Szanowni Państwo,

Realizując obowiązek wynikający art. 13 ust. 1 i 2 i art. 14 ust. 1 i 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej: „RODO”), w stosunku do:

1. kontrahentów będących stronami zawieranych umów (osoby fizyczne, osoby fizyczne prowadzące tzw. jednoosobową działalność gospodarczą, osoby fizyczne prowadzące działalność w postaci spółek prawa cywilnego), a także potencjalnych kontrahentów;
2. osób fizycznych reprezentujących kontrahentów instytucjonalnych (np. wspólnicy spółek osobowych, członkowie zarządu spółek kapitałowych, prokurenci, pełnomocnicy, syndycy, inni reprezentanci);
3. osób fizycznych wskazanych przez kontrahentów do kontaktu oraz do realizacji przedmiotu umów (np. koordynatorzy, osoby kontaktowe, osoby reprezentujące lub zatrudnione u kontrahenta – współpracownicy, pracownicy itp.);
4. innych osób, których dane są przetwarzane w celach realizacji współpracy i wykonania umowy, w tym w celu wstawienia lub realizacji faktur;

 informujemy, że:

1. ADMINISTRATOR DANYCH OSOBOWYCH

Administratorem Pani/Pana danych osobowych jest Spółka Chochołowskie Termy spółka z ograniczoną odpowiedzialnością z siedzibą w Chochołowie (34-513) Chochołów 400, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla Krakowa – Śródmieścia w Krakowie, XII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000261672, REGON: 120300433, NIP: 7361640322 (dalej: „Spółka” lub „Administrator”).

2. KONTAKT

Osobą do kontaktu w sprawach związanych z przetwarzaniem Pani/Pana danych osobowych oraz z wykonywaniem praw wynikających z RODO jest wyznaczony przez Spółkę Inspektor Ochrony Danych (IOD), z którym kontakt możliwy jest pod adresem e-mail:  iod@chocholowskietermy.pl bądź w formie listownej na adres: Chochołowskie Termy Sp. z o.o. Chochołów 400, 34-513 Chochołów, z dopiskiem „Inspektor Ochrony Danych” lub „Ochrona danych osobowych”.

3. ZAKRES, CELE ORAZ PODSTAWA PRAWNA PRZETWARZANIA DANYCH OSOBOWYCH 

Dane osobowe osób wymienionych na wstępie niniejszej informacji, podane w związku z zawarciem danej umowy, nawiązaniem współpracy, ich realizacją, nawiązaniem kontaktu mailowego/telefonicznego itd., obejmujące w szczególności dane takie jak:

• imię i nazwisko, firma, adres prowadzenia działalności gospodarczej oraz adresy korespondencyjne;
• numery posiadane we właściwych rejestrach (np. numer NIP lub REGON);
• numer PESEL;
• dane kontaktowe, takie jak adres e-mail lub numer telefonu bądź faxu;
• stanowisko zajmowane przez Państwa w ramach Państwa organizacji;
• numer rachunku bankowego;

 Administrator przetwarzał będzie:

1. w celu podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy/nawiązaniem współpracy – na podstawie art. 6 ust. 1 lit. b) RODO (podstawą przetwarzania jest niezbędność przetwarzania do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy (przed świadczeniem usługi));
2. w celu realizacji zawartej umowy – na podstawie art. 6 ust. 1 lit. b) RODO (podstawą przetwarzania jest niezbędność przetwarzania do świadczenia usługi/do wykonania umowy, której stroną jest osoba, której dane dotyczą);
3. w celu wypełnienia obowiązków prawnych ciążących na Administratorze, w tym szczególności obowiązków fiskalnych, rozliczeniowych, rachunkowych i podatkowych, a także obowiązków wynikających z przepisów RODO – na podstawie art. 6 ust. 1 lit. c) RODO (podstawą przetwarzania jest niezbędność przetwarzania do wypełnienia obowiązku prawnego ciążącego na Administratorze);
4. dla celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora, w tym w szczególności w celu rozpatrywania reklamacji oraz ewentualnego ustalenia, dochodzenia i obrony wzajemnych roszczeń – na podstawie art. 6 ust. 1 lit. f) RODO (podstawą przetwarzania jest realizacja prawnie uzasadnionych interesów Administratora);
5. dla celów statystycznych Administratora i analiz – na podstawie art. 6 ust. 1 lit. f) RODO (podstawą przetwarzania jest realizacja prawnie uzasadnionych interesów Administratora, przez które w tym przypadku należy rozumieć potrzebę posiadania informacji statystycznych o działaniach przez niego prowadzonych, co pozwala Administratorowi na usprawnienie tych działań);
6. w celu realizowania działań marketingowych własnych produktów lub usług przez Administratora – na podstawie art. 6 ust. 1 lit. f) RODO (podstawą przetwarzania jest realizacja prawnie uzasadnionych interesów Administratora polegających na wysyłce informacji marketingowych w granicach udzielonej przez Zamawiającego zgody (marketing bezpośredni)).

Zaznaczamy, że możemy pozyskiwać Państwa dane osobowe z publicznie dostępnych źródeł, takich jak rejestry przedsiębiorców CEIDG lub KRS, rejestr REGON – w celu weryfikacji posiadanych informacji o danej osobie/podmiocie. Zakres przetwarzanych danych będzie w takim przypadku ograniczony do danych dostępnych publicznie w odpowiednich rejestrach. 

Możemy również pozyskiwać Państwa dane osobowe od podmiotów, w których są Państwo zatrudnieni, lub którego są Państwo reprezentantami. Zakres przetwarzanych danych obejmie w takim przypadku informacje konieczne do realizacji umowy/współpracy nawiązanej pomiędzy takim podmiotem a Spółką. Zatem ww. dane osobowe mogą być pozyskiwane zarówno bezpośrednio od osoby, której dane dotyczą, jak i od osób/podmiotów trzecich – naszych kontrahentów, którzy przekazali nam określone dane. 

4. ODBIORCY DANYCH 

Odbiorcami zebranych danych osobowych będą upoważnieni pracownicy Administratora, podmioty współpracujące z Administratorem i przetwarzające dane osobowe z polecenia Administratora na podstawie upoważnienia do przetwarzania danych osobowych lub podmioty, z którymi Administrator zawarł umowę powierzenia przetwarzania danych osobowych lub inną właściwą regulującą przekazanie danych osobowych bądź współadministrowanie tymi danymi. W szczególności dotyczy to usług wsparcia informatycznego (w szczególności podmiotów odpowiedzialnych za obsługę systemów informatycznych i sprzętu) lub wsparcia prowadzonej przez Administratora działalności (w szczególności podmiotów świadczących usługi prawne lub księgowe, konsultingowe, audytowe, w razie potrzeby usługi marketingowe, kurierskie, przewozowe, pocztowe, transportowe, windykacyjne, ubezpieczeniowe, archiwizacyjne i inne).  

Ponadto Administrator zastrzega sobie prawo ujawnienia wybranych informacji dotyczących osoby, której dane dotyczą, właściwym organom bądź osobom trzecim, które zgłoszą żądanie udzielenia takich informacji, opierając się na odpowiedniej podstawie prawnej oraz zgodnie z przepisami obowiązującego prawa, w tym w szczególności organom podatkowym, czy organom wymiaru sprawiedliwości/ścigania, takim jak policja, prokuratura, sądy i organy arbitrażowe, na ich wyraźne i zgodne z prawem żądanie.

5. PRZEKAZYWANIE DANYCH OSOBOWYCH POZA EOG

Co do zasady zebrane dane osobowe nie będą przekazywane poza Unię Europejską lub Europejski Obszar Gospodarczy (EOG), czyli do państw trzecich, a także do organizacji międzynarodowych. Wyjątkiem może być przekazanie danych do państw trzecich jedynie w ramach korzystania przez Administratora z usług podmiotów dostarczających rozwiązania 

i systemy informatyczne, które to podmioty mogą przechowywać dane osobowe na serwerach zlokalizowanych poza tym obszarem (w tym na terenie Stanów Zjednoczonych). W przypadkach wskazanego przekazania następuje ono w oparciu o odpowiednią podstawę (podstawą takiego przekazania może być przede wszystkim decyzja Komisji Europejskiej stwierdzająca odpowiedni poziom ochrony lub zastosowanie odpowiednich zabezpieczeń prawnych, którymi są w szczególności standardowe klauzule umowne ochrony danych osobowych, zatwierdzone przez Komisję Europejską; w razie niewydania przez Komisję Europejską decyzji stwierdzającej odpowiedni poziom ochrony lub braku zapewnienia odpowiednich zabezpieczeń prawnych, dane osobowe mogą być przekazane do państwa trzeciego na podstawie jednej z przesłanek wymienionych w art. 49 ust. 1 RODO); stosowane są odpowiednie i właściwe zabezpieczenia wymagane przez przepisy o ochronie danych osobowych oraz umożliwia się uzyskanie kopii danych przekazanych do państw trzecich.

6. OKRES PRZECHOWYWANIA DANYCH OSOBOWYCH 

Okres przetwarzania danych przez Administratora zależy od rodzaju świadczonej usługi i celu przetwarzania. Zatem zebrane przez Administratora dane osobowe będą przetwarzane przez okres niezbędny do realizacji wskazanych w pkt. 3 powyżej celów.

W przypadku przetwarzania danych na podstawie uzasadnionego interesu Administratora –dane przetwarzane są przez okres umożliwiający realizację tego interesu lub do zgłoszenia skutecznego sprzeciwu względem przetwarzania danych. 

Gdy podstawę przetwarzania stanowi niezbędność do zawarcia i wykonania umowy (świadczenia usług), dane są przetwarzane do momentu jej rozwiązania. 

Gdy podstawę przetwarzania stanowi zgoda, dane są przetwarzane do momentu jej wycofania.  

Okres przetwarzania danych może być przedłużony w przypadku, gdy przetwarzanie jest niezbędne do ustalenia lub dochodzenia roszczeń lub obrony przed roszczeniami (z uwzględnieniem okresów przedawnienia), a po tym okresie – jedynie w przypadku i w zakresie, w jakim będą wymagać tego przepisy prawa. 

Po upływie okresu przetwarzania dane są nieodwracalnie usuwane lub nieodwracalnie anonimizowane.

7. UPRAWNIENIA ZWIĄZANE Z PRZETWARZANIEM DANYCH OSOBOWYCH – PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ

Administrator zapewnia, że wszystkim osobom, których dane osobowe są przetwarzane, przysługują odpowiednie prawa wynikające z RODO. W przypadku osób wymienionych na wstępie niniejszej informacji, ze względu na zakres i podstawę prawną przetwarzanych danych osobowych, prawa te są następujące:

1. prawo dostępu do danych osobowych, w tym w szczególności prawo do informacji o przetwarzaniu danych osobowych oraz prawo do uzyskania kopii danych;
2. prawo do sprostowania danych (poprawiania/aktualizacji);
3. prawo do usunięcia danych (tzw. „prawo do bycia zapomnianym”), z zastrzeżeniem, że prawo to nie ma zastosowania m.in. w zakresie w jakim przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń, czy gdy przetwarzanie jest niezbędne do wywiązania się z prawnego obowiązku;
4. prawo do ograniczenia przetwarzania;
5. prawo do wniesienia sprzeciwu wobec przetwarzania danych osobowych (dotyczy przetwarzania danych osobowych, które odbywa się na podstawie uzasadnionego interesu Administratora, tj. na podstawie art. 6 ust. 1 lit. f) RODO, z wyłączeniem marketingu bezpośredniego), jeżeli dana osoba uważa, że jej szczególna sytuacja uzasadnia zaprzestanie przetwarzania przez Administratora danych; żądania w tym  zakresie Administrator może nie uwzględnić jeżeli istnieją ważne prawnie uzasadnione podstawy do przetwarzania danych osobowych przez Administratora, które są nadrzędne wobec interesów, praw i wolności osoby, której dane dotyczą lub jeżeli istnieją podstawy do ustalenia, dochodzenia lub obrony roszczeń;
6. prawo do wniesienia sprzeciwu wobec przetwarzania danych osobowych na potrzeby marketingu bezpośredniego, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim;
7. prawo do przenoszenia danych (jeżeli przetwarzanie odbywa się na podstawie zgody lub na podstawie umowy);
8. prawo wycofania zgody w dowolnym momencie (jeśli dane przetwarzane są na podstawie zgody), z zastrzeżeniem, że wycofanie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed wycofaniem;
9. prawo do wniesienia skargi do organu nadzorczego, którym jest Prezes Urzędu Ochrony Danych Osobowych (na adres: Urząd Ochrony Danych Osobowych ul. Stawki 2, 00-193 Warszawa).

8. OBOWIĄZEK PODANIA DANYCH

Podanie danych osobowych w związku z zawieraną umową/nawiązywaną współpracą jest dobrowolne, ale konieczne do zawarcia i wykonywania tejże umowy/realizacji współpracy – bez podania danych osobowych nie jest możliwe prawidłowe realizowanie nawiązywanego z Administratorem stosunku prawnego /realizacji współpracy, w tym prawidłowe realizowanie nawiązywanego z Administratorem kontaktu.

9. ZAUTOMATYZOWANE PODEJMOWANIE DECYZJI I PROFILOWANIE

W ramach przetwarzania zebranych danych osobowych (za wyjątkiem danych zebranych w celu marketingu bezpośredniego), nie będą wykorzystywane systemy i metody służące do zautomatyzowanego podejmowania decyzji, w tym profilowania. Jednak samo przetwarzanie danych osobowych może odbywać się w sposób częściowo zautomatyzowany, ponieważ w pewnym stopniu będą one przetwarzane na zasobach komputerowych.

W celu realizowania działań marketingowych Administrator w niektórych przypadkach może wykorzystywać profilowanie. Oznacza to, że dzięki automatycznemu przetwarzaniu danych Administrator może dokonywać oceny wybranych czynników dotyczących osób fizycznych w celu analizy ich zachowania lub stworzenia prognozy na przyszłość.