Privacy Policy

LEGOLAND ApS is part of the Merlin Entertainments Limited. LEGOLAND ApS offers a range of services via our website. The use of some of these services requires personal data to be submitted. In the following, we will inform you of the nature and scope of the collection of personal data as well as on the treatment of such data and the purpose thereof.

OVERVIEW of this Policy and Commitments to Privacy at Merlin

At Merlin ("we", "us", "our"), we regularly collect and use personal data about consumers who visit our attractions or hotels, or browse our websites. Personal data is any information that can be used to identify you as an individual. The protection of your personal data is very important to us, and we understand our responsibilities to handle your personal data with care, to keep it secure and to comply with legal requirements.

The purpose of this privacy policy ("Policy") is to provide a clear explanation of when, why and how we collect and use personal data. We have designed it to be as user friendly as possible, and have labelled sections to make it easy for you to find the information that is most relevant to you.

Please read this Policy carefully. It provides important information about how we use personal data and explains your legal rights. This Policy is not intended to override the terms of any contract that you have with us (for example, Wi-Fi terms and conditions or Season pass terms) or any rights you might have available under applicable data protection laws.

We will make changes to this Policy from time to time for example, to keep it up to date or to comply with legal requirements or changes in the way we operate our business. We will make sure that you are aware of any significant changes by sending an email message to the email address you most recently provided to us or by posting a notice on each relevant website so that you are aware of the impact to the data processing activities before you continue to engage. We encourage you to regularly check back and review this policy so that you will always know what information we collect, how we use it, and who we share it with.

Contents

1. WHO IS RESPONSIBLE FOR LOOKING AFTER YOUR PERSONAL DATA?
2. WHAT PERSONAL DATA DO WE COLLECT?
3. WHEN DO WE COLLECT YOUR PERSONAL DATA?
4. WHAT PURPOSES DO WE USE YOUR PERSONAL DATA FOR AND WHAT IS THE LEGAL BASIS?
5. WHO DO WE SHARE YOUR PERSONAL DATA WITH?
6. DIRECT MARKETING
7. INTERNATIONAL TRANSFERS
8. PROFILING
9. HOW LONG DO WE KEEP YOUR PERSONAL DATA?
10. WHAT ARE YOUR RIGHTS?
11. CONTACT AND COMPLAINTS
12. APPENDIX 1 - LEGAL BASIS FOR PROCESSING
13. APPENDIX 2 - GLOSSARY

1. WHO is responsible for looking after your personal data?

Merlin Entertainments Limited ("Merlin") is a British-based entertainment company, with a registered office at Link House, 25 West Street, Poole, Dorset, BH15 1LD, which operates over 100 attractions, and over 20 hotels and holiday villages in 25 countries. Our business is about creating unique, memorable and rewarding visitor experiences. A list of our attractions and a note of the companies that make up the Merlin group which help to achieve this is available at ("Merlin Group").

The entity in the Merlin Entertainments Limited which was originally responsible for collecting information about you will be the Data Controller. Other entities in the Merlin Group may also be Data Controllers where they control the use or processing of such data. There will be a single point of contact for all Merlin Group Data Controllers who can be contacted using the details set in section 11 below.

1.2 Information that is automatically collected

When you use the App, we automatically collect specific data that are required for the use of the App. These data include:

• Location, accuracy and date/time periodically throughout the day (only while at the attraction)
• Each visit to the resort including date/time first seen and last seen
• Operating system
• Operating system version
• Device name
• Battery level
• Battery status (charging or not)
• Bluetooth status (on or off)
• Mobile network carrier name
• Currently connected Wi-Fi SSID
• Location permission status (on or off)
• IP address
• User's preferred locale
• Current time zone
• App version and build number
• App interactions (captured as events fed to Firebase Analytics and Keen IO)
• Date/time entered/exited geofence region (if you enter an offered geofence region)

These data are automatically sent to us, (1) so that we can make the service and the associated functions available to you; (2) to improve the functions and features of the App and (3) to prevent misuse and to rectify malfunctions and (4) to offer you a personalized guest experience. This data processing is justified on the basis that (1) the processing is required in order to fulfil the requirements of the contract between you as the data subject and us in accordance with Art. 6(1)(b) GDPR for the use of the App, or (2) we have a legitimate interest in guaranteeing the functionality and fault-free operation of the App and being able to offer a service that is in line with the requirements of the market and with the interests of the users and prevails over your rights and interests in the protection of your personal data in accordance with Art. 6(1)(f) GDPR.

2. WHAT personal data do we collect?

In relation to potential customers, historic customers and current customers and attraction visitors ("consumers"), we collect the following data:

• Information that you provide by filling in forms on our site. This includes information provided at the time of registering to use our site, subscribing to our service, posting material or requesting further services. We will also ask you for information when you report a problem with our site.
• Details of any concerns if you contact us with a query or issue.
• When you complete a survey to tell us how your experience of our attractions or hotels was and how we can improve, although you do not have to respond to them.
• Details of transactions you carry out through our site and of the fulfilment of your bookings including your credit/debit card details.
• Details of your visits to our site including, but not limited to, traffic data, location data, weblogs and other communication data, whether this is required for our own billing purposes or otherwise and the resources that you access.
• Your name, address, telephone number and/or email address in order to contact you with details of your booking or in the unlikely event that we need to contact you urgently about your booking.

This includes the collection of contact details such as your name, address, date of birth, telephone number and email address, engagement details including your purchase history and attraction visit history, details relating to your marketing engagement with us including your preferences and interests / marketing list assignments, record of permissions or marketing objections, website data, device data including IP addresses and details about your browsing history, browser type, and session frequency and cookies - please see our separate cookie policy for further details on cookies.

3. WHEN do we collect your personal data?

Consumers

• We will collect information from you directly when you sign up for promotion material, a newsletter from an attraction website, when you purchase a ticket or pass, where you make a phone booking, where you sign up for Wi-Fi at one of our attractions, when you book to stay at one of our hotels, where you complete a survey, participate in a competition or where you contact us with questions or suggestions.
• We also monitor and record telephone calls in order to record your opt-in to receive marketing content (where required, see section 6 for further details) when you call us directly.
• Where someone has applied for a family pass, or entered into a competition on your behalf, information about you in those circumstances will be provided to us indirectly by a family member or another third person.

We will not knowingly collect any personal data about children for the purpose of marketing without making it clear that such information should only be provided with parental consent, if this is required by applicable laws - so Merlin will only use the personal data of children as far as is permitted by law where the required parental or guardian consent has been obtained.

4. What PURPOSES do we USE your personal data for and what is the LEGAL BASIS?

We will use your personal data to:

• ensure that content from our site is presented in the most effective manner for you and for your computer.
• provide you with information, products or services that you request from us or which we feel may interest you, where you have consented to be contacted for such purposes.
• carry out our obligations arising from any contracts entered into between you and us.
• allow you to participate in interactive features of our service, when you choose to do so.
• notify you about changes to our service.

We may also send you marketing materials (where we have appropriate permissions as explained in more detail below under Section 6). This process is likely to include profiling, and more information is provided at Section 8 of this Policy about this. We will also need to use your personal data for purposes associated with our legal and regulatory obligations.

We have to establish a legal ground to use your personal data, so we will make sure that we only use your personal data for the purposes set out in this Section 4 and in Appendix 1 where we are satisfied that:

• our use of your personal data is necessary to perform a contract or take steps to enter into a contract with you (e.g. to manage your booking for entry tickets to an attraction), (Article 6(1)(b) of the GDPR) or
• our use of your personal data is necessary to comply with a relevant legal or regulatory obligation that we are subject to (e.g. to comply with Datatilsynet requirements) (Article 6(1)(c) of the GDPR), or
• our use of your personal data is necessary to support 'Legitimate Interests' that we have as a business (for example, to improve our products, or to carry out analytics across our datasets), provided it is always carried out in a way that is proportionate, and that respects your privacy rights. (Article 6(1)(f) of the GDPR), Where required under separate laws, for example the Privacy and Electronic Communications Regulations, we will also ensure that you have opted in to send you marketing materials - see section 6 below for more details. Please see Appendix 1 for more details about our Legitimate Interests.

Before collecting and/or using any special categories of data we will establish an additional lawful ground to those set out above which will allow us to use that information. This additional exemption will typically be:

• your explicit consent (Article 9(2)(a) of the GDPR);
• the establishment, exercise or defence by us or third parties of legal claims (Article 9(2)(f) of the GDPR); or
• a specific exemption provided under local laws of EU Member States and other countries implementing the GDPR.

PLEASE NOTE: If we have previously told you in an older privacy policy that we were relying on consent as the basis of our processing activities, going forward we will not be relying on that legal basis unless we have said that in this Policy.

PLEASE NOTE: If you provide your explicit consent to allow us to process your special categories of data, you can withdraw your consent to such processing at any time. However, you should be aware that if you choose to withdraw your consent we will tell you more about the possible consequences, including if this means that certain services (in particular where you have applied for a carer pass) can no longer be provided).

5. Who do we SHARE your personal data with?

As flagged above, we share data with the Merlin Group.

We also share the data with third parties, to help manage our business and deliver services. These third parties may from time to time need to have access to your personal data, and include:

• service providers, who help manage our IT and back office systems, and assist with our Customer Relationship Management activities, in particular Accesso, AppNexus, Axicode, Bing, Cludo, Episerver, Experian, Facebook, Galaxy, Google Analytics, Google Adword, Google double click, Google Optimize, GroupM, HEX, Hotjar, iHotellier, ISO, Magnetix, Opera, Pinterest, Qubit Opentag, Zendesk and Zopim.
• our regulators, which include the Datatilsynet, as well as other regulators and law enforcement agencies,
• solicitors and other professional services firms (including our auditors).

Also, if we were to sell part of our businesses we would need to transfer your personal data to the purchaser.

6. Direct Marketing

We may use your personal data to send you direct marketing communications about our attractions, hotels, experiences or our related services. This will be in the form of email, post, SMS or targeted online advertisements at Facebook, Instagram, Snapchat, YouTube and Google.

Where opt-in consent is required by local laws, we will ask for your consent; otherwise, we will rely on our Legitimate Interests for the purposes of GDPR as further detailed in section 4 and Appendix 1 (including where we are relying on an opt-out permission). You have a right to stop receiving direct marketing at any time - you can do this by following the opt-out links in electronic communications (such as emails), or by contacting us using the details in Section 11.

We also use your personal data for customising or personalising advertisements, offers and content made available to you based on your visits to and/or usage of our attraction websites or other mobile applications, platforms or services, and analysing the performance of those advertisements, offers and content, as well as your interaction with them. We may also recommend content to you based on information we have collected about you and your viewing habits. This constitutes 'profiling', and more information is provided at Section 8 of this Policy about this.

6.1 Overview of products and attractions

You may receive marketing material about the below products and attractions.

The LEGOLAND Park
See food and drinks outlets
See shops

LEGOLAND Accommodation
Read more about the LEGOLAND Castle Hotel
Read more about Hotel LEGOLAND
Read more about LEGOLAND Holiday Village

Merlin Attractions
Read more about Merlins attractions

LEGO^® House
Read more about our cooperation partner LEGO House

7. International Transfers

Some entities in the Merlin Group, with whom we share your data, and our service providers who have access to your personal data, are located outside the European Union. We may also share your personal data overseas, for example if we receive a legal or regulatory request from a foreign law enforcement body. We will always take steps to ensure that any international transfer of information is carefully managed to protect your rights and interests, in particular we will either:

• only transfer your personal data to countries which are recognised as providing an adequate level of legal protection in accordance with Article 45 of the GDPR; or
• ensure that transfers outside the European Union are subject to an appropriate legal safeguard - for example, the EU Model Clauses pursuant to Article 46(2) of the GDPR and/or the EU - U.S. Privacy Shield for the protection of personal data transferred to the US (for further details, please see).

You have the right to ask us for more information about the safeguards we have put in place as mentioned above. Contact us as set out in Section 11 if you would like further information or to request a copy where the safeguard is documented (which may be redacted to ensure confidentiality).

8. Profiling

'Automated Decision Making' refers to a decision which is taken through the automated processing of your personal data alone - this means processing using, for example, software code or an algorithm, which does not involve any human intervention. We do not carry out any automated decision making, however we do carry out profiling using automated processing to tailor marketing materials for a specific customer.

If you are a consumer that has signed up to receive marketing updates, we may use profiling to ensure that marketing materials are tailored to your preferences and to what we think you will be interested in. In certain circumstances it will be possible to infer certain information about you from the result of profiling, which could include special categories of personal data, but we will not do this unless we have obtained your explicit consent to do so.

9. How long do we keep your personal data?

We will retain your personal data for as long as is reasonably necessary for the purposes listed in Section 4 of this Policy. In particular, where there has been no interaction from a consumer (e.g. a purchase, email open, sign up for promotion material), a record will be archived after 1 year and deleted after 3 years.
Where we are required to do so to meet legal, regulatory, tax or accounting requirements, we will retain your personal data for longer periods of time, but only where permitted to do so, including so that we have an accurate record of your dealings with us in the event of any complaints or challenges, or if we reasonably believe there is a possibility of legal action relating to your personal data or dealings.
We maintain a data retention policy which we apply to records in our care. Where your personal data is no longer required and we do not have a legal requirement to retain it, we will ensure it is either securely deleted or stored in a way such that it is anonymised and the Personal Data is no longer used by the business.

10. What are your rights?

You have a number of rights in relation to your personal data. In summary, you have the right to request: access to your data; rectification of any mistakes in our files; erasure of records where no longer required; restriction on the processing of your data; objection to the processing of your data; data portability; and various information in relation to any automated decision making and profiling or the basis for international transfers. You also have the right to complain to your supervisory authority (further details of which are set out in Section 11 below).

These rights are defined in more detail as follows:

Access - and WHAT THIS MEANS

You can ask us to:

• confirm whether we are processing your personal data;
• give you a copy of that data;
• provide you with other information about your personal data such as what data we have, what we use it for, who we disclose it to, whether we transfer it abroad and how we protect it, how long we keep it for, what rights you have, how you can make a complaint, where we got your data from and whether we have carried out automated decision making or profiling, to the extent that information has not already been provided to you in this Policy.

Rectification - and WHAT THIS MEANS

You can ask us to rectify inaccurate personal data. We may seek to verify the accuracy of the data before rectifying it.

Erasure / Right to be Forgotten - and WHAT THIS MEANS

You can ask us to erase your personal data, but only where:

• it is no longer needed for the purposes for which it was collected; or
• you have withdrawn your consent (where the data processing was based on consent); or
• it follows a successful right to object (see 'Objection' below); or
• it has been processed unlawfully; or
• it is necessary to comply with a legal obligation which Merlin is subject to.

We are not required to comply with your request to erase your personal data if the processing of your personal data is necessary: for compliance with a legal obligation; or for the establishment, exercise or defence of legal claims, in relation to the freedom of expression or for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes. In the context of marketing, please note that we will maintain a suppression list if you have opted out from receiving marketing content to ensure that you do not receive any further communications.

Restriction - and WHAT THIS MEANS

You can ask us to restrict (i.e. keep but not use) your personal data, but only where:

• its accuracy is contested (see 'Rectification' below), to allow us to verify its accuracy; or
• the processing is unlawful, but you do not want it erased; or
• it is no longer needed for the purposes for which it was collected, but we still need it to establish, exercise or defend legal claims; or
• you have exercised the right to object, and verification of overriding grounds is pending.

We can continue to use your personal data following a request for restriction, where:

• we have your consent; or
• to establish, exercise or defend legal claims; or
• to protect the rights of another natural or legal person.

Portability - and WHAT THIS MEANS

You can ask us to provide your personal data to you in a structured, commonly used, machine-readable format, or you can ask to have it 'ported' directly to another Data Controller, but in each case only where: the processing is based on your consent or the performance of a contract with you; and the processing is carried out by automated means.

Objection - and WHAT THIS MEANS

You can object to any processing of your personal data which has our 'Legitimate Interests' as its legal basis (see Appendix 1 for further details), if you believe your fundamental rights and freedoms outweigh our Legitimate Interests. Once you have objected, we have an opportunity to demonstrate that we have compelling Legitimate Interests which override your rights, however this does not apply as far as the objections refer to the use of personal data for direct marketing purposes.

To exercise your rights you can contact us as set out in Section 11. Please note the following if you do wish to exercise these rights:

• Identity. We take the confidentiality of all records containing personal data seriously, and reserve the right to ask you for proof of your identity if you make a request.
• Fees. We will not ask for a fee to exercise any of your rights in relation to your personal data, unless your request for access to information is unfounded, repetitive or excessive, in which case we will charge a reasonable amount in the circumstances.
• Timescales. We aim to respond to any valid requests within one month unless it is particularly complicated or you have made several requests, in which case we aim to respond within three months. We will let you know if we are going to take longer than one month. We might ask you if you can help by telling us what exactly you want to receive or are concerned about. This will help us to action your request more quickly.
• Exemptions. Local laws, including in Denmark, provide for additional exemptions, in particular to the right of access, whereby personal data can be withheld from you in certain circumstances, for example where it is subject to legal privilege.

11. Contact and complaints

The primary point of contact for all issues arising from this Policy, including requests to exercise data subject rights, is our Data Protection Officer. The Data Protection Officer can be contacted in the following way:

Data.Protection@merlinentertainments.biz

If you have a complaint or concern about how we use your personal data, please contact us in the first instance and we will attempt to resolve the issue as soon as possible. You also have a right to lodge a complaint with your national data protection supervisory authority at any time. In Denmark, the supervisory authority for data protection is the Datatilsynet. We do ask that you please attempt to resolve any issues with us first, although you have a right to contact your supervisory authority at any time.

APPENDIX 1 - LEGAL BASIS FOR PROCESSING

APPENDIX 2 - GLOSSARY

Consumer: means an individual who will, who has, or who is purchasing tickets for an Attraction or using Merlin's websites, goods or services, or participating in a prize draw/competition or Merlin experience.

Data Controller: means a natural or legal person which determines the means and purposes of processing of personal data.

Data Subject: means an individual whom the personal data is about.

EEA: means the European Economic Area.

GDPR: means the General Data Protection Regulation, which comes into force on 25 May 2018 and replaces the previous Data Protection Directive 95/46/EC.

Legitimate Interests: this is a ground which can be used by organisations as a lawful basis of processing, for example where personal data is used in ways that could reasonably be expected, or there is a compelling reason for the processing.

Member States: means those countries which are part of the European Union.

Privacy Shield: means a framework which has been adopted to protect the rights of those individuals whose data has been transferred to the US.

Profiling: means to analyse your personal data in order to evaluate your behaviour or to predict things about you which are relevant in an entertainment context, such as how likely you are to attend a certain event that we host.

Special Categories of Data: means any personal data relating to your health, genetic or biometric data, criminal convictions, sex life, sexual orientation, racial or ethnic origin, political opinions, religious or philosophical beliefs, trade union membership.

Service Providers: these are a range of third parties to whom we outsource certain functions of our business. For example, we have service providers who provide / support 'cloud based' IT applications or systems, which means that your personal data will be hosted on their servers, but under our control and direction. We require all our service providers to respect the confidentiality and security of personal data.

Updated: 16 May 2018

LEGOLAND ApS er en del af Merlin Entertainments Limited. LEGOLAND ApS tilbyder forskellige ydelser via vores hjemmeside. Brugen af en del af disse ydelser kræver, at der afgives personoplysninger. I det følgende vil vi oplyse om arten og omfanget af indsamlingen af personoplysninger samt om behandlingen af disse og formålet hermed.

OVERSIGT over denne politik og forpligtelser til beskyttelse af personlige oplysninger hos Merlin

Hos Merlin ("vi", "os", "vores") indsamler vi regelmæssigt og bruger personoplysninger om forbrugere, der besøger vores attraktioner eller hoteller, eller besøger vores hjemmesider. Personlige oplysninger er alle oplysninger, der kan bruges til at identificere dig som individ. Beskyttelsen af dine personlige oplysninger er meget vigtig for os, og vi forstår vores ansvar for at håndtere dine personlige oplysninger med omhu, for at opbevare dem sikkert og overholde lovkravene.

Formålet med denne politik til beskyttelse af personlige oplysninger ("Politik") er at give en forståelig forklaring på hvornår, hvorfor og hvordan vi indsamler og bruger personlige oplysninger. Vi har designet den til at være så brugervenlig som mulig og har markeret sektioner, der gør det nemt for dig at finde de oplysninger, der er mest relevante for dig.

Læs venligst denne politik grundigt. Den giver vigtige oplysninger om, hvordan vi bruger personlige oplysninger og forklarer dine juridiske rettigheder. Denne politik er ikke tilsigtet at tilsidesætte vilkårene for enhver kontrakt, som du har med os (for eksempel Wi-Fi vilkår og betingelser for Sæsonpas) eller eventuelle rettigheder, som du måtte have ifølge gældende lovgivning om databeskyttelse.

Vi vil til enhver tid foretage ændringer af denne politik for at holde den ajourført eller for at overholde lovkrav eller ændringer i den måde, hvorpå vi driver vores forretning. Vi vil sørge for, at du bliver gjort opmærksom på væsentlige ændringer ved at sende en e-mail til den e-mailadresse, du senest har opgivet til os, eller ved at poste en meddelelse på enhver relevant hjemmeside, så du er informeret om konsekvenserne af databehandlingsaktiviteterne, før du fortsætter med at engagere dig. Vi opfordrer dig til regelmæssigt at tjekke og gennemgå denne politik, så du altid vil vide, hvilke oplysninger vi indsamler, hvordan vi bruger dem, og hvem vi deler dem med.

Indhold

1. HVEM ER ANSVARLIG FOR AT PASSE PÅ DINE PERSONLIGE OPLYSNINGER?
2. HVILKE PERSONLIGE OPLYSNINGER INDSAMLER VI?
3. HVORNÅR INDSAMLER VI DINE PERSONLIGE DATA?
4. TIL HVILKE FORMÅL BRUGER VI DINE PERSONLIGE OPLYSNINGER, OG HVAD ER DET JURIDISKE GRUNDLAG?
5. HVEM DELER VI DINE PERSONLIGE OPLYSNINGER MED?
6. DIREKTE MARKEDSFØRING
7. INTERNATIONALE OVERFØRSLER
8. PROFILERING
9. HVOR LÆNGE OPBEVARER VI DINE PERSONLIGE OPLYSNINGER?
10. HVAD ER DINE RETTIGHEDER?
11. KONTAKT OG KLAGER
12. TILLÆG 1 - RETSGRUNDLAG FOR BEHANDLING
13. TILLÆG 2 - ORDLISTE

1. HVEM er ansvarlig for at passe på dine personlige oplysninger?

Merlin Entertainments Limited ("Merlin") er en britisk baseret underholdningsvirksomhed hjemhørende på Link House, 25 West Street, Poole, Dorset, BH15 1LD, som driver over 100 attraktioner og over 20 hoteller og feriebyer i 25 lande. Vores forretning handler om at skabe unikke, mindeværdige og givende besøgsoplevelser. En liste over vores attraktioner og et notat over de virksomheder, der udgør Merlin-gruppen, som bidrager til at opnå dette, er tilgængelig på ("Merlin Group").

Den enhed i Merlin Entertainments Limited, som oprindelig var ansvarlig for at indsamle oplysninger om dig, vil være den dataansvarlige. Andre enheder i Merlin Entertainments Limited kan også være dataansvarlige, hvor de er ansvarlige for brugen eller behandlingen af sådanne oplysninger. Der vil være én kontakt for alle dataansvarlige inden for Merlin Entertainments Limited, der kan kontaktes ved hjælp af oplysningerne i afsnit 11 herunder.

2. HVILKE personlige oplysninger indsamler vi?

I forhold til potentielle, forhenværende og nuværende kunder og besøgende i vores attraktioner ("forbrugere") indsamler vi følgende oplysninger:

• Oplysninger du giver os ved at udfylde formularer på vores hjemmeside. Dette inkluderer oplysninger, der er blevet givet på tidspunktet for registrering for at bruge vores hjemmeside, abonnement på vores service, offentliggørelse af materiale eller anmodning om yderligere tjenester. Vi vil også bede dig om oplysninger, når du rapporterer et problem med vores hjemmeside.
• Detaljer af enhver art, hvis du kontakter os med en forespørgsel eller et spørgsmål.
• Når du gennemfører en undersøgelse for at fortælle os, hvordan din oplevelse af vores attraktioner eller hoteller var, og hvordan vi kan forbedre os, selv om du ikke behøver at besvare dem.
• Detaljer om transaktioner, du udfører via vores hjemmeside og om gennemførelsen af dine bookinger, herunder dine kredit-/betalingskortoplysninger.
• Detaljer om dine besøg på vores hjemmeside, herunder men ikke begrænset til trafikdata, lokaliseringsdata, weblogs og andre kommunikationsdata, uanset om dette er nødvendigt for vores egne faktureringsformål eller på anden måde samt de ressourcer, du benytter.
• Dit navn, adresse, telefonnummer og/eller e-mailadresse for at kontakte dig med information om din booking eller i det usandsynlige tilfælde, at vi skal kontakte dig hurtigst muligt angående din reservation.

Dette omfatter indsamling af kontaktoplysninger, såsom dit navn, adresse, fødselsdato, telefonnummer og e-mailadresse, engagement detaljer, herunder din købshistorik og besøgshistorie i vores attraktioner, detaljer vedrørende dit marketing engagement med os, herunder dine præferencer og interesse- / markedsføringsliste over tilladelser eller markedsføringsindsigelser, hjemmesidedata, enhedsdata inklusive IP-adresser og detaljer om din browserhistorik, browsertype og sessionsfrekvens og cookies - se vores separate cookiepolitik for yderligere oplysninger om cookies.

3. HVORNÅR indsamler vi dine personlige data?

Forbrugere

• Vi indsamler oplysninger direkte fra dig, når du tilmelder dig markedsføringsmateriale, et nyhedsbrev fra en attraktionshjemmeside, når du køber en billet eller pas, når du foretager en telefonbooking, når du logger på Wi-Fi i en af vores attraktioner, når du booker et ophold i et af vores hoteller, når du gennemfører en undersøgelse, deltager i en konkurrence eller når du kontakter os med spørgsmål eller forslag.
• Vi overvåger og registrerer også telefonopkald for at optage din opt-in til at modtage marketingindhold (hvis nødvendigt, se afsnit 6 for yderligere detaljer), når du direkte ringer til os.
• Hvis nogen har ansøgt om familiepas eller har deltaget i en konkurrence på dine vegne, vil oplysninger om dig under disse omstændigheder indirekte blive givet af et familiemedlem eller en anden tredjepart.

Vi indsamler ikke bevidst personlige oplysninger om børn med henblik på markedsføring uden at gøre det klart, at sådanne oplysninger kun bør gives med forældrenes samtykke, hvis dette er påkrævet i henhold til gældende lovgivning - så Merlin vil kun bruge barnets personoplysninger i så vid udstrækning, som loven tillader, hvor det krævede samtykke fra forældre eller værger er givet.

4. Til hvilke FORMÅL BRUGER vi dine personlige oplysninger, og hvad er det JURIDISKE GRUNDLAG?

Vi burger dine personlige oplysninger til:

• at sørge for, at indhold fra vores hjemmeside præsenteres på den mest effektive måde for dig og din computer.
• at give dig information, produkter eller tjenester, som du anmoder om fra os, eller som vi mener kan interessere dig, hvor du har givet sit samtykke til at blive kontaktet til sådanne formål.
• at udføre vores forpligtelser som følge af kontrakter indgået mellem dig og os.
• at tillade dig at deltage i interaktive funktioner af vores service, når du vælger at gøre dette.
• at underrette dig om ændringer i vores service.

Vi kan også sende dig marketingmateriale (hvor vi har passende tilladelse, som forklaret mere detaljeret nedenfor i afsnit 6). Denne proces vil sandsynligvis omfatte profilering, og der findes flere oplysninger om dette i afsnit 8 i denne politik. Vi skal også bruge dine personlige oplysninger til formål forbundet med vores juridiske og lovgivningsmæssige forpligtelser.

Vi skal etablere en juridisk grund til at kunne bruge dine personlige oplysninger, så vi vil sikre, at vi kun bruger dine personlige oplysninger til de formål, der er angivet i dette afsnit 4 og i tillæg 1, hvor vi er overbevist om, at:

• vores brug af dine personlige oplysninger er nødvendig for at indgå en kontrakt eller træffe foranstaltninger til at indgå en kontrakt med dig (for eksempel at administrere din booking af adgangsbilletter til en attraktion), (artikel 6, stk. 1, litra b i Persondataforordningen (GDPR)), eller
• vores brug af dine personlige oplysninger er nødvendig for at overholde en relevant juridisk eller lovgivningsmæssig forpligtelse, som vi er underlagt (f.eks. at overholde Datatilsynets krav) (artikel 6, stk. 1, litra c i Persondataforordningen (GDPR)), eller
• vores brug af dine personlige oplysninger er nødvendig for at understøtte "legitime interesser", som vi har som virksomhed (for eksempel at forbedre vores produkter eller at udføre analyser på tværs af vores datasæt), forudsat at det altid udføres på en sådan måde, at det er passende, og det respekterer dine personlige rettigheder. (Artikel 6, stk. 1, litra f i Persondataforordningen (GDPR)). Hvis det kræves i henhold til særskilte love, f.eks. reglerne om beskyttelse af personlige oplysninger og elektronisk kommunikation, sikrer vi også, at du har tilvalgt, at vi må sende dig marketingmateriale - se afsnit 6 herunder for flere detaljer. Se venligst Tillæg 1 for flere detaljer om vores legitime interesser.

Før vi indsamler og/eller bruger nogen særlige kategorier af data, etablerer vi en yderligere lovlig grund til ovenstående, som giver os mulighed for at bruge disse oplysninger. Denne ekstra fritagelse vil typisk være:

• dit udtrykkelige samtykke (artikel 9, stk. 2, litra a i Persondataforordningen (GDPR));
• etablering, udøvelse eller forsvar fra os eller tredjeparter af juridiske krav (artikel 9, stk. 2, litra f i Persondataforordningen (GDPR)); eller
• en særlig undtagelse i henhold til lokal lovgivning i EU-medlemslande og andre lande, der indfører Persondataforordningen (GDPR).

BEMÆRK: Hvis vi tidligere har oplyst dig i en ældre privatlivspolitik, at vi var afhængige af samtykke som grundlag for vores behandlingsaktiviteter, vil vi ikke være afhængige af dette retsgrundlag, medmindre vi har angivet det i denne politik.

BEMÆRK: Hvis du giver dit udtrykkelige samtykke til at tillade os at behandle dine særlige kategorier af data, kan du til enhver tid inddrage dit samtykke til sådan behandling. Du skal dog være opmærksom på, at hvis du vælger at trække dit samtykke tilbage, vil vi fortælle dig mere om de mulige konsekvenser, herunder hvis det betyder, at visse tjenester (især hvor du har ansøgt om plejerpas) ikke længere kan leveres).

5. Hvem DELER vi dine personlige oplysninger med?

Som angivet ovenfor deler vi data med Merlin Entertainments Limited.

Vi deler også dataene med tredjeparter for at hjælpe med at drive vores forretning og levere tjenester. Disse tredjeparter kan fra tid til anden have adgang til dine personlige oplysninger og omfatter:

• tjenesteudbydere, der hjælper med at håndtere vores IT og back office-systemer samt hjælper med vores Customer Relationship Management aktiviteter, især Accesso, AppNexus, Axicode, Bing, Cludo, Episerver, Experian, Facebook, Galaxy, Google Analytics, Google Adword, Google double click, Google Optimize, GroupM, HEX, Hotjar, iHotellier, ISO, Magnetix, Opera, Pinterest, Qubit Opentag, Zendesk og Zopim
• vores regulerende myndigheder, som omfatter Datatilsynet, samt andre tilsynsmyndigheder og retshåndhævende myndigheder,
• advokater og andre professionelle servicevirksomheder (herunder vores revisorer).

Hvis vi skulle sælge en del af vores forretning, vil vi også skulle overføre dine personlige oplysninger til køberen.

6. Direkte markedsføring

Vi kan bruge dine personlige oplysninger til at sende dig direkte markedsføring om vores attraktioner, hoteller, oplevelser eller vores relaterede tjenester. Dette vil ske i form af e-mail, post, SMS eller målrettede onlineannoncer på Facebook, Instagram, Snapchat, YouTube og Google.

Hvor opt-in samtykke er påkrævet i henhold til lokale love, vil vi bede om dit samtykke; Ellers vil vi stole på vores legitime interesser med henblik på GDPR som nærmere beskrevet i afsnit 4 og tillæg 1 (herunder hvor vi er afhængige af en opt-out tilladelse). Du har ret til ikke længere at modtage direkte markedsføring - du kan gøre dette ved at klikke på afmeld linket i elektronisk kommunikation (f.eks. E-mails) eller ved at kontakte os ved hjælp af oplysningerne i afsnit 11.

Vi bruger også dine personlige oplysninger til at tilpasse eller personalisere annoncer, tilbud og indhold, der stilles til rådighed på baggrund af dine besøg på og/eller brug af vores attraktionshjemmesider eller andre mobile applikationer, platforme eller tjenester, og til at analysere resultaterne af disse annoncer, tilbud og indhold, samt din interaktion med disse. Vi kan også anbefale indhold til dig på baggrund af de oplysninger, vi har samlet om dig og dine visningsvaner. Dette udgør 'profilering', og der findes mere information om dette i afsnit 8 i denne politik.

6.1 Oversigt over produkter og attraktioner

Herunder ses et overblik over, hvilke produkter og attraktioner som du vil modtage markedsføring om.

LEGOLAND parken
Se spisesteder
Se butikker

LEGOLAND overnatning
Læs mere om LEGOLAND Castle Hotel
Læs mere om Hotel LEGOLAND
Læs mere om LEGOLAND Holiday Village

Merlins attraktioner
Læs mere om Merlins attraktioner

LEGO^® House
Læs mere om vores samarbejdspartner LEGO House

7. Internationale overførsler

Nogle enheder i Merlin Entertainments Limited, som vi deler dine oplysninger med, og vores tjenesteudbydere, der har adgang til dine personlige oplysninger, er placeret uden for EU. Vi kan også dele dine personlige oplysninger i udlandet, for eksempel hvis vi modtager en juridisk eller lovgivningsmæssig anmodning fra en udenlandsk retshåndhævende myndighed. Vi vil altid tage skridt til at sikre, at enhver international overførsel af oplysninger varetages omhyggeligt for at beskytte dine rettigheder og interesser, især vil vi enten:

• kun overføre dine personlige oplysninger til lande, der anerkendes som tilstrækkelige juridiske beskyttelsesniveauer i overensstemmelse med artikel 45 i Persondataforordningen (GDPR); eller
• sikre, at overførsler uden for Den Europæiske Union er underlagt en passende retslig beskyttelse - f.eks. EU-modelklausuler i henhold til artikel 46, stk. 2 i Persondataforordningen (GDPR) og/eller EU-USA Privacy Shield til beskyttelse af overførte personlige oplysninger til USA (for yderligere oplysninger, se her)

Du har ret til at spørge os om yderligere oplysninger om de sikkerhedsforanstaltninger, vi har sat i værk, som nævnt ovenfor. Kontakt os, som beskrevet i afsnit 11, hvis du ønsker yderligere oplysninger eller at anmode om en kopi, hvor beskyttelsen er dokumenteret (som kan være redigeret for at sikre fortrolighed).

8. Profilering

'Automated Decision Making' refererer til en beslutning, der træffes gennem den automatiske behandling af dine personlige oplysninger alene - det vil sige behandling ved hjælp af for eksempel softwarekode eller en algoritme, som ikke indebærer nogen menneskelig indgriben. Vi udfører ikke nogen automatiseret beslutningstagning, men vi udfører profilering ved hjælp af automatiseret behandling for at skræddersy markedsføringsmaterialer til en specifik kunde.

Hvis du er en forbruger, der har tilmeldt dig for at modtage markedsføringsopdateringer, kan vi bruge profilering til at sikre, at markedsføringsmaterialer er skræddersyet til dine præferencer og til det, vi tror, du vil være interesseret i. Under visse omstændigheder vil det være muligt at udlede visse oplysninger om dig fra profileringsresultatet, hvilket kan indeholde særlige kategorier af personlige oplysninger, men vi vil ikke gøre dette, medmindre vi har fået dit udtrykkelige samtykke til at gøre dette.

9. Hvor længe opbevarer vi dine personlige oplysninger?

Vi opbevarer dine personlige oplysninger så længe, som det med rimelighed er nødvendigt til de formål, der er anført i afsnit 4 i denne politik. Især hvor der ikke har været interaktion fra en forbruger (f.eks. et køb, åbning af e-mail, tilmelding til markedsføringsmateriale), arkiveres en post efter 1 år og slettes efter 3 år.

Hvor vi er forpligtet til at gøre det for at opfylde juridiske, lovgivningsmæssige, skattemæssige eller regnskabsmæssige krav, bevarer vi dine personlige oplysninger i længere perioder, men kun hvor det er tilladt at gøre det, herunder så vi har en præcis oversigt over dine kontakt med os i tilfælde af eventuelle klager eller udfordringer, eller hvis vi med rimelighed tror, at der er mulighed for juridiske forhold vedrørende dine personlige oplysninger eller forhold.

Vi opretholder en databehandlingspolitik, som vi anvender til registre i vores varetægt. Hvor dine personlige oplysninger ikke længere er påkrævet, og vi ikke har et juridisk krav til at beholde dem, vil vi sikre, at de enten bliver slettet på sikker vis eller opbevaret på en måde, så de er anonymiseret, og de personlige oplysninger ikke længere bruges til forretning.

10. Hvad er dine rettigheder?

Du har en række rettigheder i forhold til dine personlige oplysninger. Sammenfattende har du ret til at anmode om: adgang til dine oplysninger; rettelse af eventuelle fejl i vores filer; sletning af optegnelser, hvor det ikke længere er nødvendigt; begrænsning af behandlingen af dine oplysninger; indsigelse mod behandlingen af dine oplysninger; dataportabilitet; og forskellige oplysninger i forbindelse med enhver automatiseret beslutningstagning og profilering eller grundlaget for internationale overførsler. Du har også ret til at klage til din tilsynsførende myndighed (yderligere detaljer er beskrevet i afsnit 11 herunder).

Disse rettigheder er defineret mere detaljeret som følger:

Adgang - og HVAD DETTE BETYDER

Du kan bede os om at:

• bekræfte, om vi behandler dine personlige oplysninger;
• give dig en kopi af disse oplysninger;
• give dig andre oplysninger om dine personlige oplysninger, f.eks. hvilke oplysninger vi har, hvad vi bruger dem til, hvem vi videregiver dem til, om vi overfører dem til udlandet og hvordan vi beskytter dem, hvor længe vi opbevarer dem, hvilke rettigheder du har, hvordan du kan klage, hvor vi har fået dine oplysninger fra, og om vi har foretaget automatiseret beslutningstagning eller profilering, i det omfang du ikke allerede er blevet informeret om dette i denne politik.

Berigtigelse - og HVAD DETTE BETYDER

Du kan bede os om at rette op på unøjagtige personlige oplysninger. Vi kan søge om at få verificeret nøjagtigheden af oplysningerne, før de rettes.

Sletning / Ret til at blive glemt - og HVAD DETTE BETYDER

Du kan bede os om at slette dine personlige oplysninger, men kun hvor:

• de ikke længere er nødvendige til de formål, som de blev indsamlet til; eller
• du har trukket dit samtykke tilbage (hvor databehandlingen var baseret på samtykke); eller
• det følger en vellykket ret til indsigelse (se "Indsigelse" herunder); eller
• de er blevet behandlet ulovligt; eller
• det er nødvendigt at overholde en juridisk forpligtelse, som Merlin er underlagt.

Vi er ikke forpligtet til at overholde din anmodning om at slette dine personlige oplysninger, hvis behandlingen af dine personlige oplysninger er nødvendig: for overholdelse af en juridisk forpligtelse eller for etablering, udøvelse eller forsvar af juridiske krav i forhold til ytringsfriheden eller til arkivering i offentlighedens interesse, videnskabelige eller historiske forskningsformål eller statistiske formål. I forbindelse med markedsføring bemærker vi, at vi vil opretholde en undertrykkelsesliste, hvis du har afvist at modtage markedsførings indhold for at sikre, at du ikke modtager yderligere kommunikation.

Begrænsning - og HVAD DETTE BETYDER

Du kan bede os om at begrænse (dvs. bevare men ikke bruge) dine personlige oplysninger, men kun hvor:

• deres nøjagtighed er anfægtet (se 'Berigtigelse' herunder), så vi kan kontrollere deres nøjagtighed; eller
• behandlingen er ulovlig, men du vil ikke slette dem; eller
• de er ikke længere nødvendige til de formål, som de blev indsamlet til, men vi stadig har brug for dem til at etablere, udøve eller forsvare juridiske krav; eller
• du har udnyttet retten til at gøre indsigelse, og kontrol af de tvingende grunde afventer

Vi kan fortsætte med at bruge dine personlige oplysninger efter en anmodning om begrænsning, hvor:

• vi har dit samtykke; eller
• til etablere, udøve eller forsvare juridiske krav; eller
• til at beskytte en anden fysisk eller juridisk persons rettigheder.

Portabilitet - og HVAD DETTE BETYDER

Du kan bede os om at udlevere dine personlige oplysninger til dig i et struktureret, almindeligt anvendt maskinlæsbart format, eller du kan bede om at få dem "overført" direkte til en anden dataansvarlig, men i begge tilfælde kun hvor: behandlingen er baseret på dit samtykke eller i udførelsen af en kontrakt med dig; og behandlingen foregår ved hjælp af automatiserede midler.

Indsigelse - og HVAD DETTE BETYDER

Du kan gøre indsigelse mod enhver behandling af dine personlige oplysninger, som har vores "legitime interesser" som retsgrundlag (se Tillæg 1 for yderligere oplysninger), hvis du mener, at dine grundlæggende rettigheder og friheder opvejer vores legitime interesser. Når du har gjort indsigelse, har vi mulighed for at demonstrere, at vi har overbevisende legitime interesser, som tilsidesætter dine rettigheder, men dette gælder ikke så vidt indsigelserne henviser til brugen af personlige oplysninger til direkte markedsføring.

For at udøve dine rettigheder kan du kontakte os som beskrevet i afsnit 11. Bemærk venligst følgende, hvis du ønsker at udøve disse rettigheder:

• Identitet. Vi tager fortroligheden af alle optegnelser, der indeholder personlige oplysninger, alvorligt, og forbeholder os ret til at bede dig om bevis for din identitet, hvis du foretager en anmodning.
• Gebyrer. Vi vil ikke anmode om et gebyr for at udøve nogen af dine rettigheder i forhold til dine personlige oplysninger, medmindre din anmodning om adgang til oplysninger er ubegrundet, gentagne eller overdrevne, i så fald vil vi opkræve et rimeligt beløb efter omstændighederne.
• Tidshorisont. Vi tilstræber at besvare eventuelle gyldige anmodninger inden for en måned, medmindre det er særlig kompliceret, eller du har foretaget flere anmodninger, i hvilket tilfælde vi sigter mod at svare inden for tre måneder. Vi vil informere dig, om vi kommer til at bruge længere tid end en måned. Vi kan spørge dig, om du kan hjælpe med at fortælle os, hvad du ønsker at modtage eller er bekymret for. Dette vil hjælpe os med at behandle din anmodning hurtigere.
• Undtagelser. Lokal lovgivning, herunder i Danmark, indeholder yderligere undtagelser, især adgangsretten, hvorved personlige oplysninger kan tilbageholdes fra dig under visse omstændigheder, for eksempel hvor det er juridisk privilegeret.

11. Kontakt og klager

Det primære kontaktpunkt for alle spørgsmål i forbindelse med denne politik, herunder anmodninger om at udøve registreredes rettigheder, er vores databeskyttelsesansvarlige. Den databeskyttelsesansvarlige kan kontaktes på følgende måde:

Data.Protection@merlinentertainments.biz

Hvis du har en klage eller bekymring over, hvordan vi bruger dine personlige oplysninger, bedes du i første omgang kontakte os, og vi vil forsøge at løse problemet så hurtigt som muligt. Du har til enhver tid også ret til at indgive en klage til din nationale tilsynsførende myndighed for databeskyttelse. I Danmark er tilsynsmyndigheden for databeskyttelse Datatilsynet. Vi beder dig om at forsøge at løse eventuelle problemer med os først, selvom du til enhver tid har ret til at kontakte din tilsynsførende myndighed.

TILLÆG 1 - RETSGRUNDLAG FOR BEHANDLING

TILLÆG 2 - ORDLISTE

Forbruger: betyder en person, der vil, har eller køber billetter til en attraktion eller bruger Merlins hjemmesider, varer eller tjenesteydelser eller deltager i en konkurrence eller Merlin oplevelse.

Dataansvarlig: en fysisk eller juridisk person, der bestemmer midlerne og formålet med behandlingen af personlige oplysninger.

Dataregistreret: betyder en person, hvis personoplysninger det handler om.

EEA: betyder Det Europæiske Økonomiske Samarbejdsområde

GDPR: den generelle databeskyttelsesforordning, som træder i kraft den 25. maj 2018 og erstatter det tidligere databeskyttelsesdirektiv 95/46/EF.

Legitime interesser: dette er en grund, der kan anvendes af organisationer som et lovligt grundlag for behandling, for eksempel hvor personoplysninger anvendes på en måde, der med rimelighed kan forventes, eller der er en overbevisende årsag til behandlingen.

Medlemslande: betyder de lande, der er en del af Den Europæiske Union.

Privacy Shield: betyder en ramme, der er vedtaget for at beskytte de personers rettigheder, hvis oplysninger bliver overført til USA.

Profilering: betyder at analysere dine personlige oplysninger for at evaluere din adfærd eller at forudsige ting om dig, der er relevante i en underholdningskontekst, f.eks. hvor stor sandsynlighed der er for at du deltager i en bestemt begivenhed, som vi er vært for.

Særlige kategorier af data: enhver personlig information vedrørende dit helbred, genetiske eller biometriske data, dom i straffesager, seksualliv, seksuel orientering, race eller etnisk oprindelse, politiske holdninger, religiøse eller filosofiske overbevisninger, fagforeningsmedlemsskab.

Tjenesteudbydere: Dette er en række tredjeparter, som vi outsourcer visse funktioner af vores forretning til. For eksempel har vi tjenesteudbydere, som leverer/støtter "cloud-baserede" it-applikationer eller -systemer, hvilket betyder, at dine personlige oplysninger vil blive hostet på deres servere, men under vores kontrol og vejledning. Vi kræver, at alle vores tjenesteudbydere respekterer fortroligheden og sikkerheden omkring personlige oplysninger.

Opdateret: 16. maj 2018