Meddelande om dataskydd för anmälningssystemet
1. Allmän information
a) Introduktion
Följande meddelanden om dataskydd är avsedda att informera dig om behandlingen av dina personuppgifter i samband med användningen av vårt anmälningssystem och dina rättigheter enligt den allmänna dataskyddsförordningen (GDPR) och liknande tillämpliga dataskyddslagar i samband med denna behandling.
b) Registeransvarig
Vi, METRO AG, Metro-Straße 1, 40235 Düsseldorf, är registeransvarig enligt GDPR, och därmed ansvariga för den beskrivna databehandlingen.
c) Dataskyddsombud
Du kan kontakta vårt dataskyddsombud när som helst via följande kontaktuppgifter:
METRO AG, Data Protection Officer, Metro-Straße 1, 40235 Düsseldorf, e-post: datenschutz@metro.de
2. Information om behandling av personuppgifter
a) Syftet med anmälningssystemet och rättslig grund
Anmälningssystemet har till syfte att på ett säkert och konfidentiellt sätt ta emot, behandla och hantera anmälningar om överträdelser av efterlevnadsreglerna för METRO Company Group (METRO). Behandlingen av personuppgifter i anmälningssystemet är baserad på vårt företags legitima intressen att upptäcka och förhindra missförhållanden och därmed undvika skada på METRO, dess anställda och kunder. Rättslig grund för behandlingen är artikel 6.1.1 f i GDPR.
b) Typ av insamlade personuppgifter
Användningen av anmälningssystemet är frivillig. Om du gör en anmälan via anmälningssystemet kommer vi att samla in följande personuppgifter och information:
- ditt namn, om du vill tala om vad du heter,
- om du är anställd på METRO, och
- namn och andra personuppgifter för de personer som du nämner i din anmälan.
c) Konfidentiell hantering av anmälningar
Inkommande anmälningar tas emot av några få utvalda, uttryckligen auktoriserade och specialutbildade medarbetare på avdelningen för efterlevnad hos METRO och hanteras alltid konfidentiellt. Medarbetarna på avdelningen för efterlevnad hos METRO kommer att utvärdera ärendet och utföra eventuella ytterligare utredningar som krävs i det berörda fallet.
Under behandlingen av en anmälan eller vid genomförandet av en särskild utredning kan det bli nödvändigt att dela anmälningar med ytterligare anställda i METRO eller anställda i andra koncernbolag, t.ex. om anmälningarna avser händelser i dotterbolag. I det senare fallet kan dessa företag också vara verksamma utanför EU och det Europeiska ekonomiska samarbetsområdet där andra regler gäller om skydd av personuppgifter. Vi ser alltid till att följa alla tillämpliga dataskyddsbestämmelser när vi delar innehållet i en anmälan. Alla personer som får åtkomst till informationen är skyldiga att hantera den konfidentiellt.
Vi är skyldiga enligt lag att informera den eller de personer som anmälts om att en anmälan gjorts mot dem, såvida det inte kan hota ytterligare utredning av fallet. Anmälarens identitet avslöjas inte såvida det inte krävs enligt lag.
d) Lagring
Personuppgifter sparas så länge det behövs för att klargöra och utvärdera situationen eller så länge företaget har ett berättigat intresse av det eller är skyldigt till det enligt lag. När en anmälan är avslutad kommer alla data i den att tas bort enligt lagstadgade bestämmelser.
e) Datasäkerhet och mottagare
Din dator kommunicerar med anmälningssystemet genom en krypterad anslutning (SSL). Din IP-adress sparas inte när du använder anmälningssystemet. För att upprätthålla anslutningen mellan din dator och anmälningssystemet lagras en cookie på din dator som endast innehåller sessions-ID (en så kallad noll-cookie). Denna cookie är bara giltig tills sessionen avslutas och du stänger webbläsaren. I anmälningssystemet kan du skapa en skyddad brevlåda med en pseudonym/ ett användarnamn och ett lösenord som du väljer själv. Detta gör att du kan skicka anmälningar till den ansvariga medarbetaren på METRO antingen i ditt namn eller på ett anonymt och säkert sätt. Systemet sparar bara data inom anmälningssystemet vilket gör det extra säkert. Det kan inte jämföras med vanlig e-post.
När du skickar in en anmälan eller ett tillägg kan du samtidigt skicka bilagor till den ansvariga medarbetaren på METRO. Observera följande säkerhetsanvisning om du vill göra en anonym anmälan: Filer kan innehålla dold information med personuppgifter som kan avslöja din identitet. Ta bort dessa uppgifter innan du skickar filen. Om du inte kan ta bort den här informationen eller är osäker på hur du ska göra det, ska du kopiera texten från bilaga till anmälningstexten eller skicka en utskrift av den anonymt med det referensnummer du får i slutet av anmälningsprocessen till den adress som anges i sidfoten.
Anmälningssystemet drivs av ett specialiserat företag på uppdrag av METRO, EQS Group GmbH, Bayreuther Str. 35, 10789 Berlin i Tyskland. Personuppgifter och information som läggs in i anmälningssystemet lagras i en databas som drivs av EQS Group GmbH i ett datacenter med hög säkerhet. Endast METRO har tillgång till uppgifterna. EQS Group GmbH och andra utomstående parter kan inte komma åt uppgifterna. Detta säkerställs i det certifierade förfarandet genom omfattande tekniska och organisatoriska åtgärder. Alla uppgifter lagras krypterade med flera nivåer av lösenordsskydd så att åtkomsten är begränsad till en mycket litet grupp av uttryckligen behöriga personer på METRO.
3. Dina rättigheter
Som registrerad kan du när som helst kontakta vårt dataskyddsombud genom att skicka ett informellt meddelande till de kontaktuppgifter som anges ovan under 1. c) för att utöva dina rättigheter enligt GDPR. Dessa rättigheter är följande:
- Rätten att få information om databehandlingen och en kopia av de behandlade uppgifterna (Rätt till tillgång, artikel 15 i GDPR)
- Rätten att kräva rättelse av felaktiga uppgifter eller komplettering av ofullständiga uppgifter (Rätt till rättelse, artikel 16 i GDPR)
- Rätten att kräva radering av personuppgifter och, om personuppgifterna har offentliggjorts, informationen till andra registeransvariga om begäran om radering (Rätt till radering, artikel 17 i GDPR)
- Rätten att kräva begränsning av databehandlingen (Rätt till begränsning, artikel 18 i GDPR)
- Den registrerade ska ha rätt att få ut de personuppgifter som rör honom eller henne och som han eller hon har tillhandahållit den personuppgiftsansvarige i ett strukturerat, allmänt använt och maskinläsbart format och ha rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig (Rätt till dataportabilitet, artikel 20 i GDPR)
- Rätten göra invändningar mot behandling av personuppgifter för att stoppa den (Rätt att göra invändningar, artikel 21 i GDPR)
- Den registrerade ska ha rätt att när som helst återkalla sitt samtycke. Återkallandet av samtycket ska inte påverka lagligheten av behandling som grundar sig på samtycke, innan detta återkallas. (Villkor för samtycke, artikel 7 i GDPR)
- Rätten att lämna in ett klagomål till en tillsynsmyndighet om du anser att databehandlingen strider mot GDPR (Rätt att lämna in ett klagomål till en tillsynsmyndighet, artikel 77 i GDPR).
Om dina personuppgifter behandlas utifrån berättigade intressen enligt 6.1.1 f i GDPR har du rätt att invända mot behandlingen av dina personuppgifter enligt art. 21 i GDPR, förutsatt att det finns skäl för att göra det på grund av din speciella situation. Om du vill utnyttja din rätt att göra invändningar behöver du bara skicka ett e-postmeddelande till de kontaktuppgifter som nämns ovan under 1. c).