Zásady zpracování osobních údajů ve společnostech skupiny REWE Group v souvislosti s compliance oznamovacím systémem (HINTBOX)
Úvod
Velmi nám záleží na tom, abychom s osobními údaji zacházeli pečlivě a v souladu s právními předpisy. To platí zejména pro údaje související s oznámeními z interního oznamovacího systému https://rewe-group.hintbox.de/. Následující informace vás seznámí s tím, jak nakládáme s vašimi osobními údaji v souvislosti s interním oznamovacím systémem sloužícím k předcházení porušování platných právních předpisů nebo firemních směrnic (např. podvodů nebo korupce, ale také i trestných činů) a/nebo k odhalování takových porušení.
Pojmem osobní údaje se rozumí veškeré informace vztahující se k identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“). Osobními údaji jsou tedy např. jméno a příjmení, adresa, datum narození, e-mailové adresy nebo telefonní čísla.
Správce
Za shromažďování a zpracovávání údajů je odpovědná společnost, kterou jste vybrali v interním oznamovacím systému v příslušné části. Pokud jste vybrali společnosti Penny Market s.r.o. je správcem ve smyslu obecného nařízení EU o ochraně osobních údajů je:
Penny Market s.r.o.
Počernická 257 · 250 73 Radonice
Registrace: Městský soud v Praze, oddíl C, vložka 42812
e-mail: ochranadat@penny.cz, internet: www.penny.cz
Kontakt na pověřence pro ochranu osobních údajů
Dr. Karsten Kinast, LL.M., Attorney at Law
KINAST Rechtsanwaltsgesellschaft mbH
Nordstrasse 17a
D-50733 Cologne
Telephone: +49 (0)221 - 222 183 - 0
E-Mail: dpo-penny@kinast.eu
Pokud máte jakékoli dotazy týkající se vašich práv na ochranu údajů (například zveřejnění údajů, vymazání údajů nebo námitky proti reklamě), obracejte se také na koordinátora ochrany údajů nebo pověřence pro ochranu údajů.
Účely zpracování osobních údajů
Vámi vybraná společnost ze skupiny REWE Group nakládá při zadávání a zpracování oznámení v interním oznamovacím systému mimo jiné následující druhy osobních údajů:
- informace pro osobní identifikaci oznamovatele, jako např. jméno a příjmení, pohlaví, adresa, telefonní číslo a e-mailová adresa,
- status zaměstnance ve vztahu ke společnostem skupiny REWE Group,
- informace o subjektech údajů, tj. fyzických osobách označených v oznámení jako osoby, které se dopustily porušení nebo se kterými je označená osoba spojena. Takovými informacemi jsou např. jméno a příjmení, pohlaví, adresa, telefonní číslo a e-mailová adresa nebo jiné informace umožňující identifikaci,
- informace o porušeních, které případně umožňují vztáhnout údaje ke konkrétní fyzické osobě.
Vámi vybraná společnost ze skupiny REWE Group zpracovává osobní údaje za účelem prošetřování podaných oznámení, s cílem zabránit porušení platné legislativy nebo směrnicí společnosti, odhalovat je, a/nebo přijímat následná opatření (například opatření pro ověření tvrzení uvedených v oznámení a případně preventivní opatření v souvislosti s oznámeným porušením, mimo jiné interní šetření, prověřování, podnět k trestního stíhání, opatření pro vymáhání finančních prostředků nebo uzavření případu). To lze provést také ve spolupráci s dalšími společnostmi v rámci skupiny REWE.
Právní základ
Informace pro osobní identifikaci oznamovatele zpracováváme jen tehdy, pokud nám k tomu oznamovatel udělil souhlas dle čl. 6 odst. 1 písm. a) GDPR. Potom je zpracování zákonné jen tehdy, když subjekt údajů udělil svůj souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů.
Informace o existenci pracovního vztahu, informace o subjektech údajů, jakož i ostatní informace umožňující vztáhnout údaje ke konkrétním fyzickým osobám, zpracováváme na základě čl. 6 odst. 1 písm. f) GDPR (oprávněný zájem z důvodu poskytování služeb oznamovacího portálu).
Náš oprávněný zájem spočívá, v závislosti na konkrétním posuzovaném případu, ve zpracovávání oznámení, aby bylo možné provádět návazná opatření, jako jsou opatření pro ověření platnosti tvrzení uvedených v oznámení a případně preventivní opatření proti oznámenému porušení, včetně interních šetření, prověřování, podněty k trestnímu stíhání, opatření k (znovu) získání finančních prostředků nebo uzavření řízení. Zda nejsou zájmy nebo základní práva a svobody subjektu údajů v rozporu s takovým zpracováním údajů, se posuzuje případ od případu, a to i s ohledem na porušení.
Protokol webového serveru
Když navštívíte naše webové stránky, tak pro zajištění bezpečnosti našich IT systémů standardně zpracováváme údaje o připojení vašeho počítače včetně těchto údajů
- webových stránek/koncových bodů, které u nás spouštíte,
- typ http požadavku a
- časové razítko návštěvy.
Právním základem pro popsané zpracování údajů je čl. 6 odst. 1 písm. f) GDPR (převažující oprávněný zájem), základem je zájem REWE Group na zajištění bezpečnosti IT systémů.
Vaše práva
Pokud jde o vaše osobní údaje, máte vůči nám následující práva:
Právo na informace (čl. 15 GDPR)
- Můžete požadovat informace o svých osobních údajích, které zpracováváme.
Právo na opravu (čl. 16 GDPR) nebo výmaz (čl. 17 GDPR)
- Máte právo požadovat výmaz svých údajů. Vezměte na vědomí, že nárok na výmaz závisí na existenci oprávněného důvodu. Navíc by neměly existovat žádné předpisy, které nám ukládají povinnost uchovávat vaše údaje.
Právo na omezení zpracování (čl. 18 GDPR)
- Máte právo požadovat omezení zpracování svých údajů. Vezměte na vědomí, že nárok na omezení zpracování závisí na existenci oprávněného důvodu.
Právo na přenositelnost údajů (čl. 20 GDPR)
- Máte právo obdržet osobní údaje, které jste nám poskytli, v elektronickém formátu.
Právo vznést námitku proti zpracování (21 GDPR)
- Máte právo vznést námitku proti zpracování vašich údajů z důvodů týkajících se vaší konkrétní situace. V případě oprávněné námitky nebudeme vaše údaje dále zpracovávat.
Odvolání vašeho souhlasu
- Souhlas se zpracováním svých údajů, který jste nám udělili, máte právo kdykoli odvolat. To platí také pro odvolání prohlášení o souhlasu, které jste nám udělili předtím, než vstoupilo v účinnost obecné nařízení o ochraně osobních údajů, tedy před 25. 5. 2018. Nejjednodušší způsob, jak odvolat udělený souhlas je zaslat e-mail na výše uvedený kontakt. Odvoláním souhlasu není dotčena zákonnost zpracování vašich údajů uskutečněných až do okamžiku odvolání.
Právo na stížnost u příslušného úřadu pro ochranu osobních údajů
- Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7.
Všeobecné informace o příjemcích nebo kategorie příjemců
Osobní údaje, které se zpracovávají v rámci oznámení, zpracovává firma lawcode GmbH, Universitätsstraße 3, 56070 Koblenz, Německo, na základě pověření a dle pokynů společnosti REWE Zentralfinanz eG.
K přenosu osobních údajů třetím stranám dochází jen tehdy, pokud k tomu existuje právní základ. To platí zejména tehdy, když přenos slouží ke splnění zákonných požadavků, podle nichž máme povinnost informovat, oznamovat nebo předávat údaje, pokud jste nám k tomu udělili souhlas nebo je to odůvodněno zvážením zájmů.
Externí poskytovatelé, např. externí výpočetní střediska nebo telekomunikační poskytovatelé, navíc zpracovávají osobní údaje naším jménem jako smluvní zpracovatelé.
V závislosti na oblasti, které se oznámení týká, ale také pro účinné zahájení následných opatření, mohou být osobní údaje předány příslušným odborným oddělením.
Za určitých okolností můžeme osobní údaje poskytnout také státním orgánům a/nebo orgánům činným v trestním řízení, jiným příslušným orgánům a/nebo osobám vázaným mlčenlivostí, jako jsou auditoři/právníci.
Všeobecné informace o době uchovávání
Údaje se zpravidla uchovávají po dobu, než jsou uzavřena následná opatření. Údaje z oznámení se zpravidla po 2 měsících vymažou, jakmile je řízení s konečnou platností uzavřeno, ledaže by k zahájení dalších právních kroků bylo nutné pokračovat v uchovávání údajů (např. kvůli zahájení trestního či disciplinárního řízení). Osobní údaje vedené v souvislosti s oznámeními neprodleně vymažeme, jakmile je budeme považovat za zjevně věcně neopodstatněné.