Subheader
Politica de confidențialitate pentru canalul de denuntare
  • Ro
  • En

Politica de confidențialitate pentru canalul de denuntare

Această politică de confidențialitate explică ce date cu caracter personal sunt prelucrate, cum și în ce scopuri, în legătură cu platforma de raportare a observațiilor („Whistleblowing Channel”), care a fost dezvoltată în conformitate cu Directiva Uniunii Europene 2019/1937, privind protecția persoanelor care raportează încălcări ale dreptului Uniunii („Directiva Whistleblowing”) și ale legislației naționale relevante. Fiecare entitate din TBI Bank Group acționează ca operator de date cu caracter personal sau co-controlor, în funcție de legile naționale relevante. Procesul include Canalul de raportare Whistleblowing și orice rapoarte transmise în acesta și acțiunile și investigațiile care decurg din acestea, toate în conformitate cu Regulamentul General de Protecție a Datelor („GDPR”).

1.Co-controlori

În cazul în care o observație se referă la angajații sau alte persoane avand legatura cu filialele Grupului TBI Bank din Romania sau cu filialele acestuia din străinătate, prelucrarea datelor cu caracter personal în contextul acelui proces va fi controlată în comun de TBI Bank EAD și VIVUS.BG EOOD, TBI Bank EAD Sofia – Sucursala Bucuresti, TBI Bank EAD – Sucursala Grecia, TBI Money IFN SA si TBI Asset Management and Service IFN SA

2. Scop

Scopul prelucrării datelor cu caracter personal este de a înființa și de a menține Canalul de raportare Whistleblowing și de a primi, investiga și rezolva orice încălcări, abateri sau alte probleme raportate prin acest canal, în conformitate cu politicile interne ale Co-controlorului și cu cerințele Directivei Whistleblowing și legilor naționale. Deși în raportul TBI Bank Group poate primi orice fel de informații, inclusiv incorecte sau excesive, scopul este de a analiza dovezi care apoi sunt revizuite.

3. Bază legală

Toată prelucrarea se bazează pe Directiva Whistleblowing, transpusă în legile privind denunțările din Bulgaria, România și Grecia. În plus, prelucrarea datelor cu caracter personal referitoare la subiecții observați, denuntatorii și anchetatorii observatiilor se bazează pe interesul legitim al Controlorului de a preveni, detecta, investiga și remedia faptele ilice. Fără intenție, Co-controlorii ar putea fi expuși la categorii speciale de date cu caracter personal conținute în raportul de denunțare, conform excepțiilor permise de articolul 9 din GDPR, cum ar fi în domeniul muncii și al securității sociale și al protecției sociale (Art.9.2). (b)) și pentru constatarea, exercitarea sau apărarea unor pretenții în justiție sau ori de câte ori instanțele acționează în calitatea lor judiciară (Art.9.2(f)). Orice date personale irelevante sau în exces sunt șterse, conform art. 17 din Directiva Whistleblowing.

4. Categorii de persoane vizate și date

  • Denuntatorii

De regulă, Denuntatorul raportează observația sa în mod anonim. Acesta poate include, de asemenea, informații cu caracter personal (cum ar fi numele, locația, departamentul, vârsta, sexul, informațiile financiare etc.) dacă ajută investigația. Informațiile furnizate de Denunțător pot conține, de asemenea, categorii speciale de date cu caracter personal (cum ar fi informații despre sănătatea unei persoane, biometrie, convingeri, sexualitate, condamnări penale). Circumstanțele cazului pot permite identificarea indirectă a denuntatorului. Denunțătorii pot fi angajați ai TBI Bank Group și părți interesate externe, cum ar fi alte persoane decât angajatii, care au legatura cu compania prin activitățile lor legate de muncă, cum ar fi furnizorii de servicii, distribuitorii, furnizorii și partenerii de afaceri.

  • Subiectii observațiilor

Observațiile privind conduita necorespunzătoare pot conține informații despre alte persoane relevante (de exemplu, nume, prenume, poziție, locație, informații financiare, imagini sau videoclipuri), comportamentul și circumstanțele acestora și alte informații personale. În mod excepțional, observațiile pot conține categorii speciale de date cu caracter personal.

  • Managerii de caz

Persoana responsabilă cu investigația primește informațiile cuprinse în observație. Aceste persoane sunt angajați desemnați în mod special de către Co-controlori să proceseze observația. Numele, titlul, numele de utilizator și datele de logare ale acestora sunt procesate.

5. Accesul și dezvăluirea datelor cu caracter personal

Doar managerii de caz au acces direct la datele personale din observații. Datele cu caracter personal pot fi dezvăluite unor terți, cum ar fi autoritățile sau auditorii externi, în cazul unei obligații legale sau al unui interes legitim. Atunci când raportați de pe un computer dintr-o rețea publică sau de serviciu, paginile web vizitate sunt înregistrate în istoricul browserului și/sau în jurnalul de sistem, permițând deanonimizarea în circumstanțe excepționale, prin urmare, Denunțătorul este încurajat să folosească o rețea privată și browserul în modul incognito.

6. Prelucrarea datelor cu caracter personal în țările UE/SEE

Administratorul canalului de avertizare este un furnizor extern de servicii: Falcony Ltd., ID comercial din Registrul Comerțului finlandez: 2900763-6, Annankatu 27 A, 00100 Helsinki, Finlanda, +358 20 131 0611, support@falcony.io , ( Procesor ) . Co-controlorii au acordurile necesare în vigoare pentru a se asigura că Procesatorul utilizează numai datele cu caracter personal colectate prin intermediul Canalului de denunțare, așa cum este permis de legile aplicabile privind protecția datelor. Procesatorul are un subcontractant care asigură stocarea datelor tehnice – Amazon AWS, Irlanda (Sub-procesor). Datele sunt prelucrate și stocate numai în UE/SEE.

7. Perioadele de stocare a datelor

Datele de observație se păstrează cel mult doi (2) ani de la încheierea fiecărei investigații. Perioade mai lungi de depozitare pot fi necesare din cauza obligațiilor legale obligatorii care decurg, de exemplu, din procedura penală, pretenții legale, legi privind siguranța muncii etc.

8. Drepturile denuntatorului

Denuntorul are dreptul de a:

  • obține de la Controlor confirmarea dacă datele cu caracter personal care îl privesc sunt în curs de prelucrare și, dacă este cazul, accesul la datele cu caracter personal;
  • solicita de la Controlor rectificarea datelor sale personale;
  • solicita de la Controlor restricționarea prelucrării datelor sale personale în circumstanțele menționate la articolul 18 din GDPR;
  • solicita de la Operator ștergerea datelor sale personale; sau
  • se opune prelucrării datelor sale personale în circumstanțele menționate la articolul 21 din GDPR.

Aceste drepturi pot fi limitate în circumstanțe specifice, conform GDPR.

9. Securitatea informațiilor

Toate datele sunt transmise și stocate criptate. Nicio informație necriptată nu este trimisă prin internetul deschis. Riscul de încălcare a securitatii datelor și de identificare indirectă este improbabil.

10. Cereri privind datele personale și temeiul legal al Canalului de denunțare

În cazul în care aveți întrebări cu privire la prelucrarea datelor cu caracter personal, vă rugăm să contactați responsabilul cu protecția datelor TBI Bank Group la DPO@tbibank.ro . Pentru întrebări referitoare la cadrul legal al Canalului de denuntare și investigația obnservatiilor, vă rugăm să contactați Ofițerul de conformitate al Grupului TBI Bank:group_compliance@tbibank.bg.

Privacy Policy for the Whistleblowing Channel

This privacy policy explains what personal data is processed, how, and for what purposes, in connection with the observation reporting platform (“Whistleblowing Channel”), which has been developed pursuant to European Union Directive 2019/1937, on the protection of persons who report breaches of Union Law (“Whistleblowing Directive”) and relevant national laws. Every entity in TBI Bank Group acts as personal data controller or co-controller, depending on relevant national laws. The process includes the Whistleblowing Channel and any reports submitted therein and the actions and investigations resulting therefrom, all in accordance with the General Data Protection Regulation (“GDPR”).

1. Co-controllers

Where an observation relates to employees or other related persons of a TBI Bank Group subsidiaries or its branches abroad, processing of personal data in the context of that process will be jointly controlled by TBI Bank EAD and VIVUS.BG EOOD, TBI Bank EAD Sofia – Branch Bucharest, TBI Bank EAD – Branch Greece, TBI Money IFN S.A. and TBI Asset Management and Servicing IFN S.A.

2. Purpose

The purpose of processing personal data is to set up and maintain the Whistleblowing Channel and to receive, investigate and resolve any breaches, misconduct or other matters reported through the Whistleblowing Channel in accordance with Co-controller internal policies and the requirements of the Whistleblowing Directive and national laws. Although in the report TBI Bank Group may receive any kind of information, including incorrect or excessive, the aim is to establish evidence which then is reviewed.

3. Legal basis

All processing is based on the Whistleblowing Directive transposed in the Whistleblowing laws of Bulgaria, Romania and Greece. Further, the processing of personal data pertaining to the observation subjects, Whistleblowers and the observation investigators is based on the Controller’s legitimate interest of preventing, detecting, investigating and addressing wrongdoing. Without intention, the Co-controllers might be exposed to special categories of personal data contained in the Whistleblowing report according to exceptions permitted by Article 9 of the GDPR, such as in the field of employment and social security and social protection law (Art.9.2(b)) and for the establishment, exercise or defense of legal claims or whenever courts are acting in their judicial capacity (Art.9.2(f)). Any irrelevant or excess personal data is deleted, according to Art. 17 of the Whistleblowing Directive.

4. Categories of data subjects and data

4.1. Whistleblowers
As a rule, the Whistleblower reports their observation anonymously. The Whistleblower may also include personal information (such as their name, location, department, age, gender, financial information etc.) if it assists the investigation. Information provided by the Whistleblower may also contain special categories of personal data (such as information about a person’s health, biometrics, beliefs, sexuality, criminal convictions). The circumstances of the case may allow identifying the Whistleblower indirectly. The whistleblowers may include employees of TBI Bank Group and external stakeholders, such as persons other than workers, who encounter the entity through their work-related activities, such as service-providers, distributors, suppliers, and business partners.

4.2.Subjects of observations
Observations of misconduct may contain information about other relevant persons (e.g., name, surname, position, location, financial information, pictures, or video footage), their behavior and circumstances, and other personal information. Exceptionally, observations may contain special categories of personal data.

4.3. Case managers
The person responsible for the investigation receives the information contained in the observation. These persons are employees specifically assigned by the Co-controllers to process the observation. Their name, title, username, and log data are processed.

5. Access to and disclosure of personal data

Only Case managers have direct access to personal data in observations. Personal data may be disclosed to third parties, such as the authorities or external auditors, in case of a legal obligation or legitimate interest. When reporting from a computer on a public or work network, the visited webpages are logged in the browser’s history and/or the system log, allowing deanonymization in exceptional circumstances, therefore, the Whistleblower is encouraged to use a private network and the browser in incognito mode.

6. Processing of personal data in EU/EEA countries

The administrator of the Whistleblowing Channel is an external service provider: Falcony Ltd., Finnish Trade Register business ID: 2900763-6, Annankatu 27 A, 00100 Helsinki, Finland, +358 20 131 0611, support@falcony.io, (Processor). The Co-controllers have the necessary agreements in force to ensure that the Processor only uses personal data collected by means of the Whistleblowing Channel as permitted by the applicable data protection laws. The Processor has a sub-contractor which provides technical data storage – Amazon AWS, Ireland (Sub-processor). The data is processed and stored only in the EU/EEA.

7. Data storage periods

The observation data is kept for no longer than two (2) years after the end of each investigation. Longer storage periods may be necessary due to mandatory legal obligations arising from, for example, criminal procedure, legal claims, occupational safety laws, etc.

8. Rights of the Whistleblower

The Whistleblower has the right to:

– obtain from the Controller confirmation as to whether personal data concerning him or her is being processed, and, where that is the case, access to the personal data;
– request from the Controller rectification of their personal data;
– request from the Controller restriction of processing of their personal data in the circumstances referred to in Article 18 of the GDPR;
– request from the Controller erasure of their personal data; or
– object to the processing of their personal data in the circumstances referred to in Article 21 of the GDPR.

These rights may be limited in specific circumstances, according to the GDPR.

9. Information security

All data is transmitted and stored encrypted. No unencrypted information is sent over the open Internet. The risk of breach and indirect identification is negligible.

10. Inquiries on personal data and the legal basis of the Whistleblowing Channel

Should you have any inquiries about the processing of personal data, please contact the TBI Bank Group Data Protection Officer at DPO@tbibank.bg. For questions regarding the legal framework of the Whistleblowing Channel and observation investigation, please contact TBI Bank Group Compliance Officer: group_compliance@tbibank.bg.