Privacybeleid van het College van toezicht op de bedrijfsrevisoren

Het College van toezicht op de bedrijfsrevisoren (hierna eveneens 'het College' of 'wij' genoemd) ziet toe op de naleving van de Europese privacywetgeving, de GDPR (General Data Protection Regulation of Algemene Verordening Gegevensbescherming, AVG), en de Belgische wetgeving betreffende de bescherming van persoonsgegevens.

Dit Privacybeleid geeft een overzicht van de persoonsgegevens die worden verwerkt door het College, de doeleinden en de grondslag van deze verwerkingen, de bewaartermijnen, het delen van deze gegevens met derden, uw rechten als betrokkene en de maatregelen die het College heeft getroffen om die persoonsgegevens te beschermen.

  • Wanneer is dit privacybeleid van toepassing? (CTR)

    Dit Privacybeleid is van toepassing op de opdrachten en diensten van het College en op de websites, met inbegrip van de digitale loketten van het College (zoals www.ctr-csr.be).

    Dit Privacybeleid is niet van toepassing op de persoonsgegevens die onder een specifiek Privacybeleid vallen.

    Het Privacybeleid moet samen worden gelezen met ons cookiebeleid. Meer informatie vindt u in het cookiebeleid.

  • Wie is de verwerkingsverantwoordelijke van de persoonsgegevens? (CTR)

    Het College van toezicht op de bedrijfsrevisoren (het College, Congresstraat 12-14, 1000 Brussel) is de verwerkingsverantwoordelijke van uw persoonsgegevens. Dit betekent dat het College bepaalt voor welke doeleinden en met welke middelen uw persoonsgegevens worden verwerkt.

    Het College heeft een functionaris voor gegevensbescherming ('Data Protection Officer' of 'DPO') aangesteld die uw aanspreekpunt is voor al uw vragen of verzoeken in verband met de verwerking van uw persoonsgegevens. U vindt de contactgegevens van de DPO in de vraag ‘Hoe kunt u contact met ons opnemen?’ van dit Privacybeleid.

  • Welke persoonsgegevens verwerken wij? (CTR)

    Het College verzamelt uw persoonsgegevens op een aantal manieren:

    1. Gegevens die u zelf hebt verstrekt

    Het College verwerkt in de eerste plaats de gegevens die u ons hebt verstrekt:

    • in het kader van onze opdrachten van algemeen belang en de uitoefening van het openbaar gezag: het betreft, onder andere, de persoonsgegevens die u ons verstrekt (op welke wijze dan ook, inclusief via de digitale loketten) in het kader van ons publiek toezicht op de bedrijfsrevisoren;
    • door het invullen van een contactformulier op de website van het College: het betreft gegevens zoals uw titel, voornaam, familienaam, e-mailadres, telefoonnummer, of u al dan niet inwoner van België bent, en de aanvullende gegevens in uw vraag, opmerking, klacht of andere boodschap. In het contactformulier voor de professionelen vragen wij eveneens (indien van toepassing) de naam van uw vennootschap en uw registernummer;
    • in voorkomend geval, door in te schrijven op een nieuwsbrief: het betreft gegevens zoals uw e-mailadres, voornaam en familienaam;
    • door deel te nemen aan een consultatie van het College: het betreft identificatiegegevens, uw functie en eventuele andere persoonsgegevens, die u verstrekt in het kader van consultaties (openbaar of beperkt), georganiseerd door het College, voornamelijk over wetgevende projecten;
    • door een overeenkomst met het College te sluiten: het betreft uw gegevens als natuurlijke persoon, zoals uw naam en uw e-mailadres, alsook elk ander gegeven dat u ons verstrekt in het (pre)contractuele kader;
    • door het College te bezoeken: het betreft gegevens die u moet invullen op de registratiefiche voor bezoekers, zoals uw naam, onderneming, kentekenplaat en de beelden die door de veiligheidscamera's van ons gebouw en onze parking worden geregistreerd.

    2. Gegevens verkregen van een derde

    Het College verwerkt ook persoonsgegevens die bij een derde zijn verkregen:

    • in het kader van onze opdrachten van algemeen belang en de uitoefening van het openbaar gezag: het betreft, onder andere, de persoonsgegevens die ons worden verstrekt (op welke wijze dan ook, inclusief via de digitale loketten) door een derde (zoals de natuurlijke persoon of rechtspersoon onder ons toezicht bij wie u werkzaam bent of een functie uitoefent, andere nationale of buitenlandse autoriteiten, of iemand die een klacht indient of die ons een vraag stelt) in het kader van ons publiek toezicht op de bedrijfsrevisoren;
    • in het kader van een overeenkomst tussen de contracterende partij voor wie u werkzaam bent en het College: het betreft uw naam, e-mailadres en andere gegevens zoals, in bepaalde gevallen, de referenties naar uw eerdere werkzaamheden, die ons worden verstrekt door de contracterende partij voor wie u werkzaam bent, en dit in het kader van precontractuele maatregelen of de dienstverlening aan het College.

    3. Automatisch verkregen gegevens

    • via cookie providers: Het College registreert geen namen of overige gegevens die de identiteit van de bezoekers van zijn website onthullen. Daarentegen worden statistische gegevens geregistreerd die belangrijk zijn om de website te optimaliseren via het gebruik van cookies. De cookies verzamelen gegevens over de toegang tot de website, de persoonlijke instellingen en het surfgedrag. Deze informatie wordt automatisch verzameld tijdens het navigeren op de website. Meer informatie vindt u in het cookiebeleid.
  • Voor welke doeleinden en op welke grondslag gebruiken wij uw persoonsgegevens? (CTR)

    Het College verzamelt, bewaart, gebruikt en verwerkt uw persoonsgegevens:

    • voor de uitvoering van de opdrachten van algemeen belang die zijn opgesomd in artikel 32 van de wet van 7 december 2016 tot organisatie van het beroep van en het publiek toezicht op de bedrijfsrevisoren, of enige andere opdracht die aan het College wordt toegekend op grond van een andere bepaling van nationaal of Europees recht, en de uitoefening van het openbaar gezag toevertrouwd aan het College;
    • op basis van onze wettelijke verplichtingen, in het bijzonder de verplichting tot archivering op grond van de Archiefwet van 24 juni 1955;
    • op basis van uw toestemming, onverminderd de verwerkingen die overeenkomstig de hierboven vermelde rechtsgronden en doeleinden worden verricht:
    • om u in te schrijven als gebruiker van één van de digitale loketten op de website (tenzij uw inschrijving verplicht is);
    • om eventueel contact met u te kunnen opnemen in het kader van een consultatie;
    • om u nieuwsbrieven te sturen;
    • om te antwoorden op elke andere vraag die u zou kunnen stellen, bijvoorbeeld via de contactformulieren.
    • op basis van precontractuele maatregelen of de uitvoering van een overeenkomst die het College heeft gesloten met u of de partij voor wie u werkzaam bent, om ons alle informatie te verstrekken die nodig is om een beslissing te nemen over het sluiten van een overeenkomst of om met u te kunnen communiceren in het kader van de dienstverlening;
    • op basis van ons gerechtvaardigd belang:
    • voor het beheer van de bezoekers. Op basis van het aantal bij de receptie ingevulde formulieren, bereiden wij eveneens anonieme statistieken voor over het aantal bezoekers;
    • om ons gebouw en onze parking te beveiligen;
    • om onze website en onze digitale loketten te evalueren, te beveiligen (inclusief tegen fraude) en te verbeteren en optimaliseren.
  • Hoelang bewaren wij uw persoonsgegevens? (CTR)

    Het College verwerkt de persoonsgegevens niet langer dan noodzakelijk is voor het doel waarvoor het ze heeft verzameld, en binnen de grenzen bepaald door de wet, indien die een langere termijn toestaat.

    Meer in het bijzonder:

    • De persoonsgegevens die het College verwerkt voor de uitvoering van zijn opdrachten van algemeen belang en de uitoefening van het openbaar gezag dat aan het College is toevertrouwd, zullen bewaard worden zolang u, of de natuurlijke persoon of rechtspersoon onder ons toezicht bij wie u werkzaam bent of een functie uitoefent, of hebt uitgeoefend, onder toezicht van het College staat. Ook indien dat niet meer het geval is, kan het College uw persoonsgegevens nog langer verwerken, bijvoorbeeld voor zover deze weer relevant zouden kunnen worden voor het uitoefenen van ons toezicht of in het kader van mogelijke aansprakelijkheidsvorderingen.
    • Onverminderd de bewaartermijnen die van toepassing zijn op de hierboven vermelde verwerkingen, gelden de volgende bewaartermijnen voor de persoonsgegevens die het College ontvangt:
      • om u in te schrijven als gebruiker van één van de digitale loketten op de website: zolang u een account hebt voor de betrokken applicatie;
      • om eventueel met u in contact te kunnen komen in het kader van een consultatie: zolang het project waarover u bent geraadpleegd niet is afgesloten (hetzij door de definitieve aanname, hetzij door het definitief afvoeren ervan, met dien verstande dat een project niet als afgesloten wordt beschouwd zolang het wordt aangevochten);
      • om u nieuwsbrieven te sturen: totdat u zich uitschrijft;
      • om te antwoorden op elke andere vraag die u zou kunnen stellen, bijvoorbeeld via de contactformulieren: gedurende 2 jaar na de laatste reactie van onze kant;
      • in het (pre)contractuele kader: tijdens de duur van de overeenkomst en 10 jaar na het einde van de overeenkomst. Als er geen overeenkomst wordt gesloten, zullen uw gegevens sneller worden verwijderd;
      • in het kader van uw bezoek: gedurende 30 dagen.

    Niettegenstaande wat voorafgaat, is het College onderworpen aan de Archiefwet van 24 juni 1955 en bepaalde gegevens worden derhalve gedurende een langere periode bewaard, zoals voorzien door deze wet, voor archiveringsdoeleinden mits gepaste waarborgen.

  • Met wie delen wij uw gegevens? (CTR)

    Het College verwerkt de persoonsgegevens slechts voor de specifieke doeleinden waarvoor zij worden verzameld. De verzamelde persoonsgegevens zullen in geen geval worden gebruikt voor commerciële doeleinden.

    Het College kan uw gegevens delen:

    • met dienstverleners met wie het College werkt (bv. IT-dienstverleners, het platform waarop het College een beroep doet voor het beheer van de nieuwsbrieven, advocaten of andere aanbieders van diensten die nodig zijn voor de uitvoering van de opdrachten van het College). De toegang van deze dienstverleners tot uw gegevens zal worden beperkt tot wat strikt noodzakelijk is voor hun taken;
    • in de gevallen bepaald in de artikelen 44 en 45 van de wet van 7 december 2016 tot organisatie van het beroep van en het publiek toezicht op de bedrijfsrevisoren (en dit zelfs als de gegevens in kwestie niet onder het beroepsgeheim, zoals bedoeld in voormelde artikelen, vallen):
      • ingeval de mededeling van dergelijke informatie wordt voorgeschreven of toegestaan door of krachtens die wet en de wetten die de opdrachten van het College regelen (inclusief de gevallen bedoeld in artikel 45 van diezelfde wet en inclusief de FSMA in het kader van haar secretariaatswerkzaamheden voor het College);
      • tijdens een getuigenis in rechte in strafzaken;
      • voor de aangifte van strafrechtelijke misdrijven bij de gerechtelijke autoriteiten (met dien verstande dat, in een dergelijk geval, het College zijn beslissing om bij de gerechtelijke overheden aangifte te doen van strafrechtelijke misdrijven, openbaar kan maken);
      • in het kader van administratieve of gerechtelijke beroepsprocedures tegen de handelingen of beslissingen van het College en in elk ander rechtsgeding waarbij het College partij is;
      • in beknopte of geaggregeerde vorm, zodat u niet kan worden geïdentificeerd.
  • Verwerkt het college uw gegevens buiten de europese economische ruimte? (CTR)

    Het College zal uw persoonsgegevens niet zelf buiten de Europese Economische Ruimte (EER) verwerken.

    Het is mogelijk dat de dienstverleners die voor het College werken, uw persoonsgegevens verwerken buiten de EER (bv. in de Verenigde Staten). Wanneer dat het geval is, vergewist het College zich ervan dat de dienstverlener een overeenkomst afsluit met het College en dat het beschermingsniveau gewaarborgd is, bijvoorbeeld via een beslissing van de Europese Commissie dat een derde land een adequaat beschermingsniveau verzekert (artikel 45 AVG), via een certificatie van de invoerder van de gegevens onder het EU-VS Privacy Shield (artikel 45 AVG), door standaardclausules af te sluiten voor de bescherming van de gegevens, goedgekeurd door de Europese Commissie, tussen de partijen die gegevens verwerken buiten de EER (artikel 46 AVG), of via een ander instrument dat passende waarborgen bevat.

    Het is mogelijk dat het College, in het kader van zijn opdrachten van algemeen belang en de uitoefening van het openbaar gezag, en binnen de grenzen van de artikelen 44 en 45 van de wet van 7 december 2016 tot organisatie van het beroep van en het publiek toezicht op de bedrijfsrevisoren, persoonsgegevens uitwisselt met een financiële toezichthoudende autoriteit van een derde land buiten de EER. Wanneer dit het geval is, vergewist het College zich ervan dat het derde land of de internationale organisatie een passend beschermingsniveau waarborgt (artikel 45 AVG), of dat het zich kan beroepen op een afwijking, zoals de afwijking voor doorgiften die noodzakelijk zijn wegens redenen van algemeen belang (artikel 49 AVG), of op een ander instrument met passende waarborgen dat voldoet aan de bepalingen van hoofdstuk V van de AVG inzake doorgiften van persoonsgegevens aan derde landen of internationale organisaties.

    Indien u hierover vragen hebt of als u meer informatie wenst, kan u zich wenden tot het College met een gedateerd en ondertekend verzoek, gericht aan de Data Protection Officer. U vindt de contactgegevens van de DPO in de vraag ‘Hoe kunt u contact met ons opnemen?’ van dit Privacybeleid.

  • Hoe beschermen wij uw persoonsgegevens? (CTR)

    Het College treft technische en veiligheidsmaatregelen om uw persoonsgegevens te beschermen en om vernietiging, verlies of aantasting, ongeoorloofde toegang of verspreiding, wijziging, per ongeluk of onrechtmatig, te voorkomen.

    Krachtens artikel 44 van de wet van 7 december 2016 tot organisatie van het beroep van en het publiek toezicht op de bedrijfsrevisoren, zijn het College, de voorzitter en de leden van het Comité, en de personeelsleden van de FSMA die meewerken aan de uitoefening van de opdrachten van het College gebonden aan het beroepsgeheim en mogen zij de vertrouwelijke informatie waarvan zij kennis hebben gekregen, niet verspreiden aan welke persoon of autoriteit ook (onder voorbehoud evenwel van de vraag 'Met wie delen wij uw gegevens?' van dit Privacybeleid vermelde uitzonderingen).

    Verder vraagt het College zijn dienstverleners die persoonsgegevens verwerken voor het College, eveneens om steeds de noodzakelijke veiligheidsmaatregelen te treffen.

  • Wat met links naar andere websites en sociale netwerken? (CTR)

    Onze website bevat links naar websites van derden (bv. sociale netwerken zoals LinkedIn en Twitter) waarvan de gebruiksvoorwaarden niet onder het toepassingsgebied van dit Privacybeleid, noch onder onze verantwoordelijkheid vallen. Wij bevelen u bijgevolg aan om hun privacybeleid aandachtig te lezen om te weten te komen op welke wijze zij uw privacy respecteren.

  • Wat zijn uw rechten en hoe kan u ze uitoefenen? (CTR)

    U hebt een aantal rechten met betrekking tot uw persoonsgegevens.

    U kan op elk ogenblik uw recht op toegang tot de persoonsgegevens die u betreffen, uitoefenen om ze aan te vullen, te wijzigen, te corrigeren, te verwijderen of bezwaar te maken tegen hun verwerking om legitieme redenen, in overeenstemming met de toepasselijke wetgeving op het vlak van gegevensbescherming.

    Bovendien kan u soms vragen dat de verwerking van uw persoonsgegevens wordt beperkt en, in bepaalde gevallen, kan u ons vragen om u uw gegevens door te sturen of (als dat technisch mogelijk is en binnen de grenzen van het beroepsgeheim van het College) deze aan een andere verwerkingsverantwoordelijke over te maken.

    Wanneer de verwerking van uw persoonsgegevens op toestemming gebaseerd is, hebt u altijd het recht om uw toestemming in te trekken. Wanneer u uw toestemming intrekt, heeft dat geen gevolgen voor de geldigheid van de verwerking van uw persoonsgegevens vóór de intrekking.

    Indien u deze rechten wenst uit te oefenen, moet u een aanvraag versturen met een kopie van de voorkant van uw identiteitskaart, paspoort of ander identiteitsbewijs naar dataprotection@fsma.be, of schriftelijk naar de Data Protection Officer van het College. U vindt de contactgegevens van de DPO in vraag 'Hoe kunt u contact met ons opnemen?’ van dit Privacybeleid. Wij vragen u om een bewijs van uw identiteit om er zeker van te zijn dat wij uw persoonsgegevens respecteren en ze niet doorsturen naar een derde.

    Wij behouden ons het recht voor om geen gevolg te geven aan vragen die manifest ongegrond of buitensporig zijn. De informatie die wij over u in ons bezit hebben, of een verklaring waarin wordt gespecificeerd dat wij geen informatie over u bezitten, wordt u gratis opgestuurd binnen een maand na uw verzoek. Indien nodig kan deze termijn worden verlengd met twee maanden, rekening houdend met de complexiteit en het aantal vragen. Uw vraag wordt bewaard zolang een verhaal mogelijk is.

    U kan ook op elk ogenblik, als u meent dat uw rechten niet gerespecteerd werden, een klacht indienen bij de Gegevensbeschermingsautoriteit, Persstraat 35, 1000 Brussel, e-mailadres: contact@apd-gba.be (zie ook www.gegevensbeschermingsautoriteit.be).

  • Hoe blijft u op de hoogte van de wijzigingen aan dit privacybeleid? (CTR)

    Dit Privacybeleid werd voor het laatst gewijzigd op 25 mei 2018.

    Het is mogelijk dat dit Privacybeleid wordt gewijzigd. U kan steeds de laatste versie van ons Privacybeleid raadplegen op onze website. Verder stellen we alles in het werk om u op de hoogte te houden van de belangrijkste wijzigingen via andere communicatiekanalen.

  • Hoe kan u contact met ons opnemen? (CTR)

    In het kader van de opdracht van de FSMA om het secretariaat van het College waar te nemen, en met de instemming van de FSMA, heeft het College de Data Protection Officer van de FSMA tot Data Protection Officer van het College benoemd.

    Hebt u vragen of opmerkingen in verband met dit Privacybeleid, of wenst u uw rechten uit te oefenen of de informatie over uw persoon bij te werken, dan kan u hier contact met ons opnemen:

    • via e-mail op het adres dataprotection@fsma.be; of
    • via de post op het adres
      College van toezicht op de bedrijfsrevisoren
      Ter attentie van de Data Protection Officer
      Congresstraat 12-14
      1000 Brussel (België)