Privacybeleid

Invoering

Dit document is een verklaring van het privacybeleid van het bedrijf en wordt verstrekt met de bedoeling te voldoen aan uw recht om geïnformeerd te worden onder de Algemene Verordening Gegevensbescherming. Dit beleid is van toepassing op iedereen met wie we interactie hebben, inclusief werknemers, klanten en potentiële klanten.

Wie zijn wij?

Wij handelen als The Masters Golf Company Limited en andere gerelateerde bedrijven die wij 'Masters' noemen en om redenen van eenvoud, wanneer dit beleid verwijst naar de 'maatschappij', 'wij' en 'ons', betekent dit: - Masters en zijn merken.

Wettelijke verplichtingen

Er zijn verschillende redenen waarom we uw persoonlijke gegevens kunnen verzamelen en verwerken zoals gedefinieerd onder de wetgeving inzake gegevensbescherming.

Deze omvatten Toestemming, Contractuele verplichtingen, Juridische naleving en Gerechtvaardigd belang.

Toestemming

Bij gelegenheid kunnen we uw gegevens verzamelen en verwerken met uw toestemming.

Bijvoorbeeld, u kunt ons vragen om u op de hoogte te houden van speciale aanbiedingen enz.

Contractuele verplichtingen

In bepaalde omstandigheden hebben we uw persoonlijke gegevens nodig om aan onze contractuele verplichtingen te voldoen.

Bijvoorbeeld, wanneer u een bestelling bij ons plaatst, verzamelen we uw adresgegevens en geven deze door aan onze koerier om uw aankoop te bezorgen. We zullen ook de factuur elektronisch naar u doorsturen.

Juridische naleving

Als de wet ons verplicht, moeten we mogelijk uw gegevens verzamelen en verwerken.

Bijvoorbeeld, we kunnen details doorgeven van mensen die betrokken zijn bij fraude of andere criminele activiteiten.

Bijvoorbeeld, we kunnen details doorgeven van personen die betrokken zijn bij fraude of andere criminele activiteiten die de onderneming(en) beïnvloeden aan wetshandhavingsinstanties.

Gerechtvaardigd belang

In specifieke situaties hebben we uw gegevens nodig om onze legitieme belangen na te streven op een manier die redelijkerwijs kan worden verwacht als onderdeel van het runnen van onze onderneming en die geen materiële impact heeft op uw rechten, vrijheden of belangen.

Bijvoorbeeld, we kunnen uw aankoopgeschiedenis gebruiken om u gepersonaliseerde aanbiedingen te sturen of beschikbaar te stellen.
We zullen ook de aankoopgeschiedenis van veel klanten combineren om trends te identificeren en ervoor te zorgen dat we de vraag kunnen bijhouden of nieuwe producten of diensten kunnen ontwikkelen.

Dit beleid is van toepassing op het vasthouden en verwerken van persoonlijke gegevens in welke vorm dan ook, hetzij handmatig of elektronisch, en omvat alle activiteiten en functies op het gebied van personeelszaken van het bedrijf.

Het is van toepassing op de persoonlijke gegevens van huidige en voormalige werknemers, stagiaires, fulltime, tijdelijke en casual werknemers, sollicitanten, stagiaires, vrijwilligers en aannemers (individuen).

Masters is toegewijd aan het waarborgen dat persoonlijke gegevens, inclusief speciale categorieën van persoonlijke gegevens en gegevens over strafbare feiten, worden verwerkt in overeenstemming met de GDPR en enige gerelateerde Britse wetgeving, en dat alle individuen zich houden aan de vereisten van dit en andere gerelateerde beleidsmaatregelen. Het bedrijf begrijpt dat het verantwoordelijk is voor de verwerking van persoonlijke gegevens en dat elke derde partij die persoonlijke gegevens namens het bedrijf verwerkt, de nodige maatregelen neemt om de verplichtingen en toezeggingen van het bedrijf ter bescherming van persoonlijke gegevens na te komen.

Het bedrijf heeft een Functionaris Gegevensbescherming aangesteld die verantwoordelijk is voor de naleving van de gegevensbescherming binnen het bedrijf. Deze persoon is verantwoordelijk voor de verwerking en controle van persoonlijke gegevens die door het bedrijf worden beheerd, het auditen en herzien van de processen, systemen en procedures voor gegevensbescherming en ervoor te zorgen dat alle gegevens worden beschermd.
De Functionaris voor Gegevensbescherming kan worden bereikt door te bellen naar 01275 815200 of via e-mail naar dpo@masters.co.uk.

Definities

Persoonsgegevens: is alle informatie die betrekking heeft op een individu dat direct of indirect kan worden geïdentificeerd aan de hand van die informatie. Dit kan de naam van het individu zijn, elk identificatienummer, code of informatie die kan leiden tot het identificeren van hen of hun locatie.

Gegevensverwerking:is elk gebruik dat wordt gemaakt van de persoonlijke gegevens, of het nu gaat om het verzamelen, opslaan, wijzigen, registreren, openbaar maken op welke manier dan ook of vernietigen van de persoonlijke gegevens. Het vasthouden van gegevens is op zichzelf gegevensverwerking.

Bijzondere categorieën persoonsgegevens: betekent gegevens over de gezondheid, ras, etnische afkomst, seksleven, seksuele geaardheid, religie, filosofische overtuigingen, politieke opvattingen, lidmaatschap van een vakbond, genetische en biometrische gegevens van een individu.

Gegevens over strafbare feiten:is gegevens over de criminele veroordelingen, misdrijven, beschuldigingen of procedures van een individu.
 

Hoe we uw persoonlijke informatie zullen gebruiken voor zakelijke activiteiten: -

• om onze relatie met u te beheren en te onderhouden, inclusief het opzetten en onderhouden van uw accountfaciliteit;
• om bestellingen van u voor goederen en diensten te verwerken;
• om eventuele vragen die wij van u ontvangen te behandelen;
• voor de doeleinden van enige corrigerende actie (inclusief een productterugroep) die mogelijk vereist is met betrekking tot een van de producten die wij aan u leveren;
• om te voldoen aan de toepasselijke wetten, regels en voorschriften;
• om u te voorzien van details over onze productassortimenten, diensten en promoties;
• om u op de hoogte te stellen van wijzigingen in onze activiteiten;
• af en toe controles uit te voeren bij kredietreferentieagentschappen (bijvoorbeeld bij het indienen van een aanvraagformulier voor een handelsrekening of een verzoek om een kredietlimiet te wijzigen); en
• voor de doeleinden van het innen van een schuld in geval van niet-betaling.
   

 Wij zijn de verwerkingsverantwoordelijke en wij zijn ook de verwerker van deze informatie. Deze gegevens zijn verzameld met uw toestemming op basis van uw eerdere verstrekking van deze informatie, uw ontvangst van marketingcommunicatie van ons en/of uw aankoop of interesse in onze producten en diensten.

U kunt onze Functionaris voor Gegevensbescherming e-mailen op dpo@masters.co.ukof bel 01275 815200

Uw gegevens zullen worden gebruikt om u te blijven voorzien van details en informatie met betrekking tot de producten en diensten die worden aangeboden door Masters en zijn merken. Dit gebeurt op basis van uw voortdurende toestemming. Mocht u uw toestemming intrekken, dan worden uw gegevens bewaard en toegevoegd aan onze 'Afgemelde Gebruiker' lijsten, zodat we ons ervan bewust zijn u geen details en informatie meer te verstrekken met betrekking tot onze producten en diensten.

Uw gegevens worden bewaard totdat u verzoekt dat wij u geen details en informatie meer verstrekken met betrekking tot onze producten en diensten, en voor een verdere periode van 6 jaar daarna. Deze periode is vastgesteld ter bescherming van onze organisatie in het geval van een klacht of claim wegens contractbreuk of professionele nalatigheid. Als een dergelijke claim is ingediend, worden de gegevens gedurende een periode van 6 jaar na de oplossing van die claim bewaard en voor 6 jaar na de oplossing van eventuele verdere claims. Deze periode is bepaald ter bescherming van de organisatie in het geval van claims wegens professionele nalatigheid of contractbreuk, in het geval wij vertegenwoordiging gebruiken om claims te verdedigen.

Gegevensbeschermingsbeginselen

Alle persoonlijke gegevens die door het bedrijf zijn verkregen en vastgehouden, zullen worden verwerkt volgens de volgende principes voor gegevensbescherming. Het bedrijf zal:

• verwerk persoonlijke gegevens eerlijk, wettig en op een transparante manier,
• verkrijg persoonlijke gegevens alleen voor specifieke, expliciete en legitieme doeleinden,
• verwerk persoonlijke gegevens alleen waar dit adequaat, relevant en beperkt is tot wat noodzakelijk is voor de doeleinden van de verwerking,
• houd nauwkeurige persoonlijke gegevens bij en neem redelijke stappen om onnauwkeurige persoonlijke gegevens te corrigeren of deze zonder vertraging te verwijderen
• bewaar persoonlijke gegevens alleen voor de tijdsduur die nodig is voor de verwerking en niet langer dan nodig is voor het aangegeven doel,
• zorg ervoor dat persoonlijke gegevens veilig worden bewaard en worden beschermd tegen ongeautoriseerde of onwettige verwerking, accidenteel verlies, vernietiging of schade,
• zorg ervoor dat persoonlijke gegevens die naar een land buiten de Europese Economische Ruimte worden overgedragen (EER) zal gebaseerd zijn op de vereiste GDPR-procedures voor de internationale overdracht van persoonlijke gegevens.

Individuele gegevensbeschermingsrechten

Het bedrijf erkent dat individuen rechten hebben op gegevensbescherming en verbindt zich ertoe dat persoonlijke gegevens zullen worden verwerkt in overeenstemming met deze rechten. Individuen hebben het recht:

 

• om geïnformeerd te worden over hun gegevensbeschermingsrechten
• om geïnformeerd te worden over de redenen voor de verwerking van gegevens, de juridische basis waarop de gegevens worden verwerkt, hoe het bedrijf de gegevens gebruikt en beschermt, de bron van de informatie als deze niet door de persoon is verstrekt en de tijdsperioden waarin de informatie zal worden bewaard,
• om een verzoek om inzage in de gegevens in te dienen,
• om eventuele onnauwkeurigheden in de informatie snel te laten corrigeren (rectificeren),
• om informatie te laten verwijderen of wissen,
• de verwerking van gegevens te stoppen als de belangen van de persoon zwaarder wegen dan de legitieme gronden van het bedrijf voor het verwerken van de gegevens (waar dit de reden is/was voor het verwerken van de gegevens)
• om de verwerking van gegevens voor een bepaalde periode te stoppen wanneer de gegevens onnauwkeurig zijn of wanneer er een geschil is over de vraag of de belangen van een individu zwaarder wegen dan de legitieme gronden van het bedrijf voor de verwerking van de gegevens.
• om de verwerking te stoppen of te eisen dat gegevens worden gewist waar de verwerking onwettig is
• om een klacht in te dienen bij de Informatiecommissaris als de persoon denkt dat het bedrijf niet heeft voldaan aan de gegevensbeschermingsrechten van de persoon
• om geïnformeerd te worden aan wie de gegevens van de individuele persoon kunnen worden bekendgemaakt, als dergelijke ontvangers zich binnen of buiten de EER bevinden en de waarborgen die van toepassing zijn op dergelijke overdrachten,
• weten of het bedrijf gebruikmaakt van geautomatiseerde besluitvorming of profilering van persoonlijke gegevens en de logische basis van dergelijke besluitvorming.

Bedrijfsacties om gegevensbescherming te implementeren

Het bedrijf heeft een of meer personen aangesteld die verantwoordelijk zijn voor het uitvoeren van de taken en verantwoordelijkheden van het bedrijf met betrekking tot gegevensbescherming zoals hierboven beschreven.

Het bedrijf zal gegevens bijhouden van en verantwoording afleggen over de persoonlijke gegevens die het heeft verzameld en in bezit heeft, waar de gegevens zijn verkregen, met wie ze worden of zullen worden gedeeld en de verwerking van persoonlijke gegevens die het uitvoert.

Het bedrijf zal alle betrokken personen informeren over hun gegevensbeschermingsrechten onder de GDPR en dit beleid zoals vereist en door het verstrekken van een Privacyverklaringindien van toepassing.

Het bedrijf zal individuen trainen over het belang van bescherming van persoonlijke gegevens en hoe zij de taken en verantwoordelijkheden van het bedrijf in hun werk kunnen implementeren en de vertrouwelijkheid van persoonlijke gegevens kunnen waarborgen.

Het bedrijf zal zijn omgang met persoonlijke gegevens herzien, een risicoanalyse uitvoeren en processen en procedures invoeren om het risico van datalekken of onjuiste omgang met persoonlijke gegevens te minimaliseren. Hiertoe zal het bedrijf relevante interne beleidslijnen, procedures, processen en controles opzetten om persoonlijke gegevens te beschermen tegen verlies, accidentele vernietiging, misbruik of openbaarmaking. Dit omvat beleidslijnen en procedures om ervoor te zorgen dat persoonlijke gegevens niet toegankelijk zijn voor anderen dan die personen die de vereiste toestemming en autoriteit hebben om dit te doen in de juiste uitvoering van hun taken voor het bedrijf.

In het geval dat het bedrijf besluit een derde partij of organisatie in te schakelen om persoonlijke gegevens namens hen te verwerken, zal het passende normen, beleid en procedures implementeren om dit te doen, waaronder schriftelijke overeenkomsten met de derde partij die verplichtingen tot vertrouwelijkheid en beveiliging omvatten en de vereiste om passende technische en andere maatregelen te implementeren om de beveiliging van de gegevens te waarborgen.

Het bedrijf begrijpt en zal zijn verantwoordelijkheden implementeren om de toestemming van individuen te verkrijgen voor het verkrijgen, vasthouden, gebruiken en delen van hun persoonlijke gegevens. Verder begrijpt het bedrijf dat deze toestemming vrijelijk, geïnformeerd, specifiek en ondubbelzinnig moet worden gegeven. Het erkent ook dat individuen het recht hebben om deze toestemming op elk moment in te trekken.

Het bedrijf heeft de vereiste processen en procedures ingesteld en zal deze onderhouden voor het detecteren, onderzoeken en rapporteren van vermoedelijke of daadwerkelijke inbreuken op persoonlijke gegevens, en dat het ernstige inbreuken die aanzienlijke schade kunnen of zullen toebrengen aan de betrokken personen moet rapporteren aan de Informatiecommissaris. Het bedrijf begrijpt de gevolgen van dergelijke datalekken.

Verzoeken om toegang tot gegevens

Individuen hebben het recht om een verzoek om toegang tot gegevens in te dienen, wat een verzoek is om toegang te krijgen tot de gegevens die het bedrijf over die individu heeft. Als een individu een verzoek om toegang tot gegevens indient, zal het bedrijf de volgende informatie verstrekken:

• Een kopie van de persoonlijke gegevens die het bedrijf heeft en verwerkt,
• De categorieën van persoonsgegevens die worden verwerkt en waarom ze worden verwerkt,
• De bron van de persoonlijke gegevens als deze niet door de persoon is verstrekt
• De periode dat de persoonlijke gegevens worden of zullen worden opgeslagen,
• Het recht van de individuele om enige onnauwkeurigheid te corrigeren (rectificatie) of enige van de gegevens te verwijderen (verwijdering) of de verwerking te beperken of ertegen bezwaar te maken,
• Het recht om een klacht in te dienen bij de Informatiecommissaris als de persoon denkt dat het bedrijf niet heeft voldaan aan hun gegevensbeschermingsrechten,
• Of het bedrijf geautomatiseerde besluitvorming gebruikt bij de verwerking van de gegevens en zo ja, de logica die ten grondslag ligt aan dergelijke geautomatiseerde besluitvorming.

Om een verzoek om toegang tot persoonsgegevens in te dienen, moet de persoon contact opnemen met de Functionaris voor Gegevensbescherming door te bellen naar 01275 815200 of een e-mail te sturen naar dpo@masters.co.uk volledige details van het verzoek verstrekken. In sommige gevallen kan het bedrijf om identificatiebewijs vragen voordat een verzoek wordt verwerkt. Als dit het geval is, zal de persoon worden geïnformeerd over de details van de vereiste documenten.

Het bedrijf zal zonder vertraging op een verzoek reageren. Behoudens eventuele wettelijk toegestane uitzonderingen zal het bedrijf binnen een maand na een verzoek reageren, maar dit kan worden verlengd tot in totaal drie maanden als er meerdere verzoeken zijn of als ze complex zijn. Als dit het geval is, zal het bedrijf de persoon binnen een maand na ontvangst van het verzoek schrijven om hen te informeren dat de reactie binnen een maximale periode van drie maanden zal zijn.

Het bedrijf zal geen kosten in rekening brengen voor het reageren op een verzoek om toegang tot persoonsgegevens, tenzij het verzoek manifest ongegrond of buitensporig is, of er een verzoek is om verdere, duplicaatkopieën naar andere personen dan de persoon die het verzoek indient te sturen. Verder, wanneer een verzoek manifest ongegrond of buitensporig is, is het bedrijf niet verplicht om hierop te reageren, of kan het reageren maar een vergoeding vragen die verband houdt met de administratieve kosten van het reageren op het verzoek. In dat geval zal het bedrijf de persoon die het verzoek indient informeren over de aanpak die het van plan is te volgen met betrekking tot het verzoek.

Wanneer een individu gelooft dat de gegevens die door het bedrijf worden vastgehouden en verwerkt onjuist zijn, moet hij het bedrijf zo snel mogelijk informeren. Het bedrijf zal de informatie zonder vertraging corrigeren.

Datalek

Als het bedrijf ontdekt dat er een datalek heeft plaatsgevonden en het lek zodanig is dat het waarschijnlijk de rechten en vrijheden van individuen in gevaar brengt, zal dit lek binnen 72 uur na het moment dat het bedrijf zich bewust wordt van het lek, worden gerapporteerd aan de Informatiecommissaris. Het is mogelijk dat het nodig is om een dergelijk lek in verschillende fasen of termijnen te rapporteren. Een registratie van alle lekken zal worden bijgehouden.

Als een datalek waarschijnlijk een hoog risico voor de rechten en vrijheden van individuen met zich meebrengt, zal het bedrijf de getroffen individuen informeren.

Internationale gegevensoverdracht

Persoonlijke gegevens worden ook overgedragen aan landen buiten de EER voor de verwerking van loonadministratie voor individuen die in het betreffende land zijn gevestigd. Aangezien we ook handel drijven met klanten buiten de EER, zullen we gegevens opslaan en verwerken, waarbij we dezelfde beschermingsprincipes hanteren als hierboven beschreven.

Openbaarmaking van gegevens

Af en toe kan het noodzakelijk zijn voor het bedrijf om persoonlijke gegevens aan andere personen of organisaties bekend te maken. Dergelijke bekendmaking zal alleen plaatsvinden wanneer dit moet worden gedaan voor het vereiste doel. Dergelijke bekendmaking kan om verschillende redenen plaatsvinden, waaronder:

• Wettelijke loonvereisten
• HR-management en administratie
• Werknemersvoordelen administratie waarbij deze service door een derde partij wordt geleverd
• Het vaststellen waar redelijke aanpassingen nodig zijn voor een gehandicapte werknemer
• Pensioen- en verzekeringsplanbeheer
• Werknemersgezondheidsgegevens om te voldoen aan de verplichtingen van het bedrijf met betrekking tot gezondheid en veiligheid

Opleiding

Het bedrijf zal individuen training bieden over gegevensbescherming, vertrouwelijkheid en welke acties zij moeten ondernemen in het geval van een datalek. Deze informatie zal aan individuen worden gegeven tijdens de introductie van het bedrijf en de trainingssessies van het bedrijf.

Alle personen die verplicht zijn om de computersystemen van het bedrijf te gebruiken, om dit beleid uit te voeren, te reageren op verzoeken om toegang tot gegevens of toegang hebben tot vertrouwelijke en persoonlijke gegevens, zullen worden getraind om persoonlijke gegevens te beschermen, zodat zij hun plichten en verantwoordelijkheden begrijpen. Ze zullen worden getraind in hun persoonlijke verantwoordelijkheden en de gevolgen voor henzelf en het bedrijf bij datalekken of persoonlijke tekortkomingen in het naleven van de beleidslijnen en procedures van het bedrijf.

Verantwoordelijkheden van werknemers voor gegevensbescherming

Elke werknemer heeft een persoonlijke verantwoordelijkheid om te helpen persoonlijke gegevens veilig en beveiligd te houden en te voldoen aan de vereisten van de GDPR. Alle werknemers moeten de vereisten die aan het bedrijf zijn opgelegd voor gegevensbescherming handhaven. Het is de verantwoordelijkheid van elke werknemer om persoonlijke gegevens te beschermen waarmee zij in contact komen, die zij bezitten of waarvoor zij verantwoordelijk zijn namens het bedrijf. In het bijzonder moet u voldoen aan en de bepalingen van de Privacyverklaringen en het Gegevensbeschermingsbeleid van het bedrijf implementeren, samen met andere beleidslijnen en procedures die het bedrijf kan opstellen om gegevens en in het bijzonder persoonlijke gegevens te beschermen.

Waar een individu toegang heeft tot persoonlijke gegevens, moet hij/zij:

• Houd gegevens te allen tijde veilig door gebruik te maken van de wachtwoordbeveiliging en de veilige bestandsopslag die door het bedrijf worden aangeboden.
• Nooit wachtwoorden misbruiken door wachtwoorden aan anderen bekend te maken, vooral aan degenen die niet bevoegd zijn om toegang te hebben tot dergelijke wachtwoorden of de informatie die met het wachtwoord kan worden benaderd.
• Toegang tot dergelijke informatie alleen als ze daartoe bevoegd zijn en alleen voor het doel waarvoor deze bevoegdheid is verleend,
• Nooit persoonlijke gegevens bekendmaken aan anderen die niet bevoegd zijn om toegang tot dergelijke gegevens te hebben,
• Zorg ervoor dat alle geschreven informatie of bestanden (of ze nu elektronisch of op papier zijn) die vertrouwelijke informatie bevatten, veilig worden bewaard en niet kunnen worden gezien of benaderd door personen die niet de bevoegdheid hebben om ze te lezen of te benaderen.
• Zorg ervoor dat alle persoonlijke gegevens die in de bedrijfsadministratie worden ingevoerd, nauwkeurig zijn,
• Nooit persoonlijke gegevens opslaan op draagbare gegevensopslagapparaten, zoals laptops, USB-sticks, draagbare back-upschijven of in "cloud"-gebaseerde opslag zonder de uitdrukkelijke toestemming van het bedrijf. Wanneer dergelijke toestemming wordt verleend, moeten deze gegevens op een veilige manier worden opgeslagen, zoals voorgeschreven door het bedrijf, maar in ieder geval moeten ze versleuteld zijn. De fysieke beveiliging van de draagbare apparaten moet ook worden beschermd om ervoor te zorgen dat ze niet kunnen worden gestolen.
• Nooit persoonlijke gegevens of enig draagbaar apparaat met persoonlijke gegevens van de bedrijfsruimten verwijderen zonder de uitdrukkelijke toestemming van het bedrijf en, indien zo gemachtigd, ervoor zorgen dat alle gegevens veilig worden opgeslagen zoals voorgeschreven door het bedrijf en versleuteld zijn.

 

Elke werknemer die wordt aangetroffen die heeft gefaald in het toepassen van het gegevensbeschermingsbeleid van het bedrijf of op enige wijze schade heeft berokkend, verloren, onthuld of openbaar gemaakt van persoonlijke gegevens aan een niet-geautoriseerd persoon of organisatie, zal in strijd zijn met het bedrijfsbeleid en zal onderworpen zijn aan disciplinaire maatregelen, die, afhankelijk van de aard van de overtreding, kunnen worden beschouwd als ernstige wangedrag en kunnen leiden tot ontslag zonder opzegtermijn. Elke dergelijke openbaarmaking kan ook worden behandeld als een strafbaar feit.