Whistleblowing

Einleitung

Die Europäische Union hat mit der Richtlinie 2019/1937 die Rechtsvorschriften zum Schutz von Personen, die Verstöße gegen das EU-Recht melden, erneuert, um einen Mindeststandard für den Schutz der Rechte von Hinweisgebern in allen Mitgliedstaaten zu schaffen. Italien hat die europäische Richtlinie mit dem Gesetzesvertretenden Dekret Nr. 24 vom 10. März 2023 (im Folgenden "Dekret") umgesetzt.

Mit der Annahme dieser Richtlinie verpflichtet sich das Unternehmen PICHLER projects GmbH (im Folgenden das "Unternehmen"), um die oben genannten regulatorischen Anforderungen sowie die diesbezüglichen Richtlinien von ANAC zu erfüllen.

Ziel ist es, dem Hinweisgeber, also der Person, die die Verstöße meldet, klare operative Hinweise zu Gegenstand, Inhalt, Empfängern und Übermittlungswegen der Meldungen zu geben.

Das Whistleblowing-Verfahren garantiert die Vertraulichkeit der Identität des Hinweisgebers ab dem Zeitpunkt des Eingangs und bei jedem weiteren Kontakt. Gemäß Art. 5 Abs. 1 Buchst. e) des Dekrets enthält diese Richtlinie daher Informationen über die Kanäle, Verfahren und Annahmen für die Erstellung interner und externer Berichte.

  1. Meldende Subjekte

Meldungen können von folgenden Subjekten gemacht werden:

  1. Beschäftigte, einschließlich Arbeitnehmer, die
  • Teilzeit, intermittierende, befristete, vermittelte Arbeit, Lehrlingsausbildung, Nebentätigkeit (deren Arbeitsverhältnis durch das Gesetzesdekret Nr. 81/2015 geregelt ist);
  • Gelegenheitsleistung (gemäß Artikel 54-bis des Gesetzesdekrets Nr. 50/2017, geändert durch das Gesetz Nr. 96/2017);
  1. Selbstständige

-    mit einem einfachen Werkvertrag (Art. 2222 des italienischen Zivilgesetzbuches);

-    mit einem Kooperationsverhältnis (gemäß Artikel 409 der Zivilprozessordnung), wie z. B. Agenturbeziehungen, Handelsvertretungen und andere Kooperationsbeziehungen, die die Form einer kontinuierlichen und koordinierten Arbeitsleistung annehmen, hauptsächlich persönlich, auch wenn sie nicht untergeordneter Natur sind;

-   mit einer kooperativen Beziehung, die sich ausschließlich in Form von persönlichen, kontinuierlichen Arbeitsdienstleistungen äußert, deren Ausführungsmethoden vom Kunden organisiert werden;

  1. Beschäftigte, die für andere Unternehmen arbeiten, die Waren oder Dienstleistungen erbringen oder Arbeiten zugunsten des Unternehmens ausführen;
  2. Freiberufler und Berater, die für das Unternehmen tätig sind;
  3. Freiwillige und unbezahlte Praktikanten, die für das Unternehmen arbeiten;
  4. der Aktionär und Personen mit Verwaltungs-, Leitungs-, Kontroll-, Aufsichts- oder Vertretungsfunktionen (z.B. Mitglieder des Verwaltungsrats oder Aufsichtsrats), auch wenn diese Funktionen in der Gesellschaft rein faktisch ausgeübt werden.

Der Schutz von Hinweisgebern (Artikel 6 dieser Richtlinie) gilt auch, wenn die Meldung, die Beschwerde bei der Justiz- oder Rechnungslegungsbehörde oder die Veröffentlichung von Informationen in den folgenden Fällen erfolgt:

  1. wenn das oben beschriebene Rechtsverhältnis noch nicht begonnen hat, wenn die Informationen über die Verstöße während des Auswahlverfahrens oder in anderen vorvertraglichen Phasen erlangt wurden;
  2. während der Probezeit;
  3. nach Beendigung des Rechtsverhältnisses, wenn die Informationen über die Verstöße im Laufe des Verhältnisses erlangt wurden.
  1. Gegenstand der Meldung und ausgeschlossene Meldungen

Die im folgenden angegebenen Meldungen können erstellt werden:

  • Straftaten, die im Gesetzesdekret Nr. Nr. 231/2001 (siehe unten Punkt c)
  • Verstöße gegen das Organisationsmodell (siehe unten Punkt c)
  • Europäische und nationale Straftaten (siehe Punkte a) und b)

(Art. 3, Abs. 2, Buchst. b), zweiter Satz des Dekrets)

Im Einzelnen können die oben aufgeführten Verstöße Folgendes betreffen:

a) Verstöße gegen nationale oder europäische Vorschriften, die in Straftaten in folgenden Bereichen bestehen: Vergabe öffentlicher Aufträge; Finanzdienstleistungen, -produkte und -märkte sowie die Verhinderung von Geldwäsche und Terrorismusfinanzierung; Produktsicherheit und -konformität; Transportsicherheit; Umweltschutz; Strahlenschutz und nukleare Sicherheit; Lebens- und Futtermittelsicherheit sowie Tiergesundheit und Tierschutz; Volksgesundheit; Verbraucherschutz; Schutz der Privatsphäre und des Schutzes personenbezogener Daten sowie der Sicherheit von Netzen und Informationssystemen;

b) Verstöße gegen europäische Vorschriften, die darin bestehen: i) Handlungen oder Unterlassungen zum Nachteil der finanziellen Interessen der Union; ii) Handlungen und Unterlassungen im Zusammenhang mit dem Binnenmarkt; iii) Handlungen und Verhaltensweisen, die dem Ziel oder Zweck der Bestimmungen der Rechtsakte der Union in den oben genannten Bereichen zuwiderlaufen;

c) Einschlägiges rechtswidriges Verhalten im Sinne des Gesetzesvertretenden Dekrets Nr. 231/2001 oder Verstöße gegen die entsprechende Organisations- und Managementmodelle.

  1. Meldekanäle: intern, extern, Veröffentlichung

Das Unternehmen hat einen internen Meldekanal eingerichtet, der die Vertraulichkeit der Identität des Hinweisgebers, der betroffenen Person und der in jedem Fall im Bericht genannten Person sowie des Inhalts des Berichts und der zugehörigen Dokumentation gewährleistet.

Wir erinnern Sie daran, dass Sie die Whistleblowing-Meldung zunächst über den internen Kanal mitteilen müssen.

Die Berichterstattung über den externen Kanal, der von der ANAC eingerichtet und verwaltet wird, kann nur unter bestimmten Bedingungen erfolgen[1] und die Veröffentlichung unter noch strengeren Bedingungen[2], unbeschadet der Möglichkeit, Beschwerden bei den Justizbehörden einzureichen.

  1. Inhalt und Modalitäten der Einreichung von Berichten

 Whistleblowing kann erfolgen, wenn die folgenden Bedingungen erfüllt sind:

  • wenn Sie Informationen, einschließlich begründeter Verdachte, über schon begangene, begehende oder noch zu begehende Verstöße gegen nationale oder EU-Rechtsvorschriften, die dem öffentlichen Interesse oder der Integrität des Unternehmens schaden, haben sowie über Verhaltensweisen, die darauf abzielen, solche Verstöße zu verschleiern

und

  • Solche Informationen oder die Verdachte werden im Rahmen des Arbeitskontextes erfahren oder aufkommen.

Nicht berücksichtigt werden hingegen Berichte, die sich ausschließlich auf Folgendes beziehen:

  • Streitigkeiten, Ansprüche oder Anfragen im Zusammenhang mit einem persönlichen Interesse des Hinweisgebers;
  • die individuellen Beschäftigungs- oder Kooperationsverhältnisse des Hinweisgebers mit dem Unternehmen oder mit hierarchisch vorgesetzten Personen;
  • Aspekte des Privatlebens der gemeldeten Person, ohne dass ein direkter oder indirekter Zusammenhang mit der geschäftlichen und/oder beruflichen Tätigkeit besteht.

Darüber hinaus unzulässig sind Meldungen, welche:

  • fadenscheinig oder verleumderisch sind oder ausschließlich darauf abzielen, der gemeldeten Person zu schaden;
  • in Bezug auf vermutliche Verstöße, von denen der Hinweisgeber weiß, dass sie unbegründet sind.

Inhalt des Berichts

Der Bericht muss unter Androhung der Unzulässigkeit folgende Angaben enthalten:

1.    die Identifikationsdaten des Hinweisgebers sowie eine Adresse, an die spätere Aktualisierungen übermittelt werden können;

2.    die klare, vollständige und detaillierte Beschreibung des Sachverhalts, Gegenstand der Berichterstattung;

3.    die zeitlichen und örtlichen Umstände in dem die Tatsache, die Gegenstand des Berichts ist, eingetreten ist, und daher eine Beschreibung der Tatsachen, die Gegenstand des Berichts sind, unter Angabe der Einzelheiten der Indizien und, falls vorhanden, auch der Art und Weise, wie die von dem Bericht erfassten Tatsachen bekannt wurden;

4.    die Generalität oder andere Elemente, die es ermöglichen, die Person(en) zu identifizieren, die für die gemeldeten Tatsachen verantwortlich gemacht wird/werden;

5.    Die Angabe der anderen Personen, die über die Tatsachen, die Gegenstand des Berichts sind, berichten könnten;

6.    Die Angabe der beliebigen Dokumente die die Richtigkeit dieser Tatsachen bestätigen können;

7.    Sonstige Angaben die einen nützlichen Hinweis über das Vorhandensein der gemeldeten Fakten geben können.

8.    Die Ausdrückliche Bereitschaftserklärung, den Whistleblowing-Schutz in Anspruch zu nehmen, z. B. durch Einfügen der Wörter "Whistleblowing-Bericht - Reserviert für den Berichtsleiter".

Wie melde ich mich?

Whistleblowing-Meldungen können auf folgende Weise erfolgen

auf Verlangen des Hinweisgebers durch ein direktes Gespräch mit Herrn Hannes Haller (Präsident OdV)

auf dem Postweg, indem die Meldung in zwei versiegelten Umschlägen eingelegt wird, die im ersten die  Identifikationsdaten des Hinweisgebers zusammen mit einem Ausweisdokument enthalten; im zweiten den Gegenstand der Meldung; Beide Umschläge müssen dann in einen dritten Umschlag gesteckt werden, der auf der Außenseite den Vermerk "Whistleblowing Bericht - reserviert für den Berichtsleiter" trägt und an folgende Adresse adressiert ist: Herr Hannes Haller (Präsident Odv) c/o PICHLER projects GmbH, T. A. Edison Str. 15, 39100 Bozen (BZ)

Anonyme Meldungen

Anonyme Meldungen oder Meldungen, aus denen sich die Identität des Hinweisgebers nicht ableiten lässt, werden nicht berücksichtigt.

Übermittlung von Berichten

Whistleblowing-Meldungen sind zu richten an: Herrn Hannes Haller, entsprechend dem gewählten Meldekanal an.

Abschließend ist zu beachten, dass die Entgegennahme von Berichten während der Schließung des Unternehmens ausgesetzt ist.

  1. Whistleblowing-Management

Dieses Verfahren regelt den Prozess der Entgegennahme, Analyse und Bearbeitung von Hinweisen auf rechtswidriges Verhalten, von denen der Hinweisgeber im Rahmen des Arbeitskontextes Kenntnis erlangt hat.

Im Rahmen der Verwaltung des internen Meldekanals arbeitet der Berichtsleiter (im Folgenden auch "Verwalter" oder "Empfänger") wie folgt:

Eingang des Berichts

Für den Fall, dass die Meldung irrtümlicherweise an eine Person übermittelt/empfangen wurde, die nicht für die Entgegennahme der Meldung zuständig ist, und es klar ist, dass es sich um eine Whistleblowing-Meldung handelt, diese ist verpflichtet, die Meldung unverzüglich, in jedem Fall innerhalb von 7 (sieben) Tagen nach Erhalt, dem Verwalter zu übermitteln und gleichzeitig den Hinweisgeber über die Übermittlung zu informieren, unbeschadet alle in dieser Richtlinie vorgesehenen Vertraulichkeitsverpflichtungen  (und die daraus resultierende Haftung im Falle eines Verstoßes gegen dieselben).

Der Empfänger stellt dem Hinweisgeber innerhalb von sieben Tagen nach Eingang eine Empfangsbestätigung aus. Die Meldung wird an die vom Hinweisgeber angegebene Adresse gesendet und, falls nicht angegeben, wird die Meldung archiviert.

Das Unternehmen wird mit der Archivierung von Meldungen, die auf dem Postweg eingehen, mit geeigneten Instrumenten fortfahren, die es ermöglichen, die Vertraulichkeit zu gewährleisten (z. B. in Archiven, die durch Sicherheitsmaßnahmen geschützt sind).

Die Meldung, die mündlich - in den in dieser Richtlinie angegebenen Formen - wird vom Verwalter der Meldung durch einen Bericht dokumentiert.

Es wird ein spezieller Bericht über das Treffen erstellt, der sowohl vom Verwalter der Meldung als auch vom Hinweisgeber unterzeichnet und dem Hinweisgeber in Kopie zur Verfügung gestellt wird.

Beziehungen zum Hinweisgeber und Ergänzungen des Berichts

Der Empfänger steht im Dialog mit dem Hinweisgeber und kann gegebenenfalls Ergänzungen verlangen.

Im Falle von Protokollen, die im Anschluss an eine Sitzung mit dem Hinweisgeber erstellt werden, kann dieser das Protokoll der Sitzung überprüfen, berichtigen und bestätigen, indem er es unterzeichnet.

Überprüfen des Berichts

Der Empfänger bearbeitet die eingegangenen Meldungen und beurteilt, ob die Legitimität des Hinweisgebers besteht und ob die Meldung in den Anwendungsbereich des GvD 24/2023 fällt. Daran folgt eine Beurteilung der Umstände des Zeitpunkts und des Ortes an, an dem sich das Ereignis ereignet hat.

Am Ende der Vorprüfung:

  • Wenn die Bedingungen nicht erfüllt sind, wird der Bericht mit Gründen archiviert.
  • Wenn die Bedingungen erfüllt sind, wird die Untersuchung eingeleitet.

Untersuchung

Der Empfänger gewährleistet die ordnungsgemäße Durchführung der Untersuchung durch:

  • die Sammlung von Dokumenten und Informationen;
  • die Einbeziehung externer Parteien (für den Fall, dass die technische Unterstützung von Fachleuten Dritter in Anspruch genommen werden muss) oder andere Funktionen des Unternehmens, die zur Zusammenarbeit mit dem Meldepflichtigen verpflichtet sind;
  • erforderlichenfalls die Anhörung anderer interner/externer Parteien.

Die Untersuchung wird nach folgenden Grundsätzen durchgeführt:

  • Anwendung der erforderlichen Maßnahmen, um die Identifizierung des Hinweisgebers und der beteiligten Personen zu verhindern;
  • Durchführung der Audits von gut geschulten Personen und sorgfältige Verfolgung und Archivierung der Aktivitäten.
  • die Vertraulichkeit der erhaltenen Informationen wird, sofern gesetzlich nichts anderes vorgesehen ist, von allen an der Bewertung beteiligten Parteien gewahrt
  • Bei den Audits wird sichergestellt, dass geeignete Maßnahmen für die Erhebung, Verwendung, Offenlegung und Speicherung personenbezogener Daten ergriffen werden, und es wird sichergestellt, dass die Erfordernisse der Untersuchung mit denen des Datenschutzes in Einklang gebracht werden.
  • Es werden geeignete Maßnahmen ergriffen, um etwaige Interessenkonflikte zu bewältigen, wenn die Meldung den Empfänger betrifft.

Rückmeldung an den Hinweisgeber

Innerhalb von drei Monaten nach dem Datum der Empfangsbestätigung oder, falls eine solche nicht erfolgt, innerhalb von drei Monaten nach Ablauf der Frist von sieben Tagen nach Übermittlung des Berichtes, gibt der Empfänger eine Rückmeldung zu dem Hinweisgeber und teilt ihm alternativ Folgendes mit:

  • unter Angabe der Gründe für diese Entscheidung oder
  • die Gültigkeit des Berichts und die Weiterleitung an die zuständigen internen Stellen zur Weiterverfolgung oder
  • die durchgeführte und noch durchzuführende Tätigkeit (im Falle von Meldungen, die zu Überprüfungszwecken eine längere Untersuchungstätigkeit erfordern) und alle ergriffenen Maßnahmen (getroffene Maßnahmen oder Verweisung an die zuständige Behörde). 
  1. Schutz und Haftung von Hinweisgebern

Gegen Whistleblower können keine Vergeltungsmaßnahmen ergriffen werden. Tatsächlich sieht das Gesetz vor, dass diejenigen, die die Meldung erstatten, nicht sanktioniert, degradiert, entlassen, versetzt oder anderen organisatorischen Maßnahmen unterworfen werden können, die direkt oder indirekt negative Auswirkungen auf die Arbeitsbedingungen oder Auswirkungen von Diskriminierung oder Vergeltungsmaßnahmen gegen sie haben.

Die Gründe, aus denen die Person einen Bericht erstattet oder meldet oder öffentlich macht, sind für den Schutz der Person nicht relevant.

Im Rahmen eines Gerichts- oder Verwaltungsverfahrens oder auch eines außergerichtlichen Verfahrens zur Feststellung eines verbotenen Verhaltens gegenüber Hinweisgebern wird vermutet, dass ein solches Verhalten aufgrund der Meldung, der Veröffentlichung oder der Beschwerde bei der Justiz- oder Rechnungslegungsbehörde erfolgt ist. Die Beweislast dafür, dass ein solches Verhalten gegenüber Hinweisgebern durch Gründe motiviert ist, die nichts mit der Meldung, der Veröffentlichung oder der Denunziation zu tun haben, verbleibt bei der Person, die es durchgeführt hat.

Darüber hinaus müssen die behaupteten diskriminierenden oder Vergeltungsmaßnahmen der ANAC mitgeteilt werden, die allein mit der Aufgabe betraut ist, zu prüfen, ob die Vergeltungsmaßnahme auf die Anzeige von Straftaten folgt, und, in Ermangelung eines Nachweises der Gesellschaft, dass die ergriffene Maßnahme in keinem Zusammenhang mit der Anzeige steht, eine Verwaltungsgeldstrafe zu verhängen.

Verarbeitung personenbezogener Daten. Vertraulichkeit

Die Verarbeitung personenbezogener Daten erfolgt in Übereinstimmung mit der Verordnung (EU) 2016/679, dem Gesetzesvertretenden Dekret Nr. 196 vom 30. Juni 2003 und den Artikeln 13 und 14 des Dekrets; Darüber hinaus kann die Nichteinhaltung von Vertraulichkeitsverpflichtungen zu einer disziplinarischen Haftung führen, unbeschadet etwaiger zusätzlicher gesetzlich vorgesehener Verantwortlichkeiten.

Die Informationen über die Verarbeitung personenbezogener Daten im Anschluss an die Whistleblowing-Meldung sind am Ende dieser Richtlinie verfügbar.

Interne und externe Berichte und die damit verbundenen Unterlagen werden so lange aufbewahrt, wie es für die Bearbeitung des Berichts erforderlich ist, in jedem Fall jedoch nicht länger als 5 Jahre ab dem Datum der Mitteilung des endgültigen Ergebnisses des Berichtsfahrens, unter Einhaltung der Vertraulichkeits- und Schutzverpflichtungen.

Verantwortung des Hinweisgebers

Das Unternehmen garantiert der gemeldeten Person das Recht, (innerhalb einer angemessenen Frist) über alle sie betreffenden Meldungen informiert zu werden, und garantiert das Recht auf Verteidigung, wenn Disziplinarmaßnahmen gegen sie eingeleitet werden.

Dieses Vorgehen berührt auch nicht die straf- und disziplinarische Verantwortlichkeit des Hinweisgebers bei verleumderischer oder diffamierenden Meldung nach dem Strafgesetzbuch und Art. 2043 des italienischen Zivilgesetzbuches.

Jede Form des Missbrauchs des Whistleblowing-Meldeverfahrens, wie z. B. Meldungen, die offensichtlich unbegründet sind und/oder ausschließlich dem Zweck dienen, dem Gemeldeten oder anderen Parteien zu schaden, sowie jede andere Hypothese einer missbräuchlichen Anwendung oder vorsätzlichen Instrumentalisierung des Verfahrens selbst, sind ebenfalls eine Haftungsquelle sowohl in Disziplinarverfahren als auch in anderen zuständigen Stellen.

  1. Inkrafttreten und Änderungen

Diese Richtlinie tritt am 17. Dezember 2023 in Kraft. Mit seinem Inkrafttreten gelten alle zuvor erlassenen Bestimmungen, in welcher Form auch immer, als aufgehoben, wenn sie unvereinbar oder abweichend sind, da sie durch die jetzigen ersetzt worden sind.

Das Unternehmen wird für die notwendige Werbung sorgen.

Alle Mitarbeiter können, wenn sie dies für notwendig erachten, begründete Ergänzungen zu dieser Richtlinie vorschlagen; Die Vorschläge werden von der Geschäftsleitung des Unternehmens geprüft.

Diese Richtlinie unterliegt jedoch einer regelmäßigen Überprüfung.

Pichler projects GmbH

 

INFORMATIONSSCHREIBEN ZUR VERARBEITUNG PERSONENBEZOGENER DATEN EX ART. 13-14 DER VERORDNUNG (EU) 2016/679 IM RAHMEN DER WHISTLEBLOWING-POLICY

Mit dieser Informationsschreiben beabsichtigt die PICHLER projects GmbH (im Folgenden das "Unternehmen"), die in den Artikeln 13 und 14 der Verordnung (EU) 2016/679 (oder "Datenschutz-Grundverordnung" - "DSGVO") vorgesehenen Angaben zur Verarbeitung personenbezogener Daten durch das Unternehmen im Rahmen seiner "Whistleblowing-Politik" zu machen, die gemäß dem Gesetzesdekret Nr. 24 vom 10. März 2023 angenommen wurde, und insbesondere auf alle Aktivitäten und Erfüllungen, die mit dem Betrieb des Unternehmenssystems für die Verwaltung von Whistleblowing-Meldungen verbunden sind.

Die nachstehenden Informationen richten sich an "meldende" Personen und an alle anderen potenziell "betroffenen" Personen, wie z. B. Personen, die als potenziell verantwortlich für rechtswidriges Verhalten angegeben werden, alle "Vermittler" (gemäß der Definition in den einschlägigen Rechtsvorschriften) und alle anderen Personen, die auf unterschiedliche Weise in die "Whistleblowing-Policy" eingebunden sind.

  1. Für die Verarbeitung Verantwortlicher

Der für die Verarbeitung Verantwortliche ist die PICHLER projects GmbH. Die betroffene Person kann den für die Verantwortlichen schriftlich unter folgender Adresse erreichen: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! oder, mittels Post, an PICHLER projects GmbH, T. A. Edison Str. 15, 39100 Bozen (BZ).

  1. Kategorien der verarbeiteten personenbezogenen Daten und Zwecke der Verarbeitung

Gemäß den Bestimmungen der oben genannten Richtlinie können personenbezogene Daten von der Gesellschaft erfasst werden, soweit sie in Whistleblowing-Meldungen oder in den diesen beigefügten Akten und Dokumenten enthalten sind, die die Gesellschaft über die in der oben genannten Richtlinie vorgesehenen Kanäle erhält.

Die Entgegennahme und Bearbeitung solcher Meldungen kann je nach ihrem Inhalt zur Verarbeitung der folgenden Kategorien personenbezogener Daten führen:

  • allgemeine personenbezogene Daten im Sinne von Artikel 4 Absatz 1 der Datenschutz-Grundverordnung, z. B. Angaben zur Person (Vorname, Nachname, Geburtsdatum und -ort), Kontaktdaten (Festnetz- und/oder Mobiltelefonnummer, Post-/E-Mail-Adresse), Funktion/Beruf;
  • personenbezogene Daten besonderer Kategorien im Sinne von Artikel 9 der Datenschutz-Grundverordnung, z. B. Informationen über den Gesundheitszustand, politische Meinungen, religiöse oder philosophische Überzeugungen, die sexuelle Ausrichtung oder die Mitgliedschaft in einer Gewerkschaft;
  • "gerichtliche" personenbezogene Daten im Sinne von Artikel 10 der Datenschutz-Grundverordnung, die sich auf strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherheitsmaßnahmen beziehen.

In Bezug auf die oben genannten Kategorien personenbezogener Daten betonen wir, wie wichtig es ist, dass die übermittelten Berichte keine Informationen enthalten, die für die Zwecke der Referenzdisziplin offensichtlich irrelevant sind, und fordern insbesondere die berichterstattenden Parteien auf, keine personenbezogenen Daten besonderer Kategorien und "gerichtlicher" Art zu verwenden, es sei denn, sie werden für deren Zwecke als notwendig und unvermeidlich erachtet, in Übereinstimmung mit Artikel 5 der Datenschutzverordnung.

Die genannten Daten werden von der Gesellschaft - dem für die Verarbeitung Verantwortlichen - gemäß den Bestimmungen des Gesetzesdekrets Nr. 24/2023 und daher im Allgemeinen verarbeitet, um die notwendigen Vorarbeiten zur Überprüfung der Gründe für die gemeldeten Tatsachen und die Verabschiedung der daraus folgenden Maßnahmen durchzuführen.

Darüber hinaus können die Daten von dem für die Verarbeitung Verantwortlichen zu Zwecken verwendet werden, die mit der Notwendigkeit verbunden sind, die eigenen Rechte im Rahmen von gerichtlichen, verwaltungsrechtlichen oder außergerichtlichen Verfahren sowie im Rahmen von zivil-, verwaltungs- oder strafrechtlichen Rechtsstreitigkeiten im Zusammenhang mit der erfolgten Meldung zu verteidigen oder festzustellen.

  1. Rechtsgrundlage für die Verarbeitung personenbezogener Daten

Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten ist in erster Linie die Erfüllung einer rechtlichen Verpflichtung, der der für die Verarbeitung Verantwortliche unterliegt - Artikel 6 Absatz 1 Buchstabe c der Datenschutz-Grundverordnung -, der insbesondere aufgrund der oben genannten Rechtsvorschriften verpflichtet ist, Informationskanäle einzurichten und zu verwalten, die der Entgegennahme von Meldungen über rechtswidrige Handlungen dienen, die der Integrität des Unternehmens und/oder dem öffentlichen Interesse schaden.

In den Fällen, die in denselben Vorschriften vorgesehen sind, kann gemäß Artikel 6 Absatz 1 Buchstabe a der Datenschutz-Grundverordnung eine spezifische und freie Zustimmung der meldenden Person verlangt werden, insbesondere dann, wenn ihre Identität offengelegt werden muss oder wenn die mündlich, telefonisch oder über Sprachnachrichtensysteme oder durch direkte Treffen mit der für die Verwaltung der Meldungen verantwortlichen Person eingeholten Meldungen aufgezeichnet werden sollen.

Die Verarbeitung personenbezogener Daten besonderer Kategorien, die in den Berichten enthalten sein können, beruht auf der Erfüllung von Verpflichtungen und der Ausübung bestimmter Rechte des für die Verarbeitung Verantwortlichen und der betroffenen Person in arbeitsrechtlichen Angelegenheiten gemäß Artikel 9 Absatz 2 Buchstabe b der DSGVO.

Im Hinblick auf den Zweck der Feststellung, Ausübung oder Verteidigung von Rechten vor Gericht ist die einschlägige Rechtsgrundlage für die Verarbeitung personenbezogener Daten das berechtigte Interesse des für die Verarbeitung Verantwortlichen in diesem Zusammenhang gemäß Artikel 6 Absatz 1 Buchstabe f der DSGVO; für denselben Zweck stützt sich die Verarbeitung personenbezogener Daten mit "besonderem" Charakter, falls vorhanden, auf Artikel 9 Absatz 2 Buchstabe f der DSGVO.

  1. Art der Bereitstellung von personenbezogenen Daten

Die Angabe personenbezogener Daten ist obligatorisch, da gemäß der Whistleblowing-Policy des Unternehmens anonyme Meldungen, d. h. Meldungen, bei denen die Identität der meldenden Person nicht festgestellt werden kann, nicht berücksichtigt werden. Die übermittelten personenbezogenen Daten werden zur Bearbeitung der Meldung innerhalb der Grenzen und mit den Garantien der Vertraulichkeit verarbeitet, die die einschlägigen Rechtsvorschriften vorschreiben.

  1. Art der Verarbeitung und Dauer der Aufbewahrung personenbezogener Daten

Die Verarbeitung der personenbezogenen Daten, die in den gemäß der „Whistleblowing-Policy" übermittelten Meldungen enthalten sind, erfolgt durch Personen, die von der Gesellschaft dazu ermächtigt" wurden, und beruht auf den Grundsätzen der Fairness, Rechtmäßigkeit und Transparenz gemäß Artikel 5 der DSGVO.

Die personenbezogenen Daten können mit analogen und/oder computergestützten/telematischen Mitteln verarbeitet werden, um sie zu speichern, zu verwalten und zu übermitteln, in jedem Fall unter Anwendung geeigneter physischer, technischer und organisatorischer Maßnahmen, um ihre Sicherheit und Vertraulichkeit in jeder Phase des Verfahrens zu gewährleisten, einschließlich der Einreichung des Berichts und der zugehörigen Dokumente - unbeschadet der Bestimmungen von Artikel 12 des Gesetzesdekrets Nr. 24/2023 - mit besonderem Bezug auf die Identität des Hinweisgebers, die beteiligten und/oder in den Berichten erwähnten Personen, den Inhalt der Berichte und die zugehörigen Dokumente.

Die bei der Gesellschaft eingegangenen Meldungen werden zusammen mit den beigefügten Urkunden und Dokumenten so lange aufbewahrt, wie es für ihre Verwaltung erforderlich ist, und in jedem Fall, wie in den Rechtsvorschriften vorgesehen, für einen Zeitraum von höchstens fünf Jahren ab dem Datum der Mitteilung ihres endgültigen Ergebnisses. Nach Ablauf dieses Zeitraums werden die Berichte entweder aus dem System gelöscht oder in anonymisierter Form gespeichert.

Im Einklang mit den Angaben in Absatz 1 werden personenbezogene Daten in Berichten, die für den Zweck des Berichts offenkundig irrelevant sind, unverzüglich gelöscht.

  1. Bereiche der Kommunikation und Übermittlung personenbezogener Daten

Neben den oben genannten, vom für die Verarbeitung Verantwortlichen ausdrücklich zugelassenen internen Stellen können die erfassten personenbezogenen Daten im Rahmen der "Whistleblowing-Politik" und zu den angegebenen Zwecken auch von folgenden Dritten verarbeitet werden, die förmlich als Datenverarbeiter benannt werden, wenn die in Artikel 28 der Datenschutz-Grundverordnung vorgesehenen Bedingungen erfüllt sind

- Anbieter von Beratungsdienstleistungen und Unterstützung bei der Umsetzung der "Whistleblowing Policy";

- IT-Firmen und -Fachleute im Hinblick auf die Anwendung geeigneter technischer, informatischer und/oder organisatorischer Sicherheitsmaßnahmen für die im Unternehmenssystem verarbeiteten Daten;

Gegebenenfalls können personenbezogene Daten auf Ersuchen im Rahmen von gerichtlichen Ermittlungen an Justizbehörden und/oder Polizeidienststellen übermittelt werden.

Die personenbezogenen Daten werden im Europäischen Wirtschaftsraum (EWR) verarbeitet und auf dortigen Servern gespeichert. Unter keinen Umständen werden personenbezogene Daten weitergegeben.

  1. Rechte der betroffenen Person

Jede betroffene Person hat das Recht, die in den Artikeln 15 ff. der DSGVO genannten Rechte auszuüben, um von dem für die Verarbeitung Verantwortlichen beispielsweise Zugang zu ihren personenbezogenen Daten, deren Berichtigung oder Löschung oder die Einschränkung der sie betreffenden Verarbeitung zu verlangen, unbeschadet der Möglichkeit, bei Ausbleiben einer zufriedenstellenden Antwort eine Beschwerde bei der Datenschutzbehörde einzureichen.

Um diese Rechte auszuüben, muss ein spezifischer Antrag in freier Form an die folgende Adresse des für die Verarbeitung Verantwortlichen gerichtet werden: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! oder senden Sie an dieselbe Adresse das auf der Website der italienischen Datenschutzbehörde verfügbare Formular.

In diesem Zusammenhang wird darauf hingewiesen, dass die oben genannten Rechte der betroffenen Personen bei der Verarbeitung personenbezogener Daten gemäß und im Sinne von Artikel 2 des Gesetzesdekrets Nr. 196 vom 30. Juni 2003 ("Datenschutzgesetz", geändert durch das Gesetzesdekret Nr. 101/2018) für den Zeitraum und in den Grenzen, in denen dies eine notwendige und verhältnismäßige Maßnahme darstellt, eingeschränkt werden können, wenn ihre Ausübung zu einer konkreten und tatsächlichen Beeinträchtigung der Vertraulichkeit der Identität der meldenden Personen führen kann.

In solchen Fällen haben die betroffenen Personen auf jeden Fall das Recht, die Angelegenheit an die zuständige Aufsichtsbehörde „Garante per la protezione dei dati personali“ weiterzuleiten, damit diese beurteilen kann, ob die Voraussetzungen für ein Tätigwerden gemäß Artikel 160 des Gesetzesdekrets Nr. 196/2003 erfüllt sind.

 

[1] Hinweisgeber können den externen Kanal (ANAC) nutzen, wenn:

  • Es besteht keine verpflichtende Aktivierung des internen Meldekanals im Rahmen des Arbeitskontextes, d.h. dieser, auch wenn er verpflichtend ist, ist nicht aktiv oder entspricht auch bei Aktivierung nicht den gesetzlichen Vorgaben;
  • Der Hinweisgeber hat bereits eine interne Meldung erstattet und diese wurde nicht weiterverfolgt.
  • Der Hinweisgeber hat berechtigten Grund zu der Annahme, dass eine interne Meldung nicht wirksam weiterverfolgt würde oder dass die Meldung zu einem Risiko von Vergeltungsmaßnahmen führen könnte;
  • Der Hinweisgeber hat berechtigten Grund zu der Annahme, dass der Verstoß eine unmittelbare oder offensichtliche Gefahr für das öffentliche Interesse darstellen könnte.

[2] Hinweisgeber können eine Offenlegung direkt öffentlich machen, wenn:

  • der Hinweisgeber zuvor eine interne und externe Meldung oder direkt eine externe Meldung abgegeben hat und nicht innerhalb der festgelegten Fristen auf die geplanten oder beschlossenen Maßnahmen zur Weiterverfolgung der Meldungen geantwortet;
  • Der Hinweisgeber berechtigten Grund zu der Annahme hat, dass der Verstoß eine unmittelbare oder offensichtliche Gefahr für das öffentliche Interesse darstellen könnte;
  • Der Hinweisgeber berechtigten Grund zu der Annahme hat, dass die externe Meldung das Risiko von Vergeltungsmaßnahmen mit sich bringt oder aufgrund der besonderen Umstände des Falles nicht wirksam weiterverfolgt werden kann, z.B. wenn Beweismittel verborgen oder vernichtet werden oder wenn die begründete Befürchtung besteht, dass die Person, die die Meldung erhält, mit dem Verletzer zusammenarbeitet oder daran beteiligt sein könnte.