GDPR Privacyverklaring

ATPI GDPR Privacyverklaring

1. Doel van deze GDPR Privacyverklaring

Deze GDPR-privacykennisgeving biedt verplichte informatie zoals vereist onder artikel 13 en 14 van de Europese Algemene Verordening Gegevensbescherming (GDPR) met betrekking tot de transparantie van de verwerking van persoonsgegevens. Definities van bepaalde termen in deze GDPR Privacykennisgeving worden uitgelegd in de bijlage.

In het Verenigd Koninkrijk is de 2018 General Data Protection Act (DPA2018) van toepassing op de verwerking van persoonsgegevens. De DPA2018 Deel 2 erkent en stemt overeen met de GDPR; in dit document worden de vereisten van de GDPR daarom geacht de verwerking van gegevens in de EU, de EER en het VK te omvatten, tenzij anders aangegeven.

2. De verantwoordelijke voor de verwerking van persoonsgegevens

De Verantwoordelijke voor de verwerking van de door ons verwerkte persoonsgegevens is de Klantonderneming van ATPI (de werkgever van de natuurlijke persoon van wie de gegevens worden verzameld, hierna de Betrokkene genoemd). De Gegevensverwerker geeft de persoonlijke gegevens van zijn werknemers door aan ATPI om reizen te beheren namens die werknemers in verband met hun bedrijf. ATPI, als Gegevensverwerker handelend in opdracht van de Gegevensverwerker onder een schriftelijk contract met hen, zal deze persoonlijke gegevens vervolgens gebruiken om reisarrangementen voor de Betrokkene te vergemakkelijken. Het is dit contract dat de ‘Wettelijke Basis’ vormt voor de verwerking van persoonsgegevens door ATPI in deze omstandigheden.

ATPI is alleen een Gegevensverantwoordelijke als het rechtstreeks persoonsgegevens verzamelt van een Betrokkene in verband met een afzonderlijk contract met hem of haar. ATPI treedt ook op als Data Controller voor alle persoonlijke gegevens van haar eigen werknemers, door gegevens te verwerken in het kader van haar arbeidsovereenkomst met deze Data Subjects. In beide gevallen verwerkt ATPI persoonsgegevens op grond van artikel 6, lid 1, onder b), van de GDPR (uitvoering van een overeenkomst) en artikel 8 van de DPA2018.

3. Uw rechten

Als betrokkene heb je rechten onder de AVG. Deze rechten kun je hieronder zien. ATPI zal jouw rechten met betrekking tot de verwerking van jouw persoonsgegevens altijd volledig respecteren en heeft hieronder de contactgegevens verstrekt van de persoon die je kunt contacteren als je vragen of zorgen hebt over hoe we jouw gegevens verwerken, of als je rechten wilt uitoefenen die je hebt onder de AVG.

4. Contactgegevens

De identiteit en contactgegevens van de functionaris voor gegevensbescherming binnen ATPI zijn als volgt:

Nikki Matthews, Algemeen Raadsman
ATPI Ltd
The Royals
353 Altrincham Road
M22 4BJ
Manchester
Verenigd Koninkrijk

5. Beginselen gegevensbescherming

ATPI heeft de volgende principes aangenomen voor het verzamelen en verwerken van Persoonlijke Gegevens:

• Persoonlijke gegevens worden rechtmatig, eerlijk en op transparante wijze verwerkt.
• Er worden alleen Persoonsgegevens verzameld die specifiek nodig zijn om te voldoen aan reis-, accommodatie- of andere reisgerelateerde vereisten. Dergelijke gegevens kunnen rechtstreeks worden verzameld bij de Betrokkene of aan ATPI worden verstrekt via zijn/haar werkgever. Dergelijke gegevens worden alleen voor dat doel verwerkt.
• Persoonsgegevens worden alleen bewaard zolang dat nodig is om te voldoen aan contractuele vereisten of om statistieken te leveren aan onze klantonderneming.
• Persoonsgegevens moeten adequaat, relevant en beperkt zijn tot wat nodig is in verband met de doeleinden waarvoor ze worden verzameld en/of verwerkt. Persoonsgegevens moeten nauwkeurig zijn en, waar nodig, worden bijgewerkt.
• De betrokkene heeft het recht om van ATPI inzage in en rectificatie of wissing van zijn persoonsgegevens te verzoeken, bezwaar te maken tegen of beperking van de verwerking van de gegevens te vragen, of het recht op gegevensoverdraagbaarheid. In elk geval moet een dergelijk verzoek schriftelijk worden ingediend zoals beschreven in Sectie 3 hierboven. ATPI is geregistreerd bij de JAMS alternatieve geschillenbeslechting (ADR) dienst in de VS en betrokkenen kunnen contact opnemen met
  JAMS
  met betrekking tot elk geschil dat naar hun mening niet tussen henzelf en ATPI kan worden opgelost.
• De betrokkene heeft het recht om rechtstreeks een klacht in te dienen bij een toezichthoudende autoriteit (gegevensbeschermingsautoriteit) in zijn eigen land. ATPI gebruikt de gegevensbeschermingsautoriteiten van de EU (Data Protection Authorities, DPA’s) als onafhankelijk verhaalmechanisme (IRM) van onze organisatie voor gegevens die worden overgedragen vanuit de EU.
• Persoonsgegevens worden alleen verwerkt op basis van de rechtsgrondslag zoals uitgelegd in punt 2 hierboven, behalve wanneer deze belangen zwaarder wegen dan de fundamentele rechten en vrijheden van de Betrokkene, die altijd voorrang hebben. Als de Betrokkene specifieke aanvullende toestemming heeft gegeven voor de verwerking, dan kan deze toestemming te allen tijde worden ingetrokken (maar dit kan tot gevolg hebben dat niet aan de reisvoorwaarden kan worden voldaan).
• ATPI zal geen persoonlijke gegevens gebruiken voor enige activiteit of proces van monitoring of profilering, en zal geen geautomatiseerde besluitvormingsprocessen toepassen.

6. Overdrachten aan derden

Om de reisregelingen voor een Betrokkene uit te voeren, zal het in de meeste gevallen nodig zijn om persoonsgegevens via een derde partij te verwerken (dit zijn onder andere luchtvaartmaatschappijen, hotels, autoverhuurbedrijven en visum- of paspoortbedrijven). Persoonsgegevens worden alleen doorgegeven aan of verwerkt door derde bedrijven als deze bedrijven noodzakelijk zijn voor het uitvoeren van de reis.

Persoonsgegevens worden niet overgedragen naar een land of gebied buiten de Europese Economische Ruimte (EER) of het Verenigd Koninkrijk, tenzij de overdracht plaatsvindt naar een land of gebied dat door de EU is erkend als een land of gebied met een adequaat niveau van gegevensbeveiliging, of plaatsvindt met toestemming van de Betrokkene, of plaatsvindt om te voldoen aan de legitieme belangen van ATPI met betrekking tot haar contractuele afspraken met haar klanten.

Alle interne groepsoverdrachten van Persoonsgegevens zijn onderworpen aan schriftelijke overeenkomsten onder de Intra Group Data Transfer Agreement (IGDTA) van het bedrijf voor interne gegevensoverdrachten die zijn gebaseerd op standaardcontractbepalingen die zijn erkend door de Europese Autoriteit voor Gegevensbescherming.

Bijlage – Definities van bepaalde termen waarnaar hierboven wordt verwezen:

Persoonsgegevens:
(Artikel 4 van de AVG): ‘persoonsgegevens’: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de betrokkene’); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

Verwerking:

(Artikel 4 van de GDPR): elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, wissen of vernietigen van gegevens.

Rechtsgrond voor verwerking:
(Artikel 6 van de AVG): Ten minste een van deze moet van toepassing zijn wanneer persoonsgegevens worden verwerkt:

1. Toestemming: de persoon heeft duidelijk toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een specifiek doel.
2. Contract: de verwerking is noodzakelijk voor de naleving van een contract.
3. Wettelijke verplichting: de verwerking is noodzakelijk om aan de wet te voldoen (met uitzondering van contractuele verplichtingen).
4. Vitale belangen: de verwerking is noodzakelijk om iemands leven te beschermen.
5. Publieke taak: de verwerking is noodzakelijk om een taak van algemeen belang uit te voeren en de taak of functie heeft een duidelijke wettelijke basis.
6. Gerechtvaardigde belangen: de verwerking is noodzakelijk voor de gerechtvaardigde belangen van de Verwerkingsverantwoordelijke, tenzij er een goede reden is om de persoonsgegevens van de persoon te beschermen die zwaarder weegt dan deze gerechtvaardigde belangen.

Verwerkingsverantwoordelijke:
(Artikel 4 van de AVG): dit betekent de persoon of het bedrijf die/dat het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

Verwerker:
(Artikel 4 van de AVG): een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

Rechten van betrokkenen:
(Hoofdstuk 3 van de AVG) Elke betrokkene heeft acht rechten. Dit zijn:

1. Het recht op informatie; Dit betekent dat iedereen die jouw persoonsgegevens verwerkt duidelijk moet maken wat ze verwerken, waarom, en aan wie de gegevens nog meer kunnen worden doorgegeven.
2. Het recht op inzage; dit is jouw recht om te zien welke gegevens een Verwerkingsverantwoordelijke over je bewaart.
3. Het recht op rectificatie; het recht om jouw gegevens te laten corrigeren of aan te passen als de bewaarde gegevens op de een of andere manier onjuist zijn.
4. Het recht op gegevenswissing; onder bepaalde omstandigheden kun je vragen om jouw persoonsgegevens te laten verwijderen. Dit wordt ook wel ‘het recht om te worden vergeten’ genoemd. Dit zou van toepassing zijn als de persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor ze zijn verzameld, jouw toestemming voor de verwerking van die gegevens is ingetrokken, of de persoonsgegevens onrechtmatig zijn verwerkt.
5. Het recht op beperking van de verwerking; dit geeft de betrokkene het recht om een tijdelijke stopzetting van de verwerking van persoonsgegevens te vragen, bijvoorbeeld wanneer een geschil of rechtszaak moet worden afgerond, of wanneer de gegevens worden gecorrigeerd.
6. Het recht op gegevensoverdraagbaarheid; een Betrokkene heeft het recht om te vragen dat alle gegevens die hij of zij rechtstreeks aan de Verwerkingsverantwoordelijke verstrekt, worden verstrekt in een gestructureerd, algemeen gebruikt en machineleesbaar formaat.
7. Het recht om bezwaar te maken; de betrokkene heeft het recht om bezwaar te maken tegen verdere verwerking van zijn gegevens die niet in overeenstemming is met het primaire doel waarvoor deze zijn verzameld, waaronder profilering, automatisering en direct marketing.
8. Rechten met betrekking tot geautomatiseerde besluitvorming en profilering; Betrokkenen hebben het recht niet te worden onderworpen aan een besluit dat uitsluitend is gebaseerd op geautomatiseerde verwerking.