CHARTER TER BESCHERMING VAN PERSOONSGEGEVENS
MEI 2021
XXXXXX XX XXXXXXXXXX ASSET MANAGEMENT (LUXEMBOURG)
CHARTER TER BESCHERMING VAN PERSOONSGEGEVENS
1. Inleiding
Dit Charter is van toepassing op alle persoonsgegevens (de "gegevens") die worden verwerkt door Xxxxxx xx Xxxxxxxxxx Asset Management (Luxembourg) ("wij" of "ons"), optredend als verwerkingsverantwoordelijke1 jegens de natuurlijke personen wiens gegevens worden verwerkt in het kader van haar activiteiten [dergelijke gegevens kunnen betrekking hebben op categorieën van natuurlijke personen, zoals (waar van toepassing en zonder beperkt te zijn tot) vertegenwoordigers, bestuursleden, lasthebbers, werknemers, zaakgelastigden, advocaten, contactpersonen, promotoren, initiatiefnemers, controlerende personen, (potentiële) investeerders en uiteindelijk begunstigden en familieleden van (potentiële) investeerders en uiteindelijk begunstigden (elk aangeduid als een "betrokkene ")].
Het doel van dit Charter is ervoor te zorgen dat Xxxxxx xx Xxxxxxxxxx Asset Management (Luxembourg) de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van deze gegevens (de "GDPR") naleeft.
2. Welke gegevens verwerken wij?
De gegevens die wij verwerken, kunnen afkomstig zijn van verschillende bronnen. Sommige gegevens kunnen rechtstreeks bij de betrokkene worden verzameld. Sommige gegevens kunnen, met inachtneming van de geldende wet- en regelgeving, ook worden verzameld uit andere bronnen, zoals de werkgever van de betrokkene of de entiteit namens dewelke of waarvoor de betrokkene handelt, de klanten, de prospecten, de tegenpartijen, de partners, de contactpersonen, de (potentiële) investeerders, de (potentiële) uiteindelijk begunstigden, de advocaten, de dienstverleners, de promotoren, de initiatiefnemers of de andere entiteiten van de Xxxxxx xx Xxxxxxxxxx Groep (de "EdR-Groep"). We kunnen ook gegevens verzamelen in het kader van vergaderingen of communicaties (bv. via papieren of elektronische correspondentie, tijdens telefoongesprekken of vergaderingen) of wanneer de betrokkene onze website bezoekt of gebruik maakt van onze online diensten of toepassingen. De betrokkene dient ervoor te zorgen dat zijn/haar gegevens, zoals die door ons worden verzameld, juist, relevant en actueel zijn. Hij/zij is verplicht ons op de hoogte te stellen van alle wijzigingen met betrekking tot zijn/haar gegevens.
Sommige gegevens kunnen ook afkomstig zijn van publiek beschikbare bronnen (bv. opvolgingsdossiers, openbare registers, pers, websites, sociale netwerken, wereldwijde leveranciers van financiële, zakelijke en economische informatie zoals Bloomberg-, FACTIVA- en World-Check-databases) of van externe bedrijven (bv. van onderzoeksbureaus).
Bepaalde categorieën van gegevens kunnen door ons worden verwerkt, waaronder, maar niet beperkt tot:
- contactgegevens: zoals de naam en (privé- en professionele) contactgegevens, waaronder het telefoonnummer, faxnummer, e-mailadres, postadres en/of andere contactgegevens; en/of
- informatie in het kader van wettelijke en/of reglementaire vereisten of in het kader van de relatie met ons, zoals de contactgegevens, identificatiegegevens (waaronder identiteitsdocumenten, geslacht, burgerlijke staat, geboortedatum/-plaats en land van verblijf), het fiscaal identificatienummer en/of de fiscale status, bankgegevens (waaronder het rekeningnummer en het rekeningsaldo), het type relatie, de titel of functie, het beroep, het curriculum vitae, de kennis, ervaring, vaardigheden, het vermogen, de risicoclassificatie, het geïnvesteerde bedrag en de herkomst van de fondsen, de registratie van transacties (waaronder het transactiegedrag), mogelijke veroordelingen of sancties, klachten, kopieën van facturen en/of andere gegevens die in overeenstemming met de toepasselijke wettelijke en/of regelgevende voorschriften of in het kader van de relatie met ons worden verwerkt; en/of
1 Wij vestigen de aandacht van de betrokkene op het feit dat Xxxxxx xx Xxxxxxxxxx Asset Management (Luxembourg) ook kan optreden als verwerker (of subverwerker) wanneer het de gegevens rechtstreeks (of onrechtstreeks) verwerkt namens verschillende verwerkingsverantwoordelijken.
- informatie in het kader van communicatie en/of vergaderingen, zoals gegevens die worden verstrekt in papieren of elektronische correspondentie, telefoon- en video-opnamen, foto's en/of andere relevante gegevens in het kader van communicatie en/of vergaderingen; en/of
- informatie in het kader van het bezoek aan onze website en/of het gebruik van onze online toepassingen/diensten, zoals de gegevens die in schriftelijke of elektronische vorm worden verstrekt (bv. contactinformatie, functie of titel, de naam van de entiteit namens xxxxxxx of waarvoor de betrokkene handelt), online identificator (IP-adres), dataverkeersrapporten, inloggegevens en/of alle gegevens die door communicatie met ons via onze website of via sociale media worden verstrekt.
3. Waarom verwerken wij de gegevens?
Wij verwerken de gegevens voor de volgende doeleinden:
• ten behoeve van onze legitieme belangen
Dit kan de verwerking van gegevens omvatten voor:
- risicobeheer (met name reglementaire, juridische, financiële en reputatierisico's); en/of
- fraudepreventie; en/of
- het aannemen van nieuwe klanten; en/of
- de levering van producten en diensten; en/of
- gebruikmaken van diensten; en/of
- het aangaan en/of beheren van relaties met prospecten, klanten, tegenpartijen, dienstverleners, entiteiten van de EdR-Groep en/of andere derden; en/of
- verbetering van onze producten en diensten; en/of
- marketingdoeleinden (met inbegrip van het organiseren van marketing evenementen en het beheren van de bijhorende uitnodigingen); en/of
- het voorkomen of vergemakkelijken van de beslechting van eventuele claims, onenigheden of geschillen; en/of
- de uitoefening of verdediging van onze rechten of de rechten van andere natuurlijke of rechtspersonen; en/of
- informatieverstrekking aan onze verwerkers om deze namens ons te verwerken.
Het verstrekken van gegevens voor deze doeleinden kan voor ons een vereiste zijn om een relatie aan te gaan of voort te zetten met de betreffende klant of prospect, dienstverlener, tegenpartij, entiteit van de EdR-Groep of andere derde partij. In dit geval is de betrokkene verplicht de relevante gegevens te verstrekken;
en/of
• voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of om op verzoek van de betrokkene stappen te ondernemen vóór het sluiten van een overeenkomst
Dit kan het door de relevante betrokkene voor specifieke doeleinden ondertekende of te ondertekenen formulier of contract omvatten, met inbegrip van, maar niet beperkt tot, de toestemming om onze online diensten of toepassingen te gebruiken (bv. EdR Link). Het verstrekken van gegevens voor dit doel heeft een (pre)contractueel karakter. In dit geval is de betrokkene verplicht de relevante gegevens te verstrekken;
en/of
• voor de naleving van wettelijke en/of reglementaire verplichtingen waaraan wij onderworpen zijn
Dit omvat de naleving van wettelijke en/of reglementaire verplichtingen zoals:
- bestrijding van het witwassen van geld en de bestrijding van terrorismefinanciering; en/of
- boekhouding en rapportering; en/of
- het voorkomen van belangenconflicten; en/of
- de naleving van de verzoeken en de eisen van lokale of buitenlandse autoriteiten.
De verstrekking van gegevens voor dit doel heeft een wettelijk/regelgevend karakter. In dit geval is de betrokkene verplicht de relevante gegevens te verstrekken;
en/of
• voor alle andere specifieke doeleinden waartoe de betrokkene heeft ingestemd.
Het niet verstrekken van gegevens voor de bovengenoemde doeleinden kan (voor zover van toepassing) tot gevolg hebben dat wij (i) geen relatie kunnen aangaan met de betreffende klant of prospect, dienstverlener, tegenpartij, entiteit van de EdR-Groep of andere derde partij, en/of (ii) geen inschrijvings- of terugbetalingsorder van de betrokkene kunnen aanvaarden of uitvoeren, en/of (iii) onze producten of diensten niet kunnen leveren, en/of
(iv) het gebruik van onze online diensten of toepassingen niet kunnen toestaan, en/of (v) onze relatie met de betreffende klant of prospect, dienstverlener, tegenpartij, entiteit van de EdR-Groep of andere derde partij niet kunnen voortzetten.
4. Geautomatiseerde individuele besluitvorming
Er worden door ons geen geautomatiseerde individuele beslissingen genomen, wat betekent dat de betrokkene niet onderworpen is aan beslissingen die uitsluitend op geautomatiseerde verwerking zijn gebaseerd en die voor hem of haar rechtsgevolgen hebben die hem of haar betreffen of die hem of haar in belangrijke mate beïnvloeden.
5. Opname van telefoongesprekken en videobewaking
• Telefoongesprekken
Om te dienen als bewijs van commerciële transacties en/of andere commerciële communicaties en vervolgens de beslechting van onenigheden of geschillen te voorkomen of te vergemakkelijken, kunnen de telefoongesprekken van de betrokkene met en/of instructies aan ons worden opgenomen in overeenstemming met de toepasselijke wet- en regelgeving. Deze opnames worden niet aan derden bekend gemaakt, tenzij wij daartoe op grond van de toepasselijke wet- en/of regelgeving verplicht of gerechtigd zijn, om het in deze paragraaf genoemde doel te bereiken.
• Videobewaking
Om veiligheidsredenen gebruiken wij ook een videobewakingssysteem in en rond onze kantoren en wij kunnen daarom video's opnemen waarin de betrokkene kan verschijnen.
6. Met wie kunnen wij de gegevens delen?
In overeenstemming met de toepasselijke wet- en regelgeving kunnen wij de gegevens overdragen en doorgeven aan de ontvangers, zoals (voor zover van toepassing):
- andere entiteiten van de EdR-Groep (met inbegrip van filialen en dochterondernemingen van de EdR- Groep); en/of
- onze tegenpartijen, benoemden, aannemers, onderaannemers, advocaten of dienstverleners en/of die van onze klanten, zoals (indien van toepassing) de beheermaatschappij en/of de beleggingsbeheerders, de sub-beleggingsbeheerders, de beleggingsadviseurs, de makelaars, de prime brokers, de distributeurs, enz…; en/of
- de correspondenten van Xxxxxx xx Xxxxxxxxxx (Europe), derde-bewaarders of andere derde financiële instellingen, de Centrale Effectenbewaarinstellingen2, de Centrale Clearingtegenpartijen3, alle entiteiten of beleggingsinstellingen waarin onze klant belegt en hun eigen dienstverleners; en/of
- bedrijven die namens ons onderzoeken uitvoeren; en/of
- onze externe bedrijfsrevisoren, advocaten, notarissen en/of die van onze klanten; en/of
- elke natuurlijke persoon of entiteit die een belang heeft in of betrokken is bij onze relatie met de betreffende klant, prospect, dienstverlener, tegenpartij, entiteit van de EdR-Groep of andere derde partij; en/of
- externe bureaus of leveranciers die betrokken zijn bij de organisatie van marketingevenementen; en/of
- alle gerechtelijke, markt-, fiscale, wetshandhavings-, regelgevende of andere administratieve autoriteiten en/of overheidsinstanties.
Deze ontvangers kunnen de gegevens verwerken als verwerkers (bij de verwerking van de gegevens in onze naam) of als afzonderlijke verwerkingsverantwoordelijken (bij de verwerking van de gegevens in hun eigen naam). Deze ontvangers kunnen op hun beurt de gegevens ook overdragen aan hun eigen verwerkers en/of aan afzonderlijke verwerkingsverantwoordelijken.
7. Hoe lang bewaren wij de gegevens?
Wij bewaren de gegevens zo lang als nodig is voor de bovengenoemde doeleinden waarvoor ze worden verwerkt.
In het algemeen bewaren wij de gegevens gedurende een periode van 10 jaar na het einde van onze relatie met de betreffende klant (met uitzondering van de telefoonopnames en de video-opnames die in het algemeen worden bewaard gedurende een periode van respectievelijk tien (10) jaar en één (1) maand na de opname).
De bewaartermijnen van de gegevens kunnen echter korter of langer zijn, in overeenstemming met de toepasselijke wet- en/of regelgeving, in het bijzonder om ons in staat te stellen te voldoen aan onze wettelijke en/of reglementaire verplichtingen, om claims en/of geschillen te beheren, om onze rechten of die van andere personen uit te oefenen of te verdedigen en/of om te voldoen aan verzoeken van de autoriteiten.
2 Onder "Centrale Effectenbewaarinstellingen” wordt verstaan alle centrale effectenbewaarinstellingen, effectenafwikkelingssystemen, clearinginstellingen en boekhoudkundige effectensystemen zoals aangewezen voor de toepassing van Richtlijn 98/26/EG van het Europees Parlement en de Raad van 19 mei 1998 betreffende het definitieve karakter van de afwikkeling van betalingen en effectentransacties in betalings- en effectenafwikkelingssystemen en effectenafwikkelingssystemen van derde landen, met inbegrip van (zonder beperking) Clearstream, Euroclear, de Depository Trust Company en CrestCo.
3 Onder "Centrale Clearingtegenpartij” wordt verstaan elke marktclearingfaciliteit, afwikkelingssysteem, gedematerialiseerd boekhoudsysteem of een soortgelijke faciliteit, systeem of bewaarinstelling.
8. Internationale overdracht van gegevens
In principe kunnen de gegevens worden overgedragen aan, gehost in of geraadpleegd vanuit een lidstaat van de Europese Unie.
De gegevens mogen echter ook worden overgedragen aan, gehost in of geraadpleegd vanuit een land buiten de Europese Unie, mits de Europese Commissie heeft erkend dat een dergelijk land een passend beschermingsniveau waarborgt of aan een van de volgende voorwaarden is voldaan, in overeenstemming met de toepasselijke wet- en regelgeving:
- de overdracht wordt beschermd door passende voorzorgsmaatregelen;
- de betrokkene heeft zijn of haar toestemming gegeven voor de overdracht;
- de overdracht is noodzakelijk voor de uitvoering van een overeenkomst tussen de betrokkene en ons of de implementatie van precontractuele maatregelen die op verzoek van de betrokkene zijn genomen;
- de overdracht is noodzakelijk voor het sluiten of uitvoeren van een in het belang van de betrokkene gesloten overeenkomst tussen ons en een andere natuurlijke of rechtspersoon;
- de overdracht is noodzakelijk om belangrijke redenen van openbaar belang;
- de overdracht is noodzakelijk voor de vaststelling, de uitoefening of de verdediging van rechtsvorderingen;
- de overdracht wordt geëist door een rechtbank, een tribunaal of een administratieve autoriteit van het derde land, waarvan het oordeel of de beslissing erkend of uitvoerbaar is; of
- de overdracht is niet repetitief, betreft slechts een beperkt aantal betrokkenen, is noodzakelijk voor de doeleinden van onze dwingende legitieme belangen (zoals meegedeeld aan de betrokkene) die niet worden overruled door de belangen of rechten en vrijheden van de betrokkene, en in dit geval werden passende maatregelen met betrekking tot de bescherming van de gegevens genomen.
U kunt meer informatie over deze internationale overdrachten, met inbegrip van een kopie van de hierboven vermelde passende of geschikte voorzorgsmaatregelen verkrijgen door rechtstreeks contact met ons op te nemen op de adressen die aan het einde van dit Charter zijn vermeld.
9. Rechten van de betrokkene
Onder bepaalde voorwaarden die zijn vastgelegd in de toepasselijke wetten en/of voorschriften inzake gegevensbescherming heeft elke betrokkene het recht:
- om toegang te krijgen tot zijn/haar gegevens en, naar gelang het geval, te weten van welke bron zijn/haar gegevens afkomstig zijn en of deze gegevens afkomstig zijn van publiek toegankelijke bronnen; en
- om rectificatie van zijn/haar gegevens te vragen wanneer deze onjuist en/of onvolledig zijn; en
- om een beperking van de verwerking van zijn/haar gegevens te vragen; en
- om bezwaar te maken tegen de verwerking van zijn/haar gegevens; en
- om te vragen om zijn/haar gegevens te verwijderen; en
- op overdraagbaarheid van gegevens met betrekking tot zijn/haar gegevens.
Meer details over de bovengenoemde rechten zijn te vinden in Hoofdstuk III van de GDPR en met name in de artikelen 15 tot en met 21 van de GDPR.
De betrokkene heeft ook het recht om te allen tijde zijn of haar toestemming in te trekken met betrekking tot een specifieke verwerking waarvoor hij of zij toestemming heeft gegeven, zonder afbreuk te doen aan de rechtmatigheid van de verwerking op basis van toestemming vóór zijn of haar intrekking.
Naast de hierboven genoemde rechten heeft de betrokkene het recht om een klacht in te dienen bij een toezichthoudende autoriteit (in de zin van de GDPR) indien hij of zij van mening is dat wij niet voldoen aan de toepasselijke wet- en/of regelgeving op het vlak van gegevensbescherming of zich zorgen maakt over de bescherming van zijn of haar gegevens. In Luxemburg is de bevoegde toezichthoudende autoriteit de Commission nationale pour la protection des données.
10. Contact met ons opnemen
Voor vragen met betrekking tot de verwerking van de in dit Charter beschreven gegevens of de uitoefening van de hierboven vermelde rechten, kan de betrokkene contact met ons opnemen op het volgende adres: 0, xxx Xxxxxx Xxxxxxx, X-0000 Xxxxxxxxx, Groothertogdom Luxemburg, ter attentie van onze functionaris voor gegevensbescherming.
U kunt ook contact opnemen met onze functionaris voor gegevensbescherming op het volgende e-mailadres:
* *
*
Dit Charter is aan wijzigingen onderhevig en de meest recente versie is online beschikbaar op het volgende adres:
xxxxx://xxx.xxxxxx-xx-xxxxxxxxxx.xxx/XxxxXxxxxxxxxxXxxxxxxxx/xxxxxx-xxxxxxxxxxxxx/XxxxXxxxxxxXxxxxxXxXXXXxxxxxxxxx-XX.xxx