Polityka prywatności

§1. Postanowienia ogólne

1. Niniejsza Polityka prywatności określa zasady i zakres przetwarzania danych osobowych oraz informacji w związku z korzystaniem z serwisu internetowego https://jaszczurowka33.pl, Kiosku self check in oraz usług zakwaterowania i usług dodatkowych świadczonych przez Jaszczurówka 33 Aparthotel & SPA.
2. Polityka realizuje obowiązki informacyjne wynikające z art. 13 i 14 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 RODO oraz ma charakter warstwowy. Szczegółowe informacje właściwe dla konkretnych procesów przetwarzania udostępniamy w miejscach zbierania danych oraz w regulaminach szczególnych.
3. Zakres podmiotowy i relacje z innymi dokumentami
   1. Polityka adresowana jest do Gości, osób współzameldowanych, użytkowników serwisu WWW i Kiosku, subskrybentów newslettera, osób kontaktowych po stronie kontrahentów oraz innych osób, których dane możemy przetwarzać w związku ze świadczeniem usług.
   2. Polityka uzupełnia postanowienia Regulaminu pobytu i innych regulaminów szczególnych. W razie sprzeczności pierwszeństwo mają przepisy bezwzględnie obowiązujące.
   3. Stosowane pojęcia pisane wielką literą mają znaczenie nadane im w Regulaminie lub w niniejszej Polityce.

§2. Administrator danych i dane kontaktowe

1. Administratorem danych osobowych jest Ułańska Zagroda Sp. z o.o. prowadząca Jaszczurówka 33 Aparthotel & SPA.
2. Dane kontaktowe Administratora
   1. Adres korespondencyjny. Urbanowska 28/13, 60-647 Poznań.
   2. E-mail kontaktowy. aparthotel@jaszczurowka33.pl.
   3. Telefon kontaktowy. +48607525465.
3. W sprawach ochrony danych osobowych można kontaktować się z Administratorem z użyciem danych wskazanych powyżej.

§3. Inspektor Ochrony Danych

1. Administrator na dzień publikacji Polityki nie wyznaczył Inspektora Ochrony Danych.
2. Wszelka korespondencja w sprawach RODO może być kierowana na adres e-mail aparthotel@jaszczurowka33.pl lub drogą pocztową na adres Administratora.
3. W przypadku wyznaczenia Inspektora Ochrony Danych Administrator opublikuje jego dane kontaktowe oraz zaktualizuje niniejszą Politykę.

§4. Źródła pozyskania danych i kategorie osób

1. Dane pozyskujemy bezpośrednio od Ciebie podczas rezerwacji, korzystania z serwisu WWW, czynności meldunkowych w Kiosku, kontaktu telefonicznego lub mailowego oraz w trakcie realizacji umowy.
2. Inne źródła i sytuacje
   1. Od osoby dokonującej rezerwacji w Twoim imieniu lub przez podmiot kierujący do nas uczestników pobytu. Osoba dokonująca rezerwacji zobowiązana jest do przekazywania informacji osobom, których dane udostępnia.
   2. Z systemu rezerwacyjnego i Kiosku dostarczanego przez SOHIS sp. z o.o. w zakresie niezbędnym do obsługi procesu rezerwacyjno meldunkowego.
   3. Od operatora płatności PayPro S.A. Przelewy24 w zakresie niezbędnym do weryfikacji stanu płatności i rozliczeń.
3. Do kategorii osób objętych przetwarzaniem należą w szczególności Goście, osoby współzameldowane, użytkownicy serwisu WWW, osoby odwiedzające w godzinach 8:00–22:00, subskrybenci newslettera oraz osoby kontaktowe po stronie kontrahentów.
4. Zakres danych z innych źródeł
   1. Z rezerwacji dokonywanych przez inne osoby. Imię i nazwisko oraz dane kontaktowe osób współzameldowanych, daty pobytu i numer rezerwacji.
   2. Od operatora płatności. Identyfikator i status transakcji oraz kwoty rozliczeń bez pełnych danych karty.
   3. Z systemu rezerwacyjnego i Kiosku. Identyfikatory operacji, znaczniki czasu i podstawowe metadane niezbędne do obsługi procesu.

§5. Kategorie przetwarzanych danych

1. Dane identyfikacyjne i kontaktowe
   1. Imię i nazwisko oraz dane dokumentowe jeżeli wynika to z przepisów prawa lub jest niezbędne do zawarcia i realizacji umowy.
   2. Dane teleadresowe. W szczególności adres e mail i numer telefonu do kontaktu operacyjnego i informacyjnego.
   3. Dane firmowe i identyfikatory podatkowe w przypadku wystawiania dokumentów sprzedaży dla przedsiębiorców.
2. Dane rezerwacyjne i pobytowe
   1. Numer rezerwacji. Daty pobytu. Liczba osób. Nazwa Apartamentu oraz parametry oferty.
   2. Informacje operacyjne dotyczące preferencji i próśb przekazane dobrowolnie Administratorowi.
   3. Informacje o osobach współzameldowanych przekazywane zgodnie z prawem przez osobę dokonującą rezerwacji.
3. Dane rozliczeniowe i transakcyjne
   1. Identyfikatory transakcji. Statusy płatności. Kwoty brutto obejmujące podatek VAT.
   2. Sposób i kanał płatności. Dane te są przetwarzane w zakresie niezbędnym do rozliczenia. Administrator nie przechowuje pełnych danych kart płatniczych.
   3. Dane dokumentów sprzedaży. Paragon, paragon z NIP stanowiący fakturę uproszczoną lub faktura VAT.
4. Dane techniczne i bezpieczeństwa
   1. Logi systemu kontroli dostępu obejmujące identyfikator Karty lub Kodu. Czas, punkt kontrolny i status zdarzenia.
   2. Nagrania CCTV obejmujące wizerunek w przestrzeniach wspólnych oraz otoczeniu Obiektu.
   3. Dane eksploatacyjne serwisu WWW w tym adres IP, identyfikatory cookies i podobne identyfikatory online.

§6. Cele i podstawy prawne przetwarzania

1. Zawarcie i wykonanie umowy
   1. Przyjęcie i obsługa rezerwacji z wykorzystaniem serwisu WWW lub Kiosku. Art. 6 ust. 1 lit. b RODO.
   2. Realizacja świadczeń zakwaterowania oraz usług dodatkowych. Art. 6 ust. 1 lit. b RODO.
   3. Kontakt operacyjny w sprawach związanych z realizacją umowy oraz informowanie o istotnych zmianach. Art. 6 ust. 1 lit. b RODO.
2. Wykonanie obowiązków prawnych
   1. Prowadzenie rozliczeń podatkowych i rachunkowych oraz archiwizacja dokumentacji. Art. 6 ust. 1 lit. c RODO.
   2. Realizacja obowiązków informacyjnych względem organów publicznych w zakresie przewidzianym prawem. Art. 6 ust. 1 lit. c RODO.
   3. Rozpatrywanie reklamacji i zgłoszeń w zakresie określonym przepisami szczególnymi. Art. 6 ust. 1 lit. c RODO.
3. Uzasadniony interes Administratora
   1. Zapewnienie bezpieczeństwa osób i mienia w tym monitoring wizyjny CCTV oraz kontrola dostępu. Art. 6 ust. 1 lit. f RODO.
   2. Ustalenie, dochodzenie lub obrona roszczeń oraz dochowanie rozliczalności. Art. 6 ust. 1 lit. f RODO.
   3. Prowadzenie analiz jakościowych i ankiet posprzedażowych bez skutków prawnych dla osób. Art. 6 ust. 1 lit. f RODO.
4. Zgody i komunikacja marketingowa
   1. Newsletter oraz marketing drogą elektroniczną lub telefoniczną z poszanowaniem UŚUDE i Prawa telekomunikacyjnego. Art. 6 ust. 1 lit. a RODO.
   2. Cookies analityczne, funkcjonalne i reklamowe w serwisie WWW. Art. 6 ust. 1 lit. a RODO.
   3. Zgoda może zostać wycofana w każdym czasie. Wycofanie nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem.
5. Zmiana celu przetwarzania
   1. W przypadku zamiaru dalszego przetwarzania danych w celu innym niż cel, w którym dane zostały zebrane, przed takim dalszym przetwarzaniem poinformujemy Cię o nowym celu oraz o informacjach wymaganych art. 13 lub art. 14 RODO.
   2. Jeżeli nowy cel jest zgodny z pierwotnym celem, wskażemy podstawę tej zgodności oraz możliwość wniesienia sprzeciwu.

§7. Obowiązek podania danych i konsekwencje braku

1. Podanie danych oznaczonych jako niezbędne stanowi warunek zawarcia i wykonania umowy o pobyt lub realizacji usługi elektronicznej.
2. Niepodanie danych niezbędnych może skutkować brakiem możliwości zawarcia umowy, dokonania rezerwacji lub świadczenia usług.
3. Podanie danych wykorzystywanych na podstawie zgody jest dobrowolne. Odmowa nie wpływa na korzystanie z usług podstawowych niewymagających danej zgody.

§8. Okresy przechowywania danych

1. Zasady ogólne i kryteria
   1. Dane przechowujemy przez okres nie dłuższy niż to jest niezbędne do realizacji celów przetwarzania, uwzględniając wymogi prawa oraz okresy przedawnienia roszczeń.
   2. Po upływie okresów dane są usuwane lub poddawane anonimizacji. Administrator może przedłużyć okres przechowywania w celu ustalenia, dochodzenia lub obrony roszczeń.
   3. Szczegółowe okresy dotyczą poszczególnych kategorii danych określonych poniżej.
2. Okresy szczegółowe
   1. Dane rezerwacyjne i pobytowe. Do upływu właściwych terminów przedawnienia roszczeń liczonych od końca roku kalendarzowego, w którym zakończono świadczenie.
   2. Dane księgowe i podatkowe. Przez okres wskazany w przepisach podatkowych i rachunkowych właściwych dla dokumentacji sprzedażowej.
   3. Nagrania CCTV. Co do zasady do 30 dni, chyba że materiał zabezpieczono na potrzeby postępowania lub wyjaśnienia zdarzenia.
   4. Logi kontroli dostępu. Co do zasady do 12 miesięcy, chyba że dłuższe przechowanie jest niezbędne do celów dowodowych.
   5. Newsletter i komunikacja marketingowa. Do czasu wycofania zgody lub skutecznego zgłoszenia sprzeciwu.

§9. Odbiorcy danych i podmioty przetwarzające

1. W związku z realizacją celów przetwarzania dane mogą być przekazywane odbiorcom oraz podmiotom przetwarzającym działającym na podstawie umów powierzenia i wyłącznie zgodnie z instrukcjami Administratora.
2. Kategorie odbiorców
   1. Dostawca systemu rezerwacyjnego i Kiosku. SOHIS sp. z o.o. jako podmiot przetwarzający dane w zakresie obsługi procesu rezerwacyjno meldunkowego.
   2. Operator płatności i kart płatniczych. PayPro S.A. Przelewy24, banki i organizacje płatnicze jako odrębni administratorzy realizujący własne obowiązki prawne i informacyjne.
   3. Dostawcy IT i hostingu. Serwis i utrzymanie systemu kontroli dostępu. Podmioty świadczące usługi pomocnicze, w tym wsparcie techniczne i bezpieczeństwo.
   4. Ubezpieczyciel oraz podmioty likwidujące szkody w zakresie niezbędnym do zgłoszenia i obsługi zdarzeń ubezpieczeniowych jako odrębni administratorzy.
3. Dane mogą być udostępnione organom publicznym uprawnionym do ich otrzymania na podstawie bezwzględnie obowiązujących przepisów prawa po spełnieniu wymogów formalnych.

§10. Przekazywanie danych poza EOG

1. Co do zasady przetwarzamy dane na terytorium Europejskiego Obszaru Gospodarczego.
2. Jeżeli konieczne będzie przekazanie danych poza EOG, Administrator zastosuje mechanizmy przewidziane w rozdziale V RODO, w szczególności decyzje stwierdzające odpowiedni stopień ochrony, standardowe klauzule umowne oraz odpowiednie dodatkowe zabezpieczenia.
3. Szczegółowe informacje o stosowanych mechanizmach oraz listę dostawców przetwarzających dane poza EOG udostępniamy na żądanie osoby, której dane dotyczą.
4. Na żądanie udostępniamy informacje o zastosowanych zabezpieczeniach, w tym możliwość uzyskania kopii standardowych klauzul umownych w zakresie, w jakim nie narusza to tajemnicy przedsiębiorstwa i bezpieczeństwa informacji.

§11. Prawa osób, których dane dotyczą i sposób ich realizacji

1. Katalog praw
   1. Prawo dostępu do danych oraz uzyskania kopii danych przetwarzanych przez Administratora.
   2. Prawo sprostowania i uzupełnienia danych w przypadku ich nieprawidłowości lub niekompletności.
   3. Prawo usunięcia danych oraz prawo do bycia zapomnianym w przypadkach określonych w art. 17 RODO.
2. Dodatkowe uprawnienia
   1. Prawo ograniczenia przetwarzania w przypadkach określonych w art. 18 RODO.
   2. Prawo przenoszenia danych w zakresie określonym w art. 20 RODO.
   3. Prawo sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie Administratora, w tym wobec profilowania marketingowego.
3. Prawo wycofania zgody przysługuje w każdym czasie. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem.
4. Wnioski dotyczące realizacji praw można składać na adres aparthotel@jaszczurowka33.pl lub pocztą tradycyjną. Administrator odpowiada bez zbędnej zwłoki, nie później niż w terminie jednego miesiąca. Termin może zostać przedłużony o dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań z uprzednim poinformowaniem o przyczynach i przewidywanym terminie.
5. Przysługuje Ci prawo wniesienia skargi do organu nadzorczego właściwego ze względu na Twoje zwykłe miejsce pobytu, miejsce pracy lub miejsce popełnienia domniemanego naruszenia. W Polsce organem jest Prezes Urzędu Ochrony Danych Osobowych.

§12. Zautomatyzowane podejmowanie decyzji i profilowanie

1. Administrator nie podejmuje wobec osób decyzji wywołujących skutki prawne w oparciu wyłącznie o zautomatyzowane przetwarzanie danych ani nie stosuje zautomatyzowanego podejmowania decyzji w rozumieniu art. 22 RODO.
2. Administrator może prowadzić ograniczone profilowanie marketingowe oparte na zgodach cookies i historii interakcji w serwisie. Profilowanie nie wywołuje skutków prawnych oraz nie wpływa w istotny sposób na sytuację osób.
3. Osobie przysługuje prawo do sprzeciwu wobec profilowania oraz prawo do wycofania zgód marketingowych w dowolnym momencie.

§13. Środki bezpieczeństwa i rozliczalność

1. Administrator stosuje środki techniczne i organizacyjne adekwatne do ryzyka, w tym kontrolę dostępu, polityki uprawnień, szkolenia personelu, szyfrowanie transmisji TLS oraz rejestrowanie operacji.
2. Administrator przeprowadza okresowe przeglądy skuteczności środków bezpieczeństwa oraz stosuje zasadę minimalizacji danych i ograniczenia celu.
3. W przypadku stwierdzenia naruszenia ochrony danych Administrator dokonuje oceny ryzyka i podejmuje działania zaradcze oraz realizuje obowiązki notyfikacyjne wobec organu nadzorczego i osób, jeżeli wymagają tego przepisy art. 33 i 34 RODO.

§14. Monitoring wizyjny i kontrola dostępu

1. Administrator stosuje monitoring wizyjny CCTV w przestrzeniach wspólnych i w otoczeniu Obiektu oraz system kontroli dostępu oparty o Kody i Karty. Monitoring i kontrola dostępu służą zapewnieniu bezpieczeństwa osób i mienia oraz dochodzeniu i obronie roszczeń.
2. Wejścia do stref objętych CCTV są oznaczone piktogramem kamery oraz skróconą klauzulą informacyjną. Pełna informacja dostępna jest w serwisie https://jaszczurowka33.pl oraz na żądanie.
3. Nagrania CCTV przechowywane są co do zasady do 30 dni, a logi kontroli dostępu co do zasady do 12 miesięcy. Okresy te mogą ulec wydłużeniu do czasu prawomocnego zakończenia postępowań lub wyjaśnienia incydentu.

§15. Pliki cookies i podobne technologie

1. Kategorie i podstawy przetwarzania
   1. Cookies niezbędne zapewniają prawidłowe funkcjonowanie serwisu i są przetwarzane na podstawie uzasadnionego interesu Administratora oraz w celu świadczenia usług drogą elektroniczną.
   2. Cookies analityczne i funkcjonalne są stosowane wyłącznie na podstawie zgody użytkownika udzielanej poprzez panel preferencji.
   3. Cookies reklamowe są stosowane wyłącznie na podstawie zgody użytkownika i służą personalizacji treści marketingowych.
2. Zgody i zarządzanie
   1. Zgody można udzielać i wycofywać w panelu preferencji cookies dostępnym w serwisie oraz poprzez ustawienia przeglądarki.
   2. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania sprzed jej wycofania. Odmowa zgody może ograniczyć dostępność niektórych funkcji serwisu.
   3. Wykaz kategorii dostawców oraz cele przetwarzania udostępniamy w panelu preferencji i informacji szczegółowej o cookies.
3. Identyfikatory online mogą być łączone z danymi rezerwacyjnymi wyłącznie w zakresie niezbędnym do wskazanych celów i zgodnie z udzielonymi zgodami oraz zasadą minimalizacji.
4. Skrypty i znaczniki dotyczące cookies innych niż niezbędne są uruchamiane dopiero po wyrażeniu stosownej zgody w panelu preferencji i pozostają nieaktywne do czasu jej udzielenia.

§16. Zmiany Polityki i sposób informowania

1. Administrator zastrzega możliwość zmiany niniejszej Polityki w przypadku zmiany przepisów prawa, rozwoju funkcjonalności serwisu lub zmiany procesów przetwarzania.
2. Aktualna wersja Polityki jest dostępna w serwisie https://jaszczurowka33.pl oraz w Kiosku. Zmiany wchodzą w życie z dniem publikacji, chyba że wskazano odmienny termin.
3. O zmianach istotnych Administrator poinformuje w sposób zapewniający transparentność, w szczególności poprzez komunikat w serwisie oraz inne dostępne kanały.

§17. Kanały społecznościowe

1. Prowadzimy oficjalne profile w serwisach społecznościowych powiązane z Jaszczurówka 33 Aparthotel & SPA.
2. Zakres odpowiedzialności
   1. Dane przetwarzane w ramach Twojej interakcji z naszym profilem są przetwarzane także przez dostawców tych serwisów jako odrębnych administratorów na zasadach określonych w ich regulaminach i politykach prywatności.
   2. W ramach naszego profilu przetwarzamy dane w celu moderacji treści, obsługi zapytań i komunikacji z użytkownikami na podstawie art. 6 ust. 1 lit. f RODO.
   3. Nie wykorzystujemy danych z profili do podejmowania wobec Ciebie zautomatyzowanych decyzji wywołujących skutki prawne.
3. Zalecamy zapoznanie się z ustawieniami prywatności oraz zasadami przetwarzania danych udostępnianymi przez dostawców serwisów społecznościowych.

§18. Dane małoletnich

1. Nie kierujemy usług społeczeństwa informacyjnego wymagających zgody do osób poniżej 16 roku życia.
2. Jeżeli okaże się, że pozyskaliśmy zgodę dziecka poniżej tego wieku, niezwłocznie podejmiemy działania w celu weryfikacji zgody przedstawiciela ustawowego albo usunięcia danych.
3. Pobyt małoletnich w Obiekcie odbywa się pod opieką osób dorosłych zgodnie z Regulaminem pobytu.