Rechtstreeks van de fabrikant | Snelle levering wereldwijd | Betrouwbare partner

Privacybeleid

Inleiding
Dit gegevensbeschermingsbeleid beschrijft de verplichtingen van Blok 'N' Mesh Global Ltd en Blok 'N' Mesh Europe Ltd ("het Bedrijf") en haar werknemers, en de rechten van natuurlijke personen ("betrokkene") zoals vastgelegd in de Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679) ("de AVG") en de Wet Gegevensbescherming 2018.
De aangewezen gegevensbeheerder van het Bedrijf ("Gegevensbeheerder") is: Group HR Manager
De processen, principes en normen die in dit gegevensbeschermingsbeleid zijn vastgelegd, moeten te allen tijde worden nageleefd door het Bedrijf, haar werknemers, aannemers, agenten of andere entiteiten die voor of namens het Bedrijf werken.

 

Definities
Voor de doeleinden van dit beleid hebben bepaalde woorden specifieke betekenissen. Deze worden hieronder gedefinieerd:

Het Bedrijf” verwijst naar Blok 'N' Mesh Global Ltd en Blok 'N' Mesh Europe Ltd
Betrokkene(n)” verwijst naar een natuurlijke persoon of personen van wie de persoonlijke informatie wordt verwerkt onder de voorwaarden van dit beleid
AVG” verwijst naar de Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679)
Gegevensbeheerder” verwijst naar de aangewezen Gegevensbeheerder van het Bedrijf
ICO” verwijst naar het Information Commissioner’s Office

 

Principes van Gegevensbescherming
De AVG beschrijft de volgende principes voor het verwerken van persoonlijke informatie:

  • Alle persoonlijke informatie moet op een rechtmatige, eerlijke en transparante manier worden verwerkt;
  • Alle persoonlijke informatie die door het Bedrijf wordt verzameld, moet worden verzameld voor een specifiek, expliciet en legitiem doel en mag niet op een manier worden verwerkt die onverenigbaar is met het eerder genoemde doel;
  • Alle persoonlijke informatie die door het Bedrijf wordt verzameld, moet relevant zijn en beperkt blijven tot wat nodig is om het Bedrijf in staat te stellen het opgegeven doel voor de verzameling ervan te vervullen;
  • Alle persoonlijke informatie moet juist zijn en actueel worden gehouden;
  • Als persoonlijke informatie wordt bewaard in een vorm die identificatie van de betrokkenen mogelijk maakt, moet deze in die vorm worden bewaard zolang dat noodzakelijk is om het Bedrijf in staat te stellen het opgegeven doel voor de verzameling van de betreffende informatie te vervullen;
  • Persoonlijke informatie moet worden verwerkt op een manier die zorgt voor voldoende en passende beveiliging, inclusief bescherming tegen ongeautoriseerde of onwettige verwerking, en beschermd tegen toevallig verlies, vernietiging of schade, door middel van passende technische en procedurele waarborgen.

Rechmatige, Eerlijke en Transparante Verwerking
De AVG heeft tot doel ervoor te zorgen dat persoonlijke informatie wordt verwerkt in overeenstemming met de kernprincipes van rechtmatigheid, eerlijkheid en transparantie, terwijl de rechten van de betrokkene(n) worden beschermd. De AVG specificeert dat de verwerking van persoonlijke informatie rechtmatig zal zijn als ten minste één van de volgende gevallen van toepassing is:

  • De betrokkene heeft toestemming gegeven voor de verwerking van zijn of haar persoonlijke informatie voor één of meer doeleinden
  • Het is noodzakelijk voor het Bedrijf om persoonlijke informatie te verwerken om een contract te vervullen waaraan de betrokkene partij is, of om stappen voorafgaand aan een contract te ondernemen op verzoek van de betrokkene(n)
  • Het Bedrijf is onderworpen aan een wettelijke verplichting die de verwerking van persoonlijke informatie vereist
  • Het is noodzakelijk om persoonlijke informatie te verwerken om de vitale belangen van de betrokkene of een andere natuurlijke persoon te beschermen, bijvoorbeeld in het geval van een medische noodsituatie of een vergelijkbare situatie
  • Het is noodzakelijk om persoonlijke informatie te verwerken om een taak in het algemeen belang uit te voeren, of om officiële bevoegdheden uit te oefenen die aan de Gegevensbeheerder zijn verleend
  • Het is noodzakelijk om persoonlijke informatie te verwerken voor de behartiging van legitieme bedrijfsbelangen door het Bedrijf of een derde partij, behalve in gevallen waarin dergelijke belangen worden overschaduwd door de belangen of fundamentele rechten van de betrokkene(n) die vereisen dat persoonlijke informatie wordt beschermd, met name wanneer de betrokkene een minderjarige is.

Verwerking voor Specifieke en Legitieme Doeleinden
Het Bedrijf verzamelt, verwerkt en beheert categorieën van persoonlijke informatie die zijn beschreven in het register van verwerkingsactiviteiten. Dit kan persoonlijke informatie omvatten die direct van de betrokkene wordt verzameld, bijvoorbeeld contactgegevens die worden gebruikt wanneer een betrokkene correspondeert of op een andere manier communiceert met het Bedrijf, en/of persoonlijke informatie die van derden wordt ontvangen.
Het Bedrijf zal persoonlijke informatie alleen verwerken voor de specifieke doeleinden die in zijn register van verwerkingsactiviteiten zijn beschreven, of voor andere doeleinden die expliciet zijn toegestaan door de AVG.
De doeleinden waarvoor het Bedrijf persoonlijke informatie verwerkt, moeten aan de betrokkene worden uitgelegd op het moment van het verzamelen van de betreffende persoonlijke informatie.
Wanneer persoonlijke informatie van een derde partij wordt verzameld, moeten de doeleinden waarvoor het Bedrijf deze verwerkt, uiterlijk één kalendermaand na het verkrijgen van de informatie aan de betrokkene(n) worden uitgelegd.

Nauwkeurigheid van Gegevens
Waar mogelijk zal het Bedrijf ervoor zorgen dat alle verwerkte persoonlijke informatie nauwkeurig en actueel wordt gehouden.
De nauwkeurigheid van de gegevens moet worden gecontroleerd op het moment van verzameling en vervolgens op passende intervallen.
Wanneer onjuiste of verouderde gegevens worden geïdentificeerd, moeten alle redelijke stappen worden ondernomen om deze gegevens op een snelle en tijdige manier te corrigeren of te verwijderen.

Bewaring van Gegevens
Het Bedrijf zal persoonlijke informatie niet langer bewaren dan nodig is om het oorspronkelijke doel voor de verzameling en verwerking van die gegevens te vervullen. In het geval dat gegevens niet langer nodig zijn, zullen alle redelijke stappen worden ondernomen om deze veilig te vernietigen.

Beveiligde Verwerking
Alle persoonlijke informatie die door het Bedrijf wordt verzameld en verwerkt, moet veilig worden bewaard en beschermd tegen ongeautoriseerde of onwettige verwerking.
Alle medewerkers, agenten, aannemers of andere partijen die namens het Bedrijf werken, moeten voldoen aan de volgende vereisten wanneer zij met persoonlijke informatie werken:

  • Alle e-mails die gevoelige persoonlijke informatie bevatten, moeten indien mogelijk worden versleuteld.
  • Als persoonlijke informatie moet worden verwijderd of anderszins afgevoerd, inclusief kopieën die niet langer nodig zijn, moet deze op een veilige manier worden gewist of verwijderd. Papieren exemplaren zullen worden versnipperd en elektronische kopieën zullen op een veilige manier worden gewist volgens de beste praktijken in de sector.
  • Als persoonlijke informatie via fax moet worden verzonden, moet de ontvanger vooraf worden geïnformeerd over de inkomende fax en moet deze bij het faxapparaat wachten om deze te ontvangen.
  • Als persoonlijke informatie in papieren vorm wordt gedeeld, moet deze fysiek direct aan de ontvanger worden overhandigd of als vertrouwelijk worden geadresseerd, zodat alleen de geadresseerde deze kan openen.
  • Er mag onder geen enkele omstandigheid persoonlijke informatie informeel worden gedeeld. Als een medewerker, agent, aannemer of andere partij die namens het Bedrijf werkt, persoonlijke informatie nodig heeft waartoe zij geen toegang hebben, moet toegang formeel worden aangevraagd.
  • Alle fysieke kopieën van persoonlijke informatie, samen met elektronische kopieën die op verwijderbare media zijn opgeslagen, moeten veilig worden opgeborgen in een vergrendelde doos, lade, archiefkast of vergelijkbare container.
  • Geen persoonlijke informatie mag worden overgedragen aan medewerkers, agenten, aannemers of andere partijen, al dan niet werkend namens het Bedrijf, zonder toestemming van de Gegevensbeheerder.
  • Persoonlijke informatie moet te allen tijde veilig worden behandeld en mag niet onbeheerd worden achtergelaten of zichtbaar zijn voor onbevoegd personeel op enig moment.
  • Als persoonlijke informatie op een computerscherm wordt bekeken, moet de gebruiker de computer met een wachtwoord vergrendelen voordat deze onbeheerd wordt achtergelaten.
  • Alle wachtwoorden die worden gebruikt om persoonlijke informatie te beschermen, moeten worden ingesteld en gewijzigd volgens het IT-beleid van het Bedrijf.
  • Wachtwoorden mogen onder geen enkele omstandigheid worden opgeschreven of gedeeld tussen medewerkers of partijen die namens het Bedrijf werken, ongeacht rang of afdeling. In geval van een vergeten wachtwoord, moet het worden gereset volgens de juiste procedures.
  • Waar persoonlijke informatie die door het Bedrijf wordt bewaard, wordt gebruikt voor marketingdoeleinden, moeten alle verkoop- en marketingmedewerkers passende controles uitvoeren om te verifiëren dat geen betrokkene zijn of haar gegevens heeft toegevoegd aan marketingvoorkeur- of "opt-out"-databases, inclusief maar niet beperkt tot de Telefoonvoorkeurservice, Mailvoorkeurservice en vergelijkbare databases.

Organisatorische Waarborgen en Maatregelen
Het Bedrijf moet ervoor zorgen dat de volgende maatregelen worden genomen met betrekking tot de verzameling, bewaring en verwerking van persoonlijke informatie:

  • Alle medewerkers, agenten, aannemers of andere partijen die voor of namens het Bedrijf werken, worden volledig geïnformeerd over zowel hun individuele verantwoordelijkheden als de verantwoordelijkheden van het Bedrijf onder de AVG en dit beleid, en ontvangen een kopie van dit beleid.
  • Alleen personeel dat voor of namens het Bedrijf werkt en toegang tot en gebruik van persoonlijke informatie nodig heeft om hun toegewezen taken correct uit te voeren, krijgt toegang tot de persoonlijke informatie die door het Bedrijf wordt bewaard.
  • Alle medewerkers die voor of namens het Bedrijf werken en persoonlijke informatie verwerken, krijgen de juiste training voor de veilige en beveiligde omgang met dergelijke informatie en worden contractueel verplicht dit te doen in overeenstemming met de principes van de AVG en dit beleid.
  • Alle medewerkers die voor of namens het Bedrijf werken en persoonlijke informatie verwerken, doen dit onder passende supervisie.
  • De methoden van het Bedrijf voor het verzamelen, bewaren en verwerken van persoonlijke informatie worden regelmatig geëvalueerd en herzien.
  • De prestaties van alle medewerkers, organisaties en andere entiteiten die voor en namens het Bedrijf werken en persoonlijke informatie verwerken, worden regelmatig geëvalueerd en herzien.
  • Alle agenten, aannemers of andere entiteiten die persoonlijke informatie namens het Bedrijf verwerken, moeten ervoor zorgen dat al hun medewerkers die persoonlijke informatie verwerken, gebonden zijn aan de voorwaarden die in dit beleid en onder de AVG zijn vastgelegd.
  • Als een agent, aannemer of andere derde partij die persoonlijke informatie namens het Bedrijf verwerkt, tekortschiet in zijn verplichtingen onder dit beleid, zal die partij het Bedrijf vrijwaren en schadeloosstellen tegen alle kosten, aansprakelijkheden, schade, verlies, claims of procedures die voortvloeien uit die tekortkoming.

Verantwoordelijkheid
Het Bedrijf zal schriftelijke interne documenten bijhouden van alle verzamelde, bewaarde en verwerkte gegevens, met de volgende informatie:

  • De naam en gegevens van het Bedrijf, de aangewezen gegevensbeheerder en eventuele derde partijen die als gegevensbeheerder optreden;
  • De doeleinden waarvoor het Bedrijf persoonlijke informatie verzamelt en verwerkt;
  • Informatie over de categorieën van persoonlijke informatie die door het Bedrijf worden verzameld, bewaard en verwerkt, samen met de categorieën van betrokkenen waartoe de betreffende persoonlijke informatie behoort;
  • Gegevens van derden die mogelijk persoonlijke informatie van het Bedrijf ontvangen;
  • Gegevens van persoonlijke informatie die naar een land of territorium buiten de EU wordt overgedragen, inclusief alle technische en organisatorische beveiligingsmaatregelen die van toepassing zijn;
  • Gegevens over de duur van de bewaartermijn van persoonlijke informatie door het Bedrijf, of de criteria die worden gebruikt om te beslissen wanneer deze informatie wordt verwijderd;
  • Gedetailleerde beschrijvingen van alle technische en organisatorische beveiligingsmaatregelen die het Bedrijf neemt om de veiligheid en beveiliging van persoonlijke informatie te waarborgen.

Privacy Impact Analyse
Een Privacy Impact Analyse (PIA) zal door het Bedrijf worden uitgevoerd wanneer dit vereist is onder de AVG, en elders waar het Bedrijf dit gepast acht.
Alle Privacy Impact Analyses zullen worden toegelicht door de Gegevensbeheerder.
De Privacy Impact Analyses zullen de volgende gebieden behandelen:

  • De bedreigingen en risico’s voor de individuele betrokkenen;
  • Bedreigingen en risico’s voor het Bedrijf;
  • Potentiële gevolgen van een datalek voor de individuele betrokkenen;
  • Potentiële gevolgen van een datalek voor het Bedrijf;
  • Gegevens over risicobeperkings- of -verminderingsmaatregelen en een evaluatie van deze maatregelen.

De Rechten van Betrokkenen
De AVG verleent de volgende rechten aan betrokkenen:

  • Het recht om geïnformeerd te worden
  • Het recht van toegang
  • Het recht op rectificatie
  • Het recht om de verwerking te beperken
  • Het recht op gegevensoverdraagbaarheid
  • Het recht om bezwaar te maken
  • Rechten met betrekking tot geautomatiseerde besluitvorming en profilering

Er zijn specifieke procedures en documenten die gevolgd moeten worden wanneer een betrokkene zijn of haar rechten onder de AVG wil uitoefenen.

Het Recht om Informatie te Ontvangen
Het Bedrijf zal de volgende informatie verstrekken aan een betrokkene wanneer hun persoonlijke gegevens worden verzameld:

  • Gegevens van het Bedrijf, inclusief de naam en contactgegevens van de Gegevensbeheerder;
  • Het doel van en de juridische grondslag waarop het Bedrijf de persoonlijke gegevens van de betrokkene verzamelt en verwerkt;
  • Waar van toepassing, de legitieme belangen die het Bedrijf gebruikt als juridische grondslag voor de verwerking van de persoonlijke gegevens van de betrokkene;
  • In gevallen waarin persoonlijke gegevens niet rechtstreeks van de betrokkene zijn verkregen, de bron van de gegevens en welke specifieke informatie is verzameld;
  • Waar persoonlijke gegevens naar een derde partij of partijen worden overgedragen, details van die derde partijen;
  • Waar persoonlijke gegevens naar een derde partij buiten de EER worden overgedragen, details van de overdracht, inclusief de technische en organisatorische maatregelen die zijn genomen om de veiligheid van de overgedragen informatie te waarborgen;
  • Gegevens over hoe lang het Bedrijf persoonlijke informatie zal bewaren, of de criteria die worden gebruikt om te beslissen wanneer deze informatie wordt verwijderd;
  • Gegevens over de rechten van de betrokkene onder de AVG;
  • Gegevens over het recht van de betrokkene om een klacht in te dienen bij de ICO;
  • Gegevens over eventuele juridische of contractuele vereisten of verplichtingen die de verwerking van persoonlijke gegevens vereisen;
  • Gegevens over geautomatiseerde besluitvorming die plaatsvindt met behulp van persoonlijke gegevens, inclusief profilering, samen met informatie over hoe dergelijke beslissingen zullen worden genomen, de betekenis van deze beslissingen en de gevolgen die kunnen voortvloeien uit het nemen van dergelijke beslissingen.

Toegang tot Gegevensverzoek (SAR)

Een betrokkene kan te allen tijde een toegang tot gegevensverzoek (“SAR”) indienen om meer details te verkrijgen over de persoonlijke informatie die het bedrijf over hem/haar heeft.

Het bedrijf is normaal gesproken verplicht om binnen één maand na ontvangst van een SAR te reageren.

In gevallen van complexe en/of talrijke verzoeken kan het bedrijf de termijn voor het beantwoorden van het verzoek met maximaal twee maanden verlengen. In dat geval moet de betrokkene geïnformeerd worden over de noodzaak van een dergelijke verlenging.

Alle SAR's moeten worden doorgestuurd naar de Data Controller van het bedrijf.

De afhandeling van normale SAR's is kosteloos. Het bedrijf behoudt zich het recht voor om een redelijke administratievergoeding in rekening te brengen voor extra kopieën van informatie die al aan de betrokkene is verstrekt, of voor verzoeken die ongegrond of buitensporig zijn, met name in het geval van herhaalde SAR's.

Rectificatie van Persoonlijke Informatie

In het geval dat een betrokkene het bedrijf informeert dat de persoonlijke informatie die wordt bewaard onnauwkeurig, onvolledig of op een andere manier rectificatie vereist, zal de betreffende gegevens worden gecorrigeerd en zal de betrokkene van de rectificatie op de hoogte worden gesteld.

De rectificatie van persoonlijke informatie moet normaal gesproken worden voltooid en moet de betrokkene binnen één maand na de ontvangst van het verzoek door het bedrijf op de hoogte worden gebracht van de voltooiing.

In geval van een complex verzoek kan het bedrijf de termijn voor de voltooiing van de rectificatie met maximaal twee maanden verlengen. In dat geval moet de betrokkene worden geïnformeerd over de noodzaak van een dergelijke verlenging.

Alle verzoeken om rectificatie moeten worden doorgestuurd naar de Data Controller van het bedrijf.

Indien persoonlijke informatie die door een rectificatieverzoek wordt beïnvloed, aan derden is verstrekt, zullen die partijen ook op de hoogte worden gebracht van de rectificatie van de persoonlijke informatie.

Verwijdering van Persoonlijke Informatie

Betrokkenen kunnen het bedrijf verzoeken om persoonlijke informatie over hen te verwijderen in de volgende gevallen:

  • Het bedrijf hoeft de betreffende persoonlijke informatie niet langer te bewaren in verband met het oorspronkelijke doel waarvoor deze werd verzameld of verwerkt;
  • De betrokkene maakt bezwaar tegen het behoud en de verwerking van hun persoonlijke informatie door het bedrijf, en er is geen overwegend legitiem belang dat het bedrijf toestaat om daarmee door te gaan;
  • De betreffende persoonlijke informatie is onwettig verwerkt;
  • De betreffende persoonlijke informatie moet worden vernietigd om het bedrijf in staat te stellen te voldoen aan een wettelijke verplichting.

Alle verzoeken om gegevensverwijdering moeten worden doorgestuurd naar de Data Controller van het bedrijf.

Tenzij het bedrijf redelijke gronden heeft voor weigering, zullen alle verzoeken om gegevensverwijdering worden voltooid en zal de betrokkene binnen één maand na ontvangst van het oorspronkelijke verzoek worden geïnformeerd over de verwijdering.

In geval van een complex verzoek kan het bedrijf de termijn voor de voltooiing van de verwijdering met maximaal twee maanden verlengen. In dat geval moet de betrokkene worden geïnformeerd over de noodzaak van een dergelijke verlenging.

Indien persoonlijke informatie die door een verzoek tot verwijdering wordt beïnvloed, aan derden is verstrekt, zullen die partijen ook worden geïnformeerd over de verwijdering, behalve in gevallen waarin dergelijke kennisgeving onmogelijk is of buitensporige inspanning zou vereisen.

Beperkingen van Verwerking

Betrokkenen kunnen het bedrijf te allen tijde verzoeken om de verwerking van persoonlijke informatie over hen te stoppen.

Indien een dergelijk verzoek wordt ingediend, zal het bedrijf alleen de hoeveelheid persoonlijke informatie bewaren die nodig is om onbedoelde toekomstige verwerking van de persoonlijke informatie van de betrokken persoon te voorkomen.

Alle verzoeken om verwerkingbeperkingen moeten worden doorgestuurd naar de Data Controller van het bedrijf.

Indien persoonlijke informatie die door een verzoek om verwerkingbeperkingen wordt beïnvloed, aan derden is verstrekt, zullen die partijen ook worden geïnformeerd over de beperking op de verwerking, behalve in gevallen waarin dergelijke kennisgeving onmogelijk is of buitensporige inspanning zou vereisen.

Gegevensportabiliteit

Betrokkenen hebben het wettelijke recht onder de GDPR om op elk moment een kopie van hun persoonlijke informatie te ontvangen en deze te gebruiken voor andere doeleinden, zoals het doorgeven aan andere personen of organisaties.

Alle verzoeken om gegevensportabiliteit moeten worden doorgestuurd naar de Data Controller van het bedrijf.

Indien een betrokkene daarom verzoekt, en indien technisch haalbaar, zal persoonlijke informatie direct naar de derde partij data controller worden overgedragen.

Alle verzoeken om draagbare kopieën van persoonlijke informatie zullen binnen één maand na ontvangst van het oorspronkelijke verzoek door het bedrijf worden voltooid.

In geval van een complex verzoek, of talrijke verzoeken, kan het bedrijf de termijn voor de voltooiing van het verzoek met maximaal twee maanden verlengen. In dat geval moet de betrokkene worden geïnformeerd over de noodzaak van een dergelijke verlenging.

Bezwaar tegen Verwerking

Betrokkenen hebben het recht om bezwaar te maken tegen de verwerking van hun persoonlijke informatie door het bedrijf op basis van legitieme belangen, inclusief profilering en directe marketing.

Alle bezwaren tegen verwerking moeten worden doorgestuurd naar de Data Controller van het bedrijf.

Indien een betrokkene bezwaar maakt tegen de verwerking van zijn/haar persoonlijke informatie door het bedrijf op basis van legitieme belangen, zal het bedrijf de verwerking onmiddellijk stoppen, tenzij kan worden aangetoond dat de legitieme gronden van het bedrijf voor verwerking zwaarder wegen dan de belangen en rechten van de betrokkene, of de verwerking noodzakelijk is om juridische redenen.

Indien een betrokkene bezwaar maakt tegen de verwerking van zijn/haar persoonlijke informatie voor directe marketingdoeleinden, zal het bedrijf de verwerking onmiddellijk stoppen.

Geautomatiseerde Besluitvorming

Het bedrijf kan persoonlijke informatie gebruiken voor de doeleinden van geautomatiseerde besluitvorming.

Indien deze besluiten juridische (of vergelijkbaar significante) gevolgen hebben voor betrokkenen, hebben zij het recht om deze besluiten aan te vechten onder de GDPR.

Een dergelijk bezwaar kan bestaan uit het verzoek van de betrokkene om menselijke tussenkomst, het uiten van hun eigen standpunt, en het verkrijgen van een uitleg over het besluit van het bedrijf.

Dit recht is niet van toepassing in de volgende omstandigheden:

  • Het besluit is noodzakelijk voor de aangifte of uitvoering van een contract tussen het bedrijf en de betrokkene;
  • Het besluit is wettelijk toegestaan;
  • De betrokkene heeft hun expliciete toestemming gegeven.

Profilering

In gevallen waarin het bedrijf persoonlijke informatie gebruikt voor profilering, zullen de volgende voorwaarden van toepassing zijn:

  • Betrokkenen worden voorzien van duidelijke informatie die de profilering uitlegt, inclusief de betekenis en waarschijnlijke gevolgen ervan;
  • Er zullen geschikte statistische of wiskundige procedures worden toegepast;
  • Het bedrijf zal passende technische en organisatorische maatregelen implementeren om het risico op fouten te minimaliseren en om fouten eenvoudig te kunnen corrigeren;
  • Alle persoonlijke informatie die wordt verwerkt voor de doeleinden van profilering zal worden beveiligd om discriminerende effecten als gevolg van profilering te voorkomen. Voor meer details over gegevensbeveiliging, zie de delen 8 en 9.

Overdracht van Persoonlijke Informatie Buiten de EER

Het bedrijf kan af en toe persoonlijke informatie overdragen naar landen buiten de Europese Economische Ruimte (EER).

Overdrachten van persoonlijke informatie naar een land buiten de EER zullen alleen plaatsvinden als een of meer van de volgende voorwaarden van toepassing zijn:

  • De overdracht is naar een land, territorium of specifieke sector(en) in dat land (of internationale organisatie) waarvan de Europese Commissie heeft vastgesteld dat het een passend niveau van bescherming en beveiliging voor persoonlijke informatie waarborgt;
  • De overdracht is naar een land of internationale organisatie die passende bescherming biedt in de vorm van een wettelijk bindende overeenkomst tussen overheidsinstanties, bindende bedrijfsregels, standaardgegevensbeschermingsclausules goedgekeurd door de Europese Commissie, naleving van een goedgekeurde gedragscode goedgekeurd door een toezichthoudende autoriteit (bijv. de ICO), of vergelijkbare geschikte maatregelen;
  • De betreffende informatie wordt overgedragen met de geïnformeerde toestemming van de betrokken betrokkene(n);
  • De overdracht van informatie is noodzakelijk voor de uitvoering van een contract tussen de betrokkene en het bedrijf, of voor precontractuele stappen die op verzoek van de betrokkene zijn genomen;
  • De overdracht van informatie is noodzakelijk in het algemeen belang;
  • De overdracht van informatie is noodzakelijk voor de afhandeling van juridische claims;
  • De overdracht van informatie is noodzakelijk om de vitale belangen van de betrokkene of een andere natuurlijke persoon te beschermen, bijvoorbeeld in het geval van een medische noodsituatie of een vergelijkbare situatie;
  • De informatie die wordt overgedragen is anderszins openbaar beschikbaar.

Meldingsplicht bij Gegevensinbreuken

Alle inbreuken op persoonlijke informatie, of vermoede inbreuken, moeten onmiddellijk worden gemeld aan de Data Controller van het bedrijf.

Indien een inbreuk op persoonlijke informatie plaatsvindt en deze inbreuk waarschijnlijk een risico zal veroorzaken voor de rechten van de betrokkenen (bijvoorbeeld schending van vertrouwelijkheid, financieel verlies, discriminatie, reputatieschade of andere significante economische of sociale schade), moet de Data Controller ervoor zorgen dat de ICO (Information Commissioner's Office) onmiddellijk wordt geïnformeerd over de inbreuk.

In ieder geval moet de Data Controller de ICO binnen 72 uur na het bekend worden van de inbreuk op de hoogte stellen.

Indien een inbreuk op persoonlijke informatie waarschijnlijk een risico voor de rechten en vrijheden van betrokkenen met zich meebrengt, moet de Data Controller ervoor zorgen dat alle getroffen betrokkenen worden geïdentificeerd en direct, zonder onredelijke vertraging, op de hoogte worden gesteld van de inbreuk.

De meldingen van gegevensinbreuken moeten de volgende informatie bevatten:

  • De categorieën en het geschatte aantal betrokkenen dat door de inbreuk is getroffen;
  • De categorieën en het geschatte aantal persoonlijke informatiebestanden die door de inbreuk zijn getroffen;
  • De naam en contactgegevens van de Data Controller van het bedrijf, of een ander contactpunt waar meer informatie kan worden verkregen;
  • Een beschrijving van de waarschijnlijke gevolgen van de inbreuk;
  • Gegevens over de stappen die het bedrijf heeft genomen of van plan is te nemen om de inbreuk aan te pakken, inclusief, waar van toepassing, de genomen stappen om mogelijke nadelige effecten te beperken.

Er zijn specifieke processen en documentatie die gevolgd moeten worden in geval van een gegevensinbreuk.