1. Inleiding
Dit beleid beschrijft de verplichtingen van Mike Lane Mods Limited ("het bedrijf") met betrekking tot gegevensbescherming en de rechten van klanten ("betrokkenen") met betrekking tot hun persoonlijke gegevens onder EU-verordening 2016/679 Algemene verordening gegevensbescherming ("AVG). ”).
De AVG definieert "persoonsgegevens" als alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon (een "betrokkene"); een identificeerbare natuurlijke persoon is iemand die direct of indirect kan worden geïdentificeerd, met name door te verwijzen naar een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identifier, of naar een of meer factoren die specifiek zijn voor de fysieke, fysiologische , genetische, mentale, economische, culturele of sociale identiteit van die natuurlijke persoon.
Dit beleid stelt de verplichtingen van het bedrijf vast met betrekking tot het verzamelen, verwerken, overdragen, opslaan en verwijderen van persoonlijke gegevens. De hierin uiteengezette procedures en principes moeten te allen tijde worden gevolgd door het bedrijf, zijn werknemers, agenten, aannemers of andere partijen die namens het bedrijf werken.
Het bedrijf houdt zich niet alleen aan de letter van de wet, maar ook aan de geest van de wet en hecht veel belang aan de correcte, wettige en eerlijke behandeling van alle persoonlijke gegevens, met respect voor de wettelijke rechten, privacy en vertrouwen van iedereen personen met wie het te maken heeft.
2. De gegevensbeschermingsbeginselen
Dit beleid heeft tot doel de naleving van de AVG te waarborgen. De AVG bevat de volgende principes waaraan elke partij die met persoonsgegevens omgaat, zich moet houden. Alle persoonsgegevens moeten zijn:
2.1 Rechtmatig, behoorlijk en transparant verwerkt in relatie tot de betrokkene.
2.2 Verzameld voor gespecificeerde, expliciete en legitieme doeleinden en niet verder verwerkt op een manier die onverenigbaar is met die doeleinden. Verdere verwerking voor archiveringsdoeleinden in het algemeen belang, wetenschappelijke of historische onderzoeksdoeleinden of statistische doeleinden wordt niet beschouwd als onverenigbaar met de oorspronkelijke doeleinden.
2.3 Adequaat, relevant en beperkt tot wat nodig is in verband met de doeleinden waarvoor ze worden verwerkt.
2.4 Nauwkeurig en waar nodig actueel gehouden. Alle redelijke maatregelen moeten worden genomen om ervoor te zorgen dat persoonsgegevens die onjuist zijn, gelet op de doeleinden waarvoor ze worden verwerkt, onverwijld worden gewist of gecorrigeerd.
2.5 Niet langer bewaard in een vorm die identificatie van betrokkenen mogelijk maakt dan nodig is voor de doeleinden waarvoor de persoonsgegevens worden verwerkt. Persoonsgegevens kunnen voor langere perioden worden opgeslagen, voor zover de persoonsgegevens uitsluitend worden verwerkt voor archiveringsdoeleinden in het algemeen belang, wetenschappelijke of historische onderzoeksdoeleinden of statistische doeleinden, onder voorbehoud van de implementatie van de passende technische en organisatorische maatregelen vereist door de AVG in om de rechten en vrijheden van de betrokkene te vrijwaren.
2.6 Verwerkt op een manier die een passende beveiliging van de persoonsgegevens garandeert, inclusief bescherming tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging, met behulp van passende technische of organisatorische maatregelen.
3. De rechten van betrokkenen
De AVG beschrijft de volgende rechten die van toepassing zijn op betrokkenen (raadpleeg de aangegeven delen van dit beleid voor meer informatie):
3.1 Het recht om geïnformeerd te worden (Deel 12).
3.2 Het recht op toegang (Deel 13);
3.3 Het recht op rectificatie (Deel 14);
3.4 Het recht om te wissen (ook bekend als het 'recht om vergeten te worden') (Deel 15);
3.5 Het recht om de verwerking te beperken (Deel 16);
3.6 Het recht op gegevensoverdraagbaarheid (Deel 17);
3.7 Het recht om bezwaar te maken (Deel 18); En
3.8 Rechten met betrekking tot geautomatiseerde besluitvorming en profilering (delen 19 en 20).
4. Rechtmatige, eerlijke en transparante gegevensverwerking
4.1 De AVG beoogt ervoor te zorgen dat persoonsgegevens rechtmatig, behoorlijk en transparant worden verwerkt, zonder dat dit afbreuk doet aan de rechten van de betrokkene. De AVG stelt dat de verwerking van persoonsgegevens rechtmatig is als ten minste een van de volgende situaties van toepassing is:
4.1.1 De betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
4.1.2 De verwerking is noodzakelijk voor de uitvoering van een contract waarbij de betrokkene partij is, of om stappen te ondernemen op verzoek van de betrokkene alvorens een contract met hem aan te gaan;
4.1.3 De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
4.1.4 De verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
4.1.5 De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of voor de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend; of
4.1.6 De verwerking is noodzakelijk voor de behartiging van de legitieme belangen die worden nagestreefd door de verantwoordelijke voor de verwerking of door een derde partij, behalve wanneer dergelijke belangen terzijde worden geschoven door de fundamentele rechten en vrijheden van de betrokkene die bescherming van persoonsgegevens vereisen, met name wanneer de betrokkene een kind is.
5. Gespecificeerde, expliciete en legitieme doeleinden
5.1 Het bedrijf verzamelt en verwerkt de persoonsgegevens die zijn uiteengezet in deel 22 van dit beleid. Dit bevat:
5.1.1 Persoonsgegevens rechtstreeks verzameld van betrokkenen; En
5.1.2 Persoonsgegevens verkregen van derden.
5.2 Het bedrijf verzamelt, verwerkt en bewaart alleen persoonlijke gegevens voor de specifieke doeleinden die zijn uiteengezet in deel 22 van dit beleid (of voor andere doeleinden die uitdrukkelijk zijn toegestaan door de AVG).
5.3 Betrokkenen worden te allen tijde op de hoogte gehouden van het doel of de doeleinden waarvoor de Vennootschap hun persoonsgegevens gebruikt. Raadpleeg Deel 12 voor meer informatie over het informeren van betrokkenen.
6. Adequate, relevante en beperkte gegevensverwerking
Het bedrijf zal alleen persoonlijke gegevens verzamelen en verwerken voor en voor zover nodig voor het specifieke doel of de specifieke doeleinden waarover betrokkenen zijn geïnformeerd (of zullen worden geïnformeerd) zoals onder deel 5 hierboven en zoals uiteengezet in deel 21 hieronder .
7. Nauwkeurigheid van gegevens en up-to-date houden van gegevens
7.1 Het bedrijf zal ervoor zorgen dat alle persoonlijke gegevens die het verzamelt, verwerkt en bijhoudt nauwkeurig en actueel worden gehouden. Dit omvat, maar is niet beperkt tot, de rectificatie van persoonsgegevens op verzoek van een betrokkene, zoals uiteengezet in deel 14 hieronder.
7.2 De juistheid van persoonsgegevens wordt gecontroleerd wanneer deze worden verzameld en daarna met regelmatige tussenpozen. Als blijkt dat persoonsgegevens onjuist of verouderd zijn, zullen onverwijld alle redelijke maatregelen worden genomen om die gegevens te wijzigen of te wissen, indien van toepassing.
8. Dataretentie
8.1 Het bedrijf zal persoonlijke gegevens niet langer bewaren dan nodig is in het licht van het doel of de doeleinden waarvoor die persoonlijke gegevens oorspronkelijk zijn verzameld, bewaard en verwerkt.
8.2 Wanneer persoonlijke gegevens niet langer nodig zijn, zullen alle redelijke stappen worden ondernomen om deze onverwijld te wissen of anderszins te verwijderen.
8.3 Voor volledige details over de aanpak van het bedrijf met betrekking tot het bewaren van gegevens, inclusief bewaartermijnen voor specifieke soorten persoonlijke gegevens die door het bedrijf worden bewaard, verwijzen wij u naar ons gegevensbewaringsbeleid.
9. Veilige verwerking
Het bedrijf zal ervoor zorgen dat alle verzamelde, bewaarde en verwerkte persoonsgegevens veilig worden bewaard en beschermd tegen ongeoorloofde of onwettige verwerking en tegen onopzettelijk verlies, vernietiging of schade. Verdere details van de technische en organisatorische maatregelen die zullen worden genomen, zijn te vinden in deel 22 tot en met 27 van dit beleid.
10. Verantwoording en bijhouden van gegevens
10.1 Het Bedrijf is verantwoordelijk voor het toezicht op de implementatie van dit Beleid en voor het toezicht op de naleving van dit Beleid, het andere gegevensbeschermingsgerelateerde beleid van het Bedrijf en de AVG en andere toepasselijke wetgeving inzake gegevensbescherming.
10.2 Het bedrijf houdt schriftelijke interne registers bij van alle verzameling, bewaring en verwerking van persoonsgegevens, waarin de volgende informatie is opgenomen:
10.2.1 De naam en details van het bedrijf en eventuele externe gegevensverwerkers;
10.2.2 De doeleinden waarvoor het bedrijf persoonsgegevens verzamelt, bewaart en verwerkt;
10.2.3 Details van de categorieën persoonsgegevens die door het Bedrijf worden verzameld, bewaard en verwerkt, en de categorieën van gegevens waarop die persoonsgegevens betrekking hebben;
10.2.4 Details van eventuele overdrachten van persoonsgegevens naar landen buiten de EER, inclusief alle mechanismen en veiligheidswaarborgen;
10.2.5 Details over hoe lang persoonlijke gegevens door het bedrijf worden bewaard (raadpleeg het gegevensbewaringsbeleid van het bedrijf); En
10.2.6 Gedetailleerde beschrijvingen van alle technische en organisatorische maatregelen die het Bedrijf heeft genomen om de beveiliging van persoonsgegevens te waarborgen.
11. Gegevensbeschermingseffectbeoordelingen
11.1 Het bedrijf voert gegevensbeschermingseffectbeoordelingen uit voor elk nieuw gebruik van persoonsgegevens waarbij nieuwe technologieën worden gebruikt en de betrokken verwerking waarschijnlijk zal leiden tot een hoog risico voor de rechten en vrijheden van betrokkenen onder de AVG.
11.2 Gegevensbeschermingseffectbeoordelingen hebben betrekking op het volgende:
11.2.1 De soort(en) persoonsgegevens die zullen worden verzameld, bewaard en verwerkt;
11.2.2 Het(de) doel(en) waarvoor persoonsgegevens worden gebruikt;
11.2.3 De doelstellingen van de Vennootschap;
11.2.4 Hoe persoonsgegevens moeten worden gebruikt;
11.2.5 De te raadplegen partijen (intern en/of extern);
11.2.6 De noodzaak en evenredigheid van de gegevensverwerking ten opzichte van het doel(en) waarvoor deze worden verwerkt;
11.2.7 Risico's voor betrokkenen;
11.2.8 Risico's zowel binnen als voor het bedrijf; En
11.2.9 Voorgestelde maatregelen om geïdentificeerde risico's te minimaliseren en aan te pakken.
12. Betrokkenen op de hoogte houden
12.1 Het Bedrijf verstrekt de informatie uiteengezet in Deel 12.2 aan elke betrokkene:
12.1.1 Wanneer persoonsgegevens rechtstreeks van betrokkenen worden verzameld, zullen die betrokkenen op het moment van verzamelen worden geïnformeerd over het doel ervan; en
12.1.2 Wanneer persoonlijke gegevens worden verkregen van een derde partij, worden de relevante betrokkenen geïnformeerd over het doel ervan:
a) als de persoonsgegevens worden gebruikt om met de betrokkene te communiceren, wanneer de eerste communicatie plaatsvindt; of
b) indien de persoonsgegevens aan een andere partij moeten worden overgedragen, voordat die overdracht plaatsvindt; of
c) zo snel als redelijkerwijs mogelijk is en in ieder geval niet later dan een maand nadat de persoonsgegevens zijn verkregen.
12.2 De volgende informatie wordt verstrekt:
12.2.1 Gegevens van het bedrijf;
12.2.2 De doelstelling(en) waarvoor de persoonsgegevens worden verzameld en zullen worden verwerkt (zoals beschreven in Deel 21 van dit Beleid) en de rechtsgrond die deze verzameling en verwerking rechtvaardigt;
12.2.3 Waar van toepassing, de legitieme belangen waarop het Bedrijf zijn verzameling en verwerking van de persoonsgegevens rechtvaardigt;
12.2.4 Wanneer de persoonsgegevens niet rechtstreeks van de betrokkene worden verkregen, de categorieën persoonsgegevens die worden verzameld en verwerkt;
12.2.5 Indien de persoonsgegevens moeten worden overgedragen aan een of meer derden, gegevens van die partijen;
12.2.6 Wanneer de persoonsgegevens moeten worden overgedragen aan een derde partij die zich buiten de Europese Economische Ruimte (de "EER") bevindt, details van die overdracht, inclusief maar niet beperkt tot de bestaande waarborgen (zie Deel 28 van dit beleid voor meer details);
12.2.7 Details van gegevensbewaring;
12.2.8 Details van de rechten van de betrokkene onder de AVG;
12.2.9 Details van het recht van de betrokkene om zijn toestemming voor de verwerking van zijn persoonsgegevens door het bedrijf op elk moment in te trekken;
12.2.10 Details van het recht van de betrokkene om een klacht in te dienen bij het Information Commissioner's Office (de "toezichthoudende autoriteit" onder de AVG);
12.2.11 Waar van toepassing, details van enige wettelijke of contractuele vereiste of verplichting die het verzamelen en verwerken van de persoonsgegevens noodzakelijk maakt en details van eventuele gevolgen van het niet verstrekken ervan; En
12.2.12 Details van elke geautomatiseerde besluitvorming of profilering die zal plaatsvinden met behulp van de persoonlijke gegevens, inclusief informatie over hoe beslissingen zullen worden genomen, het belang van die beslissingen en eventuele gevolgen.
13. Toegang tot gegevenssubject
13.1 Betrokkenen kunnen te allen tijde toegangsverzoeken ("SAR's") indienen om meer te weten te komen over de persoonlijke gegevens die het bedrijf over hen bewaart, wat het met die persoonlijke gegevens doet en waarom.
13.2 Betrokkenen die een Betrokkene Toegangsverzoek willen doen, kunnen dit schriftelijk doen via e-mail naar admin@mikelanemods.com.
13.3 Antwoorden op SAR's worden normaliter binnen een maand na ontvangst gegeven, maar dit kan met maximaal twee maanden worden verlengd als de SAR complex is en/of er veel verzoeken worden gedaan. Indien deze extra tijd nodig is, wordt de betrokkene hiervan op de hoogte gesteld.
13.4 De Maatschappij brengt geen vergoeding in rekening voor de afhandeling van normale SAR's. Het bedrijf behoudt zich het recht voor om redelijke kosten in rekening te brengen voor extra kopieën van informatie die al aan een betrokkene is verstrekt, en voor verzoeken die duidelijk ongegrond of buitensporig zijn, met name wanneer dergelijke verzoeken herhaaldelijk zijn.
14. Rectificatie van Persoonsgegevens
14.1 Betrokkenen hebben het recht om van het Bedrijf te verlangen dat hun persoonsgegevens die onjuist of onvolledig zijn, worden gecorrigeerd.
14.2 Het bedrijf zal de betreffende persoonsgegevens rectificeren en de betrokkene van die rectificatie op de hoogte stellen binnen een maand nadat de betrokkene het bedrijf hiervan op de hoogte heeft gesteld. Bij complexe verzoeken kan de termijn met maximaal twee maanden worden verlengd. Indien deze extra tijd nodig is, wordt de betrokkene hiervan op de hoogte gesteld.
14.3 In het geval dat betrokken persoonsgegevens aan derden zijn bekendgemaakt, zullen die partijen op de hoogte worden gebracht van elke rectificatie die in die persoonsgegevens moet worden aangebracht.
15. Wissen van persoonlijke gegevens
15.1 Betrokkenen hebben het recht om te verzoeken dat het bedrijf de persoonlijke gegevens die het over hen bewaart, verwijdert in de volgende omstandigheden:
15.1.1 Het is niet langer nodig voor het bedrijf om die persoonlijke gegevens te bewaren met betrekking tot het doel of de doeleinden waarvoor ze oorspronkelijk zijn verzameld of verwerkt;
15.1.2 De betrokkene wenst zijn toestemming in te trekken dat het bedrijf zijn persoonsgegevens bewaart en verwerkt;
15.1.3 De betrokkene maakt bezwaar tegen het feit dat het bedrijf zijn persoonsgegevens bewaart en verwerkt (en er is geen doorslaggevend legitiem belang om het bedrijf toe te staan dit te blijven doen) (zie deel 18 van dit beleid voor meer informatie over het recht om bezwaar te maken);
15.1.4 De persoonsgegevens zijn onrechtmatig verwerkt;
15.1.5 De persoonsgegevens moeten worden gewist om het Bedrijf te laten voldoen aan een bepaalde wettelijke verplichting.
15.2 Tenzij het Bedrijf redelijke gronden heeft om het wissen van persoonsgegevens te weigeren, zal aan alle verzoeken om verwijdering worden voldaan en zal de betrokkene binnen een maand na ontvangst van het verzoek van de betrokkene op de hoogte worden gesteld van de verwijdering. Bij complexe verzoeken kan de termijn met maximaal twee maanden worden verlengd. Indien een dergelijke extra tijd nodig is, wordt de betrokkene op de hoogte gebracht.
15.3 In het geval dat persoonsgegevens die op verzoek van een betrokkene moeten worden gewist, aan derden zijn bekendgemaakt, zullen die partijen op de hoogte worden gebracht van het wissen (tenzij het onmogelijk is of onevenredige inspanningen zou vergen om dit te doen).
16. Beperking van de verwerking van persoonsgegevens
16.1 Betrokkenen kunnen verzoeken dat het Bedrijf stopt met het verwerken van de persoonsgegevens die het over hen bewaart. Als een betrokkene een dergelijk verzoek indient, bewaart het bedrijf alleen de hoeveelheid persoonsgegevens over die betrokkene (indien aanwezig) die nodig is om ervoor te zorgen dat de betreffende persoonsgegevens niet verder worden verwerkt.
16.2 In het geval dat betrokken persoonsgegevens aan derden zijn bekendgemaakt, zullen die partijen worden geïnformeerd over de toepasselijke beperkingen op de verwerking ervan (tenzij dit onmogelijk is of onevenredige inspanningen zou vergen).
17. Bezwaren tegen de verwerking van persoonsgegevens
17.1 Betrokkenen hebben het recht om bezwaar te maken tegen de verwerking door het Bedrijf van hun persoonsgegevens op basis van legitieme belangen, direct marketing (inclusief profilering).
17.2 Wanneer een betrokkene bezwaar maakt tegen het bedrijf dat zijn persoonsgegevens verwerkt op basis van zijn legitieme belangen, zal het bedrijf deze verwerking onmiddellijk staken, tenzij kan worden aangetoond dat de legitieme gronden van het bedrijf voor dergelijke verwerking zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene , of dat de verwerking noodzakelijk is voor het voeren van rechtsvorderingen.
17.3 Wanneer een betrokkene bezwaar maakt tegen de verwerking van persoonsgegevens door het bedrijf voor directmarketingdoeleinden, zal het bedrijf deze verwerking onmiddellijk staken
18. Verzamelde, bewaarde en verwerkte persoonsgegevens
De volgende persoonlijke gegevens worden verzameld, bewaard en verwerkt door het bedrijf (raadpleeg voor meer informatie over het bewaren van gegevens het gegevensbewaringsbeleid van het bedrijf):
Type gegevens: contactgegevens van de klant via het aanvraagformulier voor de website - naam, e-mailadres en bericht
Doel van de gegevens: Dient als contactmethode voor klanten en als methode voor het verzamelen van verkoopaanvragen via de website van het bedrijf
Type gegevens: klantgegevens via websitewinkel - naam, bedrijfsnaam (optioneel), verzendadres, factuuradres, telefoonnummer (optioneel), e-mailadres
Doel van de gegevens: essentieel voor het verwerken, verzenden, beheren en ondersteunen van bestaande en toekomstige bestellingen, klantcommunicatie, financiën en facturering
Soort gegevens: klantgegevens via direct bericht – naam, adres, e-mailadres
Doel van de gegevens: essentieel voor het verwerken, verzenden, beheren en ondersteunen van bestaande en toekomstige bestellingen, klantcommunicatie, financiën en facturering
19. Gegevensbeveiliging – Overdracht van persoonlijke gegevens en communicatie
Het bedrijf zorgt ervoor dat de volgende maatregelen worden genomen met betrekking tot alle communicatie en andere overdrachten waarbij persoonsgegevens betrokken zijn:
19.1 Alle e-mails met persoonsgegevens moeten versleuteld zijn;
19.2 Alle e-mails met persoonsgegevens moeten worden gemarkeerd als "vertrouwelijk";
19.3 Persoonsgegevens mogen alleen via beveiligde netwerken worden verzonden; transmissie over onbeveiligde netwerken is in geen geval toegestaan;
19.4 Persoonsgegevens mogen niet via een draadloos netwerk worden verzonden als er een bekabeld alternatief is dat redelijkerwijs mogelijk is;
19.5 Persoonlijke gegevens in de hoofdtekst van een e-mail, verzonden of ontvangen, moeten uit de hoofdtekst van die e-mail worden gekopieerd en veilig worden opgeslagen. De e-mail zelf moet worden verwijderd. Alle tijdelijke bestanden die daarmee verband houden, moeten ook worden verwijderd;
20. Gegevensbeveiliging – Opslag
Het bedrijf zal ervoor zorgen dat de volgende maatregelen worden genomen met betrekking tot de opslag van persoonsgegevens:
20.1 Alle elektronische kopieën van persoonlijke gegevens moeten veilig worden opgeslagen met behulp van wachtwoorden en Advanced Encryption Standard (AES) 256-bits codering;
20.2 Alle papieren kopieën van persoonsgegevens, samen met alle elektronische kopieën die zijn opgeslagen op fysieke, verwisselbare media, moeten veilig worden opgeborgen in een afgesloten doos, lade, kast of iets dergelijks;
20.3 Van alle elektronisch opgeslagen persoonsgegevens moet regelmatig een back-up worden gemaakt met back-ups die onsite en offsite worden opgeslagen. Alle back-ups moeten worden versleuteld met Advanced Encryption Standard (AES) 256-bits versleuteling. Herstel van gegevens moet op afstand mogelijk zijn in het geval van een plaatselijke ramp of andere verstoring van de normale toegangsprocedures;
20.4 Er mogen geen persoonlijke gegevens worden opgeslagen op een mobiel apparaat (inclusief, maar niet beperkt tot, laptops, tablets en smartphones), ongeacht of dit apparaat van het Bedrijf is of niet; En
20.5 Er mogen geen persoonlijke gegevens worden overgedragen naar een apparaat dat persoonlijk toebehoort aan een werknemer en persoonlijke gegevens mogen alleen worden overgedragen naar apparaten van agenten, contractanten of andere partijen die namens het bedrijf werken, waarbij de partij in kwestie ermee heeft ingestemd om volledig te voldoen aan de letter en de geest van dit beleid en van de AVG (waaronder mogelijk het aantonen aan het bedrijf dat alle passende technische en organisatorische maatregelen zijn genomen).
20.6 Bij het afvoeren van oude computers of andere apparatuur die persoonsgegevens bevat, dienen grondige maatregelen te worden genomen om de gegevens volledig te verwijderen. Dit omvat het verwijderen van alle gegevens van het apparaat, het uitvoeren van een fabrieksreset en de fysieke vernietiging en veilige verwijdering van harde schijven, indien van toepassing.
21. Gegevensbeveiliging – Verwijdering
Wanneer persoonlijke gegevens om welke reden dan ook moeten worden gewist of anderszins verwijderd (inclusief wanneer er kopieën zijn gemaakt en niet langer nodig zijn), moeten deze veilig worden verwijderd en vernietigd. Persoonlijke gegevens die op papier zijn opgeslagen, worden versnipperd en gerecycled of verwijderd. Voor meer informatie over het verwijderen en verwijderen van persoonlijke gegevens verwijzen wij u naar het gegevensbewaarbeleid van het bedrijf.
22. Gegevensbeveiliging - Gebruik van persoonlijke gegevens
Het bedrijf draagt er zorg voor dat de volgende maatregelen worden genomen met betrekking tot het gebruik van persoonsgegevens:
22.1 Er mogen geen persoonlijke gegevens informeel worden gedeeld en als een werknemer, agent, onderaannemer of andere partij die namens het bedrijf werkt toegang nodig heeft tot persoonlijke gegevens waartoe ze nog geen toegang hebben, moet dergelijke toegang formeel worden aangevraagd bij het bedrijf;
22.2 Er mogen geen persoonlijke gegevens worden overgedragen aan werknemers, agenten, contractanten of andere partijen, ongeacht of deze partijen namens het bedrijf werken of niet, zonder de toestemming van het bedrijf;
22.3 Persoonlijke gegevens moeten te allen tijde met zorg worden behandeld en mogen niet onbeheerd worden achtergelaten of te allen tijde zichtbaar zijn voor onbevoegde werknemers, agenten, onderaannemers of andere partijen;
22.4 Indien persoonsgegevens op een computerscherm worden bekeken en de betreffende computer voor enige tijd onbeheerd wordt achtergelaten, dient de gebruiker de computer en het scherm te vergrendelen alvorens deze te verlaten; En
22.5 Wanneer persoonlijke gegevens die door het bedrijf worden bewaard, worden gebruikt voor marketingdoeleinden, is het de verantwoordelijkheid van het bedrijf om ervoor te zorgen dat de juiste toestemming wordt verkregen en dat geen betrokkenen zich hebben afgemeld, hetzij rechtstreeks, hetzij via een externe service zoals de TPS.
23. Gegevensbeveiliging – IT-beveiliging
De Vennootschap draagt er zorg voor dat de volgende maatregelen worden genomen met betrekking tot IT- en informatiebeveiliging:
23.1 Alle wachtwoorden die worden gebruikt om persoonlijke gegevens te beschermen, moeten regelmatig worden gewijzigd en mogen geen woorden of zinnen bevatten die gemakkelijk kunnen worden geraden of op een andere manier kunnen worden gecompromitteerd. Alle wachtwoorden moeten een combinatie van hoofdletters en kleine letters, cijfers en symbolen bevatten;
23.2 In geen geval mogen wachtwoorden worden opgeschreven of gedeeld tussen werknemers, agenten, contractanten of andere partijen die namens het bedrijf werken, ongeacht anciënniteit of afdeling. Als een wachtwoord is vergeten, moet het opnieuw worden ingesteld met behulp van de toepasselijke methode. IT-personeel heeft geen toegang tot wachtwoorden;
23.3 Alle software (inclusief maar niet beperkt tot applicaties en besturingssystemen) wordt up-to-date gehouden. Het IT-personeel van het bedrijf is verantwoordelijk voor het installeren van alle beveiligingsgerelateerde updates zo snel als redelijkerwijs en praktisch mogelijk is, tenzij er geldige technische redenen zijn om dit niet te doen;
24. Organisatorische maatregelen
Het bedrijf zorgt ervoor dat de volgende maatregelen worden genomen met betrekking tot het verzamelen, bewaren en verwerken van persoonsgegevens:
24.1 Alle werknemers, agenten, contractanten of andere partijen die namens het bedrijf werken, moeten volledig op de hoogte worden gebracht van zowel hun individuele verantwoordelijkheden als de verantwoordelijkheden van het bedrijf onder de AVG en onder dit beleid, en zullen een kopie van dit beleid ontvangen;
24.2 Alleen werknemers, agenten, onderaannemers of andere partijen die namens het bedrijf werken en die toegang tot en gebruik van persoonlijke gegevens nodig hebben om hun toegewezen taken correct uit te voeren, hebben toegang tot persoonlijke gegevens die in het bezit zijn van het bedrijf;
24.3 Alle werknemers, agenten, contractanten of andere partijen die namens het bedrijf werken en persoonlijke gegevens verwerken, zullen hiervoor voldoende zijn opgeleid;
24.4 Op alle werknemers, agenten, contractanten of andere partijen die namens het bedrijf werken die persoonsgegevens verwerken, wordt op passende wijze toezicht gehouden;
24.5 Alle werknemers, agenten, aannemers of andere partijen die namens het Bedrijf werken en omgaan met persoonlijke gegevens, moeten voorzichtig, voorzichtig en discreet zijn bij het bespreken van werkgerelateerde zaken die betrekking hebben op persoonlijke gegevens, zowel op de werkplek als op de werkvloer. anders;
24.6 Methoden voor het verzamelen, bewaren en verwerken van persoonsgegevens worden regelmatig geëvalueerd en herzien;
24.7 Alle persoonlijke gegevens die door het bedrijf worden bewaard, zullen periodiek worden beoordeeld, zoals uiteengezet in het gegevensbewaarbeleid van het bedrijf;
24.8 De prestaties van die werknemers, agenten, aannemers of andere partijen die namens het bedrijf werken en persoonlijke gegevens behandelen, zullen regelmatig worden geëvalueerd en beoordeeld;
24.9 Alle werknemers, agenten, aannemers of andere partijen die namens het bedrijf werken en persoonlijke gegevens verwerken, zijn verplicht dit te doen in overeenstemming met de principes van de AVG en dit beleid per contract;
24.10 Alle agenten, contractanten of andere partijen die namens het bedrijf werken en persoonlijke gegevens verwerken, moeten ervoor zorgen dat al hun werknemers die betrokken zijn bij de verwerking van persoonlijke gegevens, worden gehouden aan dezelfde voorwaarden als die relevante werknemers van het bedrijf die voortvloeien uit buiten dit beleid en de AVG; En
24.11 Wanneer een agent, contractant of andere partij die namens het bedrijf werkt en persoonsgegevens verwerkt, zijn verplichtingen onder dit beleid niet nakomt, zal die partij het bedrijf schadeloos stellen en vrijwaren tegen alle kosten, aansprakelijkheid, schade, verlies, claims of procedures die kunnen ontstaan. uit dat falen.
25. Overdracht van persoonsgegevens naar een land buiten de EER
25.1 Het Bedrijf kan van tijd tot tijd persoonsgegevens overdragen ('overdragen' omvat ook het op afstand beschikbaar stellen) van persoonsgegevens naar landen buiten de EER.
25.2 De doorgifte van persoonsgegevens naar een land buiten de EER vindt alleen plaats als een of meer van de volgende situaties van toepassing zijn:
25.2.1 De doorgifte is naar een land, gebied of een of meer specifieke sectoren in dat land (of een internationale organisatie), waarvan de Europese Commissie heeft bepaald dat het een passend beschermingsniveau voor persoonsgegevens waarborgt;
25.2.2 De doorgifte is aan een land (of internationale organisatie) die passende waarborgen biedt in de vorm van een juridisch bindende overeenkomst tussen overheidsinstanties of -instanties; bindende bedrijfsregels; standaardbepalingen inzake gegevensbescherming aangenomen door de Europese Commissie; naleving van een goedgekeurde gedragscode die is goedgekeurd door een toezichthoudende autoriteit (bijv. de Information Commissioner's Office); certificering volgens een goedgekeurd certificeringsmechanisme (zoals voorzien in de AVG); contractuele clausules overeengekomen en goedgekeurd door de bevoegde toezichthoudende autoriteit; of bepalingen die zijn opgenomen in administratieve regelingen tussen overheidsinstanties of door de bevoegde toezichthoudende autoriteit gemachtigde instanties;
25.2.3 De doorgifte vindt plaats met geïnformeerde toestemming van de relevante betrokkene(n);
25.2.4 De overdracht is noodzakelijk voor de uitvoering van een contract tussen de betrokkene en het bedrijf (of voor precontractuele stappen die op verzoek van de betrokkene worden genomen);
25.2.5 De doorgifte is noodzakelijk om gewichtige redenen van algemeen belang;
25.2.6 De overdracht is noodzakelijk voor het afhandelen van rechtsvorderingen;
25.2.7 De doorgifte is noodzakelijk om de vitale belangen van de betrokkene of andere personen te beschermen wanneer de betrokkene fysiek of wettelijk niet in staat is om toestemming te geven; of
25.2.8 De doorgifte vindt plaats vanuit een register dat, volgens de wetgeving van het VK of de EU, bedoeld is om informatie aan het publiek te verstrekken en dat toegankelijk is voor het publiek in het algemeen of anderszins voor degenen die een rechtmatig belang kunnen aantonen in toegang tot het register.
26. Melding van inbreuk op gegevens
26.1 Als zich een inbreuk in verband met persoonsgegevens voordoet en die inbreuk waarschijnlijk een risico inhoudt voor de rechten en vrijheden van betrokkenen (bijv. financieel verlies, schending van de vertrouwelijkheid, discriminatie, reputatieschade of andere aanzienlijke sociale of economische schade), moet ervoor zorgen dat de Information Commissioner's Office onverwijld, en in ieder geval binnen 72 uur nadat hij er kennis van heeft gekregen, van de inbreuk op de hoogte wordt gesteld.
26.2 In het geval dat een inbreuk in verband met persoonsgegevens waarschijnlijk zal resulteren in een hoog risico (dat wil zeggen een hoger risico dan beschreven in Deel 29.2) voor de rechten en vrijheden van betrokkenen, moet het Bedrijf ervoor zorgen dat alle getroffen betrokkenen direct en zonder onnodige vertraging op de hoogte worden gebracht van de inbreuk.
26.3 Meldingen van datalekken bevatten de volgende informatie:
26.3.1 De categorieën en het geschatte aantal betrokkenen;
26.3.2 De categorieën en het geschatte aantal betrokken persoonsgegevens;
26.3.3 De naam en contactgegevens van een contactpunt van het bedrijf waar meer informatie kan worden verkregen;
26.3.4 De waarschijnlijke gevolgen van de inbreuk;
26.3.5 Details van de maatregelen die het bedrijf heeft genomen of heeft voorgesteld om de inbreuk aan te pakken, inclusief, indien van toepassing, maatregelen om de mogelijke nadelige gevolgen ervan te beperken.
27. Uitvoering van beleid
Dit beleid wordt geacht van kracht te zijn vanaf 1 mei 2018. Geen enkel onderdeel van dit beleid heeft terugwerkende kracht en is dus alleen van toepassing op zaken die op of na deze datum plaatsvinden.
