Welke impact heeft de AVG op de beheerders van recreatieparken?

Een Register aanmaken.
U moet de activiteiten van uw vestiging waarbij persoonsgegevens worden verzameld, opnemen in een Register van de verwerkingsactiviteiten. Dit Register moet voor elk type gegevensverwerking het volgende beschrijven:
1. Het doeleinde van de gegevensverzameling
2. Welke gegevens erwordenopgeslagen
3. Door wie
4. Met welke middelen
5. Voor welke duur
6. Wie er toegang toe heeft
Praktijkgeval: Ik voer het volgende in mijn AVG-REGISTER in:
• Naam van het proces/de verwerking: Boeking verjaardagsfeest
• Gegevensdoeleinden: De gegevens van de klanten en hetjarigekind registreren om een persoonlijke verjaardagsservice te kunnen bieden
• Verzamelde gegevens: Achternaam, voornaam, geboortedatum van het jarige kind, telefoonnummer en e-mailadres van de ouders
• Betrokken partijen of ontvanger van de gegevens: Het personeel aan het onthaal van de vestiging voor het invoeren van gegevens. Verwerker XYZ voor de opslag en archivering van de gegevens, communicatiebureau ABC voor het verzenden van e-mails
• Middelen & plaatsen & stromen: de gegevens worden opgeslagen via de software ABC, op de computer/server XYZ (of door de Verwerker XYZ); Back-up om de 7 dagen, op de externe schijf / server XYZ
• Duur: gegevens worden bewaard gedurende een periode van één jaar vanaf de datum waarop de gegevens zijn verzameld, en in elk geval gedurende 5 jaar in overeenstemming met de wettelijke voorschriften

Indien nodig moet u de beveiliging van uw gegevens versterken: elke actie bedoeld om gegevens te beschermen is goed. Versterk bijvoorbeeld uw wachtwoorden (vermijd 123456 of AZERTY), stel voor uw werknemers een charter op over het gebruik van IT-tools, zorg voor fysieke bescherming van de harde schijf waarop u de back-ups van uw computer opslaat, vraag uw websiteprovider om SSL-encryptie te gebruiken als uw klanten zich online registreren of online boeken, enz.
Vergeet niet om deze punten in te voeren in het AVG-register.

Uw verwerkers (die uw gegevens opslaan of beheren, zoals uw websiteprovider, webhost enz.) moeten ook conform zijn; uw contracten met hen of hun Algemene Verkoopvoorwaarden moeten bijgewerkt worden om ervoor te zorgen dat de AVG wordt nageleefd op elk niveau van de gegevensverwerking en – opslag. Indien dit niet het geval is, moet u hen een aanhangsel laten ondertekenen om hun nieuwe verplichtingen aan te duiden.

Via uw Algemene Verkoopvoorwaarden, bijvoorbeeld voor uw verjaardagsfeesten, om de bovenstaande gegevensverwerking enrechten van de klanten uit te leggen.
Het is ook raadzaam om een “Privacybeleid” toe te voegen aan uw website zodat u uw naleving kunt uitleggen en dezelfde transparantie kunt garanderen. U moet ervoor zorgen dat de klanten via dit beleid worden geïnformeerd over de verwerking van hun gegevens voordat u deze verwerkt. Idealiter voegt u een link en een verwijzing naar dit Privacybeleid toe. Uw klanten hebben recht op inzage, rechtzetting, verwijdering en andere rechten! U moet binnen een redelijke termijn reageren op dergelijke verzoeken.

Moet u toestemming van uw klanten krijgen om hun gegevens te mogen registreren?
NEE, indien dit in het kader van een dienstverlening gebeurt (d.w.z. een contract, al dan niet schriftelijk), bijvoorbeeld een verjaardagsfeest (zie hierboven) of een eenmalige toegang tot het park, indien het gerechtvaardigd is om deze gegevens te verzamelen voor de uitvoering en het goede verloop van de dienst (bijvoorbeeld: de leeftijd van de kinderen kan om veiligheidsredenen nodig zijn voor toegang tot bepaalde activiteiten).
NEE wanneer u wilt communiceren over een dienst die vergelijkbaar is met de oorspronkelijke dienst (bijvoorbeeld: herhaling van het verjaardagsfeestje het jaar nadien, … of een volgend bezoek aan het park door een klant die er al geweest is, enz.). Het is echter wel verplicht om de klanten hiervan op de hoogte te stellen in uw Algemene Verkoopvoorwaarden of Privacybeleid, waarbij u hen informeert over hun recht om hiervan af te stappen.
JA, als het een prospect is die het park nog nooit heeft bezocht, voor promotie-, marketing-of reclamedoeleinden, om te communiceren over andere diensten aan reeds bestaande klanten nadat de eerste dienst is verleend. Des te meer in geval van overdracht van de gegevens aan een partner/derde; om de verzamelde gegevens te GEBRUIKEN hebt u dus traceerbare uitdrukkelijke toestemming nodig (bijv. vakje om aan te vinken).

Wilt u communiceren met uw reeds geregistreerde klanten?
– Als u toestemming hebt gekregen (via een website, e-mail of ondertekend document) en hiervan een bewijs hebt bewaard, kunt u met hen blijven communiceren.
– Destijds toestemming gekregen maar geen bewijs bewaard? U moet opnieuw toestemming vragen aan uw klanten, bijvoorbeeld via een e-mailcampagne om opnieuw communicatie te ontvangen, en daarbij hun toestemming vragen voor uw nieuwe voorwaarden of privacybeleid en aangeven ervan uit te gaan dat de toestemming is gegeven als ze niet binnen een bepaalde periode reageren.
– Destijds geen toestemming ontvangen? Theoretisch gezien hebt u niet het recht om hen opnieuw om toestemming te vragen voor communicatie. Deze gegevens moeten normaal gesproken worden verwijderd.

In sommige gevallen zijn de bedrijven als “verwerkingsverantwoordelijke” verplicht om een functionaris voor gegevensbescherming aan te stellen. Is dit verplicht? NEE, in uw geval waarschijnlijk niet, tenzij u gevoelige gegevens vraagt aan uw klanten (bijvoorbeeld: gezondheidsdossier).

De CNIL, het DGCCRF en de overheid waarschuwen voor bepaalde misbruikpraktijken met betrekking tot de AVG : https://www.economie.gouv.fr/dgccrf/pratiques-abusives-mise-en-conformite-rgpd-comment-sen-premunir
Voor meer informatie:
• https://www.cnil.fr/fr/rgpd-par-ou-commencer
• https://www.economie.gouv.fr/entreprises/reglement-general-sur-protection-des-donnees-rgpd