Polityka prywatności

1. Administrator danych

Administratorem danych osobowych Użytkowników Serwisu jest BASSAU Sp. z o.o., ul. Daszyńskiego 15, 46‑060 Prószków, NIP 9910498450, REGON 161601275, KRS 0000526304, e‑mail: sauna@rzekamiodu.pl. Operator nie wyznaczył Inspektora Ochrony Danych (IOD), chyba że zostanie wskazane inaczej w aktualizacji niniejszej polityki.

2. Zakres danych i źródła

  • Dane przekazywane bezpośrednio przez Użytkownika: imię, nazwisko, e‑mail, telefon, adres, dane do faktury, szczegóły Rezerwacji (termin, liczba gości), preferencje pobytu, treści komunikacji.
  • Dane transakcyjne: sposób płatności, identyfikator transakcji (przetwarzane przez Operatora płatności – Operator nie przechowuje pełnych danych kart).
  • Dane techniczne: adres IP, identyfikatory cookies, dane urządzenia i przeglądarki, logi serwera.
  • Dane wrażliwe: co do zasady nie są wymagane. Jeżeli Użytkownik dobrowolnie poda informacje o stanie zdrowia (np. alergie, niepełnosprawność) w celu dostosowania pobytu, będą one przetwarzane wyłącznie na podstawie odrębnej, wyraźnej zgody (art. 9 ust. 2 lit. a RODO) i tylko w niezbędnym zakresie.

3. Cele i podstawy prawne

  • Realizacja usług elektronicznych i Rezerwacji – art. 6 ust. 1 lit. b RODO.
  • Rozliczenia, fakturowanie, archiwizacja księgowa – art. 6 ust. 1 lit. c RODO w zw. z przepisami podatkowymi.
  • Obsługa reklamacji, dochodzenie roszczeń, zabezpieczenie przed nadużyciami – art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Operatora).
  • Marketing własny Serwisu (w tym e‑mail/SMS) – art. 6 ust. 1 lit. f RODO; przesyłanie informacji handlowych drogą elektroniczną i telemarketing – wyłącznie za zgodą (art. 6 ust. 1 lit. a RODO oraz art. 10 u.ś.u.d.e., art. 172 Prawa telekomunikacyjnego).
  • Analityka, statystyka, ulepszanie usług – art. 6 ust. 1 lit. f RODO; dla cookies analitycznych/marketingowych – wyłącznie po wyrażeniu zgody.

4. Odbiorcy danych

  • Dostawcy usług IT (hosting, poczta, CRM), Operatorzy płatności, firmy księgowe, kancelarie prawne, firmy windykacyjne, ubezpieczyciele, dostawcy komunikacji (SMS/e‑mail), . W razie kontroli – organy publiczne uprawnione na mocy prawa.

5. Przekazywanie poza EOG

Dane mogą być przekazywane poza EOG, jeśli dostawca IT ma serwery w państwie trzecim. W takim przypadku stosowane są odpowiednie zabezpieczenia, w szczególności standardowe klauzule umowne (SCC) lub decyzja stwierdzająca odpowiedni stopień ochrony. Szczegóły można uzyskać kontaktując się z Administratorem.

6. Okres przechowywania

  • Dane rezerwacyjne i rozliczeniowe – przez okres trwania umowy, a następnie do upływu terminów przedawnienia roszczeń (co do zasady 6 lat) oraz okresów wymaganych przez przepisy podatkowe (co do zasady 5 lat od końca roku podatkowego).
  • Dane dla celów marketingu – do czasu wniesienia sprzeciwu lub cofnięcia zgody.
  • Dane cookies – zgodnie z ustawieniami i okresami wskazanymi w banerze cookie i poniżej.

7. Prawa Użytkownika

Użytkownik ma prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, sprzeciwu (w tym wobec marketingu bezpośredniego), a także prawo do cofnięcia zgody w dowolnym momencie. Użytkownik ma prawo wnieść skargę do Prezesa UODO (ul. Stawki 2, 00‑193 Warszawa, https://uodo.gov.pl).

8. Cookies i podobne technologie

  1. Serwis wykorzystuje: (a) cookies niezbędne (zapewnienie działania Serwisu, logowanie, bezpieczeństwo), (b) cookies analityczne/statystyczne, (c) cookies marketingowe/remarketingowe.
  2. Podstawą prawną dla (b) i (c) jest zgoda wyrażona w banerze cookies. Zgody można w każdej chwili wycofać poprzez ustawienia przeglądarki oraz panel zarządzania zgodami (link w stopce Serwisu).
  3. Przykładowe okresy życia cookies: sesyjne – do zamknięcia przeglądarki; preferencje – do 12 miesięcy; analityczne/marketingowe – do 24 miesięcy (dokładne okresy podane w panelu zgód).
  4. Serwis może korzystać z narzędzi analitycznych i reklamowych (np. Google Analytics, Facebook Ads). Zakres danych i zasady ich przetwarzania przez dostawców określają ich polityki prywatności.

9. Zautomatyzowane podejmowanie decyzji

Operator nie podejmuje wobec Użytkownika zautomatyzowanych decyzji wywołujących skutki prawne w rozumieniu art. 22 RODO. Dopuszczalne jest profilowanie marketingowe w oparciu o zgodę – wówczas wpływa ono jedynie na dobór treści, a nie na warunki umowy.