1. Inleiding

Voor de uitvoering van haar activiteiten verwerkt eutronix verschillende gegevens, zowel commerciële gegevens als persoonsgegevens. Dit beleid heeft betrekking op de verwerking van persoonsgegevens door eutronix. Er worden persoonsgegevens verwerkt van verschillende categorieën identificeerbare personen zoals werknemers, klanten en leveranciers, gebruikers van de website, abonnees en andere belanghebbenden.

eutronix begrijpt het belang van de bescherming van persoonsgegevens en de bezorgdheid van haar werknemers, klanten en contactpersonen van klanten, leveranciers en contactpersonen van leveranciers en andere personen met wie zij contact heeft over de verwerking van hun persoonsgegevens. eutronix houdt altijd zorgvuldig rekening met de bescherming van persoonsgegevens tijdens de verschillende verwerkingen van persoonsgegevens.

Verschillende personen binnen de organisatie kunnen toegang hebben tot de persoonsgegevens van de werknemers (de term werknemers omvat: managers en iedereen die voor eutronix werkt, met inbegrip van onafhankelijke dienstverleners en consultants, tijdelijke werknemers zoals uitzendkrachten, stagiairs, jobstudenten, vrijwilligers, ex-werknemers) en andere personen (klanten en leveranciers) tijdens de uitvoering van hun rol. Elk van deze personen binnen eutronix is gebonden aan dit beleid inzake de bescherming van persoonsgegevens.

De toepasselijke wetgeving inzake gegevensbescherming legt eutronix verplichtingen op met betrekking tot de manier waarop zij gegevens moet verwerken. Daarnaast voorziet de wetgeving in rechten voor de personen van wie de gegevens worden verwerkt, zodat zij meer controle hebben over hun eigen persoonsgegevens.

Dit beleid geeft een overzicht van de algemene verplichtingen onder de wetgeving inzake gegevensbescherming die het bedrijf en zijn werknemers moeten naleven. Naleving van dit beleid is belangrijk om de volgende redenen:

• Naleving van de wetgeving inzake gegevensbescherming is een wettelijke verplichting en niet-naleving van deze verplichtingen kan leiden tot aansprakelijkheid, sancties en boetes;
• Naleving van de wetgeving inzake gegevensbescherming leidt tot een meer bevredigende en efficiënte verwerking van persoonlijke gegevens;
• Naleving van de wetgeving op het gebied van gegevensbescherming vormt de basis voor een vertrouwensrelatie tussen eutronix en haar zakelijke relaties, consumenten en medewerkers.

2. Toepassingsgebied

Dit beleid is van toepassing op eutronix die persoonsgegevens verwerkt en bevat de richtlijnen waaraan elke verwerking van persoonsgegevens moet voldoen. Deze verwerking vindt geheel of gedeeltelijk plaats via geautomatiseerde processen die deel uitmaken van een gestructureerd opslagsysteem of deel zullen uitmaken van een gestructureerd opslagsysteem.

3. Data Protection Officer¹ / Contactpersoon voor de bescherming van persoonsgegevens

Het bedrijf heeft een Data Protection Officer (DPO) aangesteld om te zorgen voor de implementatie en naleving van de wetgeving inzake gegevensbescherming en dit beleid.

U kunt contact opnemen met de DPO via e-mail privacy@eutronix.eu of via telefoon +32 10 39 49 32. Raadpleeg artikel 8 van dit beleid om uw rechten uit te oefenen.

4. Definities

De toepasselijke wetgeving inzake gegevensbescherming gebruikt specifieke taal en verwijst naar een abstracte materie. Hieronder vindt u een aantal definities zodat u de terminologie en dus ook dit beleid beter kunt begrijpen.

• Wetgeving gegevensbescherming

Er kunnen verschillende wetgevingen van toepassing zijn, afhankelijk van de concrete toepassing waarin persoonsgegevens worden verwerkt.

De basisprincipes en verplichtingen zijn aangegeven in Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG. Deze verordening staat ook bekend als de General Data Protection Regulation (GDPR). Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke data in de sector elektronische communicatie is van toepassing in specifieke gevallen (bijv. verwerking van locatiegegevens; gebruik van cookies).

Naast de Europese regelgeving is ook specifieke nationale wetgeving inzake gegevensbescherming van toepassing, zoals de wet van 8 december 1992 tot bescherming van de privacy met betrekking tot de verwerking van persoonsgegevens en de wet van 13 juni 2005 betreffende elektronische communicatie.

• Persoonlijke gegevens

Persoonsgegevens hebben betrekking op alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, ook wel de betrokkene genoemd. Een persoon wordt als identificeerbaar beschouwd wanneer een natuurlijke persoon direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychologische, economische, culturele of sociale identiteit van die natuurlijke persoon.

• Controller

De controller is een natuurlijke persoon of rechtspersoon (bijvoorbeeld een bedrijf), een overheidsinstantie, een agentschap of een ander orgaan dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

eutronix is bijvoorbeeld een rechtspersoon die als verwerkingsverantwoordelijke de persoonsgegevens van zijn werknemers verwerkt in het kader van zijn personeelsbeheer.

• Verwerker

De verwerker is een natuurlijke persoon of rechtspersoon, een overheidsinstantie, agentschap of ander orgaan dat persoonsgegevens verwerkt namens en alleen in opdracht van de voor de verwerking verantwoordelijke.

• Verwerking van persoonlijke gegevens

Onder verwerking van persoonsgegevens wordt verstaan elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés (zoals software), zoals het verzamelen, vastleggen, ordenen, structureren, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.

Een voorbeeld van het verwerken van persoonsgegevens is wanneer de organisatie de contactgegevens van de contactpersonen van haar klanten verzamelt en opslaat in het softwaresysteem Client Relationship Management van de organisatie of in een papieren archiefsysteem.

• Archiveringssysteem

Een archiveringssysteem is elk gestructureerd geheel van persoonsgegevens die volgens specifieke criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd dan wel gedecentraliseerd is of verspreid op een functionele of geografische basis.

Dit impliceert zowel elektronische gestructureerde archiveringssystemen door middel van software of cloud-toepassingen, als papieren dossiers en archiveringssystemen, op voorwaarde dat deze archiveringssystemen op een logische manier georganiseerd en gestructureerd zijn door ze te koppelen aan personen of die aan personen gekoppeld zijn op basis van criteria.

5. Principes die van toepassing zijn bij het verzamelen en verwerken van persoonlijke gegevens

Naast het gebruik van specifieke taal, kent de wetgeving inzake gegevensbescherming een aantal basisprincipes waaraan elke verwerkingsverantwoordelijke moet voldoen om in overeenstemming met deze wetgeving te zijn. In geval van twijfel over de toepassing van deze principes in een concreet geval, kunt u altijd contact opnemen met de DPO voor verdere uitleg en volgens de procedure beschreven in artikel 8.

De wetgeving inzake gegevensbescherming bepaalt dat persoonlijke gegevens verwerkt moeten worden in overeenstemming met de verschillende basisprincipes en de voorwaarden die daaruit voortvloeien.

• Rechtmatigheid

De wetgeving inzake gegevensbescherming bepaalt dat persoonlijke gegevens eerlijk en rechtmatig ten opzichte van de betrokkene moeten worden verwerkt.

Om persoonsgegevens rechtmatig te kunnen verwerken, moet er een wettelijke basis zijn. In principe kunnen persoonsgegevens alleen worden verwerkt wanneer:

• De betrokkene heeft toestemming gegeven. eutronix informeert de betrokkene uiterlijk voordat de gegevens worden verzameld over het doel waarvoor toestemming is vereist, welke persoonsgegevens voor de verwerking worden verzameld, het recht om de toestemming in te trekken, de mogelijke gevolgen voor de betrokkene in de context van geautomatiseerde individuele besluitvorming en profilering en doorgifte naar derde lande;.
• Verwerking is noodzakelijk voor de uitvoering van een contract waarbij de betrokkene partij partij is of om op verzoek van de betrokkene stappen te ondernemen voorafgaand aan het aangaan van een contract;
• De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die aan de organisatie wordt opgelegd;
• De verwerking is noodzakelijk om de vitale belangen van de betrokkene of een andere natuurlijke persoon te beschermen;
• De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of die deel uitmaakt van de uitoefening van het openbaar gezag die is opgedragen aan de organisatie die optreedt als de voor de controller;
• Verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de organisatie als controller of de belangen van een derde, behalve wanneer de fundamentele rechten en vrijheden van de betrokkene met betrekking tot de bescherming van zijn of haar persoonsgegevens zwaarder wegen dan deze belangen.

Als u de organisatie toestemming hebt gegeven voor een specifiek verwerkingsdoel om uw gegevens voor dat doel te verwerken, kunt u deze toestemming te allen tijde intrekken. De organisatie zal dan de verdere verwerking van uw gegevens waarvoor u toestemming hebt gegeven stopzetten en u informeren over de mogelijke gevolgen van uw intrekking van de toestemming. Als de organisatie uw persoonsgegevens voor andere doeleinden verwerkt en zich daarvoor op andere rechtsgronden beroept, kan zij uw persoonsgegevens nog steeds verwerken.

De organisatie zorgt ervoor dat zij altijd verwijst naar ten minste één van de bovengenoemde rechtsgrondslagen wanneer zij persoonsgegevens verwerkt. Als u vragen hebt over de toepasselijke rechtsgrondslag waarnaar de organisatie verwijst, kunt u altijd contact opnemen met de DPO volgens de procedure van artikel 8.

Sommige categorieën persoonsgegevens zijn van gevoelige aard en de gegevensbeschermingswetgeving kent ook een strengere regeling voor deze speciale categorieën persoonsgegevens (ook wel 'gevoelige persoonsgegevens' genoemd). Dit zijn gegevens over ras of etnische afkomst, politieke opvattingen, religieuze of filosofische overtuigingen of vakbondslidmaatschap en de verwerking van genetische gegevens, biometrische gegevens voor de unieke identificatie van een persoon, of gegevens over gezondheid, seksueel gedrag of seksuele geaardheid. Gegevens met betrekking tot strafbare feiten of veroordelingen vormen ook een speciale categorie.

In principe is het verboden om deze gevoelige persoonsgegevens te verwerken, tenzij de organisatie kan verwijzen naar een van de uitzonderingen. In een specifiek beperkt aantal gevallen moet de organisatie gevoelige persoonsgegevens verwerken. In deze gevallen wordt de betrokkene vooraf geïnformeerd. Voor deze specifieke doeleinden zal de organisatie de betrokkene vooraf gedetailleerde informatie verstrekken over de specifieke doeleinden en de rechtsgrondslag van de verwerking. Voor meer informatie over de verwerking van gevoelige persoonsgegevens door de organisatie kunt u altijd contact opnemen met de verantwoordelijke voor gegevensbescherming volgens de procedure beschreven in artikel 8 van dit beleid.

• Eerlijkheid

eeutronix waarborgt dat persoonsgegevens worden verwerkt:utronix ensures that personal data shall be processed:

• Voor specifieke, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en mogen niet verder worden verwerkt op een wijze die onverenigbaar is met de oorspronkelijke doeleinden waarvoor de gegevens zijn verzameld. eutronix zal de doeleinden altijd duidelijk communiceren voordat de verwerking wordt gestart.
• Deze verwerking wordt beperkt tot hetgeen noodzakelijk is voor de doeleinden waarvoor de gegevens zijn verzameld. Indien mogelijk zal eutronix de gegevens anonimiseren of pseudoniemen gebruiken om de impact voor de betrokkene zoveel mogelijk te beperken. Dit betekent dat de naam of identificatiecode wordt vervangen zodat het moeilijk of zelfs onmogelijk is om een individu te identificeren.
• Beperkt in de tijd en alleen als het nodig is voor het specifieke doel.
• Nauwkeurig, en de gegevens worden waar nodig bijgewerkt. eutronix neemt alle redelijke maatregelen om de persoonsgegevens te wissen of bij te werken, rekening houdend met de doeleinden waarvoor ze worden verwerkt.

• Transparantie

eutronix verwerkt persoonsgegevens die zij in beginsel rechtstreeks van de betrokkene heeft ontvangen. De organisatie die de persoonsgegevens van de betrokkene verwerkt, informeert de betrokkene altijd over de volgende zaken:

• Identiteit en contactgegevens van de controller
• Als er een data protection officer is aangesteld, zijn of haar contactgegevens
• Verwerkingsdoeleinden en rechtsgrondslag
• Als de verwerking van persoonsgegevens wordt ondersteund door een gerechtvaardigd belang, een uitleg van dit belang
• Categorieën ontvangers van persoonsgegevens
• Doorgeven van persoonlijke gegevens aan derde landen (buiten de EU) of internationale organisaties (+ op welke basis)
• Tijdslimiet voor de opslag van persoonsgegevens of de criteria die worden gebruikt om de tijdslimiet te bepalen
• Rechten van de betrokkene (inclusief het recht om toestemming in te trekken)
• Het recht om een klacht in te dienen bij de toezichthoudende autoriteit
• Uitleg wanneer de overdracht van persoonsgegevens een contractuele of wettelijke verplichting is
• De logica achter geautomatiseerde besluitvormingsprocessen en de mogelijke juridische gevolgen voor de betrokkene
• Als de organisatie persoonsgegevens ontvangt van een derde partij, informeert zij de betrokkene duidelijk over de categorieën persoonsgegevens die zij van deze derde partij heeft ontvangen en maakt zij deze derde partij ook bekend aan de betrokkene

Wanneer de betrokkene al over alle informatie beschikt, zal de organisatie de betrokkene niet onnodig informeren over de verwerking van zijn of haar persoonsgegevens.

Als eutronix persoonsgegevens verwerkt voor andere doeleinden die onverenigbaar zijn met de oorspronkelijke doeleinden waarvoor de gegevens oorspronkelijk zijn verzameld (het nieuwe doel lijkt niet te zijn beschreven in de oorspronkelijke informatienota en de betrokkene kan er niet van uitgaan dat zijn/haar persoonsgegevens ook voor dit nieuwe doel worden verwerkt), neemt de organisatie alle nodige maatregelen om deze persoonsgegevens rechtmatig te verwerken en informeert zij de betrokkene hierover.

eutronix kan de informatie zowel op collectieve als op individuele basis openbaar maken en zal ervoor blijven zorgen dat deze in duidelijke, begrijpelijke taal is opgesteld.

Specifieke wetgeving kan uitzonderingen bevatten of aanvullende eisen stellen waaraan eutronix moet voldoen met betrekking tot het verstrekken van informatie aan betrokkenen. Deze dwingende wettelijke bepalingen hebben voorrang op dit beleid. may contain exceptions or set additional requirements which eutronix must comply with, with respect to the provision of information to data subjects. These mandatory legal provisions take precedence over this policy.

• Vertrouwelijkheid en integriteit

eutronix neemt de vereiste technische en organisatorische maatregelen om ervoor te zorgen dat de verwerking van persoonsgegevens altijd met de juiste waarborgen plaatsvindt, zodat de gegevens worden beschermd tegen onopzettelijk verlies en tegen onrechtmatige verwerking, vernietiging of beschadiging. eutronix heeft bij de keuze van de juiste beveiligingsmaatregelen rekening gehouden met de aard, context, doel en omvang van de verwerking, de mogelijke risico's bij de verwerking van de persoonsgegevens, de kosten voor het treffen van de maatregelen en de stand van de techniek.

Deze maatregelen zijn van toepassing op de fysieke toegang tot persoonsgegevens, toegang tot de persoonsgegevens via computers, servers, netwerken of andere IT-hardware en softwaretoepassingen en databases. Naast de technische en organisatorische maatregelen zijn de medewerkers van de organisatie die tijdens de uitvoering van hun taken toegang hebben tot persoonsgegevens gebonden aan verschillende verplichtingen om de vertrouwelijkheid en integriteit van persoonsgegevens te waarborgen, zoals samengevat in artikel 9 van dit beleid.

eutronix organiseert trainingen voor de medewerkers die in opdracht van eutronix persoonsgegevens verwerken bij de uitvoering van hun taken. De medewerkers mogen de persoonsgegevens alleen verwerken in opdracht van eutronix of indien de wet hen daartoe verplicht. eutronix zal ook toegangsrechten implementeren, zodat de werknemers alleen toegang hebben tot de gegevens die zij nodig hebben bij het uitvoeren van hun taken. De medewerkers die toegang hebben tot persoonsgegevens ondertekenen een geheimhoudingsverklaring.

eutronix zorgt ervoor dat derden die persoonsgegevens van de organisatie ontvangen, zich houden aan de toepasselijke wetgeving inzake gegevensbescherming en aan dit beleid.

6. Doorgifte van persoonsgegevens

eutronix kan in sommige gevallen genoodzaakt zijn om uw persoonsgegevens door te geven aan derde ontvangers, zowel binnen de ondernemingengroep van de organisatie als daarbuiten. De persoonsgegevens worden in ieder geval enkel op een need-to-know basis overgemaakt aan deze ontvangers die de verwerkingen doorvoeren voor welbepaalde doeleinden. De organisatie neemt steeds de noodzakelijke veiligheidsmaatregelen in acht bij de doorgifte en ten aanzien van de ontvangers om de vertrouwelijkheid en integriteit van de persoonsgegevens te waarborgen.

De doorgifte naar derde partijen kan diverse vormen aannemen zoals hieronder nader omschreven.

• Doorgifte binnen de ondernemingengroep van de organisatie

Het doorgeven van persoonsgegevens binnen de ondernemingengroep van eutronix wordt beschouwd als een doorgifte aan een derde partij. Bijgevolg kan deze doorgifte enkel gebeuren wanneer de organisatie de verschillende principes en verplichtingen van de gegevensbeschermingswetgeving heeft nageleefd. Dit betekent onder andere dat de betrokkene geïnformeerd moet zijn over de doorgifte en de reden van deze doorgifte en dat de doorgevende organisatie zich kan baseren op een juridische grondslag (toestemming van de betrokkene, uitvoering van een overeenkomst, gerechtvaardigd belang, …) voor deze doorgifte. De organisatie dient ook de overige principes zoals opgesomd in artikel 5 van dit beleid na te leven bij deze verdere verwerking.

• Doorgifte aan verwerkers

eutronix kan een derde partij, een verwerker, verzoeken om enkel ten behoeve van en enkel in opdracht van de organisatie persoonsgegevens te verwerken. De verwerker mag deze persoonsgegevens niet verwerken voor eigen doeleinden die losstaan van de doeleinden waarvoor de organisatie beroep doet op de verwerker.

eutronix kan er voor opteren om te werken met deze verwerkers, die diensten leveren op vraag van de organisatie, voor onder andere reisagentschappen, verhuurdiensten, medische en andere professionele adviesverleners, enz.

eutronix zal enkel op verwerkers beroep doen en er persoonsgegevens aan verstrekken wanneer verwerkersovereenkomsten met de verwerkers zijn afgesloten die aan de wettelijke vereisten voldoen. De AVG schrijft onder andere voor dat de overeenkomst een clausule dient te bevatten die aangeeft dat de verwerker de persoonsgegevens enkel kan verwerken op instructie van de organisatie; dat de verwerker bijstand moet verlenen aan de organisatie op haar verzoek; dat gegevens vertrouwelijk moeten blijven; enz.

Een onderdeel van deze verwerkersovereenkomst betreft eveneens de veiligheidsmaatregelen die de verwerker moet implementeren vooraleer de persoonsgegevens te verwerken en tijdens de gehele duur van de verwerking moet hebben om de vertrouwelijkheid en integriteit van de data te waarborgen.

eutronix zal de nodige maatregelen nemen indien zij vaststelt dat haar verwerkers de verplichtingen uit de overeenkomst niet naleven.

Een standaard verwerkersovereenkomst is beschikbaar bij de DPO.

7. Bewaartermijn van persoonsgegevens

eutronix zal persoonsgegevens niet langer bewaren dan noodzakelijk voor het specifieke doeleinde waarvoor de gegevens zijn verzameld. Na verloop van de uiterste bewaartermijn, zal eutronix de 9 persoonsgegevens verwijderen of anonimiseren. eutronix zal de gegevens anonimiseren wanneer zij deze nog wenst te gebruiken voor statistieken. eutronix kan de persoonsgegevens wel langer bewaren voor haar geschillenbeheer, onderzoeken of archiveringsdoeleinden.

8. Rechten van de betrokken individuen

De gegevensbeschermingswetgeving voorziet in verschillende rechten voor de betrokkenen met betrekking tot de verwerking van persoonsgegevens zodat de betrokkene voldoende controle kan blijven uitoefenen over de verwerking van hun persoonsgegevens.

eutronix probeert via huidig beleid reeds zoveel mogelijk informatie te verstrekken aan de betrokkenen om zo transparant mogelijk te zijn wat betreft de verwerking van persoonsgegevens. Dit algemeen beleid dient wel te worden samengelezen met meer specifieke informatienota’s die meer toelichting geven over de specifieke verwerkingsdoeleinden van de organisatie.

eutronix begrijpt dat de betrokkene nog vragen kan hebben of bijkomende verduidelijkingen wenst met betrekking tot de verwerking van zijn persoonsgegevens. De organisatie begrijpt dan ook het belang van de rechten en zal deze rechten dan ook naleven rekening houdende met de wettelijke beperkingen bij de uitoefening van deze rechten. De verschillende rechten worden hieronder nader omschreven.

• Recht op toegang/inzage

De betrokkene heeft het recht om van de organisatie de bevestiging te verkrijgen over het al dan niet verwerken van zijn persoonsgegevens. In het positieve geval kan de betrokkene om inzage van zijn persoonsgegevens vragen.

eutronix zal de betrokkene informeren over de volgende zaken:

• de verwerkingsdoeleinden;
• de betrokken categorieën van persoonsgegevens;
• de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn verstrekt;
• de doorgifte aan ontvangers in derde landen of internationale organisaties;
• if possible, the period during which it is expected that the personal data will be saved, or if this is not possible, the criteria used to determine this period;
• that the data subject has the right to ask the organisation to correct or erase personal data, or to limit the processing of his or her personal data, as well as the right to object to this processing;
• that the data subject has the right to lodge a complaint with a supervisory authority;
• if the personal data are not collected from the data subject, all available information about the source of the data;
• the existence of automated decision-making, including profiling, and meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject.

eutronix shall also supply a copy of the personal data that are being processed. For any further copies requested by the data subject, eutronix may charge a reasonable fee.

• Right to rectification

When the data subject establishes that eutronix has incorrect or incomplete data about him/her, the data subject always has the right to inform the organisation of this fact so that appropriate action can be taken to rectify or supplement these data. It is the data subject’s responsibility to provide correct personal data to eutronix.

• Right to be forgotten

The data subject can ask to have his or her personal data erased if the processing is not in accordance with data protection legislation and within the limits of the law (Article 17 GDPR).

• Right to restriction of processing

The data subject may ask to have the processing restricted if:

• the accuracy of the personal data is contested by the data subject, for a period enabling the controller to check their accuracy;
• the processing is unlawful and the data subject opposes the erasure of the data;
• eutronix no longer needs the data, but the data subject requests that they not be removed, given that he or she needs them for the exercise or defence of legal claims;
• he or she has objected to processing, pending the verification whether the legitimate grounds of the controller override those of the data subject.

• Right to data portability

The data subject has the right to obtain his or her personal data which he or she provided to eutronix in a structured, commonly-used and machine-readable format. The data subject has the right to have those personal data transmitted to another controller (directly by eutronix). This is possible if the data subject has consented to the processing and if the processing is carried out via an automated process.

• Right to object

When personal data are processed for direct marketing purposes (including profiling), the data subject can always object to this processing.

The data subject can also object to processing due to a specific situation regarding the data subject. eutronix shall stop processing the personal data unless the organisation demonstrates compelling legitimate grounds for the processing which override the interests of the data subject or for the exercise or defence of legal claims.

• Automated individual decision-making

The data subject shall have the right not to be subject to a decision based solely on automated processing, including profiling, which produces legal effects concerning him or her or similarly significantly affects him or her such as evaluating personal aspects with respect to the performance of work, reliability, creditworthiness, etc.

This right not to be subjected to such automated decision-making does not exist when the decision is permitted by a mandatory legal provision.

Nor may the data subject invoke this right when the decision is necessary for entering into, or the performance of, a contract between the data subject and eutronix or is based on the data subject's explicit consent. In these last two cases, the data subject does have the right to obtain human intervention from someone at eutronix and he or she has the right to make his or her point of view known and to challenge the automated decision process.

• The right to withdraw consent

If you have given your consent for a specific processing purpose to eutronix in order to process your data, you can withdraw this consent at any time by sending an e-mail.

• Procedure for exercising rights and other provisions

The data subject may exercise his or her rights by sending an e-mail to the DPO on privacy@eutronix.eu or by calling the latter on this number: +32 10 39 49 32. eutronix can ask the data subject to identify himself /herself in order to ensure that it is indeed the data subject requesting to exercise his or her rights.

If you have any questions about the application of the principles or the organisation’s (legal) obligations, you can always contact DPO via privacy@eutronix.eu or +32 10 39 49 32.

In principle eutronix shall respond to the data subject’s request within one month. If not, eutronix shall inform the data subject why the request received no response or why it did not receive a response in good time. eutronix shall take the necessary measures to inform the receivers of the data subject’s personal data about exercising the right to correction, right to erasure or the limitation of processing by the data subject.

9. Employees’ responsibilities

eutronix expects its employees to comply with this policy and it ensures that the persons it is responsible for comply with this policy.

It is crucially important that the employees understand the aims of this policy and familiarise themselves with it so that they can comply with the provisions contained in this policy. The employees must therefore:

• Process the personal data of fellow employees, clients, etc. in a regular and proper way in accordance with the applicable legislation, the employer’s instructions and the company’s privacy policy, and where personal data are processed confidentially and considering their integrity;
• Ask advice from their manager or the DPO if they have doubts about the application of this policy or compliance with data protection legislation when performing their duties;
• Only process personal data when this is required for the performance of duties / on instructions from the organisation;
• Follow training courses about the confidential processing of personal data and the general principles and obligations which result from data protection legislation;
• Provide assistance to the DPO;
• Not save any copies of personal data on their desktop or personal portable storage if the organisation has centralised and secure storage, given that saving your own files or copies can lead to incorrect personal data and higher risks of breaches.
• Immediately inform the DPO if he or she establishes a potential or actual breach of personal data or personal data legislation.

10. Compliance

All entities that are part of the eutronix group guarantee that this policy is complied with. Each person who has access to personal data processed by the organisation must comply with this policy. Non-compliance with this policy can lead to disciplinary measures/sanctions such as a warning, dismissal or any other sanction permitted by law, without prejudice to the right to initiate civil or criminal proceedings.

11. Audit and review

eutronix reserves the right to adjust and review this policy when it deems necessary and to remain coherent with the legal obligations and/or recommendations of the competent supervisory authority for data protection.

eutronix shall inform the DPO when it is impossible for it to comply with this policy due to mandatory legal provisions which are imposed upon the organisation.

12. Entry into force

This policy applies as of July 2024.

13. Technical and organisational security measures

• Organisational measures

- Security consultant

- Security and risk plan

- Security directive

- Raising awareness among staff through training and providing information

- Procedure for reporting physical/technical incidents

- Information classification

- Disciplinary consequences if one of the measures is not complied with

- Recovery plan, contingency plan or emergency plan in the event of physical, technical or other incidents

- Continuity plan

- Plan ensuring that the effectiveness of the organisational/technical measures are regularly checked/evaluated and assessed

- Monthly check of the suitability of the processing systems and services

• Technical measures

- Back-up system

- Measures for fire, a break-in or water damage or physical/technical incidents

- Access control (physical and logical)

- Authentication system

- Password policy

- User ID policy

- Logging system, access detection and analysis

- Patching

- Antivirus

- Firewall

- Network security

- Surveillance, research and maintenance of the systems

- Encryption of Personal Data

- Pseudonymisation of Personal Data

1) A Data Protection Officer must be appointed in the following cases:

• Processing by a government agency or body, with the exception of courts for the performance of judicial functions

• the responsible person is primarily responsible for processing operations which, due to their nature, scope and/or purposes require regular and systematic observation on a large scale of data subjects
  

The responsible person is primarily responsible for the large-scale processing of special categories of data and personal data with respect to criminal convictions and criminal offences.