Privacybeleid van het College van toezicht op de bedrijfsrevisoren

Dit privacybeleid is van toepassing op de opdrachten en diensten van het College en op de websites, met inbegrip van de digitale loketten van het College (zoals www.ctr-csr.be).

Het is niet van toepassing op de persoonsgegevens die onder een specifiek privacybeleid vallen.

Het privacybeleid moet samen worden gelezen met ons cookiebeleid. Voor meer informatie verwijzen wij naar dat cookiebeleid.

Voor het College gelden afwijkingen van de informatieverplichting die in beginsel op de verwerkingsverantwoordelijke rust in de gevallen waarvan sprake in artikel 54/3 van de wet van 7 december 2016 tot organisatie van het beroep van en het publiek toezicht op de bedrijfsrevisoren (hierna ‘de wet van 7 december 2016’). Dat is onder andere zo wanneer het College handelt (i) met het oog op de uitoefening van zijn opdrachten die worden opgesomd in artikel 32 van de wet van 7 december 2016, of van enige andere opdracht die aan het College wordt toegekend op grond van een andere bepaling van nationaal of Europees recht, wanneer die gegevens niet bij de betrokkene zijn verkregen, en (ii) in het kader van de procedures voor het opleggen van administratieve maatregelen en geldboetes als bedoeld in de artikelen 56, 58 en 59 van de wet van 7 december 2016.

Het College van Toezicht op de Bedrijfsrevisoren (het College, Congresstraat 12-14, 1000 Brussel) is de verwerkingsverantwoordelijke van uw persoonsgegevens. Dit betekent dat het College bepaalt voor welke doeleinden en met welke middelen uw persoonsgegevens worden verwerkt.

Het College heeft een functionaris voor gegevensbescherming ('Data Protection Officer' of 'DPO') aangesteld die uw aanspreekpunt is voor al uw vragen of verzoeken in verband met de verwerking van uw persoonsgegevens. U vindt de contactgegevens van de DPO in het antwoord op vraag ‘Hoe kan u contact met ons opnemen?’ van dit privacybeleid.

Het College verzamelt uw persoonsgegevens op een aantal manieren:

1. Gegevens die u zelf hebt verstrekt

Het College verwerkt in de eerste plaats de gegevens die u ons hebt verstrekt:

• in het kader van onze opdrachten van algemeen belang en de uitoefening van het openbaar gezag: het betreft, onder andere, de persoonsgegevens die u ons verstrekt (op welke wijze dan ook, inclusief via de digitale loketten) in het kader van ons publiek toezicht op de bedrijfsrevisoren.
  Het gaat hierbij ook om de gegevens die u ons heeft verstrekt als klokkenluider, zoals uw contactgegevens en andere gegevens (tenzij u opteert voor een anonieme melding en u effectief niet kan worden geïdentificeerd);
• door het invullen van een contactformulier op de website van het College: het betreft gegevens zoals uw titel, voornaam, familienaam, e-mailadres, telefoonnummer, of u al dan niet inwoner van België bent, en de aanvullende gegevens in uw vraag, opmerking, klacht of andere boodschap. In het contactformulier voor de professionelen vragen wij eveneens (indien van toepassing) de naam van uw vennootschap en uw registernummer;
• in voorkomend geval, door in te schrijven op een nieuwsbrief: het betreft gegevens zoals uw e-mailadres, voornaam en familienaam;
• door deel te nemen aan een consultatie van het College: het betreft identificatiegegevens, uw functie en eventuele andere persoonsgegevens, die u verstrekt in het kader van consultaties (openbaar of beperkt), georganiseerd door het College, voornamelijk over wetgevende projecten;
• door een overeenkomst met het College te sluiten: het betreft uw gegevens als natuurlijke persoon, zoals uw naam en uw e-mailadres, alsook elk ander gegeven dat u ons verstrekt in het (pre)contractuele kader;
• door het College te bezoeken: het betreft gegevens die u moet invullen op de registratiefiche voor bezoekers, zoals uw naam, onderneming, kentekenplaat en de beelden die door de veiligheidscamera's van ons gebouw en onze parking worden geregistreerd.

2. Gegevens verkregen van een derde

Het College verwerkt ook persoonsgegevens die bij een derde zijn verkregen:

• in het kader van onze opdrachten van algemeen belang en de uitoefening van het openbaar gezag: het betreft, onder andere, de persoonsgegevens die ons worden verstrekt (op welke wijze dan ook, inclusief via de digitale loketten) door een derde (zoals de natuurlijke persoon of rechtspersoon onder ons toezicht bij wie u werkzaam bent of een functie uitoefent, andere nationale of buitenlandse autoriteiten, klokkenluiders, of iemand die een klacht indient of die ons een vraag stelt) in het kader van ons publiek toezicht op de bedrijfsrevisoren;
• in het kader van een overeenkomst tussen de contracterende partij voor wie u werkzaam bent, en het College: het betreft uw naam, e-mailadres en andere gegevens zoals, in bepaalde gevallen, de referenties naar uw eerdere werkzaamheden, die ons worden verstrekt door de contracterende partij voor wie u werkzaam bent, en dit in het kader van precontractuele maatregelen of de dienstverlening aan het College.

3. Automatisch verkregen gegevens

• via cookie providers: Het College registreert geen namen of overige gegevens die de identiteit van de bezoekers van zijn website onthullen. Daarentegen worden statistische gegevens geregistreerd die belangrijk zijn om de website te optimaliseren via het gebruik van cookies. De cookies verzamelen gegevens over de toegang tot de website, de persoonlijke instellingen en het surfgedrag. Deze informatie wordt automatisch verzameld tijdens het navigeren op de website. Meer informatie vindt u in het cookiebeleid.

Het College verzamelt, bewaart, gebruikt en verwerkt uw persoonsgegevens:

• voor de uitvoering van de opdrachten van algemeen belang die worden opgesomd in artikel 32 van de wet van 7 december 2016, of enige andere opdracht die aan het College wordt toegekend op grond van een andere bepaling van nationaal of Europees recht, en de uitoefening van het openbaar gezag toevertrouwd aan het College;
• op basis van onze wettelijke verplichtingen, in het bijzonder de verplichting tot archivering op grond van de archiefwet van 24 juni 1955;
• op basis van uw toestemming, onverminderd de verwerkingen die overeenkomstig de hierboven vermelde rechtsgronden en doeleinden worden verricht:
  • om u in te schrijven als gebruiker van één van de digitale loketten op de website (tenzij uw inschrijving verplicht is);
  • om eventueel contact met u te kunnen opnemen in het kader van een consultatie;
  • om u nieuwsbrieven te sturen;
  • om te antwoorden op elke andere vraag die u zou kunnen stellen, bijvoorbeeld via de contactformulieren;

• op basis van precontractuele maatregelen of de uitvoering van een overeenkomst die het College heeft gesloten met u of de partij voor wie u werkzaam bent, om ons alle informatie te verstrekken die nodig is om een beslissing te nemen over het sluiten van een overeenkomst, of om met u te kunnen communiceren in het kader van de dienstverlening;
• op basis van ons gerechtvaardigd belang:

• voor het beheer van de bezoekers. Op basis van het aantal bij de receptie ingevulde formulieren, bereiden wij eveneens anonieme statistieken voor over het aantal bezoekers;
• om ons gebouw en onze parking te beveiligen;
• om onze website en onze digitale loketten te evalueren, te beveiligen (inclusief tegen fraude) en te verbeteren en optimaliseren.

Het College verwerkt de persoonsgegevens niet langer dan noodzakelijk is voor het doel waarvoor het ze heeft verzameld, en binnen de grenzen bepaald door de wet, indien die een langere termijn toestaat.

Meer in het bijzonder:

• De persoonsgegevens die het College verwerkt voor de uitvoering van zijn opdrachten van algemeen belang en de uitoefening van het openbaar gezag dat aan het College is toevertrouwd, zullen worden bewaard zolang u, of de natuurlijke persoon of rechtspersoon onder ons toezicht bij wie u werkzaam bent of een functie uitoefent, of hebt uitgeoefend, onder toezicht van het College staat. Ook indien dat niet meer het geval is, kan het College uw persoonsgegevens nog langer verwerken, bijvoorbeeld voor zover deze weer relevant zouden kunnen worden voor het uitoefenen van ons toezicht of in het kader van mogelijke aansprakelijkheidsvorderingen.
• Onverminderd de bewaartermijnen die van toepassing zijn op de hierboven vermelde verwerkingen, gelden de volgende bewaartermijnen voor de persoonsgegevens die het College ontvangt:
  • om u in te schrijven als gebruiker van één van de digitale loketten op de website: zolang u een account hebt voor de betrokken applicatie;
  • om eventueel met u in contact te kunnen komen in het kader van een consultatie: zolang het project waarover u bent geraadpleegd niet is afgesloten (hetzij door de definitieve aanname, hetzij door het definitief afvoeren ervan, met dien verstande dat een project niet als afgesloten wordt beschouwd zolang het wordt aangevochten);
  • om u nieuwsbrieven te sturen: totdat u zich uitschrijft;
  • om te antwoorden op elke andere vraag die u zou kunnen stellen, bijvoorbeeld via de contactformulieren: gedurende 2 jaar na de laatste reactie van onze kant;
  • in het (pre)contractuele kader: tijdens de duur van de overeenkomst en 10 jaar na het einde van de overeenkomst. Als er geen overeenkomst wordt gesloten, zullen uw gegevens sneller worden verwijderd;
  • in het kader van uw bezoek: gedurende 30 dagen.

Niettegenstaande wat voorafgaat, is het College onderworpen aan de archiefwet van 24 juni 1955 en bepaalde gegevens worden derhalve gedurende een langere periode bewaard, zoals voorzien door deze wet, voor archiveringsdoeleinden mits gepaste waarborgen.

Het College verwerkt de persoonsgegevens slechts voor de specifieke doeleinden waarvoor zij worden verzameld. De verzamelde persoonsgegevens zullen in geen geval worden gebruikt voor commerciële doeleinden.

Het College kan uw gegevens delen:

• met dienstverleners met wie het College werkt (bv. IT-dienstverleners, het platform waarop het College een beroep doet voor het beheer van de nieuwsbrieven, advocaten of andere aanbieders van diensten die nodig zijn voor de uitvoering van de opdrachten van het College). De toegang van deze dienstverleners tot uw gegevens zal worden beperkt tot wat strikt noodzakelijk is voor hun taken;
• in de gevallen bepaald in de artikelen 44 en 45 van de wet van 7 december 2016 (en dit zelfs als de gegevens in kwestie niet onder het beroepsgeheim, zoals bedoeld in voormelde artikelen, vallen):
• ingeval de mededeling van dergelijke informatie wordt voorgeschreven of toegestaan door of krachtens die wet en de wetten die de opdrachten van het College regelen (inclusief de gevallen bedoeld in artikel 45 van diezelfde wet en inclusief de FSMA in het kader van haar secretariaatswerkzaamheden voor het College);
• tijdens een getuigenis in rechte in strafzaken;
• voor de aangifte van strafrechtelijke misdrijven bij de gerechtelijke autoriteiten (met dien verstande dat, in een dergelijk geval, het College zijn beslissing om bij de gerechtelijke overheden aangifte te doen van strafrechtelijke misdrijven, openbaar kan maken);
• in het kader van administratieve of gerechtelijke beroepsprocedures tegen de handelingen of beslissingen van het College en in elk ander rechtsgeding waarbij het College partij is;
• in beknopte of geaggregeerde vorm, zodat u niet kan worden geïdentificeerd.

De persoonsgegevens van een klokkenluider zal het College niet delen met de bedrijfsrevisor of derden, tenzij zij hiertoe wettelijk verplicht is of de klokkenluider daarmee instemt (meer informatie zie de klokkenluidersprocedure - CTR).

Het College zal uw persoonsgegevens niet zelf buiten de Europese Economische Ruimte (EER) verwerken.

Het is mogelijk dat de dienstverleners die voor het College werken, uw persoonsgegevens verwerken buiten de EER (bv. in de Verenigde Staten). Wanneer dat het geval is, vergewist het College zich ervan dat de dienstverlener een overeenkomst afsluit met het College en dat het beschermingsniveau gewaarborgd is, bijvoorbeeld via een beslissing van de Europese Commissie dat een derde land een adequaat beschermingsniveau verzekert (artikel 45 AVG), via een certificatie van de invoerder van de gegevens onder het EU-VS Privacy Shield (artikel 45 AVG), door standaardclausules af te sluiten voor de bescherming van de gegevens, goedgekeurd door de Europese Commissie, tussen de partijen die gegevens verwerken buiten de EER (artikel 46 AVG), of via een ander instrument dat passende waarborgen bevat.

Het is mogelijk dat het College, in het kader van zijn opdrachten van algemeen belang en de uitoefening van het openbaar gezag, en binnen de grenzen van de artikelen 44 en 45 van de wet van 7 december 2016, persoonsgegevens uitwisselt met een financiële toezichthoudende autoriteit van een derde land buiten de EER in het kader van internationale samenwerking. 

In dat geval vergewist het College zich ervan:

• dat het derde land of de internationale organisatie een passend beschermingsniveau waarborgt (adequaatheidsbesluit van de Europese Commissie – artikel 45 AVG), of
• dat passende waarborgen worden geboden (artikel 46 AVG), in het bijzonder wanneer de financiële toezichthoudende autoriteit van een land buiten de EER zich ertoe heeft verbonden om de waarborgen te bieden die in een administratieve regeling zijn vastgelegd, zoals bv. op heden het geval is met de Public Company Accounting Oversight Board (“PCAOB”); of
• dat zij zich kan beroepen op een afwijking, in het bijzonder de afwijking voor doorgiften die noodzakelijk zijn wegens gewichtige redenen van algemeen belang (artikel 49 AVG).

Indien u hierover vragen hebt of als u meer informatie wenst, kan u zich wenden tot het College met een gedateerd en ondertekend verzoek, gericht aan de DPO. U vindt de contactgegevens van de DPO in het antwoord op de vraag “Hoe kan u contact met ons opnemen?” van dit privacybeleid.

Het College treft technische en veiligheidsmaatregelen om uw persoonsgegevens te beschermen en om vernietiging, verlies of aantasting, ongeoorloofde toegang of verspreiding, wijziging, per ongeluk of onrechtmatig, te voorkomen.

Krachtens artikel 44 van de wet van 7 december 2016, zijn het College, de voorzitter en de leden van het Comité, en de personeelsleden van de FSMA die meewerken aan de uitoefening van de opdrachten van het College gebonden aan het beroepsgeheim en mogen zij de vertrouwelijke informatie waarvan zij kennis hebben gekregen, niet verspreiden aan welke persoon of autoriteit ook (onder voorbehoud evenwel van de in het antwoord op de vraag “Met wie delen wij uw gegevens” van dit privacybeleid vermelde uitzonderingen).

Verder vraagt het College zijn dienstverleners die persoonsgegevens verwerken voor het College, eveneens om steeds de noodzakelijke veiligheidsmaatregelen te treffen.

Onze website bevat links naar websites van derden (bv. sociale netwerken zoals LinkedIn en Twitter) waarvan de gebruiksvoorwaarden noch onder het toepassingsgebied van dit privacybeleid, noch onder onze verantwoordelijkheid vallen. Wij bevelen u bijgevolg aan om hun privacybeleid aandachtig te lezen om te weten te komen hoe zij uw privacy respecteren.

U hebt een aantal rechten in verband met uw persoonsgegevens. Sommige van die rechten hebben een erg specifiek toepassingsgebied of zijn onderworpen aan bijzondere voorwaarden of uitzonderingen. Zo zal u, in de gevallen waarvan sprake in artikel 54/3 van de wet van 7 december 2016, geen gebruik kunnen maken van uw recht op informatie (volgens de artikelen 12 en 13 van de AVG), uw recht van inzage, uw recht op rectificatie, uw recht op kennisgeving van de uitoefening van bepaalde rechten aan de ontvangers van de gegevens, en uw recht van verzet. Dat is onder andere zo wanneer het College handelt:

i.  met het oog op de uitoefening van zijn opdrachten die in artikel 32 van de wet van 7 december 2016 worden opgesomd, of van enige andere opdracht die aan het College wordt toegekend op grond van een andere bepaling van nationaal of Europees recht, wanneer die gegevens niet bij de betrokkene zijn verkregen;

ii.  in het kader van de procedures voor het opleggen van administratieve maatregelen en geldboetes als bedoeld in de artikelen 56, 58 en 59 van de wet van 7 december 2016, voor zover de betrokken persoonsgegevens verband houden met het voorwerp van het onderzoek of de controle.

De sub (i) bedoelde afwijkingen gelden zolang u, in voorkomend geval, geen wettelijke toegang hebt gekregen tot het u betreffende administratief dossier dat door het College wordt bijgehouden en dat de betrokken persoonsgegevens bevat.

Buiten die gevallen kan u op elk ogenblik uw recht op toegang tot de u betreffende persoonsgegevens uitoefenen om ze aan te vullen, te wijzigen, te corrigeren, te verwijderen of bezwaar te maken tegen hun verwerking om legitieme redenen, in overeenstemming met de toepasselijke wetgeving op het vlak van gegevensbescherming.

Bovendien kan u soms vragen dat de verwerking van uw persoonsgegevens wordt beperkt en, in bepaalde gevallen, kan u ons vragen om u uw gegevens door te sturen of (als dat technisch mogelijk is en binnen de grenzen van het beroepsgeheim van het College) deze aan een andere verwerkingsverantwoordelijke over te maken.

Wanneer de verwerking van uw persoonsgegevens op toestemming gebaseerd is, hebt u altijd het recht om uw toestemming in te trekken. Wanneer u uw toestemming intrekt, heeft dat geen gevolgen voor de geldigheid van de verwerking van uw persoonsgegevens vóór de intrekking.

Indien u deze rechten wenst uit te oefenen, moet u een aanvraag versturen met een kopie van de voorkant van uw identiteitskaart, paspoort of ander identiteitsbewijs naar dataprotection@fsma.be, of schriftelijk naar de DPO van het College. U vindt de contactgegevens van de DPO in het antwoord op de vraag “Hoe kan u contact met ons opnemen?”  van dit privacybeleid. Wij vragen u om een bewijs van uw identiteit om er zeker van te zijn dat wij uw persoonsgegevens respecteren en ze niet doorsturen naar een derde.

Wij behouden ons het recht voor om geen gevolg te geven aan vragen die manifest ongegrond of buitensporig zijn. De informatie die wij over u in ons bezit hebben, of een verklaring waarin wordt gespecificeerd dat wij geen informatie over u bezitten, wordt u gratis opgestuurd binnen een maand na uw verzoek. Indien nodig kan deze termijn worden verlengd met twee maanden, rekening houdend met de complexiteit en het aantal vragen. Uw vraag wordt bewaard zolang een verhaal mogelijk is.

U kan ook op elk ogenblik, als u meent dat uw rechten niet gerespecteerd werden, een klacht indienen bij de Gegevensbeschermingsautoriteit, Persstraat 35, 1000 Brussel, e-mailadres: contact@apd-gba.be (zie ook www.gegevensbeschermingsautoriteit.be).

Dit privacybeleid werd voor het laatst gewijzigd op 6 september 2021.

Het is mogelijk dat dit privacybeleid wordt gewijzigd. U kan de laatste versie van ons privacybeleid steeds raadplegen op onze website. Verder stellen we alles in het werk om u op de hoogte te houden van de belangrijkste wijzigingen via andere communicatiekanalen.

In het kader van de opdracht van de FSMA om het secretariaat van het College waar te nemen, en met de instemming van de FSMA, heeft het College de DPO van de FSMA tot DPO van het College benoemd.

Hebt u vragen of opmerkingen in verband met dit privacybeleid, of wenst u uw rechten uit te oefenen of de informatie over uw persoon bij te werken, dan kan u hier contact met ons opnemen:

• via e-mail op het adres dataprotection@fsma.be; of
• via de post op het adres
  
  College van Toezicht op de Bedrijfsrevisoren
  Ter attentie van de Data Protection Officer
  Congresstraat 12-14
  1000 Brussel (België)