Notificare privind protecția datelor - Denunțarea
1. Informații generale
a) Introducere
Următoarele notificări privind protecția datelor au ca scop informarea dumneavoastră cu privire la prelucrarea datelor dumneavoastră cu caracter personal în legătură cu utilizarea canalelor noastre de denunțare și drepturile dumneavoastră în conformitate cu Regulamentul General privind Protecția Datelor („GDPR”) și legile similare aplicabile privind protecția datelor referitoare la această prelucrare.
b) Operator de date
Trebuie făcută o distincție în ceea ce privește responsabilitatea în ceea ce privește protecția datelor pentru prelucrarea acestora efectuată în cadrul canalelor noastre de denunțare:
În cazul unui canal local de raportare al unei companii din grup (date de contact) pentru care este responsabil un angajat propriu al societății, respectiva societate din grup este responsabilă în comun, în sensul art. 26 GDPR, împreună cu METRO AG.
În cazul unui canal local de raportare al unei societăți din cadrul grupului (date de contact) pentru care este responsabil un angajat al unei alte societăți ("Societatea Asistentă"), societatea respectivă din cadrul grupului este responsabilă în comun în sensul art. 26 GDPR, împreună cu METRO AG și Societatea Asistentă.
În cazul sistemului central online de Denunțare („Sistemul de Denunțare”), societatea din grup afectată pentru care se face raportarea este responsabilă în comun în sensul art. 26 GDPR împreună cu METRO AG.
METRO AG este responsabilă de funcționarea sistemului de Denunțare și de repartizarea rapoartelor primite prin intermediul acestui sistem către societățile respective din grup. Departamentul de conformitate corporativă cu sediul la METRO AG este, în general, responsabil pentru gestionarea și urmărirea tuturor rapoartelor de denunțare din cadrul grupului. Responsabilitatea METRO AG se limitează la aceasta pentru rapoartele primite prin intermediul canalelor locale de raportare, cu excepția cazului în care este ea însăși afectată de raport în altă funcție.
Societatea Asistentă îndeplinește sarcinile canalului intern de raportare pentru respectiva societate din grup și este responsabilă pentru prelucrarea datelor efectuată în acest context. De regulă, Societatea Asistentă este METRO AG.
Societatea din cadrul grupului afectată de raportul respectiv este responsabilă pentru gestionarea și prelucrarea acestor rapoarte. Aceasta include, în special, măsurile de remediere a unei încălcări și obligația de a raporta persoanei care a furnizat raportul.
Adresa de contact a METRO AG este Metro-Straße 1, 40235 Düsseldorf. Adresele de contact ale respectivelor societăți din cadrul grupului pot fi găsite în notificările privind protecția datelor de pe site-urile web unde este publicat respectivul canal local de raportare.
Aspecte generale privind controlul comun între entitățile METRO pot fi găsite la adresa:
https://www.metroag.de/en/data-privacy/jointcontrol
c) Responsabil cu protecția datelor
Y Puteți contacta în orice moment persoanele responsabile cu protecția datelor la următoarele date de contact:
METRO AG, Responsabil cu protecția datelor, Metro-Straße 1, 40235 Düsseldorf, e-mail: datenschutz@metro.de
Datele de contact ale responsabililor cu protecția datelor din cadrul societăților grupului respective pot fi găsite în notificările privind protecția datelor de pe site-urile web unde este publicat respectivul canal local de raportare.
2. Informații privind Prelucrarea Datelor cu Caracter Personal
a) Scop și temei legal
Canalele de Denunțare urmăresc primirea, prelucrarea și gestionarea în condiții de siguranță și confidențialitate a rapoartelor privind încălcarea normelor de conformitate ale Grupului de societăți METRO (METRO).
În măsura în care o societate din grup este obligată prin lege să mențină un canal de raportare, prelucrarea datelor cu caracter personal care rezultă din raport se bazează în mod legal pe art. 6 p. 1 s. 1 lit. c) GDPR. În măsura în care sunt prelucrate categorii speciale de date cu caracter personal, temeiul legal suplimentar este Art. 9 p. 2 lit. g) GDPR sau temeiul legal național aplicabil pentru categoriile speciale de date cu caracter personal. În caz contrar, prelucrarea datelor se bazează pe interesul legitim al societăților din grup de a detecta și preveni conduita necorespunzătoare și de a evita astfel prejudicierea METRO, a angajaților și a clienților săi. Această prelucrare se bazează în mod legal pe art. 6 p. 1 s. 1 lit. f) GDPR. În măsura în care prelucrarea datelor se bazează pe consimțământ, în special atunci când se transferă informații privind identitatea, temeiul legal este Art. 6 p. 1 s. 1 lit. a) GDPR sau - în cazul categoriilor speciale de date cu caracter personal - în continuare Art. 9 p. 2 lit. a) și lit. g) GDPR.
Măsurile de urmărire ale fiecărei societăți din grup pot fi necesare pentru executarea sau încetarea raporturilor de serviciu sau de muncă și sunt întemeiate legal pe art. 6 p. 1 s. 1 lit. b) GDPR și temeiurile legale naționale corespunzătoare.
b) Tipul de Date cu Caracter Personal Colectate
Utilizarea canalelor de denunțare are loc pe baza unei acțiuni voluntare. Dacă trimiteți un raport prin intermediul canalelor de denunțare, colectăm următoarele date și informații cu caracter personal:
- numele dumneavoastră, dacă alegeți să vă divulgați identitatea,
- dacă sunteți angajat al METRO și
- numele persoanelor și alte date cu caracter personal ale persoanelor pe care le menționați în raportul dumneavoastră.
c) Tratarea Confidențialității Rapoartelor și a Destinatarilor
Rapoartele primite sunt preluate de un număr restrâns de angajați ai Departamentului de conformitate al METRO, autorizați în mod expres și special instruiți, și sunt întotdeauna tratate în regim de confidențialitate. Angajații departamentului de conformitate al METRO vor evalua problema și vor efectua orice investigație suplimentară cerută de cazul specific. În timpul prelucrării unui raport sau al desfășurării unei anchete speciale, poate fi necesar să se facă schimb de rapoarte cu alți angajați ai METRO sau cu angajați ai altor societăți din grup, de exemplu dacă rapoartele se referă la incidente survenite în alte societăți din grup. Acestea din urmă pot avea sediul în țări din afara Uniunii Europene sau a Spațiului Economic European cu reglementări diferite în ceea ce privește protecția datelor cu caracter personal. Ne asigurăm întotdeauna că sunt respectate reglementările aplicabile privind protecția datelor atunci când partajăm rapoarte. Toate persoanele care primesc acces la date sunt obligate să păstreze confidențialitatea.
Ca principiu de bază, suntem obligați prin lege să informăm persoanele învinuite că am primit un raport care le vizează, cu excepția cazului în care acest lucru pune în pericol continuarea investigațiilor cu privire la raport. Procedând astfel, identitatea dumneavoastră în calitate de denunțător nu este dezvăluită în măsura în care este posibil din punct de vedere legal.
Cu acordul dumneavoastră, informațiile din rapoarte vor fi transmise unor părți externe; în caz contrar, acestea vor fi transmise doar - în măsura permisă de lege - autorităților relevante de investigare și urmărire penală sau, în acest context, instanțelor și consilierilor care au obligația de a păstra secretul conform legislației profesionale.
d) Păstrare
Datele cu caracter personal sunt păstrate atât timp cât este necesar pentru a clarifica situația și a efectua o evaluare a raportului sau există un interes legitim al societății sau este impus de lege. De regulă, datele sunt păstrate pentru o perioadă de până la trei ani după evaluarea finală a cazului. Dacă acest lucru este indicat de nevoi speciale, în cazuri individuale, perioada poate fi de până la șapte ani.
e) Securitatea datelor în Sistemul de Denunțare
Comunicarea dintre calculatorul dumneavoastră și sistemul de Denunțare are loc prin intermediul unei conexiuni criptate (SSL). Adresa dumneavoastră IP nu va fi stocată în timpul utilizării sistemului de Denunțare. Pentru a menține conexiunea dintre calculatorul dvs. și sistemul de Denunțare, pe calculatorul dvs. este stocat un cookie care conține doar numărul de identificare al sesiunii (un așa-numit „null cookie”). Acest cookie este valabil doar până la sfârșitul sesiunii dvs. și expiră atunci când închideți programul de navigare. Este posibilă crearea unei căsuțe poștale în cadrul sistemului de Denunțare care este securizată cu un pseudonim / nume de utilizator și parolă alese în mod individual. Acest lucru vă permite să trimiteți rapoarte către angajatul responsabil de la METRO fie după nume, fie într-un mod anonim și în siguranță. Acest sistem stochează datele doar în interiorul sistemului de Denunțare, ceea ce îl face să fie foarte securizat. Nu este o formă de comunicare obișnuită prin e-mail.
Atunci când trimiteți un raport sau o completare, puteți trimite simultan atașamente angajatului responsabil al METRO. Dacă doriți să trimiteți un raport anonim, vă rugăm să țineți cont de următoarele sfaturi de securitate: Fișierele pot conține date personale ascunse care v-ar putea compromite anonimatul. Eliminați aceste date înainte de transmitere. Dacă nu puteți elimina aceste date sau nu sunteți sigur cum să faceți acest lucru, copiați textul atașamentului în textul raportului sau trimiteți documentul tipărit în mod anonim la adresa menționată în subsolul paginii, menționând numărul de referință primit la sfârșitul procesului de raportare.
Sistemul de Denunțare este operat de o societate specializată, Business Keeper AG, Bayreuther Str. 35, 10789 Berlin din Germania, în numele METRO. Datele cu caracter personal și informațiile introduse în sistemul de Denunțare sunt stocate într-o bază de date operată de Business Keeper AG într-un centru de date cu grad ridicat de securitate. Accesul la date îl are doar METRO. Business Keeper AG și alte părți terțe nu au acces la date. Acest lucru este asigurat în procedura certificată prin măsuri tehnice și organizatorice extinse. Toate datele sunt stocate criptat, cu mai multe niveluri de protecție a parolei, astfel încât accesul este limitat la o selecție foarte restrânsă de persoane expres autorizate din cadrul METRO.
3. Drepturile dumneavoastră
În calitate de persoană vizată, puteți contacta în orice moment responsabilul nostru cu protecția datelor prin trimiterea unei comunicări informale la datele de contact menționate mai sus la punctul 1. c) pentru a vă exercita drepturile în conformitate cu GDPR. Aceste drepturi sunt următoarele:
- Dreptul de a primi informații cu privire la prelucrarea datelor și o copie a datelor prelucrate (Dreptul de acces, articolul 15 din GDPR)
- Dreptul de a solicita rectificarea datelor incorecte sau completarea datelor incomplete (Dreptul la rectificare, articolul 16 din GDPR)
- Dreptul de a solicita ștergerea datelor cu caracter personal și, în cazul în care datele cu caracter personal au fost făcute publice, informarea altor operatori cu privire la cererea de ștergere (Dreptul la ștergere, art. 17 GDPR)
- Dreptul de a solicita restricționarea prelucrării datelor (Dreptul la restricționarea prelucrării, art. 18 GDPR)
- Dreptul de a primi datele cu caracter personal privind persoana vizată într-un format structurat, utilizat în mod obișnuit și care poate fi citit automat și de a solicita transmiterea acestor date către un alt operator (Dreptul la portabilitatea datelor, art. 20 GDPR)
- Dreptul de a vă opune prelucrării datelor pentru a opri prelucrarea acestora (dreptul de opoziție, articolul 21 din GDPR)
- Dreptul de a retrage un consimțământ dat în orice moment pentru a opri o prelucrare a datelor care se bazează pe consimțământul dumneavoastră. Retragerea nu are niciun efect asupra legalității prelucrării bazate pe consimțământul acordat anterior retragerii (dreptul de retragere, art. 7 din RGPD)
- Dreptul de a depune o plângere la o autoritate de supraveghere în cazul în care considerați că prelucrarea datelor reprezintă o încălcare a GDPR (Dreptul de a depune o plângere la o autoritate de supraveghere, articolul 77 din GDPR).
În cazul în care datele dvs. cu caracter personal sunt prelucrate pe baza intereselor legitime în conformitate cu Art. 6 p. 1 s. 1 lit. f) GDPR, aveți dreptul de a vă opune prelucrării datelor dvs. cu caracter personal în conformitate cu art. 21 DSGVO, cu condiția să existe motive pentru a face acest lucru care decurg din situația dumneavoastră particulară. Dacă doriți să vă exercitați dreptul de opoziție, tot ce trebuie să faceți este să trimiteți un e-mail la datele de contact menționate mai sus la punctul 1. c).
(v 3.1)