Naast een eigen taalgebruik, beschikt de gegevensbeschermingswetgeving over enkele basisprincipes die iedere verwerkingsverantwoordelijke moet naleven om in overeenstemming te zijn met deze regelgeving. In geval van twijfel over de toepassing van deze principes in een concreet geval, kan u steeds contact opnemen met Larse Hendrickx (larse.hendrickx@ext.mercor.be of +32 470 18 36 03) voor verdere toelichting en volgens de procedure omschreven in Artikel 8.
De gegevensbeschermingswetgeving schrijft voor dat persoonsgegevens moeten worden verwerkt in overeenstemming met de verschillende basisprincipes en de daaruit voortvloeiende voorwaarden.
a. Rechtmatigheid
De gegevensbeschermingswetgeving schrijft voor dat persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig en behoorlijk is.
Om persoonsgegevens rechtmatig te verwerken zal er steeds een juridische grondslag moeten bestaan. Persoonsgegevens kunnen in principe pas worden verwerkt wanneer :
- De betrokkene zijn toestemming heeft gegeven. De organisatie zal de betrokkene minstens voorafgaandelijk informeren over het doeleinde waarvoor de toestemming wordt gevraagd, welke persoonsgegevens zullen worden verzameld voor de verwerking, het recht om de toestemming in te trekken, de mogelijke gevolgen voor de betrokkene in het kader van geautomatiseerde individuele besluitvorming en profiling, en de doorgifte naar derde landen,
- De verwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
- De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die is opgelegd aan de organisatie;
- De verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
- De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de organisatie die als verwerkingsverantwoordelijke optreedt, is opgedragen
- De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de organisatie als verwerkingsverantwoordelijke of van een derde, behalve wanneer de fundamentele rechten en vrijheden van de betrokkene betreffende de bescherming van zijn persoonsgegevens zwaarder wegen dan die belangen.
Indien u voor een bepaald verwerkingsdoeleinde uw toestemming hebt gegeven aan de organisatie om uw gegevens voor dat doeleinde te verwerken, kan u deze toestemming ten allen tijde intrekken. De organisatie zal dan stoppen om uw gegevens, waarvoor u uw toestemming hebt gegeven, nog te verwerken en zal zij u informeren over de mogelijke gevolgen van de intrekking van uw toestemming. Indien de organisatie uw persoonsgegevens verwerkt voor andere doeleinden en zich daarvoor op andere juridische grondslagen beroept, zal zij uw persoonsgegevens nog steeds kunnen verwerken.
De organisatie verzekert dat zij zich steeds beroept op minstens één van de bovenvermelde juridische grondslagen wanneer zij persoonsgegevens verwerkt. Indien u vragen hebt over de toepasselijke juridische grondslag waarop de organisatie zich beroept, kan u steeds contact opnemen in overeenstemming met de procedure zoals voorgeschreven in Artikel 8.
Sommige categorieën van persoonsgegevens zijn van gevoelige aard en de gegevensbeschermingswetgeving heeft dat ook een strenger regime voor deze bijzondere categorieën van persoonsgegevens (ook wel ‘gevoelige persoonsgegevens’ genoemd). Het gaat om gegevens betreffende ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Ook gegevens met betrekking tot strafrechtelijke inbreuken of veroordelingen vormen een bijzondere categorie.
Het is in principe verboden om deze gevoelige persoonsgegevens te verwerken, tenzij de organisatie zich op één van de uitzonderingen kan beroepen. In bepaalde beperkt aantal gevallen, dient de organisatie gevoelige persoonsgegevens te verwerken. In deze gevallen zal de betrokkene voorafgaandelijk worden geïnformeerd. Voor deze specifieke doeleinden zal de organisatie de betrokkene vooraf uitgebreid informeren over de specifieke doeleinden en de grondslag van de verwerking. Voor meer informatie over de verwerking van gevoelige persoonsgegevens door de organisatie, kan u steeds contact op nemen volgens de procedure zoals omschreven in artikel 8 van dit beleid.
b. Behoorlijkheid
De organisatie verzekert dat persoonsgegevens zullen worden verwerkt:
- Voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en zullen niet verder worden verwerkt voor doeleinden die niet verenigbaar zijn met het initiële doeleinde waarvoor de gegevens werden verzameld. De organisatie zal de doeleinden steeds duidelijk communiceren vooraleer de verwerking te starten.
- Op beperkte wijze tot wat noodzakelijk is voor de doeleinden waarvoor de gegevens werden verzameld. Indien mogelijk, zal de organisatie de gegevens anonimiseren of pseudonimiseren om de impact voor de betrokkene zoveel als mogelijk te beperken. Dit betekent dat de naam of identificator zal worden vervangen zodat het moeilijk of zelfs onmogelijk wordt om een individu te identificeren.
- Beperkt in de tijd en voor zover nodig voor het bepaalde doeleinde.
- Op accurate wijze en de gegevens zullen zo nodig ge-updatet worden. De organisatie zal alle redelijke maatregelen nemen om de persoonsgegevens, rekening houdende met de doeleinden waarvoor zij worden verwerkt, te wissen of te verbeteren.
c. Transparantie
De organisatie verwerkt persoonsgegevens die zij in principe rechtstreeks van de betrokkene heeft ontvangen. De organisatie die de persoonsgegevens van de betrokkene verwerkt, zal de betrokkenen steeds informeren over de volgende zaken:
- identiteit verwerkingsverantwoordelijke en contactgegevens
- indien er een data protection officer werd aangesteld, zijn contactgegevens
- verwerkingsdoeleinden en wettelijke grondslag
- indien er gesteund wordt op een gerechtvaardigd belang voor het verwerken van persoonsgegevens, een toelichting van dit belang
- (categorieën van) ontvangers van de persoonsgegevens
- Doorgifte van de persoonsgegevens aan derde landen (buiten de EU) of internationale organisaties (+ op welke basis)
- Bewaartermijn van de persoonsgegevens of de criteria op basis van dewelke de bewaartermijn wordt bepaald
- Rechten van de betrokkene (incl. het recht om toestemming in te trekken)
- Recht om klacht in te dienen bij de toezichthoudende autoriteit
- Toelichting wanneer de verstrekking van persoonsgegevens een contractuele of wettelijke verplichting is
- De logica achter geautomatiseerde besluitvormingsprocedés en de mogelijke rechtsgevolgen voor de betrokkene
- Indien de organisatie persoonsgegevens ontvangt van een derde partij, zal zij de betrokkenen duidelijk informeren over de categorieën persoonsgegevens die zij van deze derde partij heeft ontvangen en zal zij deze derde partij ook kenbaar maken aan de betrokkene.
Wanneer de betrokkene reeds over alle informatie beschikt, zal de organisatie de betrokkene niet nodeloos informeren over de verwerking van zijn persoonsgegevens.
Indien de organisatie persoonsgegevens verwerkt voor andere doeleinden die niet verenigbaar zijn met de doeleinden waarvoor de persoonsgegevens initieel werden verzameld (het nieuwe doeleinde blijkt niet omschreven te zijn in de initiële informatienota en de betrokkene kan er niet van uitgaan dat zijn persoonsgegevens ook voor dit nieuwe doeleinde zullen worden verwerkt), zal de organisatie alle nodige maatregelen nemen om deze persoonsgegevens rechtmatig te verwerken en zal zij de betrokkenen hierover informeren.
De organisatie kan de informatie zowel op collectieve als op individuele basis verstrekken en zal er steeds op toezien dat deze in een begrijpelijke en eenvoudige taal is opgesteld.
Bijzondere wetgeving kan uitzonderingen bevatten of bijkomende eisen stellen met betrekking tot de informatieverstrekking aan betrokkenen waar de organisatie aan dient te voldoen. Deze dwingende wettelijke bepalingen hebben voorrang op dit beleid.
d. Vertrouwelijkheid en integriteit
De onderneming neemt de vereiste technische en organisatorische maatregelen om te verzekeren dat de verwerking van persoonsgegevens steeds met de gepaste waarborgen gebeurt zodat de gegevens beschermd zijn tegen ongeoorloofde toegang of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. De organisatie heeft bij de keuze van de gepaste veiligheidsmaatregelen rekening gehouden met de aard, context, doeleinde en omvang van de verwerking, de mogelijke risico’s bij de verwerking van de persoonsgegevens, de uitvoeringskosten van de maatregelen en de stand van de techniek.
Deze maatregelen zijn van toepassing op de fysieke toegang tot persoonsgegevens, de toegang tot de persoonsgegevens via computers, servers, netwerken of andere IT-hardware en software toepassingen en databases. Naast de technische en organisatorische maatregelen, zijn de werknemers van de onderneming, die bij de uitoefening van hun functie toegang hebben tot persoonsgegevens, gehouden aan verschillende verplichtingen om de vertrouwelijkheid en integriteit van persoonsgegevens te waarborgen en zoals opgesomd in artikel 9 van dit beleid.
De organisatie zal opleidingen organiseren voor de werknemers die bij de uitoefening van hun functie persoonsgegevens zullen verwerken in opdracht van de organisatie. De werknemers mogen de persoonsgegevens enkel verwerken op instructie van de organisatie of indien de wet hen oplegt om dit te doen. De organisatie zal tevens toegangsrechten implementeren zodat de werknemers enkel toegang hebben tot die gegevens die zij nodig hebben bij de uitoefening van hun functie. De werknemers die toegang hebben tot persoonsgegevens zullen een vertrouwelijkheidsovereenkomst ondertekenen.
De organisatie zal er op toezien dat derde partijen die persoonsgegevens ontvangen van de organisatie de toepasselijke gegevensbeschermingswetgeving en dit beleid zullen naleven.