Apollo at work NV met maatschappelijke zetel te Italiëlei 2, 2000 Antwerpen, met ondernemingsnummer 0644.639.135, rechtsgeldig vertegenwoordigd door Dirk Oosterlinck, in hoedanigheid van algemeen directeur;
Hierna genoemd “de verwerkingsverantwoordelijke”;
Verklaart het volgende:
Apollo at work NV erkent het belang betreffende de veilige verwerking van Persoonsgegevens. Door middel van deze Privacy Policy wil Apollo at work NV inzicht bieden m.b.t. de verwerking van uw Persoonsgegevens.
Deze Privacy Policy werd opgesteld, met inachtneming van de Europese Verordening betreffende Gegevensbescherming (ofwel de “GDPR; General Data Protection Regulation”) dd. 27 april 2016. Deze Verordening werd omgezet in de Kaderwet dd. 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens.
In het kader van de GDPR neemt Apollo at work de kwalificatie aan van een verwerkingsverantwoordelijke voor wat betreft haar taak als verzuimconsultant. Dit omdat de rechten van de Betrokkenen rechtstreeks uitgeoefend dienen te worden bij Apollo at work NV.
Eveneens werd de Europese e-privacy richtlijn, als lex specialis, in acht genomen voor de verwerking van Persoonsgegevens in het kader van direct marketing en cookies.
Indien bovenstaande wetteksten inhoudelijk wijzigen, zal Apollo at work NV deze Privacy Policy conform deze wijzigingen aanpassen. Onze klanten zullen van essentiële wijzigingen op de hoogte worden gesteld. Additionele wijzigingen worden niet gemeld aan de klant. Onze Policy is publiek consulteerbaar op onze website.
Punt 1. Draagwijdte Privacy Policy
Deze Privacy Policy, met zijn bijlagen, geldt als bijlage t.a.v. de hoofdovereenkomst tussen verwerkingsverantwoordelijke en de klant. Deze Privacy Policy is van toepassing gedurende de looptijd van de Hoofdovereenkomst.
Indien er in de Hoofdovereenkomst afwijkende bepalingen betreffende de verwerking van Persoonsgegevens staan, zal deze Privacy Policy voorrang krijgen. Afwijkingen aan deze Privacy Policy zijn enkel en alleen geldig, indien beide partijen hun schriftelijk akkoord hieromtrent hebben verleend.
Punt 2. Definities
Voor de toepassing van deze Privacy Policy zullen de volgende begrippen de volgende betekenis hebben conform de tekst van de GDPR.
“Betrokkene”: de geïdentificeerde of identificeerbare natuurlijke persoon
“Derden”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken
“Gegevens over gezondheid”: persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn gezondheidstoestand wordt gegeven
“Gevoelige persoonsgegevens”: persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele geaardheid
“Inbreuk in verband met persoonsgegevens”: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens
“Persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van één of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon
“Pseudonimisering”: het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld
“Subverwerker”: de verwerker, die onder rechtstreeks gezag van de verwerker gemachtigd zijn om de persoonsgegevens te verwerken
“Toestemming van de Betrokkene”: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt
“Verwerker”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt
“Verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens
“Verwerkingsverantwoordelijke”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt
Punt 3. De verwerking van de Persoonsgegevens
De verwerkingsverantwoordelijke garandeert dat uw Persoonsgegevens:
a) Verwerkt worden op een wijze die rechtmatig, behoorlijk en transparant is
b) Voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld
c) Toereikend zijn, ter zake dienend zijn en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt
d) Juist zijn en zo nodig worden geactualiseerd
e) Worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de Persoonsgegevens worden verwerkt noodzakelijk is
f) Door het nemen van passende technische of organisatorische maatregelen; een passende beveiliging van de Persoonsgegevens wordt gewaarborgd, en dat de Persoonsgegevens onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging
Voor het uitvoeren van haar consultancydiensten, waaronder het opstellen van het projectplan en het 5-stappenplan naar een beter verzuimbeleid binnen de onderneming, kan men zich baseren op de artt. 6,1, B en F van de GDPR:
- Art. 6, 1, B) GDPR: “De verwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de Betrokkene een partij is”
- Art. 6, 1, F) GDPR: “De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke (in casu: de klant) of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is”
Het gerechtvaardigde belang van de klant binnen art. 6,1, F) GDPR is o.a. het belang om preventief het ziekteverzuim binnen de organisatie te bestrijden.
Bovenstaande Persoonsgegevens verwijzen naar o.a. rijksregisternummer, personeels-/ stamboeknummer (indien er geen RRN is), naam, voornaam, geslacht, geboortedatum, taal, startdatum arbeidsovereenkomst, domicilieadres en extra adresinformatie, verblijfsadres met geldigheidsdata en extra adresinformatie, vast telefoonnummer, privé gsm-nummer, privé e-mailadres, telefoonnummer werk, gsm-nummer werk, e-mailadres werk (persoonsgegevens personeelslid van de klant) en firma gerelateerd gegevens zoals naam opdrachtgever, vestiging, afdeling, startdatum klantrelatie, einddatum klantrelatie, functieniveau werknemers, statuut (arbeider/bediende), contractvorm (statutair/contractueel), functie, %tewerkstelling (VTE), Code Medex, Werkstation. Deze gegevens worden steeds zelf ingegeven door de klant en/of het personeelslid van de klant. Een overzicht kan worden teruggevonden in bijlage I van deze Policy.
Punt 4. De verwerking van Persoonsgegevens in het kader van opleidingen/inspiratiesessies
Apollo at work kan volgende Persoonsgegevens verwerken op basis van het gerechtvaardigd belang (zowel fysiek als via website):
- Indien inschrijving niet door de deelnemer zelf gebeurt, wordt als Betrokkene in dit punt 4 verstaan: “zowel de persoon die de inschrijving heeft gedaan als de deelnemer aan de opleiding”
- De volgende Persoonsgegevens worden verwerkt:
o Van de Betrokkene
▪ Voornaam en familienaam
▪ Telefoonnummer / GSM-nummer
▪ Geboortedatum
▪ Functie
▪ Taal
o Opmerkingen (o.a. allergieën eten)
o Bedrijfsgegevens: bedrijfsnaam, vestigingsadres, facturatieadres, BTW-nummer, aansluitingsnummer,
o Wijze van betaling
We verzamelen deze Persoonsgegevens voor de volgende doeleinden:
- Het nakomen van onze administratieve verplichtingen zoals o.a. het aanrekenen van de diensten die aan de klant verleend zijn door Apollo at work of onze wettelijk verplichte boekhouding te voeren.
- Het aanleggen van dossiers i.v.m. de overdraagbaarheid en aantoonbaarheid van gegevens voor vb. accreditatie of certificatie
- Het uitvoeren van en informeren over organisatorische en administratieve elementen met betrekking tot de opleidingen (o.a. certificering, verkrijgen van subsidies, wettelijke voorwaarden,…)
- Het up to date houden van de Betrokkene ivm wijzigingen aan de inhoud van de gevolgde cursus naar aanleiding van nieuwe wetgeving, richtlijnen, inzichten, evoluties,…
- Het informeren van de Betrokkene over aanbod webinars/infosessies en opleidingen Apollo at work
- Het updaten van cursusmateriaal of trainingen
- Het afleveren en beheren van een door Apollo at work verstrekt certificaat, indien van toepassing
Bovenstaande Persoonsgegevens worden intern bewaard voor een duur van 10 jaar die volgt op het einde van het jaar waarin de opleiding heeft plaats gehad.
Punt 5. De verwerking van de gevoelige Persoonsgegevens
De gevoelige persoonsgegevens (meer expliciet: “Gegevens over gezondheid”) worden door de verwerkingsverantwoordelijke rechtmatig verwerkt op basis van artikel 9, A van de GDPR;
- A) de betrokkene heeft uitdrukkelijke toestemming gegeven voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleinden.
De klant kan beroep doen op verwerkingsverantwoordelijke, om een verzuimbeleid binnen de onderneming op te stellen. Daarnaast zal Apollo at work ook nog andere ondersteunende diensten aanbieden aan haar klanten.
De Gevoelige Gegevens die verwerkingsverantwoordelijke verwerkt, hebben betrekking op Gegevens over de gezondheid; nl. lichamelijke en psychische gegevens, duur van de arbeidsongeschiktheid, aard van de arbeidsongeschiktheid, gegevens behandelende arts, toegelaten/verboden woning te verlaten, hospitalisatie werknemer, eerste attest/verlengingsattes. Een overzicht kan worden teruggevonden in bijlage I van deze Policy.
Punt 6. Verwerking Persoonsgegevens en gevoelige Persoonsgegevens voor wetenschappelijke en statistische doeleinden
Verwerkingsverantwoordelijke verwerkt Persoonsgegevens voor wetenschappelijke en statistische doeleinden. Dit conform artikel 89 van de GDPR.
De bewaringstermijn van de Persoonsgegevens voor dit doeleinde gaat niet verder, dan de bewaringstermijn die verwerkingsverantwoordelijke hanteert in het kader van de andere doeleinden. Zie bijlage I van deze Policy voor meer verduidelijking.
Punt 7. Expliciete toestemming van de Betrokkene(n)
In het kader van de dienstverleningen waar verwerkingsverantwoordelijke de Persoonsgegevens rechtstreeks bij de Betrokkene(n) dient op te vragen, zal verwerkingsverantwoordelijke hiertoe de Betrokkene(n) voorafgaand informeren over de volgende elementen –conform artikel 13 punt 1 GDPR:
- de identiteit en de contactgegevens van Apollo at Work
- de contactgegevens van de functionaris voor gegevensbescherming
- het doel en de rechtsgrond van de verwerking
- de ontvangers of de categorieën van ontvangers van de persoonsgegevens
- de wijze van uitoefening van de rechten van Betrokkene(n)
- het feit dat betrokkene zijn expliciete toestemming alsnog kan intrekken & de wijze waarop dit kan
- het feit dat betrokkene het recht heeft om een klacht in te dienen bij de toezichthoudende autoriteit
- de termijn van bewaring van de Persoonsgegevens
- indien van toepassing, het bestaan van geautomatiseerde besluitvorming
Daar waar verwerkingsverantwoordelijke diensten levert in het kader van punt 3 en 4, dient de klant bovenstaande informatie aan de Betrokkene(n) mee te delen.
Punt 8. Gezamenlijke verwerkingsverantwoordelijken
Apollo at work NV is verwerkingsverantwoordelijke in samenwerking met Certimed VZW, Mensura EDBP VZW en Mensura Support ESV en bepaalt mede welke persoonsgegevens worden verzameld, evenals mede het doel en de middelen voor de verwerking van deze persoonsgegevens. Apollo at work NV zal voor u optreden als contactpunt voor verzoeken in verband met persoonsgegevens die via Apollo at work NV worden verwerkt. Apollo at work kan niet langer als contactpunt worden beschouwd wanneer u uw gegevens wenst te verwijderen van de websites, klantenbestanden, registers, nieuwsbrieven en dergelijke van de andere Verwerkingsverantwoordelijken. Hiervoor dient u zelf contact op te nemen met de betreffende partner. In sommige gevallen zal Apollo at work NV samen met haar partners als gezamenlijke verantwoordelijke gekwalificeerd worden.
Punt 9. De verwerking van Persoonsgegevens voor Marketingdoeleinden
Wat betreft de verwerking van Persoonsgegevens voor Marketingdoeleinden, kan verwerkingsverantwoordelijke terugvallen op een wettelijke grondslag (overweging 47 GDPR). Er wordt telkens een mogelijkheid tot opt-out voorzien.
Promoties en informatie met betrekking tot de producten en diensten die Apollo at work levert, worden gezien als direct marketing doeleinden. De Persoonsgegevens van de klant (contactgegevens) worden verwerkt, voor Marketingdoeleinden, zodat Apollo at work de klant op de hoogte kan houden van onze producten en diensten.
Er worden persoonsgegevens verwerkt, voor Marketingdoeleinden, van de werknemers en dus betrokkenen (in de zin van punt 4 van deze Privacy Policy) van de Klant van verwerkingsverantwoordelijke. We benadrukken hierbij ook de rechten van de betrokkenen (cfr. punt 16 van deze Privacy Policy) en meer specifiek art. 21 GDPR, het recht van bezwaar dat te allen tijde uitgeoefend kan worden.
Punt 10. Uitgewerkte verzuimbeleid gebaseerd op anonieme rapporteringen
Verwerkingsverantwoordelijke garandeert dat groepsrapporteringen over het verzuimbeleid anoniem gebeuren.
Punt 11. Het register van verwerkingsactiviteiten
De verwerkingsverantwoordelijke heeft een register van verwerkingsactiviteiten opgesteld, waar de volgende elementen gedetailleerd in worden omschreven per dienstverlening van de verwerkingsverantwoordelijke:
1° Welke categorieën van Persoonsgegevens worden verwerkt?
2° Wie kan deze Persoonsgegevens ontvangen (intern/extern)?
3° Hoe lang worden de Persoonsgegevens bewaard?
4° Hoe worden de Persoonsgegevens beveiligd?
5° Worden de Persoonsgegevens buiten België verwerkt?
6° Wie heeft toegang tot de Persoonsgegevens (intern/extern)?
7° De verwerkingsdoeleinden
Heeft u vragen die binnen dit kader vallen en niet verduidelijkt worden in deze Policy, vragen wij u contact op te nemen met de personen in punt 23 vermeld.
Punt 12. De passende technische en organisatorische maatregelen
Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, neemt de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen opdat de Persoonsgegevens veilig verwerkt worden.
De verwerkingsverantwoordelijke garandeert conform artikel 32 van de GDPR de nodige maatregelen te nemen, die onder andere betrekking hebben op: a) de pseudonimisering en versleuteling van persoonsgegevens; b) het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen; c) het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen; d) een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.
De verwerkingsverantwoordelijke garandeert dat zijn werknemers, die toegang hebben tot de Persoonsgegevens, beperkt worden tot diegenen die betrokken zijn met de uitoefening van de dienstverlening. Tevens zijn deze werknemers contractueel gebonden aan een confidentialiteitsverplichting.
Punt 13. Derden
Derden die eventueel toegang kunnen hebben tot de Persoonsgegevens, worden eveneens beperkt tot diegenen die betrokken zijn met de uitoefening van de dienstverlening. De klant kan een lijst van derden opvragen bij de verwerkingsverantwoordelijke.
Punt 14. Verwerkers
Wanneer de verwerkingsverantwoordelijke een verwerker in dienst neemt om voor rekening van de klant specifieke verwerkingsactiviteiten te verrichten, worden aan deze verwerker dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke uit deze overeenkomst voortvloeien, met name o.a. de verplichting om passende technische en organisatorische maatregelen te nemen t.a.v. de verwerking van de Persoonsgegevens.
Hiertoe hebben de verwerkers een verwerkingsovereenkomst conform artikel 28 punt 3 GDPR ondertekend. De klant kan een lijst van verwerkers opvragen bij de verwerkingsverantwoordelijke.
De verwerkingsverantwoordelijke garandeert dat de aangeduide verwerkers louter en alleen de Persoonsgegevens verwerken op basis van uitgeschreven richtlijnen door de verwerkingsverantwoordelijke. Wanneer de aangestelde verwerker een subverwerker aanduidt, zal de verwerker in beginsel aansprakelijk blijven t.a.v. deze subverwerker.
Punt 15. Gegevensverwerking buiten een lidstaat van de Europese Unie
De verwerkingsverantwoordelijke garandeert dat de Persoonsgegevens niet buiten een lidstaat van de EU worden verwerkt. De Persoonsgegevens worden enkel en alleen in België verwerkt.
Punt 16. Minimale verwerking van Persoonsgegevens
De verwerkingsverantwoordelijke garandeert dat de Persoonsgegevens niet langer dan noodzakelijk worden bewaard, voor de uitvoering van de aangevraagde dienstverlening.
Punt 17. De rechten van de betrokkenen:
17.1. Algemeen
In het kader van de GDPR hebben de betrokkenen de volgende rechten t.a.v. hun Persoonsgegevens:
1° Recht op intrekken van toestemming
2° Recht van inzage
3° Recht op rectificatie van onjuiste Persoonsgegevens
4° Recht op gegevenswissing (“Recht op vergetelheid”)
5° Recht op beperking van de verwerking
6° Recht op overdraagbaarheid van gegevens
7° Recht van bezwaar
De verwerkingsverantwoordelijke garandeert binnen 1 maand, na ontvangst van het verzoek, de aanvraag te beantwoorden. Dit conform de verplichtingen in artikel 12 punt 3 van de GDPR.
Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging.
In punt 17.2 e.v. kan de interne procedure van verwerkingsverantwoordelijke gevonden worden. De klant dient de Betrokkenen van deze interne procedure van verwerkingsverantwoordelijke -in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal- te informeren. Indien de Betrokkene een recht wil uitoefenen dat niet valt onder punt 17.2. kan het verzoek verstuurd worden naar privacy@apollo.be ofwel per post ter attentie van de DPO (Italiëlei 2 – 2000 Antwerpen).
17.2. Recht om toestemming te allen tijde in te trekken
Conform artikel 7, lid 3 GDPR heeft de betrokkene het recht zijn toestemming te allen tijde in te trekken. Het intrekken van de toestemming laat de rechtmatigheid van de verwerking op basis van de toestemming voor de intrekking daarvan, onverlet. Alvorens de betrokkene zijn toestemming geeft, wordt hij daarvan in kennis gesteld. Het intrekken van de toestemming is even eenvoudig als het geven ervan.
17.3. Recht op inzage/recht op kopij
Wat betreft het uitoefenen van het recht op inzage of het recht op kopij dient de betrokkene de volgende interne procedure bij verwerkingsverantwoordelijke te respecteren:
- per aangetekend schrijven (ondertekend en gedagtekend) het verzoek richten aan Apollo at work nv, t.a.v. de DPO, Italiëlei 2 – 2000 Antwerpen
- + een kopij van zijn/haar identiteitskaart toe te voegen
17.4. Klacht indienen bij de Belgische toezichthoudende Privacy-autoriteit (=“de Gegevensbeschermingsautoriteit”)
De betrokkene heeft conform artikel 77 van de GDPR het recht om rechtstreeks een klacht in te dienen bij de Gegevensbeschermingsautoriteit, indien hij/zij meent dat hun Persoonsgegevens niet conform de GDPR beveiligd en/of verwerkt worden.
Punt 18. De overdraagbaarheid van de Persoonsgegevens
In onderling overleg zullen verwerkingsverantwoordelijk en de klant afspreken hoe de Persoonsgegevens overgedragen worden.
Punt 19. Wissen van de Persoonsgegevens
De verwerkingsverantwoordelijke garandeert dat binnen de maand na het einde van de Hoofdovereenkomst de verwerkte Persoonsgegevens worden gewist of overgedragen op vraag van de klant.
Op vraag van de klant levert de verwerkingsverantwoordelijke hiervan de nodige bewijsmiddelen. Tevens worden de verwerkers en derden ingelicht door de verwerkingsverantwoordelijke over het wissen van de verkregen Persoonsgegevens, indien de Hoofdovereenkomst beëindigd is. Dit tenzij zij zich kunnen beroepen op een wettelijke bepaling waardoor de Persoonsgegevens langer bewaard mogen worden.
Punt 20. Opvragen persoonsgegevens door openbare overheidsdiensten
De verwerkingsverantwoordelijke brengt de klant binnen de 3 werkdagen op de hoogte ingeval hij:
(a) met betrekking tot de verwerking van Persoonsgegevens van een overheidsinstantie een verzoek om informatie, een dagvaarding of een onderzoeks- of controleverzoek ontvangt, behalve wanneer verwerkingsverantwoordelijke anderszins rechtens niet bevoegd is tot een dergelijke verstrekking
(b) voornemens is om Persoonsgegevens te verstrekken aan een overheidsinstantie
(c) van een derde of een werknemer, klant of opdrachtnemer van de klant een verzoek ontvangt tot openbaarmaking van Persoonsgegevens van de klant of informatie met betrekking tot de verwerking van Persoonsgegevens van de klant
De verwerkingsverantwoordelijke geeft de klant 72 uren, vanaf de melding, de tijd om zijn bezwaren te uiten m.b.t. een dergelijke overdracht van Persoonsgegevens.
Punt 21. Maatregelen indien er zich een inbreuk voordoet i.v.m. de Persoonsgegevens
De verwerkingsverantwoordelijken hebben de verplichting om inbreuken m.b.t. de beveiliging van de Persoonsgegevens, binnen de 72 uren, te melden aan de bevoegde Belgische toezichthoudende autoriteit. Dit tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van de betrokkene(n).
De verwerkingsverantwoordelijke informeert de klant zonder onredelijke vertraging zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens. Er wordt overeengekomen dat de verwerkingsverantwoordelijke en de klant onderling binnen de 48 uren, na kennisname van de inbreuk bij de verwerkingsverantwoordelijke, elkaar contacteren en onderling afstemmen of de inbreuk wordt doorgegeven aan de bevoegde Belgische toezichthoudende autoriteit.
Indien de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, wordt de betrokkene(n) de inbreuk in verband met de persoonsgegevens onverwijld meegedeeld conform artikel 34 van de GDPR.
Zowel de verwerkingsverantwoordelijke als de klant werken samen met de bevoegde Belgische toezichthoudende autoriteit om de nodige informatie te verschaffen en de gevolgen van de inbreuk te beperken.
Punt 22. Overige bepalingen
In geval van nietigheid van één of meer van de bepalingen uit deze Privacy Policy, blijven de overige bepalingen onverkort van kracht.
Op deze Privacy Policy is het Belgische recht van toepassing. Partijen zullen hun geschillen verband houdende met deze Privacy Policy uitsluitend voorleggen aan de rechtbanken te Brussel.
Punt 23. Meer informatie of ondersteuning nodig?
De verwerkingsverantwoordelijke garandeert de klant om de nodige, bijkomende ondersteuning en informatie aan te bieden zodat de verwerkingsverantwoordelijke de nakoming van haar verplichtingen, onder de GDPR, kan aantonen. Deze informatieverplichting strekt zich niet uit tot informatie die confidentieel is of omwille van wettelijke redenen niet meegedeeld kan worden aan de klant.
Tevens zal de verwerkingsverantwoordelijke de nodige samenwerking verlenen indien een audit in opdracht van de klant, of een door de klant gemachtigde controleur, wordt uitgevoerd bij de verwerkingsverantwoordelijke. De klant draagt de kosten van de aangestelde controleur en uitgevoerde audit. De audit zal zich altijd beperken tot de systemen van de verwerkingsverantwoordelijke die voor de verwerkingen worden gebruikt.
De Functionaris voor gegevensbescherming (ofwel de Data Protection Officer) en de Security Officer van de verwerkingsverantwoordelijke kunnen gecontacteerd worden op het volgende mailadres: Privacy@apollo.be
Bijlage I. De categorieën van verwerkte Persoonsgegevens en de duurtijd van bewaring
De categorieën van Persoonsgegeven die verwerkingsverantwoordelijke kan verwerken
Rijksregisternummer, personeels-/ stamboeknummer (indien er geen RRN is), naam, voornaam, geslacht, geboortedatum, taal, startdatum arbeidsovereenkomst, domicilieadres en extra adresinformatie, verblijfsadres met geldigheidsdata en extra adresinformatie, vast telefoonnummer, privé gsm-nummer, privé e-mailadres, telefoonnummer werk, gsm-nummer werk, e-mailadres werk (persoonsgegevens personeelslid van de klant) en firma gerelateerde gegevens zoals o.a. naam opdrachtgever, vestiging, afdeling, startdatum klantrelatie, einddatum klantrelatie, functieniveau werknemers, statuut (arbeider/bediende), contractvorm (statutair/contractueel), functie, %tewerkstelling (VTE), Code Medex, Werkstation.
De Gevoelige Gegevens die verwerkingsverantwoordelijke verwerkt, hebben betrekking op Gegevens over de gezondheid; nl. lichamelijke en psychische gegevens, duur van de arbeidsongeschiktheid, aard van de arbeidsongeschiktheid, gegevens behandelende arts, toegelaten/verboden woning te verlaten, hospitalisatie werknemer, eerste attest/verlengingsattest…
De duurtijd van bewaring
De persoonsgegevens worden bewaard gedurende de looptijd van de Hoofdovereenkomst.
Voor wat betreft de verwerking van persoonsgegevens omwille van wetenschappelijke of statistische doeleinden, wordt eveneens een bewaringstermijn van 5 jaar gehanteerd.