1. Algemene bepalingen
Preambule
Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende gegevensbescherming (hierna: de AVG), stelt het wettelijk kader vast dat van toepassing is op de verwerking van persoonsgegevens. Deze tekst versterkt de rechten en plichten van de voor de verwerking verantwoordelijken, de verwerkers, de betrokkenen en de ontvangers van de gegevens.
Vervolgens, en om de wijzigingen van de RGPD uit te voeren, werd de wet nr. 78-17 van 6 januari 1978, bekend als "Informatique et libertés", gewijzigd bij de wet nr. 2018-493 van 20 juni 2018 bij de verordening nr. 2018-1125 van 12 december 2018 betreffende gegevensbescherming.
Dit beleid wordt uitgevoerd door het Office du Tourisme van Lille (hierna "de organisatie" genoemd), met als belangrijkste activiteiten de ontwikkeling van het toeristische aanbod, de promotie van toeristische bestemmingen en de marketing van het toeristische aanbod van de regio Lille.
In het kader van onze activiteiten verwerken wij persoonsgegevens van onze klanten, partners en prospects. Voor een goed begrip van het huidige beleid wordt gespecificeerd dat
- Onder klanten worden verstaan alle natuurlijke of rechtspersonen die met onze organisatie een overeenkomst van welke aard dan ook hebben gesloten, met dien verstande dat deze laatste bedoeld is om te werken met professionele toeristische klanten of met het grote publiek;
- Onder partners worden verstaan alle natuurlijke of rechtspersonen die betrokken zijn bij de toeristische sector en in dit verband betrekkingen onderhouden met onze organisatie, zoals met name de professionals uit de toeristische sector in het departement, projectleiders en interne en externe investeerders, vakantiedistributeurs, lokale overheden en hun groeperingen of institutionele partners;
- Onder prospects wordt verstaan elke potentiële klant of elke contactontvanger van reclameboodschappen van onze organisatie waarvan de gegevens rechtstreeks via contactformulieren, evenementen of indirect via een partner van de organisatie zijn verzameld.
Doel en toepassingsgebied
Dit beleid inzake gegevensbescherming is van toepassing op de verwerking van persoonsgegevens van onze klanten, partners en prospects.
Het doel van dit beleid is dan ook te voldoen aan de informatieplicht van onze organisatie en aldus de rechten en plichten van onze klanten, partners en prospects met betrekking tot de verwerking van hun gegevens te formaliseren.
Dit beleid heeft alleen betrekking op verwerkingen waarvoor wij verantwoordelijk zijn en op gegevens die als "gestructureerd" worden omschreven.
De verwerking van persoonsgegevens kan rechtstreeks door onze organisatie worden beheerd of via een speciaal door haar aangestelde verwerker.
Dit beleid staat los van elk ander document dat van toepassing kan zijn binnen de contractuele relatie tussen ons en onze klanten, partners en prospects. Wij verwerken geen gegevens van onze klanten, partners en prospects als deze geen betrekking hebben op persoonsgegevens die door of voor onze diensten worden verzameld of in verband met onze diensten worden verwerkt en als deze niet voldoen aan de algemene beginselen van de GDPR.
Elke nieuwe verwerking, wijziging of schrapping van bestaande verwerkingen zal aan klanten, partners en prospects bekend worden gemaakt door middel van een wijziging van dit beleid.
2. Klantgegevens
Soorten verzamelde gegevens
Niet-technische gegevens
(identiteit en identificatie (naam, voornaam, geboortedatum, pseudo, klantnummer)
- contactgegevens (e-mail, postadres, telefoonnummer)
- professioneel/persoonlijk leven indien nodig
Technische gegevens
(afhankelijk van het gebruik) - identificatiegegevens (IP-adres)
- verbindingsgegevens (bv. logboeken, token)
- acceptatiegegevens (klik)
- locatiegegevens
Oorsprong van de gegevens
Wij verzamelen de gegevens van onze klanten van :
- door de klant verstrekte gegevens (papieren formulier, bestelformulier, contract, visitekaartje) ;
- door de klant ingevulde elektronische formulieren;
- online ingevoerde gegevens (website, sociale netwerken, ...);
- registratie voor evenementen die we organiseren;
- databanken die door verschillende partners worden gedeeld en door al deze partners worden gevoed en geëxploiteerd;
- huur of aankoop van databanken bij wijze van uitzondering;
- communicatie van contacten via gespecialiseerde bedrijven of partners van onze organisatie.
Doeleinden
Afhankelijk van het geval verwerken wij de gegevens van onze klanten voor de volgende doeleinden
- beheer van klantenrelaties ;
- verkoop van toeristische verblijven rechtstreeks of via distributiepartners;
- beheer van de evenementen die wij organiseren;
- het versturen van nieuwsbrieven of nieuwsfeeds;
- beheer van klantenrekeningen;
- het verbeteren van onze diensten;
- om aan onze administratieve verplichtingen te voldoen;
- communautair beheer;
- het opstellen van statistieken.
Bewaartermijnen
De duur van de bewaring van de gegevens van onze klanten wordt bepaald in het licht van de wettelijke en contractuele verplichtingen die op ons rusten en, bij ontstentenis daarvan, volgens onze behoeften en met name volgens de volgende beginselen:
Verwerking Bewaartermijn
Gegevens over klanten Voor de duur van de contractuele relatie, plus 3 jaar voor promotie en prospectie, onverminderd de bewaarplicht of verjaringstermijnen.
Technische gegevens 1 jaar vanaf de datum van verzameling
Cookies 13 maanden
Na de vastgestelde termijnen worden de gegevens gewist of na anonimisering bewaard, met name voor statistische doeleinden. Zij kunnen worden bewaard in geval van precontentieuze en gerechtelijke procedures.
Klanten worden eraan herinnerd dat verwijdering of anonimisering onomkeerbare handelingen zijn en dat wij deze niet meer kunnen herstellen.
Rechtsgrondslag
De verwerking die wij in het kader van dit beleid uitvoeren is alle wettelijk gebaseerd op de uitvoering van contractuele of precontractuele maatregelen of, in bepaalde gevallen, op de toestemming van de klant (bijvoorbeeld: het verzenden van commerciële prospectieberichten).
3. Gegevens van partners
Soorten verzamelde gegevens
Niet-technische gegevens
(identiteit en identificatie (naam, voornaam, geboortedatum, pseudo)
- contactgegevens (e-mail, postadres, telefoonnummer)
- beroepsleven (functie, functietitel, enz.)
Technische gegevens
(afhankelijk van het gebruik) - identificatiegegevens (IP-adres)
- verbindingsgegevens (bv. logboeken, token)
- acceptatiegegevens (klik)
- locatiegegevens
Oorsprong van de gegevens
Wij verzamelen gegevens van onze partners van :
- rechtstreeks via de partners verzamelde informatie;
- formulieren of door de partners ingevulde elektronische formulieren;
- inschrijvingen of abonnementen op onze online diensten (nieuwsbrief, sociale netwerken).
Doeleinden
Afhankelijk van het geval verwerken wij de gegevens van onze klanten voor de volgende doeleinden
- beheer van partnerrelaties;
- etikettering van locaties en faciliteiten voor de door de organisatie toevertrouwde sectoren
- toeristische engineering (diagnostiek en haalbaarheidsstudies, ondersteuning bij het opzetten van projecten en het aanvragen van subsidies)
- netwerken en overleg met de verschillende partners
- operaties om onze partnerdienstverleners op de markt te brengen;
- beheer van de evenementen die wij organiseren (beurzen, workshops, enz.);
- opleidingsactiviteiten voor partnerdienstverleners;
- zoeken naar distributiepartners;
- statistieken.
Bewaartermijnen
Hoe lang wij de gegevens van onze partners bewaren, wordt bepaald in het licht van de wettelijke en contractuele verplichtingen die op ons rusten en, bij gebrek daaraan, volgens onze behoeften en met name volgens de volgende principes:
Verwerking Bewaartermijn
Klantgegevens Voor de duur van de contractuele relatie, vermeerderd met 3 jaar voor het toezicht op de relatie, onverminderd de bewaarplicht of verjaringstermijnen.
Technische gegevens 1 jaar na verzameling
Cookies 13 maanden
Na de vastgestelde termijnen worden de gegevens gewist of na anonimisering bewaard, met name voor statistische doeleinden. Zij kunnen worden bewaard in geval van precontentieuze en gerechtelijke procedures.
De partners worden eraan herinnerd dat verwijdering of anonimisering onomkeerbare handelingen zijn en dat wij deze niet meer kunnen herstellen.
Rechtsgrondslag
De verwerking die wij in het kader van dit beleid uitvoeren is alle wettelijk gebaseerd op de uitvoering van contractuele of precontractuele maatregelen.
4. Gegevens van potentiële klanten
Soorten verzamelde gegevens
Niet-technische gegevens
(identiteit en identificatie (naam, voornaam, geboortedatum, pseudo)
- contactgegevens (e-mail, postadres, telefoonnummer)
- beroepsleven (functie, functietitel, enz.)
Technische gegevens
(afhankelijk van het gebruik) - identificatiegegevens (IP-adres)
- verbindingsgegevens (bv. logboeken, token)
- acceptatiegegevens (klik)
- locatiegegevens
Oorsprong van de gegevens
Wij verzamelen de gegevens van onze prospects van :
- door de prospect verstrekte gegevens (papieren formulier, visitekaartje, ...) ;
- door de prospect ingevulde formulieren of elektronische formulieren;
- online ingevoerde gegevens (website, sociale netwerken, enz.);
- registratie of inschrijving op onze online diensten (website, sociale netwerken);
- registratie voor evenementen die we organiseren;
- databanken die door verschillende partners worden gedeeld en door al deze partners worden gevoed en gebruikt;
- lijsten die worden meegedeeld door de organisatoren van evenementen of conferenties waaraan wij deelnemen;
- Verhuur van databanken op uitzonderlijke basis;
- communicatie van contacten via gespecialiseerde bedrijven of partners.
Doeleinden
Afhankelijk van het geval verwerken wij de gegevens van onze prospects voor de volgende doeleinden
- beheer van de prospectrelatie;
- beheer van de evenementen die wij organiseren;
- het versturen van onze nieuwsbrieven of nieuws feeds;
- animatie van websites in samenwerking met onze partners;
- promotie van onze organisatie en toerisme in (in te vullen) op sociale netwerken (Facebook, Twitter, YouTube, Instagram, etc.);
- gedragsanalyse van vooruitzichten ;
- communautair beheer ;
- statistieken.
Bewaartermijnen
Hoe lang wij de gegevens van onze prospects bewaren, wordt bepaald in het licht van de wettelijke en contractuele verplichtingen die op ons rusten en, bij gebrek daaraan, volgens onze behoeften en met name volgens de volgende principes:
Verwerking Bewaartermijn
Klantgegevens Gedurende 3 jaar vanaf de datum van verzameling of het laatste contact met de prospect
Technische gegevens 1 jaar na verzameling
Cookies 13 maanden
Na de vastgestelde termijnen worden de gegevens gewist of na anonimisering bewaard, met name voor statistische doeleinden. Zij kunnen worden bewaard in geval van precontentieuze en gerechtelijke procedures.
Prospects worden eraan herinnerd dat verwijdering of anonimisering onomkeerbare handelingen zijn en dat wij ze niet meer kunnen herstellen.
Rechtsgrondslag
De hierboven voorgestelde verwerkingsdoeleinden zijn gebaseerd op de volgende voorwaarden voor rechtmatigheid:
- uitvoering van precontractuele maatregelen ;
- legitiem belang van onze organisatie;
- toestemming van de prospect wanneer dit wettelijk vereist is (bv. voor het verzenden van commerciële prospectieberichten).
5. Ontvangers van de gegevens
Wij zorgen ervoor dat de gegevens alleen toegankelijk zijn voor bevoegde interne of externe ontvangers voor wie een passende geheimhoudingsplicht geldt.
Intern beslissen wij aan de hand van een autorisatiebeleid welke ontvanger toegang krijgt tot welke gegevens.
Elke toegang betreffende de verwerking van persoonsgegevens van klanten, partners en prospects is onderworpen aan een traceerbaarheidsmaatregel.
Voorts kunnen persoonsgegevens worden meegedeeld aan elke autoriteit die wettelijk gerechtigd is er kennis van te nemen. In dit geval zijn wij niet verantwoordelijk voor de voorwaarden waaronder het personeel van deze autoriteiten toegang heeft tot de gegevens en deze gebruikt.
Interne ontvangers Externe ontvangers
Bevoegd personeel binnen onze organisatie (marketingpersoneel, personeel voor klantenbeheer, dienstverleners en prospects, administratief personeel, IT-personeel) en hun lijnmanagers. - Toeristische partners die toegang hebben tot het gedeelde bestand waarin de gegevens kunnen voorkomen;
- dienstverleners of ondersteunende diensten;
- Gemachtigd personeel van de voor de controle verantwoordelijke diensten (accountant, voor de interne controleprocedures verantwoordelijke diensten, enz;)
- administratie, gerechtsfunctionarissen, indien van toepassing.
6. Rechten van personen
Recht op toegang en kopie
Klanten, partners en prospects hebben traditioneel het recht om bevestiging te vragen over het al dan niet verwerken van gegevens die hen betreffen.
Zij hebben ook recht op toegang tot hun gegevens, d.w.z. het recht om alle informatie over de verwerking van hun persoonsgegevens te verkrijgen.
In een dergelijk geval moet de cliënt, partner of prospect zijn verzoek zelf formuleren en mag er geen twijfel bestaan over zijn identiteit. Indien dit niet gebeurt, behouden wij ons het recht voor de mededeling te vragen van elk element waarmee de klant, partner of prospect kan worden geïdentificeerd, zoals een kopie van een identiteitsbewijs.
Klanten, partners en prospects hebben het recht een kopie te vragen van hun persoonsgegevens die worden verwerkt. In het geval van een verzoek om een extra exemplaar kunnen wij echter eisen dat klanten, partners en potentiële klanten de kosten hiervan dragen.
Klanten, partners en prospects worden erop gewezen dat dit recht op toegang geen betrekking mag hebben op vertrouwelijke informatie of gegevens of gegevens waarvoor de wet geen mededeling toestaat.
Het recht van toegang mag niet op onrechtmatige wijze worden uitgeoefend, d.w.z. regelmatig met als enig doel de betrokken dienst te destabiliseren.
Bijwerking - actualisering en rectificatie
Wij voldoen aan verzoeken om updates:
- automatisch voor online wijzigingen in velden die technisch of wettelijk kunnen worden bijgewerkt;
- op schriftelijk verzoek van de persoon zelf die zijn identiteit moet bewijzen.
Recht op wissen
Het recht op verwijdering van klanten, partners en prospects is niet van toepassing wanneer de verwerking plaatsvindt om aan een wettelijke verplichting te voldoen. Afgezien van deze situatie kunnen klanten, partners en prospects in de volgende beperkte gevallen verzoeken om verwijdering van hun gegevens
- de persoonsgegevens zijn niet langer noodzakelijk voor de doeleinden waarvoor zij werden verzameld of anderszins verwerkt
- wanneer de betrokkene de toestemming waarop de verwerking is gebaseerd, intrekt en er geen andere rechtsgrondslag voor de verwerking is;
- de betrokkene maakt bezwaar tegen een verwerking die noodzakelijk is voor onze legitieme belangen en er is geen dwingende legitieme reden voor de verwerking;
- de betrokkene maakt bezwaar tegen de verwerking van zijn persoonsgegevens voor marketingdoeleinden, met inbegrip van profilering;
- de persoonsgegevens onrechtmatig zijn verwerkt.
Recht op beperking
Klanten, partners en prospects worden erop gewezen dat dit recht niet van toepassing is voor zover de door ons uitgevoerde verwerkingen rechtmatig zijn en alle verzamelde persoonsgegevens noodzakelijk zijn voor de uitvoering van de doeleinden van de verwerking ervan.
Recht op overdraagbaarheid
Wij willigen verzoeken om gegevensoverdracht in het bijzondere geval van door klanten, partners en prospects zelf verstrekte gegevens, op onze onlinediensten en voor doeleinden die uitsluitend gebaseerd zijn op de toestemming van de betrokkenen en de uitvoering van een contract. In dit geval worden de gegevens aan de aanvrager verstrekt in een gestructureerd, algemeen gebruikt en machinaal leesbaar formaat.
Geautomatiseerde individuele besluitvorming
Wij nemen geen geautomatiseerde individuele beslissingen.
De op onze website aangeboden hulpmiddelen zijn slechts hulpmiddelen om klanten en prospects te helpen en mogen niet als zodanig worden beschouwd.
Postmortale rechten
Klanten, partners en prospects worden geïnformeerd dat zij het recht hebben richtlijnen te formuleren betreffende de bewaring, de verwijdering en de mededeling van hun postmortale gegevens.
Uitoefening van rechten
De uitoefening van bovengenoemde rechten geschiedt, naar keuze van de betrokkene, per e-mail of per post naar het volgende adres: dpo-otlille@racine.eu.
1. Aanvullende bepalingen
Facultatieve of verplichte aard van de antwoorden
Klanten, partners en prospects worden geïnformeerd over het verplichte of facultatieve karakter van de antwoorden door de aanwezigheid van een asterisk op elk formulier voor het verzamelen van persoonsgegevens dat hen wordt voorgelegd. Als antwoorden verplicht zijn, leggen wij uit wat de gevolgen van niet-beantwoording zijn.
Gebruiksrecht
Onze organisatie krijgt van haar klanten, prospects en partners het recht om hun persoonsgegevens te gebruiken en te verwerken voor de hierboven vermelde doeleinden.
De verrijkte gegevens die het resultaat zijn van onze verwerking en analyse, ook wel verrijkte gegevens genoemd, blijven echter ons exclusieve eigendom (gebruiksanalyse, statistieken, enz.).
Onderaanneming
Wij informeren u dat wij bij de verwerking van uw persoonsgegevens een onderaannemer van onze keuze kunnen inschakelen. In dat geval zorgen wij ervoor dat de onderaannemer zijn verplichtingen uit hoofde van de GDPR nakomt.
Wij verbinden ons ertoe met al onze onderaannemers een schriftelijke overeenkomst te sluiten en leggen aan onderaannemers dezelfde verplichtingen inzake gegevensbescherming op als aan onszelf. Daarnaast behouden wij ons het recht voor om onze verwerkers te controleren op naleving van de bepalingen van de GDPR.
Grensoverschrijdende stromen
Onze organisatie behoudt zich het recht voor al dan niet te beslissen over grensoverschrijdende stromen van persoonsgegevens die zij verwerkt.
Indien persoonsgegevens worden doorgegeven aan een land buiten de Europese Unie of aan een internationale organisatie, zullen wij u daarvan in kennis stellen en ervoor zorgen dat uw rechten worden geëerbiedigd. Zo nodig zullen wij een of meer contracten sluiten om de grensoverschrijdende gegevensstromen te regelen.
De bepalingen betreffende grensoverschrijdende gegevensstromen zijn tegen ons afdwingbaar, behoudens de afwijkingen waarin artikel 49 van de GDPR voorziet.
Register van verwerkingen
Als verantwoordelijke voor de verwerking verplichten wij ons ertoe een register bij te houden van alle verrichte verwerkingsactiviteiten.
Dit register is een document of toepassing waarmee wij alle verwerkingsactiviteiten kunnen identificeren die wij als verantwoordelijke voor de verwerking uitvoeren.
Wij verbinden ons ertoe de toezichthoudende autoriteit op haar eerste verzoek informatie te verstrekken aan de hand waarvan zij kan nagaan of de verwerking in overeenstemming is met de geldende voorschriften inzake gegevensbescherming.
2. Beveiliging
Veiligheidsmaatregelen
Het is onze verantwoordelijkheid om de technische beveiligingsmaatregelen, fysiek of logisch, die wij geschikt achten om de vernietiging, het verlies, de wijziging of de ongeoorloofde bekendmaking van gegevens per ongeluk of illegaal tegen te gaan, te definiëren en toe te passen.
Daartoe kunnen wij de hulp van derden van onze keuze inroepen om kwetsbaarheidsaudits of penetratietests uit te voeren met de intervallen die wij nodig achten.
In elk geval verbinden wij ons ertoe om, in geval van wijziging van de middelen om de veiligheid en de vertrouwelijkheid van de persoonsgegevens te waarborgen, deze te vervangen door middelen met betere prestaties. Geen verandering kan leiden tot een verlaging van het veiligheidsniveau.
Indien de verwerking van persoonsgegevens geheel of gedeeltelijk wordt uitbesteed, verbinden wij ons ertoe onze onderaannemers contractueel veiligheidsgaranties op te leggen door middel van technische maatregelen ter bescherming van deze gegevens en de nodige personele middelen.
Datalek
In geval van een inbreuk op persoonsgegevens verbinden wij ons ertoe de CNIL in kennis te stellen onder de door de RGPD voorgeschreven voorwaarden.
Indien de inbreuk een hoog risico inhoudt voor klanten, partners en prospects en de gegevens niet zijn beschermd, zullen wij de betrokken personen op de hoogte brengen en hun de nodige informatie en aanbevelingen verstrekken.
3. Contacten
Functionaris voor gegevensbescherming / RGPD referentie
Wij hebben een functionaris voor gegevensbescherming / RGPD referent aangesteld wiens contactgegevens als volgt zijn De heer Eric BARBRY, 40 rue de Courcelles 75008 PARIJS, 0144824300.
In geval van een nieuwe verwerking van persoonsgegevens zullen wij eerst contact opnemen met de functionaris voor gegevensbescherming / RGPD referent.
Indien u specifieke informatie wenst of een specifieke vraag wilt stellen, kunt u zich wenden tot de functionaris voor gegevensbescherming / een vertegenwoordiger van de RGPD, die u binnen een redelijke termijn een antwoord zal geven op de gestelde vraag of de gevraagde informatie.
In geval van een probleem met de verwerking van uw persoonsgegevens kunt u zich wenden tot de functionaris voor gegevensbescherming / een aangewezen contactpersoon van de RGPD.
Recht om een klacht in te dienen bij de CNIL
Klanten, partners en prospects die betrokken zijn bij de verwerking van hun persoonsgegevens worden geïnformeerd over hun recht om een klacht in te dienen bij een toezichthoudende autoriteit, namelijk het Cnil, indien zij van mening zijn dat de verwerking van hun persoonsgegevens niet in overeenstemming is met de Europese regelgeving inzake gegevensbescherming, op het volgende adres
Cnil - Service des plaintes
3 Place de Fontenoy- TSA 80715 - 75334 PARIJS CEDEX 07
Tel: 01 53 73 22 22
Wijzigingen
Dit beleid kan te allen tijde worden gewijzigd of aangepast in geval van veranderingen in wetgeving, jurisprudentie, besluiten en aanbevelingen van de CNIL of praktijken.
Elke nieuwe versie van dit beleid zal onder de aandacht worden gebracht van klanten, prospects en partners via elk door ons te bepalen middel, ook elektronisch (verspreiding per e-mail of online, bijvoorbeeld).
Voor meer informatie
Voor verdere informatie kunt u contact opnemen met de DPO op bovenstaand adres, in dit geval dpo-otlille@racine.eu.
Voor meer algemene informatie over de bescherming van persoonsgegevens kunt u de website van Cnil raadplegen www.cnil.fr.
Ik boek in het Frans
Ik boek in het Engels
