Integritetspolicy för visselblåsning
Hantering av personuppgifter
För information om vilket Securitasbolag som behandlar dina personuppgifter och hur du kommer i kontakt med oss vänligen se dokument för personuppgiftsansvarig (Personal Data Controllers document) som du hittar i appendix i slutet av detta dokument.
Dokument för personuppgiftsansvarig (Personal Data Controllers document) behandlar även ändringar eller modifieringar av denna integritetskyddspolicy som gäller för ett specifikt land, så kallade landsspecifika bestämmelser (Country Unique Terms). Om en del av denna integritetsskyddspolicy ändras av särskilda landsspecifika bestämmelser förblir resten av integritetsskyddspolicyn oförändrad. Relevanta ändringar anges under respektive land, om inget anges föreligger inga lokala avvikelser.
Vi på Securitas (”Securitas”, ”vi” eller ”oss”) tar hänsyn till din integritet. Denna integritetskyddspolicy för Securitas Integrity Line beskriver hur vi samlar in och behandlar personuppgifter kopplade till vår konfidentiella och säkra rapporteringsplattform som kan användas för att rapportera incidenter och misstanke om tjänstefel, missförhållanden, brott mot lag, förordning eller bristande efterlevnad av Securitas tillämpliga policyer. För att läsa mer om våra värderingar och etikkod, se Securitas kod för Värderingar och Etik.
Det är viktigt för oss att du läser och förstår denna integritetskyddspolicy innan du använder Securitas Integrity Line. Om du har några frågor är välkommen att kontakta oss.
Ansvar för behandlingen av personuppgifter
Den lokala Securitas enhet som mottar incidentrapporten är tillsammans med Securitas AB är gemensamt ansvariga (gemensamt personuppgiftsansvariga) för behandlingen av personuppgifter inom Securitas Integrity Line. För att säkerställa att dina personuppgifter är skyddade har vi ett gemensamt upplägg gällande användningen och skyddet av dina personuppgifter. Denna integritetsskyddspolicy reflekterar kärnan av vårt gemensamma upplägg. Önskar du ytterligare information om vårt gemensamma upplägg är du välkommen att kontakta oss.
Kategorier av personuppgifter
Den information som beskrivs nedan kommer att behandlas i samband med användningen av Securitas Integrity Line och vid utredning av en insänd incidentrapport. Vilka kategorier av personuppgifter som kommer att behandlas i det specifika fallet beror på innehållet av incidentrapporten, vilken information personen som anmäler lämnar och vilken information som bedöms vara relevant för utredningen.
Rapporteringssystemet tillåter dessutom en person som anmäler att skicka in rapporter och kommunicera anonymt via en krypterad förbindelse, vilket innebär att det som utgångspunkt inte kommer samlas in personuppgifter från den rapporterande personen i det fallet, om inte den rapporterade personen frivilligt lämnar personuppgifter i incidentrapporten som sådan eller i efterföljande kommunikation.
Personliga egenskaper och identifikationsuppgifter: För- och efternamn.
Personlig kataloginformation (Personal Directory Information): E-post, telefonnummer, videomaterial, bilder eller röstinspelningar.
Kontaktinformation avseende företag: Din roll, titel, företaget som du arbetar för.
Incident- eller ärendeinformation: Detaljer rörande den rapporterade incidenten, angivet ärendenummer.
Kommunikation: Innehåll i e-post, meddelande eller annan kommunikation.
Uppgifter om verifieringskedja (audit trail) (Teknisk information): IP-adress, version av operativsystem och webbläsare.
Ändamål och rättslig grund för behandling
Securitas behandlar personuppgifterna som du som rapporterande person förser oss med vid användning av Securitas Integrity Line, kommunikation med handläggare eller sådan information som vi samlar in från andra källor i samband med utredning av en incident.
Källorna vi använder oss av för att samla in personuppgifter i samband med en incidentrapport och utredning av en incident inkluderar, förutom den person som rapporterar, den eller de anmälda personerna, andra personer (vilket kan vara anställda eller annan engagerad personal eller externa personer) inblandade i en utredning, juridiska rådgivare, myndigheter och offentligt tillgänglig information, till exempel information tillgänglig på internet eller i offentliga register.
Ändamål med behandling |
Rättslig grund för behandling |
Lagringsperiod |
Vi behandlar ovan beskrivna personuppgifter för att samla in, hantera och utreda incidentrapporter som skickats in via Securitas Integrity Line, inklusive granskning och utvärdering av rapporten, kommunikation med rapporterande person och andra personer som är relevanta för utredningen av incidentrapporten och för dokumentation av de åtgärder som vidtagits för att utreda den rapporterade incidenten. |
Det Securitasbolag som är ansvarig för utredning av rapporten: I den mån det finns en rättslig förpliktelse för bolaget Securitas att samla in och hantera incidentrapporter, är behandlingen nödvändig för att uppfylla en rättslig förpliktelse. I de fall där det inte finns någon rättslig förpliktelse för bolaget Securitas att samla in och hantera incidenter, förlitar sig Securitas på sitt berättigade intresse att hantera incidentrapporter och utreda påstådda tjänstefel, missförhållanden, brott mot lag, förordning eller bristande efterlevnad av Securitas tillämpliga policyer. Securitas AB och andra relevanta Securitasbolag: Behandlingen är nödvändig för att tillgodose Securitas AB och relevanta Securitasbolag:s berättigade intresse att hantera incidentrapporter och utreda påstådda tjänstefel, missförhållanden, brott mot lag, förordning eller bristande efterlevnad av Securitas tillämpliga policyer. |
Personuppgifter som samlats in i samband med en incidentrapport kommer att lagras för detta ändamål under tiden för utredningen av en incident och en period på två (2) år efter det datum då ärendet avslutades. |
Vi behandlar incident- och ärendeinformation som samlats in via Securitas Integrity Line för att analysera incidentrapporter på en aggregerad nivå och producera statistik. |
Behandlingen är nödvändig för att tillgodose Securitas AB och relevanta Securitasbolag:s berättigade intresse att analysera incidentrapporter på en aggregerad nivå och producera statistik. Detta hjälper till exempel oss att bättre förstå hur många incidentrapporter som skickas in med hjälp av rapporteringsplattformen och vilka typer av incidenter som rapporteras. |
Personuppgifter lagras för detta ändamål under samma period som incidentrapporterna sparas i rapporteringsplattformen, vilket innebär att personuppgifterna kommer att lagras under en period på två (2) år från det datum ärendet avslutades. Information på en aggregerad nivå och statistik som inte inkluderar personuppgifter kan sparas tills vidare eller tills dess att de raderas. |
Vi behandlar och delar relevanta personuppgifter med myndigheter, Securitas koncernbolag, juridiska rådgivare, fackföreningar och företagsråd när det är nödvändigt för att hantera och försvara företaget mot rättsliga anspråk som ett resultat av en incidentrapport. Det inkluderar, exempelvis, att vi i vissa fall rapporterar incidenten till Polisen. |
Behandlingen är nödvändig för att tillgodose Securitas AB och andra relevanta Securitasbolag:s berättigade intresse att hantera och försvara företaget mot rättsliga anspråk. |
Personuppgifter lagras för detta ändamål under den period som krävs för att vi ska kunna hantera och försvara företaget mot det rättsliga anspråket i det specifika fallet. |
Vi behandlar personuppgifter som sparas i Securitas Integrity Line för att säkerställa teknisk funktionalitet och säkerhet av rapporteringssystemet, detta inkluderar säkerställande av att personuppgifter i Securitas Integrity Line endast nås av auktoriserade handläggare, i samband med loggning för felsökning och incidenthantering samt att bevara säkerhetskopior av personuppgifter för att säkerställa tillgänglighet av de personuppgifter som behandlas i händelse av ett tekniskt eller fysiskt problem. |
Behandlingen är nödvändig för att tillgodose Securitas AB och relevanta Securitasbolag:s berättigade intresse att säkerställa teknisk funktionalitet och säkerhet i rapporteringssystemet. |
Personuppgifter lagras för detta ändamål under samma period som beskrivs ovan. |
Vilka delar vi dina personuppgifter med?
EQS Group: Dina personuppgifter kommer att behandlas av vår tjänsteleverantör EQS Group AG (”EQS Group”) som tillhandahåller den rapporteringsplattform som används för Securitas Integrity Line och deras underleverantörer (som till exempel tillhandahåller hosting- och översättningstjänster) i enlighet med de instruktioner som Securitas lämnat. EQS Group AG agerar som Securitas personuppgiftsbiträde och är enligt avtal endast tillåten att behandla uppgifter med ändamålen som anges ovan. EQS Group har inte tillgång till incidentrapporter som rapporteras i rapporteringsplattformen, såvida det inte särskilt godkänts av Securitas.
Andra tjänsteleverantörer: Dina personuppgifter kommer att behandlas, i samband med utredning av en incidentrapport, av andra tjänsteleverantörer eller underleverantörer som vi har anlitat, inklusive leverantörer av datalagringstjänster och leverantörer av produktivitets- och kommunikationsverktyg, när handläggaren använder verktyg som tillhandahålls av sådana tjänsteleverantörer för att utreda incidenten. Alla tjänsteleverantörer och underleverantörer agerar som Securitas personuppgiftsbiträde och har enligt avtal endast tillåtelse att behandla personuppgifter för de ändamål som godkänts av Securitas. Vidare kommer personuppgiftsbiträdet (tjänsteleverantörer och underleverantörer) och de som agerar i enlighet med personuppgiftsbiträdets instruktioner inte att få tillgång till fler personuppgifter än vad som är nödvändigt för att tillhandahålla tjänsten inom ramen för avtalet med Securitas.
Securitas-koncernen: Om en incidentrapport berör ett annat företag inom Securitas-koncernen kan de personuppgifter som samlats in i samband med en incidentrapport komma att delas med det Securitasbolaget, om det är nödvändigt för att utreda incidenten och vid behov hantera och försvara företaget mot rättsliga anspråk som ett resultat av en incidentrapport.
Myndigheter: Securitas kan dela dina personuppgifter med myndigheter (så som Polisen, Skatteverket eller andra myndigheter) när det är nödvändigt för att hantera och försvara företaget mot rättsliga anspråk. Myndigheter som tar emot dina personuppgifter kommer att vara personuppgiftsansvariga för personuppgiftsbehandlingen, vilket innebär att det inte är Securitas som styr hur dina personuppgifter behandlas om de delas med en myndighet. Således, om dina personuppgifter delas med myndigheter, kommer denna integritetsskyddspolicy inte att omfatta den efterföljande behandlingen som sker.
Juridiska rådgivare: Vi delar personuppgifter med juridiska rådgivare som vi anlitat när det är nödvändigt för att hantera och försvara förtaget mot rättsliga anspråk som ett resultat av en incidentrapport. Vanligtvis är juridiska rådgivare ansvariga (personuppgiftsansvarig) för deras egen behandling av personuppgifter vid tillhandahållande av juridisk rådgivning och tjänster.
Försäkringsbolag: När det är nödvändigt för att hantera och försvara företaget mot rättsliga anspråk som ett resultat av en incidentrapport delar vi personuppgifter med försäkringsbolag, till exempel för att anmäla krav om försäkring till följd av en incident (i tillämpliga fall). Försäkringsbolaget är ansvarig (personuppgiftsansvarig) för deras egen behandling av personuppgifter när de hanterar ett försäkringskrav eller ärende.
Fackföreningar och företagsråd: Securitas delar personuppgifter med fackföreningar och företagsråd när det är nödvändigt för att hantera eller försvara företaget mot rättsliga anspråk till följd av en incident, inklusive arbetsrättsliga åtgärder (varningar och uppsägning av anställning med eller utan uppsägningsbesked), mot den anmälda personen. Fackföreningar och företagsråd är ansvariga (personuppgiftsansvarig) för deras egen behandling av personuppgifter.
Var vi behandlar dina personuppgifter
För att tillhandahålla dig Securitas Integrity Line behandlar vi och EQS Group, som behandlar personuppgifter för vår räkning, dina uppgifter främst inom EU/EES. Vi har ingått avtal rörande sekretess- och dataskydd med EQS Group för att tillse att de säkerställer ett starkt sekretesskydd, efterlever dataskyddslagstiftning och bästa möjliga integritets- och säkerhetsstandarder.
Om du använder Securitas Integrity Line i ett land utanför EU/EES (ett tredjeland), kommer dina personuppgifter att överföras till det land som du ansluter till Securitas Integrity Line från.
Vissa tjänster kopplade till rapporteringsplattformen, till exempel översättningstjänster, utförs av underleverantörer till EQS Group i tredjeland. För att säkerställa att dina uppgifter är tillräckligt skyddade utanför EU säkerställer vi att lämpliga skyddsåtgärder vidtas, inklusive EU-kommissionens standardavtalsklausuler (EU Standard Contractual Clauses), för att säkerställa en i huvudsak likvärdig skyddsnivå för dina personuppgifter.
Hur vi skyddar dina uppgifter
Securitas och EQS Group vidtar lämpliga tekniska och organisatoriska skyddsåtgärder för att skydda dina personuppgifter i rapporteringsplattformen och tillse att dina personuppgifter är säkra i plattformen. De personuppgifter som behandlas i rapporteringsplattformen sparas krypterade i en säker databas. Dessutom krypteras kommunikation mellan din webbläsare och rapporteringsplattformen för att säkerställa att dina personuppgifter skyddas mot obehörig åtkomst eller avslöjande. Endast auktoriserade handläggare har tillgång till incidentrapporterna i rapporteringsplattformen.
Dina rättigheter
Vi tillvaratar din integritet och dina rättigheter i enlighet med tillämplig dataskyddslagstiftning. Dina rättigheter innebär att du kan begära en kopia av de personuppgifter som vi behandlar om dig, begära rättelse av felaktiga uppgifter om dig och under vissa omständigeheter begära att dina personuppgifter raderas.
I vissa jurisdiktioner kan dina rättigheter vara begränsade, till exempel rätten till en kopia av dina av personuppgifter, på grund av att en incidentrapport och utredning, som är ett resultat av en inskickad incidentrapport, är föremål för sekretess enligt lag. Detta för att skydda personen som anmält incidenten och andra personer som är inblandade i en utredning av en incidentrapport.
Dessutom gäller inte rätten till dataportabilitet, eftersom behandlingen av personuppgifter inte grundar sig på ett avtal med dig eller ditt samtycke vilket synliggjorts i tabellen ovan. Slutligen är det Securitas uppfattning att du normalt inte når framgång av att invända mot behandlingen av personuppgifter i rapporteringsplattformen på grund av behandlingens art och syfte.
För att utöva dina rättigheter, tveka inte att kontakta din lokala Securitas-enhet med kontaktuppgifterna som finns i dokument för personuppgiftsansvarig (Personal Data Controllers document), som du hittar i appendix i slutet av detta dokument.
Du har alltid rätt att lämna in ett klagomål hos Integritetsskyddsmyndigheten (eller din nationella motsvarighet) om du har invändningar mot vår behandling av dina personuppgifter.