Datenschutzerklärung

Diese Datenschutzerklärung wird von der Chiesi Farmaceutici S.p.A. sowie der mit ihr verbundenen und unten näher bezeichneten Unternehmen (gemeinschaftlich auch als "Chiesi-Gruppe" oder "Chiesi" bezeichnet) zur Verfügung gestellt, um Sie gemäß den jeweils geltenden datenschutzrechtlichen Bestimmungen über Art und Umfang der Verarbeitung der in einer Meldung enthaltenen personenbezogenen Daten zu informieren.  

Wenn Sie in der Europäischen Union ansässig sind oder einen Verstoß in Bezug auf ein in der Europäischen Union ansässiges Unternehmen der Chiesi-Gruppe melden, werden Ihre Daten insbesondere unter Beachtung der Verordnung (EU) 679/2016 (“Datenschutz-Grundverordnung” im nachfolgend auch “DSGVO”) verarbeitet.

Verantwortlicher für die Verarbeitung einer Meldung ist das jeweilige Unternehmen der Chiesi-Gruppe, das die meldende Person bei der Einreichung einer Meldung als Empfänger auswählt.

Meldungen werden an die durch die meldende Person bestimmte Organisation übermittelt und durch diese nach lokalen Vorgaben geprüft (es sei denn, die meldende Person adressiert die Meldung ausdrücklich an die Muttergesellschaft oder es gibt keine lokale Tochtergesellschaft). Nur speziell geschulte Personen haben Zugang zu den gemeldeten Informationen und sind für diese zuständig.

“Personenbezogene Daten" sind alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Hiervon erfasst sind auch solche Daten, die erst zusammengenommen zur Identifizierung einer Person führen können.

Die "Verarbeitung personenbezogener Daten" umfasst ein breites Spektrum an Vorgängen im Zusammenhang mit personenbezogenen Daten, einschließlich manueller oder automatisierter Verfahren, wie das Erheben, das Erfassen, die Speicherung, die Organisation, das Ordnen, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Nutzung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten.

"Nutzer" ist die Person, die eine Meldung über die Plattform (im Folgenden “SpeakUp&BeHeard” oder “Plattform”) übermittelt.

 (1) ALLGEMEINE INFORMATIONEN

ZWECKE:

Die SpeakUp&BeHeard-Plattform ist ein web- und telefonbasiertes System, das es jeder Person, einschließlich, aber nicht beschränkt auf Mitarbeiter, Auftragnehmer und Lieferanten, ermöglicht, potenzielle Verstöße oder Fehlverhalten hinsichtlich der Verletzung von Gesetzen, Vorschriften und internen Richtlinien zu melden. Gemeldet werden können insbesondere potenzielle Verstöße gegen den Verhaltenskodex der Chiesi-Gruppe, die Anti-Korruptions-Richtlinie, Anti-Korruptionsgesetze, strafrechtliche Gesetze und alle anderen Verstöße, welche die geschäftliche und finanzielle Integrität des Unternehmens (z. B. Korruption, Interessenkonflikte, unlauteres Verhalten, Betrug, Insiderhandel, Buchhaltungsprobleme), die Umweltsicherheit oder den Tierschutz beeinträchtigen könnten. Die Chiesi- Gruppe verarbeitet Ihre personenbezogenen Daten ausschließlich für folgende Zwecke:

- Bereitstellung und Verwaltung der Whistleblowing-Plattform und der damit verbundenen Meldungen;

- Verwaltung des Lebenszyklus der Meldung, Durchführung der Ermittlungen mit den relevanten Beteiligten, einschließlich der Behörden;

- Verhinderung und Bekämpfung von rechtswidrigem Verhalten, gegebenenfalls Anwendung von Disziplinarmaßnahmen;

- Wahrung der Interessen des Unternehmens sowie der Rechte seiner Mitarbeiter und betroffener Dritter.

KATEGORIEN VON PERSONENBEZOGENEN DATEN:

Die Angabe personenbezogener Daten ist freiwillig. Die auf SpeakUp&BeHeard verfügbare anonyme Meldeoption ermöglicht es dem Nutzer, eine Meldung auch ohne personenbezogene Daten zu übermitteln (bitte beachten Sie, dass die Untersuchung bestimmter Meldungen je nach dem lokalen Rechtsrahmen die Offenlegung Ihrer personenbezogenen Daten erfordern kann).

Falls der Nutzer freiwillig personenbezogene Daten zur Verfügung stellt, können die folgenden Datenkategorien von dem jeweiligen Verantwortlichen verarbeitet werden:

- Identifizierungsdaten des Nutzers: Vorname, Nachname und E-Mail-Adresse

- Personenbezogene Daten der gemeldeten Person oder anderer Parteien, die in der Meldung enthalten sind oder die der für die Verarbeitung Verantwortliche während der Ermittlungen erhalten hat

- Informationen zum potenziellen Verstoß

Bitte beachten Sie, dass die in einigen Meldungen enthaltenen Informationen “besondere Kategorien personenbezogener Daten” umfassen können. Hierbei handelt es sich gemäß Artikel 9 der Datenschutz-Grundverordnung um solche Informationen, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit, der Gesundheitszustand sowie die sexuelle Orientierung hervorgehen.

RECHTSGRUNDLAGE FÜR DIE VERARBEITUNG:

Erfüllung rechtlicher Verpflichtungen: Die Verarbeitung erfolgt zur Einhaltung der geltenden Gesetze und Vorschriften sowie von behördlichen Anweisungen.

Berechtigtes Interesse: Die Verarbeitung erfolgt zudem auf der Grundlage des berechtigten Interesses der Unternehmen der Chiesi-Gruppe (insbesondere der jeweiligen für die Datenverarbeitung Verantwortlichen), um die unter ”ZWECKE” genannten potenziellen Verstöße zu verhindern und zu untersuchen und die Rechte der von Verstößen betroffenen Organisationen – gerichtlich oder außergerichtlich – durchzusetzen.

 (2) WIE WIR IHRE PERSONENBEZOGENEN DATEN VERARBEITEN

Die in einer Meldung enthaltenen personenbezogenen Daten werden intern und extern nur von zuständigen Personen unter Beachtung des Need-to-know-Prinzips verarbeitet.

Die personenbezogenen Daten können auch an externe Unternehmen oder Personen weitergegeben oder von diesen eingesehen werden, wie etwa der Dienstleister der Plattform, die als Auftragsverarbeiter eingesetzt werden. Der Anbieter wird nur zu Zwecken der Systemwartung oder der technischen Unterstützung des Nutzers auf die Daten zugreifen.

Chiesi stellt in diesem Fall den Schutz Ihrer personenbezogenen Daten und die Rechtmäßigkeit dieser Verarbeitung durch den Abschluss von Auftragsverarbeitungsverträgen sicher. Alle unsere Auftragsverarbeiter müssen daher die geltenden Datenschutzgesetze einhalten und angemessene Sicherheitsmaßnahmen umsetzen.

Unter bestimmten Umständen kann es erforderlich sein, dass wir die in einer Meldung enthaltenen Informationen, einschließlich personenbezogener Daten Behörden und Gerichten offenlegen, um Ermittlungen zu ermöglichen oder Ansprüche geltend zu machen, sowie gegenüber Rechtsberatern, die Chiesi bei der Bearbeitung der Meldung unterstützen.

Beachten Sie, dass die Identität des Nutzers, der als meldende Person auftritt, nur dann offengelegt wird, wenn dies gesetzlich vorgeschrieben ist, wenn die Offenlegung beantragt wurde oder um das Recht auf Verteidigung der gemeldeten Person zu gewährleisten (diese Bestimmung kann je nach länderspezifischer Gesetzgebung variieren). 

WIE WIR IHRE PERSONENBEZOGENEN DATEN SCHÜTZEN:

Chiesi implementiert angemessene Sicherheitsmaßnahmen, um Ihre personenbezogenen Daten vor unbefugtem Zugriff, Offenlegung oder Verlust zu schützen, Hierzu zählen:

- Angemessene Maßnahmen, um sicherzustellen, dass personenbezogene Daten in Übereinstimmung mit den Grundsätzen der Minimierung und Zweckbindung erhoben werden. Wir bewahren Ihre personenbezogenen Daten für eine begrenzte Zeit auf, wie im folgenden Abschnitt (3) angegeben, es sei denn, eine Verlängerung der Aufbewahrungsfrist ist gesetzlich vorgeschrieben oder zulässig;

- Eine Reihe von Technologien zur Gewährleistung der Vertraulichkeit personenbezogener Daten, die von Verschlüsselung, starken Passwörtern und Zwei-Faktor-Authentifizierung bis hin zu Firewalls und spezieller Software zum Schutz der Server vor externen Angriffen reichen;

- Auswahl unserer Geschäftspartner und Dienstleister auf der Grundlage strenger Qualifikationskriterien und Verpflichtung zur Einhaltung unserer Datenschutzstandards, die durch spezifische vertraglich bindende Bestimmungen gesichert sind. Darüber hinaus führen wir Audits und andere Bewertungen durch, um zu überprüfen, ob diese die oben genannten Anforderungen einhalten;

- Tests zur Überprüfung der Kenntnisse über den Schutz der Privatsphäre und des Datenschutzes sowie andere Maßnahmen zur Verbesserung des Bewusstseins für den Schutz der Privatsphäre bei Mitarbeitern und Auftragnehmern.

INTERNATIONALE DATENÜBERMITTLUNGEN:

Ihre in Abschnitt (1) näher dargelegten personenbezogenen Daten werden auf dem Server des – als Auftragsverarbeiter fungierenden – Plattformanbieters in Italien oder innerhalb der Europäischen Union gespeichert. Je nach Inhalt der Meldung können personenbezogenen Daten auch in andere Länder, unter anderem außerhalb der EU, übermittelt werden. Die Chiesi-Gruppe hat die mit internationalen Datenübermittlungen verbundenen Auswirkungen bewertet und angemessene Maßnahmen umgesetzt und entsprechende Garantien, wie die Unterzeichnung von Standardvertragsklauseln mit den Beteiligten, vereinbart, um einen hinreichenden Schutz für Ihre personenbezogenen Daten zu gewährleisten. Die Unternehmen der Gruppe haben zudem eine konzerninterne Vereinbarung getroffen, welche die Übermittlung zwischen der US-amerikanischen und der europäischen Tochtergesellschaften regelt.

In Bezug auf China gilt ergänzend Folgendes: In Übereinstimmung mit den örtlichen Vorschriften werden Ihre personenbezogenen Daten mit Ihrer ausdrücklichen Zustimmung in Länder außerhalb Chinas übertragen. Bitte beachten Sie, dass Sie mit dem Absenden Ihrer Meldung (Klicken auf die Schaltfläche "Senden") Ihre Zustimmung zur Übermittlung Ihrer personenbezogenen Daten erteilen.

Mitarbeiter der Chiesi Farmaceutici S.p.A., die Muttergesellschaft mit Sitz in Italien, können Zugang zu Meldungen haben, um diese erforderlichenfalls innerhalb der Chiesi-Gruppe zu koordinieren.

 (3) AUFBEWAHRUNGSDAUER IHRER PERSONENBEZOGENEN DATEN

Wir bewahren Ihre personenbezogenen Daten für die Dauer der Bearbeitung Ihrer Meldung und gegebenenfalls damit zusammenhängender Prozesse, wie z. B. Gerichtsverfahren, laufende Ermittlungen von Behörden, unter Einhaltung der Grundsätze der Minimierung und Zweckbindung sowie der länderspezifischen Vorschriften, die für jede Tochtergesellschaft gelten können, auf.

Die bewerteten/abgeschlossenen Meldungen werden spätestens zwei (2) Monate nach Abschluss der Untersuchung durch geeignete Methoden innerhalb des Systems anonymisiert.

Wenn die interne Prüfung der Meldung keinen Anlass für die Annahme eines Fehlverhaltens ergibt, (unbegründeter Bericht), werden die übermittelten Informationen unverzüglich gelöscht.

Ihre personenbezogenen Daten werden gemäß den vorgenannten Ausführungen oder gegebenenfalls für einen kürzeren Zeitraum verarbeitet, wenn eine der im folgenden Abschnitt (4) genannten Rechte geltend gemacht wird und die Voraussetzungen erfüllt sind. Im Übrigen werden Ihre personenbezogenen Daten nach Ablauf der Frist gemäß unseren internen Verfahren gelöscht oder anonymisiert, es sei denn, dies ist aufgrund rechtlicher Vorgaben nicht möglich oder Ihre personenbezogenen Daten werden benötigt, um unsere Rechte vor einem Gericht oder einer anderen zuständigen Behörde geltend zu machen.

Bitte beachten Sie, dass wir möglicherweise nicht in der Lage sind, Ihre Meldung zu bearbeiten oder die Untersuchung abzuschließen, wenn Sie die Löschung Ihrer personenbezogenen Daten verlangen.

(4) IHRE RECHTE ALS BETROFFENE PERSON

Sie haben als betroffene Person das Recht auf Auskunft über die über Sie verarbeiteten Daten und im Falle der Unrichtigkeit dieser Informationen auf Berichtigung sowie bei Vorliegen der Voraussetzungen auf Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch gegen die Verarbeitung. Wenn die Einwilligung die Grundlage für die Verarbeitung ist, können Sie zudem Ihre Zustimmung widerrufen.

Sie können sich jederzeit entweder unter dpoit@chiesi übergreifend an den Datenschutzbeauftragten der Chiesi Farmaceutici S.p.A. oder an den lokalen Datenschutzbeauftragten – dessen Kontaktdaten auf der Website der jeweiligen Tochtergesellschaft zu finden sind – wenden, um zusätzliche Informationen zu erhalten und Ihre Rechte durchzusetzen. Weitere Details über unsere Tochtergesellschaften finden Sie unter dem folgenden Link: https://www.chiesi.com/en/about-us/our-affiliates/

Sie haben als betroffene Person zudem das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen, wenn Sie der Ansicht sind, dass Chiesi Ihre personenbezogenen Daten nicht in Übereinstimmung mit den in dieser Datenschutzerklärung dargelegten Grundsätzen oder unter Verstoß der einschlägigen datenschutzrechtlichen Vorschriften verarbeitet.

(5) INFORMATIONEN ZUR AUTOMATISIERTEN ENTSCHEIDUNGSFINDUNG UND AKTUALISIERUNGEN DIESER DATENSCHUTZERKLÄRUNG

Ihre personenbezogenen Daten sind nicht Gegenstand von Profiling oder sonstigen automatisierten Entscheidungsfindungsprozesse.

Diese Datenschutzerklärung kann von Zeit zu Zeit aktualisiert werden. Jede Aktualisierung wird zum Zeitpunkt der Veröffentlichung der angepassten Datenschutzerklärung auf der Plattform wirksam.