GDPR personvernerklæring

ATPI GDPR-personvernerklæring

1. Formål med denne GDPR-personvernerklæringen

Denne GDPR-personvernerklæringen gir obligatorisk informasjon som kreves i henhold til artikkel 13 og 14 i den europeiske personvernforordningen (GDPR) angående åpenhet om behandling av personopplysninger. Definisjoner av visse begreper i denne GDPR-personvernerklæringen er forklart i vedlegget.

I Storbritannia gjelder personvernloven av 2018 (DPA2018) for behandling av personopplysninger. DPA2018 Del 2 anerkjenner og er på linje med GDPR; i dette dokumentet vil GDPR-kravene derfor anses å omfatte behandling av data i EU, EØS og Storbritannia med mindre annet er spesifisert.

2. Behandlingsansvarlig for personopplysninger

Behandlingsansvarlig for personopplysningene som behandles av oss er ATPIs klientselskap (arbeidsgiveren til den fysiske personen hvis data samles inn, heretter kalt den registrerte). Behandlingsansvarlig vil overføre personopplysningene til sine ansatte til ATPI for å administrere reiser på vegne av disse ansatte i forbindelse med deres virksomhet. ATPI, som databehandler som handler på instruks fra behandlingsansvarlig under en skriftlig kontrakt med dem, vil deretter bruke disse personopplysningene til å tilrettelegge reisearrangementer for den registrerte. Det er denne kontrakten som utgjør det ‘rettslige grunnlaget’ for behandlingen av personopplysninger utført av ATPI under disse omstendighetene.

ATPI vil være behandlingsansvarlig kun hvis de samler inn personopplysninger direkte fra en registrert i forbindelse med en separat kontrakt med dem. ATPI opptrer også som behandlingsansvarlig for personopplysninger som oppbevares om egne ansatte, og behandler data i henhold til sin arbeidsavtale med disse registrerte. I begge tilfeller behandler ATPI personopplysninger i henhold til GDPR artikkel 6.1(b) (oppfyllelse av en kontrakt) og DPA2018 paragraf 8.

3. Dine rettigheter

Som registrert har du rettigheter under GDPR. Disse rettighetene kan ses nedenfor. ATPI vil alltid fullt ut respektere dine rettigheter når det gjelder behandling av dine personopplysninger og har nedenfor oppgitt kontaktinformasjon til personen som kan kontaktes hvis du har bekymringer eller spørsmål om hvordan vi behandler dine data, eller hvis du ønsker å utøve noen rettigheter du har under GDPR.

4. Kontaktinformasjon

Identiteten og kontaktinformasjonen for personvernombudet i ATPI er som følger:

Nikki Matthews, General Counsel
ATPI Ltd
The Royals
353 Altrincham Road
M22 4BJ
Manchester
United Kingdom

5. Personvernprinsipper

ATPI har vedtatt følgende prinsipper for å styre innsamling og behandling av personopplysninger:

• Personopplysninger skal behandles lovlig, rettferdig og på en åpen måte.
• Personopplysningene som samles inn vil kun være de som er spesifikt nødvendige for å oppfylle reise-, overnatting- eller andre reiserelaterte krav. Slike data kan samles inn direkte fra den registrerte eller gis til ATPI via hans/hennes arbeidsgiver. Slike data vil kun behandles for dette formålet.
• Personopplysninger skal kun oppbevares så lenge det er nødvendig for å oppfylle kontraktsmessige krav eller for å gi statistikk til vårt klientselskap.
• Personopplysninger skal være tilstrekkelige, relevante og begrenset til det som er nødvendig i forhold til formålene de samles inn og/eller behandles for. Personopplysninger skal være nøyaktige og, når nødvendig, holdes oppdaterte.
• Den registrerte har rett til å be ATPI om innsyn i og retting eller sletting av sine personopplysninger, til å protestere mot eller be om begrensning av behandlingen av dataene, eller retten til dataportabilitet. I hvert tilfelle må en slik forespørsel fremmes skriftlig som beskrevet i avsnitt 3 ovenfor. ATPI er registrert hos JAMS alternativ tvisteløsning (ADR) tjeneste i USA og registrerte kan kontakte
  JAMS
  angående enhver tvist som de føler ikke kan løses mellom dem selv og ATPI.
• Den registrerte har rett til å klage direkte til en tilsynsmyndighet (Datatilsynet) i sitt eget land. ATPI bruker EUs datatilsyn (DPAs) som vår organisasjons uavhengige klageinstans (IRM) for data overført fra EU.
• Personopplysninger skal kun behandles basert på det rettslige grunnlaget forklart i avsnitt 2 ovenfor, med mindre slike interesser overstyres av den registrertes grunnleggende rettigheter og friheter som alltid vil ha forrang. Hvis den registrerte har gitt spesifikt ytterligere samtykke til behandlingen, kan slikt samtykke trekkes tilbake når som helst (men kan da resultere i manglende evne til å oppfylle reisekrav).
• ATPI vil ikke bruke personopplysninger til noen overvåkings- eller profileringsaktivitet eller prosess, og vil ikke vedta noen automatiserte beslutningsprosesser.

6. Overføringer til tredjeparter

For å oppfylle reisearrangementene for en registrert vil det i de fleste tilfeller være nødvendig å behandle personopplysninger via en tredjepart (disse vil inkludere, men er ikke begrenset til, flyselskaper, hoteller, bilutleieselskaper og visum- eller passselskaper). Personopplysninger skal kun overføres til, eller behandles av, tredjepartsselskaper der slike selskaper er nødvendige for oppfyllelsen av reisearrangementene.

Personopplysninger skal ikke overføres til et land eller territorium utenfor Det europeiske økonomiske samarbeidsområde (EØS) eller Storbritannia med mindre overføringen gjøres til et land eller territorium anerkjent av EU som har et tilstrekkelig nivå av datasikkerhet, eller gjøres med samtykke fra den registrerte, eller gjøres for å tilfredsstille ATPIs legitime interesse med hensyn til sine kontraktsmessige ordninger med sine klienter.

Alle interne gruppeverføringer av personopplysninger skal være underlagt skriftlige avtaler under selskapets avtale om intern dataoverføring (IGDTA) for interne dataoverføringer som er basert på standard kontraktsklausuler anerkjent av det europeiske datatilsynet.

Vedlegg – Definisjoner av visse begreper nevnt ovenfor:

Personopplysninger:
(Artikkel 4 i GDPR): ‘personopplysninger’ betyr enhver informasjon om en identifisert eller identifiserbar fysisk person (‘den registrerte’); en identifiserbar fysisk person er en som direkte eller indirekte kan identifiseres, særlig ved henvisning til en identifikator som et navn, et identifikasjonsnummer, lokaliseringsdata, en online-identifikator eller til en eller flere faktorer som er spesifikke for den fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identiteten til vedkommende.

Behandling:

(Artikkel 4 i GDPR): betyr enhver operasjon eller sett av operasjoner som utføres på personopplysninger eller sett av personopplysninger, enten automatisert eller ikke, som innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, sletting eller tilintetgjøring.

Rettslig grunnlag for behandling:
(Artikkel 6 i GDPR): Minst ett av disse må gjelde når personopplysninger behandles:

1. Samtykke: den enkelte har gitt klart samtykke til behandling av sine personopplysninger for et bestemt formål.
2. Kontrakt: behandlingen er nødvendig for å oppfylle en kontrakt.
3. Rettslig forpliktelse: behandlingen er nødvendig for å overholde loven (ikke inkludert kontraktsmessige forpliktelser).
4. Vitale interesser: behandlingen er nødvendig for å beskytte noens liv.
5. Offentlig oppgave: behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse, og oppgaven eller funksjonen har et klart rettslig grunnlag.
6. Berettigede interesser: behandlingen er nødvendig for den behandlingsansvarliges berettigede interesser med mindre det foreligger en god grunn til å beskytte den enkeltes personopplysninger som overstyrer disse berettigede interessene.

Behandlingsansvarlig:
(Artikkel 4 i GDPR): dette betyr personen eller selskapet som bestemmer formålene og midlene for behandling av personopplysninger.

Databehandler:
(Artikkel 4 i GDPR): betyr en fysisk eller juridisk person, offentlig myndighet, byrå eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige.

Den registrertes rettigheter:
(Kapittel 3 i GDPR) Hver registrert har åtte rettigheter. Disse er:

1. Retten til å bli informert; Dette betyr at enhver som behandler dine personopplysninger må gjøre det klart hva de behandler, hvorfor, og hvem andre dataene kan bli overført til.
2. Retten til innsyn; dette er din rett til å se hvilke data som oppbevares om deg av en behandlingsansvarlig.
3. Retten til retting; retten til å få dine data korrigert eller endret hvis det som oppbevares er feil på noen måte.
4. Retten til sletting; under visse omstendigheter kan du be om at dine personopplysninger slettes. Dette kalles også ‘Retten til å bli glemt’. Dette ville gjelde hvis personopplysningene ikke lenger er nødvendige for formålene de ble samlet inn for, ditt samtykke til behandlingen av disse dataene er trukket tilbake, eller personopplysningene har blitt ulovlig behandlet.
5. Retten til å begrense behandlingen; dette gir den registrerte rett til å be om en midlertidig stans i behandlingen av personopplysninger, for eksempel i tilfeller der en tvist eller rettsak må avsluttes, eller dataene blir korrigert.
6. Retten til dataportabilitet; en registrert har rett til å be om at data som er gitt direkte til den behandlingsansvarlige av ham eller henne, skal gis i et strukturert, alminnelig anvendt og maskinlesbart format.
7. Retten til å protestere; den registrerte har rett til å protestere mot videre behandling av sine data som er uforenlig med det primære formålet de ble samlet inn for, inkludert profilering, automatisering og direkte markedsføring.
8. Rettigheter knyttet til automatisert beslutningstaking og profilering; registrerte har rett til ikke å være gjenstand for en avgjørelse som utelukkende er basert på automatisert behandling.