Oznámení o zpracování osobních údajů
Whistleblowing / oznamování případů porušení předpisů
1. Obecné informace
a) ÚvodÚčelem tohoto dokumentu je informovat vás o zpracování vašich osobních údajů v souvislosti s používáním našich kanálů pro oznamování porušení předpisů (whistleblowing), o vašich právech podle obecného nařízení o ochraně osobních údajů („
GDPR“) a dalších předpisů o ochraně údajů souvisejících s tímto zpracováním.
b) Správce osobních údajůZ hlediska odpovědnosti za ochranu osobních údajů je třeba rozlišovat zpracování údajů prováděné v našich kanálech pro oznamování porušení předpisů (whistleblowing):
V případě místního oznamovacího kanálu společnosti skupiny (kontaktní údaje), za který je zodpovědný vlastní zaměstnanec společnosti, je příslušná společnost skupiny spoluodpovědná ve smyslu čl. 26 GDPR spolu se společností METRO AG.
V případě lokálního oznamovacího kanálu společnosti skupiny (kontaktní údaje), za který je zodpovědný zaměstnanec jiné společnosti („
Asistenční společnost“), je příslušná společnost skupiny společně odpovědná ve smyslu čl. 26 GDPR spolu se společností METRO AG a Asistenční společností.
V případě centrálního on-line systému pro oznamování porušení předpisů (dále jen „
Whistleblowing Systém“) je dotčená společnost skupiny, za kterou se podává oznámení, spoluodpovědná ve smyslu čl. 26 GDPR spolu se společností METRO AG.
Společnost METRO AG je odpovědná za provoz systému pro oznamování případů porušení předpisů a za přidělování oznámení přijatých prostřednictvím tohoto systému příslušným společnostem skupiny. Oddělení Corporate Compliance se sídlem ve společnosti METRO AG je obecně zodpovědné za správu, řízení a sledování všech oznámení v rámci skupiny. Odpovědnost společnosti METRO AG se omezuje na tuto oblast v případě oznámení přijatých prostřednictvím místních oznamovacích kanálů, pokud se oznámení netýká jí samotné v jiné funkci.
Asistenční společnost plní úkoly interního oznamovacího kanálu pro příslušnou společnost skupiny a odpovídá za zpracování údajů prováděné v této souvislosti. Asistenční společností je zpravidla společnost METRO AG.
Za zpracování oznámení je zodpovědná společnost skupiny, které se příslušná oznámení týká. To zahrnuje zejména opatření k nápravě a povinnost podat zprávu osobě, která oznámení podala.
Kontaktní adresa společnosti METRO AG je Metro-Straße 1, 40235 Düsseldorf. Kontaktní adresy příslušných společností skupiny naleznete v oznámeních o ochraně údajů na webových stránkách, na kterých je zveřejněn příslušný místní kanál pro podávání oznámení.
Obecné aspekty ke společnému správcovství mezi subjekty skupiny METRO naleznete na:
https://www.metroag.de/en/data-privacy/jointcontrol
c) Pověřenec pro ochranu údajůNašeho pověřence pro ochranu údajů můžete kdykoli kontaktovat pomocí těchto kontaktních údajů:
METRO AG, Data Protection Officer, Metro-Straße 1, 40235 Düsseldorf, e-mail: datenschutz@metro.de
Kontaktní údaje pověřenců pro ochranu údajů v příslušných společnostech skupiny naleznete v oznámeních o ochraně údajů na webových stránkách, na kterých je zveřejněn příslušný místní oznamovací kanál.
2. Informace o zpracování osobních údajů
a) Účel a právní základ zpracováníSystém ochrany oznamovatelů slouží k bezpečnému a důvěrnému přijímání, zpracovávání a správě oznámení o porušení předpisů společností METRO GROUP (dále jen „METRO“).
Pokud je společnost ve skupině ze zákona povinna udržovat kanál pro podávání oznámení, zpracování osobních údajů následující po oznámení je právně založeno na čl. 6 str. 1 s 1 lit. c) GDPR. V případě zpracování zvláštních kategorií osobních údajů je dalším právním základem čl. 9 odst. 2 písm. g) GDPR nebo příslušný vnitrostátní právní základ pro zvláštní kategorie osobních údajů. V ostatních případech je zpracování založeno na oprávněném zájmu společností skupiny odhalovat a předcházet protiprávnímu jednání, a tím předcházet škodám způsobeným společnosti METRO, jejím zaměstnancům a zákazníkům. Toto zpracování má právní základ v čl. 6 odst. 1 písm. f) GDPR. Pokud je zpracování založeno na souhlasu, zejména při předávání informací o totožnosti, je právním základem čl. 6 odst. 1 písm. a) GDPR nebo - v případě zvláštních kategorií osobních údajů - dále čl. 9 odst. 2 písm. a) a g) GDPR.
Následná opatření jednotlivých společností skupiny mohou být nezbytná pro výkon nebo ukončení služebního nebo pracovněprávního vztahu a právně vychází z čl. 6 odst. 1 lit. b) GDPR a odpovídajících vnitrostátních právních základů.
b) Typy shromažďovaných osobních údajůPoužívání kanálů pro oznamování je dobrovolné. Pokud odešlete zprávu prostřednictvím kanálů pro oznamování, shromažďujeme následující osobní údaje a informace:
- vaše jméno, pokud se rozhodnete sdělit svoji identitu,
- zda jste zaměstnán ve společnosti METRO, a
- jména osob a další osobní údaje osob, které uvedete ve svém oznámení.
c) Důvěrnost oznámení a příjemciPříchozí oznámení přijímá pouze omezená skupina vybraných, výslovně oprávněných a speciálně vyškolených zaměstnanců oddělení Compliance společnosti METRO a vždy s nimi nakládá důvěrně. Pracovníci Compliance oddělení METRO věc vyhodnotí a provedou případně další šetření, které si konkrétní případ vyžaduje. Během zpracování oznámení nebo provádění zvláštního šetření může vzniknout potřeba sdílet hlášení s dalšími zaměstnanci METRO nebo zaměstnanci jiných společností skupiny, např. pokud se oznámení týkají incidentů v jiných společnostech skupiny. Takový případ může být situován v zemích mimo Evropskou unii nebo Evropský hospodářský prostor s odlišnými předpisy týkajícími se ochrany osobních údajů. Při sdílení oznámení vždy dbáme na to, aby byly dodrženy platné předpisy o ochraně údajů. Všechny osoby, které získají přístup k údajům, jsou zavázány zachovávat mlčenlivost.
Ze zákona jsme povinni informovat obviněné osoby, že jsme o nich obdrželi oznámení, pokud tím není ohroženo další vyšetřování. Vaše totožnost oznamovatele přitom není odhalena, pokud je to právně přípustné.
S vaším souhlasem budou informace z oznámení předány externím stranám; jinak budou předány pouze – v rozsahu povoleném zákonem – příslušným orgánům činným v trestním řízení nebo v této souvislosti soudům a poradcům vázaným mlčenlivostí podle profesního práva.
d) UloženíOsobní údaje jsou uchovávány po dobu nezbytně nutnou k objasnění situace a vyhodnocení oznámení nebo dokud existuje oprávněný zájem společnosti nebo dokud to vyžaduje zákon. Údaje jsou uchovávány zpravidla po dobu až tří let od konečného posouzení případu. Pokud je to v jednotlivém případě nutné z důležitých důvodů, může být v jednotlivých případech lhůta až sedm let.
e) Zabezpečení dat v oznamovacím kanáluKomunikace mezi vaším počítačem a Whistleblowing Systémem probíhá přes šifrované spojení (SSL). Vaše IP adresa nebude během používání Whistleblowing systému uložena. Aby bylo zachováno spojení mezi vaším počítačem a Whistleblowing Systémem, je ve vašem počítači uložen soubor cookie, který obsahuje pouze ID relace (tzv. nulový soubor cookie). Tento soubor cookie je platný pouze do konce vaší relace a jeho platnost vyprší, když zavřete prohlížeč. V rámci Whistleblowing Systému je možné zřídit poštovní schránku, která je zabezpečena individuálně zvoleným pseudonymem / uživatelským jménem a heslem. To vám umožní zasílat oznámení odpovědnému pracovníkovi METRO buď jménovitě, nebo anonymně bezpečným způsobem. Data jsou v tomto případě ukládána pouze uvnitř Whistleblowing Systému, díky čemuž je obzvláště bezpečný. Nejde o formu běžné emailové komunikace.
Při podávání oznámení nebo jeho doplnění můžete odpovědnému pracovníkovi METRO současně odesílat soubory jako přílohy. Pokud chcete odeslat anonymní hlášení, vezměte prosím na vědomí následující bezpečnostní doporučení: Soubory mohou obsahovat skryté osobní údaje, které by mohly ohrozit vaši anonymitu. Před odesláním tato data odstraňte. Pokud tyto údaje odstranit nemůžete nebo si nejste jisti, jak to udělat, zkopírujte text své přílohy do textu oznámení nebo zašlete dokument současně anonymně na adresu uvedenou v zápatí s uvedením referenčního čísla, které obdržíte na konci procesu podání oznámení.
Whistleblowing Systém provozuje jménem společnosti METRO specializovaná společnost Business Keeper AG, Bayreuther Str. 35, 10789 Berlín, Německo. Osobní údaje a informace zadané do Whistleblowing Systému jsou uloženy v databázi provozované společností Business Keeper AG ve vysoce zabezpečeném datovém centru. K datům má přístup pouze METRO. Business Keeper AG ani žádné další třetí strany nemají k údajům přístup. To je zajištěno v rámci certifikované procedury prostřednictvím rozsáhlých technických a organizačních opatření. Všechna data jsou uložena v zašifrované podobě s několika úrovněmi ochrany heslem, takže přístup je omezen na velmi úzký výběr výslovně oprávněných osob v METRO.
3. Vaše práva
Jako subjekt údajů se můžete kdykoli obrátit na našeho pověřence pro ochranu osobních údajů s oznámením v jakékoli podobě (kontaktní údaje jsou uvedené pod 1. c) k výkonu Vašich práv podle GDPR. Tato práva jsou následující:
- Právo obdržet informace o zpracování údajů a kopii zpracovávaných údajů (právo na přístup, čl. 15 GDPR),
- Právo požadovat opravu nepřesných údajů nebo doplnění údajů neúplných (právo na opravu, čl. 16 GDPR),
- Právo požadovat výmaz osobních údajů a v případě, že osobní údaje byly zveřejněny, informování ostatních správců o žádosti o výmaz (právo na výmaz, čl. 17 GDPR),
- Právo požadovat omezení zpracování údajů (právo na omezení zpracování, čl. 18 GDPR),
- Právo získat osobní údaje týkající se subjektu údajů ve strukturovaném, běžně používaném a strojově čitelném formátu a požádat o předání těchto údajů jinému správci (právo na přenositelnost údajů, čl. 20 GDPR),
- Právo vznést námitku proti zpracování údajů za účelem jeho zastavení (právo vznést námitku, čl. 21 GDPR),
- Právo udělený souhlas kdykoli odvolat za účelem zastavení zpracování údajů, které vychází z vašeho souhlasu. Odvolání souhlasu se nedotkne zákonnosti zpracování na základě souhlasu uděleného před takovým odvoláním (právo odvolat souhlas, čl. 7 GDPR).
- Právo podat stížnost u dozorového úřadu v případě, že se domníváte, že Vaše práva na ochranu osobních údajů byla porušena (právo podat stížnost u dozorového úřadu, čl. 77 GDPR).
Pokud jsou Vaše osobní údaje zpracovávány na základě oprávněného zájmu dle čl. 6, odst. 1, 1. věta, písm. f) GDPR, máte právo vznést námitku proti tomuto zpracování Vašich osobních údajů na základě čl. 21 GDPR, pokud jsou pro to dány důvody vzniklé Vaší konkrétní situací. Pokud chcete uplatnit své právo vznést námitku, stačí odeslat email na kontaktní adresu uvedenou výše pod 1. c).(v 3.1)