Kennisgeving gegevensbescherming Klokkenluiderssysteem
1. Algemene informatie
a) Inleiding:
De volgende gegevensbeschermingsverklaringen zijn bedoeld om u te informeren over de verwerking van uw persoonsgegvens in verband met het gebruik van ons klokkenluiderssysteem en uw rechten volgens de Algemene Verordening Gegevensbescherming (AVG) en soortgelijke toepasselijke gegevensbeschermingswetten met betrekking tot deze verwerking.
b) Gegevensbeheerder
Wij, METRO AG, Metro-Straße 1, 40235 Düsseldorf, zijn de verwerkingsverantwoordelijke volgens de AVG en dus voor de beschreven gegevensverwerking.
c) Functionaris voor gegevensbescherming
U kunt te allen tijde contact opnemen met onze functionaris voor gegevensbescherming via de volgende contactgegevens:
METRO AG, functionaris voor gegevensbescherming, Metro-Straße 1, 40235 Düsseldorf, e-mail: datenschutz@metro.de
2. Informatie over de verwerking van persoonsgegevens
a) Doel van het klokkenluiderssysteem en rechtsgrond
Het klokkenluiderssysteem heeft als doel het veilig en vertrouwelijk ontvangen, verwerken en beheren van meldingen met betrekking tot overtredingen van de compliance regels van de METRO Company Group (METRO). De verwerking van persoonsgegevens in het klokkenluiderssysteem is gebaseerd op de legitieme belangen van ons bedrijf om wangedrag op te sporen en te voorkomen en zo schade aan METRO, haar medewerkers en klanten te voorkomen. Rechtsgrondslag voor de verwerking is art. 6 (1)(1)(f) AVG.
b) Type van de verzamelde persoonsgegevens
Het gebruik van het klokkenluiderssysteem vindt plaats op vrijwillige basis. Als u een melding doet via het klokkenluiderssysteem, verzamelen wij de volgende persoonsgegevens en informatie:
- uw naam, als u ervoor kiest om uw identiteit bekend te maken,
- of u werkzaam bent bij METRO, en
- de namen van personen en andere persoonsgegevens van personen die u in uw melding noemt.
c) Vertrouwelijke afhandeling van meldingen
Inkomende meldingen komen binnen bij een kleine kring van uitdrukkelijk geautoriseerde en speciaal opgeleide medewerkers van de Compliance afdeling van METRO en worden altijd vertrouwelijk behandeld. De medewerkers van de afdeling Compliance van METRO zullen de zaak evalueren en eventueel verder onderzoek uitvoeren. Tijdens de verwerking van een melding of het uitvoeren van een bijzonder onderzoek kan het nodig zijn om meldingen te delen met andere medewerkers van METRO of medewerkers van andere groepsmaatschappijen, b.v. als de meldingen betrekking hebben op incidenten in dochterondernemingen. Laatstgenoemde kan gevestigd zijn in landen buiten de Europese Unie of de Europese Economische Ruimte met afwijkende regelgeving op het gebied van de bescherming van persoonsgegevens. We zorgen er altijd voor dat de geldende gegevensbeveiligingsregels worden nageleefd bij het delen van rapporten. Alle personen die toegang krijgen tot de gegevens zijn verplicht tot geheimhouding.
Uitgangspunt is dat wij wettelijk verplicht zijn de beklaagden te informeren dat wij een melding over hen hebben ontvangen, tenzij dit nader onderzoek naar de melding belemmert. Daarbij wordt uw identiteit als klokkenluider voor zover wettelijk mogelijk niet openbaar gemaakt.
d) Bewaring
Persoonsgegevens worden bewaard zolang als nodig is om de situatie op te helderen en een evaluatie van de melding uit te voeren of indien er een gerechtvaardigd belang van het bedrijf bestaat of dit wettelijk verplicht is. Nadat de meldingsverwerking is beëindigd, worden deze gegevens conform de wettelijke vereisten verwijderd.
e) Gegevensbeveiliging en ontvangers
De communicatie tussen uw computer en het rapportagesysteem vindt plaats via een versleutelde verbinding (SSL). Uw IP-adres wordt niet opgeslagen tijdens uw gebruik van het rapportagesysteem. Om de verbinding tussen uw computer en het klokkenluiderssysteem in stand te houden, wordt op uw computer een cookie opgeslagen die alleen de sessie-ID bevat (een zogenaamde nul-cookie). Deze cookie is alleen geldig tot het einde van uw sessie en verloopt wanneer u uw browser sluit. Het is mogelijk om binnen het meldsysteem een brievenbus op te zetten die beveiligd is met een individueel gekozen pseudoniem/gebruikersnaam en wachtwoord. Hiermee kunt u op naam of op anonieme, veilige manier meldingen naar de verantwoordelijke medewerker van METRO sturen. Dit systeem slaat alleen gegevens op in het rapportagesysteem, wat het bijzonder veilig maakt. Het is geen vorm van reguliere e-mailcommunicatie.
Bij het indienen van een melding of aanvulling kunt u tegelijkertijd bijlagen meesturen naar de verantwoordelijke medewerker van METRO. Als u een anonieme melding wilt doen, neem dan het volgende veiligheidsadvies in acht: Bestanden kunnen verborgen persoonlijke gegevens bevatten die uw anonimiteit in gevaar kunnen brengen. Verwijder deze gegevens voor verzending. Als u deze gegevens niet kunt verwijderen of niet weet hoe u dit moet doen, kopieer dan de tekst van uw bijlage in uw rapporttekst of stuur het afgedrukte document anoniem naar het adres vermeld in de footer, onder vermelding van het referentienummer dat u aan het einde van de rapportage proces ontvangt.
Het rapportagesysteem wordt beheerd door een gespecialiseerd bedrijf, EQS Group AG, Bayreuther Str. 35, 10789 Berlijn in Duitsland, namens METRO. Persoonlijke gegevens en informatie die in het rapportagesysteem zijn ingevoerd, worden opgeslagen in een database die wordt beheerd door EQS Group AG in een streng beveiligd datacenter. Alleen METRO heeft toegang tot de gegevens. EQS Group AG en andere derden hebben geen toegang tot de gegevens. Dit wordt in de gecertificeerde procedure geborgd door uitgebreide technische en organisatorische maatregelen. Alle gegevens worden versleuteld opgeslagen met meerdere niveaus van wachtwoordbeveiliging, zodat de toegang beperkt is tot een zeer kleine selectie van uitdrukkelijk geautoriseerde personen bij METRO.
3. Uw rechten
Als betrokkene kunt u te allen tijde contact opnemen met onze functionaris voor gegevensbescherming door een informeel bericht te sturen naar de contactgegevens die hierboven onder 1. c) zijn vermeld om uw rechten volgens de AVG uit te oefenen. Deze rechten zijn als volgt:
- Het recht op informatie over de gegevensverwerking en een kopie van de verwerkte gegevens (Recht op inzage, art. 15 AVG)
- Het recht om de rectificatie van onjuiste gegevens of de aanvulling van onvolledige gegevens te eisen (Recht op rectificatie, art. 16 AVG)
- Het recht om het wissen van persoonsgegevens te eisen en, indien de persoonsgegevens openbaar zijn gemaakt, de informatie aan andere verwerkingsverantwoordelijken over het verzoek tot het wissen (Recht op gegevenswissing, art. 17 AVG)
- Het recht om de beperking van de gegevensverwerking te eisen (Recht op beperking van de verwerking, art. 18 AVG)
- Het recht om de persoonsgegevens van de betrokkene te ontvangen in een gestructureerd, algemeen gebruikt en machineleesbaar formaat en om de overdracht van deze gegevens aan een andere verwerkingsverantwoordelijke te vragen (Recht op gegevensoverdraagbaarheid, art. 20 AVG)
- Het recht om bezwaar te maken tegen de gegevensverwerking om deze te stoppen (Recht van bezwaar, art. 21 AVG)
- Het recht om een gegeven toestemming op elk moment in te trekken om een gegevensverwerking die op uw toestemming is gebaseerd, te stoppen. De intrekking heeft geen invloed op de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking (Herroepingsrecht, art. 7 AVG)
- Het recht om een klacht in te dienen bij een toezichthoudende autoriteit als u de gegevensverwerking als een inbreuk op de AVG beschouwt (recht om een klacht in te dienen bij een toezichthoudende autoriteit, art. 77 AVG).
Als uw persoonsgegevens worden verwerkt op basis van legitieme belangen op grond van art. 6 (1) (1) (f) AVG heeft u het recht om bezwaar te maken tegen de verwerking van uw persoonsgegevens in overeenstemming met art. 21 DSGVO, op voorwaarde dat daar redenen voor zijn die voortvloeien uit uw specifieke situatie. Als u gebruik wilt maken van uw recht van bezwaar, hoeft u alleen maar een e-mail te sturen naar de contactgegevens genoemd onder 1. c).