Privatlivspolitik - Whistleblowerordning
for private ordninger der administreres af Mazanti-Andersen
1. Behandling af personoplysninger hos Mazanti-Andersen
Mazanti-Andersen tilbyder vores kunder at oprette interne whistleblowerordninger, der administreres af os. Vi stiller en platform til rådighed, hvor der kan modtages indberetninger fra medarbejdere og andre personer, som kunderne ønsker at give adgang til deres interne whistleblowerordning.
Mazanti-Andersen udfører screening og vurdering af indberetninger under tavshedspligt i henhold til Lov om beskyttelse af whistleblowere (”Whistleblowerloven”).
Hvis din virksomhed (”Virksomheden”) har oprettet en whistleblowerordning hos Mazanti-Andersen, vil vi behandle dine personoplysninger efter denne privatlivspolitik.
2. Behandlingen af personoplysninger
Du kan finde oplysninger om vores behandling af dine personoplysninger under de følgende afsnit:
Afsnit 3: Hvis du indberetter en hændelse
Afsnit 4: Hvis vi modtager oplysninger om dig
Afsnit 5: Dataansvarlig
Afsnit 6: Formålene med og retsgrundlaget for behandlingen af dine personoplysninger
Afsnit 7: Kategorier af personoplysninger
Afsnit 8: Modtagere eller kategorier af modtagere
Afsnit 9: Overførsel til modtagere i tredjelande, herunder internationale organisationer
Afsnit 10: Opbevaring af dine personoplysninger
Afsnit 11: Retten til at trække samtykke tilbage
Afsnit 12: Dine rettigheder
Afsnit 13: Klage til Datatilsynet
3. Hvis du indberetter en hændelse
Du har ikke pligt til at afgive personoplysninger, hvis du indberetter til whistleblowerordningen. Du har heller ikke pligt til at afgive personoplysninger, hvis du efterfølgende er i kontakt med os om hændelsen.
Hvis du måtte afgive personoplysninger, vil vi behandle dine personoplysninger i overensstemmelse med denne privatlivspolitik.
4. Hvis vi modtager oplysninger om dig
Denne privatlivspolitik gælder også for personoplysninger, som vi modtager med en indberetning eller under vores behandling af sagen.
Mazanti-Andersen vil underrette dig om hvilke personoplysninger, vi har modtaget om dig, og vores formål med at behandle dine personoplysninger. Dette er en underretning, som følger databeskyttelsesforordningens artikel 14, og som også vil oplyse om vores retsgrundlag for behandlingen. Vi vil også oplyse dig, om vi har besluttet at videregive dine personoplysninger.
Vores tavshedspligt under Whistleblowerloven kan indebære, at vi først senere vil underrette dig om, at vi har modtaget dine personoplysninger, eller at vi bliver helt undtaget fra denne underretningspligt. Reglerne herom findes i databeskyttelsesforordningen artikel 14, stk. 5, og der gælder yderligere undtagelser i databeskyttelseslovens § 22, hvoraf vi henviser til undtagelserne anført i punkt 4.4 og 4.5.
Vi kan undlade at underrette dig, hvis du allerede er bekendt med, at vi har modtaget dine personoplysninger, eller hvis vi vurderer, ud fra en afvejning af de legitime interesser for behandling af hændelsen, at en underretning af dig bør udsættes eller vige for afgørende hensyn til private interesser, herunder hensynet til dig.
Vi vil ikke underrette dig, hvis vi vurderer, at underretning må vige for afgørende hensyn til offentlige interesser, herunder navnlig a) beskyttelse af dine eller andres rettigheder og frihedsrettigheder, b) håndhævelse af civilretlige krav eller c) forebyggelse, efterforskning, afsløring eller retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner, herunder beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed.
5. Dataansvarlig
Mazanti-Andersen
Amaliegade 10
1256 København K
CVR-nr.: 35 89 20 52
Telefon: +45 33 14 35 36
Mail: whistleblower@mazanti.dk
Har du spørgsmål om vores behandling af dine personoplysninger, kan du kontakte os på ovenstående kontaktoplysninger. Du kan også kontakte os ved at benytte Virksomhedens portal til whistleblowerordningen, og du finder et link i Virksomhedens politik for whistleblowerordningen.
6. Formålene med og retsgrundlaget for behandlingen af dine personoplysninger
Vi behandler dine personoplysninger med det formål at foretage screening og vurdering af indberetningen modtaget i Virksomhedens whistleblowerordning og foretage eventuelle undersøgelser forbundet hermed.
Vores behandling af dine personoplysninger er baseret på databeskyttelsesforordningens artikel 6, stk. 1, litra f (interesseafvejningsreglen), idet Mazanti-Andersens behandling er nødvendig for at forfølge Virksomhedens berettigede og legitime interesse i at oprette en whistleblowerordning og behandle personoplysninger rapporteret hertil, og denne interesse vurderes at vægte tungere end hensynet til registrerede, som måtte være omfattet af en indberetning.
Behandlingen af følsomme personoplysninger omfattet af databeskyttelsesforordningens artikel 9, og oplysninger om strafbare forhold og lovovertrædelser, er baseret på følgende behandlingsgrundlag, ud fra de konkrete omstændigheder:
- Databeskyttelsesforordningens artikel 9, stk. 2, litra f (nødvendig for at retskrav kan fastlægges, gøres gældende eller forsvares).
- Databeskyttelseslovens § 8, stk. 3-5 (vedrørende oplysninger om strafbare forhold og straffedomme).
- Databeskyttelseslovens § 12, stk. 2 (interesseafvejning i ansættelsesforhold).
Behandlingen af oplysninger om personnumre er tillige baseret på databeskyttelseslovens § 11, stk. 2, og, efter de faktuelle forhold, på de herunder angivne behandlingsgrundlag i nr. (3) (videregivelse) og nr. (4), jf. § 7 (følsomme oplysninger, jf. ovenfor pkt. 6.3).
7. Kategorier af personoplysninger
Vores behandling af dine personoplysninger, der udføres som led i vores behandling af indberetninger modtaget i Virksomhedens whistleblowerordning, kan omfatte følgende kategorier af personoplysninger:
- Almindelige personoplysninger, herunder oplysninger om navn, stilling og kontaktoplysninger (f.eks. e-mail, telefonnummer) samt information om det eller de forhold, der er årsag til indberetningen.
- Særlige kategorier af personoplysninger, herunder følsomme oplysninger, jf. databeskyttelsesforordningens art. 9, stk. 1 (f.eks. seksuelle forhold og medlemskab af fagforeninger) og oplysninger om personnummer.
- Oplysninger om lovovertrædelser og strafbare forhold.
8. Modtagere eller kategorier af modtagere
Hvis du er indberetter af en hændelse, behandler vi dine personoplysninger og de oplysninger, du indberetter. Oplysninger om din identitet eller andre oplysninger, der direkte eller indirekte kan afsløre denne, behandles af medarbejdere hos Mazanti-Andersen. Vi videregiver ikke dine personoplysninger, medmindre du efter eventuel dialog herom konkret samtykker til hel eller delvis udlevering af oplysninger, eller medmindre det er nødvendigt at udlevere personoplysningerne til offentlige myndigheder for at imødegå overtrædelser eller for at sikre berørte personers ret til et forsvar. I sidstnævnte tilfælde vil du blive underrettet forud for videregivelsen, medmindre underretningen vil bringe relaterede undersøgelser eller retssager i fare. Oplysninger, der ikke direkte eller indirekte afslører din identitet, kan vi videregive for at følge op på indberetningen eller at imødegå eventuelle overtrædelser. I det omfang det er nødvendigt, kan disse oplysninger således deles med relevante kontaktpersoner hos Virksomheden eller i Virksomhedens koncern i forbindelse med vores anbefaling til Virksomheden om videre håndtering af indberetningen. Vi henviser i øvrigt til Virksomhedens whistleblowerpolitik.
Hvis du er omfattet af en indberetning, kan vi, i det omfang vi vurderer, at det er nødvendigt, herunder efter en konkret interesseafvejning, dele dine personoplysninger med relevante kontaktpersoner hos Virksomheden eller i Virksomhedens koncern i forbindelse med vores anbefaling til Virksomheden om den videre håndtering af indberetningen. Vi kan i situationer, hvor vi finder det nødvendigt, udlevere personoplysninger til offentlige myndigheder for at imødegå overtrædelser eller for at sikre berørte personers ret til et forsvar.
Oplysningerne i indberetningen, herunder dine personoplysninger, opbevares i Nordic Whistles IT-system baseret på Microsoft Azure, der bruges til at håndtere whistleblowerordningen, samt i vores elektroniske sags- og dokumenthåndteringssystem.
Nordic Whistle anvender i sin databehandling kryptering til at garantere sikkerheden af data. Krypteringsnøgler og krypterede data opbevares adskilt på forskellige servere og hos forskellige hostingudbydere, hvilket – i Nordic Whistles setup – garanterer en meget høj grad af sikkerhed, som forhindrer uautoriseret adgang til krypterede data.
9. Overførsel til modtagere i tredjelande, herunder internationale organisationer
Vi overfører normalt ikke data udenfor EU/EØS eller til lande, som ikke har opnået EU-Kommissionens tilstrækkelighedsgodkendelse. Hvis en sådan overførsel måtte blive relevant, iagttager vi de nødvendige sikkerhedsgarantier som krævet efter den gældende databeskyttelseslovgivning.
Vi anvender det digitale whistleblowersystem leveret af Nordic Whistle. Data indleveret hertil behandles på Microsoft Azure og faciliteres i Microsoft datacentre i Irland med backup i Tyskland. Vi henviser til punkt 8.4 om supplerende foranstaltninger ved kryptering.
10. Opbevaring af dine personoplysninger
Personoplysninger opbevares, så længe det er nødvendigt og proportionalt i forhold til den effektive og lovmæssige håndtering af indberetningssagen samt i forhold til eventuelle andre forpligtelser, som retmæssigt kan begrunde fortsat opbevaring under databeskyttelsesreglerne. Vi vil løbende vurdere, om opbevaringen fortsat er nødvendig og proportional.
11. Retten til at trække samtykke tilbage
I det omfang, du måtte have givet et konkret samtykke til vores behandling af dine personoplysninger, har du til enhver tid ret til at trække dit samtykke tilbage. Dette kan du gøre ved at kontakte os ved brug af kontraktoplysningerne som oplyst i punkt 5.2.
Hvis du vælger at trække et samtykke tilbage, påvirker det ikke lovligheden af vores behandling af dine personoplysninger på baggrund af indberetningen eller dit tidligere meddelte samtykke og op til tidspunktet for tilbagetrækningen. Hvis du tilbagetrækker dit samtykke, har det derfor først virkning fra dette tidspunkt.
12. Dine rettigheder
Du har efter databeskyttelsesforordningen en række rettigheder i forhold til vores behandling af personoplysninger om dig.
Ret til at se oplysninger (indsigtsret)
Du har ret til at få indsigt i de personoplysninger, som vi behandler om dig, samt en række yderligere oplysninger om behandlingen. Der kan gælde begrænsninger, når der er et legitimt grundlag herfor, jf. ovenfor under ”Hvis vi modtager oplysninger om dig”.
Ret til berigtigelse (rettelse)
Du har ret til at få urigtige personoplysninger om dig selv rettet eller gjort komplette.
Ret til sletning
I særlige tilfælde har du ret til at få slettet personoplysninger om dig, inden tidspunktet for vores almindelige generelle sletning indtræffer.
Ret til begrænsning af behandling
Du har i visse tilfælde ret til at få behandlingen af dine personoplysninger begrænset. Hvis du har ret til at få begrænset behandlingen, må vi fremover kun behandle personoplysningerne – bortset fra opbevaring – med dit samtykke, eller med henblik på at retskrav kan fastlægges, gøres gældende eller forsvares, eller for at beskytte en person eller vigtige samfundsinteresser.
Ret til indsigelse
Du har i visse tilfælde ret til at gøre indsigelse mod vores behandling af dine personoplysninger.
Vær opmærksom på, at der kan være betingelser eller begrænsninger til ovenstående rettigheder. Det er endvidere ikke sikkert, at du kan få adgang til sagens oplysninger, hvis der er et mere tungtvejende hensyn til andre personers privatlivsbeskyttelse.
Hvis du vil gøre brug af dine rettigheder, skal du kontakte os.
Du kan læse mere om dine rettigheder i Datatilsynets vejledning om de registreredes rettigheder, som du finder på datatilsynet.dk.
13. Klage til Datatilsynet
Du har ret til at indgive en klage til Datatilsynet, hvis du er utilfreds med den måde, vi behandler dine personoplysninger på. Du finder Datatilsynets kontaktoplysninger på datatilsynet.dk.
Senest opdateret den 18. oktober 2023.