Persondatapolitik for behandling af gæste-, kunde- og leverandøroplysninger ved Hotel Maritime (Den-Furn International Ltd. ApS)

Transkript

1 Persondatapolitik for behandling af gæste-, kunde- og leverandøroplysninger ved Hotel Maritime (Den-Furn International Ltd. ApS) 1. Dataansvarlig Den-Furn International Ltd. ApS, binavn Hotel Maritime ApS er dataansvarlig. Virksomhedens kontaktoplysninger er Den-Furn International Ltd. ApS, binavn Hotel Maritime ApS (herefter DFI) CVR-nr Peder Skrams Gade København K Telefon (+45) E-post: hotel@maritime.dk Kontaktperson: Svend Hansen. DFI håndterer alle personlige oplysninger i overensstemmelse med gældende persondatalovgivning. DFI indgår aftaler med gæster, kunder og leverandører om levering køb og salg af forskellige serviceydelser og produkter. Når en gæst eller kunde køber en eller flere af DFI s serviceydelser, og som led heri afgiver sine personoplysninger til DFI, giver denne samtidig sit samtykke til, at gæstens/kundens personoplysninger kan behandles af DFI. Det samme gør sig gældende for så vidt angår de eventuelle personoplysninger, som leverandører til DFI måtte afgive i forbindelse med afgivelse af tilbud eller indgåelse af aftaler med DFI. 2. DFI s indsamling af personoplysninger Personoplysninger indsamles af virksomheden på følgende vis: Når en gæst/kunde eller en repræsentant for denne vælger at indhente tilbud på og/eller købe en af DFI s serviceydelser, eller når en leverandør afgiver tilbud eller sælger produkter/serviceydelser til DFI. Fra B2B-marked Fra sociale medier samt offentlige registre Via video- og tv-overvågning i hotellets lobby, restaurant og gård Indsamling og behandling af personoplysninger jf. ovenstående vil altid ske i henhold til gældende persondatalovgivning. Videoovervågningens formål er at forebygge kriminalitet og at skabe tryghed for hotellets medarbejdere og gæster.

2 3. Oplysninger, som DFI indsamler DFI indsamler følgende personoplysninger: Hotelgæsters fulde navn, fødselsdato, nationalitet, faste bopæl og ankomstdato Betalingskortoplysninger, typisk som betaling af eller garanti for ophold Købshistorik for gæster/kunder, tilknyttede virksomheder og kontaktpersoner Oplysninger om leverandørers virksomheder samt oplysninger om relevante kontaktpersoner, herunder key accounts og bogholdere. En gæst/kunde eller leverandør kan frivilligt og efter eget valg give DFI yderligere personopysninger, som denne mener kan have betydning for DFI s betjening/servicering af gæsten/kunden eller leverandøren, eller som den pågældende mener bør gives af sikkerhedsmæssige hensyn. Det kan eksempelvis omhandle fødevarepræferencer, handicap, allergier eller andre helbreds- og medicinske oplysninger. Hvis en gæst/kunde eller leverandør frivilligt og efter eget valg vælger at afgive sådanne oplysninger, opfatter DFI dette som et samtykke til at kunne registrere og gemme disse følsomme oplysninger om den pågældende. Ud over de oplysninger, som DFI modtager direkte fra gæster/kunder eller leverandører, vil DFI i nogle tilfælde indhente eller behandle yderligere oplysninger, som DFI har modtaget af tredjeparter, for eksempel et rejsebureau, en anden formidler eller en kontaktperson i den virksomhed, hvor den registrerede er ansat. Hvor dette er tilfældet, er den pågældende tredjepart pligtig til at informere de pågældende gæster, kunder eller leverandører om DFI s vilkår og betingelser samt DFI s persondatapolitik. Det er også den pågældende tredjeparts ansvar at sikre, at der er det fornødne juridiske grundlag til indsamling og behandling af de pågældende oplysninger, herunder at indhente evt. fornødent samtykke til behandling af eventuelle følsomme oplysninger. 4. Betaling med betalingskort DFI anvender DIBS ( ved Nets Denmark A/S til indløsning af betalinger med betalings- og kreditkort. DIBS og DFI er godkendt og certificeret af Pengeinstitutternes Betalingssystem ( Ved bestillinger og bookinger gemmer DFI de oplysninger, som gæsten/kunden eller leverandøren har givet, i 5 år fra udgangen af det regnskabsår, materialet vedrører, jævnfør bestemmelserne i regnskabslovens kapitel 5. Herefter slettes oplysningerne. Ud over håndteringen af bestillingen bliver de afgivne betalingskortoplysninger alene brugt, hvis en gæst/kunde/leverandør for eksempel henvender sig med spørgsmål, eller hvis der er fejl i bestillingen.

3 5. Hvad er formålet med indsamlingen og behandlingen? DFI indsamler alene personoplysninger, som er nødvendige for at opfylde de aftaler, der indgås med gæster/kunder/leverandører om levering af produkter og serviceydelser, for eksempel et hotelophold eller køb/salg af produkter eller ydelser. Det er den enkelte aftales indhold eller serviceydelsens karakter, som er bestemmende for, hvilke personoplysninger DFI indsamler og behandler, og som er bestemmende for formålet med indsamlingen. Formålet med indsamling og behandling af personoplysninger vil primært være: Behandling af gæsters/kunders booking og køb af DFI s serviceydelser Behandling af leverandørers tilbud om og salg af produkter og tjenesteydelser Kontakt til kunden før, under eller efter dennes ophold Opfyldelse af gæstens/kundens anmodning om tilbud på eller køb af serviceydelser Forbedring og udvikling af DFI s serviceydelser Administration af gæsters/kunders/leverandørers relation til DFI Opfyldelse af lovkrav, for eksempel krav om at registrere overnattende gæster efter udlændingelovgivningen. 6. Hjemmel (det juridiske grundlag) for behandlingen DFI vil oftest behandle personoplysninger, fordi det er nødvendigt for at opfylde en aftale med DFI, som en gæst, kunde eller leverandør er part i. Det kan for eksempel være i forbindelse med hotelophold, mødeafvikling og/eller håndtering og opfyldelse af samarbejds- og leverandøraftaler. DFI vil herudover behandle personoplysninger i forbindelse med bookingarbejdet forud for et hotelophold, afvikling af mødearrangementer, selskaber, konferencer og lignende samt forud for indgåelse af leverandøraftaler. Hvis en gæst/kunde i forbindelse med sit ophold hos DFI oplyser særlige personlige præferencer eller hensyn, herunder for eksempel helbredsmæssige oplysninger, handicap, regligiøst betingede spisevaner eller lignende, anvender DFI alene oplysningerne for at sikre, at der tages hensyn til gæstens særlige behov. I nogle situationer modtager DFI personoplysninger fra tredjepart, for eksempel fra en agent, et rejsebureau eller lignende, blandt anden i forbindelse med gruppebookinger. Når dette sker, er den pågældende tredjepart pålagt at orientere de pågældende gæster/kunder eller leverandører om DFI s vilkår og betingelser samt indholdet af DFI s persondatapolitik. DFI er yderligere efter lov, jf. ovenfor under punkt 5, forpligtet til at registrere forskellige oplysninger om overnattende gæster. Disse oplysninger gemmes i mindst ét år og højst to år.

4 7. Den registreredes rettigheder Efter reglerne i persondataforordningen har de registrerede kunder/gæster/leverandører forskellige rettigheder. En registreret har til enhver tid ret til at få indsigt i, hvilke personoplysninger DFI behandler om den registrerede. En registreret har til enhver tid ret til at få berigtiget og opdateret de personoplysninger, som DFI har om den registrerede. En registreret har til enhver tid ret til at få slettet de personoplysninger, som DFI har om den registrerede. Hvis en registreret anmoder om sletning, slettes alle de oplysninger, som DFI ikke ifølge lovgivning er forpligtet til at skulle gemme. En sletning af den registreredes oplysninger kan i nogle tilfælde betyde, at DFI ikke kan opfylde evt. indgåede aftaler eller levere visse serviceydelser til den registrerede. Hvis nogle af de oplysninger, som DFI har om den registrerede er givet på baggrund af den registreredes samtykke, har denne til enhver tid ret til at trække samtykket tilbage, hvilket betyder, at oplysningerne slettes og ikke længere anvendes. Dette gælder ikke for oplysninger, jf. punkt 5 ovenfor, som DFI lovmæssigt er forpligtet til at gemme. Muligheden for at anmode om sletning m.v. kan dog være begrænset af hensyn til beskyttelsen af andre personers privatliv, til forretningshemmeligheder og immaterielle rettigheder samt for eksempel af hensyn til muligheden for at håndhæve potentielle retskrav. Den registrede kan til hver en tid skriftligt bede DFI om at få en oversigt over og en kopi af de personoplysninger om den registrerede, som DFI er i besiddelse af. En skriftlig anmodning herom skal underskrives af den registrerede og indeholde dennes navn, adresse, telefonnummer og adresse. Den registrerede kan også kontakte DFI, hvis den registrerede mener, at dennes persondata bliver behandlet i strid med lovgivningen eller i strid med andre retlige forpligtelser, for eksempel den kontrakt, som den registrerede har med DFI. Skriftlig anmodning sendes til DFI, se kontaktoplysninger ovenfor under punkt 1. DFI vil så vidt muligt inden for én måned efter modtagelsen af den registreredes skriftlige anmodning sende svar til den registreredes postadresse. Hvis den registrerede beder om rettelse og/eller sletning af sine personoplysninger, vil DFI vurdere, om betingelserne for anmodningen er opfyldt, og DFI vil i så fald gennemføre ændringer eller sletning så hurtigt som muligt. DFI tager forbehold for at afvise anmodninger, som har karakter af chikanøs gentagelse eller som kræver uforholdsmæssige tekniske foranstaltninger (for eksempel udvikling af en nyt IT-

5 system), eller som påvirker beskyttelsen af andre registreredes personoplysninger, eller i andre situationer, hvor det vil være uforholdsmæssigt ressourcekrævende eller meget kompliceret at imødekomme anmodningen. 8. Sikkerhed og deling af personoplysninger DFI beskytter den registreredes personoplysninger og har fastlagt retningslinjer, der beskytter den registreredes personoplysninger mod, at der sker uautoriseret offentliggørelse og mod, at uvedkommende får adgang eller kendskab til oplysningerne. Kun de personer/ansatte hos DFI, der i kraft af deres jobfunktion har behov for de registreredes personoplysninger har adgang hertil. DFI kontrollerer løbende, at der ikke sker uautoriseret adgang til de registreredes personoplysninger. DFI tager løbende backup af de registrerede personoplysninger. I tilfælde af et sikkerhedsbrud, hvor der en høj risiko for misbrug af de registreredes personoplysninger, herunder for eksempel identitetstyveri, økonomisk tab, tab af omdømme eller anden form for misbrug, vil DFI underrette de registrerede om sikkerhedsbruddet så hurtigt som muligt. DFI s sikkerhedsprocedurer bliver løbende revurderet og opdateret i forhold til den teknologiske udvikling. DFI benytter sig af en række eksterne leverandører af IT-services, IT-systemer, betalingsløsninger og lignende. DFI indgår løbende databehandlingsaftaler med alle DFI s leverandører, hvorved det også i forhold til eksterne databehandlere sikres, at disse opretholder et fornødent og højt beskyttelsesniveau for så vidt angår de registreredes personoplysninger. DFI er i nogle tilfælde lovmæssigt forpligtet til at til at videregive personoplysninger som følge af en offentlig myndigheds afgørelse. DFI sletter personoplysninger, når DFI s lovmæssige forpligtelse ophører, eller når formålet med at indsamle og behandle oplysningerne ikke længere er til stede. 9. Klage Klage over DFI s behandling af personoplysninger kan ske til Datatilsynet, Borgergade 28, 1300 København K, telefon , e-post: dt@datatilsynet.dk. Version: 30 APR 2018