Уведомление о защите данных в рамках информирования о нарушениях
1. Общие сведения
а) Введение
Следующие уведомления о защите данных предназначены для информирования вас об обработке ваших персональных данных в связи с использованием наших каналов информирования о нарушениях и ваших правах в соответствии с Общим регламентом по защите данных (далее — «GDPR») и аналогичными применимыми законами о защите данных, касающимися такой обработки.
b) Контролер данныхНеобходимо провести различие с точки зрения ответственности за защиту данных при обработке данных, осуществляемой с использованием наших каналов информирования о нарушениях:
В случае локального канала информирования компании группы (контактные данные), за который отвечает собственный сотрудник компании, соответствующая компания группы несет совместную с компанией «МЕТРО АГ» (METRO AG) ответственность в понимании ст. 26 GDPR.
В случае локального канала информирования компании группы (контактные данные), за который отвечает сотрудник другой компании (далее — «Ассистирующая компания»), соответствующая компания группы несет совместную с компанией «МЕТРО АГ» и Ассистирующей компанией ответственность в понимании ст. 26 GDPR.
В случае центральной онлайн-системы информирования о нарушениях (далее — «Система информирования о нарушениях») соответствующая компания группы, в отношении которой получено сообщение, несет совместную с компанией «МЕТРО АГ» ответственность в понимании ст. 26 GDPR.
«МЕТРО АГ» отвечает за функционирование Системы информирования о нарушениях и передачу сообщений, полученных через эту систему, соответствующим компаниям группы. Как правило, Отдел корпоративного регулирования «МЕТРО АГ» отвечает за управление всеми сообщениями о нарушениях в рамках группы и их последующую обработку. Ответственность «МЕТРО АГ» ограничивается сообщениями, полученными по локальным каналам информирования, если только компания сама не упоминается в сообщении в другом подразделении.
Ассистирующая компания выполняет задачи внутреннего канала информирования для соответствующей компании группы и отвечает за обработку данных, осуществляемую в данном случае. Как правило, Ассистирующей компанией является «МЕТРО АГ».
Ответственность за обработку таких сообщений несет компания группы, упомянутая в соответствующем сообщении. Сюда, в частности, относятся меры по устранению нарушения и обязанность по представлению обратной связи лицу, предоставившему сообщение.
Контактный адрес «МЕТРО АГ»: Метро-Штрассе 1, 40235 Дюссельдорф (Metro-Straße 1, 40235 Düsseldorf). Контактные адреса соответствующих компаний группы можно найти в уведомлениях о защите данных, размещенных на веб-сайтах, на которых опубликован соответствующий локальный канал информирования.
Общие аспекты совместного контроля между организациями «МЕТРО» можно найти по адресу:
https://www.metroag.de/en/data-privacy/jointcontrol
c) Сотрудник по защите данных Вы можете в любое время связаться с соответствующими сотрудниками по защите данных, используя следующую контактную информацию:
«МЕТРО АГ», Сотрудник по защите данных, Метро-Штрассе 1, 40235 Дюссельдорф, адрес эл. почты: datenschutz@metro.de
Контактную информацию сотрудников по защите данных соответствующих компаний группы можно найти в уведомлениях о защите данных, размещенных на веб-сайтах, на которых опубликован соответствующий локальный канал информирования.
2. Информация об обработке персональных данных
a) Цель и правовая основаКаналы информирования о нарушениях предназначены для безопасного и конфиденциального получения и обработки сообщений о нарушениях правил нормативно-правового соответствия Группы компаний «МЕТРО» и управления ими.
Поскольку компания группы по закону обязана вести канал информирования, обработка персональных данных, которая следует за получением сообщения, осуществляется на основании пп. c) п. 1 ст. 6 GDPR. Поскольку обрабатываются особые категории персональных данных, дополнительной правовой основой является пп. g) п. 2 ст. 9 GDPR или применимая правовая основа для особых категорий персональных данных, действующая на национальном уровне. В противном случае обработка данных осуществляется в соответствии с законным интересом компаний группы с целью обнаружения и предотвращения неправомерных действий и, следовательно, избежания нанесения ущерба «МЕТРО», ее сотрудникам и клиентам. Правовой основой для такой обработки является пп. f) п. 1 ст. 6 GDPR. Поскольку обработка данных основана на согласии, в частности, при передаче информации о личности, правовой основой является пп. f) п. 1 ст. 6 GDPR или (в случае особых категорий персональных данных) дополнительно пп. a) и g) п. 2 ст. 9 GDPR.
Последующие меры отдельных компаний группы могут быть необходимы для реализации или прекращения служебных или трудовых отношений и осуществляются на основании пп. b) п. 1 ст. 6 GDPR или на соответствующих правовых основах, действующих на национальном уровне.
b) Тип собираемых персональных данныхИспользование каналов информирования о нарушениях осуществляется на добровольной основе. При отправлении сообщения через каналы информирования о нарушениях мы собираем следующие персональные данные и информацию:
- ваше имя, если вы решите раскрыть свою личность;
- работаете ли вы в «МЕТРО»; и
- имена лиц и другие персональные данные лиц, которых вы указываете в своем сообщении.
c) Конфиденциальная обработка сообщений и получателиВходящие сообщения принимаются небольшой группой специально уполномоченных и специально обученных сотрудников Отдела по обеспечению нормативно-правового соответствия «МЕТРО», и их обработка всегда осуществляется в режиме конфиденциальности. Сотрудники Отдела по обеспечению нормативно-правового соответствия «МЕТРО» оценят ситуацию и проведут дальнейшее расследование, необходимое в конкретном случае. В ходе обработки сообщения или проведения специального расследования может возникнуть необходимость передачи сообщений другим сотрудникам «МЕТРО» или сотрудникам других компаний группы, например, если сообщения касаются инцидентов в других компаниях группы. Последние могут находиться в странах за пределами Европейского союза или Европейской экономической зоны, на территории которых действуют другие положения о защите персональных данных. При передаче сообщений мы всегда обеспечиваем соблюдение применимых положений о защите персональных данных. Все лица, получившие доступ к данным, обязаны соблюдать режим конфиденциальности.
В качестве основного принципа мы обязаны по закону информировать обвиняемых о том, что мы получили сообщение о них, если только это не ставит под угрозу дальнейшее расследование по такому сообщению. При этом ваша личность как информатора не раскрывается в допустимых законом пределах.
С вашего согласия информация, содержащаяся в сообщениях, будет передана сторонним лицам; в противном случае в разрешенном законом объеме она будет передана соответствующим следственным органам и органам прокуратуры или, в данном контексте, судам и советникам, обязанным хранить тайну в соответствии с законом, регулирующим их профессиональную деятельность.
d) Хранение Персональные данные хранятся до тех пор, пока это необходимо для прояснения ситуации и оценки сообщения, пока существует законный интерес компании или пока это требуется по закону. Как правило, данные хранятся до трех лет после окончательной оценки дела. При наличии особых потребностей в отдельных случаях этот срок может составлять до семи лет.
e) Безопасность данных в системе информирования о нарушениях Связь между вашим компьютером и Системой информирования о нарушениях осуществляется через зашифрованное соединение (SSL). Ваш IP-адрес не будет сохраняться во время использования вами Системы информирования о нарушениях. Для поддержания соединения между вашим компьютером и Системой информирования о нарушениях на вашем компьютере сохраняется файл cookie, содержащий только идентификатор сеанса (так называемый нулевой файл cookie). Этот файл cookie действителен только до конца сеанса и удаляется после закрытия браузера. В Системе информирования о нарушениях можно создать почтовый ящик, защищенный индивидуально выбранным псевдонимом/именем пользователя и паролем. Это позволяет вам отправлять сообщения ответственному сотруднику «МЕТРО» либо по имени, либо анонимно, безопасным способом. Эта система хранит данные только внутри Системы информирования о нарушениях, что обеспечивает высокий уровень ее безопасности. Это отличается от формы обычного общения по электронной почте.
При отправке сообщения или дополнения вы одновременно можете отправить вложения ответственному сотруднику «МЕТРО». Если вы хотите отправить анонимное сообщение, примите во внимание следующие рекомендации по безопасности: файлы могут содержать скрытые персональные данные, которые могут поставить под угрозу вашу анонимность. Удалите эти данные перед отправкой. Если вы не можете или не знаете как удалить эти данные, скопируйте текст вложения в текст вашего сообщения или отправьте распечатанный документ анонимно по адресу, указанному в нижнем колонтитуле, указав номер ссылки, полученный в конце процесса отправки сообщения.
Системой информирования о нарушениях управляет специализированная компания «Бизнес Кипер АГ» (Business Keeper AG), Байройтер Стр. 35, 10789 Берлин, Германия (Bayreuther Str. 35, 10789 Berlin, Germany), от имени «МЕТРО». Персональные данные и информация, внесенные в Систему информирования о нарушениях, хранятся в базе данных, которой управляет «Бизнес Кипер АГ» в центре обработки данных с высоким уровнем безопасности. Доступ к данным имеет только «МЕТРО». «Бизнес Кипер АГ» и другие третьи лица доступа к данным не имеют. Это обеспечивается в рамках сертифицированной процедуры комплексом технических и организационных мер. Все данные хранятся в зашифрованном виде с использованием нескольких уровней защиты паролем, благодаря чему доступ к ним ограничен очень узким кругом специально уполномоченных лиц в «МЕТРО».
3. Ваши права
Как субъект данных, вы можете в любое время связаться с нашим сотрудником по защите данных, отправив неофициальное сообщение по контактным данным, указанным выше в пп. c) п. 1, для реализации своих прав в соответствии с GDPR. К таким правам относятся:
- право на получение информации об обработке данных и копии обработанных данных (Право доступа, ст. 15 GDPR);
- право требовать исправления неточных данных или дополнения неполных данных (Право на уточнение данных, ст. 16 GDPR);
- право требовать удаления персональных данных и, если персональные данные были обнародованы, информирования других контролеров о запросе на удаление (Право на удаление данных, ст. 17 GDPR);
- право требовать ограничения обработки данных (Право на ограничение обработки, ст. 18 GDPR);
- право на получение персональных данных, касающихся субъекта данных, в структурированном, повсеместно используемом и машиночитаемом формате, а также право запрашивать передачу этих данных другому контролеру (Право на переносимость данных, ст. 20 GDPR);
- право на возражение против обработки данных с целью ее прекращения (Право на возражение, ст. 21 GDPR);
- право в любое время отозвать данное согласие с целью прекращения обработки данных, осуществляемой на основании вашего согласия. Отзыв не влияет на законность обработки, осуществленной на основании согласия до отзыва согласия (Право на отзыв, ст. 7 GDPR);
- право подать жалобу в надзорный орган, если вы считаете, что обработка данных нарушает GDPR (Право подать жалобу в надзорный орган, ст. 77 GDPR).
Если обработка ваших персональных данных осуществляется в соответствии с законными интересами на основании пп. f) п. 1 ст. 6 GDPR, вы имеете право возразить против обработки ваших персональных данных в соответствии со ст. 21 GDPR при условии, что для этого имеются основания, вытекающие из вашей конкретной ситуации. Если вы хотите воспользоваться своим правом на возражение, все, что вам нужно сделать, это отправить электронное письмо по контактным данным, указанным выше в пп. c) п. 1.