Mededeling over privacy
Wij nemen gegevensbescherming en vertrouwelijkheid zeer serieus en houden ons aan de bepalingen van de Algemene Verordening Gegevensbescherming van de EU (AVG) en de toepasselijke nationale regelgeving inzake gegevensbescherming. Hieronder leggen wij uit welke informatie en, indien van toepassing, welke persoonsgegevens wij verwerken wanneer u een melding afgeeft. Lees deze privacyverklaring zorgvuldig door voordat u een melding afgeeft.
Wie is verantwoordelijk?
Deze privacyverklaring is van toepassing op de gegevensverwerking door:
Deutsche Post AG
Global Compliance Office
Charles-de-Gaulle-Straße 20
53250 Bonn
Duitsland
gco@dpdhl.com
Indien u vragen heeft over de verwerking van uw persoonsgegevens, kunt u contact opnemen met de Data Protection Officer:
Deutsche Post AG
Global Data Protection
53250 Bonn
Duitsland
datenschutz@dpdhl.com
Welke persoonlijke gegevens worden verwerkt?
Deutsche Post AG onderhoudt een Incident Reporting System voor de DPDHL (Deutsche Post AG en haar groepsbedrijven). Het gebruik van het Incident Reporting System gebeurt op vrijwillige basis. Als u een melding afgeeft via het Incident Reporting System, verzamelen wij de volgende persoonsgegevens en informatie:
- uw naam, als u ervoor kiest om uw identiteit bekend te maken,
- of u al dan niet tewerkgesteld bent bij DPDHL en
- de namen van de personen en andere persoonsgegevens van personen die u in uw melding vernoemt.
Als u telefonisch een melding afgeeft, wordt uw stem opgenomen. Aan het begin van elk telefoongesprek wordt u ook gevraagd toestemming te geven voor het opnemen van uw gesproken woord als geluidsbestand. Ook voor deze vorm van ingediende meldingen worden de hierboven genoemde soorten persoonlijke gegevens verzameld door middel van transcriptie.
Waarom verzamelen we persoonsgegevens en wat is de wettelijke basis?
De bedoeling van het Incident Reporting System (BKMS® System) is om meldingen met betrekking tot overtredingen van de nalevingsregels van DPDHL veilig en vertrouwelijk te ontvangen, te verwerken en te beheren. Het is met name bedoeld om meldingen te ontvangen over schendingen van de wet of de DPDHL-gedragscode en daarin vermeld verder beleids-, richtlijnen en voorschriften zoals de DPDHL-mensenrechtenbeleidsverklaring of het DPDHL-anticorruptie- en bedrijfsethiekbeleid. We verwerken uw gegevens alleen voor specifieke doeleinden en indien we een wettelijke basis hebben om dit te doen. Als u datalekken wilt melden of andere gegevensbeschermingsmeldingen wilt afgeven, volg dan het interne proces van DPDHL voor het melden van datalekken of neem contact op met uw verantwoordelijke voor gegevensbescherming of de Data Protection Officer. De contactgegevens vindt u hier.
Bezoek aan onze website
De BKMS® System is ontworpen om de anonimiteit van zijn gebruikers te garanderen in overeenstemming met de EU-klokkenluidersrichtlijn. Gegevens die nodig zijn om de communicatie tussen uw computer en de voorvalmelding tot stand te brengen, zoals IP-adressen, worden niet opgeslagen op het BKMS® System en worden alleen op infrastructuurniveau gebruikt voor de duur van een sessie. Verder wordt op uw computer een cookie opgeslagen die alleen de sessie-ID bevat (een zogenaamde nul-cookie). Deze cookie is uitsluitend geldig tot het einde van uw sessie en vervalt wanneer u uw browser sluit. De cookie bevat alleen de sessie-ID naam JSESSIONID met een willekeurig gegenereerde waarde die nodig is om de sessie te creëren (geen verdere informatie die zou kunnen leiden tot een identificatie van de klokkenluider). Het maken van sessies wordt veel gebruikt en is een beste praktijk in een client-server-architectuur. Als u uitlogt of als de time-outlimiet is bereikt, wordt de cookie ongeldig en wordt de sessie ongeldig (gesloten). Dit wordt gedaan door de sessiewaarde in de cookie zelf in te stellen op "nul" (een ongedefinieerde status). Op dat moment kan de sessie niet meer worden geopend. Voor de genoemde doeleinden hebben wij een gerechtvaardigd belang bij de verwerking van uw gegevens, dat is gebaseerd op art. 6 (1) f) AVG.
Anonieme of persoonlijke melding afgeven
Ongeacht welk communicatiekanaal u gebruikt, u kunt uw melding anoniem of op persoonlijke basis afgeven. Mocht u daar bewust voor kiezen of bewust uw identiteit bekendmaken, dan willen wij u erop wijzen dat wij uw identiteit tijdens alle interne of buitengerechtelijke stappen van de procedure vertrouwelijk zullen behandelen. Houd er rekening mee dat wij als basisbeginsel wettelijk verplicht zijn de beschuldigden in kennis te stellen van het feit dat wij een melding over hen hebben ontvangen, tenzij dit een verder onderzoek van de melding in gevaar brengt. Wanneer we dit doen, zal uw identiteit als klokkenluider niet bekend worden gemaakt, voor zover wettelijk toegestaan. Als u bewust en opzettelijk besluit om uw identiteit bekend te maken in het kader van de melding, is de gegevensverwerking gebaseerd op uw toestemming overeenkomstig artikel 6 (1) a) AVG. U kunt uw toestemming intrekken, maar slechts tot één maand na de melding.
Melding indienen via de webgebaseerde BKMS® System, beveiligde postbus of andere communicatiekanalen
De verwerking van persoonsgegevens in het Incident Reporting System via BKMS® System, de beveiligde postbus of andere communicatiekanalen is gebaseerd op de legitieme belangen van ons bedrijf om wangedrag op te sporen en te vermijden en zo schade aan DPDHL, haar medewerkers en klanten te voorkomen. Artikel 6 (1) f) AVG dient als rechtsgrond voor deze gegevensverwerking via de beschikbare communicatiekanalen.
Het is mogelijk om binnen BKMS® System een beveiligde postbus aan te maken die beveiligd is met een individueel gekozen pseudoniem/gebruikersnaam en wachtwoord. Om de grootst mogelijke anonimiteit te bereiken, moet u een pseudoniem kiezen waaruit geen conclusies over uw identiteit kunnen worden getrokken. Zo kunt u aanvullingen op uw melding sturen en over de gemelde kwestie communiceren met de verantwoordelijke medewerker bij DPDHL. U kunt er ook voor kiezen om bij naam herkenbaar te blijven. Het beveiligde postbussysteem slaat alleen gegevens op in het Incident Reporting System, wat het bijzonder veilig maakt. Het is geen vorm van gewone e-mailcommunicatie. Persoonlijke gegevens worden verwijderd uit de beveiligde postbus volgens het algemene verwijderingsconcept dat wordt beschreven in de sectie "Hoe lang bewaren we persoonlijke gegevens?". Na sluiting van een gemelde kwestie wordt de beveiligde postbus geheel verwijderd na 180 dagen niet te zijn gebruikt.
Bij het indienen van een melding of aanvullende informatie kunt u de gegevens tegelijkertijd aanvullen met bijlagen. Houd rekening met het volgende advies over de beveiliging van gegevens als u een anonieme melding wilt afgeven: Bestanden kunnen verborgen persoonsgegevens bevatten die uw anonimiteit in gevaar kunnen brengen. Verwijder deze gegevens voordat u het bestand verzendt. Indien u niet in staat bent deze gegevens te verwijderen of niet weet hoe u dit moet doen, kopieer dan de tekst van uw bijlage in de meldingstekst of stuur het afgedrukte document anoniem naar het in de voettekst vermelde adres, onder vermelding van het referentienummer dat u aan het einde van het oorspronkelijke meldingsproces hebt ontvangen. Het is ook mogelijk meldingen af te geven via andere kanalen (bv. brief, e-mail, etc.). Dergelijke meldingen worden handmatig overgezet naar de BKMS® System voor verdere verwerking.
Melding afgeven via telefoon
Uw anonimiteit wordt ook beschermd door de BKMS® System wanneer u uw melding telefonisch doet. Noch DPDHL, noch EQS Group hebben toegang tot uw telefoonnummer en zullen u niet herkennen aan uw stem. Uw beschrijving van het voorval wordt vastgelegd in de BKMS® System. Wij willen u erop wijzen dat de telefonische melding alleen werkt als u toestemming heeft gegeven voor het opnemen van uw gesproken woord. Daarna wordt het versleutelde geluidsbestand getranscribeerd door de verantwoordelijke DPDHL-medewerker. De wettelijke basis voor het opnemen en transcriberen van uw afgegeven melding is gebaseerd op uw toestemming volgens Art 6 (1) a) AVG. Het indienen van de melding via de telefoon gebeurt op vrijwillige basis. Indien u niet wenst te worden opgenomen, wordt u uitgenodigd om uw melding via de andere aangeboden communicatiekanalen af te geven. Het geluidsbestand wordt direct na het verwerken van uw melding verwijderd.
Als u een beveiligde postbus hebt aangemaakt op het einde van de telefonische melding, kunt u feedback krijgen in de vorm van een spraakopname van de verantwoordelijke medewerker van DPDHL en kunt u zo nodig informatie toevoegen aan uw melding. Als alternatief kunt u via de webapplicatie toegang krijgen tot uw beveiligde postbus, feedback bekijken en schriftelijke aanvullende informatie verstrekken. Om de vertrouwelijkheid van uw melding of aanvullende informatie te beschermen, kunt u deze niet beluisteren op uw telefoon of in de beveiligde postbus op het web.
Hoe lang bewaren wij uw persoonsgegevens?
Persoonsgegevens worden bewaard zolang dit nodig is om de zaak op te helderen en een evaluatie van de melding op te stellen, of zolang een ander (?) gerechtvaardigd belang van het bedrijf bestaat, of zolang dit wettelijk verplicht is. Nadat de melding volledig is behandeld, worden deze gegevens volgens de wettelijke voorschriften verwijderd. Indien de gemelde bezorgdheid ongegrond wordt geacht en niet tot een onderzoek leidt, zullen wij de persoonlijke informatie die wij uit die melding hebben ontvangen, onmiddellijk wissen. Als een onderzoek wordt gestart, wordt de persoonlijke informatie binnen twee maanden na afsluiting van het onderzoek verwijderd, tenzij een langere bewaartermijn nodig is om andere procedures te voltooien, met name disciplinaire of juridische stappen, of anderszins is toegestaan door de lokale wetgeving.
Hoe beveiligen we persoonsgegevens?
De communicatie tussen uw computer en het Incident Reporting System gebeurt via een versleutelde verbinding (SSL). Tijdens uw gebruik van het klokkenluidersysteem wordt uw IP-adres niet opgeslagen.
Zullen persoonsgegevens doorgegeven worden?
Binnenkomende meldingen worden ontvangen door een kleine selectie van uitdrukkelijk geautoriseerde en speciaal opgeleide medewerkers van de Compliance of de Human Resources functies van DPDHL en worden altijd vertrouwelijk behandeld. De bovengenoemde medewerkers van de Compliance of de Human Resources functies van DPDHL zullen de zaak evalueren en eventueel verder onderzoek verrichten dat nodig is voor het specifieke geval. Tijdens de behandeling van een melding of het verrichten van een bijzonder onderzoek kan het noodzakelijk worden om meldingen te delen met andere medewerkers van DPDHL, bijv. als de meldingen betrekking hebben op voorvallen in dochterondernemingen of als aanvullende expertise vereist is. Medewerkers van DPDHL kunnen gevestigd zijn in landen buiten de Europese Unie of de Europese Economische Ruimte met afwijkende regelgeving met betrekking tot de privacy van persoonsgegevens. Wanneer we meldingen met anderen delen, zorgen we er altijd voor dat de toepasselijke voorschriften inzake gegevensbescherming worden gevolgd. Alle personen die toegang verkrijgen tot de gegevens zijn verplicht om de gegevens vertrouwelijk te behandelen.
De overdracht van de meldingen aan de genoemde medewerkers van andere groepsmaatschappijen geschiedt uitsluitend met het doel onrechtmatig gedrag of overtredingen van de DPDHL gedragscode en daarin nader genoemd beleid, richtlijnen en regelgeving aan het licht te brengen. De overdracht van de rapporten is noodzakelijk om de legitieme belangen van Deutsche Post AG en de groepsmaatschappijen die door de melding worden beïnvloed, te beschermen om te voldoen aan het wettelijke beleid en het interne bedrijfsbeleid. De wettelijke grondslag is artikel 6 (1) f) AVG.
Tenzij vereist door de toepasselijke wetgeving, zullen uw persoonlijke gegevens niet worden onthuld aan externe partijen. Indien vereist door de toepasselijke wetgeving, moet mogelijk informatie over de identiteit van de meldende werknemer worden bekendgemaakt aan de relevante autoriteiten die betrokken zijn bij een onderzoek of daaropvolgende gerechtelijke procedures.
Externe dienstverleners die namens ons gegevens verwerken, zijn contractueel verplicht tot strikte vertrouwelijkheid conform Art 28 AVG. De dienstverleners volgen onze instructies op die worden gegarandeerd door technische en organisatorische maatregelen, evenals door middel van checks en controles.
Uw gegevens worden alleen buiten de Europese Economische Ruimte (EER) overgedragen aan andere DPDHL-bedrijven, externe dienstverleners of overheidsinstanties indien toegestaan door de toepasselijke wetgeving inzake gegevensbescherming. In dergelijke gevallen zullen we ervoor zorgen dat er passende waarborgen zijn om de overdracht van uw gegevens te waarborgen (bijvoorbeeld onze bindende bedrijfsregels, standaard contractuele clausules).
Het DPDHL-gegevensprivacybeleid regelt onze groepsbrede normen voor de verwerking van uw gegevens.
Welke rechten hebben u en andere betrokkenen?
Volgens de Europese wetgeving inzake gegevensbescherming hebben u en de personen die in de melding worden genoemd de volgende rechten:
- Recht op toegang tot informatie: U kunt informatie opvragen over uw verwerkte persoonsgegevens.
- Recht op rectificatie: U hebt het recht om een correctie te vragen van eventuele onjuiste gegevens over uzelf.
- Recht van bezwaar: U hebt het recht bezwaar te maken tegen verwerking.
- Recht om uw toestemming in te trekken: U hebt het recht om uw toestemming in te trekken.
- Recht op gegevensoverdraagbaarheid: U heeft het recht om uw gegevens over te dragen naar een ander bedrijf.
- Recht om te wissen/vergeten te worden: U hebt het recht om in bepaalde omstandigheden te verzoeken dat uw gegevens worden gewist.
- Recht op beperking van de verwerking: U heeft onder bepaalde omstandigheden het recht om te verzoeken om verwijdering van uw gegevens.
- Recht met betrekking tot geautomatiseerde besluitvorming inclusief profilering: U heeft het recht om een herziening van de geautomatiseerde verwerking aan te vragen. Op dit moment vindt er geen geautomatiseerde besluitvorming plaats.
- Recht om een klacht in te dienen: U hebt het recht om een klacht in te dienen bij de bevoegde toezichthoudende autoriteit voor gegevensbescherming.
Indien het recht van bezwaar wordt geclaimd voor gegevensverwerking op basis van onze gerechtvaardigde belangen, zullen wij direct onderzoeken of uw bezwaar gegrond is. Als dit het geval is, zullen wij de gegevens niet langer verwerken.
U kunt uw verzoek op grond van bovenstaande rechten of eventuele andere vragen over deze Privacyverklaring richten aan de bovengenoemde contactgegevens.
Wijzigingen in deze privacyverklaring
We behouden ons het recht voor om deze privacyverklaring van tijd tot tijd te wijzigen in overeenstemming met de wijzigingen in onze diensten, de verwerking van uw gegevens of in de toepasselijke wetgeving. We raden daarom aan om regelmatig onze Privacyverklaring te bezoeken.
Status: 01.10.2021
