Internes Informationssystem

Das Ziel des vorliegenden Protokolls ist die Einführung eines effektiven Systems für die Verwaltung, Untersuchung und Bearbeitung von Informationen, die von Personen eingebracht werden, die unter den Geltungsbereich desselben fallen, und zwar an die zuvor dafür benannten Personen und Organe, als Folge der Begehung von Handlungen, die gegen die Legalität verstoßen.
Dieses interne System soll ein bevorzugter Weg für die Meldung von Informationen sein und wird effektiv und ohne Risiko von Repressalien behandelt.
Auf diese Weise wird bei BESTILE, S.L. ein verbindlicher, standardisierter Prozess eingeführt, der die durchzuführenden Maßnahmen von dem Zeitpunkt des Eingangs einer Information bis hin zur Sanktionierung der begangenen Rechtsverletzung umfasst, sofern dies der Fall ist. Er beinhaltet auch die Bewertung der Auswirkungen und die Vorschläge für Maßnahmen, die zum Wohle des/der Informanten oder derjenigen Personen umgesetzt werden sollen, die davon betroffen sind, falls dies als notwendig erachtet wird.
Ziel dieses Protokolls ist es, Personen, die über mögliche Repressalien informieren, einen angemessenen Schutz zu bieten und eine Kultur der Information oder Kommunikation als Mechanismus zur Prävention und Aufdeckung von Bedrohungen von Interesse zu fördern.

ÖFFENTLICHER SEKTOR

• Die Generaldirektion des Staates, die Verwaltungen der autonomen Gemeinschaften und Städte mit Autonomiestatus sowie die Einrichtungen, die die lokale Verwaltung bilden.
• Öffentliche Organisationen und Einrichtungen, die mit einer öffentlichen Verwaltung verbunden oder ihr untergeordnet sind, sowie andere Verbände und Körperschaften, an denen öffentliche Verwaltungen und Organisationen beteiligt sind.
• Die unabhängigen Verwaltungsbehörden, die spanische Zentralbank und die Verwaltungsorgane und gemeinsamen Dienstleistungen der Sozialversicherung.
• Öffentliche Universitäten.
• Die Körperschaften des öffentlichen Rechts.
• Die Grundlagen des öffentlichen Sektors.
• Die Handelsgesellschaften, bei denen der direkte oder indirekte Anteil von in den genannten Vorschriften erwähnten Unternehmen am Grundkapital mehr als 50 % beträgt, oder in Fällen, in denen dieser Prozentsatz nicht überschritten wird, es sich jedoch um eine Gruppe von Gesellschaften handelt.
• Die verfassungsmäßigen Organe, die von verfassungsrechtlicher Bedeutung sind, sowie autonome Institutionen, die den vorher genannten ähnlich sind.

PRIVATSEKTOR

• Natürliche oder juristische Personen, die 50 oder mehr Arbeitnehmer beschäftigen.
  Juristische Personen, die unter den Anwendungsbereich der Rechtsakte der Europäischen Union in den Bereichen Dienstleistungen, Finanzprodukte und -märkte, Verhinderung von Geldwäsche oder Terrorismusfinanzierung, Verkehrssicherheit und Umweltschutz fallen, unabhängig von der Anzahl der Beschäftigten.
• Juristische Personen, die in Spanien Aktivitäten über Zweigstellen oder Agenten ausüben oder Dienstleistungen ohne eine dauerhafte Niederlassung anbieten.
• Politische Parteien, Gewerkschaften, Unternehmensverbände und von ihnen gegründete Stiftungen, sofern sie öffentliche Mittel erhalten oder verwalten.

Unternehmensgruppen

Im Falle von Unternehmensgruppen (gemäß Artikel 42 des Handelsgesetzbuchs) sind folgende Aspekte zu berücksichtigen:

• Die herrschende Gesellschaft wird eine allgemeine Richtlinie in Bezug auf das interne Informationssystem verabschieden.
• Die dominierende Gesellschaft wird sicherstellen, dass ihre Prinzipien in allen angeschlossenen Unternehmen angewendet werden, wobei die notwendigen Änderungen oder Anpassungen in jedem einzelnen Unternehmen vorgenommen werden, um die geltenden Vorschriften in jedem Fall einzuhalten.
• Der/Die Verantwortliche/r des Systems kann entweder für die gesamte Gruppe zuständig sein oder eine/r Verantwortliche/r für jede einzelne Gesellschaft, die Teil des Systems ist.
• Das interne Informationssystem kann für die gesamte Gruppe einheitlich sein.
• Der Austausch von Informationen zwischen den verschiedenen Systemverantwortlichen der Gruppe, falls vorhanden, ist zulässig, um eine angemessene Koordination und eine optimale Erfüllung ihrer Aufgaben zu gewährleisten.

Dieses Verfahren, gemäß Artikel 64 des Arbeitnehmerstatuts, muss der rechtlichen Vertretung der Arbeitnehmer mitgeteilt werden, um deren Recht auf Information und Konsultation durch den Arbeitgeber in Bezug auf Angelegenheiten, die sie betreffen könnten, zu gewährleisten.

WOZU KANN MAN SICH INFORMIEREN?

Der Anwendungsbereich umfasst nicht nur Verstöße gegen das europäische Recht, sondern auch gegen das nationale Recht.

Als beispielhafte, nicht abschließende Aufzählung können Verstöße in den folgenden Bereichen gemeldet werden:

• Arbeitsrecht (Belästigung, Datenschutz, Gleichstellung, Diskriminierung)
• Finanzen (Diebstahl, Bestechung, Geldwäsche, Veruntreuung)
• Umwelt (Abfälle, Emissionen, Verschmutzung)
• Verstöße gegen das EU-Recht
• Elfmeter
• Schwere oder sehr schwere administrative Verstöße
• Etc.

WAS BEINHALTET EINE INFORMATION?

Personen, die Mitteilungen vornehmen, dürfen nur diejenigen spezifischen und objektiven Informationen angeben, die erforderlich sind, um festzustellen, ob der Gegenstand ihrer Mitteilung im Hinblick auf die Informationspflicht relevant ist.

In diesem Sinne müssen die Betroffenen, es sei denn, es ist unerlässlich, um den Umfang ihrer Mitteilung zu verstehen, die Weitergabe von persönlichen Daten vermeiden, die die ethnische oder rassische Herkunft, die politischen Ansichten, die religiösen oder philosophischen Überzeugungen, die Gewerkschaftszugehörigkeit sowie biometrische Daten, Gesundheitsdaten oder Daten über das sexuelle Leben oder die sexuellen Orientierungen der betroffenen Person oder des Informanten, anderer betroffener Personen oder Dritter offenlegen.

WAS WIRD GESCHÜTZT?

Informationen und Mitteilungen über Verstöße gegen das Gemeinschaftsrecht, sowie über schwere oder sehr schwere strafrechtliche und verwaltungsrechtliche Verstöße.

WER KANN DAS INFORMATIONSSYSTEM NUTZEN?

In diesem Sinne wird zwischen dem Anwendungsbereich für natürliche Personen, die den Status von Informanten haben, und einem teilweisen Anwendungsbereich für Personen unterschieden, die, ohne Informanten zu sein, entweder durch die Erbringung von Unterstützung oder durch die Zugehörigkeit zu ihrem Umfeld, möglicherweise Repressalien ausgesetzt sind und daher einen gewissen Schutz benötigen.
Als "Informanten" gelten nur natürliche Personen, die im Rahmen ihrer beruflichen oder geschäftlichen Tätigkeit im weitesten Sinne Informationen über Verstöße erhalten haben. Der Schutz erstreckt sich somit auf alle Personen, die berufliche oder geschäftliche Beziehungen zu Einrichtungen des öffentlichen und privaten Sektors haben, sowie auf diejenigen, die ihre berufliche Beziehung bereits beendet haben, oder die als Praktikanten, Freiwillige, in Ausbildung oder im Rahmen eines Praktikums tätig sind, oder sogar Personen, die an Auswahlverfahren teilnehmen; oder auf Mitarbeiter von Auftragnehmern, unter anderem.

WER WIRD GESCHÜTZT?

Personen, die eine Verbindung zur Organisation aufrechterhalten, insbesondere:

• Selbstständige Personen, Aktionäre, Gesellschafter, Mitglieder des Verwaltungs-, Leitungs- oder Aufsichtsorgane eines Unternehmens; Mitarbeiter, Auftragnehmer, Subunternehmer und Lieferanten; mit beendeter oder bevorstehender Beziehung, und sogar Freiwillige, Praktikanten und Auszubildende mit oder ohne Vergütung.
• Natürliche Personen, die dem/der Informanten im Rahmen der Organisation, in der er/sie Dienstleistungen erbringt, bei dem Prozess behilflich sind.
• Physische Personen, die mit dem/der Informanten in Beziehung stehen und die möglicherweise Repressalien erleiden könnten, wie z. B. Kollegen oder Familienangehörige.
• Juristische Personen, für die der/die Informant/in arbeitet oder mit denen er/sie eine andere Art von Beziehung im beruflichen Kontext unterhält oder in denen er/sie eine bedeutende Beteiligung hat.

Das Informationssystem, unabhängig von seiner Verwaltungsform, muss:

• Allen Personen die Möglichkeit geben, Informationen über Verstöße zu melden.
• Es muss sicher konzipiert, eingerichtet und betrieben werden, um die Vertraulichkeit der Identität des/der Informanten und aller darin genannten Dritter zu gewährleisten.
• Die Einreichung von schriftlichen oder mündlichen Mitteilungen, oder von beiden Arten, ist gestattet.
• Die verschiedenen internen Informationskanäle, die innerhalb der Organisation eingerichtet werden können, integrieren.
• Sicherstellen, dass die Kommunikation effektiv abgewickelt werden kann.
  Unabhängig sein und sich von den internen Informationssystemen anderer Einrichtungen oder Organisationen abgrenzen.
• Es ist wichtig, eine verantwortliche Person für das System zu haben.
• Eine Richtlinie oder Strategie, die die allgemeinen Grundsätze im Bereich des internen Informationssystems darlegt.
• Festlegung von Garantien zum Schutz von Informanten.

Sollte das System an Dritte ausgelagert werden, sind angemessene Garantien für die Wahrung der Unabhängigkeit, der Vertraulichkeit, des Datenschutzes und der Geheimhaltung der Kommunikation erforderlich. Das externe Unternehmen, das das interne Informationssystem verwaltet, gilt als Verantwortlicher im Sinne der Datenschutzbestimmungen und unterliegt den Bestimmungen des Artikels 28 der DSGVO.

Falls eine Webseite vorhanden ist, müssen die Informationen über das interne Informationssystem auf der Startseite verfügbar sein, in einem separaten und leicht erkennbaren Abschnitt.

Darüber hinaus muss es die folgenden Informationen enthalten:

• die nutzung aller internen informationskanäle, die implementiert wurden.
• die wesentlichen prinzipien des managementprozesses.

Informanten haben das Recht auf Vertraulichkeit, Schutz vor Repressalien, Anonymität und Information, in Übereinstimmung mit den Bestimmungen dieser Richtlinie.

Es wird das Recht auf vollständige Vertraulichkeit in Bezug auf die Identität der meldenden Person und den vollständigen Inhalt der von ihr gemachten Angaben sowie aller direkt oder indirekt betroffenen Personen gewährleistet, wie in diesem Dokument festgelegt.
Es ist der Organisation untersagt, jegliche Form von Vergeltungsmaßnahmen oder Versuche von Vergeltungsmaßnahmen gegen die meldende Person aufgrund der bereitgestellten Informationen zu ergreifen.

Jede Person, die Informationen meldet, kann ihre Informationen direkt an die unabhängige Behörde für den Schutz von Hinweisgebern (A.A.I.) über ihren offiziellen Kanal (sei es die nationale oder die regionale Behörde) übermitteln. Dies kann direkt oder nach vorheriger Meldung über den internen Unternehmenskanal erfolgen.

1. Der Berufsstand der Architekten (A.A.I.) ist zum Zeitpunkt der Genehmigung dieser internen Richtlinie weder auf nationaler noch auf lokaler Ebene eingerichtet worden.

Während der Bearbeitung des Antrags haben die von der Mitteilung betroffenen Personen das Recht auf Unschuldsvermutung, das Recht auf Verteidigung und das Recht auf Einsicht in den Antrag, gemäß den in diesem Gesetz geregelten Bestimmungen, sowie den gleichen Schutz, der für Informanten gilt. Dabei wird ihre Identität geschützt und die Vertraulichkeit der Fakten und Daten des Verfahrens gewährleistet.
Die betroffenen Personen genießen alle gesetzlich anerkannten Rechte und Grundsicherungen, darunter:

• Recht auf Unschuldsvermutung.
• Recht auf Verteidigung während des Verfahrens.
• Recht auf Einsicht in die Akte, mit den Einschränkungen, die das Gesetz festlegt.

Das Verwaltungs- oder Leitungsorgan jeder Organisation, ob öffentlich oder privat, ist für die Implementierung des internen Informationssystems verantwortlich, nach Rücksprache mit der gesetzlichen Vertretung der Arbeitnehmer. Es ist außerdem für die Verarbeitung personenbezogener Daten verantwortlich. Darüber hinaus müssen die Organisationen eine/n Verantwortliche/n für das interne Informationssystem benennen, der/die eine Person oder ein Kollegialorgan sein kann. Die Ernennung, Abberufung oder Beendigung des Mandats dieser Person muss von dem Verwaltungs- oder Leitungsorgan der Organisation abhängig sein. Diese Aufgabe kann von der Person wahrgenommen werden, die für die Einhaltung der Vorschriften zuständig ist, sofern diese eine leitende Position innehat, im privaten Sektor, und in jedem Fall muss es sich um eine Person mit Unabhängigkeit und Autonomie handeln.
Die Ernennung, Beendigung oder Abberufung der/des Verantwortlichen/n wird schriftlich formalisiert.

Die Nutzung des internen Informationssystems muss verantwortungsvoll und mit dem Zweck erfolgen, für den es vorgesehen ist. Daher ist die Nutzung dieses Kommunikationskanals für andere Zwecke als die in diesem Dokument festgelegten nicht gestattet. Darüber hinaus können disziplinarische Maßnahmen gegen diejenigen ergriffen werden, die es missbräuchlich nutzen.

Um das Recht auf Verteidigung der betroffenen Person zu gewährleisten, hat diese Zugang zu den Akten, ohne dass Informationen preisgegeben werden, die die identität der meldenden Person verraten könnten. Die betroffene Person kann jederzeit angehört werden und wird über die Möglichkeit informiert, sich mit einem Anwalt vertreten zu lassen.

Mindestens einmal jährlich wird der/die Verantwortliche des Systems die Wirksamkeit des Protokolls bewerten, seine Übereinstimmung mit den geltenden Vorschriften überprüfen und den Inhalt bei Bedarf aktualisieren, wobei dies in der Versionskontrolle des vorliegenden Dokuments dokumentiert wird. Die Bewertung kann beispielsweise durch anonyme Fragebögen erfolgen, die das Wissen, die Nutzung und die Zufriedenheit mit dem Kanal messen. Die Geschäftsleitung des Unternehmens genehmigt diese Richtlinie, und der/die Verantwortliche des Systems ist für deren sorgfältige Umsetzung verantwortlich.

Im Folgenden wird das interne Verfahren beschrieben: Meldung, Analyse, Untersuchung und Lösung.

INNERER KANAL

Die folgenden Kommunikationsmittel sind erlaubt:

• Schriftlich, per Post an die Adresse CAMINO AZAGADOR DE LA TORRETA, 5., 12110, Alcora, Castellón, und an die/den Verantwortliche/n des Systems.
• Über elektronische Wege. Über den Link und/oder die E-Mail-Adresse, die auf der Website der
  Organisation im Abschnitt "Ethischer Kanal" angegeben sind.
• Mündlich, telefonisch oder über ein Sprachnachrichtensystem, über die auf der Webseite der Organisation unter dem Abschnitt "Ethikkanal" angegebene Nummer.
• Durch ein persönliches Treffen, auf Wunsch des/der Informanten/in, wird der/die Verantwortliche des Systems informiert. Dies erfolgt nach vorheriger Terminvereinbarung über die auf der Webseite im Abschnitt "Ethikkanal" angegebenen Wege.
  Für mündliche Mitteilungen oder persönliche Treffen werden folgende Dokumentationen erstellt, vorausgesetzt, der/die Informant/in gibt sein/ihr Einverständnis:
  Im Falle von mündlichen Mitteilungen oder persönlichen Treffen werden folgende Dokumentationen erstellt, vorausgesetzt, der/die Informant/in gibt sein/ihr Einverständnis:
• Durch eine Aufzeichnung des Gesprächs in einem sicheren, langlebigen und zugänglichen Format.
• Entweder durch eine vollständige und exakte Transkription des Gesprächs, die von den zuständigen Mitarbeitern erstellt wurde.
  In jedem Fall wird dem/der Informanten die Möglichkeit geboten, die Transkription des Gesprächs zu überprüfen, zu korrigieren und durch seine/ihre Unterschrift zu bestätigen.

EXTERNER KANAL

In jedem Fall kann die meldende Person den externen Kanal der unabhängigen Behörde für den Schutz von Hinweisgebern (A.A.I.) oder, falls zutreffend, die zuständigen Behörden oder Organe der autonomen Gemeinschaften kontaktieren.

ÖFFENTLICHE ENTHÜLLUNG

Unter öffentliche Enthüllung versteht man die Bereitstellung von Informationen über Handlungen oder Unterlassungen für die Öffentlichkeit.
Wenn interne oder externe Kanäle nicht funktioniert haben, entweder weil der/die Informant sie ohne Ergebnis genutzt hat, oder wenn eine unmittelbare Bedrohung für das öffentliche Interesse besteht, oder wenn die Gefahr von Repressalien oder einer nicht effektiven Bearbeitung besteht, kann der/die Informant den Weg der öffentlichen Enthüllung nutzen, d.h. Webplattformen, soziale Medien, Medien oder ähnliche Kanäle nutzen, um seine/ihre Informationen bekannt zu machen.

Wenn die Organisation Kenntnis von Informationen hat, die über eine öffentliche Bekanntmachung bekannt gegeben wurden, unterliegt sie ebenfalls den Verpflichtungen und Anforderungen dieser Richtlinie sowie der Durchführung ihrer Phasen.

Der Verantwortliche des Systems, d.h. die natürliche Person, die für die Verwaltung des internen Informationssystems zuständig ist, übt seine Aufgaben unter den Grundsätzen der Vertraulichkeit, Vollständigkeit, des Respekts und der Würde während des gesamten Verfahrens aus.

ERNENNUNG, ABBERUF ODER BEENDIGUNG

Seine Ernennung, Entlassung oder Beendigung der Tätigkeit muss von dem Verwaltungs- oder Regierungsorgan der Organisation abhängen und schriftlich erfolgen. Sowohl die Ernennung als auch die Beendigung der Tätigkeit der einzeln benannten Person müssen der unabhängigen Behörde für den Schutz von Hinweisgebern, A.A.I., oder, falls zutreffend, den zuständigen Behörden oder Organen der autonomen Gemeinschaften im Rahmen ihrer jeweiligen Zuständigkeiten innerhalb von zehn Werktagen mitgeteilt werden, wobei im Falle der Beendigung der Tätigkeit die Gründe für diese mitzuteilen sind.

Die Unregelmäßigkeiten müssen mit den verfügbaren Informationen darüber gemeldet werden. Eine Mindestliste der erforderlichen Informationen, die vom Antragsteller bereitgestellt werden müssen, könnte Folgendes umfassen:

• Informationen zu folgendem Thema
• Betroffene Person(en)
• Datum und Ort des Vorfalls (wann er stattfand)

Ebenso müssen den Informationen alle Beweismittel beigefügt werden, die dem/der Informanten vorliegen.

Es muss ein Register über die erhaltenen informationen und über die internen untersuchungen
vorliegen, die dazu geführt haben, wobei die anforderungen an die vertraulichkeit jederzeit zu gewährleisten sind.
Dieses Register ist vertraulich und kann nur auf begründete Anfrage der zuständigen Gerichtsbehörde im Rahmen eines Gerichtsverfahrens zur Verfügung gestellt werden, wobei auf den Inhalt des Registers ganz oder teilweise zugegriffen werden kann. Die personenbezogenen Daten, die sich auf die erhaltenen Informationen und die internen Untersuchungen in diesem Register beziehen, werden nur für den Zeitraum aufbewahrt, der zur Erfüllung dieser Gesetzesbestimmung erforderlich ist. Unter keinen Umständen dürfen die Daten für einen Zeitraum von mehr als zehn jahren.

Die Schutzmaßnahmen für Hinweisgeber werden unter folgenden Umständen ergriffen:

• Sie müssen berechtigte Gründe haben, um zu glauben, dass die betreffenden Informationen zum Zeitpunkt der Kommunikation oder Offenlegung wahr sind, auch wenn sie keine schlüssigen Beweise vorlegen, und dass die genannten Informationen in den Geltungsbereich dieses internen Informationssystems fallen.
• Die öffentliche Bekanntmachung erfolgte im Rahmen der von diesem Gesetz festgelegten Parameter.

Für ihren Teil sind Informanten, die Informationen mitteilen oder preisgeben, von dem Schutz ausgeschlossen:

• Informationen, die in abgelehnten Mitteilungen enthalten sind.
• Informationen, die sich auf Beschwerden über zwischenmenschliche Konflikte beziehen oder die ausschließlich den/die Informanten und die Personen betreffen, auf die sich die Kommunikation oder Offenlegung bezieht.
• Informationen, die bereits vollständig öffentlich zugänglich sind oder die lediglich Gerüchte darstellen.

VERBOT VON VERGELTUNGEN

Jegliche Handlungen, die als Vergeltungsmaßnahmen angesehen werden, sind ausdrücklich verboten.dies umfasst auch drohungen mit vergeltungsmaßnahmen und versuche von vergeltungsmaßnahmen gegen personen, die eine meldung über das interne system einreichen.

Unter Repressalien versteht man jegliche Handlungen oder Unterlassungen, die durch das Gesetz verboten sind, oder die, direkt oder indirekt, eine ungünstige Behandlung darstellen, die die Personen, die darunter leiden, im Vergleich zu anderen im beruflichen oder professionellen Kontext in eine besondere Benachteiligung bringt, und zwar allein aufgrund ihres Status als Informanten oder weil sie eine öffentliche Offenlegung vorgenommen haben. Einige Beispiele, lediglich zur Veranschaulichung, wären:

• Suspendierung des Arbeitsvertrags, Kündigung oder Beendigung des Arbeitsverhältnisses oder des Dienstverhältnisses, einschließlich Nichtverlängerung oder vorzeitige Beendigung eines befristeten Arbeitsvertrags nach Ablauf der Probezeit, oder vorzeitige Beendigung oder Annullierung von Verträgen über Waren oder Dienstleistungen, Verhängung jeglicher disziplinarischer Maßnahmen, Herabstufung oder Verweigerung von Beförderungen und jede andere wesentliche Änderung der Arbeitsbedingungen sowie die Nichtumwandlung eines befristeten Arbeitsvertrags in einen unbefristeten Vertrag, falls der/die Arbeitnehmer/in berechtigte Erwartungen hatte, dass ihm/ihr ein unbefristeter Arbeitsplatz angeboten würde.
• Schäden, einschließlich solcher, die den Ruf betreffen, oder wirtschaftliche Verluste, Nötigungen, Einschüchterungen, Belästigungen oder Ausgrenzung.
• Negative Bewertungen oder Referenzen bezüglich der beruflichen oder fachlichen Leistung.
• Eintragung in Sperrlisten oder Verbreitung von Informationen innerhalb eines bestimmten Sektors, die den Zugang zu Arbeitsplätzen oder die Vergabe von Aufträgen oder Dienstleistungen erschweren oder verhindern.
• Verweigerung oder Annullierung einer Lizenz oder Genehmigung.
• Ablehnung der Schulung.
• Diskriminierung, ungerechte oder ungünstige Behandlung.

Während der Bearbeitung des Antrags haben die Personen, die von der Mitteilung betroffen sind, Anspruch auf die Unschuldsvermutung, das Recht auf Verteidigung und das Recht auf Einsicht in den Antrag gemäß den in dieser Richtlinie festgelegten Bestimmungen, sowie auf den gleichen Schutz, der für Hinweisgeber gilt. Dabei wird ihre Identität geschützt und die Vertraulichkeit der Fakten und Daten des Verfahrens gewährleistet.

UNTERSTÜTZUNGSMASSNAHMEN

Ebenso sind bestimmte Unterstützungsmaßnahmen vorgesehen, auf die die InformantenZugang haben können, wie z. B. öffentliche und kostenlose Beratung zu Verfahren und verfügbaren Ressourcen, effektive Unterstützung durch die Behörden in Bezug auf den Schutz vor Repressalien oder, falls erforderlich, finanzielle oder psychologische Unterstützung.

EMPFANG UND VORLÄUFIGE ANALYSE DER INFORMATIONEN

Nachdem die Informationen empfangen wurden, werden diese registriert, und innerhalb von sieben Werktagen wird eine Bestätigung des Eingangs an die Person gesendet, die die Informationen bereitgestellt hat, es sei denn, diese hat ausdrücklich angegeben, dass sie keine Mitteilungen im Zusammenhang mit der Untersuchung erhalten möchte.

Im Folgenden wird die Analyse durchgeführt. Diese kann dazu führen, dass die Datei gespeichert wird oder dass ein Verfahren eingeleitet wird, wenn aus den Informationen Anzeichen für eine Straftat, eine Nichteinhaltung der Straf- und/oder Verwaltungsbestimmungen oder der internen Vorschriften der Organisation hervorgehen.

PHASE DER DATENERFASSUNG ODER -AUFNAHME

Die Entscheidung über die Archivierung oder Annahme wird nicht mehr als zehn Werktage dauern.
Wenn sich herausstellt, dass die Informationen unbegründet sind, außerhalb des Anwendungsbereichs des Kanals liegen oder wenn es keine ausreichenden Anhaltspunkte dafür gibt, dass es sich um eine Unregelmäßigkeit oder eine Handlung handelt, die gegen den Ethikkodex, die Regeln und die internen Richtlinien der Organisation oder gegen die Nichteinhaltung eines Gesetzes, einer Verordnung oder eines Reglements verstößt, wird der Verantwortliche des Systems die Informationen archivieren und die informierende Person innerhalb von fünf Werktagen nach der Entscheidung benachrichtigen, es sei denn, die informierende Person hat ausdrücklich angegeben, dass sie keine Mitteilungen über die Untersuchung erhalten möchte. Die personenbezogenen Daten, die in den Informationen enthalten sein können, werden gemäß den Datenschutzbestimmungen aus dem Kanal gelöscht oder anonymisiert.
Wenn sich aus den Informationen Anhaltspunkte für ihre Begründetheit ergeben, wird die Information angenommen und der Verantwortliche des Systems die informierende Person innerhalb von fünf Werktagen nach der Entscheidung darüber informieren, es sei denn, die informierende Person hat ausdrücklich angegeben, dass sie keine Mitteilungen über die Untersuchung erhalten möchte. Ebenfalls innerhalb derselben Frist werden die betroffenen Personen über Folgendes informiert:

• Die berichteten Fakten, kurz zusammengefasst.
• Sein Recht, Einwände zu erheben.
• Und von seinem Recht auf den Schutz seiner Daten.

Unter keinen Umständen werden die betroffenen Personen über die Identität des Informanten informiert oder erhalten sie Zugang zu der Mitteilung über die Informationen.

INSTRUKTIONS PHASE

Nach der Entgegennahme der Informationen und während der Bearbeitung des Verfahrens kann die Organisation, von sich aus oder auf Anfrage des Verantwortlichen für das System, die geeigneten vorsorglichen Maßnahmen ergreifen, um die sofortige Beendigung der festgestellten Nichteinhaltung der Vorschriften zu erreichen. Die Einführung solcher Maßnahmen muss schriftlich vereinbart werden.

In diesem Dokument werden detailliert folgende Punkte erläutert:

• Die Gründe und Bedürfnisse, die zur Einführung von einstweiligen Maßnahmen führen.
• Die Dauer dieser Maßnahmen.
• Die Identifizierung der konkreten Maßnahmen, die ergriffen werden,
• Eine Verhältnissprüfung zwischen den ergriffenen Maßnahmen und den damit verfolgten Zielen.

Die Anordnung von einstweiligen Maßnahmen ist eine Ausnahme und es wird stets die mildeste Maßnahme unter den wirksamsten, notwendigen und nützlichen Maßnahmen bevorzugt, um die angestrebten Ziele zu erreichen.

Unter Wahrung der erforderlichen Transparenz- und Vertraulichkeitsmaßnahmen wird, sobald bestätigt ist, dass die Informationen die von der Vorschrift geforderten Anforderungen erfüllen, das Untersuchungverfahren eingeleitet. Die maximale Dauer dieses Verfahrens beträgt 3 Monate ab dem Zeitpunkt des Eingangs und der Bestätigung der Mitteilung an die meldende Person. Selbst wenn keine Empfangsbestätigung gesendet wurde, weil die meldende Person selbst beschlossen hat, keine Mitteilungen zu erhalten, kann die Untersuchung auf sechs Monate verlängert werden, wenn dies aufgrund spezifischer Umstände des Einzelfalls erforderlich ist, insbesondere aufgrund der Art und Komplexität des Gegenstands der Information, die eine längere Untersuchung rechtfertigen könnten.
Während dieser Zeit wird die für das System verantwortliche Person die notwendigen Tests durchführen, um eine effektive Untersuchung der Fakten zu gewährleisten (Befragungen von Beteiligten, Anforderung von Dokumenten, Einholung von Informationen von anderen Personen oder von externen Quellen usw.).
Während des Untersuchungsverfahrens wird die betroffene Person über die Mitteilung informiert, wobei die Fakten kurz zusammengefasst werden. Die betroffene Person hat Zugang zu den Akten, ohne dass Informationen preisgegeben werden, die die meldende Person identifizieren könnten.
Im Rahmen der Untersuchung und wann immer möglich, kann ein Gespräch mit der betroffenen Person geführt werden. Dabei wird, unter strikter Wahrung der Unschuldsvermutung, die betroffene Person gebeten, ihre Sicht der Dinge darzulegen und alle Beweismittel vorzulegen, die sie für angemessen und relevant hält. Um das Recht der betroffenen Person auf Verteidigung zu gewährleisten, hat diese Zugang zu den Akten, ohne dass Informationen preisgegeben werden, die die meldende Person identifizieren könnten. Die betroffene Person kann jederzeit angehört werden.
Die für das interne System verantwortliche Person hat die notwendigen Befugnisse, sich an jede Abteilung oder Person innerhalb der Organisation zu wenden, um deren fachliche Unterstützung anzufordern und die erforderlichen Informationen oder Dokumente zu erhalten.

Der Untersuchungsprozess wird mit größter Sorgfalt durchgeführt, um die Richtigkeit der Fakten zu überprüfen, wobei die Unschuldsvermutung, das Recht auf Privatsphäre und die anderen Rechte der betroffenen Personen respektiert werden.
Alle am Verfahren beteiligten Personen sind verpflichtet, Stillschweigen über die Informationen zu wahren, die ihnen im Rahmen dieser Tätigkeit bekannt werden.

PHASE DER LÖSUNG UND DER MASSNAHMEN

Nach Abschluss der Untersuchung wird ein entsprechend begründeter Ermittlungsbericht erstellt, in dem dem Leitungsorgan der Organisation eine der folgenden Empfehlungen vorgeschlagen wird:

• Die Akte der Informationen wird geschlossen, wenn festgestellt wird, dass keine Verletzung der Vorschriften vorliegt. Die Parteien müssen über diesen Umstand informiert werden, und das Verfahren wird geschlossen.
• Die korrigierenden oder sanktionierenden Maßnahmen, die angebracht sind, falls die Nichteinhaltung der Vorschriften nachgewiesen wird. Diese Maßnahmen können, abhängig vom Ergebnis der Untersuchung und des eingeleiteten Verfahrens, die Verhängung einer Sanktion gemäß den internen Richtlinien der Organisation (Ethikcode, Compliance-Handbuch, interne Vorschriften usw.) oder die Weiterleitung der Fakten an das Gericht oder die Staatsanwaltschaft aufgrund ihres strafrechtlichen Charakters umfassen. Darüber hinaus können, falls erforderlich, präventive Maßnahmen ergriffen werden, um zu verhindern, dass ähnliche Verstöße erneut auftreten.

Darüber hinaus muss der erstellte Bericht mindestens die folgenden Punkte enthalten:

• Eine Darstellung der geschilderten Ereignisse zusammen mit dem Datum der Aufzeichnung.
• Die Klassifizierung der Kommunikation dient dazu, ihre Priorität bei der Bearbeitung zu bestimmen.
• Die durchgeführten Maßnahmen zur Überprüfung der Glaubwürdigkeit der Ereignisse.
• Die in der Untersuchung gewonnenen Erkenntnisse sowie die Bewertung der durchgeführten Maßnahmen und der sie stützenden Beweise.

In den Fällen, in denen eine Organisation die der Justiz gemeldeten und untersuchten Sachverhalte mitteilt, stellt sie den zuständigen Gerichten den vollständigen Aktenordner zur Verfügung, der sich aus der Untersuchung ergibt, einschließlich aller im Rahmen der Untersuchung gewonnenen Beweismittel.

Ebenso wird die Organisation im Falle der Einleitung des entsprechenden Gerichtsverfahrens vollumfängliche Unterstützung der zuständigen Gerichtsbehörde leisten, um die ordnungsgemäße und angemessene Untersuchung und Aufklärung der Fakten zu gewährleisten.

Unabhängig von der Entscheidung, die in Bezug auf die Beendigung der Untersuchung getroffen wird, muss diese Entscheidung im entsprechenden Aktenverzeichnis dokumentiert werden.

Diese Phase, die als Abschluss der vorherigen Phase 3 betrachtet wird, wird innerhalb des Zeitrahmens von 3 Monaten (Phase 3 und 4 zusammen) durchgeführt.

Im Folgenden werden die datenschutzrechtlichen Aspekte gemäß den folgenden gesetzlichen Bestimmungen beschrieben:

• Verordnung (EU) 2016/679 zur allgemeinen Datenschutzverordnung (DSGVO).
• Organisches Gesetz 3/2018 vom 5. Dezember über den Schutz personenbezogener Daten und die Gewährleistung der digitalen Rechte (LOPDGDD).
• Organisches Gesetz 7/2021 vom 26. Mai über den Schutz personenbezogener Daten, die für Zwecke der Prävention, Aufdeckung, Untersuchung und Verfolgung von Straftaten sowie der Vollstreckung von Strafen verarbeitet werden.

RECHTLICHKEIT DER BEHANDLUNG

Wenn die Einführung eines internen Informationssystems verpflichtend ist, wird davon ausgegangen, dass die Verarbeitung im Einklang mit einer geltenden gesetzlichen Verpflichtung zulässig ist6. Wenn die Verpflichtung nicht gesetzlich vorgeschrieben ist oder nicht durch eine öffentliche Bekanntmachung erfolgt, ist die Datenverarbeitung durch die Erfüllung einer im öffentlichen Interesse durchgeführten Aufgabe oder durch die Ausübung von öffentlichen Befugnissen, die dem Verantwortlichen übertragen wurden, zulässig7.

Ebenso gilt bei der Kommunikation von Daten innerhalb der Organisation, stets vertraulich und an autorisierte Personen, diese Kommunikation als zulässig, basierend auf normativen Kriterien.
Wenn Daten der besonderen Kategorie aus Gründen eines wesentlichen öffentlichen Interesses verarbeitet werden, ist diese Verarbeitung gemäß Artikel 9.2.g) der DSGVO zulässig.

TRANSPARENZ UND INFORMATION

Die Informanten, die diesen Kanal nutzen, müssen gemäß Artikel 13 der DSGVO und Artikel 11 des Gesetzes über den Schutz personenbezogener Daten informiert werden.
Die Informanten und diejenigen, die eine öffentliche Offenlegung vornehmen, werden darüber hinaus ausdrücklich darüber informiert, dass ihre Identität in jedem Fall vertraulich behandelt wird und dass sie nicht an die Personen weitergegeben wird, auf die sich die dargelegten Fakten beziehen, noch an Dritte.
Die Personen, auf die sich die dargelegten Fakten beziehen, werden in keinem Fall über die Identität des Informanten informiert.
Ebenso müssen die Mitarbeiter und Dritten über die Verarbeitung personenbezogener Daten im Rahmen der Informationssysteme informiert werden.

Im Falle von Mitarbeitern müssen diese zuvor über die Existenz dieser Systeme und über die Verarbeitung der Daten informiert worden sein, die mit der Erstellung einer Mitteilung verbunden sind. Die Informationen können auf verschiedenen Wegen bereitgestellt werden:

• Direkt im Arbeitsvertrag.
• Individuell oder gemeinsam bei der Implementierung oder Modifikation des Systems.
• Durch Informationsschreiben an das Personal und seine Vertretung wird über die Existenz und den Zweck einer Datenverarbeitung im Zusammenhang mit diesen Postfächern oder internen Informationssystemen informiert.

RECHTE DER BETROFFENEN PERSONEN

Interessierte Personen können ihre Rechte im Bereich des Datenschutzes geltend machen. Wenn die Personen, auf die sich die beschriebenen Sachverhalte beziehen, jedoch das Recht auf Widerspruch ausüben, wird davon ausgegangen, dass, es sei denn, das Gegenteil wird bewiesen, triftige und berechtigte Gründe vorliegen, die die Verarbeitung ihrer persönlichen Daten rechtfertigen.

DATENZUGRIFF

Der Zugriff auf die Daten, die im internen Informationssystem enthalten sind, ist ausschließlich folgenden Personen gestattet:

• Der/Die Verantwortliche/r für das System und die Person, die es direkt verwaltet.
• Die zuständige Person im Bereich Personalwesen oder das ordnungsgemäß benannte Gremium, nur wenn disziplinarische Maßnahmen gegen einen Mitarbeiter in Betracht gezogen werden könnten.
• Der/Die für die Rechtsdienstleistungen der Organisation zuständige Mitarbeiter/in, falls rechtliche Maßnahmen im Zusammenhang mit den in der Mitteilung geschilderten Ereignissen erforderlich sind.
• Die für die Behandlung zuständigen Personen (falls für dieses Verfahren welche vorhanden sind).
• Der/die Datenschutzbeauftragte (falls intern ernannt).

Der Zugriff auf die Daten durch Personen, die nicht zu den vorher genannten gehören, ist nur dann zulässig, wenn dies zur Durchführung von Korrekturmaßnahmen innerhalb der Organisation oder zur Bearbeitung von Straf- oder Strafverfahren erforderlich ist, sofern dies der Fall ist.

DATENMINIMIERUNG

Es werden keine personenbezogenen Daten erhoben, deren Relevanz für die Verarbeitung einer bestimmten Information nicht offensichtlich ist. Sollten solche Daten versehentlich erhoben werden, werden sie unverzüglich und ohne unnötige Verzögerung gelöscht.

Unter keinen Umständen werden personenbezogene Daten, die nicht für die Kenntnis und Untersuchung von Handlungen oder Unterlassungen erforderlich sind, verarbeitet. In diesem Fall werden sie unverzüglich gelöscht. Ebenso werden alle personenbezogenen Daten gelöscht, die möglicherweise weitergegeben wurden und sich auf Verhaltensweisen beziehen, die nicht im Anwendungsbereich des Gesetzes liegen.

BESCHWERTE DATEN

Wenn die empfangenen Informationen personenbezogene Daten enthalten, die zu den besonderen Kategorien von Daten gehören, werden diese unverzüglich gelöscht, und es erfolgt keine Speicherung oder Verarbeitung derselben.

DATENSCHUTZ

Die Daten, die Gegenstand der Verarbeitung sind, dürfen im Informationssystem nur so lange gespeichert werden, wie unbedingt erforderlich, um über die Zulässigkeit der Einleitung einer Untersuchung zu den gemeldeten Tatsachen zu entscheiden.

Sollte festgestellt werden, dass die bereitgestellten Informationen oder Teile davon nicht korrekt sind, müssen diese unverzüglich gelöscht werden, sobald Kenntnis von dieser Umstand vorliegt, es sei denn, dass diese Falschinformation einen Straftatbestand darstellen könnte. In diesem Fall wird die Information für die Dauer aufbewahrt, die für die Durchführung des Gerichtsverfahrens erforderlich ist.

In jedem Fall, wenn drei Monate seit dem Erhalt der Mitteilung vergangen sind, ohne dass Ermittlungsmaßnahmen eingeleitet wurden, muss die Mitteilung gelöscht werden, es sei denn, der Zweck der Aufbewahrung besteht darin, einen Nachweis für die Funktionsweise des Systems zu liefern.

Kommunikationen, die nicht bearbeitet wurden, dürfen nur in anonymisierter Form gespeichert werden, wobei die Verpflichtung zur Sperrung gemäß den Datenschutzbestimmungen nicht greift.

VERTRAULICHKEIT

Die Identität der Person oder Personen, die den Bericht erstattet, wird nicht an Dritte weitergegeben.
Die Informationssysteme, sowohl interne als auch externe, dürfen keine Daten erfassen, die die Identifizierung des/der Informanten ermöglichen.

Darüber hinaus müssen diese Systeme über geeignete technische und organisatorische Maßnahmen verfügen, um die Identität zu schützen und die Vertraulichkeit der Daten zu gewährleisten, die sich auf die betroffene/n Person/en und auf Dritte beziehen, die in den bereitgestellten Informationen erwähnt werden, insbesondere die Identität des/der Informanten, falls diese identifiziert wurde.

Die Identität des/der Informanten darf nur der Justizbehörde, der Staatsanwaltschaft oder der zuständigen Verwaltungsbehörde im Rahmen einer Straf-, Disziplinar- oder Sanktionsuntersuchung mitgeteilt werden. In diesen Fällen wird die informierende Person vor der Offenlegung ihrer Identität informiert, es sei denn, diese Information könnte die Untersuchung oder das Gerichtsverfahren gefährden.

PROTOKOLL DER BEHANDLUNGSMASSNAHMEN

Die Verarbeitung personenbezogener Daten, die durch das interne Informationssystem erfolgt, erfordert die Erstellung eines Protokolls über die Verarbeitungstätigkeiten. Dieses Protokoll muss mindestens Folgendes enthalten:

• Die Ziele der Behandlung.
• Eine Beschreibung der Interessengruppen und der Kategorien personenbezogener Daten.
• Die Kategorien von Empfängern, an die personenbezogene Daten mitgeteilt wurden oder mitgeteilt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen.
• In Ihrem Fall bezieht sich dies auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, einschließlich der entsprechenden Schutzmaßnahmen.
• Wo immer möglich, sind die voraussichtlichen Fristen für die Löschung der verschiedenen Datentypen angegeben.
• Wo immer möglich, eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen.

RISIKOANALYSE

Die Verarbeitung personenbezogener Daten, die über das interne Informationssystem erfolgt, erfordert eine Analyse der Bedrohungen, denen sie im Bereich des Datenschutzes ausgesetzt sein kann, durch eine Risikobewertung.

Basierend auf allen in dieser Richtlinie dargelegten Punkte, werden im Folgenden die verschiedenen Kontrollpunkte zur Umsetzung der Verpflichtungen dieses Gesetzes beschrieben.

ÜBER DIE PERSON, DIE FÜR DAS SYSTEM VERANTWORTLICH IST:

• Er muss offiziell ernannt werden, seine Aufgaben und Pflichten kennen und das interne Informationssystem gewissenhaft und verantwortungsbewusst verwalten.
• Ebenso muss ihre Entlassung oder Beendigung des Arbeitsverhältnisses formal erfolgen.

ÜBER DAS SYSTEMDESIGN IM WEB:

• Es muss ein spezifischer Abschnitt erstellt werden. Zum Beispiel: "Internes Informationssystem".
• Dieser neue Webbereich muss die folgenden Informationsanforderungen enthalten:
  Eine Richtlinie oder Strategie, die die allgemeinen Grundsätze im Bereich des internen Informationssystems darlegt.
  Die Nutzung aller internen Informationskanäle, die Sie implementiert haben.
  Die wesentlichen Prinzipien des Managementverfahrens.

Das auf der Webseite implementierte System muss bestimmte technische Anforderungen erfüllen, um die Interessen des/der Informanten, der betroffenen Personen sowie der Organisation selbst zu schützen und mögliche Haftungsrisiken zu minimieren. Dies beinhaltet:

• Option zum Anonymisieren von Informationen und zur Sicherstellung, dass nachfolgende Kommunikation ebenfalls anonym bleibt.
• Verschlüsselung von Daten während der Übertragung, die die Vertraulichkeit der Informationen gewährleistet, die über das Internet übertragen werden.
• Zugriffskontrolle, die den Zugriff auf das interne Informationssystem nur autorisierten Personen gemäß dem Gesetz gewährt.
• Protokollierung der Aktivitäten, die es jederzeit und ohne Zweifel ermöglicht, alle Aktionen zu verfolgen, die auf die Informationen angewendet werden, von dem Zeitpunkt, an dem sie das interne Informationssystem erreichen, bis zum Abschluss der Akte. Das bedeutet: Welcher Benutzer (autorisiert) Informationen im System abruft, ändert oder löscht, und zu welchem genauen Zeitpunkt er jede Aktion ausführt.
• Der Informant muss über den Status oder die Bearbeitung seiner Informationen informiert werden.

ZUR EINBINDUNG DES DATENSCHUTZES IN DAS SYSTEMDESIGN FÜR WEBANWENDUNGEN:

• Die Verwendung eines Informationsformulars muss grundlegende und umfassende Informationen zum Datenschutz enthalten.
• Wenn die telefonische Option gewählt wird, muss eine Ansage enthalten, die grundlegende und vollständige Informationen zum Datenschutz bereitstellt.
• Wenn die Option der Sprachnachricht gewählt wird, muss ein Hinweis zu grundlegenden und vollständigen Informationen zum Datenschutz angezeigt werden.
• Wenn die Option gewählt wird, ein persönliches Treffen anzufordern/anzunehmen, muss bei dem persönlichen Treffen mit dem Verantwortlichen des Systems ein Formular in Papierform verwendet werden. Dieses Formular enthält einen Hinweis zu grundlegenden und vollständigen Informationen zum Datenschutz.

ÜBER TRANSPARENZ GEGENÜBER DEM AUSBILDUNGSAUSSCHUSS ODER DEN VERTRETERN DER ARBEITNEHMER:

• In Übereinstimmung mit den Grundsätzen der Verantwortlichkeit und Transparenz wird diese Richtlinie dem Betriebsrat oder der Arbeitnehmervertretung mitgeteilt, je nach Anwendbarkeit.

ÜBER TRANSPARENZ FÜR DIE MITARBEITER:

• In Übereinstimmung mit den Grundsätzen der Verantwortlichkeit und Transparenz wird den Arbeitnehmern, nach vorheriger Mitteilung an den Betriebsrat oder an die Vertretung der Arbeitnehmer, die Existenz des Kommunikationskanals und dessen Zweck mitgeteilt.

ÜBER DAS INFORMATIONSPROTOKOLL:

• Es muss ein Verzeichnis über die erhaltenen Informationen und die daraus resultierenden internen Untersuchungen geführt werden.

ZUSÄTZLICHE ANFORDERUNGEN ZUM DATENSCHUTZ:

• Erstellen Sie das Aktivitätsprotokoll für die Behandlung dieses Kanals.
• Eine Risikobewertung für diesen Kanal durchführen.