Oplysninger om behandling af personoplysninger
Nedenfor findes information om den persondatabehandling, der finder sted i forbindelse med vores behandling af whistleblower-sager og dine rettigheder som registreret.
Persondataansvarlig
Ansvarlig for behandlingen af personoplysninger er:
Dansk Rotations Plastic ApS, registreringsnummer 35021310
Kalvehave Havnevej 3
4771 Kalvehave
info@drp.dk
+45 55 38 01 01
For yderligere information om vores håndtering af personoplysninger, se vores til enhver tid gældende Privatlivspolitik.
Formål med og retsgrundlag for behandlingen
Formålet med behandlingen er at kunne opfylde de lovkrav, der stilles til organisationen om at stille en whistleblower-funktion til rådighed og gennemføre den undersøgelse, som indkommende sager kræver. Formålet er også at behandle personoplysninger, hvor det er nødvendigt i forbindelse med opfølgningssager. Det betyder, at vi muligvis skal behandle personoplysninger for at:
- Håndtere rapporterede whistleblower-sager.
- Varetage organisationens rettigheder og opfylde dens forpligtelser på baggrund af de uregelmæssigheder, der kommer frem i whistleblower-sager.
- Opfylde de lovkrav, der stilles til organisationen.
Retsgrundlaget for behandling af personoplysninger i forbindelse med whistleblower-sager er som udgangspunkt retlig forpligtelse efter 5. kap. § 2 i Lov (2021:890) om beskyttelse af personer, der anmelder forseelser.
Retsgrundlaget for behandling af personoplysninger i forbindelse med opfølgning af whistleblower-sager og andre foranstaltninger i forbindelse med en anmeldt sag er opfyldelse af en retlig forpligtelse eller organisationens legitime interesse i at varetage sine rettigheder baseret på mistanke om eller konstaterede uregelmæssigheder.
Kategorier af registrerede
I forbindelse med behandlingen af whistleblower-sager kan der ske behandling af personoplysninger vedrørende følgende kategorier af registrerede:
- Den person, der anmelder en sag, hvis personen ikke vælger at være anonym.
- Den eller de personer, der optræder i en anmeldelse.
- Alle, der har en administrativ rolle til at behandle og undersøge anmeldte forhold.
Videregivelse af data og databehandlere
Oplysningerne kan videregives til myndigheder (fx politimyndighed i sager, hvor whistleblower-sager fører til politianmeldelse). Oplysninger kan også videregives til andre virksomheder inden for vores organisation eller andre selskaber i koncernen i forbindelse med undersøgelse, opfølgning og afhjælpning i anledning af et whistleblower-forhold.
Behandling i forbindelse med whistleblower-sager foregår også hos databehandlere. Disse må kun handle efter vores instruks, som er specifikt reguleret i aftaler med databehandlerne.
Overførsler til tredjelande
Vi bestræber os på ikke at overføre data til et land eller en virksomhed beliggende uden for EU/EØS, og al opbevaring af personoplysninger vedrørende indholdet af whistleblower-sager foregår inden for EU/EØS på servere ejet af virksomheder i Sverige.
Loginadministration foregår gennem Microsoft Azure Active Directory. Opbevaringen foregår inden for EU/EØS, men da udbyderen er amerikansk, er der risiko for, at login-relaterede persondata kan blive stillet til rådighed for amerikanske myndigheder, hvilket kan have en negativ indvirkning på beskyttelsen af privatlivets fred, fordi amerikanske myndigheder ikke er forpligtet til at overholde GDPR. I tilfælde af, at en overførsel til et tredjeland finder sted, findes der standard kontraktklausuler som en beskyttelsesforanstaltning. Kontakt os venligst for mere information om, hvordan vi beskytter dine personoplysninger.
Opbevaring og sletning
De personoplysninger, der fremgår af en whistleblower-sag, vil blive gemt i to år fra sagens afslutning.
De personoplysninger, der bruges til at administrere administration og beføjelse, gemmes, så længe beføjelsen er gyldig.
Hvis en sag kræver yderligere undersøgelse internt, fortsætter behandlingen af personoplysninger, så længe sagen kræver det.
Når opbevaringsperioden udløber, slettes alle personoplysninger.