Databeskyttelseserklæring
Vi tager databeskyttelse og fortrolighed meget alvorligt og overholder bestemmelserne i EU's generelle databeskyttelsesforordning (GDPR) samt gældende nationale databeskyttelsesregler. I det følgende forklarer vi, hvilke oplysninger og eventuelle relevante personoplysninger vi behandler, når du indgiver en rapport. Du bedes læse databeskyttelseserklæringen omhyggeligt igennem, før du indgiver en rapport.
Hvem er ansvarlig?
Databeskyttelseserklæringen gælder for databehandlingen udført af:
Deutsche Post AG
Global Compliance Office
Charles-de-Gaulle-Straße 20
53250 Bonn
Tyskland
gco@dpdhl.com
Hvis du har spørgsmål til behandlingen af dine personoplysninger, anbefaler vi, at du tager kontakt til vores databeskyttelsesansvarlig:
Deutsche Post AG
Global Data Protection
53250 Bonn
Tyskland
datenschutz@dpdhl.com
Hvilke persondata behandles?
Deutsche Post AG opretholder Incident Reporting for DPDHL (Deutsche Post AG og dets koncernselskaber). Brugen af Incident Reporting foregår på frivillig basis. Hvis du indgiver en rapport via Incident Reporting, samler vi følgende personoplysninger og -data:
- dit navn, hvis du vælger at oplyse din identitet,
- dit ansættelsessted hos DPDHL og
- navnene på personerne og andre personoplysninger på personer, du angiver i din rapport.
Hvis du indgiver en rapport via telefon, bliver din stemme optaget. I starten af hvert telefonopkald bliver du også bedt om at give samtykke til, at dine indtalte ord bliver optaget som en lydfil. Ved denne form for rapporter indsamles ovennævnte typer af personoplysninger gennem transskribering.
Hvorfor indsamler vi personoplysninger, og hvad er retsgrundlaget?
BKMS® System anvendes til at modtage, behandle og håndtere rapporter om overtrædelser af compliance-regler hos DPDHL på en sikker og fortrolig måde. Det er især beregnet til at modtage rapporter om overtrædelser af lovgivningen eller DPDHL's etiske regelsæt og yderligere principper, retningslinjer og forskrifter såsom DPDHL-erklæringen om menneskerettigheder eller DPDHL's politik mod korruption og DPDHL's forretningsetik. Vi behandler kun dine data til bestemte formål, og hvor vi har et juridisk grundlag for at gøre det. Hvis du ønsker at rapportere om brud på datasikkerheden eller ønsker at indgive andre databeskyttelsesindberetninger, skal du følge DPDHL's interne proces i forhold til at rapportere om brud på datasikkerheden eller kontakte den databeskyttesansvarlige. Du kan finde kontaktoplysninger her.
Besøg vores hjemmeside
The BKMS® System er designet til at garantere anonymitet af brugerne i overensstemmelse med EU's whistleblowing-direktiv. Data, der er nødvendige for at etablere kommunikationen mellem din computer og Incident Reporting, f.eks. IP -adresser, gemmes ikke i BKMS® Systemet og bruges kun på infrastrukturniveau i en session. En cookie gemmes på din computer; den indeholder udelukkende en session-ID (en såkaldt null-cookie). Denne cookie gælder kun indtil sessionens afslutning og udløber, når du lukker din browser. Cookien indeholder kun sessions-id-navnet JSESSIONID med en tilfældigt genereret værdi, som er nødvendig for at oprette sessionen (ingen yderligere oplysninger, der kan føre til en identifikation af whistlebloweren). Oprettelsen af sessioner er meget udbredt og gængs praksis i en klient-server-opsætning. Hvis du logger ud, eller hvis timeout-grænsen er nået, bliver cookien ugyldig, og sessionen ugyldiggøres (lukket). Dette gøres ved at indstille sessionsværdien i selve cookien til „nul“ (en udefineret tilstand). På dette tidspunkt kan sessionen ikke længere åbnes igen. Til de nævnte formål har vi en legitim interesse i at behandle dine data, som er baseret på art. 6. stk. 1, litra f i GDPR.
Anonym eller personlig indberetning af rapport
Uanset hvilken kommunikationskanal du bruger, kan du indgive din rapport anonymt eller personligt. Hvis du bevidst vælger at gøre det eller bevidst afslører din identitet, holder vi din identitet fortrolig under alle interne eller udenretslige trin i proceduren. Vær opmærksom på, at vi helt principielt er forpligtet af loven til at informere de beskyldte personer om, at vi har modtaget en rapport på dem, medmindre dette udgør en fare for yderligere undersøgelser af rapporten. Din identitet som whistleblower vil dermed ikke blive afsløret, så vidt det er juridisk muligt. Hvis du bevidst beslutter dig for at oplyse din identitet i forbindelse med rapporten, er databehandlingen baseret på dit samtykke i henhold til artikel 6, stk. 1, litra a i GDPR. Du kan trække dit samtykke tilbage, men kun op til en måned efter meddelelsen.
Indgivelsen af en rapport via den webbaserede BKMS® System, den sikre postkasse og andre kommunikationskanaler
Behandlingen af personoplysninger ved hjælp af BKMS® System, den sikre postkasse eller andre kommunikationskanaler er baseret på firmaets legitime interesse i at opdage og undgå misbrug og derved undgå skader for DPDHL, medarbejderne og kunderne. Retsgrundlaget for denne databehandling via de tilgængelige kommunikationskanaler er art. 6, stk. 1, litra f i GDPR.
Du kan oprette en sikker postkasse i BKMS® System, som er sikret med et individuelt valgt pseudonym/brugernavn og en adgangskode. For at opnå størst mulig anonymitet skal du vælge et pseudonym, der ikke kan henvises til din identitet. Dette giver dig mulighed for at sende bilag sammen med din rapport og kommunikere om den indberettede sag med den ansvarlige medarbejder hos DPDHL. Du kan også vælge at forblive identificerbar ved navn. Den sikre postkasse gemmer kun data i Incident Reporting, hvilket gør den ekstrem sikker. Det kan ikke sammenlignes med almindelig e-mailkommunikation. Personoplysninger slettes fra den sikre postkasse i henhold til det generelle sletningskoncept beskrevet i afsnittet „Hvor længe gemmer vi personoplysninger?“. Efter afslutningen af en rapporteret sag bliver den sikre postkasse slettet efter 180 dage uden brug.
Hvis du indgiver en rapport eller en tilføjelse, kan du også samtidig sende bilag med supplerende oplysninger. Hvis du vil indgive en anonym rapport, skal du bemærke følgende i forhold til din sikkerhed: Filer kan indeholde skjulte personoplysninger, der kunne kompromittere din anonymitet. Fjern disse oplysninger før afsendelse. Hvis du ikke kan fjerne oplysningerne eller ikke ved, hvordan du skal gøre det, skal du kopiere teksten i bilaget til din rapporttekst eller sende det udskrevne dokument anonymt til adressen i fodnoten med angivelse af referencenummereret, du modtog i slutningen af rapporteringsprocessen. Det er også muligt at indgive rapporter via andre kanaler (f.eks. brev, e -mail osv.). Sådanne rapporter bliver videresendt til BKMS® System til videre behandling.
Indgivelse af en rapport via telefon
Din anonymitet beskyttes også af BKMS® System ved telefonisk indgivelse af rapporter. Hverken DPDHL eller EQS Group får adgang til dit telefonnummer og kan ikke identificere dig på baggrund af din stemme. Din beskrivelse af hændelsen vil blive optaget i BKMS® System. Vær opmærksom på, at indgivelsen af en rapport via telefon kun fungerer, hvis du har givet dit samtykke til optagelse af dine indtalte ord. Bagefter transskriberes den krypterede lydfil af den ansvarlige DPDHL-medarbejder. Retsgrundlaget for at optage og transskribere indberetningen af din rapport er baseret på dit samtykke i henhold til artikel 6, stk. 1, litra a i GDPR. Indgivelsen af en rapport via telefon sker på frivillig basis. Du er velkommen til at indgive din rapport via de andre kommunikationskanaler, hvis du ikke ønsker at blive optaget. Lydfilen slettes, umiddelbart efter behandlingen af din rapport er afsluttet.
Hvis du telefonisk har oprettet en sikker postkasse i slutningen af indberetningen, kan du modtage tilbagemeldinger i form af en stemmeoptagelse af den ansvarlige medarbejder hos DPDHL, og du kan om nødvendigt tilføje oplysninger til din rapport. Alternativt kan du få adgang til din sikre postkasse via webapplikationen, se tilbagemeldinger og foretage tilføjelser i skriftlig form. For at beskytte fortroligheden af din rapport eller tilføjelse, kan du hverken lytte til den på din telefon eller i den webbaserede sikre postkasse.
I hvor lang tid opbevarer vi personoplysninger?
Personoplysninger opbevares, så længe det er nødvendigt for at afklare situationen og for at udføre en evaluering af rapporten, eller så længe andre (?) legitime interesser af firmaet eksisterer, eller så længe det er lovpligtigt. Når rapporten er blevet behandlet, slettes oplysningerne i overensstemmelse med de gældende lovkrav. Hvis den rapporterede bekymring anses for ubegrundet og ikke fører til en undersøgelse, sletter vi straks de personlige oplysninger, vi har modtaget via rapporten. Hvis en undersøgelse iværksættes, slettes personoplysningerne inden for to måneder efter undersøgelsens afslutning, medmindre en længere opbevaringsperiode er nødvendig for at afslutte andre procedurer, især disciplinære eller juridiske handlinger eller andre handlinger i henhold til lokal lovgivning.
Hvordan sikrer vi personoplysninger?
Kommunikationen mellem din computer og Incident Reporting foregår via en krypteret forbindelse (SSL). Din IP-adresse gemmes ikke, mens du bruger rapporteringssystemet.
Gives personoplysninger videre til tredjepart?
Indgående rapporter modtages af en lille gruppe specielt autoriserede og uddannede medarbejdere med compliance- eller HR-funktioner hos DPDHL og behandles altid fortroligt. Medarbejderne i compliance-eller HR-afdelingen hos DPDHL vurderer sagen og udfører uddybende undersøgelser, som kræves i det enkelte tilfælde. Under behandlingen af en rapport eller udførelsen af særlige undersøgelser kan det være nødvendigt at dele rapporterne med andre medarbejdere hos DPDHL, hvis rapporterne f.eks. omhandler hændelser i datterselskaber eller kræver yderligere ekspertise. Medarbejdere hos DPDHL kan opholde sig i lande uden for EU eller Det Europæiske Økonomiske Samarbejdsområde med forskellige regler vedrørende databeskyttelse. Vi sørger altid for, at gældende forordninger vedrørende databeskyttelse opfyldes, når rapporterne deles. Alle personer, som får adgang til dataene, har pligt til at behandle dem fortroligt.
Overførslen af rapporterne til de nævnte medarbejdere i andre koncernselskaber sker kun med det formål at afdække ulovlig adfærd eller overtrædelse af DPDHL's etiske regelsæt og heri nævnte politikker, retningslinjer og regler. Overførslen af rapporterne er nødvendig for at beskytte Deutsche Post AG's legitime interesser og de koncernselskaber, der er berørt af rapporten, når juridiske og interne virksomhedspolitikker overholdes. Retsgrundlaget er art. 6, stk. 1, litra f i GDPR.
Medmindre det kræves af gældende lov, vil dine personlige data ikke blive afsløret for eksterne parter. Hvis det kræves af gældende lov, kan det være nødvendigt at videregive oplysninger om den rapporterende medarbejders identitet til de relevante myndigheder, der er involveret i en undersøgelse eller til efterfølgende retssager.
Eksterne tjenesteudbydere, der behandler data på vores vegne, er kontraktligt forpligtet til at opretholde streng fortrolighed i henhold til artikel 28 i GDPR. Tjenesteudbyderne følger vores instruktioner, der er garanteret af tekniske og organisatoriske foranstaltninger samt ved hjælp af tjek og kontroller.
Dine data overføres kun uden for Det Europæiske Økonomiske Samarbejdsområde (EØS) til andre DPDHL-firmaer, eksterne tjenesteudbydere eller offentlige myndigheder, når det er tilladt i henhold til gældende databeskyttelseslovgivning. I sådanne tilfælde sørger vi for, at der er passende sikkerhedsforanstaltninger for at sikre overførsel af dine data (f.eks. vores bindende virksomhedsregler, standardkontraktbestemmelser).
DPDHL's databeskyttelseserklæring regulerer vores koncernomfattende standarder for behandlingen af dine data.
Hvilke rettigheder har du og andre registrerede?
I henhold til GDPR-forordningen har du og de personer, der nævnes ved navn i rapporten, følgende rettigheder:
- Retten til at få adgang til oplysninger: Du kan anmode om oplysninger om dine behandlede personoplysninger.
- Retten til berigtigelse: Du har ret til at anmode om en berigtigelse af eventuelle unøjagtige data om dig selv.
- Retten til at gøre indsigelse: Du har ret til at gøre indsigelse mod databehandlingen.
- Retten til at tilbagetrække dit samtykke: Du har ret til at tilbagetrække dit samtykke.
- Retten til dataoverførsel: Du har ret til at overføre dine data til et andet firma.
- Retten til sletning/at blive glemt: Du har under visse omstændigheder ret til at anmode om sletning af dine data.
- Retten til at få behandlingen begrænset: Du har ret til at anmode om en begrænsning i den måde, dine data bruges på.
- Rettigheder relateret til automatiseret beslutningstagning, herunder profilering: Du har ret til at anmode om en gennemgang af en automatiseret behandling. I øjeblikket finder ingen automatisk beslutningstagning sted.
- Retten til at indgive en klage: Du har ret til at indgive en klage til en kompetent databeskyttelsesmyndighed.
Hvis der gøres krav på indsigelsesretten til databehandlingen baseret på vores legitime interesser, vil vi straks undersøge, om din indsigelse er trådt i kraft. Hvis dette er tilfældet, behandler vi ikke længere dine data.
Du kan rette din anmodning, baseret på ovenstående rettigheder eller andre spørgsmål om denne databeskyttelseserklæring, til de kontaktoplysninger, der er nævnt ovenfor.
Ændringer af denne databeskyttelseserklæring
Vi forbeholder os retten til at ændre denne databeskyttelseserklæring i henhold til ændringerne i vores tjenester, behandlingen af dine data eller i henhold til den gældende lovgivning. Vi anbefaler derfor, at vores databeskyttelseserklæring læses med jævne mellemrum.
Status: 01.10.2021
