Polityka prywatności

POLITYKA OCHRONY DANYCH OSOBOWYCH W ADVENTURE TESS

I. POSTANOWIENIA OGÓLNE

§ 1
Definicje

1. Ilekroć w regulaminie niniejszym moja jest o:
I.1. usłudze turystycznej – należy przez to rozumieć:
I.1.1. przewóz uczestników,
I.1.2. zakwaterowanie w celach innych niż pobytowe, które nie jest nieodłącznym elementem przewozu uczestników,
I.1.3. wynajem pojazdów samochodowych lub innych pojazdów silnikowych,
I.1.4. inną usługę świadczoną uczestnikom, która nie stanowi integralnej części usług wskazanych w punktach 1.1.1.-1.1.3. powyżej,
I.2. OWU – należy przez to rozumieć Ogóle Warunki Umowne uczestnictwa w imprezach turystycznych, organizowanych przez Adventure Tess oraz integralne części OWU, w tym załączniki do OWU,
I.3. Adventure Tess – należy przez to rozumieć, Teresę Chudecką, prowadzącą działalność gospodarczą pod firmą ADVENTURE TESS TERESA CHUDECKA, Nowe Lubiejewo nr 25, 07-300 Ostrów Mazowiecka, NIP: 7591693262, REGON: 384251380,
I.4. imprezie turystycznej – należy przez to rozumieć połączenie co najmniej dwóch różnych rodzajów usług turystycznych na potrzeby tej samej podróży lub wakacji,
I.5. danych osobowych – należy przez to rozumieć wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (inaczej zwaną również osobą, której dane dotyczą); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej,
I.6. danych szczególnej kategorii – należy przez to rozumieć dane osobowe, ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby
I.7. umowie – należy przez to rozumieć umowę o udział w imprezie turystycznej lub ewentualnie inną umowę, która została zawarta lub ma zostać zawarta między uczestnikiem a Adventure Tess, na mocy której Adventure Tess będzie świadczył co najmniej jedną usługę turystyczną na rzecz uczestnika,
I.8. podmiocie przetwarzającym – należy przez to rozumieć osobę fizyczną, osobę prawną lub jednostkę organizacyjną nieposiadającą osobowości prawnej, która przetwarza dane osobowe w imieniu Adventure Tess,
I.9. odbiorcy danych – należy przez to rozumieć osobę fizyczną lub prawną, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania,
I.10. przetwarzaniu danych osobowych – należy przez to rozumieć operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie,
I.11. uczestniku – należy przez to rozumieć każdego, kto chce zawrzeć umowę z Adventure Tess lub umowę taką już zawarł,
I.12. konsumencie – należy przez to rozumieć osobę fizyczną, dokonującą z Adventure Tess czynności prawnej niezwiązanej bezpośrednio z jej działalnością gospodarczą lub zawodową,
I.13. agencie turystycznym – należy przez to rozumieć przedsiębiorcę turystycznego innego niż Adventure Tess, który na podstawie umowy agencyjnej sprzedaje lub oferuje do sprzedaży imprezy turystyczne utworzone przez Adventure Tess,
I.14. liderze – należy przez to rozumieć osobę wykonującą dla Adventure Tess usługi na podstawie umowy o pracę lub umowy cywilnoprawnej, która kieruje usługą turystyczną lub jest obecna przynajmniej na jej części, świadcząc usługi przewidziane w umowie na rzecz uczestników. Osoba taka jest uprawniona do przyjmowania i składania oświadczeń woli w imieniu Adventure Tess.
I.15. kontrahencie – należy przez to rozumieć każdy podmiot, który uczestniczy w procesie organizowania imprezy turystycznej lub wykonywania innej umowy oferowanej przez Adventure Tess, niebędący liderem lub agentem turystycznym (a więc np. hotel, przewoźnik itp),
I.16. partnerach – należy przez to rozumieć podmioty wspierające działalność Adventure Tess, współpracujące z Adventure Tess w celach handlowych i marketingowych,
I.17. adresie e-mail Adventure Tess – należy przez to rozumieć pocztę elektroniczną Adventure Tess, działająca pod adresem [adres],
I.18. stronie internetowej Adventure Tess – należy przez to rozumieć platformę teleinformatyczną działająca pod adresem www.adventuretess.com, poprzez którą można kontaktować się ze Adventure Tess, oglądać oferty imprez turystycznych i innych usług oraz na której Adventure Tess umieszcza inne informacje,
I.19. mediach społecznościowych – należy przez to rozumieć platformy teleinformatyczne, inne niż strona internetowa Adventure Tess, działające w formie strony internetowej lub aplikacji internetowej, za pośrednictwem których Adventure Tess i użytkownik mogą się m.in. kontaktować oraz za pomocą których Adventure Tess lub użytkownik mogą udostępniać, oceniać i komentować aktywność Adventure Tess. Do mediów społecznościowych należą m.in. te działające pod adresem: www.facebook.com, https://twitter.com/, https://pl.pinterest.com/,
I.20. polityce prywatności – należy przez to rozumieć dokument, określający zasady ochrony danych osobowych w Adventure Tess, dostępny pod adresem: [odnośnik],
I.21. pracowniku – należy przez to rozumieć osobę zatrudnioną w Adventure Tess na podstawie umowy o pracę lub umowy cywilnoprawnej, która nie jest liderem,
I.22. polityce ochronnych danych osobowy w Adventure Tess – należy przez to rozumieć dokument niniejszy, określający wewnętrzne zasady ochrony danych osobowych w Adventure Tess,
I.23. przedsiębiorcy – należy przez to rozumieć osobę prawną i jednostka organizacyjna, o której mowa w art. 331 § 1 k.c., a także osobę fizyczną prowadząca we własnym imieniu działalność gospodarczą lub zawodową, dokonującą z Adventure Tess czynności prawnej związanej bezpośrednio z tą działalnością,
I.24. regulaminie – należy przez to rozumieć regulamin działania strony internetowej Adventure Tess oraz zarządzania plikami cookies, dostępny pod adresem: [odnośnik],
I.25. RODO – należy przez to rozumieć rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE,
I.26. usługach świadczonych drogą elektroniczną – należy przez to rozumieć usługi świadczone bez jednoczesnej obecności stron (na odległość), poprzez przekaz danych na indywidualne żądanie usługobiorcy, przesyłane i otrzymywane za pomocą urządzeń do elektronicznego przetwarzania, włącznie z kompresją cyfrową, i przechowywania danych, która jest w całości nadawana, odbierana lub transmitowana za pomocą sieci telekomunikacyjnej w rozumieniu ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne oraz ustawy 18 lipca 2002 roku o świadczeniu usług drogą elektroniczną,
I.27. użytkowniku – należy przez to rozumieć osobę korzystającą ze strony internetowej, działającej pod adresem www.adventuretess.com w jakikolwiek sposób,
I.28. osobie, której dane są przetwarzane/której dane dotyczą/ osobie – należy przez to rozumieć żyjącą osobę fizyczną, której dane osobowe Adventure Tess przetwarza zgodnie z wymogami wskazanymi w RODO.

§2
Wstęp

1. Niniejszą politykę ochrony danych osobowych w Adventure Tess, wdraża się w związku z wejściem w życie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej także: RODO) oraz ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku.
2. W polityce niniejszej wskazano zasady ochrony danych, które są stosowane w Adventure Tess jak również procedury, które wdrożą te zasady w działalność Adventure Tess.
3. Zasady jak i procedury wskazane w niniejszej polityce winny być realizowane przez wszystkich pracowników i współpracowników Adventure Tess, bez względu na to czy zostali zatrudnieni na podstawie umowy o pracę czy umowy cywilnoprawnej.
4. Osobą, która odpowiedzialna jest za wdrożenie niniejszej polityki oraz prowadzącą nadzór nad jej przestrzeganiem jest właścicielka przedsiębiorstwa Adventure Tess – Teresa Chudecka.
5. Wszelkie postanowienia niniejszej polityki należy odczytywać w sposób zgodny z przepisami powszechnie obowiązującego prawa – zarówno co do treści jak i co do zakresu uprawnień i obowiązków administratora danych osobowych jak i osób, których dane są przetwarzane. Jeżeli przepisy powszechnie obowiązującego prawa przewidują obowiązki szersze niż niniejsza polityka – należy się stosować do tych przepisów.

II. CELE PRZETWARZANIA DANYCH I ZASADY ICH PRZETWARZANIA

§3
Warunki i podstawy przetwarzania danych

1. Adventure Tess przetwarza dane osobowe, gdy spełniony jest co najmniej jeden z poniższych warunków (które wynikają z art. 6 ust. 1 RODO):
1.1. osoba, której dane są przetwarzane, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów,
1.2. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy,
1.3. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze,
1.4. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej,
1.5. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
1.6. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

§4
Zasady przetwarzania danych

1. Adventure Tess przetwarza dane osobowe zgodnie z następującymi zasadami:
1.1. zasadą legalności – zgodnie z którą dane osobowe są przetwarzane tylko zgodnie z powszechnie obowiązującym prawem i tylko w oparciu o konkretną podstawę prawną,
1.2. zasadą transparentności – Adventure Tess informuje podmioty, których dane są przetwarzane, o ich prawach w sposób jasny i zrozumiały,
1.3. zasadą poszanowania praw jednostki – w myśl tej zasady Adventure Tess informuje wszystkie podmioty, których dane są przetwarzane, o ich prawach wynikających z przepisów prawa i umożliwia im wykonywanie praw jednostki związanych z ochroną danych osobowych,
1.4. zasadą rozliczalności – wobec czego Adventure Tess prowadzi RCPD, tak aby możliwe było potwierdzenie wykazania zgodności przetwarzania danych przez Adventure Tess z przepisami powszechnie obowiązującego prawa, w szczególności z RODO i ustawą o ochronie danych osobowych,
1.5. zasadą minimalizacji przetwarzania danych – zgodnie z tą zasadą dane osobowe są przetwarzane jedynie w określonych celach, w niezbędnym zakresie i przez ograniczony czas,
1.6. zasadą bezpieczeństwa – co oznacza, że Adventure Tess zapewnia odpowiednie środki aby przetwarzane dane osobowe były bezpieczne.

III. PROCEDURY OCHRONY DANYCH OSOBOWYCH, ZGODNE Z ZASADAMI ICH PRZETWARZANIA

§5
Zasada legalności, transparentności i poszanowania praw jednostki

W celu zrealizowania wynikających z przepisów powszechnie obowiązującego prawa zobowiązań dotyczących informacji dla osób Adventure Tess realizuje:
1. obowiązek informacyjny – co polega na przekazywaniu osobom informacji dotyczących ich praw, wskazanych w RODO oraz dokumentowaniu faktu udzielenia tych informacji, m.in. poprzez wywieszenie w każdym lokalu należącym do Adventure Tess, otwartym dla osób, klauzuli informacyjnej oraz jej przedkładanie osobom i klientom, w celu zapoznania się z nią, a w przypadku posiadania strony internetowej lub korzystania z mediów społecznościowych, umieszczenia klauzuli informacyjnej lub polityki prywatności również w tych miejscach, tak aby mogła się z nią zapoznać każda osoba lub klient,
2. działania zmierzające do spełnienia żądań osób – Adventure Tess spełnia zgodne z prawem żądania osób, których dane przetwarza są przez Adventure Tess lub podmioty przetwarzające, w terminach i w sposób wymagany przez RODO i inne przepisy powszechnie obowiązującego prawa oraz odpowiednio dokumentuje fakt spełnienia tych żądań,
3. działania weryfikacyjne – w związku z czym w przypadku, gdy dojdzie w Adventure Tess do sytuacji naruszającej przepisy służące do ochrony danych osobowych, podejmowane są konieczne działania naprawcze, w tym weryfikowane jest czy istnieje konieczność zawiadomienia osób, których dane osobowe zostały w sposób zidentyfikowany naruszone oraz wprowadzane są rozwiązania minimalizujące szanse powtórzenia takiego naruszenia w przyszłości.

§6
Zasada rozliczalności

1. Adventure Tess w celu prowadzenia zgodnej z przepisami powszechnie obowiązującego prawa ochrony danych, przeprowadza:
1.1. inwentaryzację przetwarzanych danych osobowych,
1.2. klasyfikację danych z uwagi na ich kategorię (dane zwykłe, dane szczególnego rodzaju) oraz:
1.3. określa sposób wykorzystania tak zinwentaryzowanych i skalsyfikowanych danych osobowych.
2. Wobec powyższego Adventure Tess prowadzi w formie elektronicznej lub papierowej rejestr czynności przetwarzania danych (RCPD), w którym wskazuje m.in. podstawę prawną przetwarzana danych (na bieżąco weryfikowaną i uaktualnianą), co pozwala na kontrolę i rozliczenie prawidłowości przetwarzania danych osobowych.
3. RCPD zawiera m.in. tabelarycznie podane następujące informacje:
3.1. dane administratora danych osobowych i jego dane kontaktowe,
3.2. nazwę czynności przetwarzania danych,
3.3. cel przetwarzania określonych danych osobowych,
3.4. opis kategorii osób, których dane są przetwarzane,
3.5. podstawę prawną przetwarzania, wynikającą z RODO (w miarę możliwości z podaniem konkretnej umowy i innych dokumentów, z których wynika podstawa prawna przetwarzania danych, opisem udzielonej zgody na przetwarzanie danych, jeżeli to zgoda jest podstawą przetwarzania)
3.6. sposób zbierania danych,
3.7. kategorię odbiorców danych,
3.8. informację czy następuje przekazanie określonych danych osobowych do państwa trzeciego lub organizacji międzynarodowej,
3.9. planowany termin usunięcia danych,
3.10. określenie technicznych i organizacyjnych środków zabezpieczenia danych osobowych.
4. Adventure Tess prowadzi również rejestr czynności przetwarzania danych przetwarzającego oraz rejestr naruszeń danych osobowych.

§7
Zasada minimalizacji

W celu zrealizowania zasady minimalizacji przetwarzania danych Adventure Tess:
1. przetwarza dane jedynie na potrzeby realizacji niezbędnych celów, przez określony czas (minimalizacja zakresu, minimalizacja czasu),
2. wprowadza fizyczne ograniczenia dostępu do danych osobowych:
2.1. hasła do komputerów i wszelkich innych elektronicznych nośników danych (telefonu komórkowego, pendrivów, dysków zewnętrznych, pamięci w formie chmur),
2.2. zamykanie na klucz drzwi do pomieszczeń, w których przechowywane są dane osobowe,
2.3. zamykanie na klucz szafek, w których przechowywane są dane osobowe,
2.4. posiada aktywne programy antywirusowe i inne, o podobnym działaniu, zainstalowane na wszelkich urządzeniach elektronicznych, na których przechowywane są dane osobowe,
2.5. dane osobowe są udostępniane tylko określonej grupie osób upoważnionych (minimalizacja dostępu),
3. wprowadza szczegółowe upoważnienia do przetwarzania danych osobowych dla pracowników i współpracowników, ograniczające możliwość przetwarzania przez nich danych osobowych do minimum w celu wykonania obowiązków służbowych, a w przypadku zmian kadrowych dokonuje aktualizacji uprawnień dostępowych (minimalizacja dostępu),
4. powierza dane osobowe podmiotom przetwarzającym i odbiorcom danych, tylko w zakresie niezbędnym do realizacji przez te podmioty określonych świadczeń na rzecz Adventure Tess (minimalizacja dostępu), w tym w celu realizacji umów zawartych pomiędzy Adventure Tess i podmiotem przetwarzającym lub pomiędzy Adventure Tess i osobą, której dane są przetwarzane,
5. na bieżąco przeprowadza kontrole sprawdzające, czy przetwarzanie danych jest adekwatne i konieczne, a w przypadku ustalenia, że dalsze przetwarzanie danych nie jest niezbędne, dokonuje trwałego usunięcia tych danych (minimalizacja zakresu, minimalizacja czasu).

§8
Zasada bezpieczeństwa

1. W celu zrealizowania zasady bezpieczeństwa danych osobowych Adventure Tess:
1.1. przeprowadza w razie konieczności analizę ryzyka przetwarzania danych osobowych w celu stwierdzenia czy mają miejsce operacje przetwarzania danych wysokiego ryzyka i wdraża odpowiednie środki bezpieczeństwa dla przetwarzania danych osobowych,
1.2. organizuje szkolenie dla pracowników i zobowiązuje pracowników do przestrzegania procedur bezpieczeństwa, opisanych w niniejszej polityce,
1.3. zapewnia bezpieczeństwo ochrony danych osobowych poprzez:
1.3.1. wprowadzenie fizycznych ograniczenia dostępu do danych osobowych, opisanych w § 7 ust. 2 Polityki,
1.3.2. udostępnienie danych osobowych jedynie upoważnionym pracownikom oraz współpracownikom (§ 7 ust. 3 polityki),
1.3.3. odpowiednie zabezpieczenia techniczne strony internetowej Adventure Tess, mediów społecznościowych, adresu e-mail Adventure Tess oraz wszelkich innych urządzeń służących do komunikacji elektronicznej lub elektronicznego przetwarzania danych,
1.3.4. dokonywanie periodycznych zmian haseł, o których mowa powyżej oraz weryfikacji czy do haseł mają dostęp jedynie osoby upoważnione do tego, zgodnie z niniejszą Polityką,
1.3.5. zgłaszanie, w przeciągu 72 godzin od stwierdzenia zweryfikowanego naruszenia danych osobowych, za pośrednictwem systemu teleinformatycznego, faktu takiego naruszenia do organu nadzorczego,
1.3.6. wdrażanie odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:
• pseudonimizację i szyfrowanie danych osobowych,
• zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
• zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
• regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, przy czym oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
1.4. w przypadku zaistnienia naruszenia danych osobowych, analizuje przyczyny powstania naruszenia i wdraża metody, które pozwalają na uniknięcie kolejnych przypadków naruszeń w przyszłości,
1.5. prowadzi Rejestr Naruszeń Bezpieczeństwa Danych Osobowych i inne rejestry, wskazane w niniejszej Polityce.

IV. DALSZE PROCEDURY OCHRONY DANYCH OSOBOWYCH, ZGODNE Z ZASADAMI ICH PRZETWARZANIA

§9
Przekazywanie danych poza EOG, profilowanie, automatyzacja decyzji, dane szczególnej kategorii

1. Adventure Tess nie przekazuje danych osobowych poza Europejski Obszar Gospodarczy lub do organizacji międzynarodowej, nie są one również profilowane i nie podejmuje się na ich podstawie decyzji w sposób zautomatyzowany. Dane osobowe mogą być jednak przekazywane poza Europejski Obszar Gospodarczy lub do organizacji międzynarodowej, profilowane lub mogą być podejmowane na ich podstawie decyzje w sposób automatyczny przez podmioty pośredniczące w relacjach pomiędzy Adventure Tess a osobami.
2. W przypadku gdyby dane osobowe miały być przekazywane poza obszar Europejskiego Obszaru Gospodarczego, do organizacji międzynarodowej lub miały być profilowane lub na ich podstawie decyzje miałyby być podejmowane automatycznie Adventure Tess podejmie wszelkie czynności aby przetwarzanie te było zgodne z przepisami powszechnie obowiązującego prawa.
3. Jeżeli występuje konieczność przetwarzania przez Adventure Tess:
3.1. danych osobowych szczególnego rodzaju w rozumieniu RODO, Adventure Tess uzyskuje w tym celu wyraźną zgodę na takie przetwarzanie od osoby, której dane te dotyczą,
3.2. tzw. danych niezidentyfikowanych, Adventure Tess wdraża odpowiednie mechanizmy pozwalające na realizację praw osób, których dotyczą dane niezidentyfikowane, w tym informacyjne, pozwalające na określenie i łatwe zidentyfikowanie administratora,
3.3. operacji profilowania przetwarzanych danych lub zautomatyzowanego podejmowania decyzji, względem osób, których dane są przetwarzane, Adventure Tess wdraża odpowiednie mechanizmy pozwalające na realizację praw osób, których dotyczą te dane, w tym możliwość odwołania się do weryfikacji tych czynności przez czynnik ludzki.

§10
Powierzanie danych podmiotom przetwarzającym

Adventure Tess powierza podmiotom przetwarzającym takim jak Krajowa Administracja Skarbowa, Urząd Skarbowy, Zakład Ubezpieczeń Społecznych, sądy, Kasa Rolniczego Ubezpieczenia Społecznego, zleceniobiorcy, pracownicy, kontrahenci oraz innym podmiotom państwowym, publicznym lub wykonującym dla administratora danych usługi (kancelarii prawnej, obsłudze księgowej) dane osobowe w przypadkach koniecznych i zgodnych z przepisami powszechnie obowiązującego prawa oraz zawiera w razie potrzeby pisemne umowy na powierzenie przetwarzania danych osobowych, gdzie zobowiązuje podmioty przetwarzające do postępowania zgodnie z RODO i innymi przepisami powszechnie obowiązującego prawa. W razie podejrzenia naruszenia umowy powierzenia danych osobowych bądź zaistnienia takiego naruszenia Adventure Tess, weryfikuje krąg podmiotów, którym powierza dane osobowe i podejmuje inne czynności przewidziane w przepisach prawa i w niniejszym regulaminie.

§11
Współadministrowanie

W przypadku, gdy Adventure Tess współadministruje danymi osobowymi wraz z innymi administratorami danych, zawiera z takimi podmiotami pisemne umowy o współadministrowanie danymi osobowych i zobowiązuje współadministratorów do przetwarzania danych osobowych zgodnie z RODO.

§12
Usuwanie danych

1. Gdy Adventure Tess przetwarza dane osobowe na podstawie zgody osób, których dane dotyczą, dane osobowe mogą być przetwarzane, dopóki zgoda nie zostanie cofnięta, chyba że co innego wymagają przepisy powszechnie obowiązującego prawa. Gdy dane są przetwarzane w celu zawarcia i wykonania umowy, są one przetwarzane przez Adventure Tess przez okres przedawnienia roszczeń umownych i innych (najczęściej 2 lub 3 lata od daty zawarcia lub wykonania umowy), mogą być jednak przetwarzane dłużej w przypadkach, gdy:
1.1. przepisy prawa (np. księgowe lub podatkowe) będą zobowiązywać administratora do ich dalszego przetwarzania,
1.2. zgłaszane byłyby wobec administratora danych jakiekolwiek roszczenia bądź w celu dochodzenia lub obrony przed roszczeniami osób trzecich, przez okres przedawnienia tych roszczeń, określony przepisami prawa, w szczególności kodeksu cywilnego, jeżeli okres przedawnienia jest dłuższy niż 3 lata.
2. Po zakończeniu przetwarzania danych, gdy wymagają tego przepisy, Adventure Tess usuwa te dane w sposób zapewniający brak możliwości ich odtworzenia, w tym w szczególności:
2.1. dane przechowywane na nośnikach elektronicznych i informatycznych oraz w sieci Internet usuwa w sposób ostateczny (w razie konieczności stosując magnetyczne czyszczenie nośników),
2.2. zaś przechowywane w formie papierowej niszczy w niszczarce, o małych wycinkach, zgodnych z wymogami RODO lub niszczy poprzez spalenie. Z procedury usuwania danych Adventure Tess sporządza protokół.

V. CZYNNOŚCI PODEJMOWANE W CELU REALIZACJI PRAW JEDNOSTKI I OBOWIĄZKÓW INFORMACYJNYCH WZGLĘDEM OSÓB, KTÓRYCH DANE SĄ PRZETWARZANE

§13
Informacja przy pozyskaniu danych

1. Przy pozyskaniu danych osoby Adventure Tess informuje tę osobę o przetwarzaniu jej danych osobowych. Przy przetwarzaniu danych uniemożliwiających zidentyfikowanie osoby, Adventure Tess informuje takie osoby o przetwarzaniu ich danych w miarę możliwości. W przypadku uzyskania danych osobowych niebezpośrednio od danej osoby, Adventure Tess informuje taką osobę o przetwarzaniu jej danych, jeżeli jest to możliwe.
2. Osobom, których dane są przetwarzane, Adventure Tess udziela informacji o ich prawach związanych z tym przetwarzaniem, w formie klauzuli informacyjnej, zawierającej objaśnienia w tym zakresie.

§14
Informacja o sprzeciwie

1. Gdy Adventure Tess zamierza rozpocząć przetwarzanie danych osobowych, informuje osobę, której dane zamierza przetwarzać, o przysługującym jej prawie sprzeciwu względem przetwarzania danych, w przypadkach przewidzianych przez prawo, w szczególności z uwagi na szczególną sytuację osoby, która tego żąda:
1.1. jeżeli przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (§ 3 ust. 5) lub
1.2. jeżeli przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (§ 3 ust. 6).

§15
Informowanie o zmianach w trakcie przetwarzania danych

1. Jeżeli wymagają tego przepisy prawa Adventure Tess informuje osobę, której dane są przetwarzane o:
1.1. planowanej zmianie celu przetwarzania jej danych,
1.2. planowanym uchyleniu ograniczenia przetwarzania jej danych,
1.3. innych planowanych działaniach, gdy wymagają tego przepisy prawa.
2. Jeżeli wymagają tego przepisy prawa Adventure Tess informuje odbiorców danych osobowych o przypadku:
2.1. sprostowania danych,
2.2. usunięcia danych,
2.3. ograniczenia przetwarzania danych,
2.4. innych przypadkach, gdy wymagają tego przepisy prawa.

§16
Rodzaje żądań zgłaszanych do administratora i sposób postępowania

1. W przypadku otrzymania od osoby fizycznej żądania dostępu do jej danych osobowych Adventure Tess informuje taką osobę o tym, czy dane te przetwarza, a w razie przetwarzania danych osoby informuje ją dodatkowo o:
1.1. kategorii przetwarzanych danych,
1.2. celu przetwarzania danych,
1.3. źródle danych, jeżeli zostały pozyskane od osoby trzeciej,
1.4. planowanym okresie przetwarzania danych lub kryteriach ustalenia tego okresu,
1.5. odbiorcach danych (w szczególności, jeżeli odbiorca ma siedzibę w państwie trzecim lub jest organizacją międzynarodową),
1.6. prawie do żądania od Adventure Tess sprostowania, usunięcia lub ograniczenia przetwarzania danych oraz do wniesienia sprzeciwu co do przetwarzania,
1.7. prawie wniesienia skargi do organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych,
1.8. fakcie, czy w przypadku tej osoby wykonywana jest operacja zautomatyzowanego podejmowania decyzji, w tym profilowania,
1.9. w razie wykorzystania zautomatyzowanego podejmowania decyzji, w tym profilowania, informacje o zasadach podejmowania takich decyzji, znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dotyczą dane,
1.10. prawie do uzyskania kopii danych.
2. W przypadku otrzymania żądania uzyskania kopii danych, Adventure Tess wydaje osobie, której dane dotyczą, bezpłatną kopię przetwarzanych danych dotyczących tej osoby i odnotowuje fakt wydania kopii. W przypadku ponownego żądania wydania kopii danych tej samej osoby, Adventure Tess może pobrać opłatę za wydanie kopii, jeżeli jest to zgodne z przepisami prawa. Wysokość opłaty odpowiada kosztowi jednostkowej obsługi takiego żądania.
3. Jeżeli Adventure Tess otrzyma żądanie sprostowania danych, dokonuje takiego sprostowania niezwłocznie, jeżeli osoba, która z żądaniem sprostowania wystąpiła, w rozsądny sposób wykaże nieprawidłowość danych. W takim przypadku Adventure Tess informuje o sprostowaniu odbiorców danych.
4. Jeżeli Adventure Tess otrzyma żądanie uzupełnienia lub aktualizacji danych, wykonuje takie żądanie, chyba, że takie uzupełnienie jest niezgodne z celami, w jakich dane są przetwarzane.
5. W przypadku żądania usunięcia danych Adventure Tess usuwa te dane, jeżeli:
5.1. dane nie są niezbędne do celów, w których zostały zebrane bądź nie są przetwarzane w innych, zgodnych z przepisami celach,
5.2. cofnięto zgodę na przetwarzanie danych, a brak jest innych podstaw prawnych do ich przetwarzania,
5.3. złożono skuteczny sprzeciw względem przetwarzania danych,
5.4. dane były przetwarzane niezgodnie z przepisami obowiązującego prawa,
5.5. usunięcie danych podyktowane jest prawnym obowiązkiem,
5.6. dane dotyczą dziecka, a zostały zebrane na podstawie zgody w celu świadczenia usług społeczeństwa informacyjnego.
6. W razie zgłoszenia żądania ograniczenia przetwarzania danych, Adventure Tess ogranicza przetwarzanie danych:
6.1. w przypadku kwestionowania przez osobę prawidłowości danych – na czas niezbędny do sprawdzenia ich prawidłowości,
6.2. jeżeli dane były przetwarzane niezgodnie z przepisami obowiązującego prawa, a osoba, której dane dotyczą, sprzeciwia się ich usunięciu i żąda ograniczenia ich przetwarzania,
6.3. Adventure Tess nie ma już potrzeby przetwarzania danych, lecz ich dalsze przetwarzanie jest niezbędne do ustalenia/dochodzenia/obrony roszczeń osoby, której dane dotyczą,
6.4. w przypadku wniesienia sprzeciwu co do przetwarzania uzasadnionego szczególną sytuacją osoby – do czasu stwierdzenia, czy pomimo sprzeciwu Adventure Tess ma nadrzędne wobec sprzeciwu prawnie uzasadnione podstawy dalszego przetwarzania danych.
7. W przypadku zastosowania przez Adventure Tess ograniczenia przetwarzania danych, dane te będą przechowywane, bez zgody osoby, której dotyczą ale nie będą przetwarzane tj. nie będą wykorzystywane i przekazywane, chyba że dalsze przetwarzanie jest niezbędne w celu ustalenia, dochodzenia lub obrony roszczeń, w celu ochrony praw innej osoby fizycznej lub prawnej, z uwagi na ważne względy interesu publicznego.
8. W razie zgłoszenia żądania przenoszenia danych, osoba, której dane dotyczą, ma prawo otrzymać od Adventure Tess, w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe, jeżeli przetwarzanie odbywa się na podstawie zgody w myśl § 3 ust. 1 lub 2 oraz innych przypadkach przewidzianych przez prawo lub przetwarzanie odbywa się w sposób zautomatyzowany. Wykonując prawo do przenoszenia danych, osoba, której dane dotyczą, ma prawo żądania, by dane osobowe zostały przesłane przez administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe.

§17
Informacja o odbiorcach danych

1. W przypadku wystąpienia stosownego i uzasadnionego żądania osoby, której dane dotyczą, Adventure Tess usuwając dane przekazuje tej osobie informację o odbiorcach danych.
2. W przypadku wystąpienia stosownego żądania osoby, której dane dotyczą, Adventure Tess ograniczając przetwarzanie danych, przekazuje tej osobie informację o odbiorcach danych. Przed ewentualnym uchyleniem ograniczenia przetwarzania danych Adventure Tess informuje o tym osobę, której dane dotyczą.

§18
Terminy

1. Wszelkie obowiązki względem osób, których dane są przetwarzane Adventure Tess realizuje w terminach ustalonych przez przepisy powszechnie obowiązującego prawa oraz zapewnia możliwość zidentyfikowania danych konkretnych osób, wprowadzenia do nich zmian i ich usunięcia.
2. Co do zasady Adventure Tess rozpatruje żądania osoby, której dane są przetwarzane, niezwłocznie, w terminie nie dłuższym niż miesiąc, chyba że przepisy prawa przewidują termin krótszy.
3. W razie wystąpienia potrzeby przedłużenia ponad jeden miesiąc terminu na rozpatrzenie żądania osoby, której dane są przetwarzane, Adventure Tess informuje taką osobę o przedłużeniu terminu.
4. W razie spełnienia żądania osoby Adventure Tess informuje ją o tym, w wyżej wskazanych terminach.
5. W razie zaistnienia podstaw do odmowy spełnienia żądania osoby, Adventure Tess informuje taką osobę w wyżej wskazanych terminach o:
5.1. negatywnym rozpatrzeniu żądania,
5.2. prawach przysługujących takiej osobie w związku z odmową.
6. Jeżeli żądania zgłosiła osoba, której danych Adventure Tess nie przetwarza, informuje taką osobę o nieprzetwarzaniu jej danych, w wyżej wskazanych terminach.
7. Jeżeli Adventure Tess nie podejmuje działań w związku z żądaniem osoby, której dane dotyczą, to niezwłocznie – najpóźniej w terminie miesiąca od otrzymania żądania – informuje osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego.

VI. POSTANOWIENIA KOŃCOWE

§19

1. Adventure Tess zapoznał pracowników, liderów i agentów turystycznych oraz inne podmioty z treścią Polityki i zobowiązał ich do przestrzegania jej zasad i procedur.
2. Niniejsza polityka wchodzi w życie z dniem 3 września 2019 roku.