Specific Incident Reporting Privacy Policy

As Part of Reporting Channels Operation 

 

Who is responsible for processing  personal data?

The Company (Uni Systems S.M.S.A, Al. Pantou 19-23, 176 71, Athens-Greece) is the controller of personal data (hereinafter referred to as Data) collected through existing reporting channels, based on the applicable legislation on personal data. 

For what purpose does the Company collect and process your Data?

The Company has implemented reporting channels in the context of prevention, detection or investigation of irregular, unethical, illegal or criminal conduct within the Company. Reports/complaints of irregularity, omission or criminal offence concern -but are not limited to- the following: 

  • Theft 
  • Fraud 
  • Corruption 
  • Bribery (offer/acceptance)
  • Violation of human rights (diversity, discrimination based on gender, religion, nationality, etc.)
  • Misuse of assets 
  • Operations endangering workers' health and safety
  • Acts harmful to the environment
  • Acts which may lead to an infringement of the legislation on free competition 
  • Acts that conflict with the interests of the Company and/or the Group
  • Violation of the Policies and Procedures of the Company and the Group companies with the risk of financial loss 
  • Violation of the legal framework governing the Company and its Group companies (including the legislation governing the protection of persons reporting violations of Union law) 
  • Other unethical/inappropriate behavior (actions that violate the Group's rules of ethics). 
  • Incidents of violence and harassment 
  • Data breaches
  • Security incidents


The above list is not exhaustive, but is intended to illustrate the nature of the issues.

If the above acts are subject to any legal procedure provided for by national law, the Company’s Management or the respective Group company will promptly send the complaint to the competent Service/Authority for further investigation. 

From which sources does the Company receive your Data?

The Company receives the submitted Data in the following ways:

  • By email at: milisemas@unisystems.gr. In the case of an anonymous report/complaint: it is recommended to use a non-corporate email to submit the complaint (e.g. gmail)
  • Through the Company's site: www.unisystems.com 
  • In the event of a data breach, by email at: databreach@unisystems.gr 
  • In the event of  a security breach by email at: infosec@unisystems.gr 
  • By post to the a dress of Uni Systems, to the attention of the Compliance Officer, marked "Confidential" or if it concerns a personal data breach to the attention of the Data Protection Officer or if it concerns an Information Security breach to the attention of the Information Security Officer. 

Uni Systems may also receive data through reports forwarded by its subsidiaries, to the extent that a report raises issues of public interest or directly/indirectly relates to the Company. In the context of investigating a report, the Company may collect further Data by conducting interviews with the involved parties, as well as from other sources, as defined by its internal Policies and Procedures. 


What Data does the Company process? 

In order to verify or not the validity of a specific report/complaint and to further investigate the reported incident, the Company processes the Data that the reporting parties voluntarily submit , i.e., indicatively and not restrictively: 

(a) the events that gave rise to the suspicion/concern, with reference to names, dates, documents, locations and 

(b) the reason that led to the submission of the report/complaint.


Under no circumstances is the report/complaint expected to prove the potential concerns/suspicions of the reporting party; however, it is encouraged that all available information is provided to facilitate the investigation of the incident. 

It should be noted that the Company, offers the reporting parties the opportunity to submit their report either officially or anonymously through its established reporting channels. Reports must be made "in good faith". The Company is committed to protecting the reporting parties given that they have submitted the report in good faith, from any discrimination or less favourable treatment, any targeting or action aimed at punishing them and providing for an unfavourable job transfer/demotion or termination of employment.  Once the report has been investigated, no sanctions or consequences are foreseen for the parties who have not been proven to have committed or contributed to the unlawful interference.


Who has access to the Data?

Access to the Data included in the reports for the purposes of examining or managing reports may only be granted to those involved in the management and investigation of the incident and to the extent required. 

In particular, the Data included in the reports are communicated on a case-by-case basis and depending on the nature of the incident and always in accordance with the relevant Policies and Procedures: the members of the Company's Reports Evaluation Committee (if the incident involves violence/harassment), the Compliance Officer (responsible for receiving and monitoring reports), the Head of Internal Audit (responsible for managing/reviewing reports), the Data Protection Officer,  the Audit Committee, the Board of Directors, external consultants bound by confidentiality clauses, lawyers, as well as judicial and/or administrative authorities.  

Moreover, the Data included in the reports/complaints are shared with the persons included in the report/complaint, witnesses and anyone else having a legitimate interest. When access to the Data is allowed to the persons included in the report/complaint, the data of the complainant and the witnesses are withheld, unless they have given their explicit consent, as well as if it has been proved that the report/complaint was malicious.

The reporting parties and those involved in the process of investigating the report shall be informed of the content of the report and of their relevant rights and the exercise of those rights, in accordance with the applicable framework. However, the provision of information is considered on a case-by-case basis as there may be cases where the aforementioned information may, indicatively, a) impede the investigation of the case and hinder the evaluation of the report and the collection of the information and data required, or b) directly or indirectly lead to the identification of the reporting parties, or c) lead to the disclosure of confidential information which, due to their nature and in particular due to the Company's overriding legal interests, must remain confidential, or d) impede the establishment, exercise or support of the Company's legal claims and/or any criminal proceedings. In the event that those involved in the report/complaint are not immediately informed of its contents, in order to avoid obstructing the investigation, the reasons for the delay must be recorded in writing and the document must be entered in the case file.


Is the data received by the complaint management team transmitted to third parties?

The Data and generally the information received by the complaint management team are not transmitted to other persons or groups of the Company or the Group company (related to the incident), unless such transmission is considered absolutely necessary for the purposes of further investigation the complaint and exclusively to the required persons on a need-to-know basis.

How long are the Data contained in a report/complaint kept?

The Company will retain the Data for a certain period of time after the completion of the investigation, which varies depending on the outcome of the investigation.  In particular:

  • In the event that the report is deemed unfounded or abusive or does not contain facts constituting a breach or there are no serious indications of a breach, the Data shall be deleted within six (6) months following its closure.
  • In the event that legal action is taken based on the report/complaint, the Data shall be deleted upon the issuance of an irrevocable court decision.
  • In the event that the report/complaint reveals substantiated findings against an employee/executive of the Company or a Group company (related to the incident), the Data shall be retained throughout his/her employment/relationship with the Company or the Group company and shall be deleted twenty (20) years after the partnership is terminated/resolved in any way.
  • In the event that the report/complaint results in substantiated findings against a third party, e.g. a customer, supplier, external partner of the Company or the Group company (concerning the incident), the Data is retained throughout the duration of the cooperation and is deleted five (5) years after the termination/resolution of the cooperation in any way.

In all cases, the relevant Company’s relevant Policies on the retention and deletion of personal data are respected. 


What technical and organizational measures does the Company apply for the protection of Data?

The Company shall implement the necessary technical and organisational measures to ensure a certain level of security commensurate with the risks posed by the processing and in view of the nature of the Data processed, in accordance with the Company's applicable policies and procedures in relation to the processing of Data and the security of information (such as access to information on a need-to-know basis, binding the personnel that can access the Data under a confidentiality obligation, control of access rights, use of encryption, overseeing IT equipment and services in full compliance with current legislation, etc.).


Who can I contact for more information?

For more information on the processing of your Data and your rights, please refer to the Privacy Policy at the following link: Policy | Uni Systems, in the Complaint-Handling Policy or contact the Data Protection Officer (DPO) at dpo@unisystems.gr .

 


ΕΝΗΜΕΡΩΣΗ ΓΙΑ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΟ ΠΛΑΙΣΙΟ ΛΕΙΤΟΥΡΓΙΑΣ ΚΑΝΑΛΙΩΝ ΥΠΟΒΟΛΗΣ ΑΝΑΦΟΡΩΝ 

Ποιος είναι υπεύθυνος επεξεργασίας των προσωπικών της δεδομένων;

Η Εταιρεία (Uni Systems Μ.Α.Ε., Αλ. Πάντου 19-23, 176 71, Αθήνα-Ελλάδα) είναι ο υπεύθυνος επεξεργασίας των προσωπικών δεδομένων (εφεξής Δεδομένων) που συλλέγονται μέσω υφιστάμενων καναλιών υποβολής αναφορών, βάσει της κείμενης νομοθεσίας περί προσωπικών δεδομένων. 

Για ποιο σκοπό η Εταιρεία συλλέγει και επεξεργάζεται τα Δεδομένα σας;

Η Εταιρεία έχει θέση σε εφαρμογή κανάλια υποβολής αναφορών στο πλαίσιο της πρόληψης, ανίχνευσης ή διερεύνησης παράτυπων, αντιδεοντολογικών, παράνομων ή αξιόποινων συμπεριφορών εντός της Εταιρείας. Οι αναφορές/καταγγελίες παρατυπίας, παράλειψης ή αξιόποινης πράξης αφορούν -αλλά δεν περιορίζονται- στα ακόλουθα: 

  • Κλοπή 
  • Απάτη 
  • Διαφθορά 
  • Δωροδοκία (προσφορά/αποδοχή)
  • Παραβίαση ανθρωπίνων δικαιωμάτων (διαφορετικότητα, διακρίσεις λόγω φύλου, θρησκείας, εθνικότητας κ.λπ.)
  • Κατάχρηση περιουσιακών στοιχείων 
  • Πράξεις που θέτουν σε κίνδυνο την υγεία και ασφάλεια των εργαζομένων
  • Πράξεις επιζήμιες προς το περιβάλλον
  • Πράξεις που μπορεί να οδηγήσουν σε παραβίαση της νομοθεσίας για τον ελεύθερο ανταγωνισμό
  • Πράξεις που έρχονται σε σύγκρουση με τα συμφέροντα της Εταιρείας ή/και του Ομίλου
  • Παραβίαση των Πολιτικών και Διαδικασιών της Εταιρείας και των εταιρειών του Ομίλου με κίνδυνο πρόκλησης οικονομικής ζημίας 
  • Παραβίαση του νομοθετικού πλαισίου που διέπει την Εταιρεία και τις εταιρίες του Ομίλου της (συμπεριλαμβανομένης της νομοθεσίας που διέπει την προστασία προσώπων που αναφέρουν παραβιάσεις ενωσιακού δικαίου) 
  • Άλλη μη ηθική/ανάρμοστη συμπεριφορά (πράξεις που προσβάλλουν τους κανόνες ηθικής και δεοντολογίας του Ομίλου). 
  • Περιστατικά βίας και παρενόχλησης 
  • Περιστατικά παραβίασης προσωπικών δεδομένων (data breaches)
  • Περιστατικά παραβίασης ασφάλειας πληροφοριών (security incidents)


Ο ανωτέρω κατάλογος δεν είναι εξαντλητικός, αλλά προορίζεται να επεξηγήσει ενδεικτικά το είδος των ζητημάτων.

Εάν οι ανωτέρω πράξεις υπόκεινται σε οποιαδήποτε νομική διαδικασία, η οποία προβλέπεται από την εθνική νομοθεσία, η Διοίκηση της Εταιρείας ή της εκάστοτε εταιρείας του Ομίλου θα αποστέλλει αμελλητί την καταγγελία στην αρμόδια Υπηρεσία/Αρχή προς περαιτέρω διερεύνηση. 

Από ποιες πηγές λαμβάνει η Εταιρεία τα Δεδομένα σας;

Η Εταιρεία λαμβάνει τα Δεδομένα που υποβάλλονται με τους παρακάτω τρόπους:

  • Μέσω ηλεκτρονικού ταχυδρομείου στη διεύθυνση: milisemas@unisystems.gr. Στην περίπτωση ανώνυμης αναφοράς/καταγγελίας συνίσταται η χρήση μη εταιρικού email για την υποβολή της καταγγελίας (π.χ. gmail)
  • Μέσω του site της Εταιρείας: www.unisystems.com
  • Μέσω ηλεκτρονικού ταχυδρομείου για τις περιπτώσεις παραβίασης προσωπικών δεδομένων στην διεύθυνση databreach@unisystems.gr
  • Μέσω ηλεκτρονικού ταχυδρομείου για τις περιπτώσεις παραβίασης ασφάλειας πληροφοριών  στην διεύθυνση infosec@unisystems.gr 
  • Μέσω ταχυδρομείου στη διεύθυνση της Uni Systems, υπόψη Υπεύθυνου Κανονιστικής Συμμόρφωσης, με την ένδειξη «Εμπιστευτικό» ή αν αφορά σε παραβίαση προσωπικών δεδομένων υπόψη Υπεύθυνου Προστασίας Προσωπικών Δεδομένων ή αν αφορά σε ζητήματα παραβίασης Ασφάλειας Πληροφοριών υπόψη Υπεύθυνου Ασφάλειας Πληροφοριών 

Eπίσης, η Uni Systems ενδέχεται να λάβει δεδομένα μέσω αναφορών που της διαβιβάζουν οι θυγατρικές της εταιρείες , στο βαθμό που μία αναφορά θίγει ζητήματα δημοσίου συμφέροντος ή αφορά άμεσα/έμμεσα στην Εταιρεία. Στο πλαίσιο της διερεύνησης μιας αναφοράς, η Εταιρεία ενδέχεται να συλλέξει περαιτέρω Δεδομένα μέσω της διενέργειας συνεντεύξεων με τα εμπλεκόμενα μέρα, καθώς και από άλλες πηγές, σύμφωνα με όσα ορίζονται στις εσωτερικές της Πολιτικές και Διαδικασίες. 


Τι Δεδομένα επεξεργάζεται η Εταιρεία; 

Με σκοπό την εξακρίβωση ή μη της βασιμότητας συγκεκριμένης αναφοράς/καταγγελίας και της περαιτέρω διερεύνησης του αναφερόμενου περιστατικού, η Εταιρεία επεξεργάζεται τα Δεδομένα που υποβάλλουν οικειοθελώς οι αναφέροντες, ήτοι ενδεικτικώς και όχι περιοριστικά: 

(α) τα γεγονότα που προκάλεσαν την υποψία/ανησυχία, με αναφορά σε ονόματα, ημερομηνίες, έγγραφα, τοποθεσίες και 

(β) τον λόγο που οδήγησε στην υποβολή της αναφοράς/καταγγελίας.

Σε καμία περίπτωση δεν αναμένεται η αναφορά/καταγγελία να αποδεικνύει τις ενδεχόμενες ανησυχίες/υποψίες του αναφέροντος, ωστόσο προτρέπεται να αναφέρονται όλες οι διαθέσιμες πληροφορίες, ώστε να διευκολύνεται η διερεύνηση της υπόθεσης.

Θα πρέπει να σημειωθεί ότι η Εταιρεία μέσα από τα κανάλια υποβολής αναφορών που θεσμοθετεί δίνει τη δυνατότητα στους αναφέροντες να υποβάλλουν την αναφορά τους είτε επωνύμως είτε ανωνύμως. Οι αναφορές πρέπει να γίνονται «καλή τη πίστει». Η Εταιρεία δεσμεύεται να προστατεύσει τους αναφέροντες, δεδομένου ότι υπέβαλλαν την αναφορά καλή τη πίστει από κάθε διάκριση ή δυσμενή μεταχείριση, τυχόν στοχοποίηση ή πράξη η οποία στοχεύει στην τιμωρία του και προβλέπει δυσμενή επαγγελματική μετακίνηση/μετάθεση ή λύση εργασίας.  Μετά το πέρας της εξέτασης της αναφοράς, δεν προβλέπονται κυρώσεις ή συνέπειες για όσους δεν αποδειχθεί ότι διέπραξαν ή συντέλεσαν έκνομη ενέργεια.


Ποιος έχει πρόσβαση στα Δεδομένα;

Πρόσβαση στα Δεδομένα που περιλαμβάνονται στις αναφορές για τους σκοπούς της εξέτασης ή της διαχείρισης των αναφορών μπορούν να έχουν μόνο όσοι εμπλέκονται στη διαχείριση και διερεύνηση του εκάστοτε περιστατικού και στο βαθμό που απαιτείται. 

Ειδικότερα, τα Δεδομένα που περιλαμβάνονται στις αναφορές κοινοποιούνται κατά περίπτωση και ανάλογα τη φύση του περιστατικού και σύμφωνα πάντοτε με τις σχετικές Πολιτικές και Διαδικασίες: στα μέλη της Επιτροπής Αξιολόγησης Αναφορών της Εταιρείας (εάν το περιστατικό αφορά βία/παρενόχληση), στον Υπεύθυνο Κανονιστικής Συμμόρφωσης (υπεύθυνος παραλαβής και παρακολούθησης αναφορών), στον Επικεφαλής Εσωτερικού Ελέγχου (υπεύθυνος διαχείρισης/εξέτασης των αναφορών) στον Υπεύθυνο Προστασίας Δεδομένων, στην Επιτροπή Ελέγχου, στο Διοικητικό Συμβούλιο, σε εξωτερικούς συμβούλους  που δεσμεύονται με ρήτρες εμπιστευτικότητας, δικηγόρους, καθώς και σε δικαστικές ή/και διοικητικές αρχές.  

Επίσης, τα Δεδομένα που περιλαμβάνονται στις αναφορές/καταγγελίες κοινοποιούνται στα άτομα που περιλαμβάνονται στην αναφορά/καταγγελία, στους μάρτυρες και σε οποιονδήποτε άλλο έχει έννομο συμφέρον. Όταν επιτρέπεται η πρόσβαση των Δεδομένων στα άτομα που περιλαμβάνονται στην αναφορά/καταγγελία, αποκρύπτονται τα στοιχεία του καταγγέλλοντος και των μαρτύρων, εκτός αν αυτοί έχουν δώσει ρητή συγκατάθεση, καθώς και αν αποδείχθηκε ότι η αναφορά/καταγγελία ήταν κακόβουλη.

Οι αναφερόμενοι και οι εμπλεκόμενοι στη διαδικασία διερεύνησης της αναφοράς ενημερώνονται για το περιεχόμενο της αναφοράς και για τα σχετικά δικαιώματά τους και την άσκηση τους, σύμφωνα με το ισχύον πλαίσιο. Ωστόσο, η παροχή ενημέρωσης εξετάζεται κατά περίπτωση καθώς ενδέχεται να προκύψουν περιπτώσεις, όπου η ως άνω ενημέρωση μπορεί, ενδεικτικά,  α) να παρακωλύσει τη διερεύνηση της υπόθεσης και να παρεμποδίσει την αξιολόγηση της αναφοράς καθώς και την συλλογή πληροφοριών και στοιχείων που απαιτούνται, ή β) να οδηγήσει άμεσα ή έμμεσα σε ταυτοποίηση των αναφερόντων, ή γ) να οδηγήσει σε αποκάλυψη εμπιστευτικών πληροφοριών οι οποίες λόγω της φύσης τους και ιδίως λόγω των υπέρτερων έννομων συμφερόντων της Εταιρείας, πρέπει να παραμείνουν απόρρητες, ή δ) να παρεμποδίσει την  θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων της Εταιρείας ή/και την τυχόν ποινική διαδικασία. Σε περίπτωση που όσοι περιλαμβάνονται στην αναφορά/καταγγελία δεν ενημερωθούν άμεσα για το περιεχόμενο αυτής, προκειμένου να μην προβούν σε ενέργειες παρακώλυσης της έρευνας, οι λόγοι της σχετικής καθυστέρησης θα πρέπει να αποτυπωθούν εγγράφως και το έγγραφο να καταχωρηθεί στο φάκελο της υπόθεσης.


Tα Δεδομένα που λαμβάνει η ομάδα διαχείρισης καταγγελίας διαβιβάζονται σε τρίτους;

Τα Δεδομένα και γενικά οι πληροφορίες που λαμβάνει η ομάδα διαχείρισης καταγγελίας δεν διαβιβάζονται σε άλλα πρόσωπα ή ομάδες της Εταιρείας ή της εταιρείας του Ομίλου (που αφορά το περιστατικό), εκτός εάν η εν λόγω διαβίβαση θεωρείται απολύτως αναγκαία για τους σκοπούς της περαιτέρω έρευνας της καταγγελίας και αποκλειστικά προς τα απαιτούμενα άτομα στη βάση της αναγκαίας γνώσης.

Πόσο καιρό τηρούνται τα Δεδομένα που εμπεριέχονται σε αναφορά/καταγγελία;

Η Εταιρεία θα τηρεί τα Δεδομένα για συγκεκριμένο χρόνο από την ολοκλήρωση της έρευνας, ο οποίος διαφοροποιείται ανάλογα με το πόρισμα αυτής.  Ειδικότερα:
Στην περίπτωση που η αναφορά κριθεί αβάσιμη ή καταχρηστική ή δεν περιέχει περιστατικά που στοιχειοθετούν παραβίαση ή δεν συντρέχουν σοβαρές ενδείξεις παραβίασης, τα Δεδομένα διαγράφονται εντός έξι (6) μηνών από τη θέση της στο αρχείο.

  • Στην περίπτωση που η αναφορά/καταγγελία ακολουθήσει τη νομική οδό, τα Δεδομένα διαγράφονται με την έκδοση αμετάκλητης δικαστικής απόφασης επί αυτής.
  • Στην περίπτωση που από την αναφορά/καταγγελία προκύψουν τεκμηριωμένα ευρήματα εις βάρος εργαζομένου/στελέχους της Εταιρείας ή εταιρείας του Ομίλου (που αφορά το περιστατικό), τα Δεδομένα διατηρούνται καθ’ όλη τη διάρκεια απασχόλησής του/σχέσης του με την Εταιρεία ή την εταιρεία του Ομίλου και διαγράφονται είκοσι (20) έτη μετά την με οποιονδήποτε τρόπο λήξη/λύση της συνεργασίας.
  • Στην περίπτωση που από την αναφορά/καταγγελία προκύψουν τεκμηριωμένα ευρήματα εις βάρος τρίτου λ.χ. πελάτη, προμηθευτή, εξωτερικού συνεργάτη της Εταιρίας ή της εταιρείας του Ομίλου (που αφορά το περιστατικό), τα Δεδομένα διατηρούνται καθ’ όλη τη διάρκεια της συνεργασίας του και διαγράφονται πέντε (5) έτη μετά την με οποιονδήποτε τρόπο λήξη/λύση της συνεργασίας.

Σε όλες τις περιπτώσεις τηρούνται οι σχετικές Πολιτικές της Εταιρείας για τη διατήρηση και διαγραφή των προσωπικών δεδομένων. 


Τι τεχνικά και οργανωτικά μέτρα εφαρμόζει η Εταιρεία για την προστασία των Δεδομένων;

Η Εταιρεία εφαρμόζει τα απαραίτητα τεχνικά και οργανωτικά μέτρα για να εξασφαλίσει ορισμένο επίπεδο ασφάλειας ανάλογο με τους κινδύνους που υφίστανται λόγω της επεξεργασίας και εν όψει της φύσης των υπό επεξεργασία Δεδομένων, σύμφωνα με τις ισχύουσες πολιτικές και διαδικασίες της Εταιρείας σε σχέση με την επεξεργασία των Δεδομένων και την ασφάλεια των πληροφοριών (όπως πρόσβαση σε πληροφορίες on a need to know basis, δέσμευση του προσωπικού που έχει πρόσβαση με υποχρέωση εμπιστευτικότητας, έλεγχος των δικαιωμάτων πρόσβασης, χρήση κρυπτογράφησης, επίβλεψη εξοπλισμού και υπηρεσιών πληροφορικής σε πλήρη συμμόρφωση με την ισχύουσα νομοθεσία, κλπ). 


Που μπορώ να απευθυνθώ για περισσότερες πληροφορίες;

Για περισσότερες πληροφορίες για την επεξεργασία των Δεδομένων σας και τα δικαιώματά σας, παρακαλούμε να ανατρέξετε στη Δήλωση Προστασίας Προσωπικών Δεδομένων στον εξής σύνδεσμο:  Policy | Uni Systems, στην Πολιτική Διαχείρισης Αναφορών-Καταγγελιών ή να απευθυνθείτε στον Υπεύθυνο Προστασίας Δεδομένων (DPO) στην ηλεκτρονική διεύθυνση dpo@unisystems.gr