Denna integritetspolicy förklarar vilka personuppgifter som behandlas, hur och för vilka ändamål, i samband med rapporteringsplattformen ("Visselblåsning"), som har utvecklats i enlighet med EU-direktivet 2019/1937, om skydd av personer som rapporterar brott mot unionslagstiftningen (”Visselblåsning-direktivet”) och relevanta nationella lagar.
4finance Group, ett slutet aktiebolag registrerat i Luxemburg, inklusive alla dess direkt eller indirekt kontrollerade juridiska personer, agerar som personuppgiftsansvarig eller medkontrollant, beroende på relevant nationell lag.
Processen inkluderar Visselblåsarsystemet och eventuella rapporter (observationer) som lämnats där och de åtgärder och utredningar som resulterar därav, allt i enlighet med den allmänna dataskyddsförordningen (“GDPR”).
1. Medkontrollanter
När en rapport (observation) avser anställda eller andra närstående personer i ett 4finance Group-dotterbolag annat än 4finance AS, kontrolleras behandlingen av personuppgifter inom ramen för den processen gemensamt av 4finance AS och 4financed AB.
2. Syfte
Syftet med att behandla personuppgifter är att sätta upp och underhålla Visselblåsarsystemet och att ta emot, undersöka och lösa eventuella intrång, missförhållanden eller andra ärenden som rapporterats via Visselblåsarsystemet i enlighet med medkontrollanters interna policyer och kraven i Visselblåsning-direktivet och nationella lagar. Även om 4finance Group i rapporten (observation) kan få all form av information, inklusive felaktig eller överdriven, är syftet att fastställa bevis som sedan granskas.
3. Rättslig grund:
All behandling baseras på Visselblåsnings-direktivet som införlivats i Visselblåsnings-lagen i Sverige. Vidare är behandlingen av personuppgifter som hänför sig till ämnena i rapporten (observation), Visselblåsning och ärendehanterarna baserad på den registeransvariges legitima intresse av att förebygga, upptäcka, utreda och åtgärda fel. Utan avsikt kan medkontrollanterna utsättas för särskilda kategorier av personuppgifter som finns i Visselblåsnings-rapporten (observation) enligt undantag som tillåts enligt artikel 9 i GDPR, såsom inom området för anställning och social trygghet och socialskyddslagstiftning ( Art.9.2(b)) och för fastställande, utövande eller försvar av rättsliga anspråk eller närhelst domstolar agerar i sin dömande egenskap (Art.9.2(f)). Eventuella irrelevanta eller överflödiga personuppgifter raderas, enligt art. 17 i Visselblåsnings-direktivet.
4. Kategorier av registrerade och data
Visselblåsare. Som regel rapporterar Visselblåsare anonymt. Visselblåsare kan också inkludera personlig information (såsom deras namn, plats, avdelning, ålder, kön, ekonomisk information etc.) om det hjälper utredningen. Information som tillhandahålls av Visselblåsare kan också innehålla särskilda kategorier av personuppgifter (såsom information om en persons hälsa, biometri, övertygelse, sexualitet, brottsdomar). Omständigheterna i ärendet kan göra det möjligt att identifiera meddelaren indirekt. De inkluderar anställda i 4finance Group och externa intressenter, såsom andra personer än arbetare, som möter enheten genom sina arbetsrelaterade aktiviteter, såsom tjänsteleverantörer, distributörer, leverantörer och affärspartners.
Ämnen för rapporter (observationer). Rapporter (observationer) om tjänstefel kan innehålla information om andra relevanta personer (t.ex. namn, efternamn, position, plats, ekonomisk information, bilder eller videofilmer), deras beteende och omständigheter och annan personlig information. Undantagsvis kan rapporter (observationer) innehålla särskilda kategorier av personuppgifter.
Ärendeutredare. Den utredningsansvarige får de uppgifter som finns i rapporten (observation). Dessa personer är anställda som specifikt utsetts av medkontrollanter att behandla rapporten (observation). Deras namn, titel, användarnamn och loggdata bearbetas.
5. Tillgång till och utlämnande av personuppgifter
Endast ärendeutredare har direkt tillgång till personuppgifter i rapport (observation). Personuppgifter kan komma att lämnas ut till tredje part, såsom myndigheter eller externa revisorer, vid en rättslig förpliktelse eller ett berättigat intresse. Vid rapportering från en dator på ett offentligt nätverk eller arbetsnätverk loggas de besökta webbsidorna i webbläsarens historik och/eller systemloggen, vilket potentiellt möjliggör identifiering under exceptionella omständigheter, därför uppmuntras Visselblåsare att använda ett privat nätverk och webbläsaren i inkognito läge.
6. Behandling av personuppgifter i EU/EES-länder
Administratören av Visselblåsarsystemet är en extern tjänsteleverantör: Falcony Ltd., finska handelsregistret företags-ID: 2900763-6, Annankatu 27 A, 00100 Helsingfors, Finland, +358 20 131 0611, support@falcony.io. Medkontrollanterna har de nödvändiga avtalen i kraft för att säkerställa att Databehandlaren endast använder personuppgifter som samlats in med hjälp av Visselblåsarsystemet i enlighet med tillämpliga dataskyddslagar. Processorn har en underleverantör som tillhandahåller teknisk datalagring – Amazon AWS, Irland (underprocessor). Uppgifterna behandlas och lagras endast inom EU/EES.
7. Datalagringsperioder
Rapport (observations) data bevaras i högst två (2) år efter varje undersöknings slut. Längre lagringstider kan vara nödvändiga på grund av tvingande rättsliga skyldigheter som följer av till exempel straffprocess, rättsliga anspråk, arbetarskyddslagar m.m.
8. Visselblåsarens rättigheter
Visselblåsaren har rätt att:
- få en bekräftelse från den personuppgiftsansvarige på huruvida personuppgifter som rör honom eller henne behandlas, och, i så fall, tillgång till personuppgifterna;
- begära från den registeransvarige rättelse av sina personuppgifter;
- begära från den registeransvarige begränsning av behandlingen av deras personuppgifter under de omständigheter som avses i artikel 18 i GDPR;
- begäran från den personuppgiftsansvarige om radering av sina personuppgifter; eller
- invända mot behandlingen av deras personuppgifter under de omständigheter som avses i artikel 21 i GDPR.
Dessa rättigheter kan begränsas under särskilda omständigheter, enligt GDPR.
9. Informationssäkerhet
All data överförs och lagras krypterad. Ingen okrypterad information skickas över det öppna Internet. Risken för intrång och indirekt identifiering är försumbar.
10. Förfrågningar om personuppgifter och den rättsliga grunden för Visselblåsarsystemet
Om du har några frågor om behandlingen av personuppgifter, vänligen kontakta 4finance Group Data Protection Officer på privacy@4finance.com.
För frågor angående den rättsliga ramen för Visselblåsarsystemet och rapport (observation) undersökning, vänligen kontakta 4financeGroup Compliance Officer: compliance@4finance.com.
Angående frågor om anti-penningtvätt, vänligen kontakta 4finance Group Head of AML and DP: aml@4finance.com.
