In overeenstemming met artikel 13 van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (hierna: de "AVG"), evenals artikel 11 van Organieke Wet 3/2018 van 5 december inzake de bescherming van persoonsgegevens en de waarborging van digitale rechten, informeren wij u over het volgende:
De Gebruiker dient dit Privacybeleid zorgvuldig te lezen. Het is opgesteld in duidelijke en toegankelijke taal om het begrip ervan te vergemakkelijken, zodat de Gebruiker vrij, geïnformeerd en vrijwillig kan beslissen of hij of zij persoonsgegevens van zichzelf of van derden aan SONNEIL (hierna: de Entiteit) wenst te verstrekken.
De Entiteit verwerkt de persoonsgegevens die de Gebruiker ons verstrekt met de volgende doeleinden en gedurende de hieronder vermelde bewaartermijnen:
Het beheren van de levering en uitvoering van de gecontracteerde diensten en/of producten, alsmede het opstellen, opvolgen en beheren van contracten, offertes en dienstvoorstellen, inclusief de gegevens van personen wier betrokkenheid daarvoor noodzakelijk is. De rechtsgrond voor deze verwerking is de uitvoering van een overeenkomst of het nemen van precontractuele maatregelen op verzoek van de betrokkene. In dit geval worden de persoonsgegevens bewaard zolang de contractuele of precontractuele relatie voortduurt en, na beëindiging daarvan, gedurende de wettelijk vereiste termijnen om eventuele aansprakelijkheden te kunnen afhandelen.
Het beheren en behandelen van communicatie, alsook van elk type verzoek, suggestie, klacht of melding die door melders/gebruikers via het Interne Meldingssysteem wordt ingediend, overeenkomstig Wet 2/2023 van 20 februari betreffende de bescherming van personen die inbreuken op regelgeving melden en de bestrijding van corruptie. Deze communicatie kan, indien nodig, worden doorgestuurd naar de bevoegde afdeling voor een correcte behandeling en naleving van het toepasselijke wettelijke kader. De rechtsgrond voor deze verwerking is de naleving van wettelijke verplichtingen die op de Entiteit van toepassing zijn. Gegevens met betrekking tot ontvangen meldingen en interne onderzoeken worden bewaard gedurende de noodzakelijke en evenredige periode om aan de wetgeving inzake klokkenluidersbescherming te voldoen, met een maximum van tien jaar. Na drie maanden worden meldingen verwijderd, tenzij bewaring noodzakelijk is om het bestaan en de werking van het systeem aan te tonen en/of om andere wettelijke nalevingsverplichtingen na te komen, in welk geval de identiteit van de melder geanonimiseerd wordt in een afzonderlijke omgeving met passende beveiligingsmaatregelen.
Het verzenden van informatieve communicatie over producten of diensten die vergelijkbaar zijn met die welke reeds door de Klant zijn afgenomen. De rechtsgrond voor deze verwerking is het gerechtvaardigd belang van de Entiteit in het kader van een bestaande contractuele relatie, voor zover dergelijke communicatie betrekking heeft op soortgelijke eigen producten of diensten en de mogelijkheid tot bezwaar bij elke verzending wordt gewaarborgd. In het geval van elektronische communicatie is deze verwerking gebaseerd op artikel 21.2 van Wet 34/2002 betreffende diensten van de informatiemaatschappij en elektronische handel (hierna, LSSI). De persoonsgegevens worden bewaard totdat het recht van bezwaar wordt uitgeoefend of uitschrijving wordt gevraagd.
In het kader van het beheer van arbeidsrelaties kan de Entiteit persoonsgegevens van werknemers, kandidaten of aan de organisatie verbonden personen verwerken voor de volgende doeleinden:
De rechtsgrond voor deze verwerkingen is, afhankelijk van de aard ervan, de uitvoering van de arbeidsovereenkomst (artikel 6.1.b AVG), de naleving van wettelijke verplichtingen (artikel 6.1.c AVG), het gerechtvaardigd belang van de Entiteit (artikel 6.1.f AVG) of de toestemming van de betrokkene (artikel 6.1.a AVG), indien vereist. Persoonsgegevens worden bewaard gedurende de arbeidsrelatie en daarna gedurende de wettelijk vereiste termijnen om eventuele aansprakelijkheden te kunnen afhandelen.
Het verzenden van commerciële communicatie, nieuwsbrieven of mailings wanneer dergelijke communicatie niet onder een eerdere contractuele relatie valt zoals hierboven beschreven. De rechtsgrond hiervoor is de toestemming van de betrokkene, vrij, specifiek, geïnformeerd en ondubbelzinnig verleend. Persoonsgegevens worden bewaard totdat de toestemming wordt ingetrokken of uitschrijving wordt gevraagd.
Het beheren van de ontvangst en beoordeling van sollicitaties, cv's en selectieprocedures, inclusief spontane sollicitaties die via de website of het contactadres worden ingediend, alsook de beoordeling ervan voor huidige of toekomstige vacatures die overeenkomen met het profiel van de kandidaat. De rechtsgrond voor deze verwerking is de toestemming van de betrokkene, verleend door het indienen van de sollicitatie. Persoonsgegevens worden bewaard totdat de toestemming wordt ingetrokken en, in ieder geval, maximaal één jaar na ontvangst van het curriculum vitae.
Het waarborgen van de veiligheid van personen, eigendommen en faciliteiten door middel van camerabewaking. De rechtsgrond voor deze verwerking van persoonsgegevens is het gerechtvaardigd belang van de Entiteit bij de bescherming van haar gebouwen, personen en eigendommen. De beelden worden in beginsel maximaal 30 dagen bewaard vanaf de opname, tenzij een langere bewaartermijn noodzakelijk is om feiten aan te tonen die schade hebben veroorzaakt aan personen, eigendommen of installaties, of om te voldoen aan een wettelijke verplichting.
Het beheren van de professionele relatie met leveranciers, samenwerkingspartners en derden, inclusief het onderhouden van de commerciële, administratieve, boekhoudkundige en factureringsrelaties die voortvloeien uit de door de Entiteit gecontracteerde diensten. De rechtsgrond hiervoor is de uitvoering van de overeenkomst en de naleving van de op de Entiteit toepasselijke wettelijke verplichtingen. Persoonsgegevens worden bewaard zolang dit noodzakelijk is voor het beheer van de contractuele relatie en vervolgens gedurende de wettelijk vereiste termijnen.
Het beheren en controleren van interne mechanismen, beleidslijnen en procedures inzake naleving van regelgeving, waaronder interne controles, preventie, detectie en onderzoek van overtredingen van wetgeving of interne beleidsregels. De rechtsgrond hiervoor is de naleving van wettelijke verplichtingen en, indien van toepassing, het openbaar belang of het gerechtvaardigd belang van de Entiteit om naleving van regelgeving en organisatorische integriteit te waarborgen. Persoonsgegevens worden bewaard gedurende de tijd die strikt noodzakelijk is voor de behandeling, het onderzoek en de afsluiting van de procedures en, vervolgens, gedurende de wettelijk vereiste termijnen.
Het behandelen van verzoeken tot uitoefening van rechten inzake gegevensbescherming die via het daarvoor door de Entiteit ingestelde kanaal worden ontvangen. De rechtsgrond hiervoor is de naleving van een wettelijke verplichting die op de verwerkingsverantwoordelijke rust. Persoonsgegevens worden bewaard gedurende de tijd die nodig is om het verzoek te behandelen en af te handelen en, vervolgens, gedurende de wettelijk vereiste termijnen om de correcte behandeling ervan aan te tonen.
Het beheren en behandelen van meldingen of communicatie met betrekking tot de preventie en aanpak van intimidatie, geweld of bijzonder ernstige gedragingen, met name wanneer deze betrekking hebben op groepen die bijzondere bescherming genieten, waaronder, in voorkomend geval, transgender personen, LGBTI-personen en minderjarigen, alsook het uitvoeren van eventuele interne procedures die daaruit voortvloeien. De rechtsgrond voor deze verwerking is de naleving van wettelijke verplichtingen, het wezenlijk openbaar belang en, indien van toepassing, het instellen, uitoefenen of verdedigen van rechtsvorderingen, afhankelijk van de aard van de melding en de verwerkte gegevens. Persoonsgegevens worden bewaard gedurende de tijd die strikt noodzakelijk is voor de behandeling van de melding, het onderzoek en het nemen van passende maatregelen en, vervolgens, gedurende de wettelijk vereiste termijnen. Indien dergelijke meldingen via het Interne Meldingssysteem worden ingediend, zijn de termijnen van Wet 2/2023 van 20 februari van toepassing.
Het voldoen aan de wettelijke verplichtingen die op de Entiteit van toepassing zijn op commercieel, fiscaal, boekhoudkundig, administratief, arbeidsrechtelijk of gegevensbeschermingsgebied, alsook op het gebied van witwaspreventie of andere toepasselijke regelgeving. De rechtsgrond voor deze verwerking is de naleving van een wettelijke verplichting. Persoonsgegevens worden bewaard gedurende de termijnen die voorzien zijn in de in elk geval toepasselijke regelgeving.
Daarnaast kan de Entiteit persoonsgegevens verwerken voor andere doeleinden die noodzakelijk zijn om te voldoen aan wettelijke verplichtingen of specifieke regelgevende vereisten die op haar activiteiten van toepassing zijn.
De verwerkte persoonsgegevens zijn in de regel afkomstig van de betrokkene zelf. In bepaalde gevallen kunnen zij echter afkomstig zijn van derden waarmee de betrokkene een relatie onderhoudt, zoals klantbedrijven, samenwerkende organisaties of leveranciers, evenals uit openbaar toegankelijke bronnen wanneer dit wettelijk is toegestaan. In dergelijke gevallen zal de betrokkene worden geïnformeerd overeenkomstig artikel 14 van de AVG.
De Entiteit kan persoonsgegevens van de betrokkene aan de volgende ontvangers verstrekken, wanneer dit noodzakelijk is in het licht van het doel van de verwerking en op basis van de toepasselijke rechtsgrond in elk afzonderlijk geval:
In het algemeen zijn geen internationale doorgiften van persoonsgegevens voorzien. Indien echter gebruik wordt gemaakt van technologische dienstverleners die verwerking van gegevens buiten de Europese Economische Ruimte kunnen inhouden, zullen dergelijke doorgiften plaatsvinden met volledige naleving van de artikelen 44 en volgende van de AVG, door middel van passende waarborgen zoals de toepassing van door de Europese Commissie goedgekeurde standaardcontractbepalingen of andere wettelijk erkende mechanismen.
Om transparantie te waarborgen met betrekking tot de verwerking van uw persoonsgegevens, informeren wij u over de rechten die de regelgeving inzake gegevensbescherming u toekent. Hieronder vindt u een overzicht van deze rechten en hoe u deze kunt uitoefenen met betrekking tot de persoonsgegevens die wij verwerken.
U kunt uw Rechten uitoefenen en eventuele aanwijzingen of kennis melden die u zou hebben van mogelijke inbreuken op de beveiliging, cyberaanvallen en/of mogelijke schendingen of onregelmatigheden met betrekking tot de regelgeving inzake gegevensbescherming via het kanaal / e-mailadres dat door de Entiteit hiervoor beschikbaar is gesteld: www.corporate-line.com/cnormativo-sonneil / dpdexterno@bonetconsulting.com
Indien u het niet eens bent met de wijze waarop de Entiteit uw gegevens verwerkt, hebt u het recht een klacht in te dienen bij de bevoegde toezichthoudende autoriteit voor gegevensbescherming. In Spanje is dit de Agencia Española de Protección de Datos (www.aepd.es).
De Entiteit kan aanvullende informatie opvragen om de identiteit van de verzoeker te verifiëren wanneer daar redelijke twijfel over bestaat, en zal binnen uiterlijk één maand na ontvangst op het verzoek reageren, waarbij deze termijn kan worden verlengd in gevallen van bijzondere complexiteit.
De Entiteit heeft een Intern Meldingssysteem (SIIF) ingevoerd, dat een fundamenteel instrument vormt voor toezicht, controle en preventie op het gebied van naleving van regelgeving, met het hoogste niveau van inzet, zorgvuldigheid en professionaliteit op het gebied van veiligheid, vertrouwelijkheid, gegevensbescherming, ervaring, onafhankelijkheid en kennis bij de behandeling van ontvangen meldingen.
De interne meldingskanalen die deel uitmaken van het systeem zijn opgezet met behulp van technische middelen die voldoen aan alle vereisten die nodig zijn om de bovengenoemde garanties te bieden en te waarborgen. Daarnaast waarborgt het SIIF de fundamentele beginselen van anonimiteit, correcte registratie, bewaring en integriteit van informatie, preventie van belangenconflicten, bescherming van melders en bescherming tegen represailles.
Via dit systeem dient iedere melder te goeder trouw iedere aanwijzing, verdenking of bewijs van mogelijke overtredingen van regelgeving, strafbare feiten, onethisch gedrag of, meer in het algemeen, schendingen van protocollen, regels en gedragscodes van de Entiteit te melden.
Toegang tot het SIIF is beschikbaar via een afzonderlijke sectie van onze website.
In het kader van het Interne Meldingssysteem (SIIF) verwerkt de Entiteit persoonsgegevens met als doel het beheren en behandelen van ontvangen meldingen, alsmede het analyseren, verifiëren en onderzoeken van de gemelde feiten, waarbij in voorkomend geval passende corrigerende, disciplinaire of juridische maatregelen worden genomen.
Deze verwerking vindt plaats ter naleving van de wettelijke verplichtingen die voortvloeien uit Wet 2/2023 van 20 februari betreffende de bescherming van personen die inbreuken op regelgeving melden en de bestrijding van corruptie, alsmede, waar van toepassing, op basis van het gerechtvaardigd belang van de Entiteit om onrechtmatige of met interne regelgeving strijdige gedragingen te voorkomen en op te sporen.
In het kader van deze activiteiten kunnen de volgende categorieën persoonsgegevens worden verwerkt:
De persoonsgegevens kunnen afkomstig zijn van de melder (al dan niet anoniem), van betrokken personen of van derden die deelnemen aan het onderzoek.
De Entiteit waarborgt de vertrouwelijkheid van de identiteit van de melder, evenals die van iedere derde die in de melding wordt genoemd en van de betrokken personen. Toegang tot de gegevens wordt strikt beperkt tot geautoriseerd personeel dat betrokken is bij het beheer en onderzoek van meldingen.
Daarnaast is iedere vorm van represailles, discriminatie of nadelige behandeling van de melder of van personen die aan het onderzoek meewerken uitdrukkelijk verboden, overeenkomstig de bepalingen van Wet 2/2023.
De uitoefening van rechten op het gebied van gegevensbescherming kan worden beperkt wanneer dit noodzakelijk is om de vertrouwelijkheid van de identiteit van de melder te waarborgen, het onderzoek niet te belemmeren of het correcte verloop van de procedure te garanderen, overeenkomstig de toepasselijke regelgeving.
De Entiteit verwerkt persoonsgegevens met toepassing van passende technische, juridische, organisatorische en beveiligingsmaatregelen teneinde de vertrouwelijkheid en integriteit van de informatie die zij beheert te waarborgen, overeenkomstig de geldende regelgeving.
Als specifiek en aanvullend concept op het voorgaande past de Entiteit cyberbeveiligingsmaatregelen toe om mogelijke aanvallen en fraude door cybercriminelen te voorkomen en te beheersen, voor zover deze een bedreiging vormen voor de privacy en bescherming van de gegevens die de Entiteit verwerkt of waartoe zij toegang heeft in het kader van haar activiteiten en bedrijfsvoering.
In dit verband willen wij erop wijzen dat wanneer u communicatie ontvangt waarvan de inhoud en/of vorm twijfels oproept over de authenticiteit ervan, wij aanbevelen daarop niet te reageren en rechtstreeks contact op te nemen met de Entiteit via de contactgegevens die in dit Privacybeleid zijn vermeld.
Eveneens geldt dat verzoeken die ogenschijnlijk afkomstig zijn van onze Entiteit en betrekking hebben op wijzigingen van betaalmethoden, verzoeken om contactgegevens, vertrouwelijke (niet-openbare) informatie, bankgegevens, creditcardgegevens of andere officiële gegevens, niet mogen worden opgevolgd zonder voorafgaande rechtstreekse bevestiging door onze Entiteit via een alternatief communicatiekanaal.
Wij stellen uw medewerking op prijs en hebben deze nodig bij het melden van iedere kennisgeving met betrekking tot dergelijke verzoeken, evenals andere mogelijke situaties die een risico op cyberaanvallen kunnen vormen waarbij de naam of identiteit van onze Entiteit wordt gebruikt, alsook bij ieder ander mogelijk beveiligingsrisico waarvan u kennis zou kunnen hebben.
Betrokkenen kunnen eventuele vragen over de verwerking van hun persoonsgegevens of over de interpretatie van ons Beleid aan de Entiteit voorleggen door contact op te nemen met de Verantwoordelijke voor Gegevensbescherming en Privacy via de aan het begin van dit Beleid vermelde e-mailadressen.
De Entiteit behoudt zich het recht voor om de informatie inzake gegevensbescherming te wijzigen en/of bij te werken wanneer dit noodzakelijk is om te voldoen aan de toepasselijke regelgeving. Indien wijzigingen worden aangebracht, zal de nieuwe tekst in dezelfde sectie van de website worden gepubliceerd.