Globaal beleid inzake gegevensberscherming
Uw privacy is heel belangrijk voor ons. We hebben dit Globaal Beleid inzake Gegevensbescherming ontwikkeld opdat u zou begrijpen hoe we uw Persoonsgegevens verzamelen, gebruiken, opslaan, delen, doorzenden, doorgeven, wissen of anderszins verwerken (gezamenlijk "verwerken"). Dit Globaal Beleid inzake Gegevensbescherming beschrijft de maatregelen die we nemen om uw Persoonsgegevens te beschermen. We delen u ook mee hoe u ons kunt bereiken om een antwoord te krijgen op alle vragen die u eventueel hebt in verband met uw Persoonsgegevens.
TOEPASSINGSGEBIED
Het Globaal Beleid inzake Gegevensbescherming geldt voor de wereldwijde groepering van Sodexo-entiteiten (hierna "Sodexo" genoemd), voor alle dimensies en activiteiten, in alle geografische plekken waar we werkzaam zijn.
Dit Beleid is van toepassing op de Verwerking van Persoonsgegevens die door Sodexo verzameld worden, hetzij rechtstreeks, hetzij onrechtstreeks, en die betrekking hebben op gelijk welke natuurlijke personen, met inbegrip van onder meer de huidige, voormalige of toekomstige sollicitanten en werknemers van Sodexo, klanten, consumenten, kinderen, leveranciers/dienstverleners, partners/onderaannemers, aandeelhouders of gelijk welke derden, met dien verstande dat onder "Persoonsgegevens" verstaan wordt alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon of over een persoon die kan geïdentificeerd worden met middelen die redelijkerwijs kunnen aangewend worden.
In dit Beleid wordt met "u" en "uw" bedoeld iedere natuurlijke persoon waarvoor dit Beleid geldt. Onder "wij/we", "ons/onze" en "Sodexo" wordt de wereldwijde groepering van Sodexo-entiteiten verstaan.
VERZAMELING EN VERWERKING VAN UW PERSOONSGEGEVENS
Naleving van de Europese wetgeving inzake gegevensbescherming en alle andere van toepassing zijnde plaatselijke wetgevingen inzake gegevensbescherming
We zijn gehouden tot naleving van iedere van toepassing zijnde wetgeving inzake Persoonsgegevens en we garanderen dat Persoonsgegevens verzameld en verwerkt worden conform de bepalingen van de Europese wetgeving inzake gegevensbescherming en alle eventueel van toepassing zijnde plaatselijke wetgevingen.
Rechtmatigheid, behoorlijkheid en transparantie
We verzamelen en verwerken geen Persoonsgegevens zonder daarvoor een rechtmatige reden te hebben. De verzameling en verwerking van uw Persoonsgegevens kan noodzakelijk zijn voor de uitvoering van een overeenkomst waarbij u partij bent of om te voldoen aan een wettelijke verplichting die op ons rust. Verzameling en verwerking is eventueel ook mogelijk met uw voorafgaande toestemming. Het verzamelen en verwerken van uw Persoonsgegevens kan ook voor de behartiging van de gerechtvaardigde belangen van Sodexo, behalve wanneer uw belangen of grondrechten en fundamentele vrijheden zwaarder wegen dan de belangen van Sodexo.
Wanneer we uw Persoonsgegevens verzamelen en verwerken, zullen we u een behoorlijke en volledige informatie of privacyverklaring bezorgen, over wie verantwoordelijk is voor de verwerking van uw Persoonsgegevens, voor welke doeleinden uw Persoonsgegevens verwerkt worden, wie de ontvangers zijn, welke rechten u hebt en hoe u die kunt uitoefenen, enz., tenzij dit onmogelijk blijkt te zijn of onevenredig veel inspanning zou vergen.
Indien de van toepassing zijnde wetgeving dit vereist, zullen we uw voorafgaande toestemming vragen (bv. vooraleer we Gevoelige Persoonsgegevens verzamelen).
Gerechtvaardigde doeleinden, doelbinding en gegevensminimalisering
Uw Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt.
Als Sodexo zijn eigen belangen behartigt, worden uw Persoonsgegevens vooral verwerkt voor de volgende doeleinden (niet-limitatieve opsomming): aanwervingsbeheer, personeelsmanagement, boekhouding en financieel beheer, financiën, beheer van kasmiddelen en fiscaal beheer, risicobeheer, beheer van personeelsveiligheid, verschaffing van IT tools of interne websites en alle andere digitale oplossingen of gezamenlijke platforms, beheer IT ondersteuning, gezondheids- en veiligheidsbeheer, informatiebeveiligingsbeheer, klantrelatiebeheer, offertes, sales and marketing management, aanbodbeheersing, interne en externe communicatie en management van gebeurtenissen, voldoening aan verplichtingen inzake witwasbestrijding of aan gelijk welke andere wettelijke vereisten, gegevensanalyse, legal corporate management en implementatie van complianceprocedures.
Bij het verlenen van onze diensten aan onze klanten of binnen Sodexo zelf, kunnen we ook Persoonsgegevens verwerken ten behoeve van een Verwerkingsverantwoordelijke (hetzij een klant, hetzij gelijk welke andere Sodexo-entiteit die in die hoedanigheid optreedt), voornamelijk met het oog op de doeltreffende werking, het doeltreffend beheer, de performance en onze wereldwijde dienstverlening. We zullen ervoor zorgen dat de verwerkte Persoonsgegevens toereikend, ter zake dienend en beperkt zullen zijn tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.
Juistheid van de gegevens en opslagbeperking
Sodexo zal ervoor zorgen dat de verwerkte Persoonsgegevens juist zijn en zo nodig geactualiseerd worden. Bovendien bewaren we de Persoonsgegevens niet langer dan noodzakelijk is voor de doeleinden waarvoor ze worden verwerkt (overeenkomstig ons Globaal Beleid inzake Gegevensbewaring). Sodexo zal handelen conform de instructies van zijn klanten, om ze te helpen bij het naleven van deze verplichting.
BEVEILIGING VAN UW PERSOONSGEGEVENS
We treffen de passende technische en organisatorische maatregelen die vereist zijn, om uw Persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige wijziging of verlies, of ongeoorloofd gebruik, mededeling, toegang, overeenkomstig ons Groepsbeleid inzake Informatiebeveiliging.
We nemen, indien nodig, alle redelijke maatregelen die voldoen aan de beginselen van gegevensbescherming door ontwerp (“privacy by design”) en gegevensbescherming door standaardinstellingen (“privacy by default”), teneinde de noodzakelijke beveiligingen te implementeren en de Verwerking van Persoonsgegevens te beschermen.
Afhankelijk van het risiconiveau verbonden aan de verwerking, voeren we eveneens een impactbeoordeling inzake privacy (“privacy impact assessment” of “PIA”) uit om passende beveiligingsmaatregelen te kunnen nemen en de bescherming van de Persoonsgegevens te kunnen garanderen.
We nemen ook extra maatregelen tot beveiliging van gegevens die als Gevoelige Persoonsgegevens beschouwd worden.
DELEN VAN UW PERSOONSGEGEVENS
In het kader van onze gewone bedrijfsuitoefening en met het oog op de verwerking, kunnen we uw Persoonsgegevens delen met de relevante personeelsleden binnen de Sodexo-groepering of met onze naar behoren gemachtigde leveranciers/verkopers, dienstverleners/onderaannemers, teneinde de coherentie in onze bedrijfsactiviteit te garanderen, de kwaliteit en de efficiëntie van onze diensten en commerciële activiteiten te maximaliseren.
We kunnen ook verplicht zijn Persoonsgegevens mee te delen aan bevoegde autoriteiten, rechtbanken en overheidsorganen, krachtens de wet of verordeningen of in het kader van gerechtelijke procedures, alsook om de belangen, rechten of eigendommen van Sodexo of van derden waarmee we verbonden zijn te verdedigen.
In andere gevallen zullen we uw Persoonsgegevens niet met andere partijen delen, tenzij op uw verzoek of als we vooraf uw toestemming daarvoor gekregen hebben.
INTERNATIONALE DOORGIFTE VAN PERSOONSGEGEVENS
De Europese wetgeving inzake gegevensbescherming staat het doorgeven van Persoonsgegevens naar landen buiten de EU/EER die geen passend beschermingsniveau van gegevensbescherming hebben, niet toe. Sommige landen waar Sodexo actief is, worden door de Europese Toezichthoudende Autoriteiten niet beschouwd als landen met een passend niveau van bescherming van de Persoonsgegevens van natuurlijke personen.
Voor het doorgeven van uw Persoonsgegevens naar dergelijke landen, naar entiteiten die al dan niet deel uitmaken van de Sodexo-groepering, biedt Sodexo een andere passende waarborg voor het beschermen van uw Persoonsgegevens. U zult meer informatie over de doorgifte van uw Persoonsgegevens naar landen buiten Europa krijgen in passende privacyverklaringen, op het ogenblik dat uw Persoonsgegevens verzameld worden.
COOKIES
Zoals vele andere ondernemingen, kunnen ook wij op sommige websites "cookies" gebruiken. Cookies zijn tekstbestanden die op de harde schijf van onze computers bewaard worden wanneer u bepaalde websites bezoekt. We kunnen bijvoorbeeld cookies gebruiken om te weten of u onze site al dan niet eerder bezocht hebt of om weten voor welke onderwerpen u de grootste interesse hebt. Cookies kunnen uw online bezoek veraangenamen door het bewaren van uw voorkeuren terwijl u de website bezoekt.
Wanneer u onze websites bezoekt, zullen we u meedelen welke soorten van cookies we gebruiken en hoe u die cookies kunt blokkeren. Wanneer dat wettelijk vereist is, zult u bij het bezoek van onze websites altijd het gebruik van cookies op uw computer kunnen weigeren.
UW RECHTEN
Sodexo is gehouden tot bescherming van uw rechten, verleend door de van toepassing zijnde wetgeving. Hieronder vindt u een tabel met een overzicht van uw verschillende rechten:
Recht van inzage |
U kunt vragen uw Persoonsgegevens in te zien. U kunt ook de rectificatie van onjuiste Persoonsgegevens of de vervollediging van uw Persoonsgegevens vragen. U kunt alle beschikbare informatie over de bron van de Persoonsgegevens vragen, alsook een kopie van de persoonsgegevens die door Sodexo worden verwerkt. |
Recht op vergetelheid |
Door uw recht op vergetelheid kunt u in de volgende gevallen het wissen van uw Persoonsgegevens vragen:
|
Recht op beperking van de verwerking |
U hebt het recht de beperking van de verwerking van uw Persoonsgegevens te eisen, in de volgende gevallen:
|
Recht op overdraagbaarheid van gegevens |
Eventueel kunt u vragen uw aan Sodexo verstrekte Persoonsgegevens te verkrijgen in een gestructureerde, gangbare en machineleesbare vorm en u hebt het recht die gegevens aan een andere Verwerkingsverantwoordelijke over te dragen, zonder daarbij te worden gehinderd door Sodexo, indien: (a) de verwerking van uw Persoonsgegevens berust op toestemming of op een overeenkomst; en (b) de verwerking via geautomatiseerde procedés wordt verricht. U kunt ook vragen dat uw Persoonsgegevens naar een door u gekozen derde worden doorgezonden (indien dit technisch mogelijk is). |
Recht van bezwaar tegen verwerking ten behoeve van direct marketing |
U hebt het recht bezwaar te maken (d.w.z. uw herroepingsrecht uit te oefenen) tegen de verwerking van uw Persoonsgegevens, in het bijzonder ten behoeve van profilering of marketingcommunicatie. Als we uw Persoonsgegevens verwerken op basis van uw toestemming, kunt u uw toestemming te allen tijde herroepen. |
Recht om niet te worden onderworpen aan een op geautomatiseerde verwerking gebaseerd besluit |
U hebt het recht om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor u rechtsgevolgen zijn verbonden of dat u in aanmerkelijke mate treft. |
Recht om klacht in te dienen bij de bevoegde Toezichthoudende Autoriteit |
Indien u een pricacygerelateerde klacht tegen ons hebt, kunt u het Klachtenformulier/Verzoekformulier van de betrokkene invullen en indienen of uw klacht per e-mail of brief verzenden, overeenkomstig ons Globaal beleid inzake afhandeling van klachten/verzoeken. Indien u geen genoegen neemt met ons antwoord, kunt u zich wenden tot de relevante plaatselijke Toezichthoudende Autoriteit of de rechtbank die ter plaatse bevoegd is. U kunt ook de Belgische Autoriteit voor de Bescherming van Gegevens contacteren (voormalige « Commissie voor de Bescherming van de Persoonlijke Levensfeer”, www.gegevensbeschermingsautoriteit.be). |
Om deze rechten uit te oefenen, kunt u uw Verzoek of Klacht verzenden conform de procedure uiteengezet in de privacyverklaringen, waarvan u kennis hebt gekregen op het ogenblik dat uw Persoonsgegevens verzameld werden.
- betreffende de « On-site Services », aan het volgende e-mail adres : dataprivacy.oss@sodexo.be
- betreffende de « Benefits and Rewards Services », aan het volgende e-mail adres of via de volgende link :
- voor de gebruikers van dienstencheques: https://sodexobenefits.wufoo.com/forms/dienstencheques-bescherming-van-persoonsgegevens/
- voor de kandidaten /werknemers: HR.SPB.privacy@sodexo.com
- voor andere personen : privacy.SPB@sodexo.com
U kunt ook een e-mail verzenden naar het Local Special Point of Contact of het Global Data Protection Office, op het volgende e-mailadres: dpo.group@sodexo.com.
KINDEREN
Kinderen hebben met betrekking tot hun Persoonsgegevens recht op specifieke bescherming, aangezien zij zich allicht minder bewust zijn van de betrokken risico's, gevolgen en waarborgen en van hun rechten in verband met de verwerking van Persoonsgegevens. Die specifieke bescherming moet met name gelden voor het gebruik van Persoonsgegevens van kinderen voor marketingdoeleinden of voor het opstellen van persoonlijkheids- of gebruikersprofielen en het verzamelen van Persoonsgegevens over kinderen bij het gebruik van rechtstreeks aan kinderen verstrekte diensten.
Indien een toestemming van de persoon die de ouderlijke verantwoordelijkheid draagt vereist is, verzamelen en verwerken we geen Persoonsgegevens van kinderen zonder deze toestemming. Meer bepaald maken we geen reclame bestemd voor kinderen en verlenen we geen diensten aan kinderen, behalve voor specifieke diensten en met de toestemming van de persoon die de ouderlijke verantwoordelijkheid draagt. Indien u denkt dat we per vergissing Persoonsgegevens van kinderen verzameld hebben, verzoeken we u ons hiervan op de hoogte te brengen. Maak daarvoor gebruik van de onderstaande contactgegevens.
WIJZIGING
Af en toe kunnen we ons Globaal Beleid inzake Gegevensbescherming updaten, daar onze handelsactiviteit en de wettelijke verplichtingen kunnen veranderen. Indien we belangrijke veranderingen aan dit beleid aanbrengen, zullen we op onze website meedelen wanneer de veranderingen van kracht worden. Indien nodig zullen we u rechtstreeks informeren over de verandering.
ONS CONTACTEREN
Indien u vragen hebt in verband met de verzameling en de verwerking door Sodexo van uw Persoonsgegevens, kunt u uw vragen of klachten zenden conform de procedure uiteengezet in de privacyverklaringen, waarvan u kennis hebt gekregen op het ogenblik dat uw Persoonsgegevens verzameld werden.
- betreffende de « On-site Services », aan het volgende e-mail adres : dataprivacy.oss@sodexo.be
- betreffende de « Benefits and Rewards Services », aan het volgende e-mail adres of via de volgende link :
- voor de gebruikers van dienstencheques: https://sodexobenefits.wufoo.com/forms/dienstencheques-bescherming-van-persoonsgegevens/
- voor de kandidaten /werknemers: HR.SPB.privacy@sodexo.com
- voor andere personen : privacy.SPB@sodexo.com
U kunt ook een e-mail verzenden naar het Local Special Point of Contact of het Global Data Protection Office, op het volgende e-mailadres: dpo.group@sodexo.com.
- Politique Globale Relative à la Protection des Données à caractère personnel
- Globaal beleid inzake gegevensberscherming
- Global Data Protection Policy
DEFINITIES
Klacht betekent de klacht die door een betrokkene ingediend wordt bij een Toezichthoudende Autoriteit indien de betrokkene meent dat inbreuk is gemaakt op zijn rechten uit hoofde van de van toepassing zijnde wetgeving inzake gegevensbescherming.
Verwerkingsverantwoordelijke betekent de entiteit die het doel van en de middelen voor de Verwerking van Persoonsgegevens vaststelt.
EU/EER betekent de Europese Unie / de Europese Economische Ruimte.
Europese wetgeving inzake gegevensbescherming of Algemene Verordening Gegevensbescherming (AVG) betekent Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG.
Local Special Data Protection Point of Contact betekent de persoon die door een Sodexo-entiteit werd aangesteld en die belast is met het behandelen van plaatselijke problemen in verband met de privacy. Dit Protection Point maakt deel uit van het Global Data Protection Network.
Persoonsgegevens betekent alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
Verwerking of Verwerking van Persoonsgegevens betekent een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
Gegevensbescherming door ontwerp betekent dat, bij het starten van een nieuw digitaal project of het aanpakken van een nieuwe businessopportunity, waarvoor Verwerking van Persoonsgegevens nodig is, rekening gehouden wordt met de gegevensbescherming, zowel op het ogenblik van het vaststellen van de middelen en de ermee gepaard gaande passende technische en organisatorische veiligheidsmaatregelen voor de Verwerking, als bij de implementatie van de Verwerking zelf. Hetzelfde principe geldt ook wanneer Sodexo met een vennootschap wenst te fuseren of een vennootschap wenst te verwerven. In dat geval zal Sodexo erop toezien dat de principes inzake gegevensbescherming in acht genomen worden.
Gegevensbescherming door standaardinstellingen betekent dat het personeel dient opgeleid te worden voor het verwerken van Persoonsgegevens en dat procedures moeten ingevoerd worden om te garanderen dat bij iedere verwerking van Persoonsgegevens passende technische en organisatorische veiligheidsmaatregelen genomen worden om ervoor te zorgen dat in beginsel alleen Persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking (wat betreft de hoeveelheid verwerkte gegevens, de mate waarin zij worden verwerkt en de termijn waarvoor zij worden opgeslagen), alsook dat de gegevens slechts toegankelijk zijn voor een beperkt aantal mensen, voor wie de inzage noodzakelijk is.
Verzoek betekent een van de mechanismen die voorzien zijn in de AVG om natuurlijke personen in staat te stellen hun rechten uit te oefenen (zoals het recht van inzage, het recht op rectificatie, het recht op gegevenswissing, enz.). Een natuurlijke persoon kan een verzoek indienen tegen gelijk welke entiteit die zijn Persoonsgegevens verwerkt, de Verwerkingsverantwoordelijke of, in voorkomend geval, de verwerker.
Gevoelige Persoonsgegevens (in de AVG "bijzondere categorieën van persoonsgegevens" genoemd) betekent alle Persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, alsook genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Onder deze definitie vallen ook de Persoonsgegevens die betrekking hebben op strafrechtelijke veroordelingen en strafbare feiten.
Sodexo-groep betekent het netwerk van entiteiten, omvattende (i) vier Global Hubs, met inbegrip van Sodexo Global Services LLC in de Verenigde Staten van Amerika, Sodexo Global Services Limited in het Verenigd Koninkrijk, Sodexo Services Asia in Singapore en Sodexo SA in Frankrijk (samen “de Hubs” of “de Global Hubs” genoemd), die Global management functions herbergen van de Sodexo-groep, alsook Global functions van de OSS-activiteit en een aantal Global functions van de PHS en BRS activiteiten; (ii) de Region Leading Entities (“RLEs”) die een van de verschillende domeinen van de OSS activiteit beheren; (iii) the Management Company, Sodexo Pass International (“SPI”), geregistreerd in Frankrijk, die een aantal global management support functions van de PHS en BRS activiteiten herbergt, (iv) de operationele vennootschappen die de dagelijkse handelsactiviteiten van de groep in de OSS, BRS of PHS sectoren uitoefenen, alsook alle entiteiten die rechtstreeks of onrechtstreeks gecontroleerd worden door of mee gecontroleerd worden door gelijk welke van die entiteiten. Onder "controle", in de zin van deze definitie, wordt verstaan het vermogen om rechtstreeks of onrechtstreeks de richting te bepalen of te laten bepalen van het bestuur en het beleid van een entiteit.
Sodexo-entiteit of Sodexo-entiteiten betekent iedere rechtspersoon, vennootschap of andere entiteit or organisatie die op gelijk welk ogenblik als lid van de Sodexo-groep kan erkend zijn.
Toezichthoudende Autoriteit betekent een door een lidstaat ingevolge de AVG ingestelde onafhankelijke overheidsinstantie.