Informacja o ochronie prywatności
Bardzo poważnie traktujemy ochronę danych i poufność oraz przestrzegamy przepisów ogólnego rozporządzenia UE o ochronie danych („RODO”), a także obowiązujących krajowych regulacji w zakresie ochrony danych. W dalszej części znajduje się wyjaśnienie, jakie informacje i dane osobowe przetwarzamy w związku z wysłanym zgłoszeniem. Prosimy o dokładne zapoznanie się z niniejszą informacją o ochronie prywatności przed wysłaniem zgłoszenia.
Kto jest odpowiedzialny?
Informacja o ochronie prywatności dotyczy przetwarzania danych przez:
Deutsche Post AG
Global Compliance Office
Charles-de-Gaulle-Straße 20
53250 Bonn
Germany (Niemcy)
gco@dpdhl.com
W razie pytań związanych z przetwarzaniem danych osobowych należy skontaktować się z inspektorem ochrony danych:
Deutsche Post AG
Global Data Protection
53250 Bonn
Germany (Niemcy)
datenschutz@dpdhl.com
Jakie dane osobowe są przetwarzane?
Deutsche Post AG prowadzi system Incident Reporting System dla DPDHL (Deutsche Post AG oraz firmy należące do grupy). Korzystanie z systemu Incident Reporting System jest dobrowolne. Podczas wysyłania zgłoszenia za pośrednictwem systemu Incident Reporting System zbierane są następujące dane osobowe i informacje:
- imię i nazwisko, w przypadku gdy zdecydujesz ujawnić swoją tożsamość,
- informacje o Twoim zatrudnieniu w DPDHL oraz
- nazwiska i inne dane osobowe osób wymienionych w zgłoszeniu.
W przypadku wysyłania zgłoszenia przez telefon Twój głos zostanie nagrany. Na początku każdej rozmowy telefonicznej zostaniesz zapytany, czy wyrażasz zgodę na to, aby Twoja wypowiedź została nagrana w formie pliku dźwiękowego. Dodatkowo, dla tej formy wysyłanych zgłoszeń wymienione wyżej rodzaje danych osobowych są zbierane poprzez transkrypcję.
Dlaczego zbieramy dane osobowe i jaka jest tego podstawa prawna?
Incident Reporting System (BKMS® System) służy do bezpiecznego i poufnego odbierania i przetwarzania zgłoszeń dotyczących naruszeń zasad compliance w DPDHL oraz do zarządzania tymi zgłoszeniami. System jest przeznaczony w szczególności do odbierania zgłoszeń dotyczących naruszeń prawa albo kodeksu postępowania DPDHL i wymienionych w nim polityk, wytycznych i przepisów, takich jak Deklaracja DPDHL w zakresie przestrzegania praw człowieka albo polityka DPDHL w zakresie przeciwdziałania korupcji i etyki biznesowej. Przetwarzamy dane osobowe wyłącznie w konkretnych celach i tylko, gdy istnieje do tego podstawa prawna. Jeśli chciałbyś zgłosić naruszenie ochrony danych albo złożyć inne zawiadomienie dotyczące ochrony danych, postępuj zgodnie z wewnętrznym procesem DPDHL w zakresie zgłaszania naruszeń ochrony danych albo skontaktuj się ze specjalistą ds. ochrony danych lub inspektorem ochrony danych. Dane kontaktowe możesz znaleźć tutaj.
Odwiedzanie naszej strony internetowej.
System BKMS® System zaprojektowano w taki sposób, aby zapewniał użytkownikom anonimowość zgodnie z dyrektywą UE w sprawie zgłaszania nieprawidłowości. Dane wymagane do nawiązania połączenia pomiędzy Twoim komputerem a systemem Incident Reporting, takie jak adres IP, nie będą przechowywane w systemie BKMS® System, lecz będą wykorzystywane wyłącznie na poziomie infrastruktury w czasie trwania sesji. Ponadto na dysku twardym Twojego komputera zapisywany jest plik cookie, który zawiera jedynie ID sesji (tzw. cookie sesji). Ten plik cookie zachowuje ważność tylko do zakończenia sesji i wygasa po zamknięciu przeglądarki. Plik cookie zawiera wyłącznie ID sesji JSESSIONID z losowo wygenerowaną wartością, która jest wymagana do utworzenia sesji (brak dalszych informacji, które mogłyby prowadzić do identyfikacji sygnalisty). Tworzenie sesji to powszechne rozwiązanie i najlepsza praktyka w architekturze klient-serwer. Po wylogowaniu albo przekroczeniu limitu czasu plik cookie wygasa i sesja zostaje unieważniona (zamknięta). Odbywa się to poprzez ustawienie wartości sesji w pliku cookie na „zero” (stan niezdefiniowany). W tym momencie ponowne otwarcie sesji nie jest już możliwe. Ze względu na wymienione cele mamy uzasadniony interes w przetwarzaniu Twoich danych osobowych, który opiera się na art. 6, ust. 1 lit. f) RODO.
Wysyłanie zgłoszeń anonimowych lub imiennych
Niezależnie od wykorzystywanego kanału komunikacji możesz wysłać zgłoszenie anonimowo albo imiennie. Jeśli świadomie się na to zdecydujesz lub postanowisz ujawnić swoją tożsamość, zapewniamy, że podczas postępowania wewnętrznego oraz pozasądowego będziemy postępować zachowując poufność informacji dotyczących Twojej tożsamości. Zgodnie z prawem jesteśmy zobowiązani poinformować osoby będące przedmiotem zgłoszenia o otrzymaniu zgłoszenia na ich temat, chyba że mogłoby to negatywnie wpłynąć na przebieg postępowania wyjaśniającego. Twoja tożsamość jako sygnalisty nie zostanie ujawniona tak długo, jak zezwala na to prawo. Jeżeli świadomie i celowo zdecydujesz się ujawnić swoją tożsamość w kontekście zgłoszenia, przetwarzanie danych odbędzie się na podstawie Twojej zgody, zgodnie z art. 6 ust. 1 lit. a) RODO. Możliwe jest wycofanie zgody, ale wyłącznie w trakcie jednego miesiąca od zawiadomienia.
Wysyłanie zgłoszeń za pośrednictwem dedykowanej strony internetowej BKMS® System, bezpiecznej skrzynki pocztowej albo innych kanałów komunikacji
Przetwarzanie danych osobowych w ramach systemu Incident Reporting System przez BKMS® System, przez bezpieczną skrzynkę pocztową albo za pośrednictwem innych kanałów komunikacji wynika z uzasadnionego interesu firmy, który przejawia się w wykrywaniu nadużyć i zapobieganiu im, aby uniknąć szkody dla firmy DPDHL oraz jej pracowników i klientów. Podstawę prawną przetwarzania danych z dostępnych kanałów komunikacji stanowi artykuł 6 ust. 1 lit. f) RODO.
W systemie BKMS® System możesz stworzyć bezpieczną skrzynkę pocztową, zabezpieczoną wybranym pseudonimem / nazwą użytkownika i hasłem. Aby osiągnąć najwyższy poziom anonimowości, wybierz pseudonim, który uniemożliwi Twoją identyfikację. Pozwoli ona Tobie na wysyłanie uzupełnienia do zgłoszenia, a także komunikowanie się z odpowiedzialnym pracownikiem DPDHL w temacie zgłaszanej sprawy. Możesz również ujawnić swoją tożsamość poprzez podanie imienia i nazwiska. System bezpiecznej skrzynki pocztowej przechowuje dane wyłącznie wewnątrz systemu Incident Reporting System, co gwarantuje wysoki poziom bezpieczeństwa. Nie jest to forma typowej komunikacji mailowej. Dane osobowe zostaną usunięte z bezpiecznej skrzynki pocztowej zgodnie z ogólną koncepcją usuwania danych opisaną w sekcji „Jak długo przechowujemy dane osobowe?”. Po zamknięciu zgłoszonej sprawy bezpieczna skrzynka pocztowa zostanie całkowicie usunięta po upływie 180 dni od ostatniego użycia.
Wysyłając zgłoszenie lub uzupełnienie zgłoszenia, możesz uzupełnić swoją informację o załączniki. Jeśli chcesz wysłać zgłoszenie anonimowo, weź pod uwagę następujące wskazówki dotyczące bezpieczeństwa: Pliki mogą zawierać ukryte dane osobowe, które mogą ujawnić Twoją tożsamość. Przed wysłaniem plików należy usunąć takie dane. Jeżeli usunięcie tych danych jest niemożliwe albo nie wiesz jak to zrobić, skopiuj tekst z załącznika do tekstu zgłoszenia albo anonimowo wyślij wydrukowany dokument na adres podany w stopce, oznaczając go numerem referencyjnym wygenerowanym na końcu wstępnej procedury zgłoszeniowej. Możliwe jest również wysyłanie zgłoszeń za pośrednictwem innych kanałów (np. pocztą tradycyjną, pocztą e-mail). Takie zgłoszenia zostaną ręcznie przesłane do BKMS® System w celu dalszego przetworzenia.
Wysyłanie zgłoszeń przez telefon
W przypadku wysłania zgłoszenia telefonicznie BKMS® System również chroni Twoją anonimowość. Firmy DPDHL ani EQS Group nie będą miały dostępu do Twojego numeru telefonu i nie będą Cię identyfikować po głosie. Opis incydentu zostanie zarejestrowany w BKMS® System. Pragniemy zaznaczyć, że telefoniczne wysyłanie zgłoszenia jest możliwe wyłącznie, jeżeli wyrazisz zgodę na nagranie Twojej wypowiedzi. Następnie zaszyfrowany plik dźwiękowy jest transkrybowany przez odpowiedzialnego pracownika DPDHL. Podstawą prawną rejestrowania i transkrypcji wysyłanego zgłoszenia jest zgoda, zgodnie z art. 6 ust. 1 lit. a) RODO. Wysyłanie zgłoszenia przez telefon jest dobrowolne. Jeśli nie wyrażasz zgody na nagrywanie, zachęcamy do wysłania zgłoszenia za pośrednictwem innych dostępnych kanałów komunikacji. Plik dźwiękowy zostanie usunięty zaraz po zakończeniu przetwarzania zgłoszenia.
W przypadku utworzenia bezpiecznej skrzynki pocztowej na końcu telefonicznej procedury zgłaszania, możesz otrzymać informację zwrotną w formie nagrania głosowego od odpowiedzialnego pracownika DPDHL, a także w razie potrzeby dodać do zgłoszenia informacje uzupełniające. Alternatywnie możesz uzyskać dostęp do bezpiecznej skrzynki pocztowej za pośrednictwem aplikacji sieciowej, przejrzeć wiadomości od referenta i sporządzić uzupełnienia w formie pisemnej. Aby poufność Twojego zgłoszenia i uzupełnienia została zachowana, nie istnieje możliwość odsłuchania ich na Twoim telefonie ani w sieciowej bezpiecznej skrzynce pocztowej.
Jak długo przechowujemy dane osobowe?
Dane osobowe są przechowywane tylko tak długo, jak jest to potrzebne do wyjaśnienia sytuacji i oceny zgłoszenia, jak długo istnieje inny (?) uzasadniony interes firmy albo jak długo jest to wymagane przez prawo. Gdy przetwarzanie zgłoszenia zostanie zakończone, dane są usuwane zgodnie z wymogami prawnymi. Jeżeli zgłoszone obawy zostaną uznane za nieuzasadnione i nie będą wymagały wszczęcia postępowania, natychmiast usuniemy informacje osobowe zawarte w danym zgłoszeniu. W przypadku wszczęcia postępowania, informacje osobowe są usuwane w ciągu dwóch miesięcy od zakończenia postępowania, chyba że dłuższy czas przechowywania danych jest wymagany do zakończenia innych procedur, w szczególności postępowania dyscyplinarnego albo czynności prawnych, lub jeśli prawo lokalne stanowi inaczej.
W jaki sposób zabezpieczamy dane osobowe?
Komunikacja między Twoim komputerem a systemem Incident Reporting System jest szyfrowana (SSL). W trakcie korzystania z systemu zgłoszeniowego adres IP Twojego komputera nie zostanie zapisany.
Czy dane osobowe zostaną gdzieś przekazane?
Nadesłane zgłoszenia trafiają do wąskiej grupy wyraźnie uprawnionych i specjalnie przeszkolonych pracowników z działu ds. compliance albo działu HR w DPDHL i są zawsze traktowane jako poufne. Wymienieni wyżej pracownicy z działu ds. compliance albo działu HR w DPDHL dokonają analizy zgłoszenia i przeprowadzą dalsze postępowanie dostosowane do danego przypadku. Podczas przetwarzania zgłoszenia lub prowadzenia specjalnego postępowania może pojawić się konieczność udostępnienia zgłoszenia innym pracownikom DPDHL, np. jeżeli zgłoszenie odnosi się do incydentów w spółkach zależnych albo wymaga dodatkowej ekspertyzy. Pracownicy DPDHL mogą być zatrudnieni poza Unią Europejską albo Europejskim Obszarem Gospodarczym i mogą tam obowiązywać inne przepisy o ochronie danych osobowych. Zgłoszenie jest udostępniane po zagwarantowaniu przestrzegania przepisów o ochronie danych. Każda osoba uzyskująca dostęp do danych jest zobowiązana do zachowania poufności.
Przekazywanie zgłoszeń wymienionym pracownikom innych firm grupy ma na celu wyłącznie wykrycie działań niezgodnych z prawem albo naruszeń kodeksu postępowania DPDHL, a także innych wymienionych w nim polityk, wytycznych oraz przepisów. Przekazanie zgłoszeń jest konieczne w celu ochrony uzasadnionego interesu Deutsche Post AG oraz innych firm należących do grupy, których dotyczy zgłoszenie, tak aby mogły działać w zgodzie z prawem i wewnętrzną polityką firmy. Podstawę prawną stanowi artykuł 6 ust. 1 lit. f) RODO.
Twoje dane osobowe nie zostaną ujawnione podmiotom zewnętrznym, o ile nie wymaga tego obowiązujące prawo. Jeżeli wymaga tego obowiązujące prawo, konieczne może być ujawnienie tożsamości sygnalisty odpowiednim organom zaangażowanym w postępowanie albo wynikające z niego postępowanie sądowe.
Usługodawcy zewnętrzni, którzy przetwarzają dane w naszym imieniu, są umownie zobowiązani do zachowania ścisłej poufności, zgodnie z art. 28 RODO. Usługodawcy przestrzegają naszych instrukcji, uwzględniających środki techniczne i organizacyjne oraz podlegających testom i kontrolom.
Dane są przekazywane poza Europejski Obszar Gospodarczy (EOG), do innych firm DPDHL, usługodawców zewnętrznych albo organów publicznych wyłącznie, gdy pozwala na to obowiązujące prawo o ochronie danych. W takich przypadkach upewniamy się, że wdrożono odpowiednie zabezpieczenia potrzebne do przekazania danych sygnalisty (np. wiążące reguły korporacyjne, standardowe klauzule umowne).
Polityka ochrony prywatności DPDHL reguluje grupowe standardy przetwarzania danych osobowych.
Jakie prawa przysługują osobom, których dotyczą dane?
Zgodnie z europejskim prawem o ochronie danych osobowych, Tobie i osobom wymienionym w zgłoszeniu przysługują następujące prawa:
- Prawo dostępu do informacji: Masz prawo zażądać informacji na temat Twoich danych osobowych, które są przetwarzane.
- Prawo do sprostowania danych: Masz prawo zażądać skorygowania nieprawidłowych danych dotyczących Ciebie.
- Prawo do sprzeciwu wobec przetwarzania danych: Masz prawo do wniesienia sprzeciwu wobec przetwarzania danych.
- Prawo do wycofania zgody: Masz prawo do wycofania swojej zgody.
- Prawo do przenoszenia danych: Masz prawo do przeniesienia danych do innej firmy.
- Prawo do usunięcia danych/bycia zapomnianym: W określonych sytuacjach masz prawo zażądać usunięcia swoich danych.
- Prawo do ograniczenia przetwarzania danych: Masz prawo zażądać ograniczenia przetwarzania swoich danych.
- Prawo związane ze zautomatyzowanym podejmowaniem decyzji, w tym z profilowaniem: Masz prawo zażądać przeglądu zautomatyzowanego przetwarzania danych. W tym momencie nie ma miejsca zautomatyzowane podejmowanie decyzji.
- Prawo do złożenia skargi: Masz prawo wnieść skargę do odpowiedniego organu nadzorczego ds. ochrony danych.
Jeżeli wniesiesz sprzeciw wobec przetwarzania Twoich danych osobowych w oparciu o uzasadniony interes firmy, natychmiast ocenimy, czy taki sprzeciw jest skuteczny. Jeżeli okaże się, że tak, dane osobowe nie będą dalej przetwarzane.
Możesz kierować swoje żądania w związku z powyższymi prawami albo inne pytania na temat niniejszej informacji o ochronie prywatności na wymienione wyżej dane kontaktowe.
Zmiany w informacji o ochronie prywatności
Zastrzegamy sobie prawo do sporadycznego wprowadzania zmian w informacji o ochronie prywatności w celu dostosowania jej do zmian w usługach, w sposobie przetwarzania danych albo w obowiązujących przepisach. Dlatego zalecamy regularnie odwiedzać stronę z informacją o ochronie prywatności.
Stan: 01.10.2021
