ZaapIT

Toepassingsgebied

1,1

Deze CSB Privacy Code richt zich tot de verwerking van persoonsgegevens van klanten, leveranciers en zakelijke partners en andere personen door ZaapIT of een derde partij Processor namens ZaapIT (collectief,CSB Informatie). Deze CSB Privacy Code richt zich niet tot de verwerking van persoonlijke gegevens van werknemers in het kader van hun arbeidsrelatie met ZaapIT, tenzij en voor zover deze werknemer een klant van ZaapIT is.

Opt-out voor lokale-voor-lokale verwerking

1.2

Een niet in de EER gevestigde groepsonderneming die niet onder een Adequaty-besluit valt, kan zich uitsluiten van de toepasselijkheid van deze CSB-privacycode met betrekking tot de verwerking van CSB-informatie die is verzameld in verband met de activiteiten van een dergelijke groepsmaatschappij, mits dergelijke CSB-informatie vervolgens uitsluitend onder de relevante jurisdictie van een dergelijke groepsonderneming wordt verwerkt (Lokale voor lokale verwerking). De opt-out door een Group Company for Local-to-Local Processing vereist de voorafgaande toestemming van de Chief Privacy Officer. Ondanks een dergelijke vergunning moet de Local-for-Local Processing ten minste voldoen aan de toepasselijke lokale wetgeving en de veiligheids- en governancevereisten van deze CSB Privacy Code.

Elektronische en papieren verwerking

1.3

Deze CSB-privacycode is van toepassing op de verwerking van CSB-informatie langs elektronische weg en in systematisch toegankelijke papieren bestandssystemen.

Toepasselijkheid van lokaal recht en CSB-privacycode

1,4

Niets in deze CSB Privacy Code zal worden opgevat als weg te nemen alle rechten en remedies die individuen kunnen hebben onder toepasselijke lokale wetgeving. Deze CSB Privacy Code biedt aanvullende rechten en remedies aan alleen individuen.

Subbeleid en aankondigingen

1.5

Zaap IT kan deze CSB Privacy Code aanvullen via subbeleid, procedures of richtlijnen die in overeenstemming zijn met deze CSB Privacy Code.

Verantwoording

1,6

Deze CSB Privacy Code is bindend voor ZaapIT. De Verantwoordelijke Executive is verantwoordelijk voor de naleving van deze CSB Privacy Code. ZaapIT Staff moet voldoen aan deze CSB Privacy Code.

Inwerkingtreding

1,7

Deze CSB Privacy Code treedt in werking op 11 juni 2018 (Inwerkingtreding) en zal worden gepubliceerd op de ZaapIT

CSB Privacy Code supplementen voorafgaand beleid

1,8

Deze CSB Privacy Code vult alle ZaapIT privacy policies en kennisgevingen aan die bestaan op de Ingangsdatum.

Uitvoering

1,9

Deze CSB-privacycode wordt geïmplementeerd in de ZaapIT-organisatie op basis van de in artikel 22 gespecificeerde termijnen.

Legitieme zakelijke doeleinden

2.1

CSB Informatie wordt verzameld, gebruikt of anderszins verwerkt door ZaapIT in het kader van de levering van klantenservices, het gebruik van leveranciersdiensten en zakelijke ontwikkeling met zakelijke partners voor een (of meer) van de volgende doeleinden (Bedrijfsdoelen):

i. Beoordeling en aanvaarding van een klant, leverancier of zakenpartner; sluiting en uitvoering van overeenkomsten met een klant, leverancier of zakenpartner en afwikkeling van betalingstransacties.Dit doel omvat: Verwerking van CSB-informatie die noodzakelijk is in verband met de beoordeling en aanvaarding van klanten, leveranciers of zakelijke partners, inclusief het bevestigen en verifiëren van de identiteit van relevante personen (dit kan het gebruik van een kredietreferentiebureau of andere derde partij omvatten), het uitvoeren van due diligence, en het onderzoeken van openbaar beschikbare lijsten van sancties van overheden en/of rechtshandhavingsinstanties en andere derde gegevensbronnen,het gebruik van en deelname aan incidentregisters en sectorwaarschuwingssystemen van ZaapIT.

Dit doel omvat ook de verwerking van CSB-informatie in verband met de uitvoering van overeenkomsten, met inbegrip van de levering van klantendiensten en de afwikkeling van betalingstransacties in het kader waarvan ZaapIT zo nodig CSB-informatie aan de tegenpartij of andere partijen kan verstrekken, bijvoorbeeld voor verificatie- of wederopbouwdoeleinden;

ii. Uitvoering van klantenservice.Dit doel is gericht op de verwerking van CSB-informatie die nodig is voor de uitvoering van klantenservices;

iii. Gebruik van Supplier Services.Dit doel is gericht op de verwerking van CSB-informatie die nodig is voor het gebruik van Supplier Services door ZaapIT;

iv. Business Development met Business Partners.Dit doel is gericht op de verwerking van CSB-informatie die nodig is voor Business Development tussen ZaapIT en Business Partners;

v. Ontwikkeling en verbetering van producten en/of diensten.Dit doel omvat: verwerking van CSB-informatie die nodig is voor de ontwikkeling en verbetering van ZaapIT-producten en/of -diensten, onderzoek en ontwikkeling;

vi. Relatiebeheer en marketing.Dit doel omvat activiteiten zoals het onderhouden en bevorderen van contact met klanten, leveranciers en zakelijke partners, accountmanagement, klantenservice, terugroepen, het verzamelen van CSB-informatie via ZaapIT-websites, en de ontwikkeling, uitvoering en analyse van marktenquêtes en marketingstrategieën;

vii. Bedrijfsprocesuitvoering, intern management en managementrapportage.Dit doel omvat het beheer van bedrijfsactiva; kredietbeoordeling (met inbegrip van het vaststellen van kredietlimieten) en risicobeheer, het uitvoeren van audits en onderzoeken; financiën en boekhouding; het uitvoeren van bedrijfscontroles; het verstrekken van centrale verwerkingsfaciliteiten voor efficiëntiedoeleinden; het beheren van fusies, overnames en afstotingen; het verwerken van CSB-informatie voor managementrapportage en -analyse; archief- en verzekeringsdoeleinden; juridisch of bedrijfsadvies; en het voorkomen, voorbereiden of aangaan van geschillen;

viii. Gezondheid, veiligheid, beveiliging en integriteit, met inbegrip van de beveiliging en integriteit van het bedrijfsleven.Dit doel omvat de bescherming van de belangen van ZaapIT en haar Werknemers en Klanten, met inbegrip van de bescherming van de veiligheid en integriteit van hun bedrijfssector, met name het opsporen, voorkomen, onderzoeken en bestrijden van (aangevallen) strafrechtelijke of verwerpelijke gedragingen gericht tegen ZaapIT, haar Werknemers of Klanten, waaronder het gebruik van en deelname aan de incidentregisters en sectorwaarschuwingssystemen van ZaapIT, en activiteiten zoals die met betrekking tot gezondheid en veiligheid, de bescherming van ZaapIT- en werknemersactiva, en de authenticatie van de status van klant, leverancier of zakenpartner en toegangsrechten (zoals vereiste screeningsactiviteiten voor toegang tot ZaapIT-gebouwen of -systemen);

ix. Naleving van de wet.Dit doel verwerking van CSB-informatie die nodig is voor de uitvoering van een taak die wordt verricht om te voldoen aan een wettelijke verplichting of sectorale aanbeveling waaraan ZaapIT is onderworpen, met inbegrip van de openbaarmaking van CSB-informatie aan overheidsinstellingen of toezichthoudende autoriteiten, met inbegrip van belastingautoriteiten, met inbegrip van het voorkomen van witwassen van geld, de financiering van terrorisme en andere misdrijven, cliëntenonderzoek en de zorgplicht jegens klanten (bv. krediettoezicht); of

x. Bescherming van de vitale belangen van individuen.Dit doel is bedoeld voor verwerking die noodzakelijk is om de vitale belangen van een individu te beschermen.

Wanneer er een vraag is of een bepaalde verwerking van CSB-informatie kan worden gebaseerd op een hierboven vermeld zakelijk doel, moet het passende Privacylood worden geraadpleegd voordat de verwerking plaatsvindt.

Toestemming

2.2

Naast de in artikel 2.1 genoemde bedrijfsdoelen kan CSB-informatie worden verwerkt indien de betrokkene zijn of haar toestemming voor de verwerking heeft gegeven. Indien van toepassing Volgens de wet moet ZaapIT toestemming vragen van de persoon voor de desbetreffende verwerking, maar moet ZaapIT er niet alleen voor zorgen dat er een zakelijk doel voor de verwerking bestaat, maar ook om toestemming vragen van de persoon voor de verwerking.

Bij het aanvragen van toestemming moet ZaapIT de betrokkene in kennis stellen van:

i. de doeleinden van de verwerking waarvoor toestemming is vereist;

ii. welke Group Company verantwoordelijk is voor de verwerking;

iii. het recht om zijn toestemming te allen tijde in te trekken;

iv. dat intrekking van de toestemming geen afbreuk doet aan de rechtmatigheid van de betrokken verwerking voordat deze wordt ingetrokken.

Wanneer de verwerking plaatsvindt op verzoek van een persoon (bv. hij of zij zich bij een dienst inschrijft of een voordeel zoekt), wordt hij geacht toestemming te hebben verleend voor de verwerking.

Verlening, weigering of intrekking van de toestemming

2,3

De persoon kan de toestemming te allen tijde weigeren of intrekken. Na intrekking van de toestemming zal ZaapIT deze verwerking zo snel mogelijk stopzetten. De intrekking van de toestemming heeft geen invloed op i) de rechtmatigheid van de verwerking op basis van een dergelijke toestemming vóór de intrekking ervan; en ii) de rechtmatigheid van verwerking voor zakelijke doeleinden die niet gebaseerd is op toestemming na intrekking.

Gebruik van CSB-informatie voor secundaire doeleinden

3.1

Algemeen Informatie mag alleen worden gebruikt voor de zakelijke doeleinden. CSB Informatie mag worden verwerkt voor een ander bedrijfsdoel dan het bedrijfsdoel (Secundair doel) alleen indien het secundaire doel nauw verband houdt met het bedrijfsdoel. Afhankelijk van de gevoeligheid van de relevante CSB-informatie en of het gebruik van de CSB-informatie voor het secundaire doel potentiële negatieve gevolgen heeft voor het individu, kan een dergelijk gebruik aanvullende maatregelen vereisen, zoals:

i. beperking van de toegang tot de CSB-informatie;

ii. het opleggen van aanvullende vertrouwelijkheidsvereisten;

iii. aanvullende veiligheidsmaatregelen te nemen, met inbegrip van versleuteling of pseudonimisering;

iv. de persoon informeren over het secundaire doel;

v. een opt-out-mogelijkheid bieden aan het individu; of

vi. het verkrijgen van toestemming van een individu overeenkomstig artikel 2, lid 2, of artikel 4, lid 3, (indien van toepassing).

Algemeen toegelaten toepassingen voor secundair onderwijs

Doelen

3.2

Het is over het algemeen toegestaan om CSB-informatie te verwerken voor de volgende doeleinden (zelfs indien niet vermeld als bedrijfsdoel), mits passende aanvullende maatregelen worden genomen overeenkomstig artikel 3.1:

i. overdracht van de CSB-informatie aan een archief;

ii. interne audits of onderzoeken;

iii. uitvoering van bedrijfscontroles en operationele efficiëntie;

iv. statistisch, historisch of wetenschappelijk onderzoek;

v. geschillenbeslechting;

vi. juridisch of zakelijk advies; of

vii. verzekeringsdoeleinden.

Specifieke doeleinden voor de verwerking van gevoelige informatie

4.1

Dit artikel bevat specifieke regels voor de verwerking van gevoelige informatie. ZaapIT verwerkt gevoelige informatie alleen voor zover nodig om het toepasselijke bedrijfsdoel te dienen.

De volgende categorieën gevoelige informatie kunnen worden verzameld, gebruikt of anderszins verwerkt voor een (of meer) van de hieronder vermelde doeleinden:

i. Rassen- of etnische CSB-informatie: in sommige landen worden foto's en videobeelden van individuen beschouwd als raciale of etnische informatie. Zaap IT kan foto's (bijvoorbeeld een kopie van een paspoort met een foto) en videobeelden verwerken ter bescherming van ZaapIT- en werknemersactiva; toegang tot de site en veiligheidsredenen; beoordeling en aanvaarding van klanten, met inbegrip van de identificatie en authenticatie van klanten (met inbegrip van het bevestigen en verifiëren van de identiteit van relevante personen); status van leverancier of zakenpartner en toegangsrechten; en het verifiëren en bevestigen van advies of het vastleggen van beslissingen die in de loop van het bedrijf worden genomen voor toekomstige referentie (bijvoorbeeld wanneer personen deelnemen aan videoconferenties die worden opgenomen);

ii. Criminele CSB-informatie(met inbegrip van CSB-informatie met betrekking tot crimineel gedrag, strafregisters of procedures met betrekking tot crimineel of onrechtmatig gedrag) kunnen worden verwerkt als noodzakelijk voor de beoordeling en aanvaarding van Klanten, met inbegrip van de identificatie en authenticatie van Klanten (met inbegrip van het bevestigen en verifiëren van de identiteit van relevante Personen); de uitvoering van een overeenkomst met Klanten; en ter bescherming van de belangen van ZaapIT, haar Werknemers en Klanten, en voor het gebruik van en de deelname aan ZaapIT

iii. Informatie over lichamelijke of geestelijke gezondheid: Kan worden verwerkt indien nodig voor de beoordeling en aanvaarding van een Klant, de uitvoering van een overeenkomst met een Klant, en de naleving van de zorgplicht van ZaapIT klanten;

iv. Religie of geloof: Kan worden verwerkt om specifieke producten of diensten voor een klant, zoals dieeteisen met betrekking tot religie of overtuigingen, of religieuze feestdagen;

V. Biometrische CSB-informatie(bv. vingerafdrukken): voor de bescherming van ZaapIT en haar Werknemers, activa, site access en veiligheidsredenen.

Algemene doeleinden voor de verwerking van gevoelige informatie

4.2

Naast de in artikel 4.1 genoemde specifieke doeleinden kunnen alle categorieën gevoelige informatie worden verwerkt onder (een of meer van) de volgende omstandigheden:

i. indien vereist of toegestaan voor de uitvoering van een taak die is uitgevoerd om te voldoen aan een wettelijke verplichting of sectorale aanbeveling waaraan ZaapIT is onderworpen;

ii. voor geschillenbeslechting en/of fraudepreventie;

iii. een vitaal belang van een individu te beschermen, maar alleen wanneer het onmogelijk is om eerst de toestemming van een individu te verkrijgen;

iv. voor zover nodig om te voldoen aan een verplichting van het internationaal publiekrecht (bijvoorbeeld een verdrag), of

v. indien de gevoelige informatie op eigen initiatief op de sociale media van ZaapIT is geplaatst of anderszins is gedeeld of duidelijk door het individu openbaar is gemaakt.

Toestemming en de weigering of intrekking ervan

4.3

Naast de in artikel 4, lid 1, genoemde specifieke doeleinden en de in artikel 4, lid 2, genoemde algemene doeleinden, mogen alle categorieën gevoelige informatie worden verwerkt indien de betrokkene uitdrukkelijk met de verwerking heeft ingestemd.

Indien van toepassing Volgens de wet moet ZaapIT toestemming vragen van de persoon voor de desbetreffende verwerking, maar moet ZaapIT er niet alleen voor zorgen dat een van de in artikel 4.1 of 4.2 genoemde gronden voor de verwerking bestaat, maar ook om toestemming vragen van de persoon voor de verwerking.

De voorschriften van de artikelen 2.2 en 2.3 zijn van toepassing op het verlenen, weigeren of intrekken van toestemming.

Voorafgaande toestemming van de Chief Privacy Officer

4.4

Wanneer gevoelige informatie wordt verwerkt op basis van een ander recht dan het lokale recht dat van toepassing is op de verwerking, vereist de verwerking de voorafgaande toestemming van de bevoegde hoofdprivacyfunctionaris.

Gebruik van gevoelige informatie voor secundaire doeleinden

4,5

Gevoelige informatie van personen kan worden verwerkt voor secundaire doeleinden overeenkomstig artikel 3.

Geen overmatige CSB-informatie

5.1

Zaap IT beperkt de verwerking van CSB-informatie tot CSB-informatie die redelijkerwijs toereikend is voor en relevant is voor het toepasselijke bedrijfsdoel. Zaap IT neemt redelijke stappen om CSB-informatie die niet vereist is voor het toepasselijke zakelijke doel te verwijderen of te herstellen.

Bewaartermijn

5.2

Zaap IT bewaart in het algemeen alleen CSB-informatie voor de periode die vereist is om het toepasselijke bedrijfsdoel te dienen, voor zover redelijkerwijs noodzakelijk is om het toepasselijke recht na te leven, of indien dit wenselijk is in het licht van een toepasselijke verjaringstermijn. ZaapIT kan een periode specificeren (bv. in een deelbeleid, mededeling of registratie van een bewaarschema) waarvoor bepaalde categorieën CSB-informatie mogen worden bewaard.

Onmiddellijk nadat de toepasselijke opslagperiode is afgelopen, zal de Privacy Lead de volgende informatie aansturen:

i. veilig verwijderd of vernietigd;

ii. niet geïdentificeerd, of

iii. overgebracht naar een archief (tenzij dit wettelijk verboden is of een van toepassing zijnd registerretentieschema).

Kwaliteit van de CSB-informatie

5.3

CSB De informatie moet correct, volledig en actueel zijn voor zover redelijkerwijs noodzakelijk voor het toepasselijke bedrijfsdoel.

Privacy by Design Wat?

5.4

Zaap IT neemt commercieel redelijke technische en organisatorische maatregelen om ervoor te zorgen dat de eisen van dit artikel 5 worden geïmplementeerd in het ontwerp van nieuwe systemen en processen die CSB-informatie verwerken.

Nauwkeurige, volledige en actuele CSB-informatie

5,5

Het is de verantwoordelijkheid van Individuen om ervoor te zorgen dat hun CSB-informatie, zoals in het bezit van ZaapIT, accuraat, volledig en actueel is. Individuen stellen ZaapIT in kennis van wijzigingen in hun CSB-informatie overeenkomstig artikel 7.

Informatievereisten

6.1

ZaapIT informeert Personen door middel van een privacybeleid of mededeling over:

i. de bedrijfsdoelen (met inbegrip van secundaire doelstellingen) waarvoor hun CSB-informatie wordt verwerkt;

ii. welke Group Company verantwoordelijk is voor de verwerking en de contactgegevens van het Privacybureau;

iii. de categorieën van derde partijen waaraan de CSB-informatie wordt bekendgemaakt (indien van toepassing), de vraag of een dergelijke derde partij onder een Adequaty-besluit valt en zo niet, informatie over het in artikel 11, lid 6, onder ii), iv) of v), bedoelde mechanisme voor gegevensoverdracht, alsmede de middelen om een kopie daarvan of toegang tot die informatie te verkrijgen; en

iv. andere relevante informatie, bijvoorbeeld:

i. de aard en categorieën van de verwerkte CSB-informatie;

ii. de periode gedurende welke de CSB-informatie zal worden opgeslagen of (indien niet mogelijk) de criteria die worden gebruikt om deze periode te bepalen;

iii. een overzicht van de rechten van personen onder deze CSB Privacy Code, hoe deze kunnen worden uitgeoefend, met inbegrip van het recht op schadevergoeding;

iv. het bestaan van de in artikel 10 bedoelde geautomatiseerde besluitvorming, alsmede zinvolle informatie over de betrokken logica en mogelijke negatieve gevolgen daarvan voor de betrokkene, of

v. de bron van de CSB-informatie (waar de CSB-informatie niet van de individuele persoon is verkregen), met inbegrip van de vraag of de CSB-informatie afkomstig was van een publieke bron.

CSB Niet van de betrokkene verkregen gegevens

6.2

Indien CSB-informatie niet rechtstreeks van de betrokkene is verkregen, verstrekt ZaapIT de betrokkene de in artikel 6, lid 1, bedoelde informatie:

i. binnen een redelijke termijn na het verkrijgen van CSB informatie, maar ten minste binnen een maand, met inachtneming van de specifieke omstandigheden van de verwerkte CSB-informatie;

ii. indien CSB informatie wordt gebruikt voor communicatie met het individu, uiterlijk op het moment van de eerste communicatie met het individu;

iii. indien een mededeling aan een andere ontvanger wordt overwogen, uiterlijk wanneer CSB-informatie voor het eerst wordt bekendgemaakt.

Uitzonderingen

6.3

De voorschriften van de artikelen 6.1 en 6.2 kunnen niet van toepassing zijn indien:

i. de persoon beschikt reeds over de in artikel 6.1 bedoelde informatie;

ii. het zou onmogelijk zijn of een onevenredige inspanning vergen om de informatie aan personen te verstrekken, in welk geval ZaapIT aanvullende maatregelen zal nemen om mogelijke negatieve gevolgen voor het individu te beperken, zoals die vermeld in artikel 3.1;

iii. verkrijgen CSB informatie is uitdrukkelijk vastgelegd in het toepasselijke recht; of

iv. de CSB-informatie moet vertrouwelijk blijven en onderworpen blijven aan een door het toepasselijke lokale recht geregelde geheimhoudingsplicht, waaronder een wettelijke geheimhoudingsplicht.

Deze uitzonderingen op de bovenstaande vereisten komen in aanmerking als Overriding Interests zoals uiteengezet in artikel 12.

Recht van toegang

7.1

Eenieder heeft het recht om een kopie van zijn of haar door of namens ZaapIT verwerkte CSB-informatie te verzoeken en, indien redelijkerwijs mogelijk, om toegang tot de in artikel 6.1 of 6.2 genoemde informatie.

Recht op rectificatie, verwijdering en beperking

7.2

Indien de CSB-informatie onjuist, onvolledig of niet verwerkt is in overeenstemming met de toepasselijke wetgeving inzake gegevensbeheerder of deze privacycode van de CSB, heeft de persoon het recht om zijn of haar CSB-informatie te laten corrigeren, verwijderen of de verwerking ervan te beperken (indien van toepassing). Indien de CSB-informatie door ZaapIT openbaar is gemaakt en de persoon gerechtigd is de CSB-informatie te verwijderen, neemt ZaapIT naast het schrappen van de relevante CSB-informatie commercieel redelijke stappen om derden die de relevante CSB-informatie verwerken of koppelen aan de relevante CSB-informatie, ervan in kennis te stellen dat de persoon heeft verzocht de CSB-informatie door die derde partijen te schrappen.

Recht op bezwaar

7.3

Het individu heeft het recht bezwaar te maken tegen:

i. de verwerking van zijn of haar CSB-informatie op grond van dwingende redenen die verband houden met zijn of haar specifieke situatie, tenzij ZaapIT een overheersend rechtmatig belang voor de verwerking kan aantonen; en

ii. het ontvangen van marketingcommunicatie op basis van artikel 9 (met inbegrip van eventuele daarmee verband houdende profileringen).

Beperkingen op de rechten van personen

7,4

De in artikel 7.1-7.3 genoemde rechten van personen zijn niet van toepassing in een of meer van de volgende omstandigheden:

i. de verwerking is vereist of toegestaan voor de uitvoering van een taak die wordt verricht om te voldoen aan een wettelijke verplichting van ZaapIT;

ii. de verwerking is vereist of toegestaan voor een taak die in het algemeen belang wordt verricht, ook op het gebied van de volksgezondheid en voor archivering, wetenschappelijk of historisch onderzoek of statistische doeleinden;

iii. de verwerking is noodzakelijk voor de uitoefening van het recht op vrije meningsuiting en informatie;

iv. voor geschillenbeslechtingsdoeleinden;

v. de uitoefening van de rechten door het individu nadelig is voor de rechten en vrijheden van ZaapIT of anderen; of

vi. indien een specifieke beperking van de rechten van personen van toepassing is op grond van de toepasselijke wetgeving inzake gegevensbeheerder.

Procedure

7,5

De persoon moet zijn of haar verzoek naar het in de desbetreffende privacyverklaring of kennisgeving vermelde contact sturen. Personen kunnen hun verzoek ook per e-mail naar het kantoor van de Chief Privacy Officer sturen. support+privacy@ZaapIT.com.

Voordat aan het verzoek van de persoon wordt voldaan, kan ZaapIT de betrokkene verzoeken:

i. de categorieën CSB-informatie te specificeren waartoe hij toegang zoekt;

ii. voor zover redelijkerwijs mogelijk, het systeem te specificeren waarin de CSB-informatie waarschijnlijk zal worden opgeslagen;

iii. de omstandigheden te specificeren waarin ZaapIT de CSB-informatie heeft verkregen;

iv. het bewijs van zijn identiteit te leveren wanneer ZaapIT redelijke twijfels heeft over deze identiteit, of aanvullende informatie te verstrekken die zijn identificatie mogelijk maakt;

v. een vergoeding te betalen om ZaapIT te compenseren voor de redelijke kosten in verband met het voldoen aan het verzoek van de persoon, mits ZaapIT redelijkerwijs kan aantonen dat het verzoek kennelijk ongegrond of buitensporig is, bijvoorbeeld vanwege zijn repetitieve karakter; en

vi. in geval van een verzoek tot rectificatie, verwijdering of beperking, de redenen specificeren waarom de CSB-informatie onjuist, onvolledig of niet verwerkt is in overeenstemming met de toepasselijke wetgeving inzake gegevensbeheerder of deze CSB-privacycode.

Responsperiode

7,6

Binnen één kalendermaand nadat ZaapIT het verzoek heeft ontvangen, stelt ZaapIT de persoon schriftelijk of elektronisch in kennis van zijn positie ten aanzien van het verzoek en van elke actie die ZaapIT heeft ondernomen of zal ondernemen, of ii) de uiterste datum waarop hij of zij op de hoogte zal worden gebracht van de positie van Zaapit en de redenen voor de vertraging, die niet later is dan twee kalendermaanden na de oorspronkelijke periode van één maand.

Klacht

7. 7

Een persoon kan een klacht indienen overeenkomstig artikel 17.3 en/of een klacht of vordering indienen bij de autoriteiten of de rechterlijke instanties overeenkomstig artikel 18 indien:

i. het antwoord op het verzoek is onbevredigend voor de persoon (bv. het verzoek wordt afgewezen);

ii. de betrokkene geen antwoord heeft ontvangen overeenkomstig artikel 7.6; of

iii. de overeenkomstig artikel 7.6 aan de betrokkene verstrekte termijn is, gelet op de relevante omstandigheden, onredelijk lang en de betrokkene heeft bezwaar gemaakt, maar heeft geen kortere, redelijkere termijn gekregen waarbinnen hij een antwoord zal ontvangen.

Ontkenning van verzoeken

7,8

Zaap IT kan een verzoek van een persoon weigeren indien:

i. het verzoek niet voldoet aan de eisen van artikel 7.1-7.3 of voldoet aan de eisen van artikel 7.4;

ii. het verzoek niet voldoende specifiek is;

iii. de identiteit van de betrokken persoon kan niet met redelijke middelen worden vastgesteld, met inbegrip van door de betrokkene verstrekte aanvullende informatie;

iv. ZaapIT kan redelijkerwijs aantonen dat het verzoek kennelijk ongegrond of buitensporig is, bijvoorbeeld vanwege zijn repetitieve karakter. Een tijdsinterval tussen verzoeken van ten hoogste zes maanden wordt over het algemeen als onredelijk beschouwd.

Geen verplichting om informatie te verwerken ter identificatie

7,9

Zaap IT is niet verplicht aanvullende informatie te verwerken om het individu te kunnen identificeren met als enig doel de rechten van het individu uit hoofde van dit artikel 7 te vergemakkelijken.

Beveiligingsvereiste

8.1

Zaap IT neemt passende commercieel redelijke technische, fysieke en organisatorische maatregelen om CSB-informatie te beschermen tegen misbruik of onbedoelde, onwettige of ongeoorloofde vernietiging, verlies, wijziging, openbaarmaking, verwerving of toegang. Om dit te bereiken heeft ZaapIT het ZaapIT Information Security Management System en andere sub-beleidslijnen en richtsnoeren voor de bescherming van CSB-informatie ontwikkeld en geïmplementeerd.

Toegang tot gegevens en vertrouwelijkheid

8,2

ZaapIT verleent ZaapIT Personeelstoegang tot CSB-informatie alleen voor zover dit nodig is om het toepasselijke zakelijke doel te dienen en hun werk uit te voeren. Zaap IT legt personeel met toegang tot CSB-informatie vertrouwelijkheidsverplichtingen op.

Gegevensbeveiliging Inbreuk op de kennisgeving

8,3

Zaap IT documenteert alle inbreuken op informatiebeveiliging, met inbegrip van de feiten met betrekking tot de inbreuk op de informatiebeveiliging, de gevolgen ervan en de genomen corrigerende maatregelen, welke documentatie op verzoek ter beschikking zal worden gesteld van de DPA Israël en een DPA die bevoegd is om overeenkomstig artikel 16.2 te controleren. Indien van toepassing Volgens de wet moet ZaapIT personen zo spoedig mogelijk na de vaststelling dat er een inbreuk op de gegevensbeveiliging is gepleegd, in kennis stellen van een inbreuk op de gegevensbeveiliging, tenzij anders verboden, zoals wanneer een rechtshandhavingsfunctionaris of een toezichthoudende autoriteit vaststelt dat een melding een (crimineel) onderzoek zou belemmeren of het vertrouwen in de betrokken sector zou schaden. In dat geval wordt de kennisgeving uitgesteld overeenkomstig de instructies van deze rechtshandhavingsfunctionaris of toezichthoudende autoriteit. Zaap IT antwoordt onverwijld op onderzoeken van personen met betrekking tot dergelijke inbreuk op gegevensbeveiliging.

Rechtstreekse verkoop

9,1

Dit artikel bevat voorschriften betreffende de verwerking van CSB-informatie voor direct marketingdoeleinden (bv. contact opnemen met de persoon via e-mail, fax, telefoon, sms of anderszins, met het oog op het uitlokken voor commerciële of charitatieve doeleinden).

Toestemming voor rechtstreekse verkoop (opt-in)

9,2

Indien van toepassing De wet vereist dat, Zaap. IT zendt alleen ongevraagde commerciële communicatie per e-mail, fax, sms en mms aan personen met voorafgaande toestemming van de persoon ("opt-in"). Indien de toepasselijke wetgeving inzake gegevensbeheerder geen voorafgaande toestemming van de persoon vereist, biedt ZaapIT de persoon de mogelijkheid om zich af te melden voor dergelijke ongevraagde commerciële communicatie.

Uitzondering (opt-out)

9.3

Voorafgaande toestemming van de Individu voor het verzenden van ongevraagde commerciële communicatie per e-mail, fax, sms en mms is niet vereist onder deze CSB Privacy Code als:

i. een persoon heeft zijn of haar elektronische contactgegevens verstrekt aan een groepsmaatschappij in het kader van een verkoop van een product of dienst van een dergelijke groepsmaatschappij;

ii. dergelijke contactgegevens worden gebruikt voor de directe marketing van de eigen soortgelijke producten of diensten van deze groep; en

iii. de Individu heeft duidelijk en duidelijk de mogelijkheid gekregen om kosteloos en op eenvoudige wijze bezwaar te maken tegen een dergelijk gebruik van zijn of haar elektronische contactgegevens wanneer deze door de Group Company worden verzameld.

In elke mededeling te verstrekken informatie

9.4

In elke direct marketingcommunicatie die ZaapIT maakt aan de Individual, biedt ZaapIT de Individual de mogelijkheid om zich af te melden voor verdere directe marketingcommunicatie van ZaapIT.

Bezwaar tegen rechtstreekse verkoop

9,5

Als een Individu bezwaar maakt tegen het ontvangen van marketingcommunicatie van ZaapIT of zijn toestemming voor het ontvangen van dergelijke communicatie intrekt, zal ZaapIT stappen ondernemen om geen verdere marketingcommunicatie te sturen zoals specifiek gevraagd door de Individu. Zaap IT zal dit doen binnen de door de toepasselijke wetgeving inzake gegevensbeheerder voorgeschreven termijn.

Derden en Direct marketing

9,6

Indien van toepassing De wet vereist dat ZaapIT CSB-informatie alleen verstrekt aan of gebruikt CSB-informatie namens derden voor eigen direct marketingdoeleinden van derden met voorafgaande toestemming van de persoon. Indien van toepassing De wet vereist geen voorafgaande toestemming van de Individu, ZaapIT biedt de Individuen de mogelijkheid om zich af te melden voor dergelijke doeleinden van directe marketing van derden.

Persoonlijke gegevens van kinderen

9,7

Zaap IT mag geen persoonlijke gegevens van kinderen gebruiken voor directe marketing, zonder voorafgaande toestemming van de houders van ouderlijke verantwoordelijkheid over de kinderen. Zaap IT doet redelijke inspanningen om na te gaan of de houders van ouderlijke verantwoordelijkheid ten aanzien van de kinderen toestemming hebben gegeven of hebben verleend.

Direct marketing records

9,8

Zaap IT houdt een register bij van personen die hun "opt-in" of "opt-out"-recht hebben uitgeoefend en controleert regelmatig de openbare opt-outregisters overeenkomstig de toepasselijke wetgeving inzake gegevensbeheerder.

Geautomatiseerde besluiten

10,1

Geautomatiseerde instrumenten kunnen worden gebruikt om beslissingen over individuen te nemen, maar beslissingen met een significant negatief resultaat voor de persoon mogen niet uitsluitend gebaseerd zijn op de resultaten van het geautomatiseerde instrument. Deze beperking geldt niet indien:

i. het gebruik van geautomatiseerde instrumenten is noodzakelijk voor de uitvoering van een taak die wordt uitgevoerd om te voldoen aan een wettelijke verplichting of sectorale aanbeveling waaraan ZaapIT is onderworpen;

ii. de beslissing wordt genomen door ZaapIT met het oog op a) het aangaan of uitvoeren van een contract of b) het beheren van het contract, mits het onderliggende verzoek dat tot een besluit van ZaapIT heeft geleid, door het individu is gedaan (bv. wanneer geautomatiseerde instrumenten worden gebruikt om promotiegames te filteren); of

iii. de beslissing wordt genomen op basis van de uitdrukkelijke toestemming van het individu.

De punten i) en iii) zijn alleen van toepassing indien passende maatregelen worden genomen om de rechtmatige belangen van de betrokkene te beschermen (bv. de betrokkene is in de gelegenheid gesteld zijn standpunt kenbaar te maken).

De vereisten van de artikelen 2.2 en 2.3 zijn van toepassing op het aanvragen, weigeren of intrekken van individuele toestemming.

Overdracht aan derde partijen

11,1

Dit artikel bevat voorschriften betreffende de overdracht van CSB-informatie van ZaapIT aan een derde partij. Merk op dat een overdracht van CSB-informatie situaties omvat waarin ZaapIT CSB-informatie openbaar maakt aan een derde partij (bijvoorbeeld in het kader van corporate due diligence) of waar ZaapIT op afstand toegang biedt tot CSB-informatie aan een derde partij.

Controleurs van derde partijen en verwerkers van derde partijen

11,2

Er zijn twee categorieën van derden:

i. Controleurs van derde partijen: dit zijn derden die CSB-informatie verwerken en het doel en de middelen van de verwerking bepalen (bv. ZaapIT Business Partners die hun eigen goederen of diensten rechtstreeks aan klanten leveren);

ii. Verwerkers van derde partijen: dit zijn derde partijen die CSB-informatie uitsluitend verwerken namens ZaapIT en onder haar leiding (bv. derde partijen die CSB-informatie verwerken bij het uitvoeren van service- of technische klantenondersteuning voor klanten of hostingdiensten).

Overdracht uitsluitend voor toepasselijk zakelijk doel

11,3

Zaap IT draagt CSB-informatie over aan een derde partij voor zover dat nodig is om het toepasselijke bedrijfsdoel te dienen (met inbegrip van secundaire doelstellingen overeenkomstig artikel 3 of doeleinden waarvoor de persoon overeenkomstig artikel 2 toestemming heeft verleend).

Contracten van de controleur van derde partijen

11,4

Controleurs van derde partijen (andere dan overheidsinstellingen) mogen de door ZaapIT overgedragen CSB-informatie alleen verwerken indien zij een schriftelijk of elektronisch contract met ZaapIT hebben. In het contract streeft ZaapIT naar contractuele bescherming van de belangen van haar personen in verband met de bescherming van de persoonlijke levenssfeer wanneer CSB-informatie wordt verwerkt door derden. Al deze contracten worden opgesteld in overeenstemming met passende richtsnoeren voor de gunning van contracten.

Contracten van derden

11.5

Verwerkers van derde partijen mogen CSB verwerken Informatie alleen indien zij een geldige schriftelijke of elektronische overeenkomst met ZaapIT hebben gesloten (Contract van de verwerker). Het processorcontract moet de volgende bepalingen bevatten:

i. de derde partijverwerker verwerkt CSB-informatie uitsluitend voor de door ZaapIT toegestane doeleinden en in overeenstemming met de gedocumenteerde instructies van ZaapIT, met inbegrip van de overdracht van CSB-informatie aan een derde partijverwerker die niet onder een Adequaty-besluit valt, tenzij de derde partijverwerker hiertoe verplicht is op grond van dwingende vereisten die van toepassing zijn op de derde partijverwerker en die aan ZaapIT worden gemeld;

ii. de verwerker van de derde partij houdt de CSB-informatie vertrouwelijk en legt het personeel vertrouwelijkheidsverplichtingen op met toegang tot CSB-informatie;

iii. de verwerker van de derde partij neemt passende technische, fysieke en organisatorische beveiligingsmaatregelen ter bescherming van de CSB-informatie;

iv. de derde partijverwerker staat alleen onderaannemers toe om CSB-informatie te verwerken in verband met haar verplichtingen jegens ZaapIT (a) met de voorafgaande specifieke of generieke toestemming van ZaapIT en (b) op basis van een geldige schriftelijke of elektronische overeenkomst met de toeleverancier, die soortgelijke voorwaarden voor de bescherming van de persoonlijke levenssfeer oplegt als die welke aan de derde partijverwerker in het kader van de processorovereenkomst zijn opgelegd en op voorwaarde dat de derde partijverwerker aansprakelijk blijft tegenover ZaapIT voor de prestaties van de toeleverancier in overeenstemming met de voorwaarden van het processorcontract. Indien ZaapIT algemene toestemming verleent voor de betrokkenheid van onderaannemers, stelt de verwerker van derde partijen ZaapIT in kennis van eventuele wijzigingen in zijn onderaannemers en biedt hij ZaapIT de mogelijkheid om op redelijke gronden bezwaar te maken tegen dergelijke wijzigingen;

v. Zaap IT moet in staat zijn de veiligheidsmaatregelen te verifiëren die door de derde partij Processor (a) zijn genomen door een verplichting van de derde partij Processor om haar relevante informatieverwerkingsfaciliteiten te onderwerpen aan audits en inspecties door ZaapIT, een derde partij namens ZaapIT, of een relevante overheidsinstantie; of (b) door middel van een verklaring afgegeven door een gekwalificeerde onafhankelijke beoordelaar van een derde partij namens een derde partij Processor waarin wordt bevestigd dat de informatieverwerkingsfaciliteiten van de derde partij Processor die voor de verwerking van de CSB-informatie worden gebruikt, voldoen aan de eisen van het processorcontract;

vi. De verwerker van een derde partij handelt onverwijld en naar behoren over:

i. verzoeken om informatie die nodig zijn om aan te tonen dat de derde partij Processor zijn verplichtingen uit hoofde van de Processorovereenkomst nakomt en zal ZaapIT op de hoogte stellen indien enige instructies van ZaapIT in dit verband in strijd zijn met de toepasselijke wetgeving inzake gegevensbeheerder;

ii. verzoeken en klachten van CSB-personen overeenkomstig de instructies van ZaapIT; en

iii. verzoeken om bijstand van ZaapIT die redelijkerwijs vereist zijn om ervoor te zorgen dat de verwerking van de CSB-informatie in overeenstemming is met de toepasselijke wetgeving inzake gegevensbeheerder;

vii. De verwerker van een derde partij stelt ZaapIT onverwijld in kennis van een inbreuk op gegevensbeveiliging waarbij CSB-informatie betrokken is; en

viii. Bij beëindiging van de Processorovereenkomst zendt de derde partijverwerker, naar keuze van ZaapIT, de CSB-informatie en kopieën daarvan terug aan ZaapIT of verwijdert deze CSB-informatie veilig, tenzij anders is bepaald in de overeenkomst of het toepasselijke recht.

Doorgifte van CSB-informatie aan derde partijen buiten de EER die niet onder Adequaty-besluiten vallen

11,6

Dit artikel bevat aanvullende regels voor CSB-informatie die a) oorspronkelijk is verzameld in verband met activiteiten van een groepsonderneming die in de EER is gevestigd of onder een Adequaty-besluit valt, en b) wordt overgedragen aan een derde partij die buiten de EER is gevestigd en niet onder een Adequaty-besluit valt.

CSB Informatie mag alleen worden doorgegeven indien:

i. de overdracht is noodzakelijk voor de uitvoering van een contract met de persoon, voor het beheer van een contract met de persoon, of voor het nemen van de nodige maatregelen op verzoek van de persoon voorafgaand aan het aangaan van een contract, bijvoorbeeld voor het verwerken van orders;

ii. er is een overeenkomst gesloten tussen ZaapIT en de betrokken derde partij die vereist dat a) een dergelijke derde partij gebonden is aan de voorwaarden van deze CSB-privacycode, zoals het geval was bij een Group Company; b) voorziet in waarborgen op een vergelijkbaar niveau van bescherming als dat van deze CSB-privacycode; of c) die krachtens de wetgeving inzake gegevensbescherming wordt erkend als het bieden van een ..doorlopende niveau van bescherming van de privacy;

iii. de overdracht is noodzakelijk voor het sluiten of uitvoeren van een overeenkomst die is gesloten in het belang van de persoon tussen ZaapIT en een derde partij (bijvoorbeeld in geval van terugroeping);

iv. de derde partij is gecertificeerd in het kader van een "veilige haven"-programma dat onder de wetgeving inzake gegevensbescherming wordt erkend als het verstrekken van een "onbepaalde" beschermingsniveau van de privacy, zoals het EU-VS Privacy Shield-programma;

v. de derde partij heeft Binding Corporate Rules of een soortgelijk overdrachtscontrolemechanisme geïmplementeerd als het bieden van een ..onvoldoende niveau van privacybescherming;

vi. de overdracht is noodzakelijk om een vitaal belang van het individu te beschermen;

vii. de overdracht is noodzakelijk voor het instellen, uitoefenen of verdedigen van een rechtsvordering;

viii. de overdracht noodzakelijk is om te voorzien in een dringende noodzaak om de openbare belangen van een democratische samenleving te beschermen; of

ix. de overdracht is noodzakelijk voor de uitvoering van een taak die is verricht om te voldoen aan een wettelijke verplichting waaraan de betrokken groepsmaatschappij is onderworpen.

De punten viii) en ix) hiervoor vereisen de voorafgaande goedkeuring van de Chief Privacy Officer.

Toestemming voor overdracht

11,7

Naast de in artikel 11.6 genoemde gronden kan ZaapIT CSB-informatie overdragen aan een buiten de EER gelegen derde partij die niet onder een Adequate beschikking valt, indien de persoon zijn of haar toestemming voor de overdracht heeft gegeven. Indien van toepassing Volgens de wet moet ZaapIT, naast het hebben van een van de in artikel 11.6 genoemde gronden, ook toestemming vragen van de persoon voor de desbetreffende overdracht.

Alvorens toestemming te vragen, wordt de betrokkene de volgende informatie verstrekt:

i. het doel van de overdracht;

ii. de identiteit van de overdragende groepsmaatschappij;

iii. de identiteit of categorieën van derden waaraan de CSB-informatie zal worden overgedragen;

iv. de categorieën CSB-informatie die zullen worden overgedragen;

v. het land waarnaar de CSB-informatie zal worden overgedragen; en

vi. het feit dat de CSB-informatie zal worden overgedragen aan een derde partij die niet onder een Adequaty-besluit valt.

vii. De vereisten van de artikelen 2.2 en 2.3 zijn van toepassing op het verlenen, weigeren of intrekken van individuele toestemming.

Interne verwerkers

11,8

Interne verwerkers kunnen CSB verwerken Informatie mag alleen worden verstrekt indien zij een geldig schriftelijk of elektronisch contract hebben gesloten met de groepsmaatschappij die optreedt als de gegevensbeheerder van de relevante CSB-informatie, die in ieder geval de bepalingen van artikel 11.5 moet bevatten.

Te hoge rente

12.1

De verplichtingen van ZaapIT of de rechten van personen als omschreven in artikel 12, lid 2, en artikel 12, lid 3, kunnen worden opgeheven indien er onder de betrokken specifieke omstandigheden een dringende behoefte bestaat die groter is dan het belang van het individu (Overschrijdingsrente). Een Overriding Interest bestaat als er behoefte is aan:

i. de legitieme zakelijke belangen van ZaapIT te beschermen, waaronder:

ii. de gezondheid, veiligheid of veiligheid van werknemers of personen;

iii. de intellectuele-eigendomsrechten, handelsgeheimen of reputatie van ZaapIT;

iv. de continuïteit van de bedrijfsactiviteiten van ZaapIT;

v. het bewaren van de vertrouwelijkheid bij een voorgenomen verkoop, fusie of verwerving van een bedrijf; of

vi. de betrokkenheid van vertrouwde adviseurs of adviseurs voor zakelijke, juridische, fiscale of verzekeringsdoeleinden;

vii. vermoedelijke of feitelijke schendingen van de wet te voorkomen of te onderzoeken (met inbegrip van samenwerking met de wetshandhaving), of

viii. anderszins de rechten of vrijheden van ZaapIT, haar Werknemers of andere personen beschermen of verdedigen.

Uitzonderingen in geval van Overriding Interests

12,2

Indien er een Overriding Interest bestaat, kunnen een of meer van de volgende verplichtingen van ZaapIT of rechten van de Individu worden vernietigd:

i. artikel 3.1 (de verplichting om CSB-informatie voor nauw verwante doeleinden te verwerken);

ii. artikel 5.2 (opslag en verwijdering van gegevens);

iii. de artikelen 6.1 en 6.2 (aan personen verstrekte informatie);

iv. artikel 7.1-7.3 (rechten van personen);

v. artikel 8, lid 2 (toegangsbeperkingen voor personeelsleden en vereisten inzake vertrouwelijkheid); en

vi. de artikelen 11.4, 11.5 en 11.6, onder ii) (contracten met derden).

Gevoelige informatie

12,3

De vereisten van artikel 4.1 en artikel 4.2 (gevoelige informatie) mogen alleen worden gereserveerd voor de in artikel 12.1, onder i), a), b), c) en e), ii) en iii), genoemde overrijdende belangen.

Overleg met Chief Privacy Officer

12,4

Het opzij zetten van verplichtingen van ZaapIT of rechten van personen op basis van een Overriding Interest vereist voorafgaand overleg met de Chief Privacy Officer. De Chief Privacy Officer documenteert zijn of haar advies.

Informatie aan particulieren

12,5

Op verzoek van de persoon stelt ZaapIT de persoon in kennis van de Overriding Interest waarvoor verplichtingen van ZaapIT of rechten van de persoon zijn opzij gezet, tenzij de bijzondere Overriding Interest de vereisten van de artikelen 6.1 of 7.1 - 7.3 opzij zet, in welk geval het verzoek wordt afgewezen.

Chief Privacy Officer

13,1

ZaapIT Inc. benoemt een hoofdprivacyofficier die verantwoordelijk is voor:

i. toezicht houden op de naleving van deze CSB-privacycode;

ii. het verstrekken van periodieke verslagen aan de directeur over gegevensbeschermingsrisico's en nalevingskwesties;

iii. toezicht houden op de prestaties en de periodieke evaluatie van een effectbeoordeling inzake gegevensbescherming (DPIA) voordat een nieuw systeem of een bedrijfsproces waarbij CSB-informatie wordt verwerkt, wordt uitgevoerd zoals beschreven in artikel 14.3;

iv. Beslissen over klachten als beschreven in artikel 16.3; en

v. Coördinering, in combinatie met de passende Privacy Lead, officiële onderzoeken of onderzoeken naar de verwerking van CSB-informatie door een overheidsinstantie.

Beveiliging en privacy Raad

13,2

De Chief Privacy Officer onderhoudt een adviesraad voor veiligheid en privacy. De Veiligheidsraad en de Privacyraad heeft een kader voor de naleving van de privacy gecreëerd en zal dit handhaven voor:

i. ontwikkeling en handhaving (met inbegrip van monitoring en tests) van beleidsmaatregelen, procedures en systeeminformatie (zoals vereist door de artikelen 14 en 15);

ii. plannings- en bewustmakingsprogramma's;

iii. monitoring en rapportage over de naleving van deze CSB-privacycode;

iv. het inzamelen, onderzoeken en oplossen van privacyvragen, zorgen en klachten overzien; en

v. Vaststellen en bijwerken van passende sancties voor schendingen van deze CSB Privacy Code (bv. disciplinaire normen in samenwerking met andere relevante interne functies, zoals HR en Legal).

Privacy leads

13,3

De Chief Privacy Officer heeft een wereldwijd netwerk van Privacy Leads opgericht dat voldoende is om de naleving van deze CSB Privacy Code binnen hun respectieve regio's of organisaties te sturen.

De Privacy Leads voeren de volgende taken uit:

i. Regelmatig adviseren hun respectieve uitvoerende teams en de Chief Privacy Officer over privacyrisico's en nalevingskwesties, met inbegrip van eventuele nieuwe wettelijke vereisten die de Privacy Lead gelooft te interfereren met de mogelijkheid van ZaapIT om te voldoen aan deze CSB Privacy Code (zoals vereist door artikel 20.3).

ii. handhaven en ervoor zorgen dat het beleid en de procedures worden uitgevoerd, de systeeminformatie wordt gehandhaafd en de effectbeoordelingen inzake gegevensbescherming worden uitgevoerd;

iii. het kader voor de naleving van de privacy te implementeren zoals vereist door de Chief Privacy Officer;

iv. beschikbaar zijn voor verzoeken om privacygoedkeuring of advies zoals beschreven in artikel 7;

v. alle relevante privacysubbeleidsmaatregelen in hun organisaties bezitten en goedkeuren; en

vi. Samenwerken met de Chief Privacy Officer, en andere Privacy Leads.

Verantwoordelijke uitvoerende macht

13,4

De verantwoordelijke uitvoerend directeur voert ten minste de volgende taken uit:

i. ervoor zorgen dat het beleid en de procedures worden uitgevoerd, de systeeminformatie wordt gehandhaafd en DPIA's worden uitgevoerd (zoals vereist door artikel 14);

ii. ervoor zorgen dat CSB-informatie wordt verwijderd, vernietigd, niet geïdentificeerd of overgedragen (zoals vereist door artikel 5.2), en

iii. Bepaal hoe te voldoen aan deze CSB Privacy Code wanneer er een conflict is met het toepasselijke recht (zoals vereist door artikel 20.2).

Privacy Lead met een statutaire positie

13,5

Wanneer een Privacy Lead zijn of haar functie overeenkomstig de wet uitoefent, voert hij of zij zijn of haar taken uit voor zover zij niet strijdig zijn met zijn of haar statutaire positie.

Beleid en procedures

14,1

Zaap IT ontwikkelt en implementeert beleidsmaatregelen en procedures om te voldoen aan deze CSB Privacy Code.

Systeeminformatie

14,2

Zaap IT houdt gemakkelijk beschikbare informatie bij over de structuur en werking van alle systemen en processen die CSB-informatie verwerken (bv. inventaris van systemen en processen). Een kopie van deze informatie zal op verzoek worden verstrekt aan de DPA Israël of aan een DPA die bevoegd is om overeenkomstig artikel 16.2 controles uit te voeren.

Effectbeoordeling gegevensbescherming

14,3

Zaap IT houdt een procedure bij om een voorafgaande beoordeling te verrichten en documenteren van de gevolgen die een bepaalde verwerking kan hebben voor de bescherming van CSB-informatie, wanneer deze verwerking waarschijnlijk leidt tot een hoog risico voor de rechten en vrijheden van personen, met name wanneer nieuwe technologieën worden gebruikt (Data Protection Impact Assessment). Wanneer uit de effectbeoordeling inzake gegevensbescherming blijkt dat de verwerking, ondanks de door ZaapIT genomen verzachtende maatregelen, nog steeds een hoog risico voor de rechten en vrijheden van klanten inhoudt, zal de DPA Israël worden geraadpleegd voordat deze verwerking plaatsvindt.

Opleiding van het personeel

lid 1

Zaap IT verstrekt training over de verplichtingen en beginselen die zijn vastgelegd in deze CSB-privacycode en andere privacy- en gegevensbeveiligingsverplichtingen aan personeel dat toegang heeft tot of verantwoordelijkheden heeft in verband met het beheer van CSB-informatie.

Controles

16,1

Zaap Het interne auditteam van IT controleert bedrijfsprocessen en -procedures die betrekking hebben op de verwerking van CSB-informatie voor de naleving van deze CSB-privacycode. De audits worden uitgevoerd in het kader van de reguliere activiteiten van het interne auditteam van ZaapIT De Chief Privacy Officer kan verzoeken om een audit als omschreven in dit artikel te laten uitvoeren door een externe accountant. Bij de uitvoering van een audit worden de toepasselijke professionele normen inzake onafhankelijkheid, integriteit en vertrouwelijkheid in acht genomen. De Chief Privacy Officer en de desbetreffende Privacy Leads worden geïnformeerd over de resultaten van de audits. Eventuele schendingen van deze CSB Privacy Code die in het auditrapport worden vermeld, zullen worden gemeld aan de Verantwoordelijke Uitvoerende. Een kopie van de auditresultaten met betrekking tot de naleving van deze CSB Privacy Code zal op verzoek aan de Israël DPA of aan een bevoegde DPA worden verstrekt.

DPA-audit

16,2

Onder voorbehoud van artikel 16.3 kan de DPA Israël verzoeken om een audit van de faciliteiten die ZaapIT gebruikt voor de verwerking van CSB-informatie voor de naleving van deze CSB-privacycode. Bovendien heeft een DPA die krachtens de toepasselijke wetgeving inzake gegevenscontroller het recht heeft om een groepsonderneming te controleren (a .Bevoegde DPAHet is toegestaan de betreffende gegevensoverdracht te controleren op naleving van deze CSB-privacycode, onder dezelfde voorwaarden als die welke van toepassing zouden zijn op een audit door die DPA onder toepasselijke wetgeving inzake gegevensbeheerder.

DPA-auditprocedure

16,3

Zaap IT zal elke controle door een DPA uit hoofde van artikel 16.2 vergemakkelijken door de volgende acties te ondernemen:

i. Uitwisseling van informatie: Zaap IT zal proberen om het verzoek op te lossen door informatie te verstrekken aan de DPA, waaronder ZaapIT-auditverslagen, discussie met experts in ZaapIT-onderwerpen, en herziening van veiligheid, privacy en operationele controles.

ii. Onderzoek: Indien de informatie die via deze mechanismen beschikbaar is, ontoereikend is om de doelstellingen van de DPA te bereiken, zal ZaapIT de DPA de mogelijkheid bieden om met de auditor van ZaapIT te communiceren en indien nodig een rechtstreeks recht om de gegevensverwerkingsfaciliteiten van ZaapIT te onderzoeken die worden gebruikt om de CSB-informatie te verwerken over het geven van een redelijke voorafgaande kennisgeving en tijdens kantooruren, met volledige inachtneming van de vertrouwelijkheid van de verkregen informatie en de bedrijfsgeheimen van ZaapIT

iii. Toepassingsgebied: Niets in dit artikel 16.3 zal worden uitgelegd als het wegnemen van eventuele controlerechten die een DPA krachtens het toepasselijke recht heeft. Deze CSB Privacy Code biedt aanvullende auditrechten aan DPA's alleen. In geval van strijdigheid tussen dit artikel 16.3 en het toepasselijke recht prevaleren de bepalingen van het toepasselijke recht.

Jaarlijks privacyverslag

16,4

De Chief Privacy Officer stelt jaarlijks een CSB Information privacyrapport op voor de Chief Executive Officer van ZaapIT Inc. over de naleving van deze CSB Privacy Code, privacybeschermingsrisico's en andere relevante kwesties.

Elke Privacy Lead verstrekt informatie die relevant is voor het rapport aan de Chief Privacy Officer.

Mitigatie

16,5

Zaap Indien dit wordt vermeld, zorgt IT ervoor dat passende maatregelen worden genomen om inbreuken op deze CSB-privacycode aan te pakken die zijn vastgesteld tijdens de monitoring of controle van de naleving overeenkomstig dit artikel 16.

Klacht

17,1

Personen kunnen een klacht indienen met betrekking tot elke vordering die zij krachtens artikel 18.1 hebben of schendingen van hun rechten krachtens het toepasselijke recht van gegevensbeheerder overeenkomstig de klachtenprocedure die is vastgelegd in het desbetreffende privacybeleid of -contract. De klacht wordt doorgestuurd naar de betreffende Privacy Lead.

Het passende Privacylood moet:

i. de Chief Privacy Officer inlichten;

ii. de klacht te analyseren en een onderzoek in te stellen; en

iii. indien nodig, adviseren van de bedrijven over de passende maatregelen voor de naleving, en toezicht houden, door middel van voltooiing, op de stappen die zijn gericht op naleving.

De betreffende Privacy Lead kan overleg plegen met een overheidsinstantie die bevoegd is over een bepaalde kwestie over de te nemen maatregelen.

Antwoord op individuele

17,2

Zaap IT zal redelijke inspanningen leveren om klachten zonder onnodige vertraging op te lossen, zodat een reactie wordt gegeven aan de Klantpersoon binnen een kalendermaand na de datum van indiening van de klacht. De betreffende Privacy Lead stelt de Persoon schriftelijk in kennis via de middelen die de Persoon oorspronkelijk gebruikte om contact op te nemen met ZaapIT (bv. via e-mail of e-mail) ofwel i) van de positie van ZaapIT. De betreffende Privacy Lead zendt een kopie van de klacht en zijn schriftelijk antwoord aan de Chief Privacy Officer.

Klacht bij Chief Privacy Officer

17,3

Een persoon kan een klacht indienen bij de Chief Privacy Officer indien:

i. de oplossing van de klacht door de betreffende Privacy Lead is onbevredigend voor de persoon (bv. de klacht wordt afgewezen);

ii. de betrokkene heeft geen antwoord ontvangen overeenkomstig artikel 17.2;

iii. de overeenkomstig artikel 17.2 aan de betrokkene verstrekte termijn, gelet op de relevante omstandigheden, onredelijk lang is en de betrokkene bezwaar heeft gemaakt, maar geen kortere, redelijkere termijn heeft gekregen waarbinnen hij een antwoord zal ontvangen; of

iv. in een van de in artikel 7.7 genoemde evenementen.

De procedure van de artikelen 17.1 tot en met 17.2 is van toepassing op klachten die bij de Chief Privacy Officer worden ingediend.

Indien het antwoord van de Chief Privacy Officer op de klacht onbevredigend is voor de Individu (bv. het verzoek wordt geweigerd), kan de Individu een klacht of vordering indienen bij de autoriteiten of de rechtbanken overeenkomstig artikel 18.2.

Klachtenprocedure

lid 1

Personen worden aangemoedigd om eerst de klachtenprocedure van artikel 17 van deze CSB Privacy Code te volgen alvorens een klacht of vordering in te dienen bij de bevoegde DPA's of de rechtbanken.

Rechten van personen

18,2

Indien ZaapIT de Privacy Code schendt met betrekking tot de CSB Informatie van een Individu (Betrokken persoon) die onder deze Privacycode vallen, kan de getroffen persoon als derde begunstigde elke vordering af te dwingen als gevolg van een schending van de artikelen 1.6, 2 en 11, 12.5, 16.2, 17, 18 en 20.4 - 20.5 overeenkomstig artikel 18.2.

De in dit artikel vervatte rechten vormen een aanvulling op en doen geen afbreuk aan andere rechten of rechtsmiddelen die een persoon anders bij wet kan hebben.

Bevoegdheid voor vorderingen van particulieren

18,2

In geval van schending van deze CSB Privacy Code, kan de Individu, naar zijn/haar keuze, een klacht of vordering indienen bij de Israëlische DPA of de rechtbank:

Recht op schadevergoeding

18,3

In het geval dat een persoon een vordering krachtens artikel 18.2 heeft, en

i. de desbetreffende verwerking is onderworpen aan de wetgeving inzake gegevensbescherming, deze persoon heeft het recht een proces aan te spannen tegen schade die een persoon heeft geleden als gevolg van een schending van deze CSB-privacycode, voor zover dit door het toepasselijke recht is bepaald; of

ii. de desbetreffende verwerking valt niet onder de wetgeving inzake gegevensbescherming, deze persoon heeft het recht een rechtszaak in te dienen tegen de daadwerkelijke directe schade (die, zonder beperking, verlies van winst of inkomsten, verlies van omzet, kapitaalkosten en downtimekosten) die door een persoon is geleden als gevolg van een schending van deze CSB-privacycode, voor zover dit door het toepasselijke recht is bepaald.

Bewijslast met betrekking tot schadevordering

18,4

In het geval dat een Individu een vordering tot schadevergoeding krachtens artikel 18.2 indient, is het aan de Individuen om aan te tonen dat hij de relevante schade heeft geleden en feiten vast te stellen waaruit blijkt dat het aannemelijk is dat de schade heeft plaatsgevonden als gevolg van een schending van de CSB Privacy Code. Het is vervolgens aan de betreffende Group Company om aan te tonen dat de schade die de Individu heeft geleden door een schending van deze CSB Privacy Code niet aan ZaapIT kan worden toegeschreven.

Wederzijdse bijstand en verhaalsmogelijkheden

18,5

Alle groepsondernemingen werken samen en staan elkaar zoveel mogelijk bij om:

i. een verzoek, klacht of vordering van een persoon, of

ii. een rechtmatig onderzoek of onderzoek door een bevoegde DPA of overheid.

De Group Company die een verzoek, klacht of vordering van een Individu ontvangt, is verantwoordelijk voor de behandeling van elke communicatie met de Individu met betrekking tot zijn verzoek, klacht of claim, tenzij de omstandigheden anders bepalen.

Advies van de DPA van Israël en bevoegde DPA's

18,6

ZaapIT Inc zal zich houden aan het advies van de Israeil DPA en de bevoegde DPA's over de interpretatie en toepassing van deze CSB Privacy Code.

Mitigatie

18,7

ZaapIT Inc zal ervoor zorgen dat passende maatregelen worden genomen om schendingen van deze CSB Privacy Code door een Group Company aan te pakken.

Coderecht

18,8

Deze CSB Privacy Code wordt beheerst door en geïnterpreteerd in overeenstemming met de Israëlische wet.De exclusieve locatie voor alle geschillen die voortvloeien uit de overeenkomst is in Tel-Aviv Israël.

Niet-naleving

19,1

Niet-naleving van deze CSB Privacy Code kan resulteren in tuchtmaatregelen in overeenstemming met het beleid van ZaapIT en het lokale recht, tot en met beëindiging van de tewerkstelling.

Rechtsconflict bij de overdracht van CSB-informatie

20,1

Wanneer een wettelijke verplichting tot overdracht van CSB-informatie in strijd is met de wetgeving van de lidstaten van de EER/Verenigd Koninkrijk, vereist de overdracht de voorafgaande goedkeuring van de Chief Privacy Officer. De Chief Privacy Officer kan het advies inwinnen van de Israël DPA of een andere bevoegde overheid.

Conflict tussen CSB Privacy Code en recht

lid 2

In alle andere gevallen, wanneer er een conflict is tussen toepasselijk lokaal recht en deze CSB Privacy Code, raadpleegt de relevante Verantwoordelijke Uitvoerende de Chief Privacy Officer om te bepalen hoe deze CSB Privacy Code in acht te nemen en het conflict voor zover redelijkerwijs uitvoerbaar op te lossen gezien de wettelijke vereisten die van toepassing zijn op de betreffende Group Company.

Nieuwe tegenstrijdige wettelijke vereisten

20,3

De relevante Privacy Leads zullen, in overleg met de juridische afdeling, de Verantwoordelijke Uitvoerende onmiddellijk in kennis stellen van elke nieuwe wettelijke eis die de mogelijkheid van ZaapIT om aan deze CSB Privacy Code te voldoen kan belemmeren.

Rapportage aan leidende DPA

20,4

Als ZaapIT er zich van bewust wordt dat toepasselijk lokaal recht van een niet-EER / niet-UK land waarschijnlijk een aanzienlijk nadelig effect zal hebben op de bescherming die door deze Privacycode wordt geboden, zal ZaapIT dit melden aan de Israël DPA.

Verzoeken om informatie van de CSB

20,5

Als ZaapIT een verzoek tot openbaarmaking van CSB-informatie ontvangt van een rechtshandhavingsinstantie of staatsveiligheidsinstantie van een niet-EER / niet-UK land (Authority), zal zij eerst per geval beoordelen of dit verzoek (Disclosure Request) rechtsgeldig en bindend is voor ZaapIT. Informatieverschaffing Verzoek dat niet rechtsgeldig en bindend is voor de Vennootschap zal worden verzet in overeenstemming met het toepasselijke recht.

Onder voorbehoud van het volgende lid stelt ZaapIT de Israëli DPA onverwijld in kennis van alle wettelijk geldige en bindende verzoeken om informatieverschaffing en verzoekt zij de Autoriteit dergelijke verzoeken om informatieverschaffing in afwachting van een redelijke vertraging te stellen, zodat de Israëli DPA een advies kan uitbrengen over de geldigheid van de relevante openbaarmaking.

Indien opschorting en/of kennisgeving van een verzoek tot openbaarmaking is verboden, zoals in geval van een strafrechtelijk verbod om de vertrouwelijkheid van een rechtshandhavingsonderzoek te bewaren, zal ZaapIT de Autoriteit verzoeken van dit verbod af te zien en zal zij documenteren dat zij dit verzoek heeft ingediend. In ieder geval zal ZaapIT jaarlijks aan de DPA Israeil algemene informatie verstrekken over het aantal en de aard van de verzoeken om informatie die zij in de voorafgaande periode van twaalf maanden heeft ontvangen, voor zover dit door het toepasselijke recht is toegestaan.

In ieder geval zal elke overdracht door ZaapIT van CBS-informatie aan een autoriteit naar aanleiding van een verzoek om informatieverschaffing niet massaal, onevenredig of willekeurig zijn op een manier die verder gaat dan wat nodig is in een democratische samenleving.

Goedkeuring voor wijzigingen

21,1

Eventuele wijzigingen van deze CSB Privacy Code vereisen de voorafgaande goedkeuring van de Chief Executive Officer van ZaapIT Inc. en worden vervolgens meegedeeld aan de Group Companies. De Chief Privacy Officer stelt de Israëli DPA onmiddellijk in kennis van wijzigingen in deze Privacy Code die een significante impact hebben op de bescherming die deze Privacy Code of de Privacy Code zelf biedt en zal verantwoordelijk zijn voor de coördinatie van de antwoorden van ZaapIT Andere wijzigingen (indien van toepassing) zullen jaarlijks door de Chief Privacy Officer aan de Israël DPA worden gemeld.

Datum van wijziging

21,2

Elke wijziging treedt onmiddellijk in werking nadat zij overeenkomstig artikel 21.1 is goedgekeurd en wordt bekendgemaakt op het ZaapIT Global Intranet.

Eerdere versies

21,3

Elk verzoek, klacht of claim van een persoon met betrekking tot deze CSB Privacy Code wordt beoordeeld tegen de versie van deze CSB Privacy Code zoals deze van kracht is op het moment dat het verzoek, de klacht of de vordering wordt ingediend.

Overgangsperiode voor nieuwe groepsondernemingen

lid 1

Elke entiteit die na de ingangsdatum een Group Company wordt, moet binnen een jaar na het worden van een Group Company voldoen aan deze CSB Privacy Code.

Overgangsperiode voor gescheiden entiteiten

lid 2

Een Divested Entity (of specifieke delen daarvan) zal onder deze CSB Privacy Code blijven vallen na de afstoting ervan gedurende de periode die ZaapIT nodig heeft om de verwerking van CSB-informatie met betrekking tot deze Divided Entity te ontwarren.

Overgangsperiode voor IT-systemen

22,3

Wanneer de toepassing van deze CSB-privacycode updates of wijzigingen in informatietechnologiesystemen vereist (met inbegrip van vervanging van systemen), bedraagt de overgangsperiode twee jaar vanaf de inwerkingtredingsdatum of vanaf de datum waarop een entiteit een groepsmaatschappij wordt, of een langere periode die redelijkerwijs noodzakelijk is om het update-, wijzigings- of vervangingsproces te voltooien.

Overgangsperiode voor bestaande overeenkomsten

22,4

Wanneer er bestaande overeenkomsten met derden zijn die door deze CSB Privacy Code worden beïnvloed, zullen de bepalingen van de overeenkomsten prevaleren totdat de overeenkomsten in het normale verloop van de werkzaamheden worden verlengd.

Overgangsperiode voor lokale verwerking

22,5

Lokaal-voor-lokaal Verwerking die onder deze CSB Privacy Code valt, wordt binnen vijf jaar na de Ingangsdatum in overeenstemming gebracht met deze CSB Privacy Code.

Naleving tijdens de overgangsperiode

22,6

Gedurende de in artikel 22.1 genoemde overgangsperiodes zal er geen CSB-informatie worden overgedragen aan een Group Company onder deze CSB Privacy Code totdat die Group Company (i) volledig voldoet of (ii) een alternatief gegevensoverdrachtsmechanisme is ingevoerd, zoals standaardcontractbepalingen.

Contactgegevens

ZaapIT As LTD

Adequate beslissing

Een besluit van de Europese Commissie op grond van artikel 25 van de gegevensbeschermingsrichtlijn dat een land of regio of een categorie ontvangers in een dergelijk land of gebied wordt geacht een "passend" niveau van gegevensbescherming te bieden.

Toepasselijke gegevensbeheerder Recht

TOEPASSELIJKE GEGEVENSCONTROLE WET: de bepalingen van het dwingende recht van een land dat regels bevat voor de bescherming van personen met betrekking tot de verwerking van persoonsgegevens, met inbegrip van beveiligingsvoorschriften voor en het vrije verkeer van dergelijke persoonsgegevens, zoals van toepassing op ZaapIT, in zijn hoedanigheid van gegevensbeheerder van persoonsgegevens.

Archief

ARCHIVE: een verzameling CSB-informatie die niet langer nodig is om de doeleinden te bereiken waarvoor de CSB-informatie oorspronkelijk werd verzameld of die niet langer wordt gebruikt voor algemene zakelijke activiteiten, maar alleen wordt gebruikt voor historische, wetenschappelijke of statistische doeleinden, geschillenbeslechting, onderzoeken of algemene archiveringsdoeleinden. Een Archief bevat alle gegevensverzamelingen die niet langer toegankelijk zijn voor een medewerker anders dan de systeembeheerder.

Artikel

ARTIKEL: een artikel in deze CSB Privacy Code.

Bindende bedrijfsregels

Onder BINDING CORPORATE REGELS wordt verstaan een privacybeleid van een groep ondernemingen die volgens het toepasselijke lokale recht (zoals artikel 25 van de EU-richtlijn inzake gegevensbescherming) wordt geacht een passend beschermingsniveau te bieden voor de overdracht van persoonsgegevens binnen die groep ondernemingen.

Bedrijfsontwikkeling

ONTWIKKELING VAN HET ONDERNEMINGEN de taken en processen die gericht zijn op het ontwikkelen en implementeren van groeikansen binnen en tussen ZaapIT en Business Partners.

Zakelijke partner

Onder BUSINESS PARTNER wordt verstaan elke derde partij, met uitzondering van een klant of leverancier, die een zakelijke relatie of strategische alliantie met ZaapIT heeft of heeft gehad (bv. gezamenlijke marketingpartner, joint venture of joint development partner, investeerder).

Doel van het bedrijf

Onder bedrijfsdoel wordt verstaan een doel voor de verwerking van CSB-informatie als bedoeld in artikel 2 of 3 of voor de verwerking van gevoelige informatie als bedoeld in artikel 4 of 3.

Chief Privacy Officer

Chef-privatiteitsofficier: de functionaris als bedoeld in artikel 13.1.

Kinderen

Kinderen: personen jonger dan dertien (13) jaar.

Bevoegde DPA

BEVOEGDE DPA heeft de in artikel 16, lid 2, bedoelde betekenis.

CSB Informatie

CSB-INFORMATIE hebben de betekenis van artikel 1.1 hierboven

CSB Privacycode

CSB PRIVACY CODE betekent deze Privacy Code voor Customer, Supplier en Business Partner Information.

Klant

Klant: een persoon, een particuliere organisatie of een overheidsinstantie die een product of dienst van ZaapIT koopt, koopt of heeft gekocht.

Klantenservice

KLANTDIENSTEN: de diensten die ZaapIT aan Klanten verleent ter ondersteuning van ZaapIT-producten en -diensten die worden aangeboden aan of in gebruik zijn bij hun werknemers of klanten (bv. het digitale transactiebeheerplatform ZaapIT Deze diensten kunnen bestaan uit onderhouds-, upgrade-, vervangings-, inspectie- en aanverwante ondersteunende activiteiten ter vergemakkelijking van een continu en duurzaam gebruik van producten en diensten van ZaapIT.

Gegevensbeheerder

GEGEVENSCONTROLLER: de entiteit of natuurlijke persoon die alleen of samen met anderen de doeleinden en middelen van de verwerking van persoonsgegevens bepaalt.

Effectbeoordeling gegevensbescherming (DPIA)

EFFECTBEOORDELING VAN DE GEGEVENSBESCHERMING: een procedure om een voorafgaande beoordeling uit te voeren en te documenteren van de gevolgen die een bepaalde verwerking kan hebben voor de bescherming van CSB-informatie, indien deze verwerking waarschijnlijk leidt tot een hoog risico voor de rechten en vrijheden van personen, met name wanneer nieuwe technologieën worden gebruikt.

Een DPIA bevat:

i. een beschrijving van:

i. het toepassingsgebied en de context van de verwerking;

ii. de bedrijfsdoelen waarvoor CSB-informatie wordt verwerkt;

iii. de specifieke doeleinden waarvoor gevoelige informatie wordt verwerkt;

iv. categorieën ontvangers van CSB-informatie, met inbegrip van ontvangers die niet onder een Adequaty-besluit vallen;

v. CSB bewaartermijnen voor informatie;

ii. een beoordeling van:

i. de noodzaak en evenredigheid van de verwerking;

ii. de risico's voor de privacyrechten van personen; en

iii. de maatregelen om deze risico's te beperken, met inbegrip van waarborgen, beveiligingsmaatregelen en andere mechanismen (zoals per ontwerp) om de bescherming van CSB-informatie te waarborgen.

Gegevensbescherming Recht

GEGEVENSBESCHERMING RECHT: de bepalingen van het dwingende recht van een EER-land / VK-land / IL-land met regels voor de bescherming van personen met betrekking tot de verwerking van persoonsgegevens, met inbegrip van beveiligingsvoorschriften voor en het vrije verkeer van dergelijke persoonsgegevens.

Inbreuk op gegevensbeveiliging

GEGEVENSBEVEILIGING BREACH: de niet-geautoriseerde verwerving, toegang, gebruik of openbaarmaking van niet-versleutelde CSB-informatie die de veiligheid of de privacy van dergelijke informatie in gevaar brengt voor zover het compromis een hoog risico op financiële, reputatie- of andere schade voor het individu inhoudt. Een gegevensbeveiliging Breach wordt geacht niet te hebben plaatsgevonden wanneer een werknemer van ZaapIT of een derde partij Processor of een persoon die onder hun respectieve gezag handelt, onbedoeld heeft verworven, toegang heeft gehad tot of gebruik heeft gemaakt van niet-versleutelde CSB-informatie, indien:

i. de verwerving, de toegang tot of het gebruik van CSB-informatie te goeder trouw en binnen het kader van de arbeids- of beroepsrelatie van die werknemer of andere persoon; en

ii. de CSB-informatie wordt niet verder verkregen, toegankelijk gemaakt, gebruikt of openbaar gemaakt door een persoon.

Gedivesteerde entiteit

Onder DIVESTED ENTIT wordt verstaan de afstoting door ZaapIT van een groepsmaatschappij of onderneming door middel van:

i. een verkoop van aandelen die resulteert in de afstoting van de groepsmaatschappij die niet langer als groepsmaatschappij wordt aangemerkt; en/of

ii. een defusie, verkoop van activa of enige andere vorm.

ZaapIT

ZaapIT betekent ZaapIT AS LTD. en haar Group Companies.

ZaapIT Inc.

Zaapit, INC. betekent ZaapIT AS LTD.

DPA

DPA: elke autoriteit voor gegevensbescherming van een van de landen van de EER / UK / IL.

EER

"EER- of EUROPESE ECONOMISCHE RUIMTE": alle lidstaten van de Europese Unie, plus Noorwegen, IJsland en Liechtenstein, en voor de toepassing van deze Privacycode Zwitserland.

Inwerkingtreding

INGANGSDATUM: de datum waarop deze CSB-privacycode van kracht wordt zoals uiteengezet in artikel 1.7.

Werknemer

Werknemer: de volgende personen:

i. een werknemer, sollicitant of voormalig werknemer van ZaapIT, met inbegrip van uitzendkrachten die onder direct toezicht van ZaapIT werken (bv. onafhankelijke contractanten en stagiairs). Deze term omvat niet personen die bij ZaapIT werken als consultants of medewerkers van derden die diensten verlenen aan ZaapIT;

ii. een (voormalige) uitvoerend of niet-uitvoerend directeur van ZaapIT of (voormalig) lid van de raad van toezicht of vergelijkbaar orgaan met ZaapIT.

Groepsmaatschappij

GROEP VENNOOTSCHAP: ZaapIT Inc. en elke vennootschap of juridische entiteit waarvan ZaapIT Inc., direct of indirect eigenaar is van meer dan 50% van het uitgegeven aandelenkapitaal, heeft 50% of meer van de stemrechten op algemene vergaderingen van aandeelhouders, heeft de bevoegdheid om een meerderheid van de bestuurders te benoemen of anderszins de activiteiten van die andere juridische entiteit te leiden; een dergelijke vennootschap of juridische entiteit wordt echter slechts als een groepsmaatschappij beschouwd zolang er een verbinding en/of relatie bestaat.

Persoon

Onder "individueel" wordt verstaan elke individuele (werknemer van of voor) klant, leverancier of zakenpartner en elke andere persoon wiens CSB-informatie ZaapIT in het kader van de levering van haar diensten verwerkt.

Interne verwerker

INTERN PROCESTOR: elke groepsonderneming die CSB-informatie verwerkt als een gegevensverwerker namens een andere groepsonderneming die optreedt als de gegevensverantwoordelijke.

Lokale voor lokale verwerking

PLAATS VOOR PLAATSELIJKE VERWERKING heeft de in artikel 1.2 genoemde betekenis.

Organisatie-eenheid

Onder ORGANISATIE-UNIE wordt verstaan elke bedrijfseenheid en elke personeelstaak van ZaapIT.

Overschrijdingsrente

Overschrijdingsrente: de dringende belangen van artikel 12.1 op basis waarvan de verplichtingen van ZaapIT of de rechten van personen als bedoeld in artikel 12.2 en 12.3 onder specifieke omstandigheden kunnen worden opgeheven indien dit dringende belang zwaarder weegt dan het belang van de persoon.

Persoonlijke gegevens

PERSOONLIJKE INFORMATIE: alle informatie met betrekking tot een geïdentificeerde of identificeerbare persoon.

Privacycode

PRIVACY-CODE: deze Privacycode voor CSB-informatie.

Privacy Lead

Onder PRIVACY LEAD wordt verstaan een Privacy Lead die door de Chief Privacy Officer overeenkomstig artikel 13.3 wordt benoemd.

Verwerking

Onder verwerking wordt verstaan elke handeling die wordt uitgevoerd op basis van CSB-informatie, al dan niet met automatische middelen, zoals het verzamelen, registreren, opslaan, organiseren, wijzigen, gebruiken, openbaar maken (met inbegrip van het verlenen van toegang op afstand), verzenden of verwijderen van CSB-informatie.

Contract van de verwerker

Onder "processorscontract" wordt verstaan elk contract voor de verwerking van CSB-informatie dat is gesloten door ZaapIT en een verwerker van een derde partij.

Verantwoordelijke uitvoerende macht

VERANTWOORDELIJK UITVOEREND: de ondernemingsleider op het laagste niveau ZaapIT of de niet-uitvoerende algemeen directeur van een bedrijfsfunctie/-eenheid van ZaapIT die primair in handen is van de betrokken verwerking.

Secundair doel

AFGELEID DOEL heeft de betekenis die in artikel 3.1 aan die term wordt gegeven.

Beveiliging en privacy Raad

Onder "Raad voor veiligheid en PRIVACY" wordt verstaan de in artikel 13, lid 2, bedoelde raad.

Gevoelige informatie

SENSIEVE INFORMATIE CSB Informatie die de raciale of etnische afkomst van een individu onthult, politieke meningen of lidmaatschap in politieke partijen of soortgelijke organisaties, religieuze of filosofische overtuigingen, lidmaatschap van een beroeps- of beroepsorganisatie of unie, fysieke of geestelijke gezondheid met inbegrip van een mening daarvan, handicap, genetische CSB-informatie, biometrische CSB-informatie, verslavingen, seksleven, strafrechtelijke veroordelingen of overtredingen, of socialezekerheidsnummers uitgegeven door de overheid.

Personeel

Onder "personeel" wordt verstaan alle werknemers en andere personen die CSB-informatie verwerken als onderdeel van hun respectieve taken of verantwoordelijkheden als werknemers of personen onder het directe gezag van ZaapIT die gebruik maken van informatietechnologiesystemen van ZaapIT of die hoofdzakelijk vanuit de gebouwen van ZaapIT werken.

Fabrikant

Onder SUPPLIER wordt verstaan elke derde partij die goederen of diensten levert aan ZaapIT (bijvoorbeeld een agent, consultant of verkoper), met inbegrip van derdenverwerkers.

Leveranciersdiensten

DIENSTEN OP HET GEBIED VAN DE ONDERHOUD Onder "goederen of diensten" wordt verstaan de door leverancier in het kader van een overeenkomst met ZaapIT geleverde goederen of diensten.

Derde partij

Derde partij: elke persoon of entiteit (bv. een organisatie of overheid) buiten ZaapIT.

Controleur van de derde partij

Derde partij: een derde partij die CSB-informatie verwerkt en de doeleinden en middelen van de verwerking bepaalt.

Verwerker van derden

Derde partij: een derde partij die CSB-informatie verwerkt namens ZaapIT die niet onder het directe gezag van ZaapIT valt.

INTERPRETATIE VAN DE PRIVACY-CODE:

i. Tenzij in de context anders is bepaald, zijn alle verwijzingen naar een bepaald artikel of een bepaalde bijlage verwijzingen naar dat artikel of de bijlage in of naar dit document, aangezien zij van tijd tot tijd kunnen worden gewijzigd;

ii. de rubrieken zijn uitsluitend voor het gemak opgenomen en mogen niet worden gebruikt voor de bepaling van deze CSB Privacy Code;

iii. een woord of zin wordt gedefinieerd, zijn andere grammaticale vormen een overeenkomstige betekenis hebben;

iv. de mannelijke vorm omvat de vrouwelijke vorm;

v. de woorden "include," "includes" en "includes" en alle woorden die daarop volgen, worden zonder beperking uitgelegd tot de algemeenheid van voorgaande woorden of begrippen en vice versa;

vi. een verwijzing naar een document (inclusief, zonder beperking, een verwijzing naar deze CSB Privacy Code) is naar het document zoals gewijzigd, gewijzigd, aangevuld of vervangen, behalve voor zover verboden door deze CSB Privacy Code of dat andere document; en

vii. een verwijzing naar wetgeving of een wettelijke verplichting omvat alle wettelijke vereisten, sectorale richtsnoeren en beste praktijken die zijn afgegeven door relevante nationale en internationale toezichthoudende autoriteiten of andere organen.