Privacy Statement

Privacy Statement Surprise Company

Nederlands: S.A.A.S B.V vindt de bescherming van persoonsgegevens van essentieel belang. Wij
verwerken jouw gegevens dan ook met de grootst mogelijke zorgvuldigheid. Met dit privacy
statement informeren wij jou over hoe wij omgaan met persoonsgegevens.

Privacy Statement Nederlands (Dutch)

1.Wie is verantwoordelijk voor de verwerking van jouw gegevens?
In dit Privacy Statement beschrijft Surprise As A Service B.V. / S.A.A.S. BV (hierna ‘Surprise Company’
of ‘wij’) hoe zij als verwerkingsverantwoordelijke met jouw persoonsgegevens omgaat.

2. Wat is een persoonsgegeven?
Informatie over een geïdentificeerde of identificeerbare natuurlijke persoon is een persoonsgegeven.
Of bepaalde informatie als een persoonsgegeven moet worden gekwalificeerd hangt er mede vanaf
of Surprise Company beschikt over (wettige) middelen waarvan redelijkerwijs mag worden
aangenomen dat zij deze inzet om een betrokkene te identificeren.

3. Persoonsgegevens die wij verwerken
Wij verwerken persoonsgegevens van jou omdat jij gegevens zelf aan ons verstrekt bij het aangaan
van een overeenkomst met ons, of wanneer je gebruik maakt van onze diensten via jouw werkgever.
Hierbij verstrekken wij mogelijk gegevens aan serviceverleners die noodzakelijk zijn voor onze
dienstverlening (zie kopje 7, delen met derden).

A) Gegevens die nodig zijn om jou een Surprise box te verstrekken

De diensten van Surprise Company kunnen verschillende kadodiensten betreffen, waaronder maar
niet uitsluitend Surprise boxes / kado’s, personeelsbeloningsactiviteiten en incentives. Als jij of jouw
werkgever met Surprise Company een overeenkomst aangaat, verwerken wij de volgende
persoonsgegevens van jou om onze diensten te kunnen leveren:

  • Je naam, adres, woonplaats, geboortedatum,  personeelskenmerk bij de werkgever (indien van
    toepassing), e-mailadres en telefoonnummer.

B) Gegevens die worden gegenereerd door jouw gebruik van onze diensten

Als je gebruik maakt van diensten van Surprise Company of anderszins contact hebt met ons,
verwerken wij in het kader van onze dienstverlening – afhankelijk van het precieze gebruik dat jij
ervan maakt – de volgende (persoons)gegevens:

  • Gegevens die je gebruikt voor toegang tot de Surprise Company Portal, zoals je
    gebruikersnaam, pincode en wachtwoord;
  • Jouw communicatievoorkeuren en instellingen;
  • ndien van toepassing, gegevens die wij verwerken om jou een persoonlijk kado-advies te
    kunnen geven in de Portal, zoals kadovoorkeuren en personeelsprofiel;
  • Surfgedrag, vastgesteld aan de hand van onze eigen observaties of cookies (zie ook artikel 9 van
    dit privacy statement);
  • Gegevens die betrekking hebben op jouw randapparatuur, zoals een MAC-adres, IP-adres of
    ander nummer;
  • Klanttevredenheidsgegevens;
  • Gegevens over jouw gebruik van onze klantenservice.

4. Verwerking: grondslagen en gerechtvaardigde belangen

De verwerking van persoonsgegevens vindt plaats op basis van de volgende wettelijke grondslagen:

1. Toestemming;
2. Uitvoering van een overeenkomst met jou;
3. Wettelijke verplichting;
4. Vervulling van een taak van algemeen belang;
5. Gerechtvaardigd belang van Surprise Company of een derde.

Gerechtvaardigde belangen zijn onder andere: beveiliging, (misdaad)preventie, IT-beheer, onderzoek
en analyse naar eigen producten of diensten, bedrijfshuishouding, juridische zaken en intern beheer.

5. Doeleinden voor het verwerken van persoonsgegevens

Bij de verwerking van jouw persoonsgegevens gaan wij zorgvuldig te werk. Wij gebruiken alleen die
gegevens die noodzakelijk zijn voor de dienstverlening. Surprise Company verwerkt jouw
persoonsgegevens voor de hieronder genoemde doeleinden. Het cijfer achter ieder doel
correspondeert met de grondslag genoemd in artikel 4 van dit privacy statement.

A) Doeleinden voor het leveren van een Surprise box of personeelskado

  • De aanvraag, uitgifte en verzending van een Surprise box en het verstrekken van een nieuwe
    Surprise box wanneer een kado defect raakt of verloren of gestolen is [grondslag 2];
  • Het verzorgen van de administratie van Surprise Company voor financiële en fiscale
    verplichtingen, inclusief het (verzameld) factureren van het gebruik van de Surprise Company
    dienstverlening [grondslag 2 of 3];
  •  Het aan de kado-ontvanger en/of werkgever in rekening brengen van kosten van het gebruik
    van de Surprise Company dienstverlening [grondslag 2];
  •  Het communiceren met en informeren van jou en/of je werkgever en het verlenen van service
    (bijvoorbeeld via de servicedesk) [grondslag 2 of 5];
  • Het verwerken van, en door middel van managementinformatie rapporteren over, diensten die
    zijn afgenomen bij Surprise Company door jou en/of je werkgever. De informatie die wordt
    verstrekt aan jouw werkgever en de verwerking van persoonsgegevens tot
    managementinformatie is niet direct herleidbaar tot jou [grondslag 2 of 5];
  • Het verlenen van service aan de kado-ontvanger en/of je werkgever, bijvoorbeeld in geval van
    verlies en diefstal van het kado [grondslag 2].

B) Algemene doeleinden

  • Het opbouwen en onderhouden van de klantrelatie inclusief het onderhouden van een directe
    relatie tussen Surprise Company en servicepartners [grondslag: 2];
  • Het afhandelen van bestellingen (inclusief facturering), het verwerken in financiële
    administraties en de logistieke afhandeling [grondslag: 2];
  • Het bieden van klantenservice inclusief service rondom het kopen van diensten en producten,
    het afhandelen van klachten en verzoeken [grondslag: 2];
  • Het in bepaalde gevallen onderhouden van communicatie met tot ons netwerk behorende
    servicepartners om pro-actief contact te kunnen opnemen in het kader van gebreken of
    storingen [grondslag: 2 of 5];
  • De verwerking van persoonsgegevens tot managementinformatie [grondslag 2 of 5];
  • Het uitvoeren van marktonderzoek, waaronder het meten van klanttevredenheid, om onze
    bedrijfsvoering, merken, diensten en producten te verbeteren [grondslag: 5];
  • Het (verder) ontwikkelen en verbeteren van nieuwe en bestaande producten en diensten
    [grondslag: 5];
  • Het voldoen aan wettelijke verplichtingen, beslechting van geschillen en handhaving van onze
    rechten en overeenkomsten [grondslag: 2, 3 of 5];
  •  Het analyseren van cookies van onze websites. Dit doen wij om de inhoud van onze
    communicatie zo goed mogelijk op jouw persoonlijke voorkeur af te stemmen [grondslag: 1 of
    5].

6. Geen verwerking van gegevens van personen jonger dan 16 jaar

Wij hebben niet de intentie gegevens te verzamelen van personen die jonger zijn dan 16 jaar. Wij
raden ouders aan betrokken te zijn bij de (online) activiteiten van hun kinderen om zo te voorkomen
dat Surprise Company hun persoonsgegevens verwerkt.

7. Delen met derden

Surprise Company deelt jouw persoonsgegevens met derden in onder andere de volgende gevallen
en met bijbehorende redenen. Het cijfer achter ieder doel correspondeert met de grondslag
genoemd in artikel 4 van dit privacy statement:

  • Jouw gegevens worden indien noodzakelijk door Surprise Company gedeeld met je werkgever,
    zodat je werkgever deze gegevens kan gebruiken om de rekening voor jouw kado te voldoen [grondslag: 2].
  • Wij verstrekken jouw persoonsgegevens aan PostNL en Hubbel ten behoeve van de verzending
    van jouw kado. Wij hebben hiervoor een overeenkomst gesloten met deze partijen.
  •  Indien noodzakelijk voor de dienstverlening met geautoriseerde servicepartners uit het
    distributienetwerk van Surprise Company. Wij hebben hiervoor een overeenkomst gesloten
    met deze partijen [grondslag: 2];
  • Als wij wettelijk verplicht of bevoegd zijn om persoonsgegevens aan derden te verstrekken
    [grondslag: 3];
  • Als wij een vermoeden hebben van een schending van de rechten van derden, van strafbare
    feiten of van misbruik, kunnen wij persoonsgegevens verstrekken aan derden die daarbij een
    gerechtvaardigd belang hebben of aan instanties die het algemeen belang dienen. Dit kunnen
    ook handhavende autoriteiten zijn, zoals het Openbaar Ministerie of toezichthouders
    [grondslag: 3, 4 of 5];
  • Surprise Company kan jouw gegevens ook delen met anderen voor de uitvoering van een
    overeenkomst met jou, of vanwege gerechtvaardigde bedrijfsbelangen, zoals het voeren van
    een centrale administratie of klantenservice, en het analyseren van onze dienstverlening aan
    jou [grondslag: 5];
  • Met partijen die Surprise Company assisteren in haar dienstverlening en geen verwerker zijn
    (denk aan accountants en (juridisch) adviseurs) [grondslag: 5];
  • Voor bedrijfseconomische doeleinden (zoals de verkoop van bedrijfsactiviteiten of aandelen of
    een reorganisatie) [grondslag: 5].

Surprise Company gebruikt ook diensten van derde partijen die fungeren als ‘verwerkers’
bijvoorbeeld hosting- dienstverleners en onderzoeksbureaus, met als doel marktonderzoek of
klanttevredenheidsonderzoek uit te voeren. Indien deze derden conform toepasselijke
gegevensbeschermingswetgeving worden aangemerkt als verwerker, zal Surprise Compan

schriftelijke afspraken maken met deze derden. Deze dienstverleners zullen persoonsgegevens
uitsluitend verwerken in overeenstemming met de instructies en onder de controle van Surprise
Company.

Als persoonsgegevens naar een ontvanger in het buitenland worden verzonden, gebeurt dit
doorgaans alleen naar een ontvanger in een land dat volgens de Europese Commissie een voor
persoonsgegevens passend beschermingsniveau biedt. Als persoonsgegevens naar een ontvanger in
een land worden verstuurd dat geen passend beschermingsniveau biedt, zal Surprise Company
ervoor zorgen dat de wettelijk vereiste waarborgen worden genomen. Indien je nadere informatie
wenst te ontvangen over de doorgifte van jouw persoonsgegevens naar landen buiten de Europese
Economische Ruimte, kan je contact opnemen met de Functionaris voor Gegevensbescherming van
Surprise Company (zie artikel 11).

8. Bewaren van jouw gegevens

We zullen persoonsgegevens zo lang bewaren als dat nodig of toegestaan is binnen het kader van de
in dit Privacy statement beschreven doeleinden en in overeenstemming met het toepasselijk recht.
Tot de criteria die worden gebruikt om onze opslagtermijn te bepalen behoren:

  • De duur van de tijd waarin we een lopende relatie met jou hebben en de diensten aan jou
    leveren (bijvoorbeeld, zo lang als jij of jouw werkgever een account bij ons hebt of jij of jouw
    werkgever gebruik blijft maken van onze diensten);
  • Of er een wettelijke verplichting bestaat waaraan wij moeten voldoen (bepaalde wetten
    vereisen bijvoorbeeld dat wij onze transacties gedurende een bepaalde tijd bewaren voordat
    wij deze kunnen verwijderen); of
  • Of bewaren wenselijk is gezien onze juridische positie (zoals ten aanzien van
    verjaringstermijnen, geschillen of onderzoeken door verordenende instanties).

9. In kaart brengen websitebezoek

Wanneer je onze website(s), diensten, applicaties, communicatiediensten (zoals e-mail) en
hulpmiddelen bezoekt of gebruikt, kunnen wij cookies, web beacons en andere soortgelijke
technologieën voor het opslaan van informatie gebruiken met als doel advertentie-uitingen te
personaliseren en jou een betere, snellere en veiligere klantervaring te kunnen bieden. Als je geen
cookies wenst, kun je dit aangeven. Voor meer details over het gebruik van cookies verwijzen wij
naar ons Cookie Statement (www.xxx). Op onze website(s) tref je mogelijk links aan naar andere
websites. Wij dragen geen verantwoordelijkheid voor de omgang met jouw persoonsgegevens door
deze websites. Raadpleeg hiervoor de privacyverklaring / het privacy statement van de website die je
bezoekt.

10. Jouw rechten, waaronder het recht om bezwaar te maken

Je hebt het recht om te weten welke persoonsgegevens wij van jou verwerken en aan wie wij jouw
persoonsgegevens hebben verstrekt. Als je toestemming hebt gegeven voor de verwerking van jouw
persoonsgegevens, heb je ook het recht om deze weer in te trekken.

Indien jij de door ons verwerkte persoonsgegevens wilt inzien, corrigeren, bijwerken, beperken of
verwijderen, bezwaar wilt maken tegen de verwerking van persoonsgegevens of tegen direct
marketing, of als je een elektronische kopie van jouw persoonsgegevens wilt ontvangen om die aan
een ander bedrijf door te geven (voor zover dit recht op gegevensoverdracht door de toepasselijke
wetgeving aan jou wordt verstrekt) kun je contact met onze klantenservice opnemen via de
contactgegevens zoals vermeld onder artikel 12. Wij verzoeken je in je aanvraag zo duidelijk mogelijk
te beschrijven op welke persoonsgegevens je verzoek betrekking heeft. We zullen zo snel als
redelijkerwijs uitvoerbaar maar in elk geval binnen de wettelijk vereiste termijnen op jouw verzoek
reageren. Tot slot heb je het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens.

Je kunt jouw rechten slechts uitoefenen voor zover de wet je deze rechten toekent. Om er zeker van
te zijn dat een verzoek door jou zelf is gedaan, kunnen wij vragen om een kopie van jouw
identiteitsbewijs bij dit verzoek mee te sturen. Dit vragen wij alleen als we dit noodzakelijk achten
om jou te kunnen identificeren en verzoeken wij ook om op deze kopie de pasfoto, MRZ (Machine
Readable Zone; de strook met nummers onderaan het paspoort), paspoortnummer en
Burgerservicenummer (BSN) onherkenbaar te maken. De kopie van jouw identiteitsbewijs
vernietigen wij direct nadat wij jou hebben geïdentificeerd.

11. Beveiliging en bescherming van gegevens

Surprise Company past passende beveiligingsmaatregelen toe om misbruik, verlies, onbevoegde
toegang, ongewenste openbaarmaking en ongeoorloofde wijziging zoveel mogelijk tegen te gaan.
Surprise Company heeft zowel technische als organisatorische maatregelen genomen om jouw
persoonsgegevens te beveiligen, zoals het toepassen van versleutelingstechnieken. Deze
beveiligingsmaatregelen worden periodiek herzien op basis van dreigingen.

12. Contact

Surprise Company is statutair gevestigd te Mandenmakerstraat 35D, 3194 DA in Hoogvliet Rotterdam
en houdt hier ook kantoor. Voor vragen en/of opmerkingen met betrekking tot dit Privacy Statement
kun je contact opnemen met:

Surprise Company B.V.
T.a.v: Klantenservice
Mandenmakerstraat 35D
3194 DA Hoogvliet Rotterdam
Per telefoon: 010 7410114
Per e-mail: info@surprise-company.nl

13. Wijzigingen

De manier waarop wij persoonsgegevens verwerken, en de samenstelling of hoeveelheid van
gegevens die wij verwerken, kan wijzigen. Daarom behouden wij ons het recht voor dit Privacy
Statement aan te passen. Je zult indien noodzakelijk op de hoogte worden gebracht van een
wijziging. In dit Privacy Statement wordt altijd de laatste datum van wijziging aangegeven.

Dit Privacy Statement is voor het laatst herzien op 2 februari 2023.