I enlighet med artikel 13 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (nedan kallad ”GDPR”), samt artikel 11 i den spanska organiska lagen 3/2018 av den 5 december om skydd av personuppgifter och garanti för digitala rättigheter, informerar vi dig om följande:
Användaren bör noggrant läsa denna Integritetspolicy, som har utformats på ett tydligt och lättillgängligt språk för att underlätta förståelsen, så att Användaren fritt, informerat och frivilligt kan avgöra om han eller hon önskar lämna sina personuppgifter eller tredje parts personuppgifter till SONNEIL (nedan kallad ”Företaget”).
Företaget behandlar de personuppgifter som Användaren lämnar för följande ändamål och under de lagringsperioder som anges nedan:
Att hantera tillhandahållandet och genomförandet av avtalade tjänster och/eller produkter, samt upprättande, uppföljning och administration av avtal, offerter och tjänsteförslag, inklusive uppgifter om personer vars medverkan är nödvändig för detta ändamål. Den rättsliga grunden för behandlingen är fullgörandet av ett avtal eller vidtagandet av åtgärder före avtalets ingående på begäran av den registrerade. Personuppgifterna lagras under den tid den avtalsmässiga eller föravtalsmässiga relationen består och därefter under de lagstadgade preskriptionstider som krävs för att hantera eventuella rättsliga anspråk.
Att hantera och behandla kommunikationer, förfrågningar, förslag, klagomål eller rapporter som lämnas av rapportörer/användare via det Interna Informationssystemet, i enlighet med spansk lag 2/2023 av den 20 februari om skydd för personer som rapporterar överträdelser av lagstiftning och om bekämpning av korruption. Sådana kommunikationer kan, när så är nödvändigt, vidarebefordras till ansvarig avdelning för korrekt handläggning och efterlevnad av tillämpliga regler. Den rättsliga grunden för behandlingen är uppfyllandet av rättsliga skyldigheter som åvilar Företaget. Uppgifter relaterade till mottagna rapporter och interna utredningar lagras under den period som är nödvändig och proportionerlig för att uppfylla lagstiftningen om visselblåsarskydd, dock aldrig längre än tio år. Tre månader efter mottagandet ska rapporterna raderas, såvida inte fortsatt lagring krävs för att dokumentera systemets existens och funktion eller för att uppfylla andra rättsliga krav. I sådana fall anonymiseras visselblåsarens identitet och lagras separat med lämpliga säkerhetsåtgärder.
Att skicka information om produkter eller tjänster som liknar sådana som Kunden redan har köpt eller beställt. Den rättsliga grunden för behandlingen är Företagets berättigade intresse inom ramen för en befintlig avtalsrelation, förutsatt att kommunikationen avser liknande produkter eller tjänster från Företaget och att mottagaren ges möjlighet att invända mot sådan kommunikation vid varje utskick. För elektronisk kommunikation grundas behandlingen även på artikel 21.2 i den spanska lagen 34/2002 om informationssamhällets tjänster och elektronisk handel. Personuppgifterna lagras till dess att den registrerade invänder mot behandlingen eller avregistrerar sig från utskicken.
Inom ramen för hanteringen av anställningsförhållanden kan Företaget behandla personuppgifter om anställda, arbetssökande och andra personer med anknytning till organisationen för följande ändamål:
Den rättsliga grunden för dessa behandlingar är, beroende på behandlingens karaktär, fullgörandet av anställningsavtalet (artikel 6.1 b GDPR), uppfyllandet av rättsliga skyldigheter (artikel 6.1 c GDPR), Företagets berättigade intresse (artikel 6.1 f GDPR) eller den registrerades samtycke (artikel 6.1 a GDPR). Personuppgifterna lagras under anställningsförhållandets varaktighet och därefter under de lagstadgade lagringsperioderna.
Att skicka marknadsföringskommunikation, nyhetsbrev eller andra utskick när dessa inte omfattas av en tidigare avtalsrelation enligt ovan. Den rättsliga grunden är den registrerades fria, specifika, informerade och otvetydiga samtycke. Personuppgifterna lagras tills samtycket återkallas eller mottagaren avregistrerar sig.
Att hantera mottagande och utvärdering av jobbansökningar, CV:n och rekryteringsprocesser, inklusive spontanansökningar som skickas via webbplatsen eller kontaktadressen, samt att beakta sådana ansökningar för nuvarande eller framtida tjänster som motsvarar kandidatens profil. Den rättsliga grunden är den registrerades samtycke, vilket lämnas genom att ansökan skickas in. Personuppgifterna lagras tills samtycket återkallas och under högst ett år från mottagandet av CV:t.
Att säkerställa säkerheten för personer, egendom och anläggningar genom kameraövervakning. Den rättsliga grunden är Företagets berättigade intresse av att skydda sina lokaler, personer och tillgångar. Inspelat material lagras som huvudregel under högst 30 dagar från inspelningstillfället, om inte längre lagring krävs för att dokumentera incidenter eller uppfylla rättsliga skyldigheter.
Att hantera professionella relationer med leverantörer, samarbetspartners och andra tredje parter, inklusive administration av kommersiella, ekonomiska, redovisningsmässiga och faktureringsrelaterade relationer. Den rättsliga grunden är fullgörandet av avtal samt uppfyllandet av tillämpliga rättsliga skyldigheter.
Att hantera och kontrollera interna mekanismer, policyer och rutiner för regelefterlevnad, inklusive interna kontroller, förebyggande åtgärder, upptäckt och utredning av överträdelser av lagstiftning eller interna regler.
Att hantera begäranden om utövande av rättigheter enligt dataskyddslagstiftningen som lämnas via de kanaler som Företaget har inrättat för detta ändamål.
Att hantera information eller rapporter om trakasserier, våld eller andra särskilt allvarliga beteenden, särskilt sådana som påverkar grupper med särskilt skydd, inklusive transpersoner, HBTQI-personer och minderåriga.
Att uppfylla de rättsliga skyldigheter som åvilar Företaget inom bland annat handelsrätt, skatterätt, redovisning, administration, penningtvättsbekämpning, arbetsrätt och dataskydd.
Företaget kan även behandla personuppgifter för andra ändamål som är nödvändiga för att uppfylla rättsliga skyldigheter eller särskilda regulatoriska krav som gäller för dess verksamhet.
De personuppgifter som behandlas kommer som regel direkt från den registrerade. I vissa fall kan uppgifterna emellertid erhållas från tredje parter som den registrerade har en relation till, såsom kundföretag, samarbetspartner eller leverantörer, samt från offentligt tillgängliga källor när detta är lagligen tillåtet. I sådana fall kommer den registrerade att informeras i enlighet med artikel 14 i GDPR.
Företaget kan lämna ut den registrerades personuppgifter till följande mottagare, när detta är nödvändigt med hänsyn till behandlingsändamålet och på den rättsliga grund som är tillämplig i varje enskilt fall:
I allmänhet är internationella överföringar av personuppgifter inte planerade. Om tekniska tjänsteleverantörer används som kan innebära behandling av uppgifter utanför Europeiska ekonomiska samarbetsområdet, kommer sådana överföringar att ske i full överensstämmelse med artiklarna 44 och följande i GDPR, genom lämpliga skyddsåtgärder såsom EU-kommissionens standardavtalsklausuler eller andra giltiga mekanismer enligt gällande lagstiftning.
För att säkerställa transparens i behandlingen av dina personuppgifter informerar vi dig om de rättigheter som du har enligt dataskyddslagstiftningen. Nedan följer en sammanfattning av dessa rättigheter samt hur du kan utöva dem.
Du kan utöva dina rättigheter samt rapportera eventuella säkerhetsincidenter, cyberattacker eller misstänkta överträdelser av dataskyddslagstiftningen via följande kanaler: www.corporate-line.com/cnormativo-sonneil / dpdexterno@bonetconsulting.com
Om du inte är nöjd med hur Företaget behandlar dina personuppgifter har du rätt att lämna in klagomål till den behöriga dataskyddsmyndigheten. I Spanien är detta den spanska dataskyddsmyndigheten (AEPD) (www.aepd.es).
Företaget kan begära ytterligare information för att verifiera identiteten hos den som gör en begäran när det finns rimliga tvivel. Svar lämnas inom en månad från mottagandet, med möjlighet till förlängning vid särskilt komplexa ärenden.
Företaget har infört ett internt visselblåsarsystem (SIIF), vilket utgör en central del i övervakning, kontroll och förebyggande av regelöverträdelser. Systemet bygger på högsta krav på säkerhet, sekretess, dataskydd, oberoende och kompetens vid hantering av inkomna rapporter.
De interna rapporteringskanalerna har implementerats med tekniska lösningar som säkerställer alla nödvändiga krav för att garantera ovanstående skydd. SIIF säkerställer även anonymitet, korrekt registrering, lagring och integritet, förebyggande av intressekonflikter, skydd för rapportörer och skydd mot repressalier.
Genom detta system ska varje rapportör i god tro rapportera alla misstankar, indikationer eller bevis på eventuella regelbrott, olagligheter, oetiskt beteende eller överträdelser av företagets policyer, regler och uppförandekoder.
Tillgång till SIIF finns i en separat sektion på företagets webbplats.
Inom ramen för det interna visselblåsarsystemet (SIIF) behandlar Företaget personuppgifter i syfte att hantera och administrera inkomna rapporter samt analysera, verifiera och utreda de omständigheter som rapporterats, med möjlighet att vid behov vidta korrigerande, disciplinära eller rättsliga åtgärder.
Denna behandling sker för att uppfylla de rättsliga skyldigheter som fastställs i lag 2/2023 av den 20 februari om skydd för personer som rapporterar överträdelser av lagstiftning och bekämpning av korruption, samt, i tillämpliga fall, på grundval av Företagets berättigade intresse av att förebygga och upptäcka olagligt beteende eller överträdelser av interna regler.
Inom ramen för dessa åtgärder kan följande kategorier av personuppgifter behandlas:
Personuppgifterna kan komma från rapportören (anonymt eller identifierad), från berörda personer eller från tredje parter som deltar i utredningen.
Företaget garanterar sekretessen för rapportörens identitet samt för alla tredje parter som nämns i rapporten och för de personer som omfattas av utredningen. Åtkomsten till uppgifterna är strikt begränsad till behörig personal som är involverad i hanteringen och utredningen av rapporterna.
All form av repressalier, diskriminering eller ogynnsam behandling av rapportören eller personer som samarbetar i utredningen är uttryckligen förbjuden i enlighet med lag 2/2023.
Utövandet av rättigheter enligt dataskyddslagstiftningen kan begränsas när det är nödvändigt för att säkerställa sekretessen kring rapportörens identitet, förhindra att utredningen hindras eller säkerställa att processen genomförs korrekt i enlighet med tillämplig lagstiftning.
Företaget behandlar personuppgifter genom att tillämpa lämpliga tekniska, juridiska och organisatoriska säkerhetsåtgärder i syfte att säkerställa konfidentialitet och integritet i den information som behandlas, i enlighet med gällande lagstiftning.
Som ett komplement till ovanstående tillämpar Företaget cybersäkerhetsåtgärder för att förebygga och hantera möjliga cyberattacker och bedrägerier från cyberkriminella som kan hota integriteten och skyddet av de uppgifter som Företaget behandlar inom ramen för sin verksamhet.
I detta sammanhang vill vi uppmärksamma att om du mottar kommunikation vars innehåll och/eller form väcker tvivel om dess äkthet, rekommenderas att du inte agerar på den och istället kontaktar Företaget via de kontaktuppgifter som anges i denna integritetspolicy.
På samma sätt ska begäranden som verkar komma från Företaget och avser ändringar av betalningsmetoder, begäran om kontaktuppgifter, konfidentiell information (icke-offentlig), bankuppgifter, kreditkortsuppgifter eller annan officiell information inte följas utan föregående direkt bekräftelse från Företaget via en alternativ kommunikationskanal.
Vi uppskattar ditt samarbete och ber dig att rapportera alla sådana meddelanden samt andra potentiella risker för cyberattacker där Företagets namn kan missbrukas, liksom andra säkerhetsrisker som du kan få kännedom om.
Berörda personer kan kontakta Företaget med frågor om behandlingen av deras personuppgifter eller tolkningen av denna integritetspolicy genom att vända sig till dataskyddsombudet via de e-postadresser som anges i början av detta dokument.
Företaget förbehåller sig rätten att ändra och/eller uppdatera informationen om dataskydd när det är nödvändigt för att uppfylla gällande lagstiftning. Om ändringar görs kommer den nya versionen att publiceras i detta avsnitt på webbplatsen.