Information om personuppgiftsbehandling
Nedan följer information om den personuppgiftsbehandling som sker i samband med vår hantering av visselblåsningsärenden samt dina rättigheter som registrerad.
Personuppgiftsansvarig
Ansvarig för behandlingen av personuppgifter är:
XANO Industri AB, org.nr 556076-2055
Industrigatan 14 B
553 02 JÖNKÖPING
info@xano.se
036 31 22 00
För ytterligare information om vår hantering av personuppgifter, se vår vid var tid gällande Sekretesspolicy.
Ändamål med och laglig grund för behandling
Ändamålet med behandlingen är att kunna uppfylla de lagkrav som ställs på organisationen att tillhandahålla en visselblåsningsfunktion och genomföra den utredning som inkomna ärenden kräver. Ändamålet är också att behandla personuppgifter där det är nödvändigt i samband med uppföljningsärenden. Detta innebär att vi kan behöva behandla personuppgifter för att:
- Hantera rapporterade visselblåsningsärenden.
- Tillvarata organisationens rättigheter och uppfylla dess skyldigheter utifrån de oegentligheter som framkommer i visselblåsningsärenden.
- Uppfylla de lagkrav som ställs på organisationen.
Den lagliga grunden för behandling av personuppgifter i samband med visselblåsningsärenden är som utgångspunkt rättslig förpliktelse enligt 5 kap. 2 § i Lag (2021:890) om skydd för personer som rapporterar om missförhållanden.
Den lagliga grunden för behandling av personuppgifter i samband med uppföljning av visselblåsningsärenden och andra åtgärder som vidtas med anledning av ett inrapporterat ärende är fullgörande av rättslig förpliktelse eller organisationens berättigade intresse av att tillvarata sina rättigheter utifrån misstänkta eller konstaterade oegentligheter.
Kategorier av registrerade
I samband med hantering av visselblåsningsärenden kan behandling av personuppgifter ske avseende följande kategorier av registrerade:
- Den som rapporterar ett ärende, om personen inte väljer att vara anonym.
- Den eller de som förekommer i en rapportering.
- Den som har en administrativ roll att behandla och utreda rapporterade ärenden.
Utlämnande av uppgifter och personuppgiftsbiträden
Uppgifterna kan komma att lämnas ut till myndigheter (t.ex. polismyndighet i de fall visselblåsningsärenden leder till polisanmälan). Uppgifter kan också komma att lämnas ut till andra verksamheter inom vår organisation eller andra bolag inom koncernen i samband med utredning, uppföljning och åtgärdande med anledning av ett visselblåsningsärende.
Behandling i samband med visselblåsningsärenden sker också hos personuppgiftsbiträden. Dessa får enbart agera på våra instruktioner, vilket regleras särskilt i biträdesavtal.
Överföringar till tredje land
Vi strävar efter att inte överföra uppgifter till ett land eller bolag placerat utanför EU/EES och all lagring av personuppgifter som avser innehållet i visselblåsningsärenden sker inom EU/EES på servrar som ägs av bolag inom Sverige.
Inloggningsadministrationen sker genom Microsoft Azure Active Directory. Lagringen sker inom EU/EES men eftersom leverantören är amerikansk finns det en risk att inloggningsrelaterade personuppgifter kan komma att göras tillgängliga för amerikanska myndigheter, vilket kan ha en negativ påverkan på integritetsskyddet eftersom amerikanska myndigheter inte är bundna till att följa GDPR. För det fall överföring till tredje land sker finns det standardavtalsklausuler som skyddsåtgärd. Vänligen kontakta oss för mer information om hur vi skyddar dina personuppgifter.
Lagring och gallring
De personuppgifter som förekommer i ett visselblåsningsärende kommer att sparas i två år från det att ärendet avslutats.
De personuppgifter som förekommer för att hantera administration och behörighet sparas så länge behörigheten gäller.
Om ett ärende kräver fortsatt utredning internt, fortsätter behandlingen av personuppgifter så länge ärendet kräver det.
När lagringstiden löper ut gallras samtliga personuppgifter bort.