Privacy Policy
1. Inleiding
1.1. Doel en principes
Resatec verwerkt persoonsgegevens in verband met haar bedrijfsactiviteiten en beschouwt het van belang dat persoonsgegevens van de betrokkene worden behandeld met de nodige zorg en confidentialiteit. Het garanderen van de confidentialiteit, integriteit en beschikbaarheid van de informatie(systemen) is essentieel voor de bescherming van de reputatie van Resatec.
Deze Privacy Policy zet de regels over de verwerking van persoonsgegevens uiteen met betrekking tot de verwerking van de persoonsgegevens van de betrokkene(n).
Het doel van deze Privacy Policy is om het gebruik van persoonsgegevens te reguleren.
Deze Privacy Policy vertaalt de huidige verplichtingen onder de Wet van 8 december 1992 voor de bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens alsook de toekomstige Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR) in praktische richtlijnen voor de bedrijfsactiviteiten van Resatec waardoor het bewustzijn over de gegevensbeschermingsregels bij werknemers en externe dienstverleners gevoelig verhoogt. Als intern beleidsdocument verschaft deze Privacy Policy de werknemers alle relevante informatie met betrekking tot de bescherming van persoonsgegevens onder de huidige regelgeving.
Deze Privacy Policy is van toepassing op het beheer en de uitbating van de websites www.resatec.be, www.resatec.be/fr, www.resatec.nl en de daaruit voortvloeiende bedrijfsactiviteiten.
Deze dienstverlening gaat gepaard met de volgende bedrijfsactiviteiten:
- het garanderen van een goede en optimale werking van de website www.resatec.be, www.resatec.be/fr, www.resatec.nl (het optimaliseren van de kwaliteit, het beheer en de inhoud van de website);
- het algemeen klantenbeheer;
- het aanbieden van een (gepersonaliseerde) bemiddelingsdienst in vastgoed;
- de direct marketingactiviteiten;
Resatec behoudt zich het recht voor om deze Privacy Policy van tijd tot tijd te wijzigen. Indien dit het geval is, worden werknemers hiervan tijdig op de hoogte gebracht vooraleer deze vernieuwde Privacy Policy in werking treedt.
2. Hoofdregels voor de verwerking van persoonsgegevens
2.1. Wat zijn persoonsgegevens en wat is verwerking?
WAT ZIJN PERSOONSGEGEVENS?
De term persoonsgegevens houdt alle informatie in over een geïdentificeerde of identificeerbare natuurlijke persoon. De persoonsgegevens moeten bijgevolg informatie bevatten met betrekking tot een natuurlijk persoon.
Gegevens met betrekking tot een onderneming of vennootschap zijn geen persoonsgegevens aangezien een onderneming of vennootschap geen natuurlijke persoon is. Indien bijvoorbeeld klantendossiers gegevens bevatten over ondernemingen of vennootschappen, zijn deze gegevens geen persoonsgegevens. Wanneer die klantendossiers eveneens informatie bevatten over contactpersonen (vb. naam of e-mailadres) binnen een bepaalde onderneming of vennootschap, zal dit klantendossier wel persoonsgegevens bevatten. Gegevens over eenmanszaken kwalificeren om dezelfde reden als persoonsgegevens.
Wanneer de betrokkene niet identificeerbaar is, kwalificeren de bijhorende gegevens niet als persoonsgegevens. Een natuurlijk persoon is identificeerbaar indien de identiteit van de persoon kan worden vastgesteld op betrekkelijk eenvoudige wijze. Met andere woorden, men dient op een of andere manier in de mogelijkheid te zijn om een verbinding te leggen tussen de gegevens en de persoon.
Indien de gegevens geanonimiseerd zijn, zijn de principes van gegevensbescherming niet van toepassing. Noteer echter dat anonimiseren zal inhouden dat de identiteit van de betrokkene onder geen enkel beding kan worden achterhaald.
Besluit: om gegevens te kwalificeren als persoonsgegevens, moet deze rechtstreeks of onrechtstreeks informatie verschaffen over van een natuurlijk persoon.
WAT IS DE VERWERKING VAN PERSOONSGEGEVENS?
De verwerking van persoonsgegevens is elke bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens. Resatec verwerkt bijgevolg persoonsgegevens telkens wanneer ze een bewerking uitvoert met betrekking tot persoonsgegevens.
Verwerking is de term die gebruikt wordt voor het refereren naar een breed gamma van activiteiten met betrekking tot persoonsgegevens. Bij wijze van voorbeeld kan verwezen worden naar de inzameling, de opslag of retentie, het gebruik, de openbaarmaking, de wijziging en de definitieve vernietiging of verwijdering
De gegevensbeschermingsregels zijn van toepassing op allerlei persoonsgegevens die ofwel automatisch worden verwerkt (bijvoorbeeld in een database) ofwel in een gestructureerd archiefsysteem worden bijgehouden (bijvoorbeeld papieren personeelsbestanden). Indien Resatec bijvoorbeeld persoonsgegevens opslaat of update met behulp van een computer, dient Resatec te voldoen aan de gegevensbeschermingsregels. Hetzelfde geldt in het geval gegevens werden bijgehouden in een kast en een computerprogramma de gegevens helpt te lokaliseren. De gegevensbeschermingsregels gelden ook indien Resatec handmatig persoonlijke gegevens verwerkt die deel uitmaken van een archiefsysteem of bedoeld zijn om deel uit te maken van een archiefsysteem. Een archiefsysteem betekent een gestructureerde set van gegevens met betrekking tot verschillende personen. Dit betekent dat de gegevens onderling moeten worden verbonden en het systeem op een systematische manier toegankelijk moet zijn.
2.2. De betrokkene, de verwerker en de verwerkingsverantwoordelijke
De gegevensbeschermingsregels leggen bepaalde verplichtingen op aan de verwerkingsverantwoordelijke ten aanzien van de verwerking van persoonsgegevens en geven rechten aan de betrokkene. Daarnaast is het belangrijk om een onderscheid te maken tussen een verwerkingsverantwoordelijke en een verwerker.
De betrokkene is het individu op wie persoonsgegevens betrekking hebben.
De verwerkingsverantwoordelijke daarentegen bepaalt de doeleinden en de middelen van de verwerking.
De verwerker verwerkt persoonsgegevens namens de verwerkingsverantwoordelijke. De verwerker werkt alleen volgens de instructies van Resatec.
Als het gewenst is om bepaalde diensten uit te besteden aan een derde waarbij er eveneens persoonsgegevens worden verwerkt, moet in beginsel een dataverwerkingsovereenkomst worden afgesloten. Het is de verantwoordelijkheid van Resatec om ervoor te zorgen dat deze verwerkingsovereenkomst wordt opgesteld, afgesloten en gearchiveerd, voordat de persoonsgegevens aan de verwerker worden verstrekt.
2.3. Doel van de verwerking
Gegevens moeten voor een specifiek doel worden verwerkt. Persoonsgegevens mogen alleen worden verzameld als er een welbepaald doel is om dit te doen. Gegevens mogen niet worden verzameld als het doel niet duidelijk is aangegeven.
Bij het instellen van de gegevensverwerkingsprocessen moet altijd worden nagegaan of de verwerking van persoonsgegevens noodzakelijk is om het doel te verkrijgen. Dit betekent dat de vraag moet worden gesteld of hetzelfde doel met minder gegevens kan worden bereikt. Er moet worden nagegaan of dezelfde resultaten op een andere (minder invasieve) manier kunnen worden bereikt, bijvoorbeeld door gebruik te maken van technische hulpmiddelen die geen of minder persoonsgegevens verwerken. De gegevensverwerking kan bovendien niet onverenigbaar zijn met het doel waarvoor Resatec de gegevens heeft verzameld.
2.4. Rechtsgrond op basis waarvan kan worden overgegaan tot verwerking van persoonsgegevens
Persoonsgegevens moeten altijd worden verwerkt op basis van gedefinieerde rechtsgronden. Als dit niet mogelijk is, mogen geen persoonsgegevens worden verwerkt.
De mogelijke gronden zijn:
- de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
- de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
- de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
- de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
- de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;
- de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.
Hoewel toestemming een geldige grond is voor de verwerking van persoonsgegevens en gebruikt wordt door Resatec, is Resatec zeer omzichtig om uitsluitend toestemming te gebruiken als basis voor de verwerking van persoonsgegevens. Het verzoek om toestemming moet in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal worden geformuleerd. Toestemming moet door de betrokkene gegeven worden voor een specifieke verwerking en voor specifieke gegevens. De betrokkene moet daarenboven vrij en geïnformeerd toestemming kunnen geven.
De andere grond die vaak gebruikt wordt om de verwerking toe te laten is dat de verwerking noodzakelijk is voor de uitvoering van de overeenkomst waarvan de betrokkene een partij is. Het is noodzakelijk dat de betrokkende een partij is bij de overeenkomst. De persoonsgegevens kunnen ook in de fase voor de sluiting van de overeenkomst worden verwerkt. Een voorbeeld hiervan is dat de betrokkene een offerte aanvraagt voor een bepaalde dienst/product te leveren.
Een derde grond is de noodzaak om te voldoen aan een wettelijke verplichting. Er moet een duidelijke verband bestaan tussen de verwerking van persoonsgegevens en de wettelijke verplichting.
Daarnaast kan de verwerking gebaseerd zijn op een taak van algemeen belang of een taak in het kader van de uitoefening van het openbaar gezag die aan de verwerkingsverantwoordelijke is opgedragen.
Ten slotte kan als grond vaak toegepast worden dat persoonlijke gegevens nodig zijn in verband met de legitieme belangen van Resatec (of een derde bij wie de persoonsgegevens zijn verstrekt), tenzij de belangen of de fundamentele rechten en vrijheden van de betrokkende voorrang hebben. Om deze grond te beoordelen, moeten de belangen van alle betrokken partijen telkens worden afgewogen. Deze grond wordt onder meer toegepast wanneer persoonsgegevens worden verwerkt in verband met marketingactiviteiten.
2.5. Minimale gegevensverwerking en juistheid van de persoonsgegevens
De gegevens moeten toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Het is niet toegestaan om gegevens te verwerken die onnodig zijn voor de doeleinden van de verwerking.
Bovendien moeten de verwerkte gegevens:
- juist zijn; en
- zo nodig worden geactualiseerd.
Deze verplichting is echter niet absoluut. Men dient niet steeds te controleren of de gegevens die zijn verwerkt door Resatec juist zijn. Zo hoeft er bijvoorbeeld niet voortdurend te worden gecontroleerd of alle adresgegevens in de bestanden van de betrokkene nog actueel zijn.
2.6. Integriteit en vertrouwelijkheid
Er moeten voldoende technische en organisatorische maatregelen tegen onwettige verwerking en misbruik in acht worden genomen. De technische en organisatorische maatregelen die worden getroffen, moeten een passend en adequaat veiligheidsniveau waarborgen.
Er mag rekening gehouden worden met de stand van de techniek en de kosten van de uitvoering van de maatregelen. De technische en organisatorische maatregelen moeten ook gericht zijn op het voorkomen van onnodige verzameling of verdere verwerking van persoonsgegevens. Technische maatregelen hebben daarbij voorrang op organisatorische maatregelen. De maatregelen worden schriftelijk vastgelegd en zijn op verzoek van de betrokkene steeds raadpleegbaar.
Als gevoelige gegevens worden verwerkt, zijn strengere beveiligingsmaatregelen verplicht. Hoe gevoeliger de gegevens zijn, hoe hoger de toegepaste beveiligingsmaatregelen moeten zijn.
Resatec besteedt veel aandacht aan de beveiliging van haar systemen. Zo heeft bijvoorbeeld Resatec de gegevens beveiligd met wachtwoorden en het beperken van de toegangsrechten. Alle computers waarop gegevens opgeslagen zijn, zijn versleuteld.
Voorts wordt alle gebruikte software ook beveiligd door meerdere geavanceerde anti-virussystemen en firewalls.
2.7. “Need-to-know” principe (noodzaak van kennisname)
Persoonsgegevens mogen alleen worden verwerkt en beschikbaar gesteld aan werknemers die dit nodig hebben voor specifieke doeleinden. Organisatorische en technische maatregelen moeten worden genomen om de naleving te waarborgen. Ter praktische uitvoering hiervan, heeft Resatec bijvoorbeeld de gegevens beveiligd met wachtwoorden en het toestaan van specifieke toegangsrechten. Persoonsgegevens zijn daarnaast strikt vertrouwelijk. Als een werknemer toegang heeft tot specifieke persoonsgegevens binnen Resatec, betekent dit niet dat deze medewerker het recht heeft om altijd toegang te krijgen tot deze informatie. Als een medewerker toegang heeft tot de gegevens, kan deze medewerker alleen toegang verkrijgen tot de informatie voor professionele doeleinden. Het is bijvoorbeeld niet toegestaan om de informatie uit nieuwsgierigheid te openen en eventueel de informatie te gebruiken voor andere niet-professionele doeleinden.
2.8. Dataretentie en opslagbeperking
Resatec zal persoonsgegevens niet langer bewaren dan nodig is voor het doel waarvoor de gegevens zijn verzameld of werden verwerkt.
Aangezien de termijn waarvoor de gegevens kunnen worden behouden afhangt van de doeleinden waarvoor de gegevens zijn verzameld, kan de opslagperiode in elke situatie variëren. De vraag moet altijd worden gesteld of het nog steeds noodzakelijk is dat specifieke gegevens die voor bepaalde doeleinden worden verzameld, behouden blijven.
Als het niet langer nodig is voor de doeleinden van Resatec om de gegevens op te slaan, dan moeten de gegevens:
- volledig worden verwijderd of;
- als alternatief dienen alle identificerende karakters verwijderd te worden (anonimisering).
Persoonsgegevens kunnen voor een langere tijd worden opgeslagen als dit voor historische, statistische of wetenschappelijke doeleinden gebeurd.
De termijn waarin gegevens kunnen worden bewaard, hangt af van de doeleinden waarvoor de gegevens zijn verzameld. Bovendien kan specifieke regelgeving minimumvoorwaarden bevatten voor het opslaan van gegevens, bijvoorbeeld voor boekhoudkundige doeleinden. Opslagvoorwaarden en -termijnen kunnen daarom variëren.
Indien er persoonsgegevens worden verwerkt zonder dat deze opgenomen zijn in onderstaande lijst, gelieve onmiddellijk contact op te nemen met de bedrijfsleiding en het nodige advies in te winnen.
Gegevens waarvan de retentieperiode is verstreken, worden verwijderd of geanonimiseerd. In situaties waar de retentieperiode verlengd moet worden, moet de bedrijfsleiding worden geraadpleegd om te beslissen over de uitzonderingsmogelijkheden. Het doel om de retentieperiode voor verwerking te verlengen, wordt geanalyseerd en moet in overeenstemming zijn met de bepalingen van de regelgeving ter zake. Mogelijks moeten de betrokkenen op de hoogte worden gesteld van de verlenging. Te allen tijde moeten gerelateerde wetten en voorschriften worden nageleefd.
Voor Resatec gelden de volgende retentieperiodes:
- Gegevens met relevantie voor de boekhouding: bewaartermijn 15 jaar
- Gegevens met relevantie voor de vennootschapsbelasting: bewaartermijn 15 jaar
- Gegevens met relevantie voor belasting over de toegevoegde waarde: bewaartermijn 15 jaar
- Gegevens verwerkt voor commerciële doeleinden: De persoonsgegevens van de Lead en de Klant worden bijgehouden van zodra ze door de betrokkene via een contactformulier of via de aanmaak van een profiel worden ingegeven. Deze maximale bewaartermijn wordt gemotiveerd op basis van de gemiddelde termijn waarbinnen een (mogelijke) beslissing tot aankoop zich voltrekt.
- Gegevens die geanonimiseerd worden met het oog op de verdere uitvoering van statistieken: Voor zover Resatec de persoonsgegevens voor langere tijd dan nodig bijhoudt, met het oog op de verdere uitvoering van statistieken, worden de persoonsgegevens geanonimiseerd. Bij de omzetting van persoonsgegevens naar geanonimiseerde gegevens bestaat de mogelijkheid dat de desbetreffende persoonsgegevens nog voor een gemiddelde periode van 4 weken in het back-up-systeem terug te vinden zijn.
2.9. Gevoelige gegevens
Gevoelige persoonsgegevens zijn alle persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, genetische of biometrische gegevens, gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.
Gevoelige persoonsgegevens kunnen in principe niet worden verwerkt. De gegevensbeschermingsregels bevatten een aantal algemene en specifieke uitzonderingen op dit verbod. Een voorbeeld van een algemene uitzondering is bij uitdrukkelijke toestemming.
2.10. Informatie en transparantie
Een persoon wiens gegevens worden verwerkt, moet kunnen vaststellen wat er met die gegevens gebeurt. Daarom bevatten de gegevensbeschermingsregels een aantal bepalingen over de informatie die moet worden verstrekt aan de betrokkene.
Als de gegevens rechtstreeks van de betrokkenen worden verzameld, moet de betrokkene voorafgaand aan de verzameling ervan worden geïnformeerd. Een voorbeeld van het rechtstreeks verkrijgen van de persoonsgegevens van de betrokkene is de situatie wanneer hij zijn persoonsgegevens op een formulier invult en dit formulier naar Resatec stuurt.
Hoe gevoeliger de gegevens zijn, hoe meer reden er zal zijn om het de betrokkene te verstrekken met gedetailleerde informatie over de gegevensverwerking. In elk geval moet deze informatie verstrekt worden vooraleer de verwerkingsverantwoordelijke voornemens is de persoonsgegevens verder te verwerken voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld.
De betrokkene moet worden geïnformeerd over de verwerking van zijn persoonsgegevens.
Resatec informeert de betrokkene over de verwerking van persoonsgegevens door middel van een vermelding in de algemene voorwaarden en een privacy statement dat wordt gepubliceerd op haar website(s).
Indien de betrokkene een vraag stelt over zijn persoonsgegevens of over de behandeling van persoonsgegevens in het algemeen dient dit behandeld te worden conform het bepaalde in de Customer Interaction Procedure. De Customer Interaction Procedure wordt als Bijlage 2 toegevoegd aan deze Privacy Policy. De bedrijfsleiding dient van elk ontvangen verzoek minstens op de hoogte gebracht te worden.
3. Rechten van de betrokkene
De betrokkene heeft diverse rechten met betrekking tot de over hem/haar verzamelde persoonsgegevens. Deze worden hieronder verder toegelicht.
Indien de betrokkene op één van deze rechten beroep doet, zal Resatec de identiteit van de betrokkene verifiëren (bv. door het opvragen van een kopij van de identiteitskaart) om te voorkomen dat de gegevens in de verkeerde handen terecht komen.
3.1. Recht van inzage van de betrokkene tot diens verwerkte persoonsgegevens
De betrokkene kan Resatec met redelijke tussenpozen vragen of persoonsgegevens die betrekking hebben op hem worden verwerkt, en zo ja welke gegevens. Als een betrokkene zo’n verzoek buitensporig vaak doet, hoeft Resatec niet te antwoorden.
Een verzoek om toegang moet binnen vier weken beantwoord worden. Nadat de verwerkingsverantwoordelijke de betrokkene hiervan heeft geïnformeerd, kan deze termijn met 2 maanden verlengd worden indien het een complex verzoek betreft dan wel doordat de verwerkingsverantwoordelijke veel verzoeken heeft ontvangen. Het antwoord moet in principe schriftelijk zijn. Een antwoord dat via elektronische post wordt verstuurd, vormt ook een schriftelijk antwoord.
Voordat het overzicht wordt verstrekt, moet de identiteit van de persoon die toegang tot de gegevens heeft aangevraagd worden gecontroleerd. Deze controle kan plaatsvinden door gebruik te maken van documenten van de betrokkene die identificatie zonder enige redelijke twijfel mogelijk maken.
Indien daartoe verzocht, zal Resatec ook informatie moeten verstrekken over zijn systemen voor geautomatiseerde dataverwerking. Vanzelfsprekend hoeft Resatec echter geen handelsgeheimen bekend te maken.
Noteer dat Resatec in sommige gevallen de toegang tot de gegevens niet moet toestaan. Dit is bijvoorbeeld het geval bij de schending van de rechten van vrijheden van andere personen. Het vereist steeds een afweging geval per geval van de belangen door Resatec. Wanneer de verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn, mag de verwerkingsverantwoordelijke ofwel een redelijke vergoeding aanrekenen in het licht van de gebeurlijke administratieve kosten ofwel weigeren gevolg te geven aan het verzoek. Mocht Resatec niet willen ingaan op het verzoek tot toegang, dan moeten de redenen voor deze weigering worden gemeld.
Het verzoek om kopieën te verkrijgen kan geweigerd worden wanneer het gaat om misbruik door de betrokkene of wanneer de verzoeken een onevenredige last vormen voor Resatec of kan leiden tot inbreuk op de rechten en belangen van derden.
3.2. Recht van rectificatie en gegevensuitwissing (recht op vergetelheid)
De betrokkene mag Resatec verzoeken om zijn of haar gegevens te corrigeren. Hij moet daarbij de gewenste wijzigingen aangeven. De betrokkene moet binnen vier weken schriftelijk worden geïnformeerd van en in welke mate Resatec aan het verzoek tot rectificatie zal voldoen. Nadat de verwerkingsverantwoordelijke de betrokkene hiervan heeft geïnformeerd, kan deze termijn met 2 maanden verlengd worden indien het een complex verzoek betreft dan wel doordat de verwerkingsverantwoordelijke veel verzoeken heeft ontvangen. Mocht Resatec besluiten de gegevens te rectificeren, moet dit zo spoedig mogelijk uitgevoerd worden. Mocht Resatec de rectificatie weigeren, dan moeten de redenen voor deze weigering worden vermeld.
De betrokkene mag Resatec verzoeken om zijn gegevens te verwijderen. Hij moet daarbij de gewenste verwijdering aangeven. De betrokkene moet binnen vier weken schriftelijk worden geïnformeerd van en in welke mate Resatec aan het verzoek tot wissing zal voldoen. Mocht Resatec besluiten de gegevens te wissen, moet dit zo spoedig mogelijk uitgevoerd worden. Resatec is verplicht de persoonsgegevens te wissen indien:
- persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld;
- de betrokkene de toestemming intrekt waarop de verwerking berust, en er geen andere rechtsgrond is voor de verwerking;
- de betrokkene bezwaar maakt tegen de verwerking, en er geen prevalerende dwingende gerechtvaardigde gronden zijn voor de verwerking;
- de persoonsgegevens onrechtmatig zijn verwerkt;
- de persoonsgegevens moeten worden gewist om te voldoen aan een wettelijke verplichting.
Wanneer de verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn, mag de verwerkingsverantwoordelijke ofwel een redelijke vergoeding aanrekenen in het licht van de gebeurlijke administratieve kosten ofwel weigeren gevolg te geven aan het verzoek. Mocht Resatec het verzoek tot uitwissing weigeren, dan moeten de redenen voor deze weigering worden vermeld. Resatec kan weigeren de persoonsgegevens te wissen indien deze noodzakelijk zijn voor de uitoefening van de overeenkomst:
- het recht op vrijheid van meningsuiting en informatie;
- een wettelijke verwerkingsverplichting die op de verwerkingsverantwoordelijke rust
- een taak van algemeen belang;
- om redenen van algemeen belang op het gebied van volksgezondheid;
- met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden indien de gegevens werden gepseudonimiseerd;
- deze noodzakelijk zijn voor de instelling, uitoefening of onderbouwing van een rechtsvordering.
Als een verzoek van rectificatie of gegevensuitwissing wordt ontvangen, dient dit verzoek te worden behandeld conform het bepaalde in de Customer Interaction Procedure. De Customer Interaction Procedure wordt als Bijlage 2 toegevoegd aan deze Privacy Policy. De bedrijfsleiding dient van elk ontvangen verzoek van rectificatie of gegevensuitwissing op de hoogte gebracht te worden.
Het verzoek van rectificatie of gegevensuitwissing is enkel mogelijk met betrekking tot de persoonsgegevens die louter verwerkt worden na de toestemming van de betrokkene. De door Resatec verwerkte persoonsgegevens waarvoor een wettelijke verplichting tot bewaring geldt, dienen gedurende een minimale termijn bewaard te worden (zie 2.8. Dataretentie en opslagbeperking)
3.3. Recht op beperking van de verwerking
De betrokkene heeft het recht van de verwerkingsverantwoordelijke de beperking van de verwerking te verkrijgen indien een van de volgende elementen van toepassing is:
- de juistheid van de persoonsgegevens wordt betwist door de betrokkene, gedurende de periode die de verwerkingsverantwoordelijke in staat stelt de juistheid van de persoonsgegevens te controleren;
- de verwerking is onrechtmatig en de betrokkene verzet zich tegen het wissen van de persoonsgegevens en verzoekt in de plaats daarvan om beperking van het gebruik ervan;
- de verwerkingsverantwoordelijke heeft de persoonsgegevens niet meer nodig voor de verwerkingsdoeleinden, maar de betrokkene heeft deze nodig voor de instelling, uitoefening of onderbouwing van een rechtsvordering;
- de betrokkene heeft bezwaar gemaakt tegen de verwerking, in afwachting van het antwoord op de vraag of de gerechtvaardigde gronden van de verwerkingsverantwoordelijke zwaarder wegen dan die van de betrokkene.
Wanneer de verwerking beperkt is, worden persoonsgegevens, met uitzondering van de opslag ervan, slechts verwerkt:
- met toestemming van de betrokkene; of
- voor de instelling, uitoefening of onderbouwing van een rechtsvordering; of
- ter bescherming van de rechten van een andere natuurlijke persoon of rechtspersoon; of
- om gewichtige redenen van algemeen belang.
Een betrokkene die een beperking van de verwerking heeft verkregen, wordt door de verwerkingsverantwoordelijke op de hoogte gebracht voordat de beperking van de verwerking wordt opgeheven.
Als een verzoek van beperking van de verwerking wordt ontvangen, dient dit verzoek te worden behandeld conform het bepaalde in de Customer Interaction Procedure. De Customer Interaction Procedure wordt als Bijlage 2 toegevoegd aan deze Privacy Policy. De bedrijfsleiding dient van elk ontvangen verzoek minstens op de hoogte gebracht te worden.
3.4. Recht van bezwaar
De betrokkene heeft het recht om bezwaar te maken tegen de verwerking van zijn persoonsgegevens indien de verwerking is gebaseerd op het legitieme belang van Resatec of van een derde partij.
De betrokkene kan op grond van deze redenen een bezwaar maken in verband met zijn persoonlijke omstandigheden. Het is belangrijk om op te merken dat het recht op bezwaar niet steeds kan worden uitgeoefend door de betrokkene. Indien de verwerking noodzakelijk is voor de uitvoering van een overeenkomst of noodzakelijk is om te voldoen aan een wettelijke verplichting, kan de betrokkene zich niet beroepen op zijn recht van bezwaar.
Resatec als verwerkingsverantwoordelijke moet binnen vier weken na ontvangst van het bezwaar beslissen of het bezwaar gegrond is. Als dat het geval is, moet de verwerking onmiddellijk stoppen. Nadat de verwerkingsverantwoordelijke de betrokkene hiervan heeft geïnformeerd, kan deze termijn met 2 maanden verlengd worden indien het een complex verzoek betreft dan wel in het geval de verwerkingsverantwoordelijke veel verzoeken heeft ontvangen.
De betrokkene heeft ook het recht om bezwaar te maken tegen de verwerking van zijn persoonsgegevens voor directe marketing. In dat geval moet Resatec de verwerking onmiddellijk beëindigen.
Wanneer de verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn, mag de verwerkingsverantwoordelijke ofwel een redelijke vergoeding aanrekenen in het licht van de gebeurlijke administratieve kosten ofwel weigeren gevolg te geven aan het verzoek. Mocht Resatec het verzoek tot uitwissing weigeren, dan moeten de redenen voor deze weigering worden vermeld.
Als de betrokkene zijn recht van bezwaar wenst uit te oefenen, dient dit verzoek te worden behandeld conform het bepaalde in de Customer Interaction Procedure. De Customer Interaction Procedure wordt als Bijlage 2 toegevoegd aan deze Privacy Policy. De bedrijfsleiding dient van elk ontvangen verzoek minstens op de hoogte gebracht te worden.
3.5. Recht op overdraagbaarheid van gegevens
De betrokkene heeft het recht de hem betreffende persoonsgegevens, die hij aan een verwerkingsverantwoordelijke heeft verstrekt, in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen, en hij heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen, zonder daarbij te worden gehinderd door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrekt, indien:
- de verwerking berust op zijn toestemming of noodzakelijk is voor de totstandkoming van de overeenkomst;
- de verwerking via geautomatiseerde procedés wordt verricht.
Bij de uitoefening van zijn recht op gegevensoverdraagbaarheid heeft de betrokkene het recht dat de persoonsgegevens, indien dit technisch mogelijk is, rechtstreeks van de ene verwerkingsverantwoordelijke naar de andere worden doorgezonden.
Resatec als verwerkingsverantwoordelijke moet binnen vier weken na ontvangst de betrokkene informeren. Nadat de verwerkingsverantwoordelijke de betrokkene hiervan heeft geïnformeerd, kan deze termijn met 2 maanden verlengd worden indien het een complex verzoek betreft dan wel doordat de verwerkingsverantwoordelijke veel verzoeken heeft ontvangen.
Wanneer de verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn, mag de verwerkingsverantwoordelijke ofwel een redelijke vergoeding aanrekenen in het licht van de gebeurlijke administratieve kosten ofwel weigeren gevolg te geven aan het verzoek. Mocht Immzo de overdracht, weigeren, dan moeten de redenen voor deze weigering worden vermeld.
Als de betrokkene zijn recht op overdracht van gegevens wenst uit te oefenen, dient dit verzoek te worden behandeld conform het bepaalde in de Customer Interaction Procedure. De Customer Interaction Procedure wordt als Bijlage 2 toegevoegd aan deze Privacy Policy. De bedrijfsleiding dient van elk ontvangen verzoek minstens op de hoogte gebracht te worden.