Privacybeleid

overeenkomstig de artikelen 13 en 14 van Verordening (EU) 2016/679 (AVG)

Laatst bijgewerkt: 07/02/2026

1. Verwerkingsverantwoordelijke

Culturae Heritage Services srls (hierna ook de "Verwerkingsverantwoordelijke"), met maatschappelijke zetel te Via dei Banchi 6, 50123 Florence (FI), Italië, btw-nummer IT07519170489, fiscaal nummer 07519170489, REA FI-709102.

Contactpersoon voor privacy: legal@vatican.museum

De verwerkingsverantwoordelijke heeft geen functionaris voor gegevensbescherming (DPO) aangesteld, aangezien hij niet valt onder de verplichte gevallen zoals uiteengezet in artikel 37 AVG (de verwerkingsverantwoordelijke voert geen grootschalige verwerking van bijzondere categorieën van gegevens uit, noch regelmatige en systematische grootschalige monitoring). Voor elk verzoek met betrekking tot de bescherming van persoonsgegevens kunt u schrijven naar het hierboven vermelde adres.

2. Toepassingsgebied

Deze privacyverklaring beschrijft hoe de verwerkingsverantwoordelijke de persoonsgegevens verwerkt van gebruikers (hierna "gebruiker" of "betrokkene") die de website vatican.museum (hierna de "website") en de andere websites die eigendom zijn van de verwerkingsverantwoordelijke bezoeken en ermee communiceren.

Deze verklaring is van toepassing op alle verwerkingen die via de Website worden uitgevoerd, met inbegrip van contactformulieren, registratiesystemen, statistische analysediensten (analytics), tools voor reclame en conversiemeting, antispam- en beveiligingssystemen, en communicatiediensten (nieuwsbrief, transactionele e-mails), die uitsluitend worden geactiveerd met de voorafgaande toestemming van de Gebruiker, indien dit wettelijk vereist is, via het Consent Management Platform (CMP) dat in de Website is geïntegreerd.

De Website is redactioneel en informatief van aard. De Verwerkingsverantwoordelijke is geen touroperator, reisbureau of reisbemiddelaar in de zin van de toepasselijke wetgeving. Voor meer details over de aard van de dienst verwijzen wij u naar de Disclaimer en de Gebruiksvoorwaarden.

3. Soorten verwerkte gegevens

3.1 Browsing- en technische gegevens

Tijdens normaal browsen verzamelen de computersystemen en softwareprocedures die worden gebruikt om de Website te beheren automatisch bepaalde gegevens, waarvan de overdracht impliciet is bij het gebruik van internetcommunicatieprotocollen. Deze gegevens omvatten: IP-adres, browsertype en -versie, besturingssysteem, taal, opgevraagde URL's, datum en tijdstip van verzoeken, HTTP-methode, serverresponscode, technische sessie-identificatoren, beveiligingsgebeurtenissen.

3.2 Gegevens die vrijwillig door de gebruiker worden verstrekt

Persoonsgegevens die de gebruiker vrijwillig verstrekt via contactformulieren, registratieformulieren of rechtstreekse e-mail kunnen het volgende omvatten:

voor- en achternaam;
e-mailadres;
telefoonnummer;
land van herkomst;
inhoud van vrije tekstberichten;
inloggegevens (e-mailadres en wachtwoord) in geval van registratie;
alle andere informatie die de gebruiker vrijwillig verstrekt.

3.3 Gegevens verzameld via cookies en soortgelijke technologieën

De Website maakt gebruik van cookies en soortgelijke technologieën (lokale opslag, pixels, tags) om online identificatiegegevens en informatie over het gebruik van de Website te verzamelen, in overeenstemming met de voorkeuren die de Gebruiker via het CMP heeft aangegeven. Raadpleeg het Cookiebeleid voor alle details.

3.4 Gegevens met betrekking tot advertentiecampagnes en affiliaties

In het kader van digitale marketingactiviteiten kunnen parameters voor het volgen van campagnes (bijv. gclid, fbclid, msclkid, ttclid, utm_*-parameters) en geaggregeerde conversiemetingen worden verzameld, altijd in overeenstemming met de uitdrukkelijke toestemming van de gebruiker.

3.5 Gegevens met betrekking tot boekingen

Wanneer de gebruiker via de website een tour of ervaring boekt, kunnen gegevens met betrekking tot de transactie (boekingsstatus, voucherreferenties) door de verwerkingsverantwoordelijke uitsluitend worden verwerkt voor het verzenden van transactiegerelateerde communicatie (bijv. boekingsbevestiging, statuswijzigingen, beschikbaarheid van vouchers). Betalingsgegevens (creditcards, bankgegevens, veiligheidscodes) worden nooit verzameld, verwerkt of opgeslagen door de Verwerkingsverantwoordelijke, aangezien deze uitsluitend worden beheerd door de externe partner die verantwoordelijk is voor de verwerking van betalingen (zie paragraaf 7).

3.6 Gegevens met betrekking tot nieuwsbrieven en commerciële communicatie

Als de gebruiker zich abonneert op de nieuwsbrief, verzamelt de verwerkingsverantwoordelijke het e-mailadres van de gebruiker en eventuele thematische voorkeuren. Abonnement is optioneel en vindt uitsluitend plaats met de uitdrukkelijke voorafgaande toestemming van de gebruiker.

3.7 Verplichte of facultatieve aard van het verstrekken van gegevens

Het verstrekken van browsegegevens is noodzakelijk voor de technische werking van de Website. Het verstrekken van gegevens in contact- en registratieformulieren is optioneel; het niet verstrekken van de als verplicht gemarkeerde gegevens (bijv. naam, e-mail) kan het echter onmogelijk maken voor de Verwerkingsverantwoordelijke om te reageren op het verzoek van de Gebruiker, het account aan te maken of de gevraagde dienst te verlenen.

Toestemming voor cookies en analyse-, marketing- en profileringstechnologieën is volledig optioneel, en het weigeren van deze toestemming heeft op geen enkele wijze invloed op het browsen op de Website of de toegang tot de inhoud ervan.

4. Doeleinden, rechtsgrondslagen en bewaartermijnen

De Verwerkingsverantwoordelijke verwerkt persoonsgegevens voor de doeleinden die in de onderstaande tabel worden beschreven. Waar aangegeven, vindt de verwerking uitsluitend plaats met de voorafgaande uitdrukkelijke toestemming van de Gebruiker.

De aangegeven bewaartermijnen zijn redelijke maxima en kunnen worden verkort op grond van het beginsel van opslagbeperking (artikel 5, lid 1, onder e), AVG).

Wanneer de verwerking is gebaseerd op het gerechtvaardigd belang van de verwerkingsverantwoordelijke (art. 6, lid 1, onder f) AVG), heeft de verwerkingsverantwoordelijke een afwegingsbeoordeling (Legitimate Interest Assessment — LIA) uitgevoerd om ervoor te zorgen dat zijn gerechtvaardigd belang niet zwaarder weegt dan de rechten en fundamentele vrijheden van de betrokkenen. De gebruiker kan een kopie van deze beoordeling opvragen door te schrijven naar de contactpersonen die in paragraaf 1 worden vermeld.

Doel	Gegevens	Rechtsgrondslag	Bewaartermijn	Opmerkingen
Websitebeheer, technische werking, beveiliging, preventie van fraude en misbruik	Browsegegevens, technische logbestanden, IP	Gerechtvaardigd belang (art. 6, lid 1, onder f) AVG) — LIA uitgevoerd	Maximaal 12 maanden	Verlengbaar in geval van onderzoeken of rechtszaken
Verwerking van verzoeken via het contactformulier of e-mail	Door de gebruiker verstrekte gegevens	Uitvoering van precontractuele maatregelen (art. 6, lid 1, onder b)) of gerechtvaardigd belang (art. 6, lid 1, onder f)) — LIA uitgevoerd	Tot 24 maanden vanaf de laatste interactie	Onder voorbehoud van wettelijke verplichtingen of lopende rechtszaken
Registratie van een account en beheer van het gereserveerde gedeelte	Voornaam, achternaam, e-mailadres, wachtwoord, telefoonnummer, land	Uitvoering van de overeenkomst (art. 6, lid 1, onder b) AVG)	Gedurende de looptijd van het account + 12 maanden	Verwijdering op verzoek van de gebruiker
Transactiecommunicatie met betrekking tot boekingen	E-mail, boekingsgegevens, status van de voucher	Uitvoering van de overeenkomst (art. 6, lid 1, onder b)) en gerechtvaardigd belang (art. 6, lid 1, onder f)) — LIA uitgevoerd	Tot 24 maanden na boeking	Alleen transactionele e-mails, geen marketing
Wettelijke en fiscale verplichtingen, beheer van geschillen	Gegevens die nodig zijn voor wettelijke verplichtingen en verdediging	Wettelijke verplichting (art. 6, lid 1, onder c)) en/of gerechtvaardigd belang (art. 6, lid 1, onder f))	Tot 10 jaar of de toepasselijke verjaringstermijn
Statistische analyse en meting (Google Analytics, Hotjar, Microsoft Clarity) — uitsluitend met toestemming	Cookies/ID's, gebruiksevenementen, technische gegevens	Toestemming (art. 6, lid 1, onder a) AVG)	Volgens het cookiebeleid (meestal 14–26 maanden)	Op elk moment herroepbaar
Advertenties, remarketing, conversies (Google Ads, Bing Ads, Meta/Facebook, TikTok, Instagram) — uitsluitend met toestemming	Cookies/ID's, gebeurtenissen, campagneparameters	Toestemming (Art. 6(1)(a) AVG)	Marketing: tot 24 maanden; profilering: tot 12 maanden	Op elk moment intrekbaar
Beveiliging tegen spam en bots (Google reCAPTCHA v3)	IP, gedragsgegevens, _GRECAPTCHA-cookie	Gerechtvaardigd belang (Art. 6(1)(f) AVG) — LIA uitgevoerd	Duur van de verificatiesessie	Vanaf 2 april 2026 treedt Google op als gegevensverwerker. Technische/noodzakelijke cookie.
Nieuwsbrief en commerciële communicatie — uitsluitend met toestemming	E-mail, thematische voorkeuren	Toestemming (art. 6, lid 1, onder a) AVG)	Totdat de toestemming wordt ingetrokken	Opschoning van de lijst na 24 maanden inactiviteit
Verzameling en publicatie van beoordelingen	Naam/bijnaam, tekst van de recensie, datum	Toestemming (art. 6, lid 1, onder a)) en gerechtvaardigd belang (art. 6, lid 1, onder f))	Gedurende de publicatie op de website	Verwijdering op verzoek van de gebruiker

Doel

Gegevens

Rechtsgrondslag

Bewaartermijn

Opmerkingen

Websitebeheer, technische werking, beveiliging, preventie van fraude en misbruik

Browsegegevens, technische logbestanden, IP

Gerechtvaardigd belang (art. 6, lid 1, onder f) AVG) — LIA uitgevoerd

Maximaal 12 maanden

Verlengbaar in geval van onderzoeken of rechtszaken

Verwerking van verzoeken via het contactformulier of e-mail

Door de gebruiker verstrekte gegevens

Uitvoering van precontractuele maatregelen (art. 6, lid 1, onder b)) of gerechtvaardigd belang (art. 6, lid 1, onder f)) — LIA uitgevoerd

Tot 24 maanden vanaf de laatste interactie

Onder voorbehoud van wettelijke verplichtingen of lopende rechtszaken

Registratie van een account en beheer van het gereserveerde gedeelte

Voornaam, achternaam, e-mailadres, wachtwoord, telefoonnummer, land

Uitvoering van de overeenkomst (art. 6, lid 1, onder b) AVG)

Gedurende de looptijd van het account + 12 maanden

Verwijdering op verzoek van de gebruiker

Transactiecommunicatie met betrekking tot boekingen

E-mail, boekingsgegevens, status van de voucher

Uitvoering van de overeenkomst (art. 6, lid 1, onder b)) en gerechtvaardigd belang (art. 6, lid 1, onder f)) — LIA uitgevoerd

Tot 24 maanden na boeking

Alleen transactionele e-mails, geen marketing

Wettelijke en fiscale verplichtingen, beheer van geschillen

Gegevens die nodig zijn voor wettelijke verplichtingen en verdediging

Wettelijke verplichting (art. 6, lid 1, onder c)) en/of gerechtvaardigd belang (art. 6, lid 1, onder f))

Tot 10 jaar of de toepasselijke verjaringstermijn

Statistische analyse en meting (Google Analytics, Hotjar, Microsoft Clarity) — uitsluitend met toestemming

Cookies/ID's, gebruiksevenementen, technische gegevens

Toestemming (art. 6, lid 1, onder a) AVG)

Volgens het cookiebeleid (meestal 14–26 maanden)

Op elk moment herroepbaar

Advertenties, remarketing, conversies (Google Ads, Bing Ads, Meta/Facebook, TikTok, Instagram) — uitsluitend met toestemming

Cookies/ID's, gebeurtenissen, campagneparameters

Toestemming (Art. 6(1)(a) AVG)

Marketing: tot 24 maanden; profilering: tot 12 maanden

Op elk moment intrekbaar

Beveiliging tegen spam en bots (Google reCAPTCHA v3)

IP, gedragsgegevens, _GRECAPTCHA-cookie

Gerechtvaardigd belang (Art. 6(1)(f) AVG) — LIA uitgevoerd

Duur van de verificatiesessie

Vanaf 2 april 2026 treedt Google op als gegevensverwerker. Technische/noodzakelijke cookie.

Nieuwsbrief en commerciële communicatie — uitsluitend met toestemming

E-mail, thematische voorkeuren

Toestemming (art. 6, lid 1, onder a) AVG)

Totdat de toestemming wordt ingetrokken

Opschoning van de lijst na 24 maanden inactiviteit

Verzameling en publicatie van beoordelingen

Naam/bijnaam, tekst van de recensie, datum

Toestemming (art. 6, lid 1, onder a)) en gerechtvaardigd belang (art. 6, lid 1, onder f))

Gedurende de publicatie op de website

Verwijdering op verzoek van de gebruiker

5. Cookies en Consent Management Platform (CMP)

De website maakt gebruik van een Consent Management Platform (CMP) dat voldoet aan Google Consent Mode v2 (verplicht sinds maart 2024 voor Europese adverteerders), waarmee de gebruiker:

categorieën van niet-technische cookies en tools te accepteren, te weigeren of aan te passen;
zijn voorkeuren op elk moment te wijzigen via de tool 'Cookievoorkeuren beheren' die op de Website beschikbaar is;
te worden geïnformeerd dat analytische, marketing- en profileringscookies en -technologieën pas worden geactiveerd nadat geldige toestemming is verkregen.

Preventieve blokkering: er wordtgeen cookie of niet-strikt noodzakelijke technologie op het apparaat van de gebruiker geïnstalleerd voordat de gebruiker zijn toestemming heeft gegeven via het CMP. Bij gebrek aan toestemming zijn alleen technische/noodzakelijke cookies actief.

Intrekking van toestemming: de gebruiker kan zijn toestemming op elk moment net zo gemakkelijk intrekken als hij deze heeft gegeven, via de tool 'Cookievoorkeuren beheren' die op de website beschikbaar is, zonder dat dit invloed heeft op de rechtmatigheid van de verwerking op basis van de toestemming die vóór de intrekking is gegeven (art. 7, lid 3 AVG).

Technische/noodzakelijke cookies (waaronder de _GRECAPTCHA-cookie van Google reCAPTCHA) vereisen geen toestemming en zijn standaard actief, aangezien ze essentieel zijn voor de werking en beveiliging van de Website.

Raadpleeg het Cookiebeleid voor alle details, inclusief de volledige lijst van gebruikte cookies.

6. Ontvangers van gegevens

Persoonsgegevens kunnen worden verstrekt aan de volgende partijen, die optreden als verwerkers (art. 28 AVG), onafhankelijke verwerkingsverantwoordelijken of bevoegde personen:

IT- en hostingdienstverleners

OVH SAS (OVHcloud): hosting, dedicated servers, infrastructuur — datacenter in Limburg, Duitsland (EER). Treedt op als gegevensverwerker overeenkomstig art. 28 AVG.

Aanbieders van analyse-, advertentie- en beveiligingsdiensten (geactiveerd op basis van CMP-toestemmingen)

Google Ireland Ltd / Google LLC: Google Tag Manager, Google Analytics 4, Google Ads (conversies/remarketing), Google reCAPTCHA v3.
Microsoft Corporation / Microsoft Ireland Operations Ltd: Bing Ads (UET), Microsoft Clarity.
Meta Platforms Ireland Ltd / Meta Platforms Inc.: Facebook Pixel, Instagram Ads.
TikTok Technology Ltd / ByteDance Ltd: TikTok Pixel.
Hotjar Ltd: gedragsanalyse en heatmaps.

Communicatiedienstverleners

Amazon Web Services EMEA SARL (AWS): Amazon SES en SNS voor transactionele e-mails en nieuwsbrieven — regio eu-west-1 (Ierland, EER). Treedt op als gegevensverwerker overeenkomstig art. 28 AVG.

Commerciële partners (onafhankelijke verwerkingsverantwoordelijken)

Viator Inc. (Tripadvisor Group): partner voor het boeken en betalen van tours en belevenissen via iframe-integratie. Viator treedt op als onafhankelijke verwerkingsverantwoordelijke voor betalingsgegevens en voor het leveren van de toeristische dienst.
GetYourGuide Deutschland GmbH: affiliatepartner voor tours en belevenissen.
LivTours: affiliatepartner voor tours en belevenissen.

Wanneer de gebruiker wordt doorgestuurd naar websites van externe partners (affiliate marketing), valt de verwerking van de persoonsgegevens van de gebruiker onder het privacybeleid van de betreffende partner.

Andere ontvangers

Juridische, fiscale en commerciële adviseurs, als verwerkers of bevoegde personen.
Bevoegde autoriteiten, indien wettelijk vereist.

De verwerkingsverantwoordelijke verkoopt de persoonsgegevens van gebruikers niet.

7. Betalingen via een externe partner (Viator)

De website biedt de mogelijkheid om tours en ervaringen rechtstreeks via de pagina's aan te schaffen. Het betalingsproces verloopt volledig via een geïntegreerde module (iframe) die wordt aangeboden door Viator Inc. (Tripadvisor Group).

De Verwerkingsverantwoordelijke verzamelt, verwerkt of bewaart op geen enkele wijze de betalingsgegevens van de Gebruiker (creditcardnummers, bankgegevens, veiligheidscodes). Dergelijke gegevens worden uitsluitend verkregen, verwerkt en opgeslagen door Viator, dat optreedt als een onafhankelijke Verwerkingsverantwoordelijke voor betalingsgegevens en voor de levering van de toeristische dienst.

De Verwerkingsverantwoordelijke ontvangt van Viator uitsluitend:

geaggregeerde en statistische gegevens over conversies;
informatie over de boekingsstatus (voor het verzenden van transactiemeldingen naar de gebruiker);
commerciële commissies.

De factuur en de voucher voor de gekochte reis worden rechtstreeks door Viator uitgegeven.

Raadpleeg het privacybeleid van Viator voor de verwerking van betalingsgegevens.

8. Gegevensoverdracht buiten de EER

Bij sommige aanbieders (met name groepen met hoofdkantoor in de Verenigde Staten) kan er sprake zijn van doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte (EER). In dergelijke gevallen neemt de Verwerkingsverantwoordelijke passende waarborgen in acht overeenkomstig de artikelen 44 e.v. van de AVG, waaronder:

Standaardcontractbepalingen (SCC's) van de Europese Commissie (art. 46, lid 2, onder c), AVG), in de bijgewerkte versie (Q2 2025), en, indien nodig, effectbeoordelingen inzake doorgifte (TIA's) en aanvullende maatregelen in overeenstemming met de aanbevelingen 01/2020 van het EDPB;
adequaatheidsbesluiten van de Europese Commissie, indien beschikbaar (bijv. het EU-VS-kader voor gegevensbescherming voor gecertificeerde entiteiten in de VS);
aanvullende technische en organisatorische maatregelen (gegevensminimalisatie, pseudonimisering, versleuteling tijdens verzending en opslag, toegangssegregatie).

De belangrijkste aanbieders die onderworpen zijn aan doorgiften buiten de EER zijn onder meer: Google LLC, Meta Platforms Inc., Microsoft Corporation, TikTok/ByteDance, Amazon Web Services Inc. en Viator Inc.

De gebruiker kan informatie over de specifieke waarborgen en een kopie van de toepasselijke SCC's opvragen door te schrijven naar de contactpersonen vermeld in paragraaf 1.

9. Rechten van de betrokkene

De gebruiker kan te allen tijde de rechten uitoefenen die zijn vastgelegd in de artikelen 15–22 van de AVG:

recht op inzage in persoonsgegevens (art. 15);
recht op rectificatie en bijwerking (art. 16);
recht op verwijdering (“recht om te worden vergeten”), indien van toepassing (art. 17);
recht op beperking van de verwerking (art. 18);
recht op gegevensoverdraagbaarheid, indien van toepassing (art. 20);
recht van bezwaar, in het bijzonder tegen verwerking op basis van gerechtvaardigd belang (art. 21); in geval van bezwaar zal de verwerkingsverantwoordelijke afzien van verdere verwerking van de gegevens, tenzij hij dwingende gerechtvaardigde gronden aantoont;
recht om niet te worden onderworpen aan beslissingen die uitsluitend op geautomatiseerde verwerking berusten, met inbegrip van profilering (art. 22);
recht om de toestemming te allen tijde in te trekken, met hetzelfde gemak waarmee deze is gegeven, zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking die vóór de intrekking heeft plaatsgevonden (art. 7, lid 3).

Om uw rechten uit te oefenen, kunt u schrijven naar: legal@vatican.museum

De verwerkingsverantwoordelijke zal in de regel binnen 1 maand na het verzoek reageren, een termijn die kan worden verlengd tot 3 maanden in gevallen van bijzondere complexiteit of een groot aantal verzoeken (art. 12 AVG). In geval van een verlenging wordt de gebruiker hiervan binnen 1 maand op de hoogte gesteld. De uitoefening van rechten is kosteloos, tenzij verzoeken kennelijk ongegrond of buitensporig zijn (art. 12, lid 5 AVG).

9.1 Geautomatiseerde besluitvormingsprocessen

De verwerkingsverantwoordelijke voert geen volledig geautomatiseerde besluitvormingsprocessen uit, met inbegrip van profilering, die rechtsgevolgen hebben voor de gebruiker of die de gebruiker op vergelijkbare wijze aanzienlijk beïnvloeden (art. 22 AVG). De analyse- en marketingtools die door de website worden gebruikt, zijn uitsluitend bedoeld voor geaggregeerde statistische en reclamedoeleinden en leiden niet tot geautomatiseerde individuele beslissingen.

9.2 Klacht bij de toezichthoudende autoriteit

De gebruiker heeft het recht om een klacht in te dienen bij de bevoegde toezichthoudende autoriteit.

Voor Italië:

Garante per la Protezione dei Dati Personali

Piazza Venezia, 11 — 00187 Roma (RM), Italië

Website: www.garanteprivacy.it

PEC: protocollo@pec.gpdp.it

Telefoon: (+39) 06 696771

Er wordt ook opgemerkt dat Verordening (EU) 2025/2518, gepubliceerd in november 2025 en van toepassing vanaf 15 maanden na publicatie, nieuwe procedurele regels invoert om de samenwerking tussen Europese gegevensbeschermingsautoriteiten in grensoverschrijdende zaken te verbeteren, waardoor de rechten van betrokkenen verder worden gewaarborgd.

10. Google reCAPTCHA v3 — Specifieke kennisgeving

De Website maakt gebruik van Google reCAPTCHA v3, een dienst ter bescherming tegen spam en bots die wordt aangeboden door Google Ireland Ltd / Google LLC, en die uitsluitend wordt geactiveerd op pagina's die formulieren bevatten.

Vanaf 2 april 2026 werkt reCAPTCHA, in overeenstemming met de aankondiging van Google, volgens een model waarbij Google optreedt als gegevensverwerker en de verwerkingsverantwoordelijke van de website de verwerkingsverantwoordelijke is voor gegevens die via reCAPTCHA worden verzameld.

Dit betekent dat:

verwijzingen naar het privacybeleid en de servicevoorwaarden van Google met betrekking tot reCAPTCHA niet langer van toepassing zijn en van de website zijn verwijderd;
de verwerking van gegevens die door reCAPTCHA worden verzameld, wordt geregeld door dit privacybeleid en door het Google Cloud Data Processing Addendum;
reCAPTCHA een noodzakelijke cookie (_GRECAPTCHA) plaatst voor zijn risicoanalyse, die is geclassificeerd als een technische/noodzakelijke cookie waarvoor geen toestemming vereist is.

Gegevens die door reCAPTCHA worden verzameld, kunnen het volgende omvatten: IP-adres, gedragsgegevens (muisbewegingen, interactiepatronen), browser- en apparaatinformatie. Dergelijke gegevens worden uitsluitend gebruikt voor beveiligings- en fraudepreventiedoeleinden.

11. Minderjarigen

De Website is niet bedoeld voor personen jonger dan 16 jaar (drempel vastgesteld door art. 2-quinquies van Wetsbesluit 196/2003 voor Italië). De Verwerkingsverantwoordelijke is niet van plan om bewust persoonsgegevens van minderjarigen te verzamelen. Indien een ouder of voogd van mening is dat gegevens van een minderjarige zijn verzameld zonder de vereiste toestemming, kan hij/zij contact opnemen met de Verwerkingsverantwoordelijke via de in paragraaf 1 vermelde gegevens om onmiddellijke verwijdering te verzoeken.

12. Beveiligingsmaatregelen

De Verwerkingsverantwoordelijke neemt passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen ongeoorloofde toegang, verlies, vernietiging of wijziging (art. 32 AVG), waaronder: versleutelde communicatie (HTTPS/TLS), geauthenticeerde toegang met minimale rechten, periodieke back-ups, beveiligingsupdates, toegangscontrole en procedures voor het beheer van beveiligingsincidenten.

13. Wijzigingen in dit privacybeleid

De Verwerkingsverantwoordelijke behoudt zich het recht voor om dit privacybeleid te allen tijde bij te werken. De datum van de laatste update staat bovenaan vermeld. Wezenlijke wijzigingen worden meegedeeld via een kennisgeving op de website en, waar mogelijk, per e-mail aan geregistreerde gebruikers. De gebruiker wordt verzocht deze pagina regelmatig te raadplegen.

14. Toepasselijk recht en bevoegde rechtbank

Dit privacybeleid valt onder Verordening (EU) 2016/679 (AVG), Richtlijn 2002/58/EG (e-privacy), de Italiaanse wetgeving inzake de bescherming van persoonsgegevens (Wetsbesluit 196/2003, zoals gewijzigd bij Wetsbesluit 101/2018), alsmede door de toepasselijke bepalingen en richtsnoeren van de Garante per la Protezione dei Dati Personali en het EDPB.

Voor elk geschil met betrekking tot de interpretatie of toepassing van dit beleid is de rechtbank van Florence bevoegd, tenzij dwingende bepalingen inzake consumentenbescherming anders voorschrijven.