Szanowni Państwo,
Zgodnie z art. 13 ust. 1 i 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w
sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „RODO”), informujemy, że:

1. ADMINISTRATOR DANYCH OSOBOWYCH
   Administratorem Pani/Pana danych osobowych jest Spółka Chochołowskie Termy Spółka z ograniczoną odpowiedzialnością z siedzibą w Chochołowie (34-513) Chochołów 400, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla Krakowa – Śródmieścia w Krakowie, XII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000261672, REGON: 120300433, NIP: 7361640322 (dalej: „Spółka” lub „Administrator”).
2. KONTAKT
   Osobą do kontaktu w sprawach związanych z przetwarzaniem Pani/Pana danych osobowych oraz z wykonywaniem praw wynikających z RODO jest wyznaczony przez Spółkę Inspektor Ochrony Danych (IOD), z którym kontakt możliwy jest pod adresem e-mail: iod@chocholowskietermy.pl bądź w formie listownej na adres: Chochołowskie Termy Sp. z o. o. Chochołów 400, 34-513 Chochołów, z dopiskiem „Inspektor Ochrony Danych” lub „Ochrona danych osobowych”.
3. ZAKRES, CELE ORAZ PODSTAWA PRAWNA PRZETWARZANIA DANYCH OSOBOWYCH
   Monitoringiem wizyjnym objęty został cały obszar Obiektu Chochołowskie Termy, tj.:
   • budynki Obiektu (wejścia/wyjścia, korytarze, klatki schodowe, kabiny wind, kasy i recepcje (podgląd na stanowisko pracy obsługi), poczekalnie, szatnie (za wyjątkiem przebieralni i toalet oraz prysznicy), sale siłowni i sala fitness, komory normobaryczne);
   • obszar wokół Obiektu (cały Obiekt z zewnętrz wraz z drogami dojazdowymi do niego, place, parkingi, ciągi komunikacyjne, chodniki, bramy wjazdowe i wyjazdowe, wejścia na i wyjścia z terenu Obiektu, okna budynków); z zastrzeżeniem, iż w zależności od umiejscowienia kamer, poszczególnych ww. miejsc i części Obiektu monitoring może nie obejmować w pełni.

Monitoringiem nie są objęte gabinety i wypoczywalnia w strefie SPA, a także strefa saun.

W zakresie pomieszczeń dostępnych wyłącznie dla uprawnionych pracowników Spółki, monitoring nie obejmuje pomieszczeń sanitarnych (toalet, prysznicy), szatni, stołówek oraz palarni (jeżeli taka została utworzona) lub pomieszczeń udostępnianych zakładowej organizacji związkowej.

Zakres danych przetwarzanych przez Administratora na podstawie monitoringu wizyjnego obejmuje: sylwetkę/postać/obiekt. Rejestracji i zapisowi danych podlega tylko obraz (bez dźwięku). Możliwe jest przetwarzanie kategorii danych osobowych takich jak: wizerunek, numery identyfikacyjne pojazdów.

Co do zasady treść nagrań monitoringu jest utrwalana bez dodatkowych oznaczeń lub odwołań pozwalających w sposób zautomatyzowany przypisać poszczególne fragmenty nagrań do konkretnych osób fizycznych, niemniej należy uznać, iż takie nagrania stanowią zbiór danych osobowych zawierający dane osobowe osób, których wizerunek utrwalono za pomocą monitoringu wizyjnego i stanowią zbiór doraźny „monitoring wizyjny”.

Wyjątek stanowią kamery umiejscowione na szlabanach parkingowych, które jako kamery LPR (License Plate Recognition) utrwalają numery identyfikacyjne pojazdów i pozwalają na ich automatyczne rozpoznanie. Zidentyfikowane znaki są następnie przetwarzane i porównywane z danymi w bazie danych w celu znalezienia odpowiedniej informacji o pojeździe. Innymi słowy ww. kamery (wyposażone w funkcję ANPR) potrafią odnaleźć tablicę rejestracyjną na obserwowanej scenie. Następnie identyfikowany jest każdy znak z osobna, po czym system zwraca gotowy ciąg znaków i zapisuje go w bazie danych. Dzięki zaawansowanemu algorytmowi AI, technologia ta pozwala na rozpoznanie tablicy rejestracyjnej oraz odczytanie jej cech (numer rejestracyjny, kolor, kraj itp.)

Dodatkowo funkcjonujące w Chochołowskich Termach systemy informatyczne, w połączeniu z nagraniami monitoringu, stwarzają teoretyczną możliwość ustalenia miejsca i czasu pobytu zidentyfikowanej osoby fizycznej, obsługującej się udostępnionym transponderem Systemu Elektronicznej Obsługi Klienta, w tym przebiegu zdarzeń z udziałem takiej osoby i proces ten może być prowadzony w uzasadnionych przypadkach.

Podstawowym celem monitoringu wizyjnego jest bieżący dozór Obiektu dla zwiększenia bezpieczeństwa korzystających z niego osób, poprzez zapewnienie możliwości szybszej reakcji personelu na awarię lub zdarzenie, w którym jakaś osoba mogłaby potrzebować pomocy lub asysty personelu Chochołowskich Term. Nagrania monitoringu mogą być również pomocne w przypadku konieczności udokumentowania przebiegu zdarzeń awaryjnych lub popełnienia czynu niedozwolonego. Zatem wyłącznym celem stosowania monitoringu wizyjnego jest zapewnienie bezpieczeństwa osób przebywających na terenie monitorowanym (w tym bezpieczeństwa pracowników), porządku oraz ochrony mienia, zapewnienia ochrony informacji oraz przestrzegania tajemnic zawodowych, a ponadto ewentualne ustalenie, dochodzenie i obrona wzajemnych roszczeń.

Podstawą prawną do przetwarzania danych osobowych z monitoringu jest art. 6 ust. 1 lit. f)
RODO – uzasadniony interes Administratora polegający na zapewnieniu bezpieczeństwa osób i mienia Administratora oraz ochrony jego praw, a jeśli chodzi o dane pracowników Spółki także art. 22 2 ustawy z dnia 26 czerwca 1974 roku – Kodeks pracy

4. ODBIORCY DANYCH
   Odbiorcami zebranych danych osobowych będą upoważnieni pracownicy Administratora, podmioty współpracujące z Administratorem i przetwarzające dane osobowe z polecenia Administratora na podstawie upoważnienia do przetwarzania danych osobowych lub podmioty, z którymi Administrator zawarł umowę powierzenia przetwarzania danych osobowych lub inną właściwą regulującą przekazanie danych osobowych bądź współadministrowanie tymi danymi. W szczególności dotyczy to usług wsparcia informatycznego (w szczególności podmiotów odpowiedzialnych za obsługę systemów informatycznych i sprzętu) lub wsparcia prowadzonej przez Administratora działalności (w szczególności podmiotów świadczących usługi prawne lub księgowe, konsultingowe, audytowe, w razie potrzeby usługi marketingowe, kurierskie, przewozowe, pocztowe, transportowe i inne).
   
   Ponadto Administrator zastrzega sobie prawo ujawnienia wybranych informacji dotyczących
   osoby, której dane dotyczą, właściwym organom bądź osobom trzecim, które zgłoszą żądanie udzielenia takich informacji, opierając się na odpowiedniej podstawie prawnej oraz zgodnie z przepisami obowiązującego prawa, w tym w szczególności organom podatkowym, czy organom wymiaru sprawiedliwości/ścigania, takim jak policja, prokuratura, sądy i organy arbitrażowe, na ich wyraźne i zgodne z prawem żądanie.
5. PRZEKAZYWANIE DANYCH OSOBOWYCH POZA EOG
   Co do zasady zebrane dane osobowe nie będą przekazywane poza Unię Europejską lub Europejski Obszar Gospodarczy (EOG), czyli do państw trzecich, a także do organizacji międzynarodowych. Wyjątkiem może być przekazanie danych do państw trzecich jedynie w ramach korzystania przez Administratora z usług podmiotów dostarczających rozwiązania i systemy informatyczne, które to podmioty mogą przechowywać dane osobowe na serwerach zlokalizowanych poza tym obszarem (w tym na terenie Stanów Zjednoczonych). W przypadkach wskazanego przekazania następuje ono w oparciu o odpowiednią podstawę (podstawą takiego przekazania może być przede wszystkim decyzja Komisji Europejskiej stwierdzająca odpowiedni poziom ochrony lub zastosowanie odpowiednich zabezpieczeń prawnych, którymi są w szczególności standardowe klauzule umowne ochrony danych osobowych, zatwierdzone przez Komisję Europejską; w razie niewydania przez Komisję Europejską decyzji stwierdzającej odpowiedni poziom ochrony lub braku zapewnienia odpowiednich zabezpieczeń prawnych, dane osobowe mogą być przekazane do państwa trzeciego na podstawie jednej z przesłanek wymienionych w art. 49 ust. 1 RODO); stosowane są odpowiednie i właściwe zabezpieczenia wymagane przez przepisy o ochronie danych osobowych oraz umożliwia się uzyskanie kopii danych przekazanych do państw trzecich.
6. OKRES PRZECHOWYWANIA DANYCH OSOBOWYCH
   Wszystkie dane rejestrowane poprzez kamery monitoringu wizyjnego co do zasady są zapisywane i przechowywane przez okres nieprzekraczający 3 tygodni od dnia nagrania, z zastrzeżeniem, że czas przechowywania może być krótszy, gdyż uzależniony jest od ilości zdarzeń i pojemności dysku rejestratora. Po skończeniu się miejsca na dysku dane zostają automatycznie nadpisywane – dane ulegają usunięciu poprzez nadpisanie danych na urządzeniu rejestrującym obraz.
   
   W uzasadnionych przypadkach bądź z inicjatyw samej Spółki bądź na podstawie wniosków uprawnionych osób fizycznych lub organów, w szczególności, gdy urządzenia monitoringu wizyjnego zarejestrowały zdarzenie związane z naruszeniem bezpieczeństwa osób i mienia, nagranie może zostać zarchiwizowane, a okres przechowywania danych może ulec wydłużeniu o czas niezbędny do zakończenia postępowania, którego przedmiotem jest zdarzenie zarejestrowane przez monitoring wizyjny – co do zasady będzie to okres 3 lat licząc od końca roku kalendarzowego, w którym nagranie zostało zarejestrowane, a w przypadku, w którym nagranie stanowi dowód w postępowaniu prowadzonym na podstawie prawa lub Spółka powzięła wiadomość, iż może ono stanowić dowód w postępowaniu, termin ten ulega przedłużeniu do czasu prawomocnego zakończenia postępowania. Zatem okres przetwarzania danych może być przedłużony w przypadku, gdy przetwarzanie jest niezbędne do ustalenia lub dochodzenia roszczeń lub obrony przed roszczeniami (z uwzględnieniem okresów przedawnienia), a po tym okresie – jedynie w przypadku i w zakresie, w jakim będą wymagać tego przepisy prawa.
   
   Po upływie okresu przetwarzania uzyskane w wyniku monitoringu nagrania obrazu zawierające dane osobowe podlegają zniszczeniu (są nieodwracalnie usuwane lub nieodwracalnie anonimizowane).

7. UPRAWNIENIA ZWIĄZANE Z PRZETWARZANIEM DANYCH OSOBOWYCH – PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ
   Administrator zapewnia, że wszystkim osobom, których dane osobowe są przetwarzane, przysługują odpowiednie prawa wynikające z RODO. W niniejszym przypadku, ze względu na zakres i podstawę prawną przetwarzanych danych osobowych, prawa te są następujące:
   
   1. prawo dostępu do danych osobowych, w tym w szczególności prawo do informacji o przetwarzaniu danych osobowych oraz prawo do uzyskania kopii danych;
   2. prawo do sprostowania danych (w ograniczonym zakresie);
   3. prawo do usunięcia danych (tzw. „prawo do bycia zapomnianym”), z zastrzeżeniem, że prawo to nie ma zastosowania m.in. w zakresie w jakim przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń, czy gdy przetwarzanie jest niezbędne do wywiązania się z prawnego obowiązku;
   4. prawo do ograniczenia przetwarzania;
   5. prawo do wniesienia sprzeciwu wobec przetwarzania danych osobowych (dotyczy przetwarzania danych osobowych, które odbywa się na podstawie uzasadnionego interesu Administratora, tj. na podstawie art. 6 ust. 1 lit. f) RODO, z wyłączeniem marketingu bezpośredniego), jeżeli dana osoba uważa, że jej szczególna sytuacja uzasadnia zaprzestanie przetwarzania przez Administratora danych; żądania w tym zakresie Administrator może nie uwzględnić jeżeli istnieją ważne prawnie uzasadnione podstawy do przetwarzania danych osobowych przez Administratora, które są nadrzędne wobec interesów, praw i wolności osoby, której dane dotyczą lub jeżeli istnieją podstawy do ustalenia, dochodzenia lub obrony roszczeń;
   6. prawo do wniesienia skargi do organu nadzorczego, którym jest Prezes Urzędu Ochrony Danych Osobowych (na adres: Urząd Ochrony Danych Osobowych ul. Stawki 2, 00-193 Warszawa).

8. OBOWIĄZEK PODANIA DANYCH
   Monitoring wizyjny jest nieodłącznym elementem możliwości korzystania z Kompleksu Chochołowskie Termy. Odmowa objęcia monitoringiem uniemożliwia skorzystanie z usług świadczonych przez Spółkę w Obiekcie.
9. ZAUTOMATYZOWANE PODEJMOWANIE DECYZJI I PROFILOWANIE
   Przetwarzanie danych osobowych może odbywać się w sposób częściowo zautomatyzowany, ponieważ w pewnym stopniu będą one przetwarzane na zasobach komputerowych.

Szczegółowe zasady funkcjonowania monitoringu wizyjnego w Obiekcie Chochołowskie Termy, w tym zasady udostępniania danych osobowych zawartych w zbiorze monitoringu, określa Regulamin monitoringu wizyjnego.