Privacyverklaring Klokkenluiders
1. Algemene Informatie
a) Introductie
De volgende kennisgevingen inzake gegevensbescherming zijn bedoeld om u te informeren over de verwerking van uw persoonsgegevens in verband met het gebruik van onze klokkenluiderskanalen en uw rechten volgens de Algemene Verordening Gegevensbescherming ("
AVG") en soortgelijke toepasselijke wetgeving inzake gegevensbescherming met betrekking tot deze verwerking.
b) Verwerkingsverantwoordelijke
Er moet een onderscheid worden gemaakt in de verantwoordelijkheden op het gebied van gegevensbescherming voor de gegevensverwerking die wordt uitgevoerd in onze klokkenluiderskanalen:
In het geval van een lokaal meldkanaal van een groepsmaatschappij (contactgegevens) waarvoor een eigen werknemer van de onderneming verantwoordelijk is, is de betreffende groepsmaatschappij samen met METRO AG verantwoordelijk in de zin van art. 26 AVG samen met METRO AG.
In het geval van een lokaal meldingskanaal van een groepsmaatschappij (contactgegevens) waarvoor een medewerker van een ander bedrijf verantwoordelijk is ("Assisterende Bedrijf"), is de betreffende groepsmaatschappij samen met METRO AG en het Assisterende Bedrijf gezamenlijk verantwoordelijk in de zin van Art. 26 AVG.
In het geval van het centrale online klokkenluiderssysteem ("Klokkenluiderssysteem") is de betrokken groepsmaatschappij waarvoor de melding wordt gedaan samen met METRO AG gezamenlijk verantwoordelijk in de zin van Art. 26 AVG.
METRO AG is verantwoordelijk voor het functioneren van het Klokkenluidersysteem en de toewijzing van de meldingen die via dit systeem binnenkomen aan de respectievelijke groepsmaatschappijen. De afdeling Corporate Compliance van METRO AG is in het algemeen verantwoordelijk voor het beheer en de follow-up van alle klokkenluidersmeldingen binnen de groep. De verantwoordelijkheid van METRO AG beperkt zich hiertoe voor meldingen die via lokale meldingskanalen binnenkomen, tenzij METRO AG zelf betrokken is bij de melding in een andere functie.
Het Assisterende Bedrijf voert de taken uit van het interne rapportagekanaal voor de betreffende groepsmaatschappij en is verantwoordelijk voor de gegevensverwerking die in deze context wordt uitgevoerd. In de regel is het Assisterende Bedrijf METRO AG.
De groepsmaatschappij waarop de betreffende melding betrekking heeft, is verantwoordelijk voor de afhandeling en verwerking van dergelijke meldingen. Dit omvat met name de maatregelen om een overtreding te verhelpen en de verplichting om verslag uit te brengen aan de persoon die de melding doet.
Het contactadres van METRO AG is Metro-Straße 1, 40235 Düsseldorf. De contactadressen van de respectieve groepsmaatschappijen zijn te vinden in de privacyverklaringen op de websites waar het betreffende lokale meldingskanaal wordt gepubliceerd.
Algemene aspecten van de gezamenlijke zeggenschap tussen METRO-entiteiten zijn te vinden op:
https://www.metroag.de/en/data-privacy/jointcontrol
c) Functionaris voor gegevensbescherming
U kunt te allen tijde contact opnemen met de betreffende functionarissen voor gegevensbescherming via de volgende contactgegevens:
METRO AG, Data Protection Officer, Metro-Straße 1, 40235 Düsseldorf, E-Mail: datenschutz@metro.de
De contactgegevens van de gegevensbescherming functionarissen van de respectieve groepsmaatschappijen zijn te vinden in de privacyverklaringen op de websites waar het respectieve lokale meldingskanaal wordt gepubliceerd.
2. Informatie over de Verwerking van Persoonsgegevens
a) Doel en Rechtsgrondslag
De klokkenluiderskanalen dienen voor het veilig en vertrouwelijk ontvangen, verwerken en beheren van meldingen betreffende schendingen van de compliance regels van de METRO Company Group (METRO).
Voor zover een groepsmaatschappij wettelijk verplicht is om een meldkanaal in stand te houden, is de verwerking van persoonsgegevens die volgt op de melding wettelijk gebaseerd op Art. 6 p. 1 s. 1 lit. c) AVG. Voor zover speciale categorieën van persoonsgegevens worden verwerkt, is de verdere rechtsgrondslag Art. 9 p. 2 lit. g) AVG of de toepasselijke nationale rechtsgrondslag voor bijzondere categorieën van persoonsgegevens. Anders is de gegevensverwerking gebaseerd op het gerechtvaardigde belang van de groepsmaatschappijen om wangedrag op te sporen en te voorkomen en zo schade aan METRO, haar werknemers en klanten te voorkomen. Deze verwerking is wettelijk gebaseerd op Art. 6 p. 1 s. 1 lit. f) AVG. Voor zover de gegevensverwerking is gebaseerd op toestemming, in het bijzonder bij de overdracht van informatie over de identiteit, is de rechtsgrondslag Art. 6 p. 1 s. 1 lit. a) AVG of - in het geval van bijzondere categorieën van persoonsgegevens - verder Art. 9 p. 2 lit. a) en lit. g) AVG.
Vervolgmaatregelen van de afzonderlijke groepsmaatschappijen kunnen noodzakelijk zijn voor de uitvoering of beëindiging van dienst- of arbeidsrelaties en zijn wettelijk gebaseerd op Art. 6 p. 1 s. 1 lit. b) AVG en overeenkomstige nationale rechtsgrondslagen.
b) Aard van de Verzamelde Persoonsgegevens
Het gebruik van de klokkenluiderskanalen gebeurt op vrijwillige basis. Als u een melding doet via de klokkenluiderskanalen, verzamelen wij de volgende persoonsgegevens en informatie:
- uw naam, als u ervoor kiest uw identiteit bekend te maken,
- of je in loondienst bent bij METRO, en
- de namen van personen en andere persoonsgegevens van personen die u in uw rapport noemt.
c) Vertrouwelijke Afhandeling van Meldingen en Ontvangers
Binnenkomende meldingen worden ontvangen door een kleine selectie van uitdrukkelijk bevoegde en speciaal opgeleide medewerkers van de afdeling Compliance van METRO en worden altijd vertrouwelijk behandeld. De medewerkers van de Compliance afdeling van METRO zullen de zaak beoordelen en eventueel verder onderzoek uitvoeren dat vereist is voor het specifieke geval. Tijdens de verwerking van een melding of de uitvoering van een speciaal onderzoek, kan het nodig zijn om meldingen te delen met andere medewerkers van METRO of medewerkers van andere groepsmaatschappijen, bijvoorbeeld als de meldingen betrekking hebben op incidenten in andere groepsmaatschappijen. Deze laatste kunnen gevestigd zijn in landen buiten de Europese Unie of de Europees Economische Zone met verschillende regels betreffende de bescherming van persoonsgegevens. We zorgen er altijd voor dat de toepasselijke regelgeving inzake gegevensbescherming wordt nageleefd bij het delen van rapporten. Alle personen die toegang krijgen tot de gegevens zijn verplicht tot geheimhouding.
Als uitgangspunt zijn we wettelijk verplicht om de beschuldigde personen te informeren dat we een melding over hen hebben ontvangen, tenzij dit het verdere onderzoek naar de melding in gevaar brengt. Daarbij wordt uw identiteit als klokkenluider niet onthuld, voor zover dat wettelijk mogelijk is.
Met uw toestemming zal informatie uit de meldingen worden doorgegeven aan externe partijen; anders zal het alleen worden doorgegeven - voor zover wettelijk toegestaan - aan de relevante onderzoeks- en vervolgingsautoriteiten of, in deze context, aan rechtbanken en adviseurs die zijn gebonden aan het beroepsgeheim.
d) Retentie
Persoonsgegevens worden bewaard zo lang als nodig is om de situatie op te helderen en een evaluatie van het rapport uit te voeren of als er een legitiem belang van het bedrijf bestaat of als dit wettelijk verplicht is. In de regel worden de gegevens tot drie jaar na de definitieve beoordeling van de zaak bewaard. Indien speciale behoeften dit vereisen, kan de periode in individuele gevallen zeven jaar zijn.
e) Data Security in the Whistleblowing System
De communicatie tussen uw computer en het Klokkenluiderssysteem vindt plaats via een versleutelde verbinding (SSL). Uw IP-adres wordt niet opgeslagen tijdens uw gebruik van het Klokkenluiderssysteem. Om de verbinding tussen uw computer en het Klokkenluiderssysteem in stand te houden, wordt er een cookie op uw computer opgeslagen die alleen de sessie-ID bevat (een zogenaamde null-cookie). Deze cookie is slechts geldig tot het einde van uw sessie en vervalt wanneer u uw browser sluit. Het is mogelijk om binnen het Klokkenluiderssysteem een postbus in te stellen die beveiligd is met een individueel gekozen pseudoniem/gebruikersnaam en wachtwoord. Hiermee kunt u meldingen, op naam of anoniem, op een veilige manier naar de verantwoordelijke medewerker van METRO sturen. Dit systeem slaat alleen gegevens op in het Klokkenluiderssysteem, waardoor het bijzonder veilig is. Het is geen vorm van reguliere e-mailcommunicatie.
Bij het indienen van een melding of een aanvulling kunt u tegelijkertijd bijlagen sturen naar de verantwoordelijke medewerker van METRO. Als u een anonieme melding wilt doen, neem dan het volgende veiligheidsadvies in acht: Bestanden kunnen verborgen persoonlijke gegevens bevatten die uw anonimiteit in gevaar kunnen brengen. Verwijder deze gegevens voordat u ze verstuurt. Als u deze gegevens niet kunt verwijderen of niet zeker weet hoe u dit moet doen, kopieer dan de tekst van uw bijlage in uw rapporttekst of stuur het geprinte document anoniem naar het adres dat in de voettekst staat vermeld, onder vermelding van het referentienummer dat u aan het einde van het rapportageproces hebt ontvangen.
Het Klokkenluidersysteem wordt beheerd door een gespecialiseerd bedrijf, Business Keeper AG, Bayreuther Str. 35, 10789 Berlijn in Duitsland, namens METRO. Persoonlijke gegevens en informatie ingevoerd in het Klokkenluidersysteem worden opgeslagen in een database beheerd door Business Keeper AG in een high-security datacenter. Alleen METRO heeft toegang tot de gegevens. Business Keeper AG en andere derden hebben geen toegang tot de gegevens. Dit wordt gewaarborgd in de gecertificeerde procedure door middel van uitgebreide technische en organisatorische maatregelen. Alle gegevens worden versleuteld opgeslagen met meerdere niveaus van wachtwoordbeveiliging, zodat de toegang beperkt is tot een zeer kleine selectie van uitdrukkelijk bevoegde personen bij METRO.
3. Uw Rechten
Als betrokkene kunt u te allen tijde contact opnemen met onze functionaris voor gegevensbescherming door een informeel bericht te sturen naar de contactgegevens die hierboven zijn vermeld onder 1. c) om uw rechten volgens de AVG uit te oefenen. Deze rechten zijn als volgt:
- ·Het recht om informatie te ontvangen over de gegevensverwerking en een kopie van de verwerkte gegevens (Recht op toegang, Art. 15 AVG)
- Het recht om de rectificatie van onjuiste gegevens of de aanvulling van onvolledige gegevens te eisen (Recht op rectificatie, Art. 16 AVG)
- Het recht om het wissen van persoonsgegevens te eisen en, indien de persoonsgegevens openbaar zijn gemaakt, het informeren van andere verwerkingsverantwoordelijken over het verzoek tot wissen (Recht op wissen, Art. 17 AVG)
- Het recht om beperking van de gegevensverwerking te eisen (Recht op beperking van de verwerking, Art. 18 AVG)
- Het recht om de persoonsgegevens van de betrokkene te ontvangen in een gestructureerd, algemeen gebruikt en machineleesbaar formaat en om te verzoeken dat deze gegevens worden doorgegeven aan een andere verwerkingsverantwoordelijke (Recht op gegevensoverdraagbaarheid, Art. 20 AVG)
- Het recht om bezwaar te maken tegen de gegevensverwerking om deze te stoppen (Recht op bezwaar, Art. 21 AVG)
- Het recht om een gegeven toestemming op elk gewenst moment in te trekken om de gegevensverwerking op basis van uw toestemming te stoppen. De intrekking heeft geen invloed op de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking (Herroepingsrecht, Art. 7 AVG)
- Het recht om een klacht in te dienen bij een toezichthoudende autoriteit als u van mening bent dat de gegevensverwerking een inbreuk vormt op de AVG (Recht om een klacht in te dienen bij een toezichthoudende autoriteit, Art. 77 AVG).
Als uw persoonsgegevens worden verwerkt op basis van gerechtvaardigde belangen op grond van Art. 6 p. 1 s. 1 lit. f) AVG, heeft u het recht om bezwaar te maken tegen de verwerking van uw persoonsgegevens op grond van Art. 21 DSGVO, mits daar redenen voor zijn die voortvloeien uit uw bijzondere situatie. Als u gebruik wilt maken van uw recht op bezwaar, hoeft u alleen maar een e-mail te sturen naar de contactgegevens die hierboven zijn vermeld onder 1. c).
(v 3.1)