PRIVACY POLICY
Introducere
Confidențialitatea datelor cu caracter personal reprezintă una din preocupările principale ale Operatorului. Ca atare, dorim să asigurăm cele mai înalte standarde de confidențialitate și transparență cu privire la datele cu caracter personal pe care le prelucrăm în activitatea noastră curentă.
Întrucât în desfășurarea activității noastre hoteliere este necesar să prelucrăm o serie de date cu caracter personal, dorim să oferim asigurări că prelucrarea va avea loc cu respectarea principiilor transparenței și securității datelor cu caracter personal. Această politică de confidențialitate este menită să vă ajute să înțelegeți ce date colectăm, de ce le colectăm și ce facem cu ele.
Informații despre operator
În conformitate cu art.32 din Regulamentul 679/2016 (denumit în continuare ”GDPR”), am luat măsuri de securitate tehnice, fizice și organizatorice adecvate pentru a proteja datele cu caracter personal împotriva accesului, modificării, ștergerii, deteriorării, pierderii sau accesării neautorizate/nelegale.
Vom respecta principiile de prelucrare a datelor cu caracter personal astfel cum acestea au fost menționate în cadrul art.5 din GDPR, respectiv vom prelucra datele dvs. cu caracter personal:
- În mod legal, echitabil și transparent;
- În scopuri determinate, explicite și legitime și nu într-un mod incompatibil cu scopurile menționate la momentul colectării datelor cu caracter personal;
- Garantând caracterul adecvat, relevant al acestora, limitând prelucrarea la ceea ce este necesar în raport cu scopurile prelucrării;
- Asigurându-ne că datele cu caracter personal care sunt inexacte sunt șterse sau rectificate fără întârziere;
- Stocând datele într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor prelucrării;
- Într-un mod care asigură securitatea adecvată a datelor, inclusiv protecția împotriva prelucrării neautorizate sau ilegale sau împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice și organizatorice adecvate.
Persoana desemnată din partea operatorului ca responsabil privind protecția datelor: Eugenia Kovacs, email: jeni.kovacs@yahoo.com
I. Categorii de date cu caracter personal supuse prelucrării
Operatorul, în calitate de unitate de cazare hotelieră, va prelucra următoarele categorii de date cu caracter personal ale persoanelor fizice cazate sau care au făcut o rezervare la hotel:
– Nume, prenume
– Domiciliu/reședință
– CNP
– Serie și număr de buletin, precum și orice alte date înscrise în cartea de identitate
– Data și locul nașterii
– Cetățenia
– Serie și număr de pașaport, precum și orice alte date înscrise în pașaport
– Număr de telefon și adresă email
– Contul bancar
– Date privind perioada de cazare a turistului în cadrul unității hoteliere administrate de operator
– Scopul călătoriei în România
– Date privind înfățișarea și activitățile desfășurate în cadrul spațiilor comune ale hotelului, care rezultă din înregistrările video de securitate.
Înregistrările video care surprind imaginea persoanelor fizice care pătrund în spațiile comune ale hotelului nu reprezintă date biometrice, având în vedere că:
– potrivit pct. 51 din considerentele GDPR, prelucrarea fotografiilor nu ar trebui să fie considerată în mod sistematic ca fiind o prelucrare de categorii speciale de date cu caracter personal, întrucât fotografiile intră sub incidența definiției datelor biometrice doar în cazurile în care sunt prelucrate prin mijloace tehnice specifice care permit identificarea unică sau autentificarea unei persoane fizice;
– înregistrările video reprezintă în concret o serie de fotografii care surprind mișcările personalor în ordine cronologică și
– mijloacele tehnice de înregistrare video pe care le folosim nu permit identificarea unică a persoanelor, neavând un soft de identificare facială.
II. Scopul prelucrării datelor cu caracter personal
Operatorul va prelucra datele cu caracter personal menționate la pct. I în principal în scopul îndeplinirii obligațiilor derivând din contractele de prestări servicii hoteliere încheiate cu turiștii sau cu terți în beneficiul turiștilor (pentru mai multă claritate, ori de câte ori un turist este cazat în unitatea hotelieră administrată de operator la solicitarea acestuia se consideră că s-a încheiat un contract de prestări servicii hoteliere)
De asemenea, operatorul va prelucra datele cu caracter personal menționate la pct. I în scopul îndeplinirii obligațiilor legale care îi revin potrivit legislației aplicabile unităților de cazare/structurilor de primire turistică și potrivit legislației fiscale și contabile.
Principalele obligații legale precizate mai sus sunt:
1. Obligația de a păstra în arhiva profesională copiile după fișele de anunțare a sosirii și plecării completate de turiști și de a comunica informații privind cazarea turiștilor în cadrul unității de cazare hotelieră administrată către organele de poliție și către Ministerul de Interne (art. 2 alin.9 și 10 și art.5 din HG 237/2001).
2. Obligația de a întocmi facturi fiscale conținând datele personale menționate la art. 319 din Codul fiscal și obligația de a păstra documentele justificative contabile.
3. Obligația de a răspunde de paza, siguranța și integritatea bunurilor turiștilor (art.6 din HG 237/2001)
Operatorul va prelucra adresa de email și numărul de telefon în scopuri de marketing, respectiv pentru a trimite turiștilor/persoanelor cazate sau care au făcut o rezervare periodic newsletter-uri privind eventuale promoții și privind produsele și serviciile prestate;
În final, operatorul va prelucra datele cu caracter personal în scopul apărării drepturilor sale în instanță în cazul oricăror pretenții/plângeri ale turiștilor derivând din contractele încheiate sau în scopul valorificării drepturilor proprii derivând din aceste contracte.
Nu utilizăm datele cu caracter personal pentru prelucrare automatizată și nici pentru realizarea de profile. Nu luăm niciodată decizii automate cu privire la dumneavoastră. Utilizăm mijloace tehnice pentru stocarea datelor în condiții de securitate. Nu prelucrăm date în scopuri secundare incompatibile cu scopurile pentru care le-am colectat.
III. Temeiul prelucrării datelor cu caracter personal
Operatorul prelucrează datele cu caracter personal în baza următoarelor temeiuri prevăzute de art. 6 din GDPR:
- Art. 6, lit. b: Prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract.
Refuzul furnizării datelor cu caracter personal supuse prelucrării în baza acestui temei determină refuzul nostru de a asigura cazarea în cadrul hotelului. În acest caz, suntem exonerați de orice răspundere.
- Art.6, lit. c: Prelucrarea este necesară pentru îndeplinirea unei obligații legale care îi revine operatorului.
Acest temei al prelucrării datelor cu caracter personal este incident atât pe parcursul derulării contractelor încheiate de operator cu turiștii, cât și după încetarea acestor contracte, în privința prelucrărilor de date personale pentru care există o obligație legală, conform celor arătate la pct. II din prezentul Regulament.
De asemenea, acest temei al prelucrării este incident în privința datelor cu caracter personal ale turiștilor cazați în unitatea hotelieră administrată de operator, în cazul în care contractul de prestări servicii hoteliere este încheiat de operator cu un terț, care achită pentru turiștii cazați contravaloarea serviciilor de cazare.
Refuzul furnizării datelor cu caracter personal supuse prelucrării în baza acestui temei determină refuzul nostru de a asigura cazarea în cadrul hotelului. În acest caz, suntem exonerați de orice răspundere.
- Art.6, lit. f: Prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță.
Interesul legitim al operatorului constă în promovarea serviciilor sale hoteliere, în vederea realizării de profit. Acest tip de prelucrare a datelor cu caracter personal are un impact minimal asupra persoanei vizate, deoarece singurele date supuse prelucrării în scop de marketing sunt adresa de email și numărul de telefon.
De asemenea, în privința altor date cu caracter personal, interesul legitim al operatorului constă în posibilitatea apărării sale în cazul formulării de către cocontractanți/vizitatori a unor plângeri referitoare la activitatea sa profesională sau în cazul în care operatorul are nevoie de valorificarea drepturilor sale derivând din contractele încheiate în contradictoriu cu peroanele enumerate mai sus.
În subsidiar, operatorul va prelucra date cu caracter personal și în baza celorlalte temeiuri prevăzute de art. 6 din GDPR, urmând a informa persoana vizată cu privire la prelucrarea datelor și temeiul prelucrării incident.
IV. Categorii de persoane cărora le vor fi dezvăluite/divulgate date cu caracter personal de către operator
a. Angajații și colaboratorii operatorului, care au semnat un acord de confidențialitate cu operatorul privind datele cu caracter personal supuse prelucrării.
c. Instituții și autorități publice– în măsura în care operatorul are obligația legală de a divulga datele personale către acestea (ex: organele de poliție, instanțe de judecată, MAI, Inspecția Muncii, Ministerul Muncii, AJOFM, REVISAL).
b. Terțe persoane fizice și juridice, în măsura în care divulgarea datelor cu caracter personal este necesară pentru executarea de către operator a obligațiilor asumate prin contractele încheiate sau pentru executarea unor obligații legale (de exemplu: medicul de medicina muncii, responsabilul cu protecția muncii, serviciul externalizat de contabilitate, furnizori de servicii IT etc.)
V. Termene limită preconizate pentru ștergerea datelor cu caracter personal supuse prelucrării
Datele cu caracter personal ale turiștilor cazați, prelucrate de operator, vor fi păstrate pe toată durata de valabilitate a contractelor încheiate de aceștia cu operatorul.
Ulterior încetării contractelor încheiate de persoanele enumerate mai sus cu operatorul, datele vor fi șterse sau anonimizate după cum urmează:
a. După trecerea unui termen de 5 ani, calculați de la data de 1 iulie a anului următor celui încheierii exercițiului financiar în care au fost întocmite,în privința datelor personale înregistrate în documentele justificative care stau la baza evidențelor contabile ale operatorului (conform art. 25 din Legea 82/1991)
b. După trecerea unui termen de 5 ani, în privința datelor turiștilor cazați regăsite în fișele de anunțare a sosirii și plecării (conform art. 2 alin.10 din HG 237/2001).
c. După trecerea unui termen de 6 ani în cazul datelor cu caracter personal care nu se încadrează în categoriile de mai sus. Termenul de 6 ani este justificat de necesitatea păstrării datelor în cazul formulării unor plângeri sau sesizări privind activitatea profesională a operatorului sau în cazul în care operatorul are nevoie de datele personale pentru valorificarea unui drept al acestuia derivând din contractele încheiate cu persoanele vizate (termenul de 6 ani este justificat de existența termenului de prescripție de 3 ani în privința oricăror acțiuni în instanță promovate împotriva operatorului sau în privința acțiunilor în instanță intentate de operator, termen de prescripție care este susceptibil de suspendări și întreruperi conform prevederilor Codului civil).
d. Datele cu caracter personal surprinse de înregistrările video vor fi șterse după trecerea unui termen de 30 de zile de la efectuarea înregistrărilor, cu excepția situației în care este necesară păstrarea datelor pentru o perioadă mai îndelungată, deoarece înregistrările video au surprins săvârșirea unei infracțiuni, unei contravenții sau a unui delict civil.
VI. Măsuri tehnice și organizatorice de securitate a datelor cu caracter personal – descriere generală
Ținând cont de numărul de date cu caracter personal supuse prelucrării de către operator, de scopurile prelucrării datelor și de costurile implementării unor măsuri de securitate a datelor cu caracter personal, operatorul implementează următoarele măsuri privind securitatea datelor:
- Datele cu caracter personal ale turiștilor cazați vor fi prelucrate doar de angajații care au semnat cu operatorul un acord de confidențialitate;
- Măsuri de securitate a spațiului în care sunt stocate datele cu caracter personal – datele cu caracter personal sunt stocate la sediul operatorului, într-un spațiu care nu este accesibil turiștilor cazați sau angajaților care nu au semnat un acord de confidențialitate cu operatorul și care este dotat cu sistem de alarmă și pază.
- Accesul la dispozitivele electronice de stocare a datelor cu caracter personal (calculatoare, laptop-uri, tablete) se va face doar pe bază de parolă, iar parola va fi cunoscută doar de angajații care au semnat un acord de confidențialitate cu operatorul și de reprezentanții legali ai operatorului. De asemenea, dispozitivele electronice de stocare a datelor sunt prevăzute cu soft antivirus.
VII. Drepturile persoanelor vizate în raport cu datele cu caracter personal prelucrate de operator – obligații corelative ale operatorului
1. Dreptul de a fi informat
Persoana vizată are dreptul de a fi informată complet, corect și precis asupra datelor cu caracter personal ce urmează a fi prelucrate, scopul prelucrării, persoanele care urmează a îndeplini operațiunea de prelucrare și termenul până la care datele cu caracter personal vor fi prelucrate sau stocate;
Operatorul va informa persoanele vizate cu privire la aspectele menționate mai sus printr-o notă de informare, care va fi semnată de acestea la momentul începerii prelucrării datelor personale. Pentru turiști, nota de informare va fi semnată odată cu semnarea de către aceștia a fișei de anunțare a sosirii și plecării. Prin excepție, dacă turiștii au rezervat cazarea în hotel prin intermediul soft-ului de rezervări de pe website-ul nostru, informarea se va realiza prin intermediul prezentei politici de confidențialitate, care va fi adusă la cunoștința turiștilor cu ocazia rezervării.
2. Dreptul de a retrage consimțământul (doar dacă prelucrarea se realizează în temeiul consimțământului persoanei vizate):
(1).Persoana vizată are dreptul de a-și retrage consimțământul acordat în vederea prelucrării datelor cu caracter personal cu precizarea că prelucrarea datelor efectuată până la momentul retragerii consimțământului va fi considerată legală și valabilă.
(2).Retragerea consimțământului se poate efectua prin formularea și transmiterea unei cereri privind retragerea consimțământului adresată operatorului. Din momentul primirii cererii, operatorul va informa de îndată colaboratorii săi în vederea încetării oricăror activități ce implică prelucrarea datelor cu caracter personal ale persoanei vizate.
(3)Retragerea consimțământului va avea ca efect imediat încetarea oricărei prelucrări a datelor cu caracter personal a persoanelor vizate ceea ce va presupune imposibilitatea atingerii scopului pentru care aceste date au fost acordate, respectiv îndeplinirea de către operator a obligațiilor asumate prin contractele încheiate. În atare condiții operatorul va notifica de îndată persoana vizată și o va încunoștința cu privire la încetarea oricărei prelucrări a datelor sale cu caracter personal furnizate acestuia.
3. Dreptul de acces, rectificare, ștergere a datelor, restricționarea prelucrării și opunere la prelucrare:
(1). Persoana vizată are dreptul de a obține din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc și, în caz afirmativ, acces la datele respective și la următoarele informații: scopurile prelucrării, categoriile de date cu caracter personal vizate, destinatarii sau categoriile de destinatari cărora datele cu caracter personal le-au fost sau urmează să le fie divulgate, în special destinatari din țări terțe sau organizații internaționale, acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă, existența dreptului de a solicita operatorului rectificarea sau ștergerea datelor cu caracter personal ori restricționarea prelucrării datelor cu caracter personal referitoare la persoana vizată sau a dreptului de a se opune prelucrării, dreptul de a depune o plângere în fața unei autorități de supraveghere;
(2). Operatorul furnizează o copie a datelor cu caracter personal care fac obiectul prelucrării. În cazul în care persoana vizată introduce cererea în format electronic și cu excepția cazului în care persoana vizată solicită un alt format, informațiile sunt furnizate într-un format electronic utilizat în mod curent.
(3). Persoana vizată are dreptul de a obține de la operator, fără întârzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc. Ținându-se seama de scopurile în care au fost prelucrate datele, persoana vizată are dreptul de a obține completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declarații suplimentare.
(4). Persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar operatorul are obligația de a șterge datele cu caracter personal fără întârzieri nejustificate în cazul în care se aplică unul dintre motivele prevăzute la art.17 alin.1 din GDPR.
(5). Persoana vizată are dreptul de a obține din partea operatorului restricționarea prelucrării în cazul în care se aplică unul din următoarele cazuri: persoana vizată contestă exactitatea datelor, pentru o perioadă care îi permite operatorului să verifice exactitatea datelor, prelucrarea este ilegală, iar persoana vizată se opune ștergerii datelor cu caracter personal, solicitând în schimb restricționarea utilizării lor, operatorul nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată i le solicită pentru constatarea, exercitarea sau apărarea unui drept în instanță, persoana vizată s-a opus prelucrării în conformitate cu articolul 21 alineatul (1) din GDPR, pentru intervalul de timp în care se verifică dacă drepturile legitime ale operatorului prevalează asupra celor ale persoanei vizate.
(6). Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc și pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent și care poate fi citit automat și are dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal, în cazul în care: prelucrarea se bazează pe consimțământ în temeiul articolului 6 alineatul (1) litera (a) sau al articolului 9 alineatul (2) litera (a) din GDPR sau pe un contract în temeiul articolului 6 alineatul (1) litera (b) din Regulament și prelucrarea este efectuată prin mijloace automate.
(7). În orice moment, persoana vizată are dreptul de a se opune, din motive legate de situația particulară în care se află, prelucrării în temeiul articolului 6 alineatul (1) litera (e) sau (f) sau al articolului 6 alineatul (1) a datelor cu caracter personal care o privesc, inclusiv creării de profiluri pe baza respectivelor dispoziții. Operatorul nu mai prelucrează datele cu caracter personal, cu excepția cazului în care operatorul demonstrează că are motive legitime și imperioase care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept în instanță.
4. Dreptul de a depune plângere în fața Autorității de Supraveghere:
Fără a aduce atingere oricăror alte căi de atac administrative sau judiciare, orice persoană vizată are dreptul de a depune o plângere la o autoritate de supraveghere, în special în statul membru în care își are reședința obișnuită, în care se află locul său de muncă sau în care a avut loc presupusa încălcare, în cazul în care consideră că prelucrarea datelor cu caracter personal care o vizează încalcă prezentul regulament
5. Dreptul de a fi informat cu privire la încălcarea securității datelor cu caracter personal:
În cazul în care încălcarea securității datelor cu caracter personal este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul informează persoana vizată fără întârzieri nejustificate cu privire la această încălcare.
În cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru autorității de supraveghere competente, fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului în care este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice. În cazul în care notificarea nu are loc în termen de 72 de ore, aceasta este însoțită de o explicație motivată.
Notificarea menționată va cuprinde cel puțin:
(a) caracterul încălcării securității datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile și numărul aproximativ al persoanelor vizate în cauză, precum și categoriile și numărul aproximativ al înregistrărilor de date cu caracter personal în cauză;
(b) numele și datele de contact ale responsabilului cu protecția datelor sau un alt punct de contact de unde se pot obține mai multe informații;
(c) consecințele probabile ale încălcării securității datelor cu caracter personal;
(d) măsurile luate sau propuse spre a fi luate de operator pentru a remedia problema încălcării securității datelor cu caracter personal, inclusiv, după caz, măsurile pentru atenuarea eventualelor sale efecte negative.
Operatorul păstrează documente referitoare la toate cazurile de încălcare a securității datelor cu caracter personal, care cuprind o descriere a situației de fapt în care a avut loc încălcarea securității datelor cu caracter personal, a efectelor acesteia și a măsurilor de remediere întreprinse.
6. Obligații suplimentare impuse în sarcina operatorilor:
Operatorul furnizează persoanei vizate informații privind acțiunile întreprinse în urma unei cereri privitoare la drepturile persoanei vizate, fără întârzieri nejustificate și în orice caz în cel mult o lună de la primirea cererii. Această perioadă poate fi prelungită cu două luni atunci când este necesar, ținându-se seama de complexitatea și numărul cererilor.
Operatorul informează persoana vizată cu privire la orice astfel de prelungire, în termen de o lună de la primirea cererii, prezentând și motivele întârzierii. În cazul în care persoana vizată introduce o cerere în format electronic, informațiile sunt furnizate în format electronic acolo unde este posibil, cu excepția cazului în care persoana vizată solicită un alt format.
Dacă nu ia măsuri cu privire la cererea persoanei vizate, operatorul informează persoana vizată, fără întârziere și în termen de cel mult o lună de la primirea cererii, cu privire la motivele pentru care nu ia măsuri și la posibilitatea de a depune o plângere în fața unei autorități de supraveghere și de a introduce o cale de atac judiciară.
Dacă vreți să vă exercitați oricare din drepturile indicate mai sus, vă rugăm să contactați persoana responsabilă cu protecția datelor cu caracter personal desemnată de operator.