Data protection Notice – Integritetspolicy Visselblåsnin
1. Allmän information
a) InledningFöljande integritetspolicy är avsedd att informera dig om behandlingen av dina personuppgifter i samband med användning av våra visselblåsarkanaler och dina rättigheter enligt den allmänna dataskyddsförordningen ("GDPR") och liknande tillämpliga dataskyddslagar som rör denna behandling.
b) PersonuppgiftsansvarigEn distinktion måste göras när det gäller ansvaret för dataskydd för den databehandling som utförs i våra visselblåsarkanaler:
När det gäller en lokal rapporteringskanal för ett koncernföretag (JHB AB) för vilken en egen anställd i företaget är ansvarig, är respektive koncernföretag gemensamt ansvarigt i den mening som avses i artikel 26 GDPR tillsammans med METRO AG.
När det gäller en lokal rapporteringskanal för ett koncernföretag (JHB AB) för vilken en anställd i ett annat företag är ansvarig ("Assisterande företag"), är respektive koncernföretag gemensamt ansvarigt i den mening som avses i artikel 26 GDPR tillsammans med METRO AG och det assisterande företaget.
När det gäller det centrala visselblåsarsystemet online ("visselblåsarsystemet") är det berörda koncernföretaget för vilket rapporten görs gemensamt ansvarigt i den mening som avses i artikel 26 GDPR tillsammans med METRO AG.
METRO AG ansvarar för driften av visselblåsarsystemet och tilldelningen av de rapporter som tas emot via detta system till respektive koncernbolag. Corporate Compliance-avdelningen på METRO AG är generellt ansvarig för hantering och uppföljning av alla visselblåsarrapporter inom koncernen. METRO AG:s ansvar är begränsat till detta för rapporter som tas emot via lokala rapporteringskanaler, såvida inte METRO AG själv berörs av rapporten i en annan funktion.
Det Assisterande Bolaget utför uppgifterna i den interna rapporteringskanalen för respektive koncernbolag och ansvarar för den databehandling som utförs i detta sammanhang. Som regel är det assisterande företaget METRO AG.
Det koncernbolag som berörs av respektive rapport ansvarar för att hantera och behandla sådana rapporter. Detta omfattar i synnerhet åtgärder för att avhjälpa en överträdelse och skyldigheten att rapportera tillbaka till den person som lämnar rapporten.
Kontaktadressen för METRO AG är Metro-Straße 1, 40235 Düsseldorf. Kontaktuppgifter till respektive koncernföretag finns i integritetspolicyn på de webbplatser där respektive lokal rapporteringskanal publiceras.
Allmänna aspekter av den gemensamma kontrollen mellan Metro-enheterna finns på följande webbplats:
https://www.metroag.de/en/data-privacy/jointcontrol
c) Ombud för dataskyddDu kan när som helst kontakta motsvarande dataskyddsombud på följande kontaktuppgifter:
METRO AG, Data Protection Officer, Metro-Straße 1, 40235 Düsseldorf, E-Mail: datenschutz@metro.de
Kontaktuppgifterna till dataskyddsombuden för respektive koncernföretag finns i integritetspolicyn på de webbplatser där respektive lokal rapporteringskanal publiceras.
2. Information om behandling av personuppgifter
a) Ändamål och rättslig grundSyftet med visselblåsarkanalerna är att på ett säkert och konfidentiellt sätt ta emot, bearbeta och hantera rapporter om överträdelser av reglerna för regelefterlevnad inom METRO Company Group (METRO).
I den mån ett koncernföretag enligt lag är skyldigt att upprätthålla en rapporteringskanal är den behandling av personuppgifter som följer av rapporten rättsligt baserad på artikel 6 p. 1 s. 1 lit. c) GDPR. I den mån särskilda kategorier av personuppgifter behandlas är ytterligare rättslig grund artikel 9 p. 2 lit. g) GDPR eller den tillämpliga nationella rättsliga grunden för särskilda kategorier av personuppgifter. I annat fall baseras databehandlingen på koncernföretagens legitima intresse av att upptäcka och förhindra oegentligheter och därmed undvika skador på METRO, dess anställda och kunder. Denna behandling är juridiskt baserad på artikel 6 p. 1 s. 1 lit. f) GDPR. I den mån databehandlingen grundar sig på samtycke, särskilt vid överföring av information om identitet, är den rättsliga grunden artikel 6 p. 1 s. 1 lit. a) GDPR eller – vid särskilda kategorier av personuppgifter – vidare artikel 9 p. 2 lit. a och lit. g) GDPR.
Uppföljningsåtgärder från de enskilda koncernföretagen kan vara nödvändiga för att fullgöra eller avsluta tjänste- eller anställningsförhållanden och är rättsligt grundade på artikel 6 p. 1 s. 1 lit. b) GDPR och motsvarande nationella rättsliga grunder.
b) Typ av insamlade personuppgifterAnvändningen av visselblåsarkanalerna sker på frivillig basis. Om du gör en anmälan via visselblåsarkanalerna samlar vi in följande personuppgifter och information:
- ditt namn, om du väljer att avslöja din identitet,
- om du är anställd inom METRO, och
- namn på personer och andra personuppgifter om personer som du namnger i din anmälan.
c) Konfidentiell hantering av rapporter och mottagareInkommande rapporter tas emot av ett litet urval av uttryckligen auktoriserade och specialutbildade medarbetare på Compliance-avdelningen på METRO och hanteras alltid konfidentiellt. De anställda på Compliance-avdelningen på METRO kommer att utvärdera ärendet och utföra eventuella ytterligare utredningar som krävs i det specifika fallet. Under behandlingen av en rapport eller genomförandet av en särskild utredning kan det bli nödvändigt att dela rapporter med ytterligare anställda hos METRO eller anställda i andra koncernbolag, t.ex. om rapporterna avser incidenter i andra koncernbolag. De senare kan vara baserade i länder utanför Europeiska unionen eller Europeiska ekonomiska samarbetsområdet med andra bestämmelser om skydd av personuppgifter. Vi ser alltid till att gällande dataskyddsbestämmelser följs när vi delar rapporter. Alla personer som får tillgång till uppgifterna är skyldiga att iaktta konfidentialitet.
Som en grundläggande princip är vi enligt lag skyldiga att informera de anklagade personerna om att vi har mottagit en anmälan som rör dem, såvida detta inte hotar att leda till ytterligare utredningar av anmälan. När du gör det avslöjas inte din identitet som visselblåsare så långt det är juridiskt möjligt.
Med ditt samtycke kommer information från rapporterna att vidarebefordras till externa parter; I annat fall kommer de endast att vidarebefordras – i den utsträckning som lagen tillåter – till relevanta utredande och lagförande myndigheter eller, i detta sammanhang, till domstolar och rådgivare som är bundna av tystnadsplikt enligt yrkesrätten.
d) LagringPersonuppgifter lagras så länge som det är nödvändigt för att klargöra situationen och göra en utvärdering av rapporten eller så länge som det finns ett legitimt intresse för företaget eller så länge som det krävs enligt lag. Uppgifterna sparas som regel i upp till tre år efter den slutliga bedömningen av ärendet. Om det finns särskilda behov kan perioden i enskilda fall vara upp till sju år.
e) Datasäkerhet i visselblåsarsystemetKommunikationen mellan din dator och visselblåsarsystemet sker via en krypterad anslutning (SSL). Din IP-adress kommer inte att lagras under din användning av visselblåsarsystemet. För att upprätthålla anslutningen mellan din dator och visselblåsarsystemet lagras en cookie på din dator som endast innehåller sessions-ID (en så kallad null-cookie). Denna cookie är endast giltig till slutet av din session och upphör att gälla när du stänger din webbläsare. Det är möjligt att sätta upp en brevlåda inom visselblåsarsystemet som är säkrad med en individuellt vald pseudonym/användarnamn och lösenord. Detta gör att du kan skicka rapporter till ansvarig medarbetare på METRO antingen med namn eller på ett anonymt och säkert sätt. Detta system lagrar endast data i visselblåsarsystemet, vilket gör det särskilt säkert. Det är inte en form av vanlig e-postkommunikation.
När du lämnar in en anmälan eller ett tillägg kan du samtidigt skicka bilagor till den ansvariga medarbetaren på METRO. Om du vill lämna in en anonym anmälan, vänligen notera följande säkerhetsråd: Filer kan innehålla dolda personuppgifter som kan äventyra din anonymitet. Ta bort dessa data innan du skickar. Om du inte kan ta bort dessa uppgifter eller är osäker på hur du ska göra det, kopiera texten i din bifogade fil till din rapporttext eller skicka det utskrivna dokumentet anonymt till adressen som anges i sidfoten, med angivande av referensnumret som du fick i slutet av rapporteringsprocessen.
Visselblåsarsystemet drivs av ett specialiserat företag, Business Keeper AG, Bayreuther Str. 35, 10789 Berlin i Tyskland, på uppdrag av METRO. Personuppgifter och information som matas in i visselblåsarsystemet lagras i en databas som drivs av Business Keeper AG i ett datacenter med hög säkerhet. Endast METRO har tillgång till uppgifterna. Business Keeper AG och andra tredje parter har inte tillgång till uppgifterna. Detta säkerställs i det certifierade förfarandet genom omfattande tekniska och organisatoriska åtgärder. All data lagras krypterat med flera nivåer av lösenordsskydd så att åtkomsten är begränsad till ett mycket litet urval av uttryckligen behöriga personer på METRO.
3. Dina rättigheter
Som registrerad kan du när som helst kontakta vårt dataskyddsombud genom att skicka ett informellt meddelande till de kontaktuppgifter som nämns ovan under 1. c) för att utöva dina rättigheter enligt GDPR. Dessa rättigheter är följande:
- Rätten att få information om databehandlingen och en kopia av de behandlade uppgifterna (rätt till tillgång, artikel 15 i GDPR)
- Rätt att kräva rättelse av felaktiga uppgifter eller komplettering av ofullständiga uppgifter (Rätt till rättelse, artikel 16 i GDPR)
- Rätten att kräva radering av personuppgifter och, om personuppgifterna har offentliggjorts, information till andra personuppgiftsansvariga om begäran om radering (Rätt till radering, artikel 17 i GDPR)
- Rätten att kräva begränsning av databehandlingen (rätt till begränsning av behandling, artikel 18 i GDPR)
- Rätten att få personuppgifter om den registrerade i ett strukturerat, allmänt använt och maskinläsbart format och att begära överföring av dessa uppgifter till en annan personuppgiftsansvarig (rätt till dataportabilitet, artikel 20 i GDPR)
- Rätten att invända mot databehandlingen för att stoppa den (Rätt att invända, artikel 21 i GDPR)
- Rätten att när som helst återkalla ett lämnat samtycke för att stoppa en databehandling som baseras på ditt samtycke. Återkallelsen påverkar inte lagligheten av den behandling som grundar sig på samtycket före återkallelsen (ångerrätt, artikel 7 i GDPR)
- Rätten att lämna in ett klagomål till en tillsynsmyndighet om du anser att databehandlingen är en överträdelse av GDPR (Rätt att lämna in ett klagomål till en tillsynsmyndighet, artikel 77 i GDPR).
Om dina personuppgifter behandlas på grundval av legitima intressen enligt artikel 6 p. 1 s. 1 lit. f) GDPR, har du rätt att invända mot behandlingen av dina personuppgifter enligt artikel 21 GDPR, förutsatt att det finns skäl för att göra det på grund av din specifika situation. Om du vill utöva din rätt till invändning behöver du bara skicka ett e-postmeddelande till de kontaktuppgifter som nämns ovan under 1. c).