Privacyreglement Carrierecafe

Privacyreglement Carrierecafe Werving & Selectie en Detachering.

ALGEMENE BEPALINGEN

Artikel 1 Begripsbepalingen 

a)    Autoriteit Persoonsgegevens (“AP”): de toezichthoudende autoriteit. 

b)    Betrokkene: degene op wie een persoonsgegeven betrekking heeft. In dit geval personeel-(sleden) van Carrierecafe.

c)    Eigenaar: persoon die namens Carrierecafe de gedelegeerde verantwoordelijkheid heeft voor een informatiemiddel & -verwerkingen.

d)    Personeel-(sleden): personen in dienst van of werkzaam (geweest) voor Carrierecafe. Hieronder vallen niet enkel personen die een aanstelling hebben, maar externen, stagiaires en oud-personeelsleden. 

e)    Persoonsgegevens: alle gegevens betreffende een geïdentificeerde of identificeerbare natuurlijke persoon; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd. 

f)    Algemeen Privacyreglement: onderhavig reglement betrekking hebbend op de verwerking van persoonsgegevens van personeel-(sleden) bij Carrierecafe. 

g)    Carrierecafe: de (verwerkings-)verantwoordelijke in de zin van de wet. 

h)    Verwerking van persoonsgegevens: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens zoals bijvoorbeeld het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
 
i)    (Verwerkings-)verantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. In dit geval Carrierecafe. 

j)    Wet: Wet bescherming persoonsgegevens (“Wbp”) en Algemene Verordening Gegevensbescherming (“AVG”). 


Artikel 2 Reikwijdte en doel van het reglement 

a)    Dit Algemeen Privacyreglement is van toepassing op de Verwerking van Persoonsgegevens betreffende Personeel-(sleden) die door of namens Carrierecafe (op geheel of gedeeltelijk geautomatiseerde wijze) worden verwerkt. 

b)    Bepaalde Verwerking-(en) van Persoonsgegevens, te weten maar niet beperkt tot elektronische informatie- en communicatiemiddelen, het gebruik van vervoersmiddelen, cameratoezicht en toegangscontrole, zijn aanvullend uitgewerkt in privacy protocollen.

c)    Het geldende Algemeen Privacyreglement en de aanvullende privacy protocollen zijn gepubliceerd op Carrierecafe. 

d)    Dit Algemeen Privacyreglement heeft tot doel: 
    de persoonlijke levenssfeer te beschermen;
    te voorkomen dat Persoonsgegevens onrechtmatig worden Verwerkt of worden verwerkt voor andere doeleinden dan het doel waarvoor ze zijn verkregen; 
    de rechten van Personeel-(sleden) te waarborgen. 


Artikel 3 Functionaris Gegevensbescherming 

a)    Carrierecafe heeft, conform de Wet, geen Functionaris Gegevensbescherming (“FG”) nodig, maar heeft 2 personen gedelegeerd voor naleving op deze wetgeving, in dit document te noemen “FG”. De 2 gedelegeerden zijn;
a.    Stef Huiskamp (Controller)
b.    Erwin ter Horst (Directeur) 

b)    FG is verantwoordelijk is voor het toezicht op privacy en de borging ervan. FG kan gevraagd en ongevraagd advies geven over privacy-aangelegenheden. 

c)    FG heeft onder andere de volgende taken: 
    Carrierecafe informeren en adviseren over de verplichtingen uit hoofde van de Wet;
    toezien op naleving van de Wet;
    toezien op naleving van het beleid van Carrierecafe, met inbegrip van de toewijzing van 
    verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel en audits;
    adviseren met betrekking tot PIA’s;
    optreden als contactpunt voor de Autoriteit Persoonsgegevens.

d)    De FG voert de taken onafhankelijk uit en is hierbij tot geheimhouding/vertrouwelijkheid verplicht. 
e)    De FG is bereikbaar middels privacy@carrierecafe.nl of 030-2926070. 


VERWERKING VAN PERSOONSGEGEVENS

Artikel 4 Voorwaarden voor rechtmatige verwerking 

a)    Carrierecafe draagt zorg dat Persoonsgegevens in overeenstemming met de Wet en op behoorlijke en zorgvuldige wijze worden Verwerkt. 

b)    Persoonsgegevens worden enkel Verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift, dan wel krachtens een aanstellingsbesluit tot geheimhouding verplicht zijn. 

c)    Carrierecafe onderhoudt een register waarin alle informatiemiddelen & -verwerkingen (“Register”) zijn vastgelegd, die onder haar verantwoordelijkheid plaatsvinden. Dit Register bevat tenminste de volgende gegevens: 
    de naam en de contactgegevens van de (Verwerkings-)verantwoordelijke;
    eigenaar van de verwerking;
    de verwerkingsdoeleinden;
    een beschrijving van de categorieën van Betrokkenen en van de categorieën van Persoonsgegevens; 
    de categorieën van ontvangers aan wie de Persoonsgegevens zijn of zullen worden verstrekt;
    indien van toepassing, doorgiften van Persoonsgegevens aan een derde land;
    indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van Persoonsgegevens moeten worden verwijderd;
    indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen. 

d)    Eigenaar van de verwerking is verantwoordelijk voor de volledigheid, juistheid en actualiteit van de informatie in het Register. 

e)    Persoonsgegevens worden verwerkt voor de in artikel 5 beschreven categorieën doeleinden en worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor zij zijn verkregen. 

f)    Persoonsgegevens worden slechts verwerkt voor zover zij, gelet op de doelen beschreven in artikel 5, toereikend, ter zake dienend en niet bovenmatig zijn. 

g)    Persoonsgegevens worden enkel verwerkt indien de verwerking is gerechtvaardigd is door één of meer van de volgende grondslagen: 
    de Betrokkene heeft toestemming gegeven voor de Verwerking van zijn Persoonsgegevens voor één of meer specifieke doeleinden, of;
    de Verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de Betrokkene partij is, of;
    de Verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting die op de (Verwerkings-)verantwoordelijke rust, of;
    de Verwerking noodzakelijk is om de vitale belangen van de Betrokkene of van een andere natuurlijke persoon te beschermen, of;
    de Verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de (Verwerkings-)verantwoordelijke is opgedragen, of;
    de Verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de (Verwerkings-)verantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de Betrokkene die tot bescherming van Persoonsgegevens nopen, zwaarder wegen dan die belangen. 


Artikel 5 Doeleinden van de gegevensverwerking 

a)    Carrierecafe zal enkel Persoonsgegevens verwerken voor duidelijk omschreven doeleinden. De Verwerking van de Persoonsgegevens van Personeel-(sleden) geschiedt voor de in dit lid genoemde categorieën van Verwerkingen, te weten: 
    Werving & selectie;
    Personeelsadministratie;
    Salarisadministratie;
    Facilitaire dienstverlening;
    ICT-middelen & gebruik.

b)    Iedere Verwerking van Persoonsgegevens, alsmede de specifieke doeleinde-(n) voor de Verwerking zijn vastgelegd in het Register. 


Artikel 6 Toegang tot de persoonsgegevens 

a)    Toegang tot Persoonsgegevens wordt enkel verkregen indien dat noodzakelijk is de taakuitoefening. 

b)    Toegangsverlening geschiedt conform de daarvoor opgestelde autorisatiematrix.

c)    In het Register is vastgelegd wie Eigenaar is van welke Verwerking. Bij de Eigenaar van de betreffende Verwerking kan inzicht verkregen worden in de personen die toegang hebben en waarom.


Artikel 7 Verstrekking gegevens 

a)    Persoonsgegevens kunnen worden verstrekt aan:
    instituten ten behoeve van wetenschappelijke of statische doelen, mits de uitkomsten waarvoor deze gegevens worden gebruikt, niet meer tot individuele natuurlijke personen herleidbaar zijn;
    derden, indien een wettelijk voorschrift ertoe verplicht de gegevens te verstrekken; of 
    indien de Betrokkene schriftelijk toestemming heeft verleend tot Verwerking. Deze toestemming dient vrijelijk te zijn gegeven door de Betrokkene. 


Artikel 8 Doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte (EER) 

a)    Carrierecafe geeft in beginsel geen Persoonsgegevens door aan een land buiten de Europese Economische Ruimte (EER), tenzij er adequate maatregelen zijn getroffen. 
b)    Indien Persoonsgegevens worden doorgegeven aan een land buiten de EER staat dit opgenomen in het Register. 


RECHTEN VAN BETROKKENEN

Artikel 9 Rechten van personeel-(sleden) 

a)    Personeel-(sleden) hebben onder voorwaarden, zoals gesteld in de Wet, het recht op informatie, het recht van inzage, het recht op rectificatie, het recht op gegevenswissing (ook wel het recht op ‘vergetelheid’), het recht op beperking van de verwerking, het recht op overdraagbaarheid van gegevens en het recht van bezwaar.

b)    De wijze waarop deze rechten uitgeoefend kunnen worden is in de Wet en de volgende artikelen beschreven. 


Artikel 10 Informatieverstrekking 

a)    Carrierecafe informeert de Personeel-(sleden) over het Verwerken van Persoonsgegevens, voorafgaand aan de verzameling van Persoonsgegevens of, indien de gegevens van derden afkomstig zijn, voorafgaand aan het moment van vastlegging. 

b)    (Verwerkings-)verantwoordelijke informeert Personeel-(sleden) middels onderhavig Algemeen Privacyreglement of door middel van een andere uiting. De betreffende informatie is op de Symfonielaan 18 3438 EV  Nieuwegein beschikbaar.


Artikel 11 Indienen verzoek 


a)    Personeel-(sleden) kunnen hierboven genoemde verzoeken indienen bij de Eigenaar van het informatiemiddel en verwerking. 

b)    Eigenaar kan om aanvullende informatie vragen die nodig is ter bevestiging van de identiteit. 

c)    Aan het indienen van het verzoek zijn in principe geen kosten verbonden. Wanneer verzoeken kennelijk ongegrond of buitensporig zijn, met name vanwege de hoeveelheid verzoeken van de betreffende Betrokkene, kan (Verwerkings-)verantwoordelijke een redelijke vergoeding vragen of weigeren te voldoen aan het verzoek.


Artikel 12 Beoordeling van het verzoek en termijn 

a)    Eigenaar laat uiterlijk binnen één maand na ontvangst van het verzoek weten welk gevolg aan dit verzoek wordt gegeven. Deze termijn kan met twee maanden verlengd worden. Is dit het geval, dan wordt Betrokkene hiervan op de hoogte gesteld. 

b)    Als het verzoek wordt opgevolgd dan wordt dit zo snel mogelijk uitgevoerd. Als het verzoek niet wordt opgevolgd door Eigenaar, kan Betrokkene een klacht indienen bij de FG 


ORGANISATORISCHE VERPLICHTINGEN

Artikel 13 Beveiliging 

a)    Carrierecafe draagt zorg voor passende technische en organisatorische maatregelen ter voorkoming van verlies of onrechtmatige verwerking van Persoonsgegevens. Het beleid voor informatiebeveiliging heeft Carrierecafe vastgelegd in het ‘Informatiebeveiligingsbeleid’. 

b)    Eigenaar stelt de maatregelen en zekerheden dat de maatregelen ook effectief zijn vast en worden opgenomen in het Register. 

c)    Deze maatregelen hebben tot doel, rekening houdend met de stand der techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau te bieden, gelet op de risico’s die de Verwerking en de aard van de Persoonsgegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van Persoonsgegevens te voorkomen. 


Artikel 14 Afhandelen incidenten en de Meldplicht datalekken 

a)    Carrierecafe zal conform de Meldplicht datalekken de AP onverwijld in kennis stellen van een inbreuk op de beveiliging die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van Persoonsgegevens. 

b)    Carrierecafe zal conform de Wet de Betrokkenen onverwijld in kennis stellen van de inbreuk als bedoeld in voorgaand lid, als de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer. 

c)    Er is een interne procedure aanwezig voor het afhandelen van dergelijke incidenten. Personeel- (sleden) kunnen een beveiligingsincident/datalek melden bij de FG op de wijze zoals die staat toegelicht in het protocol melding en afhandeling beveiligings- en datalek. 


Artikel 15 Bewaartermijn 

a)    Met inachtneming van wettelijke voorschriften stelt Eigenaar de bewaartermijn van de persoonsgegevens vast. Waar mogelijk zijn de bewaartermijnen opgenomen in het Register. 

b)    Persoonsgegevens worden niet langer bewaard dan noodzakelijk is voor de doeleinden en het naleven van wettelijke verplichtingen. 

c)    Wanneer de bewaartermijn verstrijkt worden de Persoonsgegevens verwijderd.


OVERGANGS- EN SLOTBEPALINGEN 

Artikel 16 Klachten 

a)    Indien Betrokkene van mening is dat de bepalingen uit de Wet, zoals nader uitgewerkt in dit Algemeen Privacyreglement, niet door Carrierecafe worden nageleefd dient men zich te wenden tot de FG. 

b)    Indien de ingediende klacht voor de Betrokkene niet leidt tot een acceptabel resultaat, kan men zich wenden tot de AP. 


Artikel 17 Inwerkingtreding 

a)    In gevallen waarin dit Algemeen Privacyreglement niet voorziet, beslist de directie van Carrierecafe met inachtneming van de toepasselijke wet- en regelgeving en zo veel als redelijkerwijs mogelijk in het belang van de Betrokkenen. 

b)    Dit Algemeen Privacyreglement kan worden gewijzigd of ingetrokken met inachtneming van de toepasselijke wet- en regelgeving. 

c)    Dit Algemeen Privacyreglement is vastgesteld door de directie van Carrierecafe en treedt in werking de dag na publicatie op de website. Hiermee zijn eventuele vorige versies komen te vervallen.