Gegevensbeschermingsbeleid

voor werknemers, sollicitanten en consumenten

 

1. Overzicht

1.1 Het bedrijf neemt de veiligheid en privacy van uw gegevens serieus. We moeten informatie of 'gegevens' over u verzamelen en gebruiken als onderdeel van ons bedrijf en om onze relatie met u te beheren. We zijn van plan te voldoen aan onze wettelijke verplichtingen onder de Data Protection Act 2018 (de '2018 Act') en de EU General Data Protection Regulation ('GDPR') met betrekking tot gegevensprivacy en beveiliging. We hebben de plicht om u op de hoogte te stellen van de informatie in dit beleid.

1.2 Dit beleid is van toepassing op huidige en voormalige werknemers, werknemers, vrijwilligers, stagiairs en adviseurs. Als u in een van deze categorieën valt , bent u een 'betrokkene' voor de doeleinden van dit beleid. U dient dit beleid te lezen samen met uw arbeidsovereenkomst (of contract voor diensten) en elke andere kennisgeving die we u van tijd tot tijd sturen met betrekking tot uw gegevens.

1.3 Het bedrijf heeft aparte beleidsregels en privacyverklaringen met betrekking tot sollicitanten, werknemers en consumenten. Een kopie hiervan kan worden bekeken op onze website of door contact op te nemen met onze Data Processing Manager op ons hoofdkantooradres.

1.4 Het bedrijf heeft maatregelen getroffen om de veiligheid van uw gegevens te beschermen in overeenstemming met ons gegevensbeschermingsbeleid.

1.5 Het bedrijf bewaart gegevens in overeenstemming met ons beleid voor gegevensbewaring. Een kopie hiervan kan worden bekeken op onze website of door contact op te nemen met onze Data Processing Manager op ons hoofdkantooradres. We bewaren gegevens alleen zolang als nodig is voor de doeleinden waarvoor we ze hebben verzameld.

1.6 Het bedrijf is een 'gegevensbeheerder' voor de doeleinden van uw persoonlijke gegevens. Dit houdt in dat wij het doel en de middelen voor de verwerking van uw persoonsgegevens bepalen.

1.7 Dit beleid legt uit hoe het bedrijf uw informatie bewaart en verwerkt. Het legt uw rechten als betrokkene uit. Het verklaart ook uw verplichtingen bij het verkrijgen, behandelen, verwerken of opslaan van persoonsgegevens tijdens het werken voor of namens het Bedrijf.

1.8 Dit beleid maakt geen deel uit van uw arbeidsovereenkomst (of contract voor diensten indien relevant) en kan op elk moment door het Bedrijf worden gewijzigd. Het is de bedoeling dat dit beleid volledig in overeenstemming is met de wet van 2018 en de AVG. Als er een conflict ontstaat tussen die wetten en dit beleid, is het bedrijf van plan te voldoen aan de wet van 2018 en de AVG.


2 Principes voor gegevensbescherming

2.1 Persoonsgegevens moeten worden verwerkt in overeenstemming met zes 'Data Protection Principles'. Het moet:

  • eerlijk, rechtmatig en transparant worden verwerkt;
  • alleen worden verzameld en verwerkt voor gespecificeerde, expliciete en legitieme doeleinden;
  • adequaat, relevant en beperkt zijn tot wat nodig is voor de doeleinden waarvoor ze worden verwerkt;
  • nauwkeurig zijn en up-to-date worden gehouden. Alle onjuiste gegevens moeten onverwijld worden verwijderd of gecorrigeerd ;
  • niet langer worden bewaard dan nodig is voor de doeleinden waarvoor ze worden verwerkt; en
  • veilig worden verwerkt.


3 Hoe wij persoonsgegevens definiëren

3.1 ' Persoonlijke gegevens' betekent informatie die betrekking heeft op een levende persoon die kan worden geïdentificeerd aan de hand van die gegevens (een 'betrokkene') op zichzelf, of in combinatie met andere informatie die waarschijnlijk in ons bezit zal komen. Het omvat elke meningsuiting over de persoon en een indicatie van de bedoelingen van ons of anderen met betrekking tot die persoon. Het bevat geen geanonimiseerde gegevens.

3.2 Dit beleid is van toepassing op alle persoonlijke gegevens, ongeacht of deze elektronisch, op papier of op andere materialen zijn opgeslagen.

3.3 Deze persoonsgegevens kunnen door u of iemand anders (zoals een voormalige werkgever, uw arts of een kredietinformatiebureau) aan ons worden verstrekt of door ons worden aangemaakt. Het kan worden verstrekt of gecreëerd tijdens het wervingsproces of tijdens de arbeidsovereenkomst (of diensten) of na de beëindiging ervan. Het kan zijn gemaakt door uw manager of andere collega's.

3.4 We zullen de volgende soorten persoonlijke gegevens over u verzamelen en gebruiken:

  • wervingsinformatie zoals uw sollicitatieformulier en cv, referenties, kwalificaties en lidmaatschap van beroepsorganisaties en details van eventuele beoordelingen vóór indiensttreding;
  • uw contactgegevens en geboortedatum;
  • de contactgegevens van uw noodcontacten ;
  • uw geslacht;
  • uw burgerlijke staat en familiegegevens ;
  • informatie over uw arbeidsovereenkomst (of diensten) inclusief begin- en einddatum van het dienstverband, rol en locatie, werktijden, details van promotie, salaris (inclusief details van eerdere beloning), pensioen, voordelen en vakantierechten ;
  • uw bankgegevens en informatie met betrekking tot uw fiscale status inclusief uw burgerservicenummer ;
  • uw identificatiedocumenten inclusief paspoort en rijbewijs en informatie met betrekking tot uw immigratiestatus en recht om voor ons te werken;
  • informatie met betrekking tot tucht- of klachtenonderzoeken en procedures waarbij u betrokken bent (ongeacht of u het hoofdonderwerp van die procedure was of niet );
  • informatie met betrekking tot uw prestaties en gedrag op het werk;
  • opleidingsdossiers ;
  • elektronische informatie met betrekking tot uw gebruik van IT-systemen/pasjes/telefoonsystemen ;
  • uw beelden vastgelegd op CCTV;
  • elke andere categorie van persoonlijke gegevens waarvan we u van tijd tot tijd op de hoogte kunnen stellen.

4 Hoe we speciale categorieën persoonsgegevens definiëren

4.1 ' Bijzondere categorieën persoonsgegevens' zijn soorten persoonsgegevens die bestaan uit informatie over:

  • uw ras of etnische afkomst;
  • uw politieke meningen;
  • uw religieuze of filosofische overtuigingen;
  • uw vakbondslidmaatschap ;
  • uw genetische of biometrische gegevens;
  • uw gezondheid;
  • je seksleven en seksuele geaardheid; en
  • eventuele strafrechtelijke veroordelingen en strafbare feiten.

We kunnen elk van deze speciale categorieën van uw persoonlijke gegevens bewaren en gebruiken in overeenstemming met de wet.


5 Hoe wij verwerking definiëren

5.1 ' Verwerking' betekent elke bewerking die wordt uitgevoerd op persoonsgegevens zoals:

  • verzamelen, vastleggen, ordenen, structureren of bewaren;
  • aanpassing of wijziging;
  • opvragen, raadplegen of gebruiken;
  • openbaarmaking door verzending, verspreiding of anderszins beschikbaar stellen;
  • uitlijning of combinatie; en
  • beperking, vernietiging of verwijdering.
  • Dit omvat de verwerking van persoonsgegevens die deel uitmaken van een archiveringssysteem en eventuele geautomatiseerde verwerkingen.

6 Hoe verwerken wij uw persoonsgegevens?

6.1 Het bedrijf zal uw persoonlijke gegevens (inclusief speciale categorieën van persoonlijke gegevens) verwerken in overeenstemming met onze verplichtingen op grond van de 2018 Act.

6.2 We gebruiken uw persoonsgegevens voor:

  • het uitvoeren van de arbeidsovereenkomst (of diensten) tussen ons;
  • het voldoen aan enige wettelijke verplichting; of
  • als het noodzakelijk is voor onze gerechtvaardigde belangen (of voor de gerechtvaardigde belangen van een ander). We kunnen dit echter alleen doen als uw belangen en rechten niet zwaarder wegen dan die van ons (of die van hen). U hebt het recht om onze legitieme belangen aan te vechten en ons te verzoeken deze verwerking stop te zetten.

Wij kunnen uw persoonsgegevens voor deze doeleinden verwerken zonder uw medeweten of toestemming. We zullen uw persoonlijke gegevens niet gebruiken voor een niet-gerelateerd doel zonder u hierover te informeren en de wettelijke basis waarop we ons willen baseren voor de verwerking ervan.


Als u ervoor kiest om ons bepaalde persoonlijke gegevens niet te verstrekken, moet u zich ervan bewust zijn dat we bepaalde delen van het contract tussen ons mogelijk niet kunnen uitvoeren. Als u ons bijvoorbeeld uw bankrekeninggegevens niet verstrekt, kunnen we u mogelijk niet betalen. Het kan ons er ook van weerhouden om te voldoen aan bepaalde wettelijke verplichtingen en plichten die we hebben, zoals het betalen van het juiste bedrag aan belasting aan HMRC of het maken van redelijke aanpassingen met betrekking tot een handicap waaraan u mogelijk lijdt.

7 Voorbeelden van wanneer we uw persoonsgegevens kunnen verwerken

7.1 Wij moeten uw persoonsgegevens in verschillende situaties verwerken tijdens uw werving, dienstverband (of dienstverband) en zelfs na beëindiging van uw dienstverband (of dienstverband).

7.2 Bijvoorbeeld (en zie paragraaf 7.6 hieronder voor de betekenis van de sterretjes):

  • om te beslissen om u in dienst te nemen (of in dienst te nemen) ;
  • om te beslissen hoeveel u moet betalen, en de andere voorwaarden van uw contract met ons;
  • om te controleren of u wettelijk het recht hebt om voor ons te werken;
  • om het contract tussen ons uit te voeren, inclusief, indien relevant, de beëindiging ervan;
  • u te trainen en uw prestaties te beoordelen *;
  • om te beslissen of u promotie wilt maken ;
  • om te beslissen of en hoe u uw prestaties, afwezigheid of gedrag wilt beheren *;
  • om een disciplinair of klachtenonderzoek of procedure uit te voeren met betrekking tot u of iemand anders;
  • om te bepalen of we redelijke aanpassingen aan uw werkplek of functie moeten maken vanwege uw handicap *;
  • het bewaken van diversiteit en gelijke kansen *;
  • om de veiligheid (inclusief netwerkbeveiliging) van het bedrijf, van u, onze andere medewerkers, klanten en anderen te bewaken en te beschermen;
  • om de gezondheid en veiligheid van u, ons overige personeel, klanten en derden te bewaken en te beschermen *;
  • om u te betalen en pensioenen en andere uitkeringen te verstrekken in overeenstemming met het contract tussen ons *;
  • het betalen van belasting en volksverzekeringen;
  • op verzoek van een andere werkgever een referentie verstrekken;
  • vakbondsabonnementen betalen *;
  • toezicht houden op de naleving door u, ons en anderen van ons beleid en onze contractuele verplichtingen *;
  • om te voldoen aan de arbeidswetgeving, immigratiewetgeving, gezondheids- en veiligheidswetgeving, belastingwetgeving en andere wetten die van invloed zijn op ons *;
  • het beantwoorden van vragen van verzekeraars over eventuele verzekeringen die op u betrekking hebben *;
  • ons bedrijf runnen en plannen maken voor de toekomst;
  • het voorkomen en opsporen van fraude of andere strafbare feiten;
  • om het bedrijf te verdedigen met betrekking tot enig onderzoek of proces en om te voldoen aan alle gerechtelijke of tribunalen tot openbaarmaking *;
  • om enige andere reden waarvan we u van tijd tot tijd op de hoogte kunnen stellen.


7.3 Wij zullen bijzondere categorieën van uw persoonsgegevens (zie hierboven) alleen in bepaalde situaties in overeenstemming met de wet verwerken. Dit kunnen wij bijvoorbeeld doen als wij uw uitdrukkelijke toestemming hebben. Als we om uw toestemming vragen voor het verwerken van een speciale categorie persoonsgegevens , zullen we de redenen voor ons verzoek toelichten . U hoeft geen toestemming te geven en kunt desgewenst uw toestemming later intrekken door contact op te nemen met onze DPO.


7.4 We hebben uw toestemming niet nodig om speciale categorieën van uw persoonlijke gegevens te verwerken wanneer we deze verwerken voor de volgende doeleinden, wat we kunnen doen:

  • waar dit nodig is voor de uitvoering van rechten en plichten op grond van het arbeidsrecht ;
  • waar het nodig is om uw vitale belangen of die van een andere persoon te beschermen wanneer u/zij fysiek of juridisch niet in staat bent om toestemming te geven;
  • waar je de gegevens openbaar hebt gemaakt;
  • wanneer verwerking noodzakelijk is voor het instellen, uitoefenen of verdedigen van juridische claims; en
  • als de verwerking noodzakelijk is in het kader van de arbeidsgeneeskunde of voor de beoordeling van uw arbeidsgeschiktheid.

7.5 We kunnen speciale categorieën van uw persoonlijke gegevens verwerken voor de doeleinden in paragraaf 7.2 hierboven die een asterisk hebben ernaast. We zullen met name informatie gebruiken met betrekking tot:

  • uw ras, etnische afkomst, religie, seksuele geaardheid of geslacht om gelijke kansen te bewaken;
  • uw ziekteverzuim, gezondheids- en medische toestand om uw afwezigheid te controleren, uw geschiktheid voor het werk te beoordelen, u een uitkering te betalen, om te voldoen aan onze wettelijke verplichtingen op grond van de arbeidswetgeving, inclusief om redelijke aanpassingen te doen en om voor uw gezondheid en veiligheid te zorgen; en
  • uw vakbondslidmaatschap om eventuele abonnementen te betalen en om te voldoen aan onze wettelijke verplichtingen ten aanzien van vakbondsleden.

7.6 We nemen geen geautomatiseerde beslissingen over het gebruik van uw persoonlijke gegevens of het gebruik van profilering met betrekking tot u.



8 Uw persoonlijke gegevens delen

8.1 Soms kunnen we uw persoonlijke gegevens delen met externe bedrijven of onze contractanten en agenten om onze verplichtingen uit hoofde van ons contract met u uit te voeren of voor onze legitieme belangen.

8.2 We eisen van deze bedrijven dat ze uw persoonlijke gegevens vertrouwelijk en veilig houden en beschermen in overeenstemming met de wet en ons beleid. Zij mogen uw gegevens alleen verwerken voor het rechtmatige doel waarvoor deze zijn gedeeld en in overeenstemming met onze instructies.

8.3 Wij sturen uw persoonsgegevens niet buiten de Europese Economische Ruimte. Als dit verandert, wordt u hiervan op de hoogte gebracht en wordt uitgelegd welke beveiligingen er zijn om de veiligheid van uw gegevens te beschermen.


9 Hoe moet u persoonsgegevens voor het bedrijf verwerken?

9.1 Iedereen die voor of namens het bedrijf werkt, heeft enige verantwoordelijkheid om ervoor te zorgen dat gegevens op de juiste manier worden verzameld, opgeslagen en behandeld, in overeenstemming met dit beleid en het beleid van het bedrijf voor gegevensbeveiliging en gegevensbewaring.

9.2 De gegevensbeschermingsmanager van het bedrijf is verantwoordelijk voor het beoordelen van dit beleid en voor het op de hoogte houden van de raad van bestuur over de gegevensbeschermingsverantwoordelijkheden van het bedrijf en eventuele risico's met betrekking tot de verwerking van gegevens. U dient alle vragen met betrekking tot dit beleid of gegevensbescherming aan deze persoon te richten.

9.3 U mag alleen toegang krijgen tot persoonlijke gegevens die onder dit beleid vallen als u deze nodig heeft voor het werk dat u doet voor of namens het Bedrijf en alleen als u hiervoor geautoriseerd bent. U mag de gegevens alleen gebruiken voor het gespecificeerde rechtmatige doel waarvoor ze zijn verkregen.

9.4 U mag persoonlijke gegevens niet informeel delen.

9.5 U dient persoonlijke gegevens veilig te bewaren en niet te delen met onbevoegden.

9.6 U dient persoonsgegevens waarmee u voor uw werk te maken krijgt regelmatig te herzien en bij te werken. Dit houdt ook in dat u ons vertelt of uw eigen contactgegevens veranderen.

9.7 U dient geen onnodige kopieën te maken van persoonsgegevens en dient alle kopieën veilig te bewaren en weg te gooien.

9.8 Gebruik sterke wachtwoorden.

9.9 U dient uw computerschermen op slot te doen als u niet aan uw bureau zit.

9.10 Overweeg om gegevens te anonimiseren of aparte sleutels/codes te gebruiken zodat de betrokkene niet kan worden geïdentificeerd.

9.11 Sla geen persoonlijke gegevens op uw eigen pc's of andere apparaten op.

9.12 Persoonlijke gegevens mogen nooit buiten de Europese Economische Ruimte worden overgedragen, behalve in overeenstemming met de wet en toestemming van de Data Protection Manager.

9.13 Laden en archiefkasten dient u op slot te doen. Laat geen papier met persoonlijke gegevens rondslingeren.

9.14 U mag geen persoonlijke gegevens van het bedrijf meenemen zonder toestemming van uw lijnmanager of Data Protection Manager.

9.15 Persoonsgegevens dienen te worden versnipperd en veilig te worden verwijderd als u daarmee klaar bent.

9.16 U dient onze Data Protection Manager om hulp te vragen als u niet zeker bent over gegevensbescherming of als u gebieden van gegevensbescherming of beveiliging opmerkt die we kunnen verbeteren.

9.17 Elke opzettelijke of nalatige schending van dit beleid door u kan leiden tot disciplinaire maatregelen tegen u in overeenstemming met onze disciplinaire procedure.

9.18 Het is een strafbaar feit om persoonsgegevens die deel uitmaken van een inzageverzoek van een persoon te verbergen of te vernietigen. Dit gedrag zou volgens onze disciplinaire procedure ook neerkomen op grof wangedrag, wat zou kunnen leiden tot uw ontslag.


10 Hoe om te gaan met datalekken

10.1 We hebben robuuste maatregelen getroffen om datalekken te minimaliseren en te voorkomen. Mocht er een inbreuk op persoonlijke gegevens plaatsvinden (of het nu gaat om u of iemand anders), dan moeten we aantekeningen maken en bewijs bewaren van die inbreuk. Als de inbreuk waarschijnlijk een risico voor de rechten en vrijheden van personen met zich meebrengt, moeten we ook de Information Commissioner's Office binnen 72 uur op de hoogte stellen.

10.2 Als u op de hoogte bent van een datalek, moet u onmiddellijk contact opnemen met onze Data Protection Manager en al het bewijsmateriaal dat u heeft met betrekking tot de inbreuk bewaren.


11 Verzoeken om toegang tot onderwerpen

11.1 Betrokkenen kunnen een 'subject access request' ('SAR') indienen om erachter te komen welke informatie we over hen hebben. Dit verzoek moet schriftelijk worden gedaan. Als u een dergelijk verzoek ontvangt, dient u dit onmiddellijk door te sturen naar de Data Protection Manager.

11.2 Als u een SAR wilt maken met betrekking tot uw eigen persoonlijke gegevens, moet u dit schriftelijk doen bij onze Data Protection Manager op het adres van ons hoofdkantoor. We moeten binnen een maand reageren, tenzij het verzoek complex of talrijk is. In dat geval kan de termijn waarbinnen we moeten reageren met nog eens twee maanden worden verlengd.

11.3 Er zijn geen kosten verbonden aan het maken van een SAR. Als uw verzoek echter kennelijk ongegrond of buitensporig is, kunnen we een redelijke administratieve vergoeding in rekening brengen of weigeren op uw verzoek te reageren.


12 Uw rechten als betrokkenen

12.1 U heeft het recht op informatie over welke persoonsgegevens wij verwerken, hoe en op welke basis zoals uiteengezet in dit beleid.

12.2 U heeft het recht op toegang tot uw eigen persoonsgegevens door middel van een subject access request (zie hierboven).

12.3 U kunt eventuele onjuistheden in uw persoonsgegevens corrigeren. Neem hiervoor contact op met onze Data Protection Manager.

12.4 U hebt het recht om te verzoeken dat wij uw persoonsgegevens wissen wanneer wij op grond van de wet niet gerechtigd waren om deze te verwerken of wanneer het niet langer nodig is om deze te verwerken voor het doel waarvoor ze zijn verzameld. Neem hiervoor contact op met onze Data Protection Manager.

12.5 Terwijl u verzoekt om correctie of verwijdering van uw persoonlijke gegevens of de rechtmatigheid van onze verwerking betwist, kunt u verzoeken het gebruik ervan te beperken terwijl de aanvraag wordt gedaan. Neem hiervoor contact op met onze Data Protection Manager.

12.6 U hebt het recht om bezwaar te maken tegen gegevensverwerking wanneer we ons baseren op een legitiem belang om dit te doen en u denkt dat uw rechten en belangen zwaarder wegen dan de onze en u wilt dat wij stoppen.

12.7 U heeft het recht om bezwaar te maken als wij uw persoonsgegevens verwerken voor direct marketingdoeleinden.

12.8 U hebt het recht om een kopie van uw persoonsgegevens te ontvangen en uw persoonsgegevens over te dragen aan een andere verwerkingsverantwoordelijke. Wij brengen hiervoor geen kosten in rekening en streven er in de meeste gevallen naar om dit binnen een maand te doen.

12.9 Op enkele uitzonderingen na heeft u het recht om niet te worden onderworpen aan geautomatiseerde besluitvorming.

12.10 U hebt het recht om op de hoogte te worden gesteld van een inbreuk op de gegevensbeveiliging met betrekking tot uw persoonlijke gegevens.

12.11 In de meeste situaties zullen we niet vertrouwen op uw toestemming als rechtsgrond om uw gegevens te verwerken. Als we echter uw toestemming vragen voor de verwerking van uw persoonsgegevens voor een bepaald doel, heeft u het recht om geen toestemming te geven of uw toestemming later in te trekken. Om uw toestemming in te trekken, dient u contact op te nemen met onze Data Protection Manager.

12.12 U heeft het recht om een klacht in te dienen bij de Information Commissioner. U kunt dit doen door rechtstreeks contact op te nemen met de Information Commissioner's Office. Volledige contactgegevens, inclusief een hulplijnnummer, zijn te vinden op de website van de Information Commissioner's Office (www.ico.org.uk). Op deze website vindt u meer informatie over uw rechten en onze plichten.