Tietosuojailmoituksen ilmoittaminen - Whistleblowing
1. Yleistä tietoa
a) JohdantoSeuraavien tietosuojailmoitusten tarkoituksena on kertoa sinulle henkilötietojesi käsittelystä whistleblowing-kanaviemme käytön yhteydessä ja oikeuksistasi yleisen tietosuoja-asetuksen ("
GDPR") ja vastaavien tähän käsittelyyn liittyvien sovellettavien tietosuojalakien mukaisesti.
b) RekisterinpitäjäWhistleblowing-kanavissamme suoritettavaan tietojenkäsittelyyn liittyvät tietosuojavastuut on erotettava toisistaan:
Mikäli konserniyhtiössä (JHB Oy) on paikallinen ilmoituskanava, josta vastaa yrityksen oma työntekijä, konserniyhtiöt yhdessä METRO AG:n kanssa ovat yhteisvastuussa GDPR:n 26 artiklan tarkoittamalla tavalla.
Jos kyseessä on konserniyhtiön paikallinen ilmoituskanava (JHB Oy), josta toisen yrityksen työntekijä on vastuussa ("
avustava yritys"), kyseinen konserniyhtiö on yhdessä GDPR:n artiklan 26 mukaisesti vastuussa yhdessä METRO AG:n ja avustavan yrityksen kanssa.
Keskitetyn online-ilmiantojärjestelmän ("Whistleblowing-järjestelmä") tapauksessa asianomainen konserniyhtiö, josta ilmoitus tehdään, on yhdessä GDPR:n artiklan 26 mukaisesti vastuussa yhdessä METRO AG:n kanssa.
METRO AG on vastuussa whistleblower-järjestelmän toiminnasta ja tämän järjestelmän kautta vastaanotettujen raporttien jakamisesta vastaaville konserniyhtiöille. METRO AG:n Corporate Compliance -osasto on yleisesti vastuussa kaikkien ilmiantajien ilmoitusten hallinnasta ja seurannasta konsernin sisällä. METRO AG:n vastuu rajoittuu tähän paikallisten ilmoituskanavien kautta vastaanotettujen ilmoitusten osalta, ellei raportti vaikuta METRO AG:hen itseensä muussa ominaisuudessa.
Avustava yhtiö suorittaa tehtävät kunkin konserniyhtiön sisäisessä ilmoituskanavassa ja vastaa tässä yhteydessä suoritettavasta tietojen käsittelystä. Avustava yhtiö on pääsääntöisesti METRO AG.
Konserniyhtiö, jota kukin ilmoitus koskee, on vastuussa tällaisten raporttien hallinnasta ja käsittelystä. Tähän sisältyvät erityisesti toimenpiteet rikkomisen korjaamiseksi ja velvollisuus ilmoittaa asiasta ilmoituksen tekijälle.
METRO AG:n osoite on Metro-Straße 1, 40235 Düsseldorf. Kunkin konserniyhtiön yhteystiedot löytyvät niiden verkkosivujen tietosuojaselosteesta, joilla kukin paikallinen ilmoituskanava julkaistaan.
Metro-yksiköiden yhteisen tiedonhallinnan yleiset näkökohdat löytyvät seuraavalta verkkosivustolta:
https://www.metroag.de/en/data-privacy/jointcontrol
c) TietosuojavastaavaVoit ottaa yhteyttä vastaavaan tietosuojavastaavaan milloin tahansa seuraavilla yhteystiedoilla::
METRO AG, Data Protection Officer, Metro-Straße 1, 40235 Düsseldorf, Sähköposti: datenschutz@metro.de
Kunkin konserniyhtiön tietosuojavastaavien yhteystiedot löytyvät niiden verkkosivustojen tietosuojakäytännöistä, joilla paikallinen ilmoituskanava julkaistaan.
2. Tietoa henkilötietojen käsittelystä
a) Tarkoitus ja oikeusperustaWhistleblower-kanavien tarkoituksena on vastaanottaa, käsitellä ja hallita vaatimustenmukaisuusrikkomuksia koskevia ilmoituksia turvallisesti ja luottamuksellisesti METRO Company Group (METRO).
Siltä osin kuin konserniyhtiöllä on lakisääteinen velvollisuus ylläpitää ilmoituskanavaa, ilmoitusta seuraava henkilötietojen käsittely perustuu oikeudellisesti 6 artiklan 1 kohdan 1 alakohdan c) alakohtaan GDPR. Siltä osin kuin käsitellään erityisiä henkilötietoryhmiä, toinen oikeusperusta on GDPR: n 9 artiklan 2 kohdan g) alakohta tai erityisiin henkilötietoryhmiin sovellettava kansallinen oikeusperusta. Muussa tapauksessa tietojenkäsittely perustuu konserniyhtiöiden oikeutettuun etuun havaita ja estää väärinkäytökset ja siten välttää METROlle, sen työntekijöille ja asiakkaille aiheutuvat vahingot. Tämä käsittely perustuu oikeudellisesti GDPR: n 6.1.1 f). Siltä osin kuin tietojenkäsittely perustuu suostumukseen, erityisesti siirrettäessä henkilöllisyyttä koskevia tietoja, oikeusperusta on GDPR: n 6 artiklan 1 kohdan 1 alakohdan a alakohta tai - erityisten henkilötietoryhmien osalta - lisäksi 9 artiklan 2 kohdan a) alakohta ja g) alakohta.
Yksittäisten konserniyhtiöiden jatkotoimet voivat olla tarpeen työsuhteen täyttämiseksi tai päättämiseksi, ja ne perustuvat oikeudellisesti: artiklan 6 kohdan 1 alakohta 1 b) GDPR ja vastaavat kansalliset oikeusperustat.
b) Kerättyjen henkilötietojen tyyppiWhistleblower-kanavien käyttö on vapaaehtoista. Jos teet ilmoituksen whistleblower-kanavien kautta, keräämme seuraavat henkilötiedot:
- nimesi, jos päätät paljastaa henkilöllisyytesi;
- jos olet METRO palveluksessa ja
- raportissa mainitsemiesi henkilöiden nimet ja muut henkilötiedot.
c) Raporttien ja vastaanottajien luottamuksellinen hallintaSaapuvat raportit vastaanottaa pieni valikoima nimenomaisesti valtuutettuja ja erikoiskoulutettuja työntekijöitä METROn vaatimustenmukaisuusosastolla, ja ne käsitellään aina luottamuksellisesti. METROn vaatimustenmukaisuusosaston työntekijät arvioivat tapauksen ja suorittavat tapauksen edellyttämät lisätutkimukset. Ilmoituksen käsittelyn tai erityistutkinnan aikana voi olla tarpeen jakaa raportteja muiden METROn työntekijöiden tai muiden konserniyhtiöiden työntekijöiden kanssa, esimerkiksi jos raportit liittyvät tapahtumiin muissa konserniyhtiöissä. Jälkimmäiset voivat sijaita Euroopan unionin tai Euroopan talousalueen ulkopuolisissa maissa, joissa on erilaiset tietosuojasäännökset. Varmistamme aina, että raportteja jaettaessa noudatetaan soveltuvia tietosuojamääräyksiä. Kaikki henkilöt, joilla on pääsy tietoihin, ovat vaitiolovelvollisia.
Perusperiaatteena on, että meidän on lain mukaan ilmoitettava syytetyille, että olemme saaneet heitä koskevan ilmoituksen, ellei tämä uhkaa johtaa ilmoituksen lisätutkimuksiin. Kun teet niin, henkilöllisyytesi ilmoittajana ei paljastu siinä määrin kuin se on laillisesti mahdollista.
Suostumuksellasi raporttien tiedot välitetään ulkopuolisille osapuolille; Muussa tapauksessa ne toimitetaan lain sallimissa rajoissa ainoastaan asianomaisille tutkinta- ja syyttäjäviranomaisille tai tässä yhteydessä tuomioistuimille ja avustajille, joita sitoo salassapitovelvollisuus.
d) VarastointiHenkilötietoja säilytetään niin kauan kuin se on tarpeen tilanteen selvittämiseksi ja raportin arvioimiseksi tai niin kauan kuin on olemassa oikeutettu etu yhtiössä tai niin kauan kuin laki sitä edellyttää. Tietoja säilytetään pääsääntöisesti enintään kolme vuotta tapauksen lopullisen arvioinnin jälkeen. Jos on erityistarpeita, määräaika voi yksittäistapauksissa olla enintään seitsemän vuotta.
e) Tietoturva whistleblower-järjestelmässäTietokoneesi ja whistleblower-järjestelmän välinen viestintä tapahtuu salatun yhteyden (SSL) kautta. IP-osoitettasi ei tallenneta whistleblowing-järjestelmän käytön aikana. Jotta tietokoneesi ja whistleblower-järjestelmän välinen yhteys säilyisi, tietokoneellesi tallennetaan eväste, joka sisältää vain istuntotunnuksen (ns. nollaeväste). Tämä eväste on voimassa vain istunnon loppuun asti ja vanhenee, kun suljet selaimen. Whistleblower-järjestelmään on mahdollista perustaa postilaatikko, joka on suojattu yksilöllisesti valitulla salanimellä/käyttäjätunnuksella ja salasanalla. Näin voit lähettää raportteja METROn vastuulliselle työntekijälle joko nimellä tai nimettömällä ja turvallisella tavalla. Tämä järjestelmä tallentaa tietoja vain whistleblower-järjestelmään, mikä tekee siitä erityisen turvallisen. Se ei ole säännöllisen sähköpostiviestinnän muoto.
Kun lähetät ilmoituksen tai liitteen, voit samalla lähettää liitteitä METROn vastuuhenkilölle. Jos haluat tehdä ilmoituksen nimettömänä, huomioi seuraavat turvallisuusohjeet: Tiedostot voivat sisältää piilotettuja henkilötietoja, jotka voivat vaarantaa nimettömyytesi. Poista nämä tiedot ennen lähettämistä. Jos et pysty poistamaan näitä tietoja tai et ole varma, miten se tehdään, kopioi liitteen teksti raporttitekstiin tai lähetä tulostettu asiakirja nimettömänä alatunnisteessa annettuun osoitteeseen ja ilmoita viitenumero, jonka sait raportointiprosessin lopussa.
Whistleblower-järjestelmää ylläpitää METROn puolesta erikoistunut yritys, Business Keeper AG, Bayreuther Str. 35, 10789 Berlin, Saksa. Whistleblowing-järjestelmään syötetyt henkilötiedot tallennetaan Business Keeper AG:n ylläpitämään tietokantaan korkean turvallisuustason tietokeskuksessa. Vain METROlla on pääsy tietoihin. Business Keeper AG:llä ja muilla kolmansilla osapuolilla ei ole pääsyä tietoihin. Tämä varmistetaan sertifioidussa menettelyssä laajoilla teknisillä ja organisatorisilla toimenpiteillä. Kaikki tiedot tallennetaan salattuina useilla salasanasuojaustasoilla, joten pääsy on rajoitettu hyvin pieneen valikoimaan nimenomaisesti valtuutettuja henkilöitä METROssa.
3. Sinun oikeutesi
Rekisteröitynä voit ottaa yhteyttä tietosuojavastaavaamme milloin tahansa lähettämällä epävirallisen viestin edellä kohdassa 1 mainittuihin yhteystietoihin. c) käyttääksemme GDPR:n mukaisia oikeuksiasi. Nämä oikeudet ovat seuraavat:
- Oikeus saada tietoa tietojen käsittelystä ja kopio käsitellyistä tiedoista (tarkastusoikeus, tietosuoja-asetuksen 15 artikla)
- Oikeus vaatia virheellisen tiedon korjaamista tai puutteellisen tiedon täydentämistä (Oikeus tietojen oikaisemiseen, tietosuoja-asetuksen 16 artikla)
- Oikeus vaatia henkilötietojen poistamista ja, jos henkilötiedot on julkistettu, tietojen poistamista muille rekisterinpitäjille poistopyynnöstä (Oikeus tietojen poistamiseen, tietosuoja-asetuksen 17 artikla)
- Oikeus vaatia tietojenkäsittelyn rajoittamista (oikeus käsittelyn rajoittamiseen, GDPR:n artikla 18)
- Oikeus saada rekisteröityä koskevat henkilötiedot jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa ja pyytää näiden tietojen siirtämistä toiselle rekisterinpitäjälle (oikeus siirtää tiedot järjestelmästä toiseen, GDPR:n artikla 20)
- Oikeus vastustaa tietojen käsittelyä sen lopettamiseksi (vastustamisoikeus, GDPR:n artikla 21)
- Oikeus peruuttaa annettu suostumus milloin tahansa suostumukseesi perustuvan tietojenkäsittelyn lopettamiseksi. Peruuttaminen ei vaikuta suostumuksen perusteella ennen peruuttamista suoritetun käsittelyn lainmukaisuuteen (peruuttamisoikeus, tietosuoja-asetuksen 7 artikla)
- Oikeus tehdä valitus valvontaviranomaiselle, jos katsot, että tietojen käsittely rikkoo GDPR: ää (Oikeus tehdä valitus valvontaviranomaiselle, GDPR: n 77 artikla).
Jos henkilötietojasi käsitellään oikeutettujen etujen perusteella GDPR:n 6 artiklan 1 kohdan 1 alakohdan f alakohdan mukaisesti, sinulla on oikeus vastustaa henkilötietojesi käsittelyä GDPR:n 21 artiklan nojalla, jos siihen on erityisestä tilanteestasi johtuva peruste. Jos haluat käyttää vastustamisoikeuttasi, sinun tarvitsee vain lähettää sähköpostia edellä kohdassa 1 mainittuihin yhteystietoihin. c). (v 3.1)