Adatkezelési tájékoztató a visszaélés bejelentési rendszerhez
1. Általános információk
a) Bevezetés
Az alábbi adatkezelési tájékoztató célja, hogy tájékoztassuk Önt a visszaélés bejelentő csatornáink (Whistleblowing) használatával kapcsolatos személyes adatainak kezeléséről, valamint az Általános Adatvédelmi Rendelet („GDPR”) és a hasonló alkalmazandó adatvédelmi jogszabályok szerinti adatkezeléssel kapcsolatos jogairól.
b) Adatkezelő
A visszaélés bejelentő csatornáink adatkezelésének adatvédelmi felelőssége tekintetében különbséget kell tenni:
A vállalatcsoport olyan helyi visszaélés bejelentési csatornája (elérhetőségi adatok) esetén, amikor a társaság valamely alkalmazottja üzemelteti a rendszert, a társaság a METRO AG-vel együttesen felel a GDPR 26. cikke alapján.
A vállalatcsoport olyan helyi visszaélés bejelentési csatornája (elérhetőségi adatok) esetén, amikor egy másik vállalat alkalmazottja üzemelteti a rendszert („Segítő vállalat”), az adott vállalat a METRO AG-vel együttesen felelős a GDPR 26. cikke alapján.
A vállalatcsoport központi online visszaélés bejelentő rendszere („Bejelentő rendszer”) esetében az érintett vállalat és a METRO AG együttesen felelős a GDPR 26. cikke alapján.
A METRO AG felelős a visszaélés bejelentő rendszer (Whistleblowing System) működtetéséért és a rendszeren keresztül beérkező bejelentéseknek az érintett vállalathoz való hozzárendeléséért. A METRO AG-nál található Compliance Osztály általában felelős a csoporton belüli összes bejelentés kezeléséért és nyomon követéséért. A METRO AG felelőssége erre korlátozódik a helyi bejelentési csatornákon keresztül beérkezett bejelentések esetében, kivéve ha a bejelentés más funkcióban maga is érintett.
A Segítő vállalat látja el az adott vállalat belső jelentési csatornájának feladatait és felelős az ezzel összefüggésben végzett adatkezelésért. A Segítő vállalat általában a METRO AG.
A jelentések kezeléséért és feldolgozásáért az adott bejelentéssel érintett vállalat a felelős. Ez magában foglalja különösen a jogsértés orvoslására irányuló intézkedéseket és a jelentést tevő személy tájékoztatását is.
A METRO AG elérhetősége: Metro-Straße 1, 40235 Düsseldorf. Az egyes vállalatok címei és elérhetőségi az adatkezelési tájékoztatóban találhatók azon a weboldalon, ahol az adott helyi visszaélés bejelentési csatornát közzéteszik.
A METRO társaságok közötti közös adatkezelés általános szempontjai a következő címen találhatók:
https://www.metroag.de/en/data-privacy/jointcontrol
c) Adatvédelmi tisztviselő
Az érintett adatvédelmi tisztviselőkkel bármikor kapcsolatba léphet az alábbi elérhetőségeken:
METRO AG, Adatvédelmi tisztviselő, Metro-Straße 1, 40235 Düsseldorf, E-Mail: datenschutz@metro.de.
METRO Kereskedelmi Kft. Adatvédelmi tisztviselő: 2040 Budaörs, Keleti utca 3., E-Mail: adatvedelem@metro.co.hu
Az egyes vállalatok adatvédelmi tisztviselőinek elérhetőségei megtalálhatók az adatkezelési tájékoztatókban azokon a weboldalakon, ahol az adott helyi visszaélés bejelentési csatorna megjelenik.
2. A személyes adatok kezelésére vonatkozó információk
a) Cél és jogalap
A visszaélés bejelentő csatornák a METRO vállalatcsoport (METRO) megfelelőségi szabályainak megsértésével kapcsolatos bejelentések biztonságos és bizalmas fogadására, feldolgozására és kezelésére szolgálnak.
Amennyiben a csoporthoz tartozó vállalat jogilag köteles visszaélés bejelentési csatornát fenntartani, a bejelentésből következő személyes adatok kezelése a GDPR 6. cikk (1) bekezdés c) pontján alapul. Amennyiben a személyes adatok különleges kategóriáinak kezelésére kerül sor, további jogalap a GDPR 9. cikk (2) bekezdés g) pontja. Az adatkezelés a METRO csoport jogos érdekén alapul, hogy felderítse és megelőzze a visszaéléseket és ezáltal elkerülje a METRO, a METRO alkalmazottai és ügyfelei kárát. Ez az adatkezelés a GDPR 6. cikk (1) bekezdés f) pontján alapul. Amennyiben az adatkezelés hozzájáruláson alapul, különösen a személyazonosságra vonatkozó információk továbbításakor, az adatkezelés a GDPR 6. cikk (1) bekezdés a) pontján alapul, vagy - a személyes adatok különleges kategóriái esetében - a GDPR 9. cikk (2) bekezdés g) pontján.
A METRO vállalatok intézkedéseinek nyomon követése a szerződéses kötelezettségek teljesítése vagy megszüntetése miatt lehetnek szükségesek, mely folyamat a GDPR 6. cikk (1) bekezdés b) pontján alapul.
b) A kezelt személyes adatok típusa
A visszaélés bejelentő csatornák használata önkéntes alapon történik. Ha Ön a visszaélés bejelentő csatornákon keresztül bejelentést tesz, a következő személyes adatokat és információkat kezeljük Önről:
- az Ön neve, amennyiben úgy dönt, hogy felfedi személyazonosságát,
- azt, hogy Ön a METRO-nál dolgozik-e és
- azon személyek nevét és egyéb személyes adatait, akiket a bejelentésében megnevez.
c) A jelentések és a címzettek bizalmas kezelése
A beérkező bejelentéseket a METRO Compliance Osztálya kifejezetten erre felhatalmazott és speciálisan képzett munkatársainak egy kis csoportja fogadja és azokat mindig bizalmasan kezelik. A METRO Compliance Osztályának munkatársai értékelik az ügyet és elvégzik az adott eset által megkövetelt további vizsgálatokat. A bejelentés feldolgozása vagy egy speciális vizsgálat lefolytatása során szükségessé válhat a jelentések megosztása a METRO további alkalmazottjaival vagy más METRO vállalkozás alkalmazottjaival, pl. ha a bejelentések más METRO vállalatoknál történt eseményekre vonatkoznak. Ez utóbbiak székhelye az Európai Unión vagy az Európai Gazdasági Térségen kívüli országokban is lehet, ahol a személyes adatok védelmére vonatkozó előírások eltérőek. A jelentések megosztásakor mindig biztosítjuk a vonatkozó adatvédelmi előírások betartását. Minden személy, aki hozzáfér az adatokhoz, köteles a titoktartásra.
Alapelvként a törvény kötelez bennünket arra, hogy tájékoztassuk a bejelentéssel érintetteket arról, hogy jelentést kaptunk róluk, kivéve, ha ez veszélyezteti a jelentéssel kapcsolatos további vizsgálatokat. Ennek során az Ön, mint bejelentő személyazonosságát nem fedjük fel, amennyire ez jogilag lehetséges.
Az Ön hozzájárulásával a jelentésekből származó információkat külső feleknek is továbbítjuk. Máskülönben azokat - a törvény által megengedett mértékben - csak az illetékes nyomozó- és bűnüldöző hatóságoknak, illetve ebben az összefüggésben a szakmai jog alapján titoktartásra kötelezett bíróságoknak és tanácsadóknak adjuk át.
d) Megőrzés
A személyes adatokat addig őrizzük meg, amíg a helyzet tisztázásához és a jelentés értékeléséhez szükséges, vagy a vállalat jogos érdeke fennáll, vagy törvény írja elő. Az adatokat általában az ügy végleges értékelését követően legfeljebb három évig tároljuk. Ha különleges igények indokolják, egyedi esetekben ez az időtartam akár hét év is lehet.
e) Adatbiztonság a bejelentési rendszerben
Az Ön számítógépe és a visszaélés bejelentő rendszer közötti kommunikáció titkosított kapcsolaton (SSL) keresztül történik. Az Ön IP-címe nem kerül tárolásra a visszaélés bejelentő rendszer használata során. Az Ön számítógépe és a visszaélés bejelentő rendszer közötti kapcsolat fenntartása érdekében a számítógépén egy cookie kerül tárolásra, amely csupán a munkamenet azonosítóját tartalmazza (ún. null cookie). Ez a cookie csak a munkamenet végéig érvényes és a böngésző bezárásakor lejár. A visszaélés bejelentő rendszeren belül lehetőség van egy postafiók beállítására, amely egy egyénileg választott álnévvel/felhasználónévvel és jelszóval van biztosítva. Ez lehetővé teszi, hogy a METRO illetékes munkatársának névvel vagy névtelenül, biztonságos módon küldjön bejelentéseket. Kizárólag a visszaélés bejelentő rendszeren belül tárolunk adatokat, ami különösen biztonságossá teszi a személyes adatainak védelmét. A visszaélés bejelentő rendszerben történő kommunikáció nem a hagyományos email-es kommunikáció egy formája.
Ha bejelentést vagy kiegészítést nyújt be, egyidejűleg mellékleteket is küldhet a METRO illetékes munkatársának. Ha névtelenül kíván bejelentést tenni, kérjük, vegye figyelembe az alábbi biztonsági tanácsokat: A fájlok olyan rejtett személyes adatokat tartalmazhatnak, amelyek veszélyeztethetik az Ön anonimitását. Küldés előtt távolítsa el ezeket az adatokat. Ha nem tudja eltávolítani ezeket az adatokat, vagy nem tudja, hogyan tegye ezt meg, másolja be a csatolmány szövegét a bejelentés szövegébe, vagy küldje el a kinyomtatott dokumentumot névtelenül az érintett METRO vállalat székhelyére, a bejelentési folyamat végén kapott hivatkozási számra hivatkozva.
A bejelentési rendszert a METRO megbízásából egy erre szakosodott vállalat, a Business Keeper AG (Bayreuther Str. 35, 10789 Berlin, Németország) működteti. A bejelentő rendszerbe bevitt személyes adatokat és információkat a Business Keeper AG által üzemeltetett adatbázisban tárolják egy magas biztonsági szintű adatközpontban. Az adatokhoz kizárólag a METRO fér hozzá. A Business Keeper AG és más harmadik felek nem férnek hozzá az adatokhoz. Ezt a tanúsított eljárás során kiterjedt technikai és szervezési intézkedésekkel biztosítják. Minden adatot titkosítva, többszintű jelszavas védelemmel tárolnak, így a hozzáférés kizárólag a METRO-nál kifejezetten felhatalmazott személyek nagyon szűk körére korlátozódik.
3. Az Ön jogai
Ön, mint érintett bármikor kapcsolatba léphet adatvédelmi tisztviselőnkkel a GDPR szerinti jogai gyakorlása érdekében, ha az 1. c) pontban megnevezett elérhetőségek egyikén felveszi velünk a kapcsolatot. Ezen jogok a következők:
- Az adatkezelésről való tájékoztatáshoz és a kezelt adatokról történő másolat kérésének joga (hozzáférési jog, GDPR 15. cikk).
- A pontatlan adatok helyesbítésének vagy a hiányos adatok kiegészítésének kéréséhez való jog (helyesbítéshez való jog, GDPR 16. cikk).
- a személyes adatok törlésének kéréséhez való jog, és amennyiben a személyes adatokat nyilvánosságra hozták, a törlési kérelemről más adatkezelők tájékoztatása (törléshez való jog, GDPR 17. cikk).
- Az adatkezelés korlátozásának kéréséhez való jog (az adatkezelés korlátozásához való jog, GDPR 18. cikk).
- Az érintettre vonatkozó személyes adatok strukturált, széles körben használt és géppel olvasható formátumban történő megismeréséhez való jog, valamint ezen adatok más adatkezelő részére történő továbbításának kérése (az adathordozhatósághoz való jog, GDPR 20. cikk).
- Az adatkezelés elleni tiltakozás joga annak leállítása érdekében (tiltakozáshoz való jog, GDPR 21. cikk).
- A megadott hozzájárulás bármikor történő visszavonásának joga az Ön hozzájárulásán alapuló adatkezelés leállítása érdekében. A visszavonás nem érinti a visszavonás előtti hozzájáruláson alapuló adatkezelés jogszerűségét (visszavonási jog, GDPR 7. cikk).
- A felügyeleti hatóságnál történő panasztétel joga, ha Ön szerint az adatkezelés sérti a GDPR-t (A felügyeleti hatóságnál történő panasztétel joga, GDPR 77. cikk).
Ha az Ön személyes adatait társaságunk jogos érdekei alapján kezeljük a GDPR 6. cikk (1) bekezdés f) pontja alapján, Ön jogosult tiltakozni személyes adatai kezelése ellen, ha az Ön egyedi helyzetéből adódóan erre oka van. Ha élni kíván a tiltakozási jogával, mindössze annyit kell tennie, hogy e-mailt, vagy postai úton levelet küld az 1. c) pontban említett elérhetőségre.
(v 3.1.)