We evalueren dit privacy beleid regelmatig. Het kan af en toe nodig zijn om wijzigingen of aanvullingen op het beleid aan te brengen die van invloed zijn op de manier waarop we met jouw gegevens omgaan. We zullen op deze pagina aangeven wanneer het privacy beleid is gewijzigd, dus controleer dit beleid regelmatig.
Dit privacy beleid is voor het laatst herzien en bijgewerkt in mei 2018.
1. INTERPRETATIE
1.1 DEFINITIES:
Geautomatiseerde Besluitvorming (ADM): wanneer een beslissing wordt genomen die uitsluitend is gebaseerd op Geautomatiseerde Verwerking (met inbegrip van profilering) die rechtsgevolgen heeft of aanzienlijke gevolgen heeft voor een individu. De GDPR verbiedt Geautomatiseerde Besluitvorming (tenzij aan bepaalde voorwaarden is voldaan), maar niet Geautomatiseerde Verwerking.
Geautomatiseerde Verwerking: elke vorm van geautomatiseerde verwerking van persoonsgegevens die bestaat uit het gebruik van persoonsgegevens om bepaalde persoonlijke aspecten met betrekking tot een persoon te evalueren, in het bijzonder om aspecten met betrekking tot iemands prestaties op het werk, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen. Profilering is een voorbeeld van Geautomatiseerde Verwerking.
Bedrijfsnaam: Sona Business B.V.
Bedrijfspersoneel: alle werknemers, werknemers, aannemers, uitzendkrachten, consultants, bestuurders, leden en anderen.
Toestemming: toestemming die vrij moet worden gegeven, specifiek en geïnformeerd moet zijn en een ondubbelzinnige indicatie moet zijn van de wensen van de betrokkene waarmee deze, door middel van een verklaring of een duidelijke positieve handeling, aangeeft in te stemmen met de Verwerking van persoonsgegevens die op hem betrekking hebben.
Gegevensbeheerder: de persoon of organisatie die bepaalt wanneer, waarom en hoe persoonsgegevens worden verwerkt. Deze is verantwoordelijk voor het vaststellen van praktijken en beleid in overeenstemming met de GDPR. Wij zijn de Gegevensverantwoordelijke voor alle persoonsgegevens met betrekking tot ons bedrijfspersoneel, toekomstige bedrijfspersoneelsleden/kandidaten en persoonsgegevens die door ons worden gebruikt bij de uitvoering van ons bedrijf voor onze eigen legitieme commerciële doeleinden.
Betrokkene: een levende, geïdentificeerde of identificeerbare persoon over wie wij persoonsgegevens bewaren. Betrokkenen kunnen staatsburgers of ingezetenen zijn van elk land en kunnen wettelijke rechten hebben met betrekking tot hun persoonsgegevens.
Data Privacy Impact Assessment (DPIA): hulpmiddelen en beoordelingen die worden gebruikt om de risico’s van een gegevensverwerkingsactiviteit te identificeren en te verminderen. DPIA kan worden uitgevoerd als onderdeel van Privacy by Design en moet worden uitgevoerd voor alle grote systeem- of bedrijfsveranderingsprogramma’s waarbij persoonsgegevens worden verwerkt.
Data Protection Officer (DPO): de persoon die onder de GDPR in specifieke omstandigheden moet worden aangesteld. Wanneer er geen verplichte DPO is aangesteld, betekent deze term een gegevensbeschermingsmanager of een andere vrijwillige aanstelling van een DPO of verwijst naar het bedrijfsprivacyteam met verantwoordelijkheid voor de naleving van de gegevensbeschermingswetgeving.
EER: de 28 landen in de EU en IJsland, Liechtenstein en Noorwegen.
Expliciete toestemming: toestemming die een zeer duidelijke en specifieke verklaring vereist (dat wil zeggen, niet alleen actie).
General Data Protection Regulation (GDPR): de Algemene Verordening Gegevensbescherming ((EU) 2016/679). Persoonsgegevens zijn onderworpen aan de wettelijke waarborgen die zijn gespecificeerd in de GDPR.
Persoonsgegevens: alle informatie die een betrokkene identificeert of informatie met betrekking tot een betrokkene die we (direct of indirect) kunnen identificeren op basis van die gegevens alleen of in combinatie met andere identificatoren die we bezitten of waartoe we redelijkerwijs toegang hebben. persoonsgegevens omvatten gevoelige persoonsgegevens en gepseudonimiseerde persoonsgegevens, maar geen anonieme gegevens of gegevens waarvan de identiteit van een individu permanent is verwijderd. persoonsgegevens kunnen feitelijk zijn (bijvoorbeeld een naam, e-mailadres, locatie of geboortedatum) of een mening over de acties of het gedrag van die persoon.
Inbreuk op persoonsgegevens: elke handeling of nalatigheid die de beveiliging, vertrouwelijkheid, integriteit of beschikbaarheid van persoonsgegevens in gevaar brengt of de fysieke, technische, administratieve of organisatorische waarborgen die wij of onze externe dienstverleners hebben ingesteld om deze te beschermen. Het verlies of onbevoegde toegang tot, openbaarmaking of verwerving van persoonsgegevens is een inbreuk op persoonsgegevens.
Privacy by Design: het op effectieve wijze implementeren van passende technische en organisatorische maatregelen om naleving van de GDPR te waarborgen.
Privacy verklaringen (ook wel Kennisgevingen Eerlijke Verwerking genoemd): afzonderlijke verklaringen met informatie die aan betrokkenen kan worden verstrekt wanneer het Bedrijf informatie over hen verzamelt. Deze kennisgevingen kunnen de vorm aannemen van algemene privacy verklaringen die van toepassing zijn op een specifieke groep personen (bijvoorbeeld privacy verklaringen voor werknemers, kandidaten of het privacy beleid voor de website) of het kunnen op zichzelf staande, eenmalige privacy verklaringen zijn die de Verwerking met betrekking tot een specifiek doel behandelen.
Verwerking of proces: elke activiteit waarbij persoonsgegevens worden gebruikt. Het omvat het verkrijgen, vastleggen of bewaren van de gegevens, of het uitvoeren van een bewerking of reeks bewerkingen op de gegevens, waaronder het organiseren, wijzigen, opvragen, gebruiken, bekendmaken, wissen of vernietigen ervan. Verwerking omvat ook het verzenden of overdragen van Persoonsgegevens aan derden.
Pseudonimiseren of pseudonimiseren (dubbel?): het vervangen van informatie die een persoon direct of indirect identificeert door een of meer kunstmatige identificatoren of pseudoniemen, zodat de persoon op wie de gegevens betrekking hebben niet kan worden geïdentificeerd zonder het gebruik van aanvullende informatie die bedoeld is om apart en veilig te worden bewaard.
Gerelateerde beleidsregels: alle beleidsregels, operationele procedures of processen van het bedrijf die gerelateerd zijn aan deze privacy standaard en ontworpen zijn om Persoonsgegevens te beschermen.
Gevoelige persoonsgegevens: informatie waaruit ras of etnische afkomst, politieke opvattingen, religieuze of soortgelijke overtuigingen, vakbondslidmaatschap, fysieke of mentale gezondheidstoestand, seksleven, seksuele geaardheid, biometrische of genetische gegevens, en persoonsgegevens met betrekking tot strafbare feiten en veroordelingen blijken.
2. INLEIDING
Deze privacyrichtlijnen zetten uiteen hoe wij omgaan met de persoonsgegevens van onze klanten, potentiële klanten, leveranciers, werknemers, potentiële werknemers, kandidaten, werknemers en andere derden.
Deze privacyrichtlijnen zijn van toepassing op alle persoonsgegevens die we verwerken, ongeacht de media waarop die gegevens zijn opgeslagen en ongeacht of ze betrekking hebben op vroegere of huidige werknemers, kandidaten, werknemers, klanten, klanten of leveranciers, aandeelhouders, websitegebruikers of andere Betrokkenen.
Deze privacy standaard is van toepassing op al ons bedrijfspersoneel. Al onze bedrijfsmedewerkers moeten deze privacyrichtlijnen lezen, begrijpen en naleven wanneer zij namens ons Persoonsgegevens verwerken en zullen training volgen over de vereisten ervan. Deze privacyrichtlijnen zetten uiteen wat wij verwachten, zodat het bedrijf voldoet aan de toepasselijke wetgeving. Naleving van deze privacyrichtlijnen is verplicht. Gerelateerde beleidsregels en privacyrichtlijnen kunnen beschikbaar zijn om te helpen bij het interpreteren van en handelen in overeenstemming met deze privacyrichtlijnen. Elke inbreuk op deze privacyrichtlijnen kan leiden tot disciplinaire maatregelen.
Deze privacy standaard kan niet worden gedeeld met derden, klanten of regelgevende instanties zonder voorafgaande toestemming van de DPO.
3. SCOPE
We erkennen dat de correcte en wettige behandeling van persoonsgegevens het vertrouwen in de organisatie in stand houdt en een succesvolle bedrijfsvoering mogelijk maakt. Het beschermen van de vertrouwelijkheid en integriteit van persoonsgegevens is een cruciale verantwoordelijkheid die we te allen tijde serieus nemen. Het bedrijf kan boetes opgelegd krijgen tot EUR 20 miljoen of 4% van de totale wereldwijde jaaromzet, afhankelijk van wat het hoogste bedrag is en afhankelijk van de overtreding, als de bepalingen van de GDPR niet worden nageleefd.
Alle CEO’s, Directeuren, Managers, Afdelingshoofden, Supervisors en Senior Medewerkers zijn er verantwoordelijk voor dat al het pedrijfspersoneel deze privacy ptandaard naleeft en moeten de juiste praktijken, processen, controles en training implementeren om deze naleving te garanderen.
De DPO is verantwoordelijk voor het toezicht op deze privacy standaard en, indien van toepassing, voor het ontwikkelen van verwant beleid en privacyrichtlijnen. Je kunt contact opnemen met de DPO via data@sonabusiness.com.
Neem contact op met de DPO als je vragen hebt over de werking van deze privacy standaard of de GDPR of als jij je zorgen maakt dat deze privacy standaard niet wordt of is nageleefd. In het bijzonder moet je altijd contact opnemen met de DPO in de volgende omstandigheden:
(a) Als je niet zeker bent van de wettelijke basis waarop wij ons beroepen om persoonsgegevens te verwerken (inclusief de legitieme belangen die het bedrijf gebruikt) (zie Sectie [5.1] hieronder);
(b) Als je van mening bent dat we ons moeten baseren op Toestemming en/of Expliciete Toestemming moeten vastleggen (zie Sectie [5.2] hieronder);
(c) Als je van mening bent dat we privacy verklaringen of Eerlijke Verwerkingsverklaringen moeten opstellen of delen (zie Sectie [5.3] hieronder);
(d) Als je niet zeker bent over de bewaarperiode voor de persoonsgegevens die worden verwerkt (zie Sectie [9] hieronder);
(e) Als je niet zeker weet welke beveiligings- of andere maatregelen nodig zijn om persoonsgegevens te beschermen (zie Sectie [10.1] hieronder);
(f) Als er een inbreuk op persoonsgegevens heeft plaatsgevonden (Sectie [10.2] hieronder);
(g) Als je niet zeker weet op welke basis wij persoonsgegevens doorgeven buiten de EER (zie Sectie [11] hieronder);
(h) Als je hulp nodig hebt bij het omgaan met je rechten of rechten die worden ingeroepen door een betrokkene (zie Sectie [12]);
(i) Als je van mening bent dat we een belangrijke nieuwe of gewijzigde Verwerkingsactiviteit uitvoeren waarvoor waarschijnlijk een DPIA nodig is (zie Sectie [13.4] hieronder) of als je van plan bent persoonsgegevens te gebruiken voor andere doeleinden dan waarvoor ze zijn verzameld;
(j) Als je van mening bent dat wij van plan zijn om activiteiten te ondernemen waarbij sprake is van Geautomatiseerde Verwerking, waaronder profilering of Geautomatiseerde besluitvorming (zie Sectie [13.5] hieronder);
(k) Als je hulp of advies nodig hebt bij het naleven van de toepasselijke wetgeving wanneer we direct marketingactiviteiten uitvoeren of als u zich zorgen maakt over direct marketingactiviteiten waarbij het bedrijf betrokken kan zijn (zie Sectie [13.6] hieronder); of
(l) Als je hulp nodig hebt bij contracten of andere gebieden met betrekking tot ons delen van persoonsgegevens met derden (inclusief verkopers) (zie Sectie [13.7] hieronder).
4. PRINCIPES VOOR DE BESCHERMING VAN PERSOONSGEGEVENS
Wij houden ons aan de principes met betrekking tot de verwerking van persoonsgegevens zoals uiteengezet in de GDPR, die vereisen dat persoonsgegevens:
(a) Rechtmatig, eerlijk en transparant worden verwerkt (Rechtmatigheid, Eerlijkheid en Transparantie).
(b) Alleen worden verzameld voor specifieke, expliciete en legitieme doeleinden (Doelbinding).
(c) Toereikend, relevant en beperkt tot wat noodzakelijk is in verband met de doeleinden waarvoor ze worden verwerkt (Gegevensminimalisatie).
(d) Accuraat zijn en waar nodig worden bijgewerkt (Nauwkeurigheid).
(e) Niet langer worden bewaard in een vorm die het mogelijk maakt de betrokkenen te identificeren dan noodzakelijk is voor de doeleinden waarvoor de gegevens worden verwerkt (Opslagbeperking).
(f) worden verwerkt op een wijze die de veiligheid ervan waarborgt door middel van passende technische en organisatorische maatregelen ter bescherming tegen ongeoorloofde of onwettige Verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (Beveiliging, Integriteit en Vertrouwelijkheid).
(g) Niet worden overgedragen naar een ander land zonder dat passende waarborgen zijn getroffen (Beperking van overdracht).
(h) Beschikbaar worden gesteld aan de betrokkenen en de betrokkenen mogen bepaalde rechten uitoefenen met betrekking tot hun Persoonsgegevens (Rechten en verzoeken van de Betrokkenen).
We zijn verantwoordelijk voor en moeten kunnen aantonen dat we voldoen aan de hierboven genoemde gegevensbeschermingsprincipes (Verantwoording).
5. RECHTMATIGHEID, BILLIJKHEID, TRANSPARANTIE
5.1 RECHTMATIGHEID EN BILLIJKHEID
persoonsgegevens moeten rechtmatig, eerlijk en op transparante wijze worden verwerkt in relatie tot de Betrokkene.
We zullen persoonsgegevens alleen eerlijk en rechtmatig verzamelen, verwerken en delen voor specifieke doeleinden. De GDPR beperkt onze handelingen met betrekking tot persoonsgegevens tot gespecificeerde rechtmatige doeleinden. Deze beperkingen zijn niet bedoeld om verwerking te voorkomen, maar zorgen ervoor dat we persoonsgegevens eerlijk en zonder nadelige gevolgen voor de Betrokkene verwerken.
De GDPR staat verwerking toe voor specifieke doeleinden, waarvan sommige hieronder worden beschreven:
(a) De betrokkene heeft zijn of haar toestemming gegeven;
(b) De verwerking is noodzakelijk voor de uitvoering van een contract met de betrokkene of met het oog op de uitvoering van een contract met de betrokkene;
(c) Om te voldoen aan onze wettelijke nalevingsverplichtingen;
(d) Om de vitale belangen van de betrokkene te beschermen;
(e) Het behartigen van onze legitieme belangen voor doeleinden waarbij deze niet terzijde worden geschoven omdat de verwerking de belangen of fundamentele rechten en vrijheden van betrokkenen schaadt. De doeleinden waarvoor wij persoonsgegevens verwerken voor gerechtvaardigde belangen worden hieronder uiteengezet. We zijn ervan overtuigd dat we legitieme belangen hebben geïdentificeerd, dat de verwerking noodzakelijk is om deze te bereiken en dat de verwerking wordt afgewogen tegen de belangen, rechten en vrijheden van het individu en zijn ervan overtuigd dat we de gegevens van een individu alleen gebruiken op manieren die zij redelijkerwijs zouden verwachten en dat er geen minder ingrijpende manier is om hetzelfde resultaat te bereiken.
(f) Om een specifieke taak in het algemeen belang uit te voeren die in de wet is vastgelegd
Wij hebben vastgesteld dat de rechtsgronden waarop wij ons baseren voor het verwerken van persoonsgegevens de volgende zijn: – Personeelsgegevens van het bedrijf
Bedrijfspersoneelsgegevens – Contract, d.w.z. we moeten persoonsgegevens verwerken om onze contractuele verplichtingen na te komen en/of het verwerken van gegevens is een legitiem belang, d.w.z. om ons bedrijf te runnen.
Gegevens van potentieel bedrijfspersoneel of kandidaten – Contract, d.w.z. we moeten persoonlijke gegevens verwerken om te beslissen of we een kandidaat aanstellen, aanbevelen of naar voren schuiven en/of het verwerken van persoonlijke gegevens is een legitiem belang, d.w.z. om ons bedrijf te runnen en het zou gunstig zijn voor het bedrijf en de kandidaat om de kandidaat in een functie aan te stellen. We kunnen ook toestemming vragen.
Klanten en Opdrachtgevers – Contract, d.w.z. we moeten persoonsgegevens verwerken om onze contractuele verplichtingen met onze klanten/opdrachtgevers na te komen en/of de verwerking van persoonsgegevens is een Legitiem belang, d.w.z. om ons bedrijf te runnen.
Leveranciers – Contract, d.w.z. we moeten persoonlijke gegevens verwerken om onze contractuele verplichtingen met leveranciers na te komen en/of het verwerken van persoonlijke gegevens is een legitiem belang, d.w.z. om ons bedrijf te runnen.
Zakelijke contacten, marketing prospects en potentiële klanten – Contract, d.w.z. we moeten persoonsgegevens verwerken om te beslissen of we een contractuele relatie aangaan met deze groep personen en/of het verwerken van persoonsgegevens is een Legitiem belang, d.w.z. om onze activiteiten uit te voeren. Marketing naar potentiële klanten en/of het verwerken van hun persoonlijke gegevens is een legitiem belang, d.w.z. om ons bedrijf te runnen en dat belang zou gunstig zijn voor het bedrijf en deze groep individuen.
5.1.1 GEVOELIGE GEGEVENS
Wij verwerken alleen gevoelige persoonsgegevens met betrekking tot bedrijfspersoneel en aankomend bedrijfspersoneel en kandidaten. Voor de verwerking van gevoelige persoonsgegevens moeten we ook voldoen aan een specifieke voorwaarde onder Artikel 9 van de GDPR. Het Bedrijf voldoet aan voorwaarde B onder Artikel 9(2), in die zin dat de verwerking noodzakelijk is voor het uitvoeren van de verplichtingen en het uitoefenen van specifieke rechten van de verwerkingsverantwoordelijke of van de betrokkene op het gebied van werkgelegenheid. We kunnen ook specifieke toestemming verkrijgen.
5.2 TOESTEMMING
Een verwerkingsverantwoordelijke mag persoonsgegevens alleen verwerken op basis van een of meer van de wettelijke grondslagen die zijn vastgelegd in de GDPR, waaronder toestemming.
Een betrokkene stemt in met de verwerking van zijn persoonsgegevens als hij duidelijk aangeeft in te stemmen met de verwerking door middel van een verklaring of een positieve handeling. Toestemming vereist bevestigende actie, dus stilte, vooraf aangevinkte vakjes of inactiviteit zijn waarschijnlijk niet voldoende. Als de toestemming wordt gegeven in een document dat over andere zaken gaat, dan moet de toestemming gescheiden worden gehouden van die andere zaken.
Betrokkenen moeten hun toestemming voor verwerking op elk moment kunnen intrekken en intrekking moet onmiddellijk worden gehonoreerd. Toestemming moet mogelijk worden vernieuwd als we van plan zijn persoonsgegevens te verwerken voor een ander en onverenigbaar doel dat niet werd bekendgemaakt toen de Betrokkene de eerste keer toestemming gaf.
Tenzij we ons kunnen beroepen op een andere rechtsgrond voor verwerking, is uitdrukkelijke toestemming mogelijk vereist voor de verwerking van gevoelige persoonsgegevens, voor geautomatiseerde besluitvorming en voor grensoverschrijdende gegevensoverdracht. Doorgaans zullen wij ons voor de Verwerking van de meeste soorten gevoelige persoonsgegevens beroepen op een andere rechtsgrond zoals hierboven uiteengezet (en geen uitdrukkelijke toestemming vereisen). Indien uitdrukkelijke toestemming vereist is, zullen we een Fair Processing Notice naar de betrokkene sturen om uitdrukkelijke toestemming vast te leggen.
We zullen de vastgelegde toestemming bewijzen en een administratie bijhouden van alle toestemmingen, zodat het Bedrijf kan aantonen dat het voldoet aan de toestemmingsvereisten.
5.3 TRANSPARANTIE (KENNISGEVING AAN BETROKKENEN)
De GDPR vereist dat de verantwoordelijken voor de verwerking gedetailleerde, specifieke informatie verstrekken aan de betrokkenen, afhankelijk van het feit of de informatie rechtstreeks bij de betrokkenen of elders is verzameld. Dergelijke informatie moet en zal worden verstrekt door middel van passende privacy mededelingen of eerlijke verwerking mededelingen die beknopt, transparant, begrijpelijk, gemakkelijk toegankelijk en in duidelijke en heldere taal moeten zijn, zodat een betrokkene ze gemakkelijk kan begrijpen.
Wanneer we persoonsgegevens rechtstreeks van betrokkenen verzamelen, inclusief voor personeels- of tewerkstellingsdoeleinden, zullen we de betrokkene voorzien van alle informatie die wordt vereist door de GDPR, inclusief de identiteit van de gegevensverantwoordelijke en DPO, en hoe en waarom we die persoonsgegevens zullen gebruiken, verwerken, openbaar maken, beschermen en bewaren door middel van een eerlijke verwerkingsmededeling die moet worden gepresenteerd wanneer de betrokkene de persoonsgegevens voor het eerst verstrekt.
Wanneer persoonsgegevens indirect worden verzameld (bijvoorbeeld van een derde partij of een openbare bron), zullen we de betrokkene zo snel mogelijk na het verzamelen/ontvangen van de gegevens voorzien van alle informatie die wordt vereist door de GDPR. We zullen ook controleren of de persoonsgegevens zijn verzameld door de derde partij in overeenstemming met de GDPR en op een basis die onze voorgestelde verwerking van die persoonsgegevens overweegt.
6. DOELBINDING
Persoonsgegevens mogen alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld. Ze mogen niet verder worden verwerkt op een manier die onverenigbaar is met die doeleinden.
We zullen persoonsgegevens niet gebruiken voor nieuwe, andere of onverenigbare doeleinden dan de doeleinden die werden bekendgemaakt toen de gegevens voor het eerst werden verkregen, tenzij we de betrokkene hebben geïnformeerd over de nieuwe doeleinden en hij of zij indien nodig toestemming heeft gegeven.
7. DATAMINIMALISATIE
Persoonsgegevens moeten adequaat, relevant en beperkt zijn tot wat noodzakelijk is in relatie tot de doeleinden waarvoor ze worden verwerkt.
Wij zullen alleen persoonsgegevens verwerken wanneer het uitvoeren van onze taken dit vereist. Wij mogen geen persoonsgegevens verwerken om redenen die geen verband houden met onze functie.
Wij zullen alleen persoonsgegevens verzamelen die wij nodig hebben voor onze taken en zullen geen overmatige hoeveelheden gegevens verzamelen. We zullen ervoor zorgen dat alle verzamelde persoonsgegevens adequaat en relevant zijn voor de beoogde doeleinden.
We zullen ervoor zorgen dat persoonsgegevens worden verwijderd of geanonimiseerd wanneer deze niet langer nodig zijn voor specifieke doeleinden.
8. JUISTHEID
Persoonsgegevens moeten nauwkeurig zijn en, waar nodig, worden bijgewerkt. Wanneer ze onjuist zijn, moeten ze onmiddellijk worden gecorrigeerd of verwijderd.
Wij zorgen ervoor dat de persoonsgegevens die wij gebruiken en bewaren, nauwkeurig, volledig en actueel zijn en relevant zijn voor het doel waarvoor wij ze hebben verzameld. Wij zullen de nauwkeurigheid van persoonsgegevens controleren op het moment dat deze worden verzameld en daarna met regelmatige tussenpozen. Wij zullen alle redelijke stappen ondernemen om onjuiste of verouderde persoonsgegevens te vernietigen of aan te passen.
9. BEPERKING VAN OPSLAG
Persoonsgegevens mogen niet langer in identificeerbare vorm worden bewaard dan noodzakelijk is voor de doeleinden waarvoor de gegevens worden verwerkt.
Wij zullen persoonsgegevens in een vorm die het mogelijk maakt de betrokkene te identificeren niet langer bewaren dan nodig is voor het legitieme zakelijke doel of de legitieme zakelijke doelen waarvoor wij de gegevens oorspronkelijk hebben verzameld, inclusief het voldoen aan wettelijke, boekhoudkundige of rapportagevereisten.
Het bedrijf zal een bewaarbeleid en -procedures hanteren om ervoor te zorgen dat [ersoonsgegevens worden verwijderd na een redelijke termijn voor de doeleinden waarvoor ze werden bewaard, tenzij een wet vereist dat dergelijke gegevens gedurende een minimumperiode worden bewaard.
We zullen alle redelijke stappen ondernemen om alle [ersoonsgegevens die we niet langer nodig hebben te vernietigen of uit onze systemen te verwijderen in overeenstemming met alle toepasselijke bewaarschema’s en beleidsregels van het bedrijf. Dit houdt ook in dat we, indien van toepassing, van derden eisen dat zij dergelijke gegevens verwijderen.
We zullen ervoor zorgen dat betrokkenen worden geïnformeerd over de periode waarin gegevens worden opgeslagen en hoe die periode wordt bepaald in een toepasselijke privacyverklaring of Fair Processing Notice.
10. BEVEILIGING, INTEGRITEIT EN VERTROUWELIJKHEID
10.1 BESCHERMING VAN PERSOONSGEGEVENS
Persoonsgegevens moeten door passende technische en organisatorische maatregelen worden beveiligd tegen ongeautoriseerde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.
We zullen waarborgen ontwikkelen, implementeren en onderhouden die geschikt zijn voor onze omvang, reikwijdte en activiteiten, onze beschikbare middelen, de hoeveelheid Persoonsgegevens die we bezitten of namens anderen bewaren en geïdentificeerde risico’s (inclusief het gebruik van versleuteling en pseudonimisering waar van toepassing). We zullen de effectiviteit van deze waarborgen regelmatig evalueren en testen om de veiligheid van onze verwerking van persoonsgegevens te waarborgen. Wij zijn verantwoordelijk voor de bescherming van de persoonsgegevens die wij bewaren. Wij zullen redelijke en passende beveiligingsmaatregelen treffen tegen onwettige of ongeautoriseerde verwerking van persoonsgegevens en tegen onopzettelijk verlies van of schade aan persoonsgegevens. We zullen bijzondere zorg besteden aan het beschermen van gevoelige persoonsgegevens tegen verlies en ongeautoriseerde toegang, gebruik of openbaarmaking.
Wij zullen beleidsregels opstellen om de beveiliging van alle persoonsgegevens te handhaven vanaf het punt van verzameling tot het punt van vernietiging. Wij zullen persoonsgegevens alleen overdragen aan externe dienstverleners die ermee instemmen zich te houden aan de vereiste beleidsregels en procedures en die ermee instemmen adequate maatregelen te treffen, zoals gevraagd.
We handhaven de gegevensbeveiliging door de vertrouwelijkheid, integriteit en beschikbaarheid van de persoonsgegevens, als volgt gedefinieerd, te beschermen:
(a) Vertrouwelijkheid betekent dat alleen personen die de persoonsgegevens moeten kennen en bevoegd zijn om ze te gebruiken, er toegang toe hebben.
(b) Integriteit betekent dat persoonsgegevens nauwkeurig zijn en geschikt zijn voor het doel waarvoor ze worden verwerkt.
(c) Beschikbaarheid betekent dat geautoriseerde gebruikers toegang hebben tot de persoonsgegevens wanneer zij deze nodig hebben voor geautoriseerde doeleinden.
We zullen een informatietechnologiebeleid handhaven en naleven en niet proberen de administratieve, fysieke en technische waarborgen te omzeilen die we implementeren en handhaven in overeenstemming met de GDPR en relevante normen om persoonsgegevens te beschermen.
10.2 MELDING VAN EEN INBREUK IN VERBAND MET PERSOONSGEGEVENS
De GDPR vereist dat Data Controllers een inbreuk in verband met persoonsgegevens melden aan de toepasselijke toezichthouder en, in bepaalde gevallen, aan de betrokkene.
Wij hebben de volgende procedure ingesteld om vermoedelijke inbreuken op persoonsgegevens te behandelen en zullen de betrokkenen of een toepasselijke toezichthouder op de hoogte stellen als wij daartoe wettelijk verplicht zijn.
Als je weet of vermoedt dat er een Schending in verband met persoonsgegevens heeft plaatsgevonden, probeer de zaak dan niet zelf te onderzoeken. Neem onmiddellijk contact op met de persoon of het team dat is aangewezen als het belangrijkste contactpunt voor inbreuken op persoonsgegevens, namelijk de DPO. Bewaar al het bewijsmateriaal met betrekking tot de mogelijke schending van persoonsgegevens.
11. BEPERKING VAN DOORGIFTE
De GDPR beperkt de overdracht van gegevens naar landen buiten de EER om ervoor te zorgen dat het niveau van gegevensbescherming dat door de GDPR aan individuen wordt geboden, niet wordt ondermijnd. Je draagt persoonsgegevens die afkomstig zijn uit één land over de grens over wanneer je deze gegevens verzendt, verstuurt, bekijkt of opent in of naar een ander land.
Je mag persoonsgegevens alleen buiten de EER doorgeven als een van de volgende voorwaarden van toepassing is:
(a) De Europese Commissie heeft een besluit uitgevaardigd waarin wordt bevestigd dat het land waarnaar we de persoonsgegevens overdragen een passend beschermingsniveau biedt voor de rechten en vrijheden van de Betrokkenen;
(b) Er zijn passende waarborgen van kracht, zoals bindende bedrijfsregels (BCR), standaard contractuele clausules goedgekeurd door de Europese Commissie, een goedgekeurde gedragscode of een certificeringsmechanisme, waarvan een kopie kan worden verkregen bij de DPO;
(c) de betrokkene uitdrukkelijk heeft ingestemd met de voorgestelde doorgifte na te zijn geïnformeerd over mogelijke risico’s; of
(d) De doorgifte is noodzakelijk om een van de andere redenen die in de GDPR worden genoemd, waaronder de uitvoering van een contract tussen ons en de betrokkene, redenen van algemeen belang, om rechtsvorderingen in te stellen, uit te oefenen of te verdedigen of om de vitale belangen van de betrokkene te beschermen wanneer de betrokkene fysiek of juridisch niet in staat is om toestemming te geven en, in sommige beperkte gevallen, voor ons legitieme belang.
12. RECHTEN EN VERZOEKEN VAN DE BETROKKENE
Betrokkenen hebben rechten met betrekking tot de manier waarop wij met hun persoonsgegevens omgaan. Deze omvatten rechten om:
(a) Toestemming voor verwerking te allen tijde in te trekken;
(b) Bepaalde informatie te ontvangen over de Verwerkingsactiviteiten van de gegevensverwerker;
(c) Toegang te vragen tot de persoonsgegevens die wij bewaren;
(d) Ons gebruik van hun persoonsgegevens voor direct marketing doeleinden voorkomen;
(e) Ons te vragen persoonsgegevens te wissen als deze niet langer nodig zijn in verband met de doeleinden waarvoor ze zijn verzameld of verwerkt of om onjuiste gegevens te rectificeren of onvolledige gegevens aan te vullen;
(f) de Verwerking in specifieke omstandigheden beperken;
(g) Verwerkingen aan te vechten die gerechtvaardigd zijn op basis van onze legitieme belangen of in het algemeen belang;
(h) Een kopie van een overeenkomst opvragen op grond waarvan persoonsgegevens buiten de EER worden overgedragen;
(i) Bezwaar maken tegen beslissingen die uitsluitend gebaseerd zijn op geautomatiseerde verwerking, waaronder profilering (ADM);
(j) Verwerkingen te voorkomen die de betrokkene of iemand anders waarschijnlijk schade of leed berokkenen;
(k) In kennis worden gesteld van een inbreuk in verband met persoonsgegevens die waarschijnlijk zal resulteren in een hoog risico voor hun rechten en vrijheden;
(l) een klacht in te dienen bij de toezichthoudende autoriteit; en
(m) In beperkte omstandigheden hun persoonsgegevens in een gestructureerd, algemeen gebruikt en machineleesbaar formaat ontvangen of vragen om deze over te dragen aan een derde.
We zullen de identiteit verifiëren van een persoon die gegevens opvraagt onder een van de bovenstaande rechten. We zullen niet toestaan dat derden ons overhalen om persoonsgegevens vrij te geven zonder de juiste toestemming.
We zullen elk verzoek van een betrokkene dat we ontvangen onmiddellijk doorsturen naar de DPO en voldoen aan de reactieprocedure van het bedrijf voor de betrokkene.
13. VERANTWOORDING
13.1 De verantwoordelijke voor de verwerking van persoonsgegevens zal op effectieve wijze passende technische en organisatorische maatregelen treffen om naleving van de beginselen voor gegevensbescherming te waarborgen. De gegevensverwerker is verantwoordelijk voor, en moet kunnen aantonen dat, naleving van de gegevensbeschermingsbeginselen.
Het bedrijf moet over adequate middelen en controles beschikken om naleving van de GDPR te garanderen en te documenteren, waaronder:
(a) Het aanstellen van een voldoende gekwalificeerde DPO en een leidinggevende die verantwoordelijk is voor gegevens privacy;
(b) Het implementeren van Privacy by Design bij de verwerking van persoonsgegevens en het voltooien van DPIA’s wanneer de Verwerking een hoog risico inhoudt voor de rechten en vrijheden van Data Subjects;
(c) Gegevensbescherming integreren in interne documenten, waaronder deze privacy standaard, gerelateerde beleidsregels, privacy mededelingen of Mededelingen Eerlijke Verwerking;
(d) Het regelmatig trainen van bedrijfspersoneel op het gebied van de GDPR, deze privacyrichtlijnen, verwante beleidsregels en gegevensbeschermingskwesties, waaronder bijvoorbeeld rechten van de betrokkene, toestemming, rechtsgrondslag, DPIA en inbreuken op persoonsgegevens. Het bedrijf moet bijhouden welke trainingen door bedrijfspersoneel zijn gevolgd; en
(e) Het regelmatig testen van de geïmplementeerde privacy maatregelen en het uitvoeren van periodieke controles en audits om de naleving te beoordelen, inclusief het gebruik van testresultaten om de inspanningen voor verbetering van de naleving aan te tonen.
13.2 BIJHOUDEN VAN GEGEVENS
De GDPR vereist dat we een volledige en nauwkeurige administratie bijhouden van al onze activiteiten op het gebied van gegevensverwerking.
We zullen een nauwkeurige bedrijfsadministratie bijhouden en bijhouden die onze verwerking weergeeft, inclusief registratie van toestemmingen van betrokkenen en procedures voor het verkrijgen van toestemmingen. Deze bestanden bevatten minimaal de naam en contactgegevens van de verwerkingsverantwoordelijke en de functionaris voor gegevensbescherming, duidelijke beschrijvingen van de soorten persoonsgegevens, de soorten betrokkenen, de verwerkingsactiviteiten, de verwerkingsdoeleinden, de ontvangers van de persoonsgegevens door derden, de opslaglocaties van de persoonsgegevens, de doorgifte van persoonsgegevens, de bewaartermijn van de persoonsgegevens en een beschrijving van de getroffen beveiligingsmaatregelen. Om deze gegevens te kunnen vastleggen, worden gegevenskaarten gemaakt die de hierboven vermelde details moeten bevatten, samen met passende gegevensstromen.
13.3 TRAINING EN AUDIT
We zijn verplicht om ervoor te zorgen dat al het bedrijfspersoneel de juiste training heeft gevolgd om hen in staat te stellen de wetgeving inzake gegevens privacy na te leven. We moeten ook regelmatig onze systemen en processen testen om naleving te beoordelen.
Bedrijfspersoneel volgt alle verplichte trainingen op het gebied van gegevens privacy.
Al het bedrijfspersoneel zal regelmatig alle systemen en processen onder hun beheer beoordelen om te garanderen dat ze voldoen aan deze privacy standaard en controleren of er adequate bestuur controles en middelen aanwezig zijn om het juiste gebruik en de bescherming van Persoonsgegevens te garanderen.
13.4 PRIVACY BY DESIGN EN GEGEVENSBESCHERMINGSEFFECTBEOORDELING (DPIA)
We zijn verplicht om Privacy by Design-maatregelen te implementeren bij het verwerken van persoonsgegevens door op een effectieve manier passende technische en organisatorische maatregelen te nemen (zoals pseudonimisering) om naleving van de gegevens privacy beginselen te waarborgen.
We zullen beoordelen welke Privacy by Design-maatregelen kunnen worden geïmplementeerd op alle programma’s/systemen/processen die persoonsgegevens verwerken door rekening te houden met het volgende:
(a) De stand van de techniek;
(b) de kosten van implementatie
(c) de aard, omvang, context en doeleinden van de verwerking; en
(d) de risico’s van verschillende waarschijnlijkheid en ernst voor de rechten en vrijheden van betrokkenen die de verwerking met zich meebrengt.
Verwerkingsverantwoordelijken moeten ook DPIA’s uitvoeren voor verwerkingen met een hoog risico.
We zullen altijd een DPIA uitvoeren (en de bevindingen bespreken met de DPO) bij het implementeren van grote systeem- of bedrijfswijzigingsprogramma’s waarbij persoonsgegevens worden Verwerkt, inclusief:
(e) Gebruik van nieuwe technologieën (programma’s, systemen of processen) of veranderende technologieën (programma’s, systemen of processen);
(f) Geautomatiseerde verwerking met inbegrip van profilering en ADM;
(g) grootschalige verwerking van gevoelige gegevens; en
(h) Grootschalige, systematische monitoring van een openbaar toegankelijk gebied.
Een DPIA moet het volgende bevatten:
(i) Een beschrijving van de Verwerking, de doeleinden ervan en de legitieme belangen van de Verwerkingsverantwoordelijke, indien van toepassing;
(j) Een beoordeling van de noodzaak en evenredigheid van de Verwerking in verhouding tot het doel ervan;
(k) Een beoordeling van het risico voor personen; en
(l) de getroffen risicobeperkende maatregelen en het bewijs van naleving.
13.5 GEAUTOMATISEERDE VERWERKING (INCLUSIEF PROFILERING) EN GEAUTOMATISEERDE BESLUITVORMING
In het algemeen is ADM verboden wanneer een besluit een juridisch of soortgelijk belangrijk effect heeft op een persoon, tenzij:
(a) Een betrokkene uitdrukkelijk heeft toegestemd;
(b) de verwerking wettelijk is toegestaan; of
(c) De verwerking noodzakelijk is voor de uitvoering of het aangaan van een overeenkomst.
Als bepaalde soorten gevoeligegegevens worden verwerkt, dan zijn de gronden (b) of (c) niet toegestaan, maar dergelijke gevoelige gegevens kunnen wel wordenverwerkt wanneer dit noodzakelijk is (tenzij minder ingrijpende middelen kunnen worden gebruikt) voor een zwaarwegend algemeen belang, zoals fraudepreventie.
Als een beslissing uitsluitend gebaseerd wordt op geautomatiseerde verwerking (inclusief profilering), dan zullen betrokkenen geïnformeerd worden over hun recht om bezwaar te maken wanneer we voor het eerst met hen communiceren. Dit recht zal expliciet onder hun aandacht worden gebracht en duidelijk en gescheiden van andere informatie worden gepresenteerd. Verder moeten er passende maatregelen worden genomen om de rechten en vrijheden en legitieme belangen van de betrokkene te beschermen.
We zullen de betrokkene ook informeren over de logica achter de besluitvorming of profilering, het belang en de beoogde gevolgen en de betrokkene het recht geven om menselijke tussenkomst te vragen, zijn standpunt kenbaar te maken of de beslissing aan te vechten.
Een DPIA moet worden uitgevoerd voordat enige geautomatiseerde verwerking (inclusief profilering) of ADM-activiteiten worden ondernomen.
13.6 DIRECT MARKETING
We zijn onderworpen aan bepaalde regels en privacywetten wanneer we onze klanten marketing aanbieden.
Voor elektronische direct marketing (bijvoorbeeld via e-mail, sms of geautomatiseerde oproepen) kan bijvoorbeeld voorafgaande toestemming van de betrokkene vereist zijn. De beperkte uitzondering voor bestaande klanten en contactpersonen die bekend staat als “soft opt-in” staat organisaties toe om marketingteksten of e-mails te sturen als ze hun contactgegevens hebben verkregen in het kader van zakelijke transacties met die persoon, ze vergelijkbare producten of diensten op de markt brengen en ze de persoon de mogelijkheid hebben gegeven om zich af te melden voor marketing wanneer ze de gegevens voor het eerst verzamelden en in elk volgend bericht.
Het recht om bezwaar te maken tegen direct marketing zal expliciet worden aangeboden aan de betrokkene op een begrijpelijke manier, zodat het duidelijk te onderscheiden is van andere informatie.
Het bezwaar van de betrokkene tegen direct marketing zal onmiddellijk worden gehonoreerd. Als een klant zich op enig moment afmeldt, worden zijn gegevens zo snel mogelijk onderdrukt. Onderdrukking houdt in dat net genoeg informatie wordt bewaard om ervoor te zorgen dat marketingvoorkeuren in de toekomst worden gerespecteerd.
13.7 DELEN VAN PERSOONLIJKE GEGEVENS
In het algemeen is het ons niet toegestaan persoonsgegevens te delen met derden, tenzij er bepaalde waarborgen en contractuele regelingen zijn getroffen.
Wij zullen de persoonsgegevens die wij bewaren alleen delen met een andere werknemer, agent of vertegenwoordiger van onze groep (waartoe onze dochterondernemingen en onze uiteindelijke houdstermaatschappij samen met haar dochterondernemingen behoren) als de ontvanger een werk gerelateerde noodzaak heeft om de informatie te kennen en de overdracht voldoet aan alle toepasselijke beperkingen voor grensoverschrijdende overdracht.
We delen de persoonsgegevens die we bewaren alleen met derden, zoals onze dienstverleners, als:
(b) Het delen van de persoonsgegevens is in overeenstemming met de privacy kennisgeving die aan de betrokkene is verstrekt en, indien vereist, is de toestemming van de betrokkene verkregen;
(c) De derde partij heeft ermee ingestemd te voldoen aan de vereiste gegevensbeveiligingsnormen, beleidslijnen en procedures en heeft adequate beveiligingsmaatregelen getroffen;
(d) De doorgifte voldoet aan alle toepasselijke beperkingen voor grensoverschrijdende doorgifte; en
(e) Er is een volledig uitgevoerd schriftelijk contract verkregen dat door de GDPR goedgekeurde clausules voor derden bevat.
14. WIJZIGINGEN IN DEZE PRIVACYSTANDAARD
We behouden ons het recht voor om deze privacy standaard te allen tijde zonder voorafgaande kennisgeving te wijzigen.
Deze privacy standaard heeft geen voorrang op toepasselijke nationale wet- en regelgeving inzake gegevens privacy in landen waar het bedrijf actief is.