Bedrijfsbeleid inzake algemene verordening gegevensbescherming en privacy (GDPR) mei 2020

Dit beleid is van toepassing op Technology Within Limited ("het bedrijf") zoals goedgekeurd door de Raad van Bestuur (het "bestuur") op1 mei 2018.

De aangestelde Privacy Officer (PO) zorgt naast zijn/haar andere verantwoordelijkheden voor de implementatie van dit beleid.

Dit beleid wordt onder alle personeelsleden verspreid zodra het wordt aangenomen en telkens wanneer het wordt bijgewerkt. Het wordt aan nieuwe personeelsleden verstrekt wanneer zij in dienst treden.

Doel van dit beleid

Dit beleid implementeert organisatorische en rapportagestructuren om redelijke zekerheid te geven dat de Vennootschap voldoet aan alle toepasselijke wetgeving in het Verenigd Koninkrijk en de Europese Unie ("EU") op het gebied van privacy, waaronder de General Data Protection Regulation ("GDPR") van de EU, en aan de toepasselijke wetgeving op het gebied van privacy in alle andere rechtsgebieden waar de Vennootschap activiteiten uitvoert.

Toepassingsgebied

Dit beleid is van toepassing op alle organisatorische eenheden en op alle vaste, tijdelijke en uitbestede werknemers.

In dit Beleid betekent "Artikel" het relevante Artikel van GDPR en betekent "HR" Human Resources. De "toezichthoudende autoriteit" in het Verenigd Koninkrijk is de ICO ("Information Commissioner's Office").

Inhoud

Hoofdstuk 1 - Overzicht... 3

Sectie 2 - Rollen en verantwoordelijkheden. 4

Personeel 4

Werknemers met verantwoordelijkheden om personeel te leiden of er toezicht op te houden 4

De privacyfunctionaris (PO) 4

Algemeen directeur (MD) 5

Sectie 3 - Processen. 5

3.1 De GDPR-inventaris van processen, systemen en gegevens bijhouden. 5

3.2 Publiceren van bekendmakingen aan betrokkenen over hoe hun gegevens worden gebruikt. 6

3.3 Verzoeken van betrokkenen afhandelen. 6

3.4 Rapporteren van overtredingen. 7

Materialiteitsdrempel. 7

Regelingen ter ondersteuning van de 72-uurs rapportage van schendingen. 7

Procedures in het geval van een werkelijke of vermoedelijke schending. 8

3.5 Wijzigingsbeheer inclusief effectbeoordeling gegevensbescherming 9

3.6 GDPR-vereisten opnemen in contracten. 9

3,7 Personeel opleiden 10

3.8 Rechtmatigheid en doel voor het bewaren van persoonsgegevens vaststellen. 10

3.9 Vaststellen van een bewaartermijn voor persoonsgegevens en plannen van verwijdering. 10

3.10 Interactie met CP Holdings Limited. 10

Sectie 4 - Rapportage. 11

Aantal en status van verzoeken en klachten van betrokkenen. 11

Jaarverslag aan de Raad van Bestuur. 11

Hoofdstuk 1 - Overzicht

GDPR maakt onderscheid tussen een "verwerkingsverantwoordelijke" die "het doel van en de middelen voor de verwerking van persoonsgegevens bepaalt" en een "verwerker" die persoonsgegevens alleen verwerkt in opdracht van een verwerkingsverantwoordelijke. Het bedrijf is voornamelijk een verwerker in haar zakelijke activiteiten. In dit bedrijfsbeleid wordt ervan uitgegaan dat het bedrijf volledig actief is als verwerker. Deze aanname moet worden beoordeeld door de PO en moet deel uitmaken van zijn of haar jaarverslag aan het bestuur.

Het bedrijf handelt als een verantwoordelijke voor de verwerking bij het verwerken van gegevens over personeel en bij enkele andere minder belangrijke activiteiten, zoals het bijhouden van gegevens van zakelijke contacten.

Artikel 5 vereist dat een "voor de verwerking verantwoordelijke" persoonsgegevens verwerkt in overeenstemming met de volgende beginselen, zoals samengevat in de onderstaande opsommingstekens. Artikel 28 vereist dat een "verwerker" alle informatie beschikbaar stelt aan de verwerkingsverantwoordelijke om aan te tonen dat hij "de bescherming van de rechten van de betrokkene" garandeert onder GDPR; dit omvat deze principes.

  • Persoonlijke gegevens moeten rechtmatig, eerlijk en transparant worden verwerkt.
  • Gegevens moeten voor welbepaalde en legitieme doeleinden worden verzameld en alleen voor die doeleinden worden verwerkt
  • Verzamelde gegevens moeten relevant zijn en beperkt blijven tot wat noodzakelijk is in verband met deze doeleinden ("gegevensminimalisatie")
  • Gegevens mogen niet langer worden bewaard dan nodig is voor deze doeleinden (tenzij alle koppelingen met identificeerbare personen worden verwijderd)
  • Gegevens moeten nauwkeurig zijn en waar nodig worden bijgewerkt
  • De fysieke, organisatorische en technische controleomgeving moet zorgen voor een passende beveiliging van de persoonsgegevens tegen ongeoorloofde of onwettige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.

Artikel 5 stelt dat de verwerkingsverantwoordelijke moet kunnen aantonen dat de verwerking in overeenstemming met deze beginselen wordt uitgevoerd. Artikel 24 breidt deze "verantwoordingsplicht" uit tot alle vereisten van de GDPR. Artikel 28 vereist in feite hetzelfde van een verwerker.

Dit Bedrijfsbeleid voorziet in organisatorische en rapportagestructuren om verantwoording af te leggen, zodat er een redelijke zekerheid is dat dit wordt nageleefd, en bovendien om de verantwoordelijkheden van de PO, zoals beschreven in het bestuursbeleid, na te komen.

Sectie 2 - Rollen en verantwoordelijkheden

Personeel

Alle medewerkers leven alle aspecten van de GDPR- en privacywetgeving na door de training die ze van het bedrijf krijgen toe te passen en door de procedures te volgen die door het bedrijf zijn vastgelegd voor het omgaan met gegevens en het respecteren van privacy. Ze informeren hun manager of de PO wanneer ze weten of vermoeden dat een inbreuk op de GDPR heeft plaatsgevonden en helpen de PO waar nodig om de naleving van de GDPR- en privacywetgeving door het bedrijf te ondersteunen.

Medewerkers met verantwoordelijkheden om personeel te leiden of te controleren

Al deze medewerkers ("managers") moeten erop toezien dat hun personeel de vereisten van GDPR en de privacywetgeving zoals hierboven beschreven toepast. Ze moeten ook de algemene principes van GDPR begrijpen door middel van de training die ze krijgen van het bedrijf, en moeten alert zijn op situaties waarin het bedrijf mogelijk niet voldoet aan de wetgeving, en ze moeten deze escaleren naar de PO voor beoordeling.

De verantwoordelijke manager in een gebied informeert de PO vooraf over elke materiële wijziging in bedrijfsactiviteiten, -processen of -systemen die van invloed kan zijn op de privacy of GDPR-naleving, en implementeert dergelijke wijzigingen pas nadat de PO of GM positieve toestemming heeft gegeven, zoals gedefinieerd in paragraaf 3.5.

Alle managers moeten inbreuken op de gegevensbescherming melden aan de PO zodra ze worden ontdekt of zodra er een redelijke verwachting is dat er een inbreuk heeft plaatsgevonden.

De privacyfunctionaris (PO)

De PO moet:

  • Dit bedrijfsbeleid en, indien van toepassing, de bijbehorende procedures opstellen en bijhouden, en toezicht houden op de uitvoering ervan, om redelijke zekerheid te bieden over de naleving van de GDPR en andere privacywetgeving
  • Door middel van periodieke training of andere middelen, een kennisniveau handhaven van alle aspecten van GDPR en andere relevante privacywetgeving dat een effectieve uitoefening van zijn/haar verantwoordelijkheden onder dit beleid mogelijk maakt
  • Dit beleid bijwerken wanneer er een wijziging is in de relevante wetgeving of wanneer er aanwijzingen zijn dat verbetering om een andere reden nodig is
  • Dit beleid jaarlijks evalueren en waar nodig bijwerken, en deze evaluatie opnemen in zijn/haar jaarverslag aan het bestuur zoals beschreven in sectie 4 hieronder
  • Organisatie- en rapportagestructuren opzetten zodat de naleving van GDPR en privacy wordt beheerd en problemen worden geïdentificeerd zodat het management effectief kan ingrijpen
  • Coördineren van het bijhouden van adequate gegevens om naleving van dit beleid aan te tonen
  • Met name wanneer de rechtsgrondslag voor verwerking "toestemming" is, ervoor zorgen dat records worden bijgehouden om redelijke zekerheid te geven dat elke betrokkene toestemming heeft gegeven.
  • Een proces instellen waarbij aangevraagde uitzonderingen op dit beleid kunnen worden herzien, om ervoor te zorgen dat de risico's voor de rechten van betrokkenen worden begrepen en gerechtvaardigd door redenen van proportionaliteit, en om dergelijke uitzonderingen te documenteren en goed te keuren, of indien niet goedgekeurd, om een oplossing te vinden.
  • Beheren van alle communicatie met de GDPR Executive van de Groep over kwesties met betrekking tot GDPR en privacy
  • Alle communicatie met de toezichthoudende autoriteit beheren, inclusief het rapporteren van schendingen
  • Coördineren met de Managing Director en andere senior managers om ervoor te zorgen dat alle processen zoals beschreven in sectie 3 effectief werken.
  • De gegevens van niet-geslaagde kandidaten voor een functie of rol na 3 maanden verwijderen, tenzij de persoon afstand heeft gedaan van zijn rechten om "in het bestand te blijven" voor toekomstige functies.

Algemeen directeur (MD)

De machinist zal:

  • voldoende middelen toe te wijzen om de PO en de andere personen en organisatorische eenheden die in dit beleid worden genoemd in staat te stellen hun verantwoordelijkheden zoals omschreven in het beleid uit te voeren
  • periodieke rapportage ontvangen van de PO met belangrijke prestatie-indicatoren en belangrijke risico-indicatoren met betrekking tot de naleving van de GDPR en privacywetgeving, en indien nodig ingrijpen
  • Ondersteun de PO waar nodig in alle processen zoals beschreven in hoofdstuk 3. In het bijzonder:
    • Zorg er conform paragraaf 3.1 voor dat de Vennootschap "Een algemene beschrijving van de 'technische en organisatorische beveiligingsmaatregelen' die zijn getroffen om te voldoen aan de vereisten van artikel 32" bijhoudt. Dit dient documentatie te omvatten van maatregelen om zekerheid te verschaffen over IT-beveiliging
    • Zoals beschreven in sectie 6, ervoor zorgen dat de PO tijdig op de hoogte wordt gesteld van alle contracten waarover wordt onderhandeld door het bedrijf (inclusief verlengingen) die gevolgen kunnen hebben voor de naleving van GDPR, en faciliteren dat de PO wordt betrokken bij de onderhandelingen om ervoor te zorgen dat het contract de naleving handhaaft.
  • Ervoor zorgen dat de HR-processen van het bedrijf, waar nodig met betrokkenheid van de PO, het volgende bereiken:
    • de vereisten van GDPR en privacy opnemen in functiebeschrijvingen en in HR-processen, waaronder disciplinaire processen
    • Standaardroltitels binnen het bedrijf behouden
    • Een systeem onderhouden voor het toewijzen van toegangsrechten aan personeel tot computersystemen dat is afgestemd op de behoeften van de personeelsrollen en op de vereisten van GDPR
    • Zorg voor initiële en jaarlijkse training over GDPR en privacy voor elk personeelslid, passend bij hun rol.

Sectie 3 - Processen

3.1 De GDPR-inventaris van processen, systemen en gegevens bijhouden

Het centrale dossier van het Bedrijf voor GDPR is een spreadsheet ("de GDPR-inventaris") met een lijst van alle beheerde processen en gebruikte systemen, samen met details over de gegevensvelden die door elk systeem worden bijgehouden. Deze spreadsheet bevat de volgende informatie vereist door Artikel 30:

  • De doeleinden van de verwerking
  • Categorieën betrokkenen en categorieën persoonsgegevens
  • Categorieën van ontvangers aan wie de persoonsgegevens worden verstrekt
  • Elke overdracht van persoonlijke gegevens naar een derde land
  • Beoogde termijnen voor het wissen van de verschillende gegevenscategorieën.

Van de informatie die wordt vereist door Artikel 30, bevat de GDPR-inventaris niet:

  • Naam en contactgegevens van het bedrijf. Dit is impliciet opgenomen in de kerngegevens van het bedrijf.
  • Waarborgen voor doorgifte van gegevens naar derde landen. Sectie 2 hierboven vermeldt de verantwoordelijkheid van de PO om ervoor te zorgen dat er contractuele waarborgen zijn.
  • Een algemene beschrijving van de "technische en organisatorische beveiligingsmaatregelen" die zijn getroffen om aan de eisen van artikel 32 te voldoen. Punt 2 hierboven vermeldt de verantwoordelijkheid van het hoofd IT om dergelijke maatregelen te handhaven.

De PO is verantwoordelijk voor het coördineren van het opstellen en bijhouden van de GDPR-inventaris, in samenwerking met de relevante senior managers voor elk gebied. De PO moet de inventaris evalueren met de managers om vast te stellen waar de aard van de verwerking interne procedures vereist om naleving van de GDPR te waarborgen en zal samenwerken met de betreffende managers om dergelijke procedures te implementeren; de GM zal hierbij waar nodig ondersteuning bieden.

De inventaris moet ten minste jaarlijks worden herzien en bijgewerkt, waarbij de PO samenwerkt met alle senior managers om ervoor te zorgen dat alle organisatorische eenheden de processen of systemen op hun gebied herzien en waar nodig correcties adviseren. De herziening moet ervoor zorgen dat er geen verandering is die een inbreuk of potentiële inbreuk op de GDPR heeft veroorzaakt.

3.2 Openbaarmaking aan betrokkene van hoe hun gegevens worden gebruikt

De PO zorgt ervoor dat het Bedrijf de betrokkenen alle informatie verstrekt die wordt vereist door artikel 13. Dit is alleen vereist als het bedrijf een voor de verwerking verantwoordelijke is. Als het bedrijf een verwerker is, hoeft het deze informatie niet rechtstreeks aan de betrokkenen te verstrekken.

De PO werkt samen met de manager die verantwoordelijk is voor HR om ervoor te zorgen dat er documentatie wordt verstrekt aan personeelsleden op het moment van indiensttreding en daarna periodiek zoals vereist, zodat zij over alle informatie beschikken die wordt vereist door GDPR. Zoals vereist door artikel 12 wordt de informatie, voor zover redelijkerwijs mogelijk, op beknopte, transparante en begrijpelijke wijze verstrekt in een gemakkelijk toegankelijke vorm en in duidelijke en begrijpelijke taal.

3.3 Verzoeken van betrokkenen opvolgen

Onder GDPR heeft een betrokkene de volgende rechten:

  • Recht op toegang (Artikel 15)
  • Recht op correctie (Artikel 16)
  • Recht op wissen (Artikel 17) ook wel "recht om vergeten te worden" genoemd
  • Recht op beperking van de verwerking (Artikel 18)
  • Recht van bezwaar (Artikel 21)

De betrokkene moet contact opnemen met de verwerkingsverantwoordelijke; technologywithin moet als verwerker de verwerkingsverantwoordelijke op diens verzoek ondersteunen bij de uitoefening van zijn rechten.

De PO en de HR-manager zijn de contactpersonen voor dergelijke verzoeken. In geval van een verzoek zullen zij:

  • Bevestig en documenteer dat de persoon die het verzoek indient is geïdentificeerd als de betrokkene.
  • Documenteer het verzoek schriftelijk, inclusief alle ondernomen acties en alle communicatie.
  • De specifieke controles en acties uitvoeren voor elk type verzoek zoals beschreven in GDPR
  • Een logboek bijhouden van ingediende verzoeken en uitgevoerde verzoeken
  • Voltooi indien mogelijk alle verzoeken binnen 30 dagen en informeer de aanvrager over de ondernomen acties. Zo niet, voltooi de verzoeken dan zo snel mogelijk en informeer de betrokkene ten minste elke 30 dagen over de voortgang.

3.4 Melding van overtredingen

Artikel 33 van de GDPR vereist dat een voor de verwerking verantwoordelijke een "inbreuk in verband met persoonsgegevens" onverwijld en indien mogelijk niet later dan 72 uur nadat hij er kennis van heeft genomen, meldt aan de toezichthoudende autoriteit. Een inbreuk in verband met persoonsgegevens is "een inbreuk op de beveiliging die resulteert in een accidentele of onwettige vernietiging, verlies, wijziging of niet-geautoriseerde vrijgave van of toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens".

Het artikel vereist ook dat een verwerker "de voor de verwerking verantwoordelijke zonder onnodige vertraging in kennis stelt nadat hij kennis heeft gekregen van een inbreuk in verband met persoonsgegevens". Zoals hierboven vermeld, is het bedrijf bij de meeste bedrijfsactiviteiten een verwerker van gegevens. De verwerker moet ook de verwerkingsverantwoordelijke ondersteunen bij het oplossen van inbreuken.

Materialiteitsdrempel

Er is geen verwijzing naar materialiteit in de definitie van "inbreuk". Naleving van de GDPR houdt in dat er beslissingen moeten worden genomen over de verhouding tussen de voordelen en de kosten. De Vennootschap verwacht dat de kosten voor het melden van niet-materiële inbreuken aan de Toezichthoudende Autoriteit niet gerechtvaardigd zouden zijn door het voordeel voor de betrokkenen, vooral omdat de Toezichthoudende Autoriteit zelf waarschijnlijk niet in staat is om een groot aantal niet-materiële inbreuken te melden door alle verwerkingsverantwoordelijken en verwerkers in het land. Daarom wordt in dit Beleid de volgende materialiteitsdrempel vastgesteld voor het melden van GDPR-inbreuken aan de Toezichthoudende Autoriteit:

Een materiële inbreuk is een inbreuk waarbij een aanzienlijk aantal records met persoonsgegevens aan een onbevoegde derde wordt bekendgemaakt of wordt vernietigd terwijl de records nog nodig zijn voor verwerking.

De beslissing over materialiteit moet evenwichtig zijn:

  • de noodzaak van overrapportage in plaats van onderrapportage
  • de behoefte aan eenvoudige beslissingscriteria voor het vaststellen van materialiteit
  • de wens om het melden van triviale incidenten te vermijden, omdat dit de toezichthoudende autoriteiten kan overbelasten en het vermogen van de bedrijven van de Groep om zich te concentreren op belangrijke kwesties kan aantasten
  • de noodzaak om de proportionaliteit van de operationele inspanning te handhaven
  • de rechten van betrokkenen, en daarom de noodzaak van een aanzienlijk lagere drempel voor materialiteit wanneer de gevolgen van de onthulling of het verlies voor de betrokkenen groot zijn.

Als er twijfel bestaat of een inbreuk materieel is, moet dit onmiddellijk worden besproken met de GDPR Executive van de Groep.

Alle medewerkers moeten zich bewust zijn van de noodzaak om overtredingen en mogelijke overtredingen van de GDPR te identificeren en deze onmiddellijk te escaleren naar de PO, hetzij rechtstreeks of door escalatie via hun managementlijn.

Alle leidinggevenden en personeelsleden geven alle ondersteuning die nodig is om de PO en MD in staat te stellen hun verantwoordelijkheden uit te oefenen, zoals hieronder beschreven.

Regelingen ter ondersteuning van de 72-uurs melding van schendingen

Vanwege de vereiste voor de verwerkingsverantwoordelijke om inbreuken binnen 72 uur te melden aan de toezichthoudende autoriteit, zelfs als deze periode weekenden of feestdagen omvat, moet de onderneming in staat zijn om inbreuken binnen deze periode te melden, ongeacht of ze optreedt als verwerkingsverantwoordelijke of als verwerker. Daarom:

  • Alle personeelsleden moeten overtredingen of mogelijke overtredingen onmiddellijk na ontdekking melden aan zowel de PO als de MD.
  • De PO en de MD zorgen er elk voor dat als zij langer dan 24 uur niet per e-mail/telefoon bereikbaar zijn (met inbegrip van perioden tijdens weekenden en vakanties), zij een vervanger aanwijzen om kennisgevingen van schendingen of mogelijke schendingen te ontvangen, en dit door te geven aan alle managers. Als de PO of MD onverwacht afwezig is, moet de ander een vervanger aanwijzen om kennisgevingen van schendingen te ontvangen.

De PO en de MD zorgen voor een snelle escalatie van het onderzoek en de melding van een overtreding, zelfs als dit betekent dat het personeel in het weekend of op feestdagen moet werken. Om dit mogelijk te maken, zorgen zij ervoor dat contactgegevens van relevante personeelsleden worden gedeeld, zodat mensen indien nodig buiten de normale werktijden voor dit doel kunnen worden benaderd.

Procedures in het geval van een werkelijke of vermoedelijke schending

In geval van een inbreuk of een vermoedelijke inbreuk zullen de PO en de MD of hun plaatsvervangers:

  • Werk samen met de relevante organisatorische eenheden om de feiten te onderzoeken en te evalueren of de schending materieel is. Als het onduidelijk is of de schending materieel is, moet deze als materieel worden behandeld.
  • Behandel overtredingen onder de materialiteitsdrempel als minder urgent, maar informeer de betrokken personen wel zo snel mogelijk.
  • Als er alleen een vermoeden is van een schending, stel dan vast of er daadwerkelijk een schending heeft plaatsgevonden.

  • Zorg voor een volledige beschrijving van de inbreuk, inclusief:
    • Ongeoorloofde openbaarmaking van of toegang tot persoonlijke gegevens
    • De betrokken categorieën en bij benadering het aantal betrokkenen en de betrokken categorieën en bij benadering het aantal geregistreerde persoonsgegevens
    • De waarschijnlijke gevolgen van de schending
  • Samenwerken met de bevoegde personeelsleden om te bepalen welke onmiddellijke maatregelen zijn genomen of moeten worden genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, indien van toepassing, maatregelen om mogelijke negatieve gevolgen van de inbreuk te beperken.
  • Voor inbreuken die de materialiteitsdrempel overschrijden, de GDPR Executive van de Groep onmiddellijk informeren en (i) wanneer het bedrijf een verwerker van de gegevens is, de verantwoordelijke voor de verwerking onmiddellijk informeren, of (ii) wanneer het bedrijf een verantwoordelijke voor de verwerking van de gegevens is, de Toezichthoudende Autoriteit "zonder onnodige vertraging" informeren en zeker binnen 72 uur nadat de inbreuk oorspronkelijk binnen het bedrijf is vastgesteld, waarbij de informatie wordt verstrekt die wordt vereist door artikel 33.
  • Nadat u de verwerkingsverantwoordelijke of toezichthoudende autoriteit op de hoogte hebt gesteld van een overtreding, werkt u met hen samen om alle vereiste informatie te verstrekken.
  • Als het bedrijf een beheerder van de gegevens is, werk dan samen met het relevante personeel om de betrokkenen zo snel mogelijk op de hoogte te stellen van de omstandigheden van de schending en geef daarbij de informatie die wordt vereist in artikel 34, behalve als een van de uitzonderingen in dat artikel van toepassing is, dan kan de PO besluiten om de betrokkenen niet te informeren.
  • Samenwerken met het relevante personeel om de hoofdoorzaak van het datalek vast te stellen en verbeterde controles te implementeren om herhaling te voorkomen.
  • Documenteer elke fase van dit proces volledig.

3.5 Wijzigingsbeheer inclusief effectbeoordeling gegevensbescherming

Alle organisatorische eenheden zorgen ervoor dat ze, voordat ze een nieuwe activiteit, proces of systeem of een wijziging in bestaande activiteiten starten, nagaan of dit een impact kan hebben op gegevensbescherming of privacy. Als er een mogelijk materieel effect is, informeren ze de PO en voeren ze de voorgestelde wijziging niet door totdat (i) de PO een positieve garantie geeft dat de geplande implementatie de naleving van de GDPR en privacywetgeving door het bedrijf handhaaft (ii) de directeur in overleg met de PO bevestigt dat, hoewel de geplande implementatie niet volledig voldoet aan de vereisten van de GDPR, het bedrijf ermee door moet gaan omdat de voordelen van de wijziging opwegen tegen de risico's voor de vrijheid van betrokkenen en er geen manier is om deze risico's te verminderen zonder onevenredige kosten.

Wanneer de PO op de hoogte wordt gesteld van een voorgestelde wijziging, werkt hij/zij samen met de direct betrokken organisatorische eenheid en, indien van toepassing, met andere senior managers om te beoordelen of de wijziging correct is gepland om naleving van de GDPR te behouden of dat er risico's zijn op niet-naleving. Bij de evaluatie wordt rekening gehouden met alle voorgestelde controles en risicobeperkingen. Als er risico's op niet-naleving zijn, stemt de PO af met de hoofddirecteur om te beslissen of de wijziging wordt goedgekeurd zoals hierboven beschreven, om mogelijke risicobeperking te onderzoeken of om de voorgestelde wijziging stop te zetten.

De PO houdt een schriftelijk verslag van de beoordeling bij, inclusief een bewijs van goedkeuring door de geraadpleegde organisatorische eenheden. Deze schriftelijke vastlegging bevat een systematische beschrijving van de voorgestelde wijziging, een beoordeling van de noodzaak en evenredigheid van de verwerking in verhouding tot het doel ervan, een toelichting op de evaluatie van de risico's zoals hierboven beschreven, en de beoogde maatregelen om de risico's aan te pakken. Ook wordt vastgelegd wanneer de directeur een wijziging goedkeurt die niet volledig in overeenstemming is met de GDPR.

Wanneer de PO dit nodig acht, voert de organisatorische eenheid na de implementatie van de wijziging een beoordeling uit om ervoor te zorgen dat de verwerking wordt uitgevoerd zoals gepland, en neemt zij indien nodig corrigerende maatregelen. De organisatorische eenheid documenteert deze evaluatie en de PO bewaart deze informatie in zijn/haar dossiers.

Het bovenstaande proces voldoet aan de eisen van de gegevensbeschermingseffectbeoordeling beschreven in artikel 35.

3.6 GDPR-vereisten opnemen in contracten

De directeur zorgt ervoor dat de PO zo vroeg mogelijk op de hoogte wordt gesteld van alle contracten waarover wordt onderhandeld, met inbegrip van bestaande contracten die worden verlengd, en die aan een van de volgende kenmerken voldoen:

  • Ze zijn voor de levering van IT-services
  • Ze besteden diensten uit waarbij werknemers ter plaatse bij het bedrijf worden ingezet
  • Ze hebben te maken met het verwerken van papieren documenten
  • Ze lijken waarschijnlijk van invloed op de naleving van GDPR of privacywetgeving.

De PO werkt samen met passende juridische ondersteuning en met alle noodzakelijke operationele eenheden om de kwesties met betrekking tot GDPR en privacy te identificeren die relevant zijn voor elk contract.

De PO werkt samen met het hoofd van de organisatie-eenheid die onderhandelt over het contract om voorwaarden in het contract op te nemen die ervoor zorgen dat het contract de naleving van de GDPR en privacywetgeving door het Bedrijf handhaaft. In het bijzonder wanneer het contract een relatie tot stand brengt waarbij het Bedrijf een verwerkingsverantwoordelijke is en de andere partij een verwerker, moet het contract voldoen aan artikel 28.

De PO kan advies inwinnen bij de GDPR Executive van de Groep over de onderhandeling van het contract.

Als het niet mogelijk is om alle kwesties met betrekking tot GDPR en privacy tijdens de onderhandelingen op te lossen, documenteert de PO de situatie en escaleert hij een beslissing over het contract naar de directeur.

De PO houdt een schriftelijk verslag bij van elke stap in het bovenstaande proces.

3.7 Personeel opleiden

De PO werkt in coördinatie met de HR-verantwoordelijke samen met de directeur en senior managers om te bepalen welke training nodig is voor elke personeelscategorie, zodat ze kunnen voldoen aan de GDPR en privacywetgeving.

Naar verwachting zal dit bestaan uit (i) training als onderdeel van de introductie van nieuwe medewerkers en (ii) een jaarlijkse opfriscursus. Het is ook nodig om de training te definiëren die aan al het personeel moet worden gegeven in de aanloop naar de implementatie van GDPR in mei 2018, hoewel de verwachting is dat dit dezelfde training zal zijn als de training die vereist is voor nieuw personeel.

3.8 Rechtmatigheid en doel voor het bewaren van persoonsgegevens vaststellen

De PO zal vanuit de GDPR-inventaris (bij de eerste aanmaak en bij elke jaarlijkse herziening) ervoor zorgen dat er een grondslag van rechtmatigheid en een doel wordt geïdentificeerd en vastgelegd voor elk proces waarbij het bedrijf persoonsgegevens ontvangt of opslaat. Dit vereist de medewerking van de relevante senior managers.

3.9 Vaststellen van een bewaartermijn voor persoonsgegevens en plannen van verwijdering

De PO zal, in samenwerking met de hoofden van organisatorische eenheden, ervoor zorgen dat er een bewaartermijn wordt vastgesteld in de GDPR-inventaris voor elke bewaartermijn van gegevens. Gewoonlijk zal dit de langste zijn van:

  • De wettelijke vereisten voor het bewaren van bepaalde gegevens, en
  • De periode waarvoor de gegevens oorspronkelijk werden bewaard.

De PO zal samenwerken met de hoofden van organisatorische eenheden om het periodiek verwijderen van persoonsgegevens die zijn bewaard gedurende de levenscyclus zoals hierboven bepaald, te ontwerpen en te implementeren.

Erkend wordt dat organisatorische uitvoerbaarheid betekent dat in veel gevallen "wissen" zal worden bereikt door gegevensvelden te overschrijven met nonsenskarakters in plaats van door records fysiek te wissen.

3.10 Interactie met CP Holdings Limited

Het Beleid van de Raad van Bestuur erkent dat de uiteindelijke houdstermaatschappij van het bedrijf, CP Holdings Limited, een Group GDPR Executive (GGE) heeft aangesteld en een GDPR Centre of Excellence ("COE") zal oprichten, en het draagt de PO op om op bepaalde gebieden samen te werken met de GGE en het COE. In overeenstemming met het bestuursbeleid:

  • Wanneer de GGE het gebruik van specifieke sjablonen of processen opdraagt om GDPR-naleving te bereiken, zal de PO dit opnemen in dit Bedrijfsbeleid of in de bijbehorende procedure, tenzij hij/zij van mening is dat dit niet gepast is voor het Bedrijf, in welk geval hij/zij de reden voor het niet opnemen zal uitleggen aan de GGE en in het jaarverslag aan het Bestuur.
  • De PO zal technische vragen over GDPR doorverwijzen naar de COE.
  • Als er sprake is van een inbreuk op de GDPR die moet worden gemeld aan de toezichthoudende autoriteit, zal de PO de volledige omstandigheden onmiddellijk melden aan de GGE.

Sectie 4 - Rapportage

Aantal en status van verzoeken en klachten van betrokkenen

De PO houdt een logboek bij van alle verzoeken en klachten en de oplossing.

Jaarverslag aan de raad van bestuur

Dit moet de Raad inzicht geven in de structuren die aanwezig zijn om redelijke zekerheid te geven over naleving van GDPR en privacywetgeving, samen met bewijs van naleving, en een overzicht van gebieden waar de Vennootschap er niet in is geslaagd om te voldoen of waar er risico's of problemen zijn. Het moet het volgende omvatten:

  • Een kopie van de laatste versie van dit beleid, samen met een uitleg van de belangrijkste wijzigingen sinds de vorige versie die is goedgekeurd door het bestuur.
  • Een rapport over de belangrijkste wijzigingen in de GDPR-inventaris van het afgelopen jaar.
  • Een samenvattend verslag van het aantal en de status van verzoeken en klachten van betrokkenen met de resultaten.
  • Een overzicht van overtredingen van de GDPR gedurende het jaar, zowel materieel als immaterieel, en een opmerking over hoe de materialiteitslimiet werkt.
  • Een overzicht van hoe GDPR compliance het afgelopen jaar heeft gewerkt, met de nadruk op specifieke risico's en problemen en een algemene evaluatie.