Polityka ochrony danych kanału zgłoszeń

1. Kto jest administratorem danych? 

HABITUS GLOBAL RETAIL, S.L.U, (dalej HABITUS lub firma) jest administratorem danych osobowych uzyskanych w ramach Kanału zgłoszeń. 
HABITUS szanuje prawa i podstawowe wolności osób, w tym fundamentalne prawo do ochrony danych osobowych. Prywatność zainteresowanych jest podstawowym filarem dla HABITUS, który przetwarza dane osobowe zgodnie z obowiązującymi przepisami dotyczącymi ochrony danych osobowych, prywatności i bezpieczeństwa tych informacji. W tym celu zostały wdrożone niezbędne środki techniczne i organizacyjne, aby zapobiec utracie, niewłaściwemu użyciu, zmianom, nieautoryzowanemu dostępowi i kradzieży przekazanych danych osobowych, biorąc pod uwagę stan technologii, charakter danych oraz ryzyka, na jakie są narażone.

2. W jakim celu przetwarzamy Twoje dane osobowe?

Dane osobowe będą przetwarzane w celu zarządzania systemem informacji Kanału zgłoszeń, a w szczególności do zarządzania, rozpatrywania i badania wszelkich działań lub zaniechań sprzecznych z etyką i prawem, dbania o ich przestrzeganie oraz podejmowania odpowiednich środków dyscyplinarnych lub prawnych; a w razie potrzeby, do ścigania przestępstw i wykonywania kar wynikających z otrzymanego zgłoszenia oraz do jego rozpatrzenia i rozwiązania. 

3. Jakie dane osobowe będziemy przetwarzać? 

Nie będą zbierane dane osobowe, których nie jest konieczne przetwarzanie w związku z konkretną informacją, a jeśli zostaną zebrane przypadkowo, zostaną niezwłocznie usunięte.

Zgłoszenia złożone zgodnie z niniejszą procedurą mogą być anonimowe, nie jest wymagane, aby zgłaszający się identyfikował. Niezależnie od powyższego, dane osobowe uzyskane w związku ze zgłoszeniem i wewnętrznym dochodzeniem będą traktowane poufnie i wyłącznie w celu zarządzania i kontroli niniejszej procedury, stosując odpowiednie gwarancje i środki ochrony prywatności wymagane prawem.

Dane osobowe uzyskane w związku ze zgłoszeniem i wewnętrznym dochodzeniem będą traktowane poufnie i wyłącznie w celu zarządzania i kontroli niniejszej procedury, stosując odpowiednie gwarancje i środki ochrony prywatności wymagane prawem.

Poniżej wymieniono kategorie danych przetwarzanych w zależności od różnych zainteresowanych stron:

  • Zgłaszający: będą przetwarzane dane osobowe podane w zgłoszeniu.
  • Osoba zgłoszona: będą przetwarzane dane identyfikacyjne, informacje o sytuacji społecznej, szczegóły zatrudnienia oraz potencjalnie dane szczególnie chronione, a także dane podane podczas wywiadów lub oświadczeń.
  • Świadek: będą przetwarzane dane identyfikacyjne oraz dane podane podczas wywiadów.

Firma nie żąda ani nie przetwarza żadnych szczególnych kategorii danych osobowych, takich jak informacje o zdrowiu, pochodzeniu rasowym lub etnicznym, przekonaniach religijnych lub ideologicznych, przynależności związkowej czy orientacji seksualnej. Jednakże, ponieważ w formularzu są pola tekstowe otwarte, możesz dobrowolnie ujawnić takie szczególne kategorie danych, a także dane osobowe osób trzecich, o których wspomnisz w tej komunikacji. W każdym przypadku, zgodnie z art. 9.2 lit. g) RODO, dane szczególnych kategorii mogą być przetwarzane ze względu na interes publiczny.

4. Jaka jest podstawa prawna przetwarzania Twoich danych osobowych?

Podstawą prawną przetwarzania danych osobowych jest:

  • Zarządzanie zgłoszeniem za pośrednictwem kanału wewnętrznego:
    • Wypełnienie obowiązków prawnych ciążących na administratorze danych (art. 6 ust. 1 lit. c) RODO), w zakresie obowiązku posiadania kanału zgłoszeń oraz zgodnie z art. 24 i 8 ustawy LO 3/2018 o ochronie danych i gwarancji praw cyfrowych oraz art. 30 ust. 2 ustawy 2/2023.
    • W razie potrzeby, ze względu na konieczność realizacji interesu publicznego (art. 6 ust. 1 lit. e) RODO) w związku z ściganiem naruszeń lub przestępstw, które mogą dotyczyć firmy.
  • Weryfikacja działania systemu.
    • Wypełnienie obowiązku prawnego ciążącego na administratorze danych (art. 6 ust. 1 lit. c) RODO).

5. Kto będzie miał dostęp do Twoich danych osobowych? 

Tożsamość zgłaszającego zostanie ujawniona tylko w razie konieczności organom sądowym, prokuraturze lub właściwym organom administracyjnym w ramach postępowania karnego, dyscyplinarnego lub sankcyjnego. W takich przypadkach zgłaszający zostanie poinformowany przed ujawnieniem jego tożsamości, chyba że taka informacja mogłaby zagrozić śledztwu lub postępowaniu sądowemu. Gdy właściwy organ poinformuje zgłaszającego, przekaże mu pismo wyjaśniające powody ujawnienia danych poufnych.

W zakresie dozwolonym przez prawo, osoba, której dane dotyczą, nie otrzyma żadnych informacji dotyczących tożsamości zgłaszających.

W odniesieniu do tożsamości osób, których dane dotyczą, zostaną podjęte odpowiednie środki techniczne i organizacyjne w celu jej ochrony, zapewniając poufność, a także poufność osób trzecich, które mogą być wymienione w przekazanych informacjach.

Dostęp do danych jest ograniczony wyłącznie do osób, które, niezależnie od tego, czy są zatrudnione w firmie, wykonują funkcje kontroli wewnętrznej i zgodności z przepisami lub są wyznaczonymi administratorami danych, a także do Inspektora Ochrony Danych lub osoby odpowiedzialnej za ten cel. Jednak dane osobowe mogą być przekazywane, jeśli jest to niezbędne, zainteresowanym stronom trzecim, takim jak członkowie organu ds. zapobiegania, pracownicy organizacji, doradcy zewnętrzni lub organy publiczne w celach badawczych i wyjaśniających zgłoszone fakty, osoby odpowiedzialne za usługi prawne w celu ustalenia odpowiedzialności, wdrożenia działań naprawczych oraz, w razie potrzeby, podjęcia działań prawnych i dyscyplinarnych przed właściwymi organami w każdym przypadku.

Bez uszczerbku dla powiadomienia właściwego organu o czynach stanowiących przestępstwo karne lub administracyjne, dostęp do danych zostanie udzielony personelowi zarządzającemu i kontrolującemu zasoby ludzkie tylko wtedy, gdy możliwe będzie podjęcie środków dyscyplinarnych wobec pracowników.

Z dostawcą odpowiedzialnym za techniczną realizację kanału zgłoszeń w naszym imieniu, który nie ma dostępu do przekazywanych informacji i z którym zawarto umowę powierzenia przetwarzania danych. 
Firma w żadnym wypadku nie będzie dokonywać automatycznych przekazań danych na podstawie przesłanych informacji.

Twoje dane osobowe nie będą przedmiotem międzynarodowego transferu danych.

6. Jak długo będziemy przechowywać Twoje dane osobowe?

Dane będą przechowywane przez czas niezbędny do podjęcia decyzji o wszczęciu dochodzenia w sprawie zgłoszonych faktów. Jeśli okaże się, że przekazane informacje lub ich część nie są prawdziwe, zostaną one niezwłocznie usunięte od momentu stwierdzenia tej okoliczności, chyba że brak prawdziwości może stanowić przestępstwo karne, w takim przypadku informacje będą przechowywane przez czas trwania postępowania sądowego.

W każdym przypadku, jeśli od otrzymania zgłoszenia miną trzy (3) miesiące bez wszczęcia działań dochodzeniowych, dane zostaną usunięte, chyba że konieczne jest ich zachowanie jako dowodu działania systemu. W żadnym wypadku przechowywanie komunikacji i wewnętrznych dochodzeń nie będzie trwało dłużej niż dziesięć lat. Jeśli zachowanie danych będzie konieczne do kontynuowania dochodzenia, zostaną one przekazane odpowiedniemu organowi firmy odpowiedzialnemu za badanie zgłoszonych faktów, który będzie mógł dalej je przetwarzać, bez zachowywania kopii danych w systemie informacji o zgłoszeniach wewnętrznych. Zgłoszenia, które nie zostały rozpatrzone, mogą być przechowywane wyłącznie w formie anonimowej i nie podlegają obowiązkowi blokady przewidzianemu w art. 32 ustawy LO 3/2018.

7. Jakie masz prawa?

Prawa dostępu, sprostowania, usunięcia, ograniczenia, przenoszenia lub sprzeciwu można wykonywać, na warunkach określonych w obowiązujących przepisach, poprzez pisemne zgłoszenie do HABITUS GLOBAL RETAIL, S.L.U, na adres Carrera de Sant Esteve 29, 08173, San Cugat del Vallés, Barcelona, Hiszpania lub na adres e-mail contact@muymucho.com, wskazując konkretne prawo, które chcesz wykonać. Ponadto, jeśli uważasz, że firma nie przetwarza danych osobowych zgodnie z obowiązującymi przepisami, możesz skontaktować się z Inspektorem Ochrony Danych pod powyższym adresem i/lub złożyć skargę do Hiszpańskiej Agencji Ochrony Danych.

Jednakże wykonanie tych praw nie będzie możliwe w następujących przypadkach:

  • Wykonanie prawa dostępu przez osobę zgłoszoną nie obejmuje ujawnienia danych identyfikacyjnych informatora. Prawo dostępu do informacji zawartych w aktach będzie ograniczone do informacji dotyczących danych osobowych będących przedmiotem przetwarzania, bez obejmowania danych dotyczących informatora.
  • W przypadku, gdy osoba badana zgłosi sprzeciw, zostanie poinformowana, że nie może go wykonać, ponieważ zgodnie z art. 21 ust. 1 RODO istnieją nadrzędne powody uzasadniające kontynuację przetwarzania oraz zgodnie z art. 31 ust. 4 ustawy 2/2023.
  • Prawo do usunięcia nie może być wykonywane przez żadnego z uczestników w trakcie trwania dochodzenia.