Quy Trình Tuýt Còi Theo Thông Báo về Bảo Vệ Dữ Liệu
1. Thông Tin Chung
a) Giới thiệu
Các thông báo bảo vệ dữ liệu sau đây nhằm mục đích thông báo cho bạn về việc xử lý dữ liệu cá nhân của bạn liên quan đến việc sử dụng các kênh tuýt còi và các quyền của bạn theo Quy Định Chung về Bảo Vệ Dữ Liệu (“GDPR”) và các điều luật bảo vệ dữ liệu hiện hành tương tự liên quan đến việc xử lý này.
b) Đơn Vị Kiểm Soát Dữ Liệu
Phải phân biệt về trách nhiệm bảo vệ dữ liệu đối với việc xử lý dữ liệu được thực hiện trong các kênh tuýt còi của chúng ta:
Trong trường hợp một kênh báo cáo địa phương của một công ty trong tập đoàn (chi tiết liên hệ) mà nhân viên của công ty chịu trách nhiệm, công ty tương ứng trong tập đoàn cùng chịu trách nhiệm theo ý nghĩa của Điều 26 GDPR cùng với METRO AG.
Trong trường hợp một kênh báo cáo địa phương của một công ty trong tập đoàn (chi tiết liên hệ) mà nhân viên của một công ty khác chịu trách nhiệm (" Công Ty Hỗ Trợ "), công ty tương ứng trong tập đoàn cùng chịu trách nhiệm theo ý nghĩa của Điều 26 GDPR cùng với METRO AG và Công Ty Hỗ Trợ.
Trong trường hợp hệ thống tuýt còi trực tuyến trung tâm ("Hệ Thống Tuýt Còi"), công ty bị ảnh hưởng trong tập đoàn mà báo cáo được thực hiện đối với nó cùng chịu trách nhiệm theo ý nghĩa của Điều 26 GDPR cùng với METRO AG.
METRO AG chịu trách nhiệm vận hành Hệ Thống Tuýt Còi và chỉ định các báo cáo nhận được thông qua hệ thống này cho các công ty tương ứng trong tập đoàn. Phòng Tuân Thủ Công Ty đặt tại METRO AG thường chịu trách nhiệm quản lý và theo dõi tất cả các báo cáo tuýt còi trong tập đoàn. Trách nhiệm của Metro AG giới hạn ở việc này đối với các báo cáo nhận được qua các kênh báo cáo địa phương, trừ phi bản thân nó bị ảnh hưởng bởi báo cáo ở một bộ phận khác.
Công Ty Hỗ Trợ thực hiện các nhiệm vụ của kênh báo cáo nội bộ cho công ty tương ứng trong tập đoàn và chịu trách nhiệm xử lý dữ liệu được thực hiện trong bối cảnh này. Theo quy định, Công Ty Hỗ Trợ là METRO AG.
Công ty trong tập đoàn bị ảnh hưởng bởi báo cáo tương ứng có trách nhiệm giải quyết và xử lý các báo cáo đó. Cụ thể là, điều này bao gồm các biện pháp khắc phục một hành vi vi phạm và nghĩa vụ báo cáo lại cho người cung cấp báo cáo.
Địa chỉ liên lạc của METRO AG là Metro-Straße 1, 40235 Düsseldorf. Có thể tìm thấy địa chỉ liên hệ của các công ty tương ứng trong tập đoàn trong các thông báo bảo vệ dữ liệu trên các trang web ở đó kênh báo cáo địa phương tương ứng được công bố.
Có thể tìm thấy các khía cạnh chung của quy trình cùng kiểm soát giữa các thực thể METRO tại:
https://www.metroag.de/en/data-privacy/jointcontrol
C) Cán Bộ Bảo Vệ Dữ Liệu
Bạn có thể liên hệ với viên chức bảo vệ dữ liệu tương ứng vào bất kỳ lúc nào theo chi tiết liên hệ sau đây:
METRO AG, Data Protection Officer, Metro-Straße 1, 40235 Düsseldorf, E-Mail: datenschutz@metro.de
Có thể tìm thấy chi tiết liên hệ của các viên chức bảo vệ dữ liệu của các công ty tương ứng trong tập đoàn trong các thông báo bảo vệ dữ liệu trên các trang web ở đó kênh báo cáo địa phương tương ứng được công bố.
2. Thông Tin về Việc Xử Lý Dữ Liệu Cá Nhân
a) Mục Đích và Cơ Sở Pháp Lý
Các kênh tuýt còi phục vụ mục đích nhận, xử lý và quản lý các báo cáo một cách an toàn và bảo mật về các hành vi vi phạm các quy tắc tuân thủ của Tập Đoàn METRO (METRO).
Trong trường hợp một công ty trong tập đoàn có nghĩa vụ pháp lý phải duy trì một kênh báo cáo, việc xử lý dữ liệu cá nhân theo sau báo cáo có cơ cơ sở pháp lý là Điều 6 phần 1 mục 1 khoản c) GDPR. Trong trường hợp các loại dữ liệu cá nhân đặc biệt được xử lý, cơ sở pháp lý bổ sung là Điều 9 phần 2 khoản g) GDPR hoặc cơ sở pháp lý quốc gia áp dụng đối với các loại dữ liệu cá nhân đặc biệt. Nếu không, việc xử lý dữ liệu dựa trên lợi ích hợp pháp của các công ty trong tập đoàn nhằm phát hiện và ngăn chặn hành vi sai trái và nhờ đó tránh gây thiệt hại cho METRO, nhân viên và khách hàng của họ. Việc xử lý này được có cơ sở pháp lý là Điều 6 phần 1 mục 1 khoản f) GDPR. Trong trường hợp việc xử lý dữ liệu dựa trên sự đồng ý, cụ thể là khi chuyển giao thông tin về danh tính, cơ sở pháp lý là Điều 6 phần 1 mục 1 khoản a) GDPR hoặc – trong trường hợp các loại dữ liệu cá nhân đặc biệt – Điều 9 phần 2 khoản a) và khoản g) GDPR.
Các biện pháp tiếp theo của các công ty riêng lẻ trong tập đoàn có thể là cần thiết để thực hiện hoặc chấm dứt mối quan hệ dịch vụ hoặc làm việc và có cơ sở pháp lý là Điều 6 phần 1 mục 1 khoản b) GDPR và các cơ sở pháp lý quốc gia tương ứng.
b) Loại Dữ Liệu Cá Nhân Được Thu Thập
Việc sử dụng các kênh tuýt còi diễn ra trên cơ sở tự nguyện. Nếu bạn gửi báo cáo qua các kênh tuýt còi, chúng tôi sẽ thu thập dữ liệu và thông tin cá nhân sau đây:
- tên của bạn, nếu bạn chọn tiết lộ danh tính của mình,
- bạn có được tuyển dụng tại METRO hay không, và
- tên của những người và dữ liệu cá nhân khác của những người mà bạn nêu tên trong báo cáo.
c) Xử Lý Bảo Mật Báo Cáo và Người Nhận
Một số ít nhân viên được ủy quyền rõ và được đào tạo đặc biệt của Phòng Tuân Thủ METRO nhận được báo cáo đến và các báo cáo đó luôn được xử lý bảo mật. Nhân viên của Phòng Tuân Thủ METRO sẽ đánh giá vấn đề và thực hiện bất kỳ cuộc điều tra nào thêm theo yêu cầu của trường hợp cụ thể. Trong quá trình xử lý một báo cáo hoặc tiến hành một cuộc điều tra đặc biệt, có thể cần phải chia sẻ báo cáo với các nhân viên khác của METRO hoặc nhân viên của các công ty khác trong tập đoàn, ví dụ: nếu báo cáo đề cập đến các sự cố ở các công ty khác trong tập đoàn. Trường hợp thứ hai có thể đặt tại các quốc gia bên ngoài Liên Minh Châu Âu hoặc Khu Vực Kinh Tế Châu Âu với các quy định khác nhau liên quan đến việc bảo vệ dữ liệu cá nhân. Chúng tôi luôn đảm bảo tuân thủ các quy định bảo vệ dữ liệu hiện hành khi chia sẻ báo cáo. Tất cả những người nhận quyền tiếp cận dữ liệu đều có nghĩa vụ phải bảo mật thông tin.
Một nguyên tắc cơ bản là, luật pháp quy định chúng tôi phải thông báo cho những người bị cáo buộc rằng chúng tôi đã nhận được một báo cáo liên quan đến họ, trừ khi việc này đe dọa quy trình điều tra thêm về báo cáo. Khi làm như vậy, danh tính của bạn với tư cách người tuýt còi không được tiết lộ ở mức cao nhất có thể theo quy định của pháp luật.
Với sự đồng ý của bạn, thông tin từ các báo cáo sẽ được chuyển cho các bên bên ngoài; nếu không, nó sẽ chỉ được chuyển – trong phạm vi được pháp luật cho phép – đến các cơ quan điều tra và truy tố liên quan hoặc, trong bối cảnh này, cho tòa án và luật sư bị ràng buộc phải giữ bí mật theo luật hành nghề.
d) Lưu giữ
Dữ liệu cá nhân được lưu giữ trong thời gian cần thiết để làm rõ tình huống và thực hiện đánh giá báo cáo hoặc tồn tại một lợi ích hợp pháp của công ty hoặc theo yêu cầu của pháp luật. Theo quy tắc, dữ liệu được lưu giữ tối đa ba năm sau đánh giá cuối cùng về trường hợp đó. Nếu có nhu cầu đặc biệt, trong từng trường hợp, thời gian có thể lên đến bảy năm.
e) Bảo Mật Dữ Liệu trong Hệ Thống Tuýt Còi
Giao tiếp giữa máy tính của bạn và Hệ Thống Tuýt Còi diễn ra thông qua một kết nối được mã hóa (SSL). Địa chỉ IP của bạn sẽ không được lưu trữ trong khi bạn sử dụng Hệ Thống Tuýt Còi. Để duy trì kết nối giữa máy tính của bạn và Hệ Thống Tuýt Còi, một cookie được lưu trữ trên máy tính của bạn chỉ chứa ID phiên truy cập (còn gọi là cookie rỗng). Cookie này chỉ có giá trị cho đến khi kết thúc phiên truy cập của bạn và hết hạn khi bạn đóng trình duyệt. Có thể thiết lập một hộp thư trong Hệ Thống Tuýt Còi, được bảo mật bằng một biệt danh / tên người dùng và mật khẩu được chọn riêng. Điều này cho phép bạn gửi báo cáo cho nhân viên chịu trách nhiệm tại METRO theo tên hoặc theo cách ẩn danh, an toàn. Hệ thống này chỉ lưu trữ dữ liệu bên trong Hệ Thống Tuýt Còi, giúp cho nó trở nên rất an toàn. Đây không phải là một hình thức liên lạc email thông thường.
Khi gửi báo cáo hoặc thông tin bổ sung, bạn có thể đồng thời gửi các tập tin đính kèm cho nhân viên chịu trách nhiệm của METRO. Nếu bạn muốn gửi báo cáo ẩn danh, vui lòng lưu ý lời khuyên bảo mật sau đây: Các tập tin có thể chứa dữ liệu cá nhân ẩn có thể ảnh hưởng đến tính ẩn danh của bạn. Xóa dữ liệu này trước khi gửi. Nếu bạn không thể xóa dữ liệu này hoặc không chắc cách làm như vậy, hãy sao chép văn bản của tập tin đính kèm vào văn bản báo cáo của bạn hoặc gửi tài liệu in theo cách ẩn danh đến địa chỉ được liệt kê trong cước chú, trích dẫn số tham chiếu nhận được ở cuối quy trình báo cáo.
Hệ Thống Tuýt Còi được vận hành bởi một công ty chuyên trách, Business Keeper AG, Bayreuther Str. 35, 10789 Berlin ở Đức, thay mặt cho METRO. Dữ liệu và thông tin cá nhân được nhập vào Hệ Thống Tuýt Còi được lưu trữ trong một cơ sở dữ liệu được vận hành bởi Business Keeper AG trong một trung tâm dữ liệu bảo mật cao. Chỉ có METRO mới có thể tiếp cận dữ liệu này. Business Keeper AG và các bên thứ ba khác không có quyền tiếp cận dữ liệu này. Điều này được đảm bảo trong thủ tục được chứng nhận thông qua nhiều biện pháp kỹ thuật và tổ chức. Tất cả dữ liệu được lưu trữ ở dạng mã hóa với nhiều cấp bảo vệ bằng mật khẩu sao cho việc truy cập bị giới hạn ở một số lượng rất ít những người được ủy quyền rõ tại METRO.
3. Các Quyền Của Bạn
Là chủ thể dữ liệu, bạn có thể liên hệ với viên chức bảo vệ dữ liệu của chúng tôi vào bất kỳ lúc nào bằng cách gửi thông tin liên lạc không chính thức đến chi tiết liên hệ nêu trên ở 1. c) để thực hiện các quyền của bạn theo GDPR. Những quyền này như sau:
- Quyền nhận thông tin về việc xử lý dữ liệu và bản sao dữ liệu đã xử lý (Quyền tiếp cận, Điều 15 GDPR)
- Quyền yêu cầu chỉnh sửa dữ liệu không chính xác hoặc hoàn thành dữ liệu chưa hoàn chỉnh (Quyền điều chỉnh, Điều 16 GDPR)
- Quyền yêu cầu xóa dữ liệu cá nhân, và nếu dữ liệu cá nhân đã được công khai, thông tin cho các đơn vị kiểm soát khác về yêu cầu xóa (Quyền xóa dữ liệu, Điều 17 GDPR)
- Quyền yêu cầu hạn chế xử lý dữ liệu (Quyền hạn chế xử lý dữ liệu, Điều 18 GDPR)
- Quyền nhận dữ liệu cá nhân liên quan đến chủ thể dữ liệu ở một định dạng có cấu trúc, thường được sử dụng và có thể đọc được bằng máy và yêu cầu truyền gửi dữ liệu này đến một đơn vị kiểm soát khác (Quyền di chuyển dữ liệu, Điều 20 GDPR)
- Quyền phản đối xử lý dữ liệu để dừng xử lý dữ liệu (Quyền phản đối, Điều 21 GDPR)
- Quyền rút lại sự đồng ý đã cung cấp vào bất kỳ lúc nào để dừng việc xử lý dữ liệu dựa trên sự đồng ý của bạn. Việc rút lại không ảnh hưởng đến tính hợp pháp của việc trình xử lý dựa trên sự đồng ý trước khi rút lại (Quyền rút lại sự đồng ý, Điều 7 GDPR)
- Quyền khiếu nại với một cơ quan giám sát nếu bạn xem việc xử lý dữ liệu là vi phạm GDPR (Quyền khiếu nại với một cơ quan giám sát, Điều 77 GDPR).
Nếu dữ liệu cá nhân của bạn được xử lý dựa trên các lợi ích hợp pháp theo Điều 6 phần 1 mục 1 khoản f) GDPR, bạn có quyền phản đối việc xử lý dữ liệu cá nhân của mình theo Điều 21 DSGVO, với điều kiện là có những lý do cho việc này phát sinh từ hoàn cảnh cụ thể của bạn. Nếu bạn muốn thực hiện quyền phản đối của mình, tất cả những gì bạn cần làm là gửi email đến chi tiết liên hệ nêu trên trên ở 1. c).
(v 3.1)