Ειδική δήλωση απορρήτου υποβολής αναφορών

ΣΤΟ ΠΛΑΙΣΙΟ ΛΕΙΤΟΥΡΓΙΑΣ ΚΑΝΑΛΙΩΝ ΥΠΟΒΟΛΗΣ ΑΝΑΦΟΡΩΝ

Ποιος είναι υπεύθυνος επεξεργασίας των προσωπικών της δεδομένων;

Η Εταιρεία είναι ο υπεύθυνος επεξεργασίας των προσωπικών δεδομένων (εφεξής Δεδομένων) που συλλέγονται μέσω υφιστάμενων καναλιών υποβολής αναφορών, βάσει της κείμενης νομοθεσίας περί προσωπικών δεδομένων.

Για ποιο σκοπό η Εταιρεία συλλέγει και επεξεργάζεται τα Δεδομένα σας;

Η Εταιρεία έχει θέση σε εφαρμογή κανάλια υποβολής αναφορών στο πλαίσιο της πρόληψης, ανίχνευσης ή διερεύνησης παράτυπων, αντιδεοντολογικών, παράνομων ή αξιόποινων συμπεριφορών εντός της Εταιρείας. Οι αναφορές/καταγγελίες παρατυπίας, παράλειψης ή αξιόποινης πράξης αφορούν -αλλά δεν περιορίζονται- στα ακόλουθα:

  • Κλοπή
  • Απάτη
  • Διαφθορά
  • Δωροδοκία (προσφορά/αποδοχή)
  • Παραβίαση ανθρωπίνων δικαιωμάτων (διαφορετικότητα, διακρίσεις λόγω φύλου, θρησκείας, εθνικότητας κ.λπ.)
  • Κατάχρηση περιουσιακών στοιχείων
  • Πράξεις που θέτουν σε κίνδυνο την υγεία και ασφάλεια των εργαζομένων
  • Πράξεις επιζήμιες προς το περιβάλλον
  • Πράξεις που μπορεί να οδηγήσουν σε παραβίαση της νομοθεσίας για τον ελεύθερο ανταγωνισμό
  • Πράξεις που έρχονται σε σύγκρουση με τα συμφέροντα της Εταιρείας ή/και του Ομίλου
  • Παραβίαση των Πολιτικών και Διαδικασιών της Εταιρείας και των εταιρειών του Ομίλου με κίνδυνο πρόκλησης οικονομικής ζημίας
  • Παραβίαση του νομοθετικού πλαισίου που διέπει την Εταιρεία και τις εταιρίες του Ομίλου της (συμπεριλαμβανομένης της νομοθεσίας που διέπει την προστασία προσώπων που αναφέρουν παραβιάσεις ενωσιακού δικαίου)
  • Άλλη μη ηθική/ανάρμοστη συμπεριφορά (πράξεις που προσβάλλουν τους κανόνες ηθικής και δεοντολογίας του Ομίλου).
  • Περιστατικά βίας και παρενόχλησης
  • Περιστατικά παραβίασης προσωπικών δεδομένων (data breaches)
  • Περιστατικά παραβίασης ασφάλειας πληροφοριών (security incidents)

Ο ανωτέρω κατάλογος δεν είναι εξαντλητικός, αλλά προορίζεται να επεξηγήσει ενδεικτικά το είδος των ζητημάτων.

Εάν οι ανωτέρω πράξεις υπόκεινται σε οποιαδήποτε νομική διαδικασία, η οποία προβλέπεται από την εθνική νομοθεσία, η Διοίκηση της Εταιρείας ή της εκάστοτε εταιρείας του Ομίλου θα αποστέλλει αμελλητί την καταγγελία στην αρμόδια Υπηρεσία/Αρχή προς περαιτέρω διερεύνηση.

Από ποιες πηγές λαμβάνει η Εταιρεία τα Δεδομένα σας;

Η Εταιρεία λαμβάνει τα Δεδομένα που υποβάλλονται με τους παρακάτω τρόπους:

  • Μέσω ηλεκτρονικού ταχυδρομείου στη διεύθυνσηmilisemas@quest.gr. Στην περίπτωση ανώνυμης αναφοράς/καταγγελίας: συνίσταται η χρήση μη εταιρικού email για την υποβολή της καταγγελίας (π.χ. gmail)
  • Μέσω του site της Εταιρείαςwww.quest.gr
  • Μέσω ηλεκτρονικού ταχυδρομείου για τις περιπτώσεις παραβίασης προσωπικών δεδομένων στην διεύθυνση databreach@quest.gr
  • Μέσω ταχυδρομείου στη διεύθυνση της αντίστοιχης εταιρείας του Ομίλου, υπόψη Υπεύθυνου Κανονιστικής Συμμόρφωσης, με την ένδειξη «Εμπιστευτικό» ή αν αφορά σε παραβίαση προσωπικών δεδομένων υπόψη Υπεύθυνου Προστασίας Προσωπικών Δεδομένων ή αν αφορά σε ζητήματα παραβίασης Ασφάλειας Πληροφοριών υπόψη Υπεύθυνου Ασφάλειας Πληροφοριών Ομίλου και Εταιρείας (εφόσον υφίσταται η θέση)
  • Η διαδικασία που ακολουθείται κατά περίπτωση ορίζεται από τα προβλεπόμενα στις σχετικές Πολιτικές και Διαδικασίες της Εταιρείας και του Ομίλου (www.quest.gr)

Επίσης ενδέχεται να λάβει δεδομένα μέσω αναφορών που της διαβιβάζουν οι θυγατρικές εταιρείες του ομίλου, στο βαθμό που μία αναφορά θίγει ζητήματα δημοσίου συμφέροντος ή αφορά άμεσα/έμμεσα στην Εταιρεία. Στο πλαίσιο της διερεύνησης μιας αναφοράς, η Εταιρεία ενδέχεται να συλλέξει περαιτέρω Δεδομένα μέσω της διενέργειας συνεντεύξεων με τα εμπλεκόμενα μέρα, καθώς και από άλλες πηγές, σύμφωνα με όσα ορίζονται στις εσωτερικές της Πολιτικές και Διαδικασίες.

Τι Δεδομένα επεξεργάζεται η Εταιρεία;

Με σκοπό την εξακρίβωση ή μη της βασιμότητας συγκεκριμένης αναφοράς/καταγγελίας και της περαιτέρω διερεύνησης του αναφερόμενου περιστατικού, η Εταιρεία επεξεργάζεται τα Δεδομένα που υποβάλλουν οικειοθελώς οι αναφέροντες, ήτοι ενδεικτικώς και όχι περιοριστικά:

(α) τα γεγονότα που προκάλεσαν την υποψία/ανησυχία, με αναφορά σε ονόματα, ημερομηνίες, έγγραφα, τοποθεσίες και

(β) τον λόγο που οδήγησε στην υποβολή της αναφοράς/καταγγελίας.

Σε καμία περίπτωση δεν αναμένεται η αναφορά/καταγγελία να αποδεικνύει τις ενδεχόμενες ανησυχίες/υποψίες του αναφέροντος, ωστόσο προτρέπεται να αναφέρονται όλες οι διαθέσιμες πληροφορίες, ώστε να διευκολύνεται η διερεύνηση της υπόθεσης

Θα πρέπει να σημειωθεί ότι η Εταιρεία μέσα από τα κανάλια υποβολής αναφορών που θεσμοθετεί δίνει τη δυνατότητα στους αναφέροντες να υποβάλλουν την αναφορά τους είτε επωνύμως είτε ανωνύμως. Οι αναφορές πρέπει να γίνονται «καλή τη πίστει». Η Εταιρεία δεσμεύεται να προστατεύσει τους αναφέροντες, δεδομένου ότι υπέβαλλαν την αναφορά καλή τη πίστει από κάθε διάκριση ή δυσμενή μεταχείριση, τυχόν στοχοποίηση ή πράξη η οποία στοχεύει στην τιμωρία του και προβλέπει δυσμενή επαγγελματική μετακίνηση/μετάθεση ή λύση εργασίας.  Μετά το πέρας της εξέτασης της αναφοράς, δεν προβλέπονται κυρώσεις ή συνέπειες για όσους δεν αποδειχθεί ότι διέπραξαν ή συντέλεσαν έκνομη ενέργεια.

Ποιος έχει πρόσβαση στα Δεδομένα;

Πρόσβαση στα Δεδομένα που περιλαμβάνονται στις αναφορές για τους σκοπούς της εξέτασης ή της διαχείρισης των αναφορών μπορούν να έχουν μόνο όσοι εμπλέκονται στη διαχείριση και διερεύνηση του εκάστοτε περιστατικού και στο βαθμό που απαιτείται.

Ειδικότερα, τα Δεδομένα που περιλαμβάνονται στις αναφορές κοινοποιούνται κατά περίπτωση και ανάλογα τη φύση του περιστατικού και σύμφωνα πάντοτε με τις σχετικές Πολιτικές και Διαδικασίες: στα μέλη της Επιτροπής Αξιολόγησης Αναφορών της Εταιρείας (εάν το περιστατικό αφορά βία/παρενόχληση), στον Υπεύθυνο Κανονιστικής Συμμόρφωσης (υπεύθυνος παραλαβής και παρακολούθησης αναφορών), στον Επικεφαλής Εσωτερικού Ελέγχου (υπεύθυνος διαχείρισης/εξέτασης των αναφορών) στον Υπεύθυνο Προστασίας Δεδομένων, στην Επιτροπή Ελέγχου, στο Διοικητικό Συμβούλιο, σε εξωτερικούς συμβούλους  που δεσμεύονται με ρήτρες εμπιστευτικότητας, δικηγόρους, καθώς και σε δικαστικές ή/και διοικητικές αρχές. 

Επίσης, τα Δεδομένα που περιλαμβάνονται στις αναφορές/καταγγελίες κοινοποιούνται στα άτομα που περιλαμβάνονται στην αναφορά/καταγγελία, στους μάρτυρες και σε οποιονδήποτε άλλο έχει έννομο συμφέρον. Όταν επιτρέπεται η πρόσβαση των Δεδομένων στα άτομα που περιλαμβάνονται στην αναφορά/καταγγελία, αποκρύπτονται τα στοιχεία του καταγγέλλοντος και των μαρτύρων, εκτός αν αυτοί έχουν δώσει ρητή συγκατάθεση, καθώς και αν αποδείχθηκε ότι η αναφορά/καταγγελία ήταν κακόβουλη.

Οι αναφερόμενοι και οι εμπλεκόμενοι στη διαδικασία διερεύνησης της αναφοράς ενημερώνονται για το περιεχόμενο της αναφοράς και για τα σχετικά δικαιώματά τους και την άσκηση τους, σύμφωνα με το ισχύον πλαίσιο. Ωστόσο, η παροχή ενημέρωσης εξετάζεται κατά περίπτωση καθώς ενδέχεται να προκύψουν περιπτώσεις, όπου η ως άνω ενημέρωση μπορεί, ενδεικτικά,  α) να παρακωλύσει τη διερεύνηση της υπόθεσης και να παρεμποδίσει την αξιολόγηση της αναφοράς καθώς και την συλλογή πληροφοριών και στοιχείων που απαιτούνται, ή β) να οδηγήσει άμεσα ή έμμεσα σε ταυτοποίηση των αναφερόντων, ή γ) να οδηγήσει σε αποκάλυψη εμπιστευτικών πληροφοριών οι οποίες λόγω της φύσης τους και ιδίως λόγω των υπέρτερων έννομων συμφερόντων της Εταιρείας, πρέπει να παραμείνουν απόρρητες, ή δ) να παρεμποδίσει την  θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων της Εταιρείας ή/και την τυχόν ποινική διαδικασία. Σε περίπτωση που όσοι περιλαμβάνονται στην αναφορά/καταγγελία δεν ενημερωθούν άμεσα για το περιεχόμενο αυτής, προκειμένου να μην προβούν σε ενέργειες παρακώλυσης της έρευνας, οι λόγοι της σχετικής καθυστέρησης θα πρέπει να αποτυπωθούν εγγράφως και το έγγραφο να καταχωρηθεί στο φάκελο της υπόθεσης.

Tα Δεδομένα που λαμβάνει η ομάδα διαχείρισης καταγγελίας διαβιβάζονται σε τρίτους;

Τα Δεδομένα και γενικά οι πληροφορίες που λαμβάνει η ομάδα διαχείρισης καταγγελίας δεν διαβιβάζονται σε άλλα πρόσωπα ή ομάδες της Εταιρείας ή της εταιρείας του Ομίλου (που αφορά το περιστατικό), εκτός εάν η εν λόγω διαβίβαση θεωρείται απολύτως αναγκαία για τους σκοπούς της περαιτέρω έρευνας της καταγγελίας και αποκλειστικά προς τα απαιτούμενα άτομα στη βάση της αναγκαίας γνώσης.

Πόσο καιρό τηρούνται τα Δεδομένα που εμπεριέχονται σε αναφορά/καταγγελία;

Η Εταιρεία θα τηρεί τα Δεδομένα για συγκεκριμένο χρόνο από την ολοκλήρωση της έρευνας, ο οποίος διαφοροποιείται ανάλογα με το πόρισμα αυτής.  Ειδικότερα:

  • Στην περίπτωση που η αναφορά κριθεί αβάσιμη ή καταχρηστική ή δεν περιέχει περιστατικά που στοιχειοθετούν παραβίαση ή δεν συντρέχουν σοβαρές ενδείξεις παραβίασης, τα Δεδομένα διαγράφονται εντός έξι (6) μηνών από τη θέση της στο αρχείο.
  •  Στην περίπτωση που η αναφορά/καταγγελία ακολουθήσει τη νομική οδό, τα Δεδομένα διαγράφονται με την έκδοση αμετάκλητης δικαστικής απόφασης επί αυτής.
  • Στην περίπτωση που από την αναφορά/καταγγελία προκύψουν τεκμηριωμένα ευρήματα εις βάρος εργαζομένου/στελέχους της Εταιρείας ή εταιρείας του Ομίλου (που αφορά το περιστατικό), τα Δεδομένα διατηρούνται καθ’ όλη τη διάρκεια απασχόλησής του/σχέσης του με την Εταιρεία ή την εταιρεία του Ομίλου και διαγράφονται είκοσι (20) έτη μετά την με οποιονδήποτε τρόπο λήξη/λύση της συνεργασίας.
  • Στην περίπτωση που από την αναφορά/καταγγελία προκύψουν τεκμηριωμένα ευρήματα εις βάρος τρίτου λ.χ. πελάτη, προμηθευτή, εξωτερικού συνεργάτη της Εταιρίας ή της εταιρείας του Ομίλου (που αφορά το περιστατικό), τα Δεδομένα διατηρούνται καθ’ όλη τη διάρκεια της συνεργασίας του και διαγράφονται πέντε (5) έτη μετά την με οποιονδήποτε τρόπο λήξη/λύση της συνεργασίας.

Σε όλες τις περιπτώσεις τηρούνται οι σχετικές Πολιτικές της Εταιρείας για τη διατήρηση και διαγραφή των προσωπικών δεδομένων.

 

Ποια είναι τα δικαιώματα σας σε σχέση με τα προσωπικά σας δεδομένα;

Κάθε φυσικό πρόσωπο τα δεδομένα του οποίου είναι αντικείμενο επεξεργασίας από την Εταιρεία απολαμβάνει τα ακόλουθα δικαιώματα:

Δικαίωμα πρόσβασης:

Έχετε δικαίωμα να έχετε επίγνωση και να επαληθεύετε τη νομιμότητα της επεξεργασίας. Έτσι λοιπόν, έχετε δικαίωμα να έχετε πρόσβαση στα δεδομένα και να λάβετε συμπληρωματικές πληροφορίες σχετικά με την επεξεργασία τους.

Δικαίωμα διόρθωσης:

Έχετε δικαίωμα να μελετήσετε, να διορθώσετε, να επικαιροποιήσετε ή να τροποποιήσετε τα προσωπικά σας δεδομένα.

Δικαίωμα διαγραφής:

Έχετε δικαίωμα να υποβάλετε αίτημα διαγραφής των προσωπικών σας δεδομένων όταν τα  επεξεργαζόμαστε με βάση την συγκατάθεσή σας ή προκειμένου να προστατεύσουμε τα έννομα συμφέροντα της εταιρείας μας. Σε όλες τις υπόλοιπες περιπτώσεις (όπως ενδεικτικά όταν υπάρχει σύμβαση, υποχρέωση επεξεργασίας προσωπικών δεδομένων που επιβάλλεται από το νόμο, δημόσιο συμφέρον), το εν λόγω δικαίωμα υπόκειται σε συγκεκριμένους περιορισμούς ή δεν υφίσταται ανάλογα με την περίπτωση.

Δικαίωμα περιορισμού της επεξεργασίας:

Έχετε δικαίωμα να ζητήσετε περιορισμό της επεξεργασίας των προσωπικών σας δεδομένων στις ακόλουθες περιπτώσεις: (α) όταν αμφισβητείτε την ακρίβεια των προσωπικών δεδομένων και μέχρι να γίνει επαλήθευση, (β) όταν αντιτίθεστε στη διαγραφή προσωπικών δεδομένων και ζητάτε αντί διαγραφής τον περιορισμό της χρήσης αυτών, (γ) όταν τα προσωπικά δεδομένα δεν χρειάζονται για τους σκοπούς επεξεργασίας, σας είναι ωστόσο απαραίτητα για τη θεμελίωση, άσκηση, υποστήριξη νομικών αξιώσεων, και (δ) όταν εναντιώνεστε στην επεξεργασία και μέχρι να γίνει επαλήθευση ότι υπάρχουν νόμιμοι λόγοι που μας αφορούν και υπερισχύουν των λόγων για τους οποίους εναντιώνεστε στην επεξεργασία.

Δικαίωμα εναντίωσης στην επεξεργασία:

Έχετε δικαίωμα να εναντιωθείτε ανά πάσα στιγμή στην επεξεργασία των προσωπικών σας δεδομένων στις περιπτώσεις που, όπως περιγράφεται παραπάνω, αυτή είναι απαραίτητη για σκοπούς εννόμων συμφερόντων που επιδιώκουμε ως υπεύθυνοι επεξεργασίας, καθώς επίσης και στην επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης και κατάρτισης καταναλωτικού προφίλ.

Δικαίωμα στη φορητότητα:

Έχετε δικαίωμα να λάβετε χωρίς χρέωση τα προσωπικά σας δεδομένα σε μορφή που θα σας επιτρέπει να έχετε πρόσβαση σε αυτά, να τα χρησιμοποιήσετε και να τα επεξεργαστείτε με τις κοινώς διαδεδομένες μεθόδους επεξεργασίας. Επίσης, έχετε δικαίωμα να μας ζητήσετε, εφόσον είναι τεχνικά εφικτό, να διαβιβάσουμε τα δεδομένα και απευθείας σε άλλον υπεύθυνο επεξεργασίας. Το δικαίωμα σας αυτό υπάρχει για τα δεδομένα που μας έχετε παράσχει εσείς και η επεξεργασία τους διενεργείται με αυτοματοποιημένα μέσα με βάση της συγκατάθεσή σας ή σε εκτέλεση σχετικής σύμβασης.

Για να ασκήσετε οποιοδήποτε από τα παραπάνω δικαιώματά σας μπορείτε να απευθυνθείτε στο Τμήμα Προστασίας Προσωπικών Δεδομένων (DPO) της  Eταιρείας στα ακόλουθα στοιχεία επικοινωνίας: email: dataprotection@quest.gr. Σε περίπτωση που θέλετε να επικοινωνήσετε με τον Υπεύθυνο Προστασίας Δεδομένων (DPO) email: dpo@quest.gr.

Δικαίωμα Καταγγελίας

Σε περίπτωση που θεωρείτε ότι δεν ικανοποιήσαμε επαρκώς το αίτημά σας και θίγεται κατά οποιονδήποτε τρόπο η προστασία των προσωπικών σας δεδομένων, μπορείτε να υποβάλετε καταγγελία μέσω ειδικής διαδικτυακής πύλης στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Αθήνα, Λεωφόρος Κηφισίας 13, Τ.Κ. 115 23 | τηλ: +30 210 6475600). Αναλυτικές οδηγίες υποβολής καταγγελίας παρέχονται στην ιστοσελίδα της Αρχής.

Τι τεχνικά και οργανωτικά μέτρα εφαρμόζει η Εταιρεία για την προστασία των Δεδομένων;

Η Εταιρεία εφαρμόζει τα απαραίτητα τεχνικά και οργανωτικά μέτρα για να εξασφαλίσει ορισμένο επίπεδο ασφάλειας ανάλογο με τους κινδύνους που υφίστανται λόγω της επεξεργασίας και εν όψει της φύσης των υπό επεξεργασία Δεδομένων, σύμφωνα με τις ισχύουσες πολιτικές και διαδικασίες της Εταιρείας σε σχέση με την επεξεργασία των Δεδομένων και την ασφάλεια των πληροφοριών (όπως πρόσβαση σε πληροφορίες on a need to know basis, δέσμευση του προσωπικού που έχει πρόσβαση με υποχρέωση εμπιστευτικότητας, έλεγχος των δικαιωμάτων πρόσβασης, χρήση κρυπτογράφησης, επίβλεψη εξοπλισμού και υπηρεσιών πληροφορικής σε πλήρη συμμόρφωση με την ισχύουσα νομοθεσία, κλπ).

Που μπορώ να απευθυνθώ για περισσότερες πληροφορίες;

Για περισσότερες πληροφορίες για την επεξεργασία των Δεδομένων σας και τα δικαιώματά σας, παρακαλούμε να ανατρέξετε στη Δήλωση Προστασίας Προσωπικών Δεδομένων στον εξής σύνδεσμο: https://www.quest.gr/politiki-aporitou, στην Πολιτική Διαχείρισης Αναφορών-Καταγγελιών ή να απευθυνθείτε στον Υπεύθυνο Προστασίας Δεδομένων (DPO) στην ηλεκτρονική διεύθυνση dpo@quest.gr