b) vymazanie vašich osobných údajov podľa článku 17 GDPR; a (c) obmedzenie spracovania vašich osobných údajov podľa článku 18 GDPR. Máte právo podať sťažnosť dozornému orgánu pre ochranu údajov podľa článku 77 GDPR.
Časť 10 sa mení a dopĺňa takto:
„Zodpovedná osoba“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa.
Nová časť:
Podľa článku 14 ods. 2 písm. f) GDPR: Osobné údaje sa zhromažďujú buď priamo od dotknutých osôb alebo od tretích strán, v závislosti od toho, či ide o:
• informácie o oznamovateľovi, pričom ich zdrojom je priamo dotknutá osoba, ktorá svoje údaje poskytuje odoslaním hlásenia;
• údaje týkajúce sa iných zainteresovaných strán (ako sú obvinené osoby, svedkovia alebo iné osoby menované v hlásení). V takom prípade sa údaje získavajú od tretích strán, teda od osoby podávajúcej oznámenie.
ŠPANIELSKO
Spoločnosť Kia Iberia S.L.U. (KES) bude vykonávať potrebné kroky v rámci spracovávania osobných údajov za účelom vybavovania interných sťažností podávaných prostredníctvom miestneho kanála, ktorý zaviedla spoločnosť KES (kanál KES) ako správca údajov. Zásady ochrany osobných údajov v rámci miestneho kanála na podávanie interných sťažností nájdete v prílohe 2B.
Článok 8 (Archivácia osobných údajov) se doplňuje takto:
V prípade oznámení podávaných v Španielsku zákon nariaďuje, že ak sa zodpovedajúce vyšetrovanie nezačne do troch mesiacov od podania oznámenia, musí sa po uplynutí tejto doby vykonať jeho výmaz. Výnimku tvoria prípady, keď je účelom uchovania ponechanie dôkazov o fungovaní systému. Oznámenia, ktoré nebudú predmetom ďalšieho šetrenia, môžu byť nahrané len v anonymizovanej podobe.
ŠVÉDSKO
K časti 1 (Úvod) sa ako posledný odsek pridáva tento text:
Okrem spracovania príslušných osobných údajov uvedených v tomto Vyhlásení o ochrane osobných údajov, spoločnosť Kia Sweden AB („Kia Sweden“
) tiež spracúva osobné údaje v súvislosti s riadením kanála na podávanie hlásení, ktorý bol lokálne zriadený spoločnosťou Kia Sweden („švédsky kanál
“). Informácie o spracovaní osobných údajov spoločnosťou Kia Sweden v švédskom jazyku sú dostupné v prílohe 2A.
Časť 5 (Účely a právny základ spracovávania) sa nahrádza týmto textom:
Kia EÚ a Kia Sweden spracúvajú príslušné osobné údaje na účely prvotného nahlásenia, následného preskúmania príslušného hlásenia a vyšetrovania nahláseného prípadu.
Právne základy vzťahujúce sa na činnosti spracovávania osobných údajov sú pre Kia EÚ nasledovné:
• Udelenie príslušného súhlasu (čl. 6 ods. 1 písm. a) GDPR):
Právnym základom na spracovanie určitých relevantných osobných údajov spoločnosťou Kia EÚ je predchádzajúci súhlas subjektu údajov (napríklad keď sa na žiadosť subjektu údajov uskutoční stretnutie so spoločnosťou Kia EU prostredníctvom videohovoru).
• Plnenie zákonnej povinnosti (čl. 6 ods. 1 písm. c) GDPR):
Ak je Kia EÚ zo zákona povinná implementovať a poskytovať systém na hlásenie nesprávneho konania a ak si takáto implementácia a poskytovanie vyžaduje spracovanie príslušných osobných údajov, právnym základom pre takéto spracovanie je splnenie príslušnej zákonnej povinnosti. V niektorých právnych systémoch je implementácia a zavedenie systémov na hlásenie nekalých praktík povinná.
• Vykonávanie úlohy vo verejnom záujme (čl. 6 ods. 1 písm. e) GDPR):
Aj keď implementácia a poskytovanie systémov na hlásenie nesprávneho konania môže byť povinné, v niektorých právnych systémoch nie je od spoločnosti Kia EÚ vyžadované zriadenie kanála pre anonymné ohlasovanie alebo overovanie hlásení podaných anonymne. V takomto prípade predstavuje právny základ spracovania príslušných osobných údajov plnenie úlohy, ktorá sa vykonáva vo verejnom záujme.
• Oprávnené záujmy (čl. 6 od 1 písm. f) GDPR):
Ak spracovanie príslušných osobných údajov nie je nevyhnutné na splnenie zákonnej povinnosti, Kia EÚ spracúva tieto osobné údaje na základe svojich oprávnených záujmov. Legitímny záujem spočíva v monitorovaní dodržiavania platných zákonov, predpisov a interných pravidiel, (ako je napríklad Kódex Kia EÚ Compliance & Integrity Code), a v odhaľovaní a prevencii nezákonného a nesprávneho konania. Kia EÚ vždy od prípadu k prípadu určí, či jej záujmy prevažujú nad záujmami alebo základnými právami a slobodami príslušnej osoby, ktorej sa informácie týkajú.
Ako bolo spomenuté vyššie, špeciálne kategórie osobných údajov, ktoré nie sú príslušné pre konkrétny prípad, nebudú zahrnuté do správ odosielaných prostredníctvom platformy Tell Me a budú primerane vymazané. V prípade, že sú takéto informácie pre daný prípad relevantné, platným právnym základom pre ich spracovanie je buď článok 9 ods. 2 písm. f) GDPR (spracovanie je nevyhnutné na určenie, výkon alebo obhajobu právnych nárokov), alebo článok 9 ods. 2 písm. g) GDPR (spracovanie je nevyhnutné z dôvodov závažného verejného záujmu na základe práva Európskej únie alebo vnútroštátneho práva).
Právne základy vzťahujúce sa na činnosti spracovávania osobných údajov sú pre Kia Sweden nasledovné:
• Oprávnené záujmy (čl. 6 ods.1 písm. f) GDPR):
Právnym základom spracúvania relevantných osobných údajov v Kia Sweden je podľa všeobecného nariadenia o ochrane osobných údajov skutočnosť, že ide o oprávnený záujem tejto spoločnosti. Tento záujem spočíva v monitorovaní dodržiavania platných zákonov, interných predpisov, (ako je napríklad Kia EU Compliance & Integrity Code), a v odhaľovaní a predchádzaní nekalým praktikám a pochybeniam. Pri zdieľaní relevantných osobných údajov s tretími stranami sa spoločnosť Kia Sweden spolieha na svoj oprávnený záujem vyšetriť nahlásené pochybenie alebo podniknúť kroky na základe výsledkov vyšetrovania.
• Spracúvanie je nevyhnutné na účely plnenia povinností a uplatňovania osobitných práv v oblasti zamestnávania (čl. 9 ods. 2 písm. b) GDPR):
V prípade, že spoločnosť Kia Sweden spracúva osobitné kategórie relevantných osobných údajov, ktoré sú v danom prípade potrebné na účely prijatia a vyšetrenia hlásenia, právnym základom pre spracovanie podľa GDPR je nevyhnutnosť spracovania za účelom plnenia povinností a výkonu špecifických práv v oblasti pracovného práva.
• Spracúvanie je nevyhnutné na určenie, výkon alebo obhajobu právnych nárokov (čl. 9 ods. 2 písm. f) GDPR:
V prípade, že spoločnosť Kia Sweden zdieľa osobitné kategórie relevantných osobných údajov za účelom prijatia opatrení v súvislosti s výsledkom vyšetrovania, právnym základom pre zdieľanie týchto údajov podľa GDPR je potreba určenia, výkonu alebo obhajoby právnych nárokov.
• Spracovanie je potrebné na preverenie, či osoba vo vedúcej pozícii alebo v pozícii kľúčového personálu v rámci skupiny Kia Europe nebola zapletená do vážnych nezrovnalostí, alebo na určenie, uplatnenie alebo obhajobu právnych nárokov podľa odstavca 5(2) švédskeho doplnkového právneho nariadenia (2018:219) k GDPR (švédsky: Förordning med kompletterande bestämmelser till EU:s dataskyddsförordning) a odstavca 2(4) nariadenia Integritetsskyddsmyndigheten DIFS 2018:2 (švédsky: Föreskrifter om behandling av personuppgifter som rör lagöverträdelser):
V prípade, že spoločnosť Kia Sweden spracúva osobné údaje týkajúce sa (podozrení z) odsúdenia za trestné činy a priestupky osoby na vedúcej pozícii alebo osoby považovanej za kľúčového pracovníka v rámci skupiny Kia Europe, právny základ takéhoto spracovania je potreba vyšetrovania možnej účasti takejto osoby na vážnych nezrovnalostiach. V rozsahu, v ktorom spoločnosť Kia Sweden zdieľa relevantné osobné údaje týkajúce sa (podozrení z) odsúdení za trestné činy osôb vo vedúcich pozíciách alebo považovaných za kľúčový personál v rámci skupiny Kia Europe Group, je právnym základom pre zdieľanie týchto údajov potreba stanovenia, výkonu alebo obhajoby právnych nárokov v súvislosti s výsledkami vyšetrovania.
Verzia z 15. decembra 2023
