KLAUZULA INFORMACYJNA
DOTYCZĄCA ZASAD PRZETWARZANIA DANYCH OSOBOWYCH
W ZWIĄZKU Z ZAKUPAMI W SKLEPIE INTERNETOWYM /PROCES ZAKUPU BILETÓW, VOUCHERÓW, KARNETÓW ITP. NA STRONIE INTERNETOWEJ/
Szanowni Państwo,
Zgodnie z art. 13 ust. 1 i 2 oraz art. 14 ust. 1 i 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „RODO”), informujemy, że:
- ADMINISTRATOR DANYCH OSOBOWYCH
Administratorem Pani/Pana danych osobowych jest Spółka Chochołowskie Termy Spółka z ograniczoną odpowiedzialnością z siedzibą w Chochołowie (34-513) Chochołów 400, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla Krakowa – Śródmieścia w Krakowie, XII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000261672, REGON: 120300433, NIP: 7361640322 (dalej: „Spółka” lub „Administrator”).
- KONTAKT
Osobą do kontaktu w sprawach związanych z przetwarzaniem Pani/Pana danych osobowych oraz z wykonywaniem praw wynikających z RODO jest wyznaczony przez Spółkę Inspektor Ochrony Danych (IOD), z którym kontakt możliwy jest pod adresem e-mail: iod@chocholowskietermy.pl bądź w formie listownej na adres: Chochołowskie Termy Sp. z o. o. Chochołów 400, 34-513 Chochołów, z dopiskiem „Inspektor Ochrony Danych” lub „Ochrona danych osobowych”.
- ZAKRES, CELE ORAZ PODSTAWA PRAWNA PRZETWARZANIA DANYCH OSOBOWYCH
Dane osobowe podawane w procesie zakupu biletów wstępu, tj. biletów jednorazowych, karnetów oraz voucherów (dalej łącznie jako „Bilet/y wstępu”) za pośrednictwem strony internetowej https://www.chocholowskietermy.pl/, w szczególności takie jak: imię i nazwisko, adres e-mail, numer telefonu, adres IP, dane adresowe, a ponadto dane niezbędne do wystawienia faktury VAT (jeśli dotyczy), w tym w szczególności nazwa firmy, dane adresowe i numer NIP, przetwarzane będą przez Administratora jako Sprzedawcę i odpowiednio umocowane podmioty przetwarzające, wyłącznie w celu świadczenia usług oraz spełnienia świadczeń względem Klienta, umożliwiając skorzystanie z uprawnień wynikających z realizacji Biletu wstępu, wyjaśnienie okoliczności ewentualnego korzystania z usług niezgodnie z Regulaminem lub z obowiązującymi przepisami prawa oraz rozpatrywanie ewentualnych reklamacji oraz ustalenie, dochodzenie i obronę wzajemnych roszczeń.
Przedmiot, zakres, charakter przetwarzania oraz rodzaj danych osobowych i kategorie osób, których dane dotyczą oraz wszelkie pozostałe informacje wymagane przepisami prawa, szczegółowo określone zostały w Załączniku nr 1, znajdującym się na końcu niniejszej informacji.
W razie wyrażenia przez Klienta zgody, poprzez zaznaczenie odpowiedniego pola w czasie zakupu, Administrator jako Sprzedawca może przetwarzać dane osobowe Klienta również w celach marketingowych oraz przesyłać informacje handlowe na adres poczty elektronicznej, w tym świadczyć usługę newsletteru.
Dodatkowe, szczegółowe informacje dotyczące zasad przetwarzania Państwa pozostałych danych osobowych jako ogólnie Klientów Spółki, w tym w szczególności informacje dotyczące monitoringu wizyjnego stosowanego w obiekcie Chochołowskie Termy, dostępne są na oficjalnej stronie internetowej: https://www.chocholowskietermy.pl/ w zakładce „Polityka prywatności”.
- ODBIORCY DANYCH
W związku z obsługą sprzedaży Biletów wstępu, korzystamy z usług innych podmiotów, wspierających naszą działalność. Tym samym Pani/Pana dane mogą być przekazywane (wyłącznie w celach wskazanych w niniejszej informacji):
- firmom zapewniającym nam oprogramowanie do sprzedaży;
- dostawcy platformy płatniczej, za pośrednictwem której można zapłacić za nasze usługi;
- dostawcy oprogramowania do wystawiania faktur;
- podmiotom świadczącym obsługę księgową i rachunkową;
- w przypadku wysłania do Klienta przesyłki drogą tradycyjną – firmie świadczącej usługi kurierskie/pocztowe;
- w przypadku wysyłania do Klienta komunikatów systemowych oraz edukacyjnych, a także treści marketingowych drogą elektroniczną – podmiotom dostarczającym oprogramowanie do wysyłania wiadomości marketingowych, zwłaszcza w ramach usługi newsletter.
Administrator, jako Sprzedawca, może także udostępnić firmie realizującej obsługę informatyczną w zakresie wydawania, utrzymania i zapewnienia dostępu do e-paragonów, numer telefonu Klienta, który może być przetwarzany na potrzeby:
- weryfikacji, czy dany numer telefonu został zarejestrowany w produktach własnych firmy dających dostęp do e-paragonów, a w przypadku pozytywnej weryfikacji, udostępniania w ramach tych produktów Klientowi e-paragonów oraz dodatkowych informacji pochodzącym z procesu ich wydawania;
- wysyłania smsów i innych powiadomień do Klientów potwierdzających wydanie e-paragonu do systemu informatycznego firmy realizującej obsługę informatyczną e-paragonów.
Ponadto odbiorcami zebranych danych osobowych będą upoważnieni pracownicy Administratora, podmioty współpracujące z Administratorem i przetwarzające dane osobowe z polecenia Administratora na podstawie upoważnienia do przetwarzania danych osobowych lub podmioty, z którymi Administrator zawarł umowę powierzenia przetwarzania danych osobowych lub inną właściwą regulującą przekazanie danych osobowych, bądź współadministrowanie tymi danymi. W szczególności dotyczy to usług wsparcia informatycznego (w szczególności podmiotów odpowiedzialnych za obsługę systemów informatycznych i sprzętu) lub wsparcia prowadzonej przez Administratora działalności (w szczególności podmiotów świadczących usługi prawne lub księgowe, konsultingowe, audytowe, w razie potrzeby usługi marketingowe, kurierskie, przewozowe, pocztowe, transportowe i inne).
Ponadto Administrator zastrzega sobie prawo ujawnienia wybranych informacji dotyczących osoby, której dane dotyczą, właściwym organom bądź osobom trzecim, które zgłoszą żądanie udzielenia takich informacji, opierając się na odpowiedniej podstawie prawnej oraz zgodnie z przepisami obowiązującego prawa, w tym w szczególności organom podatkowym, czy organom wymiaru sprawiedliwości/ścigania, takim jak policja, prokuratura, sądy i organy arbitrażowe, na ich wyraźne i zgodne z prawem żądanie.
- PRZEKAZYWANIE DANYCH OSOBOWYCH POZA EOG
Co do zasady zebrane dane osobowe nie będą przekazywane poza Unię Europejską lub Europejski Obszar Gospodarczy (EOG), czyli do państw trzecich, a także do organizacji międzynarodowych. Wyjątkiem może być przekazanie danych do państw trzecich jedynie w ramach korzystania przez Administratora z usług podmiotów dostarczających rozwiązania i systemy informatyczne, które to podmioty mogą przechowywać dane osobowe na serwerach zlokalizowanych poza tym obszarem (w tym na terenie Stanów Zjednoczonych). W przypadkach wskazanego przekazania następuje ono w oparciu o odpowiednią podstawę (podstawą takiego przekazania może być przede wszystkim decyzja Komisji Europejskiej stwierdzająca odpowiedni poziom ochrony lub zastosowanie odpowiednich zabezpieczeń prawnych, którymi są w szczególności standardowe klauzule umowne ochrony danych osobowych, zatwierdzone przez Komisję Europejską; w razie niewydania przez Komisję Europejską decyzji stwierdzającej odpowiedni poziom ochrony lub braku zapewnienia odpowiednich zabezpieczeń prawnych, dane osobowe mogą być przekazane do państwa trzeciego na podstawie jednej z przesłanek wymienionych w art. 49 ust. 1 RODO); stosowane są odpowiednie i właściwe zabezpieczenia wymagane przez przepisy o ochronie danych osobowych oraz umożliwia się uzyskanie kopii danych przekazanych do państw trzecich.
- OKRES PRZECHOWYWANIA DANYCH OSOBOWYCH
Okres przetwarzania danych przez Administratora zależy od rodzaju świadczonej usługi i celu przetwarzania. Zatem zebrane przez Administratora dane osobowe będą przetwarzane przez okres niezbędny do realizacji wskazanych w pkt. 3 powyżej celów.
W przypadku przetwarzania danych na podstawie uzasadnionego interesu Administratora –dane przetwarzane są przez okres umożliwiający realizację tego interesu lub do zgłoszenia skutecznego sprzeciwu względem przetwarzania danych.
Gdy podstawę przetwarzania stanowi niezbędność do zawarcia i wykonania umowy (świadczenia usług), dane są przetwarzane do momentu jej rozwiązania.
Gdy podstawę przetwarzania stanowi zgoda, dane są przetwarzane do momentu jej wycofania.
Okres przetwarzania danych może być przedłużony w przypadku, gdy przetwarzanie jest niezbędne do ustalenia lub dochodzenia roszczeń lub obrony przed roszczeniami (z uwzględnieniem okresów przedawnienia), a po tym okresie – jedynie w przypadku i w zakresie, w jakim będą wymagać tego przepisy prawa.
Po upływie okresu przetwarzania dane są nieodwracalnie usuwane lub nieodwracalnie anonimizowane.
Szczegółowe informacje w Załączniku nr 1 poniżej.
- UPRAWNIENIA ZWIĄZANE Z PRZETWARZANIEM DANYCH OSOBOWYCH – PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ
Administrator zapewnia, że wszystkim osobom, których dane osobowe są przetwarzane, przysługują odpowiednie prawa wynikające z RODO. W przypadku osób dokonujących zakupu Biletów wstępu za pośrednictwem strony internetowej, ze względu na zakres i podstawę prawną przetwarzanych danych osobowych, prawa te są następujące:
- prawo dostępu do danych osobowych, w tym w szczególności prawo do informacji o przetwarzaniu danych osobowych oraz prawo do uzyskania kopii danych;
- prawo do sprostowania danych (poprawiania/aktualizacji);
- prawo do usunięcia danych (tzw. „prawo do bycia zapomnianym”), z zastrzeżeniem, że prawo to nie ma zastosowania m.in. w zakresie w jakim przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń, czy gdy przetwarzanie jest niezbędne do wywiązania się z prawnego obowiązku;
- prawo do ograniczenia przetwarzania;
- prawo do wniesienia sprzeciwu wobec przetwarzania danych osobowych (dotyczy przetwarzania danych osobowych, które odbywa się na podstawie uzasadnionego interesu Administratora, tj. na podstawie art. 6 ust. 1 lit. f) RODO, z wyłączeniem marketingu bezpośredniego), jeżeli dana osoba uważa, że jej szczególna sytuacja uzasadnia zaprzestanie przetwarzania przez Administratora danych; żądania w tym zakresie Administrator może nie uwzględnić jeżeli istnieją ważne prawnie uzasadnione podstawy do przetwarzania danych osobowych przez Administratora, które są nadrzędne wobec interesów, praw i wolności osoby, której dane dotyczą lub jeżeli istnieją podstawy do ustalenia, dochodzenia lub obrony roszczeń;
- prawo do wniesienia sprzeciwu wobec przetwarzania danych osobowych na potrzeby marketingu bezpośredniego, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim;
- prawo do przenoszenia danych (jeżeli przetwarzanie odbywa się na podstawie zgody lub na podstawie umowy);
- prawo wycofania zgody w dowolnym momencie (jeśli dane przetwarzane są na podstawie zgody), z zastrzeżeniem, że wycofanie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed wycofaniem;
- prawo do wniesienia skargi do organu nadzorczego, którym jest Prezes Urzędu Ochrony Danych Osobowych (na adres: Urząd Ochrony Danych Osobowych ul. Stawki 2, 00-193 Warszawa).
- OBOWIĄZEK PODANIA DANYCH
Podanie danych osobowych, o których mowa w pkt. 3 powyżej (za wyjątkiem danych podawanych w celu marketingu bezpośredniego), jest dobrowolne, jednak koniecznie niezbędne dla skorzystania z usług świadczonych przez Spółkę.
Odmowa podania danych będzie skutkowała brakiem możliwości podjęcia przez Spółkę działań zmierzających do zawarcia umowy oraz zawarcia i wykonania umowy, w konsekwencji uniemożliwiając skorzystanie z usług świadczonych przez Spółkę.
Niepodanie danych, które mają być przetwarzane na potrzeby marketingu bezpośredniego, nie ma żadnego wpływu na możliwość skorzystania z usług świadczonych przez Spółkę.
- ZAUTOMATYZOWANE PODEJMOWANIE DECYZJI I PROFILOWANIE
W ramach przetwarzania zebranych danych osobowych (za wyjątkiem danych zebranych w celu marketingu bezpośredniego), nie będą wykorzystywane systemy i metody służące do zautomatyzowanego podejmowania decyzji, w tym profilowania. Jednak samo przetwarzanie danych osobowych może odbywać się w sposób częściowo zautomatyzowany, ponieważ w pewnym stopniu będą one przetwarzane na zasobach komputerowych.
W celu realizowania działań marketingowych Administrator w niektórych przypadkach może wykorzystywać profilowanie. Oznacza to, że dzięki automatycznemu przetwarzaniu danych Administrator może dokonywać oceny wybranych czynników dotyczących osób fizycznych w celu analizy ich zachowania lub stworzenia prognozy na przyszłość.
Załącznik nr 1 – Szczegółowe cele i zakres przetwarzania danych osobowych
Lp. | Przedmiot | Zakres | Cel i podstawa przetwarzania | Rodzaj danych osobowych | Kategoria osób | Okres przechowywania |
1. | Zakup Biletu wstępu | •Imiona i nazwiska •Adresy e-mail •Numery telefonów •Dane niezbędne do wystawienia faktury VAT •Informacje o preferencjach dotyczących odbycia usługi | Zawarcie umowy Klienta ze Sprzedawcą art. 6 ust. 1 lit. b) RODO (podstawą przetwarzania jest niezbędność przetwarzania do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy (przed świadczeniem usługi) oraz przetwarzania do świadczenia usługi/do wykonania umowy, której stroną jest osoba, której dane dotyczą) | Zwykłe dane osobowe, zgodne z art. 4 pkt 1 RODO | Potencjalni klienci Sprzedawcy | Okres niezbędny dla świadczenia usługi |
2. | Świadczenie usługi, na którą został wykupiony Bilet wstępu | •Imiona i nazwiska •Adresy e-mail •Numery telefonów •Dane niezbędne do wystawienia faktury VAT •Informacje o preferencjach dotyczących odbycia usługi | Realizacja umowy z Klientem art. 6 ust. 1 lit. b) RODO (podstawą przetwarzania jest niezbędność przetwarzania do świadczenia usługi/do wykonania umowy, której stroną jest osoba, której dane dotyczą) | Zwykłe dane osobowe, zgodne z art. 4 pkt 1 RODO | Klienci Sprzedawcy | Okres niezbędny dla świadczenia usługi |
3. | Rozpatrzenie reklamacji lub żądania zwrotu | •Imiona i nazwiska •Adresy e-mail •Numery telefonów •Dane niezbędne do wystawienia faktury VAT •Informacje o preferencjach dotyczących odbycia usługi | Rozpatrzenie reklamacji i zwrotów art. 6 ust. 1 lit. f) RODO (podstawą przetwarzania jest realizacja prawnie uzasadnionych interesów Administratora) | Zwykłe dane osobowe, zgodne z art. 4 pkt 1 RODO | Klienci Sprzedawcy | Okres niezbędny dla świadczenia usługi |
4. | Zakup Biletu wstępu | •Adres IP •Informacje o preferencjach dotyczących odbycia usługi •Opinia po odbyciu usługi | Prawnie uzasadniony interes Administratora polegający na prowadzeniu analiz i statystyk art. 6 ust. 1 lit. f) RODO (podstawą przetwarzania jest realizacja prawnie uzasadnionych interesów Administratora, przez które w tym przypadku należy rozumieć potrzebę posiadania informacji statystycznych o działaniach przez niego prowadzonych, co pozwala Administratorowi na usprawnienie tych działań) | Zwykłe dane osobowe, zgodne z art. 6 ust. 1 zdanie 1 lit. f RODO | Klienci Sprzedawcy | Okres niezbędny dla świadczenia usługi |
5. | Udzielenie odpowiedzi na zapytanie | •Imiona i nazwiska •Adresy e-mail •Numery telefonów •Treść zapytania | Udzielenie odpowiedzi na zapytanie art. 6 ust. 1 lit. f) RODO (podstawą przetwarzania jest realizacja prawnie uzasadnionych interesów Administratora oraz nadawców wiadomości mailowych/osób kontaktujących się telefonicznie, polegających na umożliwieniu kontaktu elektronicznego/telefonicznego z Administratorem, w tym udzielenia odpowiedzi na zadawane pytania) | Zwykłe dane osobowe, zgodne z art. 4 pkt 1 RODO oraz ew. dane osobowe szczególnej kategorii, o których mowa w art. 9 pkt. 1, w odniesieniu do treści zapytania | Osoby, które skontaktowały się przez formularz, e-mail lub telefonicznie | Okres niezbędny dla świadczenia usługi |
6. | Wysyłanie propozycji nabycia usług biletowanych oraz informacje o wydarzeniach i promocjach | •Imiona i nazwiska •Adresy e-mail •Numery telefonów •Dane niezbędne do wystawienia faktury VAT •Informacje o preferencjach dotyczących świadczonych usług | Zawarcie umowy Klienta ze Sprzedawcą art. 6 ust. 1 lit. f) RODO (podstawą przetwarzania jest realizacja prawnie uzasadnionych interesów Administratora polegających na wysyłce informacji marketingowych w granicach udzielonej zgody (marketing bezpośredni)) | Zwykłe dane osobowe, zgodne z art. 4 pkt 1 RODO | Osoby, które wyraziły zgodę na otrzymywanie informacji | Do odwołania |
* W sytuacji, w której ktoś inny wykupił dla danej osoby Bilet wstępu i w tym celu podał jej dane osobowe, podstawą prawną do przetwarzania ww. danych osobowych jest art. 6 ust. 1 lit. f) RODO. Jeżeli bowiem ktoś chce dokonać dla danej osoby zakupu biletu i w tym celu udostępnia jej dane osobowe, Administrator staje się zobowiązany do udostępnienia takiej możliwości i skorzystania z usług oferowanych przez Spółkę i w tym znaczeniu obowiązek Administratora do podjęcia określonych działań przed zawarciem umowy (przed świadczeniem usługi) oraz obowiązek wykonywania/świadczenia określonych usług, stanowi prawnie uzasadniony interes przetwarzania ww. danych osobowych.