Privacybeleid krachtens de Algemene verordening gegevensbescherming (AVG) voor klanten en leveranciers Sinds: mei 2018 Met de volgende informatie verstrekken wij u, als medewerker en contactpersoon voor onze klanten en leveranciers, een overzicht van hoe wij uw persoonsgegevens verwerken en van uw rechten in het kader van de Algemene Verordening Gegevensbescherming (AVG). 1. Wie is verantwoordelijk voor het verwerken van gegevens en met wie kan ik contact opnemen voor ondersteuning? a) Verantwoordelijk is: Busch B.V. Pompmolenlaan 2, 3447 GK Woerden, Nederland Tel. +31 (0)348 462300 Fax +31 (0)348 422939 E-mail: info@busch.nl b) Functionaris voor gegevensbescherming U kunt contact opnemen met onze functionaris voor gegevensbescherming via e-mail info@busch.nl of door een brief te sturen naar het hierboven vermelde adres, ter attentie van 'Functionaris voor gegevensbescherming'. 2. Waarom worden gegevens verwerkt en welke juridische basis wordt er gebruikt voor het verwerken van persoonsgegevens? Wij verwerken gegevens volgens de voorschriften van de Algemene Verordening Gegevensbescherming (AVG): a) Verwerking is noodzakelijk voor de uitvoering van een overeenkomst (sectie (b) van artikel 6, lid 1 van de AVG) In het bijzonder in verband met orders van klanten, leveranciers, servicepartners en medewerkers. b) Verwerking is noodzakelijk voor de behartiging van gerechtvaardigde belangen (punt (f) van artikel 6, lid 1 van de AVG) Indien nodig verwerken wij uw gegevens niet alleen om aan contractuele voorwaarden te voldoen maar ook om onze gerechtvaardigde belangen of die van een derde partij te beschermen, namelijk: Vrijgave van gegevens binnen de Busch-groep Reclame, voor zover u geen bezwaren naar voren gebracht hebt voor het gebruik van uw gegevens 1
Het evalueren en verbeteren van processen voor behoeften analyse en rechtstreeks contact met de klant inclusief klantsegmentering en berekening van de waarschijnlijkheid van het afsluiten van een overeenkomst De uitoefening of de verdediging van een recht in het geval zich een juridisch geschil voordoet Het waarborgen van gegevensbeveiliging en IT-operaties van het bedrijf Maatregelen voor het beveiligen van gebouwen en systeembeveiliging (bijvoorbeeld toegangscontrole) Maatregelen voor de uitoefening van eigendomsrechten Maatregelen voor bedrijfsvoering en verdere ontwikkeling van diensten en producten Controle en risicobeheer binnen de Busch-groep c) U hebt toestemming gegeven (sectie (a) van artikel 6 lid 1 van de AVG) Indien u ons toestemming hebt gegeven om uw persoonsgegevens voor bepaalde doelen te verwerken (bv. contact, direct marketing, nieuwsbrief), is het ons wettelijk toegestaan om deze gegevens te verwerken gebaseerd op uw toestemming. U kunt uw toestemming op ieder moment intrekken. Dit geldt ook voor het intrekken van verklaringen van toestemming die aan ons zijn afgegeven voordat de Algemene verordening gegevensbescherming van kracht werd (d.w.z. voor 25 mei 2018). Houd er rekening mee dat het intrekken van uw toestemming niet retroactief van kracht zal zijn. Verwerking die voor het intrekken van uw toestemming heeft plaatsgevonden, wordt hierdoor niet beïnvloed. U kunt op elk moment een overzicht aanvragen van de toestemming die u ons hebt gegeven. d) Verwerking is noodzakelijk voor naleving van een wettelijke verplichting (sectie (c) van artikel 6, lid 1 van de AVG) Tevens zijn wij onderworpen aan verschillende wettelijke verplichtingen en vereisten (bv. sanctielijsten controles). Identiteitscontroles, controle- en meldverplichtingen betreffende sociale zekerheid en naleving van belasting, preventie van fraude en witwaspraktijken en evaluatie en riskmanagement in de Busch-groep zijn onder meer redenen voor het verwerken van gegevens. 3. Wie ontvangt mijn gegevens? De verantwoordelijke Busch vestigingen, die uw persoonsgegevens nodig hebben om onze contractuele en juridische verplichtingen na te komen of om legitieme belangen te beschermen. Bedrijven die met de Busch-groep verbonden zijn, alsmede dienstverleners en onderaannemers waarvan wij gebruik maken, kunnen mogelijk ook toegang krijgen tot de gegevens indien nodig. Wij kunnen uw gegevens alleen overdragen als wettelijke bepalingen dit vereisen, als u toestemming hebt gegeven, als wij wettelijk geautoriseerd zijn om gegevens vrij te geven of over te dragen en/of als verwerkers die wij opdracht geven naleving van vertrouwelijkheid en de bepalingen van de AVG en de Duitse wet op gegevensbescherming garanderen. Onder deze voorwaarden kunnen de volgende ontvangers mogelijk gegevens ontvangen: Bedrijven die aan de Busch-groep verbonden zijn Busch Dienste GmbH, zijnde het centrale datacenter van de Busch-groep Externe cloud- en ASP-serviceproviders Krediet informatiedienst verleners Overheidsdiensten voor het naleven van wettelijke verslagleggingsplichten, bv. financiële autoriteiten, sociale zekerheidsinstanties, wetshandhavingsinstanties Verwerkers van bank gegevens 2
Ondersteuners/onderhoudsbedrijven van EDP-/IT-applicaties Archiveringsbedrijven Documenten verwerkers Dienstverleners voor compliance Controleurs van sanctielijsten Vernietigers van gegevens Accountants Leasingbedrijven Incasso bedrijven Kaartbetalingsdienstverleners (creditcards) en financiële instellingen (banken) Marketeers Rapportage dienstverleners Telefonie bedrijven Websitebeheerders (hosting/onderhoud) Verzekeringsmaatschappijen en verzekeringstussenpersonen 4. Worden gegevens naar een derde land of een internationale organisatie overgedragen? De overdracht van gegevens naar landen buiten de EU of de EER (zogenoemde derde landen) vindt alleen plaats als dit noodzakelijk is om uw overeenkomst uit te voeren (bv. inkoop van materialen, productie, logistiek), als dit door de wet is voorgeschreven (bv. informatie verstrekking), als u ons uw toestemming hebt gegeven of als het in het kader van opdrachtverwerking valt. Daarnaast vindt ook gegevensuitwisseling plaats met bedrijven in derde landen die met de Busch-groep verbonden zijn. Als serviceleveranciers in derde landen worden gebruikt, zullen deze vereist worden te voldoen aan het niveau van gegevensbescherming in de EU door akkoord te gaan met standaard contractuele EUbepalingen naast schriftelijke instructies. Passende contractuele overeenkomsten zijn afgesloten met bedrijven de met de Busch-groep verbonden zijn. 5. Hoelang worden mijn gegevens opgeslagen? Wij verwerken uw persoonsgegevens en slaan deze op voor de periode die nodig is om onze contractuele en wettelijke verplichtingen na te leven. Wij verwijderen uw persoonsgegevens zodra deze niet langer vereist zijn voor de hierboven genoemde doeleinden. Het is mogelijk dat persoonsgegevens opgeslagen worden gedurende de periode waarin er claims gemaakt kunnen worden op onze bedrijven (wettelijke verjaringstermijnen van drie tot dertig jaar). Wij slaan uw persoonsgegevens ook op zolang wij dat wettelijk verplicht zijn. Verplichtingen om ondersteunende documenten en aanhoudingsvereisten te verstrekken gebeuren overeenkomstig handels-, belastingen sociale zekerheidswetgeving. 6. In welke mate maakt u gebruik van geautomatiseerde besluitvorming (inclusief profilering)? In het algemeen gebruiken wij geen geautomatiseerde besluitvorming in overeenstemming met artikel 22 van de AVG bij het tot stand brengen en uitvoeren van een zakelijke relatie. 7. Komt 'profilering' voor? Om u informatie en advies te bieden over producten en diensten die op u zijn afgestemd, kunnen wij webanalysetools, en met name trackingtechnologie, gebruiken. Deze maken vraaggerichte 3
communicatie en advertenties mogelijk. Voor meer informatie over dit onderwerp, willen wij u verwijzen naar onze gegevensbeschermingsverklaring op onze website waar u ook informatie kunt vinden over het gebruik van cookies. Vanwege juridische verordeningen zijn wij verplicht vergelijkingen te maken met bestaande sanctielijsten. Deze maatregelen dienen ook om u te beschermen. 8. Welke gegevens beschermingsrechten heb ik? Als persoonsgegevens van u worden verwerkt, bent u, de medewerker, de betrokkene zoals gedefinieerd in de AVG en hebt u de volgende rechten ten aanzien van ons als verwerkingsverantwoordelijke. Als u uw rechten wilt uitoefenen of meer informatie wenst te ontvangen, neem dan contact op met ons of met onze functionaris voor gegevensbescherming: a) Rechten in overeenstemming met artikel 15 e.v. van de AVG (1) U hebt recht van inzage in overeenstemming met artikel 15 van de AVG. Onder bepaalde omstandigheden hebt u recht op rectificatie in overeenstemming met artikel 16 van de AVG, recht op beperking van verwerking in overeenstemming met artikel 18 van de AVG en recht op gegevenswissing ('recht op vergetelheid') in overeenstemming met artikel 17 van de AVG. Daarnaast hebt u het recht om de door u verstrekte gegevens in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen (recht op overdraagbaarheid van gegevens) in overeenstemming met artikel 20 van de AVG, voor zover verwerking plaatsvindt door middel van geautomatiseerde procedures en gebaseerd is op toestemming in overeenstemming met artikel 6, lid 1, punt (a) of artikel 9, lid 2, punt (a) van de AVG of op een overeenkomst in overeenstemming met artikel 6, lid 1, punt (b) van de AVG. Met betrekking tot het recht van inzage en het recht op gegevenswissing zijn de beperkingen in overeenstemming met artikel 34 en 35 van de Duitse wet op gegevensbescherming (Bundesdatenschutzgesetz, BDSG) van toepassing. b) Het intrekken van toestemming in overeenstemming met artikel 7, lid 3 van de AVG Als het verwerken op toestemming gebaseerd is, kunt u uw toestemming voor de verwerking van persoonsgegevens op ieder moment intrekken. Dit geldt ook voor het intrekken van verklaringen van toestemming die aan ons zijn afgegeven voordat de Algemene verordening gegevensbescherming van kracht werd (d.w.z. voor 25 mei 2018). Houd er rekening mee dat het intrekken van uw toestemming niet retroactief van kracht zal zijn. Verwerking die voor het intrekken van uw toestemming heeft plaatsgevonden, wordt hierdoor niet beïnvloed. c) Het recht om klachten in te dienen Indien u een klacht hebt, hebt u de mogelijkheid om contact op te nemen met ons of met een toezichthoudende autoriteit gegevensbescherming, met name in de lidstaat waar u woont of werkt of in de plaats waar de vermeende inbreuk plaatsvond (artikel 77 van de AVG in samenhang met artikel 19 van de BDSG). d) Het recht van bezwaar in overeenstemming met artikel 21 van de AVG Naast de hierboven genoemde rechten hebt u ook het recht om als volgt bezwaar te maken: (1) Situatiespecifiek recht van bezwaar U hebt het recht om op ieder moment bezwaar te maken tegen de verwerking die plaatsvindt op basis van artikel 6, lid 1, punt (f) van de AVG (gegevensverwerking op basis van afweging van belangen) van uw persoonsgegevens, om redenen die voortvloeien uit uw specifieke situatie. Dit geldt ook voor profilering op basis van deze bepaling, zoals gedefinieerd in artikel 4, lid 4 van de AVG. Indien u een bezwaar indient, zullen wij uw persoonsgegevens niet verwerken, tenzij wij dwingende gerechtvaardigde gronden kunnen aanvoeren die zwaarder wegen dan uw belangen, rechten en vrijheden of als de verwerking dient voor het vestigen, uitoefenen of verdedigen van juridische claim. 4
(2) Recht om bezwaar te maken tegen de verwerking van gegevens voor marketingdoeleinden In individuele gevallen verwerken wij uw persoonsgegevens ten behoeve van direct marketing. U hebt het recht om op ieder moment bezwaar te maken tegen de verwerking van uw persoonsgegevens ten behoeve van dergelijke marketing. Dit geldt ook voor profilering voor zover dit verband houdt met direct marketing. Als u bezwaar maakt tegen verwerking ten behoeve van direct marketing, zullen wij uw persoonsgegevens niet langer voor dit doeleinde verwerken. Het bezwaar kan in welke vorm dan ook worden ingediend bij de instantie die in paragraaf 1 van deze privacyverklaring is vermeld. 9. Toezichthoudende autoriteit De contactgegevens van de toezichthoudende autoriteit in Nederland zijn: Autoriteit Persoonsgegevens Postadres: Postbus 93374 2509 AJ Den Haag Bezoekadres: Bezuidenhoutseweg 30 2594 AV Den Haag Tel.: +31 (0)88 1805 250 5