Gegevensbeschermingsverklaring
Gegevensbescherming bij Galaxus
De platforms digitec.ch en galaxus.ch of galaxus.de, galaxus.at, galaxus.fr, galaxus.it, galaxus.nl, galaxus.be en de fysieke winkels in verschillende steden in Zwitserland worden geëxploiteerd door Digitec Galaxus AG of Galaxus Deutschland GmbH (samen “Galaxus”). Galaxus maakt deel uit van de Migros Groep. De gegevensbeschermingsverklaring beschrijft hoe en met welk doel Galaxus persoonsgegevens verzamelt, verwerkt en gebruikt. Wij hechten veel belang aan een verantwoorde omgang met klantgegevens. Wij voeren voortdurend aanpassingen door om de persoonsgegevens van onze klanten nog beter te beschermen.
Gegevensbeschermingsverklaring
Wat doet Galaxus voor gegevensbescherming?
Galaxus geniet het vertrouwen van zijn klanten. Daarom staan gegevensbescherming en -beveiliging bij ons centraal. De verantwoorde omgang met persoonsgegevens is onder meer vastgelegd in de Gedragscode van Migros, die in de hele groep en dus ook door Galaxus moet worden nageleefd.
Welke gegevens worden over mij verwerkt?
Wij verwerken persoonsgegevens bij verschillende gelegenheden en voor verschillende doeleinden. Bijna altijd wanneer u met ons contact heeft of wij met u, worden ook persoonsgegevens verwerkt, bijvoorbeeld wanneer u iets bij ons bestelt. Voor ons is het ook belangrijk dat wij onze aanbiedingen kunnen afstemmen op uw individuele behoeften. Daarom verwerken wij, wanneer u een klantenaccount aanmaakt, zich registreert voor een van onze andere diensten of op onze webpagina’s navigeert, ook gedrags- en mogelijk transactiegegevens en maken wij op basis daarvan veronderstellingen over uw voorkeuren. Zo kunnen wij u bijvoorbeeld aanbiedingen sturen of tonen die wellicht interessant voor u zijn.
Hoe profiteer ik van de gegevensverwerking?
Onze gegevensverwerking heeft vele voordelen voor u. Zo kunnen wij bij de klantenservice bijvoorbeeld reageren op uw individuele behoeften en vragen. De gegevensverwerking maakt ook het winkelen voor u gemakkelijker. Zo maken we het bijvoorbeeld gemakkelijker voor u om online die producten uit ons grote assortiment te vinden die u vaak koopt of die waarschijnlijk bijzonder relevant voor u zijn. Dankzij onze gegevensverwerking profiteert u ook van een individuele winkelervaring, bijvoorbeeld door aanbiedingen en kortingen te ontvangen die zijn afgestemd op uw winkelgewoonten. Dankzij de verwerking van persoonsgegevens profiteert u ook van steeds aantrekkelijkere assortimenten en verbeterde producten en diensten.
Aan wie worden mijn persoonsgegevens doorgegeven?
Uw persoonsgegevens kunnen worden doorgegeven aan andere bedrijven van de Migros Groep en door hen worden gebruikt. Buiten de Migros Groep worden ze alleen doorgegeven aan geselecteerde dienstverleners en partners. In de regel worden de persoonsgegevens namens ons en volgens onze instructies verwerkt; bepaalde partners verwerken echter ook persoonsgegevens onder hun eigen verantwoordelijkheid of samen met ons.
Zijn mijn gegevens veilig?
Wij zorgen ervoor dat uw gegevens worden beschermd op een wijze die in verhouding staat tot de risico’s en nemen uitgebreide veiligheidsmaatregelen om uw persoonsgegevens te beschermen tegen ongeoorloofde toegang. Wij verbeteren onze veiligheidsmaatregelen voortdurend en passen ze aan de huidige stand van de techniek aan.
Met wie kan ik contact opnemen als ik vragen heb?
Als u vragen heeft over onze verwerking van uw persoonsgegevens, aarzel dan niet om contact met ons op te nemen: datenschutz@galaxus.de. In de gegevensbeschermingsverklaring vindt u meer informatie over hoe u uw rechten in verband met uw persoonsgegevens kunt uitoefenen.
Inhoudsopgave
1. Waarover gaat deze gegevensbeschermingsverklaring?
2. Wie is verantwoordelijk voor de gegevensverwerking?
3. Voor wie en wat is deze gegevensbeschermingsverklaring bedoeld?
4. Welke persoonsgegevens verwerken wij?
5. Waar komen de persoonsgegevens vandaan?
6. Voor welke doeleinden verwerken wij persoonsgegevens?
7. Op welke rechtsgrondslagen verwerken wij persoonsgegevens?
8. Met wie delen wij persoonsgegevens?
9. Hoe verstrekken wij persoonsgegevens aan het buitenland?
10. Hoe verwerken wij gevoelige persoonsgegevens?
11. Hoe maken we gebruik van profilering?
12. Maken wij gebruik van geautomatiseerde individuele besluitvorming?
13. Hoe beschermen wij persoonsgegevens?
14. Hoe lang verwerken wij persoonsgegevens?
15. Welke rechten heeft u in verband met de verwerking van uw persoonsgegevens?
16. Hoe kunt u contact met ons opnemen?
17. Wijzigingen in deze gegevensbeschermingsverklaring
1. Waarover gaat deze gegevensbeschermingsverklaring?
Gegevensbescherming is een kwestie van vertrouwen en uw vertrouwen is belangrijk voor ons. In deze gegevensbeschermingsverklaring informeren wij u daarom hoe en waarvoor wij uw persoonsgegevens verzamelen, verwerken en gebruiken.
In deze gegevensbeschermingsverklaring komt u onder andere het volgende te weten:
- welke persoonsgegevens wij verzamelen en verwerken;
- de doeleinden waarvoor wij uw persoonsgegevens gebruiken;
- wie toegang heeft tot uw persoonsgegevens;
- welk voordeel onze gegevensverwerking voor u heeft;
- hoe lang we uw persoonsgegevens verwerken;
- welke rechten u heeft met betrekking tot uw persoonsgegevens; en
- hoe u contact met ons kunt opnemen.
Wij hebben deze gegevensbeschermingsverklaring afgestemd op zowel de Zwitserse wet op de gegevensbescherming als de Europese Algemene Verordening Gegevensbescherming – afgekort AVG. De AVG heeft zich wereldwijd gevestigd als maatstaf voor sterke gegevensbescherming. Of en in hoeverre de AVG van toepassing is, hangt echter af van het individuele geval.
2. Wie is verantwoordelijk voor de gegevensverwerking?
Volgens het gegevensbeschermingsrecht is de verantwoordelijke voor een bepaalde gegevensverwerking de onderneming die bepaalt of deze verwerking plaatsvindt, voor welke doeleinden zij wordt uitgevoerd en hoe zij wordt opgebouwd. Verantwoordelijk voor de gegevensverwerking onder deze gegevensbeschermingsverklaring is Galaxus Deutschland GmbH (Galaxus Deutschland GmbH, Hoheluftchaussee 18, DE-20253 Hamburg) (“wij” of “ons”).
Wij kunnen ook samen met andere bedrijven van de Migros Groep verantwoordelijk zijn voor een bepaalde gegevensverwerking als zij medezeggenschap hebben over de opzet of het doel van de gegevensverwerking in kwestie. Informatie over de ondernemingen die deel uitmaken van de Migros Groep is te vinden in het actuele Jaarverslag van de Migros-Genossenschafts-Bund.
2.1. Verantwoordelijkheid van deelnemers op galaxus.de (Duitsland)
Op galaxus.de verkopen wij enerzijds producten/diensten onder onze eigen naam (Galaxus), maar bieden wij ook andere bedrijven (hierna “deelnemers” genoemd) de mogelijkheid om producten/diensten te verkopen. In termen van gegevensbeschermingswetgeving leidt deze omstandigheid tot verschillende verantwoordelijkheden in verband met de verwerking van uw gegevens.
Galaxus is exploitant van het platform galaxus.de. In deze hoedanigheid verzamelen of verwerken wij uw gegevens, in het bijzonder:
- Gegevens over uw surfgedrag op galaxus.de. Dit omvat bijvoorbeeld informatie over het oproepen van afzonderlijke pagina's of informatie over bekeken artikelen.
- Gegevens in verband met het aanmaken en onderhouden van uw klantenaccount op galaxus.de. Dit omvat bijvoorbeeld naam, gebruikersnaam of meldingsinstellingen.
Deelnemers zijn onder meer verantwoordelijk voor die gegevens die in het kader van een bestelling worden verzameld en voor de verwerking van de bestelling door een deelnemer. Dit betreft onder andere: Naam; postadresgegevens; e-mailadres; informatie over de producten/diensten. Elke deelnemer is door ons contractueel verplicht om op galaxus.de overeenkomstige informatie over gegevensbescherming te verstrekken. U vindt deze informatie in de deelnemersinformatie, die als link beschikbaar is bij de desbetreffende producten.
Indien u de rechten overeenkomstig punt 15 jegens deelnemers wenst uit te oefenen, neem dan rechtstreeks contact op met het betreffende bedrijf. De contacten van de bedrijven zijn te vinden in de deelnemersinformatie, die als link beschikbaar is bij de desbetreffende producten.
3. Voor wie en waarvoor is deze gegevensbeschermingsverklaring bedoeld?
Deze gegevensbeschermingsverklaring is van toepassing op alle personen van wie wij gegevens verwerken (telkens “u”), ongeacht de manier waarop u contact met ons opneemt, bijvoorbeeld in een online winkel, op een website, in een app, in een filiaal, telefonisch, via een sociaal netwerk, op een evenement, enz. Zij is van toepassing op de verwerking van zowel reeds verzamelde als toekomstig verzamelde persoonsgegevens.
Onze gegevensverwerkingen kunnen met name betrekking hebben op de volgende categorieën personen, voor zover wij daarbij persoonsgegevens verwerken:
- bezoekers van onze website;
- houders van een klantenaccount;
- klanten in onze online winkels en filialen;
- handelaren die producten en diensten aanbieden via onze online winkels;
- andere personen die diensten van ons gebruiken of in contact komen met aanbiedingen van ons;
- gebruikers van onze websites en apps;
- bezoekers van onze gebouwen;
- mensen die ons schrijven of anderszins contact met ons opnemen;
- ontvangers van informatie en marketingcommunicatie;
- deelnemers aan wedstrijden en prijsvragen;
- deelnemers aan klantenevenementen en openbare evenementen;
- deelnemers aan marktonderzoek, opiniepeilingen en klantenenquêtes;
- contactpersonen van onze leveranciers, klanten en andere zakelijke partners, alsmede organisaties en autoriteiten; en
- sollicitanten.
Raadpleeg ook de contractuele voorwaarden voor individuele diensten (bijv. Algemene voorwaarden, Gebruiksvoorwaarden of Deelnemingsvoorwaarden). Deze kunnen aanvullende verwijzingen naar onze gegevensverwerking bevatten. Voor informatie over het verzamelen en verwerken van persoonsgegevens bij het gebruik van onze webpagina’s, mobiele apps en socialemediasites, met name in verband met cookies en soortgelijke technologieën, kunt u ook onze Informatie over cookies raadplegen.
4. Welke persoonsgegevens verwerken wij?
“Persoonsgegevens” zijn gegevens die met een bepaalde persoon in verband kunnen worden gebracht. Wij verwerken verschillende categorieën van dergelijke persoonsgegevens. De belangrijkste categorieën worden hieronder ter oriëntatie opgesomd. In individuele gevallen kunnen wij echter ook andere persoonsgegevens verwerken.
Meer informatie over de herkomst van deze gegevens vindt u in punt 5. In punt 6 vindt u meer informatie over de doeleinden waarvoor wij deze gegevens verwerken.
4.1 Stamgegevens
Stamgegevens zijn de basisgegevens over u, zoals aanhef, naam, contactgegevens of geboortedatum. Wij verzamelen met name stamgegevens wanneer u een klantenaccount aanmaakt bij Galaxus. Wij verzamelen echter ook stamgegevens, bijvoorbeeld als u deelneemt aan een wedstrijd of prijsvraag of zich inschrijft voor een nieuwsbrief. Wij verzamelen ook stamgegevens over contactpersonen en vertegenwoordigers van contractuele partners, organisaties en autoriteiten.
De stamgegevens omvatten bijv.
- aanhef, voornaam, achternaam, geslacht, geboortedatum;
- adres, e-mailadres, telefoonnummer en andere contactgegevens;
- klantnummers (bv. voor deelnemers aan een loyaliteitsprogramma);
- betaalgegevens (bv. vastgelegde betaalwijze, bankgegevens, factuuradres);
- gebruikersnaam en profielfoto;
- informatie over het gebruik van onze online platforms (bijvoorbeeld of u bent geregistreerd bij Galaxus);
- details van gekoppelde webpagina’s, socialemediaprofielen enz.;
- informatie over affiniteiten en interesses, taalvoorkeuren, enz.
- informatie over uw relatie met ons (klant, bezoeker, leverancier, enz.);
- informatie over verbonden derden (bv. contactpersonen, begunstigden van diensten of vertegenwoordigers);
- instellingen betreffende de ontvangst van reclame, ingeschreven nieuwsbrieven, enz.
- gegevens over uw status bij ons (inactiviteit of blokkering van een klantenaccount, huisverbod in filialen, enz;)
- gegevens over deelname aan wedstrijden en prijsvragen;
- details over deelname aan evenementen (bv. e-sportevenementen);
- officiële documenten waarin u voorkomt (bijvoorbeeld identiteitsdocumenten, uittreksels uit het handelsregister, vergunningen, enz;)
- informatie over titels en functie in het bedrijf bij contactpersonen en vertegenwoordigers van onze zakelijke partners;
- datum en tijd van registratie.
Onder bepaalde omstandigheden kunt u met de login van een derde aanbieder (bijv. Apple, Google of Facebook) inloggen op individuele websites. In dat geval krijgen wij toegang tot bepaalde gegevens die bij de betrokken aanbieder zijn gedeponeerd, bijvoorbeeld uw naam en e-mailadres, waarvan u de omvang meestal zelf kunt bepalen. Informatie hierover is te vinden in de gegevensbeschermingsverklaring van de betreffende aanbieder.
Het bekendmaken van uw identiteit in uw openbare profiel op onze platforms is vrijwillig. De door u gekozen gebruikersnaam wordt aan de buitenwereld getoond; het hoeft geen gewone naam te zijn. U kunt bovendien in uw klantenaccount de functie “Anonimiseren gebruikersnaam” selecteren. Zo wordt de naam onzichtbaar voor andere gebruikers.
4.2 Contractgegevens
Contractgegevens zijn persoonsgegevens die ontstaan in verband met de sluiting of uitvoering van het contract, bijvoorbeeld informatie over de sluiting van het contract, verworven vorderingen en aanspraken of informatie over de tevredenheid van de klant. Wij sluiten voornamelijk contracten af met klanten, zakenpartners en sollicitanten. Als u gebruik maakt van aanbiedingen van ons op basis van een overeenkomst, bijvoorbeeld producten koopt of diensten gebruikt, verzamelen wij ook vaak gedrags- en transactiegegevens (zie punt 4.4).
Contractgegevens omvatten bijvoorbeeld informatie
- over het initiëren en sluiten van contracten, bv. datum van sluiting van het contract, informatie uit de aanvraagprocedure en informatie over het desbetreffende contract (bv. type en duur);
- over de verwerking en administratie van contracten (bv. contactgegevens, leveringsadressen, uitgevoerde of mislukte leveringen en informatie over betaalwijzen);
- in verband met klantenservice en bijstand bij technische aangelegenheden;
- over onze interacties met u (hooguit een geschiedenis met bijbehorende vermeldingen);
- over vorderingen en verworven rechten en voordelen (bv. vouchers);
- over gebreken en klachten en over aanpassingen van een contract;
- over klanttevredenheid, die wij met enquêtes kunnen verzamelen;
- over financiële zaken zoals het bepalen van de kredietwaardigheid (d.w.z. informatie waaruit conclusies kunnen worden getrokken over de waarschijnlijkheid dat schulden worden betaald), over aanmaningen, incasso en tenuitvoerlegging;
- in verband met een sollicitatie, bijvoorbeeld cv, referenties, kwalificaties, certificaten, gespreksnotities, enz. (die ook persoonsgegevens van derden kunnen bevatten);
- voor interacties met u als contactpersoon of vertegenwoordiger van een zakenpartner;
- in verband met veiligheidscontroles (bv. controle op frauduleuze handelingen bij bestellingen) en andere controles met betrekking tot de totstandbrenging of voortzetting van een zakelijke relatie.
4.3 Communicatiegegevens
Wanneer u met ons in contact staat of wij met u, bijvoorbeeld wanneer u contact opneemt met een medewerker van de klantenservice of wanneer u ons schrijft of belt, verwerken wij de inhoud van de uitgewisselde communicatie en informatie over het type, het tijdstip en de plaats van de communicatie. In bepaalde situaties kunnen wij u ook vragen om een identiteitsbewijs ter identificatie.
Communicatiegegevens zijn bijv.
- naam en contactgegevens zoals postadres, e-mailadres en telefoonnummer;
- inhoud van e-mails, schriftelijke correspondentie, chatberichten, berichten op sociale media, commentaren op een website, telefoongesprekken, videoconferenties enz;
- reacties op klant- en tevredenheidsonderzoeken;
- bijzonderheden over het type, het tijdstip en eventueel de plaats van de communicatie;
- identiteitsbewijzen zoals kopieën van officiële identiteitsdocumenten;
- randgegevens van de communicatie.
Telefoon- en videoconferentiegesprekken met ons kunnen worden opgenomen; wij zullen u hierover aan het begin van elk gesprek informeren. Als u niet wilt dat wij dergelijke gesprekken opnemen, heeft u altijd de mogelijkheid om het gesprek te annuleren en op een andere manier (bijvoorbeeld per e-mail) contact met ons op te nemen.
4.4 Gedrags- en transactiegegevens
Wanneer u bij ons winkelt, gebruik maakt van onze aanbiedingen en infrastructuur of gebruik maakt van onze diensten, verzamelen wij vaak gegevens over dit gebruik. Dit is bijvoorbeeld het geval wanneer u bij ons winkelt in een webwinkel, wanneer u actief wordt in onze Communities of wanneer u onze webpagina’s en apps gebruikt. Als u namens een derde optreedt, kunnen de persoonsgegevens ook betrekking hebben op die derde (bijvoorbeeld uw familieleden als u voor hen winkelt).
Gedrags- en transactiegegevens omvatten bijvoorbeeld de volgende informatie voor zover wij daarover beschikken met betrekking tot personen:
- over uw gedrag in webwinkels (besteld en geannuleerd winkelwagentje, volglijsten, bekeken artikelen, zoektermen en -resultaten, betaalwijze, gekozen leveringswijze, enz;)
- over uw gedrag in de Galaxus Communities (informatie in uw profiel, bv. een vrijwillige openbare profielbeschrijving; punten en prijzen verdiend via de gamificatie “DG Play”, interactie met andere leden en inhoud, bv. door middel van “Volgen” of “Vind ik leuk”; beoordelingen, vragen en antwoorden over producten en andere inhoud, discussieberichten, enz;)
- over uw aankopen in filialen (bv. waar, hoe vaak, wat en tegen welke prijzen u koopt, alsook de betaalwijze en de gekozen leveringswijze);
- over bezoek aan onze evenementen (bv. datum, plaats en soort evenement);
- over deelname aan wedstrijden, prijsvragen en soortgelijke evenementen;
- over uw gedrag op webpagina’s;
- over het installeren en gebruiken van onze mobiele apps;
- over uw gebruik van elektronische mededelingen door ons (bijvoorbeeld of en wanneer u een e-mail heeft geopend of op een link heeft geklikt);
- over uw gebruik van onze wifinetwerken (bijvoorbeeld datum, tijd en duur van de verbinding, locatie van het wifinetwerk en gegevensvolume).
U kunt sommige van onze diensten ook anoniem gebruiken. In landen waar wij een netwerk van filialen hebben, kunt u bijvoorbeeld in onze filialen winkelen zonder u te registreren. Op onze webpagina’s en apps kunnen gedrags- en transactiegegevens echter ook aan uw profiel worden gekoppeld als u niet bent ingelogd op het moment dat u de webpagina bezoekt of de app gebruikt.
4.5 Voorkeursgegevens
Wij willen onze aanbiedingen en diensten zo goed mogelijk afstemmen op onze klanten. Daarom verwerken wij ook gegevens over uw interesses en voorkeuren. Daartoe kunnen wij gedrags- en transactiegegevens koppelen aan andere gegevens en deze gegevens analyseren op persoonlijke en niet-persoonlijke basis. Zo kunnen we conclusies trekken over kenmerken, voorkeuren en waarschijnlijk gedrag, bijvoorbeeld uw affiniteit met bepaalde producten en diensten.
In het bijzonder kunnen wij segmenten creëren (permanent of op basis van individuele gevallen), d.w.z. groepen mensen die overeenkomsten vertonen met betrekking tot bepaalde kenmerken. Voorkeursgegevens kunnen op persoonlijke basis worden gebruikt (bv. om u relevante reclame te tonen die u wellicht interessant vindt), maar ook op niet-persoonlijke basis, bv. voor marktonderzoek of productontwikkeling.
De beschreven verwerking kan in vaktaal ook “profilering” worden genoemd. Voor meer informatie over profilering, zie punt 11.
4.6 Technische gegevens
Wanneer u onze webpagina’s, onze apps, onze wifinetwerken of andere elektronische aanbiedingen gebruikt, verzamelen wij bepaalde technische gegevens, zoals uw IP-adres of een apparaat-ID. Technische gegevens omvatten ook de logboeken waarin wij het gebruik van onze systemen registreren (loggegevens). In sommige gevallen kunnen wij ook een uniek identificatienummer (een ID) toekennen aan uw eindapparaat (tablet, pc, smartphone, enz.), bijvoorbeeld door middel van cookies of soortgelijke technologieën, zodat wij het kunnen herkennen. Meer details hierover vindt u in onze Informatie over cookies.
Op basis van technische gegevens kunnen in het bijzonder ook gedragsgegevens worden verzameld, d.w.z. informatie over uw gebruik van webpagina’s en mobiele apps (zie punt 4.4). Meestal kunnen wij echter niet uit technische gegevens afleiden wie u bent, tenzij u bijvoorbeeld een klantenaccount aanmaakt of zich voor andere aanbiedingen registreert. In dat geval kunnen wij technische gegevens koppelen aan stamgegevens – en dus aan uw persoon.
De technische gegevens omvatten o.a.
- het IP-adres van uw apparaat en andere apparaat-ID’s (bijv. MAC-adres);
- identificatienummers die door cookies en soortgelijke technologieën (bv. pixeltags) aan uw apparaat worden toegekend;
- informatie over uw apparaat en de configuratie ervan, bijvoorbeeld het besturingssysteem of de taalinstellingen;
- gegevens over de browser waarmee u het aanbod bekijkt en de configuratie ervan;
- informatie over uw bewegingen en handelingen op onze webpagina’s en in onze apps;
- informatie over uw internetprovider;
- uw locatie bij benadering en het tijdstip van gebruik;
- systeemregistraties van toegang en andere processen (loggegevens).
Let voor de verwerking van technische gegevens ook op onze Informatie over cookies.
4.7 Beeld- en geluidsopnamen
Wij maken regelmatig foto’s, video’s en geluidsopnamen waarin of waarop u kunt voorkomen, bijvoorbeeld wanneer u een evenement bijwoont, contact heeft met onze klantenservice of gebruik maakt van een adviesgesprek via videoconferentie. Voor veiligheids- en bewijsdoeleinden maken wij ook video-opnamen in onze filialen en in onze andere gebouwen. Daarbij kunnen wij informatie ontvangen over uw gedrag op de desbetreffende locaties. Het gebruik van videobewakingssystemen is plaatselijk beperkt en wordt aangegeven.
Beeld- en geluidsopnamen omvatten bijvoorbeeld:
- opnamen van videobewakingssystemen;
- foto’s, video’s en geluidsopnamen van klantenevenementen en openbare evenementen (bijvoorbeeld reclame-evenementen, sponsorevenementen of culturele en sportevenementen);
- foto’s, video’s en geluidsopnamen van cursussen, presentaties, trainingen enz;
- opnamen van telefoon- en videoconferentiegesprekken (bv. bij de klantenservice of het klantenadvies).
5. Waar komen de persoonsgegevens vandaan?
5.1 Verstrekte gegevens
Vaak verstrekt u ons zelf persoonsgegevens, bijvoorbeeld wanneer u ons gegevens toestuurt of met ons communiceert. In het bijzonder verstrekt u ons doorgaans zelf stamgegevens, contractgegevens en communicatiegegevens. Ook voorkeursgegevens geeft u ons vaak zelf door.
U verstrekt ons bijvoorbeeld zelf persoonsgegevens in de volgende gevallen:
- u maakt een klantenaccount aan;
- u neemt deel aan een prijsvraag of wedstrijd;
- u neemt contact op met onze klantenservice;
- u schrijft zich in voor andere aanbiedingen, bijvoorbeeld onze nieuwsbrief.
Het verstrekken van persoonsgegevens is meestal vrijwillig, dat wil zeggen dat u meestal niet verplicht bent persoonsgegevens aan ons te verstrekken. Wij moeten echter die persoonsgegevens verzamelen en verwerken die noodzakelijk zijn voor de verwerking van een contractuele relatie en voor de nakoming van daarmee samenhangende verplichtingen of die wettelijk verplicht zijn, bijvoorbeeld verplichte stamgegevens en contractgegevens. Anders kunnen wij het desbetreffende contract niet sluiten of voortzetten.
Als u ons gegevens over andere personen (bijvoorbeeld familieleden) verstrekt, gaan wij ervan uit dat u daartoe bevoegd bent en dat deze gegevens juist zijn. Zorg er ook voor dat deze andere personen op de hoogte zijn van deze gegevensbeschermingsverklaring.
5.2 Verzamelde gegevens
Wij kunnen ook zelf of op geautomatiseerde wijze persoonsgegevens over u verzamelen, bijvoorbeeld wanneer u bij ons winkelt, gebruik maakt van onze aanbiedingen of gebruik maakt van onze diensten. Dit zijn vaak gedrags- en transactiegegevens en technische gegevens (bijvoorbeeld het tijdstip waarop u onze website bezoeken).
Wij verzamelen zelfstandig persoonsgegevens over u in de volgende gevallen, bijvoorbeeld:
- u bestelt een product in een van onze webwinkels;
- u bezoekt een van onze webpagina’s of gebruikt een van onze apps;
- u doet een aankoop in een van onze filialen en maakt daarbij uw klantenaccount bekend;
- u klikt op een link in een van onze nieuwsbrieven of u heeft op een andere manier interactie met een van onze elektronische reclameberichten.
Wij kunnen ook persoonsgegevens afleiden uit beschikbare persoonsgegevens, bijvoorbeeld door gedrags- en transactiegegevens te analyseren. Dergelijke afgeleide persoonsgegevens zijn vaak voorkeursgegevens.
Wij kunnen bijvoorbeeld gedrags- en transactiegegevens analyseren die zijn verzameld bij aankopen in onze webwinkels en op basis van die gegevens veronderstellingen maken over uw persoonlijke interesses, voorkeuren, affiniteiten en gewoonten. Zo kunnen wij bijvoorbeeld onze aanbiedingen en informatie afstemmen op uw individuele behoeften en interesses. Zo kunnen wij u een individuele selectie toesturen van aanbiedingen die relevant voor u zijn. Voor gedrags- en transactiegegevens, zie punt 4.4 en voor profilering in dit verband, zie punt 11 voor meer informatie.
5.3 Ontvangen gegevens
Wij kunnen ook persoonsgegevens ontvangen van andere bedrijven van de Migros Groep. Hiervoor vindt u onder punt 8 verdere details. Wij kunnen echter ook informatie over u ontvangen van andere derden, zoals bedrijven waarmee wij samenwerken, mensen die met ons communiceren of uit openbare bronnen.
Wij kunnen bijvoorbeeld informatie over u ontvangen van de volgende derden:
- van samenwerkingspartners, bijvoorbeeld partners voor puntenverzamelingen of inwisselingen;
- van uw werkgever en van uw collega’s, in verband met een sollicitatie en met hun professionele functies;
- van derden wanneer correspondentie en vergaderingen u betreffen;
- van mensen uit uw omgeving (familieleden, wettelijke vertegenwoordigers, enz.), bijvoorbeeld uw adres voor leveringen, referenties of volmachten;
- van kredietregistratiebureaus, bijvoorbeeld wanneer wij informatie verkrijgen over kredietwaardigheid;
- van de Zwitserse Post en adreshandelaren, bijvoorbeeld voor adresupdates;
- van banken, verzekeringsmaatschappijen, distributeurs en andere contractuele partners voor aankopen en betalingen;
- van aanbieders van onlinediensten, bijvoorbeeld aanbieders van internetanalysediensten;
- van aanbieders van cyberbeveiligingsdiensten;
- van informatiediensten voor de naleving van wettelijke voorschriften zoals witwasbestrijding en exportbeperkingen;
- van autoriteiten, partijen en andere derden in verband met officiële en gerechtelijke procedures;
- van mediatoezichthouders in verband met artikelen en reportages waarin u voorkomt;
- uit openbare registers zoals een kredietregister of het handelsregister, van openbare instanties zoals het Bureau voor de Statistiek, uit de media of van het internet.
6. Voor welke doeleinden verwerken wij persoonsgegevens?
6.1 Communicatie
Wij willen met u in contact blijven en reageren op uw individuele vragen. Daarom verwerken wij persoonsgegevens voor communicatie met u, bijvoorbeeld voor het beantwoorden van vragen en klantenservice. Hiervoor gebruiken wij met name communicatie- en stamgegevens en, voor zover de communicatie betrekking heeft op een contract, ook contractgegevens. Wij kunnen ook de inhoud en het tijdstip van verzending van berichten personaliseren op basis van gedrags-, transactie-, voorkeurs- en andere gegevens.
Het doel van de communicatie omvat met name:
- het beantwoorden van vragen;
- het contact met u opnemen met eventuele vragen;
- klantenservice en klantenrelaties;
- communicatie in verband met terugroepingen van producten (wij kunnen bijvoorbeeld rechtstreeks contact met u opnemen als wij weten dat u een product heeft gekocht dat door een terugroeping is getroffen);
- de levering van andere kennisgevingen (bv. informatie over de status van de bestelling);
- authenticatie, bijvoorbeeld bij het gebruik van onze websites;
- kwaliteitsborging en training;
- alle andere verwerkingsdoeleinden, voor zover wij daartoe met u communiceren (bijvoorbeeld contractverwerking, informatie en directe reclame).
6.2 Uitvoering van het contract
Wij willen u de best mogelijke service bieden. Daarom verwerken wij persoonsgegevens in verband met het aangaan, beheren en verwerken van contractuele relaties, bijvoorbeeld om een bestelling te leveren, een dienst te verlenen, aankopen en diensten te regelen, onze Communities op te bouwen, een loyaliteitsprogramma uit te voeren of een prijsvraag te organiseren. De uitvoering van het contract omvat ook een eventueel overeengekomen personalisering van diensten. Hiervoor gebruiken wij met name stamgegevens, contractgegevens, communicatiegegevens, gedrags- en transactiegegevens en voorkeursgegevens.
Het doel van de uitvoering van een overeenkomst omvat in het algemeen alles wat nodig of dienstig is om een overeenkomst te sluiten, uit te voeren en zo nodig af te dwingen.
Dit omvat bijvoorbeeld verwerkingen:
- om te beslissen of en hoe (bijvoorbeeld met welke betalingsmogelijkheden) wij een overeenkomst met u aangaan (inclusief kredietwaardigheidscontrole);
- om contractueel overeengekomen diensten te verlenen, bv. goederen leveren, diensten verlenen en functies aanbieden (met inbegrip van gepersonaliseerde servicecomponenten);
- om klantendiensten te verlenen en de klantentevredenheid te onderzoeken;
- om de Galaxus Communities en de gamificatie “DG Play” op te bouwen en te beheren;
- om loyaliteitsprogramma’s uit te voeren en te beheren, bv. om verworven rechten en voordelen (bv. promotionele vouchers en actiecodes) af te rekenen en te vergoeden;
- de winnaars van wedstrijden en prijsvragen te bepalen, te informeren en, indien van toepassing, bekend te maken;
- om onze diensten te factureren en in het algemeen voor boekhoudkundige doeleinden;
- om de levering van onze diensten te plannen en voor te bereiden, bijvoorbeeld het inplannen van onze werknemers;
- om de geschiktheid van sollicitanten te controleren en, indien nodig, de arbeidsovereenkomst op te stellen en te sluiten;
- om na te gaan of wij met een bedrijf willen en kunnen samenwerken en om de prestaties ervan te controleren en te beoordelen;
- om transacties met betrekking tot het vennootschapsrecht voor te bereiden en uit te voeren, bijvoorbeeld overnames, verkopen en fusies van ondernemingen;
- om aanspraak te maken op rechten die voortvloeien uit contracten (invordering van schulden, gerechtelijke procedures, enz;)
- om onze IT en andere middelen te beheren;
- om gegevens in het kader van de bewaarplicht op te slaan;
- om contracten op te zeggen en te beëindigen.
Als u niet wilt dat de punten en prijzen die u met de gamificatie “DG Play” heeft verdiend, worden weergegeven in uw openbare profiel en u geen deel wilt uitmaken van het rangordesysteem, kunt u de gamificatie “DG Play” uitschakelen in uw klantenaccount.
6.3 Informatie en marketing
We willen u graag aantrekkelijke aanbiedingen doen. Daarom verwerken wij persoonsgegevens voor relatiebeheer en marketingdoeleinden, bijvoorbeeld om u schriftelijke en elektronische mededelingen en aanbiedingen te sturen en marketingcampagnes uit te voeren. Dit kunnen onze eigen aanbiedingen zijn of aanbiedingen van andere bedrijven van de Migros Groep of van reclamepartners. We kunnen ook voor andere bedrijven werken en de rol van agentschap op ons nemen, bijvoorbeeld om promoties voor hun producten uit te voeren.
Berichten en aanbiedingen kunnen ook per geval worden gepersonaliseerd om u alleen informatie te sturen die u waarschijnlijk zal interesseren. Hiervoor gebruiken wij met name stamgegevens, contractgegevens, communicatiegegevens, gedragsgegevens en transactiegegevens alsmede voorkeursgegevens, maar ook beeld- en geluidsopnamen.
Dit kunnen bijvoorbeeld de volgende mededelingen en aanbiedingen zijn:
- nieuwsbrieven, promotionele e-mails, in-app-berichten en andere elektronische berichten;
- reclamebrochures, tijdschriften en ander drukwerk;
- reclameboodschappen en spots op schermen en andere reclameplaatsen;
- levering van promotiebonnen en actiecodes;
- uitnodigingen voor evenementen, prijsvragen en wedstrijden.
U kunt contacten voor marketingdoeleinden te allen tijde weigeren (zie punt 15). Bij nieuwsbrieven en andere elektronische communicatie kunt u zich doorgaans afmelden voor de desbetreffende dienst via het klantenaccount en via een in de communicatie geïntegreerde afmeldlink.
Het personaliseren van onze communicatie stelt ons in staat informatie af te stemmen op uw individuele behoeften en interesses en u, waar mogelijk, alleen aanbiedingen te doen die voor u relevant zijn. Wij kunnen u bijvoorbeeld een individuele selectie toesturen van producten die voor u relevant zijn of u online inhoud tonen die op u is afgestemd. Door personalisatie kunt u ook sneller de producten vinden die u zoekt in ons grote online assortiment. In het algemeen stelt afstemming van onze activiteiten op de wensen en behoeften van onze klanten ons in staat processen, zoals aankopen of verkopen, te vereenvoudigen, zodat u sneller bereikt wat u wilt. Voor meer informatie over profilering in dit verband, zie punt 11.
6.4 Marktonderzoek en productontwikkeling
Wij willen onze aanbiedingen voortdurend verbeteren en aantrekkelijker voor u maken. Daarom verwerken wij persoonsgegevens voor marktonderzoek en productontwikkeling. Daartoe verwerken wij met name stamgegevens, gedragsgegevens, transactiegegevens en voorkeursgegevens, maar ook communicatiegegevens en informatie uit klantenonderzoeken, enquêtes en studies en andere informatie, bijvoorbeeld uit de media, het internet en andere openbare bronnen. Voor zover mogelijk gebruiken wij hiervoor gepseudonimiseerde of geanonimiseerde gegevens.
Marktonderzoek en productontwikkeling omvatten met name:
- het uitvoeren van klantenonderzoeken, enquêtes en studies;
- de verdere ontwikkeling van ons aanbod (bv. inrichting van het assortiment, keuze van de locatie, prijsstelling en actieplanning, enz;)
- het beoordelen en verbeteren van de acceptatie van onze aanbiedingen en onze communicatie in verband met aanbiedingen;
- het optimaliseren en verbeteren van de gebruiksvriendelijkheid van webpagina’s en apps;
- de ontwikkeling en het testen van nieuwe aanbiedingen;
- het herzien en verbeteren van onze interne processen;
- statistische evaluaties, bijvoorbeeld om informatie over de interacties van onze klanten met ons op niet-persoonlijke basis te evalueren;
- de beoordeling van de aanbodsituatie op een bepaalde markt en het gedrag van onze concurrenten;
- marktobservatie, bijvoorbeeld om inzicht te krijgen in en te reageren op actuele ontwikkelingen en trends.
6.5 Veiligheid en preventie
Wij willen uw en onze veiligheid waarborgen en misbruik voorkomen. Daarom verwerken wij ook persoonsgegevens voor beveiligingsdoeleinden, om de IT-beveiliging te waarborgen, om diefstal, fraude en misbruik te voorkomen en voor bewijsdoeleinden. Dit kan alle in punt 4 genoemde categorieën van persoonsgegevens betreffen, met name ook gedrags- en transactiegegevens en beeld- en geluidsopnamen. Wij kunnen deze gegevens verzamelen, evalueren en opslaan voor de genoemde doeleinden.
Het doel van veiligheid en preventie omvat bijvoorbeeld:
- het maken en evalueren (handmatig en automatisch) van video-opnamen voor het opsporen en vervolgen van strafbare feiten;
- het uitvoeren van steekproeven om de correcte registratie en betaling van goederen in onze filialen te controleren;
- het uitvaardigen van huisverboden en het beheer van lijsten van huisverboden;
- de analyse van gedrags- en transactiegegevens om verdachte gedragspatronen en frauduleuze activiteiten op te sporen;
- de evaluatie van systeemregistraties van het gebruik van onze systemen (loggegevens);
- de preventie, verdediging en opsporing van cyberaanvallen en malware-aanvallen;
- analyses en tests van onze netwerken en IT-infrastructuur, alsmede systeem- en foutcontroles;
- controle op de toegang tot elektronische systemen (bv. inloggen op gebruikersaccounts);
- fysieke toegangscontroles (bv. toegang tot kantoorruimten);
- documentatie en het maken van back-ups.
Wij kunnen met name ook video-opnamen geautomatiseerd evalueren met het oog op veiligheid en preventie. In een concreet geval van verdenking kunnen we bijvoorbeeld een combinatie van kenmerken definiëren (zoals kleding of lengte) en automatisch laten zoeken naar deze combinatie van kenmerken in bestaande video-opnamen van een bepaalde periode. Dit stelt ons in staat video-opnamen efficiënter te evalueren en ondersteunt ons zo bij het onderzoek naar strafbare feiten. Wij analyseren in dit verband echter geen biometrische gegevens (bv. gezichtsherkenning) en voeren geen geautomatiseerde analyses van gedragspatronen of soortgelijke analyses uit.
6.6 Naleving van wettelijke voorschriften
Wij willen de voorwaarden scheppen om aan wettelijke vereisten te voldoen. Daarom verwerken wij ook persoonsgegevens om te voldoen aan wettelijke verplichtingen en om overtredingen te voorkomen en op te sporen. Dit omvat bijvoorbeeld het ontvangen en verwerken van klachten en andere meldingen, het opvolgen van bevelen van een rechtbank of autoriteit en het nemen van maatregelen om misbruik op te sporen en op te helderen. Dit kan alle in punt 4 genoemde categorieën persoonsgegevens betreffen.
De naleving van wettelijke voorschriften omvat met name:
- de bescherming van jongeren en minderjarigen, bijvoorbeeld de handhaving van leeftijdsgrenzen voor de aankoop van alcohol;
- de uitvoering van gezondheids- en beschermingsconcepten;
- inlichtingen over zakenpartners;
- de ontvangst en verwerking van klachten en andere meldingen;
- het verrichten van interne onderzoeken;
- het waarborgen van compliance en risicobeheer;
- het verstrekken van informatie en documenten aan autoriteiten indien wij daartoe een feitelijke reden hebben (bijvoorbeeld omdat wij zelf een benadeelde partij zijn) of daartoe wettelijk verplicht zijn;
- de medewerking bij externe onderzoeken, bijvoorbeeld door een wetshandhavings- of toezichthoudende autoriteit;
- het waarborgen van de wettelijk vereiste gegevensbeveiliging;
- de vervulling van verplichtingen inzake openbaarmaking, informatie of rapportage, bijvoorbeeld in verband met toezichts- en fiscale verplichtingen, bijvoorbeeld archiveringsverplichtingen en ter voorkoming, opsporing en opheldering van strafbare feiten en andere overtredingen;
- de wettelijk geregelde bestrijding van het witwassen van geld en de financiering van terrorisme.
In alle gevallen kan dit betrekking hebben op de Zwitserse wet, maar ook op buitenlandse voorschriften waaraan wij onderworpen zijn, alsmede op zelfreguleringen, branche- en andere normen, onze eigen “corporate governance” of ambtelijke aanwijzingen.
6.7 Bescherming van rechten
Wij willen aanspraak kunnen maken op onze rechten en ons verdedigen tegen de aanspraken van anderen. Daarom verwerken wij ook persoonsgegevens ter bescherming van onze rechten, bijv. om vorderingen in of buiten rechte en bij autoriteiten in Zwitserland en in het buitenland af te dwingen of om ons tegen vorderingen te verdedigen. Afhankelijk van de constellatie verwerken wij daarbij verschillende persoonsgegevens, bijvoorbeeld contactgegevens en informatie over processen die aanleiding hebben gegeven of kunnen geven tot een geschil.
Het doel van de bescherming van rechten omvat in het bijzonder:
- het verduidelijken en afdwingen van onze vorderingen, die ook vorderingen van aan ons gelieerde bedrijven en onze contractuele en zakelijke partners kunnen omvatten;
- de verdediging van vorderingen tegen ons, onze werknemers, met ons verbonden ondernemingen en onze contractuele en zakelijke partners;
- het verduidelijken van de vooruitzichten van een rechtszaak en andere juridische, economische en andere kwesties;
- de deelname aan procedures voor rechtbanken en autoriteiten in binnen- en buitenland. Wij kunnen bijvoorbeeld bewijsmateriaal veiligstellen, de vooruitzichten van een rechtszaak verduidelijken of documenten indienen bij een instantie. Het kan ook zijn dat autoriteiten ons verzoeken documenten en gegevensdragers openbaar te maken die persoonsgegevens bevatten.
6.8 Administratie en ondersteuning binnen de groep
Wij willen onze interne processen efficiënt inrichten. Daarom verwerken wij ook persoonsgegevens voor de interne administratie van de Migros Groep (zie punt 2 voor informatie over de Migros Groep). Daartoe verwerken wij met name stamgegevens, contractgegevens en technische gegevens, maar ook gedrags- en transactiegegevens en communicatiegegevens.
De administratie binnen de groep omvat met name:
- het beheer van IT en onroerend goed;
- de boekhouding;
- de archivering van gegevens en het beheer van onze archieven;
- training en opleiding, bijvoorbeeld wanneer wij opnames van telefoon-, video- of andere communicatie evalueren;
- de centrale opslag en het beheer van gegevens die door verschillende ondernemingen van de Migros Groep worden gebruikt;
- de beoordeling of uitvoering van transacties met betrekking tot het vennootschapsrecht, zoals overnames, verkopen en fusies van ondernemingen;
- het doorsturen van vragen naar de relevante afdelingen, bijvoorbeeld als u een vraag naar een Migros-bedrijf stuurt die betrekking heeft op een ander bedrijf;
- de verkoop van vorderingen, waarbij wij de koper bijvoorbeeld informatie verstrekken over de reden en het bedrag van de vordering en, indien van toepassing, de kredietwaardigheid en het gedrag van de debiteur;
- in het algemeen het herzien en verbeteren van interne processen.
Zoals elke groep van bedrijven heeft ook de Migros Groep een algemeen belang bij succesvolle bedrijfsactiviteiten van de groepsmaatschappijen en onze groepsmaatschappijen hebben op hun beurt een belang bij hun eigen activiteiten en verwerkingsdoeleinden. Wij kunnen derhalve ook persoonsgegevens doorgeven aan andere bedrijven van de Migros Groep voor hun eigen verwerkingsdoeleinden overeenkomstig de Gegevensbeschermingsverklaring van de Migros Groep in het algemene belang van de Migros Groep. Meer informatie hierover vindt u in punt 8.
7. Op welke rechtsgrondslagen verwerken wij persoonsgegevens?
Afhankelijk van het doel van de gegevensverwerking is onze verwerking van persoonsgegevens gebaseerd op verschillende rechtsgrondslagen. Wij kunnen met name persoonsgegevens verwerken indien de verwerking:
- noodzakelijk is voor de uitvoering van een overeenkomst met de betrokkene of voor precontractuele maatregelen (bijvoorbeeld de behandeling van een contractaanvraag);
- noodzakelijk is voor de uitoefening van legitieme belangen, bijvoorbeeld wanneer gegevensverwerking een centraal onderdeel is van onze bedrijfsactiviteiten;
- is gebaseerd op een toestemming;
- is vereist om binnenlandse of buitenlandse wettelijke bepalingen na te leven.
Wij hebben met name een legitiem belang bij de verwerking voor de in punt 6 hierboven beschreven doeleinden en bij de openbaarmaking van gegevens overeenkomstig punt 8 en de met elk van deze doeleinden verbonden doelstellingen. Legitieme belangen omvatten onze eigen belangen en de belangen van derden.
Deze legitieme belangen omvatten bijvoorbeeld het belang
- om producten en diensten te leveren aan derden (bijvoorbeeld aan personen die geschenken ontvangen);
- van een goede klantenservice, het onderhouden van contacten en het communiceren met klanten buiten een contract;
- van reclame- en marketingactiviteiten;
- om onze klanten en andere mensen beter te leren kennen;
- om producten en diensten te verbeteren en nieuwe te ontwikkelen;
- van de administratie en het verkeer binnen de groep die noodzakelijk zijn in een groep met samenwerking op basis van taakverdeling;
- van de wederzijdse ondersteuning van de bedrijven van de Groep in hun activiteiten en doelstellingen;
- van de bestrijding van fraude, bijvoorbeeld in webwinkels, en het voorkomen en onderzoeken van strafbare feiten;
- van de bescherming van klanten, andere personen en gegevens, geheimen en activa van de Migros Groep;
- van het waarborgen van de IT-veiligheid, met name in verband met het gebruik van webpagina’s, apps en andere IT-infrastructuur;
- van het waarborgen en organiseren van de bedrijfsvoering, met inbegrip van de exploitatie en verdere ontwikkeling van webpagina’s en andere systemen;
- van bedrijfsleiding en -ontwikkeling;
- van de verkoop of aankoop van bedrijven, delen van bedrijven en andere activa;
- van het aanspraak maken op rechten of het verdedigen van rechtsvorderingen;
- van de naleving van de Zwitserse en buitenlandse wetgeving en interne regels.
Hier vindt u meer informatie over de rechtsgrondslagen.
8. Met wie delen wij persoonsgegevens?
8.1 Binnen de Migros-gemeenschap
Wij kunnen persoonsgegevens die wij van u of van derden ontvangen, delen met andere bedrijven van de Migros Groep. Doorgifte kan plaatsvinden voor interne groepsadministratie of ter ondersteuning van de betrokken groepsmaatschappijen en hun eigen verwerkingsdoeleinden (punt 6), zoals wanneer wij de personalisering van marketingactiviteiten, de ontwikkeling en verbetering van producten en diensten, de uitvoering van kredietwaardigheidscontroles of inspanningen ter voorkoming van diefstal, fraude en misbruik ondersteunen. De ontvangen persoonsgegevens kunnen door de desbetreffende groepsmaatschappijen zo nodig ook worden gematcht met en gekoppeld aan bestaande persoonsgegevens.
Dit kan bijvoorbeeld de verstrekking van de volgende gegevens inhouden:
- alle in punt 4 genoemde categorieën persoonsgegevens voor het beheer en de verwerking van contractuele relaties, met name in verband met producten en diensten waarbij meerdere groepsmaatschappijen betrokken zijn;
- stamgegevens, contractgegevens, communicatiegegevens, gedrags- en transactiegegevens en voorkeursgegevens, alsmede bevindingen uit klantenenquêtes, opiniepeilingen, studies en beeld- en geluidsopnamen voor marktonderzoek en productontwikkeling, voor zover een persoonlijke verwijzing naar die gegevens noodzakelijk is;
- stamgegevens, contractgegevens, communicatiegegevens, gedrags- en transactiegegevens, voorkeursgegevens en beeld- en geluidsopnamen voor de levering en personalisering van aanbiedingen, communicatie- en marketingactiviteiten;
- stamgegevens, contractgegevens, communicatiegegevens, gedrags- en transactiegegevens en voorkeursgegevens voor fraude- en misbruikpreventie en voor kredietwaardigheidscontroles (bv. in verband met een aankoop op rekening);
- stamgegevens, gedrags- en transactiegegevens en beeld- en geluidsopnamen voor diefstalpreventie en bewijsvoering;
- beveiligingsrelevante informatie voor beveiligingsdoeleinden en naleving van wettelijke voorschriften;
- informatie ter ondersteuning van de bescherming van rechten.
Als u bijvoorbeeld contact met ons opneemt met een vraag over een product, kunnen wij deze informatie delen met het producerende bedrijf van de eigen Migros-industrie ten behoeve van product- en kwaliteitsverbetering.
Nadere informatie over de ondernemingen die tot de Migros Groep behoren, is te vinden in punt 2.
8.2 Buiten de Migros-gemeenschap
Wij kunnen uw persoonsgegevens doorgeven aan bedrijven buiten de Migros Groep als wij gebruik maken van hun diensten. In de regel verwerken deze dienstverleners persoonsgegevens namens ons als zogenaamde “verwerkers”. Onze verwerkers zijn verplicht persoonsgegevens uitsluitend volgens onze instructies te verwerken en passende maatregelen voor de gegevensbeveiliging te nemen. Bepaalde dienstverleners zijn ook samen met ons of onafhankelijk verantwoordelijk (bijvoorbeeld incassobureaus). Door onze selectie van dienstverleners en door passende contractuele overeenkomsten zorgen wij ervoor dat de gegevensbescherming bij de verwerking van uw persoonsgegevens gewaarborgd is.
Het gaat hierbij bijvoorbeeld om diensten op de volgende gebieden:
- expeditie en logistiek, bijvoorbeeld voor de verzending van bestelde goederen;
- reclame- en marketingdiensten, bijvoorbeeld voor het verzenden van mededelingen en informatie;
- garantie en teruggave, bijvoorbeeld voor reparatie in geval van defecten
- het beheer van de onderneming, bijvoorbeeld boekhouding of vermogensbeheer;
- betalingsdiensten;
- informatie over kredietwaardigheid, bijvoorbeeld als u een aankoop op rekening wilt doen;
- incassodiensten;
- aanbieders van verzekeringen;
- fraudepreventiediensten die betalingsdienstaanbieders op eigen verantwoordelijkheid uitvoeren, zoals PayPal Fraud Protection. Overeenkomstige procedures worden alleen toegepast als u al klant bent bij de desbetreffende betalingsdienstaanbieder. Meer gedetailleerde informatie is dan te vinden in de gegevensbeschermingsverklaring van de desbetreffende dienstverlener;
- IT-diensten, bijvoorbeeld diensten op het gebied van gegevensopslag (hosting), clouddiensten, verzending van e-mailnieuwsbrieven, analyse en verfijning van gegevens, enz;
- adviesdiensten, bijvoorbeeld diensten van belastingadviseurs, advocaten, bedrijfsadviseurs of adviseurs op het gebied van werving en plaatsing van personeel.
Wij kunnen ook persoonsgegevens aan andere derden verstrekken voor hun eigen doeleinden, bijvoorbeeld als u ons uw toestemming heeft gegeven of als wij wettelijk verplicht of gerechtigd zijn deze gegevens te verstrekken. In deze gevallen is de ontvanger van de gegevens een afzonderlijke verwerkingsverantwoordelijke wat betreft het gegevensbeschermingsrecht.
Dit omvat bijvoorbeeld de volgende gevallen:
- informatie over door fabrikanten teruggeroepen producten als u een product van de fabrikant heeft gekocht.
- de overdracht van vorderingen aan andere bedrijven zoals incassobureaus;
- de beoordeling of uitvoering van transacties met betrekking tot het vennootschapsrecht, zoals overnames, verkopen en fusies van ondernemingen;
- de verstrekking van persoonsgegevens aan rechtbanken en autoriteiten in Zwitserland en daarbuiten, bijvoorbeeld aan wetshandhavingsinstanties bij een vermoeden van een strafbaar feit;
- de verwerking van persoonsgegevens om te voldoen aan een gerechtelijk bevel of een ambtelijke beschikking of om rechtsvorderingen te doen gelden of te verdedigen of indien wij dit om andere juridische redenen noodzakelijk achten. Daarbij kunnen wij ook persoonsgegevens verstrekken aan andere partijen in de procedure.
Let ook op onze Informatie over cookies over onafhankelijke gegevensverzameling door, of de overdracht van gegevens aan, externe providers waarvan we tools gebruiken of hebben geïntegreerd op onze webpagina’s en apps.
Wij zijn principieel niet onderworpen aan enig beroepsgeheim (zoals het bankgeheim of het medisch geheim). Laat ons in individuele gevallen weten als u van mening bent dat bepaalde persoonsgegevens onder de geheimhoudingsplicht vallen, opdat wij uw verzoek kunnen controleren.
Hier vindt u meer informatie over de overdracht van gegevens buiten de Migros-gemeenschap.
9. Hoe verstrekken wij persoonsgegevens aan het buitenland?
Wij verwerken en bewaren persoonsgegevens hoofdzakelijk in Zwitserland en de Europese Economische Ruimte (EER). In bepaalde gevallen kunnen wij echter ook persoonsgegevens doorgeven aan dienstverleners en andere ontvangers (zie punt 8) die zich buiten dit grondgebied bevinden of die persoonsgegevens buiten dit grondgebied verwerken, in principe in elk land ter wereld. De betrokken landen hebben misschien niet dezelfde wetten die uw persoonsgegevens beschermen als in Zwitserland of de EER. Indien wij uw persoonsgegevens naar een dergelijke staat overdragen, zullen wij de bescherming van uw persoonsgegevens op passende wijze waarborgen.
Een middel om een adequate gegevensbescherming te waarborgen is bijvoorbeeld het sluiten van overeenkomsten inzake gegevensoverdracht met de ontvangers van uw persoonsgegevens in derde landen, die de noodzakelijke gegevensbescherming waarborgen. Daartoe behoren contracten die door de Europese Commissie en de Zwitserse Commissaris voor Gegevensbescherming en Informatie zijn goedgekeurd, uitgevaardigd of erkend, de zogenaamde standaardcontractbepalingen. Een voorbeeld van de contracten voor gegevensoverdracht die wij gewoonlijk gebruiken, vindt u hier. Er zij op gewezen dat dergelijke contractuele regelingen een zwakkere of ontbrekende wettelijke bescherming gedeeltelijk kunnen compenseren, maar niet alle risico’s (bv. van overheidstoegang in het buitenland) volledig kunnen uitsluiten. In uitzonderlijke gevallen kan de doorgifte naar landen zonder passende bescherming ook in andere gevallen toelaatbaar zijn, bijvoorbeeld op basis van toestemming, in verband met gerechtelijke procedures in het buitenland of indien de doorgifte noodzakelijk is voor de uitvoering van een overeenkomst.
10. Hoe verwerken wij gevoelige persoonsgegevens?
Bepaalde soorten persoonsgegevens worden krachtens de gegevensbeschermingswetgeving beschouwd als “gevoelig”, bijvoorbeeld informatie over gezondheid en biometrische kenmerken. Afhankelijk van de constellatie kunnen de in punt 4 genoemde categorieën persoonsgegevens ook dergelijke gevoelige persoonsgegevens omvatten. Over het algemeen verwerken wij echter alleen gevoelige persoonsgegevens, indien dit noodzakelijk is voor het verlenen van een dienst, u deze gegevens uit eigen beweging aan ons heeft verstrekt of u met de verwerking heeft ingestemd. Wij kunnen ook gevoelige persoonsgegevens verwerken indien dit noodzakelijk is om rechten te beschermen of om nationale of buitenlandse wettelijke bepalingen na te leven, indien de betrokken gegevens duidelijk door de betrokkene openbaar zijn gemaakt of indien de toepasselijke wetgeving de verwerking ervan anderszins toestaat.
Wij kunnen bijvoorbeeld in de volgende gevallen gevoelige persoonsgegevens verwerken:
- u wilt een alcoholische drank bestellen in een webwinkel en een ID-document toevoegen aan uw klantenaccount voor digitale leeftijdscontrole;
- u solliciteert op een vacature en verstrekt informatie over uw gezondheid, vakbondslidmaatschap of strafblad.
11. Hoe maken we gebruik van profilering?
“Profilering”: de geautomatiseerde verwerking van persoonsgegevens om persoonlijke aspecten te analyseren of voorspellingen te doen, bijvoorbeeld de analyse van persoonlijke interesses, voorkeuren, affiniteiten en gewoonten of de voorspelling van waarschijnlijk gedrag. Profilering kan worden gebruikt om met name voorkeursgegevens af te leiden (zie punt 4.5 voor meer informatie).
Profilering is een gangbaar proces, bijvoorbeeld bij geautomatiseerde verwerking
- van stamgegevens, contractgegevens, gedrags- en transactiegegevens bij aankopen in onze webwinkels en filialen;
- van gedrags-, transactie- en technische gegevens in verband met onze webpagina’s en apps;
- van informatie in verband met het bijwonen van evenementen of deelname aan wedstrijden, prijsvragen en soortgelijke evenementen;
- van communicatiegegevens, bijvoorbeeld uw reactie op reclame en andere mededelingen;
- van andere gedrags- en transactiegegevens.
Profilering helpt ons daarbij, bijvoorbeeld,
- om onze diensten voortdurend te verbeteren en beter af te stemmen op individuele behoeften;
- om onze inhoud en aanbiedingen aan u te presenteren op een manier die aan uw behoeften voldoet;
- om u voor zover mogelijk alleen advertenties en aanbiedingen te presenteren die waarschijnlijk relevant voor u zijn;
- om u beter te ondersteunen in de klantenservice;
- om te beslissen welke betalingsmogelijkheden beschikbaar zijn op basis van een kredietbeoordeling.
Wij voeren profilering uit, bijvoorbeeld in verband met onze webwinkels, door uw winkelgedrag te evalueren en u op basis daarvan in te delen in bepaalde interesses. Dergelijke interesses kunnen permanent of per geval worden gevormd en kunnen bijvoorbeeld betrekking hebben op de koopmotieven. Dankzij deze profilering kunnen wij u bijvoorbeeld relevante productsuggesties sturen via een nieuwsbrief.
Profilering vindt bijvoorbeeld ook plaats in verband met het klantenaccount, bijvoorbeeld door het evalueren van uw gebruik en winkelgedrag in onze webwinkels en op onze webpagina’s en in onze apps, bijvoorbeeld om u een individuele gebruikerservaring te bieden en u aanbiedingen te doen die op uw interesses zijn afgestemd.
Om de kwaliteit van onze analyses en prognoses te verbeteren, kunnen wij ook persoonsgegevens uit verschillende bronnen koppelen als basis voor de profilering, bijvoorbeeld gegevens die via verschillende van onze diensten zijn verzameld of gegevens die wij van andere bedrijven binnen de Migros Groep ontvangen. Ook zelflerende algoritmen (specifieke programmeringen in computerprogramma’s) kunnen worden gebruikt.
U kunt in bepaalde gevallen bezwaar maken tegen profilering, zoals beschreven in punt 15.
12. Maken wij gebruik van geautomatiseerde individuele besluitvorming?
Onder “geautomatiseerde individuele besluitvorming” worden besluiten verstaan, die volledig geautomatiseerd, d.w.z. zonder menselijke invloed, worden genomen en die rechtsgevolgen hebben voor de betrokkene of hem anderszins in aanmerkelijke mate treffen. Wij doen dit gewoonlijk niet, maar zullen u apart informeren indien wij in individuele gevallen gebruik maken van geautomatiseerde individuele besluiten. U heeft dan de mogelijkheid om de beslissing door een mens te laten toetsen als u het er niet mee eens bent.
13. Hoe beschermen wij persoonsgegevens?
Wij nemen passende beveiligingsmaatregelen van technische en organisatorische aard om de veiligheid van uw persoonsgegevens te waarborgen, deze te beschermen tegen ongeoorloofde of onrechtmatige verwerking en te beschermen tegen het risico van verlies, accidentele wijziging, ongeoorloofde bekendmaking of onbevoegde toegang. Zoals alle bedrijven kunnen wij een datalek echter niet met absolute zekerheid uitsluiten; bepaalde restrisico’s zijn onvermijdelijk.
Beveiligingsmaatregelen van technische aard zijn bijvoorbeeld versleuteling en pseudonimisering van gegevens, logboeken, toegangsbeperkingen en de opslag van reservekopieën. Veiligheidsmaatregelen van organisatorische aard zijn bijvoorbeeld instructies aan onze werknemers, trainingen en controles. Ook verplichten wij onze verwerkers om passende technische en organisatorische beveiligingsmaatregelen te nemen.
14. Hoe lang verwerken wij persoonsgegevens?
Wij verwerken en bewaren uw persoonsgegevens,
- zolang dit noodzakelijk is voor het doel van de verwerking of daarmee verenigbare doeleinden, in het geval van contracten in de regel ten minste voor de duur van de contractuele relatie;
- zolang we een legitiem belang hebben bij het opslaan ervan. Dit kan met name het geval zijn wanneer wij persoonsgegevens nodig hebben om vorderingen af te dwingen of ons ertegen te verdedigen, voor archiveringsdoeleinden en om de IT-beveiliging te waarborgen;
- zolang ze onderworpen zijn aan een wettelijke bewaarplicht. Voor bepaalde gegevens geldt bijvoorbeeld een bewaartermijn van tien jaar. Voor andere gegevens gelden kortere bewaartermijnen, bijvoorbeeld voor opnamen uit een videobewaking of voor opnamen van bepaalde processen op internet (loggegevens).
In bepaalde gevallen vragen wij u ook om toestemming als wij persoonsgegevens langer willen bewaren (bijvoorbeeld voor sollicitaties die wij in behandeling willen houden). Na het verstrijken van bovengenoemde termijnen verwijderen of anonimiseren wij uw persoonsgegevens.
Wij laten ons bijvoorbeeld leiden door de volgende bewaartermijnen, hoewel wij daar in individuele gevallen van kunnen afwijken:
- Klantenaccount: de persoonsgegevens worden opgeslagen voor de duur van het klantenaccount. Indien opdracht wordt gegeven tot verwijdering van het klantenaccount, worden de gegevens uiterlijk na 30 dagen verwijderd na onderzoek van openstaande vorderingen en andere relevante punten die een onmiddellijke verwijdering verhinderen.
- Contracten: wij bewaren stam- en contractgegevens doorgaans tien jaar vanaf de laatste contractactiviteit of vanaf het einde van het contract. Deze termijn kan echter langer zijn voor zover dit noodzakelijk is om redenen van bewijsvoering, wegens wettelijke of contractuele verplichtingen of om technische redenen. Transactiegegevens in verband met contracten worden doorgaans tien jaar bewaard.
- Technische gegevens: cookies worden gewoonlijk enkele dagen tot twee jaar bewaard, tenzij ze onmiddellijk na het einde van de sessie worden verwijderd.
- Communicatiegegevens: e-mails, mededelingen via het contactformulier en schriftelijke correspondentie worden doorgaans tien jaar bewaard.
- Beeld- en geluidsopnamen: de bewaartermijn varieert afhankelijk van het doel. Dit varieert van enkele dagen voor opnamen van beveiligingscamera’s tot meerdere jaren bij verslagen van evenementen met foto’s.
- Sollicitaties: wij verwijderen sollicitatiegegevens gewoonlijk binnen zes maanden nadat de sollicitatieprocedure is afgerond. Met uw toestemming kunnen wij uw sollicitatie aanhouden met het oog op een eventuele toekomstige aanstelling.
15. Welke rechten heeft u in verband met de verwerking van uw persoonsgegevens?
U heeft het recht om bezwaar te maken tegen de gegevensverwerking, met name als wij uw persoonsgegevens verwerken op basis van een gerechtvaardigd belang en aan de andere toepasselijke voorwaarden is voldaan (artikel 21 AVG). U kunt ook te allen tijde bezwaar maken tegen gegevensverwerking in verband met direct marketing (bijv. reclamemails). Dit geldt ook voor profilering, voor zover deze verband houdt met dergelijke direct marketing.
Voor zover aan de telkens toepasselijke vereisten is voldaan en er geen wettelijke uitzonderingen gelden, heeft u ook de volgende rechten:
- het recht om informatie te vragen over uw persoonsgegevens die bij ons zijn opgeslagen; D.w.z. om na te gaan of wij uw persoonsgegevens verwerken en, zo ja, om informatie te vragen over de opgeslagen gegevens alsmede verdere informatie (bijvoorbeeld de doeleinden van de verwerking, de categorie van persoonsgegevens of de categorieën van ontvangers) (artikel 15 AVG).
- het recht op correctie van onjuiste of onvolledige persoonsgegevens (artikel 16 AVG);
- het recht om te verzoeken om verwijdering of anonimisering van uw persoonsgegevens, voor zover wij niet verplicht zijn deze te bewaren (artikel 17 AVG);
- het recht te verzoeken om beperking van de verwerking van uw persoonsgegevens (artikel 18 AVG);
- het recht om bepaalde persoonsgegevens in een gestructureerd, gangbaar en machinaal leesbaar formaat te ontvangen (artikel 20 AVG);
- het recht om een toestemming in te trekken met werking voor de toekomst, voor zover de verwerking gebaseerd is op toestemming;
- het recht om bezwaar te maken tegen de verwerking van persoonsgegevens in individuele gevallen zoals hierboven beschreven (artikel 21 AVG).
Houd er rekening mee dat deze rechten in individuele gevallen kunnen worden beperkt of uitgesloten, bijvoorbeeld indien er twijfel bestaat over de identiteit of indien dit noodzakelijk is om andere personen te beschermen, om belangen die bescherming verdienen te vrijwaren of om te voldoen aan wettelijke verplichtingen.
De belangrijkste van bovenstaande rechten kunt u uitoefenen via uw klantenaccount of onze Galaxus Assistant. Als u een klantenaccount heeft, kunt u uw daar opgeslagen stamgegevens (bijvoorbeeld uw adres) op elk moment corrigeren. U kunt daar ook vragen om de deactivering van het klantenaccount of de volledige verwijdering van uw persoonsgegevens. Bovendien kunt u zich afmelden voor nieuwsbrieven en andere promotionele e-mails door op de betreffende link onderaan de e-mail te klikken. U kunt ook contact met ons opnemen overeenkomstig punt 16 als u een van uw rechten wilt uitoefenen of als u vragen heeft over de verwerking van uw persoonsgegevens.
Het staat u ook vrij een klacht in te dienen bij een bevoegde toezichthoudende autoriteit als u twijfelt of de verwerking van uw persoonsgegevens in overeenstemming is met de wet.
- De bevoegde toezichthoudende autoriteit in Zwitserland is de Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB).
- De bevoegde toezichthoudende autoriteit in het Vorstendom Liechtenstein is de Datenschutzstelle des Fürstentums Liechtenstein.
- De bevoegde toezichthoudende autoriteit in Duitsland is de Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit, Klosterwall 6 (Block C), 20095 Hamburg
- De bevoegde toezichthoudende autoriteit in Oostenrijk is de Österreichische Datenschutzbehörde, Barichgasse 40-42, 1030 Wenen.
- De bevoegde toezichthoudende autoriteit in Frankrijk is de Commission nationale de l'informatique et des libertés, 3 Place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07
- De bevoegde toezichthoudende autoriteit in Italië is de Garante per la protezione dei dati personali, con sede in Piazza Venezia 11, IT-00187, Rome
- De bevoegde toezichthoudende autoriteit in Nederland is de Autoriteit Persoonsgegevens, PO Box 93374, 2509 AJ DEN HAAG
- De bevoegde toezichthoudende autoriteit in Belgie is de Gegevensbeschermingsautoriteit, Drukpersstraat 35, 1000 Brussel
Voor zover u via het platform galaxus.de goederen van deelnemers (andere bedrijven die producten/diensten via galaxus.de verkopen) koopt, gelden de bovengenoemde rechten dienovereenkomstig ten opzichte van deze deelnemers. Als u de bovengenoemde rechten jegens onze deelnemers wilt uitoefenen, neem dan gewoon rechtstreeks contact op met het betreffende bedrijf. De contacten van de bedrijven zijn te vinden in de deelnemersinformatie, die als link beschikbaar is bij de desbetreffende producten.
16. Hoe kunt u contact met ons opnemen?
Als u vragen heeft over deze Gegevensbeschermingsverklaring of over de verwerking van uw persoonsgegevens, kunt u als volgt contact met ons opnemen:
Voor Duitsland en alle andere Europese landen of galaxus.de, galaxus.at, galaxus.fr, galaxus.it, galaxus.nl, galaxus.be
Galaxus Deutschland GmbH
Hoheluftchaussee 18
DE-20253 Hamburg
Let ook op onze Galaxus Assistant.
Voor specifieke vragen over gegevensbescherming kunt u contact opnemen met onze functionaris voor gegevensbescherming:
Galaxus Deutschland GmbH
Datenschutz
Hoheluftchaussee 18
DE-20253 Hamburg
E-mail: datenschutz@galaxus.de
U kunt ook contact opnemen met de functionaris voor gegevensbescherming van de Migros Groep of onze vertegenwoordiger in de Europese Unie of de Europese Economische Ruimte:
- Functionaris voor gegevensbescherming: Migros-Genossenschafts-Bund, Datenschutzbeauftragter, c/o Legal & Compliance, Limmatstrasse 152, 8005 Zürich, privacy@mgb.ch
- EU/EER-vertegenwoordiger: VGS Datenschutzpartner UG, Am Kaiserkai 69, 20457 Hamburg, Duitsland
17. Wijzigingen in deze gegevensbeschermingsverklaring
Deze gegevensbeschermingsverklaring kan na verloop van tijd worden gewijzigd, met name indien wij onze gegevensverwerking wijzigen of indien nieuwe wetgeving van toepassing wordt. Wij zullen personen van wie de contactgegevens bij ons zijn geregistreerd actief op de hoogte stellen van belangrijke wijzigingen mits dit zonder onevenredige inspanningen kan gebeuren. Voor gegevensverwerkingen is in het algemeen de gegevensbeschermingsverklaring van toepassing in de versie die gold bij het begin van de verwerking in kwestie.
Laatste wijzigingen: 11.12.2024