CKB Ltd
GDPR-gegevensbeschermingsbeleid
Dec 2019

1. Introductie                   

Dit beleid beschrijft de verplichtingen van CKB Ltd ® en haar groepsmerken, waaronder Bar Amigos ® en Lanyards Tomorrow ® ("het bedrijf") , een bedrijf geregistreerd in Engeland onder 07123102 ( btw-nummer 991324508) , waarvan het geregistreerde adres St. Christopher's House is , Ridge Road, Letchworth Garden City, Hertfordshire, SG6 1PT, Engeland en waarvan het hoofdhandelsadres Unit 5, Business Center East, Fifth Avenue, Letchworth Garden City, Hertfordshire, SG6 2TS is, met betrekking tot gegevensbescherming en de rechten van haar klanten (website gebruikers) zakelijke contacten, aannemers, enz ., samen bekend als “Betrokkenen” in betrekking tot hun persoonlijke gegevens onder ata ESCHERMING wetgeving waaronder The Data Protection Act 2018 en de Verordening algemene verordening EU 2016/679 Data Protection ( “ GDPR ” De normen van de AVG worden erkend in de UK Data Protection Act 2018, en worden dus in dit document genoemd en zullen hierop worden gericht zolang deze EU-wetgeving rechtsgevolgen heeft in het VK .

De AVG definieert "persoonlijke gegevens" als alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon (een "betrokkene"); een identificeerbare natuurlijke persoon is iemand die direct of indirect kan worden geïdentificeerd, met name door te verwijzen naar een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of naar een of meer factoren die specifiek zijn voor de fysieke, fysiologische , genetische, mentale, economische, culturele of sociale identiteit van die natuurlijke persoon die in het bezit is of waarschijnlijk in het bezit komt van de gegevensbeheerder (het Bedrijf in deze context).

Dit beleid bepaalt de verplichtingen van het bedrijf met betrekking tot het verzamelen, verwerken, overdragen, opslaan en verwijderen van persoonlijke gegevens. De hierin uiteengezette procedures en principes moeten te allen tijde door het bedrijf worden gevolgd Het bedrijf moet zich ervan vergewissen dat alle partijen die namens het bedrijf werken op de juiste manier omgaan met persoonlijke gegevens.

Het bedrijf zet zich niet alleen in voor de letter van de wet, maar ook voor de geest van de wet en hecht veel belang aan de correcte, wettige en eerlijke behandeling van alle persoonlijke gegevens, met inachtneming van de wettelijke rechten, privacy en vertrouwen van iedereen. personen met wie het te maken heeft.  

 

2. De gegevensbeschermingsprincipes                   

Dit beleid is bedoeld om naleving van de AVG te waarborgen. De AVG bevat de volgende principes waaraan elke partij die persoonlijke gegevens verwerkt, moet voldoen. Alle persoonlijke gegevens moeten zijn:

2.1 Rechtmatig, billijk en op transparante wijze verwerkt met betrekking tot de betrokkene.                

2.2 Verzamelde uitdrukkelijk omschreven en gerechtvaardigde doeleinden en niet te worden verwerkt op een wijze die verenigbaar is met die doeleinden. Verdere verwerking voor archiveringsdoeleinden in het algemeen belang, wetenschappelijke of historische onderzoeksdoeleinden of statistische doeleinden wordt niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd.                

2.3 Adequaat, relevant en beperkt tot wat nodig is in verband met de doeleinden                

2.4 waarvoor het wordt verwerkt.                

2.5 Nauwkeurig en, waar nodig, actueel gehouden. Alle redelijke maatregelen moeten worden getroffen om de gegevens die onjuist, gezien de doeleinden waarvoor zij worden verwerkt waarborgen, wordt gewist of gecorrigeerd zonder vertraging.                

2.6 Bewaard in een vorm die identificatie van betrokkenen toestaat voor niet langer dan nodig is voor de doeleinden waarvoor de persoonsgegevens worden verwerkt. Persoonsgegevens kunnen voor langere periodes worden opgeslagen voor zover de persoonsgegevens uitsluitend voor archiveringsdoeleinden in het algemeen belang, wetenschappelijke of historische onderzoeksdoeleinden of statistische doeleinden worden verwerkt, afhankelijk van de implementatie van de juiste technische en organisatorische maatregelen vereist door de AVG in om de rechten en vrijheden van de betrokkene te beschermen.                

2.7 Verwerkt op een wijze die een passende beveiliging van de persoonlijke gegevens, met inbegrip van bescherming tegen niet-geautoriseerde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging garandeert of schade, met behulp van passende technische of organisatorische maatregelen.                

 

3. De rechten van betrokkenen                   

De AVG beschrijft de volgende rechten die van toepassing zijn op betrokkenen (raadpleeg de aangegeven delen van dit beleid voor meer informatie):

3.1 Het recht om te worden geïnformeerd (deel 12 ).

3.2 Het recht op toegang (deel 13 );

3.3 Het recht op rectificatie (deel 14 );

3.4 Het recht om te wissen (ook bekend als het 'recht om te worden vergeten') ( deel 15 );

3.5 Het recht om de verwerking te beperken (deel 16 );

3.6 Het recht op gegevensoverdraagbaarheid (deel 17 );

3.7 Het recht om bezwaar te maken (deel 18 ); en

3.8 Rechten met betrekking tot geautomatiseerde besluitvorming en profilering (Deel 19 en 20 ).

 

4. Wettelijke, eerlijke en transparante gegevensverwerking                   

4.1 De AVG wil ervoor zorgen dat persoonsgegevens rechtmatig, billijk en transparant worden verwerkt, zonder de rechten van de betrokkene te schaden. De AVG stelt dat de verwerking van persoonsgegevens rechtmatig is als ten minste een van de volgende van toepassing is:

4.1.1 De betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;

4.1.2 De verwerking is noodzakelijk voor de uitvoering van een contract waarbij de betrokkene partij is, of om op verzoek van de betrokkene stappen te ondernemen alvorens een contract met hem te sluiten;

4.1.3 De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting waaraan de gegevensbeheerder is onderworpen;

4.1.4 De verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;

4.1.5 De ​​verwerking is noodzakelijk voor de uitvoering van een taak die wordt uitgevoerd in het algemeen belang of bij de uitoefening van de officiële bevoegdheid van de gegevensbeheerder; of

4.1.6 De verwerking is noodzakelijk voor de legitieme belangen die worden nagestreefd door de gegevensbeheerder of door een derde, behalve wanneer dergelijke belangen worden overschreven door de grondrechten en fundamentele vrijheden van de betrokkene die bescherming van persoonsgegevens vereisen, in het bijzonder waar de betrokkene een kind is.

4.2 Het bedrijf verwerkt geen "speciale categoriegegevens" (ook bekend als "gevoelige persoonlijke gegevens") op haar website zoals gedefinieerd onder de AVG. "Speciale categoriegegevens" omvatten bijvoorbeeld gegevens over ras, etniciteit, politiek, religie, vakbondslidmaatschap, genetica, biometrische gegevens (indien gebruikt voor ID-doeleinden), gezondheid, seksleven of seksuele geaardheid van de betrokkene. Medewerkers van het bedrijf dient te verwijzen naar de toepasselijke Employ ee Data Protection Policy.              

4.3 Hoewel transparantie wordt ondersteund, moet het bedrijf ook rekening houden met zijn vereiste om zijn bedrijfskennis en veiligheid te beschermen. Als een betrokkene meer informatie wenst over de details van derden waarmee het bedrijf samenwerkt, enz., Neem dan contact op met de functionaris voor gegevensbescherming van Unit 5, Business Center East, Fifth Avenue , Letchworth Garden City, Herts SG6 2TS .

 

5. welbepaalde, uitdrukkelijk en legitieme doeleinden                   

5.1 Het bedrijf verzamelt en verwerkt de persoonlijke gegevens zoals beschreven in deel 21 van dit beleid Dit bevat:

5.1.1 Persoonlijke gegevens die rechtstreeks van betrokkenen zijn verzameld. Bijvoorbeeld contactgegevens die worden gebruikt wanneer een betrokkene met het bedrijf communiceert ten behoeve van die communicatie / het uitvoeren van een bestelling; en

5.1.2 Persoonlijke gegevens verkregen van derden. Bijvoorbeeld portals op de markt waar het bedrijf ook zijn producten zoals Amazon verkoopt om bestellingen uit te voeren. Houd er rekening mee dat dergelijke marktplaatsportals hun eigen gegevensbeschermings- en privacybeleid hanteren.

5.2 Het bedrijf verzamelt, verwerkt en bewaart persoonlijke gegevens alleen voor de specifieke doeleinden die zijn uiteengezet in deel 21 van dit beleid (of voor andere doeleinden die uitdrukkelijk zijn toegestaan ​​door de AVG).

5.3 Betrokkenen worden te allen tijde op de hoogte gehouden van het doel of de doeleinden waarvoor het Bedrijf hun persoonlijke gegevens gebruikt. Raadpleeg deel 12 voor meer informatie over het op de hoogte houden van betrokkenen.

 

6. toereikend, ter zake en Limited Data Processing                   

6.1 Het bedrijf verzamelt en verwerkt alleen persoonsgegevens voor en voor zover nodig voor het specifieke doel of de doeleinden waarover betrokkenen zijn geïnformeerd (of zullen worden geïnformeerd) zoals onder Deel 5 hierboven en zoals uiteengezet in Deel 21, hieronder.

 

7. Nauwkeurigheid van gegevens en gegevens actueel houden                   

7.1 Het bedrijf zal ervoor zorgen dat alle persoonlijke gegevens die door het bedrijf worden verzameld, verwerkt en bewaard, nauwkeurig en actueel blijven. Dit omvat, maar is niet beperkt tot, de rectificatie van persoonlijke gegevens op verzoek van een betrokkene, zoals uiteengezet in deel 14 hieronder.

7.2 De juistheid van persoonlijke gegevens wordt gecontroleerd wanneer deze worden verzameld. De doorlooptijd van orderontvangst tot orderverwerking is niet lang en daarom is er geen mogelijkheid of vereiste om de gegevensnauwkeurigheid op een ander punt in de toekomst opnieuw te controleren. Als een klant contact opneemt over een bestelling tussen ontvangst en verwerking, wordt waar mogelijk aan zijn verzoek om de verstrekte gegevens te wijzigen voldaan (bijvoorbeeld het afleveradres van een product wijzigen Als wordt vastgesteld dat persoonlijke gegevens onjuist of verouderd zijn, worden alle redelijke stappen genomen om die gegevens zo nodig te wijzigen of te wissen.

 

8. Gegevensbewaring                   

8.1 Het bedrijf zal persoonlijke gegevens niet langer bewaren dan nodig is in het licht van het doel of de doeleinden waarvoor die persoonlijke gegevens oorspronkelijk werden verzameld, bewaard en verwerkt.

8.2 Wanneer persoonlijke gegevens niet langer nodig zijn, worden alle redelijke stappen ondernomen om deze onmiddellijk te wissen of op andere wijze te verwijderen .

8.3 voor meer informatie over de aanpak van de onderneming om het bewaren van gegevens, met inbegrip van bewaartermijnen voor specifieke types persoonlijke gegevens die door de Vennootschap, verwijzen wij u naar ur gegevensbewaring Policy.

 

9. Veilige verwerking                   

9.1 Het bedrijf zorgt ervoor dat alle verzamelde, bewaarde en verwerkte persoonlijke gegevens veilig worden bewaard en beschermd tegen ongeautoriseerde of onwettige verwerking en tegen onopzettelijk verlies, vernietiging of schade. Meer informatie over de technische en organisatorische maatregelen die moeten worden genomen, vindt u in de delen 22 tot 27 van dit beleid.

 

10. Verantwoording en administratie                

10.1 Data Protection Officer van het bedrijf is de positie houder van C ompany secretaris, CKB Ltd, van Unit 5, Business Center East, Fifth Avenue, Letchworth Garden City, Hertfordshire, SG6 2TS .

10.2 De functionaris voor gegevensbescherming is verantwoordelijk voor het toezicht op de implementatie van dit beleid en voor het toezicht op de naleving van dit beleid, het andere beleid met betrekking tot gegevensbescherming van het bedrijf en de AVG en andere toepasselijke wetgeving inzake gegevensbescherming.

10.3 Het bedrijf houdt een schriftelijke interne registratie bij van alle verzameling, bewaring en verwerking van persoonlijke gegevens, waarin de volgende informatie is opgenomen:

10.3.1 De naam en gegevens van het bedrijf, zijn functionaris voor gegevensbescherming en eventuele toepasselijke gegevensverwerkers;

10.3.2 De doeleinden waarvoor het Bedrijf persoonlijke gegevens verzamelt, bewaart en verwerkt;

10.3.3 Details van de categorieën van persoonlijke gegevens die door het Bedrijf worden verzameld, bewaard en verwerkt, en de categorieën van gegevens waarop die persoonlijke gegevens betrekking hebben;

10.3.4 Details van eventuele overdrachten van persoonsgegevens naar landen buiten de Europese Economische Ruimte (" EER ") , inclusief beveiligingsmaatregelen;

10.3.5 Details over hoe lang persoonlijke gegevens door het bedrijf worden bewaard (raadpleeg het beleid voor gegevensbewaring van het bedrijf); en

10.3.6 Gedetailleerde beschrijvingen van alle technische en organisatorische maatregelen die door het bedrijf zijn genomen om de beveiliging van persoonlijke gegevens te waarborgen.

 

11. Effectbeoordelingen van gegevensbescherming                

11.1 Het bedrijf zal gegevensbeschermingseffectbeoordelingen uitvoeren voor alle nieuwe projecten en / of nieuw gebruik van persoonlijke gegevens waarbij nieuwe technologieën worden gebruikt en waarvan de verwerking waarschijnlijk tot een groot risico voor de rechten en vrijheden van gegevens leidt onderwerpen onder de GDPR.

11.2 Gegevensbeschermingseffectbeoordelingen staan ​​onder toezicht van de functionaris voor gegevensbescherming en hebben betrekking op het volgende:

11.2.1 De soort (en) persoonlijke gegevens die worden verzameld, bewaard en verwerkt;

11.2.2 De doelstelling (en) waarvoor persoonsgegevens moeten worden gebruikt;

11.2.3 De doelstellingen van de onderneming;

11.2.4 Hoe persoonlijke gegevens moeten worden gebruikt;

11.2.5 De ​​partijen (intern en / of extern) die moeten worden geraadpleegd;

11.2.6 De noodzaak en evenredigheid van de gegevensverwerking met betrekking tot het doel of de doeleinden waarvoor deze wordt verwerkt;

11.2.7 Risico's voor betrokkenen;

11.2.8 Risico's zowel binnen als voor de onderneming; en

11.2.9 Voorgestelde maatregelen om geïdentificeerde risico's te minimaliseren en af ​​te handelen.

 

12. Houd betrokkenen op de hoogte                

12.1 De Vennootschap zal de in deel 12.2 ingesteld om elke betrokkene informatie te verschaffen onder ( nb verwijzen wij u naar GDPA het beleid van de Vennootschap):

12.1.1 Wanneer persoonsgegevens rechtstreeks van betrokkenen worden verzameld, worden die betrokkenen op het moment van verzameling op de hoogte gebracht van het doel ervan; en

12.1.2 Wanneer persoonsgegevens verkregen van een derde partij (bijvoorbeeld een marktplaats terrein waarop de producten worden verkocht), de relevante betrokkenen moeten worden geïnformeerd over het doel door de derde partij:

a) als de persoonlijke gegevens worden gebruikt om te communiceren met de betrokkene, wanneer de eerste communicatie plaatsvindt; of                  

b) indien de persoonsgegevens moeten worden overgedragen aan een andere partij, voordat die overdracht plaatsvindt; of                  

c) zo snel als redelijkerwijs mogelijk en in elk geval niet langer dan een maand nadat de persoonsgegevens zijn verkregen.                   

12.2 De volgende informatie moet worden verstrekt:

12.2.1 Details van het bedrijf, inclusief, maar niet beperkt tot, de identiteit van zijn functionaris voor gegevensbescherming;

12.2.2 De doelstelling (en) waarvoor de persoonlijke gegevens worden verzameld en zullen worden verwerkt (zoals beschreven in deel 21 van dit beleid) en de wettelijke basis die deze verzameling en verwerking rechtvaardigt;

12.2.3 In voorkomend geval, de legitieme belangen waarop het bedrijf de verzameling en verwerking van de persoonsgegevens rechtvaardigt;

12.2.4 Wanneer de persoonlijke gegevens niet rechtstreeks van de betrokkene worden verkregen, worden de categorieën persoonlijke gegevens verzameld en verwerkt;

12.2.5 Wanneer de persoonlijke gegevens moeten worden overgedragen aan een of meer derde partijen, details van die partijen. Details van derden worden hier niet vermeld om redenen van de verplichting van het bedrijf om zijn bedrijfskennis en veiligheid te beschermen. Als een betrokkene meer informatie wenst over de details van derden waarmee het bedrijf samenwerkt, enz., Neem dan contact op met de functionaris voor gegevensbescherming van Unit 5, Business Center East, Fifth Avenue, Letchworth Garden City, Herts, SG6 2TS).

12.2.6 Wanneer de persoonlijke gegevens moeten worden overgedragen aan een derde partij die zich buiten het EER- gebied bevindt details van die overdracht, inclusief maar niet beperkt tot de bestaande waarborgen (zie deel 28 van dit beleid voor meer informatie). Raadpleeg ook deel 12.2.5 over de bescherming van bedrijfskennis en beveiliging;

12.2.7 Details van gegevensbewaring;

12.2.8 Details van de rechten van de betrokkene onder de AVG;

12.2.9 Details van het recht van de betrokkene om zijn toestemming voor de verwerking van zijn persoonsgegevens door het Bedrijf op elk moment in te trekken;

12.2.10 Details van het recht van de betrokkene om een ​​klacht in te dienen bij het Information Commissioner's Office (de "toezichthoudende autoriteit" onder de AVG);

12.2.11 Waar van toepassing, details van enige wettelijke of contractuele verplichting of verplichting die het verzamelen en verwerken van de persoonlijke gegevens noodzakelijk maakt en details van eventuele gevolgen van het niet verstrekken ervan; en

12.2.12 Details van geautomatiseerde besluitvorming of profilering die zal plaatsvinden met behulp van de persoonlijke gegevens, inclusief informatie over hoe beslissingen worden genomen, het belang van die beslissingen en de eventuele gevolgen.

 

13. Toegang van de betrokkene                

13.1 Betrokkenen kunnen te allen tijde verzoeken om toegang tot subjecten ('SAR's') indienen om meer te weten te komen over de persoonlijke gegevens die het bedrijf over hen heeft, wat het met die persoonlijke gegevens doet en waarom.

13.2 Betrokkenen die een SAR willen maken, kunnen dit schriftelijk doen en alle nodige details verstrekken. SAR's moeten worden gericht aan de functionaris voor gegevensbescherming van de onderneming bij Unit 5, Business Center East, Fifth Avenue, Letchworth Garden City, Hertfordshire, SG6 2TS .

13.3 Antwoorden op SAR's worden normaal gesproken binnen één maand na ontvangst gegeven, maar dit kan met maximaal twee maanden worden verlengd als de SAR complex is en / of er meerdere verzoeken zijn gedaan. Als dergelijke extra tijd nodig is, wordt de betrokkene op de hoogte gebracht.

13.4 Alle ontvangen SAR's worden afgehandeld door de functionaris voor gegevensbescherming van het bedrijf.

13.5 Het bedrijf brengt geen kosten in rekening voor de afhandeling van normale SAR's. Het bedrijf behoudt zich het recht voor om redelijke kosten in rekening te brengen voor extra kopieën van informatie die al aan een betrokkene is verstrekt, en voor verzoeken die kennelijk ongegrond of buitensporig zijn, met name wanneer dergelijke verzoeken herhaald zijn.

 

14. Rectificatie van persoonlijke gegevens                

14.1 Betrokkenen hebben het recht om van het Bedrijf te verlangen dat zij hun persoonlijke gegevens corrigeren die onjuist of onvolledig zijn.

14.2 Het bedrijf zal de betreffende persoonsgegevens corrigeren en de betrokkene van die rectificatie op de hoogte brengen, binnen een maand nadat de betrokkene het bedrijf op de hoogte heeft gesteld van de kwestie. De periode kan worden verlengd met maximaal twee maanden in het geval van complexe verzoeken. Als dergelijke extra tijd nodig is, wordt de betrokkene op de hoogte gebracht.

14.3 In het geval dat getroffen persoonsgegevens aan derden zijn bekendgemaakt, worden die partijen op de hoogte gebracht van eventuele rectificaties die aan die persoonsgegevens moeten worden aangebracht.

 

15. Wissen van persoonlijke gegevens                

15.1 Betrokkenen hebben het recht om te vragen dat het bedrijf de persoonlijke gegevens die zij over hen heeft in de volgende omstandigheden wist:

15.1.1 Het is niet langer nodig voor het bedrijf om die persoonlijke gegevens te bewaren met betrekking tot het doel of de doelen waarvoor ze oorspronkelijk werden verzameld of verwerkt;

15.1.2 De betrokkene wil zijn toestemming intrekken voor het bedrijf dat zijn persoonlijke gegevens bewaart en verwerkt;

15.1.3 De betrokkene maakt bezwaar tegen het bedrijf dat zijn persoonlijke gegevens bewaart en verwerkt (en er is geen hoger legitiem belang om het bedrijf toe te staan ​​dit te blijven doen) (zie deel 18 van dit beleid voor meer informatie over het recht om bezwaar te maken);

15.1.4 De persoonlijke gegevens zijn onrechtmatig verwerkt; of

15.1.5 De ​​persoonlijke gegevens moeten worden gewist om het bedrijf te laten voldoen aan een bepaalde wettelijke verplichting .

15.2 Tenzij het bedrijf redelijke gronden heeft om te weigeren om persoonlijke gegevens te wissen, zullen alle verzoeken om verwijdering worden ingewilligd en zal de betrokkene binnen één maand na ontvangst van het verzoek van de betrokkene op de hoogte worden gebracht van het wissen. De periode kan worden verlengd met maximaal twee maanden in het geval van complexe verzoeken. Als dergelijke extra tijd nodig is, wordt de betrokkene op de hoogte gebracht.

15.3 In het geval dat de persoonlijke gegevens die moeten worden gewist in reactie op een betrokkene ‘s verzoek is doorgegeven aan derden, worden die partijen worden geïnformeerd over het wissen (tenzij het onmogelijk is of onevenredige inspanning zou opleveren, verlangen ).

 

16. Beperking van verwerking van persoonsgegevens                

16.1 Betrokkenen kunnen verzoeken dat het bedrijf de verwerking van de persoonlijke gegevens die het over hen heeft stopzet. Als een betrokkene een dergelijk verzoek indient, bewaart het bedrijf alleen de hoeveelheid persoonlijke gegevens over die betrokkene (indien aanwezig) die nodig is om ervoor te zorgen dat de betreffende persoonlijke gegevens niet verder worden verwerkt.

16.2 In het geval dat getroffen persoonsgegevens aan derden zijn bekendgemaakt, worden deze partijen op de hoogte gebracht van de toepasselijke beperkingen bij de verwerking ervan (tenzij dit onmogelijk is of onevenredige inspanningen vereist).

 

17. Gegevensportabiliteit                

17.1 Het bedrijf verwerkt persoonsgegevens op geautomatiseerde wijze. Het bedrijf verwerkt klantbestellingen elektronisch voor verzending.

17.2 Wanneer betrokkenen hun toestemming hebben gegeven aan het Bedrijf om hun persoonlijke gegevens op een dergelijke manier te verwerken, of de verwerking anderszins vereist is voor de uitvoering van een contract tussen het Bedrijf en de betrokkene, hebben betrokkenen het recht onder de AVG , om te vragen om een ​​kopie van hun persoonlijke gegevens te ontvangen en deze voor andere doeleinden te gebruiken (namelijk verzenden naar andere gegevensbeheerders).

17.3 Om het recht op gegevensoverdraagbaarheid te vergemakkelijken, stelt het bedrijf desgevraagd alle toepasselijke persoonlijke gegevens beschikbaar aan betrokkenen in de volgende vorm:

17.3.1 Elektronische gegevens van bestellingen die binnen de bewaartermijn voor gegevens zijn geplaatst, indien nodig.

17.4 Het is niet de bedoeling dat bestelinformatie op verzoek aan iemand anders dan de klant wordt verstrekt. Op verzoek van een betrokkene en indien technisch haalbaar, worden persoonsgegevens echter rechtstreeks naar de vereiste gegevensbeheerder gestuurd.  

17.5 Alle verzoeken om kopieën van persoonsgegevens worden binnen een maand na het verzoek van de betrokkene ingewilligd. De periode kan worden verlengd met maximaal twee maanden in het geval van complexe of meerdere verzoeken. Als dergelijke extra tijd nodig is, wordt de betrokkene op de hoogte gebracht.

 

18. Bezwaren tegen verwerking van persoonsgegevens                

18.1 Betrokkenen hebben het recht om bezwaar te maken tegen de verwerking van hun persoonlijke gegevens door de onderneming op basis van legitieme belangen en direct marketing (inclusief profilering) .

18.2 Wanneer een betrokkene bezwaar maakt tegen de verwerking door het bedrijf van zijn persoonlijke gegevens op basis van zijn legitieme belangen, zal het bedrijf deze verwerking onmiddellijk stopzetten, tenzij kan worden aangetoond dat de legitieme redenen van het bedrijf voor dergelijke verwerking voorrang hebben op de belangen, rechten en vrijheden van de betrokkene. , of dat de verwerking noodzakelijk is voor het uitvoeren van juridische claims.

18.3 Wanneer een betrokkene bezwaar maakt tegen het verwerken van de persoonsgegevens door het bedrijf voor profilering , zal het bedrijf deze verwerking onmiddellijk stopzetten. Het bedrijf onderneemt geen directe marketingactiviteiten per e-mail, post of telefoon om producten te promoten, enz. Zie deel 20 voor meer informatie over profileringsactiviteiten.

 

19. Geautomatiseerde besluitvorming                

19.1 Het bedrijf gebruikt persoonlijke gegevens in geautomatiseerde besluitvormingsprocessen. Dergelijke geautomatiseerde beslissingen omvatten (1) het eerste deel van het IP-adres van een klant dat wordt gebruikt om te bepalen welke valuta op onze website moet worden weergegeven; (2) de postcode van de klant die wordt gebruikt om te bepalen welke koerier het beste kan worden gebruikt; en (3) het gewicht van een item dat wordt gebruikt om de beste leveringsmethode voor de bestelling van de klant te bepalen.

19.2 Wanneer dergelijke beslissingen een juridisch (of vergelijkbaar significant effect) hebben op betrokkenen, hebben die betrokkenen het recht om dergelijke beslissingen aan te vechten onder de AVG, om menselijk ingrijpen te vragen, hun eigen standpunt kenbaar te maken en een uitleg van de beslissing te krijgen van het bedrijf.

19.3 Het in deel 19.2 beschreven recht is niet van toepassing in de volgende omstandigheden:

19.3.1 De beslissing is noodzakelijk voor het aangaan of uitvoeren van een contract tussen het Bedrijf en de betrokkene;

19.3.2 De beslissing is wettelijk toegestaan; of

19.3.3 De betrokkene heeft zijn uitdrukkelijke toestemming gegeven.

 

20. Profilering                

20.1 Het bedrijf gebruikt persoonlijke gegevens voor profileringsdoeleinden. Door het gebruik van een IP-adres kan het bedrijf bijvoorbeeld gedrag op zijn website analyseren, inclusief waar een bezoeker vandaan komt op internet en hoe lang een bezoeker op elk van de webpagina's van het bedrijf doorbrengt. Zie deel 21 hieronder en het privacy- en cookiesbeleid van CKB Ltd voor meer informatie hierover .

20.2 Wanneer persoonlijke gegevens worden gebruikt voor profilering, is het volgende van toepassing:

20.2.1 Er moet duidelijke informatie over de profilering aan de betrokkenen worden verstrekt, inclusief het belang en de waarschijnlijke gevolgen van de profilering;

20.2.2. Passende wiskundige of statistische procedures moeten worden gebruikt;

20.2.3 Technische en organisatorische maatregelen worden geïmplementeerd om het risico op fouten te minimaliseren. Indien zich fouten voordoen, moeten dergelijke maatregelen het mogelijk maken deze gemakkelijk te corrigeren; en

20.2.4 Alle persoonlijke gegevens die worden verwerkt voor profilering, moeten worden beveiligd om discriminerende effecten als gevolg van profilering te voorkomen (zie delen 22 tot 26 van dit beleid voor meer informatie over gegevensbeveiliging).

20.3 Als iemand op enig moment niet langer wil deelnemen aan profileringsactiviteiten, kan hij zijn cookievoorkeuren op onze website wijzigen Ze kunnen er ook voor kiezen om de geavanceerde instellingen in hun zoekmachine te bekijken. Helaas is het niet mogelijk voor het bedrijf om gedetailleerde instructies te geven over het uitschakelen van machtigingen, omdat er meerdere zoekmachines / besturingssystemen zijn.  De algemene optie om cookies te blokkeren bevindt zich meestal in de geavanceerde instellingen.

 

21. Persoonlijke gegevens verzameld, bewaard en verwerkt                

De volgende persoonlijke gegevens worden verzameld, bewaard en verwerkt door het bedrijf (raadpleeg het beleid voor gegevensbewaring van het bedrijf voor meer informatie over het bewaren van gegevens) :

 

  • ame - om producten te verzenden naar ;
  • leeftijdsbevestiging - voor producten met leeftijdsbeperking ;
  • bedrijfs- / bedrijfsnaam - om producten naar te verzenden;
  • contactgegevens zoals e-mailadressen , postadressen en telefoonnummers - voor bestelvragen ;
  • demografische informatie zoals postcode, leeftijd en geslachtsprofilering;
  • IP-adres (automatisch verzameld);
  • webbrowser type en versie (automatisch verzameld);
  • besturingssysteem (automatisch verzameld); en
  • een lijst met URL's beginnend met een verwijzende site, uw activiteit op onze site en de site waar u naartoe gaat (automatisch verzameld en profilering );

 

Alle persoonlijke gegevens die door het bedrijf worden verzameld, worden verzameld om ervoor te zorgen dat het bedrijf haar klanten de best mogelijke service kan bieden en effectief kan samenwerken met haar zakelijke contacten, enz. Het bedrijf kan ook persoonlijke gegevens gebruiken om aan bepaalde verplichtingen te voldoen opgelegd door de wet. Dit omvat het bewaren van informatie zo lang als nodig is voor financiële boekhoudkundige doeleinden.

Bepaalde gegevens die door het bedrijf worden verzameld, zoals IP-adressen, bepaalde informatie die wordt verzameld door cookies, pseudoniemen en andere niet-identificerende informatie, worden niettemin verzameld, bewaard en verwerkt volgens dezelfde normen als persoonlijke gegevens.

Persoonlijke gegevens kunnen worden bekendgemaakt binnen het bedrijf en aan vertrouwde derde partijen; dergelijke openbaarmaking zal naar verwachting voldoen aan de AVG en dit beleid. Persoonlijke gegevens kunnen van de ene afdeling / partij naar de andere worden overgedragen in overeenstemming met de gegevensbeschermingsprincipes en dit beleid. In geen geval zullen persoonlijke gegevens worden doorgegeven aan een afdeling of een individu binnen of buiten het bedrijf dat redelijkerwijs geen toegang tot die persoonlijke gegevens nodig heeft met betrekking tot de doelstelling (en) waarvoor ze zijn verzameld en worden verwerkt.

 

22. Gegevensbeveiliging - Overdracht van persoonlijke gegevens en communicatie                

Het bedrijf zal ervoor zorgen dat de volgende maatregelen worden genomen met betrekking tot alle communicatie en andere overdrachten met betrekking tot persoonsgegevens:

22.1 Alle e-mails met persoonlijke gegevens moeten worden gecodeerd;

22.2 Persoonlijke gegevens mogen alleen via beveiligde netwerken worden verzonden;

22.3 Persoonlijke gegevens mogen niet via een draadloos netwerk worden verzonden als er een bedraad alternatief is dat redelijkerwijs mogelijk is;

22.4 Persoonlijke gegevens in de hoofdtekst van een e-mail, ongeacht of deze zijn verzonden of ontvangen, worden veilig opgeslagen;

22.5 Wanneer persoonlijke gegevens per fax moeten worden verzonden, moet de ontvanger van tevoren op de hoogte worden gesteld van de verzending en moet hij door het faxapparaat wachten om de gegevens te ontvangen;

22.6 Wanneer persoonlijke gegevens op papier moeten worden overgedragen, moeten deze rechtstreeks aan de ontvanger worden doorgegeven of met een veilige bezorgmethode worden verzonden en

22.7 Alle fysiek over te dragen persoonlijke gegevens, op papier of op verwijderbare elektronische media, moeten worden overgebracht in een geschikte container die is gemarkeerd als "vertrouwelijk".

 

23. Gegevensbeveiliging - Opslag                

Het bedrijf zal ervoor zorgen dat de volgende maatregelen worden genomen met betrekking tot de opslag van persoonsgegevens:

23.1 Alle elektronische kopieën van persoonlijke gegevens moeten veilig worden opgeslagen met behulp van wachtwoorden en gegevenscodering;

23.2 Alle papieren exemplaren van persoonlijke gegevens, samen met eventuele elektronische kopieën die zijn opgeslagen op fysieke, verwijderbare media, moeten veilig worden opgeslagen in een afgesloten doos, lade, kast of iets dergelijks;

23.3 Van alle persoonlijke gegevens die elektronisch worden opgeslagen, moet regelmatig een back-up worden gemaakt met back-ups die offsite worden opgeslagen. Alle back-ups moeten worden gecodeerd;

23.4 Er mogen geen persoonlijke gegevens worden opgeslagen op een mobiel apparaat (inclusief, maar niet beperkt tot, laptops, tablets en smartphones), ongeacht of dit apparaat eigendom is van het bedrijf of anderszins zonder de formele schriftelijke goedkeuring van de bedrijfsdirecteur en, in het geval dat van een dergelijke goedkeuring, strikt in overeenstemming met alle instructies en beperkingen die zijn beschreven op het moment dat de goedkeuring wordt gegeven (bijv. toegangscodes om apparaten te ontgrendelen ), en niet langer dan absoluut noodzakelijk is; en

23.5 Er mogen geen persoonlijke gegevens worden overgedragen aan een apparaat dat persoonlijk toebehoort aan een werknemer, tenzij de juiste goedkeuring van de bedrijfsdirecteur is gegeven in overeenstemming met het Bring Your Own Device to Work-beleid van het bedrijf. Van persoonlijke gegevens die worden overgedragen naar apparaten die toebehoren aan andere partijen die namens het bedrijf werken, wordt verwacht dat ze volledig voldoen aan de AVG / dit beleid ( nb dit kan het bedrijf aantonen dat alle passende technische en organisatorische maatregelen zijn genomen).    

 

24. Gegevensbeveiliging - verwijdering                

24.1 Wanneer persoonlijke gegevens om welke reden dan ook moeten worden gewist of anderszins verwijderd (inclusief wanneer kopieën zijn gemaakt en niet langer nodig zijn), moeten deze veilig worden verwijderd en verwijderd. Gedrukte kopieën van gegevens moeten veilig worden versnipperd en elektronische kopieën van gegevens moeten veilig worden verwijderd.  Raadpleeg het beleid voor gegevensbewaring van het bedrijf voor meer informatie over het verwijderen en verwijderen van persoonlijke gegevens.

 

25. Gegevensbeveiliging - Gebruik van persoonlijke gegevens                

Het bedrijf zal ervoor zorgen dat de volgende maatregelen worden genomen met betrekking tot het gebruik van persoonlijke gegevens:

25.1 Persoonlijke gegevens mogen niet informeel worden gedeeld en als een werknemer of partij die namens het bedrijf werkt toegang nodig heeft tot persoonlijke gegevens waartoe zij nog geen toegang hebben, moet dergelijke toegang formeel worden aangevraagd bij de bedrijfsleider;

25.2 Er mogen geen persoonlijke gegevens worden overgedragen aan werknemers of andere partijen, ongeacht of deze partijen namens het bedrijf werken of niet, zonder de toestemming van de directeur van het bedrijf ;

25.3 Persoonlijke gegevens moeten te allen tijde met zorg worden behandeld en mogen niet zonder toezicht of te allen tijde aan onbevoegde werknemers of andere partijen worden achtergelaten; en

25.4 Als persoonlijke gegevens op een computerscherm worden bekeken en de computer in kwestie gedurende een bepaalde periode zonder toezicht moet worden achtergelaten, moet de gebruiker de computer en het scherm vergrendelen voordat deze worden verlaten .

 

26. Gegevensbeveiliging - IT-beveiliging                

Het bedrijf vereist dat de volgende maatregelen worden genomen met betrekking tot IT en informatiebeveiliging:

26.1 Alle wachtwoorden die worden gebruikt om persoonlijke gegevens te beschermen, moeten regelmatig worden gewijzigd en mogen geen woorden of woordgroepen gebruiken die gemakkelijk kunnen worden geraden of anderszins worden aangetast. Alle wachtwoorden moeten een combinatie van hoofdletters en kleine letters, cijfers en symbolen bevatten ;

26.2 In geen geval mogen wachtwoorden worden opgeschreven of gedeeld tussen werknemers of andere partijen die namens het bedrijf werken, ongeacht anciënniteit of afdeling.

26.3 Alle software (inclusief, maar niet beperkt tot, applicaties en besturingssystemen) moet up-to-date worden gehouden. Updates moeten zo snel als redelijk en praktisch mogelijk worden geïnstalleerd, tenzij er geldige technische redenen zijn om dit niet te doen; en

26.4 Er mag geen software worden geïnstalleerd op een computer of apparaat van het bedrijf zonder voorafgaande toestemming van de bedrijfsdirecteur .

 

27. Organisatorische maatregelen                

Het bedrijf zal ervoor zorgen dat de volgende maatregelen worden genomen met betrekking tot het verzamelen, bewaren en verwerken van persoonlijke gegevens:

27.1 Alle werknemers of relevante andere partijen die namens het bedrijf werken, kunnen in dit beleid zowel hun individuele verantwoordelijkheden als de verantwoordelijkheden van het bedrijf onder de AVG bekijken;

27.2 Alleen werknemers of andere partijen die namens het bedrijf werken en die toegang tot en gebruik van persoonlijke gegevens nodig hebben om hun toegewezen taken correct uit te voeren, hebben toegang tot persoonlijke gegevens in het bezit van het bedrijf;

27.3 Alle werknemers die met persoonlijke gegevens omgaan, zullen daartoe adequaat zijn opgeleid;

27.4 Alle werknemers die persoonlijke gegevens verwerken, zullen naar behoren worden gecontroleerd;

27.5 Alle werknemers of andere partijen die namens het bedrijf werken en die persoonlijke gegevens verwerken, worden verwacht en aangemoedigd om voorzichtigheid, voorzichtigheid en discretie te betrachten bij het bespreken van werkgerelateerde zaken die verband houden met persoonlijke gegevens, hetzij op de werkplek of anderszins;

27.6 Methoden voor het verzamelen, bewaren en verwerken van persoonlijke gegevens worden regelmatig geëvalueerd;

27.7 Alle persoonlijke gegevens die door het bedrijf worden bewaard, zullen periodiek worden herzien, zoals uiteengezet in het beleid voor gegevensbewaring van het bedrijf;

27.8 De prestaties van degenen die namens het bedrijf werken en persoonlijke gegevens verwerken, worden beoordeeld;

27.9 Van alle werknemers of relevante andere partijen die namens het Bedrijf werken, wordt verwacht dat zij dit doen in overeenstemming met de principes van de AVG en dit Beleid;

27.10 Alle partijen die namens het bedrijf werken en die persoonlijke gegevens verwerken, moeten ervoor zorgen dat al hun werknemers die betrokken zijn bij de verwerking van persoonlijke gegevens, zich aan dezelfde voorwaarden houden als beschreven in dit deel 27; en

27.11 Wanneer een partij die namens het bedrijf werkt en persoonlijke gegevens niet nakomt in zijn verplichtingen onder de AVG en / of dit beleid , zal die partij het bedrijf schadeloos stellen en schadeloos stellen voor alle kosten, aansprakelijkheid, schade, verlies, claims of procedures die voortkomen uit dat falen.

 

28. Overdracht van persoonlijke gegevens naar een land buiten de EER                

28.1 Het bedrijf kan van tijd tot tijd persoonlijke gegevens overdragen ('overdracht' omvat het beschikbaar stellen op afstand) naar landen buiten de EER.

28.2 De overdracht van persoonsgegevens naar een land buiten de EER vindt alleen plaats als een of meer van de volgende situaties van toepassing zijn:

28.2.1 De overdracht is naar een land, grondgebied of een of meer specifieke sectoren in dat land (of een internationale organisatie), waarvan de Europese Commissie heeft vastgesteld dat deze een passend beschermingsniveau voor persoonsgegevens waarborgt;

28.2.2 De overdracht is naar een land (of internationale organisatie) dat passende waarborgen biedt in de vorm van een juridisch bindende overeenkomst tussen overheidsinstanties of -instanties; bindende bedrijfsregels; standaard gegevensbeschermingsclausules aangenomen door de Europese Commissie; naleving van een goedgekeurde gedragscode die is goedgekeurd door een toezichthoudende autoriteit (bijvoorbeeld het kantoor van de informatiecommissaris); certificering onder een goedgekeurd certificatiemechanisme (zoals voorzien in de AVG); contractuele clausules die zijn overeengekomen en goedgekeurd door de bevoegde toezichthoudende autoriteit; of bepalingen die zijn opgenomen in administratieve regelingen tussen overheidsinstanties of door de bevoegde toezichthoudende autoriteit gemachtigde instanties;

28.2.3 De overdracht vindt plaats met de geïnformeerde toestemming van de relevante betrokkene (n);

28.2.4 De overdracht is noodzakelijk voor de uitvoering van een contract tussen de betrokkene en het Bedrijf (of voor precontractuele stappen die op verzoek van de betrokkene worden genomen);

28.2.5 De ​​overdracht is noodzakelijk om belangrijke redenen van algemeen belang;

28.2.6 De overdracht is noodzakelijk voor het uitvoeren van juridische claims;

28.2.7 De overdracht is noodzakelijk om de vitale belangen van de betrokkene of andere personen te beschermen wanneer de betrokkene fysiek of juridisch niet in staat is om zijn toestemming te geven; of

28.2.8 De overdracht vindt plaats vanuit een register dat, volgens de Britse of EU-wetgeving, bedoeld is om informatie aan het publiek te verstrekken en dat openstaat voor het publiek in het algemeen of anderszins voor degenen die een legitiem belang kunnen aantonen in toegang tot het register.

 

29. Melding van datalek                

29.1 Alle inbreuken op persoonsgegevens moeten onmiddellijk worden gemeld aan de functionaris voor gegevensbescherming van het bedrijf.

29.2 Als zich een inbreuk op persoonsgegevens voordoet en die inbreuk waarschijnlijk leidt tot een risico voor de rechten en vrijheden van betrokkenen (bijvoorbeeld financieel verlies, schending van vertrouwelijkheid, discriminatie, reputatieschade of andere significante sociale of economische schade), zijn de gegevens Protection Officer moet ervoor zorgen dat het kantoor van de Information Commissioner onverwijld en in ieder geval binnen 72 uur na kennisneming van de inbreuk op de hoogte wordt gesteld.

29.3 In het geval dat een inbreuk op persoonsgegevens waarschijnlijk leidt tot een hoog risico (dat wil zeggen een hoger risico dan beschreven in deel 29.2) voor de rechten en vrijheden van betrokkenen, moet de functionaris voor gegevensbescherming alle betrokken gegevens regelen personen die direct en zonder onnodige vertraging op de hoogte moeten worden gebracht van de inbreuk.

29.4 Meldingen van datalekken bevatten de volgende informatie:

29.4.1 De categorieën en het geschatte aantal betrokkenen;

29.4.2 De categorieën en het geschatte aantal betrokken persoonsgegevensrecords;

29.4.3 De naam en contactgegevens van de functionaris voor gegevensbescherming van het bedrijf (of een ander contactpunt waar meer informatie kan worden verkregen);

29.4.4 De waarschijnlijke gevolgen van de inbreuk;

29.4.5 Details van de maatregelen die door het bedrijf zijn genomen of worden voorgesteld om de inbreuk aan te pakken, inclusief, in voorkomend geval, maatregelen om de mogelijke nadelige gevolgen ervan te verzachten.

 

30. Kennisgeving aan het Information Commissioner's Office (ICO)                

30.1 Als gegevensbeheerder moet het bedrijf de ICO op de hoogte stellen dat het persoonsgegevens verwerkt. Het bedrijf is geregistreerd in het register van gegevensbeheerders onder registratienummer ZA185276 .

 

31. Implementatie van beleid                

31.1 Dit beleid wordt van kracht vanaf geacht st December 2019 Geen enkel deel van dit beleid heeft terugwerkende kracht en is dus alleen van toepassing op zaken die op of na deze datum plaatsvinden.

 

 

 

beleid CKB Ltd Data Protection - ingangsdatum st December 2019

 

CKB Ltd Gegevensbeschermingsbeleid 1              

 

You need to choose options for your item

x

Calculator Shipping

Enter destination to get a shipping cost.

Shipping Rates

Please enter above informations and click calculate button to show estimate shipping results.

https://www.lanyardstomorrow.co.uk/nl/calculatorshipping/index/rate/ajax/1/