1. Inledning

Dataskyddspolicyn (nedan kallad policy) gäller för ETAP-gruppen, dvs. alla moder-, syster- och dotterbolag i ETAP NV och alla permanenta anläggningar i ETAP NV (nedan kallad ETAP, företagsgrupp eller organisation).

ETAP behandlar olika data, både kommersiella data och personuppgifter, i samband med sin verksamhet. Den här policyn avser ETAP:s behandling av personuppgifter. Personuppgifter för olika kategorier av identifierbara personer (t.ex. anställda, kunder och leverantörer, användare av webbplatsen, prenumeranter, direktörer, aktieägare och andra intressenter) behandlas.

ETAP förstår vikten av att skydda personuppgifter och oron hos anställda, kunder och kunders kontaktpersoner, leverantörer och leverantörers kontaktpersoner och andra personer som ETAP har kontakt med, angående hanteringen av personuppgifter. ETAP överväger alltid skyddet av personuppgifter under de olika hanteringarna av dem.

Olika personer inom organisationen kan ha tillgång till anställdas personuppgifter (termen ”anställda” omfattar: chefer och alla som arbetar för ETAP, inklusive oberoende tjänsteleverantörer och konsulter, tillfälligt anställda, t.ex. byråarbetare, praktikanter, studentarbetare, volontärer, tidigare anställda) och andra personer (kunder och leverantörer) i sin roll. Den här policyn för skydd av personuppgifter gäller för alla dessa personer på ETAP.

ETAP har skyldigheter enligt dataskyddsförordningen för hur data ska behandlas. Enligt förordningen har dessutom de personer, vars data behandlas, rättigheter, så att de har mer kontroll över sina egna personuppgifter.

Den här policyn är en översikt av de allmänna skyldigheterna enligt dataskyddsförordningen som organisationen och dess anställda måste följa. Det är viktigt att följa policyn av följande skäl:

  • Överensstämmelse med dataskyddsförordningen är en juridisk skyldighet och om man inte rättar sig efter den kan det leda till ansvar, påföljder och böter.

  • Överensstämmelse med dataskyddsförordningen leder till en mer tillfredsställande och effektiv behandling av personuppgifter.

  • Överensstämmelse med dataskyddsförordningen är grunden för ett förtroendeförhållande mellan ETAP och dess affärsrelationer, konsumenter och anställda.

 

2.  Omfattning

Policyn gäller för ETAP som behandlar personuppgifter och innehåller riktlinjer som måste följas vid all behandling av personuppgifter. Behandlingen sker helt eller delvis via automatiserade processer som ingår i ett strukturerat arkivsystem eller som kommer att utgöra en del av ett strukturerat arkivsystem.

Policyn är skriven på ett sådant sätt att den hänvisar till en enhetlig minimistandard för skydd av personuppgifter som gäller för koncernen. Policyn tillämpas inom koncernen, med undantag om annan obligatorisk dataskyddslagstiftning gäller som innehåller strängare skyldigheter och villkor.

 

3. Kontaktperson för skydd av personuppgifter

Organisationen har utsett en ansvarig person, med stöd av ett team, för att säkerställa genomförandet av och efterlevnaden av dataskyddsförordningen och den här policyn. 

Personen som ansvarar för dataskydd kan kontaktas via e-post katrien.verhaert@etaplighting.com eller telefon +32 3 310 02 07.

Se artikel 8 i policyn för att utöva dina rättigheter.

 

4. Förklaringar

I tillämplig dataskyddsförordning används ett särskilt språk och det hänvisas till ett abstrakt ärende. Nedan finns flera förklaringar så att du bättre kan förstå terminologin och i förlängningen den här policyn.

 

a. Dataskyddsförordningen

Olika lagar kan tillämpas, beroende på den konkreta tillämpningen som personuppgifter behandlas i.

De grundläggande principerna och skyldigheterna anges i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, samt om upphävande av direktiv 95/46/EG. Förordningen är också känd som den allmänna dataskyddsförordningen (GDPR, General Data Protection Regulation). Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och skydd av privata uppgifter inom den elektroniska kommunikationssektorn är tillämplig i specifika fall (t.ex. behandling av platsinformation och användning av cookies).

Förutom de europeiska förordningarna gäller också särskild nationell lagstiftning, t.ex. för Belgien lagen från den 8 december 1992 om skydd av privata uppgifter vad gäller behandling av personuppgifter och lagen från den 13 juni 2005 om elektronisk kommunikation.

 

b. Personuppgifter

Personuppgifter gäller all information om en identifierad eller identifierbar fysisk person, även känd som den registrerade. En person betraktas som identifierbar när en fysisk person kan identifieras direkt eller indirekt, särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, platsinformation, en online-identifierare eller ett eller flera element som är karakteristiska för den fysiska, fysiologiska, genetiska, psykologiska, ekonomiska, kulturella eller sociala identiteten hos den fysiska personen.

 

c. Registeransvarig

Registeransvarig är en fysisk person eller juridisk person (t.ex. ett företag), en offentlig myndighet, byrå eller annan enhet som, ensamt eller tillsammans med andra, bestämmer syften och sätt för behandling av personuppgifter.

Exempel: ETAP NV är en juridisk person som ansvarar för behandlingen av sina anställdas personuppgifter som en del av HR-ledningen.

 

d. Behandlare

Behandlaren är en fysisk person eller juridisk person, en offentlig myndighet, byrå eller annan enhet som behandlar personuppgifter på uppdrag av och endast enligt instruktioner från registeransvarig.

 

e. Behandling av personuppgifter

Behandling av personuppgifter avser alla handlingar eller en uppsättning handlingar som utförs avseende personuppgifter eller en uppsättning personuppgifter, oavsett om det sker automatiskt (t.ex. programvara), t.ex. insamling, inspelning, organisation, strukturering, lagring, anpassning eller ändring, hämtning, konsultation, användning, utlämnande genom överföring, spridning eller tillhandahållande på annat sätt, justering eller kombination, blockering, radering eller förstörelse.

Ett exempel på behandling av personuppgifter är när organisationen samlar in och sparar kunders kontaktuppgifter i organisationens programvara för kundrelationshantering eller i ett arkivsystem i pappersformat.

f. Arkivsystem

Ett arkivsystem innebär alla strukturerade uppsättningar personuppgifter som är tillgängliga enligt särskilda kriterier, antingen de är centraliserade, decentraliserade eller spridda på funktionsbasis eller geografisk basis.

Detta innebär både elektroniska strukturerade arkivsystem med användning av programvara eller molnapplikationer, pappersfiler och arkivsystem, förutsatt att dessa arkivsystem är organiserade och strukturerade på ett logiskt sätt genom att koppla dem till enskilda personer eller som är kopplade till enskilda personer med utgångsprunkt från kriterierna.

 

5. Principer som är tillämpliga vid insamling och behandling av personuppgifter

Förutom att ett särskilt språk används, har dataskyddsförordningen flera grundläggande principer som alla registeransvariga måste följa för att följa lagstiftningen. Vid tveksamhet om tillämpningen av dessa principer i ett konkret fall kan du alltid kontakta Katrien Verhaert, företagets advokat, för mer ingående förklaringar och enligt förfarandet som beskrivs i artikel 8 i den här policyn.

I dataskyddsförordningen föreskrivs att personuppgifter måste behandlas i överensstämmelse med de olika grundprinciperna och villkoren som följer av dem.

 

a. Lagenlighet 

I dataskyddsförordningen föreskrivs att personuppgifter måste behandlas rättvist och lagligt med avseende på den registrerade personen.

För att behandla personuppgifter lagligt måste det finnas en rättslig grund. I princip kan personuppgifter bara behandlas när:

  • den registrerade personen har gett sitt samtycke. Organisationen ska informera den berörda personen senast innan uppgifterna samlas in om syftet för vilket samtycke krävs, vilka personuppgifter som samlas in för behandlingen, rätten att återkalla samtycke, eventuella konsekvenser för den registrerade i sammanhanget av automatiserat enskilt beslutsfattande och profilering, samt överföring till tredje land.
  • behandling är nödvändig för utförandet av ett kontrakt som den registrerade är part i eller för att vidta åtgärder på begäran av den registrerade innan han/hon ingår ett kontrakt.
  • behandling är nödvändig för att följa en juridisk skyldighet som åläggs organisationen.
  • behandling är nödvändig för att skydda den registrerade eller en annan fysisk persons viktiga intressen.
  • behandling är nödvändig för att utföra en uppgift som utförs i allmänhetens intresse eller för utövandet av en offentlig myndighet som är förknippad med organisationen som fungerar som registeransvarig.
  • behandling är nödvändig för de juridiska intressen som organisationen eftersträvar som registeransvarig eller för tredje parts intressen utom när den registrerades grundläggande rättigheter och frihet angående skyddet av hans eller hennes personuppgifter åsidosätter dessa intressen.

Om du har gett ditt samtycke till ett specifikt behandlingssyfte till organisationen för att behandla dina uppgifter för det syftet kan du när som helst ta tillbaka detta samtycke. Organisationen avbryter då all ytterligare behandling av dina uppgifter som du gav samtycke till och informerar dig om möjliga konsekvenser av att du tagit tillbaka ditt samtycke. Om organisationen behandlar dina personuppgifter för andra ändamål och för att göra det hänvisar till andra rättsliga grunder kan den ändå behandla dina personuppgifter.

Organisationen ser till att den alltid hänvisar till minst en av de ovannämnda rättsliga grunderna när den behandlar personuppgifter. Om du har frågor om den tillämpliga rättsliga grunden som organisationen hänvisar till kan du alltid kontakta den person som ansvarar för dataskydd i enlighet med förfarandet i artikel 8 i den här policyn.

Vissa kategorier av personuppgifter är av känslig karaktär och dataskyddsförordningen har också en strängare regim för dessa speciella kategorier av personuppgifter (även känt som ”känsliga personuppgifter”). Dessa kategorier är uppgifter om etnisk tillhörighet eller etniskt ursprung, politiska åsikter, religiösa eller filosofiska övertygelser eller fackföreningsmedlemskap och behandling av genetiska data, biometriska uppgifter för en unik identifiering av en person eller uppgifter om hälsa, sexuellt beteende eller sexuell läggning. Uppgifter om brott eller domar utgör också en särskild kategori.

I princip är det förbjudet att behandla dessa känsliga personuppgifter, såvida inte organisationen kan hänvisa till ett av undantagen. I ett specifikt begränsat antal fall måste organisationen behandla känsliga personuppgifter. I dessa fall informeras den registrerade i förväg. För dessa specifika ändamål förser organisationen den berörda personen med detaljerad information i förväg om de specifika syftena och den rättsliga grunden för behandlingen.  För mer information om hur organisationen kan behandla känsliga personuppgifter kan du alltid kontakta den person som ansvarar för dataskydd enligt förfarandet som beskrivs i artikel 8 i den här policyn.

 

b. Rättvisa

Organisationen ser till att personuppgifter ska behandlas:

  • för specifika, uttryckliga och lagliga ändamål och får inte behandlas vidare på ett sätt som är oförenligt med de ursprungliga syften för vilka uppgifterna samlades in. Organisationen ska alltid tydligt meddela syftena innan behandlingen påbörjas.
  • endast i den utsträckning det är nödvändigt för de syften för vilka uppgifterna samlades in. Om möjligt anonymiserar organisationen uppgifterna eller använder pseudonymer för att begränsa effekterna för den registrerade så mycket som möjligt. Det innebär att namnet eller identifieraren ersätts så att det är svårt eller till och med omöjligt att identifiera en person.
  • begränsat i tiden och endast efter behov för det specifika syftet.
  • exakt och de ska uppdateras vid behov. Organisationen ska vidta alla rimliga åtgärder för att radera eller uppdatera personuppgifterna med hänsyn till de syften för vilka de behandlas.

 

c. Transparens

Organisationen behandlar personuppgifter som de i princip har fått direkt från den registrerade. Organisationen som behandlar den registrerades personuppgifter ska alltid informera de registrerade om följande frågor:

  • identitets- och kontaktuppgifter till den registeransvarige
  • om ett personskyddsombud utses, hans eller hennes kontaktuppgifter
  • behandlingsändamål och rättslig grund
  • om behandling av personuppgifter stöds av ett lagligt intresse, en förklaring av detta intresse
  • kategorier av mottagare av personuppgifterna
  • överföring av personuppgifter till tredje land (utanför EU) eller internationella organisationer (och på vilken grund)
  • tidsgräns för lagring av personuppgifter eller kriterier som används för att bestämma tidsgränsen
  • den registrerades rättigheter (inklusive rätten att återkalla samtycke)
  • rätten att lämna in ett klagomål till tillsynsmyndigheten
  • förklaring när överföring av personuppgifter är en avtalsenlig eller rättslig skyldighet
  • logiken bakom automatiserade beslutsprocesser och eventuella juridiska konsekvenser för den registrerade
  • om organisationen tar emot personuppgifter från en tredje part ska den tydligt informera den registrerade om de kategorier av personuppgifter som den mottog från denna tredje part och gör också denna tredje part känd för den registrerade.
     


    När den registrerade redan har all information informerar organisationen inte den registrerade i onödan om hanteringen av hans eller hennes personuppgifter.
     
    Om organisationen behandlar personuppgifter för andra ändamål som är oförenliga med de ursprungliga syftena för vilka uppgifterna ursprungligen samlades in (det nya syftet verkar inte beskrivas i det ursprungliga informationsmeddelandet och den registrerade kan inte anta att hans/hennes personuppgifter också kommer att behandlas för det här nya syftet) ska organisationen vidta alla nödvändiga åtgärder för att behandla dessa personuppgifter lagligt och ska informera den registrerade om detta.
     
    Organisationen kan lämna ut informationen både kollektivt och enskilt och ska fortsätta säkerställa att den är utformad på ett tydligt och begripligt språk.
    Specifik lagstiftning kan innehålla undantag eller ställa ytterligare krav som organisationen måste uppfylla med avseende på tillhandahållande av information till registrerade. Dessa obligatoriska lagbestämmelser har företräde framför den här policyn.

 

d. Sekretess och integritet

Företaget vidtar nödvändiga tekniska och organisatoriska åtgärder för att säkerställa att behandlingen av personuppgifter alltid sker med lämpliga garantier, så att uppgifterna skyddas mot oavsiktlig förlust och mot olaglig behandling, förstörelse eller skada. Organisationen har, vid val av lämpliga säkerhetsåtgärder, beaktat behandlingens art, sammanhang, syfte och omfattning, möjliga risker vid behandling av personuppgifterna, kostnaderna för genomförande av åtgärderna och den senaste tekniken.

Dessa åtgärder är tillämpliga för fysisk tillgång till personuppgifter, tillgång till personuppgifter via datorer, servrar, nätverk eller annan IT-maskinvara och programvaruapplikationer och databaser. Förutom de tekniska och organisatoriska åtgärderna är organisationens anställda, som har tillgång till personuppgifter under utförandet av sina uppgifter, bundna av olika skyldigheter för att garantera sekretess och integritet av personuppgifter, som sammanfattas i artikel 9 i den här policyn.

Organisationen organiserar utbildningskurser för de anställda som behandlar personuppgifter enligt organisationens instruktioner när de utför sina uppgifter. De anställda får endast behandla personuppgifterna enligt organisationens anvisningar eller om lagen kräver att de gör det. Organisationen ska också implementera tillgångsrättigheter så att de anställda endast har tillgång till den information de behöver när de utför sina uppgifter. De anställda som har tillgång till personuppgifter ska underteckna ett sekretessavtal.

Organisationen ska se till att de tredje parterna som tar emot personuppgifter från organisationen följer tillämplig lagstiftning om dataskydd och den här policyn.

En allmän sammanfattning av de tekniska och organisatoriska säkerhetsåtgärderna som koncernen har infört finns i artikel 13 i den här policyn.

 

6. Överföring av personuppgifter

I vissa fall kan organisationen vara skyldig att överföra personuppgifter till tredjepartsmottagare, både inom koncernen och utanför den. I vilket fall som helst överförs dessa personuppgifter endast för kunskap efter behov till dessa mottagare som utför behandlingen för specifika ändamål. Organisationen ska alltid följa de nödvändiga säkerhetsåtgärderna vid överföring av uppgifterna och med avseende på mottagarna för att garantera konfidentialitet och integritet för personuppgifterna.

Överföringen till tredje part kan ske på flera olika sätt enligt beskrivningen nedan.

 

a. Överföring inom organisationens koncern

Överföring av personuppgifter inom koncernen betraktas som en överföring till en tredje part. Följaktligen kan den här överföringen endast ske när organisationen har uppfyllt de olika principerna och skyldigheterna i dataskyddsförordningen. Det innebär bland annat att den registrerade måste informeras om överföringen och orsaken till den här överföringen och att den överförande organisationen kan förlita sig på en rättslig grund (samtycke från den registrerade, genomförande av ett avtal, lagligt intresse osv.) för den här överföringen. Organisationen måste också följa de andra principerna som sammanfattas i artikel 5 i den här policyn för den här ytterligare behandlingen.

När dina personuppgifter vidarebefordras till företag inom koncernen, men som är belägna utanför Europeiska ekonomiska samarbetsområdet (dvs. Europeiska unionen, Norge, Island och Liechtenstein) ger koncernen lämpliga garantier enligt beskrivningen i punkt 6.3.

 

b. Överföring till behandlare

Organisationen kan be en tredje part, en behandlare, att behandla personuppgifter på uppdrag av och endast enligt anvisningar från organisationen. Behandlaren får inte behandla dessa personuppgifter för sina egna ändamål som är oberoende av de syften för vilka organisationen använder behandlaren.

Organisationen kan välja att arbeta med dessa behandlare som levererar tjänster på organisationens begäran, för resebyråer, hyrservice, medicinska och andra professionella konsultjänster osv.

Organisationen ska endast använda behandlare och förse dem med personuppgifter när behandlingsavtal som uppfyller de lagliga kraven ingås med behandlarna. I GDPR föreskrivs bland annat att avtalet måste innehålla en klausul som indikerar att behandlaren endast får behandla personuppgifterna enligt organisationens anvisningar, att behandlaren måste hjälpa organisationen när den begär det, att personuppgifter måste förbli konfidentiella osv.

En del av det här behandlingsavtalet gäller också de säkerhetsåtgärder som behandlaren måste vidta innan personuppgifterna behandlas och måste ha under hela behandlingstiden för att säkerställa uppgifternas konfidentialitet och integritet.

Organisationen ska vidta nödvändiga åtgärder om den fastställer att behandlarna inte uppfyller skyldigheterna i avtalet.

Ett behandlingsavtal av standardtyp finns att få av Katrien Verhaert, företagets advokat.

 

c. Överföring till tredje land – utanför Europeiska ekonomiska samarbetsområdet

Det är också möjligt för organisationen att överföra personuppgifter till parter i tredje länder, detta är länder utanför Europeiska ekonomiska samarbetsområdet (dvs. Europeiska unionen, Norge, Island och Liechtenstein).

En sådan överföring är möjlig om landet där mottagaren är baserad erbjuder tillräckliga juridiska garantier för att skydda dina personuppgifter och som Europeiska kommissionen har bedömt vara tillräckliga. I andra fall har organisationen ingått ett standardavtal med mottagaren så att motsvarande eller liknande skydd som det som finns i Europa erbjuds.

För fall där detta inte har inträffat eller inte kan hända kan organisationen alltid vidarebefordra den registrerades personuppgifter om den får samtycke från den registrerade, inom gränserna för det förhållande som den registrerade har till organisationen. För att säkerställa att överföring och därmed också behandling är möjlig i dessa fall, där så är lämpligt, ska organisationen fråga den registrerade om han/hon samtycker till den här tillfälliga överföringen till tredje land.

Om mer information eller en kopia av garantierna för dessa internationella överföringar önskas kan förfarandet enligt artikel 8 alltid följas.

 

7. Tidsgräns för lagring av personuppgifter

Organisationen får inte lagra personuppgifter längre än nödvändigt för det specifika syfte för vilket uppgifterna samlades in. När den sista tidsgränsen har passerats ska organisationen radera eller anonymisera personuppgifterna. Organisationen ska anonymisera uppgifterna om den fortfarande vill använda dem för statistik. Organisationen kan lagra personuppgifterna under en längre tid för tvisthantering, forsknings- och arkiveringsändamål.

 

8. Den registrerades rättigheter

I dataskyddsförordningen föreskrivs olika rättigheter för registrerade med avseende på behandling av personuppgifter så att den registrerade fortfarande kan utöva tillräcklig kontroll över behandlingen av hans eller hennes personuppgifter.

Organisationen försöker via nuvarande policy att redan tillhandahålla så mycket information som möjligt till de registrerade för att vara så transparent som möjligt med avseende på behandlingen av personuppgifter. Den här allmänna policyn måste läsas tillsammans med mer specifika informationsanteckningar som ger mer förklaringar om organisationens specifika behandlingsändamål.

Organisationen förstår att den registrerade fortfarande kan ha frågor eller önskar ytterligare förtydliganden med avseende på behandlingen av hans eller hennes personuppgifter. Organisationen förstår således vikten av rättigheterna och ska därför följa dessa rättigheter med tanke på de lagliga begränsningarna i utövandet av dessa rättigheter. De olika rättigheterna beskrivs i detalj nedan.

 

a. Rätt till åtkomst/inspektion

Den registrerade har rätt att få bekräftelse från organisationen om hans eller hennes personuppgifter behandlas eller inte. Om hans eller hennes uppgifter behandlas kan den registrerade begära rätten att konsultera sina personuppgifter.

Organisationen ska informera den registrerade om följande frågor:

  • syftet med behandlingen
  • kategorierna av personuppgifter som berörs
  • mottagare eller kategorier av mottagare till vilka personuppgifterna levereras
  • överföring till mottagare i tredje land eller internationella organisationer
  • om möjligt, den tid under vilken det förväntas att personuppgifterna kommer att sparas eller om detta inte är möjligt, kriterierna som används för att bestämma denna tidsperiod
  • att den registrerade har rätt att be organisationen att korrigera eller radera personuppgifter eller att begränsa behandlingen av hans eller hennes personuppgifter, såväl som rätten att invända mot denna behandling
  • att den registrerade har rätt att lämna in ett klagomål till en tillsynsmyndighet
  • om personuppgifterna inte samlas in från den registrerade, all tillgänglig information om datakällan
  • förekomsten av automatiserat beslutsfattande, inklusive profilering och meningsfull information om logiken, liksom betydelsen och de planerade konsekvenserna av sådan behandling för den registrerade.

Organisationen ska också tillhandahålla en kopia av de personuppgifter som behandlas. För ytterligare kopior som den registrerade begär kan den registeransvarige ta ut en rimlig avgift.

 

b. Rätt till rättelse

När den registrerade konstaterar att organisationen har felaktiga eller ofullständiga uppgifter om honom/henne har den registrerade alltid rätt att informera organisationen om detta faktum så att lämpliga åtgärder kan vidtas för att korrigera eller komplettera dessa uppgifter. Det är den registrerades ansvar att tillhandahålla rätt personuppgifter till organisationen.

 

c. Rätt att bli bortglömd

Den registrerade kan begära att hans eller hennes personuppgifter raderas om behandlingen inte är i enlighet med dataskyddsförordningen och inom lagens gränser (artikel 17 GDPR).

 

d. Rätt till begränsad behandling

Den registrerade kan begära att behandlingen begränsas om:

  • personuppgifternas noggrannhet ifrågasätts av den registrerade under en period som gör det möjligt för den registeransvarige att kontrollera att de stämmer
  • behandlingen är olaglig och den registrerade motsätter sig radering av uppgifterna
  • organisationen behöver inte längre uppgifterna, men den registrerade begär att de inte tas bort, med tanke på att han eller hon behöver dem för utövande eller försvar av juridiska anspråk
  • han eller hon har invänt mot behandling, i väntan på verifieringen om de berättigade grunderna för att den registeransvarige åsidosätter dessa.

 

e. Rätt till dataportabilitet

Den registrerade har rätt att erhålla sina personuppgifter som han eller hon tillhandahöll till organisationen i ett strukturerat maskinläsbart format som ofta används. Den registrerade har rätt att få dessa personuppgifter överförda till en annan registeransvarig (direkt av organisationen). Detta är möjligt om den registrerade har samtyckt till behandlingen och om behandlingen utförs via en automatiserad process.

 

f. Rätt att invända

När personuppgifter behandlas för direkta marknadsföringsändamål (inklusive profilering) kan den registrerade alltid invända mot behandlingen.

Den registrerade kan också invända mot behandling på grund av en specifik situation beträffande den registrerade. Organisationen ska sluta behandla personuppgifterna såvida inte organisationen visar tvingande berättigade skäl för behandlingen som åsidosätter den registrerades intressen eller för utövande eller försvar av juridiska fordringar.

 

g. Automatiserat enskilt beslutsfattande

Den registrerade ska ha rätt att inte bli föremål för ett beslut baserat endast på automatiserad behandling, inklusive profilering, som ger rättsliga effekter angående honom eller henne eller som på liknande sätt påverkar honom eller henne på ett betydande sätt, såsom att utvärdera personliga aspekter med avseende på utförandet av arbetet, tillförlitlighet, kreditvärdighet osv.

Rätten att inte bli föremål för sådant automatiserat beslut finns inte när beslutet är tillåtet genom en obligatorisk rättslig bestämmelse.

Den registrerade får inte heller åberopa denna rätt när beslutet är nödvändigt för att ingå eller genomföra ett avtal mellan den registrerade och organisationen eller baseras på den registrerades uttryckliga medgivande. I dessa två sista fall har den registrerade rätt att få mänskligt ingripande från någon i organisationen och han eller hon har rätt att göra sin synpunkt känd och att ifrågasätta den automatiserade beslutsprocessen.

 

h. Rätt att ta tillbaka samtycke

Om du har gett ditt samtycke till ett specifikt behandlingssyfte till organisationen för att behandla dina uppgifter kan du när som helst ta tillbaka detta samtycke genom att skicka ett e-postmeddelande.

 

i. Förfarande för utövande av rättigheter och andra bestämmelser

Den registrerade kan utöva sina rättigheter genom att skicka ett e-postmeddelande till Katrien Verhaert, företagets advokat, på katrien.verhaert@etaplighting.com eller genom att ringa henne på följande nummer: +32 3 310 02 07. Organisationen kan be den registrerade att identifiera sig själv för att säkerställa att det verkligen är den registrerade som begär att få utöva sina rättigheter.

Om du har några frågor om tillämpningen av principerna eller organisationens (juridiska) skyldigheter kan du alltid kontakta Katrien Verhaert via katrien.verhaert@etaplighting.com eller +32 3 310 02 07.

I princip ska organisationen svara på den registrerades begäran inom en månad. Om inte, ska organisationen informera den registrerade om varför begäran inte besvarades eller varför den inte besvarades i god tid. Organisationen ska vidta nödvändiga åtgärder för att informera mottagarna om den registrerades personuppgifter om att utöva rätten till korrigering, rätten att radera eller begränsa behandlingen av den registrerade.

 

9. Anställdas ansvar

Organisationen förväntar sig att anställda följer policyn och ser till att de personer som den ansvarar för, följer policyn.

 Det är av yttersta vikt att medarbetarna förstår syftet med policyn och bekantar sig med den så att de kan följa bestämmelserna i den. De anställda måste därför:

  • behandla personuppgifter för medarbetare, kunder osv. på ett regelbundet och korrekt sätt i enlighet med tillämplig lagstiftning, arbetsgivarens anvisningar och företagets sekretesspolicy och där personuppgifter behandlas konfidentiellt och med tanke på dess integritet
  • fråga chefen om råd eller den person som ansvarar för dataskydd om de tvivlar om tillämpningen av policyn eller efterlevnaden av dataskyddsförordningen när de utför sina uppgifter
  • endast behandla personuppgifter när detta krävs för att utföra uppgifter/på instruktioner från organisationen
  • följ utbildningskurser om konfidentiell behandling av personuppgifter och de allmänna principer och skyldigheter om följer av dataskyddsförordningen
  • hjälper personen som är ansvarig för dataskydd
  • inte spara några kopior av personuppgifter på skrivbordet eller personlig bärbar lagring om organisationen har centraliserad och säker lagring, med tanke på att spara dina egna filer eller kopior kan leda till felaktiga personuppgifter och större risk för intrång.
  • omedelbart informera den person som är ansvarig för dataskydd om han eller hon konstaterar ett potentiellt eller faktiskt brott mot personuppgifter och dataskyddsförordningen.

 

10. Efterlevnad

Alla enheter som ingår i koncernen ska säkerställa att policyn följs. Alla personer som har tillgång till personuppgifter som behandlas av organisationen måste följa den här policyn. Bristande efterlevnad av den här policyn kan leda till disciplinära åtgärder/sanktioner såsom varning, avskedande eller annan sanktion som är tillåten enligt lag utan att det påverkar rätten att inleda civilrättsliga eller straffrättsliga förfaranden.

 

11. Granskning

Organisationen förbehåller sig rätten att ändra och granska den här policyn när den anser det nödvändigt och att fortsätta överensstämma med skyldigheterna enligt lag och/eller rekommendationerna från den behöriga tillsynsmyndigheten för dataskydd.

Organisationen ska informera den person som ansvarar för dataskydd när det är omöjligt för den att följa den här policyn på grund av obligatoriska lagbestämmelser som åläggs organisationen.

 

12. Ikraftträdande

Policyn gäller från och med den 25 maj 2018.

 

13. Tekniska och organisatoriska säkerhetsåtgärder

Organisatoriska åtgärder

  • Säkerhetsdirektiv
  • Att öka medvetenheten bland personalen genom att tillhandahålla information och utbildning
  • Förfarande för rapportering av fysiska/tekniska incidenter (under 2018)
  • Disciplinära konsekvenser efter att en av åtgärderna inte följts

Tekniska åtgärder

  • Säkerhetskopieringssystem
  • Åtgärder efter brand, inbrott eller vattenskador eller fysiska/tekniska incidenter
  • Åtkomstkontroll (fysisk och logisk)
  • Lösenordspolicy
  • Policy för användar-ID
  • Inloggningssystem, åtkomstdetektering och analys
  • Patchning
  • Antivirus
  • Brandvägg
  • Nätverkssäkerhet
  • Övervakning, inspektion och underhåll av systemen
  • Kryptering av personuppgifter
  • Pseudonymisering av personuppgifter