Privacyverklaring
Algemene privacy policy
1 Doelstelling
Deze Algemene Privacy Policy (hierna: de ‘Policy’) is van toepassing op Merkator NV (“Merkator NV ”) een Belgische onderneming met maatschappelijke zetel in 1731 Asse, Vliegwezenlaan 48, met KBO-nummer 0839.944.576.
Deze Policy beoogt passende waarborgen te bepalen voor de verwerking van persoonsgegevens (zoals hieronder gedefinieerd) door Merkator NV.
Deze Policy bepaalt alle relevante informatie en instructies voor iedereen die in de uitoefening van zijn functie bij Merkator NV, persoonsgegevens verwerkt zoals omschreven in deze Policy.
Deze Policy is opgesteld om de naleving te verzekeren van de Europese Verordening 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, en tot intrekking van richtlijn 95/46/EG (Algemene Verordening inzake Gegevensbescherming, of AVG).
Deze Policy beoogt geen sterkere bescherming te voorzien dan wat vereist wordt door de toepasselijke wetgeving.
2 Voor wie?
Deze Policy werd opgesteld voor iedere persoon die in de uitoefening van zijn functie bij Merkator NV persoonsgegevens verwerkt zoals omschreven in deze Policy.
Voorbeelden van betrokkenen zijn:
• Huidig personeel
• Potentieel personeel (sollicitanten)
• Voormalig personeel
• Familieleden van werknemers
• Contractors/consultants/freelancers
• Uitzendkrachten
• Bestuurders en aandeelhouders
• Contactpersonen bij klanten
• Contactpersonen bij leveranciers
• Prospecten
• Enzovoort
• Potentieel personeel (sollicitanten)
• Voormalig personeel
• Familieleden van werknemers
• Contractors/consultants/freelancers
• Uitzendkrachten
• Bestuurders en aandeelhouders
• Contactpersonen bij klanten
• Contactpersonen bij leveranciers
• Prospecten
• Enzovoort
Deze Policy is van toepassing op iedere afdeling waar persoonsgegevens worden verwerkt.
3 Toepassingsgebied
Deze Policy is van toepassing op de verwerking van persoonsgegevens in het kader van de activiteiten van Merkator NV.
4 Definities
De AVG bevat een lijst met definities, waarvan de belangrijkste hieronder worden uiteengezet:
• ”Verwerkingsverantwoordelijke” betekent een natuurlijke persoon of rechtspersoon die, alleen of samen met anderen, het doel en de middelen voor de verwerking van persoonsgegevens vaststelt. In het kader van deze Policy is zijn de voormelde Merkator NV-entiteiten Verwerkingsverantwoordelijke, hetzij afzonderlijk, hetzij gezamenlijk;
• ”Werknemer”: Omwille van praktische redenen wordt ‘werknemer’ in deze Policy in een ruime zin begrepen en omvat het iedere huidige of voormalige werknemer;
• ”Europees Economische Ruimte (“EER”)” omvat momenteel de volgende landen: België, Bulgarije, Cyprus, Denemarken, Duitsland, Estland, Finland, Frankrijk, Griekenland, Hongarije, Ierland, IJsland, Italië, Kroatië, Letland, Liechtenstein, Litouwen, Luxemburg, Malta, Nederland, Noorwegen, Oostenrijk, Polen, Portugal, Roemenië, Slovenië, Slowakije, Spanje, Tsjechië, Verenigd Koninkrijk, Zweden.
• “Persoonsgegevens” omvatten alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“betrokkene”);
• “Betrokkene” betekent een identificeerbaar persoon die direct of indirect kan worden geïdentificeerd, met naam aan de hand van een identificator zoals een naam, identificatienummer, locatiegegevens, een online identificator of van één of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
• ”Gevoelige persoonsgegevens ” omvatten persoonsgegevens waaruit volgende gegevens over iemand blijken:
o raciale of etnische afkomst;
o politieke overtuiging;
o godsdienst of levensbeschouwelijke overtuigingen;
o lidmaatschap van een vakbond;
o gegevens over gezondheid of seksueel gedrag;
o gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen.
o raciale of etnische afkomst;
o politieke overtuiging;
o godsdienst of levensbeschouwelijke overtuigingen;
o lidmaatschap van een vakbond;
o gegevens over gezondheid of seksueel gedrag;
o gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen.
• ”Verwerking” wordt in de AVG omschreven als ‘een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.’ Dit duidt op een ruime opvatting van de term ‘verwerking’.
• “Inbreuk in verband met persoonsgegevens ” wordt in de AVG omschreven als ‘een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens’.
5 Toepassing lokale wetgeving
Deze Policy is opgesteld om naleving met de AVG te verzekeren. Merkator NV erkent dat de wetgeving van bepaalde landen bepaalde aspecten van gegevensverwerking in detail kan specifiëren voor zover de AVG daar de mogelijkheid toe biedt, en in dat geval zullen de meer gedetailleerde specifieke voorschriften van dat land samen met de AVG van toepassing zijn.
Alle vragen over de toepasselijke wetgeving en de naleving ervan door Merkator NV kunnen worden gericht aan de Verantwoordelijke GDPR (privacy@merkator.com).
6 Beginselen betreffende de verwerking van persoonsgegevens
Merkator NV eerbiedigt de persoonlijke levenssfeer van de hierboven vermelde betrokkenen van wie persoonsgegevens worden verwerkt, en zet zich in om hun persoonsgegevens te beschermen in overeenstemming met de AVG. De naleving van de AVG ligt in de lijn met de wens van Merkator NV om haar werknemers en iedere andere betrokkene te informeren over de verwerking van hun persoonsgegevens, en hun privacyrechten te erkennen en eerbiedigen.
Merkator NV neemt volgende beginselen in acht bij de verwerking van persoonsgegevens:
• Persoonsgegevens worden ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant verwerkt;
• Persoonsgegevens worden voor welbepaalde en gerechtvaardigde doeleinden worden verzameld; de persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met die doeleinden;
• De persoonsgegevens zullen toereikend, terzake dienend en beperkt zijn tot wat noodzakelijk is voor de doeleinden waarvoor ze worden verwerkt;
• De persoonsgegevens moeten juist zijn en indien nodig geactualiseerd worden. Alle redelijke maatregelen worden genomen om de persoonsgegevens die onjuist of onvolledig zijn, onverwijld te verbeteren of te wissen;
• De persoonsgegevens worden enkel bewaard zolang als nodig is voor de doeleinden waarvoor ze worden verwerkt. Deze doeleinden worden in deze Policy uiteengezet;
• De persoonsgegevens zullen worden verwijderd of aangepast volgend op een gegrond verzoek van de betrokkene;
• De persoonsgegevens zullen worden verwerkt in overeenstemming met de wettelijke rechten van de betrokkene zoals omschreven in deze Policy of zoals wettelijk wordt voorzien;
• Er worden passende technische en organisatorische maatregelen genomen om ongeoorloofde toegang, onrechtmatige verwerking en ongeoorloofd of onopzettelijk verlies, vernietiging of beschadiging van de persoonsgegevens te vermijden. Bij een niet naleving zoals omschreven in voorgaande zin, en/of in geval van een onopzettelijk informatielek, zal Merkator NV passende maatregelen nemen om de schending te beëindigen/informatielek weg te werken en verantwoordelijkheden vast te stellen in overeenstemming met de AVG en zal indien nodig meewerken met de bevoegde autoriteiten, voor zover deze betrokken zouden worden bij een dergelijke schending of informatielek.
• Persoonsgegevens worden voor welbepaalde en gerechtvaardigde doeleinden worden verzameld; de persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met die doeleinden;
• De persoonsgegevens zullen toereikend, terzake dienend en beperkt zijn tot wat noodzakelijk is voor de doeleinden waarvoor ze worden verwerkt;
• De persoonsgegevens moeten juist zijn en indien nodig geactualiseerd worden. Alle redelijke maatregelen worden genomen om de persoonsgegevens die onjuist of onvolledig zijn, onverwijld te verbeteren of te wissen;
• De persoonsgegevens worden enkel bewaard zolang als nodig is voor de doeleinden waarvoor ze worden verwerkt. Deze doeleinden worden in deze Policy uiteengezet;
• De persoonsgegevens zullen worden verwijderd of aangepast volgend op een gegrond verzoek van de betrokkene;
• De persoonsgegevens zullen worden verwerkt in overeenstemming met de wettelijke rechten van de betrokkene zoals omschreven in deze Policy of zoals wettelijk wordt voorzien;
• Er worden passende technische en organisatorische maatregelen genomen om ongeoorloofde toegang, onrechtmatige verwerking en ongeoorloofd of onopzettelijk verlies, vernietiging of beschadiging van de persoonsgegevens te vermijden. Bij een niet naleving zoals omschreven in voorgaande zin, en/of in geval van een onopzettelijk informatielek, zal Merkator NV passende maatregelen nemen om de schending te beëindigen/informatielek weg te werken en verantwoordelijkheden vast te stellen in overeenstemming met de AVG en zal indien nodig meewerken met de bevoegde autoriteiten, voor zover deze betrokken zouden worden bij een dergelijke schending of informatielek.
7 Persoonsgegevens die door Merkator NV worden verwerkt
Persoonsgegevens is een erg ruim concept dat een ruime interpretatie behoeft. Wanneer een natuurlijke persoon, ongeacht de categorie, identificeerbaar is op basis van gegevens die in de systemen of in gestructureerde bestanden van Merkator NV worden verwerkt, is deze Policy van toepassing.
Types van persoonsgegevens die op zichzelf of in combinatie met andere gegevens toelaten om een natuurlijke persoon te identificeren, zijn bijvoorbeeld identificatiegegevens (naam, adres, telefoonnummer, e‑mailadres, gelogde elektronische identificatiegegevens,…), foto’s of beeldmateriaal, geluidsopnames, camerabeelden, unieke identificatienummers, financiële bijzonderheden, persoonlijke kenmerken (zoals leeftijd, geslacht, geboortedatum, geboorteplaats, burgerlijke stand, nationaliteit), fysieke of psychologische gegevens, leef‑ en consumptiegewoontes, gegevens over familie, training, opleiding, tewerkstelling enzovoort.
Het komt erop neer dat alle informatie over een persoon als persoonsgegevens wordt gekwalificeerd. Niet al deze gegevens kunnen echter leiden tot de unieke identificatie van een persoon. Indien u bijvoorbeeld enkel beschikt over de naam en het geslacht van een persoon, zal dit niet volstaan om een persoon uniek te identificeren uit de volledige bevolking van een land, maar het zou wel kunnen leiden tot identificatie binnen het personeel van Merkator NV.
Om na te gaan of een persoon identificeerbaar is, moet er rekening worden gehouden met alle middelen die redelijkerwijze gebruikt kunnen worden, rekening houdend met de kost en de tijd nodig voor de identificatie, de beschikbare technologie op het ogenblik van de verwerking en de technologische ontwikkelingen (bvb. De combinatie van een functie en een naam zal slechts enkele minuten online vergen – bijvoorbeeld op basis van LinkedIn – om na te gaan over wie het gaat).
Deze Policy is niet van toepassing op anonieme informatie.
Rekening houdend met het feit dat deze Policy enkel van toepassing is op natuurlijke personen, vallen ook gegevens over rechtspersonen buiten het toepassingsgebied, tenzij deze toelaten om een natuurlijke persoon te identificeren.
8 Informatie over de verwerkingen onder de verantwoordelijkheid van Merkator NV
Om persoonsgegevens te verwerken moet Merkator NV over een rechtsgrond beschikken.
Merkator NV zal persoonsgegevens op rechtmatige wijze verwerken en dit hoofdzakelijk op basis van één van de volgende (relevante) rechtsgronden:
• omdat het noodzakelijk is met het oog op de uitvoering van de overeenkomst, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
• omdat het noodzakelijk is om te voldoen aan de wettelijke verplichtingen van Merkator NV;
• omdat het noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van Merkator NV of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen.
o Deze laatste rechtsgrond die vaak gebruikt zal moeten worden, vereist aldus het uitvoeren van een evenwichtstest tussen de belangen van Merkator NV enerzijds en de personen wiens gegevens worden verwerkt anderzijds.
• omdat het noodzakelijk is om te voldoen aan de wettelijke verplichtingen van Merkator NV;
• omdat het noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van Merkator NV of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen.
o Deze laatste rechtsgrond die vaak gebruikt zal moeten worden, vereist aldus het uitvoeren van een evenwichtstest tussen de belangen van Merkator NV enerzijds en de personen wiens gegevens worden verwerkt anderzijds.
Daarnaast bestaan er nog enkele minder vaak voorkomende rechtsgronden waarop Merkator NV zich occasioneel zal kunnen beroepen om persoonsgegevens te verwerken, zoals:
• Iemands vrije, specifieke, geïnformeerde en ondubbelzinnige toestemming voor de verwerking van zijn/haar persoonsgegevens voor één of meer specifieke doeleinden;
o In gevallen waar er een reëel of potentieel nadeel kan volgen uit de weigering van de toestemming, dan is toestemming niet geldig aangezien het niet vrij gegeven wordt geacht (bvb. in het kader van de arbeidsrelatie);
• Wanneer de verwerking noodzakelijk is om de vitale belangen van de betrokkene of een andere natuurlijke persoon te beschermen (wat beperkt moet worden geïnterpreteerd), bvb. in geval van een medisch noodgeval.
o In gevallen waar er een reëel of potentieel nadeel kan volgen uit de weigering van de toestemming, dan is toestemming niet geldig aangezien het niet vrij gegeven wordt geacht (bvb. in het kader van de arbeidsrelatie);
• Wanneer de verwerking noodzakelijk is om de vitale belangen van de betrokkene of een andere natuurlijke persoon te beschermen (wat beperkt moet worden geïnterpreteerd), bvb. in geval van een medisch noodgeval.
Voor elk specifiek doeleinde waarvoor Merkator NV persoonsgegevens verwerkt zal het zich slechts op één rechtsgrond beroepen.
Occasioneel zal Merkator NV ook gevoelige gegevens moeten verwerken in het kader van de arbeidsrelatie.1
De verwerking van dergelijke gegevens is logischerwijze aan banden gelegd en Merkator NV zal dit dan ook enkel doen indien:
• de betrokkene uitdrukkelijke toestemming heeft gegeven voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleinden, behalve indien de wet bepaalt dat het verbod niet door de betrokkene kan worden opgeheven (wat vaak het geval is in het kader van de arbeidsrelatie waar lokale wetgeving bepaalt dat de toestemming enkel kan worden gegeven indien de werknemer een voordeel verwerft);
• de verwerking noodzakelijk is met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van Merkator NV of de werknemer/de externe partij op het gebied van het arbeidsrecht en het socialezekerheids- en socialebeschermingsrecht;
• de verwerking betrekking heeft op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt;
• de verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering;
• de verwerking noodzakelijk is voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van iemands arbeidsgeschiktheid, medische diagnosen, het verstrekken van gezondheidszorg of sociale diensten of behandelingen.
• de verwerking noodzakelijk is met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van Merkator NV of de werknemer/de externe partij op het gebied van het arbeidsrecht en het socialezekerheids- en socialebeschermingsrecht;
• de verwerking betrekking heeft op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt;
• de verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering;
• de verwerking noodzakelijk is voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van iemands arbeidsgeschiktheid, medische diagnosen, het verstrekken van gezondheidszorg of sociale diensten of behandelingen.
Voor meer informatie over de concrete categorieën van persoonsgegevens en de doeleinden waarvoor Merkator NV persoonsgegevens verwerkt, wordt verwezen naar:
• de algemene privacy statement op de websites;
• de privacykennisgeving voor sollicitanten op de rekruteringswebsite;
• de privacykennisgeving aan ons personeel.
• de privacykennisgeving voor sollicitanten op de rekruteringswebsite;
• de privacykennisgeving aan ons personeel.
9 Beveiliging/vertrouwelijkheid
Merkator NV verbindt zich ertoe om passende technische, fysieke en organisatorische maatregelen nemen om de persoonsgegevens te beschermen tegen de ongeoorloofde toegang, onrechtmatige verwerking, onopzettelijk verlies of aantasting en ongeoorloofde vernietiging ervan.
9.1 Apparatuur en informatiebeveiliging
Om ongeoorloofde toegang tot persoonsgegevens door derden te voorkomen, worden alle elektronische persoonsgegevens in handen van Merkator NV bewaard in systemen die beschermd zijn met veilige up-to-date netwerkarchitectuur, uitgerust met firewalls en toegangsdetectieapparatuur. Er bestaat een “back up” van de gegevens opgeslagen op de servers zodat de gevolgen van een onopzettelijke verwijdering, vernietiging of verlies vermeden kunnen worden. De servers bevinden zich in inrichtingen met een hoge graad van beveiliging, waarbij toegang door onbevoegden vermeden wordt en er branddetectie- en reactiesystemen in werking zijn.
9.2 Toegangsbeveiliging
De beveiliging van persoonsgegevens in verband met Merkator NV is van groot belang. Merkator NV verbindt zich ertoe om de integriteit van persoonsgegevens te vrijwaren en de ongeoorloofde toegang tot informatie van Merkator NV te voorkomen. Deze maatregelen zijn ontworpen en bedoeld om gegevensfraude te voorkomen, om onbekende en ongeoorloofde toegang tot onze computersystemen en informatie af te weren, en om passende bescherming te bieden aan persoonsgegevens in handen van Merkator NV. Niemand, behoudens occasionele bezoekers die een afspraak hebben, kan de sites van Merkator NV waar persoonsgegevens worden bijgehouden, betreden zonder een gevalideerde toegangsbadge. Alle personeelsdossiers worden op vertrouwelijke wijze in de HR afdeling bijgehouden in beveiligde en vergrendelde dossierkasten of ruimten. Toegang tot de geautomatiseerde databanken wordt gecontroleerd door inloggegevens en vereist de identificatie door middel van een paswoord vooraleer toegang wordt verleend. Gebruikers hebben toegang tot gegevens in de mate van het nodige om hun functie uit te voeren. De veiligheidsaspecten van onze software en ontwikkelde procedures worden gebruikt om persoonsgegevens te beschermen tegen verlies, misbruik, en ongeoorloofde toegang, verstrekking, wijziging of vernietiging.
9.3 Opleiding
Merkator NV is verantwoordelijk om passende opleidingen te geven over de opgesomde rechtmatig voorgehouden doeleinden om persoonsgegevens te verwerken, over de noodzaak om nauwkeurige en geactualiseerde gegevens te houden, over de rechtmatige doeleinden voor het verzamelen, behandelen, en ten slotte over de noodzaak om gegevens waartoe werknemers toegang hebben, vertrouwelijk te houden. Gemachtigde gebruikers zullen deze Policy naleven en Merkator NV zal passende maatregelen nemen in overeenstemming met de toepasselijke wetgeving indien Persoonsgegevens werden geraadpleegd, verwerkt of gebruikt op een manier die in strijd is met de vereisten van deze Policy.
10 Gegevensbescherming door ontwerp (‘By Design’) en door standaardinstellingen (‘By Default’)
10.1 Algemeen principle
Merkator NV heeft zowel bij nieuwe initiatieven als voor lopende projecten (zakelijke initiatieven, nieuwe systemen, tools of applicaties) een verantwoordelijkheid om te verzekeren dat de gegevensbeschermingsbeginselen ingebouwd worden vanaf de ontwikkelingsfase (zgn. ‘gegevensbescherming door ontwerp’) als tijdens de loop ervan (zgn. ‘gegevensbescherming door standaardinstellingen’).
10.2 Gegevensbeschermingseffectbeoordeling (‘GEB’)
De AVG heeft het concept van de zgn. gegevenbeschermingseffectbeoordeling, afgekort ‘GEB’ of bekend onder haar Engelse benaming ‘data protection impact assessment’, afgekort ‘DPIA’, geïntroduceerd wat een soort risicoanalyse is van een geplande verwerking. Een GEB moet enkel worden uitgevoerd wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen.
In het algemeen kan Merkator NV er van uitgaan dat, wanneer een verwerking aan 2 van de 9 hieronder vermelde criteria beantwoordt, er een GEB moet worden uitgevoerd;
• Evaluatie of scoretoekenning, waaronder profilering en voorspelling, in het bijzonder m.b.t. de beoordeling van een betrokkene op het werk, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of beweging;
• Geautomatiseerde besluitvorming met rechtsgevolg of vergelijkbaar wezenlijk gevolg;
• Verwerking van persoonsgegevens op grote schaal;
• Gevoelige persoonsgegevens of gegevens van zeer persoonlijke aard;
• Stelselmatige monitoring;
• Gegevens m.b.t. kwetsbare betrokkenen, zoals werknemers;
• Matching of samenvoeging van datasets op een manier dat het de redelijke privacyverwachtingen van de betrokkene te buiten zou gaan;
• Innovatief gebruik of innovatieve toepassing van nieuwe technologische of organisatorische oplossingen, zoals een combinatie van het gebruik van vingerafdruk en gezichtsherkenning voor een verbeterde toegangscontrole;
• Wanneer de verwerking zelf de betrokkene verhindert een recht uit te oefenen of een dienst of contract te gebruiken.
• Geautomatiseerde besluitvorming met rechtsgevolg of vergelijkbaar wezenlijk gevolg;
• Verwerking van persoonsgegevens op grote schaal;
• Gevoelige persoonsgegevens of gegevens van zeer persoonlijke aard;
• Stelselmatige monitoring;
• Gegevens m.b.t. kwetsbare betrokkenen, zoals werknemers;
• Matching of samenvoeging van datasets op een manier dat het de redelijke privacyverwachtingen van de betrokkene te buiten zou gaan;
• Innovatief gebruik of innovatieve toepassing van nieuwe technologische of organisatorische oplossingen, zoals een combinatie van het gebruik van vingerafdruk en gezichtsherkenning voor een verbeterde toegangscontrole;
• Wanneer de verwerking zelf de betrokkene verhindert een recht uit te oefenen of een dienst of contract te gebruiken.
De lokale Gegevensbeschermingsautoriteiten kunnen lijsten van verwerkingsactiviteiten publiceren die onderworpen zijn aan de vereiste om een GEB uit te voeren.
11 Rechten van betrokkenen
11.1 Procedure
Merkator NV moet de uitoefening van de rechten van de betrokkenen wiens persoonsgegevens het verwerkt, faciliteren. Verzoeken van betrokkenen zullen behandeld worden door Verantwoordelijke GDPR (privacy@merkator.com).
Merkator NV kan, wanneer het redenen heeft om te twijfelen aan de identiteit van de natuurlijke persoon die een verzoek indient, om aanvullende informatie vragen die nodig is ter bevestiging van de identiteit van de betrokkene.
Merkator NV moet de betrokkene in dat kader onverwijld en in ieder geval binnen 1 maand na ontvangst van het verzoek informatie bezorgen over het gevolg dat aan het verzoek is gegeven. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens 2 maanden worden verlengd. Merkator NV moet de betrokkene binnen 1 maand na ontvangst van het verzoek in kennis stellen van een dergelijke verlenging.
Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt.
Wanneer Merkator NV geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen 1 maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven, en informeert hij hem over de mogelijkheid om klacht in te dienen bij een toezichthoudende autoriteit en beroep bij de rechter in te stellen.
Het verstrekken van de communicatie en het treffen van de maatregelen geschiedt kosteloos. Wanneer verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn, met naam vanwege hun repetitieve karakter, mag Merkator NV ofwel: (a) een redelijke vergoeding aanrekenen in het licht van de administratieve kosten waarmee het verstrekken van de gevraagde informatie of communicatie en het treffen van de gevraagde maatregelen gepaard gaan; ofwel (b) weigeren gevolg te geven aan het verzoek.
11.2 Welke rechten?
Betrokkenen zullen over de volgende rechten beschikken:
a) Recht van inzage en kopie: de betrokkene heeft het recht om van Merkator NV uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van die persoonsgegevens en van de wettelijk verplichte informatie, die terug te vinden is in de hierboven vermelde privacy statements en kennisgevingen. Merkator NV moet op verzoek aan de betrokkene ook een kopie bezorgen van de persoonsgegevens die worden verwerkt. Indien de betrokkene om bijkomende kopieën verzoekt, kan Merkator NV op basis van de administratieve kosten een redelijke vergoeding aanrekenen.
Dit recht mag geen afbreuk doen aan de rechten en vrijheden van anderen. Dit betekent bijvoorbeeld dat de rechten van andere personen ook beschermd moeten worden: gegevensdragers waarin niet alleen de persoonsgegevens van de aanvrager voorkomen, maar ook die van andere personen, zullen niet volledig kunnen worden ingezien door de betrokkene. Ook de rechten van Merkator NV spelen hier: in de mate dat Merkator NV goede redenen heeft om bepaalde informatie niet bekend te maken omwille van bijvoorbeeld confidentialiteitsredenen of haar belang om een discreet beheer te voeren om sommige vlakken, kan ertoe leiden dat een betrokkene geen toegang zal krijgen tot bepaalde gegevens.
b) Recht op rectificatie: de betrokkene heeft het recht om van Merkator NV onverwijld rectificatie van hem betreffende onjuiste persoonsgegevens te verkrijgen. Met inachtneming van de doeleinden van de verwerking heeft de betrokkene het recht vervollediging van onvolledige persoonsgegevens te verkrijgen, onder meer door een aanvullende verklaring te verstrekken. Wanneer deze gegevens zijn meegedeeld aan anderen, moet Merkator NV ook hen inlichten;
c) Recht op gegevenswissing („recht op vergetelheid”): De betrokkene heeft het recht van Merkator NV zonder onredelijke vertraging wissing van hem betreffende persoonsgegevens te verkrijgen en Merkator NV is verplicht persoonsgegevens zonder onredelijke vertraging te wissen wanneer een van de volgende gevallen van toepassing is:
• de persoonsgegevens zijn niet langer nodig voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt;
• de betrokkene trekt de toestemming waarop de verwerking berust, in, en er is geen andere rechtsgrond voor de verwerking;
• de betrokkene maakt bezwaar tegen de verwerking, en er zijn geen prevalerende dwingende gerechtvaardigde gronden voor de verwerking,
• de persoonsgegevens zijn onrechtmatig verwerkt;
• de persoonsgegevens moeten worden gewist om te voldoen aan een in het Unierecht of het lidstatelijke recht neergelegde wettelijke verplichting die op Merkator NV rust;
• de betrokkene trekt de toestemming waarop de verwerking berust, in, en er is geen andere rechtsgrond voor de verwerking;
• de betrokkene maakt bezwaar tegen de verwerking, en er zijn geen prevalerende dwingende gerechtvaardigde gronden voor de verwerking,
• de persoonsgegevens zijn onrechtmatig verwerkt;
• de persoonsgegevens moeten worden gewist om te voldoen aan een in het Unierecht of het lidstatelijke recht neergelegde wettelijke verplichting die op Merkator NV rust;
Dit recht is onder andere niet van toepassing voor zover verwerking nodig is:
• voor het uitoefenen van het recht op vrijheid van meningsuiting en informatie;
• voor het nakomen van een in een wettelijke verwerkingsverplichting die op Merkator NV rust, of voor het vervullen van een taak van algemeen belang of het uitoefenen van het openbaar gezag dat aan Merkator NV is verleend;
• voor de instelling, uitoefening of onderbouwing van een rechtsvordering.
• voor het nakomen van een in een wettelijke verwerkingsverplichting die op Merkator NV rust, of voor het vervullen van een taak van algemeen belang of het uitoefenen van het openbaar gezag dat aan Merkator NV is verleend;
• voor de instelling, uitoefening of onderbouwing van een rechtsvordering.
d) Intrekking toestemming: Indien Merkator NV zich gebaseerd heeft op toestemming als verwerkingsgrond, mag de betrokkene te allen tijde de toestemming intrekken. Dit zal echter geen impact hebben op de rechtmatigheid van de verwerking die al heeft plaatsgevonden voor de intrekking;
e) Recht op beperking van de verwerking: de betrokkene heeft het recht van Merkator NV de beperking van de verwerking te verkrijgen, bijvoorbeeld indien de juistheid van de persoonsgegevens wordt betwist;
f) Recht op overdraagbaarheid van gegevens: de betrokkene heeft het recht de hem betreffende persoonsgegevens, die hij aan Merkator NV heeft verstrekt, in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen, en hij heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen, zonder daarbij te worden gehinderd door Merkator NV, indien:
• de verwerking berust op toestemming of op een overeenkomst; en
• de verwerking via geautomatiseerde procedés wordt verricht.
• de verwerking via geautomatiseerde procedés wordt verricht.
Dat recht mag opnieuw geen afbreuk doen aan de rechten en vrijheden van anderen.
g) Recht van bezwaar: de betrokkene heeft te allen tijde het recht om vanwege met zijn specifieke situatie verband houdende redenen bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens op basis van de gerechtvaardigde belangen van Merkator NV, met inbegrip van profilering op basis van die bepalingen. Merkator NV moet dan de verwerking van de persoonsgegevens staken tenzij het dwingende gerechtvaardigde gronden voor de verwerking aanvoert die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvordering.
h) Geautomatiseerde individuele besluitvorming, waaronder profilering: de betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft. In die gevallen treft Merkator NV passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, waaronder ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke, het recht om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten.
Indien een betrokkene klachten heeft in verband met de verwerking van zijn/haar persoonsgegevens, moet de betrokkene dit vooreerst aankaarten bij:
• Het HR departement voor sollicitanten, (voormalige) werknemers, enzovoort;
• Voor alle andere betrokkenen: Verantwoordelijke GDPR (privacy@merkator.com).
• Voor alle andere betrokkenen: Verantwoordelijke GDPR (privacy@merkator.com).
De betrokkene kan ook een klacht indienen bij de Gegevensbeschermingsautoriteit.
12 Bewaring van persoonsgegevens
Merkator NV zal persoonsgegevens niet langer bewaren dan noodzakelijk voor de doeleinden waarvoor ze verwerkt worden.
13 Doorgifte van gegevens
13.1 Binnen de Merkator NV groep
Iedere vestiging van Merkator NV kan verschillende rollen bekleden onder de reglementering betreffende gegevensbescherming:
• Optreden als een afzonderlijke verantwoordelijke met betrekking tot verwerkingsactiviteiten (bvb. de payroll van de eigen werknemers);
• Het kan ook samen met andere Merkator NV vestigingen optreden als gezamenlijke verwerkingsverantwoordelijke met betrekking tot andere verwerkingsactiviteiten (bvb. indien de verschillende vestigingen een gezamenlijk systeem of database, documenten en/of ander toestel gebruiken met betrekking tot gedeelde persoonsgegevens);
• Het kan optreden als verwerker in opdracht van andere vestigingen van Merkator NV (bvb. indien een overkoepelende dienst binnen de ene vestiging persoonsgegevens verwerkt in opdracht van een andere vestiging van Merkator NV).
• Het kan ook samen met andere Merkator NV vestigingen optreden als gezamenlijke verwerkingsverantwoordelijke met betrekking tot andere verwerkingsactiviteiten (bvb. indien de verschillende vestigingen een gezamenlijk systeem of database, documenten en/of ander toestel gebruiken met betrekking tot gedeelde persoonsgegevens);
• Het kan optreden als verwerker in opdracht van andere vestigingen van Merkator NV (bvb. indien een overkoepelende dienst binnen de ene vestiging persoonsgegevens verwerkt in opdracht van een andere vestiging van Merkator NV).
Om hun respectievelijke rollen en verantwoordelijkheden te bepalen, hebben de Merkator NV vestigingen een intra-group verwerkingsovereenkomst gesloten.
13.2 Aan externe partijen
Persoonsgegevens kunnen door Merkator NV worden doorgegeven aan externe partijen indien de bekendmaking ervan kadert binnen één van de verwerkingsdoeleinden waarop de gegevensverwerking wordt gebaseerd en indien de bekendmaking rechtmatig en eerlijk wordt geacht voor de betrokkene.
Merkator NV heeft alle externe partijen in kaart gebracht die toegang hebben tot de persoonsgegevens die onder de verantwoordelijkheid van Merkator NV worden verwerkt en heeft met deze partijen, waar nodig, contractuele waarborgen gesloten om de persoonsgegevens zo goed mogelijk te beveiligen. Merkator NV zal verder enkel beroep doen op verwerkers die voldoende waarborgen bieden om passende technische en organisatorische maatregelen te implementeren waardoor de gegevensverwerking in overstemming met de AVG wordt uitgevoerd en de rechten van de betrokkenen worden beschermd. Telkenmale er met een nieuwe dienstverlener wordt gewerkt die toegang krijgt tot persoonsgegevens onder de verantwoordelijkheid van Merkator NV, zal er worden uitgemaakt of deze dienstverlener al dan niet een verwerker is en zal vervolgens het nodige worden gedaan.
14 Geautomatiseerde besluitvorming
Geautomatiseerde besluitvorming wordt gedefinieerd als beslissingen over individuen die louter en alleen worden genomen op basis van geautomatiseerde gegevensverwerking en waaraan rechtsgevolgen zijn verbonden of die hen anderszins in aanmerkelijke mate treffen.
Merkator NV stelt als beginsel voorop dat het niet aan geautomatiseerde besluitvorming doet. Indien geautomatiseerde beslissingen worden genomen zullen de betrokkenen de mogelijkheid krijgen om hun standpunt over de geautomatiseerde beslissing in kwestie kenbaar te maken en er bezwaar tegen te uiten.
15 Inbreuk in verband met persoonsgegevens
In geval van een inbreuk op persoonsgegevens zoals hieronder omschreven en zoals opgenomen in de lijst met definities in deze Policy, is het van fundamenteel belang dat er zo snel mogelijk passende maatregelen worden genomen om het risico op schade voor de betrokkene en uiteindelijk ook voor Merkator NV zelf (reputatieschade, opgelegde sancties,…) te minimaliseren.
15.1 Wat is een inbreuk i.v.m. persoonsgegevens?
Er is bijvoorbeeld sprake van een inbreuk op de beveiliging bij de diefstal of het verlies van een USB stick, mobiel toestel of een laptop of bij indringing door een hacker van ongeacht welk systeem dat persoonsgegevens bevat. Echter niet elke inbreuk op de beveiliging vormt ook een inbreuk in verband met persoonsgegevens. Het schema hieronder toont wanneer een inbreuk op de beveiliging een inbreuk in verband met persoonsgegevens wordt die gemeld moet worden.
15.2 Melding van inbreuken in verband met persoonsgegevens
a) Interne melding
In ieder geval zijn alle individuen die informatie van Merkator NV raadplegen, gebruiken of beheren verantwoordelijk om iedere inbreuk op de beveiliging en incidenten in verband met informatiebeveiliging onmiddellijk te melden aan het Privacy Departement, zodat er onmiddellijk geanalyseerd kan worden of de inbreuk gemeld moet worden. Het Privacy Departement zal in voorkomend geval een formulier doorsturen waarmee de betrokkene meer details kan geven m.b.t. het incident.
b) Externe melding
Iedereen die in de uitoefening van zijn/haar functie bij Merkator NV persoonsgegevens (van collega’s, sollicitanten, klanten, derden enzovoort) verwerkt, moet er zorg voor dragen om (opzettelijke of onopzettelijke) incidenten te vermijden die de privacy van de betrokkenen kunnen aantasten.
Merkator NV is verplicht om binnen de 72 uur nadat zij er kennis van heeft genomen, de Gegevensbeschermingsautoriteit in kennis te stellen van elke inbreuk in verband met persoonsgegevens waarbij er ernstige negatieve gevolgen zijn of kunnen zijn betreffende de bescherming van persoonsgegevens. In sommige gevallen zal Merkator NV ook de betrokkene(n) die geïmpacteerd zijn door de inbreuk, moeten inlichten.
15.3 Onderzoek en risicoanalyse
Afhankelijk van het type incident zal Merkator NV het incident onderzoeken. Indien mogelijk zal er binnen de 24 uur nadat het incident gemeld is, een onderzoek worden opgestart.
Het onderzoek zal uitwijzen wat de aard van het incident is, het type van betrokken gegevens en of er persoonsgegevens bij betrokken zijn (en zo ja, wie de betrokkenen zijn en hoeveel persoonlijke bestanden werden getroffen).
Het onderzoek zal analyseren in welke mate het systeem werd aangetast of wat de gevoeligheid van de betrokken gegevens is en er zal een risicoanalyse worden uitgevoerd over wat de mogelijke gevolgen van het incident kunnen zijn, bijvoorbeeld of betrokkenen benadeeld zijn of de toegang tot gegevens of IT diensten verstoord is.
15.4 Beheer en herstel
Het Privacy Departement bepaalt het passende verloop en de vereiste middelen om de impact van het incident te beperken. Dit vereist mogelijk het afzonderen van een deel van het netwerk, het verwittigen van relevante werknemers of het uitschakelen van bepaalde apparatuur.
Er worden passende maatregelen genomen om het verlies van systemen of gegevens te herstellen en de normale operationele werkzaamheden te hervatten. Dit omvat mogelijk het trachten te herstellen van verloren apparatuur, het terugvallen op “back up” mechanismen om aangetaste of gestolen gegevens te herstellen en het wijzigen van aangetaste paswoorden.
Advies van (externe) experten kan worden ingewonnen om het incident onverwijld en gepast op te lossen.
15.5 Melding
Vervolgens zal de onderneming op basis van de ernst van de inbreuk een beslissing nemen of de verantwoordelijke Gegevensbeschermingsautoriteit wettelijk in kennis moeten worden gesteld.
Wanneer de beslissing wordt genomen om de Gegevensbeschermingsautoriteit op de hoogte te brengen van een bepaald incident, en eventueel de betrokkene(n) zelf ook, zal de volgende beoordeling worden gemaakt:
15.6 Beoordeling
Eenmaal het incident is afgehandeld moet er een grondige analyse plaatsvinden. Het verslag beschrijft de oorsprong van het incident en de elementen die ertoe hebben bijgedragen, het chronologisch verloop van de gebeurtenissen, de reactieve maatregelen, aanbevelingen en geleerde lessen om domeinen te identificeren die verbeterd moeten worden. Aanbevolen wijzigingen aan systemen, policies en procedures zullen zo snel mogelijke daarna gedocumenteerd en geïmplementeerd worden.
16 Bijzondere personeelsinstructies
Alle personen die werkzaam zijn bij Merkator NV en die in de uitoefening van hun functie toegang hebben tot persoonsgegevens worden door de Policy verplicht om het nodige te doen om deze Policy na te leven. Bijgevolg moeten deze personen het belang van een juiste en rechtmatige behandeling van persoonsgegevens erkennen en moeten zij op een uiterst voorzichtige wijze omgaan met deze gegevens mits een strikte naleving van deze Policy.
Bovendien moeten voormelde personen ervan op de hoogte zijn dat de niet naleving van deze Policy ernstige negatieve gevolgen kan hebben voor het privéleven van de betrokkenen wiens persoonsgegevens onder de verantwoordelijkheid van Merkator NV worden verwerkt, alsook voor Merkator NV zelf (bijvoorbeeld door hoge boetes vanwege de Gegevensbeschermingsautoriteit, reputatieschade,…).
De technische en organisatorische maatregelen zijn vastgelegd in de ‘Verklaring van Toepasselijkheid als onderdeel van Merkator NV’s ISO 227001 managementsysteem.
17 Handhaving van deze Policy
Merkator NV zorgt ervoor dat deze Policy in acht wordt genomen en behoorlijk wordt geïmplementeerd. Alle personen die toegang hebben tot persoonsgegevens moeten deze Policy naleven.
Schending van de toepasselijke wetgeving betreffende gegevensbescherming in de EER kan ertoe leiden dat Merkator NV boetes of schadeclaims kan opgelegd krijgen door de Gegevensbeschermingsautoriteit of door de bevoegde rechtbank. Indien deze schade rechtstreeks voortvloeit uit een schending van deze Policy door de werknemers, dan zal dit aanleiding geven tot de sancties vermeld in het arbeidsreglement van Merkator NV, met inbegrip van, maar niet beperkt tot ontslag.
18 Kennisgeving van deze Policy
Merkator NV zal een periodieke opleiding voorzien over deze Policy. Hiervoor geldt een verplichte aanwezigheid.
Bovendien zal Merkator NV deze Policy meedelen aan de huidige en nieuwe werknemers door deze beschikbaar te maken via het werknemersportaal.
19 Wijzigingen aan het beleid
Merkator NV behoudt zich het recht voor om indien nodig deze Policy te wijzigen, bijvoorbeeld om te voldoen aan nieuwe wettelijke verplichtingen, richtlijnen of eisen gesteld door de Gegevensbeschermingsautoriteit. Merkator NV zal de betrokkenen informeren over iedere materiële wijziging aan deze Policy.