Съобщение за защита на данните при подаване на сигнали за нередности
1. Общи сведения
а) Въведение
Съобщения по-долу за защита на данните имат за цел да Ви информират относно обработването на Вашите лични данни във връзка с използването на нашите канали за подаване на сигнали за нередности и Вашите права съгласно Общия регламент за защита на данните (ОРЗД) и подобни приложими закони за защита на данните, свързани с това обработване.
б) Администратор на данни
Трябва да се прави разграничение по отношение на отговорността за защита на данните за обработването на данни, извършвано в нашите канали за сигнализиране на нередности:
Когато се касае за местен канал за подаване на сигнали на дружество от групата (данни за контакт), за който отговаря собствен служител на дружеството, съответното дружество от групата носи солидарна отговорност по смисъла на чл. 26 от ОРЗД заедно с МЕТРО АГ.
Когато се касае за местен канал за подаване на сигнали на дружество от групата (данни за контакт), за който отговаря служител на друго друго дружество ("Асистираща компания"), съответното дружество от групата носи солидарна отговорност по смисъла на чл. 26 от ОРЗД заедно с МЕТРО АГ и Асистиращата компания.
Когато се касае за централната онлайн система за подаване на сигнали за нередности ("Система за подаване на сигнали за нередности"), засегнатото дружество от групата, за което е подаден сигналът, носи съвместна отговорност по смисъла на чл. 26 от ОРЗД заедно с МЕТРО АГ.
МЕТРО АГ отговаря за работата на Система за подаване на сигнали за нередности и за предаването на сигналите, получени чрез тази система, на съответните дружества от групата. Отделът за корпоративно съответствие, базиран в МЕТРО АГ, като цяло отговаря за управлението и проследяването на всички сигнали за нередности в рамките на групата. Отговорността на МЕТРО АГ е ограничена до сигнали, получени чрез местни канали за подаване на сигнали за нередности, освен ако то самото не е засегнато от сигнала в друга функция.
Асистиращата компания изпълнява задачите на вътрешния канал за подаване на сигнали за съответното дружество от групата и отговаря за обработката на данни, извършвана в този контекст. По правило Асистиращата компания е МЕТРО АГ.
Дружеството от групата, засегнато от съответния сигнал, е отговорно за работата с и обработката на тези сигнали. Това включва по-специално мерките за отстраняване на нарушение и задължението да се докладва обратно на лицето, подало сигнала.
Адресът за контакт на МЕТРО АГ е Metro-Straße 1, 40235 Düsseldorf. Адресите за контакт на съответните дружества от групата могат да се видят в известията за защита на данните на уебсайтовете, където е публикуван съответният местен канал за подаване на сигнали.
Общите аспекти на съвместния контрол между образуванията на МЕТРО могат да се видят на следната връзка:
https://www.metroag.de/en/data-privacy/jointcontrol
в) Длъжностно лице по защита на данни
Можете да се свържете с длъжностното лице по защита на данните по всяко време, като използвате следните данни за контакт:
METRO AG, Data Protection Officer, Metro-Straße 1, 40235 Düsseldorf, Имейл: datenschutz@metro.de
Данните за контакт на длъжностните лица по защита на данните на съответните дружества от групата могат да бъдат намерени в известията за защита на данните на уебсайтовете, където е публикуван съответният местен канал за подаване на сигнали.
2. Информация за обработването на личните данни
а) Цел и правно основание
Системата за подаване на сигнали за нередности служи за целите на сигурното и поверително получаване, обработване и управление на сигнали относно нарушения на правилата за спазване на нормативи и разпоредби на Групата компании на МЕТРО (МЕТРО).
Дотолкова, доколкото дружеството от групата е задължено по закон да поддържа канал за подаване на сигнали, обработката на лични данни, която се прави след сигнала, е законово обоснована в член 6, параграф 1 т. 1 б. в) от ОРЗД. Дотолкова, доколкото се обработват специални категории лични данни, допълнително правно основание е член 9, параграф 2 т. ж) от ОРЗД или приложимото национално правно основание за специални категории лични данни. В противен случай обработването на данните се основава на законния интерес на дружествата от групата да открият и предотвратят неправомерно поведение и по този начин да избегнат щети за МЕТРО, неговите служители и клиенти. Обработката е законово обоснована в член 6, параграф 1, т. 1, б. а) от ОРЗД. Дотолкова, доколкото обработването на данни се основава на съгласие, по-специално при предаване на информация за самоличност, правното основание е член 6, параграф 1 т. 1 б. a) от ОРЗД или – когато се касае за специални категории лични данни – допълнително член 9, параграф 2 б. а) и б. ж) от ОРЗД.
Може да са необходими последващи мерки на отделните дружества от групата за изпълнение или прекратяване на служебни или трудови правоотношения и за законово обоосновани в чл. 6 параграф 1 т. 1 б. б) от ОРЗД и съответните национални правни основания.
б) Вид на събраните лични данни
Използването на каналите за подаване на сигнали за нередности се извършва на доброволни начала. Ако подадете сигнал чрез каналите за подаване на сигнали за нередности, ние събираме следните лични данни и информация:
- Вашето име, ако решите да разкриете самоличността си,
- дали сте в трудови правоотношения с МЕТРО, и
- имената на лицата и други лични данни на лицата, които посочвате във Вашия сигнал.
в) Поверително обработване на сигнали и получатели
Входящите сигнали се получават от малка група изрично упълномощени и специално обучени служители на отдела за контрол на спазването на норми и разпоредби на МЕТРО и винаги се обработват поверително. Служителите на отдела за контрол на спазването на норми и разпоредби на МЕТРО ще оценят проблема и ще извършат всякакви допълнителни разследвания, които се необходими в конкретния случай. По време на обработването на даден сигнал или провеждането на специално разследване може да се наложи споделяне на сигнали с други служители на МЕТРО или служители на други дружества от групата, напр. ако сигналите се отнасят за инциденти в други дружества от групата. Последните могат да бъдат базирани в страни извън Европейския съюз или Европейското икономическо пространство с различни разпоредби относно защитата на личните данни. Ние винаги гарантираме, че приложимите разпоредби за защита на данните се спазват, когато споделяме сигнали. Всички лица, които получават достъп до данните, са длъжни да спазват поверителността.
Като основен принцип ние сме задължени по закон да информираме обвинените лица, че сме получили сигнал за тях, освен ако това не застрашава по-нататъшни разследвания на сигнала. При това Вашата самоличност като лице, подаващо сигнал за нередност, не се разкрива, доколкото това е възможно по закон.
С ваше съгласие информацията от сигналите ще бъде предадена на външни лица; в противен случай тя ще бъде предадена - само до степента, разрешена от закона, на съответните разследващи и наказателни органи или, в този контекст, на съдилища и съветници, обвързани със задължения да пазят тайна съгласно професионалното законодателство.
г) Съхраняване
Личните данни се съхраняват толкова дълго, колкото е необходимо за изясняване на ситуацията и извършване на оценка на сигнала или докато съществува законен интерес на дружеството или докато се изисква по закон. По правило данните се съхраняват до три години след окончателната оценка на случая.
д) Сигурност на данните в системата за подаване на сигнали за нередности
Комуникацията между Вашия компютър и системата за подаване на сигнали за нередности се осъществява чрез криптирана връзка (SSL). Вашият IP адрес няма да се съхранява по време на използването на системата за подаване на сигнали за нередности. За да се поддържа връзката между Вашия компютър и системата за подаване на сигнали за нередности, на Вашия компютър се съхранява бисквитка, която съдържа само идентификатора на сесията (т.нар. нулева бисквитка). Тази бисквитка е валидна само до края на Вашата сесия и изтича, когато затворите браузъра си. В системата за подаване на сигнали за нередности е възможно да бъде създадена пощенска кутия, която е защитена със самостоятелно избрани псевдоним/потребителско име и парола. Това Ви позволява да изпращате сигнали до отговорния служител в МЕТРО или като посочите името си, или анонимно и безопасно. Тази система съхранява данни единствено вътре в системата за подаване на сигнали за нередности, което я прави особено сигурна. Това не е форма на обикновена комуникация по имейл.
При подаване на сигнал или допълнение можете едновременно да изпращате прикачени файлове до отговорния служител на МЕТРО. Ако желаете да изпратите анонимен сигнал, моля, обърнете внимание на следните съвети за сигурност: Файловете могат да съдържат скрити лични данни, които биха могли да изложат на риск Вашата анонимност. Премахнете тези данни преди да изпратите съобщението. Ако не можете да премахнете тези данни или не сте сигурни как да го направите, копирайте текста на Вашия прикачен файл в текста на сигнала си или изпратете отпечатания документ анонимно на адреса, посочен в долния колонтитул, като цитирате референтния номер, получен в края на процеса на изпращане на сигнала.
Системата за подаване на сигнали за нередности се управлява от специализирана компания, Business Keeper AG, Bayreuther Str. 35, 10789 Berlin в Германия, от името на МЕТРО. Личните данни и информация, въведени в системата за подаване на сигнали за нередности, се съхраняват в база данни, управлявана от Business Keeper AG в център за данни с висока степен на сигурност. Единствено МЕТРО има достъп до данните. Business Keeper AG и други трети страни нямат достъп до данните. Това се осигурява в сертифицираната процедура чрез обширни технически и организационни мерки. Всички данни се съхраняват в криптиран вид с множество нива на защита с парола, така че достъпът е ограничен до много малък брой изрично упълномощени лица в МЕТРО.
3. Вашите права
Като субект на лични данни можете да се свържете с нашето длъжностно лице по защита на данните по всяко време чрез неофициално съобщение до посочените по-горе в точка 1. г) данни за контакт, за да упражните правата си според ОРЗД. Тези права са, както следва:
- правото да получавате информация за обработването на данни и копие на обработените данни (право на достъп, член 15 от ОРЗД),
- правото да изисквате коригиране на неточни данни или попълване на непълни данни (право на поправка, член 16 от ОРЗД),
- правото да изисквате заличаване на личните данни и, в случай че личните данни са публично достояние, информацията към други администратори на данни за искането за заличаване (право на заличаване, член 17 от ОРЗД),
- правото да изисквате ограничение на обработването на данни (право на ограничение на обработването, член 18 от ОРЗД),
- правото да получавате личните данни относно субекта на данни в структуриран, често използван и машинно четим формат и да поискате предаването на тези данни на друг администратор (право на преносимост на данните, член 20 от ОРЗД),
- правото да правите възражения срещу обработването на данни с цел спирането й (право на възражение, член 21 от ОРЗД),
- правото да оттеглите дадено съгласие по всяко време, за да спрете обработването на данни, която се основава на Вашето съгласие. Оттеглянето няма да повлияе на законността на обработването въз основа на съгласието преди оттеглянето (право на оттегляне на съгласието, член 7 от ОРЗД).
- правото да подадете жалба до надзорен орган, ако считате, че обработването на данни представлява нарушение на ОРЗД (право да подадете жалба до надзорен орган, член 77 от ОРЗД).
Ако личните Ви данни се обработват въз основа на законни интереси съгласно член 6, параграф 1, т. 1, б. е) от ОРЗД, Вие имате право да възразите срещу обработването на Вашите лични данни съгласно чл. 21 от ОРЗД, при условие че има причини за това, произтичащи от Вашата конкретна ситуация. Ако искате да упражните правото си на възражение, всичко, което трябва да направите, е да изпратите съобщение по имейл до посочените по-горе в точка 1. г) данни за контакт.
(версия 3.1)