举报隐私信息通知

deugro - 集团致力于保护您的隐私并遵守适用的数据保护法律。本隐私信息通知是根据欧盟、英国《一般数据保护条例》（"GDPR"）和瑞士《联邦数据保护法》（"FADP"）起草的，它提供了有关我们在 deugro 集团举报程序框架内可能收集和使用的您的个人数据处理信息，以及使用以下网站的信息 "大声说出来！" 举报渠道（以下简称 "说出来！"或 "举报平台"）举报渠道（以下简称 "说出来！"或 "举报平台"）。

deugro 集团的员工（以下简称 "员工"）和外部人员可以使用举报平台，向公司举报可能违反法律要求或内部规定的行为（以下简称 "违规行为"），从而帮助公司发现和起诉违规行为。

如果您是 deugro 集团的员工，则应通过通常的内部渠道报告不违反法律、政策和/或其他监管义务的事项，例如与工资相关的事项、同事间合作困难或一般投诉。

通过本信息公告，我们将向您提供有关个人数据处理的所有信息，这些数据用于接收、分析、调查和管理举报以及根据举报程序采取的任何后续行动，完全符合 GDPR、德国和欧洲补充立法（"隐私立法"）的规定。

本信息公告是我们《员工隐私公告》的补充，应与之一并阅读。

我们是谁

DEHOCO AG, (Churerstrasse 78, 8808, Pfaeffikon, Switzerland)，以下简称 "DEHOCO"。公司简介"或"我们deugro 集团公司的 "deugro "是根据本隐私声明处理您的个人数据的控制者。

如何联系我们

如果您对我们如何使用您的个人信息或本隐私政策有任何疑问，请通过以下方式联系我们 dpo@deugro-group.com .您也可以写信给我们：

ATTN：合规 - 数据保护
DEHOCO AG
Churerstrasse 78
8808, Pfaeffikon, 瑞士

如果我们无法解决您的问题，您也有权联系当地的数据保护机构。

处理目的和法律依据

与接收和管理举报相关的个人数据处理工作根据相关法规规定和公司采用的具体程序进行。举报方面的处理尤其包括以下目的

获取涉嫌违反国家或欧盟法规、损害公共利益或公共行政廉正的举报（《德国举报人保护法》--HinSchG 第 2 条）；
获取有关违反适用的国家或国际法律或 deugro 集团政策和程序、损害公司或 deugro 集团诚信的指控（行为、作为或不作为）的报告；
开展调查，核实报告的真实性；
采取适当的纠正措施和必要的纪律和/或司法行动；
进行法律规定的交流德国举报人保护法》（HinSchG）第 17.1.1 条。

为此目的对个人数据进行处理的法律依据是第 6 条第 1 款 c)项（根据该条款，为履行控制方的法律义务，有必要对个人数据进行处理）和第 6 条第 1 款 f)项（为追求数据控制方或第三方的合法利益，有必要对个人数据进行处理）。在此背景下收集的所有个人数据均具有严格的功能性，且对于《德国举报人保护法》（HinSchG）规定的目的以及任何内部控制需求、风险监控、在法庭上捍卫权利或控制方的其他合法利益而言均为必要。

关于特殊类别个人数据的处理，这些数据的处理依据的是《全球个人信息权公约》第 9 条第 2 款 b)项，该条款规定，为了履行控制者或数据主体在就业、社会保障和社会保护法领域的义务和行使特定权利，以及为了处理与刑事定罪和犯罪有关的个人数据，有必要对这些数据进行处理。个人数据的处理还基于举报人的明确同意（第 6 条第 1 款 a 项和第 9 条第 2 款 a 项），其唯一目的是在必要时公布举报内容，以便为被告辩护，包括在纪律处分程序中（《德国举报人保护法》--HinSchG 第 8.1 条和第 9 条）。

个人数据类别和处理方法

个人数据包含在报告和任何所附文件中，可能涉及到

提交报告的举报人（举报人）；
被指控的非法行为所针对的个人和/或报告中提到的或可以推断出其身份的其他个人；
例如 "协助者"，即在同一工作环境中协助举报人的个人。

处理的个人数据一般是 "普通 "数据（姓名、工作职务等）。然而，在举报的情况下，可能会提供属于《欧盟数据保护公约》第 9 条规定的所谓 "特殊类别的个人数据"（如揭示种族或民族血统、政治观点、宗教或哲学信仰或工会会员身份的数据，以及处理遗传数据、用于唯一识别自然人身份的生物特征数据、与健康有关的数据或与自然人的性生活或性取向有关的数据）和《欧盟数据保护公约》第 10 条规定的所谓 "司法数据"（如与刑事定罪和犯罪有关的数据）。一般来说，除非举报绝对必要，举报人不得提供有关其本人或第三方的此类数据。

个人数据，包括属于特殊类别或司法数据的个人数据，将根据最小化、相关性和非过度性原则进行处理，目的是开展必要的调查活动，以核实所举报事实的真实性，并采取程序或《德国举报人保护法》（HinSchG）规定的相应措施。

个人数据的处理将使用信息技术和纸张支持，以确保其安全性和保密性。

个人资料的来源

个人数据由报告人根据 deugro 采用的特定程序中说明的方法提供，或作为 deugro 根据程序和适用法律要求进行的初步检查的一部分，从第三方（如证人）或可公开获取的来源获得。

就上述处理目的而言，提供个人数据是可选的。但是，不提供个人资料可能会影响调查的顺利进行，同时也不影响根据法律规定的条件和公司采用的具体程序进行匿名举报的可能性。

个人数据的接收者和接收者类别

个人数据将根据公司采用的具体程序传达给负责管理报告的主体，因此也会传达给负责管理内部报告的员工--合规团队，包括 "地方道德官"。

在不妨碍执行上述程序和履行法律义务的情况下，可根据隐私法的规定交流个人数据：

向根据《德国举报人保护法》（HinSchG）设立的监督机构（Bundesamt fur Justiz - BfJ）举报；
尽管有法定的通知义务，但只有在《举报人保护法》（HinSchG）的框架内，特别是为当事人辩护或根据官方或法院命令有必要时，才可向被举报人披露举报人的个人数据。信息披露须遵守《欧洲个人信息保护条例》（GDPR）的规定以及《举报人保护法》（HinSchG）第 8 条规定的保密义务；
在法律明确规定的情况下，向司法机关、行政机关或其他有权索取的公共实体提供；
外部顾问和具有技术职能的第三方（如 IT 平台提供商）；
转让给属于控制者企业集团的公司，包括 DEHOCO (Deutschland) GmbH，这些公司受托承担管理报告所需的技术和组织任务。这些个人数据的传输符合《欧洲个人数据保护条例》（GDPR）第 48 条的规定，即 "隶属于中央机构的企业集团或机构的控制者，出于内部管理目的，包括处理客户或员工的个人数据，在企业集团内部传输个人数据可能具有合法利益。在企业集团内部向位于第三国的企业传输个人数据的一般原则不受影响"。

在任何可能启动的刑事诉讼中，举报人的身份将按照《德国刑事诉讼法》（StPO）第 68 条和《德国举报人保护法》（HinSchG）第 8 条规定的方式和范围予以保密；在审计法院的诉讼中，在调查阶段结束之前，举报人的身份不会被披露；在纪律处分程序中，如果纪律处分指控的依据是与报告截然不同的、额外的调查结果，即使是报告的后续结果，则在所有情况下都不会披露举报人的身份，但如果同时满足以下三个条件，则可以披露举报人的身份：(1) 指控的全部或部分依据是报告，(2) 知晓举报人的身份对被告的辩护不可或缺，(3) 举报人明确同意披露其身份。

除作为自主控制者的主体外，所有主体均已根据（欧盟）2016/679 号法规第 15、29 和 32 条第 4 款的规定，获得处理此类数据的明确授权；对于作为数据处理者的外部主体，则已签署具体合同，对委托其处理的数据以及根据 GDPR 第 28 条规定的数据保护和安全处理义务做出明确规定。

个人信息的境外传输

在某些处理活动中，控制方可能会将个人数据传输给位于不属于欧盟（EU）或欧洲经济区（EEA）的国家（以下简称 "第三国"）的外部方。此类转移的合法性取决于转移本身是否有适当和合适的保障措施，特别是是否符合《个人数据保护法》第 44 条规定的转移的一般原则，以及欧盟委员会根据《个人数据保护法》第 45 条做出的充分性决定、GDPR 第 46 条规定的充分保障措施--包括欧盟委员会根据 GDPR 第 93 条第 2 款（SCC）规定的审查程序通过的标准数据保护条款--以及 GDPR 第 49 条规定的特定例外情况之一，包括数据主体明确同意转移。一些第三国已获得欧盟委员会的授权，因为这些国家在数据保护方面提供的保护与欧盟立法类似，因此无需额外的法律保障。对于未获得此类授权的外国，将根据《欧盟数据保护条例》第 46 条采取适当的保障措施。46 GDPR。第三国名单中还包括数据控制方为传输所采取的适当保障措施，该名单将不时更新和/或应要求提供。请通过以下方式联系我们 "如何联系我们 如果您希望查看此列表以及适用于数据输出的具体保障措施的副本，请与我们联系。

个人信息保存期限

为上述目的而处理的个人资料的保存期限为处理报告所需的时间，但无论如何不得超过自报告程序最终结果通知之日起三年，报告本身之后启动的法律或纪律程序除外。在这种情况下，根据《德国举报法》第 11 条第 5 款的规定，数据将在整个程序期间保留，直至程序结束和上诉期限届满。根据《德国举报人保护法》（HinSchG）第 11 条第 5 款和《欧盟个人信息保护条例》（GDP）第 5 条第 1 款的规定，数据将在整个程序期间保留，直至程序结束和上诉期限届满。5, paragraph 1 of the GDPR.

您对个人数据的权利

对于我们处理的您的个人数据，在符合适用法律规定的条件下，您享有以下权利：

知情权：请求访问您的个人信息（通常称为“数据主体访问请求”）以及有关我们处理您的个人信息的某些其他信息，这些信息通知旨在解决这些问题，且您有权要求我们对个人信息处理规则进行解释说明；
更正权：要求更正任何不准确或不完整的个人数据；
删除权：在符合GDRP第17条、《个人数据保护法》第 47 条所述理由的情况下，要求删除您的个人数据；
限制处理权：在适用法律要求的情况下，特别是 GDPR 第 18 条规定的情况下，要求限制处理您的个人数据；
反对权：反对我们处理您的个人数据；
撤销权：撤销您的同意；
转移权：在某些情况下要求数据可移植性；您有权将此数据传输给其他个人信息处理者。
投诉权：向当地数据保护监管机构投诉；有关监管机构的更多信息，请参阅我们的《网站隐私政策》。
对我们对您做出的某些具有法律或其他类似重大后果的自动决策提出异议。我们不会进行此类自动决策，但如果我们进行了此类决策，我们会明确说明此类决策是在哪里做出的。

如需行使您的权利，请使用 "您的权利 "部分中列出的联系方式联系我们。如何联系我们"。

请注意，根据《德国举报人保护法》（HinSchG）第 8(2)条的规定，可在《德国联邦数据保护法》（BDSG）第 29(1)条规定的范围内行使《德国数据保护法》第 15 至 22 条所述的权利。根据这些规定，如果行使这些权利会损害举报人身份的保密性，则不能行使这些权利，这是《德国举报人保护法》（HinSchG）所要求的，该法实施了关于保护违反欧盟法律的举报人的指令（欧盟）2019/1937。

该限制旨在防止因雇佣关系或所履行的职能而泄露举报人身份所造成的实际和具体伤害。

在这种情况下，数据当事人也可根据《德国联邦数据保护法》（BDSG）第 60 条通过主管监督机构（数据保护机构）行使权利。在这种情况下，监督机构应告知数据当事人它已进行了所有必要的检查或已进行了审查，以及数据当事人提出司法上诉的权利。