Privacy Policy NL
RESULTS GENERATION, B.V. - GEGEVENSBESCHERMINGSBELEID
Laatst bijgewerkt: Januari 2024
Volgende beoordelingsdatum: Januari 2025
De omvang en het doel van dit beleid
Dit beleid zet de aanpak uiteen van Results Generation, B.V., gevestigd op Zekeringstraat 21B, 1014BM, Amsterdam, NL (het bedrijf) om te voldoen aan zijn wettelijke verplichtingen onder de Data Protection Act 1998, de EU Algemene Verordening Gegevensbescherming 2016 / 679) (de AVG), de Gegevensbeschermingswet 2018, de Gegevensbescherming Vergoedingen (kosten en informatie) 2018 en de Privacy en Elektronische (EG-richtlijn) Verordening 2003 (zoals deze van tijd tot tijd gewijzigd of vervangen worden) en alle andere toepasselijke gegevensbescherming wetgeving (samen de wetgeving inzake gegevensbescherming). Dit beleid houdt ook rekening met de relevante richtlijnen die zijn gepubliceerd door het Information Commissioner's Office (de ICO), de toezichthouder voor gegevensbescherming in Engeland en Wales.
Het bedrijf neemt de bescherming van persoonlijke gegevens van personen serieus en heeft zijn praktijken en beleid ontwikkeld met betrekking tot de gegevensbescherming beginselen, die zijn uiteengezet in de Wetgeving inzake gegevensbescherming.
Het bedrijf treedt in bepaalde omstandigheden op als gegevensbeheerder in lijn met de doeleinden van de wetgeving inzake gegevensbescherming en heeft ICO hierover geïnformeerd. Het registratienummer van het bedrijf in het ICO-register van gegevens controller is 67788254. Een kopie van de vermelding van het bedrijf in het register kan online worden bekeken via http://ico.org.uk/esdwebpages/search of in bijlage 1 bij dit beleid.
De onderneming heeft een functionaris voor gegevensbescherming benoemd. Deze DPO is verantwoordelijk voor het toezicht op de gegevensbescherming binnen het bedrijf, inclusief dit beleid en de werkwijzen die in het kader hiervan zijn zijn ontwikkeld. De DPO kan worden benaderd voor alle vragen, die onder dit beleid vallen, via de volgende contactgegevens: abuse@resultsgeneration.com.
Belangrijke termen en definities
Toestemming:
Elke ongevraagde, specifieke, geïnformeerde en ondubbelzinnige indicatie van de wensen van de betrokkene, waarmee hij of zij, door een verklaring of
door een duidelijke bevestigende handeling, instemt met de verwerking van persoonsgegevens die op hem of haar betrekking hebben, wordt gezien als
toestemming. Er is uitdrukkelijke toestemming nodig voor het verwerken van speciale categorieën persoonlijke gegevens.
Verantwoordelijke
Een persoon of organisatie die, alleen of samen met anderen, de doeleinden en middelen van de verwerking van persoonsgegevens bepaalt.
Verwerker
Een persoon of organisatie die persoonsgegevens namens de verantwoordelijke verwerkt.
Gegevens betrokkene
Omvat alle in-leven zijnde personen waarover het bedrijf persoonlijke gegevens heeft. Een betrokkene hoeft geen ingezetene of ingezetene van het
VK te zijn. Alle betrokkenen die onze diensten in de Europese Unie gebruiken hebben wettelijke rechten met betrekking tot hun persoonlijke gegevens.
De DPO
De persoon die verantwoordelijk is voor het toezicht op de manier waarop de onderneming de naleving van de wetgeving inzake gegevensbescherming aanpakt.
De Autoriteit Persoonsgegevens (AP)
Het bureau van de Autoriteit Persoonsgegevens (AP) dat de regelgevende instantie is die verantwoordelijk is voor de uitvoering van en het toezicht
op de wetgeving inzake gegevensbescherming.
Kennisgeving
De AP op de hoogte brengen van de gegevensverwerkings activiteiten van de onderneming, zo dat de onderneming is geregistreerd als gegevens controller
en wordt weergegeven in het openbare register van de AP.
Persoonlijke gegevens
Informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon; een identificeerbare natuurlijke persoon is iemand die direct
of indirect kan worden geïdentificeerd, met name door te verwijzen naar een identificator zoals een naam, een identificatienummer, locatiegegevens, een
online-identificator of een of meer factoren die specifiek zijn voor de fysieke, fysiologische, genetische, mentale, economische, culturele of sociale
identiteit van die natuurlijke persoon. Persoonlijke gegevens kunnen feitelijk zijn of het kan een mening zijn over die persoon, zijn acties en / of
zijn gedrag dat deze direct of indirect identificeert.
Verwerken
Met betrekking tot informatie of gegevens, betekent dit de verwerking van elke bewerking, of verzameling handelingen die worden uitgevoerd op
persoonlijke gegevens, of op verzamelingen persoonlijke gegevens, al dan niet met geautomatiseerde middelen, zoals verzameling, opname, organisatie,
structurering, opslag, aanpassing of wijziging, opvraging, raadpleging, gebruik, openbaarmaking door verzending, verspreiding of anderszins beschikbaar
stellen, aanpassing of combinatie, beperking, wissing of vernietiging.
Speciale categorieën van persoonsgegevens
Persoonlijke gegevens die betrekking hebben op levende wezens:
- raciale of etnische afkomst;
- politieke meningen;
- religie of soortgelijke overtuigingen;
- vakbondslidmaatschap;
- lichamelijke of geestelijke gezondheid;
- seksleven;
- genetische gegevens;
- biometrische gegevens;
- en strafblad of procedure.
De bedrijfsactiviteiten en gegevensverzameling van het bedrijf
Het bedrijf ontwikkelt, bezit of heeft de rechten op bepaalde technologie met betrekking tot de distributie van commerciële e-mails en houdt zich bezig met commerciële reclame- en marketingactiviteiten gericht op consumenten via e-mail. Consumenten kunnen zich aanmelden om marketinginformatie van het bedrijf te ontvangen via een van de websites van het bedrijf of via de externe marketing partners van het bedrijf.
In de loop van haar zakelijke activiteiten verzamelt en gebruikt het bedrijf bepaalde soorten informatie over:
- de werknemers en de werknemers van de agenten, partners en reclamepartners;
- de personen die via haar websites of anderszins in contact komen met het bedrijf;
- gebruikers van de diensten, die zich abonneren om informatie rechtstreeks van het bedrijf te ontvangen; en,
- personen die zich hebben aangemeld om marketingmateriaal van het bedrijf te ontvangen via de externe marketing partners van het bedrijf.
Deze persoonlijke informatie moet op de gepaste manier worden verzameld en afgehandeld, ongeacht of deze op papier wordt verzameld, in een computer database wordt opgeslagen of op ander materiaal wordt vastgelegd en er waarborgen zijn om dit te waarborgen op grond van de wetgeving over gegevensbescherming.
In de hoedanigheid van gegevensbeheerder bepaalt het bedrijf de doeleinden waarvoor deze gegevens worden verzameld, opgeslagen, verwerkt en verwijderd.
Gegevensverzameling
De bedrijfsactiviteiten van de onderneming omvatten de verwerking van persoonlijke gegevens met het doel om de betrokkenen direct te markeren. Gewoonlijk (maar niet altijd) kan het bedrijf persoonlijke gegevens voor dergelijke doeleinden verkrijgen van zijn externe marketing partners en vertrouwen op de toestemming die betrokkenen aan dergelijke entiteiten verlenen.
Het bedrijf onderneemt de volgende acties om de geldigheid te beoordelen en de toestemming van de betrokkene te garanderen met betrekking tot hun persoonlijke gegevens om deze aan hun externe marketing partners verstrekken met het doel om directe elektronische marketing van het bedrijf te ontvangen:
- eist van haar externe marketing partners om specifieke en geïnformeerde toestemming van betrokkenen te verkrijgen, inclusief (waar mogelijk) door het bedrijf specifiek te noemen in hun relevante toestemming disclaimers / webformulieren en privacybeleid, passend bij de door het bedrijf beoogde verwerking van betrokkenen gegevens;
- doet zorgvuldig onderzoek naar zijn externe marketing partners en databases die persoonlijke gegevens bevatten die deze aan het bedrijf kunnen leveren;
- zorgt ervoor dat er adequate contractuele beschermingen zijn (inclusief garanties) om de derden marketing partners te verplichten toestemming te verkrijgen volgens het bestaande beleid, inclusief een verplichting om registers bij te houden. Deze beschikbaar te stellen wanneer toestemming is verkregen van een betrokkene en onder welke voorwaarden deze beschikbaar zijn; en
- eist van zijn externe marketing partners om hem real-time toegang te verlenen tot zijn indruk gegevens.
Het bedrijf heeft specifieke procedures ingesteld om na te gaan, voor elke marketingactie, of de toestemming, die het bedrijf voorstelt aan betrokkene, voldoende is en te verzekeren dat dergelijke toestemming geldig is / blijft. In het bijzonder zal het bedrijf zorgvuldigheid betrachten bij de naleving door zijn externe marketeers partijen alvorens een overeenkomsten met hen te sluiten en zal het voortdurende toezicht hierop houden na het aangaan van dergelijke overeenkomsten.
Principes van de Gegevensbescherming
De onderneming beschouwt de wettige en correcte behandeling van persoonlijke informatie als zeer belangrijk om succesvol te kunnen werken en om het vertrouwen te behouden van degenen met wie we zaken doen. Daartoe zal het bedrijf zich houden aan de principes met betrekking tot de verwerking van persoonsgegevens zoals uiteengezet in artikel 5 van de AVG.
Deze principes vereisen dat persoonlijke informatie:
- eerlijk, rechtmatig en doorzichtig wordt verwerkt in het algemeen en in het bijzonder niet worden verwerkt tenzij aan specifieke voorwaarden is voldaan;
- wordt verzameld voor specifieke, expliciete en legitieme doeleinden en deze mag niet worden verwerkt op enigerlei wijze die onverenigbaar is met die doeleinden;
- adequaat, relevant en niet buitensporig is in verhouding tot de doeleinden waarvoor ze worden verwerkt;
- accuraat is en, waar nodig, up-to-date worden gehouden;
- niet langer worden bewaard dan nodig is;
- verwerkt wordt in overeenstemming met de rechten van betrokkenen in het kader van de wetgeving inzake gegevensbescherming; en
- beveiligd worden gehouden door de verantwoordelijke voor de verwerking, die passende technische en andere maatregelen kan nemen om ongeoorloofde of onwettige verwerking of per ongeluk verlies, vernietiging of beschadiging van persoonlijke informatie te voorkomen.
Het belang van compliance
Wanneer één voor de verwerking verantwoordelijke zich niet aan de beginselen houdt en daardoor in strijd is met de wetgeving inzake gegevensbescherming, heeft de AP de bevoegdheid om:
- de verdere informatie van de voor de verwerking verantwoordelijke te vragen overeenkomstig met zijn onderzoeksbevoegdheden;
- een verbintenis van de voor de verwerking verantwoordelijke met betrekking tot een bepaalde gedragslijn vereisen (dat wil zeggen stappen om te voldoen aan de wetgeving inzake gegevensbescherming op te leggen);
- dien's handhavings boodschappen en 'stop nu'-kennisgevingen om van de voor de verwerking verantwoordelijke te verlangen dat hij bepaalde stappen onderneemt om hieraan te voldoen;
- auditrechten uit te oefenen om naleving te waarborgen; en
- in verband met ernstige inbreuken op de wetgeving inzake gegevensbescherming heeft de AP ook de bevoegdheid om een geldboete berekening uit te schrijven van maximaal 20 miljoen EUR of 4% van de jaaromzet, afhankelijk van welke hoger is.
Daarnaast kunnen betrokkenen actie ondernemen tegen de Vennootschap en schadevergoeding en / of leed ondervinden als gevolg van een schending van de Wetgeving inzake gegevensbescherming door het bedrijf met betrekking tot hun persoonlijke gegevens. Compliance is daarom cruciaal. Elke schending van het beleid of van de procedures van het bedrijf door een medewerker van het bedrijf, die resulteert of kan leiden tot een schending van de Wetgeving inzake gegevensbescherming, moet onmiddellijk aan de DPO worden gemeld via de bovenstaande contactgegevens.
Met betrekking tot haar externe marketing partners, streeft de Vennootschap haar contractuele garanties van naleving na, en behoudt zij ook auditrechten. Wanneer het bedrijf persoonlijke gegevens van een derde partij ontvangt, wordt deze overdracht altijd beheerst door een vorm van een beheerovereenkomst, hetzij volgens de standaardvoorwaarden van het bedrijf, hetzij zoals overeengekomen tussen de partijen.
Het bedrijf werkt niet met bedrijven of individuen van wie de bedrijfspraktijken niet voldoen aan de wetgeving inzake gegevensbescherming.
Eerlijke en wettige verwerking
De wetgeving over gegevensbescherming is niet bedoeld om verwerking van persoonsgegevens te voorkomen, maar om ervoor te zorgen dat deze op een eerlijke manier wordt uitgevoerd, zonder de rechten van de betrokkene nadelig te beïnvloeden. De betrokkene moet worden verteld wie de gegevensbeheerder is (in dit geval het bedrijf), de doeleinden waarvoor de gegevens moeten worden verwerkt en de identiteit van de persoon aan wie de gegevens kunnen worden verstrekt of overgedragen.
Voor de legale verwerking van persoonsgegevens moet aan bepaalde voorwaarden worden voldaan. Deze kunnen onder meer eisen bevatten waaraan de betrokkene heeft ingestemd met de verwerking, of dat de verwerking noodzakelijk is voor het rechtmatige belang van de voor de verwerking verantwoordelijke of de partij aan wie de gegevens worden bekendgemaakt. Wanneer speciale categorieën van persoonsgegevens worden verwerkt, moet aan meer dan één voorwaarde worden voldaan. In de meeste gevallen is de uitdrukkelijke toestemming van de betrokkene voor de verwerking van dergelijke gegevens vereist.
Gegevens over personeel kunnen worden verwerkt voor juridische, personele, administratieve en beheer doeleinden en om de voor verwerking verantwoordelijke in staat te stellen aan zijn wettelijke verplichtingen als werkgever te voldoen, bijvoorbeeld om personeel te betalen, hun prestaties te bewaken en voordelen in verband met hun werkgelegenheid te verlenen.
Gegevens over klanten, leveranciers en andere derden kunnen worden verwerkt voor de volgende doeleinden:
- marketing, reclame en public relations aan onze klanten aanbieden;
- het bijhouden van onze accounts en records;
- nze diensten promoten;
- nderzoek doen;
- en het ondersteunen en beheren van onze medewerkers.
Verwerking voor beperkte doeleinden
Persoonsgegevens worden alleen verwerkt voor de specifieke doeleinden die aan de betrokkene zijn gemeld toen de gegevens voor het eerst werden verzameld óf voor andere doeleinden die specifiek zijn toegestaan door de wetgeving inzake gegevensbescherming. Dit betekent dat persoonlijke gegevens niet voor één doel worden verzameld en vervolgens voor een ander doel worden gebruikt. Als het nodig is om het doel waarvoor de gegevens worden verwerkt te wijzigen, wordt de betrokkene op de hoogte gebracht van het nieuwe doel voordat enige verwerking plaatsvindt.
Bij het verkrijgen van toestemming rechtstreeks van een betrokkene voor de verwerking van zijn persoonlijke gegevens, of wanneer een externe marketingpartner dit namens het bedrijf onderneemt, zal het bedrijf alle redelijke stappen ondernemen om ervoor te zorgen dat de doeleinden waarvoor dergelijke gegevens moeten worden verwerkt zijn zowel rechtmatig als duidelijk aangemeld bij de betrokkene door middel van een combinatie van:
- toestemming disclaimers / formulieren;
- het privacybeleid van de onderneming (en, indien van toepassing, de kennisgeving van cookies);
- informatie die deel uitmaakt van de externe marketing partners van het bedrijf, relevante formulieren, disclaimers, kennisgevingen en beleid; en,
- interne beleidsdocumenten met betrekking tot werknemers.
Verwerking die adequaat, relevant en niet overdreven is
Persoonlijke gegevens worden alleen verzameld voor zover deze nodig zijn voor de specifieke doeleinden die aan betrokkenen worden gemeld. Gegevens die niet noodzakelijk zijn voor dat doel, zullen in de eerste plaats niet worden verzameld. Persoonlijke gegevens worden alleen verwerkt in overeenstemming met de beperkte doeleinden die hierboven zijn beschreven en zullen niet worden verwerkt op een manier die excessief is.
Het bedrijf zal ervoor zorgen dat dit principe bij het ontwerpen en implementeren van zijn e-mail marketingcampagnes voor consumenten, wordt nageleefd.
Nauwkeurige en actuele gegevens
Persoonlijke gegevens zullen juist zijn en worden bijgehouden. Informatie die onjuist of misleidend is, is niet correct en daarop zullen stappen worden ondernomen om de juistheid van persoonlijke gegevens te controleren. Dit zal daarna met regelmatige tussenpozen gebeuren.
In het kader van zijn commerciële marketingactiviteiten zal het bedrijf samenwerken met zijn externe marketing partners om ervoor te zorgen dat persoonlijke gegevens, die deel uitmaken van een marketing database / contactlijst regelmatig worden gecontroleerd en worden bijgewerkt.
Gegevens die als verouderd of onnauwkeurig worden aangemerkt, worden bijgewerkt of onderdrukt en vernietigd.
Dataretentie
We moeten ervoor zorgen dat de persoonlijke gegevens die we verwerken, adequaat en relevant zijn en niet langer worden bewaard dan nodig is voor het doel waarvoor deze is verwerkt. Dit betekent dat gegevens worden gearchiveerd en uiteindelijk worden vernietigd of gewist uit onze systemen wanneer dit niet langer nodig is. Dit gebeurt in overeenstemming met onze bewaartermijnen voor gegevens die worden beschreven in Bijlage 2 van dit beleid.
Verwerking die in overeenstemming is met de rechten van de betrokkene
Gegevens zullen worden verwerkt in overeenstemming met de rechten van betrokkenen. Betrokkenen hebben het recht om:
1) om toegang te krijgen tot alle gegevens die door een voor de verwerking verantwoordelijke over hen worden bewaard (artikel 15) - een betrokkene heeft het recht geïnformeerd te worden als één van zijn persoonsgegevens wordt verwerkt en, als dat het geval is, een kopie te ontvangen van de persoonlijke gegevens. Dit staat beter bekend als het indienen van een "Data Subject Access Request" of "DSAR". Hieraan zijn geen kosten verbonden, tenzij het verzoek kennelijk ongegrond / buitensporig is, in welk geval een redelijke vergoeding verschuldigd kan zijn;
- verzoeken dat alle gegevens die over hen worden bewaard, worden verwijderd (artikel 17) - een betrokkene heeft het recht om te verzoeken dat eventuele persoonlijke gegevens die over hem worden bewaard, zonder onnodige vertraging worden verwijderd. Het bedrijf is echter niet verplicht om persoonsgegevens te wissen wanneer het nodig is om het te bewaren of waar dit noodzakelijk is om te voldoen aan een wettelijke verplichting waaraan we zijn onderworpen;
- bezwaar tegen verwerking - een betrokkene heeft het recht om bezwaar te maken tegen direct marketing, verwerking op basis van legitieme belangen of de uitvoering van een taak van openbaar belang, mits deze redenen heeft die verband houden met hun specifieke situatie en verwerking voor wetenschappelijke of historische onderzoeksdoeleinden of statistische doeleinden ;
- vragen om onjuiste of onvolledige gegevens te wijzigen of in te vullen (artikel 16) - een betrokkene heeft het recht om te verzoeken dat eventuele persoonlijke gegevens die over hem worden weergegeven en die onjuist zijn, worden gecorrigeerd. Als persoonlijke gegevens onvolledig zijn, heeft de betrokkene het recht om die gegevens aan te vullen.
- verzoeken dat persoonlijke gegevens die over hen worden bewaard, worden beperkt (dwz geblokkeerd of onderdrukt) (artikel 18) - een betrokkene kan verzoeken om beperking van de verwerking wanneer de juistheid van de persoonsgegevens door de betrokkene wordt betwist, wanneer de verwerking onwettig is, en wanneer de betrokkene is tegen verwijdering en verzoekt om beperking in plaats daarvan, wanneer de onderneming niet langer persoonsgegevens nodig heeft voor de doeleinden van de verwerking, maar de betrokkene vereist dat deze juridische claims vaststelt, uitoefent of verdedigt en wanneer de betrokkene bezwaar heeft gemaakt tegen voorstellen en de onderneming overweegt of zijn legitieme redenen prevaleren boven de rechten van het individu;
- verzoeken dat hun persoonlijke gegevens worden overgedragen aan een derde partij (artikel 20) - dit recht is alleen van toepassing op persoonlijke gegevens ten aanzien waarvan de verwerking is gebaseerd op toestemming of op een contract en wordt uitgevoerd met geautomatiseerde middelen. Aangezien het bedrijf geen geautomatiseerde verwerking uitvoert, kunnen particulieren dit recht niet uitoefenen met betrekking tot hun gegevens die door het bedrijf worden verwerkt; en
- bezwaar maken tegen elke beslissing die hen in belangrijke mate raakt, uitsluitend wordt genomen door een computer of een ander geautomatiseerd proces (artikel 22) - Het bedrijf maakt geen gebruik van geautomatiseerde beslissingen software.
Wanneer gegevenssubjecten wiens persoonlijke gegevens worden verwerkt voor commerciële marketingdoeleinden van het bedrijf, hun toestemming intrekken of anderszins afmelden van de marketing van hun persoonlijke gegevens, zullen worden toegevoegd aan een suppressie lijst en gearchiveerd worden.
Dataveiligheid
Het bedrijf zal ervoor zorgen dat passende technische en organisatorische beveiligingsmaatregelen worden genomen tegen onrechtmatige of ongeoorloofde verwerking van persoonlijke gegevens, en tegen het per ongeluk verliezen van of schade betrokken aan persoonlijke gegevens. Individuen kunnen bij de rechter een vergoeding vragen als ze schade hebben geleden die voortvloeit uit een dergelijke verwerking of verlies van gegevens.
De wetgeving inzake gegevensbescherming vereist dat we procedures en technologieën invoeren om de veiligheid van alle persoonlijke gegevens te waarborgen vanaf het moment van verzameling tot het punt van vernietiging. Persoonlijke gegevens mogen alleen worden overgedragen aan een externe gegevensverwerker als die verwerkt ermee instemt om die procedures en beleidsregels na te leven of als deze zelf adequate maatregelen neemt.
Het onderhouden van gegevensbeveiliging betekent het garanderen van de vertrouwelijkheid, integriteit en beschikbaarheid van de persoonlijke gegevens, als is volgt gedefinieerd:
- Vertrouwelijkheid betekent dat alléén mensen die gemachtigd zijn om de gegevens te gebruiken er toegang toe hebben.
- Integriteit betekent dat persoonlijke gegevens juist en geschikt moeten zijn voor het doel waarvoor ze worden verwerkt.
- Beschikbaarheid betekent dat geautoriseerde gebruikers toegang moeten hebben tot de gegevens als ze deze voor geautoriseerde doeleinden nodig hebben. Persoonlijke gegevens moeten daarom worden opgeslagen op ons centrale computersysteem in plaats van op afzonderlijke pc's.
Het bedrijf onderhoudt verschillende procedures met betrekking tot gegevensbeveiliging, inclusief (maar niet beperkt tot):
- technische maatregelen encryptie;
- bescherming tegen kwaadwillende software / virussen inclusief firewalls;
- gebruikerstoegang besturingen zoals wachtwoorden;
- back-up van gegevens;
- veilige vernietiging of verwijdering van gegevens en veilige verwijdering van computerapparatuur en verwijderbare media;
- regelmatige technische audits; en
- kwetsbaarheid beoordeling.
- rganisatorische maatregelen
- toegangscontrole tot gebouwen;
- apparatuur - als u uw pc onbeheerd achterlaat, zorg er dan voor dat u het scherm hebt vergrendeld;
- veilig afsluitbaar papieren archiveringssysteem, bureaus en kasten; en
- geschikte verwijderingsmethoden - papieren en elektronische documenten worden opgeschoond, verwijderd en vernietigd.
Organisational measures
- entry control to premises;
- equipment -- if you are leaving your PC unattended then ensure that you have locked the screen;
- secure lockable hard-copy filing system, desks and cupboards; and
- appropriate methods of disposal -- hard-copy and electronic documents are sanitised, removed and destroyed.
Inbreuk op gegevensbeveiliging
Als er sprake is van een vermeende, vermoedelijke, dreigende of potentiële inbreuk op de beveiliging met betrekking tot persoonlijke gegevens of andere vertrouwelijke documenten, moet u dit onmiddellijk melden bij de DPO.
Voorbeelden van inbreuken op gegevensbeveiliging zijn:
- persoonlijke gegevens die per ongeluk naar iemand worden verzonden (intern of extern) die geen legitieme behoefte heeft om deze te zien;
- databases met persoonlijke gegevens die worden gecompromitteerd, bijvoorbeeld als gevolg van een cybersecurity-inbreuk of wanneer het bedrijf wordt "gehackt";
- het verlies of de diefstal van laptops, mobiele apparaten of papieren dossiers die persoonlijke gegevens bevatten;
- papieren die niet op de juiste manier zijn weggegooid in beveiligde afvalcontainers en die door anderen kunnen worden gezien of gebruikt;
- personeel dat persoonlijke gegevens opent of vrijgeeft buiten de vereisten of toestemming geeft voor hun werk;
- bedrogen worden door een derde partij om de persoonsgegevens van een andere persoon op ongepaste wijze vrij te geven; en
- het verlies van persoonlijke gegevens door onvoorziene omstandigheden zoals vuur of overstroming.
Het beleid van de Onderneming is dat alle werknemers alle werkelijk gebeurde of vermoedelijke inbreuken op dit beleid moeten melden bij de DPO zodra deze zijn ontdekt en uiterlijk binnen 24 uur na het optreden.
De DPO houdt een logboek bij van alle inbreuken en onderneemt verdere actie zoals:
- Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit (de AP) binnen 72 uur nadat een dergelijke inbreuk bekend is geworden, tenzij het onwaarschijnlijk is dat dit een risico inhoudt voor de rechten en vrijheden van natuurlijke personen; en
- Het onverwijld doorgeven van de inbreuk aan de betrokken betrokkene (n), tenzij de gegevens zijn versleuteld of anderszins onbegrijpelijk voor niet-geautoriseerde partijen, zijn maatregelen genomen zodat het risico van rechten en vrijheden waarschijnlijk niet werkelijkheid zal worden of het onevenredige inspanningen met zich mee zou brengen ( in welk geval een openbare mededeling kan worden gedaan).
Data overdracht
Het bedrijf zal persoonlijke gegevens van de Europese Economische Ruimte naar de Verenigde Staten overdragen. Om te voldoen aan het achtste gegevens beschermingsbeginsel en te zorgen voor een adequaat beschermingsniveau voor de persoonsgegevens van de betrokkenen in overeenstemming met de wetgeving inzake gegevensbescherming, waar het informatie met derden delen, zullen we passende contracten met contractueel model opstellen. Door de Europese Commissie en de AP goedgekeurde clausules om een passend beschermingsniveau voor die gegevens te bieden.
Openbaring
Het bedrijf kan gegevens delen met bepaalde gespecificeerde derden. In de meeste gevallen worden betrokkenen bewust gemaakt hoe en met wie hun informatie zal worden gedeeld. Er zijn echter omstandigheden waarin de wet het bedrijf toestaat gegevens vrij te geven (inclusief speciale categorieën van gegevens) zonder toestemming van de betrokkene.
De omstandigheden waarin het bedrijf de informatie van een betrokkene aan een derde mag bekendmaken, worden duidelijk uiteengezet aan betrokkenen in het Privacybeleid van de Onderneming.
Niet-naleving van dit beleid
De naleving van onze procedures voor gegevensbescherming is van vitaal belang en wordt nauwlettend gevolgd en gehandhaafd. Elke schending van dit beleid zal serieus worden genomen en zal worden behandeld in het kader van de formele disciplinaire procedure van het bedrijf en in ernstige gevallen kan worden behandeld als grove fout die leidt tot ontslag op staande voet [of (in de context van zelfstandige agenten) als mogelijk contractueel schending].
Waar strafbare feiten zijn gepleegd, bijvoorbeeld oneerlijkheid of fraude, kan een strafrechtelijke procedure worden gestart die kan leiden tot een boete of gevangenisstraf. Managers en bestuurders kunnen ook worden vervolgd als het misdrijf is gepleegd met hun instemming of samenspanning of vanwege hun verwaarlozing.
Naast de beperkingen op gegevensgebruik die zijn opgenomen in de wetgeving inzake gegevensbescherming, moeten werknemers zich er ook bewust van zijn dat een overtreding begaat volgens de Computer Misuse Act 1990, indien zij zonder de juiste toestemming computerprogramma's of gegevens openen of de inhoud van een computer wijzigen.
Herziening van dit beleid
De benadering van de onderneming met betrekking tot gegevensbescherming wordt regelmatig geëvalueerd via het bredere nalevings controleprogramma van de onderneming en de aanpak van de onderneming zal worden aangepast en geoptimaliseerd op basis van dergelijke monitoring.
Dit beleid (en de onderliggende procedures) zal minstens jaarlijks worden herzien, of op kortere termijnen indien de regelgeving of specifieke problemen die worden geïdentificeerd door onze monitoring, hierom vragen.
Personeelsverplichtingen
Van alle medewerkers zal, door middel van passende training en verantwoordelijk management, het volgende gevraagd worden:
- alle vormen van begeleiding, praktijkcodes en procedures over het verzamelen en gebruiken van persoonlijke gegevens observeren;
- de doelen waarvoor het bedrijf persoonsgegevens gebruikt volledig te begrijpen;
- alleen persoonlijke gegevens verzamelen en verwerken in overeenstemming met de doeleinden waarvoor het door het bedrijf zal worden verwerkt om aan zijn zakelijke behoeften of wettelijke vereisten te voldoen;
- alleen persoonlijke gegevens gebruiken, die zij nodig hebben om hun taken goed genoeg uit te voeren;
- ervoor te zorgen dat de persoonlijke gegevens die het bedrijf in verband met deze gegevens bezit, juist, volledig en actueel zijn;
- ervoor zorgen dat persoonlijke gegevens correct worden ingevoerd in de systemen van het bedrijf door onze standaardprocedures te volgen;
- ervoor zorgen dat persoonlijke gegevens veilig worden vernietigd wanneer ze niet langer nodig zijn, in overeenstemming met de bewaartermijnen voor gegevens die worden beschreven in BIJLAGE 2;
- nmiddellijk de DPO op de hoogte brengen bij ontvangst van een verzoek van een persoon om zijn rechten uit te oefenen zoals uitgelegd in dit beleid;
- m te gaan met alle persoonlijke gegevens in overeenstemming met de beveiligingsprocedures van het bedrijf;
- ervoor te zorgen dat geen persoonlijke gegevens of speciale categorieën persoonlijke gegevens over een collega of klant of leverancier, op sociale netwerksites of ergens anders online bekend worden gemaakt, inclusief maar niet beperkt tot Facebook, Twitter en andere online forums en sociale-mediasites (zoals openbaarmaking kan neerkomen op schending van de wetgeving inzake gegevensbescherming en dit beleid); en
- verantwoordelijk zijn voor het naleven van dit beleid.
Verplichtingen van het bedrijf
Het bedrijf zal:
- verantwoordelijk zijn voor het naleven van dit beleid;
- ervoor te zorgen dat er altijd één persoon is die de algehele verantwoordelijkheid draagt voor de naleving van de wetgeving inzake gegevensbescherming en dit beleid. Dit zal de DPO zijn waarvan de details hierboven zijn uiteengezet;
- trainingen verzorgen voor alle personeelsleden die met persoonsgegevens omgaan (als een werknemer niet zeker weet wat zijn of haar verantwoordelijkheden zijn, moet hij of zij contact opnemen met de DPO, die zal overwegen of verdere training nodig is);
- duidelijke lijnen van rapportage en toezicht bieden voor de naleving van de wetgeving inzake gegevensbescherming en dit beleid;
- haar gegevens van verwerkingsactiviteiten onder haar verantwoordelijkheid te handhaven en bij te werken en dergelijke gegevens op verzoek aan de AP ter beschikking te stellen, zoals vereist krachtens artikel 30 van de AVG;
- passende en voldoende monitoring uitvoeren, inclusief steekproefsgewijze controles zonder voorafgaande kennisgeving, om ervoor te zorgen dat de wetgeving inzake gegevensbescherming en dit beleid worden nageleefd door de onderneming en alle personeelsleden;
- passende technische en organisatorische maatregelen nemen om de veiligheid en beveiliging van persoonsgegevens te waarborgen die door het Bedrijf worden verwerkt; en
- beste practise praktijken aan te nemen met betrekking tot de verplichtingen die aan het bedrijf worden opgelegd als gegevensbeheerder, met name zal het alle relevante gedragscodes, voorschriften en richtlijnen in acht nemen die zijn uitgegeven door het ICO met betrekking tot de verwerking van persoonlijke gegevens.
Summary of the Company's approach
- De DPO heeft een specifieke verantwoordelijkheid voor het toezicht op de naleving door het bedrijf van de wetgeving inzake gegevensbescherming.
- Iedereen die persoonlijke informatie verwerkt, begrijpt dat zij contractueel verantwoordelijk is voor het volgen van een goede gegevensbescherming praktijk.
- Iedereen die persoonlijke informatie verwerkt, is hiervoor voldoende opgeleid.
- Iedereen die persoonlijke informatie verwerkt, heeft voldoende toezicht.
- Iedereen die vragen wil stellen over het omgaan met persoonlijke informatie, weet hoe dit moet.
- Het bedrijf behandelt snel en hoffelijk alle vragen over het omgaan met persoonlijke informatie.
- Het bedrijf beschrijft duidelijk hoe het omgaat met persoonlijke informatie, in het bijzonder in zijn privacybeleid dat op het publiek is gericht.
- Het bedrijf zal de manier waarop het persoonlijke informatie bevat, beheert en gebruikt regelmatig beoordelen en auditen.
- Het evalueert en evalueert regelmatig de methoden en prestaties met betrekking tot de verwerking van persoonlijke informatie.
- Alle personeelsleden zijn zich ervan bewust dat een schending van de regels en procedures die in dit beleid worden genoemd, kan leiden tot disciplinaire maatregelen tegen hen.
Dit beleid zal waar nodig worden bijgewerkt om de beste praktijken op het gebied van gegevensbeheer, beveiliging en controle weer te geven, en ervoor te zorgen dat alle wijzigingen of wijzigingen in de wetgeving inzake gegevensbescherming worden nageleefd.
APPENDIX 1: De ICO-registratie van het bedrijf
Registratienummer: 67788254
Datum geregistreerd: 15 januari 2024
Registratie verloopt: 14 januari 2025
Gegevens controller: Results Generation, B.V.
Adres:
Zekeringstraat 21B, 1014BM, Amsterdam, NL
Andere namen: Results Generation, B.V.
Representatief adres: Zekeringstraat 21B, 1014BM, Amsterdam, NL
Deze registervermelding beschrijft in algemene bewoordingen de persoonsgegevens die worden verwerkt door:
Results Generation, B.V.
Aard van het werk - Marketing / Reclamebureau
Beschrijving van de verwerking
Hieronder volgt een uitgebreide beschrijving van de manier waarop deze organisatie / gegevensbeheerder persoonlijke informatie verwerkt. Om te begrijpen hoe uw persoonlijke gegevens worden verwerkt, moet u wellicht uw persoonlijke berichten die u hebt ontvangen nagaan, en de privacy kennisgevingen controleren die de organisatie heeft verstrekt of contact opnemen met de organisatie om naar uw persoonlijke omstandigheden te vragen.
Redenen / doeleinden voor het verwerken van informatie
Wij verwerken persoonlijke informatie om ons in staat te stellen om:
- marketing, reclame en public relations diensten aan onze klanten aan te bieden
- nze accounts en records te onderhouden
- nze diensten promoten
- nderzoek doen
- nze medewerkers te ondersteunen en aan te sturen.
Type / klassen van verwerkte informatie
Wij verwerken informatie met betrekking tot de bovengenoemde redenen / doeleinden. Deze informatie kan zijn:
- persoonlijke gegevens
- gegevens van lidmaatschappenv
- goederen en diensten
- familie details
- levensstijl en sociale omstandigheden
- financiële details
- informatie over opleiding en werkgelegenheid
We verwerken ook gevoelige soorten van informatie, waaronder:
- details over lichamelijke of geestelijke gezondheid
- raciale of etnische afkomst
- religieuze of andere overtuigingen van vergelijkbare aard
- strafbare feiten en vermeende overtredingen
- vakbondslidmaatschap
Over wie wordt de informatie verwerkt?
We verwerken persoonlijke informatie over onze:
- klanten
- werknemers
- leveranciers
- ndervragers en klagers
- respondenten
- professionele adviseurs en consultants
Met wie kan de informatie worden gedeeld?
Soms moeten we de persoonlijke informatie, die we verwerken, delen met het individu zelf en ook met andere organisaties. Waar dit nodig is, moeten we alle aspecten van de Wet bescherming persoonsgegevens (Wet) naleven. Hieronder volgt een beschrijving van de soorten organisaties die we mogelijk nodig hebben om enkele van de persoonlijke gegevens die we verwerken te delen om een of meer redenen.
Waar nodig of vereist delen we informatie met:
- huidige, vroegere of toekomstige werkgevers
- leveranciers en dienstverleners
- financiële organisaties
- familie, medewerkers en vertegenwoordigers van de persoon wiens persoonsgegevens wij verwerken
- handelsverenigingen en -organen
- professionele adviseurs en consultants
- centrale overheid
- uitzendbureaus
- zakenpartners
- nderzoeks- en onderzoeksorganisaties
- kredietinformatiebureaus
- incassobureaus
Persoonlijke gegevens uitwisselen en delen
Persoonlijke informatie wordt verhandeld en gedeeld als een primaire zakelijke functie. Om deze reden kan de verwerkte informatie bestaan uit naam, contactgegevens, familie details, financiële gegevens, arbeidsgegevens en goederen en diensten. Deze informatie kan betrekking hebben op klanten en contacten. De informatie kan worden verhandeld of gedeeld met zakenpartners en professionele adviseurs, agenten, dienstverleners, klanten en klanten en handelaren in persoonlijke gegevens.
Overboekingen
Het kan soms nodig zijn om persoonlijke informatie naar het buitenland te verzenden. Wanneer dit nodig is, kan informatie worden overgebracht naar landen of gebieden over de hele wereld. Alle overgemaakte overschrijvingen zullen volledig in overeenstemming zijn met alle aspecten van de wet betreffende gegevensbescherming.
AANHANGSEL 2: Gegevensbehoud
In overeenstemming met de gegevensbescherming beginselen die zijn vastgelegd in de Wet bescherming persoonsgegevens (en die worden uiteengezet in dit beleid), moeten de persoonsgegevens die door het bedrijf worden verwerkt, adequaat, relevant, beperkt zijn tot wat noodzakelijk is en niet langer worden bewaard dan noodzakelijk is .
Om aan deze principes te voldoen, heeft het bedrijf periodes gedefinieerd waarvoor het verschillende soorten informatie zal behouden. Deze zijn die redelijk en proportioneel. (bijvoorbeeld, de bewaartermijn wordt bepaald door wettelijke vereisten, of weerspiegelt de verjaringstermijn voor potentiële rechtszaken) ). Zodra een bewaringstermijn is verstreken, moet deze informatie veilig worden verwijderd, tenzij er een redelijke en gerechtvaardigde noodzaak is om dergelijke informatie te bewaren (bijvoorbeeld lopende geschillen).
Statutaire boeken en registers
Certificaat van oprichting: permanent
Verandering van naam certificaten: permanent
Aandeelhoudersregister en andere wettelijke registers: permanent
Notulen directie vergaderingen : permanent
Notulen van aandeelhoudersvergaderingen: permanent
Centrale zakelijke records
Accounts records: 6 jaar
Klachtenregistratie: 6 jaar na het afsluiten van de klacht
Belangrijke overeenkomsten van historische betekenis: permanent