Gegevensbeschermingsme-dedeling Klokkenluidersregeling
1. Algemene informatie
a) Inleiding
De volgende kennisgevingen inzake gegevensbescherming zijn bedoeld om u te informeren over de verwerking van uw persoonsgegevens in verband met het gebruik van ons klokkenluidersysteem en uw rechten volgens de Algemene Verordening Gegevensbescherming (GDPR) en soortgelijke toepasselijke gegevensbeschermingswetten met betrekking tot deze verwerking.
b) Gegevensbeheerder
Wij, METRO AG, Metro-Straße 1, 40235 Düsseldorf, zijn de gegevensbeheerder volgens GDPR, en dus voor de geschetste gegevensverwerking.
c) Data Protection Officer
U kunt te allen tijde contact opnemen met onze Data Protection Officer voor gegevensbescherming via de volgende contactgegevens: METRO AG, Data Protection Officer, Metro-Straße 1, 40235 Düsseldorf, e-mail: datenschutz@metro.de
2. Informatie over de verwerking van persoonsgegevens
a) Doel van het klokkenluidersysteem en rechtsgrondslag
Het klokkenluidersysteem dient voor het veilig en vertrouwelijk ontvangen, verwerken en beheren van meldingen over schendingen van de compliance-regels van de METRO Company Group (METRO). De verwerking van persoonsgegevens in het klokkenluidersysteem is gebaseerd op de legitieme belangen van ons bedrijf om wangedrag op te sporen en te voorkomen en zo schade aan METRO, haar werknemers en klanten te voorkomen. Rechtsgrondslag voor de verwerking is Art. 6 (1)(1)(f) GDPR.
b) Type van de verzamelde persoonsgegevens
Het gebruik van het klokkenluidersysteem vindt plaats op vrijwillige basis. Als u een melding indient via het klokkenluidersysteem, verzamelen wij de volgende persoonsgegevens en informatie:
- uw naam, indien u ervoor kiest uw identiteit bekend te maken,
- of u bij METRO in dienst bent, en
- de namen van personen en andere persoonlijke gegevens van personen die u in uw melding noemt.
c) Vertrouwelijke behandeling van meldingen
Binnenkomende meldingen worden ontvangen door een kleine selectie van uitdrukkelijk geautoriseerde en speciaal opgeleide medewerkers van de Compliance afdeling van METRO en worden altijd vertrouwelijk behandeld. De medewerkers van de Compliance afdeling van METRO zullen de zaak beoordelen en eventueel verder onderzoek verrichten dat voor het specifieke geval vereist is. Tijdens de verwerking van een melding of de uitvoering van een speciaal onderzoek kan het noodzakelijk worden om meldingen te delen met andere medewerkers van METRO of medewerkers van andere groepsvennootschappen, bijvoorbeeld als de meldingen betrekking hebben op incidenten in dochterondernemingen. Deze laatste kunnen gevestigd zijn in landen buiten de Europese Unie of de Europese Economische Ruimte met andere regelgeving betreffende de bescherming van persoonsgegevens. Wij zorgen er altijd voor dat de toepasselijke regelgeving inzake gegevensbescherming wordt nageleefd bij het delen van rapporten. Alle personen die toegang krijgen tot de gegevens zijn verplicht tot geheimhouding.
During the processing of a report or the conduction of a special investigation, it may become necessary to share reports with additional employees of METRO or employees of other group companies, e.g. if the reports refer to incidents in subsidiaries. The latter may be based in countries outside the European Union or the European Economic Area with different regulations concerning the protection of personal data. We always ensure that the applicable data protection regulations are complied with when sharing reports. All persons who receive access to the data are obligated to maintain confidentiality.
Als basisprincipe zijn wij wettelijk verplicht de beschuldigde personen te informeren dat wij een melding over hen hebben ontvangen, tenzij dit verder onderzoek naar de melding in gevaar brengt. Daarbij wordt uw identiteit als klokkenluider niet bekendgemaakt, voor zover dat wettelijk mogelijk is.
d) Bewaring
Persoonsgegevens worden bewaard zolang als nodig is om de situatie op te helderen en een evaluatie van de melding uit te voeren of er bestaat een gerechtvaardigd belang van het bedrijf of het is wettelijk verplicht. Na beëindiging van de behandeling van het rapport worden deze gegevens in overeenstemming met de wettelijke voorschriften gewist.
e) Gegevensbeveiliging en ontvangers
De communicatie tussen uw computer en het meldsysteem vindt plaats via een versleutelde verbinding (SSL). Uw IP-adres wordt tijdens uw gebruik van het meldsysteem niet opgeslagen. Om de verbinding tussen uw computer en het meldsysteem in stand te houden, wordt op uw computer een cookie opgeslagen die alleen de sessie-ID bevat (een zogenaamde null cookie). Deze cookie is slechts geldig tot het einde van uw sessie en vervalt wanneer u uw browser sluit. Het is mogelijk om binnen het meldsysteem een postbus in te stellen die is beveiligd met een individueel gekozen pseudoniem / gebruikersnaam en wachtwoord. Hiermee kunt u meldingen naar de verantwoordelijke medewerker van METRO sturen, hetzij met naam, hetzij op een anonieme, veilige manier. Dit systeem slaat alleen gegevens op binnen het meldsysteem, waardoor het bijzonder veilig is. Het is geen vorm van reguliere e-mailcommunicatie.
Bij het indienen van een melding of een aanvulling kunt u tegelijkertijd bijlagen meesturen naar de verantwoordelijke medewerker van METRO. Als u een anonieme melding wilt doen, neem dan de volgende veiligheidsadviezen in acht: Bestanden kunnen verborgen persoonlijke gegevens bevatten die uw anonimiteit in gevaar kunnen brengen. Verwijder deze gegevens voordat u ze verstuurt. Als u deze gegevens niet kunt verwijderen of niet zeker weet hoe u dit moet doen, kopieer dan de tekst van uw bijlage in de tekst van uw melding of stuur het afgedrukte document anoniem naar het in de voettekst vermelde adres, onder vermelding van het referentienummer dat u aan het einde van het meldingsproces hebt ontvangen.
Het rapportagesysteem wordt namens METRO beheerd door een gespecialiseerd bedrijf, EQS Group GmbH, Bayreuther Str. 35, 10789 Berlijn in Duitsland. Persoonsgegevens en informatie die in het rapportagesysteem worden ingevoerd, worden opgeslagen in een database die wordt beheerd door EQS Group GmbH in een streng beveiligd datacentrum. Alleen METRO heeft toegang tot de gegevens. EQS Group GmbH en andere derde partijen hebben geen toegang tot de gegevens. Dit wordt in de gecertificeerde procedure gewaarborgd door uitgebreide technische en organisatorische maatregelen. Alle gegevens worden gecodeerd opgeslagen met meerdere niveaus van wachtwoordbeveiliging, zodat de toegang beperkt is tot een zeer kleine selectie van uitdrukkelijk geautoriseerde personen bij METRO.
3. Uw rechten
Als betrokkene kunt u te allen tijde contact opnemen met onze Data Protection Officer door een informele mededeling te sturen naar de contactgegevens die hierboven onder 1. c) zijn vermeld, om uw rechten volgens de GDPR uit te oefenen. Deze rechten zijn de volgende:
- Het recht om informatie te ontvangen over de gegevensverwerking en een kopie van de verwerkte gegevens (Recht op toegang, Art. 15 GDPR)
- Het recht om de rectificatie van onjuiste gegevens of de aanvulling van onvolledige gegevens te eisen (Recht op rectificatie, Art. 16 GDPR)
- Het recht om te verzoeken om wissing van persoonsgegevens en, indien de persoonsgegevens openbaar zijn gemaakt, het recht op het informeren van de andere voor de verwerking verantwoordelijken over het verzoek om wissing (Recht op wissing, Art. 17 GDPR)
- Het recht om beperking van de gegevensverwerking te eisen (Recht op beperking van de verwerking, Art. 18 GDPR)
- Het recht om de persoonsgegevens van de betrokkene in een gestructureerd, algemeen gebruikt en machineleesbaar formaat te ontvangen en te verzoeken om toezending van deze gegevens aan een andere voor de verwerking verantwoordelijke (Recht op gegevensoverdraagbaarheid, Art. 20 GDPR)
- Het recht om bezwaar te maken tegen de gegevensverwerking om deze te beëindigen (Recht van bezwaar, Art. 21 GDPR)
- Het recht om een gegeven toestemming te allen tijde in te trekken om een gegevensverwerking te stoppen die op uw toestemming is gebaseerd. De intrekking heeft geen gevolgen voor de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking (Herroepingsrecht, Art. 7 GDPR)
- Het recht om een klacht in te dienen bij een toezichthoudende autoriteit indien u van mening bent dat de gegevensverwerking een inbreuk vormt op de GDPR (Recht om een klacht in te dienen bij een toezichthoudende autoriteit, Art. 77 GDPR).
Indien uw persoonsgegevens worden verwerkt op basis van gerechtvaardigde belangen overeenkomstig Art. 6 (1)(1)(f) GDPR, heeft u het recht om bezwaar te maken tegen de verwerking van uw persoonsgegevens op grond van Art. 21 DSGVO, mits er redenen zijn om dit te doen die voortvloeien uit uw bijzondere situatie. Als u gebruik wilt maken van uw recht van bezwaar, hoeft u alleen maar een e-mail te sturen naar de contactgegevens die hierboven onder 1. c) zijn vermeld.