Pemberitahuan Pelaporan Pelanggaran Perlindungan Data
1. Informasi Umum
a) Pengantar
Pemberitahuan perlindungan data berikut ditujukan untuk menginformasikan tentang pemrosesan data pribadi Anda sehubungan dengan penggunaan saluran pelaporan pelanggaran (whistleblowing) kami dan hak-hak Anda menurut Peraturan Perlindungan Data Umum (“GDPR”) dan undang-undang perlindungan data serupa yang berlaku yang terkait dengan pemrosesan ini.
b) Pengendali Data
Suatu pembedaan harus dibuat dalam hal tanggung jawab perlindungan data untuk pemrosesan data yang dilakukan di saluran pelaporan pelanggaran kami:
Dalam hal saluran pelaporan setempat dari sebuah grup perusahaan (detail kontak) yang menjadi tanggung jawab karyawan perusahaan itu sendiri, maka grup perusahaan tersebut memiliki tanggung jawab bersama dalam arti Pasal 26 GDPR bersama dengan METRO AG.
Dalam hal saluran pelaporan setempat dari sebuah grup perusahaan (detail kontak) yang menjadi tanggung jawab karyawan perusahaan lain ("Perusahaan Pembantu"), maka grup perusahaan tersebut memiliki tanggung jawab bersama dalam arti Pasal 26 GDPR bersama dengan METRO AG dan Perusahaan Pembantu.
Dalam hal sistem pelaporan pelanggaran online pusat ("Sistem Pelaporan Pelanggaran"), grup perusahaan yang terdampak tempat laporan tersebut dibuat memiliki tanggung jawab bersama dalam arti Pasal 26 GDPR bersama dengan METRO AG.
METRO AG bertanggung jawab atas pengoperasian Sistem Pelaporan Pelanggaran dan penugasan laporan yang diterima melalui sistem ini terhadap masing-masing grup perusahaan. Departemen Kepatuhan Korporat yang berpusat di METRO AG secara umum bertanggung jawab atas manajemen dan tindak lanjut dari semua pelaporan pelanggaran dalam grup tersebut. Tanggung jawab METRO AG terbatas pada laporan yang diterima melalui saluran pelaporan setempat, kecuali jika ia sendiri dipengaruhi oleh laporan dari fungsi lainnya.
Perusahaan Pembantu menjalankan tugas saluran pelaporan internal untuk masing-masing grup perusahaan dan bertanggung jawab atas pemrosesan data yang dilakukan dalam konteks ini. Biasanya, Perusahaan Pembantu adalah METRO AG.
Grup perusahaan yang terdampak oleh laporan terkait bertanggung jawab untuk menangani dan memproses laporan tersebut. Hal ini khususnya mencakup langkah-langkah untuk memperbaiki pelanggaran dan kewajiban untuk melaporkannya kembali kepada pembuat laporan.
Alamat kontak METRO AG adalah Metro-Straße 1, 40235 Düsseldorf. Alamat kontak masing-masing grup perusahaan dapat ditemukan di dalam pemberitahuan perlindungan data di situs web tempat masing-masing saluran pelaporan setempat dipublikasikan.
Aspek umum mengenai pengendalian bersama di antara entitas METRO dapat ditemukan di:
https://www.metroag.de/en/data-privacy/jointcontrol
c) Petugas Perlindungan Data
Anda dapat menghubungi petugas perlindungan data terkait kapan saja melalui detail kontak berikut:
METRO AG, Data Protection Officer, Metro-Straße 1, 40235 Düsseldorf, Email: datenschutz@metro.de
Detail kontak petugas perlindungan data dari masing-masing grup perusahaan dapat ditemukan di dalam pemberitahuan perlindungan data di situs web tempat masing-masing saluran pelaporan setempat dipublikasikan.
2. Informasi Mengenai Pengolahan Data Pribadi
a) Tujuan dan Dasar Hukum
Saluran pelaporan pelanggaran melayani tujuan penerimaan, pemrosesan, dan pengelolaan laporan mengenai pelanggaran peraturan kepatuhan Grup Perusahaan METRO (METRO) secara aman dan konfidensial.
Sejauh secara hukum grup perusahaan diwajibkan untuk memelihara saluran pelaporan, maka pemrosesan data pribadi yang mengikuti laporan secara hukum didasarkan pada Pasal 6 Paragraf 1 Kalimat 1 lit. c) GDPR. Sejauh kategori khusus data pribadi diproses, maka dasar hukum selanjutnya adalah Pasal 9 Paragraf 2 lit. g) GDPR atau dasar hukum nasional yang berlaku untuk kategori khusus data pribadi. Jika tidak, pemrosesan data akan didasarkan pada kepentingan legitimasi grup perusahaan untuk mendeteksi dan mencegah penyalahgunaan (misconduct) sehingga METRO, karyawan, dan pelanggannya terhindar dari kerugian. Pemrosesan ini secara hukum didasarkan pada Pasal 6 Paragraf 1 Kalimat 1 lit. f) GDPR. Sejauh pemrosesan data didasarkan pada konsensus, khususnya ketika mentransfer informasi tentang identitas, maka dasar hukumnya adalah Pasal 6 Paragraf 1 Kalimat 1 lit. a) GDPR atau – dalam hal kategori khusus data pribadi – selanjutnya Pasal 9 Paragraf 2 lit. a) dan lit. g) GDPR.
Tindakan tindak lanjut masing-masing grup perusahaan mungkin diperlukan untuk pelaksanaan atau terminasi hubungan kerja atau layanan dan secara hukum didasarkan pada Pasal 6 Paragraf 1 Kalimat 1 lit. b) GDPR dan dasar hukum nasional yang sesuai.
b) Jenis Data Pribadi yang Dikumpulkan
Penggunaan saluran pelaporan pelanggaran yang dilakukan secara sukarela. Jika Anda mengirimkan laporan melalui saluran pelaporan pelanggaran, maka kami akan mengumpulkan data dan informasi pribadi berikut:
- nama Anda, jika Anda memilih untuk mengungkapkan identitas Anda,
- apakah Anda bekerja di METRO, dan
- nama orang dan data pribadi lainnya dari orang yang Anda sebutkan dalam laporan Anda.
c) Penanganan Laporan dan Penerima Laporan Secara KonfidensialLaporan yang masuk akan diterima oleh beberapa karyawan terpilih yang diberi wewenang secara tegas dan mendapat pelatihan khusus dari Departemen Kepatuhan METRO dan laporan akan selalu ditangani secara konfidensial. Karyawan Departemen Kepatuhan METRO akan mengevaluasi masalah tersebut dan melakukan investigasi lebih lanjut yang diperlukan berdasarkan kasus tertentu. Selama pemrosesan laporan atau pelaksanaan (conduction) investigasi khusus, laporan mungkin perlu dibagikan dengan karyawan tambahan METRO atau karyawan grup perusahaan lain, misalnya jika laporan tersebut merujuk pada insiden di grup perusahaan lainnya. Yang terakhir, perlindungan data pribadi mungkin didasarkan pada peraturan yang berbeda di negara-negara di luar Uni Eropa atau Area Ekonomi Eropa. Kami selalu memastikan bahwa peraturan perlindungan data yang berlaku akan dipatuhi saat pembagian laporan. Semua orang yang menerima akses terhadap data tersebut wajib menjaga konfidensialitasnya.
Sebagai prinsip dasar, kami terikat dengan hukum untuk menginformasikan kepada terdakwa bahwa kami telah menerima laporan tentang mereka, kecuali jika hal ini mengancam investigasi lebih lanjut terhadap laporan tersebut. Dengan demikian, identitas Anda sebagai pelapor pelanggaran tidak akan diungkapkan sejauh yang dimungkinkan secara hukum.
Dengan konsensus Anda, informasi laporan tersebut akan diteruskan ke pihak eksternal; jika tidak, maka informasi tersebut hanya akan diteruskan – sejauh diizinkan oleh hukum – kepada otoritas penuntut dan penginvestigasian yang relevan atau, dalam konteks ini, kepada pengadilan dan penasihat yang terikat pada kerahasiaan berdasarkan hukum profesional.
d) Retensi
Data pribadi akan disimpan (retained) selama diperlukan untuk mengklarifikasi situasi dan melakukan pengevaluasian laporan atau kepentingan legitimasi perusahaan yang ada atau diwajibkan oleh hukum. Biasanya, data akan disimpan (stored) hingga tiga tahun setelah penilaian akhir kasus. Jika diindikasikan adanya kebutuhan khusus, dalam kasus individual, periodenya dapat mencapai tujuh tahun.
e) Keamanan Data dalam Sistem Pelaporan Pelanggaran
Komunikasi antara komputer Anda dan Sistem Pelaporan Pelanggaran dilakukan melalui koneksi terenkripsi (SSL). Alamat IP Anda tidak akan disimpan selama Anda menggunakan Sistem Pelaporan Pelanggaran. Untuk menjaga koneksi antara komputer Anda dan Sistem Pelaporan Pelanggaran, sebuah cookie yang hanya berisi ID sesi (disebut cookie null) akan disimpan di komputer Anda. Cookie ini hanya berlaku hingga akhir sesi Anda dan akan kedaluwarsa saat browser Anda ditutup. Anda dimungkinkan untuk menyiapkan kotak email dalam Sistem Pelaporan Pelanggaran yang diamankan dengan kata sandi dan nama pengguna/nama samaran yang dipilih secara individual. Hal ini memungkinkan Anda untuk mengirim laporan kepada karyawan yang bertanggung jawab di METRO baik dengan nama atau anonim secara aman. Sistem ini hanya akan menyimpan data di dalam Sistem Pelaporan Pelanggaran sehingga sangatlah aman. Ini bukanlah bentuk komunikasi email biasa.
Saat mengirimkan laporan atau tambahan, Anda dapat sekaligus mengirimkan lampiran kepada karyawan METRO yang bertanggung jawab. Jika Anda ingin mengirimkan laporan secara anonim, harap perhatikan saran keamanan berikut: File-file dapat berisi data pribadi tersembunyi yang dapat membahayakan anonimitas Anda. Hapus data tersebut sebelum mengirimkannya. Jika Anda tidak dapat menghapus data tersebut atau tidak tahu cara melakukannya, salin teks lampiran Anda ke dalam teks laporan Anda atau kirim dokumen tercetak tersebut secara anonim ke alamat yang tercantum di catatan kaki, dengan mengutip nomor referensi yang diterima pada akhir proses pelaporan.
Sistem Pelaporan Pelanggaran dioperasikan oleh sebuah perusahaan khusus, Business Keeper AG, Bayreuther Str. 35, 10789 Berlin di Jerman, atas nama METRO. Data dan informasi pribadi yang dimasukkan ke dalam Sistem Pelaporan Pelanggaran akan disimpan dalam basis data yang dioperasikan oleh Business Keeper AG di pusat data dengan keamanan yang tinggi. Hanya METRO yang memiliki akses ke data tersebut. Business Keeper AG dan pihak ketiga lainnya tidak memiliki akses ke data tersebut. Hal ini dipastikan dalam prosedur bersertifikat melalui langkah-langkah organisasional dan teknis yang ekstensif. Semua data akan disimpan dalam bentuk terenkripsi dengan beberapa tingkatan proteksi kata sandi sehingga hanya beberapa orang yang diberi wewenang oleh METRO yang dapat mengaksesnya.
3. Hak Anda
Sebagai subjek data, Anda dapat menghubungi petugas perlindungan data kami kapan saja dengan mengirimkan komunikasi informal kepada detail kontak yang disebutkan di atas pada bagian 1. c) untuk menggunakan hak-hak Anda sesuai dengan GDPR. Hak-hak ini adalah sebagai berikut:
- Hak untuk menerima informasi tentang pemrosesan data dan salinan data yang diproses (Hak akses, Pasal 15 GDPR)
- Hak untuk menuntut rektifikasi data yang tidak akurat atau penyelesaian data yang tidak lengkap (Hak rektifikasi, Pasal 16 GDPR)
- Hak untuk menuntut penghapusan data pribadi dan, jika data pribadi tersebut telah dipublikasikan, informasi kepada pengendali lain tentang permintaan penghapusan (Hak menghapus, Pasal 17 GDPR)
- Hak untuk menuntut restriksi pemrosesan data (Hak restriksi pemrosesan, Pasal 18 GDPR)
- Hak untuk menerima data pribadi yang berkaitan dengan subjek data dalam format yang dapat dibaca mesin, umum digunakan, dan terstruktur serta untuk meminta transmisi data tersebut ke pengendali lain (Hak portabilitas data, Pasal 20 GDPR)
- Hak untuk menolak terhadap pemrosesan data guna dihentikan (Hak menolak, Pasal 21 GDPR)
- Hak untuk menarik konsensus yang diberikan kapan saja guna menghentikan pemrosesan data yang didasarkan pada konsensus Anda. Penarikan tersebut tidak memengaruhi keabsahan pemrosesan yang didasarkan pada konsensus sebelum penarikan (Hak penarikan, Pasal 7 GDPR)
- Hak untuk mengajukan komplain kepada otoritas pengawasan jika Anda menganggap pemrosesan data tersebut sebagai pelanggaran GDPR (Hak mengajukan komplain kepada otoritas pengawasan, Pasal 77 GDPR).
Jika data pribadi Anda diproses berdasarkan kepentingan legitimasi sesuai dengan Pasal 6 Paragraf 1 Kalimat 1 lit. f) GDPR, maka Anda berhak untuk menolak pemrosesan data pribadi Anda sesuai dengan Pasal 21 DSGVO asalkan ada alasan yang timbul dari situasi khusus Anda. Jika Anda ingin menggunakan hak menolak Anda, maka Anda hanya perlu mengirim email ke detail kontak yang disebutkan di atas 1. c).
(v 3.1)