11.95 € levering
Makers van eersteklas handschoenen

Voorwoord

Ons Corporate Data Protection Policy stelt strikte eisen aan de verwerking van persoonsgegevens van klanten, prospects, zakenpartners en werknemers. Het voldoet aan de vereisten van de Europese richtlijn gegevensbescherming (AVG) en zorgt voor naleving van de principes van nationale en internationale gegevensbeschermingswetten.

Het beleid bepaalt de toepasselijke gegevensbeschermings- en beveiligingsnormen voor ons bedrijf en regelt het delen van informatie tussen onze groepsmaatschappijen. We hebben zeven principes voor gegevensbescherming opgesteld, waaronder transparantie, gegevenseconomie en gegevensbeveiliging, als onze richtlijn.

Onze managers en medewerkers zijn verplicht zich aan het Beleid te houden en hun lokale gegevensbeschermingswetten na te leven.

Als verantwoordelijke voor bedrijfsgegevensbescherming is het mijn plicht om ervoor te zorgen dat de regels en principes van gegevensbescherming bij Dents worden gevolgd.

 

Robert Yentob

Voorzitter

 

23/5/18

 

Inhoud

I. Doel van het gegevensbeschermingsbeleid

II. Reikwijdte van het gegevensbeschermingsbeleid

III. Toepassing van nationale wetten

IV. Principes voor de verwerking van persoonsgegevens

1. Eerlijkheid en rechtmatigheid

2. Beperking tot een specifiek doel

3. Transparantie

4. Datareductie en data-economie

5. Verwijdering

6. Feitelijke nauwkeurigheid; actuele gegevens

7. Vertrouwelijkheid en gegevensbeveiliging

V. Betrouwbaarheid van gegevensverwerking

1. Klant- en partnergegevens

1.1 Gegevensverwerking voor een contractuele relatie

1.2 Gegevensverwerking voor reclamedoeleinden

1.3 Toestemming voor gegevensverwerking

1.4 Gegevensverwerking op grond van wettelijke toestemming

1.5 Gegevensverwerking op grond van gerechtvaardigd belang

1.6 Verwerking van zeer gevoelige gegevens

1.7 Geautomatiseerde individuele beslissingen

1.8 Gebruikersgegevens en internet

2. Werknemersgegevens

2.1 Gegevensverwerking voor de arbeidsrelatie

2.2 Gegevensverwerking op grond van wettelijke toestemming

2.3 Toestemming voor gegevensverwerking

2.4Gegevensverwerking op grond van gerechtvaardigd belang

2.5 Verwerking van zeer gevoelige gegevens

2.6 Geautomatiseerde beslissingen

2.7 Telecommunicatie en internet

VI. Doorgifte van persoonsgegevens

VII. Contractgegevensverwerking

VIII. Rechten van de betrokkene

IX. Vertrouwelijkheid van verwerking

X. Verwerkingsbeveiliging

XI. Controle van gegevensbescherming

XII. Gegevensbeschermingsincidenten    

XIII. Verantwoordelijkheden en sancties                                     

 

  1. L.                    Doel van het gegevensbeschermingsbeleid

Als onderdeel van haar maatschappelijke verantwoordelijkheid zet de Dewhurst Dent Group (de Groep) zich in voor naleving van de wetgeving inzake gegevensbescherming. Dit gegevensbeschermingsbeleid is wereldwijd van toepassing op de Groep en is gebaseerd op wereldwijd aanvaarde basisprincipes inzake gegevensbescherming. Het waarborgen van gegevensbescherming is de basis van betrouwbare zakelijke relaties en de reputatie van alle bedrijven in de Groep als aantrekkelijke werkgever.

Het gegevensbeschermingsbeleid biedt een van de noodzakelijke randvoorwaarden voor grensoverschrijdende

gegevensoverdracht tussen de groepsmaatschappijen. Het zorgt voor een passend niveau van gegevensbescherming

voorgeschreven door de AVG en de nationale wetten voor grensoverschrijdende gegevensoverdracht, ook in landen die nog geen adequate gegevensbeschermingswetten hebben.

 

  1. II.                   Reikwijdte van het gegevensbeschermingsbeleid

Dit gegevensbeschermingsbeleid is van toepassing op alle bedrijven en divisies van de Groep, d.w.z. Dents, Gaby, Dents Australia Pty, Corgi Hosiery Ltd, D.Charles Astle (Auctioneers) en  Hersil Fabrics.

 

Het gegevensbeschermingsbeleid strekt zich uit tot alle verwerkingen van persoonsgegevens

 

  1. III.               Toepassing van nationale wetten

Dit gegevensbeschermingsbeleid omvat de internationaal aanvaarde gegevensprivacyprincipes

zonder de bestaande nationale wetten te vervangen. Het is een aanvulling op de nationale wetgeving inzake gegevensprivacy. De

relevante nationale wetgeving prevaleert in het geval dat deze in strijd is met deze gegevensbescherming

Beleid, of het heeft strengere vereisten dan dit Beleid. De inhoud van dit gegevensbeschermingsbeleid

moet ook in acht worden genomen als er geen overeenkomstige nationale wetgeving bestaat. de rapportage

vereisten voor gegevensverwerking volgens de nationale wetgeving moeten worden nageleefd.

 

Elk bedrijf van de Groep is verantwoordelijk voor de naleving van dit gegevensbeschermingsbeleid en de wettelijke verplichtingen. Alle werknemers moeten dit beleid en alle gerelateerde beleidslijnen lezen, begrijpen en naleven bij het verwerken van persoonsgegevens en elke inbreuk kan leiden tot disciplinaire maatregelen.

 

  1. IV.              Principes voor de verwerking van persoonsgegevens

1. Eerlijkheid en rechtmatigheid

Bij de verwerking van persoonsgegevens moeten de individuele rechten van de betrokkenen worden beschermd.

Persoonsgegevens moeten op een rechtmatige en eerlijke manier worden verzameld en verwerkt. De wetgeving inzake gegevensbescherming staat verwerking voor specifieke doeleinden toe, die in dit beleid worden uiteengezet. Betrokkenen zullen op de hoogte worden gesteld van de doeleinden voor de verwerking van hun persoonlijke gegevens, die te vinden zijn in de privacyverklaring voor werknemers van het bedrijf.

 

2. Beperking tot een specifiek, expliciet en legitiem doel

Persoonsgegevens kunnen alleen worden verwerkt voor gespecificeerde, expliciete en legitieme doeleinden en zullen op geen enkele manier worden verwerkt die onverenigbaar is met die doeleinden. Wijzigingen in het doel achteraf zijn slechts in beperkte mate mogelijk en behoeven onderbouwing.


3. Transparantie

De betrokkene moet worden geïnformeerd over de manier waarop met zijn gegevens wordt omgegaan. [Werknemers krijgen een privacyverklaring waarin ze worden geïnformeerd over de manier waarop hun gegevens worden verwerkt.]  De informatie is beknopt, transparant, gemakkelijk toegankelijk en in duidelijke en duidelijke taal. 

 

Over het algemeen worden persoonsgegevens rechtstreeks van de betrokkene verzameld. Wanneer de gegevens worden verzameld, moet de betrokkene op de hoogte zijn van, of geïnformeerd worden over:

» De identiteit van de gegevensbeheerder

» Het doel van de gegevensverwerking

» Derden of categorieën van derden aan wie de gegevens kunnen worden doorgegeven

 

Persoonlijke gegevens kunnen ook indirect worden verzameld (bijvoorbeeld van een derde partij of openbaar beschikbare bronnen). De betrokkene wordt zo spoedig mogelijk na het verzamelen/ontvangen van de gegevens op de hoogte gebracht van bovenstaande informatie.

 

4. Datareductie en data-economie

Persoonsgegevens moeten adequaat, ter zake dienend en beperkt zijn tot wat nodig is in verband met de doeleinden waarvoor ze worden verwerkt. Voordat u persoonsgegevens verwerkt, moet u bepalen of en in hoeverre de verwerking van persoonsgegevens noodzakelijk is om het doel te bereiken waarvoor deze wordt uitgevoerd.

Waar het doel het toelaat en de kosten in verhouding staan tot het nagestreefde doel, moeten geanonimiseerde of statistische gegevens worden gebruikt. Persoonlijke gegevens mogen niet vooraf worden verzameld en opgeslagen voor mogelijke toekomstige doeleinden, tenzij vereist of toegestaan door de nationale wetgeving.

 

5. Verwijdering

Wanneer persoonlijke gegevens niet langer nodig zijn, worden deze verwijderd in overeenstemming met de richtlijnen en het beleid voor het bewaren van gegevens van het bedrijf. Betrokkenen worden geïnformeerd over de periode waarvoor gegevens worden opgeslagen en hoe die periode wordt bepaald in het privacybeleid. 

 Derden moeten worden verplicht om gegevens die niet langer nodig zijn, indien van toepassing, te verwijderen.

 

6. Feitelijke nauwkeurigheid; actuele gegevens

Persoonsgegevens in het dossier moeten nauwkeurig zijn en – indien nodig – worden bijgewerkt. Er moeten passende maatregelen worden genomen om ervoor te zorgen dat onjuiste of onvolledige gegevens worden verwijderd, gecorrigeerd, aangevuld of bijgewerkt.

 

7. Vertrouwelijkheid en gegevensbeveiliging

Persoonlijke gegevens zijn onderworpen aan vertrouwelijkheid. Het moet op persoonlijk niveau als vertrouwelijk worden behandeld en beveiligd met passende organisatorische en technische maatregelen om ongeoorloofde toegang, illegale verwerking of verspreiding, evenals onopzettelijk verlies, beschadiging, wijziging of vernietiging te voorkomen. We hebben veiligheidsmaatregelen getroffen die passen bij onze omvang, reikwijdte, middelen en geïdentificeerde risico's die regelmatig zullen worden geëvalueerd en getest. We hebben procedures ingevoerd om elke vermoedelijke inbreuk op persoonsgegevens aan te pakken en zullen de betrokkenen of een toepasselijke regelgevende instantie op de hoogte stellen waar we wettelijk verplicht zijn dit te doen. 

 

Persoonlijke gegevens worden alleen overgedragen aan externe serviceproviders die ermee instemmen ons vereiste beleid en onze procedures na te leven en die ermee instemmen om passende maatregelen te nemen om de gegevensbeveiliging te handhaven. Persoonlijke gegevens zullen niet worden overgedragen naar een ander land zonder dat er passende waarborgen zijn getroffen.

 

  1. IN.                Betrouwbaarheid van gegevensverwerking

Het verzamelen, verwerken en gebruiken van persoonsgegevens is alleen toegestaan onder de volgende rechtsgronden.

Een van deze rechtsgrondslagen is ook vereist als het doel van het verzamelen, verwerken en gebruiken van de persoonsgegevens moet worden gewijzigd van het oorspronkelijke doel

 

     1.       Klant- en partnergegevens

1.1 Gegevensverwerking voor een contractuele relatie

Persoonsgegevens van de betreffende prospects, klanten en partners kunnen worden verwerkt om een overeenkomst tot stand te brengen, uit te voeren en te beëindigen. Dit omvat ook adviesdiensten voor de partner onder het contract als dit verband houdt met het contractuele doel. Voorafgaand aan een contract - tijdens de contractinitiatiefase - kunnen persoonsgegevens worden verwerkt om biedingen of inkooporders op te stellen of om te voldoen aan andere verzoeken van de prospect die betrekking hebben op het sluiten van een contract. Prospects kunnen tijdens de contractvoorbereiding worden gecontacteerd met behulp van de door hen verstrekte gegevens. Alle beperkingen die door de prospects worden gevraagd, moeten worden nageleefd.

 

1.2 Gegevensverwerking voor reclamedoeleinden

Als de betrokkene contact opneemt met een groepsmaatschappij om informatie op te vragen (bijvoorbeeld verzoek om informatiemateriaal over een product te ontvangen), is gegevensverwerking om aan dit verzoek te voldoen toegestaan.

Maatregelen voor klantenbinding of reclame zijn onderworpen aan verdere wettelijke vereisten. Persoonsgegevens kunnen worden verwerkt voor reclamedoeleinden of markt- en opinieonderzoek, mits dit in overeenstemming is met het doel waarvoor de gegevens oorspronkelijk zijn verzameld. De betrokkene moet worden geïnformeerd over het gebruik van zijn gegevens voor reclamedoeleinden. Als gegevens alleen voor reclamedoeleinden worden verzameld, is de openbaarmaking door de betrokkene vrijwillig. De betrokkene wordt geïnformeerd dat het verstrekken van gegevens voor dit doel vrijwillig is. Bij communicatie met de betrokkene wordt toestemming van hem/haar gevraagd om de gegevens voor reclamedoeleinden te verwerken. Bij het geven van toestemming moet de betrokkene een keuze kunnen krijgen uit beschikbare contactvormen zoals gewone post, e-mail en telefoon (Toestemming, zie V.1.3). Als de betrokkene het gebruik van zijn gegevens voor reclamedoeleinden weigert, kunnen deze niet meer voor deze doeleinden worden gebruikt en moet het gebruik voor deze doeleinden worden geblokkeerd. Alle andere beperkingen van specifieke landen met betrekking tot het gebruik van gegevens voor reclamedoeleinden moeten in acht worden genomen.

 

1.3 Toestemming voor gegevensverwerking

Gegevens kunnen worden verwerkt na toestemming van de betrokkene. Alvorens toestemming te geven, moet de betrokkene worden geïnformeerd overeenkomstig IV.3. van dit gegevensbeschermingsbeleid. De toestemmingsverklaring moet schriftelijk of elektronisch worden verkregen voor documentatiedoeleinden. In sommige gevallen, zoals bij telefoongesprekken, kan mondeling toestemming worden gegeven. Het verlenen van toestemming moet worden gedocumenteerd.

 

1.4 Gegevensverwerking op grond van wettelijke toestemming

De verwerking van persoonsgegevens is ook toegestaan als de nationale wetgeving dit vraagt, vereist of toestaat. Het type en de omvang van de gegevensverwerking moet noodzakelijk zijn voor de wettelijk toegestane gegevensverwerkingsactiviteit en moet voldoen aan de relevante wettelijke bepalingen.

 

1.5 Gegevensverwerking op grond van gerechtvaardigd belang

Persoonsgegevens kunnen ook worden verwerkt indien dit noodzakelijk is voor een gerechtvaardigd belang van de Groep. Gerechtvaardigde belangen zijn over het algemeen van juridische (bijvoorbeeld inning van openstaande vorderingen) of commerciële aard (bijvoorbeeld het voorkomen van contractbreuk). Persoonsgegevens mogen niet worden verwerkt met het oog op een gerechtvaardigd belang als er in individuele gevallen aanwijzingen zijn dat de belangen van de betrokkene bescherming verdienen en dat dit voorrang heeft. Voordat gegevens worden verwerkt, moet worden vastgesteld of er belangen zijn die bescherming verdienen.

 

1.6 Verwerking van zeer gevoelige gegevens

Zeer gevoelige persoonsgegevens mogen alleen worden verwerkt als de wet dit vereist of de betrokkene uitdrukkelijke toestemming heeft gegeven. Deze gegevens kunnen ook worden verwerkt als dit verplicht is voor het doen gelden, uitoefenen of verdedigen van juridische claims met betrekking tot de betrokkene. Als er plannen zijn om zeer gevoelige gegevens te verwerken, moet de voorzitter of CEO van het betrokken bedrijf (die de functionaris voor gegevensbescherming zijn) vooraf worden geïnformeerd.

 

1.7 Geautomatiseerde individuele beslissingen

Geautomatiseerde verwerking van persoonsgegevens die wordt gebruikt om bepaalde aspecten te beoordelen (bijvoorbeeld kredietwaardigheid) kan niet de enige basis zijn voor beslissingen die negatieve juridische gevolgen hebben of de betrokkene aanzienlijk kunnen schaden. De betrokkene moet worden geïnformeerd over de feiten en resultaten van geautomatiseerde individuele beslissingen en de mogelijkheid om te reageren. Om foutieve beslissingen te voorkomen, moet een toetsing en plausibiliteitscontrole door een medewerker worden uitgevoerd.

 

1.8 Gebruikersgegevens en internet

Indien persoonsgegevens worden verzameld, verwerkt en gebruikt op websites of in apps, dienen de betrokkenen hierover geïnformeerd te worden in een privacyverklaring en, indien van toepassing, informatie over cookies. De privacyverklaring en eventuele cookie-informatie dienen zodanig te worden geïntegreerd dat deze voor de betrokkenen gemakkelijk herkenbaar, direct toegankelijk en consistent beschikbaar zijn. Als er gebruiksprofielen (tracking) worden gemaakt om het gebruik van websites en apps te evalueren, moeten de betrokkenen hierover altijd in de privacyverklaring worden geïnformeerd. Persoonlijke tracking mag alleen worden uitgevoerd als dit is toegestaan volgens de nationale wetgeving of met toestemming van de betrokkene. Als bij tracking een pseudoniem wordt gebruikt, moet de betrokkene de mogelijkheid krijgen om zich af te melden in de privacyverklaring. Als websites of apps toegang hebben tot persoonsgegevens in een gebied dat beperkt is tot geregistreerde gebruikers, moet de identificatie en authenticatie van de betrokkene voldoende bescherming bieden tijdens toegang.

 

2. Werknemersgegevens

 

2.1 Gegevensverwerking voor de arbeidsrelatie

In arbeidsrelaties kunnen persoonsgegevens worden verwerkt indien dit nodig is om de arbeidsovereenkomst uit te voeren, waaronder het initiëren, uitvoeren en beëindigen van het dienstverband. Bij het aangaan van een arbeidsrelatie kunnen persoonsgegevens van sollicitanten worden verwerkt. Als de kandidaat wordt afgewezen, moeten zijn/haar gegevens binnen 6 maanden worden verwijderd, tenzij de sollicitant ermee heeft ingestemd dat deze in het bestand blijven voor een toekomstig selectieproces.

 

In de bestaande arbeidsrelatie kan gegevensverwerking noodzakelijk zijn voor de uitvoering van de arbeidsovereenkomst, maar er kunnen ook andere wettelijke grondslagen zijn voor de verwerking, zoals hieronder uiteengezet. Indien het tijdens de aanvraagprocedure nodig mocht zijn om informatie over een aanvrager van een derde partij te verzamelen, moeten de vereisten van de overeenkomstige nationale wetgeving in acht worden genomen. Bij twijfel moet toestemming worden verkregen van de betrokkene. Er kunnen alternatieve rechtsgronden zijn om persoonsgegevens te verwerken die verband houden met de arbeidsrelatie. Denk hierbij aan wettelijke vereisten, toestemming van de werknemer of het gerechtvaardigd belang van het bedrijf.

 

2.2 Gegevensverwerking op grond van wettelijke verplichting

De verwerking van persoonsgegevens van werknemers is ook toegestaan als de nationale wetgeving dit vereist, vereist of autoriseert. Het type en de omvang van de gegevensverwerking moet noodzakelijk zijn voor de wettelijk toegestane gegevensverwerkingsactiviteit en moet voldoen aan de relevante wettelijke bepalingen.

 

2.3 Toestemming voor gegevensverwerking

Met toestemming van de betrokkene kunnen medewerkersgegevens worden verwerkt. Instemmingsverklaringen moeten vrijwillig worden ingediend. Onvrijwillige toestemming is nietig. De toestemmingsverklaring moet schriftelijk of elektronisch worden verkregen voor documentatiedoeleinden. In bepaalde omstandigheden kan toestemming mondeling worden gegeven, in welk geval deze goed moet worden gedocumenteerd.

 

Een werknemer stemt in met de verwerking van zijn persoonsgegevens als hij of zij duidelijk instemt met de verwerking, hetzij door een verklaring, hetzij door een positieve handeling. Als toestemming wordt gegeven in een document dat over andere zaken gaat, moet de toestemming gescheiden worden gehouden van die andere zaken. Werknemers moeten de toestemming op elk moment eenvoudig kunnen intrekken. 

 

Tenzij er een andere wettelijke basis voor verwerking is, is uitdrukkelijke toestemming vereist voor het verwerken van speciale categorieën gegevens (zie paragraaf 2.5 hieronder). Gewoonlijk vertrouwt het bedrijf op een andere rechtsgrond en heeft het geen expliciete toestemming nodig om gegevens van een bijzondere categorie te verwerken.

 

2.4 Gegevensverwerking op grond van gerechtvaardigd belang

Persoonsgegevens kunnen ook worden verwerkt als dit noodzakelijk is voor een gerechtvaardigd belang van de Groep of een derde partij. Gerechtvaardigde belangen zijn over het algemeen van juridische (bijv. indienen, afdwingen of verdedigen tegen juridische claims), financiële (bijv. waardering van bedrijven) of andere (bijv. Het is noodzakelijk om de vitale belangen van het individu of een andere persoon te beschermen of Het is noodzakelijk voor de uitvoering van een taak van algemeen belang)

 

Persoonsgegevens mogen niet worden verwerkt op basis van een gerechtvaardigd belang als die belangen in individuele gevallen worden geschonden door de belangen of fundamentele rechten en vrijheden van de betrokkene die bescherming van persoonsgegevens vereisen. De legitieme belangen waarop wordt ingeroepen, worden uiteengezet in de toepasselijke privacyverklaringen. Bovendien moet rekening worden gehouden met eventuele aanvullende vereisten op grond van de nationale wetgeving (bijvoorbeeld medezeggenschapsrechten voor de werknemersvertegenwoordigers en informatierechten van de betrokkenen).

 

2.5 Verwerking van zeer gevoelige gegevens

Zeer gevoelige persoonsgegevens kunnen alleen onder bepaalde voorwaarden worden verwerkt. Zeer gevoelige gegevens zijn gegevens over ras en etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, vakbondslidmaatschap, genetische gegevens, biometrische gegevens, gezondheidsgegevens en gegevens over het seksuele leven en de geaardheid van de betrokkene. Volgens de nationale wetgeving kunnen andere gegevenscategorieën als zeer gevoelig worden beschouwd of kan de inhoud van de gegevenscategorieën anders worden ingevuld. Bovendien kunnen gegevens die betrekking hebben op strafrechtelijke veroordelingen en strafbare feiten vaak alleen worden verwerkt op grond van speciale vereisten krachtens de nationale wetgeving. De verwerking moet uitdrukkelijk zijn toegestaan of voorgeschreven door de nationale wetgeving. Daarnaast kan verwerking worden toegestaan als het voor de verantwoordelijke instantie nodig is om haar rechten en plichten op het gebied van het arbeidsrecht na te komen. De werknemer kan ook uitdrukkelijk toestemming geven voor de verwerking. Als er plannen zijn om zeer gevoelige gegevens te verwerken, moet de Data Protection Manager vooraf worden geïnformeerd.

 

In de volgende omstandigheden kunnen zeer gevoelige gegevens worden verwerkt:

  • Met uitdrukkelijke toestemming van de betrokkene
  • Wanneer de verwerking noodzakelijk is voor het uitvoeren of uitoefenen van verplichtingen of rechten die wettelijk zijn opgelegd aan de verwerkingsverantwoordelijke of de betrokkene in verband met werkgelegenheid, sociale zekerheid of sociale bescherming en de werkgever een passend beleidsdocument en aanvullende waarborgen heeft getroffen
  • Wanneer de verwerking noodzakelijk is om de vitale belangen van het individu of een andere persoon te beschermen en het individu niet in staat is om toestemming te geven
  • Wanneer de verwerking betrekking heeft op persoonsgegevens die de persoon openbaar heeft gemaakt
  • Wanneer de verwerking noodzakelijk is voor het vaststellen, uitoefenen of verdedigen van rechtsvorderingen
  • Wanneer de verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang, mits de werkgever beschikt over een passend beleidsdocument en aanvullende waarborgen. Dit kan het verwerken van gegevens omvatten met het oog op het bevorderen van gelijke behandeling
  • Wanneer de verwerking noodzakelijk is voor de beoordeling van de arbeidscapaciteit van de persoon of ingevolge een contact met een gezondheidswerker, en onder voorbehoud van vertrouwelijkheidswaarborgen

 

2.6 Geautomatiseerde beslissingen

Als persoonsgegevens automatisch worden verwerkt als onderdeel van de arbeidsrelatie en specifieke persoonsgegevens worden geëvalueerd (bijvoorbeeld als onderdeel van personeelsselectie of de evaluatie van vaardigheidsprofielen), kan deze automatische verwerking niet de enige basis zijn voor beslissingen die negatieve gevolgen of grote impact op de betrokken werknemer. Om foutieve beslissingen te voorkomen, moet het geautomatiseerde proces ervoor zorgen dat een natuurlijk persoon de situatie inhoudelijk beoordeelt en dat deze evaluatie de basis vormt voor de beslissing. Ook moet de betrokkene worden geïnformeerd over de feiten en resultaten van geautomatiseerde verwerkingen en de mogelijkheid om te reageren. Het bedrijf overweegt geen gebruik te maken van geautomatiseerde besluitvorming, maar zal het personeel schriftelijk op de hoogte stellen als de functie verandert.

 

2.7 Telecommunicatie en internet

Telefoonapparatuur, e-mailadressen, intranet en internet en interne sociale netwerken worden door het bedrijf voornamelijk ter beschikking gesteld voor werkgerelateerde opdrachten. Ze zijn een hulpmiddel en een hulpmiddel voor het bedrijf. Ze kunnen worden gebruikt binnen de toepasselijke wettelijke voorschriften en het interne bedrijfsbeleid. Bij geautoriseerd gebruik voor privédoeleinden moeten de wetten op het geheim van telecommunicatie en de relevante nationale telecommunicatiewetten worden nageleefd, indien van toepassing. Er vindt geen algemene monitoring plaats van telefoon- en e-mailcommunicatie of intranet/internetgebruik. Ter verdediging tegen aanvallen op de IT-infrastructuur of individuele gebruikers kunnen beschermende maatregelen worden genomen voor de verbindingen met de netwerken van de groepsmaatschappijen die technisch schadelijke inhoud blokkeren of die de aanvalspatronen analyseren. Om veiligheidsredenen kan het gebruik van telefoonapparatuur, e-mailadressen, intranet/internet en interne sociale netwerken tijdelijk worden gelogd. Evaluaties van deze gegevens van een specifieke persoon kunnen alleen worden gemaakt in het geval van vermoedelijke schendingen van wetten of het beleid van de Groep. De relevante nationale wetten moeten op dezelfde manier worden nageleefd als de groepsvoorschriften.

 

  1. WIJ.              Doorgifte van persoonsgegevens

De overdracht van persoonlijke gegevens naar ontvangers buiten of binnen de Groep is onderworpen aan de autorisatievereisten voor het verwerken van persoonlijke gegevens onder Sectie V.   Persoonlijke gegevens worden niet gedeeld met derden, tenzij bepaalde waarborgen en contractuele regelingen zijn getroffen. De ontvanger van de gegevens moet worden verplicht de gegevens alleen te gebruiken voor de gedefinieerde doeleinden en in overeenstemming met onze instructies.

In het geval dat gegevens worden doorgegeven aan een ontvanger buiten de Groep naar een derde land, inclusief een land buiten de EU, zullen we ervoor zorgen dat er in dat land een passend beschermingsniveau is om persoonsgegevens te beschermen die gelijkwaardig zijn aan de beschermingsniveaus uiteengezet in dit gegevensbeschermingsbeleid. Als gegevens door een derde aan een groepsmaatschappij worden doorgegeven, moet ervoor worden gezorgd dat de gegevens voor het beoogde doel worden gebruikt.

 

  1. VII.            Contractgegevensverwerking

Gegevensverwerking in opdracht houdt in dat een aanbieder wordt ingehuurd om persoonsgegevens te verwerken, zonder

verantwoordelijkheid krijgen voor het gerelateerde bedrijfsproces. In deze gevallen een overeenkomst

over gegevensverwerking in opdracht moet worden afgesloten met externe aanbieders en tussen bedrijven

binnen de Groep. De opdrachtgever blijft volledig verantwoordelijk voor het correct uitvoeren van de gegevensverwerking. De aanbieder mag persoonsgegevens alleen verwerken volgens de instructies van de klant. Bij het verstrekken van de opdracht moet aan de volgende eisen worden voldaan; de afdeling die de bestelling plaatst, moet ervoor zorgen dat hieraan wordt voldaan.

  1. De aanbieder moet worden gekozen op basis van zijn vermogen om de vereiste technische en organisatorische beschermingsmaatregelen te dekken.
  2. De bestelling moet schriftelijk worden geplaatst. De instructies over de gegevensverwerking en de verantwoordelijkheden van de opdrachtgever en aanbieder moeten worden gedocumenteerd.
  3. De contractuele normen voor gegevensbescherming die door de Data Protection Manager worden verstrekt, moeten in acht worden genomen.
  4. Voordat de gegevensverwerking begint, moet de klant erop kunnen vertrouwen dat de aanbieder de verplichtingen zal nakomen. Een provider kan zijn naleving van gegevensbeveiligingsvereisten documenteren in:

met name door een geschikte certificering voor te leggen. Afhankelijk van het risico van gegevensverwerking moeten de beoordelingen gedurende de looptijd van het contract regelmatig worden herhaald.

  1. Maak alleen gebruik van medewerkers en andere personen die een geheimhoudingsplicht hebben met betrekking tot de gegevens.
  2. Voldoen aan beveiligingsverplichtingen die gelijkwaardig zijn aan die welke door de AVG aan de werkgever worden opgelegd.
  3.  Stel de werkgever op de hoogte van elke inbreuk met betrekking tot de persoonlijke gegevens die door de werkgever worden gedeeld.
  4.  Schakel een subverwerker alleen in met voorafgaande toestemming van de werkgever.
    1.  In het geval van grensoverschrijdende contractgegevensverwerking, moet worden voldaan aan de relevante nationale vereisten voor openbaarmaking van persoonsgegevens in het buitenland. In het bijzonder kunnen persoonsgegevens uit de Europese Economische Ruimte alleen in een derde land worden verwerkt als de aanbieder kan aantonen dat hij een gegevensbeschermingsnorm heeft die gelijkwaardig is aan dit gegevensbeschermingsbeleid. Geschikte hulpmiddelen kunnen zijn:
      1. Overeenkomst over EU-modelcontractbepalingen voor de verwerking van contractgegevens in derde landen met de aanbieder en eventuele onderaannemers.
      2. Deelname van de aanbieder aan een door de EU geaccrediteerd certificeringssysteem voor het bieden van een voldoende gegevensbeschermingsniveau.
      3. Erkenning van bindende bedrijfsregels van de aanbieder om een passend niveau van gegevensbescherming te creëren door de verantwoordelijke toezichthoudende autoriteiten voor gegevensbescherming.

 

  1. VIII.         Rechten van de betrokkene

Elke betrokkene heeft de volgende rechten;

  1. De betrokkene kan informatie opvragen over welke persoonsgegevens over hem/haar zijn opgeslagen, hoe de gegevens zijn verzameld en met welk doel. Als er nog meer rechten zijn op:

bekijk de werkgeversdocumenten (bijv. personeelsdossier) van de arbeidsrelatie onder

de relevante arbeidswetten, blijven deze onaangetast.

  1. Als persoonsgegevens aan derden worden doorgegeven, moet informatie worden gegeven over de identiteit

van de ontvanger of de categorieën ontvangers.

  1. Indien persoonsgegevens onjuist of onvolledig zijn, kan de betrokkene verzoeken deze te corrigeren

of aangevuld.

  1. De betrokkene kan bezwaar maken tegen de verwerking van zijn of haar gegevens voor reclamedoeleinden of markt-/opinieonderzoek. De gegevens moeten worden geblokkeerd voor dit soort gebruik.
  2. De betrokkene kan verzoeken om verwijdering van zijn gegevens als de verwerking van dergelijke gegevens geen wettelijke basis heeft, of als de wettelijke basis niet langer van toepassing is. Hetzelfde geldt als het doel van de gegevensverwerking is komen te vervallen of om andere redenen niet meer van toepassing is. Bestaande bewaartermijnen en tegenstrijdige belangen die bescherming verdienen, moeten in acht worden genomen.
  3. De betrokkene heeft over het algemeen het recht om bezwaar te maken tegen de verwerking van zijn/haar gegevens wanneer we vertrouwen op een legitiem belang (of dat van een derde partij) voor de verwerking en er iets is aan de specifieke situatie van de betrokkene waardoor hij/zij dat wil. bezwaar te maken tegen verwerking op deze grond. Hiermee moet rekening worden gehouden als de bescherming van zijn/haar belangen prevaleert boven het belang van de verantwoordelijke vanwege een bepaalde persoonlijke situatie. Dit geldt niet als een wettelijke bepaling vereist dat de gegevens worden verwerkt of als de verwerking noodzakelijk is voor het instellen, uitoefenen of verdedigen van rechtsvorderingen.
  4. De betrokkene kan de beperking van de verwerking van zijn persoonsgegevens vragen. Dit stelt de betrokkene in staat om de opschorting van de verwerking van persoonsgegevens te vragen, bijvoorbeeld als hij wil dat de werkgever de juistheid ervan of de reden voor de verwerking ervan vaststelt.
  5. De betrokkene kan in bepaalde omstandigheden verzoeken om de overdracht van zijn persoonlijke gegevens aan een andere partij.

 

  1. IX.              Vertrouwelijkheid van verwerking

 

Persoonlijke gegevens zijn onderworpen aan vertrouwelijkheid. Elke ongeoorloofde verzameling, verwerking of gebruik van dergelijke gegevens door werknemers is verboden. Elke gegevensverwerking door een werknemer die hij/zij niet heeft mogen uitvoeren als onderdeel van zijn/haar legitieme taken, is niet geautoriseerd. Het 'need to know'-principe is van toepassing. Werknemers mogen alleen toegang hebben tot persoonlijke informatie die passend is voor het type en de omvang van de taak in kwestie. Dit vraagt om een zorgvuldige verdeling en scheiding, en implementatie, van rollen en verantwoordelijkheden. Het is medewerkers verboden persoonsgegevens voor privé- of commerciële doeleinden te gebruiken, aan onbevoegden bekend te maken of op enige andere wijze ter beschikking te stellen. Leidinggevenden moeten hun medewerkers bij aanvang van de arbeidsrelatie informeren over de verplichting tot geheimhouding van gegevens. Deze verplichting blijft ook na beëindiging van het dienstverband van kracht.

 

  1. X.                Verwerkingsbeveiliging

Persoonlijke gegevens moeten worden beschermd tegen ongeoorloofde toegang en onwettige verwerking of openbaarmaking, evenals onopzettelijk verlies, wijziging of vernietiging. Dit geldt ongeacht of gegevens elektronisch of op papier worden verwerkt. Vóór de introductie van nieuwe methoden voor gegevensverwerking, met name nieuwe IT-systemen, moeten technische en organisatorische maatregelen ter bescherming van persoonsgegevens worden gedefinieerd en geïmplementeerd. Deze maatregelen moeten gebaseerd zijn op de stand van de techniek, de risico's van verwerking en de noodzaak om de gegevens te beschermen (bepaald door het proces voor informatieclassificatie). De verantwoordelijke afdeling kan in het bijzonder overleggen met haar Data Protection Manager.

 

  1. XI.              Controle van gegevensbescherming

Naleving van het gegevensbeschermingsbeleid en de toepasselijke gegevensbescherming wetten worden regelmatig gecontroleerd. De resultaten van de gegevensbeschermingscontroles moeten worden gerapporteerd aan de Data Protection Manager.

 

  1. XII.           Gegevensbeschermingsincidenten

Alle werknemers moeten hun leidinggevende of gegevensbeschermingsmanager onmiddellijk informeren over gevallen van inbreuken op dit gegevensbeschermingsbeleid of andere voorschriften met betrekking tot de bescherming van persoonsgegevens (gegevensbeschermingsincidenten). De voor de functie verantwoordelijke manager of de eenheid is verplicht de verantwoordelijke Data Protection Manager onverwijld te informeren over incidenten op het gebied van gegevensbescherming.

In gevallen van

» onjuiste overdracht van persoonsgegevens aan derden,

» oneigenlijke toegang door derden tot persoonsgegevens, of

» verlies van persoonlijke gegevens

de vereiste bedrijfsrapportages (Information Security Incident Management) moeten worden gemaakt

onmiddellijk, zodat kan worden voldaan aan eventuele rapportageverplichtingen op grond van de nationale wetgeving.

 

  1. XIII.         Verantwoordelijkheden en sancties

De bestuursorganen van de groepsmaatschappijen zijn verantwoordelijk voor de gegevensverwerking in hun verantwoordelijkheidsgebied. Daarom zijn ze verplicht ervoor te zorgen dat wordt voldaan aan de wettelijke vereisten, en die in het gegevensbeschermingsbeleid, voor gegevensbescherming (bijv. nationale rapportageverplichtingen). Het managementpersoneel is verantwoordelijk om ervoor te zorgen dat organisatorische, HR- en technische maatregelen zijn getroffen, zodat de gegevensverwerking in overeenstemming met de gegevensbescherming wordt uitgevoerd. Het naleven van deze eisen is de verantwoordelijkheid van de betrokken medewerkers. Als officiële instanties gegevensbeschermingscontroles uitvoeren, moet de Data Protection Manager onmiddellijk worden geïnformeerd. Onjuiste verwerking van persoonsgegevens of andere overtredingen van de gegevensbeschermingswetten kan in veel landen strafrechtelijk worden vervolgd en leiden tot schadeclaims. Overtredingen waarvoor individuele medewerkers verantwoordelijk zijn, kunnen leiden tot arbeidsrechtelijke sancties.

Winkelwagen

Je tas is momenteel leeg.

Doorgaan met winkelen

Schakel cookies in om de winkelmand te gebruiken