Whistleblowing integritetspolicy
Purso Groups rapporteringskanal / Visselblåsning
Europeiska Unionens allmänna dataskyddsförordning 2016/679
1. Personuppgiftsansvarig
Purso Ab
Alumiinitie 1, 37200 Siuro
FO-nummer 2238041-1
2. Kontaktperson i ärenden som gäller registret
Marita Lehto
3. Registrets namn
Purso Groups rapporteringskanal
4. Syftet med behandlingen av personuppgifter
En anmälan kan göras anonymt via rapporteringskanalen utan att man behöver lämna uppgifter som identifierar uppgiftslämnaren. Om anmälaren också lämnat sina egna personuppgifter eller anmält en annan person, sker behandlingen av personuppgifter i syftet att identifiera och reda ut verksamhet som bryter mot bolagets etiska principer, att lämna in uppgifter till myndighet för förundersökning samt att följa upp undersökningen.
5. Rättslig grund för behandlingen av personuppgifter
Personuppgifterna behandlas för att fullgöra rättsliga förpliktelser samt på grund av personuppgiftsansvariges berättigade intresse.
6. Beskrivning över registeransvariges berättigade intresse
Rapporteringskanalen är ett sätt att kontrollera att Purso Groups etiska principer efterföljs. Genom rapporteringskanalen är det möjligt att systematiskt samla in viktig information om eventuella oegentligheter eller överträdelser samt att reagera på dem snabbt. Processen grundar sig på Europeiska unionens direktiv som godkänts 23.10.2019 om skydd för personer som rapporterar om överträdelser av unionsrätten (EU 2019/1937). Rapporteringskanalen erbjuder de anställda en möjlighet att lyfta fram missförhållanden och misstankar, och stöder på det viset arbetsgivarbilden och företagskulturen. Purso Group kan inte begära samtycke av personerna som är mål för anmälan. Anmälan kan göras anonymt.
7. Behandlade personuppgifter
Purso Group samlar endast in information som är nödvändig för utredningen av rapporterade fall. Sådana uppgifter är bl.a. namn, telefonnummer eller e-postadress, om dessa anmälts via rapporteringskanalen.
Uppgifter om personen som är potentiellt mål för anmälan kan också ingå i informationen.
Den registeransvarige samlar i behandlingssyfte också in personuppgifter över dem som behandlar anmälningarna.
8. Uppgiftskällor
Registrets uppgiftskälla är den anonyma rapporteringskanalen på webben.
9. Mottagare av personuppgifter
Personuppgifterna behandlas i ett elektroniskt system i de syften som nämns i denna beskrivning. Vi använder oss av en extern serviceleverantör för systemtjänsten. Personuppgifterna som ingår i en anmälan sparas i krypterad form i rapporteringstjänstens databas. Endast personer som av den registeransvarige utnämnts till behandlare av anmälningar har tillgång till databasens uppgifter. Vid behov kan den registeransvarige föra över uppgifterna till den registeransvariges databas för behandling eller arkivering.
Endast personer som av den registeransvarige utnämnts till behandlare av anmälningar får meddelande om anmälningarna och kan behandla dem i tjänsten. Varje behandlare har individuella användarnamn för inloggning i tjänsten. Personen som ansvarar för det tekniska underhållet av tjänsten har inte tillgång till anmälningsdatabasen. Personuppgifter kan överföras till befintliga serviceleverantörer i den mån de deltar i genomförandet av åtgärder inom ramen av ett uppdrag.
Vi säkerställer en adekvat skyddsnivå för våra partners personuppgifter i enlighet med gällande lagstiftning.
Om en anonym anmälan kräver en mera detaljerad utredning och personuppgifter uppgetts i anmälan, kan uppgifterna överlåtas till de parter som handhar ansvaret för interna utredningar i organisationen.
Vi överlämnar information till myndigheterna i den utsträckning det är tillåtet och krävs enligt gällande lag, till exempel som svar på en begäran av uppgifter från myndigheterna.
10. Uppgifter som samlats in via rapporteringskanalen lagras inom EU.
11. Personuppgifternas förvaringstid eller kriterier för hur förvaringstid fastställs
I denna beskrivning nämnda personuppgifter förvaras endast så länge och i den utsträckning som det är nödvändigt och den registeransvarige utnyttjar dem för aktiviteter som specificerats i behandlingens syfte.
I princip förvaras anmälningar och till dem eventuellt förknippade personuppgifter i fem år efter att utredningen avslutats. Efter fem år granskas behovet för tilläggsförvaring. Om anmälan förs vidare till domstol och domstolsbehandligen kräver en längre förvaringstid, förvaras uppgifterna den tid domstolsbehandlingen kräver. Ogrundade anmälningar anonymiseras, ifall anmälan innehållit personuppgifter.
Under första året förvaras uppgifterna i rapporteringstjänsten som upprätthålls av Centralhandelskammaren. Efter det förs de över till Purso Groups krypterade mapp.
12. Den registrerades rättigheter
Den registrerade personen har följande rättigheter:
- rätt att få tillgång till uppgifter om sig själv
- rätt till rättelse av felaktiga uppgifter
- rätt till radering av uppgifterna
- rätt till att begränsa behandlingen
- rätt till att göra invändning mot behandlingen av uppgifter
- rätt att få veta om personuppgiftsincidenter
Om en person vill utnyttja sina rättigheter eller vill få tilläggsinformation om behandlingen av sina personuppgifter, kan hon kontakta registeransvarige som nämns i denna beskrivning.
Personen har också rätt att besvära sig hos tillsynsmyndighet angående behandlingen av hennes personuppgifter, ifall hon upplever att behandlingssättet bryter mot tillämpad dataskyddsreglering.
13. Automatiserat beslutsfattande och profilering
Personuppgifterna används inte för automatiserat beslutsfattande eller profilering.
14. Effekterna av behandlingen av personuppgifter och allmän beskrivning om tekniska och organisatoriska skyddsåtgärder
Personuppgifterna skyddas noggrant under hela deras livscykel med adekvata dataskydds- och datasäkerhetsåtgärder. Centralhandelskammaren, som är systemleverantör för rapporteringskanalen, behandlar personuppgifter i datasäkra serverutrymmen. Rapporteringskanalen samlar inte in sådan information om anmälaren såsom IP-adresser eller kakor som kan utnyttjas för identifiering av anmälaren. Alla rapporter är krypterade och endast personer som utnämnts av Purso Group kan dekryptera dem. Tillgången till anmälningarna har begränsats och de personer som behandlar anmälningarna har tystnadsplikt.