Polityka prywatności aplikacji mobilnej GórskieStay
1. Postanowienia ogólne
1.1.Niniejsza Polityka Prywatności dotyczy aplikacji mobilnej, umożliwiającej rezerwację pobytu, korzystanie z usług oraz zarządzanie kontem użytkownika w obiektach hotelarskich prowadzonych przez spółki z grupy Górskie Resorty. Dokument określa zasady przetwarzania danych osobowych, w tym zakres danych, cele, podstawy prawne, administratorów oraz prawa użytkownika.
2. Informacje o administratorach, odbiorcach danych i modelu przetwarzania
2.1.Administrator danych osobowych.
2.1.1.Tworzenie konta użytkownika, rezerwacje i pobyt: administratorem danych osobowych użytkownika aplikacji, gdy przejdzie w aplikacji do zakładki konkretnego obiektu i utworzy w ramach tego obiektu konto użytkownika, będzie spółka prowadząca ten obiekt. Wykaz spółek będących administratorami oraz ich danych kontaktowych znajduje się poniżej. Każda ze spółek jest zwana dalej „administratorem”. Pozostałe spółki nie posiadają dostępu do danych osobowych użytkownika przetwarzanych w ramach funkcjonalności aplikacji dla danego obiektu.
| Obiekt | Adres Obiektu | Kontakt | Administrator danych osobowych |
|---|---|---|---|
| Osada Śnieżka | Ul. Spacerowa 13, 58-508 Łomnica k. Karpacza | Inspektor Ochrony Danych: rodo@osada-sniezka.pl | Osada Śnieżka Operator sp. z o.o., ul. Widok 8, 00-023 Warszawa |
| Blue Mountain Resort | Ul. 1 Maja 51, 58-580 Szklarska Poręba | Inspektor Ochrony Danych: rodo@blue-mountain-resort.pl | Operator Blue Mountain Resort sp. z o.o., ul. Widok 8, 00-023 Warszawa |
| Green Mountain Hotel ***** | Ul. Sarnia 21, Karpacz | Inspektor Ochrony Danych: rodo@green-mountain.pl | Osada Śnieżka Operator sp. z o.o., ul. Widok 8, 00-023 Warszawa |
| Green Apartments | Ul. Sarnia 21a, Karpacz | Inspektor Ochrony Danych: rodo@green-mountain.pl | Osada Śnieżka Operator sp. z o.o., ul. Widok 8, 00-023 Warszawa |
| Green Adults | Ul. Wilcza 3C, Karpacz | Inspektor Ochrony Danych: rodo@green-mountain.pl | Osada Śnieżka Operator sp. z o.o., ul. Widok 8, 00-023 Warszawa |
| Platinum Mountain Hotel & SPA ***** | Ul. Kilińskiego 15B, 58-580 Szklarska Poręba | Inspektor Ochrony Danych: rodo@platinum-mountain.pl | Silver Mountain Resort Operator sp. z o.o. sp.k., ul. Widok 8, 00-023 Warszawa |
| Platinum Apartments | Ul. Kilińskiego 15B, 58-580 Szklarska Poręba | Inspektor Ochrony Danych: rodo@platinum-mountain.pl | Silver Mountain Resort Operator sp. z o.o. sp.k., ul. Widok 8, 00-023 Warszawa |
| Platinum Adults | Ul. Kilińskiego 15B, 58-580 Szklarska Poręba | Inspektor Ochrony Danych: rodo@platinum-mountain.pl | Silver Mountain Resort Operator sp. z o.o. sp.k., ul. Widok 8, 00-023 Warszawa |
| Hotel Crystal Mountain ***** | Ul. Bukowa 19 A, 43-460 Wisła | Inspektor Ochrony Danych: rodo@crystal-mountain.pl | Wisła Mountain Resort Operator sp. z o.o. sp.k., ul. Widok 8, 00-023 Warszawa |
| Elements Hotel & SPA ***** | Ul. Zakopiańska 20a, 59-850 Świeradów-Zdrój | Inspektor Ochrony Danych: rodo@elements-hotel.pl | Operator Świeradów Zdrój sp. z o.o. sp.k., ul. Widok 8, 00-023 Warszawa |
| Elements Apartments | Ul. Zakopiańska 20a, 59-850 Świeradów-Zdrój | Inspektor Ochrony Danych: rodo@elements-hotel.pl | Operator Świeradów Zdrój sp. z o.o. sp.k., ul. Widok 8, 00-023 Warszawa |
| Hotel Linea Mare ***** | Ul. Borka 6, 72-346 Pobierowo | Inspektor Ochrony Danych: iod@lineamare.pl | Linea Mare Operator sp. z o.o., ul. Widok 8, 00-023 Warszawa |
| Forest Park Resort & SPA | Ul. Źródlana 6B, 59-850 Świeradów-Zdrój | Inspektor Ochrony Danych: rodo@forest-park.pl | Forest Park Operator sp. z o.o., ul. Widok 8, 00-023 Warszawa |
| The View Mountain | Obiekt w realizacji | rodo@view-mountain.pl | View Mountain Operator sp. z o.o., ul. Widok 8, 00-023 Warszawa |
2.1.2.Wspólne funkcje (np. program lojalnościowy): w przypadku, gdy dwie lub więcej spółek wspólnie ustala cele i sposoby przetwarzania (np. wspólny program lojalnościowy), występuje współadministrowanie danymi osobowymi zgodnie z art. 26 RODO. Treść uzgodnień dotyczących podziału obowiązków, punktów kontaktowych oraz zasad obsługi żądań jest udostępniana użytkownikom w niniejszej polityce oraz w aplikacji, o ile zajdzie sytuacja współadministrowania.
2.1.3.Przechodzenie do innych obiektów: użytkownik może przechodzić do kolejnych obiektów za pomocą konta użytkownika w aplikacji, utworzonego przy pierwszym wejściu do wybranego obiektu. W ten sposób w kolejnych obiektach tworzone jest za pomocą tych samych danych (np. przez konto Google, adres e-mail) konto użytkownika w tym obiekcie. Spółka prowadząca obiekt, w którym tworzone jest nowe konto, uzyskuje dostęp do podstawowych danych osobowych użytkownika, powiązanych z utworzonym kontem (imię i nazwisko, adres e-mail, inne identyfikatory logowania). Spółce tej nie są przekazywane dane o aktywności użytkownika w innym obiekcie, w szczególności o historii rezerwacji lub aktywności w aplikacji. Przy pierwszym przejściu do nowego obiektu użytkownik otrzymuje informację o przetwarzaniu danych osobowych przez spółkę prowadzącą ten obiekt i ma możliwość wyrażenia dodatkowych zgód na przetwarzanie danych osobowych w celach marketingowych.
2.2.Odbiorcy danych:
2.2.1.dostawca oprogramowania – Betasi sp. z o.o,
2.2.2.podmioty świadczące dla administratora usługi księgowe, informatyczne lub prawne,
2.2.3.dostawcy usług płatniczych,
2.2.4.dostawcy usług analitycznych dot. sposobu korzystania z aplikacji.
3. Kategorie danych i źródła
3.1.Dane identyfikacyjne i kontaktowe: imię, nazwisko, adres e-mail, dane do logowania, numer telefonu.
3.2.Dane rezerwacyjne: data pobytu, preferencje, historia rezerwacji.
3.3.Dane rozliczeniowe: dane do faktur, numer rachunku.
3.4.Dane marketingowe i preferencje: zgody na newsletter lub inne informacje handlowe, powiadomienia push.
3.5.Dane techniczne: logi systemowe, identyfikatory urządzenia/aplikacji, dane o korzystaniu z aplikacji, dane lokalizacyjne i inne uprawnienia aplikacji.
3.6.Źródła danych: dane podawane przez użytkownika, dane rejestracyjne, dane generowane automatycznie przez aplikację.
4. Cele, podstawy prawne przetwarzania i okresy przechowywania danych
| Cel | Zakres danych | Podstawa prawna | Okres przechowywania | Kategorie odbiorców |
|---|---|---|---|---|
| Założenie i obsługa konta w aplikacji | imię, nazwisko, e-mail, inny identyfikator logowania | wykonanie umowy (art. 6 ust. 1 lit. b RODO) | Czas prowadzenia konta powiększony o okres przedawnienia roszczeń | Dostawca aplikacji |
| Rezerwacja, obsługa pobytu | imię, nazwisko, e-mail, numer telefonu, dane rezerwacji, preferencje | wykonanie umowy (art. 6 ust. 1 lit. b RODO), obowiązek prawny (rachunkowość – art. 6 ust. 1 lit. c RODO) | Do upływu okresu przedawnienia roszczeń i przez okres wynikający z przepisów prawa dla wykonania obowiązków rachunkowych | Dostawca aplikacji, dostawca płatności, księgowość |
| Obsługa reklamacji i roszczeń | imię, nazwisko, e-mail, dane rezerwacji, historia pobytu | uzasadniony interes (art. 6 ust. 1 lit. f RODO) | Do ustania interesu i zakończenia okresu przedawnienia roszczeń | Doradcy prawni, księgowość |
| Marketing usług | uzasadniony interes w związku z wyrażeniem zgody na otrzymywanie informacji handlowych w trybie art. 398 Prawa komunikacji elektronicznej (art. 6 ust. 1 lit. f RODO) | Do wniesienia sprzeciwu | Dostawcy usług marketingu i usług analitycznych | |
| Analityka i rozwój aplikacji | dane techniczne, logi (adres IP, identyfikatory sesji) | uzasadniony interes (w zakresie danych niezbędnych do działania aplikacji) (art. 6 ust. 1 lit. f RODO) / zgoda (w odniesieniu do pozostałych danych) (art. 6 ust. 1 lit. a RODO) | Przez okres retencji logów – 30 dni | Dostawca aplikacji, usług analitycznych |
| Utrzymanie bezpieczeństwa systemu | logi (adres IP, identyfikatory sesji), aktywność | uzasadniony interes (art. 6 ust. 1 lit. f RODO) | Przez okres retencji logów – 30 dni | Dostawca usług IT |
| Dostosowanie ofert w aplikacji | logi (adres IP, identyfikatory sesji), aktywność, historia zakupów | uzasadniony interes – marketing administratora (art. 6 ust. 1 lit. f RODO) | do czasu wniesienia sprzeciwu, nie dłużej niż do zakończenia korzystania z aplikacji, przy czym dla poszczególnych logów, w oparciu o które dokonywane jest profilowanie – nie dłużej niż 30 dni | Dostawca aplikacji, usług analitycznych |
5. Dane techniczne, logi i bezpieczeństwo
5.1.Przy korzystaniu z aplikacji zapisywane są logi systemowe, identyfikatory urządzenia/aplikacji, dane lokalizacyjne. Są one przechowywane przez 30 dni.
5.2.Cel: bezpieczeństwo systemu, wykrywanie nadużyć, rozwój i analityka aplikacji.
5.3.Administrator wdraża środki techniczne i organizacyjne: kontrola dostępu, szyfrowanie, rozliczalność, poufność, integralność danych.
6. Pliki cookies, identyfikatory reklamowe i analityka
6.1.Aplikacja może wykorzystywać pliki cookies, identyfikatory reklamowe i narzędzia analityczne – na podstawie uzasadnionego interesu lub zgody.
6.2.Mechanizm zgody i zarządzania preferencjami jest dostępny w ustawieniach aplikacji.
7. Uprawnienia aplikacji
| Uprawnienie | Cel | Czy obowiązkowe | Jak wyłączyć |
|---|---|---|---|
| Lokalizacja | precyzyjne wskazanie najbliższego miejsca świadczenia usług | nieobowiązkowe | w ustawieniach urządzenia |
| Aparat | możliwość korzystania z funkcji skanowania kodów QR | nieobowiązkowe | w ustawieniach urządzenia |
| Powiadomienia Push | komunikaty marketingowe/systemowe | nieobowiązkowe | w ustawieniach aplikacji |
| Znajdowanie urządzeń Bluetooth w pobliżu | aplikacja może poprosić o dostęp do Bluetooth lub możliwość znajdowania urządzeń w pobliżu w celu obsługi funkcji mobilnego klucza, tj. wykrycia i połączenia się z kompatybilnym zamkiem lub czytnikiem hotelowym | nieobowiązkowe | w ustawieniach urządzenia |
8. Prawa osób, których dane dotyczą
8.1.Każda osoba, której dane dotyczą, ma prawo do:
8.1.1.dostępu do danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania,
8.1.2.do przeniesienia danych do innego administratora,
8.1.3.wniesienia sprzeciwu, w tym sprzeciwu wobec marketingu bezpośredniego,
8.1.4.cofnięcia zgody na przetwarzanie, jeśli użytkownik ją wyraził,
8.1.5.złożenia skargi do organu nadzorczego.
8.2.Żądanie można zgłosić do właściwego administratora (pkt 2.1.1.).
8.3.W przypadku, gdy dane są przetwarzane przez współadministratorów, o czym współadministratorzy poinformują odrębnie, żądanie można zgłosić do punktu kontaktowego wskazanego przez Współadministratorów. Współadministratorzy ustalają procedury wzajemnej współpracy, przekazywania żądań i terminów odpowiedzi.
9. Dobrowolność/obowiązek podania danych i konsekwencje
9.1.Do korzystania z aplikacji nie jest konieczne podawanie danych osobowych. Jeśli jednak użytkownik chce w pełni korzystać z funkcjonalności aplikacji, np. przejść do oferty danego obiektu i w związku z tym założyć konto czy dokonać rezerwacji, podanie danych osobowych jest wymagane przez administratora.
9.1.1.Założenie konta/rezerwacja: podanie danych jest niezbędne do korzystania z wybranych funkcji aplikacji (realizacja umowy).
9.1.2.Marketing, program lojalnościowy, lokalizacja, powiadomienia: dobrowolne.
9.1.3.Konsekwencje niepodania danych: brak możliwości skorzystania z wybranej usługi lub funkcjonalności.
10. Profilowanie i zautomatyzowane podejmowanie decyzji
10.1.W ramach korzystania z aplikacji administrator może dokonywać profilowania użytkowników, tj. wykorzystywać wybrane informacje o użytkowniku w celu dopasowania treści prezentowanych w aplikacji lub w komunikacji z użytkownikiem. Profilowanie odbywa się przede wszystkim na podstawie danych pochodzących od samego użytkownika oraz z jego aktywności w usługach administratora, w szczególności takich jak: historia pobytów, zwyczaje zakupowe, preferencje dotyczące usług hotelowych, aktywność w aplikacji, dane demograficzne lub inne informacje dostępne w systemach hotelowych.
10.2.Celem profilowania jest lepsze dopasowanie prezentowanych treści, ofert, rekomendacji, komunikatów lub informacji o usługach hotelowych do przypuszczalnych potrzeb i zainteresowań użytkownika. Przykładowo, użytkownikowi mogą zostać wyświetlone treści dotyczące usług, pakietów, udogodnień lub ofert, które – na podstawie posiadanych danych – mogą być dla niego bardziej interesujące niż inne treści.
10.3.Profilowanie może być prowadzone w oparciu o prawnie uzasadniony interes administratora, polegający na marketingu własnych usług, personalizacji komunikacji i podnoszeniu jakości obsługi użytkowników, albo – jeżeli wymagają tego przepisy prawa lub wybrany kanał komunikacji (np. wysyłka określonych treści marketingowych drogą elektroniczną) – na podstawie zgody użytkownika. W przypadku, gdy podstawą prawną jest zgoda, użytkownik może ją w każdej chwili wycofać, co nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem.
10.4.Użytkownik ma prawo wnieść w dowolnym momencie sprzeciw wobec przetwarzania jego danych osobowych w celach marketingowych, w tym wobec profilowania prowadzonego na potrzeby marketingu bezpośredniego. W przypadku wniesienia takiego sprzeciwu dane użytkownika nie będą dalej przetwarzane w tych celach. Sprzeciw można wnieść w szczególności poprzez zmianę odpowiednich ustawień w aplikacji.
10.5.Profilowanie opisane powyżej służy personalizacji treści i komunikatów. Administrator nie podejmuje wobec użytkowników decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu danych, w tym profilowaniu, które wywoływałyby wobec nich skutki prawne lub w podobny sposób istotnie na nich wpływały w rozumieniu art. 22 RODO.
10.6.Oznacza to w szczególności, że samo profilowanie nie prowadzi automatycznie do odmowy możliwości dokonania rezerwacji, odmowy świadczenia usług hotelowych ani do podjęcia innej decyzji wywołującej istotne skutki dla użytkownika. Konsekwencją profilowania może być natomiast wyświetlenie użytkownikowi bardziej dopasowanych treści, komunikatów, rekomendacji lub ofert.
10.7.Administrator nie udostępnia tych danych innym administratorom.
11. Przekazywanie danych poza EOG
11.1.Dane osobowe co do zasady nie są przekazywane poza Europejski Obszar Gospodarczy.
11.2.W przypadku konieczności przekazania danych analitycznych poza Europejski Obszar Gospodarczy w związku z korzystaniem z usług analitycznych podmiotów posiadających podmioty powiązane poza EOG, w umowie administratora z takimi podmiotami zastosowane zostaną standardowe klauzule umowne.
12. Zmiany polityki prywatności
12.1.O każdej zmianie polityki prywatności użytkownik jest informowany za pomocą powiadomienia w aplikacji oraz aktualizacji dokumentu.