Privacy Beleid

Privacy Policy

OVERZICHT van dit beleid en verplichtingen aan privacy bij Merlin

Bij Merlin ("wij", "ons", "onze") verzamelen en gebruiken wij regelmatig persoonlijke gegevens over consumenten die onze attracties of hotels bezoeken of op onze websites surfen. Persoonlijke gegevens zijn alle informatie die kan worden gebruikt om u als individu te identificeren. De bescherming van uw persoonlijke gegevens is zeer belangrijk voor ons, en wij begrijpen onze verantwoordelijkheden om uw persoonlijke gegevens zorgvuldig te behandelen, te beveiligen en om te voldoen aan de wettelijke eisen.

Het doel van dit privacybeleid ("Beleid") is om een duidelijke uitleg te geven over wanneer, waarom en hoe wij persoonlijke gegevens verzamelen en gebruiken. Wij hebben het zo gebruiksvriendelijk mogelijk ontworpen en hebben secties gelabeld om het u gemakkelijk te maken de informatie te vinden die voor u het meest relevant is.

Lees a.u.b. dit beleid zorgvuldig door. Het geeft belangrijke informatie over de manier waarop wij persoonlijke gegevens gebruiken en legt uw wettelijke rechten uit. Dit beleid is niet bedoeld om de voorwaarden van een contract, dat u met ons heeft (bijvoorbeeld, Wi-Fi-voorwaarden of jaarkaartvoorwaarden), op te heffen of eventuele rechten, die beschikbaar zijn onder de toepasselijke wetgeving inzake gegevensbescherming.

Wij zullen van tijd tot tijd wijzigingen aanbrengen in dit beleid, bijvoorbeeld om het up-to-date te houden of om te voldoen aan wettelijke vereisten of veranderingen in de manier waarop wij ons bedrijf runnen. Wij zullen ervoor zorgen, dat u op de hoogte bent van eventuele belangrijke wijzigingen door een e-mail te sturen naar het e-mailadres dat u ons het meest recent aan ons hebt verstrekt of door een notitie op iedere relevante website te plaatsen, zodat u op de hoogte bent van de gevolgen van de gegevensverwerkingsactiviteiten voordat u blijft deelnemen. Wij moedigen u aan om dit beleid regelmatig te controleren en te herzien, zodat u altijd weet welke informatie wij verzamelen, hoe wij deze gebruiken en met wie wij deze delen.

Inhoud

  1. WIE is er verantwoordelijk voor het beheer van uw persoonlijke gegevens?
  2. WELKE persoonlijke gegevens verzamelen wij?
  3. WANNEER verzamelen wij uw persoonlijke gegevens?
  4. Voor welke DOELEINDEN GEBRUIKEN wij uw persoonlijke gegevens en wat is de WETTELIJKE BASIS?
  5. Met wie DELEN wij uw persoonlijke gegevens?
  6. Direct Marketing
  7. Internationale overdrachten
  8. Profilering
  9. Hoe lang bewaren wij uw persoonlijke gegevens?
  10. Wat zijn uw rechten?
  11. Contact en klachten

BIJLAGE 1 - RECHTSGRONDSLAG VOOR VERWERKING

BIJLAGE 2 - WOORDENLIJST

  1. WIE is er verantwoordelijk voor het beheer van uw persoonlijke gegevens?
    Merlin Entertainments plc ("Merlin") is een Brits entertainmentbedrijf met hoofdkantoor in Link House, 25 West Street, Poole, Dorset, BH15 1LD, met meer dan 100 attracties en meer dan 20 hotels en vakantiedorpen in 25 landen. Ons bedrijf gaat over het creëren van unieke, gedenkwaardige en verrijkende bezoekerservaringen. Een lijst met onze attracties en een notitie van de bedrijven die deel uitmaken van de Merlin-groep, die helpen dit te bereiken, is beschikbaar op ("Merlin Group").

    De entiteit in de Merlin Group die oorspronkelijk verantwoordelijk was voor het verzamelen van informatie over u, zal de gegevensbeheerder zijn. Andere entiteiten binnen de Merlin Group kunnen ook gegevensbeheerders zijn, waar ze verantwoordelijk zijn voor het gebruik of de verwerking van dergelijke gegevens. Er is één aanspreekpunt voor alle gegevensbeheerders binnen de Merlin Group die gecontacteerd kan worden met behulp van de details in sectie 11 hieronder.

  2. WELKE persoonlijke gegevens verzamelen wij?

    Met betrekking tot potentiële klanten, voormalige klanten en huidige klanten en attractiebezoekers ("consumenten") verzamelen wij de volgende gegevens:

    • Informatie die u verstrekt door het invullen van formulieren op onze site. Dit omvat informatie die wordt verstrekt op het moment van registratie om onze site te gebruiken, zich te abonneren op onze service, het plaatsen van materiaal of het aanvragen van verdere diensten. Wij zullen u ook om informatie vragen wanneer u een probleem met onze site meldt.
    • Details van eventuele problemen als u contact met ons opneemt met een vraag of probleem.
    • Wanneer u een enquête invult om ons te laten weten hoe uw ervaring met onze attracties of hotels was, en hoe wij beter kunnen worden, hoewel u daar niet op hoeft te reageren.
    • Details van transacties die u uitvoert via onze site en van de uitvoering van uw boekingen, inclusief uw credit-/debitcard gegevens.
    • Details van uw bezoeken op onze site, inclusief maar niet beperkt tot verkeersgegevens, locatiegegevens, weblogs en andere communicatiegegevens, of dit nu voor onze eigen factureringsdoeleinden of anderszins is vereist en de bronnen die u gebruikt.
    • Uw naam, adres, telefoonnummer en/of e-mailadres om contact met u op te nemen over uw boeking of in het onwaarschijnlijke geval, dat wij dringend contact met u moeten opnemen over uw boeking.

    Dit omvat het verzamelen van contactgegevens, zoals uw naam, adres, geboortedatum, telefoonnummer en e-mailadres, overeenkomstdetails, inclusief uw aankoopgeschiedenis en bezoekgeschiedenis aan onze attracties, uw marketingvoorkeuren inclusief belangen/marketinglijstopdrachten, dossier van toestemmingen of marketingbezwaren, websitegegevens, toestelgegevens inclusief IP-adressen en details over uw browsegeschiedenis, browsertype en sessiefrequentie en cookies - zie ons afzonderlijke cookiebeleid voor meer informatie over cookies.

  3. WANNEER verzamelen wij uw persoonlijke gegevens?

    Consumenten

    • Wij zullen informatie direct van u verzamelen wanneer u zich aanmeldt voor een nieuwsbrief van een attractie-website, wanneer u een kaartje of een pas koopt, waar u een telefonische boeking maakt, waarbij u zich aanmeldt voor Wi-Fi in een van onze attracties, wanneer u een verblijf boekt in een van onze hotels, waar u een enquête invult, of waar u contact met ons opneemt met vragen of suggesties.
    • Wij controleren en registreren ook telefoongesprekken om uw opt-in te registreren om marketingcontent te ontvangen (waar nodig, zie sectie 6 voor meer informatie), wanneer u ons rechtstreeks
    • Wanneer iemand namens u een gezinskaart heeft aangevraagd of een concurrentie heeft afgesloten, zal er in deze omstandigheden indirect informatie over u aan ons worden verstrekt door een familielid of een andere derde persoon.

    In noodsituaties zullen wij ook indirect informatie over u verzamelen van andere bronnen, waarvan wij denken dat dit noodzakelijk is om de veiligheid van onze attracties te waarborgen. Deze andere bronnen kunnen onder meer openbare registers en platforms voor sociale media omvatten.

    Wij zullen niet bewust persoonlijke gegevens over kinderen verzamelen met het oog op marketing zonder duidelijk te maken dat dergelijke informatie alleen met toestemming van de ouders mag worden verstrekt, als dit wordt vereist door de toepasselijke wetgeving - dus Merlin zal de persoonlijke gegevens van kinderen alleen gebruiken zoals wettelijk is toegestaan, wanneer de vereiste toestemming van de ouder of voogd is verkregen.

  4. Voor welke DOELEINDEN GEBRUIKEN wij uw persoonlijke gegevens en wat is de WETTELIJKE BASIS?

    Wij zullen uw persoonlijke gegevens gebruiken om;

    • ervoor te zorgen dat de inhoud van onze site op de meest effectieve manier wordt gepresenteerd voor u en voor uw computer.
    • u voorzien van informatie, producten of diensten, die u van ons vraagt of waarvan wij denken dat ze u kunnen interesseren, waarbij u toestemming hebt gegeven om voor dergelijke doeleinden te worden benaderd.
    • onze verplichtingen uit te voeren die voortvloeien uit contracten aangegaan tussen u en ons.
    • u toe te staan om deel te nemen aan interactieve functies van onze service, wanneer u ervoor kiest om dit te doen.
    • u op de hoogte brengen van wijzigingen in onze service.

    Wij kunnen u ook marketingmateriaal sturen (waar wij de juiste toestemmingen hebben, zoals hieronder in Sectie 6 nader wordt uitgelegd). Dit proces omvat waarschijnlijk profilering en hierover wordt meer informatie gegeven in Sectie 8 van dit beleid. Wij zullen ook uw persoonlijke gegevens moeten gebruiken voor doeleinden die verband houden met onze wettelijke en regelgevende verplichtingen.

    Wij moeten een juridische grond vaststellen om uw persoonlijke gegevens te gebruiken, dus wij zullen ervoor zorgen dat wij uw persoonlijke gegevens uitsluitend voor de in deze Sectie 4 en in Bijlage 1 genoemde doelstellingen gebruiken, waar wij ervan tevreden zijn dat:

    • ons gebruik van uw persoonlijke gegevens nodig is om een contract uit te voeren of stappen te ondernemen om een contract met u aan te gaan (bijvoorbeeld om uw boeking voor toegangskaarten voor een attractie te beheren), of
    • ons gebruik van uw persoonlijke gegevens noodzakelijk is om te voldoen aan een relevante wettelijke of regelgevende verplichting, waaraan wij onderhevig zijn (bijvoorbeeld om te voldoen aan de ICO (Autoriteit Persoonsgegevens/DPA) vereisten), of
    • ons gebruik van uw persoonlijke gegevens is noodzakelijk ter ondersteuning van 'legitieme belangen' die wij als bedrijf hebben (bijvoorbeeld om onze producten te verbeteren of om analyses uit te voeren in onze gegevensbestanden), op voorwaarde dat het altijd wordt uitgevoerd op een manier die is evenredig, en dat uw privacyrechten respecteert. Waar vereist door afzonderlijke wetten, bijvoorbeeld de privacy- en elektronische communicatieregelgeving, zullen wij er ook voor zorgen dat u ervoor hebt gekozen u marketingmateriaal te sturen - zie sectie 6 hieronder voor meer informatie. Zieu.b. bijlage 1 voor meer informatie over onze legitieme belangen.

    Voordat wij speciale categorieën gegevens verzamelen en/of gebruiken, zullen wij een extra wettelijke grond vaststellen voor de hierboven beschreven gegevens, die ons in staat zullen stellen om die informatie te gebruiken. Deze aanvullende vrijstelling is meestal:

    • uw uitdrukkelijke toestemming;
    • de vaststelling, de uitoefening of de verdediging door ons of derden van juridische claims; of
    • een specifieke uitzondering op grond van lokale wetgeving van EU-lidstaten en andere landen die de GDPR (AVG) implementeren.

    LET OP: als wij u eerder hebben geïnformeerd, waren wij afhankelijk van toestemming als basis voor onze verwerkingsactiviteiten, in de toekomst zullen wij niet op deze rechtsgrondslag vertrouwen, tenzij wij dit hebben gezegd in dit beleid.

    LET OP: Als u uw uitdrukkelijke toestemming geeft om ons toe te staan uw speciale gegevenscategorieën te verwerken, kunt u uw toestemming voor dergelijke verwerking op elk gewenst moment intrekken. Houd er echter rekening mee, dat als u ervoor kiest om uw toestemming in te trekken, zullen wij u meer vertellen over de mogelijke gevolgen, inclusief of dit betekent dat bepaalde diensten (met name wanneer u een zorgverlenerpas hebt aangevraagd) niet langer kunnen worden verstrekt).

  5. Met wie DELEN wij uw persoonlijke gegevens?

    Zoals hierboven aangegeven, delen wij gegevens met andere bedrijven uit de Merlin Group.

    Wij delen de gegevens ook met derden om ons bedrijf te helpen beheren en diensten te leveren. Deze derde partijen kunnen van tijd tot tijd toegang hebben tot uw persoonlijke gegevens en omvatten:

    • serviceproviders, die onze IT- en backofficesystemen helpen beheren, en helpen met onze Customer Relationship Management-activiteiten, met name Accesso en Facebook.
    • onze toezichthouders, waaronder de ICO (Autoriteit Persoonsgegevens/DPA), evenals andere toezichthouders en wetshandhavingsinstanties in de E.U. en over de hele wereld,
    • advocaten en andere professionele dienstverlenende bedrijven (inclusief onze accountants).

    Ook als wij een deel van onze activiteiten verkopen, moeten wij uw persoonlijke gegevens ook aan de koper overdragen.

  6. Direct Marketing

    Wij kunnen uw persoonlijke gegevens gebruiken om u direct marketingcommunicatie toe te sturen over onze attracties, hotels, ervaringen of onze gerelateerde services. Dit gebeurt in de vorm van e-mail, post, sms of gerichte online advertenties.

    Als we expliciete opt-in toestemming nodig hebben voor direct marketing in overeenstemming met de privacy- en elektronische communicatieregelgeving, zullen we om uw toestemming vragen. Anderszins, voor niet-elektronische marketing of waar we kunnen vertrouwen op de vrijwaring voor soft opt-in op grond van de privacy- en elektronische communicatieregelgeving, zullen we vertrouwen op onze legitieme belangen voor de doeleinden van GDPR (AVG) zoals verder uiteengezet in sectie 4 en bijlage 1.

    U hebt op elk moment het recht om te stoppen met het ontvangen van direct marketing - u kunt dit doen door de opt-out-links in elektronische communicatie (zoals e-mails) te volgen, of door contact met ons op te nemen met behulp van de details in Sectie 11.

    Wij gebruiken uw persoonlijke gegevens ook voor het aanpassen of personaliseren van advertenties, aanbiedingen en inhoud die aan u beschikbaar zijn op basis van uw bezoeken aan en/of gebruik van onze attractiewebsites of andere mobiele toepassingen, platforms of services, en het analyseren van de prestaties van deze advertenties, aanbiedingen en inhoud, evenals uw interactie met hen. Wij kunnen u ook inhoud aanbevelen op basis van informatie, die wij over u hebben verzameld en uw kijkgedrag. Dit vormt 'profilering' en hierover wordt meer informatie gegeven in Sectie 8 van dit beleid.

  7. Internationale overdrachten

    Sommige entiteiten in de Merlin Group, met wie wij uw gegevens delen en onze serviceproviders, die toegang hebben tot uw persoonlijke gegevens, bevinden zich buiten de Europese Unie. Wij kunnen uw persoonlijke gegevens ook delen in het buitenland, bijvoorbeeld als wij een wettelijk of regelgevend verzoek ontvangen van een buitenlandse wetshandhavingsinstantie. Wij zullen altijd stappen ondernemen om ervoor te zorgen, dat elke internationale overdracht van informatie zorgvuldig wordt beheerd om uw rechten en belangen te beschermen, in het bijzonder zullen wij ofwel:

    • uw persoonlijke gegevens alleen overdragen aan landen, waarvan wordt erkend dat zij een passend niveau van rechtsbescherming bieden overeenkomstig artikel 45 van de AVG; of
    • ervoor te zorgen dat overdrachten buiten de Europese Unie onderworpen zijn aan een passende wettelijke bescherming - bijvoorbeeld de EU Modelclausules overeenkomstig artikel 46, lid 2 van de AVG en/of het EU - U.S. Privacy Shield voor de bescherming van persoonsgegevens die worden overgedragen aan de VS (voor meer informatie, zie https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/eu-us-privacy-shield_en).
    • u hebt het recht om ons om meer informatie te vragen over de veiligheidsmaatregelen, die wij hebben ingesteld zoals hierboven vermeld. Neem contact met ons op zoals uiteengezet in Sectie 11, als u meer informatie wilt of een kopie wilt aanvragen waarin de beveiliging is gedocumenteerd (die kan worden gewijzigd om de vertrouwelijkheid te waarborgen).

  8. Profilering

    'Geautomatiseerde besluitvorming' verwijst naar een beslissing die alleen wordt genomen door de geautomatiseerde verwerking van uw persoonlijke gegevens - dit betekent verwerking met behulp van bijvoorbeeld softwarecode of een algoritme, dat geen menselijke tussenkomst vereist. Wij voeren geen geautomatiseerde besluitvorming uit, maar wij voeren wel profilering uit met geautomatiseerde verwerking om marketingmateriaal voor een specifieke klant op maat te maken.

    Als we toestemming hebben om marketingupdates aan een consument te verzenden, kunnen we profilering gebruiken om ervoor te zorgen dat de marketingmaterialen zijn afgestemd op uw voorkeuren en op wat wij denken dat u interesseert. In bepaalde omstandigheden kan het mogelijk zijn speciale categorieën van persoonlijke gegevens over u af te leiden uit het resultaat van de profilering, die speciale categorieën van persoonlijke gegevens kunnen omvatten, maar we zullen dit niet doen, tenzij we uw uitdrukkelijke toestemming hebben verkregen om dit te doen.

  9. Hoe lang bewaren wij uw persoonlijke gegevens?

    Wij zullen uw persoonlijke gegevens zo lang bewaren als redelijkerwijs noodzakelijk is voor de doeleinden die worden vermeld in Sectie 4 van dit beleid. Met name wanneer er geen interactie van een consument (bijvoorbeeld een aankoop, e-mail geopend, nieuwsbrief aanmelden) is geweest, zal er een register worden gearchiveerd na 1 jaar en verwijderd na 3 jaar.

    Wanneer wij verplicht zijn dit te doen om te voldoen aan wettelijke, reglementaire, fiscale of boekhoudkundige vereisten, zullen wij uw persoonlijke gegevens gedurende langere tijd bewaren, maar alleen wanneer dit is toegestaan, waaronder zodat wij een accurate registratie hebben van uw transacties met ons in het geval van klachten of uitdagingen, of als wij redelijkerwijs geloven dat er een mogelijkheid is om juridische stappen te ondernemen met betrekking tot uw persoonlijke gegevens of transacties.

    Wij handhaven een beleid voor het bewaren van gegevens, dat wij toepassen op de registers die wij beheren. Als uw persoonlijke gegevens niet langer vereist zijn, en wij geen wettelijke vereiste hebben om deze te bewaren, zullen wij ervoor zorgen dat deze op veilige wijze wordt verwijderd of bewaard op een manier die geanonimiseerd is, en de persoonlijke gegevens zal niet langer door het bedrijf worden gebruikt.

  10. Wat zijn uw rechten?

    U hebt een aantal rechten met betrekking tot uw persoonlijke gegevens. Samenvattend heeft u het recht om te verzoeken: toegang tot uw gegevens; rectificatie van fouten in onze bestanden; het wissen van register die niet meer nodig zijn; beperking van de verwerking van uw gegevens; bezwaar tegen de verwerking van uw gegevens; gegevensoverdracht; en diverse informatie met betrekking tot geautomatiseerde besluitvorming en profilering of de basis voor internationale overdrachten. U hebt ook het recht om een klacht in te dienen bij uw toezichthoudende autoriteit (nadere details worden hieronder uiteengezet in Sectie 11). Deze worden als volgt in meer detail gedefinieerd:

    RECHT

    WAT DIT BETEKENT

    Toegang

    U kunt ons vragen om:

    ·   te bevestigen of wij uw persoonlijke gegevens verwerken;

    ·   u een kopie van deze gegevens te geven;

    ·   u voorzien van andere informatie over uw persoonlijke gegevens, zoals welke gegevens wij hebben, waarvoor wij deze gebruiken, aan wie wij deze bekendmaken, of wij deze naar het buitenland overdragen en hoe wij deze beschermen, hoe lang wij deze bewaren, welke rechten u hebt, hoe u een klacht kunt indienen, waar wij uw gegevens vandaan hebben en of wij geautomatiseerde besluitvorming of profilering hebben uitgevoerd, voor zover deze informatie u nog niet eerder in dit beleid is verstrekt.

    Rectificatie

    U kunt ons vragen om onjuiste persoonlijke gegevens te corrigeren. Wij kunnen proberen de juistheid van de gegevens te verifiëren, voordat deze wordt gecorrigeerd.

    Wissen / recht om te worden vergeten

    U kunt ons vragen om uw persoonlijke gegevens te wissen, maar alleen als:

    ·      ze niet langer nodig zijn voor de doeleinden waarvoor ze zijn verzameld; of
    ·      u uw toestemming hebt ingetrokken (waarbij de gegevensverwerking op toestemming was gebaseerd); of
    ·      het een succesvol recht volgt om bezwaar aan te tekenen (zie 'Bezwaar' hieronder); of

    ·      ze onrechtmatig zijn verwerkt; of

    ·      het noodzakelijk is om te voldoen aan een wettelijke verplichting waaraan Merlin onderhevig is.

    Wij zijn niet verplicht om te voldoen aan uw verzoek om uw persoonlijke gegevens te wissen, als de verwerking van uw persoonlijke gegevens noodzakelijk is: om te voldoen aan een wettelijke verplichting; of voor het vaststellen, uitoefenen of verdedigen van juridische claims, met betrekking tot de vrijheid van meningsuiting of voor archiveringsdoeleinden in het algemeen belang, wetenschappelijke of historische onderzoeksdoeleinden of statistische doeleinden. Houd in de context van marketing rekening met het volgende: wij houden een suppressielijst bij als u niet langer marketingmateriaal wenst te ontvangen, om ervoor te zorgen dat u geen verdere berichten ontvangt.

    Beperking

    U kunt ons vragen uw persoonlijke gegevens te beperken (dat wil zeggen bewaren, maar niet gebruiken), maar alleen als:

    ·      de juistheid ervan wordt betwist (zie 'Rectificatie' hieronder), om ons in staat te stellen de juistheid ervan te verifiëren; of
    ·      de verwerking onwettig is, maar u wilt niet dat deze wordt gewist; of
    ·      ze niet langer nodig zijn voor de doeleinden waarvoor ze werden verzameld, maar wij hebben ze nog steeds nodig voor het vaststellen, uitoefenen of verdedigen van juridische claims; of

    ·      u gebruik hebt gemaakt van het recht om bezwaar aan te tekenen en de verificatie van dwingende redenen in behandeling is.

    Wij kunnen uw persoonlijke gegevens blijven gebruiken na een verzoek om beperking, waarbij:

    ·      wij uw toestemming hebben; of
    ·      om juridische claims vast te stellen, uit te oefenen of te verdedigen; of
    ·      om de rechten van een andere natuurlijke of rechtspersoon te beschermen.

    Overdraagbaarheid

    U kunt ons vragen uw persoonlijke gegevens aan u te verstrekken in een gestructureerd, veelgebruikt, machinaal leesbaar formaat, of u kunt vragen om deze 'overgedragen' te hebben naar een andere gegevenscontroller, maar in elk geval alleen als: de verwerking is gebaseerd op uw toestemming of de uitvoering van een contract met u; en de verwerking wordt uitgevoerd door geautomatiseerde middelen.

    Bezwaar

     

    U kunt bezwaar maken tegen elke verwerking van uw persoonlijke gegevens met onze 'legitieme belangen' als rechtsgrondslag (zie Bijlage 2 voor meer informatie), als u denkt dat uw fundamentele rechten en vrijheden opwegen tegen onze legitieme belangen. Zodra u bezwaar hebt gemaakt, hebben wij de mogelijkheid om aan te tonen, dat wij dwingende legitieme belangen hebben die uw rechten opheffen, maar dit is niet van toepassing voor zover de bezwaren betrekking hebben op het gebruik van persoonsgegevens voor direct marketingdoeleinden.

    Om uw rechten uit te oefenen, kunt u contact met ons opnemen zoals uiteengezet in Sectie 11. Let op het volgende als u van deze rechten gebruik wilt maken:

    • Wij nemen de vertrouwelijkheid van alle bestanden met persoonlijke gegevens serieus en behouden ons het recht voor om u om een bewijs van uw identiteit te vragen, als u een verzoek indient.
    • K Wij vragen geen vergoeding om uw rechten met betrekking tot uw persoonlijke gegevens uit te oefenen, tenzij uw verzoek om toegang tot informatie ongegrond, repetitief of overdreven is, in welk geval wij een redelijk bedrag in rekening zullen brengen in de gegeven omstandigheden.
    • Wij streven ernaar om binnen een maand op geldige verzoeken te reageren, tenzij het bijzonder gecompliceerd is of als u verschillende verzoeken hebt gedaan, in welk geval wij ernaar streven om binnen drie maanden te reageren. Wij laten u weten of wij meer dan een maand nodig hebben. Wij kunnen u vragen of u ons kunt helpen door ons te vertellen, wat u precies wilt ontvangen of waar u zich zorgen over maakt. Dit zal ons helpen om uw verzoek sneller uit te voeren.
    • Lokale wetten, waaronder in het VK, voorzien in aanvullende vrijstellingen, met name van het recht op toegang, waarbij persoonlijke gegevens onder bepaalde omstandigheden aan u kunnen worden onthouden, bijvoorbeeld wanneer deze onder het wettelijk voorrecht vallen.

  11. Contact en klachten

    Het primaire contactpunt voor alle kwesties die voortvloeien uit dit Beleid, inclusief verzoeken om rechten van betrokkenen uit te oefenen, is onze functionaris voor gegevensbescherming. De functionaris voor gegevensbescherming kan op de volgende manieren worden gecontacteerd:

    Data.Protection@merlinentertainments.biz

    Als u een klacht of bezorgdheid heeft over de manier, waarop wij uw persoonlijke gegevens gebruiken, neemt u in eerste instantie contact met ons op en proberen wij het probleem zo snel mogelijk op te lossen. U hebt ook het recht om op elk gewenst moment een klacht in te dienen bij uw nationale toezichthoudende autoriteit voor gegevensbescherming. In het VK is de toezichthoudende autoriteit voor gegevensbescherming de ICO (Autoriteit Persoonsgegevens/DPA)   (https://ico.org.uk/). Wij vragen u eerst om problemen met ons op te lossen, hoewel u het recht hebt om op elk gewenst moment contact op te nemen met uw toezichthoudende autoriteit.


    BIJLAGE 1 - RECHTSGRONDSLAG VOOR VERWERKING

    Activiteit

    Aard van de verzamelde informatie

    De basis waarop wij de informatie gebruiken

    Consumer

    Het opzetten van een register in onze CRM-systemen

    ·      Contactgegevens en overeenkomstdetails

    ·      Het uitvoeren van een contract

    ·      Legitieme belangen (om ervoor te zorgen dat wij een accurate registratie hebben van alle consumenten waarmee wij communiceren)

    Voor klantenzorg en ondersteuning zorgen

    ·      Contactgegevens, overeenkomstdetails en toestelgegevens

    ·      Het uitvoeren van een contract

     

    Marketing

    ·      Contactgegevens, Marketingvoorkeuren

    ·      Legitieme belangen (om informatie over Merlin te verstrekken die van belang kan zijn, om doelgroepssegmenten te creëren met het doel om gerichte marketing uit te voeren, om gegevens te verrijken, die wij gebruiken om marketingcontent op een betere, meer persoonlijke manier aan u te leveren)

    ·      Opt-in (indien vereist volgens de privacy- en elektronische communicatieregelgeving)

    Voldoen aan wettelijke en reglementaire verplichtingen

    ·      Contactgegevens en overeenkomstdetails

    ·      Wettelijke verplichting

      

    BIJLAGE 2 - WOORDENLIJST

     

    Consument: een persoon die kaartjes gaat kopen, wie heeft of wie deze aan het kopen is voor een attractie, of goederen of diensten van Merlin, of die deelneemt aan een prijsverloting/concurrentie of Merlin ervaring.

    Gegevensbeheerder: een natuurlijke of rechtspersoon die de middelen en doeleinden van de verwerking van persoonsgegevens bepaalt.

    Gegevenssubject: een persoon over wie de persoonlijke gegevens gaan.

    EEA: de Europese Economische Ruimte.

    GDPR (AVG): de Algemene Verordening Gegevensbescherming, die op 25 mei 2018 in werking treedt en in de plaats komt van de vorige Richtlijn 95/46/EG betreffende gegevensbescherming.

    ICO (DPA): het Information Commissioner’s Office regelt de verwerking van persoonsgegevens door alle organisaties in het VK.

    Legitieme belangen: dit is een grond die door organisaties kan worden gebruikt als een wettelijke grondslag voor verwerking, bijvoorbeeld waar persoonlijke gegevens worden gebruikt op een manier die redelijkerwijs kan worden verwacht, of er een dwingende reden voor de verwerking.

    Lidstaten: de landen die deel uitmaken van de Europese Unie.

    Privacyschild: een kader dat is aangenomen om de rechten te beschermen van personen wiens gegevens zijn overgedragen aan de VS.

    Profilering: uw persoonlijke gegevens te analyseren om uw gedrag te evalueren of om dingen over u te voorspellen, die relevant zijn in een amusement context, zoals hoe waarschijnlijk het is dat u een bepaald evenement bijwoont, dat wij hosten.

    Speciale gegevenscategorieën: alle persoonlijke gegevens met betrekking tot uw gezondheid, genetische of biometrische gegevens, strafrechtelijke veroordelingen, seksleven, seksuele geaardheid, raciale of etnische afkomst, politieke opvattingen, religieuze of filosofische overtuigingen, vakbondslidmaatschap.

    Serviceproviders: dit zijn een reeks externe partijen aan wie wij bepaalde functies van onze onderneming uitbesteden. Wij hebben bijvoorbeeld serviceproviders die 'Cloud-gebaseerde' IT-toepassingen of systemen leveren/ondersteunen, wat betekent dat uw persoonlijke gegevens op hun servers worden gehost, maar onder onze controle en instructie. Wij eisen van al onze serviceproviders, dat ze de vertrouwelijkheid en veiligheid van persoonlijke gegevens respecteren.