Ingangsdatum: 31 maart 2024
Laatst bijgewerkt: 31 maart 2024
Plume Design Inc. (Plume of wij) voldoet aan het EU-VS-kader voor gegevensbescherming (EU-VS Data Privacy Framework, EU-VS DPF), de Britse uitbreiding op het EU-VS-kader voor gegevensbescherming en het Zwitsers-Amerikaanse-kader voor gegevensbescherming (Zwitsers-Amerikaanse DPF) zoals uiteengezet door het Amerikaanse ministerie van Handel.
Plume heeft aan het Amerikaanse ministerie van Handel verklaard dat het zich houdt aan de principes van het EU-VS-kader voor gegevensbescherming (EU-VS DPF-principes) met betrekking tot de verwerking van Persoonlijke informatie die is ontvangen vanuit de Europese Unie (EU) op basis van het EU-VS DPF en uit het Verenigd Koninkrijk (en Gibraltar) op basis van de Britse uitbreiding op de EU-VS DPF. Plume heeft aan het Amerikaanse ministerie van Handel verklaard dat het zich houdt aan de principes van het Zwitsers-Amerikaanse-kader voor gegevensbescherming (Zwitsers-Amerikaanse DPF-principes) met betrekking tot de verwerking van Persoonlijke informatie die vanuit Zwitserland wordt ontvangen op basis van het Zwitsers-Amerikaanse DPF. In het geval van tegenstrijdigheid tussen de voorwaarden in deze Privacyverklaring en de EU-VS DPF-principes en/of de Zwitsers-Amerikaanse DPF-principes, gelden de DPF-principes (hieronder gedefinieerd). Ga voor meer informatie over het Data Privacy Framework-programma en om onze certificering te bekijken naar https://www.dataprivacyframework.gov.
Op de datum van dit Privacybeleid met betrekking tot het kader voor gegevensbescherming van Plume (DPF-beleid) is de Zwitsers-Amerikaanse DPF in afwachting van voltooiing. Ga hier naar voor meer informatie.
DEFINITIES
Termen met een hoofdletter die in dit DPF-beleid worden gebruikt maar niet elders worden gedefinieerd, hebben de volgende betekenis:
· Agent heeft betrekking op een derde die Persoonlijke informatie verzamelt of gebruikt in opdracht van, en uitsluitend voor, een Verwerkingsverantwoordelijke of aan wie een Verwerkingsverantwoordelijke Persoonlijke informatie openbaar maakt voor gebruik namens de Verwerkingsverantwoordelijke.
· Betrokkene (of u) verwijst naar een natuurlijke persoon wiens Persoonlijke informatie onder dit DPF-beleid valt.
· Verwerkingsverantwoordelijke is een persoon of organisatie die, alleen of samen met anderen, de doelen en middelen van de Verwerking van Persoonlijke informatie bepaalt. Plume is een Verwerkingsverantwoordelijke met betrekking tot bepaalde Verwerking.
· DPF-principes verwijst gezamenlijk naar de EU-VS DPF-principes (hierboven gedefinieerd) en de Zwitsers-Amerikaanse DPF-principes (hierboven gedefinieerd), zoals hier uiteengezet door het Amerikaanse ministerie van Handel.
· DPF-programma omvat gezamenlijk het EU-VS DPF, de Britse uitbreiding op het EU-VS DPF en het Zwitsers-Amerikaanse DPF.
· Persoonlijke informatie verwijst naar alle informatie, met inbegrip van Gevoelige persoonlijke informatie, met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon die door Plume in de VS wordt ontvangen vanuit de EER, Zwitserland of het VK/Gibraltar, en in welke vorm dan ook wordt vastgelegd.
o Een identificeerbare natuurlijke persoon is iemand die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatiemiddel zoals een naam, een identificatienummer, locatiegegevens, een online identificatiemiddel of aan de hand van een of meer specifieke elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
· Verwerken, verwerkt of Verwerking heeft betrekking op elke bewerking of elk geheel van bewerkingen uitgevoerd op Persoonlijke informatie, al dan niet via geautomatiseerde middelen, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, bekendmaken of verspreiden, en wissen of vernietigen.
· Gevoelige persoonlijke informatie verwijst naar Persoonlijke informatie die medische of gezondheidssituaties, ras of etnische afkomst, politieke meningen, religieuze of filosofische overtuigingen, lidmaatschap van een vakbond, informatie die het seksleven van een persoon specificeert, en alle Persoonlijke informatie die Plume ontvangt van een derde en die de derde als gevoelig identificeert en behandelt.
TOEPASSING VAN DIT DPF-BELEID
Dit DPF-beleid is van toepassing op Persoonlijke informatie die wordt overgedragen van lidstaten van de Europese Economische Ruimte (EER, dit zijn de lidstaten van de EU plus IJsland, Liechtenstein en Noorwegen), het Verenigd Koninkrijk (VK) en Zwitserland naar Plume in de VS op grond van de EU-VS DPF, de Britse uitbreiding op de EU-VS DPF of de Zwitsers-Amerikaanse DPF.
Persoonlijke informatie die Plume verwerkt in overeenstemming met het DPF-programma valt onder andere aan privacy gerelateerde vereisten en beleidsregels van Plume (gezamenlijk het Privacybeleid van Plume), dat hier beschikbaar is. Voor sommige websites of mobiele applicaties van Plume geldt dat als er een apart privacybeleid of aparte privacyverklaring gekoppeld of geplaatst is, dat privacybeleid of die privacyverklaring van toepassing is.
Plume is een Agent met betrekking tot bepaalde Verwerkingen voor klanten en een Verwerkingsverantwoordelijke met betrekking tot andere Verwerkingen voor klanten zoals beschreven in het Privacybeleid van Plume.
Persoonlijke informatie met betrekking tot huidige of vroegere werknemers, stagiaires, aannemers en tijdelijke werknemers van Plume is onderhevig aan de Verklaring voor personeel van Plume en de DPF-verklaring voor personeel van Plume, die op verzoek beschikbaar zijn voor de betreffende personen op privacy@plume.com.
Dit DPF-beleid is niet van toepassing op Persoonlijke informatie die wordt overgedragen op grond van modelcontractbepalingen of een goedgekeurde afwijking van de Algemene verordening gegevensbescherming van de EU, de Algemene verordening gegevensbescherming van het VK of de Zwitserse federale wet inzake gegevensbescherming. Hoewel het DPF-programma een geautoriseerd internationaal overdrachtsmechanisme is om Plume in staat te stellen Persoonlijke informatie van Betrokkenen in de V.S. te ontvangen, staan de verplichtingen van Plume en de rechten van Betrokkenen op grond van het DPF-programma los van de verplichtingen en rechten op grond van de Algemene verordening gegevensbescherming van de EU, de Algemene verordening gegevensbescherming van het VK of de Zwitserse federale wet inzake gegevensbescherming.
DE VERBINTENIS VAN PLUME MET BETREKKING TOT DE DPF-PRINCIPES
Plume verbindt zich ertoe om de DPF-principes toe te passen op alle Persoonlijke informatie die Plume in de VS ontvangt vanuit de EER, het VK en Zwitserland op basis van het DPF-programma. De naleving van dit DPF-beleid door Plume kan beperkt worden in de mate die vereist is om te voldoen aan de wettelijke, reglementaire, overheids- of nationale veiligheidsverplichtingen van Plume.
De DPF-principes
De DPF-principes zijn: 1. Kennisgeving; 2. Keuze; 3. Verantwoording voor verdere overdracht; 4. Beveiliging; 5. Gegevensintegriteit en doelbinding; 6. Toegang; en 7. Regres, wetshandhaving en aansprakelijkheid.
1. Kennisgevingsprincipe
Plume stelt Betrokkenen in kennis van Verwerkingspraktijken voor Persoonlijke informatie die Plume in de VS ontvangt vanuit de EER, het VK en Zwitserland op basis van het DPF-programma via het Privacybeleid van Plume en dit DPF-beleid, waaronder:
· de soorten Persoonlijke informatie die het over hen verzameld wordt
· de doelen waarvoor Persoonlijke informatie wordt verwerkt (zie ook 5. hieronder)
· de soorten Agenten en andere derden waaraan Plume Persoonlijke informatie openbaar maakt en de doelen hiervan (zie ook 3. hieronder)
· de rechten van Betrokkenen op toegang tot hun Persoonlijke informatie (zie 6. hieronder)
· de keuzes die Plume Betrokkenen biedt voor het beperken van het gebruik en de openbaarmaking van hun Persoonlijke informatie (zie ook 2. hieronder)
· hoe de verplichtingen van Plume op grond van het DPF-programma worden gehandhaafd, met inbegrip van het door Plume aangewezen onafhankelijke mechanisme voor de beslechting van geschillen om klachten te behandelen en kosteloos passende verhaalmogelijkheden te bieden, de mogelijkheid om onder bepaalde voorwaarden een beroep te doen op bindende arbitrage (zie ook 7. hieronder)
· de aansprakelijkheid van Plume in geval van verdere overdracht aan derden (zie ook sectie 3. hieronder)
· hoe Betrokkenen contact kunnen opnemen met Plume met vragen of klachten.
Plume is niet verplicht om het Kennisgevingsprincipe, het Keuzeprincipe of het Verantwoordingsprincipe voor verdere overdracht (zie 2. en 3. hieronder) toe te passen op informatie uit openbare dossiers (d.w.z. dossiers die worden bijgehouden door overheidsinstanties of -entiteiten op elk niveau die openbaar zijn voor het algemene publiek) of informatie die al openbaar beschikbaar is voor het algemene publiek als deze informatie niet wordt gecombineerd met informatie uit niet-openbare dossiers en, voor informatie uit openbare dossiers, en alle voorwaarden voor raadpleging die door de relevante rechtsbevoegdheid zijn vastgesteld, worden gerespecteerd.
2. Keuzeprincipe
Plume voorziet Betrokkenen van keuzes over hun Persoonlijke informatie voordat Plume Persoonlijke informatie waarop dit DPF-beleid van toepassing is gebruikt voor een nieuw doel dat wezenlijk verschilt van het doel waarvoor de Persoonlijke informatie oorspronkelijk is verzameld of vervolgens is geautoriseerd of voordat deze wordt vrijgegeven aan een derde die geen Agent is en waarvoor nog geen autorisatie was verleend.
Plume zal bevestigende toestemming (d.w.z. aanmelding) verkrijgen van Betrokkenen voordat Gevoelige persoonlijke informatie aan een derde openbaar wordt gemaakt.
Plume zal de bevestigende uitdrukkelijke toestemming van de Betrokkene verkrijgen (d.w.z. aanmelding) voordat gevoelige Persoonlijke informatie die onder dit DPF-beleid valt, (i) openbaar wordt gemaakt aan een derde of (ii) gebruikt wordt voor een nieuw doel dat verschilt van het doel waarvoor de Persoonlijke informatie oorspronkelijk werd verzameld of vervolgens werd geautoriseerd door de Betrokkene (onderhevig aan enkele beperkingen die hier uiteengezet worden). Op grond van de DPF-principes is Plume niet verplicht om een keuze te bieden bij openbaarmaking aan een derde die optreedt als tussenpersoon als Plume een schriftelijke overeenkomst aangaat met de tussenpersoon (zie 3. hieronder).
Om u af te melden voor dit gebruik of deze openbaarmakingen van Persoonlijke informatie of Gevoelige persoonlijke informatie, kunt u op de volgende manieren contact opnemen met Plume:
· Door een e-mail te sturen naar privacy@plume.com
· Door het formulier in te vullen dat hier beschikbaar is
Plume kan contact opnemen met een Betrokkene om voldoende informatie op te vragen om Plume in staat te stellen de identiteit van de Betrokkene die een afmeldingsverzoek indient te bevestigen. Plume kan Persoonlijke informatie gebruiken voor bepaalde direct marketingdoeleinden wanneer het voor Plume praktisch niet haalbaar is om een Betrokkene de mogelijkheid te bieden om zich af te melden voordat de Persoonlijke informatie wordt gebruikt. Plume zal de Betrokkene op hetzelfde moment (en op verzoek op elk moment) de mogelijkheid bieden om (kosteloos) verdere direct marketingcommunicatie te weigeren en Plume zal voldoen aan de wensen van de Betrokkene.
3. Verantwoordingsprincipe voor verdere overdracht
Plume biedt Betrokkenen de mogelijkheid om te kiezen (d.w.z. afmelding) of hun Persoonlijke informatie (i) openbaar gemaakt wordt aan een derde of (ii) wordt gebruikt voor een doel dat wezenlijk verschilt van het/de doeleinde(n) waarvoor de Persoonlijke informatie oorspronkelijk werd verzameld of vervolgens werd geautoriseerd.
Overdrachten naar verwerkingsverantwoordelijken: Plume zal Persoonlijke informatie die onder dit DPF-beleid valt overdragen aan een derde die optreedt als Verwerkingsverantwoordelijke in overeenstemming met het relevante Privacybeleid van Plume dat aan elke beïnvloede Betrokkene is verstrekt en de toestemming die de Betrokkene aan Plume heeft gegeven.
Plume zal deze overdrachten alleen uitvoeren als de Verwerkingsverantwoordelijke in een schriftelijk contract is overeengekomen dat deze (i) de Persoonsgegevens zal verwerken voor beperkte en gespecificeerde doelen die in overeenstemming zijn met de door de Betrokkenen gegeven toestemming, (ii) ten minste hetzelfde beschermingsniveau zal bieden als wordt vereist door de DPF-principes en ons op de hoogte zal stellen als dit niet mogelijk is; en (iii) de Verwerking van de Persoonsgegevens zal staken of andere redelijke en gepaste stappen zal nemen om de Verwerking te herstellen als dit wordt vastgesteld.
Plume zal redelijke en gepaste stappen ondernemen om de Verwerking te voorkomen, te stoppen of te herstellen als Plume zich ervan bewust wordt dat een Verwerkingsverantwoordelijke Persoonlijke informatie die onder dit DPF-beleid valt verwerkt in strijd met de DPF-principes.
Overdrachten naar Agenten: Plume zal alleen de Persoonlijke informatie overdragen die nodig is voor de Agent om de diensten of producten te leveren zoals Plume heeft geïnstrueerd.
Plume vereist dat elke Agent:
· de Persoonlijke informatie alleen verwerkt voor beperkte en gespecificeerde doelen zoals geïnstrueerd door Plume;
· ten minste hetzelfde niveau van privacybescherming biedt als vereist door de DPF-principes;
· redelijke en gepaste stappen onderneemt om ervoor te zorgen dat de Agent de overgedragen Persoonlijke informatie effectief verwerkt op een manier die voldoet aan de verplichtingen van Plume op grond van de DPF-principes; en
· Plume op de hoogte stelt als de Agent bepaalt dat deze niet langer kan voldoen aan de verplichting om hetzelfde beschermingsniveau te bieden als vereist door de DPF-principes.
Na ontvangst van een kennisgeving van een Agent dat de Agent niet langer kan voldoen aan de verplichting om hetzelfde beschermingsniveau te bieden als vereist door de DPF-principes, zal Plume redelijke en gepaste stappen ondernemen om de onbevoegde Verwerking te stoppen en te herstellen. Plume verstrekt op verzoek ook samenvattingen van de relevante privacybepalingen van de contracten met Agenten aan het Ministerie van Handel.
In bepaalde situaties kan Plume verplicht worden om Persoonlijke informatie vrij te geven als antwoord op wettelijke verzoeken van openbare autoriteiten, bijvoorbeeld om te voldoen aan nationale veiligheids- of wetshandhavingsvereisten.
Plume blijft aansprakelijk op grond van de DPF-principes als een Agent Persoonsgegevens die onder dit DPF-beleid vallen verwerkt op een manier die niet in overeenstemming is met de DPF-principes, tenzij Plume bewijst dat Plume niet verantwoordelijk is voor de gebeurtenis die aanleiding geeft tot de schade.
4. Beveiligingsprincipe
Plume neemt redelijke en gepaste maatregelen om Persoonlijke informatie die onder dit DPF-beleid valt te beschermen tegen verlies, misbruik en onbevoegde toegang, openbaarmaking, wijziging en vernietiging, rekening houdend met de risico’s die gepaard gaan met de Verwerking en de aard van de Persoonlijke informatie.
5. Principe inzake gegevensintegriteit en doelbinding
Plume beperkt verzameling van Persoonlijke informatie tot informatie die relevant is voor de doelen van de verwerking. Plume verwerkt Persoonlijke informatie niet op een manier die onverenigbaar is met de doelen waarvoor deze verzameld of vervolgens geautoriseerd is door de Betrokkene.
Plume neemt redelijke stappen om ervoor te zorgen dat dergelijke Persoonlijke informatie betrouwbaar, nauwkeurig, volledig en actueel is voor het beoogde gebruik. Plume neemt redelijke en gepaste maatregelen om te voldoen aan de vereiste op grond van het DPF-programma om Persoonlijke informatie in identificeerbare vorm alleen te bewaren zolang het een doel van Verwerking dient. Meer specifiek zal Plume Persoonlijke informatie bewaren in overeenstemming met de legitieme zakelijke doeleinden en wettelijke verplichtingen van Plume, tenzij een langere bewaarperiode wettelijk vereist of toegestaan is.
Plume zal zich houden aan de DPF-principes zolang het Persoonlijke informatie bewaart die onder dit DPF-beleid valt.
6. Toegangsprincipe
Betrokkenen van wie Persoonlijke informatie onder dit DPF-beleid valt hebben het recht (i) om van Plume bevestiging te krijgen of Plume Persoonlijke informatie over hen verwerkt of niet en om toegang te krijgen tot die Persoonlijke informatie en (ii) om hun Persoonlijke informatie te corrigeren, wijzigen of verwijderen als deze onnauwkeurig is of als Plume deze verwerkt in strijd met de DPF-principes, behalve wanneer de last of de kosten van het verlenen van toegang, correctie, wijziging of verwijdering niet in verhouding zou staan tot de risico’s voor de privacy van de Betrokkene, wanneer de rechten van andere personen dan de Betrokkene zouden worden geschonden of wanneer openbaarmaking waarschijnlijk in strijd zou zijn met de bescherming van belangrijke publieke belangen, zoals nationale veiligheid, nationale defensie of openbare veiligheid.
Plume zal te goeder trouw, redelijke en praktische inspanningen leveren om aan verzoeken te voldoen, zolang dit in overeenstemming is met de toepasselijke wetgeving en/of de contractuele vereisten van Plume.
Plume kan contact opnemen met een Betrokkene om voldoende informatie op te vragen om Plume in staat te stellen de identiteit van de Betrokkene te bevestigen, of als een verzoek om toegang vaag of breed van opzet is, of om de motivatie voor het verzoek beter te begrijpen en om de juiste informatie te lokaliseren. Plume kan ook informeren naar de manier waarop de Betrokkene met Plume heeft gecommuniceerd of naar de aard van de Persoonlijke informatie of het gebruik daarvan dat het onderwerp is van het verzoek. Plume kan toegang weigeren of beperken voor zover het verlenen van volledige toegang de bedrijfseigen of vertrouwelijke commerciële informatie van Plume zou onthullen, zoals de vertrouwelijke commerciële informatie van een ander die onderhevig is aan een contractuele geheimhoudingsplicht. Plume kan redelijke limieten stellen aan het aantal keren binnen een bepaalde periode dat aan toegangsverzoeken van een bepaalde Betrokkene wordt voldaan.
Om een verzoek om toegang tot gegevens in te dienen, kunnen Betrokkenen contact opnemen met Plume door:
· een e-mail te sturen naar privacy@plume.com
· het formulier in te vullen dat hier beschikbaar is
Plume zal binnen een redelijke termijn reageren op toegangsverzoeken.
7. Regres, wetshandhaving en aansprakelijkheid
De Federal Trade Commission (FTC) heeft rechtsbevoegdheid over de naleving door Plume van de EU-VS DPF, de Britse uitbreiding op de EU-VS DPF en de Zwitsers-Amerikaanse DPF.
In overeenstemming met de EU-VS DPF, de Britse uitbreiding op de EU-VS DPF of de Zwitsers-Amerikaanse DPF, verbindt Plume zich ertoe klachten op te lossen over onze verzameling of ons gebruik van Persoonlijke informatie die wordt overgedragen naar de VS conform de EU-VS DPF, de Britse uitbreiding op de EU-VS DPF of de Zwitsers-Amerikaanse DPF.
Personen in de EU, het VK en Zwitserland met vragen of klachten moeten eerst via e-mail contact opnemen met Plume op privacy@plume.com.
Plume heeft verder toegezegd onopgeloste klachten met betrekking tot de DPF-principes door te verwijzen naar een onafhankelijk geschillenbeslechtingsmechanisme in de VS, BBB NATIONAL PROGRAMS. Als u geen tijdige ontvangstbevestiging van uw klacht ontvangt of als uw klacht niet naar tevredenheid wordt afgehandeld, gaat u naar www.bbbprograms.org/dpf-complaints voor meer informatie en om een klacht in te dienen. De service van BBB NATIONAL PROGRAMS wordt u gratis aangeboden.
Als uw DPF-klacht niet via de bovenstaande kanalen kan worden opgelost, kunt u onder bepaalde omstandigheden mogelijk een beroep doen op bindende arbitrage voor bepaalde resterende claims die niet door andere verhaalmechanismen zijn opgelost.
Raadpleeg https://www.dataprivacyframework.gov/framework-article/ANNEX-I-introduction voor informatie. (Let op: paragraaf C van bijlage I van de DPF-principes legt de vereisten voorafgaand aan de arbitrage uit.)
* * * * *
Plume stemt ermee in om periodiek de naleving van de DPF-principes te beoordelen en te verifiëren en eventuele problemen op te lossen die voortvloeien uit het onvermogen van Plume om de DPF-principes na te leven. Plume erkent dat het niet verstrekken van een jaarlijkse zelfcertificering aan het Amerikaanse ministerie van Handel het bedrijf zal verwijderen van de lijst van DPF-deelnemers van het ministerie.
Al het personeel van Plume dat in de VS toegang heeft tot Persoonlijke informatie die onder dit DPF-beleid valt, is verantwoordelijk om ervoor te zorgen dat de verwerking van Persoonlijke informatie voldoet aan dit DPF-beleid. Het personeel van Plume is er ook verantwoordelijk voor dat Agenten of andere niet-gelieerde derden die Persoonlijke informatie die onder dit DPF-beleid valt verwerken, dit DPF-beleid naleven en de Persoonlijke informatie verwerken in overeenstemming met de DPF-principes, met inbegrip van de contracten vereist door het DPF-programma.
WIJZIGINGEN IN DIT BELEID MET BETREKKING TOT HET KADER VOOR GEGEVENSBESCHERMING
Dit DPF-beleid kan van tijd tot tijd worden gewijzigd in overeenstemming met de vereisten van het DPF. Wanneer we wijzigingen aanbrengen in dit DPF-beleid, zullen we de datum “Laatst bijgewerkt” aan het begin van dit DPF-beleid aanpassen. We nemen ook gepaste maatregelen om u vooraf te informeren over wijzigingen die naar onze mening aanzienlijk zijn, zodat u de kans hebt het herziene privacybeleid van Plume door te nemen voordat dit van kracht wordt. Als uw toestemming vereist is op grond van de DPF-principes, zullen we uw toestemming verkrijgen. We raden u aan om dit DPF-beleid regelmatig te controleren om ervoor te zorgen dat u op de hoogte bent van de bijgewerkte versie.
VRAGEN?
Plume zet zich in om de privacy van uw Persoonlijke informatie te beschermen. Als u vragen of opmerkingen hebt over dit DPF-beleid, kunt u contact met ons opnemen via privacy@plume.com.