信息保护通告(举报)
1. 一般信息
a)引言以下信息保护通告旨在告知,在您使用我们的举报渠道时对您个人信息的处理方式,以及您根据《一般信息保护规则》(「GDPR」)和与该信息处理相关的类似适用信息保护法律所享有的权利。
b)信息控制者对于在我们的举报渠道中进行的信息处理,须明确区分信息保护责任:
如果集团公司的本地报告渠道(联络方式)是由该公司的雇员负责,则根据《GDPR》第26条的规定,各集团公司与METRO AG共同承担责任。
如果集团公司的本地报告渠道(联络方式)是由另一间公司(以下称「协助公司」)的雇员负责,则根据《GDPR》第26条的规定,各集团公司与METRO AG以及协助公司共同承担责任。
在涉及中央在线举报系统(「举报系统」)的情况下,根据《GDPR》第26条的规定,被举报的受影响集团公司与METRO AG共同承担责任。
METRO AG负责举报系统的营运,并将通过该系统所收到的报告分派给相关的集团公司。于METRO AG的合规总部通常负责管理和跟进集团内的所有举报报告。METRO AG的责任只限于通过本地报告渠道收到的报告,除非其本身受到其他职能部门的报告的影响。
协助公司执行相应集团公司的内部报告渠道所派发的任务,并负责在该背景下进行的信息处理。原则上,协助公司为METRO AG。
受相应报告影响的集团公司负责处置和处理该类报告。该等处置和处理具体包括纠正违规行为的措施,以及向举报者回复的义务。
METRO AG的联络地址为Metro-Straße 1,40235 Düsseldorf。关于各集团公司的联络地址,可在各个当地提供报告渠道的网站上的信息保护通告中找到。
有关METRO实体之间联合控制的一般问题,可浏览:
https://www.metroag.de/en/data-privacy/jointcontrol
c)信息保护官您可以随时通过以下联络方式联络相应的信息保护官:
METRO AG信息保护官的地址:Metro-Straße 1,40235 Düsseldorf,和电子邮件:datenschutz@metro.de
关于各集团公司的信息保护官联络方式,请参谟各个当地提供报告渠道的网站中的信息保护通告。
2 .关于处理个人信息的相关资料
a)目的与法律依据设置举报渠道的目的在于安全且保密地接收、处理及管理涉及违反METRO集团( METRO )合规规定的举报。
如果集团公司在法律上有义务维护报告渠道,则对于收到报告后的个人信息处理,其法律依据为《GDPR》第6条第1款第1节第c)项。如果涉及对特殊类别个人信息的处理,则其进一步的法律依据为《GDPR》第9条第2款第g)项或适用于特殊类别个人信息的国家法律依据。此外,信息处理应基于集团公司的合法利益,旨在发现和预防不当行为,从而避免对METRO、其雇员和客户造成损害。该类处理的法律依据为《GDPR》第6条第1款第1节第f)项。如果信息处理是基于同意,特别是在传输身份信息,其法律依据为《GDPR》第6条第1款第1节第f)项,或在涉及特殊类别个人信息的,其进一步的法律依据为《GDPR》第9条第2款第a)项及第g)项。
对于履行或终止服务或雇佣关系而言,个别集团公司可能必须采取后续措施,其法律依据为《GDPR》第6条第1款第1节第b)项和相应的国家法律依据。
b) 所收集的个人信息类型使用举报渠道属自愿性。如果您透过举报渠道提交报告,我们会收集下列个人信息及数据:
- 您的姓名,如果您选择透露您的身份,
- 您是否受雇于METRO,以及
- 您在报告中所提及人士的姓名和其他个人信息。
c)对报告及收件人的保密处理提交的报告将由METRO合规部门中少数获取明确授权并已通过专门训练的雇员接收,并始终采取保密处理方式。METRO合规部门的雇员将对事件做出评估,并依据特定个案的需要开展进一步调查。在处理报告或开展特别调查期间,可能需要与其他METRO雇员或其他集团公司的雇员分享报告,例如该报告涉及跟其他集团公司相关的事件。其他集团公司的雇员可能位于欧盟或欧洲经济区以外的国家,该等国家对于个人信息的保护具有不同的规定。在共享报告时,我们始终确保遵守适用的信息保护规定。所有获准查阅信息的人士均应承担保密义务。
作为基本原则,我们必须依法告知被举报的人士,我们已收到与其相关的报告,除非此举将对报告的进一步调查造成威胁。在作出上述告知时,在法律许可的范围内,您作为举报者的身份将不会被披露。
在获取您同意的情况下,报告中的信息将被传送到外部单位;否则,只会在法律允许的范围内,传送到相关的调查和检控机构,或在该情况下,传送到根据专业法律受保密义务约束的法院和顾问。
d)保留个人信息的保留期限以疏理情况、执行报告评估、或基于公司的合法利益或法律规定所需为限。通常,信息在案件最终评估后最长可存档3年。如果有特殊需求,则在个别情况下,该期限最长可达7年。
e)举报系统的信息安全您的计算机与举报系统之间的通讯乃通过加密通信(SSL)进行。在您使用举报系统期间,您的IP地址不会被储存。为了维持您的计算机与举报系统之间的连线,您的计算机上会存储一个仅包含通信ID的cookie(即所谓的无效cookie)。该cookie仅在您的通信结束前有效,并在您关闭浏览器时过期。您可以在举报系统中设定一个邮箱,并使用单独选择的假名/使用者名称和密码来保护该邮箱。这样,您就可以通过显示姓名或匿名的安全方式向METRO的负责雇员发送报告。该系统只会将信息存档在举报系统内部,因此特别安全。它不是常规的电子邮件通信形式。
在提交报告或补充内容时,您可以同时把附件传送给METRO的负责雇员。如果您打算提交匿名报告,请注意以下安全建议:文档可能包含隐藏的个人信息,可能会破坏您的匿名目的。请在传送前删除该等信息。如果您无法删除该等信息,或不清楚如何删除,请将附件文本复制到您的报告主内容,或将文档打印,匿名发送到本页底部所列地址,并注明报告流程结束时收到的参考编号。
举报系统由专业公司Business Keeper AG ( Bayreuther Str.35,10789 Berlin in Germany )代表METRO运营。输入举报系统的个人信息及数据,都储存在Business Keeper AG运营的资料库存内,该资料库存位于具有高度安全级别的信息中心。只有METRO才能查阅该等信息。Business Keeper AG及其他第三方无法查阅该等信息。我们通过认证程序确保上述查阅,该类认证程序采用了大量技术和机构性措施。所有信息均以加密方式储存,并设有多层密码保护,因此只限METRO极少数获取明确授权的人士查阅。
3 .您的权利
作为信息主体,您可以随时透过上述第1条第c)项下提及的联络方式发送非正式通信,与我们的信息保护官联络,从而根据《GDPR》行使您的权利。该等权力包括:
- 有权获得信息处理的相关信息,以及经处理信息的复本(获取权,《GDPR》第15条)
- 有权要求更正不准确的信息或填写不完整信息(更正权,《GDPR》第16个)
- 有权要求删除个人信息,以及在个人信息已公开的情况下,有权要求其他控制者提供有关删除请求的信息(删除权,《GDPR》第17条)
- 有权要求限制信息处理(限制处理权,《GDPR》第18条)
- 有权以结构化、常用且机器可读的格式接收与信息主体相关的个人信息,并有权要求将该信息传送至其他控制者(信息可移植权,《GDPR》第20条)。
- 为停止信息处理,有权反对信息处理(反对权,《GDPR》第21条)
- 有权随时撤回同意,从而停止基于您的同意而进行的信息处理。该等撤回不影响撤回前基于同意而进行的处理的合法性(撤回权,《GDPR》第7条)
- 如果您认为信息处理违反《GDPR》的,有权向监督机构投诉(向监督机构提出投诉权,《GDPR》第77条)。
如果您的个人信息是根据《GDPR》第6条第1款第1节第f)项基于合法利益而处理,则您有权根据《GDPR》第21条反对处理您的个人信息,但前提是您的特殊情况使您有理由行使反对权。如果您打算行使反对权,仅需根据上述第1条第c)项下的联络方式发送电子邮件。