Dataskyddsinformation avseende visselblåsning -visselblåsarkanal Renoa Avloppstjänster AB
1. Person uppgiftsansvarig:
Namn: Renoa Avloppstjänster AB
Organisationsnummer: 559102-3410
Adress: Cirkelgatan 16, 781 72 Borlänge
”Renoa” eller ”vi”
2. Kontaktperson
Namn: Jim-Markus Kinnunen
Telefonnummer:0709-707444
E-postadress: jim.kinnunen@renoa.se
3. I vilket ändamål och på vilken grund behandlar vi dina personuppgifter
Ändamålet med behandlingen av personuppgifter är att genomföra visselblåsningskanalen och att behandla de anmälningar som har inkommit. Uppgifterna kommer att användas för att övervaka och utreda oegentligheter och, vid behov, för att förbereda, anföra eller försvara ett rättsligt anspråk.
Rapporteringskanaler gör det möjligt för företaget att övervaka att regler och lagar gällande besluts- och kontrollsystem, särskilt när det gäller redovisning, revision, mutbrott, penningtvätt, miljö- och ekonomisk brottslighet och konkurrenslagstiftning. Visselblåsarkanalen bygger Lag (2021:890) om skydd för personer som rapporterar om missförhållanden (Visselblåsarlagen) och EU:s visselblåsardirektiv 2019/1937. Den rättsliga grunden för behandlingen av personuppgifter är att fullgöra personuppgiftsansvariges rättsliga förpliktelse (artikel 6(1)(c) i GDPR).
Genom visselblåsarkanalen kan också rapporteras om verksamhet som strider mot etiska normer, t.ex. verksamhet som gäller ekonomiska oklarheter, intressekonflikter, mutning, missbruk och andra olagliga företeelser. Grunden för behandlingen är då vårt berättigade intresse att säkerställa vår verksamhetens laglighet och etiskhet (artikel 6(1)(f) i dataskyddsförordningen. I de fall som sådana anmälningar innehåller information om särskilda kategorier av personuppgifter är behandlingen av sådan information nödvändig för att förbereda, förebära eller försvara en rättsfordran i enlighet med artikel 9(2)(f) i GDPR.
4. Vilka uppgifter finns i registret och från vilka källor samlas de in:
Registret kan innehålla följande uppgifter om anmälaren, personen som anmälan gäller och andra relevanta personer, t.ex. vittnen:
- Anmälarens namn, telefonnummer, adress, e-postadress
- Information om anmälan, t.ex. namn och kontaktuppgifter för den som är föremål för anmälan, en beskrivning av överträdelsen eller missbruk, tid och plats samt all annan information som anmälaren anser vara relevant (beroende på anmälningens natur kan de personuppgifter som behandlas innehålla personuppgifter som hör till särskilda kategorier av personuppgifter)
- Namn och kontaktuppgifter till eventuella vittnen eller andra personer som är involverade i ärendet
- Information om hur anmälningar görs, behandlas och kommuniceras om (inklusive anmälningskod och status)
- Andra uppgifter som anmälaren själv har lämnat
- Dessutom sparas information om dem som behandlar anmälningar som kommer via kanalen, t.ex. namn, arbetstitel, e-postadress, användar-ID till systemet och logginformation om användningen av systemet.
Du kan rapportera via kanalen med ditt namn eller anonymt. Anmälningen kan också lämnas in på annat sätt, t.ex. muntligt eller skriftligt. I dessa situationer kommer anmälan att skickas till Renoas kontaktperson (se uppgifter ovan) och informationen kommer att registreras i anmälningskanalen av Renoa. På det här sättet säkerställer den dokumentation och övervakning av processen som krävs enligt direktivet.
Den primära källan till de uppgifter som sparas i registret är anmälaren själv. Dessutom kommer uppgifterna att bestå av information som samlas in under behandlingen av rapporter om visselblåsningsanmälningar, t.ex. från relevanta personalen och IT-systemen, och under samtalet med den person som kan möjligen vara föremål för rapporten. Andra informationskällor kommer att användas inom de gränser som anges i lagen.
5. Till vem lämnar vi ut uppgifter och överför vi uppgifter utanför EU eller EES:
Utöver Renoas visselblåsningsteam kan jurister eller andra experter och interna revisorer som godkänts av företaget vara involverade i behandlingen och uppföljningen av anmälningar om visselblåsning. Dessutom kan information lämnas ut i enlighet med lagen, till exempel till polisen i samband med en brottsutredning.
Utan anmälarens uttryckliga samtycke ska anmälarens identitet inte avslöjas för andra personer än de som ansvarar för att ta emot och följa upp anmälningar. Anmälarens identitet får dock avslöjas om det är nödvändigt för att den behöriga myndigheten ska kunna fastställa anmälningens giltighet, för att de utredande myndigheterna eller åklagaren ska kunna utföra sina uppgifter eller för att förbereda, förebära eller försvara en rättsfordran. Vi kommer att informera anmälaren på förhand om att ska hans/hennes identitet avslöjas, såvida inte sådan information skulle riskera granskningen av anmälningens riktighet eller relaterade förundersökningen eller rättegången.
Vi använder tjänsteleverantörer som administrerar visselblåsarkanalen och behandlar anmälningar för oss. Sådana tjänsteleverantörer kommer att behandla dina personuppgifter endast i den utsträckning som krävs för visselblåsarkanalen. Vi tillser att din integritet skyddas genom att ingå personuppgiftsbiträdesavtal med de tjänsteleverantörer som behandlar dina personuppgifter.
I princip kommer personuppgifter som behandlas i visselblåsarkanalen inte att överföras utanför EU/ EES. I undantagsfall kan dock tjänsteleverantörer som tillhandahåller visselblåsarkanalen få tillgång till informationssystemet från länder utanför EU /EES för att tillhandahålla teknisk support. I sådana fall kommer dataöverföringar utanför EU/EES att ske i enlighet med standardavtalsklausuler och andra skyddsåtgärder som har godkänts av EU-kommissionen.
6. Lagringstid för personuppgifter:
Uppgifterna i registret kommer att förvaras så länge som krävs för att genomföra behandlingens ändamål eller för att uppfylla rättsliga skyldigheter. Uppgifterna kommer att tas bort senast två år efter det att ärendet avslutades.
7. Skydd för personuppgifter:
Anmälningarna lagras i en molntjänst från en tredje part. Tjänsten övervakar också behandlingen. Tillgången till systemet är behörigt bara till personer som på grund av sin befattning har rätt att behandla uppgifterna och som är bundna av tystnadsplikt. Varje användare har sitt eget användarnamn och lösenord till systemet. Uppgifterna lagras i databaser som skyddas av brandväggar, lösenord och andra tekniska medel. Databaserna och deras säkerhetskopior finns i låsta lokaler och är endast tillgängliga för vissa fördefinierade personer.
Personer som behandlar personuppgifter följer omfattande säkerhetsrutiner och har processer för att upptäcka och förebygga säkerhetsöverträdelser. Molntjänsten där anmälningskanalen finns är certifierad enligt ISO 27001 (datasäkerhet) och ISO 27018 (skydd av personuppgifter i molntjänst).
8. Automatiserat beslutsfattande:
Den information som behandlas i visselblåsarkanalen för visselblåsning är aldrig föremål för automatiserat beslutsfattande.
9. Registrerades rättigheter:
Som registrerad har du de rättigheter som anges nedan enligt GDPR och dataskyddslagen, men dessa rättigheter är inte absoluta. Renoa kan till exempel ha rätt att begränsa utövandet av de rättigheter som anges nedan om det är nödvändigt och proportionellt för att skydda utredningen och uppföljningen av anmälan eller för att skydda anmälarens identitet. I det här fallet kommer registrerad att informeras om varför rättigheterna begränsas. Begäran om registrerades rättigheter ska skickas till den adress som anges i punkt 1.
- Rätt till information
När dina personuppgifter behandlas i visselblåsarkanalen har du rätt att få information om hur dina personuppgifter behandlas. Renoa informerar dig genom denna dataskyddsinformation.
Mer information om denna rättighet finns att finna på IMY:s sida om Rätt till information om hur dina personuppgifter hanteras.
- Rätt till tillgång
Du kan begära att få ett besked om huruvida de Renoa behandlar personuppgifter som rör dig och i så fall få en kopia av dessa – ett så kallat registerutdrag – tillsammans med viss närmare information.
Mer information om denna rättighet finns att finna på IMY:s sida om Rätt till tillgång.
- Rätt till rättelse
Vi har ett ansvar för att de personuppgifter vi behandlar är korrekta, men om du – trots våra ansträngningar att ha uppdaterade register – anser att en uppgift om dig är felaktig eller ofullständig, har du rätt att begära att uppgiften rättas. Då vår service är beroende av att dina personuppgifter är korrekta och uppdaterade uppskattar vi om du vänder dig till kontaktpersonen högst upp i detta dokument för att meddela oss om du vill ändra en uppgift. Om vi uppmärksammar felaktiga uppgifter kommer vi uppdatera uppgifterna och informera dig om detta.
Mer information om denna rättighet finns att finna på IMY:s sida om Rätt att få dina felaktiga uppgifter rättade.
- Rätt att göra invändningar
När Renoa behandlar personuppgifter inom ramen för sitt berättigade intresse har du rätt att när som helst invända mot behandlingen. Om vi inte kan visa att det finns berättigade skäl att fortsätta att behandla uppgifterna måste vi upphöra med behandlingen.
Mer information om denna rättighet finns att finna på IMY:s sida om Rätt att göra invändningar.
- Rätt att återkalla samtycke
Om vår behandling av dina personuppgifter grundar sig på ett samtycke från dig kan du när som helst återkalla ditt samtycke genom att meddela oss på.
Mer information om vad ett samtycke innebär finns att finna på IMY:s sida om Samtycke.
- Rätt till begränsning
Du har i vissa fall, till exempel om du har invänt mot behandlingen, möjlighet att kräva begränsning av behandlingen av dina personuppgifter. Genom att begära en begränsning har du, i vart fall under en viss tid, möjlighet att stoppa Renoa från att använda uppgifterna annat än för att exempelvis försvara rättsliga anspråk. Du kan även hindra Renoa från att radera uppgifterna, till exempel om du behöver uppgifterna för att kräva skadestånd.
Mer information om denna rättighet finns att finna på IMY:s sida om Rätt till begränsning.
- Rätt till radering
Du kan i vissa fall få dina personuppgifter raderade. När dina personuppgifter behövs för att Renoa ska kunna fullgöra sitt uppdrag, uppfylla en rättslig förpliktelse eller när Renoa behöver fastställa, göra gällande eller försvara rättsliga anspråk har Renoa ingen möjlighet att radera uppgifterna.
Mer information om denna rättighet, samt ett exempel på hur en begäran kan utformas, finns att finna på IMY:s sida om Rätt till radering.
- Rätt att flytta dina personuppgifter
Om Renoa behandlar personuppgifter om dig för att uppfylla ett avtal har du i vissa fall möjlighet att få ut personuppgifter som rör dig för att använda dessa på annat håll, exempelvis överföra uppgifterna till en annan personuppgiftsansvarig.
Mer information om denna rättighet finns att finna på IMY:s sida om Rätt att flytta dina personuppgifter.
- Synpunkter på vår behandling?
Om du har synpunkter, frågor eller önskar mer information om Renoas behandling av dina personuppgifter får du gärna kontakta oss via kontaktuppgifterna högst upp i detta dokument.
Du kan också lämna in ett klagomål till Integritetsskyddsmyndigheten (IMY). Information om hur det går till hittar du på IMY:s sida om att Lämna ett klagomål.
Om du har lidit skada på grund av att dina personuppgifter har behandlats i strid med gällande rätt kan du ha rätt till skadestånd. Du kan då begära skadestånd från oss eller väcka skadeståndstalan i domstol.