Erklæring om personvern
Vi tar personvern og fortrolighet svært alvorlig, og vi forholder oss til bestemmelsene i EU s generelle personvernforordning (EU General Data Protection Regulation - (EU GDPR) samt gjeldende nasjonale bestemmelser om personvern. I det følgende forklarer vi hvilken informasjon og hvis relevant persondata vi behandler når du sender en melding. Vennligst les denne erklæringen om personvern nøye før du sender en melding.
Hvem er ansvarlig?
Denne erklæringen om personvern gjelder for databehandlingen som utføres av:
Deutsche Post AG
Global Compliance Office
Charles-de-Gaulle-Straße 20
D-53250 Bonn
Tyskland
gco@dpdhl.com
Dersom du har spørsmål vedrørende behandlingen av dine personopplysninger, ta kontakt med vårt personvernombud:
Deutsche Post AG
Global Data Protection
D-53250 Bonn
Tyskland
datenschutz@dpdhl.com
Hvilke persondata behandles?
Deutsche Post AG opprettholder et system til melding av hendelser for DPDHL (Deutsche Post AG konsernet). Bruk av vårt Incident Reporting System finner sted på frivillig basis. Hvis du sender en melding via vårt Incident Reporting System, innhenter vi følgende persondata og informasjon:
- Ditt navn, hvis du velger å avdekke din identitet,
- om du er ansatt hos DPDHL og
- navnene på personene og andre persondata for personene som du angir i din melding.
I tilfelle du avgir en melding via telefon, vil din stemme bli tatt opp. Ved begynnelsen av hver telefonhenvendelse vil du også bli bedt om å gi ditt samtykke til at ditt talte ord vil bli tatt opp som en lydfil. Det gjelder også at for denne typen innsendte meldinger samles typen persondata som står på listen ovenfor gjennom transkribering.
Hvorfor vi innhenter persondata og hva er det juridiske grunnlaget?
Vårt system til melding om hendelser (BKMS® System) tjener dette formålet til sikker og fortrolig mottak, behandling og styring av meldinger som omfatter brudd på DPDHL sin regler for compliance. Spesielt er formålet å motta meldinger som gjelder brudd på loven eller DPDHL sine etiske retningslinjer samt ytterligere retningslinjer, anvisninger og bestemmelser som angis der, som eksempelvis DPDH sin policy når det gjelder Menneskerettserklæringen, eller DPDHL sin policy mht. antikorrupsjon og forretningsetikk. Vi behandler bare dine data med spesifikke formål for øyet, og der vi har juridisk grunnlag for å gjøre dette. Hvis du ønsker å melde om brudd som er gjort på personvern eller å melde fra om andre anliggender som gjelder personvern, må du følge DPDHL sin interne prosess til melding av brudd på personvern, eller du må ta kontakt med ditt personvernombud eller ansvarlig myndighet. Du kan finne kontaktdetaljene på her.
Besøk på vårt nettsted
Vår BKMS® System er designet for å garantere brukernes anonymitet i samsvar med EU sitt varslingsdirektiv. Data som behøves for å opprette kommunikasjonen mellom din datamaskin og Incident Reporting, som eksempelvis IP-adresser, vil ikke bli lagret på BKMS® System og vil bare bli brukt på infrastrukturnivå i den tiden en sesjon varer. Videre lagres det en informasjonskapsel på datamaskinen din. Denne informasjonskapselen inneholder bare sesjonens ID (en såkalt øktkapsel). Denne informasjonskapselen er kun gyldig inntil din sesjon avsluttes, og den utløper så snart du lukker nettleseren din. Informasjonskapselen inneholder bare sesjonens ID-navn JSESSIONID med en tilfeldig generert verdi som er nødvendig for å opprette sesjonen (ingen ytterligere informasjon som kan føre til en identifisering av varsleren). Opprettelsen av sesjoner brukes mye og er beste praksis i en client-server arkitektur. Hvis du logger deg av eller dersom timeout-grensen er nådd, blir informasjonskapselen ugyldig, og sesjonen blir ugyldiggjort (avsluttet). Dette gjøres ved å innstille sesjonsverdien i informasjonskapselen til «Null» (en udefinert status). På dette tidspunktet kan sesjonen ikke lenger åpnes igjen. Til de angitte formålene har vi en legitim interesse av å behandle dataene dine, på grunnlag av art 6 (1) f) GDPR.
Sending av anonym eller personlig melding
Uansett hvilken kommunikasjonskanal du bruker, kan du sende din melding anonymt eller på et personlig grunnlag. Dersom du med vilje velger å gjøre dette eller med vilje avdekker din identitet, vil vi gjerne informere deg om at vi skal holde din identitet fortrolig under all interne eller utenomrettslige skritt av prosedyren. Vi gjør oppmerksom på at vi som et grunnprinsipp er juridisk forpliktet til å informere de beskylte personene om at vi har mottatt en melding som vedrører dem, med mindre dette setter ytterligere etterforskning av meldingen i fare. Når vi gjør dette, så vil din identitet som varsler ikke avsløres så fremt dette er juridisk mulig. Hvis du bevisst og med vilje bestemmer deg for å avdekke din identitet i sammenheng med meldingen, vil databehandlingen være basert på ditt samtykke ifølge art. 6 (1) a) GDPR. Du kan tilbakekalle ditt samtykke, men bare inntil én måned etter bekjentgjørelsen.
Avsendelse av melding via den nettbaserte BKMS® System, sikret postkasse eller andre kommunikasjonskanaler
Behandlingen av persondata i vårt system for melding om hendelser via BKMS® System, den sikrede postkassen eller andre kommunikasjonskanaler er basert på vårt firmas legitime interesse av å avdekke og forhindre lovbrudd, for på denne måten å unngå skade på DPDHL, dets ansatte og våre kunder. Artikkel 6 (1) f) GDPR tjener som juridisk grunnlag for denne databehandlingen via de tilgjengelige kommunikasjonskanalene.
Det er mulig å opprette en sikret postkasse innen BKMS® System som er sikret med et individuelt valgt pseudonym/brukernavn og passord. For å oppnå det høyest mulige nivået når det gjelder anonymitet, må du velge et pseudonym som ikke gir mulighet til å trekke konklusjoner når det gjelder din identitet. Dette gir deg muligheten til å sende tilføyelser til din melding og til å kommunisere med den ansvarlige ansatte hos DPDHL i forbindelse med den meldte saken. Du kan også velge å fortsette å være identifiserbar gjennom navnet ditt. Systemet med den sikre postkassen lagrer bare data innenfor systemet til melding om hendelser som gjør det spesielt sikkert. Det er ikke noen form for vanlig e-post kommunikasjon. Personlige data vil bli slettet fra den sikrede postkassen i henhold til det generelle konseptet for sletting som beskrives i avsnittet «Hvor lenge beholder vi persondata?». Etter at en meldt hendelse er innstilt, vil den sikrede postkassen bli fullstendig slettet etter 180 dager uten bruk.
Når du sender inn en melding eller et tillegg, kan du samtidig tilføye informasjonen med vedlegg. Hvis du ønsker å sende inn en anonym melding, må du merke deg den følgende prosedyren for personvern: Filer kan muligens inneholde skjulte personlige data som kan sette din anonymitet i fare. Fjern disse dataene før du sender filene. Hvis du ikke kan fjerne disse dataene, eller du er usikker på hvordan du skal gjøre dette, må du kopiere teksten i vedlegget ditt i meldingsteksten eller sende en utskrift av dokumentet anonymt til adressen som er oppført i fotnoten og angi referansenummeret som du mottar ved slutten av den første meldingsprosessen. Det er også mulig å sende meldingen via andre kanaler (f.eks. brev, e-post etc.). Slike meldinger vil bli overført manuelt til BKMS® System for videre behandling.
Avlevering av meldingen via telefon
Din anonymitet vil også bli beskyttet av BKMS® System dersom du avgir meldingen din via telefon. Hverken DPDHL eller EQS Group vil ha tilgang til ditt telefonnummer, og de vil ikke identifisere deg vha. stemmen din. Det vil bli gjort opptak av din beskrivelse av hendelsen i BKMS® System. Vi vil gjerne understreke at innlevering av melding via telefonen bare fungerer hvis du har gitt din tillatelse til opptak av ditt talte ord. Etter dette vil den krypterte lydfilen bli transkribert av ansvarlig DPDHL medarbeider. Det juridiske grunnlaget for å ta opp og transkribere din avgivelse av melding er basert på ditt samtykke i samsvar med art 6 (1) a) GDPR. Innlevering av meldingen via telefon er frivillig. Du inviteres til å sende inn din melding via de andre tilbudte kommunikasjonskanalene dersom du ikke ønsker lydopptak. Lydfilen vil bli slettet umiddelbart etter at behandlingen av meldingen din er avsluttet.
Hvis du har opprettet en sikret postkasse etter at innlevering av meldingen via telefon er avsluttet, kan du motta tilbakemeldingen i form av et stemmeopptak fra den ansvarlige medarbeideren hos DPDHL, og du kan tilføye informasjon til din melding om nødvendig. Alternativt kan du åpne den sikrede postkassen din via nettappen, se gjennom tilbakemelding og gjøre tilføyelser i skriftlig form. For å beskytte fortroligheten av din melding eller din tilføyelse, kan du hverken høre den på telefonen din eller på den nettbaserte sikrede postkassen.
Hvor lenge beholder vi persondata?
Persondata holdes tilbake så lenge det er nødvendig for å klargjøre situasjonen og foreta en evaluering av meldingen eller annen (?) av firmaets legitime interesse foreligger, eller loven krever dette. Etter at behandlingen av meldingen er avsluttet, slettes disse data i samsvar med lovfestede krav. Dersom den meldte saken ansees for å være uten grunnlag og ikke leder til noen etterforskning, vil vi straks slette all personlig informasjon som vi mottok fra denne meldingen. Dersom det startes en etterforskning, vil den personlige informasjonen bli slettet innen to måneder etter at etterforskningen er avsluttet, med mindre en lengre tilbakeholdelsesperiode er nødvendig for å avslutte andre prosedyrer, spesielt disiplinære eller rettslige tiltak, eller tiltak som på annen måte er tillatt av lokale lover.
Hvordan sikrer vi persondata?
Kommunikasjonen mellom din datamaskin og systemet til melding om hendelser finner sted via en kryptert forbindelse (SSL). Din IP-adresse vil ikke bli lagret under din bruk av meldesystemet.
Vil persondata bli ledet videre?
Meldinger som sendes inn mottas av et lite utvalg av spesifikt autoriserte og spesielt opplærte ansatte innen vår Compliance eller HR-funksjonene hos DPDHL, og de behandles alltid fortrolig. De ovennevnte ansatte ved vår avdeling for Compliance eller HR-avdelingen hos DPDHL vil evaluere saken og foreta eventuelt ytterligere undersøkelser som kreves i det spesielle tilfellet. Under behandlingen av en melding eller gjennomføringen av en spesiell etterforskning kan det bli nødvendig å dele meldinger med andre medarbeidere i DPDHL, for eksempel hvis meldingene refererer til hendelser i datterselskaper eller krever ekstra ekspertise. Medarbeidere hos DPDHDL kan også ha deres kontor i land som ligger utenfor Det europeiske økonomiske samarbeidsområdet (EØS), der det muligens eksisterer andre bestemmelser som gjelder for beskyttelse av persondata. Vi sikrer alltid at de relevante bestemmelsene til personvern overholdes når vi deler meldinger. Alle personer som har tilgang til dataene er forpliktet til å opprettholde fortrolighet.
Overføringen av meldingene til de nevnte ansatte hos andre firmaer innen konsernet gjøres bare i den hensikt å avdekke lovstridig adferd eller brudd på DPDHL sine etiske retningslinjer og de ytterligere policyer, anvisninger og bestemmelser som angis der. Overføringen av meldinger er nødvendig for å ivareta den legitime interessen som Deutsche Post AG og konsernselskapene som er berørt av meldingen har for å overholde loven og retningslinjer som gjelder internt i firmaet. Art 6 (1) f) GDPR tjener som juridisk grunnlag.
Dine personlige data vil ikke bli avdekket for noe eksternt parti med mindre gjeldende lover krever det. Hvis gjeldende lover krever det, vil informasjon som gjelder identiteten til medarbeideren som melder hendelsen eventuelt måtte avdekkes til de relevante myndighetene som er involvert i en etterforskning eller senere rettergang.
Eksterne tjenesteleverandører som behandler data i vårt navn er kontraktmessig forpliktet til å opprettholde streng fortrolighet ifølge art. 28 GDPR. Tjenesteyterne følger våre instrukser som er garantert vha. tekniske og organisatoriske tiltak, samt ved hjelp av kontroller og overprøvinger.
Dine data overføres bare ut av Det europeiske økonomiske samarbeidsområdet (EØS) til andre selskaper innen DPDHL, eksterne tjenesteytere eller offentlige myndigheter så fremt gjeldende lov om personvern tillater dette. I slike tilfeller vil vi sørge for at egnede sikkerhetstiltak er på plass for å garantere at overføringen av dine data (f.eks. de bindende reglene som gjelder innen vårt firma, standard kontraktmessige klausuler).
DPDHL sine retningslinjer for personvern regulerer våre konsernomfattende standarder for behandlingen av dine data.
Hvilke rettigheter har du og andre registrerte?
I henhold til europeisk lov om personvern, har du og personene som nevnes i meldingen de følgende rettighetene:
- Rett til tilgang til informasjon: Du kan be om informasjon om dine personlige data som behandles.
- Rett til retting: Du har rett til å be om retting av eventuelle ikke-korrekte data som gjelder deg.
- Rett til innsigelse: Rett til innsigelse mot behandlingen.
- Rett til tilbakekallelse av ditt samtykke: Rett til tilbakekallelse av ditt samtykke.
- Rett til dataportabilitet: Du har rett til å flytte dine data til et annet firma.
- Rett til sletting/å bli glemt: Du har under visse omstendigheter rett til å kreve at dine data blir slettet.
- Rett til begrensning av behandling: Du har rett til å kreve en begrensning av måten dine data brukes på.
- Rettigheter relatert til automatisert beslutningstaking inkludert opprettelse av profil: Du har rett til å be om en gjennomgåelse av automatisert behandling. På dette tidspunktet finner det ikke sted noen automatisert beslutningstaking.
- Rett til å fremføre en klage: Du har også rett til å fremføre en klage hos ansvarlig myndighet for overvåkning av personvern (anmerkning oversetter: I Norge gjelder Datatilsynet).
Dersom retten til innsigelse kreves for data som behandles på grunnlag av våre legitime interesser, skal vi øyeblikkelig undersøke om din innsigelse er gyldig. Dersom dette er tilfellet, skal vi ikke lenger behandle dataene.
Du kan rette din begjæring på grunnlag av de ovennevnte rettighetene eller andre spørsmål som gjelder denne erklæringen om datavern til kontaktdetaljene som er angitt ovenfor.
Endringer i denne erklæringen om personvern
Vi forbeholder oss retten ti å endre denne erklæringen om personvern fra tid til annen i henhold ti endringene i våre tjenester, behandlingen av dine data eller i gjeldende lov. Vi anbefaler derfor at du tar vår erklæring om personvern for deg fra tid til annen.
Status: 01/10/2021
