GDPR Privacyverklaring

ATPI GDPR Privacyverklaring

1. Doel van deze GDPR Privacyverklaring

Deze GDPR-privacykennisgeving biedt verplichte informatie zoals vereist onder artikel 13 en 14 van de Europese Algemene Verordening Gegevensbescherming (GDPR) met betrekking tot de transparantie van de verwerking van persoonsgegevens. Definities van bepaalde termen in deze GDPR Privacykennisgeving worden uitgelegd in de bijlage.

In het Verenigd Koninkrijk is de 2018 General Data Protection Act (DPA2018) van toepassing op de verwerking van persoonsgegevens. De DPA2018 Deel 2 erkent en stemt overeen met de GDPR; in dit document worden de vereisten van de GDPR daarom geacht de verwerking van gegevens in de EU, de EER en het VK te omvatten, tenzij anders aangegeven.

2. De verantwoordelijke voor de verwerking van persoonsgegevens

De Verantwoordelijke voor de verwerking van de door ons verwerkte persoonsgegevens is de Klantonderneming van ATPI (de werkgever van de natuurlijke persoon van wie de gegevens worden verzameld, hierna de Betrokkene genoemd). De Gegevensverwerker geeft de persoonlijke gegevens van zijn werknemers door aan ATPI om reizen te beheren namens die werknemers in verband met hun bedrijf. ATPI, als Gegevensverwerker handelend in opdracht van de Gegevensverwerker onder een schriftelijk contract met hen, zal deze persoonlijke gegevens vervolgens gebruiken om reisarrangementen voor de Betrokkene te vergemakkelijken. Het is dit contract dat de ‘Wettelijke Basis’ vormt voor de verwerking van persoonsgegevens door ATPI in deze omstandigheden.

ATPI is alleen een Gegevensverantwoordelijke als het rechtstreeks persoonsgegevens verzamelt van een Betrokkene in verband met een afzonderlijk contract met hem of haar. ATPI treedt ook op als Data Controller voor alle persoonlijke gegevens van haar eigen werknemers, door gegevens te verwerken in het kader van haar arbeidsovereenkomst met deze Data Subjects. In beide gevallen verwerkt ATPI persoonsgegevens op grond van artikel 6, lid 1, onder b), van de GDPR (uitvoering van een overeenkomst) en artikel 8 van de DPA2018.

3. Uw rechten

Als betrokkene heb je rechten onder de GDPR. Deze rechten kun je hieronder zien. ATPI zal uw rechten met betrekking tot de verwerking van uw persoonlijke gegevens altijd volledig respecteren en heeft hieronder de gegevens vermeld van de persoon met wie u contact kunt opnemen als u zich zorgen maakt of vragen hebt over de manier waarop we uw gegevens verwerken, of als u uw rechten wilt uitoefenen die u hebt onder de GDPR.

4. Contactgegevens

De identiteit en contactgegevens van de functionaris voor gegevensbescherming binnen ATPI zijn als volgt:

Nikki Matthews, algemeen juridisch adviseur
ATPI Ltd
The Royals
353 Altrincham Road
M22 4BJ
Manchester
United Kingdom

5. Beginselen gegevensbescherming

ATPI heeft de volgende principes aangenomen voor het verzamelen en verwerken van Persoonlijke Gegevens:

• Persoonlijke gegevens worden rechtmatig, eerlijk en op transparante wijze verwerkt.
• Er worden alleen Persoonsgegevens verzameld die specifiek nodig zijn om te voldoen aan reis-, accommodatie- of andere reisgerelateerde vereisten. Dergelijke gegevens kunnen rechtstreeks worden verzameld bij de Betrokkene of aan ATPI worden verstrekt via zijn/haar werkgever. Dergelijke gegevens worden alleen voor dat doel verwerkt.
• Persoonsgegevens worden alleen bewaard zolang dat nodig is om te voldoen aan contractuele vereisten of om statistieken te leveren aan onze klantonderneming.
• Persoonsgegevens moeten adequaat, relevant en beperkt zijn tot wat nodig is in verband met de doeleinden waarvoor ze worden verzameld en/of verwerkt. Persoonsgegevens moeten nauwkeurig zijn en, waar nodig, worden bijgewerkt.
• De betrokkene heeft het recht om ATPI te verzoeken om toegang tot en rectificatie of uitwissing van zijn persoonsgegevens, om bezwaar te maken tegen of om beperking te vragen van de verwerking van de gegevens, of om het recht op gegevensoverdraagbaarheid. In elk geval moet een dergelijk verzoek schriftelijk worden ingediend zoals in Sectie 3 hierboven. ATPI is geregistreerd bij JAMS alternatieve geschillenbeslechting (ADR) in de VS en betrokkenen kunnen contact opnemen met
  JAMS
  met betrekking tot geschillen die naar hun mening niet kunnen worden opgelost tussen henzelf en ATPI.
• De betrokkene heeft het recht om rechtstreeks een klacht in te dienen bij een toezichthoudende autoriteit (gegevensbeschermingsautoriteit) in zijn eigen land. ATPI gebruikt de gegevensbeschermingsautoriteiten van de EU (Data Protection Authorities, DPA’s) als onafhankelijk verhaalmechanisme (IRM) van onze organisatie voor gegevens die worden overgedragen vanuit de EU.
• Persoonsgegevens worden alleen verwerkt op basis van de rechtsgrondslag zoals uitgelegd in punt 2 hierboven, behalve wanneer deze belangen zwaarder wegen dan de fundamentele rechten en vrijheden van de Betrokkene, die altijd voorrang hebben. Als de Betrokkene specifieke aanvullende toestemming heeft gegeven voor de verwerking, dan kan deze toestemming te allen tijde worden ingetrokken (maar dit kan tot gevolg hebben dat niet aan de reisvoorwaarden kan worden voldaan).
• ATPI zal geen persoonlijke gegevens gebruiken voor enige activiteit of proces van monitoring of profilering, en zal geen geautomatiseerde besluitvormingsprocessen toepassen.

6. Overdrachten aan derden

Om de reisregelingen voor een Betrokkene uit te voeren, zal het in de meeste gevallen nodig zijn om persoonsgegevens via een derde partij te verwerken (dit zijn onder andere luchtvaartmaatschappijen, hotels, autoverhuurbedrijven en visum- of paspoortbedrijven). Persoonsgegevens worden alleen doorgegeven aan of verwerkt door derde bedrijven als deze bedrijven noodzakelijk zijn voor het uitvoeren van de reis.

Persoonsgegevens worden niet overgedragen naar een land of gebied buiten de Europese Economische Ruimte (EER) of het Verenigd Koninkrijk, tenzij de overdracht plaatsvindt naar een land of gebied dat door de EU is erkend als een land of gebied met een adequaat niveau van gegevensbeveiliging, of plaatsvindt met toestemming van de Betrokkene, of plaatsvindt om te voldoen aan de legitieme belangen van ATPI met betrekking tot haar contractuele afspraken met haar klanten.

Alle interne groepsoverdrachten van Persoonsgegevens zijn onderworpen aan schriftelijke overeenkomsten onder de Intra Group Data Transfer Agreement (IGDTA) van het bedrijf voor interne gegevensoverdrachten die zijn gebaseerd op standaardcontractbepalingen die zijn erkend door de Europese Autoriteit voor Gegevensbescherming.

Bijlage – Definities van bepaalde termen waarnaar hierboven wordt verwezen:

Persoonlijke gegevens:
(Artikel 4 van de GDPR): “persoonsgegevens”: alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon (“betrokkene”); een identificeerbare natuurlijke persoon is een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer specifieke elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

Verwerking:

(Artikel 4 van de GDPR): elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, wissen of vernietigen van gegevens.

Wettelijke basis voor verwerking:
(Artikel 6 van de GDPR): Ten minste één hiervan moet van toepassing zijn telkens wanneer persoonsgegevens worden verwerkt:

1. Toestemming: de persoon heeft duidelijk toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een specifiek doel.
2. Contract: de verwerking is noodzakelijk voor de naleving van een contract.
3. Wettelijke verplichting: de verwerking is noodzakelijk om aan de wet te voldoen (met uitzondering van contractuele verplichtingen).
4. Vitale belangen: de verwerking is noodzakelijk om iemands leven te beschermen.
5. Publieke taak: de verwerking is noodzakelijk om een taak van algemeen belang uit te voeren en de taak of functie heeft een duidelijke wettelijke basis.
6. Gerechtvaardigde belangen: de verwerking is noodzakelijk voor de gerechtvaardigde belangen van de Verwerkingsverantwoordelijke, tenzij er een goede reden is om de persoonsgegevens van de persoon te beschermen die zwaarder weegt dan deze gerechtvaardigde belangen.

Gegevensbeheerder:
(Artikel 4 van de GDPR): dit is de persoon of het bedrijf dat de doeleinden en de middelen voor de verwerking van persoonsgegevens vaststelt.

Gegevensverwerker:
(Artikel 4 van de GDPR): een natuurlijke of rechtspersoon, overheidsinstantie, agentschap of ander orgaan dat persoonsgegevens verwerkt namens de voor de verwerking verantwoordelijke.

Rechten van betrokkenen:
(Hoofdstuk 3 van de GDPR) Elke betrokkene heeft acht rechten. Dit zijn:

1. Het recht om geïnformeerd te worden; Dit betekent dat iedereen die je persoonlijke gegevens verwerkt, duidelijk moet maken wat ze verwerken, waarom en aan wie de gegevens nog meer kunnen worden doorgegeven.
2. Het recht op toegang; dit is je recht om te zien welke gegevens een Data Controller over je bewaart.
3. Het recht op rectificatie; het recht om uw gegevens te laten corrigeren of wijzigen als de gegevens op een bepaalde manier onjuist zijn.
4. Het recht op wissen; onder bepaalde omstandigheden kunt u vragen om uw persoonlijke gegevens te wissen. Dit wordt ook wel ‘het recht om te worden vergeten’ genoemd. Dit is van toepassing als de persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor ze zijn verzameld, als uw toestemming voor de verwerking van die gegevens is ingetrokken of als de persoonsgegevens onrechtmatig zijn verwerkt.
5. Het recht op beperking van de verwerking; dit geeft de betrokkene het recht om een tijdelijke stopzetting van de verwerking van persoonsgegevens te vragen, bijvoorbeeld wanneer een geschil of rechtszaak moet worden afgerond, of wanneer de gegevens worden gecorrigeerd.
6. Het recht op gegevensoverdraagbaarheid; een Betrokkene heeft het recht om te vragen dat alle gegevens die hij of zij rechtstreeks aan de Verwerkingsverantwoordelijke verstrekt, worden verstrekt in een gestructureerd, algemeen gebruikt en machineleesbaar formaat.
7. Het recht om bezwaar te maken; de betrokkene heeft het recht om bezwaar te maken tegen verdere verwerking van zijn gegevens die niet in overeenstemming is met het primaire doel waarvoor deze zijn verzameld, waaronder profilering, automatisering en direct marketing.
8. Rechten met betrekking tot geautomatiseerde besluitvorming en profilering; Betrokkenen hebben het recht niet te worden onderworpen aan een besluit dat uitsluitend is gebaseerd op geautomatiseerde verwerking.