Загальна інформація
Цей документ у зв’язку з набранням чинності Регламентом (ЄС) 2016/679 Європейського Парламенту та Ради ЄС від 27 квітня 2016 року про захист фізичних осіб стосовно обробки персональних даних (надалі: GDPR), інформує про принципи, пов’язані з обробкою персональних даних, що надаються через веб-сайт, розташований за адресою: biznes.pl та пов’язаних із файлами cookie на цьому веб-сайті. Користувачі веб-сайту можуть надавати свої персональні дані. Цей документ має на меті інформування про справи, пов’язані з обробкою персональних даних і файлів cookie.
Визначення
Терміни, що використовуються в цьому документі, означають:
- Контролер – контролером ваших персональних даних є Centrum Podróży Aura sp.z o.o., Al. Jerozolimskie 144, 02-305 Warszawa (надалі: Aura);
- Персональні дані – це персональні дані, зазначені у ст. 4 п. 1 Регламенту (ЄС) 2016/679 Європейського Парламенту та Ради ЄС від 27 квітня 2016 року про захист фізичних осіб стосовно обробки персональних даних і про вільний рух таких даних, а також про скасування Директиви 95 /46/EC (Загальний регламент про захист персональних даних) (О. В. ЄС L 119 від 04.05.2016 р., с. 1 зі змінами); це інформація про фізичну особу, ідентифіковану або таку, що можна ідентифікувати за одним або кількома конкретними факторами, що визначають фізичну, фізіологічну, генетичну, розумову, економічну, культурну чи соціальну ідентичність, включаючи IP-адресу пристрою, онлайн-ідентифікатор та інформацію, зібрану за допомогою файлів cookie та інших подібних технологій;
- Обробка – це операція або набір операцій, що виконуються з персональними даними або наборами персональних даних автоматизованим або неавтоматизованим способом, а саме: збір, запис, упорядкування, структурування, зберігання, адаптація або модифікація, завантаження, перегляд, використання, розголошення шляхом надсилання, розповсюдження чи іншого надання доступу, підбирання чи об’єднання, обмеження, видалення чи знищення; підрозділ або інший суб’єкт, який самостійно або спільно з іншими визначає цілі та методи обробки персональних даних (ст. 4 п. 7 GDPR);
- Згода суб’єкта даних означає будь-яке вільно надане, конкретне, усвідомлене та недвозначне волевиявлення, за допомогою якого суб’єкт даних за допомогою заяви або чіткої підтверджувальної дії погоджується на обробку персональних даних, що стосуються його чи неї (ст. 4 п. 11 GDPR);
- Політика – ця Політика конфіденційності;
- GDPR – Регламент (ЄС) 2016/679 Європейського Парламенту та Ради ЄС від 27.04.2016 про захист фізичних осіб стосовно обробки персональних даних і про вільний рух таких даних, а також про скасування Директиви 95/46/ЄС;
- Веб-сайт – веб-сайт, керований Контролером, розташований за адресою bilety.pl;
- Користувач або Клієнт – будь-яка фізична особа, яка відвідує Веб-сайт або користується однією чи декількома послугами чи функціями, описаними у політиці;
- Перевізник – особа, що надає послуги перевезення, з якою Aura уклала агентську угоду про продаж квитків через Веб-сайт bilety.pl, а отже, з якою Клієнт укладає договір перевезення.
Контролер персональних даних
Контролером ваших персональних даних є Centrum Podróży Aura sp. z o.o. al. Jerozolimskie 144, 02-305 Warszawa.
З усіх питань, пов’язаних із захистом персональних даних в Aura, можна звертатися за спеціальною адресою електронної пошти rodo@aura.pl.
Контролером персональних даних Клієнтів, які надаються для придбання квитка, є Перевізник, з яким укладено конкретний договір перевезення. Контактні дані Перевізника щоразу вказуються в інформації про конкретний маршрут.
Обробка персональних даних у зв’язку з користуванням Веб-сайтом
У зв’язку з користуванням Користувачем Веб-сайтом Контролер збирає дані в обсязі, необхідному для надання окремих пропонованих послуг. Детальні принципи та цілі обробки Персональних даних, зібраних під час користування Користувачем Веб-сайтом, описані нижче.
Цілі та правова основа обробки даних
Aura обробляє ваші дані. Мету їх обробки визначає бізнес-профіль Aura, який полягає в посередництві з продажу квитків. Ваші дані оброблятимуться у зв’язку з виконанням договору купівлі-продажу квитків, правовою підставою в цій ситуації є ст. 6 п. 1b GDPR, який дозволяє обробку даних, якщо це необхідно для виконання договору. У випадку Перевізника як контролера – персональні дані обробляються для цілей, пов’язаних з укладенням та виконанням договору перевезення, і в такому випадку правовою підставою для обробки є необхідність обробки для виконання договору або вчинення дій за запитом суб’єкта даних перед укладенням договору (ст. 6 п. 1b GDPR). Надання даних є добровільним, але необхідним для укладення договору перевезення. Ненадання їх призводить до:
- неможливості укладення договору,
- обмеження можливості ознайомлення зі змістом веб-сайту bilety.pl,
- обмеження можливості контакту та відповідей на запитання Клієнта електронною поштою чи по телефону.
Саме тому обробляються ваше ім’я та прізвище, адреса електронної пошти, номер телефону, дата народження, стать, громадянство та номер документа, що посвідчує вашу особу Ці дані обробляються виключно з метою продажу квитка та виконання договору перевезення.
Період обробки персональних даних
Період обробки даних Контролером залежить від типу наданої послуги та мети обробки. Як правило, дані обробляються протягом періоду надання послуги, до моменту відкликання згоди або висунення ефективного заперечення щодо обробки даних у випадках, коли правовою підставою для обробки даних є законний інтерес Контролера.
Персональні дані, які обробляються в маркетингових цілях, обробляються доти, доки не буде подано заперечення щодо їх обробки в маркетингових цілях або поки згода не буде відкликана. Період обробки даних може бути продовжений, якщо обробка необхідна для визначення та розгляду можливих претензій або захисту від претензій, а після цього часу лише у випадках та в обсязі, передбаченому законом. Після періоду обробки дані безповоротно видаляються або анонімізуються.
Одержувачі персональних даних
У зв’язку з наданням послуг персональні дані розкриватимуться перевізникам, зовнішнім особам, зокрема, постачальникам ІТ-послуг, що забезпечують належне користування Веб-сайтом, і організаціям обробки платежів (PayU S.A.). За згодою Користувача його або її дані також можуть бути доступні іншим особам для їх власних цілей, включаючи маркетингові цілі.
Контролер залишає за собою право розкривати вибрану інформацію про Користувача компетентним органам або третім особам, які запитують таку інформацію, на відповідній правовій основі та згідно з положеннями чинного законодавства.
Маркетинг
Персональні дані Користувача також можуть використовуватися Контролером для надсилання йому маркетингового контенту електронною поштою або по телефону. Такі дії здійснюються Контролером тільки за умови надання Користувачем згоди, яка може бути відкликана в будь-який момент.
Персональні дані обробляються:
- для надсилання замовленої комерційної інформації – правовою основою для обробки, включаючи використання профілювання, є законний інтерес Контролера (ст. 6 п.1f GDPR) у зв’язку з вираженою згодою;
- для аналітичних і статистичних цілей – правовою основою для обробки є законний інтерес Контролера (ст. 6 1f GDPR), що полягає в проведенні аналізу активності Користувачів на Веб-сайті з метою покращення використовуваних функціональних можливостей.
Права користувачів щодо персональних даних
У зв’язку з обробкою персональних даних Контролером Користувач має право на умовах, детально описаних у GDPR:
- запитувати доступ до персональних даних,
- виправлення або доповнення персональних даних,
- видалення персональних даних відповідно до ст. 17 GDPR, тобто персональні дані більше не потрібні для цілей, для яких вони були зібрані або іншим чином оброблені; суб’єкт даних відкликав згоду, на якій ґрунтується обробка, відповідно до ст. 6 п. 1а або ст. 9 п. 2а) і немає іншої правової підстави для обробки; суб’єкт даних заперечує проти ст. 21 п. 1 щодо обробки, і немає переважних законних підстав для обробки або суб’єкт даних заперечує проти обробки відповідно до ст. 21 п. 2 щодо обробки; персональні дані оброблялися неправомірно; персональні дані мають бути видалені з метою дотримання юридичних зобов’язань згідно із законодавством ЄС або законодавством держави-члена, якому підпорядковується контролер; персональні дані були зібрані у зв’язку з наданням послуг інформаційного суспільства, зазначених у ст. 8 п. 1.
Передача персональних даних за межі ЄЕЗ
Рівень захисту персональних даних за межами Європейської економічної зони (ЄЕЗ) відрізняється від рівня, передбаченого європейським законодавством. З цієї причини Контролер передає персональні дані за межі ЄЕЗ лише за необхідності та забезпечуючи належний рівень захисту, насамперед шляхом:
- співпраці з суб’єктами обробки персональних даних у країнах, щодо яких видано відповідне рішення Європейської комісії щодо забезпечення належного рівня захисту персональних даних;
- застосування стандартних договірних положень, виданих Європейською Комісією;
- застосування обов’язкових корпоративних правил, затверджених компетентним наглядовим органом.
Європейська комісія підтверджує, що деякі треті країни мають захист даних, який можна порівняти зі стандартом ЄЕЗ на основі так званого рішення про адекватний ступінь захисту (перелік цих країн і копію рішення про адекватний ступінь захисту можна завантажити за посиланням: https://ec.europa.eu/info/law/law-topic/data-protection_pl). Однак інколи персональні дані можуть передаватися до третіх країн у розумінні GDPR, які не включені до списку вище, напр., Вірменія, Білорусь, Чорногорія, Грузія, Росія, Україна, Молдова, Сербія. Подорож до країн за межами ЄС може передбачати обробку персональних даних цією країною.
У всіх випадках передачі даних застосовуються стандарти, прийняті Європейською комісією, які містяться в ст. 46 GDPR.
Безпека персональних даних
Контролер проводить аналіз ризиків на постійній основі, щоб переконатися, що персональні дані обробляються безпечним способом, гарантуючи, перш за все, що лише уповноважені особи мають доступ до даних і лише в обсязі, необхідному для завдань, які вони виконують. Контролер гарантує, що всі операції з персональними даними реєструються та виконуються лише уповноваженими працівниками та партнерами.
Файли cookie
Файл cookie — це невеликий текстовий файл, який зберігається на комп’ютері або мобільному пристрої Користувача, коли Користувач відкриває веб-сайт. Під час кожного наступного відвідування файли cookie повертаються до контролера веб-сайту, з якого вони створені, або до третьої сторони.
Для чого використовуються файли cookie на веб-сайті?
Контролер використовує файли cookie, перш за все, щоб надати Користувачеві доступ до Веб-сайту та полегшити користування ним Користувачем.
Контролер також використовує файли cookie для аналітичних і маркетингових цілей, але лише за умови згоди Користувача на це під час першого входу на Веб-сайт.
Контролер також використовує інші технології та технічні рішення для отримання доступу до інформації, що зберігається на пристрої Користувача або в браузері (напр., Local Storage, завдяки якому Контролер отримує доступ до інформації, яка зберігається під час використання Веб-сайту в окремій частині пам’яті браузера Користувача).
Які типи файлів cookie використовуються на веб-сайті?
Необхідні файли cookie – вони надають Користувачеві доступ до Веб-сайту та його основних функцій, тому не вимагають згоди Користувача. Без необхідних файлів cookie Контролер не зможе надавати Користувачам послуги на Веб-сайті.
Необов’язкові файли cookie – Контролер використовує ці файли cookie лише за згодою Користувача.
Як я можу змінити налаштування файлів cookie?
Користувач може змінити налаштування файлів cookie у своєму веб-браузері. Вимкнення файлів cookie на веб-сайті може ускладнити або зробити неможливим користування веб-сайтом, за що Контролер не несе відповідальності.
Google Analytics
Оператор використовує Google Analytics, онлайн-інструмент статистичного аналізу від Google. Google Analytics використовує файли cookie у формі текстових файлів, що зберігаються на пристрої Клієнта, що дозволяє аналізувати те, як використовується Веб-сайт. Крім того, цей веб-сайт використовує API клієнта Google AMP Client ID, щоб зв’язати дії користувачів на веб-сайтах AMP із їхніми діями на веб-сайтах, які не є AMP, через Google Analytics. Коди відстеження Google на цьому веб-сайті використовують функцію “_anon”.