Din integritet är viktig för oss. I denna integritetspolicy förklaras vilka personuppgifter M-Files , hur M-Files dem och för vilka ändamål i samband med M-Files visselblåsarkanal, som har införts i enlighet med direktiv (EU) 2019/1937 om skydd för personer som rapporterar överträdelser av unionsrätten (”visselblåsardirektivet”) och dess nationella genomförandelagstiftning.

Med hänvisningar till visselblåsarkanalen och visselblåsningsförfarandena avses den visselblåsarkanal som M-Files har infört samt alla anmälningar som lämnats in via denna, liksom de förfaranden och utredningar som följer därav.

1. Kontrollant(er)

M-Files (huvudansvarig)

Peltokatu 34C, 33100 Tampere, Finland33100 Tampere, Finland

och våra koncernbolag

(nedan kallat ”vi” ellerM-Files)

 

Infrastrukturen för visselblåsarkanalen tillhandahålls av M-Files för användning inom hela M-Files . Om en visselblåsningsprocess avser anställda eller andra registrerade hos ett M-Files som inte är M-Files , kommer behandlingen av personuppgifter inom ramen för den visselblåsningsprocessen att ske under gemensamt ansvar av M-Files och det eller de berörda M-Files . Koncernbolagens rättigheter och skyldigheter har överenskommits och dokumenterats i M-Files avtal om överföring av stamdata.

2. Kontaktuppgifter för integritetsfrågor

Dataskyddsombud:

[email protected], eller

 

M-Files

Hermia 12

Hermiankatu 1 B

33720 Tammerfors, Finland

3. Vad är syftet med och den rättsliga grunden för behandlingen av personuppgifter?

Syftet med behandlingen av personuppgifter är att inrätta och underhålla M-Files visselblåsarkanal samt att ta emot, utreda och hantera eventuella överträdelser eller andra ärenden som anmäls via visselblåsarkanalen i enlighet med M-Files interna riktlinjer samt kraven i direktivet om visselblåsning och nationell genomförandelagstiftning.

Grunden för behandlingen av personuppgifter är att fullgöra vår rättsliga förpliktelse, dvs. att uppfylla de skyldigheter och krav som anges i nationell genomförandelagstiftning enligt visselblåsardirektivet.

4. Vilka uppgifter behandlar vi?

Att använda whistleblowing-kanalen för att skicka in en rapport kräver inte att du lämnar några personuppgifter. När du använder visselblåsarkanalen får du ett unikt ärende-ID och lösenord som inte kan användas för att identifiera dig. Visselblåsarkanalen är utformad på ett sådant sätt att den kan användas helt anonymt.

 

Om en person som lämnar in en anmälan via visselblåsarkanalen inkluderar personuppgifter om sig själv eller någon annan person, t.ex. en person som anklagas för ett förseelse, i anmälan, kommer sådana personuppgifter att behandlas i enlighet med denna integritetspolicy. Om uppenbart onödiga eller felaktiga personuppgifter identifieras i en visselblåsningsrapport eller ett ärende, kommer sådana personuppgifter att raderas utan onödigt dröjsmål av de personer som har behörighet att få tillgång till rapporten eller ärendet i fråga i enlighet med M-Files tillämpliga interna policyer. Personuppgifter som behandlas i samband med visselblåsningskanalen kan således, utan begränsning, omfatta till exempel:

• Identitet på den person som lämnar in en rapport
• Den påstådda gärningsmannens identitet
• Identitet på den person som har anknytning till det påstådda missförhållandet
• Information om det påstådda missförhållandet
• Alla andra personuppgifter som lämnas i visselblåsarkanalen

5. Varifrån får vi data?

Personuppgifter som behandlas i samband med visselblåsarkanalen erhålls som standard från den rapport som görs av den person som använder visselblåsarkanalen. Visselblåsarkanalen kan användas anonymt, men om du så önskar kan du lämna uppgifter som identifierar dig i rapporten. Dessutom kan personuppgifter som rör dig behandlas om en annan person har identifierat eller på annat sätt angett information som rör dig i en visselblåsarrapport som denne har gjort.

 

I tillämpliga fall kan information från andra källor användas för att kontrollera att visselblåsarrapporterna är korrekta och om en sådan rapport leder till en utredning kan ytterligare personuppgifter samlas in och behandlas i samband med utredningen. Sådana personuppgifter kan samlas in från allmänt tillgängliga källor eller baseras på information som erhållits från myndigheter eller andra tredje parter inom ramen för tillämpliga lagar och förordningar.

 

6. Vem lämnar vi ut uppgifter till och överför vi uppgifter till länder utanför EU eller EES?

Vi lämnar inte ut dina personuppgifter som behandlas i samband med visselblåsarkanalen till externa parter, förutom att pågående visselblåsarprocesser och tillhörande personuppgifter kan lämnas ut till våra dotterbolag och närstående bolag, eller en senare ägare, delägare eller operatör av tjänsterna och deras rådgivare i samband med en företagsfusion, konsolidering, omstrukturering, försäljning av i stort sett alla våra aktier och/eller tillgångar, eller i samband med konkursförfaranden eller annan företagsreorganisation.

Vi använder underleverantörer för att tillhandahålla visselblåsarkanalen. Underleverantörerna används för att tillhandahålla plattformen för visselblåsning och andra tjänster som krävs för att uppfylla kraven i visselblåsningsdirektivet och dess nationella genomförandelagstiftning. Alla underleverantörer är bundna av adekvata databehandlings- och sekretessavtal och behandlar endast personuppgifter i den utsträckning som krävs för att uppfylla de syften som anges i detta integritetsmeddelande.

Dina personuppgifter kan även delas mellan företagen M-Files , beroende på vilka anställda från vilka juridiska personer som lämnar in en rapport, nämns i en rapport eller ansvarar för att ta emot och hantera rapporten samt tillhörande rutiner i enlighet med M-Files interna riktlinjer.

Om en M-Files eller en enhet utanför EU/EES nämns i en visselblåsaranmälan, eller om en anställd utanför EU/EES utses till ansvarig för hanteringen av anmälan och tillhörande förfaranden, kan personuppgifter som ingår i anmälan komma att behandlas utanför EU/EES. När personuppgifter behandlas utanför EU/EES ser vi till att alla överföringar omfattas av EU-kommissionens standardavtalsklausuler eller av andra lämpliga skyddsåtgärder enligt artikel 46 i GDPR.

7. Hur skyddar vi uppgifterna och hur länge lagrar vi dem?

Endast de av våra anställda som på grund av sin arbetsuppgift har tilldelats ansvaret för att hantera visselblåsningsärenden har behörighet att använda systemet och få tillgång till ärendeakter som innehåller personuppgifter relaterade till visselblåsningsprocessen, och endast i den utsträckning som det aktuella visselblåsningsärendet har fastställts falla inom deras specifika ansvarsområde enligt M-Files interna riktlinjer. Varje användare har ett personligt användarnamn och lösenord till de system som används för att behandla personuppgifter. Uppgifterna lagras i system som skyddas av brandväggar, lösenord och andra tekniska åtgärder. Förutom i situationer där en visselblåsningsrapport skulle leda till ytterligare åtgärder (t.ex. en brottsutredning) kommer alla personuppgifter uteslutande att behandlas med hjälp av sådana system och lagras eller överförs inte någon annanstans, förutom till ansvariga anställda som har tillgång till uppgifterna i systemen för att hantera sina tilldelade ansvarsområden.

De personuppgifter vi samlar in sparas under den period som krävs för att uppfylla de syften som anges i detta integritetsmeddelande, såvida inte en längre lagringsperiod krävs enligt lag eller av oss för att skydda våra juridiska rättigheter. Alla personuppgifter kommer att raderas efter att visselblåsarprocessen i fråga har avslutats, såvida inte ytterligare åtgärder, t.ex. brottsutredning, som kräver fortsatt behandling av uppgifterna är nödvändiga och följer av visselblåsarprocessen.

Vi bedömer regelbundet behovet av datalagring med hänsyn till tillämplig lagstiftning. Dessutom vidtar vi sådana rimliga åtgärder som säkerställer att inga oförenliga, föråldrade eller felaktiga personuppgifter lagras med hänsyn till syftet med behandlingen. Vi korrigerar eller raderar sådana uppgifter utan dröjsmål.

8. Vilka är dina rättigheter som registrerad?

Du har rätt att kontrollera de personuppgifter som finns lagrade om dig och rätt att kräva rättelse eller radering av felaktiga, föråldrade, onödiga och olagliga uppgifter. Du har rätt att begära rättelse av de uppgifter som rör dig och som behandlas i den mån sådana uppgifter skulle vara felaktiga, föråldrade, onödiga eller olagliga. Om du bestrider uppgifternas riktighet eller andra aspekter har du också rätt att begära att behandlingen av dina uppgifter begränsas till dess att ett beslut om huruvida dina uppgifter ska rättas har fattats (dvs. till dess att det har kontrollerats om uppgifterna är felaktiga, föråldrade, onödiga eller olagliga med avseende på visselblåsarprocessen i fråga).

Av skäl som hänför sig till din specifika situation har du också rätt att begära att dina uppgifter raderas.

För att säkerställa integriteten i visselblåsningsprocesserna, det vill säga för att följa visselblåsningsdirektivet och tillämpa nationell lagstiftning, kan det bli nödvändigt att begränsa i vilken utsträckning du som registrerad kan utöva dina rättigheter avseende dina personuppgifter som behandlas inom visselblåsningskanalen. Om sådana situationer uppstår där det skulle vara nödvändigt att begränsa dina rättigheter, kommer M-Files att konsulteras för att göra en bedömning från fall till fall, med beaktande av både dina rättigheter och M-Files juridiska skyldigheter i ärendet, innan ett slutgiltigt beslut om huruvida din begäran ska tillmötesgås eller inte fattas.

Du har också alltid rätt att lämna in ett klagomål till tillsynsmyndigheten.

9. Barns integritet

Våra tjänster riktar sig inte till barn och vi har inte för avsikt att samla in personuppgifter från barn i samband med visselblåsarkanalen. Vi ber dig att inte använda tjänsterna och att inte lämna någon information om dig själv till oss om du är under myndighetsåldern, enligt definitionen i din jurisdiktion, och kräver föräldrars samtycke eller tillstånd för behandling av personuppgifter.

10. Vem kan du komma i kontakt med?

Alla kontakter och förfrågningar rörande detta sekretessmeddelande ska skickas skriftligen till adressen som anges i avsnitt två (2) ”Kontaktinformation för sekretessfrågor”.