Im Sinne der gesetzesvertr. Verordnung 24/2023 und der EU-Verordnung 2019/1937

Die Südtiroler Sparkasse AG (die “Bank”), mit Sitz in Bozen, Sparkassenstraße Nr. 12, in ihrer Eigenschaft als Verantwortlicher der Verarbeitung, im Sinne der EU-Verordnung 2016/679 (DSGVO), unterbreitet Ihnen im Sinne des Art. 13 dieser Verordnung vorliegendes allgemeines Informationsblatt betreffend die Daten, die zur Verwaltung der “Whistleblowing”-Meldungen gesammelt werden.

1. VERANTWORTLICHER FÜR DIE VERARBEITUNG UND ADRESSEN FÜR DIE KOMMUNIKATION.

Verantwortlicher für die Verarbeitung ist die Südtiroler Sparkasse AG, mit Sitz in Bozen, Sparkassenstraße Nr. 12. Der Verantwortliche hat einen Datenschutzbeauftragten ("Data Protection Officer" - DPO) ernannt, den Sie für jede Information in Bezug auf die Verarbeitung Ihrer personenbezogenen Daten und für die Ausübung Ihrer nachstehend näher erläuterten Rechte über die folgenden Post- und E-Mail-Adressen kontaktieren können:

• Südtiroler Sparkasse AG. Bozen, Sparkassenstraße 12, z.K.: an den DPO

• E-Mail: privacy.crbz@sparkasse.it

Der Verantwortliche und der DPO werden, auch über die beauftragten Strukturen, Ihren Auftrag entgegennehmen und unverzüglich und auf jeden Fall innerhalb eines Monats ab Erhalt des Auftrags, die Informationen im Zusammenhang mit dem Auftrag oder die Gründe für eine eventuelle verspätete oder verweigerte Bearbeitung übermitteln.

Sollte der Verantwortliche Zweifel an der Identität der natürlichen Person hegen, die den Auftrag einreicht, können zusätzliche Informationen zur Bestätigung der Identität des Betroffenen verlangt werden.

2. ART DER VERARBEITETEN DATEN.

Zu den im vorliegenden Informationsblatt angeführten Zwecken und im Rahmen der Verwaltung der Meldungen im Whistleblowing-Bereich könnte die Bank die von Ihnen direkt gelieferten oder bei Dritten gesammelten Daten (in der Folge auch Daten), verarbeiten, wie z.B.:

• Kontaktdaten (z.B. E-Mail-Adresse, Telefonnummer);

• personenbezogene Identifikationsdaten (z.B. Vor- und Familienname);

• Daten betreffend den Beruf (z.B. zugehörige Direktion, Abteilung, Einheit);

• personenbezogene Daten betreffend Drittpersonen (z.B. die gemeldete Person, die in der Meldung involvierte oder erwähnte Person);

• jedwede weitere Information oder jedwedes Element der Meldung, einschließlich der Unterlagen, die dieser beigelegt sind, die als “personenbezogene Daten”1 im Sinne der EU-Verordnung 2016/679 betrachtet werden.

Zudem könnte, ebenfalls zum Zwecke der Verwaltung der Meldung, der Verantwortliche zur Kenntnis von besonderen Kategorien2 personenbezogener Daten gelangen.

Auf jeden Fall kann die Meldung, auch wenn sie über die Web-Anwendung vorgenommen wird, im vom Gesetz vorgesehenen Ausmaß durchgeführt werden, ohne dass der Meldende seine personenbezogenen Daten angeben muss.

3. ZWECK UND RECHTLICHE GRUNDLAGE DER VERARBEITUNG.

Der Verantwortliche der Verarbeitung bearbeitet die Daten aus der Whistleblowing-Meldung für folgende Zwecke:

• für die Verwaltung der Whistleblowing-Meldung, unter Wahrung des legitimen Interesses des Verantwortlichen und Erfüllung der gesetzlichen Pflichten gemäß den Bestimmungen zum Thema Whistleblowing (Art. 6, Absatz 1, Buchst. c) und f) der DSGVO);

• für der Erfüllung der gesetzlichen Pflichten Art. 6, Absatz 1, Buchstabe c) der DSGVO) von der gesetzesvertr. Verordnung Nr. 231/2001 “Regelung der Amtshaftung der juridischen Personen, der Gesellschaften und der Vereinigungen auch ohne Rechtspersönlichkeit vorgesehen, und insbesondere Art. 6, Absatz 2-bis und Art. 52-bis der gesetzesvertr. Verordnung Nr. 385 vom 1. September 19935”;

• zur Wahrung der legitimen Interessen der Gesellschaft oder von Dritten (Art. 6, Absatz 1, Buchst. f) der DSGVO, insbesondere um Übertretungen innerhalb der Gesellschaft vorzubeugen und zu ermitteln, um die Rechtsmäßigkeit der internen Prozesse zu prüfen und um die Integrität und/oder die Reputation der Gesellschaft zu wahren, auch zu disziplinaren Zwecken.

• was die Identifikationsdaten des Meldenden anlangt, werden diese auf Grund der Einwilligung der betroffenen Person verarbeitet, die zum Zeitpunkt der Eingabe der Daten in die WEB-Anwendung oder in den Mitteilungen erteilt wurden (Art. 6, Absatz 1 Buchstabe a) der DSGVO).

Zur Vollständigkeit der obigen Ausführungen wird mitgeteilt, dass di anonymisierten Informationen zu statistischen Zwecken verwendet werden können.

4. ART DER VERARBEITUNG DER PERSONENBEZOGENEN DATEN.

Die Verarbeitung der personenbezogenen Daten erfolgt über manuelle Instrumente und auf jeden Fall hauptsächlich über informatische, telematische Instrumente und über eigens dafür bestimmte Kanäle (Web-Plattform SaaS des Lieferanten EQS Group AG,“EQS Integrity Line” bezeichnet. welche die Verschlüsselung der Daten gewährleistet, eigene E-Mail und gewöhnliche Post), aufgrund einer eng mit der Zweckbestimmung zusammenhängenden Logik und auf jeden Fall auf eine Art und Weise, die die Sicherheit und Vertraulichkeit der Daten selbst gewährleistet. Auf jeden Fall können die Identität der meldenden Person sowie jede andere Information, aus der man diese, auch indirekt, erkennen kann, nur mit ausdrücklicher Einwilligung der meldenden Person bekanntgegeben werden.

Auch bei Eröffnung eines Strafverfahrens darf die Identität des Meldenden nicht mitgeteilt werden, falls die Beanstandung auf getrennten und/oder zusätzlichen Untersuchungen, verglichen mit dem Inhalt der Meldung, gründet, auch wenn diese eine Folge der Meldung sind. Falls das Disziplinarverfahren jedoch zur Gänze oder zum Teil auf den Inhalt der Meldung gründet und die Kenntnis der Identität der meldenden Person unabdingbar für die Verteidigung des Beschuldigten ist, kann die Meldung für die Zwecke des Disziplinarverfahrens nur mit ausdrücklicher Einwilligung der meldenden Person hinsichtlich der Bekanntgabe ihrer Identität verwendet werden. Bei Verweigerung durch den Meldenden wird mitgeteilt, dass das Verfahren nicht weitergeführt werden könnte, da die wesentlichen Elemente für die Fortsetzung der Untersuchung fehlen.

Auf jeden Fall werden alle personenbezogenen Daten, in deren Besitz der Verantwortliche im Rahmen der Whistleblowing-Meldung gelangt, bzw. verarbeitet, im Sinne der geltenden Datenschutzbestimmungen verarbeitet, wobei die Grundsätze der Korrektheit, Rechtmäßigkeit, und Transparenz beachtet und die angegebenen Zwecke berücksichtigt werden. Die Daten werden im erforderlichen und richtigen Ausmaß für die Verarbeitung und unter Einhaltung der spezifischen Vorgaben laut gesetzesvertr. Verordnung Nr. 24 vom 10.03.2023, zum Schutz der meldenden Person und der gemeldeten Person gesammelt, um die Identität des Meldenden, den Inhalt der Meldung und die jeweiligen Unterlagen, auch mit Verwendung von Verschlüsselungsinstrumenten, zu schützen und vertraulich zu halten.

5. VERWAHRUNGSFRIST UND ORT DER VERWAHRUNG DER PERSONENBEZOGENEN DATEN.

Die für die oben erwähnten Zwecke gesammelten Daten werden vom Verantwortlichen der Verarbeitung für den Zeitraum verwahrt, der für die korrekte und vollständige Verwaltung der Whistleblowing-Meldung erforderlich ist und auf jeden Fall nicht länger als für 5 Jahre ab dem Datum des Endergebnisses des Meldungsverfahrens und, falls dies der Fall ist, ab der Ergreifung der sich darauf ergebenden Disziplinarmaßnahmen und/oder ab der Beilegung von eventuell nach der Meldung eingeleiteten Streitfällen, verwahrt,

Verwendet der Whistleblower für die Meldung die Web-Plattform sog. “EQS Integrity Line” der Gesellschaft EQS Group AG, die eigens zum Auftragsverarbeiter im Sinne des Art. 28 des DSGVO ernannt wurde, werden die Daten in virtuellen, verschlüsselten Servern mit Sitz in Europa verwahrt.

6. PERSONENKATEGORIEN; DENEN DIE DATEN MITGETEILT WERDEN KÖNNEN.

Die gesammelten Daten werden vom Personal des Verantwortlichen verarbeitet, das der Funktion Internal Audit angehört, ausdrücklich zur Verarbeitung autorisiert und spezifisch für die Verwaltung der Meldungskanäle geschult ist, mit besonderem Augenmerk auf den Web-Kanal. Dieses Personal handelt nach spezifischen Anweisungen des Verantwortlichen der Verarbeitung und des Überwachungsrates gemäß gesetzesvert. Veordnung 231/2001; jeder ist, gemäß seinen Befugnissen, als Verantwortlicher der internen Systeme zur Meldung von Übertretungen sowie im Einklang mit den einschlägigen Vorgaben und jenen der internen Policy, zur Wahrung der Identität des Meldenden und des Gemeldeten verpflichtet. Die Web-Plattform sog. “EQS Integrity Line” wird von der Gesellschaft EQS Group AG geliefert, die eigens zum Auftragsverarbeiter im Sinne des Art..28 der DSGVO ernannt wurde. Das Datenschutz-Informationsblatt der EQS Group AG kann direkt auf der Web-Plattform eingesehen werden, die für die Meldungen zur Verfügung gestellt wurde, wobei die Anleitungen für die Eingabe der Informationen zu beachten sind.

Für die Erreichung der oben beschriebenen Zwecke können die Daten an die Justizbehörde und/oder an die Organe der Gerichtspolizei in der von den jeweils geltenden Bestimmungen vorgesehenen Vorgangsweise mitgeteilt werden, und zwar auf ihren förmlichen Antrag oder begründet durch das legitime Interesse des Verantwortlichen der Verarbeitung, falls sich aus der Meldung Anhaltspunkte für ein Verbrechen ergeben.

Die personenbezogenen Daten werden auf keinen Fall verbreitet.

7. RECHTE DER BETROFFENEN PERSON.

Im Zusammenhang mit den im vorliegenden Informationsblatt beschriebenen Verarbeitungen, können Sie, als betroffene Person, zu den von der DSGVO vorgesehenen Bedingungen, die von den Artikeln 15-21 der DSGVO festgelegten Rechte ausüben, insbesondere die folgenden Rechte:

• Auskunftsrecht – Artikel 15 DSGVO: das Recht, Bestätigung darüber zu verlangen, ob Sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so haben Sie das Recht auf Auskunft über diese personenbezogenen Daten und auf eine Kopie derselben;

• Recht auf Berichtigung: Artikel 16 DSGVO: das Recht, unverzüglich die Berichtigung Sie betreffender unrichtiger personenbezogener Daten und/oder die Vervollständigung der unvollständigen personenbezogener Daten zu verlangen;

• Recht auf Löschung (Recht auf „Vergessenwerden“) – Art. 17 DSGVO: das Recht, die unverzügliche Löschung von Sie betreffenden personenbezogenen Daten zu verlangen;

• Recht auf Einschränkung der Verarbeitung – Artikel 18 DSGVO: das Recht, die Einschränkung der Verarbeitung zu verlangen, wenn:

  • die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;

  • die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt;

  • die betroffene Person die personenbezogenen Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt;

  • die betroffene Person Widerspruch gegen die Verarbeitung gemäß Artikel 21 DSGVO eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.

• Recht auf Datenübertragbarkeit– Artikel 20 DSGVO: das Recht, die Sie betreffenden personenbezogenen Daten, die Sie einem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und diese Daten einem anderen Verantwortlichen ohne Behinderung zu übermitteln, sofern die Verarbeitung auf einer Einwilligung beruht und mithilfe automatisierter Verfahren erfolgt. Des Weiteren das Recht, dass Ihre Daten direkt von der Bank einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist;

• Widerspruchsrecht – Artikel 21 DSGVO: das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund der Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt, einschließlich des Profilings, erfolgt, Widerspruch einzulegen, es sei denn, der Verantwortliche kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Die Rechte der betroffenen Person (spezifisch des Gemeldeten) können im Sinne und mit Wirkung des Art. 2 – undecies, erster Absatz, Buchstabe 9 des Datenschutzkodex, wie durch die gesetzesvertr. Verordnung 2018/101 abgeändert, und in Übereinstimmung mit dem Art. 23 der EU-Verordnung 2016/679 DSGVO eingeschränkt werden, falls sich aus der Ausübung der Rechte eine konkrete und tatsächliche Verletzung der Vertraulichkeit der Identität des Meldenden ergeben könnte.

Die oben angeführten Rechte können gegenüber dem Verantwortlichen ausgeübt werden; indem man ihn über die im Punkt 1 des vorliegenden Informationsblattes angeführten Adressen kontaktiert

Die Ausübung Ihrer Rechte als betroffene Person erfolgt im Sinne des Artikels 12 DSGVO unentgeltlich. Allerdings könnte der Verantwortliche bei offenkundig unbegründeten oder — insbesondere im Fall von häufiger Wiederholung — exzessiven Anträgen entweder ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder sich weigern, aufgrund Ihres Antrags tätig zu werden.