De door Securex verwerkte gegevens worden strikt vertrouwelijk behandeld in overeenstemming met het medisch beroepsgeheim en de bepalingen van Verordening (EU) 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, kortweg "GDPR".
Doelstellingen van de verwerking van persoonsgegevens
EDPB Securex verbindt er zich als verwerkingsverantwoordelijke toe om de haar overgemaakte persoonsgegevens te verwerken overeenkomstig Verordening (EU) 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke
personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (hierna “AVG”)
- Voor het uitvoeren van de prestaties van een externe dienst voor preventie en bescherming op het werk in uitvoering van de contractuele overeenkomst met de aangesloten werkgever.
- Voor het organiseren en aanbieden van aanvullende diensten zoals griepvaccinatie, medische check-ups, individuele feedback... waarbij de toestemming van de betrokkene vereist is voor de verwerking: de betrokkenen moeten individueel en vrijwillig instemmen met deze aanvullende diensten.
- Na anonimisering van de resultaten
- voor wetenschappelijk en epidemiologisch onderzoek
- collectieve rapportage en adviezen aan werkgevers
- Wanneer de verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting die op de EDPB Securex rust
- In het geval van gegevens van de werkgever of zijn vertegenwoordigers of managers, voor direct marketing, informatieve mailings, vragen van klanten of andere acties ter verbetering van de dienstverlening.
Juridische grondslagen voor de verwerking
De rechtsgrond van de verwerking van persoonsgegevens van werknemers van de bij de EDPB Securex aangesloten werkgevers berust op één of meerdere van onderstaande rechtsgrondslagen:
- de wettelijke verplichting die op verwerkingsverantwoordelijke EDPB Securex rust, op grond van de wet van 4 augustus 1996 betreffende het welzijn van de werknemers bij de uitvoering van hun werk en de Codex over het Welzijn op het Werk.
- de aansluitingsovereenkomst tussen een werkgever en de EDPB Securex: het onderhavig aansluitingscontract geldt eveneens als juridische grondslag van de gegevensverwerking.
- De individuele toestemming van de betrokkenen voor de ontvangst van de aangeboden diensten
De rechtsgrond van de verwerking van persoonsgegevens van contactpersonen of vertegenwoordigers van de bij de EDPB Securex aangesloten werkgevers is het gerechtvaardigd belang met betrekking tot
- Customer Contract & Relation Management: voor bedrijfsvoering en de optimalisatie hiervan
- Direct-marketing-activiteiten: om de diensten van EDPB Securex, alsook de diensten van de andere Securex-entiteiten, te promoten bij haar klanten
Medische gegevens: de medische gegevens die door EDPB Securex verwerkt worden, zijn beschermd door het beroepsgeheim.
Categorieën van betrokkenen
De betrokken categorieën personen zijn de werknemers van en/of alle personen die werkzaamheden verrichten voor de onderneming met een aansluitingsovereenkomst of contract bij de EDPB Securex en/of zijn vertegenwoordigers.
Categorieën verwerkte persoonsgegevens
De categorieën persoonsgegevens die worden verwerkt door de EDPB Securex zijn:
- Sociale en administratieve gegevens over de betrokkene en eventueel zijn werkgever: bv. naam, voornaam, geboortedatum, rijksregisternummer, naam en adres van de werkgever
- Contactgegevens van de betrokkene: adres, telefoonnummer, e-mailadres, huisarts
- Beroepsgegevens: functie, plaats van tewerkstelling, gegevens over de werkpost
- Gezondheids- en/of medische gegevens
- Blootstellingsgegevens wanneer de persoon is blootgesteld aan bepaalde risico's of agentia
- Specifieke gegevens van persoonlijke aard ter bevordering van de gezondheid en het welzijn van de werknemer: familiegeschiedenis, sport, roken, alcoholgebruik
- Indien van toepassing, gegevens over geestelijke gezondheid en/of psychosociaal welzijn
Bewaringsduur van de gegevens
Behoudens afwijkende toepasselijke regelgevende bepalingen, wordt het gezondheidsdossier ten minste vijftien jaar na het vertrek van de werknemer bewaard (artikel Art. I.4-89.- § 2 van de Codex over het Welzijn op het Werk).
Overige persoonsgegevens worden bewaard zolang als nodig voor de doeleinden vermeld en volgens de geldende wetsbepalingen.
Gegevensbescherming
Overeenkomstig de geldende wetgeving zorgt EDPB Securex voor een passend beschermingsniveau voor persoonsgegevens. Deze maatregelen omvatten de technische en organisatorische maatregelen die nodig zijn om de persoonsgegevens te beschermen tegen toevallige of ongeoorloofde vernietiging, tegen toevallig verlies, evenals tegen de wijziging van, de toegang tot, en iedere andere niet toegelaten verwerking van persoonsgegevens.
EDPB Securex wijst er niettemin op dat geen enkel beveiligingssysteem 100% veiligheid kan waarborgen. Men kan echter steeds met ons contact opnemen voor alle vragen over de vertrouwelijkheid en veiligheid van uw persoonsgegevens.
Ontvangers van de gegevens
Het kan gebeuren dat EDPB Securex bepaalde persoonsgegevens doorgeeft aan de toezichthoudende autoriteiten, aan onze advocaten, aan onze deskundigen of aan gerechtelijke instanties. Aanvullend:
Bepaalde van die gegevens worden daarnaast doorgegeven aan onze onderaannemers, die bepaalde diensten verlenen in de strikte context van een onder aannemingsovereenkomst en met als enig doel EDPB Securex technische bijstand te verlenen.
Nominatieve gegevens en uitgevoerde taken of diensten kunnen aan de werkgever worden meegedeeld op specifiek verzoek of om de transparantie bij bv. facturatie te vergroten. Andere persoonlijke of medische gegevens zullen nooit worden doorgegeven aan derden, een werkgever of zijn personeelsdienst.
Werkgevers kunnen een collectief rapport met de nodige adviezen ontvangen. Daarvoor worden de betrokken gegevens anoniem verwerkt en opgeslagen en nooit aan een werkgever of zijn personeelsdienst ter beschikking gesteld
Indien de aangesloten werkgever tevens aangesloten is bij andere juridische entiteiten die deel uitmaken van de economische entiteit Groep Securex (hierna “andere Securex-entiteiten”), komt het voor dat EDPB Securex bepaalde persoonsgegevens doorgeeft aan andere Securex-entiteiten met het oog op het accuraat houden van onze gegevensdatabank. De volledige lijst van andere Securex-entiteiten kan worden geraadpleegd op www.securex.be of kan op eerste verzoek worden meegedeeld.
Doorgifte van gegevens aan derde landen
EDPB Securex geeft geen persoonsgegevens door buiten de EER. Indien een gegevensoverdracht naar een land buiten de EER toch noodzakelijk mocht zijn, zal EDPB Securex passende waarborgen treffen in overeenstemming met de wetgeving inzake gegevensbescherming en ervoor zorgen dat er afdwingbare rechten en doeltreffende rechtsmiddelen voor de betrokkenen beschikbaar zijn
Rechten van de betrokkenen
De betrokkenen kunnen kennisnemen van de gegevens en deze eventueel laten verbeteren door middel van een gedateerd en ondertekend verzoek, dat samen met een recto verso kopie van de identiteitskaart en de naam van de behandelende arts via e-mail wordt verstuurd naar het adres privacy.sep@securex.be of via de post naar Groep Securex, Data Protection Officer, Tervurenlaan 43, 1040 Brussel. De gegevens worden vervolgens via de behandelende arts overgemaakt. Deze betrokkenen kunnen zich bovendien volgens dezelfde modaliteiten, en binnen de grenzen die worden vastgesteld door de AVG, verzetten tegen de gegevensverwerking, of vragen dat die verwerking wordt beperkt. Ze kunnen ook vragen dat de op hen betrekking hebbende gegevens gewist of overgedragen worden. Meer informatie kan op hetzelfde adres worden verkregen.
Indien de betrokkene denkt dat er een inbreuk werd gemaakt op de GDPR, dan heeft hij het recht om een klacht in te dienen bij de toezichthoudende gegevensautoriteit. In België is dat de Gegevensbeschermingsautoriteit, https://www.gegevensbeschermingsautoriteit.be/burger