Je kan ons Algemeen Beleid Bescherming Persoonsgegevens hier downloaden.
Timewax BV streeft ernaar te voldoen aan de toepasselijke wet- en regelgeving met betrekking tot de bescherming van persoonsgegevens in de landen waar Timewax BV actief is. Dit beleid beschrijft de basisprincipes op basis waarvan Timewax BV de persoonsgegevens van consumenten, klanten, leveranciers, zakenpartners, medewerkers en andere personen verwerkt, en geeft de verantwoordelijkheden van haar afdelingen en medewerkers aan bij de verwerking van persoonsgegevens.
Dit beleid is van toepassing op Timewax BV en haar direct of indirect gecontroleerde volledige dochterondernemingen die zakendoen binnen de Europese Economische Ruimte (EER) of persoonsgegevens van betrokkenen binnen de EER verwerken.
De gebruikers van dit document zijn alle werknemers, vast of tijdelijk, en alle contractanten die namens Timewax BV werken.
De volgende definities van de in dit document gebruikte termen zijn afkomstig uit Artikel 4 van de Algemene Verordening Gegevensbescherming van de Europese Unie:
Persoonsgegevens: Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (hierna ” de betrokkene ” genoemd) die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of aan de hand van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
Gevoelige persoonsgegevens: Persoonsgegevens die vanwege hun aard bijzonder gevoelig zijn met betrekking tot fundamentele rechten en vrijheden, verdienen specifieke bescherming, aangezien de context van hun verwerking aanzienlijke risico’s voor de fundamentele rechten en vrijheden met zich mee kan brengen. Deze persoonsgegevens omvatten persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of vakbondslidmaatschap blijken, genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid of gegevens met betrekking tot iemands seksueel gedrag of seksuele geaardheid.
Verwerkingsverantwoordelijke : De natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of een ander orgaan die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
Gegevensverwerker : Een natuurlijke of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die ten behoeve van een gegevensbeheerder persoonsgegevens verwerkt.
Verwerking : Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
Anonimisering: Het onomkeerbaar anonimiseren van persoonsgegevens, zodat de persoon niet kan worden geïdentificeerd met behulp van redelijke tijd, kosten en technologie, noch door de verwerkingsverantwoordelijke, noch door een andere persoon om die persoon te identificeren. De beginselen voor de verwerking van persoonsgegevens zijn niet van toepassing op geanonimiseerde gegevens, aangezien dit geen persoonsgegevens meer zijn.
Pseudonimisering: De verwerking van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet langer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende informatie wordt gebruikt, mits deze aanvullende informatie apart wordt bewaard en onderworpen is aan technische en organisatorische maatregelen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld. Pseudonimisering beperkt de mogelijkheid om persoonsgegevens aan een betrokkene te koppelen, maar elimineert deze mogelijkheid niet volledig. Omdat gepseudonimiseerde gegevens nog steeds persoonsgegevens zijn, dient de verwerking van gepseudonimiseerde gegevens te voldoen aan de beginselen voor de verwerking van persoonsgegevens.
Grensoverschrijdende verwerking van persoonsgegevens: Verwerking van persoonsgegevens die plaatsvindt in het kader van de activiteiten van vestigingen in meer dan één lidstaat van een verwerkingsverantwoordelijke of een verwerker in de Europese Unie wanneer de verwerkingsverantwoordelijke of de verwerker in meer dan één lidstaat is gevestigd; of verwerking van persoonsgegevens die plaatsvindt in het kader van de activiteiten van één vestiging van een verwerkingsverantwoordelijke of een verwerker in de Unie, maar die in meer dan één lidstaat betrokkenen wezenlijk treft of waarschijnlijk wezenlijk treft;
Toezichthoudende autoriteit: een onafhankelijke overheidsinstantie die door een lidstaat is ingesteld overeenkomstig artikel 51 van de AVG;
Leidende toezichthoudende autoriteit: De toezichthoudende autoriteit die primair verantwoordelijk is voor de afhandeling van grensoverschrijdende gegevensverwerking, bijvoorbeeld wanneer een betrokkene een klacht indient over de verwerking van zijn of haar persoonsgegevens. Deze autoriteit is onder andere verantwoordelijk voor het ontvangen van meldingen van datalekken, voor het ontvangen van meldingen over risicovolle verwerkingsactiviteiten en heeft volledige bevoegdheid met betrekking tot haar taken om te zorgen voor naleving van de bepalingen van de EU AVG.
Elke ” lokale toezichthoudende autoriteit ” blijft op haar eigen grondgebied actief en houdt toezicht op elke lokale gegevensverwerking die van invloed is op betrokkenen of die wordt uitgevoerd door een verwerkingsverantwoordelijke of verwerker uit de EU of daarbuiten, wanneer de verwerking gericht is op betrokkenen die op haar grondgebied wonen. Haar taken en bevoegdheden omvatten het uitvoeren van onderzoeken en het opleggen van administratieve maatregelen en boetes, het bevorderen van het publieke bewustzijn van de risico’s, regels, beveiliging en rechten met betrekking tot de verwerking van persoonsgegevens, en het verkrijgen van toegang tot alle gebouwen van de verwerkingsverantwoordelijke en de verwerker, inclusief alle gegevensverwerkingsapparatuur en -middelen.
“Hoofdvestiging met betrekking tot een verwerkingsverantwoordelijke” met vestigingen in meer dan één lidstaat: de plaats van zijn centrale bestuur in de Unie, tenzij de beslissingen over de doeleinden van en de middelen voor de verwerking van persoonsgegevens worden genomen in een andere vestiging van de verwerkingsverantwoordelijke in de Unie en laatstgenoemde vestiging bevoegd is om die beslissingen uit te voeren, in welk geval de vestiging waar die beslissingen zijn genomen, wordt beschouwd als de hoofdvestiging;
“Hoofdvestiging met betrekking tot een verwerker” met vestigingen in meer dan één lidstaat, de plaats van zijn centrale administratie in de Unie of, indien de verwerker geen centrale administratie in de Unie heeft, de vestiging van de verwerker in de Unie waar de voornaamste verwerkingsactiviteiten in het kader van de activiteiten van een vestiging van de verwerker plaatsvinden, voor zover de verwerker onderworpen is aan specifieke verplichtingen krachtens deze verordening;
Groepsonderneming: Iedere houdstermaatschappij samen met haar dochterondernemingen.
De beginselen voor gegevensbescherming schetsen de basisverantwoordelijkheden voor organisaties die persoonsgegevens verwerken. Artikel 5(2) van de AVG bepaalt: ” De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de beginselen en kan deze naleving aantonen .”
Persoonsgegevens moeten worden verwerkt op een wijze die ten opzichte van de betrokkene rechtmatig, behoorlijk en transparant is.
Persoonsgegevens moeten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet op een met die doeleinden onverenigbare wijze worden verwerkt.
Persoonsgegevens moeten toereikend, ter zake dienend en beperkt zijn tot wat noodzakelijk is voor de doeleinden waarvoor ze worden verwerkt. Timewax BV moet anonimisering of pseudonimisering van persoonsgegevens waar mogelijk faciliteren om de risico’s voor de betrokkenen te beperken.
Persoonsgegevens moeten juist zijn en zo nodig worden bijgewerkt. Er moeten redelijke maatregelen worden genomen om ervoor te zorgen dat persoonsgegevens die, gelet op de doeleinden waarvoor ze worden verwerkt, onjuist zijn, tijdig worden gewist of gecorrigeerd.
Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.
Rekening houdend met de stand van de techniek en andere beschikbare beveiligingsmaatregelen, de kosten van de implementatie en de waarschijnlijkheid en ernst van risico’s met betrekking tot persoonsgegevens, moet Timewax BV passende technische of organisatorische maatregelen nemen om Persoonsgegevens op een manier te verwerken die een passende beveiliging van persoonsgegevens waarborgt, met inbegrip van bescherming tegen onbedoelde of onrechtmatige vernietiging, verlies, wijziging, ongeoorloofde toegang of openbaarmaking.
Verwerkingsverantwoordelijken moeten verantwoordelijk zijn voor de naleving van de hierboven beschreven beginselen en deze kunnen aantonen.
Om aan te tonen dat er aan de beginselen van gegevensbescherming wordt voldaan, moet een organisatie gegevensbescherming in haar bedrijfsactiviteiten integreren.
(Zie het gedeelte Richtlijnen voor eerlijke verwerking.)
(Zie het gedeelte Richtlijnen voor eerlijke verwerking.)
Timewax BV streeft ernaar zo min mogelijk persoonsgegevens te verzamelen. Indien persoonsgegevens van derden worden verzameld, dient de Chief Information Security Officer erop toe te zien dat de persoonsgegevens rechtmatig worden verzameld.
De doeleinden, methoden, opslagbeperking en bewaartermijn van persoonsgegevens moeten consistent zijn met de informatie in de Algemene Verordening Gegevensbescherming. Timewax BV moet de juistheid, integriteit, vertrouwelijkheid en relevantie van persoonsgegevens handhaven op basis van het verwerkingsdoel. Er moeten adequate beveiligingsmechanismen worden gebruikt om diefstal, misbruik of misbruik van persoonsgegevens te voorkomen en om datalekken te voorkomen. De Chief Information Security Officer is verantwoordelijk voor de naleving van de in deze sectie vermelde vereisten.
Wanneer Timewax BV een externe leverancier of zakenpartner inschakelt om namens haar persoonsgegevens te verwerken, dient de Chief Information Security Officer ervoor te zorgen dat deze verwerker beveiligingsmaatregelen treft om persoonsgegevens te beschermen die passen bij de bijbehorende risico’s. Hiervoor dient de AVG-compliancevragenlijst voor verwerkers te worden gebruikt.
Timewax BV moet contractueel van de leverancier of zakenpartner eisen dat deze hetzelfde niveau van gegevensbescherming biedt. De leverancier of zakenpartner mag persoonsgegevens uitsluitend verwerken om zijn contractuele verplichtingen jegens Timewax BV na te komen of in opdracht van Timewax BV, en niet voor andere doeleinden. Wanneer Timewax BV persoonsgegevens samen met een onafhankelijke derde partij verwerkt, moet Timewax BV expliciet de respectieve verantwoordelijkheden van de leverancier en de derde partij vastleggen in het betreffende contract of een ander juridisch bindend document, zoals de Leveranciersgegevensverwerkingsovereenkomst.
Voordat persoonsgegevens buiten de Europese Economische Ruimte (EER) worden overgedragen, moeten passende waarborgen worden getroffen, waaronder het ondertekenen van een gegevensoverdrachtsovereenkomst, zoals vereist door de Europese Unie, en, indien vereist, het verkrijgen van toestemming van de relevante gegevensbeschermingsautoriteit. De entiteit die de persoonsgegevens ontvangt, moet voldoen aan de beginselen voor de verwerking van persoonsgegevens zoals uiteengezet in de procedure voor grensoverschrijdende gegevensoverdracht.
Wanneer de Chief Information Security Officer optreedt als gegevensbeheerder, is hij verantwoordelijk voor het bieden van een redelijk toegangsmechanisme aan betrokkenen om hen toegang te geven tot hun persoonsgegevens, en moet hij hen in staat stellen hun persoonsgegevens bij te werken, te corrigeren, te wissen of over te dragen, indien van toepassing of wettelijk vereist. Het toegangsmechanisme wordt verder uitgewerkt in de Procedure voor toegangsverzoeken van betrokkenen.
Betrokkenen hebben het recht om op verzoek een kopie te ontvangen van de gegevens die zij aan ons hebben verstrekt in een gestructureerde vorm en deze gegevens kosteloos over te dragen aan een andere verwerkingsverantwoordelijke. De Chief Information Security Officer is ervoor verantwoordelijk dat dergelijke verzoeken binnen een maand worden verwerkt, niet buitensporig zijn en geen afbreuk doen aan de rechten op persoonsgegevens van andere personen.
Betrokkenen hebben op verzoek het recht om van Timewax BV te verkrijgen dat hun persoonsgegevens worden gewist. Wanneer Timewax BV optreedt als Verwerkingsverantwoordelijke, moet de Chief Information Security Officer de nodige maatregelen nemen (waaronder technische maatregelen) om de derden die de gegevens gebruiken of verwerken, te informeren om aan het verzoek te voldoen.
Persoonsgegevens mogen uitsluitend worden verwerkt met uitdrukkelijke toestemming van de Chief Information Security Officer.
Timewax BV moet beslissen of zij voor elke gegevensverwerkingsactiviteit een Data Protection Impact Assessment uitvoert volgens de Data Protection Impact Assessment Guidelines.
Op het moment van verzameling of voorafgaand aan het verzamelen van persoonsgegevens voor welke verwerkingsactiviteiten dan ook, inclusief maar niet beperkt tot de verkoop van producten, diensten of marketingactiviteiten, is de Chief Information Security Officer verantwoordelijk voor het correct informeren van betrokkenen over het volgende: de soorten verzamelde persoonsgegevens, de doeleinden van de verwerking, de verwerkingsmethoden, de rechten van betrokkenen met betrekking tot hun persoonsgegevens, de bewaartermijn, mogelijke internationale gegevensoverdrachten, of gegevens met derden worden gedeeld en de beveiligingsmaatregelen van Timewax BV ter bescherming van persoonsgegevens. Deze informatie wordt verstrekt via de Algemene Verordening Gegevensbescherming.
Als uw bedrijf meerdere gegevensverwerkingsactiviteiten heeft, moet u verschillende kennisgevingen opstellen. Deze verschillen afhankelijk van de verwerkingsactiviteit en de categorieën verzamelde persoonsgegevens. Zo kan er bijvoorbeeld een kennisgeving worden geschreven voor verzendingsdoeleinden en een andere voor verzenddoeleinden.
Wanneer persoonsgegevens worden gedeeld met een derde partij, moet de Chief Information Security Officer ervoor zorgen dat de betrokkenen hiervan op de hoogte zijn gesteld via een Algemene Verklaring Gegevensbescherming.
Wanneer persoonsgegevens worden doorgegeven aan een derde land volgens het beleid inzake grensoverschrijdende gegevensoverdracht, moet dit in de algemene mededeling over gegevensbescherming worden vermeld en moet duidelijk worden vermeld naar welke entiteit en waar de persoonsgegevens worden doorgegeven.
Wanneer er gevoelige persoonsgegevens worden verzameld, moet de Chief Information Security Officer ervoor zorgen dat in de Algemene Verklaring inzake Gegevensbescherming expliciet wordt vermeld met welk doel deze gevoelige persoonsgegevens worden verzameld.
Wanneer de verwerking van persoonsgegevens gebaseerd is op toestemming van de betrokkene of op andere rechtmatige grondslagen, is de Chief Information Security Officer verantwoordelijk voor het bijhouden van een register van deze toestemming. De Chief Information Security Officer is verantwoordelijk voor het bieden van mogelijkheden aan betrokkenen om toestemming te geven en moet ervoor zorgen dat hun toestemming (wanneer toestemming wordt gebruikt als rechtmatige grondslag voor verwerking) te allen tijde kan worden ingetrokken.
Wanneer de verzameling van persoonsgegevens betrekking heeft op een kind jonger dan 16 jaar, moet de Chief Information Security Officer ervoor zorgen dat er voorafgaand aan de verzameling toestemming van de ouders is gegeven met behulp van het toestemmingsformulier voor ouders.
Bij verzoeken om correctie, wijziging of vernietiging van persoonsgegevens moet de Chief Information Security Officer ervoor zorgen dat deze verzoeken binnen een redelijke termijn worden afgehandeld. De Chief Information Security Officer moet de verzoeken ook registreren en hiervan een logboek bijhouden.
Persoonsgegevens mogen alleen worden verwerkt voor het doel waarvoor ze oorspronkelijk zijn verzameld. Indien Timewax BV verzamelde persoonsgegevens voor een ander doel wil verwerken, dient Timewax BV schriftelijk en duidelijk de toestemming van de betrokkenen te verkrijgen. Een dergelijk verzoek dient het oorspronkelijke doel waarvoor de gegevens zijn verzameld te vermelden, evenals het/de nieuwe of aanvullende doel(en). Het verzoek dient tevens de reden voor de wijziging van het/de doel(en) te bevatten. De Functionaris Gegevensbescherming is verantwoordelijk voor de naleving van de regels in deze paragraaf.
De Chief Information Security Officer moet er nu en in de toekomst voor zorgen dat de verzamelmethoden voldoen aan de relevante wetgeving, goede praktijken en industrienormen.
De Chief Information Security Officer is verantwoordelijk voor het maken en bijhouden van een register met algemene mededelingen over gegevensbescherming.
De verantwoordelijkheid voor het waarborgen van een passende verwerking van persoonsgegevens ligt bij iedereen die voor of met Timewax BV werkt en toegang heeft tot de persoonsgegevens die door Timewax BV worden verwerkt.
De belangrijkste verantwoordelijkheden voor de verwerking van persoonsgegevens liggen bij de volgende organisatorische rollen:
De Raad van Bestuur beslist over de algemene strategieën van Timewax BV inzake de bescherming van persoonsgegevens en keurt deze goed.
De Chief Information Security Officer is verantwoordelijk voor het beheer van het programma voor de bescherming van persoonsgegevens en is verantwoordelijk voor de ontwikkeling en promotie van een allesomvattend beleid voor de bescherming van persoonsgegevens;
De Chief Information Security Officer houdt toezicht op en analyseert de wetgeving inzake persoonsgegevens en wijzigingen in de regelgeving, ontwikkelt nalevingsvereisten en helpt afdelingen binnen het bedrijf bij het behalen van hun doelstellingen op het gebied van persoonsgegevens.
De Chief Development Officer is verantwoordelijk voor:
De Chief Commercial Officer is verantwoordelijk voor:
De Raad van Bestuur is verantwoordelijk voor:
De Raad van Bestuur is verantwoordelijk voor het doorgeven van de verantwoordelijkheden op het gebied van de bescherming van persoonsgegevens aan leveranciers, het verbeteren van het bewustzijn van leveranciers op het gebied van de bescherming van persoonsgegevens en het doorgeven van de vereisten met betrekking tot persoonsgegevens aan alle externe leveranciers die zij gebruiken. De afdeling Inkoop moet ervoor zorgen dat Timewax BV zich het recht voorbehoudt om leveranciers te auditen.
Het identificeren van een leidende toezichthoudende autoriteit is alleen relevant indien Timewax BV grensoverschrijdende verwerking van persoonsgegevens uitvoert.
Er is sprake van grensoverschrijdende verwerking van persoonsgegevens indien:
of
Indien Timewax BV slechts vestigingen in één lidstaat heeft en haar verwerkingsactiviteiten uitsluitend betrekking hebben op betrokkenen in die lidstaat, is het niet nodig een leidende toezichthoudende autoriteit in te stellen. De enige bevoegde autoriteit is de toezichthoudende autoriteit in het land waar het bedrijf rechtmatig gevestigd is.
De Raad van Bestuur identificeert Nederland als hoofdvestiging.
Indien Timewax BV beslissingen neemt met betrekking tot grensoverschrijdende verwerkingsactiviteiten in de plaats van haar centrale administratie in Nederland, zal er één leidende toezichthoudende autoriteit zijn voor de gegevensverwerkingsactiviteiten die Timewax BV uitvoert.
Indien het Bedrijf meerdere vestigingen heeft die onafhankelijk van elkaar optreden en beslissingen nemen over de doeleinden en middelen van de verwerking van persoonsgegevens, erkent de Raad van Bestuur dat er meer dan één leidende toezichthoudende autoriteit bestaat.
Wanneer Timewax BV optreedt als verwerker, is de hoofdvestiging de plaats van de centrale administratie. Indien de plaats van de centrale administratie zich niet in de EU bevindt, is de hoofdvestiging de vestiging in de EU waar de belangrijkste verwerkingsactiviteiten plaatsvinden.
Wanneer Timewax BV kennis krijgt van een vermoedelijke of daadwerkelijke inbreuk op persoonsgegevens, moet de Chief Information Security Officer een intern onderzoek uitvoeren en tijdig passende corrigerende maatregelen nemen, conform het Datalekbeleid. Indien er een risico bestaat voor de rechten en vrijheden van betrokkenen, moet Timewax BV de relevante gegevensbeschermingsautoriteiten onverwijld en, indien mogelijk, binnen 72 uur op de hoogte stellen.
De Raad van Bestuur is verantwoordelijk voor het controleren van de mate waarin de bedrijfsafdelingen dit beleid implementeren.
Tegen elke werknemer die dit beleid overtreedt, worden disciplinaire maatregelen genomen. Daarnaast kan de werknemer civielrechtelijk of strafrechtelijk aansprakelijk worden gesteld als zijn of haar gedrag in strijd is met de wet- of regelgeving.
Dit beleid is bedoeld om te voldoen aan de wet- en regelgeving van de vestigingsplaats en de landen waar Timewax BV actief is. In geval van tegenstrijdigheid tussen dit beleid en de toepasselijke wet- en regelgeving, prevaleert de laatstgenoemde.
