Privacy

Uw privacy is heel belangrijk voor ons. We hebben dit Beleid inzake Gegevensbescherming ontwikkeld zodat u  begrijpt hoe we uw Persoonsgegevens verzamelen, gebruiken, opslaan, delen, doorzenden, doorgeven, wissen of anderszins verwerken (gezamenlijk 'verwerken'). Dit Beleid inzake Gegevensbescherming beschrijft de maatregelen die we nemen om uw Persoonsgegevens te beschermen. We delen u ook mede hoe u ons kunt bereiken om een antwoord te krijgen op alle vragen die u eventueel hebt in verband met uw Persoonsgegevens. 

TOEPASSINGSGEBIED

Het Beleid inzake Gegevensbescherming geldt voor Sodexo Nederland B.V. en de met haar in een groep verbonden entiteiten   (hierna 'Sodexo' genoemd), voor alle dimensies en activiteiten,  waarop de Algemene Verordening Gegevensbescherming (“AVG”) van toepassing is.

Dit Beleid is van toepassing op de Verwerking van Persoonsgegevens die door Sodexo verzameld worden, hetzij rechtstreeks, hetzij onrechtstreeks, en die betrekking hebben op natuurlijke personen, met inbegrip van onder meer de huidige, voormalige of toekomstige sollicitanten en werknemers van Sodexo, klanten, consumenten, kinderen, leveranciers/dienstverleners, partners/onderaannemers, aandeelhouders of  derden, met dien verstande dat onder 'Persoonsgegevens' wordt verstaan  alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon of over een persoon die  geïdentificeerd kan worden met middelen die redelijkerwijs kunnen worden aangewend voor deze identificatie.  .

In dit Beleid wordt met 'u' en 'uw' bedoeld iedere natuurlijke persoon waarvoor dit Beleid geldt. Onder 'wij/we', 'ons/onze' en 'Sodexo' wordt de wereldwijde groep van Sodexo-entiteiten verstaan.

Verzameling en verwerking van uw Persoonsgegevens

Naleving van de Europese wetgeving inzake gegevensbescherming en alle andere van toepassing zijnde plaatselijke wetgeving inzake gegevensbescherming

We zijn gehouden tot naleving van iedere van toepassing zijnde wetgeving inzake Persoonsgegevens en we garanderen dat Persoonsgegevens verzameld en verwerkt worden conform de bepalingen van de Europese wetgeving inzake gegevensbescherming en alle eventueel van toepassing zijnde plaatselijke wetgeving.

Rechtmatigheid, behoorlijkheid en transparantie

We verzamelen en verwerken geen Persoonsgegevens zonder daarvoor een rechtmatige reden te hebben. De verzameling en verwerking van uw Persoonsgegevens kan noodzakelijk zijn voor de uitvoering van een overeenkomst waarbij u partij bent of om te voldoen aan een wettelijke verplichting die op ons rust. Verzameling en verwerking is eventueel ook mogelijk met uw voorafgaande toestemming. Het verzamelen en verwerken van uw Persoonsgegevens kan ook voor de behartiging van de gerechtvaardigde belangen van Sodexo, behalve wanneer uw belangen of grondrechten en fundamentele vrijheden zwaarder wegen dan de belangen van Sodexo.

Wanneer we uw Persoonsgegevens verzamelen en verwerken, zullen we u  behoorlijke en volledige informatie verstrekken of een privacyverklaring ter beschikking stellen, waarin is aangegeven wie verantwoordelijk is voor de verwerking van uw Persoonsgegevens, voor welke doeleinden uw Persoonsgegevens verwerkt worden, wie de ontvangers zijn, welke rechten u hebt en hoe u die kunt uitoefenen, enz., tenzij dit onmogelijk blijkt te zijn of onevenredig veel inspanning zou vergen.

Indien de van toepassing zijnde wetgeving dit vereist, zullen we uw voorafgaande toestemming vragen (bijvoorbeeld in het geval we Gevoelige Persoonsgegevens verzamelen).

Gerechtvaardigde doeleinden, doelbinding en gegevensminimalisering

Uw Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt.

Als Sodexo zijn eigen belangen behartigt, worden uw Persoonsgegevens vooral verwerkt voor de volgende doeleinden (niet-limitatieve opsomming): personeelswerving en het beheer daaromtrent, personeelsmanagement, boekhouding en financieel beheer, financiën, beheer van kasmiddelen en fiscaal beheer, risicobeheer, beheer van personeelsveiligheid, verschaffing van IT tools of interne websites en alle andere digitale oplossingen of gezamenlijke platforms, beheer IT ondersteuning, systemen en applicaties, gezondheids- en veiligheidsbeheer, informatiebeveiligingsbeheer, klantrelatiebeheer, offertes, sales and marketing management, aanbodbeheersing, interne en externe communicatie en management van gebeurtenissen, voldoening aan verplichtingen inzake witwasbestrijding of aan andere wettelijke vereisten, gegevensanalyse, legal corporate management en implementatie van compliance procedures.

Juistheid van de gegevens en opslagbeperking

Sodexo zal ervoor zorgen dat de verwerkte Persoonsgegevens juist zijn en zo nodig geactualiseerd worden. Bovendien bewaren wij de Persoonsgegevens niet langer dan noodzakelijk is voor de doeleinden waarvoor ze werden verzameld, ook om te voldoen aan wettelijke, boekhoudkundige of rapportagevereisten.

Daarnaast, houden wij indien nodig de persoonsgegevens bij om Sodexo in staat te stellen om zich te verdedigen of om een recht te doen gelden.

Als u meer informatie nodig heeft over de bewaartermijnen van uw Persoonsgegevens zoals uiteengezet in ons Beleid voor de bewaring van persoonsgegevens, kunt u contact met ons opnemen op het volgende e-mailadres: dataprivacy.nl@sodexo.com. Na het verstrijken van de toepasselijke bewaartermijn zullen wij Uw persoonsgegevens vernietigen in overeenstemming met de voorschriften van de AVG.

Beveiliging van uw Persoonsgegevens

We treffen de passende technische en organisatorische maatregelen die vereist zijn, om uw Persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige wijziging of verlies, of ongeoorloofd gebruik, mededeling, toegang, overeenkomstig ons Groepsbeleid inzake Informatiebeveiliging en systemen.

We nemen, indien nodig, alle redelijke maatregelen die voldoen aan de beginselen van gegevensbescherming door ontwerp (“privacy by design”) en gegevensbescherming  door standaardinstellingen (“privacy by default”), teneinde de noodzakelijke beveiligingen te implementeren en de Verwerking van Persoonsgegevens te beschermen.

Afhankelijk van het risiconiveau verbonden aan de verwerking, voeren we eveneens een impactbeoordeling inzake privacy (“privacy impact assessment” of “PIA”) uit om passende beveiligingsmaatregelen te kunnen nemen en de bescherming van de Persoonsgegevens te kunnen garanderen.

We nemen ook extra maatregelen tot beveiliging van gegevens die als Gevoelige Persoonsgegevens beschouwd worden.

Delen van uw Persoonsgegevens

Wij delen uw persoonsgegevens in de volgende gevallen mee:

  • Met Sodexo-entiteiten, voor de doeleinden beschreven in dit Beleid;
  • Met derden, met inbegrip van bepaalde gemachtigde externe dienstverleners, uitsluitend voor de hierboven beschreven doeleinden en in het kader van de diensten die wij leveren;
  • Met bedrijven die diensten leveren ter bestrijding van het witwassen van geld en financiering van terroristische activiteiten, en andere vormen van fraude of illegale activiteiten en met derden die soortgelijke diensten verlenen, zoals financiële instellingen of toezichthouders;
  • Met de rechtbanken, wetshandhavingsinstanties, regelgevende instanties, overheidsinstanties, en met andere partijen wanneer dit redelijkerwijs noodzakelijk is voor de uitoefening of verdediging van een recht of voor buitengerechtelijke geschillenbeslechting;
  • Met interne of externe dienstverleners die we lokaal of in een derde land aannemen, voor de verwerking namens ons van persoonsgegevens voor de hierboven beschreven doeleinden (bijvoorbeeld shared service centers);
  • In geval van verkoop, fusie of overname van bedrijven of activa, in welk geval we uw persoonsgegevens aan de potentiële koper of verkoper kunnen doorgeven om rechten of verplichtingen toe te kennen of te vernieuwen.

Internationale doorgifte van Persoonsgegevens

De AVG staat het doorgeven van Persoonsgegevens naar landen buiten de EER die geen passend beschermingsniveau van gegevensbescherming hebben, niet toe. Sommige derde landen waar Sodexo actief is, bieden niet hetzelfde niveau van bescherming van persoonsgegevens als het land waar U woont en worden door de Europese Commissie niet beschouwd als landen met een passend niveau van bescherming van de Persoonsgegevens van natuurlijke personen.

Voor het doorgeven van uw Persoonsgegevens naar dergelijke landen, naar entiteiten die al dan niet deel uitmaken van de Sodexo-groep, biedt Sodexo een andere passende waarborg voor het beschermen van uw Persoonsgegevens. U zult meer informatie over de doorgifte van uw Persoonsgegevens naar landen buiten de EEE krijgen door middel van informatie notificaties of in een passend privacybeleid, op het moment dat uw Persoonsgegevens verzameld worden.

Als U meer informatie wenst, met inbegrip van een overzicht van de documenten die worden gebruikt om uw persoonsgegevens te beschermen, kunt U contact met ons opnemen op het volgende adres: dataprivacy.nl@sodexo.com.  

Cookies

Wij kunnen op sommige websites 'cookies' gebruiken. Cookies zijn tekstbestanden die op de harde schijf van onze computers bewaard worden wanneer u bepaalde websites bezoekt. We kunnen bijvoorbeeld cookies gebruiken om te weten of u onze site al dan niet eerder bezocht hebt of om te weten voor welke onderwerpen u de grootste interesse hebt. Wij kunnen ook cookies gebruiken om het verkeer te analyseren voor advertentiedoeleinden.

Cookies kunnen uw online bezoek veraangenamen door het bewaren van uw voorkeuren terwijl u de website bezoekt. Wanneer u onze websites bezoekt, zullen wij u meedelen welke soorten van cookies wij gebruiken en hoe u die cookies kunt blokkeren. Wanneer dit wettelijk vereist is, zult u bij het bezoek van onze websites altijd het gebruik van cookies op Uw computer kunnen weigeren. Indien u hierover meer informatie wenst, kunt u ons beleid voor het beheer van cookies  raadplegen via https://nl.sodexo.com/algemene-voorwaarden/cookiebeleid.html.

Uw rechten

Sodexo is gehouden tot de bescherming van uw rechten, verleend door de van toepassing zijnde wetgeving. Hieronder vindt u een tabel met een overzicht van uw verschillende rechten:

Recht van inzage en tot rectificatie

U kunt vragen naar een overzicht van uw Persoonsgegevens waarover wij beschikken. U kunt ook de rectificatie van onjuiste Persoonsgegevens of de vervollediging van uw Persoonsgegevens vragen.

Recht op het wissen van gegevens/ recht op vergetelheid

Door uw recht op vergetelheid kunt u in de volgende gevallen het wissen van uw Persoonsgegevens vragen, wanneer:

(i)               de gegevens niet langer nodig zijn voor de doeleinden waarvoor zij werden verzameld;

(ii)              U trekt uw toestemming in;

(iii)             U oefent uw bezwaar tegen de verwerking van uw Persoonsgegevens uit;

(iv)             Uw Persoonsgegevens onrechtmatig werden verwerkt;

(v)              er een wettelijke verplichting bestaat tot het wissen van uw Persoonsgegevens;

(vi)             het wissen van de gegevens vereist is om te voldoen aan de van kracht zijnde wetgeving.

Recht op beperking van de verwerking

U heeft het recht de beperking van de verwerking van uw Persoonsgegevens te eisen, in de volgende gevallen:

(i)               U de juistheid van de Persoonsgegevens betwist;

(ii)              Sodexo de persoonsgegevens niet meer nodig heeft voor de verwerkingsdoeleinden;

(iii)             U op gerechtvaardigde gronden bezwaar heeft gemaakt tegen de verwerking.

Recht op overdraagbaarheid van gegevens

Eventueel kunt u vragen uw aan Sodexo verstrekte Persoonsgegevens te verkrijgen in een gestructureerde, gangbare en machineleesbare vorm en u heeft het recht die gegevens aan een andere Verwerkingsverantwoordelijke over te dragen, zonder daarbij te worden gehinderd door Sodexo, indien:

(a)        de verwerking van uw Persoonsgegevens berust op toestemming of op een overeenkomst; en

(b)        de verwerking via geautomatiseerde procedés wordt verricht.

U kunt ook vragen dat uw Persoonsgegevens naar een door u gekozen derde worden doorgezonden (indien dit technisch mogelijk is).

Recht van bezwaar

U heeft het recht bezwaar te maken (d.w.z. uw herroepingsrecht uit te oefenen) tegen de verwerking van uw Persoonsgegevens (in het bijzonder ten behoeve van profilering of marketingcommunicatie). Als we uw Persoonsgegevens verwerken op basis van Uw toestemming, kunt u uw toestemming te allen tijde herroepen.

Recht om niet te worden onderworpen aan een op geautomatiseerde verwerking gebaseerd besluit

U heeft het recht om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit, waaronder profilering,  waaraan voor u rechtsgevolgen zijn verbonden of dat u in aanmerkelijke mate treft.

Recht om klacht in te dienen bij de bevoegde Toezichthoudende Autoriteit

U kunt besluiten om een klacht in te dienen bij de toezichthoudende autoriteit van Uw gewone verblijfplaats, Uw werkplaats, of van het land waar de inbreuk werd gepleegd. U heeft ook het recht om gerechtelijke stappen te ondernemen voor de rechtbanken van het land waar de Sodexo-entiteit een vestiging heeft.

Om deze rechten uit te oefenen, kunt u uw Verzoek verzenden conform de procedure uiteengezet in de privacyverklaring, waarvan u kennis hebt genomen op het moment dat uw Persoonsgegevens verzameld werden en/of verzenden naar uw Local Special Data Protection Point of Contact op volgende adres dataprivacy.nl@sodexo.com

U kunt ook een e-mail verzenden naar de Data Protection Officer, op het volgende e-mailadres: dpo.group@sodexo.com.

Kinderen

Kinderen hebben met betrekking tot hun Persoonsgegevens recht op specifieke bescherming, aangezien zij zich allicht minder bewust zijn van de betrokken risico's, gevolgen en waarborgen en van hun rechten in verband met de verwerking van Persoonsgegevens. Die specifieke bescherming moet met name gelden voor het gebruik van Persoonsgegevens van kinderen voor marketingdoeleinden of voor het opstellen van persoonlijkheids- of gebruikersprofielen en het verzamelen van Persoonsgegevens over kinderen bij het gebruik van rechtstreeks aan kinderen verstrekte diensten.

Indien een toestemming van de persoon die de ouderlijke verantwoordelijkheid draagt vereist is, verzamelen en verwerken we geen Persoonsgegevens van kinderen zonder deze toestemming. Meer bepaald maken we geen reclame bestemd voor kinderen en verlenen wij geen diensten aan kinderen, behalve voor specifieke diensten en met de toestemming van de persoon die de ouderlijke verantwoordelijkheid draagt. Indien u denkt dat wij per vergissing Persoonsgegevens van kinderen verzameld hebben, verzoeken wij u ons hiervan op de hoogte te brengen. Maak daarvoor gebruik van de onderstaande contactgegevens onder het kopje “Contact”.

Wijziging

Af en toe kunnen we ons Globaal Beleid inzake Gegevensbescherming updaten, omdat onze handelsactiviteit en de wettelijke verplichtingen kunnen veranderen. Indien we belangrijke veranderingen aan dit beleid aanbrengen, zullen we op onze website meedelen wanneer de veranderingen van kracht worden. Indien nodig zullen we u rechtstreeks informeren over de verandering.

Contact

Indien u vragen, opmerkingen of verzoeken heeft in verband met het huidige Beleid, kunt u contact opnemen met uw Local Special Data Protection Point of Contact via dataprivacy.nl@sodexo.com.

U kunt ook een e-mail verzenden naar de Group Data Protection Officer, op het volgende e-mailadres: dpo.group@sodexo.com of een brief sturen naar: Sodexo S.A. Group Data Protection Officer, 255 Quai de la Bataille de Stalingrad, 92130 Issy-Les-Moulineaux, France.

Definities

Betrokkene: elke geïdentificeerde of identificeerbare natuurlijke persoon waarvan de Persoonsgegevens worden verwerkt.

Derde land: elk land, grondgebied of sector gedefinieerd in dat land, buiten de Europese Unie (EU) en de Europese Economische Ruimte (EER).

Derde persoon: betekent elk bedrijf of andere entiteit niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken.

Europese wetgeving inzake gegevensbescherming of Algemene Verordening Gegevensbescherming (AVG) betekent Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG.

Group Data Protection Officer betekent de persoon die met goedkeuring van het Directiecomité van de Sodexo Group is aangesteld om verantwoordelijk te zijn voor aangelegenheden met betrekking tot de vertrouwelijkheid van persoonsgegevens op het niveau van de Sodexo - groep.

Local Special Data Protection Point of Contact betekent de persoon die door een Sodexo-entiteit werd aangesteld en die belast is met het behandelen van plaatselijke vragen in verband met privacy. Die contactpersoon maakt deel uit van het Global Data Protection Network.

Persoonsgegevens betekent alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

Verwerker: betekent de  persoon of orgaan die/dat ten behoeve van en onder de instructies van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt

Verwerkingsverantwoordelijke betekent elke natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

Verwerking of Verwerking van Persoonsgegevens betekent een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

Gevoelige Persoonsgegevens en andere Bijzondere categorieën van persoonsgegevens: betekent alle Persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, alsook genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Onder deze definitie vallen ook de Persoonsgegevens die betrekking hebben op strafrechtelijke veroordelingen en strafbare feiten.

Sodexo-groep betekent elke entiteit die rechtstreeks of onrechtstreeks gecontroleerd wordt, onder voorwaarden voorzien door de wet, door Sodexo S.A., naamloze vennootschap onder Frans recht, met maatschappelijke zetel gevestigd te 255, Quai de la Bataille de Stalingrad – 92130 Issy-les-Moulineaux, ingeschreven in het handelsregister van “les Sociétés de Nanterre” onder het nummer 301 940 219.

Toezichthoudende Autoriteit betekent een door een lidstaat ingevolge de AVG ingestelde onafhankelijke overheidsinstantie.