Hoppa till innehåll

Reed & Mackay INTEGRITETSPOLICY

Reed & Mackay respekterar rätten till integritet och arbetar för att skydda de uppgifter vi hanterar som kan identifiera dig (”personuppgifter”). Denna integritetspolicy beskriver syftet med vår behandling av personuppgifter, hur vi skyddar dina personuppgifter när de behandlas på vår webbplats eller i våra tekniska lösningar och tjänster samt de rättigheter du har gällande dina personuppgifter.

1. VIKTIG INFORMATION OCH VEM VI ÄR

Reed & Mackay (”R&M” och/eller ”vi”) är ett rese- och eventföretag som levererar företagsresor och event/konferenser (”tjänster”) till organisationer och företag. När vi anlitas av er organisation, som då är R&M:s kund (”kund”), för att tillhandahålla sådana tjänster kommer vi att behandla personuppgifter som vi får av och på uppdrag av vår kund, för att underlätta leverans av överenskomna tjänster. En sådan relation regleras av ett skriftligt avtal mellan R&M och vår kund. Avtalet utgör grunden för vår behandling av personuppgifter. I dessa fall är kunden personuppgiftsansvarig och R&M agerar som personuppgiftsbiträde på kundens uppdrag. Vi behandlar uppgifter för att kunna leverera de tjänster våra kunder vill ha.

Sådana tjänster görs tillgängliga mot bakgrund av en överenskommelse mellan vår kund och R&M, där vi har rollen som ombud. Det betyder att vi måste överföra personuppgifter till leverantörer av resetjänster (enligt definition nedan). Den aktuella leverantören av resetjänster agerar som personuppgiftsansvarig och har direkt ansvar för säkerheten för de personuppgifter de mottar samt för att följa gällande lagar. R&M är inte ansvariga för tjänsteleverantörernas handlingar eller underlåtenhet.

Det finns särskilda omständigheter där R&M är personuppgiftsansvarig. Det gäller när R&M agerar i sin roll som arbetsgivare och ibland gällande kundkommunikation, marknadsföring och förbättring av tjänster (se mer information nedan).

2.DE UPPGIFTER VI BEHANDLAR

Vi behandlar personuppgifter på uppdrag av våra kunder och behöver skicka personuppgifter till leverantörer av resetjänster, för att leverera resetjänster. Nedan visas en lista över alla typer av uppgifter vi kan behöva samla in, beroende på era behov av resetjänster:

  1. Titel, förnamn, efternamn, fakturaadress, leveransadress, epostadress och telefonnummer
  1. Bankkonto och betalningsuppgifter.
  2. Uppgifter om bokning av resor och event, produkter och tjänster som köpts
  3. Destinationer, platser och resplan för resor eller event.
  1. IP-adress, inloggningsuppgifter, typ och version av webbläsare, inställd tidszon och plats, typ av webbläsartillägg (plug-in) och versioner, operativsystem och plattform samt annan teknisk information för de enheter som används för att komma åt denna webbplats.
  2. Cookies.
  3. Information om hur webbplatsen, produkterna och tjänsterna används.
  1. Identitet – titel, förnamn, mellannamn, efternamn, kön, födelsedatum och -plats, bosättningsland, nationalitet,
    civilstånd.
  2. Passuppgifter – land, utfärdandeland, passnummer förnamn, mellannamn, efternamn, passets utfärdandedatum och
    utgångsdatum, biometriskt pass (J/N).
  3. Visa (inkl. ESTA, Redress, Schengen, arbetstillstånd, Global Entry) – land, utfärdandeland, typ av visa, dokumentnummer, visats utfärdandedatum och utgångsdatum.
  4. TSA – TSA-nummer, startdatum och utgångsdatum.
  5. Körkort – land, körkortsnummer, förnamn, mellannamn, efternamn, utfärdandedatum, utgångsdatum, provisoriskt (J/N), internationellt (J/N).
  6. ID-kort – land, kortnummer, förnamn, mellannamn, efternamn, utfärdandedatum, utgångsdatum.
  7. Resepreferenser (inkl. flyg, bil, tåg, Eurostar, hotell, tillgänglighetskrav vid resa) – typ av säte, sätets plats, måltidspreferenser, hemmaflygplats, preferenser för incheckning online, typ av växellåda, drivmedel/luftkonditionering, GPS (J/N), bussnummer, rumstyp, rökare/ej rökare.
  8. Vaccinationsuppgifter om tillämpligt för bokningar.
  9. Medlemskap/lojalitetskort – servicetyp, leverantör, medlemsnummer, utgångsdatum, status, nivå.
  10. Betalkortsuppgifter.
  1. Preferenser för kommunikation från oss och våra externa parter, feedback och enkätsvar.

Vi kan också samla in, använda och dela aggregerade uppgifter som statistiska och demografiska data. Aggregerade uppgifter kan komma från personuppgifter men anonymiseras permanent och kan inte direkt eller indirekt avslöja din identitet. Vi kan till exempel aggregera reseuppgifter för våra rapporter till företagsledningen.

HUR VI SAMLAR IN PERSONUPPGIFTER

Vi använder olika metoder för att samla in uppgifter. Dessa inkluderar:

Du eller din organisation kan dela ovan nämnda personuppgifter med oss genom att:

  1. skicka HR-uppgifter
  2. kommunicera med oss via e-post, telefon, brev eller på annat sätt
  3. i samband med användning av vår bokningstjänst online.

Vi behandlar dessa uppgifter på uppdrag av er organisation i rollen som personuppgiftsbiträde.

Vid kontakt med våra webbplatser samlar vi automatiskt in tekniska och användaruppgifter som gäller utrustning, agerande på webbplatsen och mönster. Vi samlar in dessa personuppgifter genom att använda cookies och liknande teknik. Se vår cookiepolicy för mer information.

Vi får uppgifter om kundorganisationer från olika externa parter, till exempel analysuppgifter från Google och Pardot samt från offentliga källor.

3. HUR VI ANVÄNDER PERSONUPPGIFTER

R&M använder endast personuppgifter i den mån det är nödvändigt för att tillhandahålla rese- och eventtjänster och relaterad service till våra kunder. Personuppgiftsbehandlingen regleras av ett skriftligt avtal mellan oss och våra kunder. Vi behandlar dessutom personuppgifter endast under följande förhållanden och för specifika syften:

  • Då det är nödvändigt för våra berättigade intressen och personliga intressen och grundläggande fri- och rättigheter inte väger tyngre. Syftet är att förbättra våra tjänster och hanteringen av våra kundrelationer.
  • Då vi måste uppfylla juridiska eller regelmässiga krav.

Resenärer eller eventdeltagare kan också behöva ge oss deras personuppgifter direkt i samband med en aktivitet. Vi förlitar oss på att den personuppgiftsansvarige kan garantera att de uppgifter vi får är korrekta och aktuella.

SYFTEN FÖR VÅR ANVÄNDNING AV PERSONUPPGIFTER

I vår roll som personuppgiftsbiträde för våra kunder för att tillhandahålla rese- och eventtjänster.

SYFTE/AKTIVITET

För att registrera nya resenärer eller eventdeltagare och skapa nödvändiga profiler.

TYP AV UPPGIFT

a) kontakt
b) resenärens profil

JURIDISK GRUND FÖR BEHANDLING

Detta behövs för att tillhandahålla rese- event- och relaterade tjänster till vår kund. Detta regleras av instruktioner i skriftliga avtal mellan R&M i rollen som personuppgiftsbiträde.

För att hantera och leverera resor och event:
a) hantera bokningar, återbetalningar, betalningar, avgifter och kostnader
b) samla in och få återbetalning av medel som någon part är skyldig oss.

a) resenärens profil
b) kontakt
c) finansiella och transaktionsrelaterade.

Detta behövs för att tillhandahålla rese- event- och relaterade tjänster till vår kund. Detta regleras av instruktioner i skriftliga avtal mellan R&M i rollen som personuppgiftsbiträde.

För att hantera vår kundrelation,
inklusive:
a) meddelanden om ändringar, exempelvis av våra villkor, produkter och tjänster, integritetspolicy med mera
b) förfrågan om utvärderingar eller delta i enkäter.

a) finansiella och transaktionsrelaterade
b) kontakt
c) resenärens profil
d) kommunikation

Detta behövs för att tillhandahålla rese- event- och relaterade tjänster till vår kund. Detta regleras av instruktioner i skriftliga avtal mellan R&M i rollen som personuppgiftsbiträde.

I vår roll som personuppgiftsansvarig

För att administrera, skydda och
förbättra vår verksamhet och den här webbplatsen (inklusive felsökning, dataanalys, testarbete, systemunderhåll, support, rapportering och hosting av data).

a) kontakt
b) tekniska- och användarrelaterade.

Nödvändiga för våra berättigade intressen (definiera kundtyper för våra produkter och tjänster, hålla vår webbplats uppdaterad och aktuell och utveckla vår verksamhet).

För att leverera relevant innehåll
på vår webbplats och i vår kommunikation och mäta eller förstå hur effektiv vår kommunikation är.

a) kontakt
b) tekniska- och användarrelaterade
c) kommunikation

Nödvändiga för våra berättigade
intressen (att utvärdera hur kunder använder våra produkter/tjänster, utveckla dem, växa och förbättra vår
verksamhet och ge information till vår kommunikationsstrategi).

MARKNADSFÖRING – R&M delar marknadskommunikation med presumtiva kunder och kontakter men endast då de har valt att prenumerera på sådan kommunikation eller då vi har ett berättigat intresse att behandla uppgifterna.

AVSTÅ FRÅN KOMMUNIKATION – R&M förlitar sig inte på medgivande som juridisk grund för behandling av personuppgifter annat än då det gäller marknadsföring till presumtiva kunder eller kontakter. Om du vill avsluta din prenumeration, eller be oss eller någon av våra externa samarbetspartner, att sluta skicka dig meddelanden kan du när som helst kontakta oss på marketing@reedmackay.com eller skriva till oss på följande adress:

Marketing Department
Nexus Place
25 Farringdon Street
London EC4A 4AF
Storbritannien

Observera att rätten att avsluta din prenumeration inte gäller för personuppgifter som vi har fått i samband med köp av en produkt/tjänst, intresseanmälan, garantiregistrering, produkt- /tjänsteupplevelse eller andra transaktioner.

COOKIES – Webbläsarinställningar kan blockera alla eller några (icke nödvändiga) webbläsarcookies, eller skicka meddelanden när webbplatser sparar eller får åtkomst till cookies. Om cookies stängs av eller blockeras bör du vara medveten om att delar av våra webbplatser eller vår teknik kan bli oåtkomlig eller sakna funktioner. Mer information om de cookies vi använder hittar du i vår cookiepolicy.

4. UTLÄMNING AV PERSONUPPGIFTER

Vi delar personuppgifter med de parter som anges nedan och endast i den utsträckning det är nödvändigt för att stödja våra syften som anges i tabellen i avsnitt 3 ovan.

Underleverantör är de externa leverantörer som vi har kontrakt med och som hjälper oss att leverera våra tjänster till er organisation. Dessa omfattar externa parter som samarbetar med oss för våra kundlösningar, som onlinebokning av resor och möten. Alla externa parter samarbetar med oss enligt vad som föreskrivs i artikel 28 i GDPR för att garantera att dina personuppgifter skyddas på samma nivå av våra underentreprenörer som av oss. De får endast använda personuppgifter för specifika, angivna syften.

Se nästa avsnitt, Internationella överföringar, för att förstå vilka regler vi följer vid överföring av dina personuppgifter internationellt. Detta gäller emellertid inte leverantörer av resetjänster.

För att se en lista av våra underentreprenörer ber vi dig kontakta privacy@reedmackay.com

Leverantörer av resetjänster är externa parter som levererar resetjänster direkt till er. R&M samarbetar med dem på dina vägnar som ombud för vår kund för att underlätta tillhandahållandet av våra tjänster. Tjänsteleverantörer kategoriseras enligt följande:

  • Parter som tillhandahåller resetjänster och som R&M gör bokningar hos på uppdrag av vår kund. Sådana parter inkluderar flygbolag, hotell, tåg och annan marktransport som våra kunder väljer att resa med.
  • Parter som underlättar eller behandlar bokningar av resetjänster (elektroniskt eller på annat sätt) som R&M gör på uppdrag av vår kund, inklusive bokningstjänster online eller andra externa programvaror och resebyråer.
  • Parter som behandlar ansökningar som hjälper eller förbättrar en kunds möjlighet att utnyttja tjänsterna, inklusive pass- och visakontor, valutaväxlare, reseinformationstjänster och andra liknande ombud.

Leverantörer av resetjänster agerar som oberoende personuppgiftsansvariga och har direkt ansvar inför er för behandling och säkerhet av dina personuppgifter och verkställa dina rättigheter. I dessa relationer agerar R&M alltid som personuppgiftsbiträde för våra kunders räkning. Vi är inte ansvariga för tjänsteleverantörernas handlingar eller underlåtenhet.

LÄNKAR TILL EXTERNA PARTER

Vår webbplats, eller användning av vår teknik eller våra tjänster kan innebära kontakt med länkar till externa webbplatser, tilläggsfunktioner (plug-in) och applikationer. Om du klickar på sådana länkar, eller ansluter till dem, kan det innebära att du tillåter att externa parter samlar in eller delar dina personuppgifter. Vi kontrollerar inte dessa externa parter och är inte ansvariga för hur de behandlar personuppgifter.

5. INTERNATIONELLA ÖVERFÖRINGAR

Som personuppgiftsbiträde för våra kunder och som tillhandahållare av globala tjänster, delar vi personuppgifter med de bolag som ingår i R&M:s koncern (en lista över dessa bolag fins nedan under Koncernbolag), med våra lokala rese-och eventpartner samt med externa underentreprenörer. Detta inkluderar överföring av personuppgifter utanför Storbritannien och Europeiska ekonomiska samarbetsområdet (EES).

Vi försäkrar att samma nivå av skydd gäller för alla personuppgifter genom att säkerställa att minst en av följande skyddsmekanismer finns på plats:

  • Vi överför endast personuppgifter till länder som av ICO (tillsynsmyndigheten i Storbritannien) eller EU-kommissionen bedöms ha tillräckligt starkt skydd av personuppgifter.
  • Om adekvat skyddsnivå saknas genomför vi åtgärder så att överföringen omfattas av EU:s standardavtalsklausuler eller Storbritanniens avtal för internationell överföring av uppgifter (eller tillägg därtill), tillsammans med ytterligare åtgärder efter behov för de underentreprenörer som sparar och behandlar uppgifter i USA och andra tredjeländer. Vi använder krypteringsverktyg enligt det nya Schrems II-beslutet.

6. DATASÄKERHET

R&M är del av en global verksamhet och våra kunders personuppgifter kommer att behandlas av våra internationella enheter som beskrivs i avsnitt 4 och 5 ovan. Vi lagrar däremot alla personuppgifter i Storbritannien och Europeiska ekonomiska samarbetsområdet (EES).

Vi har infört adekvata säkerhetsåtgärder för att förhindra oavsiktlig, otillåten eller olaglig åtkomst, förlust, ändring eller spridning av personuppgifter. Dessutom är åtkomsten till dina personuppgifter behovsprövad för medarbetare, ombud, entreprenörer och andra externa parter. De kan endast behandla personuppgifter enligt våra instruktioner och omfattas av tystnadsplikt.

Vi har processer som hanterar misstänkta personuppgiftsbrott och kommer att meddela våra kunder och relevanta tillsynsmyndigheter där lagen så kräver.

7. DATALAGRING

HUR LÄNGE BEHANDLAS PERSONUPPGIFTER? Vi sparar endast personuppgifter så länge som det är nödvändigt för det aktuella behandlingssyftet, inklusive syftet att uppfylla eventuella juridiska-, redovisningsmässiga- eller rapporteringskrav.

För att avgöra hur länge personuppgifter ska sparas tar vi hänsyn till uppgifternas storlek, typ och känslighet, risken för skada vid otillåten användning eller utlämning av personuppgifter samt syftet för vilket vi behandlar personuppgifterna.

När det gäller våra kunders personuppgifter i profiler och resebokningar/historik så sparas de så länge avtalet med kunden gäller, om inte annat anges från kundens organisation

Begäran att ta bort profiler kan göras som en del av regelbundet eller tillfälligt profilunderhåll från våra kunder eller så kan begäran skickas in på portalen eller via resebyråer som har åtkomst att radera profiler

Uppgifter till företagsledningen, som inkluderar uppgifter om resor (som resenärens namn men inte passuppgifter etc.), sparas i 5 år (på rullande basis) och oberoende av längden på kundavtalet (t.ex. sparas uppgifterna i fem år efter datumet för sista resan).

Även transaktionshistorik, som inkluderar reseuppgifter (som resenärens namn men inte passuppgifter etc.), sparas i minst 7 år i enlighet med lagkrav.

Personuppgifter som inte längre behövs raderas permanent från informationssystemen och eventuella utskrifter förstörs.

Enligt lag måste vi spara grundläggande information om våra kunder (som kontaktuppgifter och finans- och transaktionsdata) i 7 år efter att de upphör vara kunder hos oss, för skattesyfte.

I vissa fall kan vi anonymisera personuppgifter (så att de inte längre kan identifiera en person) för forsknings- eller statistikändamål. I dessa fall använder vi uppgifterna på obestämd tid utan vidare underrättelse.

8. JURIDISKA RÄTTIGHETER

Om du vill utöva någon av dina personliga rättigheter som registrerad kan du skicka in en begäran till privacy@reedmackay.com

Som personuppgiftsbiträde som agerar på uppdrag av våra kunder kan R&M endast verkställa begäran om att utöva personliga rättigheter efter instruktion från våra kunder. Vi måste kontrollera din begäran med din organisation och få deras tillåtelse att verkställa dessa rättigheter som personuppgiftsbiträde:

  • Begära tillgång till personuppgifter (kallas ”den registrerades rätt till tillgång”). Den registrerade kan få en kopia på sina personuppgifter och kontrollera att de behandlas lagenligt.
  • Begära rättelse av personuppgifter som vi har om en privatperson. Den registrerade kan begära rättelse av ofullständiga eller felaktiga uppgifter. Vi kan behöva bekräfta att de nya uppgifterna som vi har fått är korrekta innan en rättelse kan göras.
  • Begära radering av personuppgifter. Den registrerade kan be oss radera eller ta bort personuppgifter om det inte finns något giltigt skäl för oss att fortsätta behandla eller spara dem. Observera att vi kanske inte alltid kommer att kunna bevilja begäran om radering. Det kan bero på särskilda legala krav som vi i så fall meddelar den registrerade i
    samband med begäran.
  • Begära överföring av personuppgifter. Denna begäran kommer vanligtvis från bolagsnivå om din organisation ändrar sina tjänster. Vid kundens begäran tillhandahåller vi uppgifterna i strukturerat, allmänt använt och maskinläsbart format. Observera att detta endast gäller information i elektroniskt format som vi ursprungligen fick för att fullgöra
    ett avtal med din organisation.

Observera att kunder och privatpersoner kan uppdatera eller radera vissa personuppgifter i sina profiler via ett gränssnitt i vår kunds HR-system, genom direktåtkomst till sina profiler eller efter kontakt med en resebyrå eller ett ombud. Om detta inte är möjligt eller tillämpligt, eller om någon vill utöva någon av de övriga rättigheterna som anges ovan ber vi er kontakta oss på privacy@reedmackay.com. Då vi behandlar dina personuppgifter som personuppgiftsbiträde (som beskrivs i avsnitt 3 ovan) på uppdrag av vår kund, som är personuppgiftsansvarig, kommer vi att meddela den personuppgiftsansvarige om begäran och bistå dem i deras svar.

I vår roll som personuppgiftsansvarig för dina personuppgifter (som arbetsgivare, för särskilda kundmeddelanden och tjänsteförbättringar) kan vi hantera din begäran om att utöva dina rättigheter direkt. Förutom de rättigheter som anges ovan kan du också begära följande:

  • Invända mot behandling av personuppgifter i de fall vår aktivitet grundar sig på ett berättigat intresse (eller en extern parts berättigade intresse) och du anser att behandlingen påverkar dina grundläggande fri- och rättigheter. I vissa fall kan vi påvisa att vi har avgörande och berättigade skäl för behandlingen som i så fall väger tyngre än sådana fri- och rättigheter.
  • Begära begränsning av behandlingen av personuppgifter. Du kan be oss begränsa personuppgiftsbehandlingen i följande fall: (a) för att kontrollera personuppgifternas korrekthet, (b) om vår behandling är olaglig men du inte vill att vi ska radera dem, (c) om du vill att vi behåller personuppgifterna även om vi inte längre behöver dem om du måste kunna fastställa, göra gällande eller försvara rättsliga anspråk eller (d) du har invänt mot behandlingen men vi måste kontrollera huruvida våra berättigade skäl för behandling väger tyngre.
  • Ta tillbaka samtycke när som helst i de fall vi förlitar oss på samtycke för vår behandling av personuppgifter. Detta kommer dock inte att påverka lagligheten i behandling som har utförts före samtycket drogs tillbaka. Om samtycke tas tillbaka kanske vi inte längre kan tillhandahålla vissa tjänster. Om så är fallet meddelar vi det då samtycket dras tillbaka.

INGEN AVGIFT – Registrerade behöver inte betala någon avgift för att få åtkomst till sina personuppgifter (eller utöva några av rättigheterna). Men vi kan komma att ta ut en skälig avgift om begäran är återkommande eller orimlig. Vi kan också vägra att svara på begäran under sådana omständigheter.

VAD VI KAN BEHÖVA – Vi kanske behöver särskild information från den registrerade, arbetsgivaren eller resebeställaren för att kunna bekräfta personens identitet och deras rätt till tillgång (eller för att utöva någon av de andra rättigheterna). Detta är en säkerhetsåtgärd för att säkerställa att personuppgifter inte lämnas ut till någon som inte har rätt att se dem. Vi kan också be om ytterligare information för att kunna svara snabbare.

TIDSGRÄNS FÖR ATT SVARA – Vårt mål är att svara på alla förfrågningar inom en månad. Det kan ibland ta längre tid än en månad, om begäran är särskilt komplex eller om ett antal förfrågningar har inkommit. Om så är fallet meddelar vi avsändaren om detta och håller dem uppdaterade.

9. YTTERLIGARE INFORMATION

Vid frågor om hur vi behandlar personuppgifter ber vi er kontakta vårt dataskyddsombud på privacy@reedmackay.com. Vi hoppas vi kan besvara och lösa alla frågor och problem. Som privatperson har ni också rätt att när som helst skicka in eventuella klagomål till den lokala tillsynsmyndigheten. Nedan finns kontaktuppgifter till tillsynsmyndigheten i din region:

Information Commissioner’s Office (ICO)

+44 (0) 303 123 1113

Commission Nationale de l’Informatique et des Libertés (CNIL)

+33 (0) 1 53 73 22 22

Bundesbeauftragter für Datenschutz und Informationsfreiheit (BfDI)

+49 (0) 228 997799-0

Datatilsynet

+47 22 39 69 00

Agencia Española de Protección de Datos (AEPD)

+34 (0) 901 100 099

Integritetsskyddsmyndigheten (IMY)

+46 (0) 8 657 61 00

Office of the Australian Information Commissioner (OAIC)

+ 61 1300 363 992

California Privacy Protection Agency (CPPA)

+1 209 948 1911

Office of the Privacy Commissioner of Canada

+1 (819) 994 5444

Privacy Commissioner’s Office (PCO)

+64 9 302 8680

10. KONCERNBOLAG

Detta integritetsmeddelande gäller för alla Reed & Mackays koncernbolag enligt nedan:

25 Farringdon Street, London, EC4A 4AF, Storbritannien

Office GB08-10, Dubai Silicon Oasis HQ Building, Dubai Silicon Oasis, Dubai, PO Box 341411, UAE

Level 01, Incubator Building, Masdar City, Abu Dhabi, UAE

1900 Market Street, 8th Floor, Philadelphia, PA 19103, USA

Concierge House, 332 Kent Street, Sydney, NSW 2000, Australien

600 North Bridge Road #10-01 Parkview Square, Singapore 188778

63 Bis Avenue Ledru Rollin, 75012 Paris, Frankrike

Robert-Bosch Str 32, D-63303, Dreieich bei Frankfurt, Tyskland

34 Britain Street, Suite 200, Toronto, Ontario M5A 1R6, Kanada

414, 4th Floor, D-21 Corporate Park, Dwarka, New Delhi, 110075, Indien

BDO, L4, 4 Graham Street, Auckland Central, Auckland, 1010, Nya Zeeland

Carrer de Calvet, 55, Barcelona 8021, Spanien

Kruthusgatan 17, 411 04, Göteborg, Sverige

Postboks 39, 1720 Greáker, Norge