Privacybeleid
Beleid voor het gebruik van persoonsgegevens door OVHcloud
Als u een klant, potentiële klant, partner of leverancier bent of als u een manager, werknemer of vertegenwoordiger hiervan bent (“ Vertegenwoordiger(s)") en/of als u een dienst van OVHcloud gebruikt, dan kunnen OVH SAS en haar dochterondernemingen (hierna "OVHcloud") uw persoonsgegevens moeten verwerken.
Dit is het geval wanneer u een OVHcloud-website bezoekt, met OVHcloud communiceert of interageert (telefonisch, per e-mail, via uw OVHcloud-account, met online formulieren of andere communicatiehulpmiddelen zoals de Chatbot, de "live chat" en andere), wanneer u deelneemt aan OVHcloud-evenementen of wanneer u de diensten van OVHcloud gebruikt.
Het doel van dit beleid is om te beschrijven wat de door OVHcloud uitgevoerde verwerking van persoonsgegevens die op u betrekking hebben ("Betrokken Personen", "u", "uw") inhoudt en om de voorwaarden ervan te specificeren.
Dit beleid is van toepassing op de door OVHcloud als verwerkingsverantwoordelijke uitgevoerde verwerking van persoonsgegevens, dus de verwerking waarvoor OVHcloud de middelen en het doel bepaalt. De voorwaarden voor de door OVHcloud uitgevoerde verwerking als verwerker, met name volgens instructies van haar klanten, worden beschreven in Deel I van de Bijlage "Verwerking van persoonsgegevens door OVH".
De begrippen, die gedefinieerd zijn in Verordening (EU) 2016/679 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens oftewel de "AVG" (Engels: GDPR) (bijvoorbeeld "persoonsgegevens", "verwerkingsverantwoordelijke", "verwerker", enzovoorts), hebben dezelfde betekenis wanneer ze worden gebruikt in het kader van dit beleid.
Deel 1 - Beschrijving van de gegevensverwerking
Deel 2 - Uitvoeringsvoorwaarden voor verwerking
Deel 1 - Beschrijving van de gegevensverwerking
OVHcloud verwerkt uw gegevens voor verschillende doeleinden, in het bijzonder:
1. Contractbeheer
Rechtsgrondslag: De hieronder beschreven verwerkingen zijn nodig voor het uitvoeren van de door OVHcloud gesloten contracten, met inbegrip van het uitvoeren van precontractuele maatregelen die nodig zijn om de contracten te sluiten en voor het behandelen van diverse vragen (zoals rondom een sollicitatie of bij een deelnameverzoek voor een evenement) (Artikel 6.1b van de AVG).
In het kader van de uitvoering van de met klanten, dienstverleners, leveranciers en partners gesloten contracten verwerkt OVHcloud persoonsgegevens over hen of over hun Vertegenwoordigers, waarvan de verwerking nodig is voor de implementatie en uitvoering van de op deze manier opgestelde contracten.
1.1 Beheer van contracten met klanten, dienstverleners, leveranciers en partners
Dienstverleners, leveranciers en partners
Persoonsgegevens die door OVHcloud over haar dienstverleners, leveranciers en partners worden verwerkt, bestaan voornamelijk uit identiteitsgegevens (achternaam, voornaam, e-mailadres en telefoonnummer) van hun Vertegenwoordigers waarmee OVHcloud interageert en uit uitwisselingen en interacties (e-mails en andere elektronische berichten, activiteitsverslagen, notulen) tussen OVHcloud en deze Vertegenwoordigers.
Klanten
De persoonsgegevens die OVHcloud verwerkt over haar klanten zijn:
- de identiteitsgegevens van de klant (achternaam, voornaam, postadres, e-mailadres, telefoonnummer, identiteitsbewijs, adresbewijs, klantnummer van OVHcloud of "NIC Handle");
- Communicatie tussen de klant en OVHcloud (uitwisselingen zoals supporttickets voor het sluiten en uitvoeren van het contract, geschiedenis van verzoeken en antwoorden);
- Gebruiksgegevens van de services (geschiedenis van bestellingen en gebruik of pogingen de diensten te gebruiken);
- Betaalmethoden (gebruikte betaalmethoden zoals creditcard- of bankrekeningnummer en naam van de kaart- of rekeninghouder).
Als de klant geen natuurlijke persoon is, verzamelt OVHcloud de hierboven beschreven categorieën persoonsgegevens over de Vertegenwoordigers van de Klant die contact hebben met OVHcloud.
In het kader van de uitvoering van het contract worden de aldus door OVHcloud verwerkte gegevens gebruikt voor het managen van bedrijfsactiviteiten (informatie en support, commerciële voorstellen, bestellingen, klachten, facturering), betalingsbeheer en beheer van klantenaccounts.
Details van de gegevensverwerking die in het kader van de uitvoering van contracten met klanten, partners en leveranciers wordt uitgevoerd
| Doel van de verwerking* | Categorieën verwerkte persoonsgegevens | Bewaartermijn | Categorieën Ontvangers |
| Management van bedrijfsactiviteiten | Communicatie
| 1 jaar vanaf de betreffende interactie + 4 jaar in archief
Contractduur (duur dat het klantaccount bestaat) | OVHcloud (sales, support, financiën en facturering) Dienstverlener van elektronische handtekeningen voor SEPA-incasso's |
| Betalingsbeheer en aankopen mogelijk maken | Betaalmethoden (inclusief houders van betaalmiddelen) | Eenmalige betalingen: tot de volledige betaling (plus de termijn voor het betwisten van betalingen). Service met abonnement met automatische verlenging of doorlopende betalingen ("pay as you go"): totdat de dienst is opgezegd of de betaalmethode is ingetrokken of verlopen is (plus de tijd voor het betwisten van betalingen). De betaalmethode kan met toestemming van de kaart- of rekeninghouder langer dan de hierboven vermelde termijnen worden bewaard om aankopen mogelijk te maken totdat de toestemming is ingetrokken, de betaalmethode is ingetrokken of de betaalmethode verlopen is, plus de tijd voor het betwisten van betalingen. | OVHcloud (support, financiën en facturering): Alleen gedeeltelijke informatie (ingekort nummer). Dienstverleners van betaaldiensten Dienstverlener van elektronische handtekeningen voor contracten |
| Beheer van Klantaccounts - De Manager | Identiteitsgegevens Identiteits- en adresbewijzen** | Duur dat het klantaccount bestaat Termijn die noodzakelijk is voor de uitvoering van precontractuele verrichtingen voor identiteitscontrole | OVHcloud (Sales en support) Partners van OVHcloud*** |
(**) Het opvragen van een identiteitsbewijs of een adresbewijs gebeurt niet systematisch. Dit wordt gedaan als het nodig is voor het sluiten van contracten voor bepaalde diensten, zoals bepaalde domeinnamen of elektronische communicatiediensten. Ook kan om een identiteitsbewijs worden gevraagd als dit wettelijk vereist is (meer informatie hierna in Deel 1.4 "Naleving van wettelijke verplichtingen") of als er twijfel bestaat over de identiteit van de eiser om fraude te voorkomen (meer informatie hierna in Deel 1.5 "Behartiging van gerechtvaardigde belangen").
(***) Sommige services worden door OVHcloud geleverd in samenwerking met partners, zoals registers van domeinnamen die door OVHcloud worden verkocht, leveranciers van softwarelicenties of technologiepartners van OVHcloud, aan wie sommige identiteitsgegevens kunnen worden verstrekt. In dat geval worden de verwerkingsvoorwaarden gespecificeerd in de bijzondere voorwaarden die van toepassing zijn op de betreffende diensten.
1.2 Wervingsactiviteiten
In het kader van haar wervingsactiviteiten verwerkt OVHcloud persoonsgegevens van kandidaten die nodig zijn voor de behandeling van hun sollicitatie(s). De betrokken gegevens zijn identiteits- en contactgegevens van de sollicitant, zijn Curriculum Vitae, de door de sollicitanten verstrekte brieven, e-mails en documenten, de data en resultaten van sollicitatiegesprekken, de salarisschaal, de uitkomst van de sollicitatie, plus het type en de duur van het aangeboden contract.
De in dit beleid beschreven voorwaarden hebben alleen betrekking op de verwerking van gegevens van sollicitanten, met uitzondering van werknemers van OVHcloud. De voorwaarden voor de verwerking van persoonsgegevens van OVHcloud-werknemers worden beschreven in een ander beleid over het gebruik ervan, dat tijdens het wervingsproces wordt medegedeeld.
Details van de gegevensverwerking die voor werving wordt uitgevoerd
| Doel van de verwerking* | Categorieën verwerkte persoonsgegevens | Bewaartermijn | Categorieën Ontvangers |
Vacatures | Sollicitatiegegevens | 15 maanden na het laatste contact*. | Personeelszaken en diensten die vacatures aanbieden |
1.3 Beheer van OVHcloud-evenementen
Bij het organiseren van fysieke of online evenementen verwerkt OVHcloud persoonsgegevens over de personen die zich hebben ingeschreven of deelnemen, in het bijzonder hun identiteitsgegevens (achternaam, voornaam, contactgegevens, e-mailadressen, telefoonnummer, bedrijf en functie binnen de organisatie) en gegevens over hun deelname (conferenties en workshops waaraan ze deelnemen en waarvoor ze ingeschreven zijn). Deze gegevens worden verzameld om het evenement te organiseren en de deelname (inschrijvingen, informatie, verloop) te managen.
Détails des traitements réalisés afin de gestion des événements
| Doel van de verwerking* | Categorieën verwerkte persoonsgegevens | Bewaartermijn | Categorieën Ontvangers |
Organiseren en managen van deelname aan OVHcloud-evenementen | Identiteits- en deelnamegegevens. | Duur van het evenement + 90 dagen* | Teams van OVHcloud die verantwoordelijk zijn voor het organiseren van evenementen Partners voor evenementen |
(*) Onder voorbehoud van de uitoefening van het bezwaarrecht door de betrokkene mogen de verzamelde gegevens ook gedurende 180 dagen na het evenement worden gebruikt en bewaard voor het verstrekken van informatie over het evenement (feedback) of over het organiseren van soortgelijke toekomstige evenementen, of voor marketing- en klantenwervingsdoeleinden onder de hierna vermelde voorwaarden (meer informatie in Deel 1.3 “Marketing en Klantenwerving").
2. Uitvoering van OVHcloud-services
Rechtsgrondslag: De hieronder beschreven verwerkingen zijn noodzakelijk voor het uitvoeren van de door OVHcloud geleverde diensten (Artikel 6.1b van de AVG).
Om haar services te kunnen (blijven) leveren en om support en ondersteuning bij het gebruik te kunnen leveren, verwerkt OVHcloud de volgende categorieën gegevens over haar klanten, gebruikers en de door hen gebruikte diensten:
- Identiteitsgegevens van de klant (hoofdzakelijk achternaam, voornaam, contactgegevens, inlog van de klant en de gebruikers of "NIC Handle" van de klant of diens vertegenwoordigers);
- Communicatie tussen de klant of diens Vertegenwoordigers en OVHcloud (uitwisselingen zoals e-mails en supporttickets met betrekking tot het leveren en gebruiken van de diensten, onderhoudswerkzaamheden, mogelijke incidenten);
- Gegevens over de gebruikte diensten (lijst van gebruikte diensten, kenmerken, gebruiksduur, locatie).
- Technische gegevens (machine-ID's, configuraties, verbindingsgegevens, status van de services, gebruiksgegevens en event-logs).
Voor zover OVHcloud de middelen en het doel bepaalt van de verwerking van persoonsgegevens die met haar tools en haar informatiesysteem wordt uitgevoerd, is OVHcloud verantwoordelijk voor deze verwerking.
Deze sectie 2. is niet van toepassing op de gegevens die klanten aan OVHcloud toevertrouwen als ze de services van OVHcloud gebruiken, met name de gegevens die klanten hosten of verwerken op de infrastructuren die door OVHcloud aan hen ter beschikking worden gesteld. Deze gegevens worden namelijk door OVHcloud als gegevensverwerker slechts verwerkt in opdracht van de klant, onder de voorwaarden vermeld in de Bijlage Verwerking van persoonsgegevens (Deel 1).
Details van de gegevensverwerking die voor het leveren van OVHcloud-services wordt uitgevoerd
| Doel van de verwerking* | Categorieën verwerkte persoonsgegevens | Bewaartermijn | Categorieën Ontvangers |
Support en ondersteuning bij het gebruik van de services
| Identificatie van de klant
Communicatie
|
Contractduur (duur dat het klantaccount bestaat)
| OVHcloud (Services voor support en onderhoud van de producten) |
(*) De bovengenoemde gegevens kunnen voor andere doeleinden dan de uitvoering van de diensten worden verwerkt en als zodanig voor andere, kortere of langere perioden worden bewaard, met name om te voldoen aan de geldende wet- en regelgeving, in het bijzonder de wet- en regelgeving betreffende het bewaren van dataverkeer- en locatiegegevens, boekhouding en belastingen (meer informatie hierna in Deel 1.4 "Naleving van wettelijke verplichtingen") en om redenen van gerechtvaardigd belang, in het bijzonder om de veiligheid van de diensten te waarborgen of bij rechtszaken (meer informatie hierna in Deel 1.5 "Behartiging van gerechtvaardigde belangen").
(**) Sommige services worden door OVHcloud geleverd in samenwerking met partners, zoals registers van domeinnamen die door OVHcloud worden verkocht, leveranciers van softwarelicenties of technologiepartners van OVHcloud, aan wie sommige van de bovengenoemde persoonsgegevens kunnen worden verstrekt. In dat geval worden de verwerkingsvoorwaarden gespecificeerd in de bijzondere voorwaarden die van toepassing zijn op de betreffende diensten.
3. Marketing en klantenwerving
Rechtsgrondslag : De hieronder beschreven verwerkingen worden naargelang het geval uitgevoerd op basis van de gerechtvaardigde belangen van OVHcloud om haar diensten en activiteiten te promoten of na toestemming van de betrokken personen (met name klanten en potentiële klanten) (Artikel 6.1 a en f van de AVG).
In het kader van haar bedrijfsactiviteiten verwerkt OVHcloud gegevens over haar klanten en potentiële klanten (en hun Vertegenwoordigers) om hen te informeren over de activiteiten van OVHcloud, en in voorkomende gevallen van haar partners, om diensten aan te bieden of hen uit te nodigen voor evenementen.
De personen waar deze verwerkingen voor worden uitgevoerd, zijn klanten van OVHcloud (en hun Vertegenwoordigers), d.w.z. personen die gebruikmaken van de services van OVHcloud of die alleen een OVHcloud-klantaccount hebben geopend, of personen die, ook al zijn ze geen klant van OVHcloud, belangstelling kunnen hebben voor de activiteiten en diensten van OVHcloud, met name vanwege hun zakelijke activiteiten of het feit dat ze contact hebben opgenomen met OVHcloud, online of tijdens een evenement.
Verwerkingen waarvoor de toestemming van de betrokken personen vereist is (zoals commerciële handelingen die geen verband houden met de beroepsactiviteiten van de betrokkene of met diensten die reeds door de betrokkene worden gebruikt) worden uitgevoerd als de betrokkene daar vrijelijk, specifiek, geïnformeerd en ondubbelzinnig mee heeft ingestemd. Als de toestemming online wordt gevraagd, met name bij het openen van een OVHcloud-account, het inschrijven voor een evenement of het indienen van een verzoek via een formulier, wordt een specifiek aanvinkvakje, genaamd "opt in", gebruikt. Als de toestemming offline wordt gevraagd, wordt een procedure gevolgd om, mondeling of met een papieren formulier, het doel en de voorwaarden voor de verwerking van de verzamelde gegevens uit te leggen en de betrokkene om uitdrukkelijke toestemming te verzoeken.
Met betrekking tot de verwerking op basis van gerechtvaardigde belangen (met name commerciële acties die verband houden met de beroepsactiviteiten van de betrokkene of de reeds door de betrokkene gebruikte diensten) respecteert OVHcloud het bezwaarrecht van de betrokkenen en zorgt OVHcloud er bij elk verzonden bericht voor dat dit recht gemakkelijk kan worden uitgeoefend.
OVHcloud kan voor advertentie- en klantenwervingsdoeleinden ook contact opnemen met personen van wie de contactgegevens door onze partners worden verstrekt. In dit geval controleert OVHcloud of deze partners zich ertoe verbinden de gegevens van deze personen te verzamelen in overeenstemming met de geldende wet- en regelgeving en dat deze personen ermee hebben ingestemd dat hun gegevens op deze wijze worden gedeeld voor marketing en klantenwerving.
Met betrekking tot zakelijke contacten controleert OVHcloud of de aan hen aangeboden services met hun beroepsactiviteiten te maken hebben en dat deze personen hun bezwaarrecht altijd en effectief kunnen uitoefenen.
Onder voorbehoud van het respecteren van de rechten van de betrokkenen hebben de in het kader van deze marketing- en klantenwervingsactiviteiten uitgevoerde verwerkingen betrekking op de volgende gegevens:
- Identiteitsgegevens (achternaam, voornaam, contactgegevens, e-mailadres);
- Webbrowsergegevens (IP-adres, User ID, browsergeschiedenis);
- Interesses van de betrokkene (gebruiksgegevens van de diensten, bestelgeschiedenis, gegevens over deelname aan evenementen);
- Interacties van de betrokkene met OVHcloud (bijvoorbeeld formuliervragen, "call to action").
Raadpleeg het Beleid van OVHcloud inzake het gebruik van cookies voor meer informatie over cookies en de door OVHcloud verzamelde gegevens over de gebruikers van haar Internetsites.
Details van de door OVHcloud uitgevoerde gegevensverwerking voor advertentiedoeleinden en voor klantenwerving
| Doel van de verwerking | Categorieën verwerkte persoonsgegevens | Bewaartermijn | Categorieën Ontvangers |
Klantenwerving en versturen van informatie over de activiteiten, producten, diensten en evenementen van OVHcloud en haar partners | . Identiteitsgegevens | . Totdat de toestemming wordt ingetrokken (voor verwerkingen die als rechtsgrondslag de toestemming hebben). | Marketing- en commerciële diensten van OVHcloud |
| Informatieverzoeken over via de OVHcloud-websites verstuurde diensten verwerken | Identiteitsgegevens Inhoud van de vraag | Duur van de behandeling van de vraag + 1 jaar | OVHcloud (support- en commerciële teams) OVHcloud-partners op wie het verzoek betrekking heeft |
| Cookies en andere trackers | Webbrowsergegevens | Zie het "Beleid inzake het gebruik van cookies" van OVHcloud. | |
| Verzendlijsten beheren | Identiteitsgegevens | . Totdat de toestemming wordt ingetrokken (voor verwerkingen die als rechtsgrond de toestemming hebben), . Totdat het bezwaarrecht wordt uitgeoefend of uiterlijk tot het laatste contact dat de Klant met OVH heeft gelegd + 36 maanden (voor verwerkingen die als rechtsgrondslag gerechtvaardigde belangen van OVH hebben) | OVHcloud (marketing- en productservices) |
| Websites van de OVH-groep beheren | De op de websites gepubliceerde gegevens (zoals posts, interviews, foto's, video's). | Totdat de toestemming wordt ingetrokken of het bezwaarrecht wordt uitgeoefend of het gebruik wordt beëindigd | Publiek (bezoekers van de sites) |
4. Onze verplichtingen naleven
Rechtsgrondslag : De hieronder beschreven verwerkingen worden door OVHcloud uitgevoerd om te voldoen aan haar wettelijke verplichtingen (artikel 6.1.c van de AVG).
In het kader van haar activiteiten moet OVHcloud voldoen aan verschillende wettelijke verplichtingen. Om deze verplichtingen na te leven is verwerking van persoonsgegevens vereist.
Om haar fiscale en boekhoudverplichtingen na te komen verwerkt OVHcloud ook gegevens en bewaart ze bewijzen inzake bestellingen van klanten en de betaling daarvan.
Om de veiligheid van de door haar geboden diensten te waarborgen overeenkomstig artikel 32 van de AVG, of om te voldoen aan opgelegde verplichtingen als aanbieder van elektronische communicatiediensten overeenkomstig artikel 4 van de Richtlijn 2002/58 (ePrivacy) “betreffende privacy en elektronische communicatie” bewaart OVHcloud identificatiegegevens (achternaam, voornaam, gebruikers-ID, klant-ID, identiteitsbewijs, adresbewijs) en technische gegevens over het gebruik van de diensten (gegevens over dataverkeer en locatie, verbindingslogboeken en event logs).
OVHcloud is ook verplicht te reageren op verzoeken van personen wiens persoonsgegevens verwerkt zijn die hun rechten uitoefenen, op bepaalde verzoeken van rechtsgebieden, gerechtelijke of administratieve autoriteiten om informatie te verstrekken of om bepaalde inbreuken in verband met persoonsgegevens te melden, hetgeen verwerking van persoonsgegevens impliceert.
Details van de door OVHcloud uitgevoerde gegevensverwerking voor het naleven van haar wettelijke verplichtingen
| Doel van de verwerking | Categorieën verwerkte persoonsgegevens | Bewaartermijn | Categorieën Ontvangers |
Algemene boekhouding en de daarmee verband houdende ondersteunende boekhouding beheren | Bestel- en verbruiksgeschiedenis | 10 jaar na de betreffende gebeurtenis (bestelling, gebruik van de dienst, enz.) | OVHcloud (afdelingen boekhouding en financiën) |
| Identificatie van de gebruikers van elektronische communicatiediensten die door OVHcloud en door de door OVHcloud gehoste websites geboden worden | Identificatiegegevens (inclusief identiteitsbewijs en adresbewijs indien vereist) Technische gegevens over het gebruik van de diensten | Bewaartermijn volgens de toepasselijke regelgeving | OVHcloud (onderhouds-, veiligheids- en juridische diensten) |
| Beveiligingsverplichting voor verwerkingen, diensten en infrastructuren | Technische gegevens over het gebruik van de diensten | Duur bepaald op basis van risicoanalyse | OVHcloud (beveiligings- en onderhoudsdiensten) Technologiepartners van OVH |
| Afhandeling van verzoeken die in het kader van gerechtelijke en administratieve procedures worden gedaan | Identiteitsgegevens Gegevens over bestelde services en hoe deze worden gebruikt | 5 jaar in archief na afhandeling van het verzoek of een langere toepasselijke verjaringstermijn | Juridische dienst van OVHcloud Administratieve en gerechtelijke autoriteiten |
| Afhandeling van verzoeken aan de functionaris voor gegevensbescherming | Identiteitsgegevens Communicatie in het kader van de behandeling van het verzoek (verzoeken en antwoorden) Identiteitsbewijzen (indien er twijfel bestaat over de identiteit van de aanvrager) |
1 jaar in archief na afhandeling van het verzoek | OVHcloud (Juridische en supportdiensten) |
| Afhandelen van inbreuken in verband met persoonsgegevens | Gegevens waarop de inbreuk betrekking heeft en de betrokkenen | 5 jaar na de inbreuk | OVHcloud (juridische en veiligheidsdienst) Administratieve en gerechtelijke autoriteiten |
5. Behartiging van gerechtvaardigde belangen
Rechtsgrondslagen: Verwerkingen die nodig zijn om vitale belangen te beschermen en verwerkingen die nodig zijn voor gerechtvaardigde belangen van OVHcloud of derden (Artikel 6.1.f van de AVG)
OVHcloud kan verwerkingen moeten verrichten om gerechtvaardigde belangen te behartigen of de vitale belangen van de betrokkene of een andere natuurlijke persoon te beschermen.
Bij het verwerken van gegevens om gerechtvaardigde belangen te behartigen, evalueert OVHcloud of de belangen of de fundamentele vrijheden en rechten van de betrokkene niet zwaarder wegen dan deze gerechtvaardigde belangen en let OVHcloud erop dat de op deze wijze uitgevoerde verwerkingen verenigbaar zijn met de aan de betrokkene geleverde diensten en de doeleinden waarvoor de gegevens oorspronkelijk verzameld zijn.
Tot de verwerkingen die OVHcloud uitvoert om gerechtvaardigde belangen te behartigen behoren verwerkingen voor het waarborgen van de veiligheid van de diensten, het bestrijden van fraude, het verzamelen van bewijsmateriaal, het trainen van teams, het verbeteren van producten, het onderzoeken van klanttevredenheid en het afhandelen van wanbetalingen, geschillen en rechtszaken.
Details van de door OVHcloud uitgevoerde gegevensverwerking voor gerechtvaardigde belangen
| Doel van de verwerking | Categorieën verwerkte persoonsgegevens | Bewaartermijn | Categorieën Ontvangers |
Beveiliging van de bewerkingen, diensten en infrastructuren van OVHcloud | Technische gegevens over het gebruik van de diensten | Duur bepaald op basis van risicoanalyse | OVHcloud |
| Anonimisering voor onderzoek, ontwikkeling, verbetering, rapportage of statistiek | Mogelijk alle gegevens waarop dit beleid betrekking heeft | Duur van de anonimiseringsprocedure | OVHcloud |
| Uitvoeren van klanttevredenheidsonderzoek en klantenonderzoek, producttests en het verbeteren van de diensten van OVHcloud | Identificatiegegevens van klanten en gebruikers van de diensten Bestelgeschiedenis Gebruiksgegevens van de diensten Gegevens over het gebruik van klantenondersteuning | 1 jaar | OVHcloud (support-, product- en marketingservices) |
| Wanbetalingen beheren | Identiteitsgegevens Financiële gegevens Betaalgegevens Bestelgeschiedenis | 5 jaar na het betalingsverzuim | Klantenservice plus juridische en financiële directies van OVHcloud Dienstverleners van invorderingsdiensten en extern advies |
| Detectie en preventie van fraude | Identiteitsgegevens Bestelgeschiedenis Bankgegevens Lokalisatiegegevens Verbindingsgegevens Evaluatie Identiteits- en adresbewijzen (indien er twijfel bestaat over de identiteit van de aanvrager) | Duur bepaald op basis van risico en analyseresultaten (maximaal 5 jaar) Duur bepaald op basis van risico en analyseresultaten (maximaal 12 maanden). | OVHcloud (Teams voor fraudepreventie en wanbetalingen) Juridische en financiële directies van OVHcloud Dienstverleners van betaaldiensten |
| Bewijsmateriaal bij geschillen of rechtszaken | Identiteitsgegevens Communicatie Bestelgeschiedenis Betalingsgeschiedenis Gebruiksgegevens van de diensten | Binnen de verjaringstermijn na iedere betreffende gebeurtenis Bij een gerechtelijke procedure: totdat de rechtsgang voltooid en beëindigd is | Klantenservice plus juridische en financiële directies van OVHcloud Externe adviseurs |
| Training en evaluatie van supportteams en verbetering van de servicekwaliteit | Identiteitsgegevens Notulen van de gesprekken Evaluatie van medewerkers Registratie van gesprekken (behalve als het bezwaarrecht wordt uitgeoefend) | 1 jaar na elke betreffende gebeurtenis 6 maanden na elke betreffende gebeurtenis | OVHcloud (Supportservices, training en kwaliteit) |
Deel 2 - Voorwaarden voor verwerking
1. Verplichtingen van OVH
In het kader van de in dit beleid beschreven verwerkingen leeft OVHcloud als verwerkingsverantwoordelijke de geldende regelgeving na, met name Verordening (EU) 2016/679 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (de "(AVG "), alsmede alle wettelijke of bestuursrechtelijke besluiten van de lidstaten van de Europese Unie die op dergelijke verwerkingen van toepassing zouden kunnen zijn, zoals Wet nr. 78-17 van 6 januari 1978 inzake informatica, bestanden en vrijheden, zoals gewijzigd door Verordening nr. 2019-964 van 18 september 2019 in Frankrijk.
Als zodanig verbindt OVHcloud zich er in het bijzonder toe:
- alleen persoonsgegevens te verzamelen die nodig zijn voor de bovengenoemde doelen;
- processen te implementeren die waarborgen dat de bij de verwerkingen gebruikte gegevens juist en actueel zijn en dat ze worden gewist als ze niet langer nodig zijn voor het nagestreefde doel;
- de in haar bezit zijnde persoonsgegevens niet te verwerken voor andere dan de in dit beleid genoemde doeleinden, tenzij de betrokkenen hiermee instemmen of tenzij hen informatie is verstrekt over verwerkingen op basis van andere rechtsgrondslagen dan toestemming;
- de gerealiseerde verwerkingen te documenteren in een register en alle noodzakelijke impactanalyses uit te voeren;
- een proces te implementeren om incidenten en inbreuken in verband met persoonsgegevens te managen, de bevoegde beschermingsautoriteiten te informeren overeenkomstig artikel 33 van de AVG en de betrokkenen te informeren overeenkomstig artikel 34 van de AVG indien de inbreuk een verhoogd risico voor hun rechten en vrijheden kan inhouden;
- technische en organisatorische maatregelen te implementeren om persoonsgegevens te beschermen tegen beveiligingsrisico‘s, zoals gespecificeerd in het OVHcloud Beveiligingsbeleid voor Informatiesystemen.
2. Technische en organisatorische veiligheidsmaatregelen
De bescherming van persoonsgegevens is volledig geïntegreerd in het managementsysteem voor informatiebeveiliging (ISMS) van OVHcloud, waarmee OVHcloud verschillende doelen nastreeft, zoals:
- Implementatie van een grootschalige industriële benadering van beveiliging;
- Positionering van OVHcloud als een betrouwbare speler in het ecosysteem;
- Implementatie van managementsystemen voor informatiebeveiliging (ISMS) en privacy (PIMS);
- Beveiliging op basis van risico’s;
- Beveiliging aantonen door middel van certificering, interne controle en externe audit;
- Geïntegreerde reactie op beveiligingsincidenten en inbreuken in verband met persoonsgegevens;
- Beveiligings- en privacykwesties opnemen in de productontwikkeling;
- Evaluatie van de beveiliging en continue verbetering implementeren.
Deze onderdelen worden nader gespecificeerd in het beveiligingsbeleid van informatiesystemen van OVHcloud.
3. Anonimisering
OVHcloud behoudt zich het recht voor om over te gaan tot anonimisering van gegevens waarop dit beleid betrekking heeft. Dit houdt in dat deze gegevens gewijzigd worden, zodat ze – zelfs indirect – niet langer toelaten de betrokkene te identificeren, te individualiseren of uit te kiezen en dat ze alleen in anonieme vorm worden hergebruikt.
OVHcloud streeft ernaar de volgende principes bij anonimisering toe te passen:
- Het is onmogelijk om een individu uit een grotere groep te kiezen op basis van de gegevens;
- Het is onmogelijk om twee records van dezelfde persoon met elkaar in verband te brengen; en
- Het is onmogelijk om met een hoge waarschijnlijkheid onbekende informatie over een persoon af te leiden.
Aangezien de aldus geanonimiseerde gegevens geen persoonsgegevens meer zijn, behoudt OVHcloud zich het recht voor deze gegevens te bewaren en voor andere doeleinden te gebruiken dan die waarin dit beleid voorziet, met name om statistieken te kunnen produceren, nieuwe diensten te kunnen ontwikkelen of bestaande diensten te verbeteren, marketinganalyses uit te voeren of commerciële strategieën te ontwikkelen.
4. Uitbesteding
De Dochterondernemingen van OVHcloud kunnen, met uitzondering van de Amerikaanse OVHcloud-entiteiten, deelnemen aan de gegevensverwerkingen waar dit beleid voor geldt en waar OVHcloud optreedt als verwerkingsverantwoordelijke.
OVHcloud maakt ook gebruik van externe dienstverleners zoals beveiligingsdienstverleners, netwerkproviders, leveranciers van applicaties en interne tools, dienstverleners van betaaldiensten, marketinganalisten, webanalisten, leveranciers van e-mailingoplossingen, tevredenheidsonderzoeken, consultants, auditors, enzovoorts. Deze handelen in opdracht van OVHcloud in de hoedanigheid van verwerker (onderaannemer).
OVHcloud vergewist zich ervan dat haar verwerkers zich ertoe verbinden de geldende wet- en regelgeving na te leven en dat ze passende technische en organisatorische maatregelen nemen om de bescherming van persoonsgegevens te garanderen, die zij in opdracht van OVHcloud moeten verwerken. OVHcloud let er in het bijzonder op dat deze onderaannemers alleen toegang hebben tot gegevens die nodig zijn om hun werk uit te voeren.
Wanneer OVHcloud daarnaast software van derden gebruikt voor de verwerking van gegevens over het gebruik en de levering van haar diensten (met name tools voor tickets en het managen van support, tools voor provisioning en onderhoud of een oplossing voor het managen van commerciële relaties), dan geeft OVHcloud er de voorkeur aan deze oplossingen "on-premise"op haar eigen infrastructuren te hosten.
In alle gevallen wordt een contract gesloten tussen OVHcloud en de verwerker en worden passende technische en organisatorische maatregelen geïmplementeerd overeenkomstig de artikelen 28 en 32 van de AVG.
Deze sectie 4. behandelt niet de voorwaarden waaronder OVHcloud toestemming heeft om verdere verwerkers te gebruiken als OVHcloud als verwerker in opdracht van haar klanten optreedt en persoonsgegevens verwerkt. Die verwerkingen zijn onderworpen aan de voorwaarden in Deel 1 van de bijlage "Verwerking van persoonsgegevens door OVH".
5. Overdracht van gegevens buiten de Europese Unie
OVHcloud streeft ernaar de overdracht van persoonsgegevens buiten de Europese Unie te beperken.
Hosting van de gegevens
Voor klanten van Europese OVHcloud-entiteiten wordt altijd de voorkeur gegeven aan het hosten van hun gegevens binnen de Europese Unie, ook als er verdere verwerkers worden ingezet. Als deze Europese klanten echter kiezen voor diensten die worden gehost in OVHcloud-datacenters buiten de Europese Unie, met name in Canada, Australië en Singapore, dan kunnen de persoonsgegevens die nodig zijn voor het uitvoeren van de diensten, buiten de Europese Unie worden gehost.
Verwerking op afstand
Vanwege de internationale organisatie van OVHcloud kunnen de gegevensverwerkingsactiviteiten, die in het kader van dit beleid worden beschreven, vanaf locaties buiten de Europese Unie worden uitgevoerd door Dochterondernemingen en externe verwerkingsdienstverleners van OVHcloud, zoals beschreven in sectie 2.4 hierboven.
Deze bepalingen zijn alleen van toepassing op gegevens die door OVHcloud als verwerkingsverantwoordelijke overeenkomstig dit beleid worden verwerkt. Ze gelden niet voor persoonsgegevens die OVHcloud-klanten aan OVHcloud toevertrouwen en die OVHcloud als onderaannemer verwerkt. De voorwaarden voor de overdracht van persoonsgegevens die door OVHcloud als verwerker in opdracht van haar klanten worden verwerkt, zijn vastgelegd in Deel 1 van de bijlage "Verwerking van persoonsgegevens door OVH"
Wanneer de persoonsgegevens waarop dit beleid betrekking heeft (met inbegrip van gebruik op afstand) worden overgedragen naar derde landen die geen adequaatheidsbesluit van de Europese Commissie hebben, vastgesteld overeenkomstig artikel 25 van Richtlijn 95/46/EG of artikel 45 van de AVG, dan controleert OVHcloud of er passende waarborgen, zoals bepaald in artikel 46 van de AVG, zijn geïmplementeerd, ongeacht of de gegevensimporteur een OVHcloud-entiteit of een derde partij is.
Wanneer de importeur een Dochteronderneming van OVHcloud is, dan bestaan de hierboven bedoelde passende waarborgen uit 2010/87/EU-modelcontractbepalingen die door de Europese Commissie zijn vastgesteld op grond van artikel 26, lid 4, van Richtlijn 95/46/EG, en overeenkomstig artikel 4 van uitvoeringsbesluit (EU) 2021/914 van de Europese Commissie van 4 juni 2021 worden geacht tot 27 december 2022 passende waarborgen te bieden in de zin van artikel 46, lid 1, van de AVG.
Als zodanig werkt OVHcloud, dat zich het recht voorbehoudt deze modelcontractbepalingen te vervangen door alle andere passende waarborgen voorzien in hoofdstuk V van de AVG, aan de implementatie van modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen krachtens Verordening (EU) 2016/679 van het Europees Parlement en de Raad, vastgesteld per Uitvoeringsbesluit (EU) 2021/914 van de Commissie.
Daarnaast vergewist OVHcloud zich ervan dat het recht en de werkwijzen van de bestemmingslanden de effectiviteit van deze contractbepalingen niet zullen aantasten, en indien dit niet het geval is, zal OVHcloud aanvullende maatregelen nemen om de effectiviteit van de bovenvermelde waarborgmechanismen te waarborgen, in overeenstemming met Aanbeveling 01/2020 van het Europees Comité voor Gegevensbescherming.
OVHcloud implementeert hoe dan ook technische en organisatorische maatregelen (zoals traceerbaarheid, toegangsbeperking) om de overgedragen gegevens te beschermen, in het bijzonder tegen ongeoorloofde toegang of openbaarmaking, en houdt zich aan de bepalingen van de Europese regelgeving, met name artikel 48 van de AVG, indien een autoriteit van een derde land buiten de Europese Unie verzoekt om het verstrekken van persoonsgegevens van klanten van Europese entiteiten.
7. Rechten van betrokkenen
Conform de AVG (GDPR) heeft u recht op toegang tot de hierboven vermelde persoonsgegevens die op u van toepassing zijn, op rectificatie ervan, op verwijdering en overdraagbaarheid ervan, en op beperking van of verzet tegen bepaalde verwerkingen. Wanneer de verwerking op toestemming is gebaseerd, heeft u ook het recht om de toestemming op ieder moment in te trekken.
Deze rechten kunnen worden uitgeoefend met behulp van het daarvoor bestemde formulier op de OVHcloud Internetsite of per post op het volgende adres: OVH S.A.S., Délégué à la Protection des Données, 2 rue Kellermann, 59100 Roubaix, Frankrijk.
Conform artikel 12 van de AVG dient elk verzoek vergezeld te gaan van de relevante informatie om uw identiteit aan te tonen. Het wordt zo spoedig mogelijk en in ieder geval met inachtneming van het bepaalde in het hierboven vermelde artikel 12 beantwoord. Indien er redelijke twijfel bestaat over de identiteit van de verzoekende natuurlijke persoon, kan aanvullende informatie, met name een identiteitsbewijs, worden gevraagd, die nodig is om de identiteit van de betrokkene te bevestigen.
U kunt ook een klacht indienen bij de bevoegde autoriteit voor gegevensbescherming.