ALGEMENE DATA BESKERMING REGULASIE (GDPR) BELEID
1. Beleidsverklaring
Elke dag sal ons besigheid persoonlike inligting ontvang, gebruik en stoor oor ons kliënte, verskaffers, onderhoudskandidate en kollegas. Dit is belangrik dat hierdie inligting wettig en toepaslik hanteer word in lyn met die vereistes van die [Wet op Gegevensbeskerming 2018] en die Algemene Verordening inzake Gegevensbeskerming (gesamentlik bekend as die 'Gegevensbeskermingsvereistes').
Ons neem ons datasekerheidstake ernstig op, omdat ons die vertroue respekteer wat in ons geplaas word om persoonlike inligting toepaslik en verantwoordelik te gebruik.
2. Oor Hierdie Beleid
Hierdie beleid, en enige ander dokumente daarna verwys, stel die grondslag vas waarop ons enige persoonlike data wat ons versamel of verwerk, sal verwerk.
Hierdie beleid vorm geen deel van enige werknemer se indiensnemingsooreenkoms en kan op enige tyd gewysig word.
Alex Smit is ons Beleidsbeskermingsbeampte (DPO) en is verantwoordelik vir die versekering dat die maatskappy voldoen aan die Gegevensbeskermingsvereistes en aan hierdie beleid. Enige vrae oor die werking van hierdie beleid of enige bekommernisse dat die beleid nie nagekom is nie, moet in die eerste plek verwys word na die DPO, of gerapporteer word volgens ons maatskappy se Klagtebeleid (verwys na die Werknemershandleiding).
3. Wat is Persoonlike Data?
Persoonlike data beteken data (hetsy elektronies of papiergebaseer) wat verband hou met 'n lewende individu wat direk of indirek geïdentifiseer kan word uit daardie data (of uit daardie data en ander inligting wat in ons besit is).
Verwerking is enige aktiwiteit wat die gebruik van persoonlike data behels. Dit sluit in die verkryging, optekening of bewaring van die data, die organiseer, wysig, terugwin, gebruik, bekendmaking, uitwis of vernietiging daarvan. Verwerking sluit ook die oordra van persoonlike data na derdepartye in.
Gevoelige persoonlike data sluit persoonlike data in oor 'n persoon se ras of etniese oorsprong, politieke opinies, godsdienstige of filosofiese oortuigings, vakbondslidmaatskap, genetiese, biometriese, fisieke of geestesgesondheidstoestand, seksuele oriëntasie of seksuele lewe. Dit kan ook data oor kriminele oortredings of veroordelings insluit. Gevoelige persoonlike data kan slegs onder streng voorwaardes verwerk word, insluitend met die toestemming van die individu.
4. Datasekerheidsbeginsels
Enigeen wat persoonlike data verwerk, moet verseker dat die data:
a. Verwerk op 'n billike, wettige en deursigtige wyse.
b. Versamel vir bepaalde, uitdruklike en wettige doeleindes en enige verdere verwerking word voltooi vir 'n verenigbare doel.
c. Voldoende, relevant en beperk tot dit wat nodig is vir die beoogde doeleindes.
d. Akkuraat, en waar nodig, op datum gehou.
e. Bewaar in 'n vorm wat identifikasie moontlik maak vir nie langer as wat nodig is vir die beoogde doeleindes.
f. Verwerk in lyn met die individu se regte en op 'n wyse wat toepaslike sekuriteit van die persoonlike data verseker, insluitend beskerming teen ongemagtigde of onwettige verwerking en teen toevallige verlies, vernietiging of beskadiging, deur gepaste tegniese of organisatoriese maatreëls te gebruik.
g. Word nie oorgedra aan mense of organisasies in lande sonder voldoende beskerming sonder om eers die individu in kennis te stel nie.
5. Billike en Wettige Verwerking
Die Gegevensbeskermingsvereistes is nie bedoel om die verwerking van persoonlike data te voorkom nie, maar om te verseker dat dit regverdig gedoen word sonder om die regte van die individu nadelig te beïnvloed.
In ooreenstemming met die Gegevensbeskermingsvereistes, sal ons slegs persoonlike data verwerk waar dit nodig is vir 'n wettige doel. Die wettige doeleindes sluit (onder andere) in: of die individu hulle toestemming gegee het, die verwerking is nodig vir die uitvoering van 'n kontrak met die individu, vir nakoming van 'n wettige verpligting, of vir die regmatige belang van die besigheid. Wanneer gevoelige persoonlike data verwerk word, moet daar aanvullende voorwaardes voldoen word.
6. Verwerking vir Beperkte Doeleindes
Tydens die verloop van ons besigheid, mag ons personele data versamel en verwerk. Dit kan data insluit wat ons direk van 'n data-onderwerp ontvang (byvoorbeeld deur vorms te voltooi of deur met ons te korrespondeer per pos, telefoon, e-pos of andersins) en data wat ons van ander bronne ontvang (insluitend, byvoorbeeld, lokasie data, sakemaats, onderkontrakteurs in tegniese, betalings- en afleweringsdienste, kredietverwysingsagentskappe en ander).
Ons sal slegs personele data verwerk vir die spesifieke doeleindes uiteengesit in Bylae 1 of vir enige ander doeleindes spesifiek toegelaat deur die Gegevensbeskermingsvereistes. Ons sal daardie doeleindes aan die data-onderwerp bekend maak wanneer ons die data vir die eerste keer insamel of so spoedig moontlik daarna.
7. Kennisgewing aan Individue
Indien ons persoonlike data direk van 'n individu versamel, sal ons hulle inlig oor:
a. Die doel of doeleindes waarvoor ons van plan is om daardie persoonlike data te verwerk, asook die regsbasis vir die verwerking.
b. Waar ons steun op die regmatige belange van die besigheid om persoonlike data te verwerk, die regmatige belange nagestreef.
c. Die tipes derdepartye, indien enige, waarmee ons die persoonlike data sal deel of bekend maak.
d. Hoe individue ons gebruik en bekendmaking van hul persoonlike data kan beperk.
e. Inligting oor die tydperk waarvoor hul inligting gestoor sal word, of die kriteria wat gebruik word om daardie tydperk te bepaal.
f. Hul reg om van ons as die beheerder toegang tot en regstelling of uitwis van persoonlike data of beperking van verwerking te versoek.
g. Hul reg om te beswaar teen verwerking en hul reg op data-oordraagbaarheid.
h. Hul reg om enige tyd hul toestemming te onttrek (indien toestemming gegee is) sonder om die wettigheid van die verwerking voor die onttrekking van die toestemming te beïnvloed.
i. Die reg om 'n klag in te dien by die Inligtingskommissarisse-kantoor.
j. Ander bronne waar persoonlike data oor die individu vandaan afkomstig is en of dit van openbarelik toeganklike bronne afkomstig is.
k. Of die voorsiening van die persoonlike data 'n statutêre of kontraktuele vereiste is, of 'n vereiste wat noodsaaklik is om in 'n kontrak in te tree, asook of die individu verplig is om die persoonlike data te voorsien en enige gevolge van die versuim om die data te voorsien.
Indien ons persoonlike data oor 'n individu van ander bronne ontvang, sal ons hierdie inligting so spoedig moontlik aan hulle verskaf (bo en behalwe om hulle in te lig oor die kategorieë van persoonlike data wat betrokke is), maar uiterlik binne 1 maand.
Ons sal ook data-onderwerpe wie se persoonlike data ons verwerk, inlig dat ons die datakontroleur is met betrekking tot daardie data, ons kontakbesonderhede en wie die DPO is.
8. Voldoende, Relevant en Nie-oormatige Verwerking
Ons sal slegs persoonlike data versamel tot die mate wat dit vereis word vir die spesifieke doel waarvan die data-onderwerp in kennis gestel is.
9. Akkurate Data
Ons sal verseker dat die persoonlike data wat ons bewaar, akkuraat en op datum gehou word. Ons sal die akkuraatheid van enige persoonlike data op die punt van insameling en op gereelde tye daarna nagaan. Ons sal alle redelike stappe neem om onakkurate of verouderde data te vernietig of te wysig.
10. Tydige Verwerking
Ons sal nie persoonlike data langer as nodig vir die doel of doeleindes waarvoor dit versamel is, behou nie. Ons sal alle redelike stappe neem om alle data wat nie meer benodig word nie, te vernietig of uit ons stelsels te vee.
11. Verwerking in lyn met Data-Onderwerp se Regte
Ons sal alle persoonlike data verwerk in lyn met die regte van data-onderwerpe, veral hul reg om te:
a. Bevestiging of persoonlike data wat die individu betref, wel of nie verwerk word nie.
b. Versoek toegang tot enige data wat deur 'n datakontroleur oor hulle gehou word.
c. Versoek regstelling, uitwissing of beperking op verwerking van hul persoonlike data.
d. 'n Klag in te dien by 'n toesighoudende gesag.
e. Beswaar te maak teen verwerking, insluitend vir direkte bemarking.
12. Datasekerheid
Ons sal gepaste sekuriteitsmaatreëls neem teen onwettige of ongemagtigde verwerking van persoonlike data, en teen die toevallige of onwettige vernietiging, beskadiging, verlies, verandering, onbevoegde bekendmaking of toegang tot persoonlike data wat oorgedra word, gestoor of andersins verwerk word. Indien onwettige datatransmissie plaasvind, sal dit deur die geskikte beampte ondersoek word en maatskappy-dissiplinêre prosedures sal van toepassing wees.Ons sal prosedures en tegnologieë instel om die veiligheid van alle persoonlike data te handhaaf vanaf die punt van vasstelling van die metodes vir verwerking en die punt van data-insameling tot die punt van vernietiging. Persoonlike data sal slegs aan 'n dataverwerker oorgedra word as hy saamstem om aan daardie prosedures en beleide te voldoen, of as hy self voldoende maatreëls instel.
Ons sal data-sekuriteit handhaaf deur die vertroulikheid, integriteit en beskikbaarheid van die persoonlike data te beskerm, soos volg gedefinieer:
a. Vertroulikheid beteken dat slegs mense wat gemagtig is om die data te gebruik, daarby kan toegang verkry.
b. Integriteit beteken dat persoonlike data akkuraat en geskik vir die doel waarvoor dit verwerk word, behoort te wees.
c. Beskikbaarheid beteken dat gemagtigde gebruikers die data moet kan toegang verkry as hulle dit vir geagte doeleindes benodig. Persoonlike data behoort dus gestoor te word op ons maatskappy se sentrale rekenaarsisteem in plaas van individuele rekenaars.
Sekuriteitsprosedures sluit in:
a. Toegangbeheer. Enige vreemdeling wat in toegangsbeheerde areas gesien word, moet gerapporteer word.
b. Beveiligde afsluitbare lessenaars en kaste. Lessenaars en kaste moet gesluit gehou word as hulle vertroulike inligting van enige aard bevat. (Persoonlike inligting word altyd as vertroulik beskou.)
c. Data-minimering.
d. Metodes van verwydering. Papierdokumente moet geskroei word. Digitale opbergtoestelle moet fisies vernietig word wanneer hulle nie meer benodig word nie.
e. Toerusting. Personeel moet verseker dat individuele monitore nie vertroulike inligting aan voorbystanders wys nie, en dat hulle afteken van hul rekenaar as dit onbewaak agtergelaat word.
13. Aanvrae vir Subjektoegang
Individue moet 'n formele versoek maak vir inligting wat ons oor hulle het. Werknemers wat 'n versoek ontvang, moet dit onmiddellik aan die DPO of 'n lid van Menslike Hulpbronne deurstuur.
By die ontvangs van telefoonnavrae, sal ons slegs persoonlike data wat op ons stelsels gehou word bekend maak as die volgende voorwaardes voldoen word:
a. Ons sal die oproeper se identiteit nagaan om seker te maak dat inligting slegs aan 'n persoon gegee word wat geregtig daarop is.
b. Ons sal voorstel dat die oproeper hul versoek skriftelik maak as ons nie seker is oor die oproeper se identiteit en waar hul identiteit nie nagegaan kan word nie.
Indien 'n versoek elektronies ontvang word, sal data elektronies voorsien word waar moontlik.
Ons werknemers sal 'n versoek na hul lynbestuurder verwys vir bystand in moeilike situasies.
14. Veranderinge aan Hierdie Beleid
Ons behou die reg om hierdie beleid te eniger tyd te verander. Waar toepaslik, sal ons veranderinge aankondig deur 'n koekiebanier op die webwerf.