• Gegevensbeschermingsbeleid (AVG-klacht)

    KnoplabelKnoplabel
    Gegevensbeschermingsbeleid (AVG-klacht)

Voor werknemers, sollicitanten en consumenten

1 Overzicht

1.1 Het Bedrijf neemt de beveiliging en privacy van uw gegevens serieus. We moeten informatie of 'gegevens' over u verzamelen en gebruiken als onderdeel van onze bedrijfsvoering en om onze relatie met u te beheren. We streven ernaar te voldoen aan onze wettelijke verplichtingen onder de Data Protection Act 2018 (de '2018 Act') en de Algemene Verordening Gegevensbescherming ('AVG') van de EU met betrekking tot gegevensprivacy en -beveiliging. We zijn verplicht u te informeren over de informatie in dit beleid.

1.2 Dit beleid is van toepassing op huidige en voormalige werknemers, vrijwilligers, stagiairs en consultants. Als u in een van deze categorieën valt, bent u een 'betrokkene' in de zin van dit beleid. U dient dit beleid te lezen in samenhang met uw arbeidsovereenkomst (of opdrachtovereenkomst) en alle andere kennisgevingen die wij u van tijd tot tijd met betrekking tot uw gegevens verstrekken.

1.3 Het Bedrijf hanteert aparte beleidsregels en privacyverklaringen voor sollicitanten, medewerkers en consumenten. Een kopie hiervan kunt u bekijken op onze website of door contact op te nemen met onze Data Processing Manager op ons hoofdkantoor.

1.4 Het Bedrijf heeft maatregelen genomen om de veiligheid van uw gegevens te beschermen in overeenstemming met ons Gegevensbeschermingsbeleid.

1.5 Het bedrijf bewaart gegevens in overeenstemming met ons gegevensretentiebeleid. Een kopie hiervan kunt u bekijken op onze website of door contact op te nemen met onze Data Processing Manager op ons hoofdkantooradres. We bewaren gegevens alleen zo lang als nodig is voor de doeleinden waarvoor we ze hebben verzameld.

1.6 Het Bedrijf is een ' verwerkingsverantwoordelijke ' voor de verwerking van uw persoonsgegevens. Dit betekent dat wij het doel en de middelen voor de verwerking van uw persoonsgegevens bepalen.

1.7 Dit beleid legt uit hoe het Bedrijf uw gegevens bewaart en verwerkt. Het beschrijft uw rechten als betrokkene. Het beschrijft ook uw verplichtingen bij het verkrijgen, verwerken of opslaan van persoonsgegevens tijdens uw werkzaamheden voor of namens het Bedrijf.

1.8 Dit beleid maakt geen deel uit van uw arbeidsovereenkomst (of een overeenkomst voor dienstverlening, indien van toepassing) en kan te allen tijde door het Bedrijf worden gewijzigd. Het is de bedoeling dat dit beleid volledig voldoet aan de Wet van 2018 en de AVG. Mocht er een conflict ontstaan tussen deze wetten en dit beleid, dan streeft het Bedrijf ernaar te voldoen aan de Wet van 2018 en de AVG.

2 Gegevensbeschermingsbeginselen

2.1 Persoonsgegevens moeten worden verwerkt in overeenstemming met zes ' Gegevensbeschermingsbeginselen '. Deze moeten:

  • eerlijk, rechtmatig en transparant worden verwerkt;
  • alleen worden verzameld en verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden;
  • toereikend, ter zake dienend en beperkt zijn tot wat noodzakelijk is voor de doeleinden waarvoor ze worden verwerkt;
  • juist en actueel zijn. Onjuiste gegevens moeten onmiddellijk worden verwijderd of gecorrigeerd;
  • niet langer worden bewaard dan noodzakelijk is voor de doeleinden waarvoor ze worden verwerkt; en
  • veilig verwerkt worden.

3 Hoe wij persoonsgegevens definiëren

3.1 ' Persoonsgegevens ' zijn gegevens die betrekking hebben op een levende persoon die kan worden geïdentificeerd aan de hand van die gegevens (een ' betrokkene '), op zichzelf of in combinatie met andere gegevens die waarschijnlijk in ons bezit komen. Het omvat elke meningsuiting over de persoon en een indicatie van de intenties van ons of anderen ten aanzien van die persoon. Geanonimiseerde gegevens vallen hier niet onder.

3.2 Dit beleid is van toepassing op alle persoonsgegevens, ongeacht of deze elektronisch, op papier of op andere materialen worden opgeslagen.

3.3 Deze persoonsgegevens kunnen door u of iemand anders (zoals een voormalige werkgever, uw arts of een kredietreferentiebureau) aan ons worden verstrekt, of kunnen door ons worden aangemaakt. Ze kunnen worden verstrekt of aangemaakt tijdens de sollicitatieprocedure, tijdens de looptijd van het arbeidscontract (of de dienstverlening) of na beëindiging daarvan. Ze kunnen worden aangemaakt door uw manager of andere collega's.

3.4 Wij verzamelen en gebruiken de volgende soorten persoonsgegevens over u:

  • wervingsinformatie zoals uw sollicitatieformulier en cv, referenties, kwalificaties en lidmaatschap van eventuele beroepsorganisaties en details van eventuele beoordelingen voorafgaand aan indiensttreding;
  • Uw contactgegevens en geboortedatum;
  • de contactgegevens van uw noodcontacten;
  • uw geslacht;
  • uw burgerlijke staat en gezinsgegevens;
  • informatie over uw arbeidsovereenkomst (of diensten), waaronder de begin- en einddatum van de dienstbetrekking, functie en locatie, werkuren, details over promoties, salaris (inclusief details over eerdere beloningen), pensioen, secundaire arbeidsvoorwaarden en vakantierechten;
  • uw bankgegevens en informatie met betrekking tot uw belastingstatus, inclusief uw burgerservicenummer;
  • uw identificatiedocumenten, waaronder uw paspoort en rijbewijs, en informatie met betrekking tot uw immigratiestatus en het recht om voor ons te werken;
  • informatie met betrekking tot disciplinaire of klachtenonderzoeken en -procedures waarbij u betrokken bent (ongeacht of u het hoofdonderwerp van die procedures was);
  • informatie met betrekking tot uw prestaties en gedrag op het werk;
  • trainingsgegevens;
  • elektronische informatie met betrekking tot uw gebruik van IT-systemen/swipekaarten/telefoonsystemen;
  • uw beelden vastgelegd op CCTV;
  • elke andere categorie van persoonsgegevens waarover wij u van tijd tot tijd kunnen informeren

4 Hoe wij bijzondere categorieën van persoonsgegevens definiëren

4.1 ' Bijzondere categorieën van persoonsgegevens ' zijn soorten persoonsgegevens die informatie bevatten over:

  • uw ras of etnische afkomst;
  • uw politieke opvattingen;
  • uw religieuze of filosofische overtuigingen;
  • uw vakbondslidmaatschap;
  • uw genetische of biometrische gegevens;
  • uw gezondheid;
  • uw seksleven en seksuele geaardheid; en
  • eventuele strafrechtelijke veroordelingen en overtredingen.

Wij kunnen elk van deze bijzondere categorieën van uw persoonsgegevens bewaren en gebruiken in overeenstemming met de wet.

5 Hoe wij verwerking definiëren

5.1 Onder ‘verwerking’ wordt verstaan elke bewerking die met persoonsgegevens wordt uitgevoerd, zoals:

  • verzameling, registratie, organisatie, structurering of opslag;
  • aanpassing of wijziging;
  • opvragen, raadplegen of gebruiken;
  • openbaarmaking door middel van doorzending, verspreiding of op andere wijze ter beschikking stellen;
  • uitlijning of combinatie; en
  • beperking, vernietiging of uitwissing.

Hieronder vallen de verwerking van persoonsgegevens die in een bestand zijn opgenomen en alle geautomatiseerde verwerkingen.

6 Hoe verwerken wij uw persoonsgegevens?

6.1 Het Bedrijf verwerkt uw persoonsgegevens (met inbegrip van bijzondere categorieën persoonsgegevens) in overeenstemming met onze verplichtingen krachtens de Wet van 2018.

6.2 Wij gebruiken uw persoonsgegevens voor:

  • het uitvoeren van de arbeidsovereenkomst (of dienstverleningsovereenkomst) tussen ons;
  • het voldoen aan enige wettelijke verplichting; of
  • als het noodzakelijk is voor onze legitieme belangen (of voor de legitieme belangen van iemand anders). We kunnen dit echter alleen doen als uw belangen en rechten niet zwaarder wegen dan die van ons (of hen). U hebt het recht om onze legitieme belangen aan te vechten en te verzoeken dat we stoppen met deze verwerking.

Wij kunnen uw persoonsgegevens voor deze doeleinden verwerken zonder uw medeweten of toestemming. Wij zullen uw persoonsgegevens niet gebruiken voor een ander doel dan dat, zonder u hierover te informeren en op welke wettelijke basis wij ons baseren voor de verwerking ervan.

Als u ervoor kiest om ons bepaalde persoonsgegevens niet te verstrekken, dient u zich ervan bewust te zijn dat wij bepaalde onderdelen van de overeenkomst tussen ons mogelijk niet kunnen uitvoeren. Als u ons bijvoorbeeld uw bankrekeninggegevens niet verstrekt, kunnen wij u mogelijk niet betalen. Het kan ons ook verhinderen om te voldoen aan bepaalde wettelijke verplichtingen en plichten die wij hebben, zoals het betalen van het juiste bedrag aan belasting aan de Belastingdienst (HMRC) of het doorvoeren van redelijke aanpassingen met betrekking tot een eventuele handicap waaraan u lijdt.

7 voorbeelden van wanneer wij uw persoonsgegevens kunnen verwerken

7.1 Wij moeten uw persoonsgegevens verwerken in verschillende situaties tijdens uw werving, dienstverband (of betrokkenheid) en zelfs na beëindiging van uw dienstverband (of betrokkenheid).

7.2 Bijvoorbeeld (zie paragraaf 7.6 hieronder voor de betekenis van de asterisken):

  • om te beslissen of we u in dienst nemen;
  • om te bepalen hoeveel we u moeten betalen en de andere voorwaarden van uw contract met ons;
  • om te controleren of u het wettelijke recht heeft om voor ons te werken;
  • om de overeenkomst tussen ons uit te voeren, met inbegrip van, indien relevant, de beëindiging ervan;
  • u trainen en uw prestaties beoordelen*;
  • om te beslissen of we u willen promoten;
  • om te beslissen of en hoe u uw prestaties, afwezigheid of gedrag* wilt beheren;
  • om een disciplinair onderzoek of een klachtenonderzoek of -procedure uit te voeren met betrekking tot u of iemand anders;
  • om te bepalen of we redelijke aanpassingen moeten doen aan uw werkplek of rol vanwege uw handicap*;
  • om diversiteit en gelijke kansen te monitoren*;
  • om de veiligheid (inclusief netwerkbeveiliging) van het Bedrijf, van u, van ons andere personeel, van onze klanten en van anderen te bewaken en te beschermen;
  • om de gezondheid en veiligheid van u, onze andere medewerkers, klanten en derden te bewaken en te beschermen*;
  • om u te betalen en pensioen en andere voordelen te verstrekken in overeenstemming met de overeenkomst tussen ons*;
  • belasting en sociale premies betalen;
  • om op verzoek van een andere werkgever een referentie te verstrekken;
  • om vakbondscontributies te betalen*;
  • toezicht houden op de naleving door u, ons en anderen van ons beleid en onze contractuele verplichtingen*;
  • om te voldoen aan de arbeidswetgeving, immigratiewetgeving, gezondheids- en veiligheidswetgeving, belastingwetgeving en andere wetten die op ons van toepassing zijn*;
  • om vragen van verzekeraars te beantwoorden met betrekking tot verzekeringspolissen die op u betrekking hebben*;
  • het runnen van onze onderneming en het plannen voor de toekomst;
  • het voorkomen en opsporen van fraude of andere strafbare feiten;
  • om het Bedrijf te verdedigen tegen onderzoeken of rechtszaken en om te voldoen aan gerechtelijke bevelen tot openbaarmaking*;
  • om welke andere reden dan ook waarvan wij u van tijd tot tijd op de hoogte stellen.


7.3 Wij verwerken uw bijzondere persoonsgegevens (zie hierboven) uitsluitend in bepaalde situaties in overeenstemming met de wet. We kunnen dit bijvoorbeeld doen met uw uitdrukkelijke toestemming. Als we uw toestemming hebben gevraagd voor de verwerking van een bijzondere persoonsgegevens, lichten we de redenen voor ons verzoek toe. U hoeft geen toestemming te geven en kunt uw toestemming later intrekken door contact op te nemen met onze DPO.

7.4 Wij hebben uw toestemming niet nodig om bijzondere categorieën van uw persoonsgegevens te verwerken wanneer wij deze verwerken voor de volgende doeleinden, die wij kunnen doen:

  • indien dit noodzakelijk is voor de uitvoering van rechten en verplichtingen uit hoofde van het arbeidsrecht;
  • wanneer het noodzakelijk is om uw vitale belangen of die van een andere persoon te beschermen, wanneer u/zij fysiek of wettelijk niet in staat bent/zijn om toestemming te geven;
  • wanneer u de gegevens openbaar hebt gemaakt;
  • wanneer de verwerking noodzakelijk is voor het instellen, uitoefenen of verdedigen van rechtsvorderingen; en
  • wanneer de verwerking noodzakelijk is voor arbeidsgeneeskundige doeleinden of voor de beoordeling van uw arbeidsgeschiktheid.

7.5 Wij kunnen bijzondere categorieën van uw persoonsgegevens verwerken voor de doeleinden in paragraaf 7.2 hierboven, die met een asterisk zijn gemarkeerd. In het bijzonder gebruiken wij informatie in verband met:

  • uw ras, etnische afkomst, religie, seksuele geaardheid of geslacht om gelijke kansen te bewaken;
  • uw ziekteverzuim, gezondheid en medische toestand om uw afwezigheid te controleren, uw geschiktheid voor het werk te beoordelen, u uitkeringen te betalen, te voldoen aan onze wettelijke verplichtingen onder het arbeidsrecht, inclusief het maken van redelijke aanpassingen en het zorgen voor uw gezondheid en veiligheid; en
  • Uw vakbondslidmaatschap om eventuele contributies te betalen en om te voldoen aan onze wettelijke verplichtingen ten opzichte van vakbondsleden.

7.6 Wij nemen geen geautomatiseerde beslissingen over u met behulp van uw persoonsgegevens en maken geen gebruik van profilering met betrekking tot u.

8 Het delen van uw persoonsgegevens

8.1 Soms delen wij uw persoonsgegevens mogelijk met derden of onze contractanten en agenten om onze verplichtingen uit hoofde van ons contract met u na te komen of voor onze legitieme belangen.

8.2 Wij eisen van deze bedrijven dat zij uw persoonsgegevens vertrouwelijk en veilig houden en deze beschermen in overeenstemming met de wet en ons beleid. Zij mogen uw gegevens alleen verwerken voor het rechtmatige doel waarvoor ze zijn gedeeld en in overeenstemming met onze instructies.

8.3 Wij verzenden uw persoonsgegevens niet buiten de Europese Economische Ruimte. Mocht dit veranderen, dan stellen wij u daarvan op de hoogte en lichten wij de beschermingsmaatregelen toe die zijn getroffen om de veiligheid van uw gegevens te beschermen.

9 Hoe verwerkt u persoonsgegevens voor het Bedrijf?

9.1 Iedereen die voor of namens het Bedrijf werkt, is verantwoordelijk voor het waarborgen dat gegevens op de juiste wijze worden verzameld, opgeslagen en behandeld, in overeenstemming met dit beleid en het beleid van het Bedrijf inzake gegevensbeveiliging en gegevensretentie.

9.2 De Data Protection Manager van het Bedrijf is verantwoordelijk voor het beoordelen van dit beleid en het informeren van de Raad van Bestuur over de verantwoordelijkheden van het Bedrijf op het gebied van gegevensbescherming en eventuele risico's met betrekking tot de verwerking van gegevens. U dient eventuele vragen met betrekking tot dit beleid of gegevensbescherming aan deze persoon te richten.

9.3 U mag de persoonsgegevens die onder dit beleid vallen alleen raadplegen als u deze nodig heeft voor de werkzaamheden die u voor of namens het Bedrijf verricht, en alleen als u daartoe bevoegd bent. U mag de gegevens alleen gebruiken voor het gespecificeerde rechtmatige doel waarvoor ze zijn verkregen.

9.4 U mag uw persoonsgegevens niet op informele wijze delen.

9.5 U dient uw persoonsgegevens veilig te bewaren en deze niet te delen met onbevoegden.

9.6 U dient de persoonsgegevens die u voor uw werk verwerkt, regelmatig te controleren en bij te werken. Dit houdt ook in dat u ons op de hoogte stelt als uw contactgegevens wijzigen.

9.7 U mag geen onnodige kopieën van uw persoonsgegevens maken en u dient eventuele kopieën op een veilige manier te bewaren en te vernietigen.

9.8 Gebruik sterke wachtwoorden.

9.9 Vergrendel uw computerscherm wanneer u niet achter uw bureau zit.

9.10 Overweeg om gegevens te anonimiseren of aparte sleutels/codes te gebruiken, zodat de betrokkene niet kan worden geïdentificeerd.

9.11 Sla geen persoonlijke gegevens op uw eigen pc of andere apparaten op.

9.12 Persoonsgegevens mogen nooit buiten de Europese Economische Ruimte worden overgedragen, behalve in overeenstemming met de wet en met de toestemming van de Gegevensbeschermingsfunctionaris.

9.13 Sluit laden en archiefkasten af. Laat geen papier met persoonlijke gegevens rondslingeren.

9.14 U mag geen persoonsgegevens meenemen buiten de bedrijfslocaties zonder toestemming van uw leidinggevende of de Data Protection Manager.

9.15 Persoonlijke gegevens dienen te worden versnipperd en op een veilige manier te worden vernietigd wanneer u er klaar mee bent.

9.16 Als u twijfelt over de gegevensbescherming of als u merkt dat wij op het gebied van gegevensbescherming of beveiliging verbeteringen kunnen doorvoeren, kunt u het beste contact opnemen met onze Data Protection Manager.

9.17 Indien u dit beleid opzettelijk of uit nalatigheid overtreedt, kunnen er disciplinaire maatregelen tegen u worden genomen in overeenstemming met onze disciplinaire procedure.

9.18 Het verbergen of vernietigen van persoonsgegevens die deel uitmaken van een verzoek om inzage is een strafbaar feit. Dit gedrag zou ook een grove nalatigheid vormen in het kader van onze disciplinaire procedure, wat kan leiden tot ontslag.

10 Hoe om te gaan met datalekken

10.1 Wij hebben robuuste maatregelen genomen om datalekken te minimaliseren en te voorkomen. Mocht er een datalek met betrekking tot persoonsgegevens plaatsvinden (hetzij bij u of bij iemand anders), dan moeten wij aantekeningen maken en bewijs van dat lek bewaren. Indien het lek waarschijnlijk een risico vormt voor de rechten en vrijheden van personen, dan moeten wij ook binnen 72 uur het Bureau van de Informatiecommissaris op de hoogte stellen.

10.2 Indien u op de hoogte bent van een datalek, dient u onmiddellijk contact op te nemen met onze Data Protection Manager en alle bewijsstukken die u hebt met betrekking tot het lek te bewaren.

11 Verzoeken om toegang tot gegevens

11.1 Betrokkenen kunnen een ' subject access request ' ('SAR') indienen om inzicht te krijgen in de informatie die wij over hen bewaren. Dit verzoek moet schriftelijk worden ingediend. Als u een dergelijk verzoek ontvangt, dient u dit onmiddellijk door te sturen naar de Data Protection Manager.

11.2 Indien u een SAR wilt indienen met betrekking tot uw eigen persoonsgegevens, dient u dit schriftelijk te doen bij onze Data Protection Manager op het hoofdkantooradres van ons bedrijf. We moeten binnen één maand reageren, tenzij het verzoek complex of omvangrijk is. In dat geval kan de termijn waarbinnen we moeten reageren met nog eens twee maanden worden verlengd.

11.3 Er zijn geen kosten verbonden aan het indienen van een SAR. Indien uw verzoek echter kennelijk ongegrond of buitensporig is, kunnen wij een redelijke administratiekost in rekening brengen of weigeren op uw verzoek te reageren.

12 Uw rechten als betrokkene

12.1 U hebt recht op informatie over welke persoonsgegevens wij verwerken, hoe en op welke basis, zoals uiteengezet in dit beleid.

12.2 U hebt het recht om toegang te krijgen tot uw eigen persoonsgegevens door middel van een inzageverzoek (zie hierboven).

12.3 U kunt eventuele onjuistheden in uw persoonsgegevens corrigeren. Neem hiervoor contact op met onze Data Protection Manager.

12.4 U hebt het recht om te verzoeken dat wij uw persoonsgegevens wissen indien wij wettelijk niet bevoegd waren om deze te verwerken of indien de verwerking ervan niet langer noodzakelijk is voor het doel waarvoor ze zijn verzameld. Neem hiervoor contact op met onze Data Protection Manager.

12.5 Wanneer u verzoekt om correctie of verwijdering van uw persoonsgegevens of wanneer u de rechtmatigheid van onze verwerking betwist, kunt u tijdens de aanvraag een verzoek tot beperking van het gebruik ervan indienen. Neem hiervoor contact op met onze Data Protection Manager.

12.6 U hebt het recht om bezwaar te maken tegen gegevensverwerking indien wij ons beroepen op een gerechtvaardigd belang om dit te doen en u van mening bent dat uw rechten en belangen zwaarder wegen dan de onze en u wilt dat wij stoppen.

12.7 U heeft het recht om bezwaar te maken als wij uw persoonsgegevens verwerken voor direct marketingdoeleinden.

12.8 U hebt het recht om een kopie van uw persoonsgegevens te ontvangen en uw persoonsgegevens over te dragen aan een andere verwerkingsverantwoordelijke. Wij brengen hiervoor geen kosten in rekening en streven er in de meeste gevallen naar om dit binnen een maand te doen.

12.9 Met enkele uitzonderingen hebt u het recht om niet te worden onderworpen aan geautomatiseerde besluitvorming.

12.10 U hebt het recht om op de hoogte te worden gesteld van een datalek met betrekking tot uw persoonsgegevens.

12.11 In de meeste gevallen zullen wij uw toestemming niet als wettelijke grondslag gebruiken om uw gegevens te verwerken. Indien wij echter uw toestemming vragen voor de verwerking van uw persoonsgegevens voor een specifiek doel, hebt u het recht om geen toestemming te geven of uw toestemming later in te trekken. Om uw toestemming in te trekken, kunt u contact opnemen met onze Data Protection Manager.

12.12 U hebt het recht om een klacht in te dienen bij de Information Commissioner. U kunt dit doen door rechtstreeks contact op te nemen met het Information Commissioner's Office. Volledige contactgegevens, inclusief een hulplijnnummer, vindt u op de website van het Information Commissioner's Office ( www.ico.org.uk ). Deze website bevat meer informatie over uw rechten en onze plichten.