Informacja o ochronie danych osobowych w systemie zgłoszeniowym METRO
1. Informacje ogólne
a) Wprowadzenie
Poniższe informacje o ochronie danych osobowych dotyczą przetwarzania Twoich danych, kiedy korzystasz z naszego systemu zgłoszeniowego, a także praw przysługujących Ci zgodnie z rozporządzeniem o ochronie danych osobowych (RODO) i z podobnymi obowiązującymi przepisami prawa, które mają zastosowanie do takiego przetwarzania.
b) Administrator danych osobowych
My, tj. spółka METRO AG z siedzibą pod adresem Metro-Straße 1, 40235 Düsseldorf, Niemcy, jesteśmy administratorem danych osobowych zgodnie z RODO, również w przypadku przetwarzania określonego w niniejszej informacji.
c) Inspektor ochrony danych
Możesz w dowolnej chwili skontaktować się z naszym inspektorem ochrony danych, korzystając z następujących danych kontaktowych:
METRO AG, Data Protection Officer, Metro-Straße 1, 40235 Düsseldorf, E-Mail: datenschutz@metro.de
2. Informacje dotyczące przetwarzania danych osobowych
a) Cel systemu zgłoszeniowego i podstawa prawna
System zgłoszeniowy pozwala w sposób bezpieczny i poufny przyjmować, przetwarzać i obsługiwać zgłoszenia w sprawie naruszeń zasad compliance w spółkach z grupy METRO (METRO). Przetwarzanie danych osobowych w systemie zgłoszeniowym wynika z prawnie uzasadnionego interesu naszej spółki w wykrywaniu przewinień oraz zapobieganiu im, a tym samym w chronieniu METRO, jej pracowników i klientów przed szkodą. Podstawą prawną przetwarzania jest art. 6 ust. 1 lit. f) RODO.
b) Rodzaj zbieranych danych osobowych
Korzystanie z systemu zgłoszeniowego jest dobrowolne. Kiedy dokonujesz zgłoszenia za jego pośrednictwem, zbieramy następujące dane osobowe i informacje:
- Twoje imię i nazwisko, o ile postanowisz je ujawnić,
- czy jesteś pracownikiem METRO oraz
- imiona i nazwiska oraz inne dane osobowe osób, które wymieniasz w zgłoszeniu.
c) Obsługa zgłoszeń z zachowaniem poufności
Wpływające zgłoszenia są odbierane przez niewielką liczbę wyraźnie upoważnionych i specjalnie wyszkolonych pracowników działu ds. compliance METRO i zawsze są traktowane jako poufne. Pracownicy działu ds. compliance METRO oceniają sprawę i podejmują dalsze dochodzenie, jakiego wymaga dany przypadek. W trakcie przetwarzania zgłoszenia lub prowadzenia specjalnego dochodzenia może zajść konieczność udostępnienia zgłoszenia kolejnym pracownikom METRO lub pracownikom innych spółek z Grupy. Może się tak stać na przykład wtedy, gdy zgłoszenie dotyczy zdarzenia w spółce zależnej. Taka spółka może mieć siedzibę w kraju spoza Unii Europejskiej lub Europejskiego Obszaru Gospodarczego, w którym obowiązują inne przepisy dotyczące ochrony danych osobowych. Udostępniając zgłoszenia, zawsze zapewniamy spełnienie wymogów obowiązujących przepisów ochrony danych. Wszystkie osoby, które otrzymują dostęp do danych, są zobowiązane do zachowania poufności.
Zgodnie z przepisami prawa naszym podstawowym obowiązkiem jest poinformowanie osoby oskarżonej o otrzymaniu zgłoszenia w jej sprawie, chyba że zagraża to dalszemu dochodzeniu związanemu z takim zgłoszeniem. W zakresie, w jakim pozwala na to prawo, nie ujawniamy osobie oskarżonej Twojej tożsamości jako osoby dokonującej zgłoszenia.
d) Przechowywanie danych osobowych
Dane osobowe są przechowywane tak długo, jak jest to niezbędne do wyjaśnienia sytuacji i dokonania oceny zgłoszenia, jak długo istnieje prawnie uzasadniony interes spółki lub wymagają tego przepisy prawa. Po zakończeniu przetwarzania zgłoszenia dane z tego zgłoszenia są kasowane zgodnie z wymogami ustawowymi.
e) Bezpieczeństwo i odbiorcy danych
Twój komputer komunikuje się z systemem zgłoszeniowym, korzystając z połączenia szyfrowanego (SSL). Twój adres IP nie zostanie zachowany w trakcie korzystania z systemu zgłoszeniowego. Aby utrzymać połączenie między komputerem i systemem zgłoszeniowym, na Twoim komputerze zapisywany jest plik cookie (ciasteczko), który zawiera jedynie identyfikator danej sesji (tzw. null cookie). Takie ciasteczko jest ważne tylko do końca sesji i wygasa z chwilą zamknięcia przeglądarki. System zgłoszeniowy daje możliwość utworzenia bezpiecznej skrzynki pocztowej. Posiadacz skrzynki sam wybiera pseudonim / nazwę użytkownika i hasło. Dzięki temu może wysyłać zgłoszenia właściwemu pracownikowi METRO pod swoim nazwiskiem lub anonimowo, z zachowaniem bezpieczeństwa. System przechowuje dane tylko wewnątrz systemu zgłoszeniowego, co stanowi szczególne zabezpieczenie. Nie jest to zwykła wymiana e-maili.
Do zgłoszenia lub uzupełnienia zgłoszenia możesz dodać załączniki, które trafią do właściwego pracownika METRO. Jeżeli chcesz dokonać zgłoszenia anonimowo, uwzględnij następujące zalecenia dotyczące bezpieczeństwa: pliki mogą zawierać ukryte dane osobowe, które ujawnią Twoją tożsamość. Wykasuj takie dane przed wysłaniem pliku. Jeśli nie jesteś w stanie ich skasować lub nie wiesz, jak to zrobić, skopiuj tekst załącznika do treści zgłoszenia lub anonimowo prześlij wydrukowany dokument na adres podany w stopce z zaznaczeniem numeru sprawy otrzymanego na zakończenie procesu dokonywania zgłoszenia.
Obsługą systemu zgłoszeniowego w imieniu METRO AG zajmuje się specjalistyczna spółka EQS Group GmbH z siedzibą pod adresem Bayreuther Str. 35, 10789 Berlin, Niemcy. Dane osobowe i informacje wprowadzone do systemu zgłoszeniowego są przechowywane w bazie danych prowadzonej przez EQS Group GmbH w centrum danych o wysokim standardzie bezpieczeństwa. Tylko METRO ma dostęp do tych danych. EQS Group GmbH oraz inne osoby trzecie nie mają do nich dostępu. Zapewnia to certyfikowana procedura prowadzona z zastosowaniem daleko idących środków technicznych i organizacyjnych. Wszystkie dane są przechowywane w postaci zaszyfrowanej, wymagającej hasła dostępu na różnych poziomach, tak więc dostęp jest ograniczony do bardzo wąskiego grona wyraźnie upoważnionych osób w METRO.
3. Twoje prawa
Jako osoba, której dane dotyczą, możesz w każdej chwili skontaktować się z naszym inspektorem ochrony danych za pośrednictwem nieformalnej wiadomości na adres podany powyżej w pkt. 1c), po to by skorzystać z przysługujących Ci zgodnie z RODO praw. Są to następujące prawa:
- Prawo do uzyskania informacji na temat przetwarzania danych oraz do uzyskania kopi przetwarzanych danych (prawo dostępu, art. 15 RODO)
- Prawo żądania sprostowania nieprawidłowych danych lub uzupełnienia niekompletnych danych (prawo do sprostowania danych, art. 16 RODO)
- Prawo do żądania usunięcia danych osobowych oraz, jeżeli dane zostały upublicznione, do poinformowania pozostałych administratorów o żądaniu usunięcia (prawo do usunięcia danych, art. 17 RODO)
- Prawo żądania ograniczenia przetwarzania danych (prawo do ograniczenia przetwarzania, art. 18 RODO)
- Prawo do otrzymania danych osobowych, które Cię dotyczą, w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego oraz do żądania przesłania tych danych innemu administratorowi (prawo do przenoszenia danych, art. 20 RODO)
- Prawo do wniesienia sprzeciwu wobec przetwarzania danych celem zatrzymania przetwarzania (prawo do sprzeciwu, art. 21 RODO)
- Prawo do wycofania udzielonej zgody w dowolnym momencie celem zatrzymania przetwarzania danych, które odbywa się na podstawie Twojej zgody. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem (prawo do wycofania zgody, art. 7 RODO)
- Prawo wniesienia skargi do organu nadzorczego, jeżeli sądzisz, że przetwarzanie danych odbywa się z naruszeniem RODO (prawo do wniesienia skargi do organu nadzorczego, art. 77 RODO).
Jeżeli Twoje dane osobowe są przetwarzane na podstawie prawnie uzasadnionego interesu zgodnie z art. 6 ust. 1 pt. 1 lit. f) RODO, to masz prawo wnieść sprzeciw wobec przetwarzania Twoich danych osobowych zgodnie z art. 21 RODO, pod warunkiem, że wynika to z przyczyn związanych z Twoją szczególną sytuacją. Jeżeli pragniesz wykonać swoje prawo sprzeciwu, wystarczy, że prześlesz e-mail na adres podany powyżej w pkt. 1c).