隐私声明
我们非常重视数据保护和保密,并严格遵守欧盟《通用数据保护条例》(EU-GDPR) 以及适用的国家数据保护条例的规定。在下文中,我们将解释当您发送检举报告时,我们会处理哪些信息和个人数据(如有)。发送报告前,请认真阅读此隐私声明。
由谁负责?
本隐私声明适用于由以下机构进行的数据处理:
Deutsche Post AG
Global Compliance Office
Charles-de-Gaulle-Straße 20
53250 Bonn
德国
gco@dpdhl.com
如果您对您的个人数据相关处理有疑问,请联系数据保护官(DPO):
Deutsche Post AG
Global Data Protection
53250 Bonn
德国
datenschutz@dpdhl.com
将处理哪些个人数据?
Deutsche Post AG 为 DPDHL(Deutsche Post AG 及其集团企业)打造了一个 Incident Reporting System(事件报告系统)。该 Incident Reporting System 的使用采取自愿原则。如果通过 Incident Reporting System 发送检举报告,我们将收集以下个人数据和信息:
- 您的姓名(如果您选择公开自己的身份),
- 您是否为 DPDHL 雇用员工,以及
- 您在报告中所指明的人员姓名和其他个人数据。
如果您通过电话提交举报信息,您的声音将被录音。在每次通话的开始,您也会被要求同意将您说的话记录为声音文件。另外,对于以这种形式发送的报告,上述类型的个人数据是通过声音转化为文本的方式收集的。
我们为什么要收集个人数据,法律依据是什么?
事件报告系统(BKMS® System)用于安全保密地接收、处理和管理关于违反 DPDHL 合规规定的报告。它的重要目的是接收有关违反法律或 DPDHL《纪律守则》的报告,以及其中提到的其他政策、准则和规定,如 DPDHL《人权政策声明》或 DPDHL《反腐败和商业道德政策》。我们只为特定目的处理您的数据,并有法律依据这样做。如果您希望报告数据泄露或进行其他数据保护通知,请遵循 DPDHL 的内部程序来报告数据泄露,或者联系您的数据保护官(DPO)。您可以在这里找到详细的联系方式。
访问我们的网站
根据欧盟举报指令,BKMS® System 旨在保证其用户的匿名性。在您的计算机和 Incident Reporting 之间建立通信所需的数据(如 IP 地址)不会被储存在 BKMS® System 中,而只会在会话期间在基础设施层面上使用。此外还将在您的电脑上储存一个只包含有会话 ID 的 cookie(即“会话 cookie”)。此 Cookie 有效期直至您的会话结束,并在您关闭浏览器时到期。该 cookie 仅包含会话 ID 名称 JSESSIONID,其值为随机生成,这是创建会话所需的(不存在可能导致识别出举报人的更多信息)。创建会话是客户-服务器架构中广泛使用的最佳实践。如果您退出或达到超时限值,cookie 就会失效,会话也将失效(关闭)。这是通过将 cookie 本身的会话值设置为“空”(未定义状态)来实现的。自此,该会话无法再打开。出于上述目的,我们有处理您的数据的合法权益,其根据是 GDPR 第 6 (1) f) 条。
提交匿名或实名报告
无论您使用哪种沟通渠道,您都可以匿名或实名发送报告。如果您有意选择这样做或有意透露您的身份,我们在此强调,在该程序的所有内部或外部步骤中,我们都将对您的身份保密。请注意,作为一项基本原则,我们按照法律规定必须告知被告方,我们已经收到针对其的报告,除非这将威胁对报告的后续调查。在此过程中,您的举报人身份将在法律允许的情况下获得保密。如果您有意决定在报告中披露您的身份,则根据 GDPR 第 6 (1) a) 条,数据处理是基于您的许可。您可以撤销您的许可,但只能在通知后最多一个月内撤销许可。
通过基于网络的 BKMS® System、保密信箱或其他沟通渠道提交报告
在 BKMS® System、保密信箱或其他沟通渠道处理个人数据以我们企业查明和防范不当行为的合法利益为基础,由此避免对 DPDHL 及其员工和客户造成损害。GDPR 第 6 (1) f) 条是通过可用沟通渠道进行数据处理的法律依据。
在 BKMS® System 中可以设置保密信箱,并以自行选择的假名/用户名和密码进行保密。为确保最大程度的匿名性,您应选择一个无法据此判断出您身份的假名。这让您能够对您的报告发送补充资料,并与 DPDHL 对此负责的员工就报告的问题进行沟通。您也可以选择使用实名。保密信箱系统仅在 Incident Reporting System 中保存数据,这使其尤为安全。这并非普通的电子邮件通信形式。个人数据将根据“我们会将个人数据保留多久?”章节所述的一般删除方案从保密信箱中删除。在所报告事项结案后,保密信箱将在停止使用 180 天后被完全删除。
当发送报告或补充资料时,您可以同时提供附件作为补充信息。如果您希望发送匿名报告,请注意以下安全提示:文件可能包含隐藏的个人数据,它将会危及您的匿名性。发送前请删除此类数据。如果无法删除此类数据或不确定如何操作,则可将附件内容复制到检举报告文本框内,或以匿名方式将文档打印件发送至脚注中列出的地址,同时注明初次报告流程结束时收到的参考编号。亦可通过其他渠道发送检举报告(如信件、电子邮件等)。这些报告将被手动转入 BKMS® System 以进一步处理。
通过电话提交报告
当您通过电话提交举报信息时,您的匿名性同样会受到 BKMS® System 的保护。DPDHL 和 EQS Group 都无法获得您的电话号码,也无法通过您的声音来识别您的身份。您对事件的描述在 BKMS® System 中以录音方式记录下来。请注意,只有在您同意录音的情况下才能通过电话提交报告。之后,加密的声音文件由对此负责的 DPDHL 员工转写成文本。根据 GDPR 第 6 (1) a) 条,对您提交的报告进行记录和文字转换的法律依据是您的同意。通过电话提交报告是自愿的。如果您不希望被录音,请通过所提供的其他沟通渠道发送您的报告。您的报告处理完毕后,声音文件将被立即删除。
如果您在通过电话提交报告结束时设置了一个保密信箱,您就可以收到 DPDHL 对此负责的员工以录音形式提供的反馈,且如有必要,您还可向报告中添加信息。或者,您也可以通过网页应用程序进入您的保密信箱,查看反馈并以书面方式进行补充。为保护您的报告或补充内容的机密性,您既不能在电话中、也不能在基于网络的保密信箱中听到它的内容。
我们会将您的个人数据保留多久?
个人资料将被保留,直到澄清情况并完成报告评估为止,或存在企业的其他(?)合法利益,或法律有此要求。在报告处理结束后,此数据将按照法定要求被删除。如果所报告的诉求被认为是没有根据的,且没有就此开展调查,我们将及时删除我们从该报告中收到的个人信息。如果启动了调查,则个人信息将在调查结束后两个月内删除,除非为了完成其他程序(特别是纪律措施或法律行动),或在当地法律允许的其他情况下需要更长的保留期。
我们如何保障个人数据的安全?
您计算机和 Incident Reporting System 之间的通信通过加密连接(SSL)进行。您的 IP 地址不会在使用举报系统时被储存。
是否会传输个人数据?
所收到的报告由 DPDHL 合规部门和人力资源部门中明确获得授权并经过专门培训的员工接收,而且始终获得保密处理。DPDHL 合规或人力资源部门的上述员工将对事件进行评估,并针对特定情况采取所需的进一步调查。在报告处理或专项调查过程中,可能需要将报告与 DPDHL 的其他员工分享,例如如果报告提及子公司的事件,或需要其他专业知识。DPDHL 的员工可能位于欧盟或欧洲经济区之外的国家和地区,这些国家和地区拥有不同的个人数据隐私法规。我们始终确保共享报告时遵守适用的数据保护法规。所有拥有数据访问权限的人员均有保密义务。
向其他集团企业的上述员工转交报告的目的只是为了揭露非法行为,或违反 DPDHL 行为准则以及其中提到的其他政策、准则和规定的行为。为保护 Deutsche Post AG 和受报告影响的集团公司的合法利益、遵守法律和企业内部政策,报告的转交是必要的。其法律依据是 GDPR 第 6 (1) f)条。
除非适用法律要求,否则您的个人数据不会透露给任何外部方。如果适用法律要求,可能需要向参与调查或随后的司法程序的相关部门披露报告员工的身份信息。
根据 GDPR 第 28 条,代表我们处理数据的外部服务提供商有合同义务保持严格保密。服务提供商遵循我们的指示,这一点将通过技术和组织措施以及检查和控制手段得到保证。
只有在适用的数据保护法允许的情况下,才会将您的数据转移到欧洲经济区 (EEA) 以外的其他 DPDHL 企业、外部服务提供商或公共机构。在这种情况下,我们将确保适当的保障措施到位,以确保您的数据转移安全无虞(例如我们有约束力的企业规则、标准合同条款)。
DPDHL 数据隐私政策规定了我们在整个集团范围内处理您的数据时须遵循标准。
您和其他数据主体有什么权利?
根据欧盟数据保护法规,您和报告中指明的人员具有以下权利:
- 获取信息的权利:您可以要求提供有关您受到处理的个人数据的信息。
- 更正权:您有权要求纠正关于您的任何不准确的数据。
- 拒绝权:您有权利拒绝处理。
- 撤回您所给予许可的权利:您有权撤回所给予的许可。
- 数据可携权:您有权将您的数据迁移到另一家企业。
- 删除/被遗忘权:在特定情况下,您有权要求删除您的数据。
- 限制处理权:您有权要求限制您的数据的使用方式。
- 与自动决策有关的权利,包括综合分析:您有权要求对自动处理进行审查。目前尚未实施自动决策。
- 提出投诉的权利:您有权向主管数据保护监督机构提出投诉。
如果对基于我们的合法利益的数据处理提出反对权,我们将立即审查您的反对是否有效。如果有效,我们将不再处理这些数据。
您可以通过上述联系方式根据上述权利提出要求,或就本隐私声明提出其他问题。
对本隐私声明的修改
我们保留根据我们的服务、对您数据的处理方式或适用法律的变化而不时修改本隐私声明的权利。因此,我们建议定期查看我们的隐私声明。
版本:2021 年 10 月 1 日
