Obavijest o zaštiti podataka – Zviždači
1.Opće informacije
a) Uvod
Sljedeća obavijest o zaštiti podataka namijenjena je za informiranje o obradi vaših osobnih podataka u vezi s korištenjem naših kanala za prijavu nepravilnsti i vašim pravima prema Općoj uredbi o zaštiti podataka („GDPR“) te relevantnim zakonskim propisima koji se odnose na ovu obradu.
b) Voditelj obrade podataka
Potrebno je napraviti razliku u pogledu odgovornosti za zaštitu podataka za obradu podataka koja se provodi u našim kanalima za zviždače:
U slučaju lokalnog kanala za prijavu društva Grupacije (compliance@metro-cc.hr, +385 1 3444 515) za koji je odgovoran vlastiti zaposlenik društva, odgovarajuće društvo Grupacije je zajednički odgovorno u smislu čl. 26. GDPR-a zajedno s METRO AG.
U slučaju lokalnog kanala za prijavu društva Grupacije (compliance@metro-cc.hr, +385 1 3444 515) za koji je odgovoran zaposlenik drugog društva („Pomoćno društvo“), odgovarajuće društvo Grupacije je zajednički odgovorna u smislu čl. 26. GDPR-a zajedno s METRO aG i Pomoćnim društvom.
U slučaju središnjeg sustava za zviždača („Sustav za prijavljivanja zviždača“), pogođeno društvo Grupacije za koju je prijava podnesena je zajednički odgovorno u smislu čl. 26. GDPR-a zajedno s METRO AG.
METRO AG je odgovorno za upravljanje sustavom prijavljivanja zviždača i dodjelu prijava primljenih putem ovog sustava odgovarajućim društvima Grupacije. Odjel za usklađenost Grupacije sa sjedištem u METRO AG općenito je odgovoran za upravljanje i praćenje svih prijava nepravilnosti unutar grupe. Odgovornost METRO AG je ograničena na prijave primljene putem lokalnih kanala prijavljivanja, osim ako nije sama pogođena prijavom u drugoj funkciji.
Pomoćno društvo obavlja zadatke unutarnjeg kanala prijavljivanja za odgovarajuće društvo Grupacije i odgovorno je za obradu podataka koja se provodi u ovom kontekstu. Kao pravilo, Pomoćno društvo je METRO AG.
Grupno društvo kojem je upućena odgovarajuća prijava odgovorno je za rukovanje i obradu takvih prijava. To uključuje, posebno, mjere za otklanjanje povrede i obvezu povratnog izvještavanja osobi koja je podnijela prijavu.
Kontakt adresa METRO AG je Metro-Straße 1, 40235 Düsseldorf. Kontakt adrese odgovarajućih društva Grupacije mogu se pronaći u obavijestima o zaštiti podataka na web stranicama na kojima je objavljen odgovarajući lokalni kanal prijavljivanja.
Opći aspekti zajedničke kontrole između subjekata METRO-a mogu se pronaći na: https://www.metroag.de/en/data-privacy/jointcontrol
c) Službenik za zaštitu podataka
Odgovarajućim službenicima za zaštitu podataka možete se obratiti u bilo kojem trenutku putem sljedećih podataka za kontakt:
METRO AG, službenih za zaštitu podataka, Metro-Straße 1, 40235 Düsseldorf, e-mail: datenschutz@metro.de
Podaci za kontakt službenika za zaštitu podataka odgovarajućih društava grupe mogu se pronaći u obavijestima o zaštiti podataka na web stranicama na kojima je objavljen odgovarajući lokalni kanal za izvješćivanje.
2.Informacije o obradi osobnih podataka
a) Svrha i pravna osnoba
Kanali za zviždače služe u svrhu sigurnog i povjerljivog primanja, obrade i upravljanja prijavama u vezi s kršenjem pravila usklađenosti Grupacije METRO-a (METRO).
U mjeri u kojoj je društvo Grupacije zakonski obvezno održavati kanal za izvješćivanje, obrada osobnih podataka koja slijedi nakon izvješća zakonski se temelji na članku 6. stavku. 1. točki 1. slovu c) GDPR-a. Ako se obrađuju posebne kategorije osobnih podataka, daljnja pravna osnova je članak. 6. stavak 2. točka g) GDPR-a ili primjenjiva nacionalna pravna osnova za posebne kategorije osobnih podataka, daljnja pravna osnova je članak 9. stavak 2. točka g) GDPR-a ili primjenjiva nacionalna pravna osnova za posebne kategorije osobnih podataka. Inače, obrada podataka temelji se na legitimnom interesu društava grupe da otkriju i spriječe nepravilno ponašanje i na taj način izbjegnu štetu za METRO, njegove zaposlenike i klijente. Ova se obrada zakonski temelji na članku 6. stavku 1. točki 1. slovu f) GDPR-a. U mjeri u kojoj se obrada podataka temelji na privoli, posebno pri prijenosu podataka o identitetu, pravna osnova je članak 6. stavak 1. točka 1. slovo a) GDPR-a ili – u slučaju posebnih kategorija osobnih podataka – članak 9. stavak 2. slovo g) GDPR-a.
Daljnje mjere pojedinačnih društava Grupacije mogu biti potrebne za obavljanje ili prestanak radnog odnosa i pravno se temelje na članku 6. stavku 1. točki 1. slovu b) GDPR-a i odgovarajućim nacionalnim pravnim osnovama.
b) Vrsta prikupljenih osobnih podataka
Upotreba kanala za zviždače odvija se na dobrovoljnoj osnovi. Ako podnesete prijavu putem kanala za zviždače, prikupljamo sljedeće osobne podatke i informacije:
- vaše ime, ako odlučite otkriti svoj identitet,
- jeste li zaposleni u METRO-u i
- imena osoba i druge osobne podatke istih koje imenujete u svojoj prijavi.
c) Povjerljivo postupanje s prijavama i primateljima
Dolazne prijave prima ograničeni broj zaposlenika izričito ovlaštenih i posebno obučenih Odjela za usklađenost METRO-a i uvijek se s njima postupa povjerljivo. Zaposlenici Odjela za usklađenost METRO-a procijenit će predmet i provesti sve daljnje istrage potrebne u konkretnom slučaju. Tijekom obrade prijave ili provođenja posebne istrage može biti potrebno podijeliti izvješća s nekim određenim zaposlenicima METRO-a ili zaposlenicima drugih društava Grupacije, npr. ako se izvješća odnose na incidente u drugim društvima Grupacije. Potonji mogu imati sjedište u zemljama izvan Europske unije ili Europskog gospodarskog prostora s različitim propisima koji se odnose na zaštitu osobnih podataka. Prilikom dijeljenja izvješća uvijek osiguravamo poštivanje važećih propisa o zaštiti podataka. Sve osobe koje dobiju pristup podacima dužne su čuvati povjerljivost.
Kao osnovno načelo, zakonski smo obvezni obavijestiti optužene osobe da smo primili prijavu koja se odnosi na njih, osim ako to ne ugrožava daljnje istrage prijave. Pritom se vaš identitet zviždača ne otkriva u mjeri u kojoj je to zakonski moguće.
Uz vaš pristanak, informacije iz izvješća bit će proslijeđene vanjskim stranama; U protivnom će se prosljeđivati samo nadležnim tijelima za istrage i kazneni progon ili, u tom kontekstu, sudovima i savjetnicima koji su u skladu s profesionalnim pravom obvezni na tajnost.
d) Zadržavanje
Osobni podaci čuvaju se onoliko dugo koliko je potrebno za razjašnjenje situacije i provedbu evaluacije izvješća ili postoji legitimni interes tvrtke ili je to propisano zakonom. Podaci se u pravilu pohranjuju do tri godine nakon konačne procjene slučaja. Ako je to naznačeno posebnim potrebama, u pojedinačnim slučajevima razdoblje može biti do sedam godina.
e) Sigurnost podataka u sustavu zviždača
Komunikacija između vašeg računala i sustava za zviždače odvija se putem šifrirane veze (SSL). Vaša IP adresa neće biti pohranjena tijekom vašeg korištenja sustava za zviždače. Kako bi se održala veza između vašeg računala i sustava za zviždače, na vašem se računalu pohranjuje kolačić koji sadrži samo ID sesije (tzv. null cookie). Ovaj kolačić vrijedi samo do kraja vaše sesije i istječe kada zatvorite preglednik. Unutar Sustava za zviždače moguće je postaviti poštanski sandučić koji je zaštićen pojedinačno odabranim pseudonimom/korisničkim imenom i lozinkom. To vam omogućuje slanje izvješća odgovornom zaposleniku u METRO-u bilo imenom ili na anoniman, siguran način. Ovaj sustav pohranjuje podatke samo unutar sustava za zviždače, što ga čini posebno sigurnim. To nije oblik redovite komunikacije putem e-pošte.
Prilikom podnošenja prijave ili dopune možete istovremeno poslati prilog odgovornom zaposleniku METRO-a. Ako želite podnijeti anonimnu prijavu, uzmite u obzir sljedeće sigurnosne savjete: Datoteke mogu sadržavati skrivene osobne podatke koji bi mogli ugroziti vašu anonimnost. Uklonite te podatke prije slanja. Ako ne možete ukloniti te podatke ili niste sigurni kako to učiniti, kopirajte tekst svog priloga u tekst prijave ili pošaljite tiskani dokument anonimno na adresu navedenu u podnožju, navodeći referentni broj primljen na kraju postupka prijave.
Sustavom za zviždače upravlja specijalizirana tvrtka Business Keeper AG, Bayreuther Str. 35, 10789 Berlin u Njemačkoj, u ime METRO-a. Osobni podaci i informacije uneseni u sustav za zviždače pohranjuju se u bazi podataka kojom upravlja Business Keeper AG u podatkovnom centru visoke sigurnosti. Samo METRO ima pristup podacima. Business Keeper AG i druge treće strane nemaju pristup podacima. To se osigurava u certificiranom postupku opsežnim tehničkim i organizacijskim mjerama. Svi se podaci pohranjuju šifrirani s više razina zaštite lozinkom, tako da je pristup ograničen na vrlo mali izbor izričito ovlaštenih osoba u METRO-u.
3.Vaša prava
Kao ispitanik, možete se u bilo kojem trenutku obratiti našem Službeniku za zaštitu podataka slanjem neformalne obavijesti na gore navedene podatke za kontakt pod točkom 1. c) za ostvarivanje vaših prava u skladu s GDPR-om. Ta su prava sljedeća:
- pravo na pristup osobnim podacima, kao i presliku obrada tih podataka (pravo na pristup, čl. 15. GDPR-a);
- pravo na zahtjev za ispravak netočnih podataka ili popunjavanje nepotpunih podataka (pravo na ispravak, čl. 16. GDPR-a);
- pravo zatražiti brisanje osobnih podataka i, ako su osobni podaci objavljeni, obavijestiti druge voditelje obrade o zahtjevu za brisanje (pravo na brisanje, čl. 17. GDPR-a);
- pravo na traženje ograničenja obrade podataka (pravo na ograničenje obrade, čl. 18. GDPR-a);
- pravo na primanje osobnih podataka ispitanika u strukturiranom, uobičajeno korištenom i strojno čitljivom formatu te na traženje prijenosa takvih podataka drugom voditelju obrade (pravo na prenosivost podataka, čl. 20. GDPR-a);
- pravo na prigovor na obradu podataka kako bi se zaustavila (pravo na prigovor, čl. 21. GDPR-a);
- pravo na povlačenje privole u bilo kojem trenutku kako bi se spriječila obrada podataka na temelju Vaše privole. Opoziv ne utječe na zakonitost obrade na temelju privole prije opoziva (pravo odustajanja, čl. 7. GDPR-a);
- pravo na podnošenje pritužbe nadzornom tijelu ako smatrate da obrada podataka krši GDPR (pravo na podnošenje pritužbe nadzornom tijelu, čl. 77. GDPR-a).
Ako se vaši osobni podaci obrađuju na temelju legitimnih interesa u skladu s člankom 6. stavkom 1. točkom 1. točkom f) GDPR-a, imate pravo prigovora na obradu vaših osobnih podataka u skladu s člankom 21. GDPR-a, pod uvjetom da za to postoje razlozi koji proizlaze iz vaše posebne situacije. Ako želite ostvariti svoje pravo na prigovor, sve što trebate učiniti je poslati e-poštu na kontakt podatke navedene gore pod točkom 1. c).
(v 3.1)