Subheader
Πολιτική Απορρήτου για το Κανάλι Whistleblowing
  • Gr
  • En

Πολιτική Απορρήτου για το Κανάλι Whistleblowing

Αυτή η πολιτική απορρήτου εξηγεί ποια δεδομένα προσωπικού χαρακτήρα υπόκεινται σε επεξεργασία, με ποιο τρόπο και για ποιο σκοπό, σε σχέση με το Κανάλι Whisteleblowing -Υποβολής Αναφοράς Παράτυπης Ανάρμοστης Συμπεριφοράς, το οποίο έχει δημιουργηθεί σύμφωνα με την Οδηγία της Ευρωπαϊκής Ένωσης 2019/1937, για την προστασία των προσώπων που αναφέρουν παραβιάσεις του Δικαίου της Ένωσης («Οδηγία για την Υποβολή Αναφοράς Παράτυπης Ανάρμοστης Συμπεριφοράς») και της σχετικής εθνικής νομοθεσίας. Κάθε οντότητα στον Όμιλο TBI Bank ενεργεί ως Υπεύθυνος Επεξεργασίας ή Από Κοινού Υπεύθυνοι Επεξεργασίας Προσωπικών Δεδομένων, ανάλογα με τη σχετική εθνική νομοθεσία. Η διαδικασία περιλαμβάνει το Κανάλι Whistleblowing καθώς και τυχόν αναφορές που υποβάλλονται σε αυτό και τις ενέργειες και τις έρευνες που προκύπτουν από αυτές, όλα σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων («GDPR»).

1. Από Κοινού Υπεύθυνοι Επεξεργασίας

Όταν μια  αναφορά σχετίζεται με υπαλλήλους ή άλλα συνδεδεμένα πρόσωπα θυγατρικών του Ομίλου TBI Bank ή των υποκαταστημάτων του Ομίλουστο εξωτερικό, η επεξεργασία προσωπικών δεδομένων στο πλαίσιο αυτής της διαδικασίας δύναται να πραγματοποιείται από κοινού από την TBI Bank EAD και την VIVUS.BG EOOD, την TBI Bank EAD Sofia – Υποκατάστημα Βουκουρεστίου, TBI Bank EAD – Υποκατάστημα Ελλάδας, TBI Money IFN S.A. και TBI Asset Management and Servicing IFN S.A.

2. Σκοπός Επεξεργασίας

Ο σκοπός της επεξεργασίας προσωπικών δεδομένων είναι η δημιουργία και η διατήρηση του Καναλιού Whistleblowing καθώς και η λήψη, διερεύνηση και επίλυση τυχόν παραβιάσεων, παραβάσεων ή άλλων θεμάτων που αναφέρονται μέσω του Καναλιού Whistleblowing σύμφωνα με τις εσωτερικές πολιτικές του Από Κοινού Υπεύθυνου Επεξεργασίας και τις απαιτήσεις της Οδηγίας για το Whistleblowing και εθνικών νόμων. Διεκρινίζεται ότι παρά το γεγονός ότι στην αναφορά ο Όμιλος TBI Bank ενδέχεται να λάβει κάθε είδους πληροφορίες, συμπεριλαμβανομένων εσφαλμένων ή υπερβολικών, ο στόχος είναι να δημιουργηθούν αποδεικτικά στοιχεία τα οποία στη συνέχεια εξετάζονται.

3. Νομική βάση

Η επεξεργασία προσωπικών δεδομένων βασίζεται στην Οδηγία για το Whistleblowing, όπως αυτή έχει ενσωματωθεί στο εθνικό Δίκαιο της Βουλγαρίας, της Ρουμανίας και της Ελλάδας. Επιπλέον, η επεξεργασία προσωπικών δεδομένων που σχετίζονται με τα υποκείμενα της αναφοράς, τους καταγγέλλοντες και τους Υπεύθυνους Παραλαβής και Παρακολούθησης Αναφορών βασίζεται στο έννομο συμφέρον του Υπεύθυνου Επεξεργασίας για την πρόληψη, τον εντοπισμό, τη διερεύνηση και την αντιμετώπιση αδικημάτων. Χωρίς πρόθεση, οι Από Κοινού Υπεύθυνοι Επεξεργασίας ενδέχεται να εκτεθούν σε ειδικές κατηγορίες προσωπικών δεδομένων που περιέχονται στην αναφορά Whistleblowing σύμφωνα με εξαιρέσεις που επιτρέπονται από το άρθρο 9 του GDPR, όπως στον τομέα της απασχόλησης και της νομοθεσίας κοινωνικής ασφάλισης και κοινωνικής προστασίας (άρθρο 9.2 (β)) και για τη θεμελίωση, άσκηση ή υπεράσπιση νομικών αξιώσεων ή όποτε τα δικαστήρια ενεργούν υπό τη δικαστική τους ιδιότητα (άρθρο 9 παράγραφος 2 στοιχείο στ)). Οποιαδήποτε άσχετα ή πλεονάζοντα προσωπικά δεδομένα διαγράφονται, σύμφωνα με το άρθρο. 17 της οδηγίας για την καταγγελία πληροφοριών.

4. Κατηγορίες Υποκειμένων δεδομένων και Δεδομένα

4.1. Whistleblowers

Κατά κανόνα, ο Whistleblower αναφέρει την παρατήρησή του ανώνυμα. Ο Whistleblower μπορεί επίσης να περιλάβει προσωπικές πληροφορίες (όπως το όνομα, την τοποθεσία, το τμήμα, την ηλικία, το φύλο, τις οικονομικές πληροφορίες κ.λπ.) εάν βοηθά την έρευνα. Οι πληροφορίες που παρέχονται από τον Whistleblower ενδέχεται επίσης να περιέχουν ειδικές κατηγορίες προσωπικών δεδομένων (όπως πληροφορίες σχετικά με την υγεία ενός ατόμου, βιομετρικά στοιχεία, πεποιθήσεις, σεξουαλικότητα, ποινικές καταδίκες). Οι περιστάσεις της υπόθεσης ενδέχεται να επιτρέπουν την έμμεση ταυτοποίηση του Whistleblower. Οι καταγγέλλοντες ενδέχεται να περιλαμβάνουν υπαλλήλους του Ομίλου TBI Bank και εξωτερικούς μετόχους, όπως άτομα εκτός των εργαζομένων, που συναλάσσονται την οντότητα μέσω των δραστηριοτήτων που σχετίζονται με την εργασία τους, όπως παρόχους υπηρεσιών, διανομείς, προμηθευτές και επιχειρηματικούς εταίρους.

4.2. Υποκείμενα παρατηρήσεων

Οι παρατηρήσεις παραπτωμάτων ενδέχεται να περιέχουν πληροφορίες σχετικά με άλλα σχετικά πρόσωπα (π.χ. όνομα, επώνυμο, θέση, τοποθεσία, οικονομικές πληροφορίες, φωτογραφίες ή βίντεο), τη συμπεριφορά και τις περιστάσεις τους και άλλες προσωπικές πληροφορίες. Κατ’ εξαίρεση, οι παρατηρήσεις μπορεί να περιέχουν ειδικές κατηγορίες προσωπικών δεδομένων.

4.3. Υπεύθυνους Παραλαβής και Παρακολούθησης Αναφορών

Ο υπεύθυνος για την έρευνα λαμβάνει τις πληροφορίες που περιέχονται στην αναφορά. Αυτά τα άτομα είναι υπάλληλοι που έχουν ανατεθεί ειδικά από τους Υπεύθυνους Επεξεργασίας για την επεξεργασία της αναφοράς. Το όνομα, ο τίτλος, το όνομα χρήστη και τα δεδομένα καταγραφής υποβάλλονται σε επεξεργασία.

5. Πρόσβαση και αποκάλυψη προσωπικών δεδομένων

Μόνο οι Υπεύθυνους Παραλαβής και Παρακολούθησης Αναφορών έχουν άμεση πρόσβαση στα προσωπικά δεδομένα που περιέχονται στις αναφορές. Προσωπικά δεδομένα ενδέχεται να γνωστοποιηθούν σε τρίτα μέρη, όπως οι αρχές ή οι εξωτερικοί ελεγκτές, σε περίπτωση νομικής υποχρέωσης ή έννομου συμφέροντος. Κατά την υποβολή αναφορών από υπολογιστή συνδεδεμένο σε δημόσιο δίκτυο ή δίκτυο εργασίας, οι ιστοσελίδες που επισκέπτεστε καταγράφονται στο ιστορικό του προγράμματος περιήγησης ή/και στο αρχείο καταγραφής συστήματος, επιτρέποντας την αποανωνυμοποίηση σε εξαιρετικές περιπτώσεις, επομένως, ο Whistleblower ενθαρρύνεται να χρησιμοποιεί ιδιωτικό δίκτυο και το πρόγραμμα περιήγησης σε κατάσταση ανώνυμης περιήγησης τρόπος.

6. Επεξεργασία προσωπικών δεδομένων σε χώρες της ΕΕ/ΕΟΧ

Ο διαχειριστής του Καναλιού Whistleblowing είναι εξωτερικός πάροχος υπηρεσιών με στοιχεία : Falcony Ltd., Φινλανδικό Εμπορικό Μητρώο Αναγνωριστικό επιχείρησης: 2900763-6, Annankatu 27 A, 00100 Ελσίνκι, Φινλανδία, +358 20 131 0611, support@falcony.io, (Επεξεργαστής) . Οι Από Κοινού Υπεύθυνοι Επεξεργασίας έχουν τις απαραίτητες συμφωνίες σε ισχύ για να διασφαλίσουν ότι ο Εκτελών την  Επεξεργασία χρησιμοποιεί μόνο προσωπικά δεδομένα που συλλέγονται μέσω του Καναλιού Whistleblowing όπως επιτρέπεται από την ισχύουσα νομοθεσία περί προστασίας δεδομένων. Ο Εκτελών την  Επεξεργασία έχει έναν υπεργολάβο που παρέχει αποθήκευση τεχνικών δεδομένων – το Amazon AWS, Ιρλανδία (Υπο- Εκτελούντα την  Επεξεργασία). Τα δεδομένα υποβάλλονται σε επεξεργασία και αποθηκεύονται μόνο στην ΕΕ/ΕΟΧ.

7. Χρόνος τήρησης προσωπικών δεδομένων

Τα δεδομένα της αναφοράς διατηρούνται για όχι περισσότερο από δύο (2) χρόνια μετά το τέλος κάθε έρευνας. Μπορεί να απαιτούνται μεγαλύτερες περίοδοι αποθήκευσης λόγω υποχρεωτικών νομικών υποχρεώσεων που προκύπτουν, για παράδειγμα, από ποινική διαδικασία, νομικές αξιώσεις, νόμους για την ασφάλεια στην εργασία κ.λπ.

8. Δικαιώματα του Whistleblower

Ο Whistleblower έχει το δικαίωμα:

– να λάβει επιβεβαίωση από τον Υπεύθυνο Επεξεργασίας για το εάν τα προσωπικά δεδομένα που τον αφορούν υπόκεινται σε επεξεργασία και, όπου συμβαίνει αυτό, πρόσβαση στα προσωπικά δεδομένα·

– να ζητήσει από τον Υπεύθυνο Επεξεργασίας διόρθωση των προσωπικών του δεδομένων·

– να ζητήσει από τον Υπεύθυνο Επεξεργασίας περιορισμό της επεξεργασίας των προσωπικών τους δεδομένων στις περιπτώσεις που αναφέρονται στο άρθρο 18 του ΓΚΠΔ·

– να ζητήσει από τον Υπεύθυνο Επεξεργασίας τη διαγραφή των προσωπικών τους δεδομένων· ή

– να αντιτεθεί στην επεξεργασία των προσωπικών τους δεδομένων στις περιπτώσεις που αναφέρονται στο άρθρο 21 του GDPR.

Τα ανωτέρω αναφερόμενα δικαιώματα ενδέχεται να περιορίζονται σε συγκεκριμένες περιπτώσεις, σύμφωνα με τον GDPR.

9. Ασφάλεια πληροφοριών

Όλα τα δεδομένα μεταδίδονται και αποθηκεύονται κρυπτογραφημένα. Δεν αποστέλλονται μη κρυπτογραφημένες πληροφορίες μέσω του ανοιχτού Διαδικτύου. Ο κίνδυνος παραβίασης και έμμεσης ταυτοποίησης είναι αμελητέος.

10. Ερωτήσεις για προσωπικά δεδομένα και τη νομική βάση του Καναλιού Whistleblowing

Εάν έχετε οποιαδήποτε απορία σχετικά με την επεξεργασία προσωπικών δεδομένων, επικοινωνήστε με τον Υπεύθυνο Προστασίας Δεδομένων του Ομίλου TBI Bank στο DPO@tbibank.gr. Για ερωτήσεις σχετικά με το νομικό πλαίσιο του Καναλιού Whistleblowing και την έρευνα αναφοράς, επικοινωνήστε με τον Υπεύθυνο Συμμόρφωσης του Ομίλου TBI Bank: group_compliance@tbibank.bg .

Privacy Policy for the Whistleblowing Channel

This privacy policy explains what personal data is processed, how, and for what purposes, in connection with the observation reporting platform (“Whistleblowing Channel”), which has been developed pursuant to European Union Directive 2019/1937, on the protection of persons who report breaches of Union Law (“Whistleblowing Directive”) and relevant national laws. Every entity in TBI Bank Group acts as personal data controller or co-controller, depending on relevant national laws. The process includes the Whistleblowing Channel and any reports submitted therein and the actions and investigations resulting therefrom, all in accordance with the General Data Protection Regulation (“GDPR”).

1. Co-controllers

Where an observation relates to employees or other related persons of a TBI Bank Group subsidiaries or its branches abroad, processing of personal data in the context of that process will be jointly controlled by TBI Bank EAD and VIVUS.BG EOOD, TBI Bank EAD Sofia – Branch Bucharest, TBI Bank EAD – Branch Greece, TBI Money IFN S.A. and TBI Asset Management and Servicing IFN S.A.

2. Purpose

The purpose of processing personal data is to set up and maintain the Whistleblowing Channel and to receive, investigate and resolve any breaches, misconduct or other matters reported through the Whistleblowing Channel in accordance with Co-controller internal policies and the requirements of the Whistleblowing Directive and national laws. Although in the report TBI Bank Group may receive any kind of information, including incorrect or excessive, the aim is to establish evidence which then is reviewed.

3. Legal basis

All processing is based on the Whistleblowing Directive transposed in the Whistleblowing laws of Bulgaria, Romania and Greece. Further, the processing of personal data pertaining to the observation subjects, Whistleblowers and the observation investigators is based on the Controller’s legitimate interest of preventing, detecting, investigating and addressing wrongdoing. Without intention, the Co-controllers might be exposed to special categories of personal data contained in the Whistleblowing report according to exceptions permitted by Article 9 of the GDPR, such as in the field of employment and social security and social protection law (Art.9.2(b)) and for the establishment, exercise or defense of legal claims or whenever courts are acting in their judicial capacity (Art.9.2(f)). Any irrelevant or excess personal data is deleted, according to Art. 17 of the Whistleblowing Directive.

4. Categories of data subjects and data

4.1. Whistleblowers
As a rule, the Whistleblower reports their observation anonymously. The Whistleblower may also include personal information (such as their name, location, department, age, gender, financial information etc.) if it assists the investigation. Information provided by the Whistleblower may also contain special categories of personal data (such as information about a person’s health, biometrics, beliefs, sexuality, criminal convictions). The circumstances of the case may allow identifying the Whistleblower indirectly. The whistleblowers may include employees of TBI Bank Group and external stakeholders, such as persons other than workers, who encounter the entity through their work-related activities, such as service-providers, distributors, suppliers, and business partners.

4.2.Subjects of observations
Observations of misconduct may contain information about other relevant persons (e.g., name, surname, position, location, financial information, pictures, or video footage), their behavior and circumstances, and other personal information. Exceptionally, observations may contain special categories of personal data.

4.3. Case managers
The person responsible for the investigation receives the information contained in the observation. These persons are employees specifically assigned by the Co-controllers to process the observation. Their name, title, username, and log data are processed.

5. Access to and disclosure of personal data

Only Case managers have direct access to personal data in observations. Personal data may be disclosed to third parties, such as the authorities or external auditors, in case of a legal obligation or legitimate interest. When reporting from a computer on a public or work network, the visited webpages are logged in the browser’s history and/or the system log, allowing deanonymization in exceptional circumstances, therefore, the Whistleblower is encouraged to use a private network and the browser in incognito mode.

6. Processing of personal data in EU/EEA countries

The administrator of the Whistleblowing Channel is an external service provider: Falcony Ltd., Finnish Trade Register business ID: 2900763-6, Annankatu 27 A, 00100 Helsinki, Finland, +358 20 131 0611, support@falcony.io, (Processor). The Co-controllers have the necessary agreements in force to ensure that the Processor only uses personal data collected by means of the Whistleblowing Channel as permitted by the applicable data protection laws. The Processor has a sub-contractor which provides technical data storage – Amazon AWS, Ireland (Sub-processor). The data is processed and stored only in the EU/EEA.

7. Data storage periods

The observation data is kept for no longer than two (2) years after the end of each investigation. Longer storage periods may be necessary due to mandatory legal obligations arising from, for example, criminal procedure, legal claims, occupational safety laws, etc.

8. Rights of the Whistleblower

The Whistleblower has the right to:

– obtain from the Controller confirmation as to whether personal data concerning him or her is being processed, and, where that is the case, access to the personal data;
– request from the Controller rectification of their personal data;
– request from the Controller restriction of processing of their personal data in the circumstances referred to in Article 18 of the GDPR;
– request from the Controller erasure of their personal data; or
– object to the processing of their personal data in the circumstances referred to in Article 21 of the GDPR.

These rights may be limited in specific circumstances, according to the GDPR.

9. Information security

All data is transmitted and stored encrypted. No unencrypted information is sent over the open Internet. The risk of breach and indirect identification is negligible.

10. Inquiries on personal data and the legal basis of the Whistleblowing Channel

Should you have any inquiries about the processing of personal data, please contact the TBI Bank Group Data Protection Officer at DPO@tbibank.bg. For questions regarding the legal framework of the Whistleblowing Channel and observation investigation, please contact TBI Bank Group Compliance Officer: group_compliance@tbibank.bg.