Informacja o ochronie danych osobowych w systemie zgłoszeniowym METRO
1. Informacje ogólne
a) Wprowadzenie
Poniższe informacje o ochronie danych osobowych dotyczą przetwarzania Twoich danych, kiedy korzystasz z naszego systemu zgłoszeniowego, a także praw przysługujących Ci zgodnie z rozporządzeniem o ochronie danych osobowych (RODO) i z podobnymi obowiązującymi przepisami prawa, które mają zastosowanie do takiego przetwarzania.
b) Administrator danych osobowych
Należy dokonać rozróżnienia w zakresie odpowiedzialności za ochronę danych w odniesieniu do przetwarzania danych w naszych kanałach informowania o nieprawidłowościach:
W przypadku lokalnego kanału zgłaszania spółki grupy (dane kontaktowe), za który odpowiedzialny jest pracownik danej spółki, dana spółka grupy jest współadministratorem w rozumieniu Art. 26 RODO wraz z METRO AG.
W przypadku lokalnego kanału raportowania spółki należącej do grupy (dane kontaktowe), za który odpowiedzialny jest pracownik innej spółki („Spółka Wspierająca”), dana spółka należąca do grupy jest współodpowiedzialna w rozumieniu art. 26 RODO wraz z METRO AG i Spółką Wspierającą.
W przypadku centralnego internetowego systemu zgłaszania nieprawidłowości („System Zgłaszania Nieprawidłowości”), spółka grupy, której dotyczy zgłoszenie, jest współadministratorem w rozumieniu art. 26 RODO wraz z METRO AG.
METRO AG jest odpowiedzialna za funkcjonowanie Systemu Zgłaszania Nieprawidłowości oraz za przypisywanie zgłoszeń otrzymanych za pośrednictwem tego systemu do odpowiednich spółek grupowych. Korporacyjny Dział Compliance METRO AG jest ogólnie odpowiedzialny za zarządzanie i dalsze działania w związku ze wszystkimi zgłoszeniami nieprawidłowości w ramach grupy. Odpowiedzialność METRO AG ogranicza się do zgłoszeń otrzymanych za pośrednictwem lokalnych kanałów zgłaszania, chyba że sama jest dotknięta zgłoszeniem w innej funkcji.
Spółka Wspierająca wykonuje zadania wewnętrznego kanału sprawozdawczego dla danej spółki grupy i jest odpowiedzialna za przetwarzanie danych prowadzone w tym kontekście. Co do zasady Spółką Wspierającą jest METRO AG.
Spółka grupy, której dotyczy dane zgłoszenie, jest odpowiedzialna za obsługę i przetwarzanie takich zgłoszeń. Obejmuje to w szczególności środki mające na celu zaradzenie naruszeniu oraz obowiązek przekazania informacji zwrotnej osobie zgłaszającej nieprawidłowości.
Adres kontaktowy METRO AG: Metro-Straße 1, 40235 Düsseldorf, Niemcy.
Adresy kontaktowe odpowiednich spółek grupy można znaleźć w informacjach o ochronie danych / politykach prywatności na stronach internetowych, na których publikowany jest odpowiedni lokalny kanał do zgłaszania nieprawidłowości.
Ogólne aspekty współadministrowania danymi między podmiotami METRO można znaleźć pod adresem: https://www.metroag.de/en/data-privacy/jointcontrol
c) Inspektor ochrony danych
Możesz w dowolnej chwili skontaktować się z naszym inspektorem ochrony danych, korzystając z następujących danych kontaktowych:
METRO AG, Data Protection Officer, Metro-Straße 1, 40235 Düsseldorf, E-Mail: datenschutz@metro.de
Dane kontaktowe inspektorów ochrony danych odpowiednich spółek grupy można znaleźć w informacjach o ochronie danych / politykach prywatności na stronach internetowych, na których publikowany jest odpowiedni lokalny kanał do zgłaszania nieprawidłowości.
2. Informacje dotyczące przetwarzania danych osobowych
a) Cel systemu zgłoszeniowego i podstawa prawna
System zgłoszeniowy pozwala w sposób bezpieczny i poufny przyjmować, przetwarzać i obsługiwać zgłoszenia w sprawie naruszeń zasad compliance w spółkach z grupy METRO (METRO).
W zakresie, w jakim spółka należąca do grupy jest prawnie zobowiązana do utrzymywania kanału do zgłaszania nieprawidłowości, przetwarzanie danych osobowych wynikające ze zgłoszenia jest prawnie oparte na art. 6 ust. 1 lit. c) RODO. W zakresie, w jakim przetwarzane są szczególne kategorie danych osobowych, dalszą podstawę prawną stanowi art. 9 ust. 2 lit. g) RODO lub obowiązująca krajowa podstawa prawna dla szczególnych kategorii danych osobowych. W przeciwnym razie przetwarzanie danych opiera się na uzasadnionym interesie spółek należących do grupy, polegającym na wykrywaniu i zapobieganiu niewłaściwemu postępowaniu, a tym samym unikaniu szkód dla METRO, jej pracowników i klientów. Przetwarzanie to jest prawnie oparte na art. 6 ust. 1 s. 1 lit. f) RODO.
W zakresie, w jakim przetwarzanie danych opiera się na zgodzie, w szczególności przy przekazywaniu informacji o tożsamości, podstawą prawną jest art. 6 ust. 1 zd. 1 lit. a) RODO lub – w przypadku szczególnych kategorii danych osobowych – dalsze art. 9 ust. 2 lit. a) i lit. g) RODO.
Działania następcze poszczególnych spółek należących do grupy mogą być niezbędne do wykonania lub zakończenia stosunku pracy lub umowy o świadczenie usług i są prawnie oparte na art. 6 ust. 1 zd. 1 lit. b) RODO oraz odpowiadających krajowych podstawach prawnych.
b) Rodzaj zbieranych danych osobowych
Korzystanie z systemu zgłoszeniowego jest dobrowolne. Kiedy dokonujesz zgłoszenia za jego pośrednictwem, zbieramy następujące dane osobowe i informacje:
- Twoje imię i nazwisko, o ile postanowisz je ujawnić,
- czy jesteś pracownikiem METRO oraz
- imiona i nazwiska oraz inne dane osobowe osób, które wymieniasz w zgłoszeniu.
c) Obsługa zgłoszeń z zachowaniem poufności
Wpływające zgłoszenia są odbierane przez niewielką liczbę wyraźnie upoważnionych i specjalnie wyszkolonych pracowników działu ds. compliance METRO i zawsze są traktowane jako poufne. Pracownicy działu ds. compliance METRO oceniają sprawę i podejmują dalsze dochodzenie, jakiego wymaga dany przypadek. W trakcie przetwarzania zgłoszenia lub prowadzenia specjalnego dochodzenia może zajść konieczność udostępnienia zgłoszenia kolejnym pracownikom METRO lub pracownikom innych spółek z Grupy. Może się tak stać na przykład wtedy, gdy zgłoszenie dotyczy zdarzenia w spółce zależnej. Taka spółka może mieć siedzibę w kraju spoza Unii Europejskiej lub Europejskiego Obszaru Gospodarczego, w którym obowiązują inne przepisy dotyczące ochrony danych osobowych. Udostępniając zgłoszenia, zawsze zapewniamy spełnienie wymogów obowiązujących przepisów ochrony danych. Wszystkie osoby, które otrzymują dostęp do danych, są zobowiązane do zachowania poufności.
Zgodnie z przepisami prawa naszym podstawowym obowiązkiem jest poinformowanie osoby oskarżonej o otrzymaniu zgłoszenia w jej sprawie, chyba że zagraża to dalszemu dochodzeniu związanemu z takim zgłoszeniem. W zakresie, w jakim pozwala na to prawo, nie ujawniamy osobie oskarżonej Twojej tożsamości jako osoby dokonującej zgłoszenia.
Za Twoją zgodą informacje z raportów będą przekazywane stronom zewnętrznym; w przypadku braku zgody będą one przekazywane – w zakresie dozwolonym przez prawo – odpowiednim organom ścigania i dochodzeniowym lub sądom i doradcom zobowiązanym do zachowania tajemnicy na mocy prawa zawodowego.
d) Przechowywanie danych osobowych
Dane osobowe są przechowywane tak długo, jak jest to niezbędne do wyjaśnienia sytuacji i dokonania oceny zgłoszenia, jak długo istnieje prawnie uzasadniony interes spółki lub wymagają tego przepisy prawa. Po zakończeniu przetwarzania zgłoszenia dane z tego zgłoszenia są usuwane zgodnie z wymogami ustawowymi.
e) Bezpieczeństwo i odbiorcy danych
Twój komputer komunikuje się z systemem zgłoszeniowym, korzystając z połączenia szyfrowanego (SSL). Twój adres IP nie zostanie zachowany w trakcie korzystania z systemu zgłoszeniowego. Aby utrzymać połączenie między komputerem i systemem zgłoszeniowym, na Twoim komputerze zapisywany jest plik cookie (ciasteczko), który zawiera jedynie identyfikator danej sesji (tzw. null cookie). Takie ciasteczko jest ważne tylko do końca sesji i wygasa z chwilą zamknięcia przeglądarki. System zgłoszeniowy daje możliwość utworzenia bezpiecznej skrzynki pocztowej. Posiadacz skrzynki sam wybiera pseudonim / nazwę użytkownika i hasło. Dzięki temu może wysyłać zgłoszenia właściwemu pracownikowi METRO pod swoim nazwiskiem lub anonimowo, z zachowaniem bezpieczeństwa. System przechowuje dane tylko wewnątrz systemu zgłoszeniowego, co stanowi szczególne zabezpieczenie. Nie jest to zwykła wymiana e-maili.
Do zgłoszenia lub uzupełnienia zgłoszenia możesz dodać załączniki, które trafią do właściwego pracownika METRO. Jeżeli chcesz dokonać zgłoszenia anonimowo, uwzględnij następujące zalecenia dotyczące bezpieczeństwa: pliki mogą zawierać ukryte dane osobowe, które ujawnią Twoją tożsamość. Wykasuj takie dane przed wysłaniem pliku. Jeśli nie jesteś w stanie ich skasować lub nie wiesz, jak to zrobić, skopiuj tekst załącznika do treści zgłoszenia lub anonimowo prześlij wydrukowany dokument na adres podany w stopce z zaznaczeniem numeru sprawy otrzymanego na zakończenie procesu dokonywania zgłoszenia.
Obsługą systemu zgłoszeniowego w imieniu METRO AG zajmuje się specjalistyczna spółka EQS Group GmbH z siedzibą pod adresem Bayreuther Str. 35, 10789 Berlin, Niemcy. Dane osobowe i informacje wprowadzone do systemu zgłoszeniowego są przechowywane w bazie danych prowadzonej przez EQS Group GmbH w centrum danych o wysokim standardzie bezpieczeństwa. Tylko METRO ma dostęp do tych danych. EQS Group GmbH oraz inne osoby trzecie nie mają do nich dostępu. Zapewnia to certyfikowana procedura prowadzona z zastosowaniem daleko idących środków technicznych i organizacyjnych. Wszystkie dane są przechowywane w postaci zaszyfrowanej, wymagającej hasła dostępu na różnych poziomach, tak więc dostęp jest ograniczony do bardzo wąskiego grona wyraźnie upoważnionych osób w METRO.
3. Twoje prawa
Jako osoba, której dane dotyczą, możesz w każdej chwili skontaktować się z naszym inspektorem ochrony danych za pośrednictwem nieformalnej wiadomości na adres podany powyżej w pkt. 1c), po to by skorzystać z przysługujących Ci zgodnie z RODO praw. Są to następujące prawa:
- Prawo do uzyskania informacji na temat przetwarzania danych oraz do uzyskania kopi przetwarzanych danych (prawo dostępu, art. 15 RODO)
- Prawo żądania sprostowania nieprawidłowych danych lub uzupełnienia niekompletnych danych (prawo do sprostowania danych, art. 16 RODO)
- Prawo do żądania usunięcia danych osobowych oraz, jeżeli dane zostały upublicznione, do poinformowania pozostałych administratorów o żądaniu usunięcia (prawo do usunięcia danych, art. 17 RODO)
- Prawo żądania ograniczenia przetwarzania danych (prawo do ograniczenia przetwarzania, art. 18 RODO)
- Prawo do otrzymania danych osobowych, które Cię dotyczą, w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego oraz do żądania przesłania tych danych innemu administratorowi (prawo do przenoszenia danych, art. 20 RODO)
- Prawo do wniesienia sprzeciwu wobec przetwarzania danych celem zatrzymania przetwarzania (prawo do sprzeciwu, art. 21 RODO)
- Prawo do wycofania udzielonej zgody w dowolnym momencie celem zatrzymania przetwarzania danych, które odbywa się na podstawie Twojej zgody. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem (prawo do wycofania zgody, art. 7 RODO)
- Prawo wniesienia skargi do organu nadzorczego, jeżeli sądzisz, że przetwarzanie danych odbywa się z naruszeniem RODO (prawo do wniesienia skargi do organu nadzorczego, art. 77 RODO).
Jeżeli Twoje dane osobowe są przetwarzane na podstawie prawnie uzasadnionego interesu zgodnie z art. 6 ust. 1 pt. 1 lit. f) RODO, to masz prawo wnieść sprzeciw wobec przetwarzania Twoich danych osobowych zgodnie z art. 21 RODO, pod warunkiem, że wynika to z przyczyn związanych z Twoją szczególną sytuacją. Jeżeli pragniesz wykonać swoje prawo sprzeciwu, wystarczy, że prześlesz e-mail na adres podany powyżej w pkt. 1c).