Procedure og Privatliv Whistleblowing nimax

immagine copertina policy whistleblowing nimax
Download proceduren i PDF-format
Privatlivspolitik i PDF-format

WHISTLEBLOWING-PROCEDURE

1. INDLEDNING

Lovdekret af 10. marts 2023, nr. 24, der implementerer direktiv (EU) 2019/1937 fra Europa-Parlamentet og Rådet af 23. oktober 2019 om beskyttelse af personer, der indberetter overtrædelser af EU-retten, og som indeholder bestemmelser om beskyttelse af personer, der indberetter overtrædelser af nationale lovbestemmelser, har grundlæggende omorganiseret reglerne vedrørende håndtering af indberetninger om forseelser (såkaldt whistleblowing), ved at etablere en ensartet og struktureret lovgivning.

De nyligt indførte regler kræver især, at virksomheder/enheder har et struktureret og tilstrækkeligt formaliseret whistleblowing-system, hvor implementeringen af interne indberetningskanaler – som forvaltes internt af afdelinger eller specifikt uddannede medarbejdere i organisationen eller af eksterne tredjeparter – er essentielle elementer. Gennem disse kan personer, der får kendskab til en ulovlig handling, foretage en indberetning (se punkt 5.2 i denne Procedure), samt en specifik intern procedure, der regulerer de organisatoriske og procesmæssige aspekter for korrekt håndtering af indberetninger, der falder ind under de nye regler om whistleblowing.

Generelt kan indberetninger fremsendes via den interne kanal enten skriftligt, herunder elektronisk, eller mundtligt (f.eks. via dedikerede telefonlinjer eller talebeskedsystemer).

Efter anmodning fra den indberettende person skal der også arrangeres et møde ansigt til ansigt med de personer, der er ansvarlige for håndteringen af indberetningerne.

Ud over interne indberetninger, og kun hvis de specifikke betingelser angivet i artikel 15 og 16 i Lovdekret 24/2023 er opfyldt (henvises til artiklerne 6 og 15), har den indberettende part ret til at anvende en ekstern indberetningskanal aktiveret hos ANAC eller til offentligt at afsløre – dvs. offentliggøre via presse eller elektroniske medier, der muliggør spredning til flere personer – oplysninger om de ovenfor nævnte overtrædelser.

Denne Procedure, opdateret i henhold til det aktuelt gældende lovgivningsmæssige rammeværk, udgør en integreret del af den Etiske Kodeks, der er vedtaget af NIMAX S.P.A og er i overensstemmelse med virksomhedens compliance-politik.

  1. FORMÅL OG ANVENDELSESOMRÅDE FOR PROCEDUREN

For effektivt at forebygge og bekæmpe svigagtig adfærd samt ulovlig eller uregelmæssig praksis, er der oprettet et internt system til indberetning af overtrædelser (det såkaldte “Whistleblowing-system”) i overensstemmelse med bestemmelserne i lovdekret nr. 24/2023.

Med dette formål identificerer proceduren:

  • det subjektive anvendelsesområde, dvs. hvem der kan indsende en indberetning;
  • det objektive anvendelsesområde, dvs. hvilke overtrædelser der kan indberettes;
  • metoderne til at indsende indberetninger;
  • rollen for de personer, der er ansvarlige for at modtage indberetninger;
  • proceduren for vurdering af indberetninger;
  • beskyttelsesforanstaltninger for både whistleblower og den indberettede person.

Det præciseres, at de personer, der er autoriseret til at modtage og håndtere indberetninger i henhold til artikel 4 i lovdekret nr. 24/2023, udelukkende er: HR-afdelingen.

  1. DEFINITIONER OG FORKORTELSER
  • Nimax S.p.A eller Virksomheden: med hovedkontor i Bologna, Via dell’Arcoveggio 59/2
  • Etisk kodeks: det dokument, der fastlægger de etiske og adfærdsmæssige principper, som virksomhedens organer, ansatte, samarbejdspartnere og generelt alle tredjeparter med juridiske relationer til NIMAX S.P.A skal overholde
  • Modtagere: medarbejdere i NIMAX S.P.A samt enhver anden tredjepart, fysisk eller juridisk person, såsom leverandører, konsulenter, kunder eller andre parter, der har kontraktforhold med virksomheden, herunder samarbejdspartnere, forretningspartnere og generelt alle de parter, der er nævnt i artikel 3 i lovdekret nr. 24/2023 (Subjektivt anvendelsesområde).
  • Interne procedurer: alle procedurer, protokoller, virksomhedspolitikker og/eller driftsinstruktioner samt alle øvrige dokumenter, der er en del af virksomhedens regelsæt.
  • Overtrædelser: handlinger, adfærd eller undladelser, der skader almenhedens interesse eller integriteten af den offentlige forvaltning eller en privat enhed, og som består af ulovlig adfærd, der er relevant i henhold til art. 2 i lovdekret nr. 24/2023 (se punkt 5.2).
  • Oplysninger om overtrædelser (eller “vedrørende overtrædelser”): oplysninger, herunder velbegrundede mistanker, om overtrædelser, der er begået eller, på baggrund af konkrete elementer, kunne blive begået i den organisation, som whistlebloweren har et juridisk forhold til, samt oplysninger om adfærd med henblik på at skjule sådanne overtrædelser.
  • Repressalier: enhver adfærd, handling eller undladelse, selv forsøgt eller truet, der udføres som følge af en indberetning og som forårsager eller kan forårsage whistlebloweren direkte eller indirekte uberettiget skade.
  • Indberetning: kommunikation (skriftlig eller mundtlig) af oplysninger vedrørende en overtrædelse, indsendt via de interne rapporteringskanaler, som virksomheden har etableret.
  • Indberettende person (eller “Whistleblower”): den fysiske person, der indgiver en indberetning om en overtrædelse, som vedkommende har fået kendskab til i sin arbejdsmæssige kontekst.
  • Indberettet person: den fysiske eller juridiske person, der nævnes i indberetningen som ansvarlig for den påståede overtrædelse eller på anden måde involveret i den indberettede overtrædelse.
  • Assistent: fysisk person, der assisterer whistlebloweren i rapporteringsprocessen, arbejder i samme arbejdskontekst og hvis assistance skal behandles fortroligt.
  • Adresse til indsendelse af whistleblowing-rapporter: Whistleblowing Rapportansvarlig – HR-afdeling – fortrolig rapportering – c/o Nimax S.p.a. via dell’Arcoveggio 59/2 – 40129 BOLOGNA
  • Telefonnummer til mundtlig rapportering: 3406803219
  • Rapportansvarlig: HR-afdelingen, som modtager indberetningerne
  • DG: Administrerende direktør i NIMAX S.P.A
  1. RELEVANT RETLIGT RAMMEVÆRK

4.1 Bindende lovgivning

  • Civil Code (den civile lovbog);
  • Criminal Code (den strafferetlige lovbog);
  • Lovdekret af 10. marts 2023, nr. 24 – Gennemførelse af direktiv (EU) 2019/1937 fra Europa-Parlamentet og Rådet af 23. oktober 2019 om beskyttelse af personer, der indberetter overtrædelser
  • af EU-retten og indeholder bestemmelser om beskyttelse af personer, der indberetter overtrædelser af national lovgivning;
  • Lovdekret af 8. juni 2001, nr. 231 om det administrative ansvar for juridiske personer, selskaber og foreninger, også dem uden juridisk personlighed;
  • Forordning (EU) 2016/679 fra Europa-Parlamentet og Rådet af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, og om ophævelse af direktiv 95/46/EF (“GDPR”);
  • Lovdekret af 30. juni 2003, nr. 196 med efterfølgende ændringer (“Privatlivskodeksen”);

4.2 Interne forskrifter

  • NIMAX S.P.A.’s Etiske Kodeks;
  • Interne procedurer og regler;

Med henblik på denne Procedure kan også andre lovbestemmelser være relevante, herunder dem, der vedrører ansættelsesret, samt, hvor det er relevant, civile og strafferetlige bestemmelser, der kan finde anvendelse fra sag til sag.

  1. BESKYTTELSE OG FORTROLIGHED FOR WHISTLEBLOWER OG INDBERETTET

5.1 Beskyttelse af whistlebloweren

For at sikre effektiviteten af den interne indberetningskanal og dens korrekte anvendelse garanterer NIMAX S.P.A fortroligheden af whistleblowerens identitet, også i overensstemmelse med bestemmelserne i persondatalovgivningen i henhold til forordning (EU) 2016/679 og lovdekret 196/2003 (“Privatlivskodeksen”), og gennemfører alle nødvendige foranstaltninger for at undgå enhver form for repressalier, der direkte eller indirekte er forbundet med indberetningen.

Følgende kan især udgøre eksempler på repressalier (ikke-udtømmende liste):

  • afskedigelse, suspension eller tilsvarende foranstaltninger;
  • manglende forfremmelse eller degradering;
  • ændring af funktioner, ændring af arbejdssted, lønnedgang, ændring af arbejdstider;
  • negative vurderinger eller negative anbefalinger;
  • suspendering af træning eller begrænsning af adgangen til den;
  • indførelse af disciplinære foranstaltninger eller andre sanktioner, herunder økonomiske;
  • tvang, intimidering, chikane eller udelukkelse;
  • diskrimination eller anden ugunstig behandling;
  • manglende konvertering af en tidsbegrænset ansættelseskontrakt til en fastansættelse, hvor arbejdstageren har en legitim forventning om en sådan konvertering;
  • manglende fornyelse eller tidlig opsigelse af en tidsbegrænset ansættelseskontrakt;
  • skade, herunder skader på personens omdømme, især på sociale medier, eller økonomiske eller finansielle tab, herunder tab af økonomiske muligheder og indkomst;
  • optagelse på uretmæssige lister på grundlag af en formel eller uformel sektor- eller brancheaftale, hvilket kan gøre det umuligt for personen at finde arbejde i den pågældende sektor eller branche i fremtiden;
  • tidlig ophævelse eller annullering af kontrakter om levering af varer eller tjenesteydelser;
  • annullering af en licens eller tilladelse;
  • anmodning om at undergå psykiatriske eller lægelige undersøgelser.

Den anmeldte person, som mener at have været udsat for gengældelse i forbindelse med indberetningen, kan sende en meddelelse til Arbejdstilsynet eller til ANAC, således at de mest hensigtsmæssige foranstaltninger inden for deres kompetence kan træffes.

Gengældelses- eller diskrimineringsforanstaltninger, der har deres årsag i indberetningen (herunder afskedigelse og/eller ændring af funktioner i henhold til art. 2103 i den civile lovbog), er ugyldige i henhold til art. 6, stk. 2-quater i Lovdekret 231/2001 og art. 19, stk. 3 i Lovdekret 24/2023, og i tilfælde af afskedigelse har den person, der foretog indberetningen, ret til at blive genindsat på arbejdspladsen i henhold til art. 18 i lov nr. 300/1970 (“Arbejdstagerstatutten”) eller art. 2 i Lovdekret 23/2015, afhængigt af de specifikke regler, der gælder for arbejdstageren.

De beskyttelsesforanstaltninger, der er fastsat i Lovdekret 24/2023, gælder også for:

  • betroede personer;
  • personer, der arbejder i samme arbejdsmiljø som whistlebloweren, og som er forbundet med denne gennem et fast følelsesmæssigt eller slægtskabsmæssigt bånd inden for fjerde grad;
  • arbejdskolleger til whistlebloweren, der arbejder i samme arbejdsmiljø, og som har et fast og kontinuerligt forhold til whistlebloweren, dvs. ikke sporadisk, lejlighedsvist eller tilfældigt, men til stede, systematisk og vedvarende over tid;
  • juridiske enheder, som whistlebloweren ejer, arbejder for eller på anden måde er tilknyttet i en arbejdssammenhæng (f.eks. partnerskaber mellem virksomheder).

5.2 Beskyttelse af den indberettede person

For at forhindre misbrug af indberetningssystemet og undgå ærekrænkende eller bagvaskende adfærd, som kan skade ryet for den person, der nævnes i en indberetning, eller medføre diskrimination, gengældelse eller andre ulemper, fastsætter denne procedure foranstaltninger til beskyttelse af den indberettede person.

Især er indberetninger præget af svig eller grov uagtsomhed, som er klart grundløse, fremsat i ond tro eller fremlagt af personlige grunde eller udelukkende med det formål at opnå fordele eller forvolde skade på den indberettede person og/eller virksomheden, forbudt.

I tilfælde af en skødesløs indberetning i henhold til ovenstående bestemmelser, kan de disciplinære sanktioner, der er fastsat i virksomhedens disciplinærsystem og i den gældende kollektive overenskomst (hvis den pågældende er en medarbejder), samt administrative bøder under ANAC’s kompetence pålægges whistlebloweren.

Den person, som overtrædelsen vedrører, kan altid anmode den ansvarlige for indberetningen om at blive hørt eller alternativt fremlægge skriftlige erklæringer eller anden dokumentation til eget forsvar. Der udarbejdes referat af mødet med den indberettede person, som dateres og underskrives af den indberettede og opbevares på HR-kontoret.

5.3 Fortrolighed og databeskyttelse

Ved behandling af indberetninger garanterer NIMAX S.P.A beskyttelse af whistleblowerens identitet og enhver anden oplysning, hvorfra denne identitet direkte eller indirekte kan udledes.

Whistleblowerens identitet må ikke afsløres uden udtrykkeligt samtykke fra den pågældende til personer, der ikke er bemyndigede til at modtage eller følge op på indberetninger. Ligeledes er identiteten på de personer, der er nævnt i indberetningen, beskyttet indtil afslutningen af den procedure, der er iværksat på baggrund af indberetningen, og i overensstemmelse med de samme garantier, der gives til whistlebloweren.

Kravet om fortrolighed omkring whistleblowerens identitet og de oplysninger, hvorfra denne identitet kan udledes, gælder ikke i følgende tilfælde:

  • når whistlebloweren udtrykkeligt giver samtykke til at afsløre sin identitet over for personer, der ikke er autoriseret til at modtage og behandle indberetninger;
  • i forbindelse med straffesager, efter afslutningen af de indledende undersøgelser, medmindre anklagemyndigheden ved en begrundet kendelse pålægger opretholdelsen af undersøgelsens fortrolighed for enkelte akter i de tilfælde, der er omfattet af art. 329 i den italienske straffeproceslov;
  • i forbindelse med sager ved revisionsretten, efter afslutningen af undersøgelsesfasen;
  • i forbindelse med disciplinærsager, kun med det udtrykkelige samtykke fra whistlebloweren til at afsløre sin identitet, når kendskab til denne identitet er væsentlig for forsvaret af den indberettede, og påtalen helt eller delvist er baseret på indberetningen. I disse tilfælde kan oplysningerne i indberetningen ikke anvendes i disciplinærsagen, hvis der ikke gives udtrykkeligt samtykke.

Whistlebloweren informeres under alle omstændigheder skriftligt om begrundelserne for videregivelse af fortrolige oplysninger.

5.4 Behandling af personoplysninger

Personoplysninger om whistleblowere, indberettede personer og alle personer, der er involveret i indberetningen, behandles i overensstemmelse med gældende lovgivning om beskyttelse af personoplysninger (Forordning (EU) 2016/679 og den italienske lovdekret 196/2003, som ændret ved lovdekret 101/2018).

NIMAX S.P.A. undlader at behandle personoplysninger, som ikke åbenlyst er nødvendige for håndteringen af en indberetning. Hvis sådanne oplysninger indsamles ved et uheld, slettes de straks.

Med hensyn til behandlingen af personoplysninger i forbindelse med håndtering af indberetninger bemærkes især følgende:

  • whistlebloweren og den person, der er nævnt i indberetningen, modtager på tidspunktet for indberetningen eller ved første nyttige kontakt information om behandlingen af personoplysninger i henhold til artikel 13 og 14 i forordning (EU) 2016/679;
  • proceduren for håndtering af indberetninger indebærer kun behandling af personoplysninger, der er strengt nødvendige og relevante for de formål, hvortil de er indsamlet;
  • NIMAX S.P.A, som dataansvarlig, har implementeret tekniske og organisatoriske foranstaltninger, der er egnede til at sikre et sikkerhedsniveau, der passer til de specifikke risici i forbindelse med behandlingen af personoplysninger, i overensstemmelse med gældende databeskyttelseslovgivning;
  • virksomheden har identificeret de personer, der er ansvarlige for at modtage og håndtere indberetninger, og har skriftligt autoriseret dem i henhold til artikel 29 og 32, stk. 4 i GDPR og artikel 2-quaterdecies i den italienske privatlivskodeks;
  • udøvelsen af de rettigheder, der er fastsat i artikel 15 til 22 i GDPR, af den indberettede person (“den registrerede” i henhold til lovgivningen om databeskyttelse) i forbindelse med behandling af personoplysninger i forbindelse med håndtering af indberetninger kan begrænses, hvis dette kan skade fortroligheden af whistleblowerens identitet. Mere specifikt kan udøvelsen af disse rettigheder udelukkes i den periode, hvor det er strengt nødvendigt, hvis udøvelsen kan medføre faktisk og konkret skade for fortroligheden af whistleblowerens identitet, jf. artikel 2-undecies, stk. 1, litra f) i den italienske privatlivskodeks; eller med henblik på udførelse af forsvarsmæssige undersøgelser i forbindelse med håndtering af indberetninger eller til retslig forsvar fra den dataansvarliges side, jf. artikel 2-undecies, stk. 1, litra e).
  1. ANVENDELSESOMRÅDE

6.1 Subjektivt anvendelsesområde

Denne procedure gælder for alt personale hos NIMAX S.P.A., dvs. arbejdstagere, der opererer på grundlag af forhold, der medfører deres integration i virksomhedens organisation, også i en anden form end ansættelsesforhold, som nærmere beskrevet nedenfor. Bestemmelserne i denne procedure gælder også for eksterne parter, der foretager

indberetninger som angivet i punkt 7.1. samt, med hensyn til beskyttelsesforanstaltninger, de parter, der er angivet i punkt 5.1.

De indberetninger, der tages i betragtning, er udelukkende dem, der vedrører forhold, som whistlebloweren har erfaret direkte, og må under ingen omstændigheder udgøre krav/anmodninger af personlig karakter.

6.2 Objektivt anvendelsesområde

Med henblik på denne procedure kan følgende, uden at dette er udtømmende, indberettes:

  • relevant ulovlig adfærd i henhold til lovdekret 231/2001 – dvs. såkaldte forudgående lovovertrædelser.
  • lovovertrædelser i henhold til EU-lovgivning eller national lovgivning, herunder – uden begrænsning – områder som offentlige udbud, tjenester, produkter og finansielle markeder samt forebyggelse af hvidvaskning af penge og finansiering af terrorisme, transportsikkerhed, miljøbeskyttelse, folkesundhed, databeskyttelse, sikkerhed for netværk og informationssystemer mv.
  • handlinger eller undladelser, der skader Den Europæiske Unions finansielle interesser i henhold til artikel 325 i TEUF (Traktaten om Den Europæiske Unions funktionsmåde);
  • handlinger eller undladelser, der påvirker det indre marked i henhold til artikel 25 i TEUF, herunder overtrædelser af EU’s regler om konkurrence og statsstøtte samt lovovertrædelser relateret til det indre marked i forbindelse med skatteunddragelse eller overtrædelser med det formål at opnå en skattemæssig fordel.

Indberetninger accepteres ikke, hvis de er:

  • kendetegnet ved en åbenlys mangel på interesse i at beskytte virksomhedens integritet eller udelukkende har til formål at beskytte individuelle interesser (f.eks. klager mod kolleger, overordnede osv.);
  • fremsendt med åbenlyst efterlignende formål (f.eks. indberetninger fremsat i ond tro eller med det formål at skade eller chikanere den indberettede person);
  • indeholder grundløse oplysninger eller baserer sig udelukkende på “rygter” (oplysninger uden dokumentation).

Sådanne indberetninger falder uden for anvendelsesområdet for whistleblowing-lovgivningen og vil derfor blive arkiveret efter de nødvendige kontroller.

I ovenstående tilfælde forbeholder NIMAX S.P.A sig retten til at iværksætte de handlinger, der anses for mest hensigtsmæssige for at beskytte sine interesser og den indberettede persons interesser, forudsat at den indberettende persons identitet er kendt.

  1. INDBERETNINGSSYSTEMET

7.1 Indberettende parter

Indberetninger kan fremsættes både af internt personale i NIMAX S.P.A og af eksterne parter.

I henhold til lovdekret 24/2023 omfatter indberettende parter arbejdstagere, der opererer på grundlag af forhold, som medfører deres integration i virksomhedens organisation, også i andre former end et traditionelt ansættelsesforhold, herunder tilkaldevikarer, praktikanter, midlertidigt ansatte og lejlighedsarbejdere.

Bestemmelserne i denne procedure gælder også for følgende parter:

  • selvstændige arbejdstagere samt arbejdstagere med et samarbejdsforhold i henhold til art. 409 i den italienske civilproceslov og art. 2 i lovdekret nr. 81/2015;
  • freelanceprofessionelle og konsulenter;
  • frivillige og praktikanter (både betalte og ubetalte);
  • aktionærer, direktører (herunder de facto-direktører), administrerende direktører, ledere, fuldmægtige, medlemmer af tilsynsrådet;
  • jobansøgere, der får kendskab til en overtrædelse under udvælgelsesprocessen eller i andre prækontraktuelle faser;
  • prøveansatte;
  • tidligere ansatte, hvis oplysningerne om overtrædelsen blev erhvervet under ansættelsesforholdet.

7.2 Indberettede personer

Den adfærd, der er genstand for indberetningen, kan vedrøre den juridiske repræsentant eller medlemmerne af bestyrelsen, tilsynsrådet eller medarbejdere (herunder ledere), eksterne samarbejdspartnere i virksomheden eller tredjemand (f.eks. agenter, leverandører, konsulenter, kunder osv.), som virksomheden har kontraktlige forbindelser med.

7.3 Indberetningskanaler

NIMAX S.p.A har aktiveret en intern indberetningskanal i henhold til bestemmelserne i art. 4 i lovdekret 24/2023, som garanterer fortrolighed for den indberettende person, den indberettede person, de personer der nævnes i indberetningen samt selve indholdet og eventuelle vedlagte dokumenter.

HR-afdelingen er ansvarlig for forvaltningen af den interne indberetningskanal.

Indberetninger kan fremsendes skriftligt via:

  • privat postforsendelse i en lukket kuvert sendt som anbefalet post med kvittering for modtagelse, almindelig post eller afleveret i hånden til whistleblowing-ansvarlig, HR-afdelingen – fortrolig indberetning – c/o Nimax S.p.a. via dell’Arcoveggio 59/2 – 40129 BOLOGNA.

For at lederen kan sikre fortrolighed, anbefales det at indsende rapporten i to lukkede kuverter: den første med identifikationsoplysninger om den indberettende person sammen med en kopi af identitetsdokumentet; den anden med selve indberetningen, således at personens identitet holdes adskilt fra indholdet. Begge kuverter anbringes derefter i en tredje lukket kuvert mærket “Whistleblowing Report” udenpå. Denne mærkning gør det muligt for en eventuelt uautoriseret modtager straks at videresende rapporten til den rette modtager.

  • Oral kanal: via WhatsApp-nummeret 340 6803219. De kanaler, virksomheden anvender, beskytter fortroligheden af den indberettende person og sikrer, at identiteten af den pågældende og tredjeparter samt rapportens indhold ikke er tilgængelige for uvedkommende personer uden formel adgang.

7.4 Indhold og form af indberetningen

Indberetninger skal omhandle oplysninger om forhold, der udgør overtrædelser, eller hvor der er velbegrundet og konkret mistanke om, at sådanne er begået inden for den organisation, hvor den indberettende person har et retsforhold.

Indberettende personer kan fremsende oplysninger om de overtrædelser, der er nærmere specificeret i punkt 6.2 (“Objektivt anvendelsesområde”).

Indberetninger skal indeholde følgende væsentlige elementer:

  • Emne: en præcis og detaljeret beskrivelse af de forhold og handlinger, der formodes at udgøre en overtrædelse, med angivelse – hvis kendt – af alle faktuelle elementer og de tidsmæssige og stedlige omstændigheder, hvor de rapporterede forhold fandt sted[1].
  • Indberettet person og andre involverede: enhver oplysning (f.eks. personlige data, funktion/rolle i virksomheden osv.), der gør det muligt at identificere den formodede gerningsmand til den ulovlige adfærd, der er genstand for indberetningen.

Den indberettende person skal også angive følgende supplerende oplysninger:

  • personlige oplysninger og type indberettende person (f.eks. medarbejder, samarbejdspartner, agent, konsulent osv.), medmindre indberetningen er anonym;
  • eventuelle andre personer, der kan oplyse nyttige forhold vedrørende de rapporterede hændelser;
  • enhver dokumentation, der kan understøtte gyldigheden af de rapporterede forhold og bidrage til at underbygge indberetningen bedre;
  • andre oplysninger, der kan lette indsamlingen af beviser for det rapporterede forhold.

Indberetningen skal, hvis muligt, suppleres med relevant dokumentation, der understøtter det rapporterede forhold.

Hvis den indberettende person under undersøgelsen bliver opmærksom på yderligere oplysninger om de rapporterede forhold, kan vedkommende supplere sin indberetning, også efter at den er sendt. Manglen på ét eller flere af ovenstående obligatoriske minimumsindhold kan udgøre

grundlag for at arkivere indberetningen. Kravet om sandfærdighed af de rapporterede forhold gælder fortsat og er afgørende for beskyttelsen af både den indberettende og den indberettede person.

I rapporteringsprocessen kan den indberettende person få bistand fra en facilitator, dvs. en person, der yder rådgivning og støtte til den indberettende og opererer i samme arbejdsmæssige kontekst. Facilitatoren kan f.eks. være en kollega fra en anden afdeling end den indberettende persons eller en fagforeningsrepræsentant, forudsat at vedkommende handler i den indberettendes navn og på dennes vegne, uden at anvende fagforeningens betegnelse.

Afsendelsen af indberetningen forudgås af, at den indberettende person bekræfter at have læst en specifik databeskyttelseserklæring i henhold til art. 13 i GDPR.

I alle faser af håndteringen af whistleblower-rapporten garanterer virksomheden beskyttelsen af fortroligheden for både den indberettende og de involverede personer samt datasikkerhed vedrørende personoplysninger.

7.5 Forbudte indberetninger

Indberetninger må ikke indeholde nedsættende udtryk eller moralske vurderinger, der har til formål at fornærme eller skade æren, den personlige værdighed og/eller den faglige integritet for den person, som forholdene i indberetningen vedrører.

Følgende er forbudt, uden at det er begrænset hertil:

  • bruge fornærmende eller ærekrænkende udtryk;
  • indsende indberetninger med rent bagvaskende formål;
  • indsende indberetninger, der vedrører aspekter af den indberettedes privatliv uden nogen direkte eller indirekte forbindelse med det arbejde eller den professionelle aktivitet, der udføres i virksomheden eller hos tredjepartsvirksomheder/enheder;
  • indsende indberetninger af diskriminerende karakter, f.eks. vedrørende seksuel, religiøs eller politisk orientering eller den indberettedes race eller etniske oprindelse;
  • indsende indberetninger, der er åbenlyst ubegrundede og i ond tro, da de udelukkende er baseret på påstande og/eller personlige motiver med det ene formål at skade den indberettede person.

Hvis det konstateres, at ovenstående bestemmelser er blevet overtrådt, kan der pålægges den indberettende person en disciplinær sanktion, medmindre der foreligger rimelig grund til at tro, at offentliggørelse eller videregivelse af oplysninger om en overtrædelse, som krænker den indberettede persons omdømme, er sandfærdig og nødvendig for at kende til overtrædelsen.

7.6 Anonyme indberetninger

Indberetninger, hvor det ikke er muligt at spore identiteten på den indberettende person, betragtes som anonyme.

Som udgangspunkt skal anonyme indberetninger, der modtages gennem den interne indberetningskanal, behandles som almindelige indberetninger, forudsat at de er tilstrækkeligt detaljerede[2]. Især vil anonyme indberetninger, som indeholder de oplysninger nævnt i afsnit 7.4, blive taget i betragtning og behandlet.

Under alle omstændigheder kan den anonyme indberetter, som efterfølgende identificeres og erklærer at have været udsat for repressalier som følge af indberetningen, gøre brug af den beskyttelse, der er fastsat i lovdekret nr. 24/2023 mod gengældelsesforanstaltninger[2].

  1. HÅNDTERING AF INDBERETNINGER

Processen for håndtering af indberetninger, som er HR-afdelingens ansvar hos NIMAX S.P.A., er beskrevet nedenfor med særlig henvisning til følgende faser:

  • modtagelse af den skriftlige eller mundtlige indberetning;
  • indledende vurdering af indberetningen;
  • interne kontroller og undersøgelser;
  • afslutning af processen og rapportering til ledelsen;
  • arkivering og opbevaring af dokumentation vedrørende indberetningerne.

8.1 Afsendelse og modtagelse af en indberetning

  • Afsendelse af indberetningen: Når indberetningen er modtaget, bekræfter ansvarlig person modtagelsen over for den indberettende person og registrerer den i en særlig protokol.
  • Opfølgning på indberetningen: De tre vigtigste scenarier for status på en indberetning er beskrevet nedenfor:
  1. Modtagelse bekræftet: Lederen er ansvarlig for at informere den indberettende om, at rapporten er modtaget – dette skal under alle omstændigheder ske inden for 7 (syv) dage fra modtagelsen af selve rapporten;
  2. Svar på rapporten: Inden for 3 (tre) måneder fra meddelelsen om accept, eller i mangel på en sådan meddelelse, inden for 3 måneder efter udløbet af den syv-dages frist fra indsendelsen af rapporten, skal de autoriserede personer, der håndterer rapporterne, give den indberettende en tilbagemelding om de trufne foranstaltninger;

Afslutning af rapporten: Efter gennemførelsen af undersøgelsen udarbejder lederen en endelig tilbagemelding til den indberettende og lukker rapporten.

8.2 Indledende vurdering af rapporten

Lederen påtager sig rapporten inden for 7 (syv) dage fra modtagelsen af selve rapporten.

Herefter gennemgår lederen rapporten med henblik på en indledende vurdering af dens gyldighed og emne.

Hvis nødvendigt kan lederen anmode den indberettende om yderligere oplysninger eller dokumentation, der understøtter rapporten, for at muliggøre en fuldstændig vurdering af de rapporterede forhold.

Lederen sikrer løbende overvågning af hele processen for håndtering af rapporterne.

Rapporter behandles i den rækkefølge, de modtages, medmindre særlige forhold gør det nødvendigt at prioritere en specifik rapport – for eksempel hvis der fremgår særlige indikationer på alvorlighed, potentielle konsekvenser af betydning for virksomheden, eller risiko for gentagelse af ulovlig adfærd.

Ved håndtering af modtagne rapporter handler lederen med den professionalisme og omhu, som opgaven kræver, og udfører enhver aktivitet, der anses for hensigtsmæssig, i overensstemmelse med denne procedure og gældende lovgivning. Inden for rammerne af sin initiativ- og kontrolkompetence kan lederen, hvis nødvendigt for undersøgelsen, også inddrage andre virksomhedsafdelinger eller eksterne konsulenter, forudsat at whistleblowerens og de involveredes fortrolighed altid garanteres, og at der ikke videregives unødvendige oplysninger, som ikke er essentielle for at fastslå de rapporterede forhold.

Efter den indledende vurdering klassificerer lederen rapporten i en af følgende kategorier, hvilket vil medføre en specifik behandlingsproces for hver kategori:

8.3 Interne kontroller og undersøgelser

Ved afslutningen af den indledende vurderingsfase, hvis den modtagne rapport er blevet klassificeret som “relevant”, igangsætter den ansvarlige interne kontroller og undersøgelser med henblik på at indsamle yderligere oplysninger, der er nyttige til at bekræfte de rapporterede forholds gyldighed.

Den ansvarlige forbeholder sig ret til, hvis det er nødvendigt for undersøgelsens fortsættelse, at anmode den rapporterende part om yderligere oplysninger eller dokumentation. Under alle omstændigheder opretholder den ansvarlige dialog med den rapporterende part og giver feedback om rapportens behandlingsstatus.

Som led i undersøgelsesaktiviteterne kan den ansvarlige, afhængigt af rapportens specifikke emne, få støtte fra interne afdelinger eller eksterne konsulenter (f.eks. advokater, revisorer osv.).

I sådanne tilfælde skal de personer, der deltager i undersøgelsen, overholde bestemmelserne i denne Procedure og er derfor forpligtet til blandt andet at overholde tavshedspligten over for den rapporterende person, de involverede personer og de forhold, der undersøges. Hvis disse personer overtræder principperne i denne Procedure, kan virksomheden anvende de foranstaltninger, der er fastsat i det gældende disciplinærsystem.

8.4 Afslutning af processen og rapportering til ledelsen

Når undersøgelsesfasen er afsluttet, skal den ansvarlige udarbejde en specifik rapport, hvori de rapporterede forhold, de gennemførte kontrolaktiviteter, de indsamlede elementer (f.eks. dokumentation, vidneudsagn osv.), resultaterne af undersøgelsen og vurderingen af, hvorvidt overtrædelserne har fundet sted, specificeres i detaljer. Den endelige rapport angiver også de handlinger, der synes passende at træffe i forhold til de rapporterede forhold. Hvis de gennemførte undersøgelser ikke bekræfter nogen ulovlige handlinger eller relevante overtrædelser i henhold til lovdekret 231/01, arkiverer den ansvarlige rapporten og informerer den rapporterende person.

Hvis rapporten anses for begrundet og vedrører medarbejdere/samarbejdspartnere i NIMAX S.P.A, informerer den ansvarlige straks den administrerende direktør for at vurdere en eventuel iværksættelse af disciplinære procedurer og/eller nødvendige indberetninger til kompetente myndigheder (retlige, administrative osv.). Hvis den involverede person er den administrerende direktør, sendes meddelelsen udelukkende til direktøren (CEO). Den endelige undersøgelsesrapport sendes samtidig til direktøren.

Den ansvarlige igangsætter disciplinære procedurer mod den medarbejder, som overtrædelsen vedrører.

Hvis rapporten er begrundet og vedrører tredjeparter, som virksomheden har kontraktuelle relationer med (f.eks. leverandører, eksterne konsulenter, forretningspartnere osv.), informerer den ansvarlige straks den administrerende direktør med henblik på at anvende de foranstaltninger (f.eks. opsigelse af kontrakt), der er fastsat i de relevante kontrakter, samt eventuel underretning af de kompetente myndigheder.

Den ansvarlige underrettes herefter om de beslutninger, virksomheden har truffet i forhold til den rapporterede person.

For yderligere oplysninger om reglerne for disciplinære procedurer og eventuelle sanktioner henvises der til den generelle del af MOGC, der er dedikeret til “Disciplinær-/Sanktionssystemet”.

På årlig basis sender lederen en sammenfattende rapport til DG, der angiver de modtagne og behandlede rapporter og specificerer status for hver enkelt rapport og de vedtagne foranstaltninger i forhold til afsluttede sager.

I lederens kommunikationer rettet mod virksomhedsorganerne og selskabsledelsen skal rapportørens identitet altid holdes fortrolig, og oplysninger, der ikke behøver at blive offentliggjort, skal udelades.

8.5 (Relevante) rapporter vedrørende virksomhedsorganer og kontrolorganer.

I tilfælde af, at rapporten er relevant og velbegrundet og vedrører:

        • Administrerende direktør: DG informerer bestyrelsen om resultatet af undersøgelsen for at koordinere og fastlægge de foranstaltninger, der skal træffes;
        • Bestyrelsesformanden: DG informerer de øvrige medlemmer af bestyrelsen samt bestyrelsens revisorer om resultatet af undersøgelsen for at koordinere og fastlægge de foranstaltninger, der skal træffes;
        • Et medlem af bestyrelsen, der ikke er formanden: DG informerer bestyrelsesformanden og bestyrelsens revisorer om resultatet af undersøgelsen for at koordinere og fastlægge de foranstaltninger, der skal træffes;
        • Et medlem af bestyrelsens revisorer eller en af de lovpligtige revisorer: DG underretter den administrerende direktør;

8.6 Arkivering og opbevaring af dokumentation relateret til rapporter

Rapporter og relateret dokumentation opbevares af lederen, enten digitalt og/eller på papir, i en dedikeret mappe, så uautoriserede personer forhindres i at få adgang.

Rapporter og relateret dokumentation opbevares så længe, det er nødvendigt for at behandle selve rapporten, dog ikke længere end 5 (fem) år fra datoen for meddelelsen om det endelige resultat af rapporteringsproceduren, i overensstemmelse med de i denne Procedure anførte tavshedspligtsforpligtelser.

Den samme opbevaringsperiode (ikke længere end 5 år fra modtagelsen) gælder også for dokumentation vedrørende anonyme rapporter, så lederen kan spore dem, hvis rapportøren, der senere identificeres, har lidt repressalier på grund af rapporten.

Når rapporten efter rapportørens anmodning afgives mundtligt under et møde med lederen, dokumenteres den, med rapportørens forudgående samtykke, af lederen ved optagelse på en enhed, der er egnet til opbevaring og afspilning, eller ved hjælp af en skriftlig rapport. I tilfælde af en skriftlig rapport kontrollerer rapportøren udtalelserne i rapporten og retter dem eventuelt, hvorefter rapporten bekræftes ved underskrift.

        1. OVERTRÆDELSER AF WHISTLEBLOWING-PROCEDUREN

Enhver overtrædelse af denne Procedure udgør en disciplinær overtrædelse, som kan sanktioneres af virksomheden i overensstemmelse med bestemmelserne i Nimax Disciplinærsystemet.

Det fremhæves især, at Disciplinærsystemet med henblik på at sikre whistleblowerens beskyttelse foreskriver de sanktioner, der skal anvendes på gengældelseshandlinger eller diskriminerende handlinger, der er udført mod personer, som har rapporteret ulovlig adfærd, der er relevant for anvendelsen af lovdekret nr. 231/2001 eller Etiske Regler, samt overtrædelser af fortrolighedsforpligtelser vedrørende whistleblowerens identitet.

Selv hypotesen om en rapport, der viser sig at være grundløs, udført med ond hensigt eller grov uagtsomhed, kan udgøre en disciplinær overtrædelse, der kan sanktioneres af virksomheden i henhold til Disciplinærsystemet.

INFORMATION OM BEHANDLING AF PERSONOPLYSNINGER I HENHOLD TIL ARTIKLER 13 OG 14 I FORORDNING (EU) 2016/679 VEDRØRENDE WHISTLEBLOWING-RAPPORTER

Disse oplysninger gives af virksomheden Nimax S.p.a. med hensyn til behandlingen af personoplysninger for de berørte parter (underforstået de berørte parter som den rapporterende part, den rapporterede part og enhver anden fysisk person involveret i rapporten) i forbindelse med håndtering af rapporter om påstået ulovlig adfærd, som virksomheden er blevet bekendt med på grundlag af dens ansættelsesforhold, service- eller leverings-/konsulentforhold med den dataansvarlige (såkaldte whistleblowing-rapporter, herefter kun “Rapporter”), modtaget gennem de kanaler, der er fastsat i whistleblowing-proceduren vedtaget af virksomheden (“Proceduren”).

        1. Dataansvarlig og databeskyttelsesrådgiver

Nimax S.p.a., Via dell’Arcoveggio 59/2, Bologna (herefter “Nimax” eller den “Dataansvarlige”), som kan kontaktes på e-mailadressen: privacy@nimax.it.

Den dataansvarlige er tilgængelig for alle spørgsmål vedrørende behandlingen af dine personoplysninger og udøvelsen af de rettigheder, der følger af databeskyttelseslovgivningen, og kan kontaktes, udover den fysiske adresse på det registrerede kontor, også via e-mail på adressen: privacy@nimax.it

        1. Typer af behandlede data

De personoplysninger, der indsamles og behandles af den dataansvarlige i forbindelse med modtagelsen og håndteringen af rapporterne, der modtages gennem de kanaler, der er fastsat i Whistleblowing-proceduren vedtaget af virksomheden, er de oplysninger, der er indeholdt i rapporten, såvel som de, der er erhvervet under de relaterede undersøgelser. Disse data kan tilhøre følgende kategorier:

– almindelige personoplysninger (f.eks. personlige oplysninger om den person, der foretager rapporten, med en angivelse af deres kvalifikation eller faglige stilling; en klar og fuldstændig beskrivelse af de rapporterede fakta og måderne, hvorpå de blev opdaget; datoen og stedet, hvor hændelsen fandt sted; navnet og rollen – kvalifikation, faglig stilling eller tjeneste, hvor aktiviteten udføres – som muliggør identificering af den eller de personer, der udførte de rapporterede handlinger; angivelse af navnene og rollerne på andre personer, der kan rapportere om de rapporterede fakta; oplysninger vedrørende eventuelle dokumenter, der kan bekræfte gyldigheden af de rapporterede fakta; status for din rapport og andre oplysninger, der er indeholdt i rapporterne vedrørende den rapporterende person, de rapporterede personer og andre tredjeparter, der er involveret i overensstemmelse med virksomhedens procedure (samlet benævnt “de registrerede”).

– personoplysninger, der tilhører de såkaldte “særlige” kategorier i henhold til artikel 9, stk. 1 i forordningen (“race- eller etnisk oprindelse, religiøse, filosofiske eller andre overbevisninger, politiske holdninger, medlemskab af partier, fagforeninger, foreninger eller organisationer af religiøs, filosofisk, politisk eller faglig karakter, samt personoplysninger, der afslører helbredstilstand eller seksualliv”) knyttet til de registrerede og eventuelt leveret af den rapporterende person.

– data vedrørende straffedomme og lovovertrædelser eller relaterede sikkerhedsforanstaltninger indeholdt og/eller fremkommet i forbindelse med rapporten i henhold til artikel 10 i forordningen.

Alle ovenstående personoplysninger vil herefter samlet blive defineret som “personoplysninger”.

Det præciseres også, at den dataansvarlige, i overensstemmelse med gældende lovgivning, kan behandle personoplysninger, herunder data vedrørende tredjeparter, som allerede er tilgængelige for den dataansvarlige.

        1. Formålet med behandlingen, retsgrundlag og karakter af leveringen

De personoplysninger, der er givet til at rapportere påstået ulovlig adfærd, som du er blevet opmærksom på i kraft af din ansættelse, service- eller leverings-/konsulentforhold med den dataansvarlige, i overensstemmelse med bestemmelserne i den vedtagne Procedure, vil blive indsamlet og behandlet af den dataansvarlige for at give Virksomhedens Rapportansvarlige mulighed for at udføre sine funktioner i overensstemmelse med Proceduren og gennemføre de nødvendige undersøgelses- og instrumentelle aktiviteter for at verificere gyldigheden af den sag, der er genstand for Rapporten, og, hvis relevant, vedtagelsen af de resulterende korrigerende foranstaltninger og tage passende disciplinære og/eller retlige skridt mod dem, der er ansvarlige for den ulovlige adfærd (“Formål med behandling af rapporten”).

Retsgrundlaget for behandlingen af de ovennævnte data skal identificeres:

– For almindelige personoplysninger er behandlingen til det ovennævnte formål nødvendig for at opfylde en juridisk forpligtelse, som den dataansvarlige er underlagt, i henhold til artikel 6, stk. 1, litra c) i forordningen, idet der tages hensyn til lovdekret nr. 24 af 10. marts 2023, der implementerer direktiv (EU) 2019/1937 fra Europa-Parlamentet og Rådet af 23. oktober 2019 om beskyttelse af personer, der rapporterer overtrædelser af EU-lovgivningen og fastsætter bestemmelser om beskyttelse af personer, der rapporterer overtrædelser af national lovgivning;

– For personoplysninger, der tilhører de såkaldte “særlige” kategorier, er en sådan behandling lovlig i henhold til artikel 9, stk. 2, litra b) i forordningen. Under alle omstændigheder opfordres den rapporterende person til ikke at give personoplysninger, der tilhører de såkaldte “særlige” kategorier i henhold til artikel 9, stk. 1, i forordningen, hvor dette ikke er strengt nødvendigt.

Enhver behandling af personoplysninger, der vedrører potentielle lovovertrædelser eller domme, der er genstand for rapporten, udføres i overensstemmelse med bestemmelserne i artikel 10 i GDPR, som er autoriseret af specifikke bestemmelser om whistleblowing, samt til beskyttelse eller forsvar af rettigheder i retten [se artikel 2-octies, stk. 3, litra e) i lovdekret nr. 196/2003 – den såkaldte “Privatlivslov”].

Levering af personoplysninger til dette formål – med undtagelse af henvisninger til navn og efternavn, da muligheden for at foretage anonyme rapporter er givet, hvor de er tilstrækkeligt detaljerede og baseret på præcise og konsistente faktuelle elementer (og ikke af generisk eller forvirrende indhold), således at det er muligt at evaluere og undersøge sagen – er obligatorisk, derfor vil det i tilfælde af manglende levering af disse oplysninger ikke være muligt at tage sig af og administrere rapporten. Hvis den rapporterende person stadig ønsker at fortsætte med en anonym rapport, vil denne kun blive administreret.

Når de først er leveret, kan dine personoplysninger også behandles for at:

– opfylde enhver anden forpligtelse fastsat i lovgivning, regler og EU-lovgivning samt bestemmelser udstedt af retsmyndighederne i forbindelse med deres funktioner på grundlag af artikel 6, stk. 1, litra c) i forordningen og, for så vidt angår personoplysninger, der tilhører særlige kategorier, artikel 9, stk. 2, litra g) i forordningen (“Overholdelsesformål”);

– opfylde eventuelle forsvarsbehov på grundlag af artikel 6, stk. 1, litra f) og artikel 9, stk. 2, litra f) i forordningen (“Forsvarsformål”).

        1. Modtagere af personoplysninger

De personoplysninger, der er indeholdt i de rapporter, som den dataansvarlige har modtaget, vil ikke blive videregivet til tredjepart eller offentliggjort, medmindre det er inden for de grænser, der er fastsat af national og europæisk lovgivning, og i overensstemmelse med den procedure, der er vedtaget af den dataansvarlige. I særdeleshed kan dine data blive delt, i overensstemmelse med bestemmelserne i lovgivningen om behandling af personoplysninger, med følgende enheder:

– specifikt identificerede medarbejdere, der er autoriserede til at behandle personoplysninger og behørigt uddannede i henhold til artikel 29 i forordningen og artikel 2-quaterdecies i lovdekret 196/2003 (“Privatlivskodeks”) samt Etikreglerne;

– enheder uden for den dataansvarliges virksomhed, som fungerer som databehandlere i henhold til artikel 28 i forordningen;

– offentlige og/eller private organer og myndigheder, der fungerer som uafhængige dataansvarlige, og som det er obligatorisk at videregive personoplysninger til i henhold til lovgivning eller myndigheders påbud, især i forhold til undersøgelsesaktiviteter, der vedrører de rapporterede forhold, som det er kendt, at offentlige myndigheder har igangværende undersøgelser af.

Den komplette og opdaterede liste over datarecepienter kan rekvireres fra den dataansvarlige via de kontaktoplysninger, der er angivet ovenfor.

Under alle omstændigheder vil den højeste grad af fortrolighed omkring din identitet som rapportør blive sikret, i overensstemmelse med virksomhedens procedurer. Især i tilfælde af, at rapporten overføres til andre strukturer/organer/tredjeparter for at udføre undersøgelsesaktiviteter, vil det prioriteres kun at videregive indholdet af rapporten og fjerne alle henvisninger, hvorfra det er muligt at spore, selv indirekte, rapportørens identitet. Hvis det af efterforskningsmæssige årsager er nødvendigt at afsløre rapportørens identitet for andre end dem, der er autoriserede til at modtage og følge op på rapporter, vil rapportørens samtykke til at afsløre sin identitet blive anmodet om udtrykkeligt.

I forbindelse med disciplinære sager vil whistleblowerens identitet ikke blive afsløret i alle tilfælde, hvor den disciplinære anklage er baseret på undersøgelser, der er adskilte og yderligere i forhold til rapporten, selv om de er konsekvente i forhold til samme. Den kan dog blive afsløret, hvis tre betingelser er opfyldt, nemlig (a) at anklagen helt eller delvist er baseret på rapporten, (b) at kendskabet til whistleblowerens identitet er væsentligt for den anklagedes forsvar, og (c) at whistlebloweren har givet specifikt samtykke til afsløringen af sin identitet.

        1. Behandlingsmetoder

Dataene vil primært blive behandlet ved hjælp af IT-værktøjer og med organisatoriske og behandlingsmæssige logikker, der nøje relaterer sig til de ovenfor angivne formål, og under alle omstændigheder på en måde, der garanterer datasikkerhed, integritet og fortrolighed i overensstemmelse med de organisatoriske, fysiske og logiske foranstaltninger, der er fastsat i gældende bestemmelser. De kanaler, der er dedikeret og bruges til at sende rapporter i henhold til den interne procedure, som den dataansvarlige har vedtaget, tilbyder en høj garanti for informationsfortrolighed gennem brug af krypteringsteknologier for de data, der passerer på serverne. Den dataansvarlige implementerer passende foranstaltninger for at sikre, at de leverede data behandles tilstrækkeligt og i overensstemmelse med de formål, som de forvaltes til; den dataansvarlige anvender passende sikkerheds-, organisatoriske, tekniske og fysiske foranstaltninger for at beskytte oplysningerne mod ændring, ødelæggelse, tab, tyveri eller forkert eller ulovlig brug. Personoplysninger, der tydeligvis ikke er nyttige for behandlingen af en specifik rapport, indsamles ikke, eller hvis de utilsigtet indsamles, slettes de straks.

        1. Opbevaringsperiode for personoplysninger

Personoplysninger opbevares kun i den tid, der er strengt nødvendig for de formål, hvortil de indsamles, under respekt for princippet om minimering og princippet om begrænsning af opbevaring i henhold til artikel 5, stk. 1, bogstaverne c) og e) i forordningen.

Især opbevares de personoplysninger, der er indeholdt i rapporten og i den tilhørende ledsagedokumentation, i en form, der gør det muligt at identificere de berørte parter i den tid, der er nødvendig for behandlingen af den specifikke rapport og under alle omstændigheder ikke længere end fem (5) år fra datoen for meddelelsen af den endelige afgørelse af rapporteringsproceduren. Den dataansvarlige forbeholder sig dog retten til at opbevare de nævnte personoplysninger i hele den tid, der er nødvendig for opfyldelsen af lovgivningsmæssige forpligtelser og for at opfylde eventuelle forsvarsbehov. Det forstås, at i tilfælde af en retssag kan de ovennævnte perioder forlænges indtil afslutningen af selve sagen og de efterfølgende forældelsesfrister for rettigheder. Efter de ovenfor nævnte perioder vil rapporterne og eventuel ledsagedokumentation blive slettet og/eller anonymiseret.

Yderligere oplysninger kan fås fra den dataansvarlige via ovennævnte kontaktoplysninger.

        1. Overførsel af personoplysninger uden for EU

Vi informerer også om, at dine personoplysninger vil blive behandlet af den dataansvarlige inden for Den Europæiske Unions område. Hvis det af tekniske og/eller operationelle årsager bliver nødvendigt at anvende enheder placeret uden for Den Europæiske Union, eller det bliver nødvendigt at overføre nogle af de indsamlede data til tekniske systemer og tjenester, der administreres i skyen og placeret uden for Den Europæiske Union, vil behandlingen blive reguleret i overensstemmelse med bestemmelserne i kapitel V i forordningen og godkendt på baggrund af specifikke beslutninger truffet af Den Europæiske Union. Den dataansvarlige sikrer, at behandlingen af dine personoplysninger hos disse modtagere sker i overensstemmelse med GDPR. Især vil overførslerne være baseret på en tilstrækkelighedsbeslutning fra Europa-Kommissionen, eller på modtagerens tilslutning til certificeringsmekanismer for dataoverførsel (f.eks. Data Privacy Framework) eller på de standardkontraktbestemmelser, der er godkendt af Europa-Kommissionen, eller på et andet passende juridisk grundlag i overensstemmelse med anbefalingerne 01/2020 vedtaget den 10. november 2020 af Det Europæiske Databeskyttelsesråd.

Du kan få mere information ved at kontakte den dataansvarlige på de ovenfor angivne kontaktoplysninger.

        1. Dine privatlivsrettigheder

Du har til enhver tid ret til at få adgang til de oplysninger, der vedrører dig, i henhold til artikel 15-22 i forordningen. Især kan du anmode om berigtigelse, sletning, begrænsning af databehandling i de tilfælde, der er fastsat i artikel 18 i forordningen, tilbagekaldelse af samtykke i henhold til artikel 7 i forordningen og opnå datamobilitet i de tilfælde, der er fastsat i artikel 20 i forordningen.

Du kan fremsætte en anmodning om indsigelse mod behandlingen af dine oplysninger i henhold til artikel 21 i forordningen, hvor du skal fremhæve årsagerne, der begrunder indsigelsen: den dataansvarlige forbeholder sig retten til at vurdere din anmodning, som ikke vil blive accepteret, hvis der findes tvingende legitime grunde til at fortsætte behandlingen, der vejer tungere end dine interesser, rettigheder og friheder.

Du har også ret til at indgive en klage til den kompetente tilsynsmyndighed i henhold til artikel 77 i forordningen (Databeskyttelsesmyndigheden) eller til at tage retslige skridt i henhold til artikel 79 i forordningen.

Anmodninger skal rettes skriftligt til den dataansvarlige på de kontaktoplysninger, der er angivet ovenfor.

Vær opmærksom på, at for at beskytte fortroligheden af identiteten på den person, der indgiver rapporten, kan muligheden for at udøve de rettigheder, der er fastsat i artikel 15 til 22 i forordningen, udelukkes, hvis udøvelsen af sådanne rettigheder kan føre til reel og konkret skade på fortroligheden af identiteten af den rapporterende person, i henhold til artikel 23, stk. 1, litra i) i forordningen og artikel 2-undecies, stk. 1, litra f) i Databeskyttelsesloven.

Vi informerer også om, at den rapporterede person kan udøve sine rettigheder i henhold til artikel 15 til 22 i forordningen gennem Datatilsynet på den måde, der er fastsat i artikel 160 i Databeskyttelsesloven. I dette tilfælde vil Datatilsynet informere den registrerede om, at det har gennemført alle nødvendige kontroller eller har foretaget en gennemgang, samt om den registreredes ret til at anke til domstolene.

[1] I beskrivelsen af den begåede overtrædelse er en juridisk kvalifikation af den samme ikke påkrævet, da denne aktivitet forudsætter specifikke teknisk-juridiske kundskaber og er overladt til de personer, der er autoriseret til at foretage undersøgelsen, og muligvis til den retlige eller administrative myndighed, der efterfølgende bliver involveret.

[2] Se artikel 16, stk. 4, lovdekret nr. 24/2023.