Privacy Policy – 29 juli 2024
Deze “Privacy Policy” regelt de verwerking van uw persoonsgegevens door medeverantwoordelijke voor de verwerking: COMPLI B.V., KvK-nummer 88171833, gevestigd aan de Joop Geesinkweg 210, 1114 AB te Amsterdam, verder aan te duiden als: “Compli”.
Lees deze Privacy Policy aandachtig door, want het bevat essentiële informatie over hoe uw persoonsgegevens worden verwerkt. Deze privacy policy is onlosmakelijk verbonden met de regeling Joint Controller in bijlage.
De Opdrachtgever stelt het gebruik van Compli vervolgens tot uw beschikking voor aanvang van de werkzaamheden. Dit betekent dat Opdrachtgever, ‘Verwerkingsverantwoordelijke’ is in de zin van de Algemene Verordening Gegevensbescherming (hierna: “AVG”) ten aanzien van de Persoonsgegevens die verwerkt worden door Compli (‘het middel’).
• ‘Verwerking’: elke handeling of geheel van handelingen rond persoonsgegevens, waaronder verzamelen, doorzenden, vastleggen, verspreiden, ordenen, beschikbaar stellen, bewaren, samenbrengen, bijwerken, met elkaar in verband brengen, wijzigen, afschermen, opvragen, wissen, raadplegen, gebruiken en vernietigen;
• ‘Betrokkenen’: degene op wie een persoonsgegeven betrekking heeft.
1. de privacy van betrokkenen van wie persoonsgegevens worden verwerkt, te beschermen tegen misbruik hiervan en tegen onjuiste verwerking van persoonsgegevens; en
2. te voorkomen dat persoonsgegevens voor een ander doel worden verwerkt dan het doel waarvoor ze zijn verzameld; en
3. om de rechten van betrokkenen te waarborgen.
Slechts die persoonsgegevens worden verwerkt, die rechtmatig verkregen zijn. Verwerking van de persoonsgegevens alleen zal geschieden voor de volgende categorieën van verwerking:
a) een correcte administratie van derden conform de van toepassing zijnde wet- en regelgeving;
b) toegangs- en aanwezigheidsadministratie tot een locatie / project.
Compli verwerkt Persoonsgegevens zodra een Compli-profiel door een ‘Opdrachtgever’ wordt aangemaakt, en de Persoonsgegevens van de persoon die namens de ‘Opdrachtgever’ werkzaam gaat zijn op een project.
Compli draagt zorg voor passende technische en organisatorische maatregelen ter voorkoming van verlies of onrechtmatige verwerking van persoonsgegevens. Deze maatregelen garanderen een passend beveiligingsniveau, gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
Een ieder die ter kennis wordt gesteld van een (mogelijk) datalek is verplicht hiervan onverwijld melding te maken aan Compli. COMPLI zal de betrokkene onverwijld in kennis stellen van een datalek als de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer evenals een melding doen aan de Autoriteit Persoonsgegevens via de navolgende link: https://datalekken.autoriteitpersoonsgegevens.nl
2. De betrokkene heeft het recht op rectificatie van hem betreffende onjuiste Persoonsgegevens dan wel het recht een aanvullende verklaring te verstrekken wanneer de verwerking plaatsvindt op basis van onvolledige gegevens. De verwerkingsverantwoordelijk is verplicht iedere ontvanger aan wie Persoonsgegevens zijn verstrekt in kennis te stellen van elke rectificatie, tenzij dit onmogelijk is of onevenredig veel inspanning vraagt.
3. De verwerkingsverantwoordelijke is in bepaalde gevallen verplicht Persoonsgegevens van de betrokkene zonder onredelijke vertraging te wissen (recht op wissen) op diens verzoek. Dit is onder andere het geval indien:
a) de persoonsgegevens niet langer nodig zijn voor de doeleinden van de gegevensverwerking;
b) de betrokkene zijn of haar toestemming intrekt en er geen andere rechtsgrond voor verwerking is;
c) de betrokkene bezwaar maakt tegen de verwerking;
d) de Persoonsgegevens onrechtmatig verwerkt zijn.
4. De betrokkene heeft het recht op overdraagbaarheid van zijn Persoonsgegevens (dataportabiliteit).
5. De betrokkene heeft het recht op beperking van de verwerking (dat wil zeggen dat de Persoonsgegevens (tijdelijk) niet mogen worden verwerkt), indien:
a) de Persoonsgegevens mogelijk onjuist zijn;
b) de verwerking onrechtmatig is maar de betrokkene nog niet wil dat ze worden gewist;
c) de Persoonsgegevens niet meer nodig zijn voor het doel waarvoor ze zijn verzameld, maar de betrokkene ze nog wel nodig heeft voor een rechtsvordering;
d) bezwaar wordt gemaakt tegen de verwerking van de Persoonsgegevens.
Binnen één maand na ontvangst van het verzoek van de betrokkene zal de verwerkingsverantwoordelijke hem schriftelijk informeren over de uitvoering van het verzoek. Dat gebeurt ook wanneer er geen uitvoering zal worden gegeven aan het verzoek. Een weigering gehoor te geven aan het verzoek zal worden gemotiveerd en de betrokkene zal worden gewezen op de mogelijkheid een klacht in te dienen bij de Autoriteit Persoonsgegevens. Indien er meer tijd nodig is om op het verzoek te reageren, dan zal de betrokkene hierover binnen een maand worden geïnformeerd. De extra benodigde tijd zal maximaal twee maanden bedragen.
Indien een betrokkene van mening is dat de bepalingen van de AVG zoals uitgewerkt in deze Privacy Policy niet worden nageleefd, dan kan betrokkene bezwaar aan tekenen bij Compli, via privacy@compli.nl. Compli zal het bezwaar analyseren samen met de andere verwerkingsverantwoordelijken zoals beschreven in de regeling Joint Controller.
Indien de ingediende klacht voor de betrokkene niet leidt tot een voor hem acceptabel resultaat, kan hij zich wenden tot de Autoriteit Persoonsgegevens dan wel tot de bevoegde rechter.
Duur van de verwerking
De persoonsgegevens worden door de verwerkingsverantwoordelijke bewaard en verwerkt voor een periode die noodzakelijk is in functie van de doeleinden van de verwerking.
Toepasselijk recht en geschillen
Het Nederlands recht is exclusief van toepassing op deze Privacy Policy en iedere overeenkomst tussen u en Compli en ieder geschil in verband deze Privacy Policy of het gebruik van Compli, zal worden voorgelegd aan de bevoegde rechtbank van Amsterdam.
Inwerkingtreding
Deze Privacy Policy is per 29 juli 2024 in werking getreden.
Algemeen
De Gezamenlijke Verwerkingsverantwoordelijken [hierna te noemen: “Joint Controllers”] maken gebruik van het SAAS platform “Compli”. Gedurende de onderlinge samenwerking, zullen zij Persoonsgegevens delen en verwerken binnen het Compli platform.
Er is sprake van Joint Controllers in de zin van artikel 26 AVG, omdat één of meerdere Verwerkingsverantwoordelijken gezamenlijk het doel en het middel van de Verwerking(en) vaststellen.
De Regeling is opgesteld omdat de Joint Controllers in het kader van een zorgvuldige Verwerking van Persoonsgegevens, afspraken wensen te maken over de rolverdeling en de daarbij behorende verplichtingen uit de AVG, met name het faciliteren van de rechten van de betrokkenen en het voldoen aan de informatieverplichtingen aan betrokkenen.
Definities
AVG: de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de Verwerking van Persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming).
Partij: elke Onderneming in de keten, die uit hoofde van een overeenkomst werkzaamheden laat uitvoeren ten behoeve van het beoogde doel (het Project)
Klant: De Partij die een gebruiksovereenkomst heeft afgesloten met Compli
Onderneming in de keten: De Partij die de Klant heeft ingevoerd en uitnodigt om Compli te gebruiken voor het registreren van zijn Medewerkers, of andere Ondernemingen in de keten, in het kader van het voldoen aan de geldende wettelijke verplichtingen.
Medewerker(s): de door Partijen ingeschakelde werknemers en andere personen waarvan de werkzaamheden onder de verantwoordelijkheid van de betreffende Partij vallen en die worden ingeschakeld door die Partij ter uitvoering van de Overeenkomst.
Data subject/Betrokkene: Een natuurlijke persoon van wie de persoonsgegevens worden verwerkt in Compli.
Project: Een welbepaalde opdracht waarvoor de Klant gebruikt maakt van Ondernemingen in de keten.
Regeling: de onderhavige Regeling Joint Controller, zoals bedoeld in artikel 26 AVG.
Rolverdeling
1. Compli
• Het ontwikkelen, hosten, onderhouden en verbeteren van het Compli platform.
• Het beoordelen van de juistheid en echtheid van de ingevoerde data.
• Het leveren van support naar de gebruikers van het platform.
• Het bewaren van de persoonsgegevens voor archivering.
• Het recht hebben om na expliciet en digitaal verkregen toestemming van de werkgever, via de houder van het bedrijfsaccount, Persoonsgegevens in Compli te delen met Partijen.
• Compli zorgt eveneens voor de technische en organisatorisch beveiliging van het Compli platform.
2. De Klant van Compli
• Het toevoegen en beheren van Projecten.
• Het registeren van een Onderneming in de keten.
• Het invoeren van Persoonsgegevens van eigen Medewerkers in Compli.
• Het actualiseren van de Persoonsgegevens van desbetreffende.
• Het Verwerken van de Persoonsgegevens van de Ondernemingen in de keten ten behoeve van het beoogde doel (het Project).
3. De Onderneming in de keten
• Het registeren van een Onderneming in de keten.
• Het invoeren van Persoonsgegevens van eigen Medewerkers in Compli.
• Het actualiseren van de Persoonsgegevens van desbetreffende.
• Het Verwerken van de Persoonsgegevens van de Ondernemingen in de keten ten behoeve van het beoogde doel (het Project).
Verplichtingen en verantwoordelijkheden van elk der Partijen
Hieronder wordt beschreven de wijze waarop de Partijen hun verplichtingen en verantwoordelijkheden onderling aangaan.
A) Technische en organisatorische beveiligingsmaatregelen
Compli is verantwoordelijk voor het implementeren van passende technische en organisatorische beveiligingsmaatregelen met betrekking tot het SAAS platform.
De Klant en de Ondernemingen in de keten zijn verantwoordelijk voor het implementeren van passende technische en organisatorische beveiligingsmaatregelen met betrekking tot de activiteiten binnen hun organisatie.
B) Aanspreekpunt voor een Data subject/Betrokkene
De werkgever is het eerste aanspreekpunt voor het Data subject/Betrokkene indien hij/zij zich wenst te beroepen op zijn/haar privacyrechten (op grond van artikelen 12-23 van de AVG). Daarnaast kan de betrokkene zich ook richten tot Compli.
C) Overdracht van verantwoordelijkheid naar Compli
Wanneer een Onderneming in de keten om welke reden dan ook niet langer bestaat, wordt Compli de Verwerkingsverantwoordelijke voor de Persoonsgegevens van de desbetreffende Onderneming in de keten. In dit geval zal Compli de Persoonsgegevens uiterlijk bewaren conform de wettelijke geldende bewaartermijn.
D) Meldplicht Datalek (art. 33 en art. 34 AVG)
In het geval van (een vermoeden van) een inbreuk van Persoonsgegevens is de Partij bij wie de (vermoedelijke) inbreuk heeft plaatsgevonden, verantwoordelijk voor de melding daarvan aan de andere Joint Controllers, zo spoedig mogelijk nadat de (vermoedelijke) inbreuk is geconstateerd.
Een ieder verbindt zich ertoe om na de ontdekking van een Datalek, de anderen op de hoogte te houden van de mitigerende maatregelen die worden dan wel zijn genomen teneinde de omvang van het Datalek te beperken dan wel in staat te zijn om deze in de toekomst te kunnen vermijden.
Een ieder heeft het recht voor een Datalek tevens te melden aan de Nederlandse Autoriteit Persoonsbescherming.
E) Gegevensbeschermingseffectbeoordeling
Indien een gegevensverwerking vanwege de aard, omvang, context en doeleinden ervan een groot risico kan vormen voor de rechten en vrijheden van natuurlijke personen, voeren de Partijen een gegevensbeschermingseffectbeoordeling uit voor de betrokken gegevensverwerkingsverrichting.
F) Register van verwerkingsactiviteiten
Elke Partij is afzonderlijk verantwoordelijk voor het vastleggen van de verwerkingsactiviteiten in een passend register.
Aansprakelijkheid
Elke Joint Controller blijft verantwoordelijk voor (het verwerken van) de Persoonsgegevens die hij heeft ingevoerd. Elke Joint Controller is slechts aansprakelijk voor schade die voortvloeit of verband houdt met een toerekenbare tekortkoming in de nakoming van deze Regeling. Elke Joint Controller dient te allen tijde zich te conformeren aan toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, bij gebreke waarvan men aansprakelijk gesteld kan worden.
Geheimhoudingsplicht
De Joint Controllers leggen elkaar een geheimhoudingsplicht op en de toezegging, dat zij alle Persoonsgegevens en gerelateerde informatie sec zullen gebruiken voor het beoogde doel en uit hoofde van hun rol, zoals hierboven is vermeld.
De Joint Controllers leggen deze geheimhoudingsplicht tevens op aan alle door hen in te schakelen (rechts)personen, waaronder maar niet beperkt tot Medewerkers, Verwerkers, Derden en andere Ontvangers van Persoonsgegevens.
Verboden handelingen
Het is de joint controllers niet toegelaten om:
– Screenshots te maken en te delen van schermen/pagina’s in Compl
– Logins en wachtwoorden te delen
– Persoonsgegevens te delen met niet-geautoriseerde personen
Duur
Deze Regeling Joint Controller blijft gelden zolang de ingebrachte persoonsgegevens ten behoeve van een Project aanwezig zijn in het Compli platform.
Privacy Policy
Elke Data subject/Betrokkene zal bij iedere check-in de mogelijkheid hebben om de Compli Privacy Policy te lezen. Hierin zal Compli al de nodige informatie verstrekken zoals vereist vanuit de AVG.
Slotbepaling
Deze Regeling Joint Controller is onlosmakelijk verbonden met de Privacy Policy die te vinden is op de webpagina van Compli, en daarmee toegankelijk voor een iedere betrokkenen. Met dit privacy reglement beoogd Compli te voldoen aan haar verplichting tot het transparant Verwerken van Persoonsgegevens evenals de wijze waarop en ten behoeve waarvan deze Verwerking(en) plaatsvindt.
ANNEX: Beschrijving van de gegevensverwerking
Beschrijving van de dataverwerking
Compli biedt een SAAS oplossing voor de administratie van externe arbeidskrachten ten behoeve van het voldoen aan de geldende wet- en regelgeving.
Rechtsgrond voor de verwerking
Wettelijke verplichting in kader van :
– Ketenaansprakelijkheid
– Inlenersaansprakelijkheid
– Wet arbeid vreemdelingen
– Wet arbeidsvoorwaarden gedetacheerde werknemers in de Europese Unie
– De wet allocatie arbeidskrachten door intermediairs
Gerechtvaardigd belang in kader van:
– Aanwezigheidsregistratie op een Project
– Verhogen van het veiligheidsbewustzijn door middel van examinering of opladen van certificaten van een Data subject
Categorieën van
– Arbeidskrachten van de Klant
– Arbeidskrachten van een Onderneming in de keten
Type data die wordt verwerkt van Data subject/Betrokkene
– Naam
– Bedrijfsnaam
– Taal voor communicatie
– Telefoonnummer
– E-mail
– Woonadres
– Verblijfsadres indien deze afwijkt van het woonadres
– Burgerservicenummer
– Gegevens uit identiteitsbewijs (soort, documentnummer, vervaldatum, pasfoto)
– Kopie van identiteitsbewijs
– Kopie van verblijfsvergunning
– Kopie van werkvergunning
– Kopie van bewijs uitzondering werkvergunning
– Kopie van meldingsbewijs Posted Workers
– Kopie van A1-verklaring (Certificate of Coverage)
– Kopie van Certificate of Coverage buitenlands sociaalzekerheidsorgaan
– Kopie van certificaten
– Datum en tijd check-in
– Datum en tijd check-out
– GPS-coördinaten van smartphone
Bewaartermijn van de gegevens
De gegevens worden bewaard conform de fiscale bewaartermijnen.
Subverwerkers
– Klippa: Intelligent Document Processing API