データ保護通知 内部告発
1. 一般情報
a) はじめに
以下のデータ保護通知は、内部告発チャネルを利用する際のあなたの個人データの処理と、一般データ保護規則(「GDPR」)およびこの処理に関連する適用されるデータ保護法に基づくあなたの権利についてお知らせすることを目的としています。
b) データ管理者
内部告発チャネルで実施されるデータ処理に関するデータ保護責任について、次のように区別する必要があります:
グループ会社のローカル報告チャネル(連絡先)において、当該会社の自社従業員が責任を負う場合、そのグループ会社は、METRO AGと共同でGDPR第26条の意味において責任を負います。
他の会社の従業員が責任を負うグループ会社のローカル報告チャネル(連絡先)の場合、当該グループ会社は、METRO AGおよび(アシスタンス会社)と共同でGDPR第26条の意味において責任を負います。
中央オンライン内部告発システム(内部告発システム)の場合、報告が行われた影響を受けるグループ会社は、METRO AGと共同でGDPR第26条の意味において責任を負います。
METRO AGは、内部告発システムの運営と、このシステムを介して受け取った報告の各グループ会社への割り当てに責任を負っています。METRO AGに拠点を置くコーポレートコンプライアンス部門は、一般的にグループ内のすべての内部告発報告の管理とフォローアップに責任を持っています。METRO AGの責任は、他の機能で報告の影響を受けない限り、ローカル報告チャネルを介して受け取った報告に限られます。
アシスタンス会社は、各グループ会社の内部報告チャネルの業務を実施し、この文脈で行われるデータ処理に責任を負います。原則として、アシスタンス会社はMETRO AGです。
該当する報告の影響を受けるグループ会社は、そのような報告の処理と取り扱いに責任を負います。これには、特に違反の是正措置や、報告を提供した人へのフィードバック義務が含まれます。
METRO AGの連絡先住所は、Metro-Straße 1, 40235 Düsseldorfです。各グループ会社の連絡先住所は、該当するローカル報告チャネルが公開されているウェブサイトのデータ保護通知に記載されています。
METROの各法人間の共同管理に関する一般的な側面については、以下をご覧ください:
https://www.metroag.de/en/data-privacy/jointcontrol
c) データ保護担当者
以下の連絡先で、いつでも対応するデータ保護担当者に連絡できます:
METRO AG、データ保護担当者、Metro-Straße 1, 40235 Düsseldorf、E-メール: datenschutz@metro.de
各グループ会社のデータ保護担当者の連絡先は、該当するローカル報告チャネルが公開されているウェブサイトのデータ保護通知に記載されています。
2. 個人データの処理に関する情報
a) 目的と法的根拠
内部通報チャネルは、METROグループ(METRO)のコンプライアンス規則に関する違反の報告を、安全かつ機密に受け取り、処理し、管理する目的で使用されます。
グループ会社が報告チャネルを維持する法的義務がある場合、報告に続く個人データの処理は、GDPR第6条第1項第1文(c)に基づいて合法です。特別なカテゴリの個人データが処理される場合は、GDPR第9条第2項第1文(g)や特別なカテゴリの個人データに関する適用される国内法的根拠もあります。それ以外の場合、データ処理は、グループ会社が不正行為を検出し防止し、METRO、その従業員、顧客への損害を回避するという正当な利益に基づいています。この処理は、GDPR第6条第1項第1文(f)に基づいて合法です。データ処理が同意に基づく場合、特に身元情報の提供に関しては、法的根拠はGDPR第6条第1項第1文(f)または特別なカテゴリの個人データの場合は、さらにGDPR第9条第2項第1文(a)および(g)に基づきます。
各グループ会社のフォローアップ措置は、サービスまたは雇用関係の履行または終了に必要となる場合があり、GDPR第6条第1項第1文(b)および対応する国内法的根拠に基づいて合法です。
b) 収集される個人データの種類
内部通報チャネルの利用は任意です。内部通報チャネルを通じて報告を行う場合、次の個人データおよび情報を収集します:
- 名前(身元を明かすことを選択した場合)、
- METROに雇用されているかどうか、および
- 報告の中で名前を挙げた人物の名前やその他の個人データ。
c) 報告の機密扱いと受取人
受信した報告は、METROのコンプライアンス部門の明示的に承認された特別に訓練された限られた従業員によって受け取られ、常に機密として扱われます。METROのコンプライアンス部門の従業員は、事案を評価し、特定のケースに必要な追加調査を実施します。報告の処理中や特別調査の実施中に、他のグループ会社での事象に関連する報告がある場合など、METROの追加の従業員や他のグループ会社の従業員と報告を共有する必要が生じることがあります。後者の従業員は、個人データの保護に関する異なる規制がある欧州連合または欧州経済地域外の国に拠点を置いている可能性があります。報告を共有する際には、常に適用されるデータ保護規制が遵守されるように確保します。データにアクセスするすべての者は、機密保持を義務付けられています。
基本的な原則として、私たちは法的に、報告を受け取ったことを被告人に通知する義務がありますが、これが報告に関するさらなる調査を脅かす場合はこの限りではありません。その際、内部通報者としてのあなたの身元は、法的に可能な限り開示されません。
あなたの同意がある場合、報告の情報は外部の関係者に渡されます。それ以外の場合、法により許可される範囲内で、関連する調査および検察当局、またはこの文脈において秘密保持義務のある裁判所や専門職のアドバイザーにのみ渡されます。
d) 保存
個人データは、状況を明確にし、報告の評価を行うために必要な期間、または会社の正当な利益が存在する期間、あるいは法的に要求される期間保持されます。原則として、データはケースの最終評価後、最大3年間保存されます。特別な必要性がある場合、個別のケースではこの期間が最大7年になることがあります。
e) 通報システムにおけるデータセキュリティ
コンピュータと通報システム間の通信は、暗号化された接続(SSL)を介して行われます。通報システムの利用中に、あなたのIPアドレスは保存されません。あなたのコンピュータと通報システム間の接続を維持するために、セッションID(いわゆるヌルクッキー)のみを含むクッキーがコンピュータに保存されます。このクッキーはセッションの終了まで有効で、ブラウザを閉じると期限切れになります。通報システム内に、個別に選択した仮名/ユーザー名とパスワードで保護されたポストボックスを設定することができます。これにより、責任あるMETROの従業員に対して、名前を明示するか、匿名かつ安全な方法で報告を送信できます。このシステムは、通報システム内にのみデータを保存するため、特に安全です。これは通常のメール通信の形式ではありません。
報告や追加を提出する際に、同時にMETROの責任ある従業員に添付ファイルを送信することができます。匿名で報告を提出したい場合は、以下のセキュリティアドバイスに留意してください。ファイルには、匿名性を損なう可能性のある隠れた個人データが含まれている場合があります。このデータを送信前に削除してください。このデータを削除できない場合や、どのように削除すればよいかわからない場合は、添付ファイルのテキストを報告テキストにコピーするか、報告プロセスの最後に受け取った参照番号を記載して、フッターに記載された住所に印刷した文書を匿名で送信してください。
通報システムは、METROの委託により、ドイツのベルリンにあるビジネスキーパー社(ビジネスキーパー社, バイエルイター通り35番地, 10789 ベルリン)によって運営されています。通報システムに入力された個人データおよび情報は、ビジネスキーパー社が運営する高
セキュリティデータセンター内のデータベースに保存されます。データにはMETROのみがアクセスでき、ビジネスキーパー社や他の第三者はデータにアクセスできません。これは、認証された手続きにより、広範な技術的および組織的措置によって確保されています。すべてのデータは複数のパスワード保護レベルで暗号化されて保存されており、アクセスはMETROの明示的に承認されたごく少数の者に制限されています。
3. あなたの権利
データ主体として、GDPRに基づく権利を行使するために、上記の1.c)に記載された連絡先に非公式な通信を送信することで、いつでも当社のデータ保護責任者に連絡することができます。これらの権利は以下の通りです:
- データ処理に関する情報および処理されたデータのコピーを受け取る権利(アクセスの権利、GDPR第15条)
- 不正確なデータの訂正または不完全なデータの補完を要求する権利(訂正の権利、GDPR第16条)
- 個人データの削除を要求し、もし個人データが公表されている場合は、削除の要求について他の管理者に通知する権利(削除の権利、GDPR第17条)
- データ処理の制限を要求する権利(処理の制限の権利、GDPR第18条)
- データ主体に関する個人データを構造化された一般的に使用される機械可読形式で受け取り、このデータを他の管理者に送信するよう要求する権利(データポータビリティの権利、GDPR第20条)
- データ処理に対して異議を申し立て、処理を停止させる権利(異議の権利、GDPR第21条)
- 与えられた同意をいつでも撤回する権利。撤回は、撤回前の同意に基づく処理の合法性に影響を与えません(撤回の権利、GDPR第7条)
- GDPRの違反と考える場合、監督当局に苦情を申し立てる権利(監督当局への苦情の申し立ての権利、GDPR第77条)。
個人データがGDPR第6条第1項第1文第f号に基づく正当な利益に基づいて処理される場合、あなたは特定の状況に起因する理由がある限り、GDPR第21条に基づいて個人データの処理に対して異議を申し立てる権利があります。異議の権利を行使したい場合は、上記の1.c)に記載された連絡先にメールを送信するだけで済みます。
(v 3.1)