Tell Me Privacy
-
Innehållsförteckning
1. Inledning
2. Personuppgiftsansvarig(a)
3. Dataskyddsombud
4. Kategorier av personuppgifter
5. Ändamål och rättslig grund för behandlingen
6. Utlämnande av personuppgifter till tredje part
7. Internationell överföring av personuppgifter
8. Datalagring
9. Dina juridiska rättigheter
10. Definitioner
Bilaga 1 Detaljer om personuppgiftsansvariga
Bilaga 2 Rättsliga lokala tillägg
Bilaga 2A Svenska kanalen
1. Personuppgiftsansvarig
2. Kategorier av personuppgifter och registrerade personer
3. Ändamål och rättslig grund för behandlingen
4. Utlämnande av personuppgifter till tredje parter
5. Internationell överföring av personuppgifter
6. Datalagring
7. Dina juridiska rättigheter som registrerad person
1. Inledning
Detta sekretessmeddelande (“sekretessmeddelande”
) utfärdas av var och en av Kia-gruppens enheter som anges i bilaga 1 nedan (“Kia Europe Group”
).
Avsikten med detta sekretessmeddelande är att informera dig om hur den Relevanta Kia-enheten behandlar dina personuppgifter i samband med hantering av rapporter som har lämnats in av Kia Europe Groups nuvarande och tidigare anställda, inklusive chefer och styrelseledamöter, tillfälliga arbetstagare, utländska koordinatorer och praktikanter samt personer som arbetar under tillsyn och ledning av entreprenörer, underentreprenörer och leverantörer för Kia Europe Group (den “rapporterande personer”
) på Kia Compliance: Tell Me-plattformen för rapportering av dåligt uppförande (den “Tell Me-plattformen”
).
Se bilaga 2 för rättsliga lokala tillägg till detta sekretessmeddelande.
Tell Me-plattformen förser de rapporterande personerna med en särskild kommunikationskanal för att rapportera brott mot externa lagar och förordningar eller överträdelser av interna regler (t.ex. den Kia EU Compliance & Integrity Code
) som tillämpas i ifrågavarande enhet inom Kia Europe Group.
För mer information om Tell Me-plattformen och om när och hur du kan lämna in rapporter, se den Kia Compliance: Tell Me-policyn
.
2. Personuppgiftsansvarig(a)
Om fallet eller händelsen som rapporterats endast berör Kia Europe GmbH (”Kia EU”
) så har Kia EU det enda och oberoende personuppgiftsansvaret för de personuppgifter som behandlas i samband med mottagning, analyser och bearbetning av rapporter som lämnas in via Tell Me-plattformen (”relevanta personuppgifter”
).
Om rapporten avser en händelse som gäller en annan Kia Europe Group-enhet (”relevant Kia-enhet”
) så kommer Kia EU och den relevanta Kia-enheten i nära samarbete att bedöma och utreda det rapporterade fallet (närmare information om processen för hantering av fallen tillhandahålls i Kia Compliance: Tell Me Policy
).
I egenskap av så kallade gemensamt personuppgiftsansvariga
, bedömer Kia EU och den Relevanta Kia-enheten ändamålen och medlen för behandlingen av relevanta personuppgifter i sådana fall. För detta ändamål har de fastställt sina respektive ansvarsområden för att fullgöra sina skyldigheter enligt GDPR på följande sätt:
Om du vill utöva dina juridiska rättigheter i enlighet med avsnitt 9 i detta sekretessmeddelande så är den relevanta Kia-enheten ansvarig för att verkställa dessa rättigheter. Kia EU kommer i vilket fall som helst utan dröjsmål att bistå den relevanta Kia-enheten med lämpligt och nödvändigt stöd för att underlätta för den relevanta Kia-enheten att verkställa din begäran i enlighet med GDPR.
Den relevanta Kia-enheten och Kia EU kommer att uppfylla sina skyldigheter att förse dig med relevant information om behandlingen av relevanta personuppgifter i enlighet med art. 13 och art. 14 i GDPR enligt följande: (i) Var och en av enheterna kommer att publicera detta sekretessmeddelande på sitt intranät; (ii) Kia EU kommer att göra detta sekretessmeddelande tillgängligt på Tell Me-plattformen; och (iii) om tillämpligt, kommer den relevanta Kia-enheten att ge dig relevant information i enlighet med art. 14 GDPR.
Oavsett avsnitt 2 (a) och (b) ovan, medger den relevanta Kia-enheten och Kia EU att du får utöva dina rättigheter mot båda parter i deras egenskap av gemensamt personuppgiftsansvariga enligt GDPR. Observera att din relevanta begäran vanligtvis besvaras av den relevanta Kia-enheten.
Kontaktuppgifterna för varje Kia Europe Group-enhet finns i Bilaga 1.
3. Dataskyddsombud
Om du har några frågor om, eller i samband med, detta sekretessmeddelande så kan du dessutom kontakta antingen Kia EU:s dataskyddsombud på dpo@kia-europe.com
eller dataskyddsombudet på den relevanta Kia-enheten (“dataskyddsombud”
). Kontaktuppgifterna för varje Kia Europe Group-enhet finns i Bilaga 1.
4. Kategorier av personuppgifter
En plattform för rapportering av dåligt uppförande samt efterföljande utredning av de fall som rapporteras på plattformen kommer oundvikligen att leda till att personuppgifter behandlas. Men i första hand har den rapporterande personen fullständig kontroll över vad som rapporteras.
Detta beror på att Tell Me-plattformen är ett friformsystem, vilket innebär att den rapporterande personen inte behöver kategorisera i förväg när rapporten lämnas in. Det gäller även den rapporterande personens identitet,
den utpekade personen
, ett vittne
och andra personer som nämns i den relevanta rapporten
(tillsammans ”relevanta registrerade personer”
och enskilt ”relevant registrerad person”
).
Som en rapporterande person bör du alltid omsorgsfullt överväga huruvida du vill avslöja din identitet. Även om identiteten på den rapporterande personen och alla tredje parter som omnämns i rapporten kommer att behandlas med högsta sekretess, kan det under vissa omständigheter krävas att Kia EU eller den relevanta Kia-enheten avslöjar den rapporterande personens eller relevanta tredje parters identitet. Därför har Kia Europe Group implementerat Kia Compliance: Tell Me-plattformen, vilket är ett specifikt verktyg som gör det möjligt för rapporterande personer att lämna in en rapport på anonym basis
Se Kia Compliance: Tell Me Policy
angående andra kommunikationskanaler om du vill avslöja din identitet som rapporterande.
De typer av personuppgifter som Kia EU och den relevanta Kia-enheten (om tillämpligt) behandlar i samband med Tell Me-plattformen och hanteringen av relevanta rapporter kan innehålla följande information om den relevanta registrerade personen (beroende på innehållet och informationen som den rapporterade personen har angett i rapporten): namn, kön, nationalitet; adress och stad; (mobil)telefonnummer; e-postadress; (funktion) titel; roll och befattning i företaget; avdelning; administrationsnummer/personalnummer; detaljer om händelsen; vidtagna åtgärder; utredningsrapporter; annan information om händelsen (exempelvis datum, tid och plats); åtkomstkod; ljudfil och IP-adress och andra tekniska data; registrerade samtycken (dvs. registrerat samtycke som getts av den rapporterande personen).
Så som det fastställs i Kia Compliance: Tell Me Policy
, erbjuder Kia Europe Group i den utsträckning det är möjligt och rimligt omfattande skydd av den rapporterande personens anonymitet om den rapporterande personen väljer att förbli anonym. Av den orsaken har Kia Europe Group inte heller åtkomst till några tekniska data som gör det möjligt att identifiera en anonym rapporterande person (t.ex. IP-adress, inspelade röstfiler och samtalsdata).
När du lämnar in en rapport ska du undvika att uppge särskilda kategorier av personuppgifter såsom ras eller etniskt ursprung, politiska åsikter, religiösa eller filosofiska övertygelser, fackligt medlemskap och uppgifter om hälsa eller sexliv som inte är relevanta för fallet. Om en rapport innehåller sådana irrelevanta uppgifter kommer Kia EU och den relevanta Kia-enheten att radera dem i rapporten och från de relevanta datauppsättningarna. Detsamma gäller personuppgifter som inte strikt och objektivt krävs för att verifiera påståendena i en rapport.
5. Ändamål och rättslig grund för behandlingen
Kia EU och den relevanta Kia-enheten kommer att behandla relevanta personuppgifter för den första rapporteringen, den efterföljande granskningen av den relevanta rapporten samt utredningen av det rapporterade fallet.
De rättsliga grunderna för denna behandling är följande:
Samtycke (art. 6 (1) a) GDPR):
För behandlingen av vissa relevanta personuppgifter som den relevanta Kia Europe Group-enheten genomför, är den Rapporterade personens samtycke på förhand den rättsliga grunden (t.ex. när ett möte mellan den relevanta Kia Europe Group-enheten och den rapporterande personen – på den rapporterande personens begäran – hålls i form av ett videosamtal).
Efterlevnad av en rättslig skyldighet (art. 6 (1) (c) GDPR):
Implementering och tillhandahållande av ett system för rapportering av dåligt uppförande är obligatoriskt i vissa jurisdiktioner. Om en Kia Europe Group-enhet enligt lag är skyldig att implementera och tillhandahålla ett sådant system för rapportering av dåligt uppförande och detta medför att denna implementering och detta tillhandahållande kräver behandling av relevanta personuppgifter, är den rättsliga grunden för sådan behandling efterlevnad av den rättsliga skyldigheten.
Utförande av en uppgift i allmänhetens intresse (Art. 6(1)(e) GDPR):
Även om implementering och tillhandahållande av ett system för rapportering av dåligt uppförande kan vara obligatoriskt i vissa jurisdiktioner, finns det inget krav på att den relevanta Kia Europe Group-enheten ska implementera en kanal som möjliggör rapportering på anonym basis eller att granska rapporter som har lämnats på anonym basis. I sådana fall är den rättsliga grunden för Behandlingen av de relevanta personuppgifterna utförandet av en uppgift i allmänhetens intresse.
Legitima intressen (Art. 6(1)(f) GDPR):
Om behandlingen av de relevanta personuppgifterna inte är nödvändig för att uppfylla en rättslig skyldighet, behandlar den relevanta Kia Europe Group-enheten de relevanta personuppgifterna i syfte att uppfylla sina egna legitima intressen. Det legitima intresset är att övervaka efterlevnaden av tillämpliga lagar och förordningar, interna regler (t.ex. Kia EU Compliance & Integrity Code
) och att upptäcka och förhindra felaktigt handlande och uppförande. Den relevanta Kia Europe Group-enheten kommer alltid från fall till fall att bedöma huruvida dess intressen åsidosätts av intressen eller grundläggande rättigheter och friheter för den relevanta person som informationen berör.
Som nämnts ovan ska särskilda kategorier av personuppgifter som inte är relevanta för fallet inte tas med i rapporter som lämnas in via Tell Me-plattformen och kommer därför att raderas.
Men i det fall och i den utsträckning som sådana uppgifter är relevanta för fallet, är den rättsliga grunden för behandling av sådan information antingen art. 9(2)(f) GDPR (dvs. behandlingen är nödvändig för att upprätta, utöva eller försvara rättsliga anspråk) eller art. 9(2)(g) GDPR (dvs. behandlingen är nödvändig på grunder av betydande allmänt intresse, på basis av Europeiska unionens eller nationell lagstiftning).
6. Utlämnande av personuppgifter till tredje part
Kia EU och den relevanta Kia-enheten kommer att hantera de relevanta personuppgifterna med en hög sekretessnivå.
Uppgifterna kommer endast att avslöjas i samband med behandlingen så som det anges ovan och alltid i överensstämmelse med tillämpliga lagar. Möjliga mottagare av de relevanta personuppgifterna omfattar följande företag, institutioner eller personer:
Tjänsteleverantörer:
Detta omfattar People Intouch B.V. (och dess underbehandlare) som operatör av Tell Me-plattformen med sitt registrerade kontor på adressen Olympisch Stadion 6, 1076 DE Amsterdam, Nederländerna. People Intouch B.V. Kommer att behandla de relevanta personuppgifterna som personuppgiftsbiträde för Kia EU och endast i överensstämmelse med instruktionerna från Kia EU. Kia EU och People Intouch B.V. har ingått ett databehandlingsavtal för detta syfte.
Juridiska rådgivare:
I vissa fall kan Kia EU eller den relevanta Kia-enheten avslöja informationen till sina juridiska rådgivare i syfte att skydda sina intressen eller genomdriva sina rättigheter. De juridiska rådgivarna kommer att behandla sådana data som oberoende personuppgiftsansvariga.
Domstolar och tillsynsorgan:
Kia EU eller den relevanta Kia-enheten kan avslöja informationen till domstolar eller tillsynsorgan om detta krävs av lagen, på grund av rättsliga förfaranden, domstolsbeslut, på begäran från tillsynsmyndigheter eller för att skydda sina intressen eller genomdriva sina rättigheter. Berörda domstolar eller tillsynsorgan kommer att behandla sådana uppgifter i egenskap av oberoende personuppgiftsansvariga.
Övriga:
Kia EU eller den relevanta Kia-enheten kan avslöja informationen till andra tredje parter (exempelvis den anklagade personen; externa medlemmar av tillsynsorgan), men endast om detta krävs av lagen. Sådana tredje parter kommer att behandla den relevanta informationen som oberoende personuppgiftsansvariga.
7. Internationell överföring av personuppgifter
För att behandla relevanta personuppgifter enligt detta sekretessmeddelande kan det krävas att Kia EU eller den relevanta Kia-enheten överför relevanta personuppgifter till andra tredje parter enligt avsnitt 6 ovan. Emellertid kommer relevanta personuppgifter vanligtvis inte att överföras till en mottagare som inte har sitt säte i ett medlemsland inom Europeiska ekonomiska samarbetsområdet (EES) eller för vilket Europeiska kommissionen inte har fattat ett beslut gällande adekvat dataskyddsnivå i det relevanta landet. Om någon av de relevanta personuppgifterna skulle överföras till en mottagare i ett land som inte omfattas av ovannämnda kategorier så kommer sådan överföring alltid vara föremål för lämpliga skyddsåtgärder i enlighet med GDPR.
8. Datalagring
Kia EU och den relevanta Kia-enheten kommer endast att behandla relevanta personuppgifter så länge det krävs för de ändamål som anges i detta sekretessmeddelande eller enligt gällande lag. Vid fastställandet av lagringsperioden beaktar Kia EU och den relevanta Kia-enheten ändamålen med de behandlade relevanta personuppgifterna och om sådana ändamål kan uppnås utan uppgifterna, kategorierna av relevanta data, risker i händelse av dataintrång samt om Kia EU eller den relevanta Kia-enheten är juridiskt skyldiga att lagra uppgifterna.
Normalt betyder det att relevanta personuppgifter kommer att lagras enligt följande:
Personuppgifter som inte är relevanta för fallet kommer att raderas eller anonymiseras utan onödigt dröjsmål.
De relevanta personuppgifter som ingår i dokumentationen som berör det relevanta ärendet kommer att lagras så länge det är nödvändigt för att utvärdera rapporten, genomföra en utredning (om tillämpligt) och kommer sedan att raderas eller anonymiseras inom tre år efter avslutad utvärdering och/eller utredning (i tillämpliga fall), såvida inte rättsliga förfaranden eller disciplinära åtgärder inleds för vilka ytterligare lagring av de relevanta personuppgifterna krävs eller annan lagringstid krävs enligt tillämplig lag, alltid under förutsättning att sådan lagring är nödvändig och adekvat.
9. Dina juridiska rättigheter
Om Kia EU eller den relevanta Kia-enheten behandlar dina personuppgifter på grundval av ditt samtycke så har du rätt att när som helst återkalla ditt samtycke (art. 7(3) GDPR).
Om du har några frågor om hur Kia EU eller den relevanta Kia-enheten behandlar dina personuppgifter så bidrar naturligtvis Kia EU eller den relevanta Kia-enheten (i tillämpliga fall) gärna med information om de personuppgifter som rör dig och behandlingen av uppgifterna (art. 15, GDPR). Under förutsättning att de rättsliga kraven uppfylls, har du också rätt att erhålla: (a) rättelse av dina personuppgifter (art. 16 GDPR); (b) radering av dina personuppgifter (art. 17 GDPR); och (c) begränsning av behandlingen av dina personuppgifter (art. 18 GDPR). Du har även rätt till dataportabilitet (art. 20 GDPR) och rätt att lämna in ett klagomål till en dataskyddsmyndighet (art. 77 GDPR).
Din rätt att göra invändningar:
När Kia EU eller den relevanta Kia-enheten behandlar dina personuppgifter på basis av art. 6(1)(f) GDPR, har du när som helst på grund av orsaker som gäller din specifika situation rätt att göra invändningar mot sådan behandling (art. 21(1) GDPR).
När den relevanta Kia-enheten och Kia EU behandlar dina personuppgifter som gemensamt personuppgiftsansvariga, se avsnitt 2(a)-(c) för att fastställa vilken enhet som kommer att svara på din begäran.
Behandlingen av personuppgifter i den svenska kanalen
10. Definitioner
”Personuppgiftsansvarig”
avser den fysiska eller juridiska person, offentliga myndighet, byrå eller andra organ som enskilt eller tillsammans med andra bestämmer ändamålen och metoderna för behandling av personuppgifter.
”GDPR”
betyder (i) med avseende på Kia UK LTD som personuppgiftsansvarig, UK Data Protection Regulation anpassad av Data Protection Act 2018 (UK GDPR); och (ii) med avseende på någon annan av Kia Europe Group-enheterna som listas i bilaga 1, förordningen (EU) 2016/679 (allmän dataskyddsförordning).
”Personuppgifter”
avser all information som rör en identifierad eller identifierbar fysisk person.
Att ”behandla”/”behandling”
avser varje åtgärd som vidtas i fråga om personuppgifter eller uppsättningar av personuppgifter, såsom insamling, registrering, organisering, strukturering, lagring, anpassning eller ändring, inhämtning, konsultation, användning, avslöjande genom överföring, spridning eller på annat sätt tillgängliggöra, anpassa eller kombinera, begränsa, radera eller förstöra.
”Personuppgiftsbiträde”
avser en fysisk eller juridisk person, offentlig myndighet, byrå eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.
Bilaga 1 - Detaljer om personuppgiftsansvariga
| Relevanta Kia Group-enheter | Kontaktuppgifter | Kontaktuppgifter för dataskyddsombud |
|---|---|---|
| Kia Europe GmbH (Kia EU) | Theodor-Heuss-Allee 11, 60486 Frankfurt, Germany Email: info@kia-europe.com |
dpo@kia-europe.com |
| Kia Nederland B.V. | De Corridor 25, 3621 ZA Breukelen, Netherlands Email: info@kia.nl |
info@kia.nl |
| Kia Austria GmbH | Sverigestrasse 5, 1220 Wien, Austria Email: office@kia.at |
datenschutz@kia.at |
| Kia Belgium N.V. | Ikaroslaan 33, 1930 Zaventem, Belgium Email: info@kia.be |
privacy@kia.be |
| Kia France SAS | 2 rue des Martinets, Rueil-Malmaison 92560, France Email: relation.clientele@kia.fr |
dpo@kia.fr |
| Kia Sales Slovakia s.r.o. | Einsteinova 19, Bratislava 851 01, Slovakia Email: info@kmss.sk |
dpo@kiasales.sk |
| Kia Iberia S.L.U. | Calle de Anabel Segura, 16 Edificio Vega Norte, Planta 2, 28108 Alcobendas, Madrid, Spain Email: contacto@kia.es |
consultalopd@kia.es |
| Kia Deutschland GmbH | Theodor-Heuss-Allee 11, 60486 Frankfurt, Germany Email: info@kia.de |
datenschutz@kia.de |
| Kia Sweden AB | Kanalvägen 10A, 194 61 Upplands Väsby, Sweden Email: info@kia.se |
d.elander@kia.se |
| Kia Polska SP. Z.O.O. | Pulawska 366, 02-819 Warsaw, Poland Email: infolinia@kiapolska.pl |
iod@kiapolska.com.pl |
| Kia Czech s.r.o. | Jihlavská 1558/21, Michle 140 00, Prague 4, Czech Republic Email: kia-info@kia.cz |
gdpr@kia.cz |
| Kia Hungary Kft. | 1117 Budapest, Budafoki út 56, Hungary Email: info@kiahungary.hu |
adatvedelem@kiahungary.hu |
| Kia UK LTD | Walton Green, Walton-On-Thames, Surrey, KT12 1FJ, UK Email: dpo@kia.co.uk |
dpo@kia.co.uk |
| Kia Ireland | Unit A8 Calmount Park, Calmount Road, Dublin, D12 X266, Ireland Email: admin@kiaireland.ie |
dpo@kia.co.uk |
| Kia Italia S.r.l | Via Gallarate 184, 20151 Milan, Italy Email: infokia@kia.it |
dpo@kia.it |
| Kia Connect GmbH | Theodor-Heuss-Allee 11, 60486 Frankfurt, Germany Email: info@kia-connect.eu |
dpo@kia-connect.eu |
Bilaga 2 – Rättsliga lokala tillägg
Följande rättsliga lokala tillägg gäller:
ÖSTERRIKE
EU:s visselblåsardirektiv har implementerats i Österrikes nationella lagstiftning genom den österrikiska visselblåsarskyddslagen (HSchG). I sådana fall där det finns indikationer på att lagöverträdelser inom tillämpningsområdet för HSchG ("område som täcks"), är behandlingen av denna information i syfte att förebygga och förhindra potentiella lagöverträdelser baserad på efterlevnad av en rättslig skyldighet (art. 6 (1) (c) GDPR i överensstämmelse med §§ 2 ff. HSchG).
BELGIEN
I enlighet med den belgiska visselblåsarlagen av den 28 november 2022 som införlivar direktiv (EU) 2019/1937:
Följande stycken ska läggas till i avsnitt 8 (Datalagring) som avslutande stycken:
Specifikt, enligt den belgiska visselblåsarlagen, sparas namn, funktion och kontaktuppgifter för den rapporterande personen och för varje person som omfattas av skydds- och stödåtgärderna, liksom även för den berörda personen, inklusive, i tillämpliga fall, hans eller hennes företagsnummer, tills den rapporterade överträdelsen är preskriberad enligt tillämplig lag.
Kia Belgien kommer att upprätthålla ett register med alla inlämnade rapporter, varvid sekretesskraven i avsnitt 11 i Kia Compliance: Tell Me-policyn kommer att följas strikt. Oberoende av ovanstående stycke kommer rapporterna, om tillämpligt, att sparas så länge som avtalsförhållandet mellan Kia Belgien och de rapporterande personerna består.
ITALIEN
Avsnitt 4 är ersatt med följande:
En plattform för rapportering av dåligt uppförande samt efterföljande utredning av de fall som rapporteras på plattformen kommer oundvikligen att leda till att personuppgifter behandlas. Men i första hand har den rapporterande personen fullständig kontroll över vad som rapporteras.
Detta beror på att Tell Me-plattformen är ett friformsystem, vilket innebär att den rapporterande personen inte behöver kategorisera i förväg när rapporten lämnas in. Det gäller även den rapporterande personens identitet, den utpekade personen, ett vittne och andra personer som nämns i den relevanta rapporten
(tillsammans ”relevanta registrerade personer”
och enskilt ”relevant registrerad person”
).
Som en rapporterande person bör du alltid omsorgsfullt överväga huruvida du vill avslöja din identitet. Även om identiteten på den rapporterande personen och alla tredje parter som omnämns i rapporten kommer att behandlas med högsta sekretess, kan det under vissa omständigheter krävas att Kia EU eller den relevanta Kia-enheten avslöjar den rapporterande personens eller relevanta tredje partens identitet. Därför har Kia Europe Group implementerat Kia Compliance: Tell Me-plattformen, vilket är ett specifikt verktyg som gör det möjligt för rapporterande personer att lämna in en rapport på anonym basis.
Se Kia Compliance: Tell Me-policyn angående andra kommunikationskanaler om du vill avslöja din identitet som rapporterande.
I enlighet med Tell Me-plattformen och hanteringen av de relevanta rapporterna, kan Kia EU och den relevanta Kia-enheten (om tillämpligt) behandla
vilken typ av personuppgifter som helst. Faktum är, att utöver identifikation- och kontaktuppgifter (som måste behandlas för att behandla rapporten), kan all information i rapporten behandlas.
Kia EU och den behöriga Kia-enheten (om tillämpligt) kan oberoende och efter eget gottfinnande behandla personuppgifter som faller under särskilda kategorier av data enligt artikel 9 GDPR eller personuppgifter som rör brottsdomar, brott eller relaterade säkerhetsåtgärder enligt artikel 10 GDPR som kan ingå i rapporten och/eller i de akter och dokument som är bifogade till den. Sådan data kommer uteslutande att användas för att behandla rapporten, i full överensstämmelse med principerna gällande proportionalitet och nödvändighet. Om irrelevanta uppgifter eller uppgifter som inte strikt och objektivt krävs för att verifiera påståendena i en rapport rapporteras, kommer Kia EU och den relevanta Kia-enheten att ta bort dessa uppgifter från rapporten och de relevanta datauppsättningarna.
Så som det fastställs i Kia Compliance: Tell Me-policyn, erbjuder Kia Europe Group i den utsträckning det är möjligt och rimligt omfattande skydd av den rapporterande personens anonymitet om den rapporterande personen väljer att förbli anonym.
Av den orsaken har Kia Europe Group inte heller åtkomst till några tekniska data som gör det möjligt att identifiera en anonym rapporterande person (t.ex. IP-adress, inspelade röstfiler och samtalsdata).
Avsnitt 5 har ändrats enligt följande:
Den rättsliga grunden "Utförande av en uppgift i allmänhetens intresse (Art. 6(1)(e) GDPR)"
gäller inte för Italien.
Legitima intressen (Art. 6(1)(f) GDPR):
Om det inte är nödvändigt att behandla de relevanta personuppgifterna för att uppfylla en rättslig skyldighet, behandlar den relevanta Kia Europe Group-enheten de relevanta personuppgifterna i syfte att uppfylla sina egna legitima intressen, vilket betyder att skydda sina avtalsenliga rättigheter och rättigheter före ett avtal, eller i vilket fall som helst, rättigheter på grundval av befintliga relationer. Den relevanta Kia Europe Group-enheten kommer alltid från fall till fall att bedöma huruvida dess intressen åsidosätts av intressen eller grundläggande rättigheter och friheter för den relevanta person som informationen berör.
Som nämnts ovan ska särskilda kategorier av personuppgifter (artikel 9 GDPR) som inte är relevanta för fallet inte tas med i rapporter som lämnas in via Tell Me-plattformen och kommer därför att raderas. Men i det fall och i den utsträckning som sådana uppgifter är relevanta för fallet, är den rättsliga grunden för behandling av sådan information art. 9(2)(b) GDPR (behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och områdena social trygghet och socialt skydd, i den omfattning detta är tillåtet enligt unionsrätten eller medlemsstaternas nationella rätt eller ett kollektivavtal som antagits med stöd av medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder som säkerställer den registrerades grundläggande rättigheter och intressen fastställs), och art. 9(2)(f) GDPR (dvs. behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk).
Avsnitt 6 har ändrats enligt följande:
Övriga:
Kia EU eller den relevanta Kia-enheten kan avslöja informationen till andra tredje parter, så som externa medlemmar av tillsynsorgan, rapporterande stödenheter, konsulter eller rådgivningsföretag, professionella företag samt andra enheter som samarbetar med Kia i vilken egenskap som helst, men endast om detta krävs enligt lagen eller är nödvändigt för att uppnå de syften som anges i denna dataskyddspolicy.
Avsnitt 9 har ändrats enligt följande:
Om du har några frågor om hur Kia EU eller den relevanta Kia-enheten behandlar dina personuppgifter så bidrar naturligtvis Kia EU eller den relevanta Kia-enheten (i tillämpliga fall) gärna med information om de personuppgifter som rör dig och behandlingen av uppgifterna (art. 15 GDPR). Under förutsättning att de rättsliga kraven uppfylls, har du också rätt att erhålla: (a) rättelse av dina personuppgifter (art. 16 GDPR); (b) radering av dina personuppgifter (art. 17 GDPR); och (c) begränsning av behandlingen av dina personuppgifter (art. 18 GDPR). Du har också rätt att lämna in ett klagomål hos en dataskyddsmyndighet (art. 77 GDPR).
Avsnitt 10 har ändrats enligt följande:
”Ansvarig” avser en fysisk eller juridisk person, offentlig myndighet, byrå eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.
Tilläggsavsnitt
Enligt artikel 14 (2)(f) GDPR: Samlas personuppgifter in antingen direkt från de registrerade personerna eller från tredje parter, beroende på om det är:
uppgifter som har att göra med visselblåsaren, varvid uppgifterna samlas in direkt från den registrerade personen som tillhandahåller sina uppgifter genom att skicka in rapporten
uppgifter som har att göra med andra registrerade personer (såsom den anklagade personen, vittnen eller någon annan person som nämns i rapporten), varvid uppgifterna samlas in från tredje part, dvs. personen som har gjort rapporten.
SPANIEN
Kia Iberia S.L.U. (KES) kommer att utföra de behandlingsåtgärder som krävs för hanteringen av interna klagomål som du vill lämna in genom den lokala kanalen som har implementerats av KES (KES-kanalen) i egenskap av personuppgiftsansvarig. Du hittar dataskyddspolicyn för denna lokala kanal för interna klagomål i Bilaga 2B.
Följande tillägg ska införas i avsnitt 8 (Datalagring):
Kommunikation från Spanien måste enligt lagkrav raderas om ingen utredning har påbörjats inom tre månader från mottagandet, såvida inte syftet med att spara den är att lämna bevis för att systemet fungerar korrekt. Kommunikation som inte har följts upp får endast registreras i anonymiserad form.
SVERIGE
Följande stycke ska läggas till i avsnitt 1 (Inledning) som avslutande stycke:
Förutom behandlingen av de relevanta personuppgifter som beskrivs i denna dataskyddspolicy, behandlar Kia Sweden AB (”Kia Sweden”
) personuppgifter i samband med hanteringen av rapporteringskanalen som har inrättats lokalt av Kia Sweden (”svenska kanalen”
). Information om KIA Swedens behandling av personuppgifter genom svenska kanalen finns i bilaga 2A.
Avsnitt 5 (Ändamål och rättslig grund för behandlingen) ska ersättas med följande:
Kia EU och Kia Sweden behandlar relevanta personuppgifter för den första rapporteringen, den efterföljande granskningen av den relevanta rapporten samt utredningen av det rapporterade fallet.
För Kia EU är de rättsliga grunderna för behandlingen följande:
Samtycke (art. 6(1)(a) GDPR):
För viss behandling av relevanta personuppgifter som Kia EU genomför, är den rättsliga grunden den rapporterande personens samtycke på förhand (t.ex. när ett möte mellan Kia EU och den rapporterande personen – på den rapporterande personens begäran – sker i form av en videokonferens).
Efterlevnad av en rättslig skyldighet (art. 6(1)(c) GDPR):
Om en Kia EU enligt lag är skyldig att implementera och tillhandahålla ett sådant system för rapportering av dåligt uppförande och detta medför att denna implementering och detta tillhandahållande kräver behandling av relevanta personuppgifter, är den rättsliga grunden för sådan behandling efterlevnad av den rättsliga skyldigheten. Implementering och tillhandahållande av ett system för rapportering av dåligt uppförande är obligatoriskt i vissa jurisdiktioner.
Utförande av en uppgift i allmänhetens intresse (art. 6(1)(e) GDPR):
Även om implementering och tillhandahållande av ett system för rapportering av dåligt uppförande kan vara obligatoriskt i vissa jurisdiktioner, finns det inget krav på att Kia EU ska implementera en kanal som möjliggör rapportering på anonym basis eller att granska rapporter som har lämnats på anonym basis. I sådana fall är den rättsliga grunden för behandlingen av de relevanta personuppgifterna utförandet av en uppgift i allmänhetens intresse.
Legitima intressen (art. 6(1)(f) GDPR):
Om behandlingen av de relevanta personuppgifterna inte är nödvändig för att uppfylla en rättslig skyldighet, behandlar Kia EU de relevanta personuppgifterna i syfte att uppfylla sina egna legitima intressen. Det legitima intresset är att övervaka efterlevnaden av tillämpliga lagar och förordningar, interna regler (t.ex. Kia EU Compliance & Integrity Code) och att upptäcka och förhindra felaktigt handlande och uppförande. Kia EU kommer alltid från fall till fall att bedöma huruvida dess intressen åsidosätts av intressen eller grundläggande rättigheter och friheter för den relevanta person som informationen berör.
Som nämnts ovan ska särskilda kategorier av personuppgifter (artikel 9 GDPR) som inte är relevanta för fallet inte tas med i rapporter som lämnas in via Tell Me-plattformen och kommer därför att raderas. Men i det fall och i den utsträckning som sådana uppgifter är relevanta för fallet, är den rättsliga grunden för behandling av sådan information antingen art. 9(2)(f) GDPR (dvs. behandlingen är nödvändig för att upprätta, utöva eller försvara rättsliga anspråk) eller art. 9(2)(g) GDPR (dvs. behandlingen är nödvändig på grunder av betydande allmänt intresse, på basis av Europeiska unionens eller nationell lagstiftning).
För Kia Sweden är de rättsliga grunderna för behandlingen följande:
Legitima intressen (Art. 6(1)(f) GDPR):
Under GDPR är den rättsliga grunden för Kia Swedens behandling av relevanta personuppgifter att den är nödvändig för Kia Swedens legitima intresse att övervaka efterlevnaden av tillämpliga lagar och förordningar, interna regler (t.ex. Kia EU Compliance & Integrity Code) och att upptäcka och förhindra felaktigt handlande och uppförande. När sådana relevanta personuppgifter delas med andra parter, motiverar Kia Sweden detta med sitt legitima intresse att undersöka det rapporterade dåliga uppförandet och att vidta åtgärder på grundval av resultatet av en utredning.
Behandlingen är nödvändig för att kunna fullgöra skyldigheter och utöva särskilda rättigheter inom arbetsrätten (art. 9(2)(b) GDPR): Om och i den utsträckning som Kia Sweden behandlar speciella kategorier av personuppgifter som är relevanta för fallet i samband med att en rapport tas emot och utreds, är den rättsliga grunden för Kia Swedens behandling enligt GDPR att den är nödvändig för att kunna fullgöra skyldigheter och utöva särskilda rättigheter inom arbetsrätten.
Behandlingen är nödvändig för att upprätta, utöva eller försvara rättsliga anspråk (art. 9(2)(f) GDPR: Om och i den utsträckning som Kia Sweden delar speciella kategorier av relevanta personuppgifter i syfte att vidta åtgärder på grundval av resultatet av en utredning, är Kia Swedens rättsliga grund att dela relevanta personuppgifter enligt GDPR att detta är nödvändigt för att upprätta, utöva eller försvara rättsliga anspråk.
Behandlingen är nödvändig för att utreda huruvida en person i ledande ställning eller som anses tillhöra nyckelpersonalen inom Kia Europe Group har varit involverad i allvarliga överträdelser eller för upprättandet, utövandet eller försvarandet av rättsliga anspråk i enlighet med avsnitt 5(2) i Förordning med kompletterande bestämmelser till EU:s dataskyddsförordning (2018:219) och avsnitt 2(4) i Integritetsskyddsmyndighetens Föreskrifter om behandling av personuppgifter som rör lagöverträdelser (DIFS 2018:2): Om och i den utsträckning som Kia Sweden behandlar relevanta personuppgifter vid utredningen av brottsdomar och (misstänkta) brott som begåtts av en person i ledande ställning eller som anses tillhöra nyckelpersonalen inom Kia Europe Group, är Kia Swedens rättsliga grund för behandlingen att den är nödvändig för att utreda huruvida en sådan person har varit involverad i allvarliga lagöverträdelser. Om och i den utsträckning som Kia Sweden delar relevanta personuppgifter i samband med brottsdomar och (misstänkta) brott som begåtts av en person i ledande ställning eller som anses tillhöra nyckelpersonalen inom Kia Europe Group i syfte att vidta åtgärder på grundval av resultatet av en utredning, är Kia Swedens rättsliga grund att dela relevanta personuppgifter att detta är nödvändigt för att upprätta, utöva eller försvara rättsliga anspråk.
1. Personuppgiftsansvarig
Kia Sweden AB, Kanalvägen 10A, 194 61 Upplands Väsby, med e-postadress info@kia.se, är personuppgiftsansvarig för personuppgifterna som behandlas i samband med mottagandet, undersökningen och hanteringen av rapporter som lämnas in till den svenska kanalen.
Om du har frågor om hur Kia Sweden behandlar dina personuppgifter, kan du kontakta Kia Swedens dataskyddsombud på d.elander@kia.se eller Kia EU:s dataskyddsombud på dpo@kia-europe.com.
2. Kategorier av personuppgifter och registrerade personer
Rapporter som lämnas in till den svenska kanalen kan innehålla olika typer av personuppgifter, dvs. uppgifter som direkt eller indirekt har att göra med en fysisk person. Personuppgifterna kan ha att göra med personen som lämnade in rapporten, den person som rapporten handlar om, ett vittne eller någon annan person som som nämns i reporten ("relevanta registrerade personer"
).
De personuppgifter gällande de relevanta registrerade personerna som Kia Sweden kan behandla i samband med hanteringen av den svenska kanalen är: namn; adress; stad; kön; befattning/titel; nationalitet; administrationsnummer/ medarbetarnummer; (mobil)telefonnummer; e-postadress; incidentens karakteristik; vidtagna åtgärder; undersökningsrapporter; andra uppgifter som har att göra med incidenten, sådana uppgifter som erhållits under intervjuer men också från samtalsloggar, datafiler, tillträdeskoder, ljudfiler, IP-adresser och annan teknisk data.
För att säkerställa den rapporterande personens anonymitet, kommer Kia Sweden aldrig att skaffa åtkomst till teknisk data som kan användas för att identifiera en rapporterade person (exempelvis IP-adress, inspelade röstfiler och inloggningsuppgifter).
Beroende på fallets natur, kan Kia Sweden också komma att behandla särskilda kategorier av personuppgifter gällande de relevanta registrerade personerna, exempelvis etniskt ursprung, politiska åsikter, religiösa eller filosofiska övertygelser, fackligt medlemskap och uppgifter om hälsa eller sexliv. Personuppgifter gällande (misstänkta) brottsdomar och förseelser kan också komma att behandlas.
Personuppgifter som uppenbarligen inte är relevanta för att undersöka en rapport och som inte nödvändigtvis och objektivt krävs för att bekräfta anklagelserna i en rapport, kommer att raderas så snart som möjligt.
3. Ändamål och rättslig grund för behandlingen
Huvudsakligen behandlas personuppgifter för att hantera och undersöka en rapport och för syftet att vidta åtgärder på grundval av vad som har uppdagats i fallet. Personuppgifter som behandlas för detta ändamål kan också behandlas i syfte att göra ett avslöjande som: (i) är nödvändigt för att vidta åtgärder på grund av det som har uppdagats i fallet; (ii) är nödvändigt för att rapporter ska kunna användas som bevis i rättsliga förfaranden; eller (iv) krävs enligt tillämpliga lagar och förordningar.
Under GDPR är Kia Swedens rättsliga grund för att behandla personuppgifter i avsikt att hantera och undersöka en rapport och att vidta åtgärder på grundval av vad som har uppdagats i fallet, att uppfylla Kia Swedens rättsliga förpliktelse att tillhandahålla en rapporteringskanal enligt lagen om skydd för personer som rapporterar om missförhållanden
(2021:890, "visselblåsarlagen"
).
I den utsträckning som behandlingen av personuppgifter för ovan nämnda syften omfattar särskilda kategorier av personuppgifter, är Kia Swedens rättsliga grund för behandlingen under GDPR att behandlingen är nödvändig på grund av ett substantiellt offentligt intresse, baserat på unionens eller medlemsstatens lagstiftning. I vissa fall kan särskilda kategorier av personuppgifter också behandlas när detta är nödvändigt för att Kia Sweden ska kunna fullgöra sina skyldigheter och utöva särskilda rättigheter inom arbetsrätten. I den utsträckning som behandlingen av personuppgifter har att göra med (misstänkta) brottsdomar och förseelser, är den rättsliga grunden under GDPR att behandlingen är nödvändig för att Kia Sweden ska kunna uppfylla sin rättsliga skyldighet att tillhandahålla en rapporteringskanal enligt den svenska visselblåsarlagen.
När Kia Sweden behandlar personuppgifter i syfte att vidta åtgärder på grundval av resultatet av en utredning, är Kia Swedens rättsliga grund enligt GDPR företagets legitima intresse att säkerställa att tillämplig lagstiftning, Kia Compliance & Integrity Code och andra interna riktlinjer efterlevs samt att upptäcka och förebygga missförhållanden och oegentligheter. I den utsträckning som sådan behandling omfattar särskilda kategorier av personuppgifter eller personuppgifter i samband med (misstänkta) brottsdomar och förseelser, är den rättsliga grunden under GDPR och de kompletterande svenska lagarna och förordningarna, att behandlingen är nödvändig för att upprätta, utöva eller försvara rättsliga anspråk.
4.Utlämnande av personuppgifter till tredje parter
Kia Sweden kommer att hantera personuppgifter med största konfidentialitet. Uppgifterna kommer endast att lämnas ut i samband med behandlingen så som det anges ovan och alltid i överensstämmelse med tillämpliga lagar. Möjliga mottagare av personuppgifterna omfattar följande företag, institutioner eller personer:
- Tjänsteleverantörer:
Detta omfattar People Intouch B.V. (och dess underbehandlare) som operatör av den svenska kanalen. People Intouch B.V. kommer att behandla personuppgifterna som ett personuppgiftsbiträde för Kia Sweden och endast i enlighet med Kia Swedens instruktioner. People Intouch B.V. har sitt registrerade kontor på adressen Olympisch Stadion 6, 1076 DE Amsterdam, Nederländerna.
- Juridiska rådgivare:
Kia Sweden kan i syfte att skydda sina intressen eller genomdriva sina rättigheter utlämna personuppgifter till sina juridiska rådgivare. De juridiska rådgivarna kommer att behandla personuppgifterna som oberoende personuppgiftsansvariga.
- Domstolar och tillsynsorgan:
Kia Sweden kan lämna ut informationen till domstolar eller tillsynsorgan om detta krävs av lagen, på grund av rättsliga förfaranden, domstolsbeslut, på begäran från tillsynsmyndigheter eller för att skydda sina intressen eller genomdriva sina rättigheter. Berörda domstolar eller tillsynsorgan kommer att behandla sådana uppgifter i egenskap av oberoende personuppgiftsansvariga.
- Övriga:
Kia Sweden kan lämna ut personuppgifter till andra tredje parter om lagen kräver detta. Sådana tredje parter kommer att behandla personuppgifterna som oberoende personuppgiftsansvariga.
5. Internationell överföring av personuppgifter
I regel kommer personuppgifter inte att överföras till en mottagare som inte har sitt säte i ett medlemsland inom Europeiska ekonomiska samarbetsområdet (EES). Om personuppgifter trots det överförs till en mottagare i ett land utanför EES, kommer överföringen att ske till ett land för vilket Europeiska kommissionen har fattat ett beslut gällande adekvat dataskyddsnivå eller som på annat sätt är föremål för lämpliga skyddsåtgärder i enlighet med GDPR, exempelvis genom att standardavtalsklausuler som är godkända av Europeiska kommissionen ingås med mottagarna. Du kan kontakta Kia Sweden om du vill ha ytterligare information om internationell överföring av dina personuppgifter eller erhålla dokument som behandlar sådan överföring (gällande adekvat dataskyddsnivå eller standardavtalsklausuler).
6. Datalagring
Kia Sweden kommer endast att behandla de relevanta personuppgifterna så länge som det är nödvändigt för de syften som anges i bilaga 2A eller som krävs enligt tillämplig lagstiftning. Personuppgifter kommer att lagras enligt följande:
- Personuppgifter som inte är relevanta för fallet kommer att raderas eller anonymiseras utan onödigt dröjsmål.
- Inom två veckor från mottagandet av en rapport, kommer ett beslut att fattas huruvida en undersökning ska startas. Om man beslutar att inte starta en utredning, kommer personuppgifterna att raderas eller anonymiseras utan onödigt dröjsmål.
- Om man beslutar att starta en utredning, kommer personuppgifterna att lagras så länge det är nödvändigt för att undersöka rapporten och vidta lämpliga åtgärder i enlighet med resultatet av en sådan undersökning. Personuppgifterna kommer att raderas eller anonymiseras senast 24 månader efter att undersökningen har avslutats.
- Om personuppgifterna används för att upprätta, utöva eller försvara ett rättsligt anspråk, kommer personuppgifterna att sparas tills de rättsliga processerna är avgjorda och under den efterföljande begränsningsperioden.
7. Dina juridiska rättigheter som registrerad person
Du har många rättigheter när Kia Sweden behandlar dina personuppgifter. Om du vill utöva någon av de rättigheter som räknas upp nedan eller om du har frågor gällande Kia Swedens behandling av dina personuppgifter, kan du kontakta Kia Swedens dataskyddsombud på adressen d.elander@kia.se
. Om du är missnöjd med behandlingen av dina personuppgifter, har du rätt att lämna in ett klagomål till den svenska dataskyddsmyndigheten (IMY).
Rätt till information
Om vi på den svenska kanalen erhåller en rapport som innehåller personuppgifter om dig eller om dina personuppgifter samlas in i samband med en undersökning, kommer vi om möjligt att informera dig om detta. Om tillhandahållandet av sådan information förhindrar eller försvårar undersökningen kommer du istället att bli informerad när undersökningen har nått ett sådant skede att denna risk inte längre existerar.
Rätt till tillgång
Du kan begära att få veta huruvida vi behandlar personuppgifter som gäller dig, och om detta är fallet, erhålla en kopia av dem tillsammans med närmare information om syftet med behandlingen, vilka kategorier av personuppgifter det gäller, mottagarna som personuppgifterna har överlåtits till eller kommer att överlåtas till, lagringsperioden och huruvida du har rätt att begära rättelse och borttagande, att begära begränsningar och göra invändningar mot behandlingen. Du har också rätt att bli informerad om rätten att lämna in ett klagomål till IMY, om källan till personuppgifterna, huruvida automatiserat beslutsfattande används samt ytterligare tilläggsinformation.
Rätt till rättelse
Om du anser att personuppgifterna som gäller dig är felaktiga eller ofullständiga, kan du begära att personuppgifterna rättas eller kompletteras.
Rätt att göra invändningar
När vi behandlar personuppgifter baserat på våra legitima intressen, har du rätt att när som helst göra invändningar mot behandlingen. Om vi inte kan påvisa att det finns hållbara legitima grunder för att fortsätta behandlingen av personuppgifterna, måste vi avsluta behandlingen.
Rätt till begränsning av behandling
I vissa fall, exempelvis om du har motsatt dig vår behandling av dina personuppgifter, betvivlat riktigheten hos personuppgifterna eller om behandlingen av personuppgifter är olaglig, kan du begära att behandlingen av dina personuppgifter begränsas. Genom att begära begränsning av behandlingen, har du möjlighet att åtminstone under en viss tidsperiod hindra oss från att använda personuppgifterna för andra ändamål än att exempelvis försvara rättsliga anspråk. Du kan också hindra oss från att radera personuppgifterna, exempelvis om du behöver personuppgifterna för skadeanspråk.
Rätt till radering
Du har rätt att få dina personuppgifter raderade om vi inte längre behöver personuppgifterna för de syften som de samlades in eller behandlades för, om du återtar ditt samtycke, motsätter dig behandlingen, om det inte finns någon legitim orsak för fortsatt behandling, dina personuppgifter har behandlats lagvidrigt eller om lagen kräver att vi raderar dina personuppgifter.
Rätt till dataportabilitet
Du har rätt att erhålla dina personuppgifter i ett strukturerat, vanligt förekommande och maskinläsbart format och att överföra uppgifterna till en annan personuppgiftsansvarig (dataportabilitet).
Utgåva [15 december 2023]
