Gegevensbeschermingsbeleid voor klanten, prospects en partners

Preamble

Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van persoonsgegevens (hierna “RGPD” genoemd) stelt het wettelijk kader vast dat van toepassing is op de verwerking van persoonsgegevens. Deze tekst versterkt de rechten en plichten van de voor de verwerking verantwoordelijken, de verwerkers, de betrokkenen en de ontvangers van de gegevens.
Om de wijzigingen van de RGPD ten uitvoer te leggen, werd vervolgens wet nr. 78-17 van 6 januari 1978, bekend als de wet op de gegevensbescherming, gewijzigd bij wet nr. 2018-493 van 20 juni 2018 en besluit nr. 2018-1125 van 12 december 2018 met betrekking tot gegevensbescherming.
Dit beleid wordt uitgevoerd door de SPL Destination Saint-Malo – Baie du Mont Saint-Michel (hierna “de organisatie” genoemd), waarvan de belangrijkste activiteiten bestaan uit de ontwikkeling van het toeristische aanbod, de promotie van toeristische bestemmingen en de marketing van het toeristische aanbod van het grondgebied van Destination Saint-Malo -Baie du Mont Saint-Michel.

In het kader van onze activiteit voeren we persoonlijke gegevensverwerking uit met betrekking tot de gegevens van onze klanten, partners en prospects. Voor een goed begrip van dit beleid wordt het volgende gespecificeerd:

• Onder klanten worden alle natuurlijke of rechtspersonen verstaan die een contract van welke aard dan ook met onze organisatie hebben gesloten, waarbij wordt gespecificeerd dat deze laatste bedoeld is om te werken met klanten die toeristische professionals of het algemene publiek zijn;
• Partners worden gedefinieerd als alle natuurlijke of rechtspersonen die actief zijn in de toeristische sector en in deze hoedanigheid betrekkingen onderhouden met onze organisatie, zoals met name lokale toeristische professionals, interne en externe projectpromotors en -investeerders, vakantiedistributeurs, lokale overheden en hun groeperingen of institutionele partners;
• Prospects zijn potentiële klanten of contactontvangers van reclameboodschappen van onze organisatie van wie de gegevens direct zijn verzameld via contactformulieren, evenementen of indirect via een van de partners van de organisatie.

Doel en toepassingsgebied

Dit beleid inzake de bescherming van persoonsgegevens is van toepassing op de verwerking van de persoonsgegevens van onze klanten, partners en potentiële klanten.
Het doel van dit beleid is om te voldoen aan de informatieplicht van onze organisatie en om de rechten en plichten van onze klanten, partners en potentiële klanten met betrekking tot de verwerking van hun gegevens te formaliseren.
Dit beleid heeft alleen betrekking op de verwerking waarvoor wij verantwoordelijk zijn en op gegevens die worden omschreven als “gestructureerd”.
De verwerking van persoonsgegevens kan rechtstreeks door onze organisatie worden beheerd of via een onderaannemer die specifiek door onze organisatie is aangesteld.

Dit beleid staat los van elk ander document dat van toepassing kan zijn binnen de contractuele relatie tussen ons en onze klanten of partners. We voeren geen verwerkingen uit van de gegevens van onze klanten, partners en prospects als deze geen betrekking hebben op persoonsgegevens die zijn verzameld door of voor onze services of die worden verwerkt in verband met onze services en als deze niet voldoen aan de algemene beginselen van de GDPR.

Elke nieuwe verwerking, wijziging of verwijdering van een bestaande verwerking wordt onder de aandacht gebracht van klanten, partners en prospects door middel van een wijziging van dit beleid.

Typen verzamelde gegevens

Niet-technische gegevens (afhankelijk van gebruikssituaties)

• Identiteit en identificatie (burgerlijke staat, achternaam, voornaam, geboortedatum, pseudoniem, klantnummer)
• Contactgegevens (e-mail, postadres, telefoonnummer)
• Professioneel leven/persoonlijk leven waar nodig

Transactiegegevens (bedrag en datum van transacties)

• Technische gegevens (afhankelijk van de gebruikssituatie)
• Connectiegegevens (IP-adres, logs)
• Browsinggegevens (cookies, tracers, klikken)
• Locatiegegevens (beweging, GPS-gegevens)

Oorsprong van gegevens

Wij verzamelen de gegevens van onze klanten van:

• Gegevens verstrekt door de klant (papieren formulier, bestelformulier, contract, visitekaartje);
• Elektronische bladen of formulieren ingevuld door de klant;
• Gegevens online ingevoerd (website, sociale netwerken);
• Inschrijvingen voor evenementen die wij organiseren;
• Databases die door meerdere partners worden gedeeld, door al deze partners worden gevoed en gebruikt;
• Huur of verwerving van databases op uitzonderlijke basis;
• Communicatie van contacten via gespecialiseerde bedrijven of partners van onze organisatie.

Doeleinden en rechtsgrondslagen

Als het geval zich voordoet, verwerken we de gegevens van onze klanten voor de volgende doeleinden en rechtsgrondslagen:

• Beheer van klantrelaties (uitvoering van precontractuele of contractuele maatregelen);
• Verkoop van toeristische vakanties rechtstreeks of via distributiepartners (uitvoering van precontractuele of contractuele maatregelen);
• Beheer van evenementen die we organiseren (gerechtvaardigd belang van onze organisatie om ons bedrijf te promoten);
• Sturen van nieuwsbrieven of nieuwsfeeds (gerechtvaardigd belang van onze organisatie om haar bedrijf te promoten) ;
• Beheer van klantenaccounts (uitvoering van contractuele maatregelen);
• Verbetering van onze services (rechtmatig belang van onze organisatie om haar services te verbeteren);
• Het voldoen aan onze administratieve verplichtingen (wettelijke verplichting);
• Communitybeheer (rechtmatig belang van onze organisatie om onze activiteit te bevorderen);
• Het opstellen van statistieken (rechtmatig belang van onze organisatie om de activiteit van haar klanten te analyseren).

Bewaartermijnen

De bewaartermijn voor de gegevens van onze klanten wordt vastgesteld op basis van de wettelijke en contractuele verplichtingen die op ons rusten en, indien dat niet het geval is, op basis van onze behoeften en in het bijzonder op basis van de volgende principes:

Na de vastgestelde termijnen worden de gegevens verwijderd of opgeslagen nadat ze zijn geanonimiseerd, met name voor statistische doeleinden. Klanten worden eraan herinnerd dat het wissen of anonimiseren van gegevens een onomkeerbare handeling is en dat wij deze gegevens later niet meer kunnen herstellen.

Typen verzamelde gegevens

Niet-technische gegevens (Afhankelijk van gebruiksscenario’s)

• Identiteit en identificatie (burgerlijke staat, achternaam, voornaam)
• Contactgegevens (e-mail, postadres, telefoonnummer)
• Professionele levenssfeer waar nodig
• Transactiegegevens (bedrag en datum van transacties)

Technische gegevens (Afhankelijk van use cases)

• Connectiegegevens (IP-adres, logbestanden)
• Browsinggegevens (cookies, tracers, klikken)
• Locatiegegevens (beweging, GPS-gegevens)

Oorsprong van gegevens

Wij verzamelen gegevens van onze partners van:

• Informatie die rechtstreeks via partners wordt verzameld;
• Elektronische formulieren of formulieren die door partners worden ingevuld;
• Inschrijvingen of abonnementen op onze online services (nieuwsbrief, sociale netwerken).

Doeleinden en rechtsgrondslagen

Al naargelang het geval verwerken we de gegevens van onze partners voor de volgende doeleinden en rechtsgrondslagen:

• Het beheer van de partnerrelatie (uitvoering van precontractuele of contractuele maatregelen);
• Het labelen van sites en apparatuur voor de kanalen die door de organisatie zijn toevertrouwd (uitvoering van contractuele maatregelen) ;
• Versturen van nieuwsbrieven of nieuwsfeeds (gerechtvaardigd belang van onze organisatie om haar activiteit te promoten);
• Toerismetechnische activiteiten (diagnostiek en haalbaarheidsstudies, ondersteuning bij het opzetten van projecten en subsidieaanvraagdossiers) (uitvoering van precontractuele of contractuele maatregelen);
• Handelingen die te maken hebben met netwerken en overleg met verschillende partners (rechtmatig belang van onze organisatie om haar partnernetwerk te ontwikkelen);
• Handelingen die te maken hebben met hulp bij de marketing van dienstverleners van partners (uitvoering van precontractuele of contractuele maatregelen);
• Beheer van evenementen die we organiseren (beurzen, workshops, enz.) (rechtmatig belang van onze organisatie om haar partnernetwerk te ontwikkelen).) (legitiem belang van onze organisatie om haar activiteit te promoten);
• Trainingactiviteiten voor partnerserviceproviders (uitvoering van precontractuele of contractuele maatregelen);
• Zoekactiviteiten voor distributeurpartners (legitiem belang van onze organisatie om haar netwerk van distributeurpartners te ontwikkelen);
• Statistieken opstellen (legitiem belang van onze organisatie om de activiteit van haar partners te analyseren).

Bewaartermijnen

De bewaartermijn voor de gegevens van onze partners wordt bepaald met inachtneming van de wettelijke en contractuele verplichtingen die op ons rusten en, indien dat niet het geval is, op basis van onze behoeften en in het bijzonder volgens de volgende principes:

Na de vastgestelde termijnen worden de gegevens verwijderd of opgeslagen nadat ze zijn geanonimiseerd, met name voor statistische doeleinden. De gegevens kunnen worden bewaard voor precontentieuze en gerechtelijke doeleinden.
Partners worden eraan herinnerd dat het verwijderen of anonimiseren van gegevens een onomkeerbare handeling is en dat we deze gegevens vervolgens niet meer kunnen herstellen.

Typen verzamelde gegevens

Niet-technische gegevens (afhankelijk van gebruikssituaties)

• Identiteit en identificatie (burgerlijke staat, achternaam, voornaam, geboortedatum)
• Contactgegevens (e-mail, postadres, telefoonnummer)
• Professioneel leven/persoonlijk leven indien nodig
• Technische gegevens (afhankelijk van gebruikssituaties)
• Connectiegegevens (IP-adres, logs)
• Browsinggegevens (cookies, tracers, klikken)
• Locatiegegevens (beweging, GPS-gegevens)

Oorsprong van gegevens

Wij verzamelen de gegevens van onze prospects van:

• Gegevens verstrekt door de prospect (papieren formulier, visitekaartje, enz.);
• Elektronische formulieren die door de prospect zijn ingevuld;
• Gegevens die online zijn ingevoerd (website, sociale netwerken, enz.);
• Inschrijving of abonnement op onze online services (website, sociale netwerken);
• Inschrijving voor evenementen die wij organiseren;
• Databases die door meerdere partners zijn samengevoegd, door al deze partners worden gevoed en gebruikt;
• Lijst die wordt doorgegeven door de organisatoren van evenementen of conferenties waaraan wij deelnemen;
• Huur van databases op uitzonderlijke basis;
• Communicatie van contacten via gespecialiseerde bedrijven of partners.

Doeleinden en rechtsgrondslagen

Als het geval zich voordoet, verwerken we de gegevens van onze prospects voor de volgende doeleinden en rechtsgrondslagen:

• Beheer van de prospectrelatie (rechtmatig belang van onze organisatie om haar activiteit te bevorderen);
• Beheer van de evenementen die we organiseren (rechtmatig belang van onze organisatie om haar activiteit te bevorderen);
• Versturen van onze nieuwsbrieven of nieuwsfeeds (toestemming);
• Promotie van websites in samenwerking met onze partners (rechtmatig belang van onze organisatie om haar activiteit te bevorderen) ;
• Promotie van onze organisatie en toerisme op sociale netwerken (Facebook, Twitter, YouTube, Instagram) (rechtmatig belang van onze organisatie om haar activiteit te promoten);
• Gedragsanalyse van prospects (rechtmatig belang van onze organisatie om de activiteit van haar prospects te analyseren);
• Communitybeheer (rechtmatig belang van onze organisatie om haar activiteit te promoten);
• Statistieken opstellen (rechtmatig belang van onze organisatie om de activiteit van haar prospects te analyseren).

Bewaartermijnen

De bewaartermijn voor de gegevens van onze prospects wordt vastgesteld op basis van de wettelijke en contractuele verplichtingen die op ons rusten en, indien dat niet het geval is, op basis van onze behoeften en in het bijzonder op basis van de volgende principes:Technische gegevens1 jaar vanaf de datum waarop ze zijn verzameld.

Na de vastgestelde termijnen worden de gegevens verwijderd of na anonimisering bewaard, met name voor statistische doeleinden. De gegevens kunnen worden bewaard in het geval van precontentieuze of gerechtelijke procedures.
Prospecten worden eraan herinnerd dat het verwijderen of anonimiseren van gegevens een onomkeerbare handeling is en dat we deze gegevens vervolgens niet meer kunnen herstellen.

Wij zorgen ervoor dat gegevens alleen toegankelijk zijn voor geautoriseerde interne of externe ontvangers voor wie een passende geheimhoudingsplicht geldt.

Intern bepalen we aan de hand van een autorisatiebeleid welke ontvanger toegang heeft tot welke gegevens.

Naast dit beleid kunnen persoonsgegevens worden verstrekt aan elke autoriteit die wettelijk gerechtigd is om van deze gegevens op de hoogte te zijn. In dit geval zijn wij niet verantwoordelijk voor de voorwaarden waaronder het personeel van deze autoriteiten toegang heeft tot de gegevens en deze gebruikt.

Recht op toegang en kopie

Klanten, partners en prospects hebben het recht om bevestiging te vragen over het al dan niet verwerken van gegevens die op hen betrekking hebben.
Zij hebben ook het recht op toegang tot hun gegevens, d.w.z. het recht om alle informatie met betrekking tot de verwerking van hun persoonsgegevens te ontvangen.

In een dergelijk geval moet de klant, partner of prospect zijn verzoek zelf formuleren en mag er geen twijfel bestaan over zijn identiteit. Als dit niet het geval is, behouden wij ons het recht voor om te vragen om overlegging van elk element waarmee de klant kan worden geïdentificeerd, zoals met name een kopie van een identiteitsbewijs.

Klanten, partners en prospects hebben het recht om een kopie op te vragen van hun persoonsgegevens die worden verwerkt. Als klanten, partners en prospects echter om een extra kopie verzoeken, kunnen wij verlangen dat zij de kosten hiervan voor hun rekening nemen.

Als klanten, partners en prospects hun verzoek om een kopie van de gegevens elektronisch indienen, wordt de gevraagde informatie aan hen verstrekt in een algemeen gebruikte elektronische vorm, tenzij zij anderszins verzoeken.

Klanten, partners en prospects worden erop gewezen dat dit recht van toegang geen betrekking kan hebben op vertrouwelijke informatie of gegevens of op gegevens waarvan openbaarmaking wettelijk niet is toegestaan.

Het recht van toegang mag niet op onrechtmatige wijze worden uitgeoefend, d.w.z. op regelmatige basis met als enige doel de desbetreffende service te destabiliseren.

Bijwerken – bijwerken en rectificatie

Wij voldoen aan verzoeken om bijwerking:

• Automatisch voor online wijzigingen in velden die technisch of wettelijk kunnen worden bijgewerkt;
• Op schriftelijk verzoek van de persoon zelf.

Recht op wissen

Het recht op wissen van klanten, partners en prospects is niet van toepassing in gevallen waarin de verwerking wordt uitgevoerd om te voldoen aan een wettelijke verplichting. Afgezien van deze situatie kunnen klanten, partners en prospects in de volgende beperkte gevallen verzoeken om verwijdering van hun gegevens:

• Persoonsgegevens zijn niet langer noodzakelijk voor de doeleinden waarvoor ze zijn verzameld of anderszins verwerkt;
• Als de betrokkene de toestemming waarop de verwerking is gebaseerd intrekt en er geen andere rechtsgrondslag is voor de verwerking;
• De betrokkene maakt bezwaar tegen verwerking die noodzakelijk is voor de behartiging van de gerechtvaardigde belangen die wij nastreven en er is geen dwingende gerechtvaardigde reden voor de verwerking;
• De betrokkene maakt bezwaar tegen de verwerking van zijn of haar persoonsgegevens voor wervingsdoeleinden, waaronder profilering;
• De persoonsgegevens zijn onrechtmatig verwerkt.

Recht op beperking

Klanten, partners en prospects worden erop gewezen dat dit recht alleen in de volgende gevallen van toepassing is:

• De juistheid van de persoonsgegevens wordt betwist door de betrokkene, gedurende een periode die ons in staat stelt de juistheid van de persoonsgegevens te controleren;
• De verwerking is onwettig en de betrokkene maakt bezwaar tegen het wissen van de gegevens en eist in plaats daarvan dat het gebruik ervan wordt beperkt;
• Wij hebben de persoonsgegevens niet langer nodig voor de doeleinden van de verwerking, maar de betrokkene heeft ze nog wel nodig voor de vaststelling, uitoefening of verdediging van rechtsvorderingen;
• De betrokkene heeft bezwaar gemaakt tegen de verwerking, tijdens de verificatie of de gerechtvaardigde gronden van de voor de verwerking verantwoordelijke prevaleren boven die van de betrokkene.

Recht op gegevensoverdraagbaarheid

Wij willigen verzoeken om gegevensoverdraagbaarheid in het specifieke geval in van gegevens die door klanten, partners en prospects zelf worden verstrekt via onze online services en voor doeleinden die uitsluitend zijn gebaseerd op de toestemming van de personen en de uitvoering van een contract. In dit geval worden de gegevens in een gestructureerd, algemeen gebruikt en machineleesbaar formaat aan de aanvrager verstrekt.

Individuele geautomatiseerde beslissing

Wij nemen geen individuele geautomatiseerde beslissingen.

Postmortemrecht

Klanten, partners en prospects worden geïnformeerd dat zij het recht hebben richtlijnen op te stellen met betrekking tot het bewaren, verwijderen en verstrekken van hun postmortemgegevens.

Uitoefening van rechten

Voornoemde rechten kunnen naar keuze van de betrokkene per e-mail of per post worden uitgeoefend op het volgende adres: SPL Destination Saint-Malo – Baie du Mont Saint-Michel – Esplanade Saint-Vincent 35400 Saint-Malo.

Optionele of verplichte aard van antwoorden

Klanten, partners en prospects worden geïnformeerd over de verplichte of optionele aard van antwoorden door de aanwezigheid van een sterretje op elk formulier voor het verzamelen van persoonsgegevens dat aan hen wordt verzonden.

Gebruiksrecht

Onze organisatie heeft van klanten, prospects en partners het recht gekregen om hun persoonsgegevens te gebruiken en te verwerken voor de hierboven beschreven doeleinden.

Verrijkte gegevens die het resultaat zijn van verwerkings- en analysewerkzaamheden van onze kant, blijven echter ons exclusieve eigendom (gebruiksanalyse, statistieken, enzovoort).

Uitbesteding

Wij informeren u dat wij een onderaannemer van onze keuze kunnen inschakelen bij de verwerking van uw persoonsgegevens. In dat geval zorgen wij ervoor dat de subverwerker voldoet aan zijn verplichtingen op grond van de GDPR.
Wij verbinden ons ertoe met al onze subverwerkers een schriftelijke overeenkomst te ondertekenen en aan subverwerkers dezelfde verplichtingen op het gebied van gegevensbescherming op te leggen als aan onszelf. U kunt een kopie van deze garanties verkrijgen door te schrijven naar het e-mailadres qualite@saint-malo-tourisme.com

Wij behouden ons bovendien het recht voor om audits uit te voeren bij onze onderaannemers om ervoor te zorgen dat de bepalingen van de GDPR worden nageleefd.

Verwerkingsregister

Als verantwoordelijke voor de verwerking van persoonsgegevens verplichten wij ons ertoe een register bij te houden van alle verwerkingsactiviteiten die worden uitgevoerd.

Dit register is een document of toepassing waarmee wij alle verwerkingsactiviteiten kunnen opsommen die wij als verwerkingsverantwoordelijke uitvoeren.

Wij verbinden ons ertoe de toezichthoudende autoriteit op eerste verzoek de informatie te verstrekken waarmee deze autoriteit kan controleren of de verwerkingsactiviteiten in overeenstemming zijn met de geldende regelgeving.

Beveiligingsmaatregelen

Wij zijn verantwoordelijk voor het definiëren en implementeren van de technische, fysieke of logische beveiligingsmaatregelen die wij geschikt achten om de onopzettelijke of onwettige vernietiging, het verlies, de wijziging of de ongeoorloofde openbaarmaking van gegevens tegen te gaan.

Hiertoe kunnen wij de hulp van een door ons gekozen derde inroepen om met de door ons noodzakelijk geachte tussenpozen kwetsbaarheidsaudits of penetratietests uit te voeren.

In elk geval verbinden wij ons ertoe om bij een wijziging van de middelen die zijn ontworpen om de beveiliging en vertrouwelijkheid van persoonsgegevens te waarborgen, deze te vervangen door middelen met betere prestaties. Geen enkele wijziging mag leiden tot een verlaging van het beveiligingsniveau.

In geval van gehele of gedeeltelijke uitbesteding van de verwerking van persoonsgegevens verplichten wij ons contractueel tot het opleggen van beveiligingsgaranties aan onze onderaannemers door middel van technische maatregelen ter bescherming van deze gegevens en passende personele middelen.

Inbreuk op gegevens

In het geval van een inbreuk op persoonsgegevens verplichten wij ons de CNIL hiervan op de hoogte te stellen volgens de voorwaarden die worden voorgeschreven door de RGPD.

Als de genoemde inbreuk een hoog risico oplevert voor klanten, partners en potentiële klanten en de gegevens niet zijn beschermd, stellen wij de betrokken personen op de hoogte en voorzien wij hen van de benodigde informatie en aanbevelingen.

Wij hebben een functionaris voor gegevensbescherming / RGPD-referent aangesteld, wiens contactgegevens als volgt zijn:
Data Protection Officer: Cabinet Racine – Eric Barbry dpo@racine.eu
RGPD-referent: Marianne Abgrall – qualite@saint-malo-tourisme.com

In het geval van een nieuwe verwerking van persoonsgegevens verwijzen we de zaak eerst door naar de functionaris voor gegevensbescherming / RGPD Referent.

Als u informatie wilt verkrijgen of een specifieke vraag wilt stellen, kunt u de zaak voorleggen aan de Data Protection Officer / RGPD Referent, die u binnen een redelijke termijn antwoord zal geven op de gevraagde informatie of de gestelde vraag.

Als u een probleem ondervindt met de verwerking van uw persoonlijke gegevens, kunt u de zaak voorleggen aan de aangewezen Data Protection Officer / RGPD Referent.

Recht om een klacht in te dienen bij de CNIL

Klanten, partners en prospects die betrokken zijn bij de verwerking van hun persoonsgegevens worden geïnformeerd over hun recht om een klacht in te dienen bij een toezichthoudende autoriteit, namelijk de CNIL, als zij van mening zijn dat de verwerking van hun persoonsgegevens niet voldoet aan de Europese regelgeving inzake gegevensbescherming, op het volgende adres:

CNIL – Service des plaintes
3 Place de Fontenoy- TSA 80715 – 75334 PARIS CEDEX 07
Tél: 01 53 73 22 22

Evolutie

Dit beleid kan te allen tijde worden gewijzigd of aangepast in geval van wijzigingen in wetgeving, jurisprudentie, CNIL-besluiten en -aanbevelingen of gebruik.

Elke nieuwe versie van dit beleid wordt onder de aandacht gebracht van klanten, prospects en partners op elke door ons bepaalde wijze, inclusief elektronisch (bijvoorbeeld verspreiding per e-mail of online).

Voor meer informatie

Voor aanvullende informatie kunt u contact met ons opnemen op het bovenstaande adres, in dit geval SPL Destination Saint-Malo – Baie du Mont Saint-Michel Mme la Référente RGPD – Esplanade Saint-Vincent 35400 Saint-Malo.

Voor meer algemene informatie over de bescherming van persoonsgegevens kunt u de website van de CNIL raadplegen: www.cnil.fr.