Integritetspolicy för Whistleblowing-kanalen

Senast uppdaterad: 26.3.2024

 

Din integritet är viktig för oss. Detta integritetsmeddelande förklarar vilka personuppgifter M-Files behandlar, hur M-Files behandlar dem och för vilka ändamål i samband med M-Files -koncernens visselblåsarkanal, som har implementerats i enlighet med direktiv (EU) 2019/1937 om skydd för personer som rapporterar överträdelser av unionsrätten ("visselblåsardirektivet") och dess nationella genomförandelagstiftning.

Hänvisningar till visselblåsarkanalen och visselblåsarprocesser omfattar den visselblåsarkanal som implementerats av M-Files Group och alla rapporter som lämnas där samt de processer och utredningar som följer därav.

1. Kontrollant(er)

M-Files Oy (primärt ansvarig part)

Peltokatu 34C, 33100 Tampere, Finland33100 Tampere, Finland

och våra koncernbolag

(hädanefter "vi" eller "M-Files")

 

Whistleblowing Channel-infrastrukturen tillhandahålls av M-Files Oy för användning av hela M-Files Group. Om en visselblåsningsprocess avser anställda eller andra registrerade i en annan M-Files enhet än M-Files Oy, kommer behandlingen av personuppgifter inom ramen för denna visselblåsningsprocess att kontrolleras gemensamt av M-Files Oy och den andra M-Files enheten eller enheterna i fråga. Koncernföretagens rättigheter och skyldigheter har överenskommits och dokumenterats i M-Files Intra-Group Master Data Transfer Agreement.

2. Kontaktuppgifter för integritetsfrågor

Dataskyddsombud:

[email protected], eller

 

M-Files Oy

Hermia 12

Hermiankatu 1 B

33720 Tammerfors, Finland

3. Vad är syftet med och den rättsliga grunden för behandlingen av personuppgifter?

Syftet med behandlingen av personuppgifter är att inrätta och underhålla M-Files' visselblåsarkanal och att ta emot, utreda och lösa eventuella överträdelser eller andra frågor som rapporteras via visselblåsarkanalen i enlighet med M-Files' interna policyer och kraven i visselblåsardirektivet och nationell genomförandelagstiftning.

Grunden för behandlingen av personuppgifter är att fullgöra vår rättsliga förpliktelse, dvs. att uppfylla de skyldigheter och krav som anges i nationell genomförandelagstiftning enligt visselblåsardirektivet.

4. Vilka uppgifter behandlar vi?

Att använda whistleblowing-kanalen för att skicka in en rapport kräver inte att du lämnar några personuppgifter. När du använder visselblåsarkanalen får du ett unikt ärende-ID och lösenord som inte kan användas för att identifiera dig. Visselblåsarkanalen är utformad på ett sådant sätt att den kan användas helt anonymt.

 

Om en person som lämnar en rapport i visselblåsarkanalen inkluderar personuppgifter som rör honom/henne själv eller en annan person, t.ex. en person som påstås ha begått ett fel, i rapporten, kommer sådana personuppgifter att behandlas i enlighet med detta integritetsmeddelande. Om uppenbart onödiga eller felaktiga personuppgifter identifieras i en visselblåsarrapport eller en ärendeakt, kommer sådana personuppgifter att raderas utan onödigt dröjsmål av de personer som har behörighet att få tillgång till rapporten eller ärendeakten i fråga i enlighet med M-Files tillämpliga interna policyer. De personuppgifter som behandlas i samband med visselblåsarkanalen kan således, utan begränsning, omfatta t.ex:

  • Identitet på den person som lämnar in en rapport
  • Den påstådda gärningsmannens identitet
  • Identitet på den person som har anknytning till det påstådda missförhållandet
  • Information om det påstådda missförhållandet
  • Alla andra personuppgifter som lämnas i visselblåsarkanalen

5. Varifrån får vi data?

Personuppgifter som behandlas i samband med visselblåsarkanalen erhålls som standard från den rapport som görs av den person som använder visselblåsarkanalen. Visselblåsarkanalen kan användas anonymt, men om du så önskar kan du lämna uppgifter som identifierar dig i rapporten. Dessutom kan personuppgifter som rör dig behandlas om en annan person har identifierat eller på annat sätt angett information som rör dig i en visselblåsarrapport som denne har gjort.

 

I tillämpliga fall kan information från andra källor användas för att kontrollera att visselblåsarrapporterna är korrekta och om en sådan rapport leder till en utredning kan ytterligare personuppgifter samlas in och behandlas i samband med utredningen. Sådana personuppgifter kan samlas in från allmänt tillgängliga källor eller baseras på information som erhållits från myndigheter eller andra tredje parter inom ramen för tillämpliga lagar och förordningar.

 

6. Vem lämnar vi ut uppgifter till och överför vi uppgifter till länder utanför EU eller EES?

Vi lämnar inte ut dina personuppgifter som behandlas i samband med visselblåsarkanalen till externa parter, förutom att pågående visselblåsarprocesser och tillhörande personuppgifter kan lämnas ut till våra dotterbolag och närstående bolag, eller en senare ägare, delägare eller operatör av tjänsterna och deras rådgivare i samband med en företagsfusion, konsolidering, omstrukturering, försäljning av i stort sett alla våra aktier och/eller tillgångar, eller i samband med konkursförfaranden eller annan företagsreorganisation.

Vi använder underleverantörer för att tillhandahålla visselblåsarkanalen. Underleverantörerna används för att tillhandahålla plattformen för visselblåsning och andra tjänster som krävs för att uppfylla kraven i visselblåsningsdirektivet och dess nationella genomförandelagstiftning. Alla underleverantörer är bundna av adekvata databehandlings- och sekretessavtal och behandlar endast personuppgifter i den utsträckning som krävs för att uppfylla de syften som anges i detta integritetsmeddelande.

Dina personuppgifter kan även komma att lämnas ut mellan M-Files koncernbolag, beroende på vilka medarbetare från vilka juridiska enheter som gör en anmälan, anges i en anmälan eller ansvarar för att ta emot och hantera anmälan och tillhörande rutiner i enlighet med M-Files interna policyer.

Om en anställd på M-Files eller en enhet utanför EU/EES anges i en visselblåsarrapport eller om en anställd utanför EU/EES utses till ansvarig för att hantera rapporten och tillhörande rutiner, kan eventuella personuppgifter i en rapport komma att behandlas utanför EU/EES. När personuppgifter behandlas utanför EU/EES ser vi till att eventuella överföringar omfattas av EU-kommissionens standardavtalsklausuler eller av annan lämplig skyddsåtgärd enligt artikel 46 i dataskyddsförordningen.

7. Hur skyddar vi uppgifterna och hur länge lagrar vi dem?

Endast de av våra anställda som på grund av sitt arbete har ansvar för att övervaka visselblåsarärenden har rätt att använda systemet och få tillgång till ärendeakter som innehåller personuppgifter relaterade till visselblåsarprocessen, och endast i den utsträckning som visselblåsarärendet i fråga har fastställts falla inom deras specifika ansvarsområde enligt M-Files interna policyer. Varje användare har ett personligt användarnamn och lösenord till de system som används för att behandla personuppgifter. Uppgifterna lagras i system som skyddas av brandväggar, lösenord och andra tekniska åtgärder. Med undantag för situationer där en visselblåsarrapport skulle leda till ytterligare åtgärder (t.ex. en brottsutredning), kommer alla personuppgifter uteslutande att behandlas med hjälp av sådana system och lagras eller överförs inte någon annanstans, förutom när ansvariga medarbetare får tillgång till uppgifterna i systemen för att hantera sina utpekade ansvarsområden.

De personuppgifter vi samlar in sparas under den period som krävs för att uppfylla de syften som anges i detta integritetsmeddelande, såvida inte en längre lagringsperiod krävs enligt lag eller av oss för att skydda våra juridiska rättigheter. Alla personuppgifter kommer att raderas efter att visselblåsarprocessen i fråga har avslutats, såvida inte ytterligare åtgärder, t.ex. brottsutredning, som kräver fortsatt behandling av uppgifterna är nödvändiga och följer av visselblåsarprocessen.

Vi bedömer regelbundet behovet av datalagring med hänsyn till tillämplig lagstiftning. Dessutom vidtar vi sådana rimliga åtgärder som säkerställer att inga oförenliga, föråldrade eller felaktiga personuppgifter lagras med hänsyn till syftet med behandlingen. Vi korrigerar eller raderar sådana uppgifter utan dröjsmål.

8. Vilka är dina rättigheter som registrerad?

Du har rätt att kontrollera de personuppgifter som finns lagrade om dig och rätt att kräva rättelse eller radering av felaktiga, föråldrade, onödiga och olagliga uppgifter. Du har rätt att begära rättelse av de uppgifter som rör dig och som behandlas i den mån sådana uppgifter skulle vara felaktiga, föråldrade, onödiga eller olagliga. Om du bestrider uppgifternas riktighet eller andra aspekter har du också rätt att begära att behandlingen av dina uppgifter begränsas till dess att ett beslut om huruvida dina uppgifter ska rättas har fattats (dvs. till dess att det har kontrollerats om uppgifterna är felaktiga, föråldrade, onödiga eller olagliga med avseende på visselblåsarprocessen i fråga).

Av skäl som hänför sig till din specifika situation har du också rätt att begära att dina uppgifter raderas.

För att säkerställa integriteten i visselblåsarprocesserna, dvs. för att följa visselblåsardirektivet och nationell lagstiftning, kan det krävas en begränsning av i vilken utsträckning du som registrerad kan utöva dina rättigheter med avseende på dina personuppgifter som behandlas i visselblåsarkanalen. Om det uppstår sådana situationer att det skulle vara nödvändigt att begränsa dina rättigheter, kommer M-Files dataskyddsombud att konsulteras för att göra en bedömning från fall till fall, med hänsyn till både dina rättigheter och M-Files rättsliga skyldigheter, i frågan, innan slutligt beslut fattas om huruvida din begäran ska uppfyllas eller inte.

Du har också alltid rätt att lämna in ett klagomål till tillsynsmyndigheten.

9. Barns integritet

Våra tjänster riktar sig inte till barn och vi har inte för avsikt att samla in personuppgifter från barn i samband med visselblåsarkanalen. Vi ber dig att inte använda tjänsterna och att inte lämna någon information om dig själv till oss om du är under myndighetsåldern, enligt definitionen i din jurisdiktion, och kräver föräldrars samtycke eller tillstånd för behandling av personuppgifter.

10. Vem kan du komma i kontakt med?

Alla kontakter och förfrågningar som rör detta integritetsmeddelande ska skickas skriftligen till den adress som anges i avsnitt två (2) "Kontaktuppgifter för integritetsfrågor".