PRIVACY
BELEID
1 Inleiding en samenvatting
1.1 VARO Energy streeft naar de bescherming van persoonsgegevens, in overeenstemming met de geldige gegevensbeschermings- en privacywetten. In dit privacybeleid, met inbegrip van de subbeleidsregels (gezamenlijk het “beleid” genoemd), wordt beschreven hoe VARO Energy waarborgt dat wij persoonsgegevens op een eerlijke, wettige en veilige wijze verwerken.
1.2 Dit beleid is afgestemd op de vereisten van de geldende wet- en regelgeving, in het bijzonder de Algemene verordening gegevensbescherming 2016/679 (“AVG”). Waar van toepassing, kunnen van tijd tot tijd lokale amendementen worden uitgegeven, waarin meer specifieke regels worden beschreven (die prioriteit hebben boven dit beleid in het geval van inconsistentie). Van de relevante entiteit van VARO Energy wordt verwacht dat deze zowel aan dit beleid als aan eventuele specifiekere regels voldoet die gelden voor het rechtsgebied van deze entiteit.
2 Definities
“Verantwoordelijke” is de natuurlijke of rechtspersoon, openbare autoriteit, instelling of andere instantie die, alleen of samen met anderen, de doeleinden en methoden voor het verwerken van persoonsgegevens bepaalt.
“Betrokkene” is een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer factoren die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon. Voorbeelden van betrokkenen kunnen het volgende omvatten: (i) onze werknemers en hun familieleden, (ii) uitzendkrachten, (iii) sollicitanten die werk zoeken bij VARO Energy, (iv) het personeel van onze leveranciers en zakelijke klanten, (v) onze particuliere klanten, (vi) bezoekers van onze gebouwen en locaties, en (vii) gebruikers van websites en apps.
“Persoonsgegevens” betreft alle informatie die verband houdt met een Betrokkene.
“Inbreuk op persoonsgegevens” is een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde openbaarmaking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
“Verwerking” is het uitvoeren van enige bewerking of een reeks van bewerkingen met betrekking tot persoonsgegevens of een reeks van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, openbaar maken door middel van verzending, verspreiden of op andere wijze ter beschikking stellen, afstemmen of combineren, beperken, wissen of vernietigen van gegevens.
“Verwerker” is een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een andere instelling die persoonsgegevens verwerkt namens de Verantwoordelijke.
“Speciale categorieën van persoonsgegevens” zijn persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond, verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid of gegevens met betrekking tot iemands seksueel gedrag of seksuele geaardheid blijken. Er kunnen vergelijkbare of zelfs strengere regels gelden voor persoonsgegevens in verband met strafrechtelijke veroordelingen en vergrijpen en in verband met identificatienummers. Dit is een nummer dat wettelijk is vereist ten behoeve van het identificeren van een persoon en een dergelijk nummer mag uitsluitend worden gebruikt bij het verwerken van persoonsgegevens om te voldoen aan de betrokken wet of voor doeleinden die zijn voorzien in de wet.
“VARO Energy” staat voor VARO Energy B.V. en elk van de groepsondernemingen. “Entiteit van VARO Energy” betekent VARO Energy B.V. of een bedrijf binnen de groep.
3 Gecentraliseerde en lokale verwerking
3.1 Aangezien wij een internationale organisatie vormen, worden veel van onze zakelijke activiteiten uitgevoerd door gegevens over Betrokkenen te verwerken in systemen die zich op specifieke wereldwijde locaties bevinden. Dergelijke persoonsgegevens worden tevens gedeeld met andere systemen en databases die worden gehost door of namens andere entiteiten van VARO Energy. Deze entiteiten van VARO Energy en die andere systemen zullen echter alleen persoonsgegevens verwerken in overeenstemming met de geldende wetten, dit Beleid, in verband met personeelsgerelateerde doeleinden of ter ondersteuning van zakelijke doeleinden.
4 Verantwoordelijken en Privacy Contacts Persons
4.1 Voor iedere verwerking van persoonsgegevens in de context van een entiteit van VARO Energy, heeft VARO Energy bepaald welke entiteit van VARO verantwoordelijk is en welke entiteiten of entiteiten van VARO Energy als Verantwoordelijke zal/zullen optreden.
4.2 VARO Energy heeft Privacy Contact Persons benoemd om toezicht te houden op kwesties met betrekking tot gegevensbescherming. Als u vragen hebt over dit beleid, raadpleegt u een van de Privacy Contact Persons of stuurt u een e-mail naar privacy@varoenergy.com.
4.3 In Duitsland gelden strengere regels met betrekking tot de formele benoeming van een functionaris voor gegevensbescherming (Data Protection Officer – “DPO”). VARO Energy heeft formeel een DPO voor Duitsland benoemd die nauw zal samenwerken met de Privacy Contact Persons binnen VARO Energy. Geen van de leden van de Privacy Contact groep binnen VARO Energy is of dient te worden beschouwd als een formeel benoemde DPO.
4.4 Indien een Betrokkene vragen of klachten heeft of zijn/haar rechten wil uitoefenen, kan hij of zij contact opnemen met een van de Privacy Contact Persons of, in Duitsland, met de DPO. VARO Energy zal te goeder trouw proberen elke vraag te beantwoorden, elke klacht te onderzoeken en te reageren binnen een redelijk tijdsbestek. VARO Energy zal elke klacht op een eerlijke, onpartijdige en onbevooroordeelde wijze behandelen. Geen enkele Betrokkene zal direct of indirect bestraft of benadeeld worden als gevolg van het indienen van een klacht.
5 Beginselen van gegevensbescherming
5.1 VARO Energy en iedereen die handelt namens het bedrijf houdt zich aan de volgende beginselen van gegevensbescherming voor Verwerking van Persoonsgegevens:
- Rechtmatigheid, eerlijkheid en transparantie: VARO Energy zal alleen persoons-gegevens verwerken op basis van een rechtmatige grond, eerlijk handelen en Betrokkenen van informatie voorzien over de verwerking van hun persoonsgegevens.
- Beperking van doel: VARO Energy verzamelt uitsluitend persoonsgegevens die relevant en noodzakelijk zijn voor een of meer welbepaalde, uitdrukkelijk omschreven en legitieme doeleinden en verwerkt alleen persoonsgegevens op een wijze die verenigbaar is met het doel of de doelen waarvoor deze zijn verzameld.
- Proportionaliteit/Minimalisatie van gegevens: VARO Energy verwerkt alleen persoonsgegevens die adequaat, terzake dienend, noodzakelijk en niet buitensporig zijn voor het doel waarvoor zij worden verwerkt.
- Nauwkeurigheid: VARO Energy houdt persoonsgegevens zo nauwkeurig, compleet en actueel mogelijk voor de doeleinden waarvoor deze worden verwerkt.
- Verantwoording: VARO Energy implementeert passende maatregelen om VARO Energy in staat te stellen aan te tonen dat de verwerking van persoonsgegevens plaatsvindt in overeenstemming met deze beginselen van gegevensbescherming.
6 Kennisgeving, toestemming en rechten van Betrokkenen
6.1 Bij het verzamelen van persoonsgegevens van de Betrokkene of van derde partijen, verstrekt VARO Energy een verwerkingsmelding aan de Betrokkene in overeenstemming met artikelen 12 t/m 14 van de AVG.
6.2 VARO Energy biedt Betrokkenen passende toegang tot persoonsgegevens over hen en zal de uitoefening van de rechten van Betrokkenen op het corrigeren, wissen, beperken of overdragen van persoonsgegevens ondersteunen.
7 Vertrouwelijkheid, gegevensbeveiliging en kennisgeving van inbreuken
7.1 VARO Energy heeft passende technische en organisatorische maatregelen getroffen om een passende mate van beveiliging van de persoonsgegevens te waarborgen, met inbegrip van bescherming tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging, en houdt deze beveiligingsmaatregelen actueel.
7.2 VARO Energy zal onverwijld en, waar haalbaar, niet later dan 72 uur na hiervan kennis te hebben genomen, melding maken van elke inbreuk op persoonsgegevens bij de competente toezichthoudende instanties. Bovendien bestaat de kans dat individuen wier gegevens zijn geschonden eveneens op de hoogte moeten worden gesteld als de inbreuk waarschijnlijk zal resulteren in een hoog risico voor hun privacy.
8 Het bewaren van gegevens
8.1 VARO Energy bewaart persoonsgegevens in een vorm die alleen de identificatie van Betrokkenen mogelijk maakt zolang dit nodig is voor de doeleinden waarvoor de gegevens zijn verwerkt. VARO Energy zal persoonsgegevens die niet langer nodig zijn op een veilige wijze en in overeenstemming met de toepasselijke wetgeving vernietigen (of zoveel mogelijk alleen in een anonieme of gedeïdentificeerde vorm bewaren), tenzij (i) om zichzelf te beschermen tegen juridische claims en/of (ii) er verplichte (wettelijke of contractuele) bewarings- of archiveringsverplichtingen bestaan die langere opslag vereisen. Lees het subbeleid ‘Het bewaren van gegevens’ (Retention Policy) door voor meer informative.
9 Overdracht van persoonsgegevens aan derde partijen, internationale overdrachten
9.1 VARO Energy stelt alleen persoonsgegevens ter beschikking aan derde partijen onder passende omstandigheden, informeert Betrokkenen over dergelijke overdrachten en categorieën van ontvangers en implementeert maatregelen ter bescherming van de persoonsgegevens.
9.2 VARO Energy maakt alleen gebruik van Verwerkers die passende technische en organisatorische maatregelen hebben getroffen om te voldoen aan de vereisten van de AVG en om te waarborgen dat de rechten van Betrokkenen worden beschermd. VARO Energy gaat een verwerkingsovereenkomst aan met elke Verwerker.
9.3 VARO Energy voert internationale overdrachten van persoonsgegevens (al dan niet tussen verschillende bedrijven) buiten de EU, EER of Zwitserland alleen uit (a) indien de overdracht in overeenstemming is met de wetten in het rechtsgebied van de overdragende partij, en (b) na ervoor te hebben gezorgd dat er een adequaat beschermingsniveau bestaat in het rechtsgebied van de ontvanger of dat er adequate beschermingsmaatregelen zijn getroffen ter bescherming van de persoonsgegevens. De overdragende partij is verantwoordelijk voor het beoordelen van de adequaatheid hiervan en kan de ontvanger vragen om beschermingsmaatregelen te treffen die vergelijkbaar zijn met die uit hoofde van het beleid en in het rechtsgebied van de overdragende partij.
10 Wijzigingen
10.1 In het kader van de geldende wetgeving, kan VARO Energy dit beleid op enig moment of van tijd tot tijd naar eigen goeddunken herzien, aanpassen of aanvullen. Dergelijke wijzigingen worden gepubliceerd op het intranet en onze website. Betrokkenen worden geadviseerd om deze van tijd tot tijd te controleren om er zeker van te zijn dat zij zich bewust zijn van eventuele wijzigingen en een Betrokkene die zakendoet met VARO Energy stemt ermee in, voor zover toegestaan volgens de toepasselijke wetgeving, gebonden te zijn aan de meest recente versie van dit beleid.
5 Beginselen van gegevensbescherming
5.1 VARO Energy en iedereen die handelt namens het bedrijf houdt zich aan de volgende beginselen van gegevensbescherming voor Verwerking van Persoonsgegevens:
a. Rechtmatigheid, eerlijkheid en transparantie: VARO Energy zal alleen persoons-gegevens verwerken op basis van een rechtmatige grond, eerlijk handelen en Betrokkenen van informatie voorzien over de verwerking van hun persoonsgegevens.
b. Beperking van doel: VARO Energy verzamelt uitsluitend persoonsgegevens die relevant en noodzakelijk zijn voor een of meer welbepaalde, uitdrukkelijk omschreven en legitieme doeleinden en verwerkt alleen persoonsgegevens op een wijze die verenigbaar is met het doel of de doelen waarvoor deze zijn verzameld.
c. Proportionaliteit/Minimalisatie van gegevens: VARO Energy verwerkt alleen persoonsgegevens die adequaat, terzake dienend, noodzakelijk en niet buitensporig zijn voor het doel waarvoor zij worden verwerkt.
d. Nauwkeurigheid: VARO Energy houdt persoonsgegevens zo nauwkeurig, compleet en actueel mogelijk voor de doeleinden waarvoor deze worden verwerkt.
e. Verantwoording: VARO Energy implementeert passende maatregelen om VARO Energy in staat te stellen aan te tonen dat de verwerking van persoonsgegevens plaatsvindt in overeenstemming met deze beginselen van gegevensbescherming.
6 Kennisgeving, toestemming en rechten van Betrokkenen
6.1 Bij het verzamelen van persoonsgegevens van de Betrokkene of van derde partijen, verstrekt VARO Energy een verwerkingsmelding aan de Betrokkene in overeenstemming met artikelen 12 t/m 14 van de AVG.
6.2 VARO Energy biedt Betrokkenen passende toegang tot persoonsgegevens over hen en zal de uitoefening van de rechten van Betrokkenen op het corrigeren, wissen, beperken of overdragen van persoonsgegevens ondersteunen.
7 Vertrouwelijkheid, gegevensbeveiliging en kennisgeving van inbreuken
7.1 VARO Energy heeft passende technische en organisatorische maatregelen getroffen om een passende mate van beveiliging van de persoonsgegevens te waarborgen, met inbegrip van bescherming tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging, en houdt deze beveiligingsmaatregelen actueel.
7.2 VARO Energy zal onverwijld en, waar haalbaar, niet later dan 72 uur na hiervan kennis te hebben genomen, melding maken van elke inbreuk op persoonsgegevens bij de competente toezichthoudende instanties. Bovendien bestaat de kans dat individuen wier gegevens zijn geschonden eveneens op de hoogte moeten worden gesteld als de inbreuk waarschijnlijk zal resulteren in een hoog risico voor hun privacy.
8 Het bewaren van gegevens
8.1 VARO Energy bewaart persoonsgegevens in een vorm die alleen de identificatie van Betrokkenen mogelijk maakt zolang dit nodig is voor de doeleinden waarvoor de gegevens zijn verwerkt. VARO Energy zal persoonsgegevens die niet langer nodig zijn op een veilige wijze en in overeenstemming met de toepasselijke wetgeving vernietigen (of zoveel mogelijk alleen in een anonieme of gedeïdentificeerde vorm bewaren), tenzij (i) om zichzelf te beschermen tegen juridische claims en/of (ii) er verplichte (wettelijke of contractuele) bewarings- of archiveringsverplichtingen bestaan die langere opslag vereisen. Lees het subbeleid ‘Het bewaren van gegevens’ (Retention Policy) door voor meer informative.
9 Overdracht van persoonsgegevens aan derde partijen, internationale overdrachten
9.1 VARO Energy stelt alleen persoonsgegevens ter beschikking aan derde partijen onder passende omstandigheden, informeert Betrokkenen over dergelijke overdrachten en categorieën van ontvangers en implementeert maatregelen ter bescherming van de persoonsgegevens.
9.2 VARO Energy maakt alleen gebruik van Verwerkers die passende technische en organisatorische maatregelen hebben getroffen om te voldoen aan de vereisten van de AVG en om te waarborgen dat de rechten van Betrokkenen worden beschermd. VARO Energy gaat een verwerkingsovereenkomst aan met elke Verwerker.
9.3 VARO Energy voert internationale overdrachten van persoonsgegevens (al dan niet tussen verschillende bedrijven) buiten de EU, EER of Zwitserland alleen uit (a) indien de overdracht in overeenstemming is met de wetten in het rechtsgebied van de overdragende partij, en (b) na ervoor te hebben gezorgd dat er een adequaat beschermingsniveau bestaat in het rechtsgebied van de ontvanger of dat er adequate beschermingsmaatregelen zijn getroffen ter bescherming van de persoonsgegevens. De overdragende partij is verantwoordelijk voor het beoordelen van de adequaatheid hiervan en kan de ontvanger vragen om beschermingsmaatregelen te treffen die vergelijkbaar zijn met die uit hoofde van het beleid en in het rechtsgebied van de overdragende partij.
10 Wijzigingen
10.1 In het kader van de geldende wetgeving, kan VARO Energy dit beleid op enig moment of van tijd tot tijd naar eigen goeddunken herzien, aanpassen of aanvullen. Dergelijke wijzigingen worden gepubliceerd op het intranet en onze website. Betrokkenen worden geadviseerd om deze van tijd tot tijd te controleren om er zeker van te zijn dat zij zich bewust zijn van eventuele wijzigingen en een Betrokkene die zakendoet met VARO Energy stemt ermee in, voor zover toegestaan volgens de toepasselijke wetgeving, gebonden te zijn aan de meest recente versie van dit beleid.