NOTĂ DE INFORMARE

privind prelucrarea datelor personale

în contextul raportărilor whistleblowing

 

Optical Investment  Group S.A. cu sediul în Bucureşti, sectorul 1, strada Amiral Horia Măcelariu, Nr. 61-81, corp B, Parter, Camera 4, cod postal 013934, înregistrată la Registrul Comerțului sub nr. J40/10150/2019, având CUI 41476070 (denumită în continuare „Optical” sau „Operatorul”), administrează și gestionează raportările whistleblowing și corespondența primită pe platforma online opticalinvestment.liniaetyki.com, ce îndeplinește funcția de canal intern de raportare whistleblowing („Canalul whistleblowing”).  

Prin intermediul Canalului whistleblowing angajații Optical, respectiv orice alte persoane interesate („Avertizorii”) pot semnala încălcări ale legii în cadrul activității Operatorului, în condițiile Legii nr. 361/2022 privind privind protecţia avertizorilor în interes public („Legea Whislteblowing”).

Operatorul gestionează de asemenea raportări transmise de Avertizori în cadrul întâlnirilor fizice cu persoanele desemnate să instrumenteze aceste raportări la nivelul Optical.

Pentru a gestiona aceste raportări și pentru a investiga problemele semnalate prin intermediul acestora în vederea soluționării lor, Operatorul va prelucra anumite date cu caracter personal.

Acordăm atenție sporită protejării datelor dvs. personale și ne dorim să vă simțiți în siguranță în timpul accesării Canalului whistleblowing, precum și în relaționarea directă cu noi în contextul transmiterii, investigării și soluționării raportărilor. În acest sens, ne asigurăm că datele dvs. personale sunt prelucrate conform prevederilor legale aplicabile, inclusiv Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (denumit în continuare „GDPR”) și legislația privind protecția vieții private în sectorul comunicațiilor electronice.

 

1. 1.DESPRE ACEST DOCUMENT 

Interacțiunea dvs. cu Optical presupune prelucrarea datelor dvs. în condițiile descrise în prezenta notă de informare privind prelucrarea datelor. Realizăm prelucrările de date cu caracter personal indicate mai jos în calitate de operator de date cu caracter personal.

Prin intermediul acestui document dorim să vă informăm cu privire la prelucrarea datelor dvs. cu caracter personal în calitate de Avertizor prin intermediul Canalului whistleblowing, precum și în calitate de persoană relevantă în legătură cu Avertizorul sau cu raportarea, respectiv ca persoană la care se referă raportarea formulată (având astfel calitatea de „Persoană Vizată” în raport cu Optical).

Vă rugăm să citiți cu atenție această notă de informare, întrucât conține informații importante despre cum și de ce colectăm, folosim și divulgăm datele dvs. cu caracter personal. De asemenea, această notă de informare vă explică drepturile pe care le aveți în legătură cu datele dvs. cu caracter personal.

Atenție! Vă rugăm sa aveți în vedere că utilizarea altor canale și mijloace de raportare, în afara celor menționate și aduse la cunoștința dvs. în mod expres de Optical, nu garantează protejarea confidențialității identității, potrivit cerințelor Legii Whistleblowing. Astfel, vă recomandăm să utilizați doar canalele puse la dispoziție de Operator în acest sens.

 

1. 2. DATE DE CONTACT 

Pentru orice informații sau solicitări privind prelucrarea datelor cu caracter personal sau pentru exercitarea drepturilor dvs. în calitate de Persoană Vizată, vă rugăm să ne contactați în scris la adresa de e-mail: dpo@opticalinvestment.ro.

 

 

1. 3.DATELE CU CARACTER PERSONAL PRELUCRATE, SCOPURILE ȘI TEMEIURILE PRELUCRĂRII  

Datele personale sunt prelucrate în următoarele cazuri:

1. a.Transmiterea de raportări pe platforma online  

Atunci când un Avertizor ne transmite orice fel de informații prin intermediul platformei online www.opticalinvestment.liniaetyki.com , prin completarea formularului dedicat, putem prelucra, în funcție de caz, următoarele date cu caracter personal: numele și prenumele Avertizorului, adresa de e-mail, numărul de telefon, calitatea Avertizorului (angajat, colaborator Optical etc.), numele și prenumele persoanei/ persoanelor vizate de raportare, sau ale altor persoane implicate, orice alte date cu caracter personal cuprinse în informațiile transmise prin formularul completat, în legătură cu raportarea, respectiv în documentele atașate în platformă ca dovezi în susținerea raportării, precum și numărul unic de înregistrare al cazului, alocat fiecărei raportări.

În condițiile în care raportarea este anonimă, Operatorul nu va prelucra datele personale ale Avertizorului, ci va gestiona raportarea în lipsa acestora, în măsura în care raportarea conține indicii suficiente referitoare la încălcări ale legii.

Temeiul prelucrării datelor este reprezentat de obligația legală a Operatorului de a gestiona raportările privind încălcări ale legii, în contextul desfășurării activității Optical, în conformitate cu Legea Whistleblowing, transmise prin intermediul unui canal de raportare funcțional la nivel intern, potrivit art. 6 alin. (1), lit. c) din GDPR. De asemenea, datele personale sunt prelucrate în interesul legitim al Operatorului de a coordona această activitate în mod eficient, potrivit art. 6 alin. (1), lit. f) din GDPR.

Toate informațiile completate în formular (inclusiv datele personale) sunt transmise de furnizorul platformei online, în deplină confidențialitate către persoanele desemnate cu investigarea raportării din cadrul Optical, care au rolul de a primi toate raportările și de a investiga problemele raportate, acționând în deplină confidențialitate.

1. b.Raportarea în cadrul unei întâlniri fizice cu persoanele desemnate 

Atunci când un Avertizor ne transmite informații în cadrul unei întâlniri fizice cu persoanele desemnate cu investigarea raportării în cadrul Optical, putem prelucra următoarele date cu caracter personal: numele și prenumele Avertizorului, adresa de e-mail, numărul de telefon, adresa poștală a Avertizorului, semnătura Avertizorului, numele și prenumele persoanei/ persoanelor vizate de raportare, orice alte date cu caracter personal cuprinse în declarația Avertizorului, respectiv în documentele prezentate ca dovezi în susținerea raportării, precum și numărul unic de înregistrare al cazului alocat fiecărei raportări.

În cazul în care Avertizorul solicită ca raportarea să aibă loc în prezența unei persoane desemnate, aceasta din urmă va întocmi un proces-verbal de consemnare a raportării, sub rezerva consimțământului Avertizorului. Persoana desemnată oferă Avertizorului posibilitatea de a verifica, de a rectifica şi de a-şi exprima acordul cu privire la procesul-verbal al conversației, prin semnarea acestuia. În cazul în care nu își dă acordul pentru consemnarea raportării, acesta este îndrumat să raporteze personal în scris (direct în respectiva întâlnire cu persoana desemnată, sau prin intermediul platformei online - Canalul whistleblowing pus la dispoziție de Operator).

Temeiul prelucrării datelor este reprezentat de obligația legală a Operatorului de a gestiona raportările privind încălcări ale legii, în contextul desfășurării activității Optical, în conformitate cu Legea Whistleblowing, transmise prin intermediul unui canal de raportare funcțional la nivel intern, potrivit art. 6 alin. (1), lit. c) din GDPR. De asemenea, datele personale sunt prelucrate în interesul legitim al Operatorului de a coordona această activitate în mod eficient, potrivit art. 6 alin. (1), lit. f) din GDPR.

 

1. c.Comunicarea cu Avertizorul 

Ulterior raportării, Avertizorul va primi o confirmare a înregistrării raportării realizate și va fi informat cu privire la stadiul acțiunilor subsecvente desfășurate în legătură cu raportarea, în termen de cel mult 3 luni de la data confirmării de primire a raportării, precum şi, ulterior, ori de câte ori sunt înregistrate evoluţii în desfăşurarea investigației, cu excepţia cazului în care informarea ar putea periclita desfăşurarea acesteia.

De asemenea, Avertizorul poate fi contactat de persoanele desemnate cu investigarea raportării, pentru a completa raportarea, dacă este incompletă, sau pentru a furniza orice alte informații suplimentare privind fapta raportată.

În acest sens, Operatorul prelucrează datele de contact ale Avertizorului, precum: adresa de e-mail, număr de telefon, adresa poștală, numărul unic de înregistrare al cazului, alte detalii relevante cuprinse în raportare.

Prelucrarea datelor personale are loc în temeiul obligațiilor exprese de informare a Avertizorului, care îi revin Operatorului, potrivit Legii Whistleblowing, conform art. 6 alin. (1), lit. c) din GDPR. De asemenea, datele personale sunt prelucrate în interesul legitim al Operatorului de a comunica cu Avertizorul ori de câte ori se impune pentru gestionarea și investigarea eficientă a raportărilor, potrivit art. 6 alin. (1), lit. f) din GDPR.

1. d.Investigarea raportării și prelucrarea datelor personale ale persoanelor investigate  

Pentru investigarea raportării, Operatorul prelucrează datele personale ale persoanelor menționate în raportarea Avertizorului (dacă este cazul), precum și ale altor persoane relevante pentru buna desfășurare a investigației.

În funcție de conținutul raportării și caracterul faptelor investigate, Operatorul poate prelucra diferite date personale (numele și prenumele, funcția, detalii profesionale, situații privind conflictele de interese etc.) aflate pe diferite suporturi (baze de date, documente, echipamente, aplicații informatice, informații deținute sau obținute de terți etc.).

Temeiul prelucrării datelor este reprezentat de obligația legală a Operatorului de a investiga raportările privind încălcări ale legii, în contextul desfășurării activității Optical, în conformitate cu Legea Whistleblowing, potrivit art. 6 alin. (1), lit. c) din GDPR. De asemenea, datele personale sunt prelucrate în interesul legitim al Operatorului de a coordona investigația în mod eficient, potrivit art. 6 alin. (1), lit. f) din GDPR.

1. e.Măsuri subsecvente 

Ulterior finalizării investigației, vor fi luate măsurile ce se impun în raport cu persoanele vizate de raportare, inclusiv măsuri disciplinare sau acțiuni în instanță. În acest sens, Operatorul prelucrează orice date personale necesare în vederea realizării acestor demersuri.

Temeiul prelucrării datelor este reprezentat de interesul legitim al Operatorului de a asigura luarea de măsuri corespunzătoare ulterior soluționării investigației desfășurate, potrivit art. 6 alin. (1), lit. f) din GDPR.

1. f.Alte comunicări 

Atunci când Persoanele Vizate ne contactează în orice mod și comunică direct cu noi, inclusiv în situația unor solicitări și sesizări în calitatea de Persoane Vizate, vom prelucra numele şi prenumele, adresa de e-mail, numărul de telefon, conținutul comunicărilor, respectiv orice alte date personale necesare în vederea soluționării solicitării, inclusiv date cuprinse în documentele pe care acestea aleg să ni le transmită în contextul solicitării.

Prelucrarea datelor are loc în interesul nostru legitim de a menține deschise canale de comunicare cu Persoanele Vizate, respectiv interesul nostru legitim de a ne apăra drepturile și interesele și de a dovedi îndeplinirea obligațiilor noastre legale cu privire la gestionarea cererilor transmise de Persoanele Vizate,  conform art. 6, alin. (1), lit. f) din RGPD.

 

1. g.Alte scopuri 

În plus, vom putea prelucra datele dvs. cu caracter personal indicate mai sus, în următoarele scopuri:

• →în vederea elaborării unor statistici și raportări având drept scop dezvoltarea și îmbunătățirea activității noastre, eficientizarea modului în care operăm, optimizarea proceselor, și minimizarea riscurilor financiare şi/sau reputaționale la care se expune compania. Prelucrarea este efectuată în temeiul interesului nostru legitim de a asigura legalitatea, continuitatea şi îmbunătățirea afacerii, conform art. 6 alin. 1 lit. f) din RGPD.  

• →pentru respectarea obligațiilor legale prevăzute de lege în sarcina noastră (spre exemplu, obligațiile de păstrare de evidențe ale raportărilor), inclusiv raportarea către anumite instituții și/sau autorități publice. Prelucrarea este efectuată în vederea respectării obligațiilor legale pe care le avem, în temeiul art. 6 alin. 1 lit. c) din RGPD. 

• →pentru apărarea, exercitarea sau constatarea unor drepturi (precum soluționarea disputelor, în măsura în care, ca urmare sau în legătură cu o raportare, se declanșează acțiuni în instanță sau orice alte proceduri de soluționare a disputelor). Prelucrarea este efectuată în temeiul interesului nostru legitim de a solicita constatarea, de a ne exercita sau apăra drepturile, conform art. 6 alin. 1 lit. f) din RGPD. 

• →pentru protejarea sistemelor informatice și asigurarea mentenanței acestora. Prelucrarea este efectuată în temeiul art. 6 alin. 1 lit. f) din RGPD, în vederea atingerii interesului nostru legitim de a ne asigura buna funcționare a sistemelor IT. 

 

1. 4.DESTINATARII DATELOR  

Datele cu caracter personal vor putea fi dezvăluite, strict în măsura în care este necesar pentru scopurile detaliate anterior sau în cazurile în care acest lucru este cerut de lege sau când avem un interes legitim temeinic justificat, către următoarele categorii de destinatari:

• •Partenerul Linia Etyki Sp z.o.o., cu sediul în Polonia, care furnizează platforma online de raportare și asigurară funcționarea corespunzătoare a acesteia și transmiterea raportărilor înregistrate prin acest canal de raportare către persoanele desemnate să gestioneze raportările; 

• •Furnizori de servicii, cum ar fi: 

• --servicii IT, asistență tehnică și/sau de mentenanță și securizare a sistemelor informatice; 

• --servicii privind protecția datelor cu caracter personal;  

• --avocați sau alți consultanți și experți cu mandat relevant pentru gestionarea raportărilor conform legii, cu condiția ca aceștia să fie supuși cerințelor de confidențialitate. 

• •Autorități și organisme publice, respectiv organe de cercetare și instanțe de judecată, sau instituții cu competențe în realizarea de inspecții și controale asupra activității și activelor Operatorului, în măsura în care transmiterea datelor către aceștia este impusă de lege și/sau este necesară în caz de litigiu sau de soluționare a unei dispute, precum și în cazul unor controale în care avem obligația de a le pune date la dispoziție (spre exemplu, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, Agenția Națională de Integritate); 

• •Persoane expres indicate de dvs., sau care acționează în numele dvs. sau sunt autorizate să primească datele dvs.; 

• •În cazul unei schimbări de control asupra companiei noastre, în măsura în care activitatea noastră ar fi transferată (în totalitate sau parțial), iar datele Persoanelor Vizate ar fi incluse în baze de date sau alte suporturi supuse acestui transfer. 

Datele cu caracter personal pe care Optical le divulgă terților sunt limitate la informațiile minime, în funcție de necesitatea dezvăluirii acestora și conform condițiilor din Legea Whistleblowing, cu impunerea în sarcina terților împuterniciți a anumitor obligații raportat la prelucrarea datelor, precum obligația de a nu utiliza datele cu caracter personal în niciun alt scop decât cel pentru care le-au fost dezvăluite. Astfel, Optical depune toate eforturile pentru a se asigura că toți destinatarii datelor cu caracter personal respectă obligațiile privind siguranța și securitatea datelor.

1. 5.TRANSFERURI CĂTRE ȚĂRI TERȚE SAU ORGANIZAȚII INTERNAȚIONALE  

Ca regulă, nu vom transfera datele dvs. cu caracter personal în afara Spațiului Economic European.

În cazul în care va fi necesar, un astfel de transfer se va face doar cu aplicarea unor garanții juridice adecvate indicate în Capitolul V din GDPR. Astfel, ca regulă, în cazul transferurilor în state terțe care au primi o confirmare din perspectiva adecvării protecției datelor, transferul va fi realizat în condițiile existenței unei decizii de adecvare emisă de Comisia Europeană. În celelalte cazuri, transferul va fi reglementat de încheierea clauzelor contractuale standard adoptate de Comisia Europeană.

1. 6.DURATA PRELUCRĂRII DATELOR CU CARACTER PERSONAL 

Datele cu caracter personal indicate în secțiunile de mai sus vor fi prelucrate doar pentru perioada necesară îndeplinirii scopurilor menționate în prezenta notă de informare și a unor scopuri ulterioare compatibile.

Astfel, perioadele de prelucrare a datelor cu caracter personal sunt următoarele:

1. a.Datele personale prelucrate în contextul primirii, gestionării și investigării raportărilor transmise de Avertizori vor fi păstrate pe o durată de 5 ani, potrivit dispozițiilor exprese ale Legii Whistleblowing.   

2. b.Datele cu caracter personal prelucrate în contextul unor dispute, litigii sau concilieri vor fi păstrate peste durata menționată la punctul anterior, până la soluționarea acestora, dar și ulterior, conform termenelor de prescripție aplicabile. 

Având în vedere cele indicate mai sus, nu vom putea da curs unor eventuale cereri de ștergere a datelor personale, cât timp încă mai sunt aplicabile scopurile și termenele pentru păstrarea informațiilor și a documentelor-suport.

 

1. 7.LUAREA DECIZIILOR ÎN MOD AUTOMAT ȘI CREAREA DE PROFILURI  

Datele cu caracter personal la care se face referire în prezenta informare nu sunt supuse unor procese decizionale exclusiv automatizate care să aibă efecte juridice sau alte efecte semnificative asupra Persoanelor Vizate.

 

1. 8.DREPTURILE DVS. PRIVIND DATELE CU CARACTER PERSONAL 

În contextul prelucrării datelor dvs. cu caracter personal, aveți următoarele drepturi în calitate de Persoană Vizată.

1. a.Acces: Puteți solicita informații legate de datele personale pe care le prelucram despre dvs., precum și o copie a datelor personale;  

2. b.Retragerea consimțământului, doar acolo unde prelucrarea are loc în baza consimțământului dvs.. 

3. c.Rectificarea informațiilor eronate sau incomplete pe care le prelucrăm referitoare la dvs.. 

4. d.Restricționarea prelucrării datelor personale, în condițiile art. 18 din GDPR;  

5. e.Dreptul la ștergerea datelor: Aveți dreptul să ne solicitați să ștergem datele personale pe care le prelucrăm despre dvs.. Trebuie să ne conformăm acestei cereri dacă:  

• •Datele personale nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate; 

• •Vă opuneți prelucrării din motive legate de situația dvs. particulară; 

• •Datele cu caracter personal au fost prelucrate ilegal; 

• •Datele personale trebuie șterse pentru respectarea unei obligații legale care ne revine, 

cu excepția cazului în care datele sunt necesare:

• •pentru exercitarea dreptului la libera exprimare și la informare; 

• •pentru a ne conforma unei obligații legale pe care o avem; 

• •în scopuri de arhivare în interes public, științific sau pentru studii istorice sau în scopuri statistice; sau 

• •pentru constatarea, exercitarea sau apărarea unui drept în instanță. 

 

1. f.Dreptul de a vă opune față de prelucrarea datelor dvs. (se poate aplica dacă prelucrarea se bazează pe interesele noastre legitime sau pe cele ale unui terț, în condițiile indicate în art. 21 din GDPR).  

2. g.Portabilitatea datelor (către dvs. sau o altă entitate), exclusiv în condițiile stabilite de art. 20 din GDPR.  

Pentru exercitarea drepturilor de mai sus, ne puteți adresa oricând o solicitare în scris, folosind adresa de e-mail: dpo@opticalinvestment.ro.

După primirea cererii, vom reveni cu un răspuns  în termen de cel mult 1 lună. Acest termen poate fi prelungit, în cazuri justificate de complexitatea cererii, cu o perioada suplimentară de cel mult 2 luni.

Vă rugăm să aveți în vedere că, dacă există neclarități cu privire la identitatea dvs. în calitate de Persoană Vizată, putem solicita informații suplimentare pentru confirmarea identității și pentru identificarea datelor dvs. în evidențele noastre. Dacă nu primim informațiile relevante, vom putea refuza să dăm curs cererii dvs..

1. h.Dreptul de a depune o plângere 

Dacă aveți o nemulțumire cu privire la modul în care prelucrăm datele dvs., am prefera să ne contactați pe noi direct pentru a putea soluționa problema. Cu toate acestea, puteți contacta Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal conform procedurilor disponibile prin intermediul website-ului instituției: www.dataprotection.ro. De asemenea, aveți și dreptul de a formula o acțiune în justiție în fața unei instanțe competente.

Această notă de informare poate fi modificată ori de câte ori considerăm necesar, urmând să fie adusă la cunoștință prin orice mijloc de comunicare fezabil.

Vă mulțumim pentru parcurgerea acestui document!

Aplicabilă de la 15.10.2024