Persoonlijke Data BeschermindsBeleid
1. Doel, bereik en gebruikers
Ralawise, hierna 'de onderneming' genoemd, streeft ernaar om de wetten en regels na te leven met betrekking tot de bescherming van persoonsgegevens die gelden in de landen waar de onderneming actief is.
Deze beleidsverklaring beschrijft de basisbeginselen volgens welke de onderneming de persoonsgegevens van consumenten, klanten, leveranciers, zakenpartners, medewerkers en andere personen verwerkt en geeft aan wat de verantwoordelijkheden zijn van haar bedrijfsafdelingen en medewerkers bij de verwerking van persoonsgegevens. Deze beleidsverklaring is van toepassing op de onderneming en haar direct of indirect beheerde 100% dochterondernemingen die binnen de Europese Economische Ruimte (EER) zaken doen of persoonsgegevens verwerken van betrokkenen binnen de EER.
De gebruikers van dit document zijn alle vaste of tijdelijke medewerkers en alle contractanten die in opdracht van de onderneming werken.
2. Definities
De volgende definities van termen die in dit document worden gebruikt, zijn afkomstig uit artikel 4 van de Algemene verordening gegevensbescherming (AVG) van de Europese Unie:
Persoonsgegevens: Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de 'betrokkene') die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
Gevoelige persoonsgegevens: Persoonsgegevens die door hun aard bijzonder gevoelig zijn wat betreft de grondrechten en fundamentele vrijheden, verdienen specifieke bescherming aangezien de context van de verwerking ervan significante risico's kan meebrengen voor de grondrechten en de fundamentele vrijheden. Die persoonsgegevens omvatten persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.
Verwerkingsverantwoordelijke: De natuurlijke of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
Verwerker: Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
Verwerking: Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
Anonimisering: Onomkeerbare anonimisering van persoonsgegevens zodat de persoon niet kan worden geïdentificeerd door redelijke tijd, kosten en technologie te gebruiken, hetzij door de verwerkingsverantwoordelijke, hetzij door een andere persoon om die persoon te identificeren. De verwerkingsbeginselen voor persoonsgegevens zijn niet van toepassing op geanonimiseerde gegevens omdat deze geen persoonsgegevens meer zijn.
Pseudonimisering: Het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld. Pseudonimisering vermindert, maar elimineert niet helemaal de mogelijkheid om persoonsgegevens aan een betrokkene te koppelen. Omdat pseudonimiseerde gegevens nog steeds persoonsgegevens zijn, moet de verwerking van gepseudonimiseerde gegevens voldoen aan de verwerkingsbeginselen voor persoonsgegevens.
Grensoverschrijdende verwerking van persoonsgegevens: Verwerking van persoonsgegevens in het kader van de activiteiten van vestigingen in meer dan één lidstaat van een verwerkingsverantwoordelijke of verwerker in de Europese Unie ingeval de verwerkingsverantwoordelijke of de verwerker in meer dan één lidstaat is gevestigd; of verwerking van persoonsgegevens in het kader van de activiteiten van een enkele vestiging van een verwerkingsverantwoordelijke of verwerker in de Unie, waardoor in meer dan één lidstaat betrokkenen wezenlijke gevolgen ondervinden of waarschijnlijk zullen ondervinden;
Toezichthoudende autoriteit: Een door een lidstaat ingevolge artikel 51 van de EU AVG ingestelde onafhankelijke overheidsinstantie;
Leidende toezichthoudende autoriteit: De toezichthoudende autoriteit die primair verantwoordelijk is voor de omgang met een grensoverschrijdende gegevensverwerkingsactiviteit, bijvoorbeeld wanneer een betrokkene een klacht indient over de verwerking van zijn of haar persoonsgegevens; deze autoriteit is onder meer verantwoordelijk voor het ontvangen van de meldingen over inbreuken in verband met persoonsgegevens, moet in kennis worden gesteld van risicovolle verwerkingsactiviteiten en heeft de volledige bevoegdheid met betrekking tot zijn taken om de naleving van de regels van de EU AVG te garanderen;
Elke 'Lokale toezichthoudende autoriteit' is altijd verantwoordelijk voor de handhaving op zijn eigen grondgebied en houdt toezicht op elke lokale verwerking van gegevens die betrekking hebben op betrokkenen of die wordt uitgevoerd door een verwerkingsverantwoordelijke of verwerker uit de EU of van buiten de EU, wanneer de verwerking ervan betrokkenen betreft die op zijn grondgebied verblijven. Hun taken en bevoegdheden omvatten het uitvoeren van onderzoeken en het opleggen van administratieve maatregelen en geldboeten, het bevorderen van publieke bewustwording van de risico's, regels, veiligheid en rechten met betrekking tot de verwerking van persoonsgegevens, alsmede het toegang verkrijgen tot alle bedrijfsruimten van de verwerkingsverantwoordelijke en de verwerker, daaronder begrepen tot alle uitrustingen en middelen voor gegevensverwerking.
'Hoofdvestiging met betrekking tot een verwerkingsverantwoordelijke' die vestigingen heeft in meer dan één lidstaat, de plaats waar zijn centrale administratie in de Unie is gelegen, tenzij de beslissingen over de doelstellingen van en de middelen voor de verwerking van persoonsgegevens worden genomen in een andere vestiging van de verwerkingsverantwoordelijke die zich eveneens in de Unie bevindt, en die tevens gemachtigd is die beslissingen uit te voeren, in welk geval de vestiging waar die beslissingen worden genomen als de hoofdvestiging wordt beschouwd;
'Hoofdvestiging met betrekking tot een verwerker' die vestigingen in meer dan één lidstaat heeft, de plaats waar zijn centrale administratie in de Unie is gelegen of, wanneer de verwerker geen centrale administratie in de Unie heeft, de vestiging van de verwerker in de Unie waar de voornaamste verwerkingsactiviteiten in het kader van de activiteiten van een vestiging van de verwerker plaatsvinden, voor zover op de verwerker krachtens deze verordening specifieke verplichtingen rusten;
Concern: Elke holdingmaatschappij samen met haar dochterondernemingen.
3. Beginselen inzake verwerking van persoonsgegevens
De beginselen inzake gegevensbescherming bepalen de basisverantwoordelijkheden voor organisaties die met persoonsgegevens omgaan. Artikel 5, lid 2, van de AVG bepaalt dat "de verwerkingsverantwoordelijke verantwoordelijk is voor de naleving van de beginselen en dit kan aantonen."
3.1. Rechtmatigheid, behoorlijkheid en transparantie
Persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is.
3.2. Doelbinding
Persoonsgegevens moeten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt.
3.3. Minimale gegevensverwerking
Persoonsgegevens dienen toereikend en ter zake dienend te zijn en beperkt te blijven tot wat noodzakelijk is ten aanzien van de doeleinden waarvoor zij worden verwerkt. De onderneming moet indien mogelijk anonimisering of pseudonimisering toepassen op persoonsgegevens om de risico's voor de betreffende betrokkenen te verminderen.
3.4. Juistheid
Persoonsgegevens moeten juist zijn en zo nodig worden geactualiseerd; alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren.
3.5. Opslagbeperking
Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is voor de doeleinden waarvoor de persoonsgegevens worden verwerkt.
3.6. Integriteit en vertrouwelijkheid
Rekening houdend met de stand van de techniek en andere beschikbare beveiligingsmaatregelen, de uitvoeringskosten en de waarschijnlijkheid en ernst van de risico's voor de persoonsgegevens, moet de onderneming passende technische of organisatorische maatregelen treffen om persoonsgegevens te verwerken op een manier die een gepaste beveiliging van persoonsgegevens garandeert, daaronder begrepen bescherming tegen onopzettelijke of onwettige vernietiging, verlies, verandering, ongeoorloofde inzage of verstrekking.
3.7. Verantwoordingsplicht
Verwerkingsverantwoordelijken zijn verantwoordelijk voor de naleving van bovenvermelde beginselen en kunnen dit aantonen.
4. Gegevensbeveiliging inbouwen in bedrijfsactiviteiten
Om naleving van de beginselen van gegevensbescherming aan te tonen, moet een organisatie gegevensbescherming inbouwen in haar bedrijfsactiviteiten.
4.1. Kennisgeving aan betrokkenen
(Zie het gedeelte Richtlijnen voor behoorlijke verwerking.)
4.2. Keuze en toestemming van betrokkenen
(Zie het gedeelte Richtlijnen voor behoorlijke verwerking.)
4.3. Verzameling
De onderneming moet ernaar streven om zo min mogelijk persoonsgegevens te verzamelen. Als persoonsgegevens via een derde worden verzameld, moet het hoofd informatiebeveiliging zich vergewissen of de persoonsgegevens op wettige wijze zijn verzameld.
4.4. Gebruik, bewaring en verwijdering
De doeleinden, methoden, opslagbeperking en bewaringstermijn van persoonsgegevens moeten in overeenstemming zijn met wat is vermeld in de Privacyverklaring. De onderneming moet de juistheid, integriteit, vertrouwelijkheid en relevantie van persoonsgegevens handhaven gebaseerd op het verwerkingsdoel. Toereikende beveiligingsprocedures ter bescherming van persoonsgegevens moeten worden gebruikt om te voorkomen dat persoonsgegevens worden ontvreemd, misbruikt of verkeerd gebruikt en om inbreuken in verband met persoonsgegevens te voorkomen. [Functietitel] is verantwoordelijk voor de naleving van de voorschriften in deze sectie.
4.5. Verstrekking aan derden
Telkens wanneer de onderneming een externe leverancier of zakenpartner gebruikt om ten behoeve van hem persoonsgegevens te verwerken, moet het hoofd informatiebeveiliging zich ervan vergewissen dat deze verwerker maatregelen zal treffen ter beveiliging van de persoonsgegevens die passend zijn voor de daarmee verbonden risico's zoals misbruik van persoonlijke gegevens, ongeoorloofde verstrekking van persoonsgegevens, inbreuken in verband met gegevens, enz. Hiervoor moet de 'AVG-nalevingsvragenlijst voor verwerkers' worden gebruikt. De onderneming moet contractueel eisen dat de leverancier of zakenpartner hetzelfde niveau van gegevensbescherming biedt. De leverancier of zakenpartner mag persoonsgegevens alleen verwerken om zijn contractuele verplichtingen jegens de onderneming of volgens de instructies van de onderneming uit te voeren en niet voor andere doeleinden. Wanneer de onderneming persoonsgegevens gezamenlijk met een onafhankelijke derde verwerkt, moet de onderneming expliciet vastleggen wat de respectieve verantwoordelijkheden van haar en van de derde zijn in het relevante contract of een ander juridisch bindend document, zoals de 'Gegevensverwerkingsovereenkomst met leveranciers'.
4.6. Grensoverschrijdende doorgifte van persoonsgegevens
Voordat persoonsgegevens uit de Europese Economische Ruimte (EER) worden doorgegeven, moeten passende waarborgen worden gebruikt, waaronder de ondertekening van een overeenkomst voor gegevensdoorgifte zoals vereist door de Europese Unie en, indien nodig, toestemming van de relevante autoriteit op het gebied van gegevensbescherming. De entiteit die de persoonsgegevens ontvangt, moet voldoen aan de beginselen voor de verwerking van persoonsgegevens die zijn aangegeven in de 'Procedure voor grensoverschrijdende gegevensdoorgifte'.
4.7. Rechten van inzage van de betrokkenen
Wanneer het hoofd informatiebeveiliging optreedt als een verwerkingsverantwoordelijke, is hij verantwoordelijk om de betrokkenen een redelijke procedure voor inzage te bieden om hen in staat te stellen inzage te krijgen in hun persoonsgegevens, en moet hij hen in staat stellen hun persoonsgegevens te actualiseren, te rectificeren, te wissen of te verzenden, indien toepasselijk of vereist door de wet. De procedure voor inzage wordt nader beschreven in de 'Aanvraagprocedure voor inzage van gegevens'.
4.8. Overdraagbaarheid van gegevens
Betrokkenen hebben het recht om op verzoek een kopie te ontvangen van de gegevens die zij ons hebben verstrekt in een gestructureerd formaat en deze gegevens gratis naar een andere verwerkingsverantwoordelijke te verzenden. Het hoofd informatiebeveiliging is ervoor verantwoordelijk zich ervan te vergewissen dat dergelijke verzoeken binnen een maand worden verwerkt, niet overdreven zijn (bijvoorbeeld als de betrokkene dagelijks verzoeken zendt) en de rechten op persoonsgegevens van andere personen onverlet laten.
4.9. Recht op vergetelheid
Op verzoek hebben betrokkenen het recht om van de onderneming de wissing van hun persoonsgegevens te verkrijgen. Wanneer de onderneming optreedt als verwerkingsverantwoordelijke, moet het hoofd informatiebeveiliging de nodige maatregelen treffen (waaronder technische maatregelen) om de derden die deze gegevens gebruiken of verwerken te informeren om gevolg te geven aan het verzoek.
5. Richtlijnen voor behoorlijke verwerking
Persoonsgegevens mogen alleen worden verwerkt wanneer dat uitdrukkelijk is toegestaan door het hoofd informatiebeveiliging.
De onderneming moet bepalen of een gegevensbeschermingseffectbeoordeling moet worden uitgevoerd voor elke gegevensverwerkingsactiviteit volgens de Richtlijnen voor gegevensbeschermingseffectbeoordeling.
5.1. Mededelingen aan betrokkenen
Tijdens het verzamelen of voor het verzamelen van persoonsgegevens voor enige vorm van verwerkingsactiviteiten zoals bijvoorbeeld de verkoop van producten, diensten of marketingactiviteiten, is het hoofd informatiebeveiliging ervoor verantwoordelijk om de betrokkenen naar behoren te informeren over het volgende: de soorten persoonsgegevens die worden verzameld, de doeleinden van de verwerking, verwerkingsmethoden, de rechten van de betrokkenen met betrekking tot hun persoonsgegevens, de bewaringstermijn, mogelijke internationale gegevensdoorgiften indien gegevens met derden worden gedeeld en de beveiligingsmaatregelen van de onderneming om persoonsgegevens te beschermen.
Deze informatie wordt verstrekt via de Privacyverklaring. Als uw onderneming meerdere gegevensverwerkingsactiviteiten heeft, moet u verschillende kennisgevingen ontwikkelen die verschillen afhankelijk van de verwerkingsactiviteit en de categorieën persoonsgegevens die worden verzameld, bijvoorbeeld een kennisgeving voor mailingdoeleinden en een andere voor pakketverzendingsdoeleinden.
Wanneer persoonsgegevens met een derde worden gedeeld, moet het hoofd informatiebeveiliging ervoor zorgen dat betrokkenen hiervan in kennis zijn gesteld via een privacyverklaring.
Wanneer persoonsgegevens worden doorgegeven aan een derde land volgens de 'Procedure voor grensoverschrijdende gegevensdoorgifte', moet de Privacyverklaring dit vermelden en duidelijk aangeven waarheen en naar welke entiteit persoonsgegevens worden doorgegeven.
Wanneer gevoelige persoonsgegevens worden verzameld, moet de persoon die verantwoordelijk is voor gegevensbeschermingsaangelegenheden ervoor zorgen dat in de Privacyverklaring uitdrukkelijk staat aangegeven voor welk doel deze gevoelige persoonsgegevens worden verzameld.
5.2. Verkrijgen van toestemmingen
Wanneer de verwerking van persoonsgegevens is gebaseerd op toestemming van de betrokkene of op andere wettige gronden, is het hoofd informatiebeveiliging verantwoordelijk voor het bijhouden van een register van dergelijke toestemmingen. [Functietitel] is verantwoordelijk voor het verschaffen van mogelijkheden aan de betrokkenen om toestemming te geven en moet hen informeren dat hun toestemming (wanneer toestemming wordt gebruikt als de wettige grond voor verwerking) op elk moment kan worden ingetrokken en daarvoor zorg dragen.
Het hoofd informatiebeveiliging moet ervoor zorgen dat verzoeken om persoonsgegevens te corrigeren, te wijzigen of te vernietigen binnen een redelijke termijn worden afgehandeld. De persoon die verantwoordelijk is voor gegevensbeschermingsaangelegenheden, moet ook de verzoeken registreren en een logboek bijhouden van deze verzoeken.
Persoonsgegevens mogen alleen worden verwerkt voor het doel waarvoor ze oorspronkelijk zijn verzameld. Ingeval de onderneming verzamelde persoonlijke gegevens voor een ander doel wil verwerken, moet de onderneming op duidelijke en beknopte wijze toestemming aan de betreffende betrokkenen vragen. Een dergelijk verzoek moet het oorspronkelijke doel bevatten waarvoor de gegevens waren verzameld, en tevens het/de nieuwe of aanvullende doel(en). Het verzoek moet ook de reden bevatten voor de verandering van het/de doel(en). De persoon die verantwoordelijk is voor gegevensbeschermingsaangelegenheden is verantwoordelijk voor het naleven van de voorschriften in deze paragraaf.
Nu en in de toekomst moet [Functietitel] ervoor zorgen dat de verzamelmethoden voldoen aan de relevante wetgeving, goede praktijken en normen van de bedrijfstak.
Het hoofd informatiebeveiliging is verantwoordelijk voor het inrichten en bijhouden van een register van de privacyverklaringen.
6. Organisatie en verantwoordelijkheden
De verantwoordelijkheid voor het waarborgen van de passende verwerking van persoonsgegevens ligt bij een ieder die voor of met de onderneming werkt en inzage heeft in persoonsgegevens die door de onderneming worden verwerkt.
De volgende organen hebben de belangrijkste verantwoordelijkheden voor de verwerking van persoonsgegevens:
De raad van bestuur neemt beslissingen over de algemene strategieën van de onderneming inzake de bescherming van persoonsgegevens en keurt deze goed.
Het hoofd informatiebeveiliging, de aangewezen persoon voor gegevensbeschermingsaangelegenheden, is verantwoordelijk voor het beheer van het programma voor de bescherming van persoonsgegevens en is verantwoordelijk voor de ontwikkeling en bevordering van end-to-end strategieën voor de bescherming van persoonsgegevens;
Het hoofd informatiebeveiliging volgt en analyseert de wetgeving inzake persoonsgegevens en de wijzigingen in regelgeving, ontwikkelt nalevingsvoorschriften en helpt de bedrijfsafdelingen bij het behalen van hun doelen in verband met persoonsgegevens. Dit kan het inwinnen van juridisch advies of extern advies inhouden.
De technologiemanager draagt de verantwoordelijkheid voor:
- Controle dat alle systemen, diensten en apparatuur die worden gebruikt voor het opslaan van gegevens voldoen aan aanvaardbare beveiligingsnormen.
- Uitvoering van regelmatige controles en testen om zich ervan te vergewissen dat de beveiligingshardware en -software correct werken.
De marketingmanager draagt de verantwoordelijkheid voor:
- Goedkeuring van alle gegevensbeschermingsverklaringen die zijn bijgevoegd bij communicatie zoals e-mails en brieven.
- Beantwoording van vragen over gegevensbescherming van journalisten of media zoals kranten.
- Samenwerking waar nodig met de persoon die verantwoordelijk is voor gegevensbeschermingsaangelegenheden om ervoor te zorgen dat marketinginitiatieven voldoen aan de beginselen voor gegevensbescherming.
De HR-manager draagt de verantwoordelijkheid voor:
- Versterking van het bewustzijn van alle medewerkers aangaande de bescherming van de persoonsgegevens van gebruikers.
- Organisatie van de ontwikkeling van expertise op het gebied van bescherming van persoonsgegevens en bewustheidtrainingen voor medewerkers die met persoonsgegevens werken.
- End-to-end bescherming van persoonsgegevens van medewerkers. Dit moet ervoor zorgen dat de persoonsgegevens van medewerkers worden verwerkt op basis van de gerechtvaardigde zakelijke doeleinden en noodzaak van de werkgever.
Het hoofd informatiebeveiliging draagt de verantwoordelijkheid voor het overdragen van verantwoordelijkheden voor de bescherming van persoonsgegevens aan leveranciers en het verbeteren van het bewustzijnsniveau van leveranciers met betrekking tot de bescherming van persoonsgegevens, evenals het doorgeven van persoonlijke gegevensvoorschriften aan derden die zij gebruiken. De afdeling inkoop moet ervoor zorgen dat de onderneming zich het recht voorbehoudt om controles uit te voeren bij leveranciers.
7. Richtlijnen voor het instellen van een leidende toezichthoudende autoriteit
7.1. Noodzaak om een leidende toezichthoudende autoriteit in te stellen
Het instellen van een leidende toezichthoudende autoriteit is alleen relevant als de onderneming grensoverschrijdende verwerking van persoonsgegevens uitvoert. Van grensoverschrijdende persoonsgegevensverwerking is sprake als: a) de verwerking van persoonsgegevens wordt uitgevoerd door dochterondernemingen van de onderneming die in andere lidstaten zijn gevestigd; of b) de verwerking van persoonsgegevens wordt uitgevoerd in één vestiging van de onderneming in de Europese Unie, waardoor in meer dan één lidstaat betrokkenen wezenlijke gevolgen ondervinden of waarschijnlijk zullen ondervinden. Als de onderneming alleen vestigingen in één lidstaat heeft en zijn verwerkingsactiviteiten alleen betrekking hebben op betrokkenen in die lidstaat, is het niet nodig om een leidende toezichthoudende autoriteit in te stellen. De enige bevoegde autoriteit zal de toezichthoudende autoriteit zijn in het land waar de onderneming rechtsgeldig is gevestigd.
7.2. Hoofdvestiging en de leidende toezichthoudende autoriteit
7.2.1. Hoofdvestiging voor de verwerkingsverantwoordelijke De hoofdvestiging/het hoofdkantoor voor Ralawise is Unit 112, Tenth Avenue, Deeside Industrial Estate, Deeside CH5 2UA Als de onderneming is gevestigd in een EU-lidstaat en beslissingen neemt over grensoverschrijdende verwerkingsactiviteiten in de plaats van zijn centrale administratie (hoofdkantoor), zal er één leidende toezichthoudende autoriteit zijn voor de gegevensverwerkingsactiviteiten die door de onderneming worden uitgevoerd. Als de onderneming meerdere vestigingen heeft die onafhankelijk van elkaar handelen en beslissingen nemen over de doeleinden en middelen van de verwerking van persoonsgegevens, moet [de directie / het topmanagement van de onderneming] onderkennen dat er meer dan één leidende toezichthoudende autoriteit bestaat.
7.2.2. Hoofdvestiging voor de verwerker Wanneer de onderneming optreedt als een verwerker, is de hoofdvestiging de centrale administratie. Indien de standplaats van centrale administratie niet in de EU is gevestigd, is de hoofdvestiging de vestiging in de EU waar de belangrijkste verwerkingsactiviteiten plaatsvinden.
7.2.3. Hoofdvestiging voor niet-EU-ondernemingen voor verwerkingsverantwoordelijken en verwerkers Als de onderneming geen hoofdvestiging in de EU heeft maar wel een of meer dochterondernemingen in de EU heeft, is de bevoegde toezichthoudende autoriteit de lokale toezichthoudende autoriteit. Als de onderneming geen hoofdvestiging in de EU en ook geen dochterondernemingen in de EU heeft, moet zij een vertegenwoordiger in de EU benoemen en de bevoegde toezichthoudende autoriteit is dan de lokale toezichthoudende autoriteit waar de vertegenwoordiger is gevestigd.
8. Reactie op inbreuken in verband met persoonsgegevens
Wanneer de onderneming kennis krijgt van een vermoede of feitelijke inbreuk in verband met persoonsgegevens, moet het hoofd informatiebeveiliging een intern onderzoek uitvoeren en tijdig passende corrigerende maatregelen treffen. Wanneer er een risico bestaat voor de rechten en vrijheden van betrokkenen, moet de onderneming de relevante gegevensbeschermingsautoriteiten onverwijld en indien mogelijk binnen 72 uur in kennis stellen.
9. Audit en verantwoordingsplicht Het hoofd informatiebeveiliging en het
Tech-team zijn verantwoordelijk voor het controleren van hoe goed de bedrijfsafdelingen deze beleidsverklaring implementeren. Een medewerker die inbreuk maakt op deze beleidsverklaring stelt zich bloot aan disciplinaire maatregelen en kan ook civielrechtelijk of strafrechtelijk aansprakelijk zijn als zijn of haar gedrag de wet- of regelgeving overtreedt.
10. Geldende wetgeving
Deze beleidsverklaring is bedoeld om te voldoen aan de wetten en voorschriften in de vestigingsplaats en in de landen waarin Ralawise Ltd. actief is. Ingeval van een tegenstrijdigheid tussen deze beleidsverklaring en de toepasselijke wet- en regelgeving, prevaleren de laatste.