The owner of this website is responsible for processing your personal information. Details on the company can be found in the imprint.

Last updated: 1. August 2019 

This Privacy Policy sets out how Ensana Spa Hotels - former Arisende s.r.o. (“Ensana” or “we”) uses and protects your personal data.  Ensana managed entities are the Controller for personal data given to us by guests or prospective guests using the site ensanahotels.com, as well as for other groups of individuals identified in the policy such as guests interacting with us through different channels, business contacts, and our staff. 

The recording of bookings on ensanahotels.com is managed by Sceptre Hospitality Resource (“SHR”), a USA company.  Our contractual arrangements with SHR incorporate suitable safeguards over your personal data in order to protect the rights you have under EU legislation.  In particular, SHR is registered for the “EU U.S. Privacy Shield”. This is an intergovernmental agreement between the EU and the USA and is recognised by the EU Commission as ensuring enforceable protection of personal data equivalent to data protection standards in the EU. The EU Commission decision can be seen on their official website, for example their press release of 18 October 2017 at https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/eu-us-privacy-shield. 
In the course of its business activities, ensana requests, obtains, and processes personal data from guests, prospective guests, business contacts, staff, and other individuals.  We aim to process the minimum personal data we need in order to provide a good service. We recognise and respect the legal rights and reasonable expectations of individuals over their personal data and privacy.

This Privacy Policy explains how we protect personal data and privacy.  Many of the principles we follow are driven by the EU’s General Data Protection Regulation (GDPR).  However, we comply with all applicable legal requirements on personal data protection and privacy.  

You can navigate through the Disclosure using the hyperlinks in the table of contents below. You can also download a PDF version with the hyperlinks embedded by clicking here.

We have tried to make this Privacy Policy easy to use and to understand, within the constraints of the complexity of the information we have to communicate.  If you have any questions on the material or any comments or suggestions as to how we might improve the Disclosure, please contact us at:

info@.ensanahotels.com

Regarding our hotels in the Czech Republic please contact:
dpo@badmarienbad.cz

Regarding our hotels in Hungary please contact:
adat@danubiushotels.com
data@danubiushotels.com

Regarding our hotels in Romania please contact:
privacyfeedback@szovata.ro

Regarding our hotels in Slovakia please contact:
zodpovedna.osoba@spapiestany.sk


You can navigate through this Policy by clicking through the table of contents below.  The main sections are the first two which cover:
1. Your rights under GDPR
2. The different processing activities in ensana 
3. Legal reference information (including contact details)
4. Terms and abbreviations used in this Disclosure

Table of contents
1)    Legal rights of individuals (“data subjects”) under GDPR
1.1    Right to receive transparent information
1.2    Right of access to your own data
1.3    Right to rectify inaccurate data
1.4    Right to erasure (“Right to be forgotten”)
1.5    Right to withdraw consent
1.6    Right to request restriction of processing
1.7    Right to object to processing
1.8    Right not be subject to automated decisions
1.9    Data portability
1.10    Right to complain to a “Supervisory Authority”
1.11    Right to an effective judicial remedy against a controller or processor
1.12    Contacting ensana regarding GDPR
2)    Data processing
2.1    Reservations
2.2    Hotel registration cards
2.3    Wellness, medical and physical therapy
2.4    Gym
2.5    Guest survey and evaluation scheme
2.6    Video surveillance system
2.7    Newsletter
2.8    Loyalty Programme (Danubius EuroPoints and Bubbles Club) and Ensana Corporate Programme (Danubius Bonus)
2.9    Danubius Gift Card and Voucher
2.10    Credit card / Debit card data
2.11    Social media (e.g. Facebook, Instagram)
2.12    Prize drawings:
2.13    Web store
2.14    Contact
2.15    Complaint management protocol
2.16    Automatically recorded data, cookies and “remarketing codes”
2.16.1    Automatically recorded data
2.16.2.    Cookies and similar technologies
2.16.3. Web links
2.17    Job advertisements
2.18    Staff 
2.19    Business contacts
2.20   Wi-Fi
2.21 Prices subject to registration
3)    Legal reference information (including contact details)
4)    Terms and abbreviations used in this Policy


1)    Legal rights of individuals (“data subjects”) under GDPR
The “data subjects” covered by GDPR are living individuals anywhere who deal with a “controller” in the EU, or living individuals in the EU who deal with a controller outside the EU. A “controller” is the legal entity which defines how personal data is processed. “Personal data” is any data which can be linked to a data subject.

As explained below, data subjects have the following specific rights under GDPR:
a)   Right to receive transparent information
b)   Right of access to own data
c)   Right to rectify inaccurate data
d)   Right to erasure (“Right to be forgotten”) in specific circumstances
e)   Right to withdraw consent
f)    Right to request restriction of processing
g)   Right to object to processing
h)   Right not be subject to automated decisions
i)    Right to data portability
j)    Right to complain to a “Supervisory Authority”
k)   to an effective judicial remedy against a controller or processor

This Policy addresses all of these rights.  Under your request on any of them, we will respond without undue delay and in any case within one month, and we will do our best to resolve even complex cases within three months. We will respond to you electronically or by such other medium as you request.  We will not charge a fee for an initial request, but we reserve the right to charge an administrative fee for handling a request repeated with a year, or in case of otherwise manifestly unfounded or excessive request.

Note that we will need to verify your identity to be able to act on any request.

If we believe that we should not act on your request, we will write to inform you of the basis for our decision, and also of your options for legal remedy.

Separately from these rights, if you believe that ensana has mistreated you with regard to your personal data or your privacy, please contact us so that we can rectify the situation and improve our service to all guests. You can send a formal complaint to us by email or by post to the address given in section 1.12 “Contacting ensana regarding GDPR” below.

We will aim to respond without undue delay and in any case within in a month. 

1.1    Right to receive transparent information
We will provide all information required by GDPR to you in a concise, transparent, intelligible and easily accessible form, using clear and plain language, particularly for any information specifically for children. We shall provide the information in writing or by electronic means. If you request, we will provide information orally.

We will facilitate your exercising your rights as described in the rest of section 1 below.

Section 1.12 “Contacting ensana regarding GDPR” below gives email and postal addresses for contacting us.  Certain sections on individual activities in section 2 give dedicated addresses for specific enquiries.

1.2    Right of access to your own data
You have the right to obtain from ensana confirmation as to whether personal data on you is being processed, and, if so, to access the data and the following information:
a)    the purpose of the processing 
b)    the categories of personal data concerned
c)    the recipients to whom we have disclosed or will disclose the personal data, in particular recipients in countries outside the EU
d)    the period for which the personal data will be stored
e)    the existence of your right to request us to rectify or erase personal data or to restrict processing of personal data or to object to such processing
f)    your right to lodge a complaint with a Supervisory Authority
g)    where the personal data are not collected directly from you, information as to their source
h)    whether there is any automated decision-making from the data, and, if so, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for you.
i)    Where we transfer your personal data to a country outside the EU, the appropriate safeguards we have in place to protect your rights.

1.3    Right to rectify inaccurate data
If we hold inaccurate or incomplete personal data on you, we will rectify this without undue delay on receiving your request.

1.4    Right to erasure (“Right to be forgotten”)
You have the right to request us to erase your personal data and for us to act on the request without undue delay, where one of the following grounds applies:
(a) Your data are no longer necessary in relation to the purposes for which they were originally processed
(b) You withdraw consent and we have no other legal basis for processing your data
(c) Our basis of lawfulness for processing is our legitimate interests, and you claim that we have no legitimate grounds for the processing which override your interest, rights, and freedoms
(d) The processing is for direct marketing, and you object to this
(e) We have been unlawfully processing your data
(f) We have to erase your data for compliance with a legal obligation in EU or Member State law to which we are subject
(g) Our basis of lawfulness for processing the data is consent given by a guardian for a child, and either (I) you are the guardian and the child is still under the age of consent, or (II) you are the child now older than the age of consent.  (In Hungary, the age of consent for processing of personal data is: 16.)

Please note that we cannot erase your personal data to the extent that processing is necessary:
(a) for exercising the right of freedom of expression and information;
(b) for compliance with a legal obligation which requires processing; 
(c) for reasons of public interest in the area of public health; 
(d) for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in so far as the request is likely to render impossible or seriously impair the achievement of the objectives of such processing; or
(e) for the establishment, exercise or defence of legal claims

Your data will continue to exist temporarily on backup files after this deletion, but we use IT security techniques to ensure that these are accessible only for the purpose of restoring the database in the event of a loss of data and that they cannot be copied to reveal data.  We destroy backup files on a rotating basis within [N MONTHS].

1.5    Right to withdraw consent
Where you have given us consent for any processing, you have the right to withdraw consent at any time.  You can do this by sending a request to the email address given in the relevant subsection of section 2 Activities below, which lists the different activities for which we manage personal data. Alternatively, you can write to us at the address in section 1.11 below.  

Note that your withdrawal of consent will not affect processing which we have already done.

1.6     Right to request restriction of processing
You can request that ensana restricts the processing of your personal data where one of the following applies:
•    You contest the accuracy of the personal data
•    We no longer have a basis of lawfulness for processing, but you oppose us erasing the data and you request that we restrict their use instead
•    We no longer need the data for the original purpose, but you require them for the establishment, exercise, or defence of legal claims
•    You object to our processing on the grounds that we state our legal basis as “our legitimate interests” but you claim that your “interests, rights, and freedoms” override these.
Where processing is restricted under your objection, except for continuing to store the data we shall process them only with your consent or: 
a)    for the establishment, exercise or defence of legal claims
b)    for the protection of the rights of another person, or 
c)    for reasons of important public interest of the EU or of a Member State.

Where we restrict processing, we shall inform you before we lift the restriction.

Operational practicalities may prevent us restricting processing precisely as envisaged by GDPR, but in such a case we will work with you to try to find a satisfactory resolution.

1.7    Right to object to processing
You have the right to object to our processing your personal data where:
•    Our basis of lawfulness for processing is “our legitimate interests” but you claim that your “interests, rights, and freedoms” override these
•    We process your data for direct marketing purposes, including “profiling” to the extent that it is related to such direct marketing.  (Profiling is automated decision making which analyses or predicts aspects such as your economic situation, personal preferences, behaviour, or location.) Where you make such an objection we shall no longer process your data for such purposes.

1.8  Right not be subject to automated decisions
You have the right not to be subject to a decision based solely on automated processing, if this produces legal effects on you or similarly significantly affects you.

However, this does not apply: 
(a) if the decision is necessary for us to perform a contract with you or if we have your explicit consent, or
(b) if the automated process is authorised by a EU or Member State law which also defines measures we have to follow which safeguard your rights, freedoms, and legitimate interests.

In case (a), we have to implement suitable measures to safeguard your rights, freedoms, and legitimate interests.  This includes at least your right to make us ensure human intervention, and your right to express your point of view and to contest the decision.

1.9    Data portability
GDPR gives a data subject the right in certain circumstances to receive the personal data concerning him or her “in a structured, commonly used and machine-readable format”. The right includes having the personal data transmitted directly from one controller to another, where technically feasible.
Where you apply under 1.2 above for access to your own personal data, we will normally supply this in a commonly-used electronic format, unless you specifically ask us to send you a written copy.

1.10    Right to complain to a “Supervisory Authority” 
If you believe that we have treated you unfairly or unlawfully under GDPR, you can complain to a Supervisory Authority for data protection.  If you are normally resident in an EU country other than Hungary, you have the right to raise a complaint with the Supervisory Authority of that country.  This link will give you the name and contact details: 
http://ec.europa.eu/justice/data-protection/article-29/structure/data-protection-authorities/index_en.htm

If you are normally resident in Hungary or outside the EU, you can complain to the Hungarian Authority:

The Hungarian National Authority for Data Protection and Freedom of Information
1125 Budapest, Szilágyi Erzsébet fasor 22/C.
Postal address: 1530 Budapest, Pf.: 5.    
Telephone: +36 -1-391-1400
Fax: +36-1-391-1410
E-mail address for correspondence in English: privacy(at)naih.hu
E-mail address for correspondence in Hungarian: ugyfelszolgalat(at)naih.hu
Website: http://naih.hu


For other countries please check the country related specialized Privacy Policy in the given languages.


1.11    Right to an effective judicial remedy against a controller or processor
If you believe that your rights under GDPR have been infringed as a result of the processing of your personal data in non-compliance with GDPR, you have the right to an effective judicial remedy. 
Proceedings against a controller or a processor shall be brought before the courts of the EU Member State where the controller or processor has an establishment. Alternatively, such proceedings may be brought before the courts of the EU Member State where your habitual residence is.

In Hungary, regional courts shall have jurisdiction in handling the case. Data subjects can also choose to bring actions at regional courts of their domicile or residence. Even individuals with no locus standi can be parties to the proceedings. The Authority has the option to intervene for the data subject to succeed in the proceedings.

Court proceedings shall be governed by GDPR, by the provisions of Act V of 2013 on the Civil Code, Book Two, Part Three, Title XII (Sections 2:51 to 2:54), as well as by other legislative provisions applicable to court proceedings.

For other countries please check the country related specialized Privacy Policy in the given languages.

1.12    Contacting ensana regarding GDPR

Certain sections on individual activities in section 2 give dedicated contact addresses for specific enquiries. Otherwise, to exercise one of the rights described above, or to make a complaint directly to ensana or to contact us with a general enquiry regarding GDPR or privacy, the email and postal addresses are:

Email: info(at)hq.ensanahotels.com  
Address: GDPR - Arisende s.r.o.; CZ- Senovázne námestí 992/8, CZ-110 00 Prague 1, Czech Republic

Your enquiry will be forwarded to the related hotel company as stated in this policy.

2)    Data processing

A separate document attached to this Policy contains the list of intra-EU data transfers and controllers; data transfers to third countries are further highlighted in this Policy.

2.1    Reservations

For reservations made online, in person at a hotel, or by phone, we ask for some or all of the following personal data fields: 
•    Full name
•    Title
•    Arrival date
•    Departure data
•    Number of adults in the room
•    Type of room
•    Full credit card details
o    If staying in a spa, the treatment bundle
•    Email address
•    Full postal address
•    Arrival time
•    Free text – including for example any preferences
Purpose of data processing:
The purpose of our collecting this data is to enable us to identify the guest making the reservation, so that we can keep the room for the right person at check-in, and to record a means of payment so that we avoid financial risk if the guest does not check in to the hotel.  We will use your email address (i) in the unusual situation where we have to advise you of a change impacting your reservation
(ii) three days before your planned arrival, in order to remind you of details such as the hotel address and check-in time, and
(iii) three days after you leave to ask for comments on your stay, in order that we can improve our service for future visits for you and other guests.  

Legal basis of data processing:
The basis of lawfulness of our processing this data is that we need them in order to fulfil a contract to reserve a room for you. We process your email address in addition to send you a post-stay email for “legitimate interests pursued by the controller, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject”.  Our legitimate interests here are maintaining a high quality of service, and we believe that sending you the post-stay email does not affect your fundamental rights.

If you do not give us the data requested we will either be unable to reserve a room for you or be unable to contact you if there is a problem.

Transfer of data outside the EU:
When you make a reservation on our website you are entering data into an application run by Sceptre Hospitality Resource, a USA company.  Your personal data is therefore transferred outside the EU.  In order to ensure that you maintain the rights you have under GDPR over your personal data, we have implemented the following safeguards:

a)    We have contractual terms between Sceptre and ourselves defining and restricting the processing they do on the data;
b)    Sceptre is certified for the “EU – US Privacy Shield”.  This is an intergovernmental agreement between the EU and the USA and is recognised by the EU Commission as ensuring protection of data equivalent to data protection standards in the EU.
The EU Commission decision can be seen on their official website, for example their press release of 18 October 2017 at http://europa.eu/rapid/press-release_IP-17-3966_en.htm.

Period of data processing:
We manage retention of personal data at the level of individual data fields, rather than at the level of the total data for a guest.  For example, we may retain a record of your name and check-in date for longer than your email address. Data processed for the purposes of providing our services are retained for 2 to 8 years, depending on such data. 

In some cases we have a statutory obligation to hold personal data for an extended period.  The main categories are:
•    Where information is needed for an invoice or other tax records, we have a statutory obligation to retain this for 8 years after the end of the calendar year.  Thus if we invoice you on check-out on 30 June 2018, we have to keep the data until 31 December 2026.
•    A hotel has a statutory obligation to make a report to its Municipality for all guests who check-in, and a report to the Police for all guests from outside the EU who check-in.  We have a statutory obligation to keep the information included in these reports for 6 years from the date of check-In.

If, by checking the corresponding box, you request us to retain your data in order to facilitate future reservations (purpose of data processing), the legal basis for our data processing will be your voluntary consent. Therefore if, by not checking the corresponding box, you do not give your consent to our data processing, you’ll have to enter such data again when making your next reservation. You can withdraw your consent any time, however the withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal. In such cases, your personal data are retained for 8 years after your latest reservation. 

We delete all personal data after the longest of the relevant retention periods above.

If you wish to exercise any of your rights referred to in Section 1, regarding the data recorded in the course of the above activities, or if you wish to contact us for any other reasons, please, inform us by sending an e-mail to info(at)hq.ensanahotels.com.

2.2    Hotel registration cards

Scope of data and legal basis of data processing:
Personal data to be provided on a compulsory basis (Provision of these data by the Guest is a precondition for the use of hotel services):
•    Processing of the following data is required by law, e.g. first name, last name, mother’s name, billing data.
•    In order to provide the requested services (accommodation, wellness etc.) (on a contractual basis) we also process the following data: contact details, loyalty programme registration number, and mode of payment, credit card / debit card details, room number, and number of guests.
•    On the basis of the Company’s legitimate interest to improve its services, for three days after you leave we process your name and email address in order to ask you for your opinion on our services and thus to improve them.

Non-compulsory statistical data:
•    For statistical purposes, the following data are processed separately from personal data: business trip, holiday.

By the time you check in, some data will be filled on the basis of your reservation in order to speed up the check-in process. You are kindly asked to always check the accuracy of your data.

Purpose of data processing: 
Provision of hotel services, including communications and the improvement of services. 

Period of data processing:
We manage retention of personal data at the level of individual data fields, rather than at the level of the total data for a guest.  For example, we may retain a record of your name and check-in date for longer than your email address. Data processed for the purposes of providing our services are retained for 2 to 8 years, depending on such data. 

In some cases we have a statutory obligation to hold personal data for an extended period.  The main categories are:
•    Where information is needed for an invoice or other tax records, we have a statutory obligation to retain this for 8 years after the end of the calendar year.  Thus if we invoice you on check-out on 30 June 2018, we have to keep the data until 31 December 2026.
•    A hotel has a statutory obligation to make a report to its Municipality for all guests who check-in, and a report to the Police for all guests from outside the EU who check-in.  We have a statutory obligation to keep the information included in these reports for 6 years from the date of check-In.
•    Where guests book medical treatment at one of our spa hotels, we have a statutory requirement to keep the medical personal data which we receive for 30 years.

If, by checking the corresponding box, you request us to retain your data in order to facilitate future reservations (purpose of data processing), the legal basis for our data processing will be your voluntary consent. Therefore if, by not checking the corresponding box, you do not give your consent to our data processing, you’ll have to enter such data again when making your next reservation. You can withdraw your consent any time, however the withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal. In such cases, your personal data are retained for 8 years after your latest reservation. 

If you wish to exercise any of your rights referred to in Section 1, regarding the data recorded during check-in, or if you wish to contact us for any other reasons regarding your data recorded during check-in, please, let us know by sending an e-mail to info(at)hq.ensanahotels.com

2.3    Wellness, medical and physical therapy

Medical services may be used separately from other hotel services. In the hotel, you will be provided the requested medical services on the basis of a pre-ordered package or as selected by you on site. Before using the medical service in question, a dispatcher working at the separated medical department directs each Guest to a medical doctor. At the doctor’s, you will receive a Treatment record card, filled by your doctor on the basis of the following:
•    Identification data: name, social security number, date of birth, phone number
•    Medical history: illnesses, medicaments, ailments etc. Recording of medical data is part of the medical treatment. The attending doctor will decide what medical data shall be recorded in order to comply with professional standards.

After that, the Guest shall take their Treatment record card to the treatment in question where staff participating in the provision of the treatment will only see the minimum information needed for the treatment indicated on the Treatment record card. Detailed patient information will only be seen by the doctor and their assistant.

Purpose of data processing:
To promote, improve and maintain your health.

Legal basis of data processing:
As it was you who contacted us for the provision of medical treatment, your consent to the processing of your medical and personal identification data in the context of your medical treatment shall be considered as granted, unless otherwise provided. You can withdraw your consent any time, however, the withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal. If you withdraw your consent, we will be unable to provide medical services to you.

Period of data processing:
We retain medical documentation during 30 years from data recording, under Act XLVII of 1997 on the processing and protection of health care data and associated personal data, Section 30(1).

Transfer of data:
Medical data shall only be transferred at your request to another doctor or to a third party, and your consent is needed for a doctor who has not treated you yet to know your data recorded this way. However, medical data will not be transferred to your GP only in case of your express objection.

The Company and the person acting in representation and on behalf of the Company, as well as the data processor shall maintain the confidentiality of medical data they have become aware of.

The Company or the person acting on its behalf shall be exempted from the obligation of confidentiality if:
a) the data subject or their legal representative gave their written consent to the transfer of medical and identification data, in accordance with the restrictions contained therein, and
b) transferring medical and identification data is required by law.

You are entitled to receive information on data processing in connection with your medical treatment, you can learn about medical and identification data about you, view your medical documentation and obtain a copy of it. During your medical treatment such right is applicable also to the person authorized in writing by you, and after your medical treatment, to the person you authorized in a private document with full probative force. (You can obtain information on the right of access of spouses, registered partners, relatives, heirs, legal representatives in Act XLVII of 1997 on the processing and protection of health care data and associated personal data, Section 7(5) to (7), or by sending us an e-mail to the address specified hereunder.)

The Company processes medical information according to the provisions of GDPR and of Act XLVII of 1997 on the processing and protection of health care data and associated personal data.

If you wish to exercise any of your rights referred to in Section 1 regarding the data recorded during the provision of health services, or if you wish to contact us for any other reasons regarding your data recorded during the provision of health services, please, let us know by sending an e-mail to info.premier(at)danubiushotels.com.

2.4    Gym

In the Gym the following data shall be provided for passes to be issued:
•    Name
•    Gender
•    Language
•    Address
•    Nationality
•    Date of birth
•    Phone number
•    E-mail address
•    Photo
•    Medical fitness and any other remarks (such as pregnancy, diabetes etc.)
•    Membership registration number, type and validity

At the website www.premierfitness.hu, you can obtain information on gym prices and initiate communication with the Company, by entering your name, email address, address, postal code and phone number. First, the Company will send you an email with the prices of gym services, and, if necessary, will consult with you by telephone about the details and in order to make an appointment. 

Purpose of data processing:
Provision of gym services. Name and photo are used for identification purposes; medical information and membership data helps us provide you personalized services and avoid health risks, other data are used for communication purposes. Entering your contact details is not compulsory, however, it is a precondition for us to get in touch with you.

Legal basis of data processing:
Performance of the contract concluded for the provision of gym services. Entering your data is voluntary, however, processing data such as your name, your photo and membership card data is indispensable for the provision of the service. 

In the framework of this service, we process your medical data on the basis of your express consent. You may withdraw your consent any time, however, the withdrawal of consent shall not affect the lawful processing before its withdrawal. Please note that if we are not allowed to record your medical data, we will not be able to exercise the utmost care when providing gym services.

Period of data processing:
Your personal data will be processed for 1 year following the year of expiry of your pass or your one-time entry. 

If, by checking the corresponding box, you request us to retain your data in order to facilitate purchasing future passes (purpose of data processing), the legal basis for our data processing will be your voluntary consent. Therefore if, by not checking the corresponding box, you do not give your consent to our data processing, you will have to enter such data again when purchasing your next pass. You can withdraw your consent any time, however the withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal. In such cases, your personal data shall be retained for 8 years after the expiry of your latest pass. 


If you wish to exercise any of your rights referred to in Section 1, regarding the data recorded in the course of the above activities, or if you wish to contact us for any other reasons, please, inform us by sending an e-mail to info.premier(at)danubiushotels.com or info(at)hq.ensanahotels.com.

2.5    Guest survey and evaluation scheme

As part of the quality assurance process within the Company, Guests can express their opinion on the services provided by hotels of ensana hotels through an email-based or paper-based guest survey, as well as through the evaluation scheme. When completing the survey, you can enter the following personal data:
•    Name
•    Date of visit
•    Room number
•    Contact details (address, e-mail address, phone number, home address)
Data provision is not compulsory, these data merely help us investigating any possible complaints, and ensure giving feedback. 

Opinions obtained this way and eventual data linked to such opinions, that cannot be traced back to the Guest, and cannot be combined with Guest’s name, can be used by the Company for statistical purposes.

If you provide your opinion in an anonymous way, we will not process any personal data. If you require a feedback, our colleague will contact you on one of the contact details provided (email, postal address, telephone), within 30 days at the latest. 

Purpose of data processing: 
Communication with the person expressing the opinion and handling of complaints.

Legal basis of data processing: 
Your implied voluntary consent. Please note that if we do not receive your consent to the processing of your data or if you withdraw such consent, we will not be able to answer your question. The withdrawal of consent shall not affect the lawful processing before such withdrawal. 

Period of data processing: 
After answering the relevant request, question or complaint, the messages and the personal data obtained in this context shall be deleted after the year following the given year. E-mail address and user name provided for the evaluation scheme will be deleted upon your request.

If you wish to exercise any of your rights referred to in Section 1, regarding the data recorded in the course of the above activities, or if you wish to contact us for any other reasons, please, inform us by sending an e-mail to info(at)hq.ensanahotels.com.

2.6    Video surveillance system

Cameras are used on the premises of hotels operated by the Company, in order to guarantee the safety of Guests and their assets. Video surveillance is indicated by an icon and a written warning.

Video surveillance is used for the protection of property, that is, assets of considerable value, and of the Guests’ personal belongings, taking into consideration that otherwise it would not be possible to detect offences, catch perpetrators in the act, prevent such unlawful acts, and provide evidence. 

For further information on data processing in connection with such video surveillance, contact Front Desk staff at your hotel. We will send you the Privacy Policy of such video surveillance systems at your request. Such requests shall be sent to the general e-mail or postal address of your hotel. 

2.7    Newsletter

When sending you newsletters, we process your name, e-mail address and occasionally, your home address. When setting your newsletter preferences, you can specify the topic of the newsletter, and also the region it applies to.

Purpose of data processing: 
The purpose of processing your data is to be able to notify you of our special offers and news. 

Legal basis of data processing: 
Your voluntary consent. Please note that if we do not receive your consent to the processing of your data we will not be able to send you newsletters.

Period of data processing: 
We will only send you newsletters as long as you request them. If you no longer wish to receive newsletters, you can unsubscribe at any time either by using the dedicated link at the end of each newsletter or by notifying us at info(at)hq.ensanahotels.com. 
The withdrawal of consent shall not affect the lawful processing based on consent before its withdrawal. 


Transfer of data: 
Data is transferred within Danubius Hotels Group and Ensana. Please note that Arisende s.r.o., CP Regents Park Two Ltd., Slovenske liecebne kupele Piešťany, a.s., SC Balneoclimaterica SA and Léčebné lázně Mariánské Lázně a.s. can also be indicated as senders of the newsletter. For more information please refer to Section 3. As regards the processing of data in the framework of newsletters, the above mentioned hotels proceed in accordance with this Policy.

If you wish to exercise any of your rights referred to in Section 1, regarding the data recorded in the course of the above activities, or if you wish to contact us for any other reasons, please, inform us by sending an e-mail to info(at)hq.ensanahotels.com


2.8    Loyalty Programme (Danubius EuroPoints and Bubbles Club) and Danubius Corporate Programme (Danubius Bonus)

The Company’s Loyalty Programme is an exclusive service provided for Guests of the Hotel—natural persons—with the purpose of providing discounts to returning guests. Within the Loyalty Programme, the Bubbles Club is for Guests who arrive with their families and its purpose is to offer unique discounts and children’s programmes for returning Guests arriving with their families.

The Company's Corporate Programme is an exclusive service provided for the hotels' corporate partners—legal persons—with the purpose of providing discounts to returning guests.

Within the programmes, the Company processes the following personal data:
In case of a natural person:
•    Name
•    Gender
•    Postal address
•    Address
•    Phone number
•    E-mail address
•    Date of birth (minors under eighteen years of age may not participate in the programme)
For Bubbles Club:
 Data given by the parent/guardian who is already registered in the Loyalty Programme are the following:
•    Child’s name
•    Child’s data of birth (children under eighteen years of age may participate in the Bubbles Club programme)
•    The parent’s/guardian’s consent to data processing.

Giving the name and data of birth of the child enables us to send a birthday surprise to the e-mail address of the parent/guardian for the child’s birthday.

Personal data managed in the case of a legal person:
•    Name of contact person
•    Postal address
•    Phone number
•    E-mail address
Furthermore, we process your Loyalty card number and password.

Purpose of data processing:
Providing discounts for the participants. Sending notifications about the discounts.

Legal basis of data processing:
Your voluntary consent. You may withdraw your consent and may request the deletion of your data by sending an e-mail to dep(at)danubiushotels.com or info(at)hq.ensanahotels.com a letter to the Company’s postal address (Danubius Zrt. 1051 Budapest, Szent István tér 11.), with the proviso that this shall not affect the lawful processing based on consent before its withdrawal. Please note that without giving your consent you may not participate in the Loyalty Programme.

Period of data processing:
The personal data shall be processed for as long as the data subject participate in the given programme. The data given on the application form shall be processed until your child’s 18th birthday. Membership status in the Loyalty Programme shall become inactive within 3 (three) years after the date of the last hotel service used. Membership status of natural/legal persons in the Corporate Programme shall become inactive within 2 (two) years after the date of the last hotel service used. The Company shall retain the members' personal data for the period of time defined in the provisions of the relevant tax and accounting laws, and shall delete them after that period.

Joint data processing:
Please note that regarding the Loyalty Programme, for the sake of interoperability, Arisende s.r.o., CP Regents Park Two Ltd., Slovenske liecebne kupele Piešťany, a.s., SC Balneoclimaterica SA and Léčebné lázně Mariánské Lázně a.s. shall be joint controllers. For more information on the hotels, please refer to Section 3. As regards the processing of data the joint controllers proceed in accordance with this Policy.

Participation in the programmes may occasionally require the provision of further personal data, in which case the Company may request the given data and inform the data subject about the purpose, manner and duration of data processing.

For Frequent Guests signing up to the newsletter or contributing to promotional activities, the Company shall further handle the data listed above according to the provisions in Section 2.7 in this Policy.

If you wish to exercise any of your rights referred to in Section 1, regarding the data recorded in the course of the above activities, or if you wish to contact us for any other reasons, please, inform us by sending an e-mail to dep(at)danubiushotels.com or info(at)hq.ensanahotels.com,

2.9    Danubius Gift Card and Voucher

When purchasing a Danubius Gift Card or Voucher, you are requested to provide the following personal data:

In case of a personal purchase:
•    Name
•    Billing name and address
In case of an online order, via the Company's official websites:
•    Name
•    E-mail address
•    Phone number
•    Billing name and address
•    Delivery name and address

You can inquire about the balance and the expiry date of the Gift Card at our website www.danubiushotels.com/hu/online-ajandekkartya-vasarlas, at www.gift-card.hu/index.php/kartyaadatok, at Accepting hotels, at Danubius Customer Service, or via Cardnet Zrt.’s Call Center (+36 1 346-0500) any time.

Purpose of data processing:
Maintaining contact for the sake of the delivery of the gift card or voucher, and billing. 

Legal basis of data processing:
The performance of the contract entered into for the issuance of the gift card or voucher. Giving the data is mandatory, it is the requirement for the provision of the service.

Period of data processing:
Personal data obtained this way shall be retained by the Company for 8 years, in accordance with the provisions of the prevailing tax and accounting laws.

If you wish to exercise any of your rights referred to in Section 1, regarding the data recorded in the course of the above activities, or if you wish to contact us for any other reasons, please, inform us by sending an e-mail to ajandekkartya(at)danubiushotels.com.

2.10    Credit card / Debit card data

In case of room reservations, we request you to give the following credit card / debit card data:
•    Name of credit card / debit card
•    Number of credit card / debit card
•    Expiry date of credit card / debit card

Purpose of data processing:
Providing reservations and charging the total amount of your reservation or only a part of it, depending on cancellation. 

Legal basis of data processing: 
The performance of the contract entered into for the provison of room reservation as a service. Giving the data is mandatory, it is the requirement for the provision of the service.

Period of data processing:
Credit card / debit card data shall be encrypted, and shall be revealed exclusively for transaction purposes and only to authorized persons. After the departure from the hotel, these data shall not be revealed, access to these data is prevented. The data shall be deleted after 8 years.  

If, by checking the corresponding box, you request us to retain your data in order to facilitate future reservations (purpose of data processing), the legal basis for our data processing will be your voluntary consent. Therefore if, by not checking the corresponding box, you do not give your consent to our data processing, you’ll have to enter such data again when making your next reservation. You can withdraw your consent any time, however the withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal. In such cases, your personal data are retained for 8 years after your latest reservation. 

If you wish to exercise any of your rights referred to in Section 1, regarding the data recorded in the course of the above activities, or if you wish to contact us for any other reasons, please, inform us by sending an e-mail to szervezes(at)danubiushotels.com. or info(at)hq.ensanahotels.com


2.11    Social media (e.g. Facebook, Instagram)  

The Company and the hotels/restaurants//fitness clubs/etc. operated by the Company can also be contacted individually via Facebook and Instagram social media portals. By clicking the “like” and “follow” buttons on the given page, Facebook users may subscribe to the newsfeed published on the wall, by clicking the “dislike” button they may unsubscribe and, by adjusting the newsfeed settings, news they don’t wish to follow may also be deleted from their Facebook wall. The Company is able to access its “followers’” profiles, however, it does not record or process them in its own internal system.

Purpose of data processing:
Sharing the contents on the website of the Company and of the hotels/restaurants//fitness clubs/etc. operated by the Company, sharing other news and offers, maintaining contact. You may reserve rooms, participate in prize drawings and learn about the latest offers via the Facebook page.

Legal basis of data processing:
Your voluntary consent which can be withdrawn at any time by unsubscribing. The withdrawal of consent shall not affect the lawful processing based on consent before its withdrawal. In case of a withdrawal, you will not get notifications on your newsfeed, our news will not be posted in your newsfeed and yet you can still access the Company’s newsfeed since our page is public.

Period of data processing:
Data are processed until you unsubscribe.

Data shall not be transferred and data controller shall not be engaged.

Facebook and Instagram are separate data controllers, independent of us. Please visit the following links for more information regarding Facebook’s data processing, data protection directives and regulations:
•    https://www.facebook.com/policies/cookies/
•    https://www.facebook.com/about/privacy/update
Regarding Instagram’s data processing, you can obtain more information by clicking the link below:
•    help.instagram.com

In the course of using Facebook applications and prize drawings, data processing shall be carried out in compliance with Section 2.12.

When making a room reservation, the system automatically redirects the Guest to the Company’s website. Data processing shall be carried out in compliance with Section 2.1. 

The Company also publishes photos/videos about various events/hotels/fitness clubs/restaurants, etc. on its Facebook page. Unless it is a photo of a group of people, the Company shall always request the prior written consent of the data subjects before publication.

If you wish to exercise any of your rights referred to in Section 1, regarding the data recorded in the course of the above activities, or if you wish to contact us for any other reasons, please, inform us by sending an e-mail to info(at)hq.ensanahotels.com.

2.12    Prize drawings:

On its own or in cooperation with another member of Ensana Hotels or with another external company, the Company occasionally organizes prize drawings. Participants may sign up for a prize drawing through a paper-based or online registration (at the Ensana Hotels website or Facebook page), usually by providing the following data:
•    Name
•    Address
•    Phone number
•    E-mail address

It is possible that there is no need to give the above data (e.g. in case of Facebook prize drawings), or you are requested to give other data, so the scope of data may vary.

Purpose of data processing: 
Organizing prize drawings, maintaining contact in order to enable the Company to forward the prize to the winner. 

Legal basis of data processing:
Your consent. You can withdraw your consent by writing an e-mail to the e-mail address info(at)hq.ensanahotels.com or sending a letter to the above address any time. The withdrawal of consent shall not affect the processing based on consent before its withdrawal.
The consent is required for the participation in the prize drawing.

Period of data processing:
Data processing shall carried out until the end of the prize drawing, within 30 days of the drawing, the data processed in this context shall be deleted (except for the data of the winner(s) and substitute winner(s)). Data of the winner(s) and substitute winner(s) shall be retained by the Company for 8 years, in accordance with the provisions of the prevailing tax and accounting laws, and shall be deleted after that period.

Information about any data transfer and data processors as well as details of data processing that are different than the ones indicated in this information guide shall always be provided in the course of the given prize drawing.

For Frequent Guests signing up to the newsletter or contributing to promotional activities, the Company shall further handle the data listed above according to the provisions in Section 2.7 in this Policy.

If you wish to exercise any of your rights referred to in Section 1, regarding the data recorded in the course of the above activities, or if you wish to contact us for any other reasons, please, inform us by sending an e-mail to info(at)hq.ensanahotels.com.

2.13    Web store

Bubbles Club gift products, hotel restaurant voucher and tickets, daily tickets for the use of different fitness and spa services, different passes and day spa programmes may also be purchased in the form of vouchers via the online system (web store), by filling out the online order form for which you shall be requested to give the following data:
•    Last name
•    First name
•    E-mail address
•    Phone number
•    Billing data (name, country, postcode, city, street, house number)

In addition to the above, the Company processes the date and time of purchase, the description and price of the service, the total amount of purchase and the IP address of the customer.

Purpose of data processing:
Maintaining contact with the customers, the provision of service, the processing of the purchase and the fulfilment of the relevant accounting obligations.

Legal basis of data processing:
The performance of the contract, Article 13/A of Act CVIII of 2001 on certain issues of electronic commerce services and information society services and Article 169(2) of Act C of 2000 on accounting. Giving the data is mandatory, it is the requirement of the purchase.

Period of data processing:
Personal data shall be deleted after the provision of services, data on the certificate of purchase shall be retained for 8 years from the purchase.

For online payment with credit card / debit card you shall automatically be redirected to the website of the following data controller:
OTP Bank Nyrt. (Registered seat: 1051 Budapest, Nádor Street 16.; registration number: 01-10-041585; web:www.otpbank.hu )

If you wish to exercise any of your rights referred to in Section 1, regarding the data recorded in the course of the above activities, or if you wish to contact us for any other reasons, please, inform us by sending an e-mail to info(at)hq.ensanahotels.com.

2.14    Contact

You can contact us at any of our contact details (e-mail, Facebook, phone, by post or through the forms developed for this purpose, e.g. inquiry). In such cases, we assume your consent to the processing of personal data shared with us. 

Purpose of data processing: 
Maintaining contact with the requesting person, answering and resolving the question/request. 

Legal basis of data processing: 
Since you contacted us, the legal basis of data processing is your (presumed) voluntary consent. You may withdraw your consent at any time, however, in this case we cannot answer your request. The withdrawal of consent shall not affect the lawful processing based on consent before its withdrawal.

Please note, that the data fields of certain forms have been developed according to our experiences, thus you are only requested to give the data most necessary for answering the question/request. The mandatory fields are marked with a red asterisk.

Period of data processing: 
After answering the relevant request, question or complaint, the messages and the personal data obtained in this context shall be deleted after the year following the given year. However, for tax and accounting purposes or if it is necessary to protect the applicant’s rights and interests, these data are archived and retained for as long as necessary which period is individually defined in each case.
Transfer of data:
The inquiry regarding a particular hotel shall be forwarded to the relevant member of the Ensana Health Spa Hotel. 
 
2.15  Complaint management protocol

During the consumer complaint handling, if you do not agree with the handling of your complaint or immediate investigation of the complaint is not possible, the Company is obliged to immediately issue a protocol about the complaint and its related position.
The protocol shall contain the following data:
•    The name and address of the customer
•    The place, time and mode of submitting the complaint
•    The detailed description of the complaint of the customer, the list of documents and other evidences provided by the customer
•    The Company’s declaration of its position regarding the complaint of the consumer, if immediate investigation of the complaint is possible
•    The signature of the person issuing the protocol and—except for verbal complaints communicated by phone or e-mail—of the customer
•    The place and time of the issuance of the protocol
•    In case of a verbal complaint communicated by phone or e-mail, the unique identification number of the complaint

Purpose of data processing:
Investigation of the complaint and maintaining contact with the complainant.

Legal basis of data processing:
Provisions of Section 17/A (7) of the Act CLV of 1997 on consumer protection which makes the above processing mandatory.

Period of data processing:
5 years from issuing the protocol.

If you wish to exercise any of your rights referred to in Section 1, regarding the data recorded in the course of the above activities, or if you wish to contact us for any other reasons, please, inform us by sending an e-mail to info(at)hq.ensanahotels.com.
 

2.16    Automatically recorded data, cookies and “remarketing codes”

2.16.1    Automatically recorded data

When you open our website on a device (such as a laptop or desktop computer, a smartphone or a tablet) select data of that device will be automatically recorded. The data automatically recorded include the IP address of your device, the date and time of your visiting our website, the browser type and the domain name and address of your Internet provider. The recorded data will be automatically logged by the web server of the website, without requiring your consent or any dedicated activity on your part. The system uses the recorded data to automatically generate statistical data. These data cannot be associated with other personal data except where such an association is mandated by law. These data will exclusively be used in an aggregated and processed form, to correct errors and improve the quality, of our services, and for statistical purposes.

Purpose of data processing: 
The technical development of the informatics system, to monitor of the service, and to generate statistical data. In case of fraudulent activities these data can also be used – in co-operation with the user’s Internet provider and the law enforcement authorities – to determine the source of such fraudulent activities.

Legal basis of data processing: 
The requirement of the provision of the service as per Act CVIII of 2001 on certain issues of electronic commerce services and information society services, Article 13/A Section (3).

Period of data processing: 30 days from your opening our website. 

2.16.2.    Cookies and similar technologies
SSL or TLS encryption
This site uses SSL or TLS encryption for security reasons and for the protection of the transmission of confidential content, such as the inquiries you send to us as the site operator. You can recognize an encrypted connection in your browser's address line when it changes from "http://" to "https://" and the lock icon is displayed in your browser's address bar.
If SSL or TLS encryption is activated, the data you transfer to us cannot be read by third parties.

Cookies
This website uses cookies.
Cookies make websites more user-friendly and efficient for users. A cookie is a small text file used to save information. When you visit a website, this website can place a cookie on your computer. If at a later point in time you visit the website again, the website can read the information saved in the cookie and find out, for example, whether you have visited the website before and which areas of the website you are particularly interested in.
More information on cookies is available on WIKIPEDIA.

Changing cookie settings
The web browser settings determine how the web browser deals with cookies and which cookies are or are not allowed. These settings can be changed. How and where these changes can be made depends on the web browser. Use the ‘Help’ function in your web browser to find out more about how to change your cookie settings.
You should be aware that limiting the use of cookies may mean that not all functions on this website can be used to their full capacity.

Cookies on our website
Our website uses the following providers:
•    Our website: To save your consent for cookies to be used.
•    Google: To save user data connected to Google’s website statistics software Google Analytics. For more information visit Google Analytics.
•    Facebook: To save user data connected to Facebook Pixel. For more information visit Facebook Developer and read the information on Facebook cookies.
•    Hotjar: To save user data connected to Hotjar. For details read the Hotjar cookie information.
 
Server Log Files
For the purposes of technical monitoring and increased security, this website processes the following personal data in a server log file. This processing is based on the principle of overwhelming interest of the person/company responsible (technical security measures).
•    IP address
•    site from which the file was accessed (“referrer URL”)
•    name of the file
•    date and time the file was accessed ("time stamp")
•    amount of data transferred
•    access status (file transferred, file not found, etc.)
•    type of web browser used, e.g. Mozilla Firefox, Google Chrome, Microsoft Internet Explorer, Microsoft Edge, Apple Safari, Opera etc.)
These data are saved in personalised form only temporarily for a period of seven days. After that the log files are deleted.
 
Google Analytics
This website uses Google Analytics, a web analysis service operated by Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (“Google”). Google Analytics is based on the legal principle of overriding legitimate interest (analysis of website use). To this end we have concluded an agreement with Google on contracted data processing.
When you visit our website, a piece of software creates a connection to Google servers and data is sent to these servers, some of which are located in the USA. Google Analytics also uses cookies to save information about the website user as well as to analyse how visitors use this website.
This website uses the function "Activation of IP anonymisation". This means that within Member States of the European Union and countries of the European Economic Area your IP address will be shortened. Only in exceptional circumstances will the full IP address be sent to a Google server in the USA and shortened there
 
According to Google, this data is used to analyse the use of the website, produce reports on website activity and provide additional services connected to use of the website and the internet.
Google may also transfer this information to third parties if this is legally required or if the third party is tasked with processing the data on behalf of Google.
For detailed information on the use of data by Google Analytics please consult the data protection declaration of Google and Google Analytics.
 
Google Analytics Remarketing
Our websites use the features of Google Analytics Remarketing combined with the cross-device capabilities of Google AdWords and DoubleClick. This service is provided by Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.
This feature makes it possible to link target audiences for promotional marketing created with Google Analytics Remarketing to the cross-device capabilities of Google AdWords and Google DoubleClick. This allows advertising to be displayed based on your personal interests, identified based on your previous usage and surfing behavior on one device (e.g. your mobile phone), on other devices (such as a tablet or computer).
Once you have given your consent, Google will associate your web and app browsing history with your Google Account for this purpose. That way, any device that signs in to your Google Account can use the same personalized promotional messaging.
To support this feature, Google Analytics collects Google-authenticated IDs of users that are temporarily linked to our Google Analytics data to define and create audiences for cross-device ad promotion.
You can permanently opt out of cross-device remarketing/targeting by turning off personalized advertising in your Google Account; follow this link.
The aggregation of the data collected in your Google Account data is based solely on your consent, which you may give or withdraw from Google per Art. 6 (1) (a) DSGVO. For data collection operations not merged into your Google Account (for example, because you do not have a Google Account or have objected to the merge), the collection of data is based on Art. 6 (1) (f) DSGVO. The website operator has a legitimate interest in analyzing anonymous user behavior for promotional purposes.
For more information read the Google Privacy Policy.
 
Deactivating Google Analytics
•    It is possible to prevent our website from collecting your user data by activating the “Do Not Track” function in your web browser. Your web browser will then send a “Do Not Track” signal to all websites, including ours.
•    You can prevent all websites from collecting your user data by downloading the following extension and installing it on your computer: Download Browser Extension.
•    You can prevent only our website from collecting your user data via Google Analytics by clicking on the following link. This places an opt-out cookie on your computer, which prevents data being collected from you if you visit this website again. Deactivate Google Analytics.
 
Facebook Pixel
This website uses Facebook Pixel, a web analysis service operated by Facebook Ireland Limited, 4 Grand Canal Square, Dublin 2, Ireland (“Facebook”) based on the legal principle of overriding legitimate interest (analysis of website use). We have concluded an agreement with Facebook on contracted data processing. In some cases data will be transferred to the USA. This transfer of data to the USA takes place on the basis of the Privacy Shield.
When you visit our website a piece of software creates a connection to Facebook’s servers and sends data to these servers, some of which are located in the USA. Facebook Pixel also uses cookies to save information about the website user and to analyse how the website user uses the website.
According to Facebook, this data is used to analyse the use of the website, produce reports on website activity and provide additional services connected to use of the website and the internet.
Facebook may also transfer this information to third parties if this is legally required or if the third party is tasked with processing the data on behalf of Facebook.
We use Facebook Custom Audience as well as other tools offered by Facebook to advertise on websites like Facebook. In order to do this we share your data with providers like Facebook and use Cookies and similar technology on our website to analyze how effective our ads are on these third party plattforms.
For detailed information on the use of data by Facebook please consult Facebook’s data protection declaration.
 
Deactivating Facebook Pixel
•    It is possible to prevent our website from collecting your user data by activating the “Do Not Track” function in your web browser. Your web browser will then send a “Do Not Track” signal to all websites, including ours.
•    You can prevent this website from collecting your data via Facebook Pixel by clicking on the following link. This places an opt-out cookie on your computer, which prevents data from being collected from you if you visit this website again. Deactivate Facebook Pixel.
 
“Share”-Buttons
Some pages of our website have buttons which allow users to share the content on social media platforms such as Facebook, Google Plus, Instagram, LinkedIn, Pinterest, Tumblr, Twitter, XING and YouTube.

These buttons have been designed to protect personal data. The script (computer programme) behind the buttons does not collect or process any personal data. Detailed information on the function of these buttons is available from Heise Verlag, the company which publishes the IT journal c’t and is also responsible for developing the buttons.
Website visitors who wish to share our website can click on one of these buttons. They will be forwarded to the “share” page of the respective social media platform. Only there will the scripts be loaded which are needed in order to share the content of the website. This sharing of information is subject to the terms and conditions as well as the data protection provisions of the respective social media platform. For more information visit Facebook, Google Plus, Instagram, Linkedin, Pinterest, Tumblr, Twitter, XING und Youtube.
 
Hotjar
The following information is collected about the website user’s device and browser:
•    IP address of device in anonymised form;
•    screen resolution of device;
•    type of device (individual identifying characteristics of device), operating system and browser type;
•    geographical location (country only);
•    preferred language for showing Hotjar-based website.
User interaction
•    Mouse activity (movements, position and clicks)
•    Keyboard activity

Protocol data
Our servers record random samples of information from Hotjar-based websites. This includes:
•    referring domain;
•    sites visited;
•    geographical location (country only);
•    preferred language for showing the website;
•    date and time when the pages of the website were accessed.
 
Cookies
Hotjar-based websites uses cookies to collect non-personal data, including standard internet protocol data and information on behaviour patterns of users when they visit Hotjar-based websites. This is in order to offer visitors to Hotjar-based websites a better user experience, to recognise their preferences, to diagnose technical problems, to analyse developments and to help improve the website.
We also use cookies to record login data on your device or computer. This makes it possible to recognise if a specific device has already been used to visit a specific Hotjar-based website so that the user does not have to enter their login details every time they visit this Hotjar-based website.
Hotjar also uses cookies to determine if the user has decided to prevent tracking by Hotjar services.
For further details on the cookies used by us please see Hotjar's Cookie Information.
Hotjar promises to guarantee that your data protection rights will be respected at all times when passing on information about your browsing activity and other details related to visiting the website.
By visiting Hotjar's opt-out page and clicking on the option “Deactivate Hotjar” you can prevent Hotjar from collecting your data on this website. This deactivation is possible at any time.
 
Joint data processing:
Regarding the processed data Arisende s.r.o., CP Regents Park Two Ltd., Slovenske liecebne kupele Piešťany, a.s., SC Balneoclimaterica SA and Léčebné lázně Mariánské Lázně a.s. are joint controllers. For more information please refer to Section 3.
As regards the processing of data the joint controllers proceed in accordance with this Policy.

2.16.3. Web links

Our website may contain web links to sites which are not managed and operated by the Company, and are linked to our site for the purpose of providing information to the users. The Company has no influence over, and therefore may not be hold responsible for, the content and the safety situation of the websites managed by its partner companies. Please, consult their privacy policies before providing any information on such websites you visit.


2.17    Job advertisements

By registering online via e-mail, in printed format or on the webpage under the link http://karrier.danubiushotels.com/ on the Company website, you can apply for jobs advertised by Danubius Zrt. and/or Danubius Hotels Zrt. (please visit the above link for a detailed guide of the registration process). 


Purpose of data processing:
The purpose of data processing is to allow the provision of information to the job seekers regarding the advertised jobs, the selection of the qualifying applicants and to contact the selected applicants.

Legal basis of data processing:
Your consent, which is implicit for applications via e-mail or in printed format, and explicit for online applications. You have the right to withdraw you consent at any time, via e-mail or in a letter, and you can also delete your registration any time. The withdrawal of consent shall not affect the lawful processing based on consent before its withdrawal. Please note that while you provide the requested data on a voluntary basis, we cannot proceed with your application in lack of any requested document or data, or if you withdraw your consent.

Period of data processing:
Having made the selection, we process the CVs, personal data and documents of the applicants to specific job advertisements upload/send to us as part of their application, as per the following:
•    We ask, via e-mail, a system notification or in a letter, the applicants we did not select for the job whether they wish their application to be retained in our applicant database for a period of one year. Upon receiving a negative or no answer within 30 days of the inquiry the application and data of the applicant is deleted from the system.
•    We transfer the data of the applicant selected for the job, to our employee database, and delete them from the applicant database.

The processing of general, non-specific applications:
•    We store the application we receive in a letter or email, in our database for a period of one year. After one year the CVs and data contained by such applications, are deleted from the system.
•    For online registrations the data provided by the registering individuals, are stored by the system for a period of one year, then, in lack of user activity, are permanently deleted from the system. The system sends the applicant a notification 30, 7 and then 1 day before the end of the one-year retention period, containing information about the option for the applicant to extend the registration by an additional year.

If an applicant’s data are deleted from the system for any reason, the applicant must register again to be included in the database.

Transfer of data: 
Upon data subject consent the data are transferred to Danubius Hotels Zrt. For more information please refer to Section 3. Danubius Hotels Zrt. processes the data obtained regarding their job advertisements, as per this Policy.

If you wish to exercise any of your rights referred to in Section 1, regarding the data recorded in the course of the above activities, or if you wish to contact us for any other reasons, please, inform us by sending an e-mail to danubius.hr(at)danubiushotels.com or info(at)hq.ensanahotels.com.


2.18  Staff
All of the information in this Policy and all of the rights described in section 1 also apply to the staff of Danubius Zrt. and Danubius Hotels Zrt. and to our processing of their personal data.

For other countries please check the country related specialized Privacy Policy in the given languages.

We provide staff directly with full information of our Employee Privacy Policy and of our processing of their personal data.

2.19    Business contacts
In common with most companies, we deal with individuals at other organisations and store their name, business function, and business contact details. 


Purpose of data processing:
This is done by mutual agreement in order to enable our two companies to communicate with a view to working together. 

Legal basis of data processing:
Our basis of lawfulness for doing this is “our legitimate interests in the performance of the contract or keeping contact between companies”.
We will not use the data on these business contacts other than to facilitate business with the other company.  For example, we will not market services to the individuals whose data we hold or transfer the data to any third party.

Period of data processing:
At least annually we will review our records of business contacts and delete those which are no longer current.

The same policy applies to the processing of personal data of press contacts.
 
2.20       Wi-Fi

In certain hotels in order to reach Wi-Fi we request name and address to be given. Simultaneously, the system records the IP address of your device. 

Purpose of data processing:
The purpose of data processing is ensuring that services are reached during Wi-Fi usage, while following your departure, handling of complaints and detection of fraud or abuse.

Legal basis of data processing:
The legal basis for data processing is the „performance of the contract”, considering the fact that reaching Wi-Fi is one of the services provided by our hotel. However, following your departure the legal basis is “the legitimate interest of the controller related to the handling of complaints and detection of fraud or abuse”. Providing your data is an indispensable condition for using the services. 

Period of data processing:
The data are erased within 1 (one) year of the year under review.
 
2.21 Prices subject to registration 
Booking at certain prices that offer an extra discount (e.g. Secret Price, Smart Price) is subject to registration. The direct booking discount applies to many public deals, however, it cannot be combined with other coupons or percent (e.g. corporate) discounts.
During registration, it is compulsory to provide your email address and possibly your name. By registering for the discounted price, you consent to us sending newsletters to the email address that you provide. You may naturally unsubscribe from the newsletter at any time.

Purpose of the data processing: 
Provision of information about discounts and special offers. 

Legal grounds for the data processing: 
Your voluntary consent. You may withdraw your consent at any time, but this will not affect the legitimate data processing that occurred before the withdrawal of consent. Please note that if you do not consent to the processing of the data, we will not be able to keep you informed about our special offers.

Duration of the data processing: 
Until withdrawal of the consent. 

If you wish to exercise any of your rights described in section 1 in relation to the data thus provided, or if you would like to contact us for any other reason regarding the data processing described above, please let us know by sending an email to info(at)hq.ensanahotels.com 

 
3)    Legal reference information (including contact details)

Under GDPR, Danubius, as the controller of the personal data which it processes, must publish information about its legal name and how to contact it, together with other details.  This section contains all the information required by GDPR, together with some useful additional legal information.

The full legal name of the legal entities which operates our hotels is:

Full legal name: Danubius Szállodaüzemeltető és Szolgáltató Zártkörűen Működő Részvénytársaság
Foreign name: Danubius Hotel Operation and Services Private Company Limited by Shares
Abbreviated name: Danubius Zrt. 
Registered seat: 1051 Budapest, Szent István square 11.
Name of Registration Court: Metropolitan Court as Court of Registration
Registration number: 01-10-041120
Tax number: 10219522-2-44
It is represented by: Péter Dienes CEO
Legal associate responsible for data protection is available at +361-8894172
or by E-mail: adat(at)danubiushotels.com

Its business activity is: hotel operation and services 

Danubius Zrt. is 100% owned by Danubius Hotels Zrt. This is a non-trading holding company but employs a small number of staff.  Its legal details are:

Full legal name: Danubius Szálloda és Gyógyüdülő Zártkörűen Működő Részvénytársaság
Foreign name: Danubius Hotel and Spa Private Company Limited by Shares
Abbreviated name: Danubius Hotels Zrt. 
Registered seat: 1051 Budapest, Szent István square 11.
Name of Registration Court: Metropolitan Court as Court of Registration
Registration number: 01-10-041669
Tax number: 10594702-2-41
It is represented by: Balázs Kovács CEO
Legal associate responsible for data protection is available at +361-8894172
or by E-mail: adat(at)danubiushotels.com

The only personal data held by Danubius Hotels Zrt. is, in its function as employer, for a small number of senior staff.  

For the purpose of profile cleaning, Danubius hotels have been divided into two divisions: City Division comprises of city hotels while SPA Division manages health spa & wellness hotels. City hotels are continued to be operated by Danubius Zrt, while the operation of health spa & wellness hotels has been taken over by Arisende s.r.o. of Prague. As a result, Danubius Zrt and Arisende s.r.o. act as joint controllers for the hotels indicated below as per the provisions of this Policy. 
Company name: Arisende s.r.o.
Registered seat: Masarykova 22/5, 353 01 Mariánské Lázně
Court of Registration:  Krajský soud v Plzni
Registration number: C 33301
ID number: 05456274.

In addition to Danubius Zrt/Danubius Hotels Zrt, the owners of the hotels operated by Arisende are the following: 

Company name: CP Regents Park Two Ltd.
Registered seat: CP House, Otterspool Way, Watford WD25 7JP, UK
Registration number: 5307946.
EU tax number: GB 848957555

Click here to read the Privacy policy of Danubius Hotel Regents Park >

Company name: Slovenske liecebne kupele Piešťany, a.s. 
Abbreviated name: SLKP, a.s.
Registered seat: Winterova 29, 921 29 Piešťany, Slovakia
Registration number: Obch. reg. KS Trnava, odd. Sa, vlozka č. 181/T 
EU tax number: SK2020389668

Company name: SC Balneoclimaterica SA Sovata
Registered seat: Str, Trandafirilor nr. 99, Cod.545500, Romania
EU tax number: RO1245068
Registration number: J26/266/1991 

Company name: Léčebné lázně Mariánské Lázně a.s.
Registered seat: Masarykova 22, 353 29 Mariánské Lázně, Czech Republic
Registration number: B 196
EU tax number: CZ45359113

The above companies are jointly deemed the Ensana Hotels. 

Hotels involved in joint data processing are the following:
Danubius Zrt.: 
Danubius Hotel Margitsziget 
Danubius Grand Hotel Margitsziget 
Danubius Thermal Hotel Sárvár
Danubius Thermal Hotel Aqua
Danubius Thermal Hotel Hévíz
    
Léčebné lázně Mariánské Lázně a.s. 
Hotel Nové Lázně
Hotel Centrální Lázně
Hotel Hvězda
Grandhotel Pacifik
Hotel Butterfly
(Spa) Hotel Vltava
(Spa) Hotel Svoboda

Slovenske liecebne kupele Piešťany, a.s. 
Health Spa Resort Thermia Palace
Health Spa Resort Esplanade
Spa Hotel Grand Splendid
Vila Trajan
Hotel Jalta & Dependances
Hotel Centrál
Hotel Vietoris
Dependance Morava

SC Balneoclimaterica SA Sovata 
Danubius Health Spa Resort Bradet
Danubius Health Spa Resort Sovata
Hotel Faget

4)    Terms and abbreviations used in this Policy
Most of the definitions refer to the EU’s General Data Protection Regulation (GDPR).  This is a legal document, and it is not possible to give a short definition in simple language which is fully exact.  The aim here is to give a clear explanation which will facilitate the reader’s understanding; this may sometimes exclude detail of the full legal definition.  Our policy is to comply with the full requirement of GDPR, and your rights are not affected by any simplification in the explanations here.
Term or Abbreviation    Explanation
Controller    The legal entity which determines the purposes and means of the processing of personal data;
Data subject    A live individual inside or outside the EU dealing with an organisation in the EU.  Such an individual is a “data subject” and under GDPR has rights over the processing of his or her personal data.
EU    The European Union
GDPR    The General Data Protection Regulation of the EU, which came into force 25 May 2018.  
Personal data    Any information relating to an individual who is or can be identified through a wide variety of methods, including but not limited to: 

•    The individual’s name, identification number, address, mothers birth name, or
•    One or more factors specific to the individual’s physical, physiological, genetic, mental, economic, cultural or social identity.
Processing    Any operation or set of operations which is performed on personal data, whether or not automatically means, including but not limited to: 

Collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination, combination, restriction, erasure, or destruction.
Processor    A legal entity which processes personal data on behalf of a controller.
Profiling    Automated processing which uses personal data in order to analyse or predict aspects of performance at work, economic situation, health, personal preferences, interests, reliability, behaviour, location, or movements of an individual
Pseudonymisation    Encrypting or otherwise holding personal data in a way in which it cannot be linked to a specific data subject without additional information. The additional information has to be kept separately and protected by technical and organisational measures to prevent its unauthorised use.
Special categories of data    There are very strict restrictions on processing of personal data within “special categories”.  These are: 

•    Data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade-union membership,
•    The processing of genetic data, biometric data for the purpose of uniquely identifying an individual, data concerning health or a person's sex life or sexual orientation, or
•    Criminal convictions.
Supervisory Authority    An independent public body set up by an EU state to monitor the application of GDPR and, as necessary, to intervene to protect the rights of individuals under GDPR
Third Country    Any country outside the EU
Transfer    Sending of personal data from the controller or processor to a legal entity outside the EU.

Vážení hosté,

následující pravidla pro ochranu osobních údajů jsou pravidla zavedena ve všech hotelech a provozech skupiny Danubius Hotels Group. V této české verzi byla pravidla upravena pro návštěvníky hotelů v Mariánských Lázních. Elektronické odkazy jsou prolinkovány na naše české kanceláře, na dotaz Vám bude odpovězeno v českém nebo v anglickém jazyce podle jazyka vašeho dotazu.
U některých služeb se můžete setkat s jiným postupem, než je popsán v tomto dokumentu, protože každá země má rozdílnou tradici v podávání některých procedur nebo služeb. Přesto doufáme, že následující pravidla splní Vaše očekávání ohledně zpracování Vašich osobních dat.

Děkujeme,

Váš pověřenec pro ochranu osobních údajů („dpo“)
Léčebné lázně Mariánské Lázně a.s.

Pozn. : v následujícím textu, kde je uvedeno „Danubius“  bude, v rámci služeb podanných v Mariánských lázních, myšleno „společnost Léčebné lázně Mariánské Lázně a.s.“. 
 
Politika Ochrany osobních údajů

Tato Politika ochrany osobních údajů vysvětluje, jak Danubius Zrt. (“Danubius” nebo “my”) používá a ochraňuje vaše osobní data. Danubius je správce osobních dat, která nám byla hosty či  budoucími hosty poskytnuta, když použili webovou stránku bookings.danubiushotels.com. Týká se to také dalších skupin jednotlivců, jako jsou například hosté, kteří s námi komunikují různými kanály, obchodní kontakty a naši zaměstnanci. 

Záznamy objednávek na bookings.danubiushotels.com jsou spravovány americkou společností Sceptre Hospitality Resource (“SHR”).  Naše smluvní ujednání se SHR zahrnují vhodné záruky ohledně vašich osobních dat, které mají zajistit vaše práva, jež podle evropské legislativy máte.  SHR je registrována jako “Štít soukromí mezi EU a USA.”. Toto je mezivládní dohoda mezi Evropskou unií a Spojenými státy a je uznávaná Evropskou komisí jako ekvivalent zajištění vymahatelné ochrany osobních dat standardům ochrany dat v Evropské unii. Rozhodnutí Evropské komise lze vidět na jejich oficiálních stránkách, například tiskovou zprávu z 18. října 2017 lze najít na https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/eu-us-privacy-shield 

V průběhu svých obchodních aktivit Danubius žádá, získává a zpracovává osobní údaje od hostů, budoucích hostů, obchodních kontaktů, zaměstnanců a dalších osob. Našim cílem je zpracovávat minimální množství osobních dat, jež potřebujeme k tomu, abychom zajistili dobré služby. Uznáváme a respektujeme zákonná práva a rozumná očekávání jednotlivců ohledně jejich osobních dat a soukromí.

Tato Politika ochrany osobních údajů vysvětluje, jak chráníme osobní data a soukromí.  Následujeme řadu principů, které vycházejí z Obecného nařízení o ochraně osobních údajů (GDPR).  Splňujeme nicméně všechny příslušné právní požadavky týkající se ochrany osobních dat a soukromí.  

Můžete je najít přes Zveřejnění tak, že použijete odkazy v níže uvedeném obsahu. Kliknutím zde si také můžete stáhnout verzi PDF s vloženými odkazy.

Snažili jsme se udělat tuto Politiku ochrany osobních údajů uživatelsky jednoduchou a srozumitelnou v rámci informace, kterou sdělujeme.  Máte-li ohledně tohoto materiálu nějaké dotazy, nebo máte-li nějaké poznámky či návrhy, jak bychom mohli zlepšit Zveřejnění, kontaktujte nás prosím na:

dpo@badmarienbad.cz

Politiku ochrany osobních údajů si můžete prostudovat tak, že kliknete na níže uvedený obsah.  Nejdůležitější jsou první dvě části, jež zahrnují:

1. Vaše práva podle GDPR 
2. Různé aktivity zpracování ve firmě Danubius 
3. Informace o právním odkazu (včetně kontaktních detailů)
4. Výrazy a zkratky použité v tomto dokumentu

Obsah
1)    Zákonná práva osob (“subjektů údajů”) podle GDPR    5
1.1    Právo na obdržení otevřené informace    5
1.2    Právo na přístup k vaším osobním údajům    6
1.3    Právo opravit nepřesné údaje    6
1.4    Právo na vymazání (“Právo být zapomenut”)    6
1.5    Právo k odejmutí souhlasu    7
1.6    Právo požadovat omezení zpracování    7
1.7    Právo namítat proti zpracování    7
1.8    Právo nepodléhat automatizovaným rozhodnutím    7
1.9    Přenosnost údajů    8
1.10    Právo si stěžovat u “kontrolního orgánu”    8
1.11    Právo na účinnou soudní nápravu od správce nebo zpracovatele    8
1.12    Kontaktování firmy Danubius ohledně GDPR    9
2)    Postupy zpracování    9
2.1    Rezervace pokoje    9
2.2    Hotelové registrační karty    11
2.4    Fitness centra    13
2.5    Dotazníky spokojenosti    14
2.6    Bezpečnostní kamery    15
2.7    Newslettery    15
2.8    Věrnostní program Europoints včetně Bubbles Club a Corporate Programme    16
2.9    Dárková karta Danubius, vouchery, dárkový šeky a pobyty    17
2.10    Údaje o platební kartě    18
2.11    Sociální sítě (např. Facebook, Instagram)    19
2.12    Losování o ceny, soutěže:    20
2.13    Internetový obchod    20
2.14    Kontakt    21
2.15    Protokol řízení stížností    22
2.16    Danubius Blog    23
2.17    Automaticky zaznamenávané údaje, soubory cookies a „remarketingové kódy“    23
2.17.1    Automaticky zaznamenávané údaje    23
2.17.2.    Soubory cookies a podobné technologie    24
2.17.3.    Webové odkazy    26
2.18    Volné pozice    26
2.19    Zaměstnanci    27
2.20    Obchodní kontakty    27
3)    Informace o právních referencích (včetně kontaktů)    28
4)    Termíny a zkratky používané v tomto Zveřejnění    30

1)    Zákonná práva osob (“subjektů údajů”) podle GDPR
“Subjekty údajů” jsou podle GDPR osoby, které žijí kdekoliv a jednají se  “správcem” v EU, nebo osoby žijící v EU, které jednají se správcem mimo EU. “Správce” je právní subjekt, který určuje, jak se budou zpracovávat osobní data. “Osobní data” jsou jakékoliv údaje, jež  se týkají subjektu údajů.

Jak je vysvětleno níže, mají subjekty údajů podle GDPR následující specifická práva:
a)    obdržet otevřenou informaci
b)    na přístup k osobním údajům
c)    opravit nepřesné údaje
d)    právo na vymazání (“Právo být zapomenut”) za určitých okolností
e)    odejmout souhlas
f)    na omezení zpracování
g)    bránit se proti zpracování
h)    Právo nepodléhat automatizovaným rozhodnutí
i)    na “Přenosnost údajů”
j)    stěžovat si u “kontrolního orgánu”
k)    na účinnou soudní nápravu od správce nebo zpracovatele

Tato Politika ochrany osobních údajů se zabývá všemi těmito právy. Budete-li se dotazovat na kterékoli z nich, neprodleně vám odpovíme, a to nejpozději do 1 měsíce. Uděláme, co bude v našich silách, abychom vyřešili i složité případy maximálně do 3 měsíců. Odpovíme vám elektronicky a nebo takovým způsobem,  jaký budete požadovat.  Nebudeme účtovat poplatek za první dotaz, ale vymezujeme si právo účtovat administrativní poplatek za vyřízení žádosti, jež se během roku opakuje, nebo v případě očividně nepodložené či nepřeměřené žádosti.

Uvědomte si, že budeme muset ověřit vaši totožnost, abychom mohli žádost řešit.

Pokud se domníváme, že bychom neměli v případě vaší žádosti dále postupovat, budeme vás o našem rozhodnutí a také o vaší možnosti právní pomoci písemně informovat.

Pokud se domníváte, že firma Danubius nakládala špatně s vašimi osobními daty či vaším soukromím a netýká se to těchto práv, kontaktujte nás prosím, abychom mohli napravit situaci a zlepšit naše služby pro všechny hosty. Můžete nám e-mailem či poštou zaslat formální stížnost na adresu, která je uvedená v oddílu 1.12 “Kontaktování firmy Danubius ohledně GDPR” viz níže.

Budeme se snažit neprodleně odpovědět a to maximálně do 1 měsíce.

1.1    Právo na obdržení otevřené informace
Všechny vámi požadované informace podle GDPR vám poskytneme ve stručné, jasné,  srozumitelné a snadno dostupné formě za použití jednoduchého a jasného jazyka, obzvláště pokud se bude jednat o informace týkající se dětí. Informaci poskytneme písemně či elektronicky. Na vaši žádost poskytneme informaci ústně.

Usnadníme uplatnění vašich práv tak, jak je to popsáno v dalších částí oddílu 1 níže.

Oddíl 1.12 “Kontaktování firmy Danubius ohledně GDPR” níže uvádí e-mailovou a poštovní adresu, na kterých nás můžete kontaktovat. Určité části týkající se jednotlivých aktivit v oddílu 2 poskytují adresy určené pro specifické dotazy.

1.2    Právo na přístup k vaším osobním údajům
Od firmy Danubius máte právo získat potvrzení ohledně toho, zda se vaše osobní data zpracovávají a pokud ano, pak máte právo na přístup k údajům a následujícím informacím:
a)    Účel zpracování 
b)    Kategorie osobních dat, kterých se to týká
c)    Příjemci, kterým jsme osobní data předali nebo jim je předáme, obzvláště příjemci v zemích mimo Evropskou unii
d)     Období, po které budou osobní data uchovávána
e)    existence vašeho práva nás požádat o to, abychom opravili či vymazali osobní údaje či zabránili zpracování osobních dat, či právo protestovat proti tomuto zpracování
f)    vaše právo vznést stížnost u nadřízeného orgánu
g)    tam, kde nejsou osobní údaje získány přímo od vás, máte právo na informaci ohledně jejich původu
h)    zda se na základě dat dělají automatizovaná rozhodnutí a pokud ano, máte právo na smysluplnou informaci ohledně použité logiky stejně jako na význam a předpokládané dopady takovéhoto zpracování pro vás.
i)    Kam předáváme vaše osobní údaje mimo země EU, vhodné záruky, které používáme na to, abychom ochránili vaše práva.

1.3    Právo opravit nepřesné údaje
Pokud o vás máme nepřesné či neúplné osobní údaje, po obdržení vaší žádosti je neprodleně opravíme.

1.4    Právo na vymazání (“Právo být zapomenut”)
Máte právo od nás požadovat vymazání vašich osobních údajů, které na základě vaší žádosti neprodleně provedeme v těchto následujících situacích:
(a)    Vaše údaje už nejsou nutné, pokud jde o účel, na základě kterého byly původně zpracovány
(b)    Odejmete souhlas a my nemáme žádné další právní opodstatnění pro zpracování vašich dat
(c)    Naše zákonné důvody pro zpracování jsou naším legitimním zájmem a vy tvrdíte, že nemáme žádné právní opodstatnění pro zpracování, jež ruší vaše zájmy, práva a svobody.
(d)    Zpracování je určené pro přímý marketing a vy proti tomu protestujete
(e)    Zpracováváme nezákonně vaše údaje
(f)    Musíme vymazat vaše údaje, abychom vyhověli právní povinnosti podle zákonů Evropské unie či členského státu, do kterého patříme.
(g)    Legální oprávnění pro zpracování údajů nám poskytuje souhlas udělený právním zástupcem dítěte. Buď jste (I) právní zástupce a dítě ještě nemůže na základě svého věku dát samo souhlas, nebo (II) jste dítě, které je nyní starší než je věk, od kterého může dát souhlas.  (V Maďarsku je věk pro udělení souhlasu ke zpracování osobních dat: 16 let.)

Upozorňujeme, že vaše osobní údaje nemůžeme smazat, je-li jejich zpracování nezbytné;
(a)    k uplatnění práva svobody projevu a práva na informace;
(b)    k zajištění shody se zákonnými povinnostmi, které vyžadují zpracování; 
(c)    z důvodů veřejného zájmu v oblasti veřejného zdraví; 
(d)    z archivačních důvodů ve veřejném zájmu, z vědeckých nebo historických výzkumných důvodů nebo statistických důvodů do té míry, že by mohl požadavek znemožnit nebo zásadně ohrozit dosažení cílů takového zpracování; nebo
(e)    k uplatnění nebo dosažení zákonných nároků nebo jejich obhajoby.

Vaše údaje budou i nadále dočasně existovat v záložních souborech i po tomto vymazání, avšak využíváme techniky zabezpečení IT, které zajišťují přístupnost k těmto souborům pouze pro účely obnovy databáze v případě ztráty dat, která nelze kopírovat za účelem odhalení údajů. Záložní soubory likvidujeme v pravidelných intervalech [N MĚSÍCŮ].

1.5    Právo k odejmutí souhlasu
Tam, kde jste nám dali souhlas ke zpracování, máte kdykoliv právo souhlas odejmout. Můžete to udělat tak, že zašlete žádost na emailovou adresu uvedenou v příslušném pododdíle oddílu 2. Níže uvedené aktivity jsou přehledem různých činností, kvůli kterým spravujeme osobní informace. Nebo nám také můžete napsat na adresu v oddíle 1.11 níže.  

Pamatujte, že vaše odnětí souhlasu neovlivní zpracování, které jsme už provedli.

1.6     Právo požadovat omezení zpracování
Můžete požadovat, aby firma Danubius omezila zpracování vašich osobních dat v některé z následujících situací:
•    Nesouhlasíte s přesností osobních údajů
•    Nemáme už déle legální oprávnění pro zpracování, vy ale nesouhlasíte s vymazáním dat a místo toho požadujete, abychom omezili jejich užívání
•    My už data pro původní účel nepotřebujeme, vy je ale požadujete pro ustavení, uplatnění či obranu právních nároků
•    Protestujete proti našemu zpracování na základě toho, že tvrdíme, že naším legálním oprávněním jsou “naše legitimní zájmy, vy ale tvrdíte, že vaše “zájmy, práva a svobody” jsou důležitější.

Tam, kde je zpracování omezeno vaším protestem, budeme vaše data pouze uchovávat a zpracovávat je budeme pouze s vaším souhlasem nebo: 
a)    pro stanovení, uplatnění či obranu právních nároků
b)    pro ochranu práv jiné osoby, nebo 
c)    z důvodů důležitých veřejných zájmů Evropské unie či členského státu.

Tam, kde zpracování omezíme, vás budeme informovat před tím, než k omezení dojde.

Provozní skutečnosti nám mohou zabránit v omezení zpracování přesně podle GDPR, v takovém případě ale s vámi budeme spolupracovat, abychom se pokusili najít uspokojivé řešení.

1.7    Právo namítat proti zpracování
Máte právo namítat proti našemu zpracování vašich osobních dat tam, kde
•    Naším legálním oprávněním pro zpracování jsou “naše legální zájmy”, vy ale tvrdíte, že vaše “zájmy, práva a svobody” jsou důležitější.
•    Zpracováváme vaše údaje pro účely přímého marketingu včetně “vytváření profilů” v rozsahu, jež souvisí s přímým marketingem.  (Vytváření profilů je automatizované rozhodování, které analyzuje či předpovídá takové aspekty jako je vaše ekonomická situace, osobní preference, chování či polohu.) Tam, kde proti tomu protestujete, nebudeme vaše data pro tyto účely zpracovávat.

1.8    Právo nepodléhat automatizovaným rozhodnutím 
Máte právo nepodléhat rozhodnutím založeným výhradně na automatickém zpracování, pokud to na vás má nějaký právní dopad či vás to podobně významně ovlivňuje.

To nicméně neplatí: 
a)    pokud je to rozhodnutí pro nás nezbytné ke splnění smlouvy, kterou s vámi máme, nebo když máme váš výslovný souhlas, nebo
b)    pokud je automatizovaný proces povolen zákony Evropské unie či členské země, což také definuje opatření, kterými se musíme řídit a která zabezpečují vaše práva, svobody a legitimní zájmy.

V případě (a), že musíme zavést vhodná opatření k zajištění vašich práv, svobod a legitimních zájmů.  To zahrnuje alespoň vaše právo nás přimět k tomu, abychom zajistili lidskou intervenci a vaše právo vyjádřit váš názor a protestovat proti rozhodnutí.

1.9    Přenosnost údajů
GDPR poskytuje předmětu údajů právo obdržet za určitých okolností osobní údaje, které se ho či jí týkají “v strukturovaném, běžně používaném a strojově čitelném formátu”. Právo zahrnuje přesun osobních dat přímo od jednoho správce k druhému, pokud je to technicky proveditelné.

Tam, kde požádáte  podle oddílu 1.2 výše o přístup k vašim vlastním  osobním údajů dodáme vám je normálně v běžně užívaném elektronickém formátu, pokud nás konkrétně nepožádáte, abychom vám zaslali písemnou kopii.

1.10    Právo si stěžovat u “kontrolního orgánu” 
Domníváte-li se, že jsme s vámi nejednali poctivě nebo podle GDPR nezákonně, můžete vznést u dozorového orgánu stížnost. Máte-li trvalé bydliště v kterékoliv zemi EU s výjimkou České Republiky, máte právo vznést námitku u dozorového orgánu dané země. Tento odkaz uvádí názvy a kontaktní detaily: 
http://ec.europa.eu/justice/data-protection/article-29/structure/data-protection-authorities/index_en.htm

Máte-li trvalé bydliště v České Republice  nebo v zemích jiných než EU, můžete námitku podat k českému orgánu:

Úřad pro ochranu osobních údajů
Pplk. Sochora 727/27, 170 00 Praha, Holešovice
Telefon: +420 234 665 111
E-mail: posta@uoou.cz

Webové stránky: www.uoou.cz

1.11    Právo na účinnou soudní nápravu od správce nebo zpracovatele
Domníváte-li se, že vaše práva podle GDPR byla porušena následkem zpracování vašich osobních údajů v rozporu s GDPR, máte právo na účinnou soudní nápravu. 
Soudní řízení proti správci nebo zpracovateli budou probíhat před soudy členských států EU, ve kterých má správce nebo zpracovatel své sídlo. Alternativně může takové řízení probíhat před soudy členských států EU v místě vašeho obvyklého trvalého bydliště.

V Maďarsku jsou místně příslušné k řešení sporů krajské soudy. Subjekty údajů mohou také volit podání žaloby u krajských soudů jejich sídla nebo trvalého bydliště. I osoby bez trvalého pobytu mohou být stranami řízení. Orgán má oprávnění zasáhnout ve prospěch subjektu údajů k dosažení úspěchu v řízení.

Soudní řízení bude probíhat podle GDPR dle ustanovení zákona V z roku 2013, občanský zákoník, kniha dva, část tři, kapitola XII (odstavce 2:51 až 2:54) a podle dalších legislativních opatření týkajících se soudních řízení.

1.12    Kontaktování firmy Danubius ohledně GDPR
Určité oddíly týkající se jednotlivých aktivit v oddílu 2 poskytují kontaktní adresy pro konkrétní dotazy. Pokud chcete uplatnit některé z výše popsaných práv nebo si stěžovat přímo u firmy Danubius či nás kontaktovat obecným dotazem týkajícím se GDPR či ochrany osobních údajů, naše e-mailová poštovní adresa jsou:

E-mailová v maďarštině: adat@danubius.com
E-mailová v angličtině: privacy@danubius.com
E-mailová v češtině: dpo@badmarienbad.cz

Poštovní adresa: 
Léčebné lázně Mariánské Lázně a.s.
Masarykova 22
353 29 – Mariánské Lázně 
Česká Republika

2)    Postupy zpracování 

Samostatný dokument přiložený k této Politice Ochrany osobních údajů obsahuje seznam přenosu údajů v rámci EU a seznam správců; přenosy údajů třetím stranám jsou v této Politice také zvýrazněny.

2.1    Rezervace pokoje
Pro rezervaci pokoje, ať už k ní dojde osobně v hotelu či po telefonu, požadujeme některé nebo všechny z následujících oblastí osobních dat: 
•    Celé jméno
•    Titul
•    Datum příjezdu
•    Datum odjezdu
•    Počet dospělých v pokoji
•    Typ pokoje
•    Datum narození
•    Údaje o kreditní kartě
•    Pokud se jedná o pobyt v lázních, seznam procedur
•    Telefon
•    E-mailovou adresu
•    Poštovní adresu
•    Čas příjezdu
•    Libovolný text – zahrnující například informace o tom, čemu dává host přednost

Účel zpracování
Tato data sbíráme za účelem identifikace hosta, který si objednává ubytování, abychom mohli při přihlášení pokoj podržet pro správnou osobu a zaznamenat způsob placení, abychom se vyhnuli finančním rizikům v případě, že se host do hotelu nepřihlásí.  Vaši emailovou adresu 
(i) použijeme v neobvyklé situaci, kdy vám budeme muset poradit nějakou změnu, jež má vliv na vaši rezervaci.
(ii) tři dny před vaším plánovaným příjezdem, abychom vám připomněli detaily jako je adresa hotelu a čas přihlášení a
(iii) tři dny po vašem odjezdu, abychom vás požádali o názor na váš pobyt a mohli tak zlepšit do budoucna naše služby pro vás i další hosty.
 
Právní základ zpracování údajů:
Základem zákonnosti našeho zpracování těchto údajů je to, že je potřebujeme k plnění smlouvy spočívající v rezervaci pokoje pro vás. Vaši e-mailovou adresu dále zpracováváme proto, abychom vám mohli po skončení pobytu zaslat e-mail „pro účely oprávněných zájmů příslušného správce, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů“. Mezi naše oprávněné zájmy patří udržování vysoké kvality služeb a věříme, že odeslání e-mailu po skončení vašeho pobytu vaše základní práva neovlivní.

Pokud nám neposkytnete požadovaná data, nebudeme vám pravděpodobně moci zarezervovat pokoj či vás kontaktovat v případě nějakého problému.

Přesun dat mimo země Evropské unie
Děláte-li na našich webových stránkách rezervaci, vkládáte data do aplikace spravované americkou firmou Sceptre Hospitality Resource.  Vaše osobní data jsou tak přenesena mimo rámec Evropské unie.  Abychom zajistili dodržení vašich práv na ochranu vašich osobních dat podle GDPR, zavedli jsme následující bezpečnostní opatření:
a)    Mezi firmou Sceptre a naší firmou existují smluvní podmínky definující a omezující zpracování dat, jež tato firma provádí;
b)    Sceptre má oprávnění zvané “Štít ochrany mezi EU a USA”.  Je to mezivládní dohoda mezi Evropskou unií a Spojenými státy, která je uznána Evropskou komisí jako ekvivalent pro zajištění ochrany dat k standardům ochrany dat v Evropské unii.
Rozhodnutí Evropské komise lze vidět na jejich oficiálních webových stránkách, například jejich tisková zpráva z 18. října 2017 je k vidění na http://europa.eu/rapid/press-release_IP-17-3966_en.htm.

Doba uchování osobních údajů:
Vedení osobních údajů probíhá na úrovni jednotlivých datových polí a nikoliv na úrovni celkových údajů o hostovi. Záznam o vašem jménu a datu příjezdu můžeme například uchovávat po dobu delší než vaši e-mailovou adresu. Údaje zpracovávané za účelem poskytování našich služeb uchováváme po dobu 2 až 10 let v závislosti na těchto údajích. 

V některých případech máme zákonnou povinnost vést osobní údaje po dobu delší. Hlavní kategorie jsou:
•    Jsou-li informace nezbytné pro fakturaci nebo jiné daňové záznamy, máme ze zákona povinnost uchovávat tyto údaje po dobu 10 let od konce kalendářního roku. Pokud vám tedy vystavíme při odjezdu fakturu 30. června 2018, jsme povinni si tyto údaje uchovat až do 31. prosince 2026.
•    Hotel má zákonnou povinnost hlásit městu všechny hosty, kteří se v hotelu ubytují a hlásit na policii všechny hosty ze zemí jiných než EU, kteří se v hotelu ubytují. Máme ze zákona povinnost tyto informace uchovávat v těchto výkazech po dobu 6 let ode dne příjezdu do hotelu.

Pokud nás zaškrtnutím odpovídajícího políčka požádáte o uchování vašich dat s cílem usnadnění budoucích rezervací (účel zpracování údajů), pak bude právním základem našeho zpracování dat váš dobrovolný souhlas. Pokud nám tedy nezaškrtnutím odpovídajícího políčka neposkytnete souhlas se zpracováním vašich údajů, budete muset všechny údaje při příští rezervaci zadávat znovu. Váš souhlas můžete kdykoliv odvolat, nicméně odvolání souhlasu nebude mít vliv na zákonnost zpracování na základě souhlasu před jeho odvoláním. V takových případech si vaše osobní údaje ponecháme 8 let ode dne vaší poslední rezervace. 

Po uplynutí nejdelší příslušné doby archivace uvedené výše všechny osobní údaje mažeme.

Chcete-li uplatnit kterékoliv z vašich práv uvedených v kapitole 1 týkající se údajů zaznamenaných v průběhu výše uvedených činností nebo chcete-li nás kontaktovat z jiných důvodů, informujte nás zasláním e-mailu na dpo@badmarienbad.cz .

2.2    Hotelové registrační karty

Rozsah údajů a právní základ ke zpracování údajů:
Osobní údaje, které musí být poskytnuty (poskytnutí těchto údajů hostem je předpokladem k využití hotelových služeb):
    Zpracování následujících údajů vyžaduje zákon, např. jméno, příjmení, jméno matky, cestovní doklad, fakturační údaje.
    Abychom mohli poskytovat požadované služby (ubytování, wellness apod.) (na základě smlouvy), zpracováváme rovněž následující údaje: kontaktní detaily, registrační číslo věrnostního programu a způsob úhrady, detaily o debetní kartě, číslo pokoje a počet hostů.
    Na základě oprávněného zájmu společnosti ke zlepšení svých služeb zpracováváme po dobu tří dnů od vašeho odjezdu vaše jméno a e-mailovou adresu, abychom se vás zeptali na váš názor na naše služby, abychom je tak mohli zlepšovat.

Nepovinné statistické údaje:
    Z důvodů statistiky jsou odděleně od osobních údajů zpracovávány následující údaje: služební cesta, dovolená.

Než se ubytujete v hotelu, budou některé údaje vyplněny na základě vaší rezervace za účelem urychlení procesu registrace. Laskavě vás žádáme o kontrolu přesnosti vašich údajů.

Účel zpracování údajů: 
Poskytování hotelových služeb, včetně komunikace a zlepšování služeb. 

Doba uchování osobních údajů:
Vedení osobních údajů probíhá na úrovni jednotlivých datových polí a nikoliv na úrovni celkových údajů o hostovi. Záznam o vašem jménu a datu příjezdu můžeme například uchovávat po dobu delší než vaši e-mailovou adresu. Údaje zpracovávané za účelem poskytování našich služeb uchováváme po dobu 2 až 10 let v závislosti na těchto údajích. 

V některých případech máme zákonnou povinnost vést osobní údaje po dobu delší. Hlavní kategorie jsou:
•    Jsou-li informace nezbytné pro fakturaci nebo jiné daňové záznamy, máme ze zákona povinnost uchovávat tyto údaje po dobu 10 let od konce kalendářního roku. Pokud vám tedy vystavíme při odjezdu fakturu 30. června 2018, jsme povinni si tyto údaje uchovat až do 31. prosince 2026.
•    Hotel má zákonnou povinnost hlásit městu všechny hosty, kteří se v hotelu ubytují a hlásit na policii všechny hosty ze zemí jiných než EU, kteří se v hotelu ubytují. Máme ze zákona povinnost tyto informace uchovávat v těchto výkazech po dobu 6 let ode dne příjezdu do hotelu.
•    Pokud hosté rezervují v jednom z našich lázeňských hotelů zdravotní ošetření, máme ze zákona povinnost uchovávat zdravotní osobní údaje, které obdržíme, po dobu 10 let.

Pokud nás zaškrtnutím odpovídajícího políčka požádáte o uchování vašich dat s cílem usnadnění budoucích rezervací (účel zpracování údajů), pak bude právním základem našeho zpracování dat váš dobrovolný souhlas. Pokud nám tedy nezaškrtnutím odpovídajícího políčka neposkytnete souhlas se zpracováním vašich údajů, budete muset všechny údaje při příští rezervaci zadávat znovu. Váš souhlas můžete kdykoliv odvolat, nicméně odvolání souhlasu nebude mít vliv na zákonnost zpracování na základě souhlasu před jeho odvoláním. V takových případech si vaše osobní údaje ponecháme 8 let ode dne vaší poslední rezervace. 

Chcete-li uplatnit kterékoliv z vašich práv uvedených v Kapitole 1 ohledně údajů zaznamenaných během přihlášení, nebo chcete-li nás kontaktovat z jiného důvodu ve věci vašich údajů zaznamenávaných během přihlášení, informujte nás odesláním e-mailu na adresu dpo@badmarienbad.cz .

2.3    Wellness, zdravotní a tělesná péče
Zdravotní služby lze čerpat odděleně od ostatních hotelových služeb. V hotelu vám budou poskytovány požadované zdravotní služby na základě předem objednaného balíčku nebo které si zvolíte až po příjezdu. Před použitím dotyčné zdravotní služby odešle dispečer pracující v jednotlivých samostatných zdravotnických odděleních hosta k lékaři. U lékaře obdržíte Záznamovou kartu procedur, vyplněnou vaším lékařem na základě níže uvedeného:

•    Identifikační údaje: jméno, číslo sociálního pojištění, datum narození, telefonní číslo
•    Anamnéza: nemoci, léky, neduhy apod. Zaznamenávání zdravotních údajů je součástí zdravotní procedury. Ošetřující lékař rozhodne o tom, které zdravotní údaje budou za účelem splnění profesních norem zaznamenány.

Poté si host vezme Záznamovou kartu procedur, kterou si host vezme s sebou k další proceduře, kde zaměstnanci poskytující uvedenou proceduru uvidí pouze minimální informace nezbytné k provedení procedury uvedené v Záznamové kartě procedur. Podrobné informace o pacientovi uvidí pouze lékař a jeho asistent.

Účel zpracování údajů:
Zlepšovat, utužovat a udržovat vaše zdraví.

Právní základ zpracování údajů:
Protože jste to byli vy, kdo nás kontaktoval s požadavkem na poskytování zdravotních procedur, bude váš souhlas se zpracováním vašich zdravotních a osobních identifikačních údajů považován v kontextu zdravotní procedury za udělený, není-li uvedeno něco jiného. Váš souhlas můžete kdykoliv odvolat, nicméně odvolání souhlasu nebude mít vliv na zákonnost zpracování na základě souhlasu před jeho odvoláním. Odvoláte-li váš souhlas, nebudeme schopni vám zdravotní služby poskytovat.

Doba uchování osobních údajů:
Zdravotní dokumentaci uchováváme po dobu 10 let ode dne posledního záznamu podle vyhlášky Ministerstva zdravotnictví č. 98/2012 Sb., o zdravotnické dokumentaci v Příloze č. 2, Čl. 2 s názvem „doba uchování“ a v Příloze č.3, o zvláštních případech.

Přenos dat:
Zdravotní údaje budou přenášeny pouze na základě vaší žádosti jinému lékaři nebo třetí straně a váš souhlas se vyžaduje v případě lékaře, který váš neošetřoval, ale přesto potřebuje znát vaše údaje takto zaznamenané. Nicméně zdravotní údaje nebudou vašemu praktickému lékaři předány pouze za předpokladu, že to výslovně zakážete.

Společnost a osoba zastupující a jednající jménem společnosti, ale i zpracovatel dat jsou povinni uchovávat důvěrnosti o zdravotních údajích, se kterými přijdou do styku.

Společnost nebo osoba jednající jejím jménem bude zbavena závazku mlčenlivosti, pokud:
a)    subjekt údajů nebo jeho právní zástupce udělil písemný souhlas s přenosem zdravotních a identifikačních údajů v souladu s omezeními zde uvedenými, a
b)    je přenos zdravotních a identifikačních dat vyžadován zákonem.

Máte oprávnění získat informace o zpracování údajů v souvislosti s vašimi zdravotními procedurami, může se dozvědět zdravotní a identifikační údaje o vás, prohlížet si vlastní zdravotní dokumentaci a získat její kopii. V průběhu poskytování zdravotních procedur se toto právo vztahuje také na osobu k tomu vámi písemně oprávněnou a po zdravotních procedurách osobu vámi k tomu oprávněnou v privátním dokumentu s plnou důkazní silou. (Informace o právu na přístup manželů, registrovaných partnerů, příbuzných, dědiců, právních zástupců můžete získat v zákoně  372/2011 Sb. o zdravotních službách a podmínkách jejich poskytování §65 nebo tím, že nám zašlete e-mail na adresu uvedenou níže.)

Společnost zpracovává zdravotní informace podle ustanovení GDPR a zákona 372/2011 Sb. o zdravotních službách a podmínkách jejich poskytování.

Chcete-li uplatnit kterékoliv z vašich práv uvedených v Kapitole 1 ohledně údajů zaznamenaných během poskytování zdravotních služeb, nebo chcete-li nás kontaktovat z jiného důvodu ve věci vašich údajů zaznamenávaných během poskytování zdravotních služeb, informujte nás odesláním e-mailu na adresu dpo@badmarienbad.cz .

2.4    Fitness centra
K vystavovaným permanentkám (v Mariánských lázních nejsou zavedené)  budou do fitness centra poskytnuty následující údaje:
•    Jméno
•    Pohlaví
•    Jazyk
•    Adresa
•    Národnost 
•    Datum narození
•    Telefonní číslo
•    E-mailová adresa
•    Foto
•    Zdravotní způsobilost a další poznámky (jako například těhotenství, diabetes, apod.).
•    Registrační číslo členství, typ a platnost

Na webových stránkách www.premierfitness.hu můžete nalézt informace o cenách ke vstupu do fit centra a zahájit zde komunikaci se společností zadáním vašeho jména, e-mailové adresy, adresy, PSČ a telefonního čísla. Nejdříve vám společnost zašle e-mail s cenami za služby fitness centra a je-li to nutné, bude s vámi telefonicky konzultovat další podrobnosti a sjednání schůzky. 

Účel zpracování údajů:
Poskytování služeb fitness centra. Jméno a fotografie se používají k identifikačním účelům; zdravotní informace a údaje o členství nám pomáhají poskytovat vám personalizované služby a předcházet zdravotním rizikům; další údaje jsou používány ke komunikačním účelům. Zadání vašich kontaktních údajů není povinné, avšak je předpokladem k tomu, abychom vás mohli kontaktovat.

Právní základ zpracování údajů:
Plnění smlouvy uzavřené k poskytování služeb fitness centra. Zadání vašich údajů je dobrovolné, nicméně zpracování údajů jako například vašeho jména, fotografie a údajů z členské karty je k poskytování služby nezbytné. 

V rámci této služby zpracováváme vaše zdravotní údaje na základě vašeho výslovného souhlasu. Váš souhlas můžete kdykoliv odvolat, nicméně odvolání souhlasu nebude mít vliv na zákonné zpracování před jeho odvoláním. Je potřeba zmínit, že pokud nám nebude povoleno zpracovávání vašich zdravotních údajů, nebudeme moci uplatňovat při poskytování služeb fitness centra maximální péči.

Doba uchování osobních údajů:
Vaše osobní údaje budou zpracovávány po dobu 1 roku počínaje rokem, ve kterém vám vyprší platnost vaší permanentky nebo jednorázového vstupu. 

Pokud nás zaškrtnutím odpovídajícího políčka požádáte o uchování vašich dat s cílem usnadnění nákupu budoucích permanentek (účel zpracování údajů), pak bude právním základem našeho zpracování dat váš dobrovolný souhlas. Pokud nám tedy nezaškrtnutím odpovídajícího políčka neposkytnete souhlas se zpracováním vašich údajů, budete muset všechny údaje při příštím nákupu permanentek zadávat znovu. Váš souhlas můžete kdykoliv odvolat, nicméně odvolání souhlasu nebude mít vliv na zákonnost zpracování na základě souhlasu před jeho odvoláním. V takových případech si vaše osobní údaje ponecháme 8 let ode dne exspirací vaší poslední permanentky. 

Chcete-li uplatnit kterékoliv z vašich práv uvedených v kapitole 1 týkající se údajů zaznamenaných v průběhu výše uvedených činností nebo chcete-li nás kontaktovat z jiných důvodů, informujte nás zasláním e-mailu na dpo@badmarienbad.cz.

2.5    Dotazníky spokojenosti
V rámci procesu zajišťování kvality v rámci společnosti mohou hosté vyjádřit svůj názor na služby poskytované hotely Danubius Hotels Group prostřednictvím e-mailových nebo papírových dotazníků spokojenosti, ale i prostřednictvím programu hodnocení. Při vyplňování dotazníku můžete zadat následující osobní údaje:
•    Jméno
•    Datum návštěvy
•    Číslo pokoje
•    Kontaktní údaje (adresa, e-mailová adresa, telefonní číslo, adresa bydliště)
Poskytnutí údajů není povinné; tyto údaje nám pouze pomáhají šetřit možné reklamace a zajišťovat poskytování zpětné vazby.
 
Takto získané názory a případné údaje související s těmito názory, které nelze vysledovat zpět k hostovi, a které nelze kombinovat se jménem hosta, může společnost využívat pro statistické účely.

Pokud názor poskytnete anonymně, nebudeme zpracovávat žádné osobní údaje. Vyžadujete-li zpětnou vazbu, budeme vás kontaktovat na jednom z poskytnutých kontaktních údajů (e-mail, poštovní adresa, telefon) nejpozději do 30 dnů. 

Účel zpracování údajů: 
Komunikace s osobou sdělující názor a řešení stížností.

Právní základ zpracování údajů: 
Váš výslovný dobrovolný souhlas. Je potřeba zmínit, že pokud neobdržíme váš souhlas se zpracováním vašich údajů nebo pokud takový souhlas odvoláte, nebudeme moci na vaši otázku odpovědět. Odvolání souhlasu nebude mít vliv na zákonné zpracování před odvoláním souhlasu. 

Doba uchování osobních údajů: 
Po zodpovězení relevantního dotazu, otázky nebo reklamace budou zprávy a osobní údaje získané v tomto kontextu vymazány 1 rok po předmětném roce. E-mailová adresa a uživatelské jméno poskytnuté pro program hodnocení budou na základě vaší žádosti smazány.

Chcete-li uplatnit kterékoliv z vašich práv uvedených v kapitole 1 týkající se údajů zaznamenaných v průběhu výše uvedených činností nebo chcete-li nás kontaktovat z jiných důvodů, informujte nás zasláním e-mailu na dpo@badmarienbad.cz.

2.6    Bezpečnostní kamery
Bezpečnostní kamery se používají na budovách hotelů provozovaných společností za účelem zaručení bezpečnosti hostů a jejich majetku. Používání bezpečnostních kamer je vyznačeno ikonou a písemným varováním.

Bezpečnostní kamery se používají za účelem ochrany majetku, tedy majetku značné hodnoty a osobních věcí hostů; zohledňuje se přitom to, že by jinak nebylo možné odhalovat trestné činy, chytat zloděje při činu, zamezit nezákonným jednáním a poskytovat důkazy. 

Další informace o zpracování údajů v souvislosti s těmito bezpečnostními kamerami vám sdělí zaměstnanci recepce vašeho hotelu. Na vyžádání vám zašleme Politiku ochrany osobních údajů platnou pro uvedené systémy bezpečnostních kamer. Tyto požadavky budou odesílány na obecnou e-mailovou adresu nebo poštovní adresu vašeho hotelu. 

2.7    Newslettery
Když vám zasíláme zpravodaje (newslettery), zpracováváme vaše jméno, e-mailovou adresu a občas i adresu trvalého bydliště. Při nastavování preferencí zpravodaje můžete určit témata zpravodaje a rovněž oblast, které se zpravodaj týká.
Účel zpracování údajů: 
Účel zpracování vašich údajů tkví v možnosti informovat vás o zvláštních nabídkách a novinkách. 

Právní základ zpracování údajů: 
Váš dobrovolný souhlas. Je potřeba zmínit, že pokud neobdržíme váš souhlas se zpracováním vašich údajů, nebudeme moci vám zasílat zpravodaj.

Doba uchování osobních údajů: 
Zpravodaje vám budeme zasílat tak dlouho, dokud je budete vyžadovat. Pokud již nebudete vyžadovat zasílání zpravodajů, můžete odběr odhlásit kdykoliv buď pomocí specializovaného odkazu na konci každého zpravodaje nebo tím, že nám pošlete e-mail na adresu dpo@badmarienbad.cz nebo newsletter@danubiushotels.com. Odvolání souhlasu nebude mít vliv na zákonné zpracování před odvoláním souhlasu. 

Přenos dat: 
K přenosu dat dochází v rámci Danubius Hotels Group. Je potřeba zmínit, že jako odesílatelé zpravodaje mohou být uvedeny společnosti Arisende s.r.o., CP Regents Park Two Ltd., Slovenske liecebne kupele Piešťany, a.s., SC Balneoclimaterica SA a Léčebné lázně Mariánské Lázně a.s. Viz Kapitola 3, kde jsou uvedeny další informace. Pokud jde o zpracování údajů v rámci zpravodajů, výše uvedené hotely postupují v souladu s touto Politikou.

Chcete-li uplatnit kterékoliv z vašich práv uvedených v kapitole 1 týkající se údajů zaznamenaných v průběhu výše uvedených činností nebo chcete-li nás kontaktovat z jiných důvodů, informujte nás zasláním e-mailu na dpo@badmarienbad.cz nebo newsletter@danubiushotels.com.

2.8    Věrnostní program Europoints včetně Bubbles Club a Corporate Programme
Věrnostní program Europoints je exkluzivní služba poskytovaná hostům hotelu – fyzickým osobám – za účelem poskytování slev stálým hostům. V rámci Věrnostního programu je Bubbles Club určen pro hosty, kteří dorazí se svými rodinami a jeho účelem je nabídnout jedinečné slevy a dětské programy stálým hostům, kteří přijíždějí se svými rodinami.

Danubius Corporate Programme je exkluzivní služba poskytovaná firemním partnerům společnosti -– právnickým osobám – za účelem poskytování slev stálým hostům.

V rámci programů zpracovává společnost následující osobní údaje:
V případě fyzické osoby:
• Jméno
• Pohlaví
• Poštovní adresa
• Adresa
• Telefonní číslo
• E-mailová adresa
• Datum narození (nezletilé osoby do 18 let se nemohou programu účastnit)

V případě Bubbles Club:
 Údaje poskytnuté rodičem/poručníkem, které jsou již zaregistrované ve Věrnostním programu, jsou:
•    Jméno dítěte
•    Datum narození dítěte (programu Bubbles Club se mohou účastnit děti mladší 18 let)
•    Souhlas rodičů/poručníků se zpracováním údajů

Poskytnutím jména a data narození dítěte nám umožňuje zasílat na tuto e-mailovou adresu rodiče/poručníka narozeninová překvapení k narozeninám dítěte.

Osobní údaje spravované v případě právnické osoby:
•    Jméno kontaktní osoby
•    Poštovní adresa
•    Telefonní číslo
•    E-mailová adresa

Dále zpracováváme číslo věrnostní karty a heslo.

Účel zpracování údajů:
Poskytování slev účastníkům. Zasílání oznámení o slevách.

Právní základ zpracování údajů:
Váš dobrovolný souhlas. Souhlas můžete odvolat a můžete požádat o vymazání vašich údajů zasláním požadavku na e-mailovou adresu dep@danubiushotels.com  nebo na poštovní adresu společnosti (Danubius Zrt. 1051 Budapešť, Szent István tér 11.) s tím, že uvedené nebude mít vliv na zákonné zpracování, ke kterému docházelo na základě souhlasu před jeho odvoláním. Je potřeba zmínit, že bez poskytnutí souhlasu se nemůžete zapojit do Věrnostního programu.

Doba uchování osobních údajů:
Osobní údaje budou zpracovávány tak dlouho, jak dlouho se subjekt údajů účastní daného programu. Údaje uvedené ve formuláři žádosti budou zpracovány až do 18. roku věku vašeho dítěte. Stav členství ve Věrnostním programu se stane neaktivním po 3 (třech) letech ode dne posledního využití hotelových služeb. Stav členství fyzické/právnické osoby v Corporate programu se stane neaktivním po 2 (dvou) letech ode dne posledního využití hotelových služeb. Společnost si ponechá osobní údaje členů po dobu definovanou v ustanoveních příslušných daňových a účetních zákonů a po uplynutí této doby je smaže.

Společné zpracování údajů:
Je potřeba zmínit, že pokud jde o Věrnostní program, pro účely interoperability se budou Arisende s.r.o., CP Regents Park Two Ltd., Slovenske liecebne kupele Piešťany, a.s., SC Balneoclimaterica SA a Léčebné lázně Mariánské Lázně a.s. považovat za společné správce. Viz kapitola 2, kde jsou uvedeny další informace o hotelích. Pokud jde o zpracování údajů, provádějí společní správci zpracování v souladu s touto Politikou.

Účast v programu může občas vyžadovat opatření dalších osobních údajů, v kterémžto případě může společnost požadovat uvedené údaje a informovat subjekt údajů o účelu, způsobu a době trvání zpracování dat.

Účast v programu může občas vyžadovat opatření dalších osobních údajů, v kterémžto případě může společnost požadovat uvedené údaje a informovat subjekt údajů o účelu, způsobu a době trvání zpracování dat.

U stálých hostů, kteří si objednali zasílání zpravodaje nebo spolupracují při propagačních činnostech, bude společnost dále nakládat s údaji uvedenými výše v souladu s ustanoveními v Kapitole 2.7 této Politiky.

Chcete-li uplatnit kterékoliv z vašich práv uvedených v kapitole 1 týkající se údajů zaznamenaných v průběhu výše uvedených činností nebo chcete-li nás kontaktovat z jiných důvodů, informujte nás zasláním e-mailu na dpo@badmarienbad.cz .

2.9    Dárková karta Danubius, vouchery, dárkový šeky a pobyty
Při nákupu Dárkové karty Danubius (není zavedená v Mariánských lázních), nebo poukazu (voucheru), dárkových šeků, dárkových pobytů budete požádáni o poskytnutí následujících osobních údajů:

V případě osobního nákupu:
• Jméno
• Fakturační jméno a adresa

V případě online objednávky prostřednictvím oficiálních webových stránek společnosti:
• Jméno
• E-mailová adresa 
• Telefonní číslo
• Fakturační jméno a adresa
• Dodací adresa a jméno

U Dárkové karty Danubius, dotaz na zůstatek a datum exspirace karty můžete zadat na webových stránkách www.danubiushotels.com/hu/online-ajandekkartya-vasarlas, na www.gift-card.hu/index.php/kartyaadatok, na Accepting hotels, na Danubius Customer Service nebo prostřednictvím call centra Cardnet Zrt. (+36 1 346-0500) kdykoliv.

Účel zpracování údajů:
Vedení smlouvy za účelem dodání dárkové karty nebo poukazu, šeků a k fakturaci. 

Právní základ zpracování údajů:
Plnění uzavřené smlouvy pro vydání dárkové karty nebo poukazu. Poskytnutí těchto údajů je povinné, je nezbytné k poskytnutí služby.

Doba uchování osobních údajů:
Osobní údaje získané tímto způsobem budou uchovávány společností po dobu 10 let v souladu s ustanoveními platných zákonných a účetních předpisů.

Chcete-li uplatnit kterékoliv z vašich práv uvedených v kapitole 1 týkající se údajů zaznamenaných v průběhu výše uvedených činností nebo chcete-li nás kontaktovat z jiných důvodů, informujte nás zasláním e-mailu na dpo@badmarienbad.cz.

2.10    Údaje o platební kartě
V případě rezervací pokojů po vás požadujeme poskytnutí následujících údajů o platební kartě:
•    Název platební karty 
•    Číslo platební karty 
•    Datum exspirace platební karty

Účel zpracování údajů:
Zajištění rezervací a účtování celkové částky za vaši rezervaci nebo pouze její část, v závislosti na stornování. 

Právní základ zpracování údajů: 
Plnění uzavřené smlouvy o zajištění rezervace pokoje jako služby. Poskytnutí těchto údajů je povinné, je nezbytné k poskytnutí služby.

Doba uchování osobních údajů:
Údaje o platební kartě budou šifrované a budou využívány výhradně k transakčním účelům a pouze autorizovanými osobami. Po odjezdu z hotelu nebudou tyto údaje sděleny a v přístupu k těmto údajům bude zamezeno. Tyto údaje budou vymazány po 10 letech. 

Pokud nás zaškrtnutím odpovídajícího políčka požádáte o uchování vašich dat s cílem usnadnění budoucích rezervací (účel zpracování údajů), pak bude právním základem našeho zpracování dat váš dobrovolný souhlas. Pokud nám tedy nezaškrtnutím odpovídajícího políčka neposkytnete souhlas se zpracováním vašich údajů, budete muset všechny údaje při příští rezervaci zadávat znovu. Váš souhlas můžete kdykoliv odvolat, nicméně odvolání souhlasu nebude mít vliv na zákonnost zpracování na základě souhlasu před jeho odvoláním. V takových případech si vaše osobní údaje ponecháme 10 let ode dne vaší poslední rezervace. 

Chcete-li uplatnit kterékoliv z vašich práv uvedených v kapitole 1 týkající se údajů zaznamenaných v průběhu výše uvedených činností nebo chcete-li nás kontaktovat z jiných důvodů, informujte nás zasláním e-mailu na  dpo@badmarienbad.cz.

2.11    Sociální sítě (např. Facebook, Instagram)
Společnost a jednotlivé hotely/restaurace/fitness-kluby/apod. provozované společností je možné také kontaktovat prostřednictvím portálů sociálních sítí Facebook a Instagram. Klepnutím na „to se mi líbí“ a „sledovat“ na dané stránce se mohou uživatelé Facebooku přihlásit k odběru zpráv publikovaných na zdi, klepnutím na „to se mi nelíbí“ mohou odběr zrušit a úpravou nastavení zpráv je možné také novinky, které nechtějí sledovat, smazat z jejich facebookové zdi. Společnost je také schopna přistupovat k profilům „sledujících“, nicméně nezaznamenává nebo nezpracovává je ve vlastním interním systému.

Účel zpracování údajů:
Sdílení obsahu na webových stránkách společnosti a hotelů/restaurací/fitness klubů/apod. provozovaných společností, sdílení jiných novinek a nabídek, udržování kontaktu. Prostřednictvím facebookové stránky si můžete rezervovat pokoje, účastnit se losování o ceny získat informace o nejnovějších novinkách.

Právní základ zpracování údajů:
Váš dobrovolný souhlas můžete kdykoliv odvolat zrušením odběru. Odvolání souhlasu nebude mít vliv na zákonné zpracování před odvoláním souhlasu. V případě odvolání vám nebudou přicházet notifikace na zprávy, naše novinky nebudou součástí vašich zpráv, ale zprávy společnosti budete moci stále navštěvovat, protože je to naše veřejná stránka.

Doba uchování osobních údajů:
Údaje jsou zpracovávány až do vašeho zrušení odběru.

Údaje nebudou přenášeny a správce údajů nebude využíván.

Facebook a Instagram jsou samostatní správci, na nás nezávislí. Navštivte následující odkaz, kde jsou uvedeny další informace týkající se zpracování údajů, směrnic k ochraně údajů a nařízení společnosti Facebook:
•    https://www.facebook.com/policies/cookies/ 
•    https://www.facebook.com/about/privacy/update 
Pokud jde o zpracování údajů společností Instagram, další informace můžete získat klepnutím na níže uvedený odkaz:

•    help.instagram.com

V průběhu využití aplikací Facebooku a losování o ceny bude zpracování dat probíhat v souladu s Kapitolou 2.12.

Při rezervování pokoje systém automaticky přesměruje hosta na webové stránky společnosti. Zpracování dat bude prováděno v souladu s Kapitolou 2.1. 

Společnost také zveřejňuje na svých facebookových stránkách fotografie/videa o různých událostech/hotelích/fitness klubech/restauracích apod. Nejedná-li se o fotografii skupiny osob, společnost si vždy vyžádá předchozí písemný souhlas subjektů údajů před jejich zveřejněním.

Chcete-li uplatnit kterékoliv z vašich práv uvedených v kapitole 1 týkající se údajů zaznamenaných v průběhu výše uvedených činností nebo chcete-li nás kontaktovat z jiných důvodů, informujte nás zasláním e-mailu na adat@danubiushotels.com.

2.12    Losování o ceny, soutěže:
Společnost sama nebo ve spolupráci s jiným členem Danubius Hotels Group nebo s jinou externí společností občas organizuje losování o ceny nebo soutěže. Účastníci se mohou přihlásit do losování o ceny nebo do soutěže prostřednictvím papírové nebo online registrace (na webových stránkách Danubius Hotels nebo facebookové stránce) a obvykle poskytnou následující údaje:

•    Jméno
•    Adresa
•    Telefonní číslo
•    E-mailová adresa

Je možné, že uvádět tyto údaje nebude nutné (např. v případě losování o ceny na Facebooku), nebo budou naopak tyto údaje vyžadované, a tak se rozsah dat může různit.

Účel zpracování údajů: 
Organizování losování o ceny, soutěže, udržování kontaktu tak, aby mohla společnost předat vítězi cenu. 

Právní základ zpracování údajů:
Váš souhlas. Váš souhlas můžete kdykoliv odvolat písemně zasláním e-mailu na e-mailovou adresu  dpo@badmarienbad.cz nebo zasláním dopisu na výše uvedenou adresu. Odvolání souhlasu nebude mít vliv na zpracování před odvoláním souhlasu.
K účasti na losování o ceny nebo soutěže je váš souhlas nezbytný.

Doba uchování osobních údajů:
Zpracování údajů bude prováděno až do ukončení losování/soutěže, během 30 dnů ode dne akce, údaje zpracovávané v tomto kontextu budou vymazány (s výjimkou údajů o vítězi/vítězících a náhradním vítězi/náhradních vítězích)). Údaje o vítězi (vítězích) a náhradním vítězi (náhradních vítězích) bude společnost uchovávat po dobu 10 let v souladu s ustanoveními platných daňových a účetních záznamů, a po uplynutí této doby budou vymazány.

Informace o přenosu údajů a zpracovatelích údajů a podrobnosti o zpracování údajů, které se liší od těch uvedených v tomto informačním průvodci, budou vždy poskytnuty v průběhu daného losování o ceny nebo soutěže.

U stálých hostů, kteří si objednali zasílání zpravodaje nebo spolupracují při propagačních činnostech, bude společnost dále nakládat s údaji uvedenými výše v souladu s ustanoveními v Kapitole 2.7 této Politiky.

Chcete-li uplatnit kterékoliv z vašich práv uvedených v kapitole 1 týkající se údajů zaznamenaných v průběhu výše uvedených činností nebo chcete-li nás kontaktovat z jiných důvodů, informujte nás zasláním e-mailu na dpo@badmarienbad.cz.

2.13    Internetový obchod
Dárkové produkty Bubbles Club, poukazy do hotelové restaurace a vstupenky, denní vstupenky k využití různých fitness a lázeňských služeb, různé permanentky a denní lázeňské programy, produkty Marienbad Cosmetics je možné také zakoupit v podobě poukazů prostřednictvím online systému (internetového obchodu) vyplněním online formuláře, ve kterém budete muset zadat následující údaje:
•    Příjmení
•    Křestní jméno
•    E-mailová adresa
•    Telefonní číslo
•    Fakturační údaje (jméno, stát, PSČ, město, ulice, číslo orientační)
•    Ůdaje o platební kartě

U produktů Marienbad Cosmetics je zpracovatel Zoner inShop.
Kromě výše uvedeného společnost zpracovává datum a čas nákupu, popis a cenu služby, celkovou částku nákupu a IP adresu zákazníka.

Účel zpracování údajů:
Udržování kontaktu se zákazníky, poskytování služby, zpracování nákupu a plnění příslušných účetních povinností.

Právní základ zpracování údajů:
Plnění smlouvy, článek 13/A zákona CVIII z 2001 o určitých otázkách elektronických komerčních službách a službách informační společnosti, a článek 169(2) zákona C z 2000 o účetnictví. Poskytnutí těchto údajů je povinné, je nezbytné k provedení nákupu.

Doba uchování osobních údajů:
Osobní údaje budou vymazány po poskytnutí služby, údaje o osvědčení o nákupu budou uchovávány po dobu 10 let ode dne nákupu.

Při online úhradě platební kartou budete automaticky přesměrováni na webové stránky následujícího správce údajů:
OTP Bank Nyrt. (Sídlo: 1051 Budapešť, Nádor Street 16.; registrační číslo: 01-10-041585; web: www.otpbank.hu)

Chcete-li uplatnit kterékoliv z vašich práv uvedených v kapitole 1 týkající se údajů zaznamenaných v průběhu výše uvedených činností nebo chcete-li nás kontaktovat z jiných důvodů, informujte nás zasláním e-mailu na dpo@badmarienbad.cz.

2.14    Kontakt
Kontaktovat nás můžete prostřednictvím libovolných kontaktních údajů (e-mail, Facebook, telefon, poštou nebo formou určenou pro tento účel, např. poptávkou). V takových případech považujeme váš souhlas se zpracováním osobních údajů za poskytnutý. 

Účel zpracování údajů: 
Udržování smlouvy s žadatelem, odpovídání a řešení dotazů/požadavků. 

Právní základ zpracování údajů: 
Protože jste nás kontaktovali, je právním základem zpracování dat váš (předpokládaný) dobrovolný souhlas. Souhlas můžete kdykoliv odvolat, nicméně v takovém případě nemůžeme odpovídat na vaše dotazy. Odvolání souhlasu nebude mít vliv na zákonné zpracování před odvoláním souhlasu.

Je potřeba zmínit, že datová pole některých formulářů byla vyvinuta podle našich zkušeností, a tak musíte zadávat pouze údaje, které jsou k zaslání odpovědi na dotaz/požadavek nezbytné. Povinná pole jsou označena červenou hvězdičkou.

Doba uchování osobních údajů: 
Po zodpovězení relevantního dotazu, otázky nebo reklamace budou zprávy a osobní údaje získané v tomto kontextu vymazány 1 rok po předmětném roce. Nicméně z daňových a účetních důvodů nebo je-li to nutné na ochranu práv a zájmů žadatele jsou tyto údaje archivovány a vedeny po dobu nezbytnou, individuálně pro každý případ definovanou.
Přenos dat:
Dotaz týkající se konkrétního hotelu bude přeposlán příslušnému členu Danubius Hotels Group.

2.15    Protokol řízení stížností
Pokud během vyřizování stížnosti zákazníka nesouhlasíte s řešením vaší stížnosti nebo není okamžité řešení stížnosti možné, je společnost povinna okamžitě vystavit protokol o stížnosti a svoje související stanovisko.
Tento protokol bude obsahovat následující údaje:
•    Jméno a adresa zákazníka
•    Místo, čas a způsob předložení stížnosti
•    Podrobný popis stížnosti zákazníka, seznam dokumentů a dalších důkazů poskytnutých zákazníkem
•    Prohlášení stanoviska společnosti týkající se stížnosti zákazníka, pokud je bezprostřední vyšetřování stížnosti možné
•    Podpis osoby vystavující protokol a – s výjimkou ústních stížností sdělených telefonicky nebo e-mailem – zákazníka
•    Místo a čas vystavení protokolu
•    V případě ústní stížnosti sdělené telefonicky nebo e-mailem jedinečné identifikační číslo stížnosti

Účel zpracování údajů:
Vyšetřování stížnosti a zachování kontaktu se stěžovatelem.

Právní základ zpracování údajů:
Ustanovení paragrafu 17/A (7) zákona CLV z 1997 o ochraně spotřebitele, na základě kterého je výše uvedený postup závazný.

Doba uchování osobních údajů:
5 let ode dne vystavení protokolu.

Chcete-li uplatnit kterékoliv z vašich práv uvedených v kapitole 1 týkající se údajů zaznamenaných v průběhu výše uvedených činností nebo chcete-li nás kontaktovat z jiných důvodů, informujte nás zasláním e-mailu na data@danubiushotels.com.

2.16    Danubius Blog 
Společnost pravidelně publikuje nové články do svého online cestovatelského magazínu. Chcete-li dostávat oznámení o vydání nového článku, přihlaste se k odběru zadáním vašeho jména a e-mailové adresy.

Účel zpracování údajů: 
Účel zpracování vašich údajů tkví v možnosti informovat vás o nových článcích. 

Právní základ zpracování údajů: 
Váš dobrovolný souhlas. Je potřeba zmínit, že pokud neobdržíme váš souhlas se zpracováním vašich údajů, nebudeme moci vám zasílat oznámení.

Doba uchování osobních údajů:
Požadovaná oznámení vám budeme zasílat tak dlouho, jak dlouho o ně budete žádat. Nechcete-li již dále dostávat e-maily s oznámením, můžete zrušit odběr kdykoliv buď pomocí specializovaného odkazu v dolní části každého e-mailu s oznámením nebo nás můžete informovat o zrušení odběru na adat@danubiushotels.com. Odvolání souhlasu nebude mít vliv na zákonné zpracování před odvoláním souhlasu. 

Chcete-li uplatnit kterékoliv z vašich práv uvedených v kapitole 1 týkající se údajů zaznamenaných v průběhu výše uvedených činností nebo chcete-li nás kontaktovat z jiných důvodů, informujte nás zasláním e-mailu na adat@danubiushotels.com .

2.17    Automaticky zaznamenávané údaje, soubory cookies a „remarketingové kódy“

2.17.1    Automaticky zaznamenávané údaje

Při navštívení našich webových stránek na zařízení (jako například přenosném počítači nebo stolním počítači, na chytrém telefonu nebo tabletu), dojde k automatickému zaznamenání vybraných údajů o zařízení. Mezi automaticky zaznamenávané údaje patří IP adresa vašeho zařízení, datum a čas vaší návštěvy našich webových stránek, druh prohlížeče a doménový název a adresa vašeho poskytovatele internetu. Zaznamenané údaje budou automaticky zapsány webovým serverem webových stránek bez požadavku na váš souhlas nebo specializovanou aktivitu z vaší strany. Systém používá zaznamenané údaje k automatickému generování statistických údajů. Tyto údaje nelze spojovat s ostatními osobními údaji s výjimkou případů, kdy tak vyžaduje zákon. Tyto údaje budou výhradně využity v agregované a zpracované podobě ke korekci chyb a zvyšování kvality vašich služeb a pro statistické účely.

Účel zpracování údajů: 
Technický vývoj informačních systémů, monitorování služby a generování statistických údajů. V případě podvodných činností je možné tyto údaje také využít – ve spolupráci s poskytovatelem internetu uživatele a policejními složkami – k určení zdroje takových podvodných činností.

Právní základ zpracování údajů: 
Požadavek na poskytnutí služby podle zákona CVIII z 2001 o určitých otázkách elektronických komerčních službách a službách informační společnosti, a článek 13/A, paragraf (3).

Doba uchování osobních údajů: 30 dní ode dne návštěvy našich webových stránek.

2.17.2.    Soubory cookies a podobné technologie

Co jsou soubory cookies?
Soubory cookies jsou malé textové soubory ukládané na pevný disk počítačů nebo chytrých zařízení do doby vypršení jejich platnosti stanovené v souboru cookies, a jsou aktivovány (odesláním oznámení na webový server webových stránek) při každém otevření webových stránek v prohlížeči na zařízení. Webové stránky využívají soubory cookies za účelem zaznamenání informace týkající se použití webových stránek (navštívené stránky, čas strávených na stránkách, informace o procházení, odhlášení apod.) a osobních nastavení – avšak tyto údaje nelze asociovat s identitou návštěvníka. Soubory cookies umožňují provozovatelům webových stránek udržovat uživatelsky přívětivé stránky a zlepšovat zkušenosti, které jejich webové stránky nabízejí svým návštěvníkům. 

Na platformách, kde nejsou soubory cookies dostupné nebo je nelze využít, jsou využity jiné technologie k dosažení cílů podobných těm při využívání souborů cookies – mezi příklady patří reklamní ID využívané na mobilních zařízeních s operačním systémem Android.

Existují dva druhy souborů cookies: „relační soubory cookies“ a „trvalé soubory cookies“. 
•    „Relační soubory cookies“ jsou ukládány na počítač nebo chytré zařízení pouze dočasně během doby využívání webových stránek; tyto soubory cookies umožňují systému „zapamatovat si“ určité informace, a tak je uživatel nebude muset při další návštěvě webových stránek znovu zadávat. Doba platnosti relačních souborů cookies je omezena na dobu trvání použití webových stránek; účelem použití relačních souborů cookies je předejít ztrátě údajů (například při vyplňování delšího formuláře). Na konci každého využití webových stránek – každé relace – a když je prohlížeč uzavřen, dojde k automatickému vymazání souborů cookies tohoto typu.

•    „Trvalé soubory cookies“ zůstanou uloženy na počítači nebo v chytrém zařízení i po ukončení návštěvy webových stránek. Soubory cookies tohoto druhu umožňují webovým stránkám identifikovat vracejícího se návštěvníka. Trvalé soubory cookies identifikují vracející se návštěvníky asociováním ID na straně serveru s uživatelem, a proto jsou nezbytnou součástí funkce webových stránek, které vyžadují ověření uživatele – například u online obchodů, v internetovém bankovnictví a u poštovních webových serverů. Trvalé soubory cookies neobsahují osobní údaje, je možné je použít pouze k jedinečné identifikaci uživatelů jejich asociací s řádnou položkou v databázi uloženou na webovém serveru webových stránek. Nedílným rizikem využívání trvalých souborů cookies je to, že mohou pouze identifikovat webový prohlížeč a nikoliv samotného uživatele, takže pokud uživatel využívá veřejný přístupový bod – jako například počítač v internetové kavárně nebo ve veřejné knihovně – k přihlášení se k online obchodu a na konci relace se neodhlásí, může jiná osoba získat neoprávněný přístup k online obchodu a být nesprávně systémem identifikována jako původní (a tedy ověřený) uživatel.

Jak mohu povolit nebo zakázat soubory cookies?
Většina internetových prohlížečů soubory cookies automaticky povoluje, avšak uživatelé je mohou smazat nebo odmítnout. Protože je každý internetový prohlížeč jiný, preference k používání souborů cookies je nutné nastavit ručně v sekci pro nastavení vašeho prohlížeče. Nechcete-li povolit soubory cookies z našich webových stránek na vašem zařízení, můžete změnit nastavení prohlížeče tak, abyste byli o zasílání souborů cookies na vaše zařízení informováni, nebo můžete jednoduše odmítnout všechny soubory cookies. Můžete také soubory cookies uložené v počítači nebo v mobilním zařízení kdykoliv vymazat. Další informace o změně nastavení prohlížeče naleznete ve funkci nápovědy vašeho prohlížeče. Je potřeba zmínit, že pokud zvolíte deaktivaci souborů cookies, omezíte funkci webových stránek.

Jaké soubory cookies používáme?

1. Soubory cookies nezbytné k provozu webových stránek:
Tyto soubory cookies jsou nezbytné pro správnou funkci webových stránek, takže v jejich případech je právním základem ke zpracování údajů požadavek k poskytování služeb podle zákona CVIII z 2001 o určitých otázkách elektronických komerčních službách a službách informační společnosti, článek 13/A, paragraf (3). K přenosu dat nedochází. 

a) Průvodce vyplněním
Účel zpracování údajů: K usnadnění vyplnění formulářů automatickým poskytnutím uživateli údaji systémem považovanými za správné.
Doba zpracování údajů: doba trvání návštěvy webových stránek

b) Pomůcka při hledání
Účel zpracování údajů: Pomůcky hledání při relacích k minimalizaci doby hledání
Doba zpracování údajů: doba trvání návštěvy webových stránek

c) Kontrola pravopisu
Účel zpracování údajů: Automatické oznámení o podezření na překlepy.
Doba zpracování údajů: doba trvání návštěvy webových stránek

d) Identifikace nastavení jazyka:
Účel zpracování údajů: Systém využívá běžné soubory cookies k jedinečné identifikaci návštěvníka v době využití webových stránek, aby si mohl „pamatovat“ jazykové nastavení návštěvníka.. 
Doba uchování osobních údajů: Tento soubor cookies se ukládá na 29 dní.

e) Soubor cookies sociálních sítí (Facebook, Instagram, Google+, Youtube)
Účel zpracování údajů: Tento soubor cookies umožňuje sdílení obsahu webových stránek na sociálních médiích. 
Doba uchování osobních údajů: Tento soubor cookies je uložen po dobu trvání sdílení obsahu.

Pokud jde o Facebook, viz Kapitola 2.

f) Multimediální přehrávač (YouTube)
Účel zpracování údajů: Tento soubor cookies umožňuje přehrávání videí na webových stránkách. 
Doba uchování osobních údajů: Tento soubor cookies je uložen po dobu trvání přehrávání videa.

2. Soubory cookies k pořizování statistických údajů
Výhradní funkcí těchto souborů cookies je pořízení statistických údajů, což znamená, že neobsahují osobní údaje. Monitorují využití webových stránek návštěvníky, která témata upřednostňují, na co klikají, jak webovými stránkami procházejí, jaké stránky navštěvují. Je důležité upozornit na to, že tyto soubory cookies obsahují přísně anonymní údaje. Tyto soubory cookies poskytují například informaci o tom, kolik návštěvníků navštíví naše webové stránky za měsíc. Získané statistické údaje nám umožňují vylepšovat naše webové stránky tak, aby odrážely preference našich uživatelů ještě lépe. Google Tag Manager (a Google Analytics) a Hotjar nám pomáhají pořizovat tyto statistické údaje. 

3. Marketingové soubory cookies
Účelem využití marketingových cookies je vytvořit a odesílat personalizované reklamy. 

Právní základ zpracování údajů: 
Využití těchto souborů cookies vždy vyžaduje souhlas příjemce, který nám může příjemce udělit ve vyskakovacím okně na webových stránkách. Uživatel může souhlas kdykoliv odvolat, nicméně odvolání souhlasu nebude mít vliv na zákonnost zpracování na základě souhlasu před jeho odvoláním. Při odvolání souhlasu nebudou personalizované reklamy vytvořené pro uživatele publikovány na jiných webových stránkách.

a) Kategorizace na bázi místa návštěvy 
Doba uchování osobních údajů: 269 dnů

b) Personalizované nabídky na Facebooku 
Doba uchování osobních údajů: maximálně 180 dnů 

c) Monitorování klikání na reklamy společnosti
Doba uchování osobních údajů: 2 roky

Chcete-li uplatnit kterékoliv z vašich práv uvedených v kapitole 1 týkající se údajů zaznamenaných v průběhu výše uvedených činností nebo chcete-li nás kontaktovat z jiných důvodů, informujte nás zasláním e-mailu na data@danubiushotels.com. 

Společné zpracování údajů:
Pokud jde o zpracované údaje, budou se Arisende s.r.o., CP Regents Park Two Ltd., Slovenske liecebne kupele Piešťany, a.s., SC Balneoclimaterica SA a Léčebné lázně Mariánské Lázně a.s. považovat za společné správce. Viz Kapitola 3, kde jsou uvedeny další informace.
Pokud jde o zpracování údajů, provádějí společní správci zpracování v souladu s touto Politikou.

2.17.3.    Webové odkazy

Naše webové stránky mohou odkazovat webové odkazy na webové stránky, které nejsou spravovány a provozovány společností, a jsou s našimi stránkami spojeny za účelem poskytování informací uživatelům. Společnost nemůže ovlivnit a nemůže být tedy odpovědná za obsah bezpečnostní situace na webových stránkách spravovaných svými partnerskými společnostmi. Před poskytnutím jakýchkoliv informací těmto webovým stránkám se seznamte s jejich Politikou ochrany osobních údajů.

2.18    Volné pozice
Registrací online prostřednictvím e-mailu, tištěným formulářem nebo na webových stránkách http://karrier.danubiushotels.com/ na webových stránek společnosti, můžete žádat o volné pozice nabízené Danubius Zrt. a/nebo Danubius Hotels Zrt. (podrobný průvodce procesem registrace se vám otevře po navštívení uvedeného odkazu). 

Účel zpracování údajů:
Účelem zpracování údajů je umožnit opatření informací uchazečům o zaměstnání týkajících se nabízených volných pozic, výběr kvalifikovaných uchazečů a kontakt se zvolenými uchazeči.

Právní základ zpracování údajů:
Váš souhlas, který je pro žádosti zasílané e-mailem nebo v tištěné podobě implicitní, a explicitní v případě online žádostí. Máte právo kdykoliv váš souhlas odvolat prostřednictvím e-mailu nebo dopisem a registraci můžete také kdykoliv smazat. Odvolání souhlasu nebude mít vliv na zákonné zpracování před odvoláním souhlasu. Je potřeba zmínit, že protože poskytujete požadované údaje dobrovolně, nemůžeme vaši žádost zpracovat v případě chybějících požadovaných dokumentů nebo údajů nebo pokud váš souhlas odvoláte.

Doba uchování osobních údajů:
Po výběru zpracováváme životopisy, osobní údaje a dokumenty žadatelů o na konkrétní volné pozice, které nám byly zaslány nebo uloženy na náš server v rámci žádosti podle níže uvedeného:

-    Ptáme se e-mailem, systémovým oznámením nebo dopisem neúspěšné uchazeče, zda chtějí, aby byla jejich žádost i nadále uložena v naší databázi uchazečů po dobu jednoho roku. Při přijetí negativní odpovědi nebo nepřijetí odpovědi do 30 dnů ode dne žádost jsou žádost a údaje o uchazeči ze systému vymazány.
-    Přenášíme údaje úspěšného žadatele do naší databáze zaměstnanců a mažeme je z databáze žadatelů.

Zpracování obecných a nespecifických žádostí:
•    Přijaté žádosti dopisem nebo e-mailem ukládáme do naší databáze po dobu 1 roku. Po uplynutí jednoho roku jsou životopisy a údaje obsažené v těchto žádostech ze systému vymazány.

•    V případě online registrací jsou údaje opatřené registrujícími jednotlivci uložené systémem po dobu jednoho roku a poté v případě nulové aktivity uživatele jsou ze systému natrvalo vymazány. Systém odesílá žadateli oznámení 30, 7 a poté 1 den před koncem jednoleté archivační doby, obsahuje informaci o možnosti pro žadatele si registraci prodloužit o další jeden rok.

Pokud jsou údaje žadatele ze systému vymazány z jakéhokoliv důvodu, musí se žadatel pro vložení do databáze znovu zaregistrovat.

Přenos dat: 
Po souhlasu subjektu údajů jsou údaje přeneseny do Danubius Hotels Zrt. Viz Kapitola 3, kde jsou uvedeny další informace. Danubius Hotels Zrt. zpracovává údaje získané v souvislosti s nabídkami volných pozic v souladu s touto Politikou.

Chcete-li uplatnit kterékoliv z vašich práv uvedených v kapitole 1 týkající se údajů zaznamenaných v průběhu výše uvedených činností nebo chcete-li nás kontaktovat z jiných důvodů, informujte nás zasláním e-mailu na danubius.hr@danubiushotels.com.

2.19    Zaměstnanci
Všechny informace ve Zveřejnění a všechna práva popsaná v oddílu 1 se také týkají zaměstnanců firmy Danubius a našeho zpracování jejich osobních dat.

Naším zaměstnancům poskytujeme komplexní informace o naší politice ochrany osobních údajů a našem zpracování jejich osobních dat.

2.20    Obchodní kontakty
Při běžném styku s většinou společností jednáme s jednotlivci v jiných organizacích a ukládáme si jejich jména, funkce a pracovní kontaktní detaily. 

Účel zpracování údajů:
Probíhá na základě oboustranné dohody, aby mohly dvě společnosti vzájemně komunikovat a spolupracovat spolu. 

Právní základ zpracování údajů:
Naším právním základem toho jsou „naše oprávněné zájmy při plnění smlouvy nebo udržení kontaktu mezi dvěma společnostmi.“
Údaje o těchto pracovních kontaktech nebudeme využívat jinak než pro obchodní styk s druhou společností. Nebudeme například poskytovat služby jednotlivcům, jejichž údaje máme k dispozici, nebo přenášet tyto údaje třetím stranám.

Doba uchování osobních údajů:
Alespoň jednou ročně přezkoumáme naše záznamy obchodních kontaktů a vymažeme ty, které již nejsou aktuální.

Stejné zásady platí pro zpracování osobních údajů tiskových kontaktů.

3)    Informace o právních referencích (včetně kontaktů)

Podle GDPR musí firma Danubius jako správce osobních dat, jež zpracovává, zveřejnit informace o svém právním názvu a o tom, jak ji kontaktovat společně s dalšími detaily. Tento oddíl obsahuje všechny informace požadované podle GDPR společně s některými dalšími užitečnými právními informacemi.

Celý právní název právních subjektů, které spravují naše hotely, je:

Společnost Danubius Zrt.:
Celý právní název: Danubius Szállodaüzemeltető és Szolgáltató Zártkörűen Működő Részvénytársaság
Anglický název: Danubius Hotel Operation and Services Private Company Limited by Shares
Zkrácený název: Danubius Zrt.  (Zrt. Je právní zkratka, jež znamená “Soukromá akciová společnost”.)  
Sídlo: 1051 Budapest, Szent István square 11.
Registrována u: Metropolitan Court as Court of Registration
Pod číslem: 01-10-041120
Daňové číslo: 10219522-2-44
Jednatel: Péter Dienes CEO
Právní zastoupení pro ochranu osobních údajů: Dr. Helga Sztanó
S telefonem: 06/1-8894172 a contact: adat@danubiushotels.com

Obchodní činností Danubius Zrt. je správa hotelů a služeb

Danubius Zrt. je 100% vlastněna společnosti Danubius Hotels Zrt., která je holding s malým počtem zaměstnanců .
Společnost Danubius Hotels Zrt.:
Celý právní název: Danubius Szálloda és Gyógyüdülő Zártkörűen Működő Részvénytársaság
Anglický název: Danubius Hotel and Spa Private Company Limited by Shares
Zkrácený název: Danubius Hotels Zrt (Zrt. Je právní zkratka, jež znamená “Soukromá akciová společnost”.)  
Sídlo: 1051 Budapest, Szent István square 11.
Registrována u: Metropolitan Court as Court of Registration
Pod číslem: 01-10-041669
Daňové číslo: 10594702-2-41
Jednatel: Balázs Kovács CEO
Právní zastoupení pro ochranu osobních údajů: Dr. Helga Sztanó
S telefonem: 06/1-8894172 a contact: adat@danubiushotels.com

Jediná osobní data držená firmou Danubius Hotels Zrt. jako zaměstnavatelem jsou osobní údaje malého počtu vedoucích pracovníků.  Dr. Helga Sztanó má též zodpovědnost za ochranu dat ve firmě  Danubius Hotels Zrt.

S účelem vyjasnění svých aktivit, Danubius hotels bylo rozděleno do dvou divizí:
-    City Division pro městské hotely (City hotels)
-    SPA Divize pro zdravotní, lázeňské a wellness hotely.
City Division je nadále řízena Danubius Zrt. SPA Divize je nově řízena společnosti Arisende s.r.o. v Praze. Tím obě společnosti Danubius Zrt. a Arisende s.r.o. společně řídí následující hotely, včetně v rámci ochrany osobních údajů. Dr. Helga Sztanó má též zodpovědnost za ochranu dat ve SPA Divizi.


Název společnosti: Arisende s.r.o.
Sídlo: Masarykova 22/5, 353 01 Mariánské Lázně
Registrace:  Krajský soud v Plzni
IČO: C 33301
ID: 05456274.

Společnosti řízené Arisende s.r.o.: 

Company name: CP Regents Park Two Ltd.
Registered seat: CP House, Otterspool Way, Watford WD25 7JP, UK
Registration number: 5307946.
EU tax number: GB 848957555

Company name: Slovenske liecebne kupele Piešťany, a.s. 
Abbreviated name: SLKP, a.s.
Registered seat: Winterova 29, 921 29 Piešťany, Slovakia
Registration number: Obch. reg. KS Trnava, odd. Sa, vlozka č. 181/T 
EU tax number: SK2020389668

Company name: SC Balneoclimaterica SA Sovata
Registered seat: Str, Trandafirilor nr. 99, Cod.545500, Romania
EU tax number: RO1245068
Registration number: J26/266/1991 

Company name: Léčebné lázně Mariánské Lázně a.s.
Registered seat: Masarykova 22, 353 29 Mariánské Lázně, Czech Republic
Registration number: B 196
EU tax number: CZ45359113

Výše uvedené společnosti jsou sdružené pod názvem  Danubius Hotels Group. 
 
Jednotlivé hotely zapojené do společného zpracování dat:

Danubius Zrt.: 
Danubius Hotel Margitsziget 
Danubius Grand Hotel Margitsziget 
Danubius Thermal Hotel Sárvár
Danubius Thermal Hotel Bük
Danubius Thermal Hotel Aqua
Danubius Thermal Hotel Hévíz

Léčebné lázně Mariánské Lázně a.s. 
Hotel Nové Lázně
Hotel Centrální Lázně
Hotel Hvězda
Grandhotel Pacifik
Hotel Butterfly
(Spa) Hotel Vltava
(Spa) Hotel Svoboda

Slovenske liecebne kupele Piešťany, a.s. 
Health Spa Resort Thermia Palace
Health Spa Resort Esplanade
Spa Hotel Grand Splendid
Vila Trajan
Hotel Jalta & Dependances
Hotel Centrál
Hotel Vietoris
Dependance Morava

SC Balneoclimaterica SA Sovata 
Danubius Health Spa Resort Bradet
Danubius Health Spa Resort Sovata
Hotel Faget

4)    Termíny a zkratky používané v tomto Zveřejnění
Většina definic se vztahuje k Obecnému nařízení o ochraně osobních údajů (GDPR).  To je právní dokument a není možné podat krátkou definici jednoduchým jazykem, která by byla naprosto přesná. Cílem je zde poskytnout jasné vysvětlení, jež usnadní čtenářovo pochopení; díky čemuž nemusí být právní definice naprosto přesná.  Naším zájmem je vyhovět všem požadavkům GDPR a zjednodušení vysvětlení, která zde jsou uvedena, nemá na vaše práva  žádný vliv.

Termín či zkratka    Vysvětlení
Správce    Právní subjekt, který stanovuje účely a prostředky zpracování osobních dat;
Subjekt údajů    Osoba žijící v Evropské unii či mimo ni, jež jedná s organizací v Evropské unie. Tato osoba je nazývána “subjekt údajů” a podle GDPR má práva nad zpracování jeho či jejích osobních dat.  
EU    Evropská unie
GDPR    Regulace obecné ochrany dat v Evropské unii, jež vstoupila v platnost 25. května 2018.
Osobní údaje    Jakékoliv informace týkající se osob, které jsou nebo mohou být identifikovány prostřednictvím širokého spektra metod,  jako jsou například: 
•    Jméno osoby, identifikační číslo, údaje o místě či webová adresa, nebo 
•    Jeden či více faktorů specifických pro fyzickou, fyziologickou, genetickou, mentální, ekonomickou, kulturní či sociální identitu.
Zpracování    Jakýkoliv úkon či série úkonů, jež se provádí s osobními údaji, ať už automaticky nebo ne, mezi které například patří: 
Sběr, záznam, organizace, uspořádání, ukládání, úprava či změna, záchrana, nahlédnutí, použití, vydání přenosem, šíření,  slučování, omezení, vymazání či zničení.
Zpracovatel    Právní subjekt, který zpracovává osobní údaje jménem správce.
Profilování/ Vytváření profilů    Automatizované zpracování, které využívá osobní data k analýze či předpovědi aspektů pracovního výkonu, ekonomické situace, zdraví, osobních preferencí, zájmů, spolehlivosti, chování, polohy či pohybu osob
Pseudonymizace    Zašifrování či jinak také držení osobních dat způsobem, který nemůže být spojován s konkrétním subjektem údajů bez dodatečné informace. Dodatečná informace musí být uchovávána zvlášť a chráněna technickými a organizačními opatřeními, aby se zabránilo jejímu neoprávněnému použití.
Speciální kategorie dat
    Existují velice přísná omezení zpracování osobních dat v rámci “zvláštních kategorií”.  Jsou to: 
•    Údaje odhalující rasový či etnický původ, politické názory, náboženské či filozofické postoje či členství v odborové unii,
•    Zpracování genetických dat, biometrických dat za účelem identifikace osoby, údaje týkající se zdraví či sexuálního života osoby nebo sexuální orientace, nebo 
•    Odsouzení za spáchání trestného činu.
Kontrolní orgán    Nezávislý veřejný orgán stanovený zemí Evropské unie, který má monitorovat uplatnění GDPR a v případě nutnosti zasahovat v ochraně práv osob podle GDPR
Třetí země    Jakákoliv země mimo Evropskou unii
Předání    Zaslání osobních údajů správcem či zpracovatelem právnímu subjektu mimo Evropskou unii.

SC Balneoclimaterica SA Sovata       Politica de Confidențialitate     Data ultimei actualizări         07.01.2019

Această politică de confidențialitate stabilește modul în care SC Balneoclimaterica SA Sovata ("Danubius" sau "noi") utilizează și vă protejează datele personale. Danubius este Controlorul pentru datele personale pe care ni le-au oferit oaspeții sau potențialii oaspeți folosind site-urile bookings.danubiushotels.com, precum și pentru alte grupuri de persoane identificate în politică, cum ar fi invitații care interacționează cu noi prin canale diferite, contacte de afaceri și personalul nostru. 

Înregistrarea rezervărilor la bookings.danubiushotels.com este gestionată de Scepter Hospitality Resource ("SHR"), o companie din SUA. Aranjamentele noastre contractuale cu SHR încorporează garanții adecvate asupra datelor dvs. personale pentru a vă proteja drepturile pe care le dețineți în conformitate cu legislația UE. În special, SHR este înregistrată pentru "Declarație de Confidențialitate Scut UE". Acesta este un acord interguvernamental între UE și SUA și este recunoscut de Comisia Europeană ca asigurând o protecție impusă a datelor personale echivalente standardelor de protecție a datelor în UE. Decizia Comisiei Europene poate fi văzută pe site - ul lor oficial, de exemplu, comunicatul de presă din data de 18 octombrie 2017 la http://europa.eu/rapid/press-release_IP-17-3966_en.htm.

În cadrul activităților sale comerciale, Danubius solicită, obține și procesează date personale de la oaspeți, oaspeți potențiali, contacte de afaceri, personal și alte persoane. Ne propunem să procesăm datele minime de care avem nevoie pentru a oferi un serviciu bun. Recunoaștem și respectăm drepturile legale și așteptările rezonabile ale persoanelor asupra datelor personale și a vieții private.

Această politică de confidențialitate explică modul în care protejăm datele personale și confidențialitatea. Multe dintre principiile pe care le urmăm sunt conduse de Regulamentul UE privind protecția generală a datelor (GDPR). Cu toate acestea, ne confruntăm cu cerințe legale alpilabile privind protecția datelor personale și confidențialitatea.  

Puteți naviga prin Dezvăluire folosind hyperlink-urile din cuprinsul de mai jos. De asemenea, puteți descărca o versiune PDF cu hyperlink-urile încorporate făcând clic aici.

Am încercat să elaborăm această politică de confidențialitate ușor de folosit și să înțelegem, în limitele constrângerilor complexității informațiilor pe care trebuie să le comunicăm. Dacă aveți întrebări cu privire la material sau orice comentarii sau sugestii cu privire la modul în care am putea îmbunătăți dezvăluirea, vă rugăm să ne contactați la:

privacyfeedback@szovata.ro, 545500 Sovata, StradaTrandafirilor Nr. 111, Romania

Puteți naviga prin această politică făcând clic pe cuprinsul de mai jos. Secțiunile principale sunt primele două care acoperă:

1 Drepturile Dv. conform GDPR
2 Diferite activități de procesare în cadrul Danubius 
Conținut
1)    Drepturile legale ale persoanelor fizice (“persoane vizate”) în cadrul GDPR    3
1.1    Dreptul de a primi informații transparente    3
1.2    Dreptul de acces la date proprii    4
1.3    Dreptul la rectificarea datelor incorecte    4
1.4    Dreptul la radiere (“Dreptul de a fi uitat”)    4
1.5    Dreptul de a retrage consimțământul    5
1.6    Dreptul la solicitarea restricției de prelucrare    5
1.7    Dreptul de a se opune prelucrării    5
1.8    Dreptul de a nu fi supus deciziilor automate    5
1.9    Portabilitatea datelor    6
1.10    Dreptul la plângere către “ Autoritatea de supraveghere”    6
1.11    Dreptul  la o cale de atac efectivă împotriva unui operator sau a unui procesator    6
1.12    Contactarea Balneoclimaterica cu privire la GDPR    6
2)    Procesare de date    7
2.1    Rezervare camere    7
2.2    Check-in    8
2.3    Tratamente balneare    10
2.4    Centru Fitness    11
2.5    Chestionar pentru clienți, sisteme de evaluare, gestionarea reclamațiilor    12
2.6    Camere de supraveghere    12
2.7    Buletin informativ    13
2.8    Europoints– Program de Fidelizare    14
2.9    Card Cadou Danubius    15
2.10    Date card debit/credit    15
2.11 Social media (de ex. Facebook, Instagram)    16
2.12    Contact    17
2.13 Datele înregistrate automat, cookie-urile și "codurile de remarketing"    17
2.13.1 Date înregistrate automat    17
2.13.2.    Cookie-uri și tehnologii similare    18
2.13.3. Link-uri web    20
2.14    Aplicații pentru locuri de muncă    20
2.15    Personal    21
2.16    Contacte de afaceri    21
3)    Informații de referință legale (inclusiv date de contact)    21
4)    Termeni și prescurtări utilizate în prezenta Informare    23

1)    Drepturile legale ale persoanelor fizice (“persoane vizate”) în cadrul GDPR
"Persoanele vizate" acoperite de GDPR sunt persoane fizice vii oriunde, unde au de a face cu un "controlor" în cadrul UE sau persoane care trăiesc în UE care au de a face cu un controlor din afara UE. Un "controlor" reprezintă entitatea juridică care definește modul în care datele personale sunt procesate. "Datele personale" reprezintă orice date care pot fi legate de o persoană vizată.

După cum se explică mai jos, titularii datelor au următoarele drepturi specifice în cadrul GDPR:
a)    primirea informațiilor transparente
b)    accesarea propriilor date
c)    remedierea datelor inexacte
d)    radiere ("Dreptul de a fi uitat") în circumstanțe specifice
e)    retragerea consimțământului
f)    limitarea procesării
g)    să se opună prelucrării
h)    să nu fie supus unor decizii automate
i)    "portabilitatea datelor”
j)    să depună plângere la o "Autoritate de Supraveghere"
k)    cale de atac efectivă împotriva unui operator sau a unui prelucrător

Această politică abordează toate aceste drepturi. În baza solicitării dvs. adresată oricăreia dintre acestea, vom răspunde fără întârzieri nejustificate și, în orice caz, în termen de o lună și vom face tot posibilul pentru a rezolva chiar și cazuri complexe în termen de trei luni. Vă vom răspunde în format electronic sau prin alt mijloc, conform cererii dvs. Nu vom percepe taxă pentru o cerere inițială, însă ne rezervăm dreptul de a percepe o taxă administrativă pentru tratarea unei cereri repetate după un interval de un an sau în cazul unei solicitări în mod evident nefondate sau excesive.

Vă reamintim că va trebui să vă verificăm identitatea pentru a putea acționa cu privire la orice solicitare.

Dacă considerăm că nu ar trebui să acționăm în baza solicitării dvs., vom scrie pentru a vă informa despre baza deciziei noastre, precum și despre opțiunile dumneavoastră de remediere legală.

Separat de aceste drepturi, dacă credeți că Balneoclimaterica SA v-a vătămat cu privire la datele personale sau la confidențialitatea dvs., vă rugăm să ne contactați pentru a putea remedia situația și pentru a îmbunătăți serviciile noastre pentru toți oaspeții. Puteți să ne trimiteți o reclamație formală prin e-mail sau prin poștă la adresa indicată în secțiunea 1.12 "Contactați Balneoclimaterica referitor la GDPR" de mai jos.
Vom încerca să răspundem fără întârzieri nejustificate și, în orice caz, în termen de o lună, deși ne-ar putea dura mai mult să investigăm pe deplin.  


1.1    Dreptul de a primi informații transparente 
Vom furniza toate informațiile solicitate de GDPR într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, prin utilizarea unui limbaj clar și simplu, în special pentru orice informații specifice pentru copii. Vom furniza informațiile în scris sau prin mijloace electronice. La cerere, vom furniza informații pe cale orală.

Vom facilita exercitarea drepturilor dvs. așa cum este descris în restul secțiunii 1 de mai jos.

Secțiunea 1.12 "Contactarea companiei Balneoclimaterica în ceea ce privește GDPR" de mai jos oferă adrese email și poștale pentru contactarea noastră. Anumite secțiuni privind activitățile individuale din secțiunea 2 oferă adrese dedicate anchetelor specifice.

1.2    Dreptul de acces la date proprii
Aveți dreptul să obțineți din partea Danubius confirmarea dacă datele dvs. personale sunt procesate și, dacă da, să accesați datele și următoarele informații:
a)    scopul prelucrării
b)    categoriile de date cu caracter personal în cauză
c)    destinatarii cărora le-am dezvăluit sau vom dezvălui datele cu caracter personal, în special destinatarii din țările din afara UE
d)    perioada pentru care vor fi stocate datele cu caracter personal
e)    existența dreptului dvs. de a ne cere să rectificăm sau să ștergem date cu caracter personal sau să restricționăm prelucrarea datelor cu caracter personal sau să ne opunem acestei prelucrări
f)    dreptul dumneavoastră de a depune o plângere la o autoritate de supraveghere
g)    în cazul în care datele personale nu sunt colectate direct de la dvs., informații cu privire la sursa lor
h)    dacă există date automate de luare a deciziilor și, dacă da, informații relevante despre logica implicată, precum și despre semnificația și consecințele preconizate ale unei astfel de procesări.
i)    În cazul în care transferăm datele dvs. personale într-o țară din afara UE, garanțiile adecvate pe care le avem pentru a vă proteja drepturile.

1.3    Dreptul la rectificarea datelor incorecte
Dacă deținem date personale inexacte sau incomplete, vom remedia acest lucru fără întârzieri nejustificate la primirea solicitării dvs.

1.4    Dreptul la radiere (“Dreptul de a fi uitat”)
Aveți dreptul să ne solicitați să ștergem datele dvs. personale și să acționăm fără întârzieri nejustificate, dacă există unul dintre următoarele motive:
(a) Datele dvs. nu mai sunt necesare în legătură cu scopurile pentru care au fost inițial prelucrate
(b) Retrageți consimțământul dvs. și astfel nu avem alt temei juridic pentru prelucrarea datelor dvs.
(c) Baza noastră legală pentru procesare constă în interesele noastre legitime, iar Dvs. pretindeți că nu avem motive legitime pentru procesarea care depășește interesul, drepturile și libertățile tale
(d) Prelucrarea este în scop de marketing direct, iar Dvs. vă opuneți acestui lucru
(e) Am prelucrat datele dvs. în mod ilegal
(f) Trebuie să ștergem datele dvs. pentru respectarea unei obligații legale prevăzute în legislația UE sau a statului membru la care suntem supuși
(g) Baza noastră de legalitate pentru prelucrarea datelor reprezintă consimțământul dat de un tutore pentru un copil și fie (i) aveți calitatea de tutore, iar copilul este încă sub vârsta consimțământului, sau (II) sunteți copilul acum cu vârsta peste cea consimțământului. În România vârsta consimțământului pentru prelucrarea datelor cu caracter personal este vârsta de 18 ani.

Rețineți că nu putem șterge datele dvs. personale în măsura în care prelucrarea este necesară:
(a) pentru exercitarea dreptului la libertatea de exprimare și de informare;
(b) respectarea unei obligații legale care necesită prelucrare;
(c) din motive de interes public în domeniul sănătății publice;
(d) în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică sau în scopuri statistice, în măsura în care cererea este susceptibilă să facă imposibilă sau să aducă atingere în mod grav obiectivelor unei astfel de prelucrări; sau
(e) stabilirea, exercitarea sau apărarea revendicărilor legale

Datele dvs. vor continua să existe temporar în fișierele de rezervă după această ștergere, dar folosim tehnici de securitate IT pentru a ne asigura că acestea sunt accesibile numai în scopul restaurării bazei de date în cazul pierderii de date și că nu pot fi copiate pentru dezvăluire de date. Distrugem fișierele de rezervă prin rotație în termen de 60 DE LUNI.
1.5    Dreptul de a retrage consimțământul
În cazul în care ne-ați dat consimțământul pentru orice procesare, aveți dreptul să retrageți acordul în orice moment. Puteți face acest lucru trimițând o solicitare la adresa de e-mail menționată în subsecțiunea corespunzătoare din secțiunea 2 Activități de mai jos, care enumeră diferitele activități pentru care gestionăm datele personale.

Rețineți că retragerea consimțământului nu va afecta procesarea deja efectuată.

1.6    Dreptul la solicitarea restricției de prelucrare
Puteți solicita din partea Danubius la restricționarea prelucrării datelor dvs. personale atunci când se aplică una dintre următoarele:
• Contestați acuratețea datelor personale
• Nu mai avem o bază de legalitate pentru procesare, dar vă opuneți ștergerii datelor și solicitați să restricționăm utilizarea
• Nu mai avem nevoie de date pentru scopul inițial, dar le solicitați pentru stabilirea, exercitarea sau apărarea revendicărilor legale
• Vă opuneți prelucrării noastre pe motiv că ne declarăm baza juridică ca fiind "interesele noastre legitime", dar susțineți că "interesele, drepturile și libertățile" dvs. se suprapun cu acestea.

În cazul în care prelucrarea este restricționată în baza obiecției dvs., cu excepția continuării stocării datelor, le vom procesa numai cu acordul dvs. sau:
a) pentru stabilirea, exercitarea sau apărarea revendicărilor legale
b) pentru protecția drepturilor altei persoane sau
c) din motive de interes public important al UE sau al unui stat membru.

În cazul în care restricționăm procesarea, vă vom informa înaintea ridicării restricției.

Funcționalitățile operaționale ne pot împiedica să restricționăm procesarea exact așa cum prevede GDPR, dar în acest caz vom colabora cu dvs. pentru a încerca să găsim o soluție satisfăcătoare.

1.7    Dreptul de a se opune prelucrării
Aveți dreptul să vă opuneți prelucrării datelor dvs. personale atunci când:
• Baza noastră de legalitate pentru procesare constă în "interesele noastre legitime", dar Dvs. susțineți că "interesele, drepturile și libertățile tale" se suprapun cu acestea
• Ne procesăm datele pentru scopuri de marketing direct, inclusiv "profilare", în măsura în care este legată de un astfel de marketing direct. (Profilarea este o decizie automatizată care analizează sau prezice aspecte cum ar fi situația dvs. economică, preferințele personale, comportamentul sau locația.) În cazul în care faceți o astfel de obiecție, nu mai vom procesa datele dvs. în astfel de scopuri.

1.8    Dreptul de a nu fi supus deciziilor automate
Aveți dreptul să nu fiți supus unei decizii bazate exclusiv pe prelucrarea automată, dacă aceasta produce efecte juridice asupra dvs. sau vă afectează în mod similar.

Cu toate acestea, acest lucru nu se aplică:
(a) dacă decizia este necesară pentru ca noi să încheiem un contract cu dvs. sau dacă avem consimțământul dvs. explicit, sau
(b) dacă procesul automatizat este autorizat de o lege a UE sau a unui stat membru, care definește, de asemenea, măsurile pe care trebuie să le respectăm, care vă protejează drepturile, libertățile și interesele legitime.

În cazul (a), trebuie să punem în aplicare măsuri adecvate pentru a vă proteja drepturile, libertățile și interesele legitime, care includ cel puțin dreptul dvs. de a ne solicita să asigurăm intervenția umană și dreptul dvs. de a vă exprima punctul de vedere și de a contesta decizia.


1.9    Portabilitatea datelor
În anumite împrejurări, GDPR oferă unui titular de date dreptul de a primi datele personale care îl privesc "într-un format structurat, utilizat în mod obișnuit și care poate fi citit de mașină". Dreptul include includerea datelor personale transmise direct de la un operator la altul, în cazul în care este fezabil din punct de vedere tehnic.
În cazul în care aplicați la punctul 1.2 de mai sus pentru accesul la propriile date personale, vom furniza în mod normal acest lucru într-un format electronic utilizat în mod obișnuit, cu excepția cazului în care vă cerem în mod special să vă trimitem o copie în scris.

1.10    Dreptul la plângere către “ Autoritatea de supraveghere”
În cazul în care sunteți convins că v-am tratat în mod incorect sau ilegal în conformitate cu GDPR, puteți să adresați plângere către autoritatea de supraveghere pentru protecția datelor. Dacă aveți domiciliul stabil într-o altă țară UE decât România, aveți dreptul să adresați o plângere autorității de supraveghere a țării respective. Acest link vă va oferi numele și detaliile de contact: 
http://ec.europa.eu/justice/data-protection/article-29/structure/data-protection-authorities/index_en.htm

Dacă aveți domiciliul stabil în România sau în afara UE, puteți să adresați plângere autorității române:

AutoritateaNationala de Supraveghere a PrelucrariiDatelor cu Caracter Personal
B-dul G-ral. Gheorghe Magheru 28-30
Sector 1, cod postal 010336
Bucuresti, Romania
Telefon: +40.318.059.211
               +40.318.059.212
Fax:+40.318.059.602
E-mail:anspdcp@dataprotection.ro

1.11    Dreptul  la o cale de atac efectivă împotriva unui operator sau a unui procesator
Dacă credeți că drepturile dvs. din cadrul GDPR au fost încălcate ca urmare a prelucrării datelor dvs. personale prin nerespectarea GDPR, aveți dreptul la o cale de atac efectivă.
Acțiunile împotriva unui operator sau a unui prelucrător sunt înaintate instanțelor din statul membru UE în care operatorul sau operatorul de prelucrare are o unitate. În mod alternativ, o astfel de procedură poate fi introdusă în fața instanțelor din statul membru UE în care se află reședința obișnuită.

1.12    Contactarea Balneoclimaterica cu privire la GDPR
Anumite secțiuni privind activitățile individuale din secțiunea 2 oferă adrese de contact dedicate pentru cereri specifice. În caz contrar, pentru a exercita unul dintre drepturile descrise mai sus sau pentru a face o reclamație direct la Balneoclimaterica sau pentru a ne contacta în legătură cu o investigație generală referitoare la GDPR sau confidențialitate, adresa de e-mail și adresa poștală sunt:


privacyfeedback@szovata.ro
SC Balneoclimaterica SA Sovata
545500 Sovata, JudetulMures
Str. Trandafirilor Nr. 99
România

2)    Procesare de date 
2.1    Rezervare camere 
Pentru rezervările făcute online, în persoană la un hotel sau prin telefon, solicităm câteva sau toate din următoarele câmpuri de date personale:
•    Numele întreg
•    Data sosirii
•    Data plecării
•    Număr de adulți în cameră
•    Tipul camerei
•    Toate datele cardului de credit
•    Codul numeric personal sau adresa poștală integral în vederea emiterii facturii fiscale de avans
•    Pachetul de tratament, dacă este cazul
•    Adresă de e-mail
•    Număr de telefon
•    Ora sosirii
•    Toate serviciile și costurile lor
•    Text liber - inclusiv, de exemplu, orice preferințe 

Scopul procesării de date:
Scopul colectării acestor date este de a ne permite să identificăm clienții care efectuează rezervarea, astfel încât să putem păstra camera pentru persoana potrivită la check-in și să înregistrăm un mijloc de plată pentru a evita riscul financiar în cazul în care oaspetele nu se cazează la hotel. Vom utiliza adresa dvs. de e-mail
(i) în situația neobișnuită în care trebuie să vă recomandăm o schimbare care influențează rezervarea
(ii) cu trei zile înainte de sosirea planificată, pentru a vă reaminti detalii cum ar fi adresa și ora de check-in și
(iii) la trei zile după data plecării să vă solicităm comentarii cu privire la șederea dvs., pentru a ne putea îmbunătăți serviciile pentru vizitele viitoare pentru dvs. și pentru alți oaspeți.

Baza legală a procesării de date:
Baza legală pentru prelucrarea acestor date este că ne sunt necesare pentru a îndeplini un contract în vederea rezervării de cameră. Pe lângă trimiterea unui e-mail post-sta, vă procesăm adresa de e-mail pentru "interesele legitime urmărite de controlor, cu excepția cazurilor în care aceste interese sunt înlăturate de interesele sau de drepturile și libertățile fundamentale ale persoanei vizate". Interesele noastre legitime aici reprezintă menținerea unei calități înalte a serviciilor și considerăm că trimiterea mesajului dvs. de poștă electronică post-stay nu afectează drepturile dvs. fundamentale.
Dacă nu ne furnizați datele solicitate, fie nu vom putea să vă rezervăm o cameră fie nu vă putem contacta dacă există o problemă.

Transfer de date în afara UE
În momentul în care efectuați o rezervare pe site-ul nostru, introduceți datele într-o aplicație administrată de Scepter Hospitality Resource, o companie din SUA. Prin urmare, datele dvs. personale sunt transferate în afara UE. Pentru a vă asigura că păstrați drepturile pe care le aveți în cadrul GDPR asupra datelor dvs. cu caracter personal, am implementat următoarele măsuri de protecție:
a) avem termeni contractuali între Sceptre și noi în vederea definirii și restricționării prelucării realizate cu privire la date;
b) Sceptre este certificat pentru "EU-US Shield Privacy". Acesta este un acord interguvernamental între UE și SUA și este recunoscut de Comisia Europeană ca asigurând protecția datelor echivalente standardelor de protecție a datelor în UE.
Decizia Comisiei Europene poate fi accesată pe site-ul lor oficial, de exemplu, comunicatul de presă din data de 18. octombrie 2017 la http://europa.eu/rapid/press-release_IP-17-3966_en.htm.

Perioada prelucrării de date:
Administrăm retenția datelor cu caracter personal la nivelul câmpurilor individuale de date, mai degrabă decât la nivelul datelor totale pentru un oaspete. De exemplu, putem păstra o înregistrare a numelui dvs. și a datei de check-in pe o perioadă mai lungă decât adresa dvs. de e-mail.

În unele cazuri, avem o obligație legală de a intra în posesia datelor cu caracter personal pentru o perioadă mai lungă de timp. Principalele categorii sunt:
• Atunci când sunt necesare informații pentru o factură sau alte înregistrări fiscale, avem o obligație legală de a păstra acest lucru timp de 10 ani după sfârșitul anului calendaristic. Astfel, dacă vă facturăm la check-out la 30. iunie 2018, datele trebuie păstrate până la 31. decembrie 2028.
• Un hotel are obligația legală de a face un raport către Poliție referitor la toți oaspeții care se cazează. Avem obligația legală de a păstra informațiile incluse în aceste rapoarte timp de 5 ani de la data înregistrării.
• În cazul în care oaspeții rezervă un tratament medical la unul dintre hotelurile noastre balneare, avem o cerință legală de a păstra datele medicale medicale pe care le primim timp de 10 ani.

În cazul în care nu avem o astfel de obligație legală, păstrăm datele cu caracter personal timp de 5 ani de la check-in. Am ales această perioadă în funcție de dorința unor oaspeți de a avea datele disponibile atunci când rezervă pentru o vizită ulterioară la unul dintre hotelurile noastre.

Ștergem toate datele cu caracter personal după cea mai lungă perioadă de deținere relevantă de mai sus.

Datele dvs. vor continua să existe temporar în fișierele de rezervă după această ștergere, însă folosim tehnici de securitate IT pentru a ne asigura că acestea sunt accesibile numai în scopul restaurării bazei de date în cazul pierderii de date și că nu pot fi copiate în scopul dezvăluirii de date. Actualizăm întreaga bază de date și distrugem copii prin rotație în termen de 120 luni. Folosim această perioadă pentru a ne asigura că ne putem restabili înregistrările fiscale, dacă este necesar, în decursul perioadei legale de 10 ani. Ne uităm la crearea unui program de rezervă separat pentru informațiile legale, astfel încât să putem șterge copii de siguranță ale majorității datelor personale într-un interval de timp mult mai scurt.

Dacă doriți să vă exercitați oricare dintre drepturile enumerate în secțiunea 1 sau să ne contactați pentru orice alt motiv legat de aceste date, vă rugăm să trimiteți un e-mail la privacyfeedback@szovata.ro

2.2    Check-in
La utilizarea serviciilor hoteliere, în momentul înscrierii oaspeților trebuie să fie completată o carte de înregistrare a hotelului cu câmpurile de date cu caracter personal sau cu următoarele:
•    numele și prenumele
•    adresa
•    cetățenia (exclusiv în scopuri statistice, datele gestionate nu pot fi urmărite înapoi la persoana respectivă)
•    locul si data nasterii.
•    vârstele copiilor
•    data începerii și sfârșitului șederii hotelului
•    datele de identificare ale documentului de călătorie (pașaport)
•    codul numeric personal sau adresa poștală integral în vederea emiterii facturii fiscale
•    adresa de e-mail, opțional (exclusiv pentru newsletter-ul companiei)

Legea prevede gestionarea următoarelor date cu privire la cetățenii țărilor terțe:
- datele personale de identificare personale și, în plus,
- datele de identificare ale documentului de călătorie (pașaport)
- adresa hotelului
- data începerii și sfârșitului șederii hotelului
- numărul vizei, certificatul de înregistrare,

Cetățenii din țările terțe: cu excepția cetățenilor români, toate persoanele care nu sunt cetățeni ai unui stat membru al Spațiului Economic European, inclusiv persoanele strămutate. Statele membre ale Spațiului Economic European sunt:
- statele membre ale Uniunii Europene;
- Islanda, Liechtenstein și Norvegia ca state membre participante,
- ca și Elveția, drept stat cu statut juridic similar.

Furnizarea datelor solicitate de către oaspeți este o condiție prealabilă pentru utilizarea serviciilor hoteliere.

Scopul și temeiul juridic al prelucrării datelor:
Societatea va gestiona aceste date pentru a-și îndeplini obligațiile prevăzute în reglementările legale relevante (în special în ceea ce privește legislația privind controlul imigrației și taxa turistică), să furnizeze serviciile solicitate pe bază contractuală, respectiv să verifice finalizarea servicii și / sau pentru a identifica Vizitatorii atât timp cât solicită autoritatea competentă să gestioneze îndeplinirea obligațiilor definite în legile respective.

Prin semnarea cardului de înregistrare, utilizatorii aprobă administrarea și / sau arhivarea de către Companie a datelor personale furnizate prin completarea cardului de înregistrare în vederea verificării dacă contractul a fost încheiat și / sau îndeplinit.

Transfer de date
Avem obligația de a transfera o parte din datele personale ale tuturor oaspeților care sunt înregistrate la Poliție. 

Perioada prelucrării de date:
Administrăm retenția datelor cu caracter personal la nivelul câmpurilor individuale de date, mai degrabă decât la nivelul datelor totale pentru un oaspete. De exemplu, putem păstra o înregistrare a numelui dvs. și a datei de check-in pe o perioadă mai lungă decât adresa dvs. de e-mail.

În unele cazuri, avem o obligație legală de a intra în posesia datelor cu caracter personal pentru o perioadă mai lungă de timp. Principalele categorii sunt:
• Atunci când sunt necesare informații pentru o factură sau alte înregistrări fiscale, avem o obligație legală de a păstra acest lucru timp de 10 ani după sfârșitul anului calendaristic. Astfel, dacă vă facturăm la check-out la 30. iunie 2018, datele trebuie păstrate până la 31. decembrie 2028.
• Un hotel are obligația legală de a face un raport către Poliție referitor la toți oaspeții care se cazează. Avem obligația legală de a păstra informațiile incluse în aceste rapoarte timp de 5 ani de la data înregistrării.
• În cazul în care oaspeții rezervă un tratament medical la unul dintre hotelurile noastre balneare, avem o cerință legală de a păstra datele medicale medicale pe care le primim timp de 10 ani.

În cazul în care nu avem o astfel de obligație legală, păstrăm datele cu caracter personal timp de 5 ani de la check-in. Am ales această perioadă în funcție de dorința unor oaspeți de a avea datele disponibile atunci când rezervă pentru o vizită ulterioară la unul dintre hotelurile noastre.

Ștergem toate datele cu caracter personal după cea mai lungă perioadă de deținere relevantă de mai sus.

Datele dvs. vor continua să existe temporar în fișierele de rezervă după această ștergere, însă folosim tehnici de securitate IT pentru a ne asigura că acestea sunt accesibile numai în scopul restaurării bazei de date în cazul pierderii de date și că nu pot fi copiate în scopul dezvăluirii de date. Actualizăm întreaga bază de date și distrugem copii prin rotație în termen de 120 luni. Folosim această perioadă pentru a ne asigura că ne putem restabili înregistrările fiscale, dacă este necesar, în decursul perioadei legale de 10 ani. Ne uităm la crearea unui program de rezervă separat pentru informațiile legale, astfel încât să putem șterge copii de siguranță ale majorității datelor personale într-un interval de timp mult mai scurt. 

If you want to exercise any of your right listed in section 1 or to contact us for any other reason regarding this data, please email to privacyfeedback@szovata.ro.

    
2.3    Tratamente balneare
În hotel veți primi serviciile medicale solicitate pe baza unui pachet pre-comandat sau selectat de dvs. pe site. Înainte de a utiliza serviciul medical în cauză, un dispecer care lucrează la departamentul medical separat direcționează fiecare oaspete către un medic. La medic, veți primi un card de înregistrare a tratamentului, completat de medicul dumneavoastră pe baza următoarelor:

• Date de identificare: numele, numărul camerei (opțional), în unele cazuri cardul de securitate socială și / sau numărul de identificare personală
• Antecedente medicale: boli, medicamente, afecțiuni etc. Înregistrarea datelor medicale face parte din tratamentul medical, însă pe cardul dvs. de înregistrare vom înregistra istoricul medical (bolile) relevant numai cu coduri. Medicul participant va decide ce date medicale vor fi înregistrate pentru a se conforma standardelor profesionale.

După aceasta, oaspetele își ia cardul de înregistrare a tratamentului la tratamentul în cauză în cazul în care personalul care participă la furnizarea tratamentului va accesa doar informațiile minime necesare pentru tratamentul indicat pe cartea de înregistrare a tratamentului. Informațiiel detaliate despre pacient vor fi accesate doar de medic și de asistentul lor.

Scopul prelucrării de date:
Înregistrarea datelor medicale este o procedură normală a tratamentului medical. Scopul gestionării datelor este asigurarea unui tratament sigur și adecvat.

Baza legală pentru prelucrare de date:
Având în vedere că Dvs. ați fost cel care ne-a contactat pentru furnizarea unui tratament medical, consimțământul dvs. pentru prelucrarea datelor dvs. de identificare medicală și personală în contextul tratamentului medical va fi considerat acordat, cu excepția cazului în care se prevede altfel. Vă puteți retrage oricând acordul, totuși retragerea consimțământului nu va afecta legalitatea prelucrării pe baza consimțământului înainte de retragerea acestuia. Dacă vă retrageți consimțământul, nu vă vom putea oferi servicii medicale.

Perioada prelucrării de date:
Obligația noastră legală este de a păstra dosare medicale timp de 50 de ani.

Transferul de date:
Datele medicale pot fi transferate numai către alți medici sau terțe părți la cererea unui oaspete. De asemenea, este necesar acordul unui oaspete pentru divulgarea datelor înregistrate unui medic care nu a tratat oaspetele înainte. Medicul de familie al oaspetelui poate primi aceste date medicale, cu excepția cazului în care oaspetele se opune în mod expres.

Societatea, persoanele care reprezintă Societatea, precum și operatorul de date vor păstra confidențialitatea informațiilor medicale. Compania sau reprezentantul acesteia vor fi scutiți de confidențialitate, dacă
- a) persoanele vizate sau reprezentantul lor legal au consimțit în scris la transferarea datelor de identificare medicale și personale, în limitele definite în acestea și
- b) transferul datelor medicale și personale este cerut de lege.

Persoanele vizate au dreptul de a fi informate cu privire la prelucrarea datelor legate de tratamentul lor medical, de a avea acces la datele medicale și personale care le privesc, de a-și vedea documentația medicală și de a primi o copie a acestor documente.

Acest drept este acordat, de asemenea, persoanelor încredințate de persoanele vizate în timpul tratamentului lor în scris, precum și persoanelor autorizate de persoanele vizate într-un document privat complet concludent în urma tratamentului.

Gestionarea datelor medicale de către Societate va fi efectuată în conformitate cu prevederile relevante din Legea privind protecția datelor.

În cazul în care doriți să vă exercitați oricare dintre drepturile menționate în secțiunea 1 referitoare la datele înregistrate în timpul furnizării serviciilor de sănătate sau dacă doriți să ne contactați din alte motive legate de datele dvs. înregistrate în timpul furnizării serviciilor de sănătate, informați-ne prin trimiterea unui e-mail la privacyfeedback@szovata.ro.


2.4    Centru Fitness
Oaspeții au dreptul să folosească sala de fitness în afara programului de lucru dacă semnează o declarație privind starea de sănătate și de risc / responsabilitate. 
Datele furnizate: numele / semnătura. 
Scopul procesării de date:
Furnizare de servicii de sală de sport. Numele este utilizat în scopuri de identificare, pentru a evita riscurile pentru sănătate.
Baza legală pentru prelucrare de date:
Îndeplinirea contractului încheiat pentru prestarea serviciilor de sală de gimnastică. Introducerea datelor dvs. este voluntară, totuși prelucrarea datelor precum numele dvs. este indispensabilă pentru furnizarea serviciului.
În cadrul acestui serviciu, procesăm datele medicale pe baza consimțământului dvs. expres. Vă puteți retrage oricând acordul, totuși retragerea consimțământului nu va afecta procesarea legală înainte de retragerea acestuia.
Perioada procesării de date:
Datele dvs. personale vor fi prelucrate timp de 31 de zile de la semnarea declarației. 
Dacă doriți să vă exercitați oricare dintre drepturile menționate în secțiunea 1, cu privire la datele înregistrate în cursul activităților de mai sus sau dacă doriți să ne contactați din alte motive, vă rugăm să ne informați prin trimiterea unui e-mail către privacyfeedback@szovata.ro.

2.5    Chestionar pentru clienți, sisteme de evaluare, gestionarea reclamațiilor

Ca parte a procesului de asigurare a calității aplicat de companie, oaspeții pot furniza feedback cu privire la serviciile hotelurilor din Balneoclimaterica printr-un chestionar și / sau sistem de evaluare a clienților online sau pe bază de hârtie. La completarea chestionarului, oaspeții pot furniza următoarele date cu caracter personal:
-    Nume;
- data vizitei;
-    Numărul de cameră;
- contact (adresa, adresa de e-mail, numărul de telefon);

În timpul procesării reclamațiilor consumatorilor, dacă nu sunteți de acord cu tratarea imediată a reclamației dvs. sau dacă investigația imediată a reclamației nu este posibilă, compania va oferi clientului posibilitatea de a oferi o descriere detaliată în scris a reclamației pentru gestionarea Companie.
Descrierea conține:
• Numele și numărul camerei clientului
• Locul, ora și modul de depunere a reclamației
• Descrierea detaliată a plângerii clientului, lista documentelor și alte dovezi furnizate de client
• Contactul clientului (adresa, numărul de telefon sau adresa de e-mail)

Scopul prelucrării de date:
Furnizarea acestor date nu este obligatorie și are ca scop doar o investigație precisă a eventualelor reclamații și / sau permite Companiei să răspundă oaspeților.

Feedback-ul primite în acest mod și datele potențial furnizate de Oaspete nu pot fi urmărite înapoi la Oaspete sau legate de numele Oaspetelui, dar pot fi utilizate de către Companie în scopuri statistice.

Baza legală pentru procesare de date: 
Consimțământul dvs. voluntar este implicit. Vă reamintim că, în cazul în care nu primim acordul dvs. pentru prelucrarea datelor dvs. sau dacă retrageți acest acord, nu vom putea răspunde la întrebarea dvs. Retragerea consimțământului nu afectează prelucrarea legală înainte de retragerea acesteia. 

Perioada procesării de date:
Datele personale furnizate, împreună cu completarea Chestionarului pentru clienți sau a gestionării în scris a reclamațiilor, vor fi șterse de către Companie în termen de un an de la anul respectiv.
Compania va șterge adresa de e-mail și numele de utilizator furnizate pentru sistemul de evaluare online la cererea Oaspeților trimisă către privacyfeedback@szovata.ro.

Dacă doriți să vă exercitați oricare dintre drepturile menționate în secțiunea 1, cu privire la datele înregistrate în cursul activităților de mai sus sau dacă doriți să ne contactați din alte motive, vă rugăm să ne informați prin trimiterea unui e-mail către privacyfeedback@szovata.ro.

2.6    Camere de supraveghere
Compania operează camere de supraveghere în zona hotelurilor operate de companie pentru a asigura securitatea oaspeților și a proprietății acestora. Supravegherea camerei este indicată printr-un semn de avertizare cu text.

Scopul procesării de date:
Camerele sunt folosite pentru garantarea siguranței oaspeților și a bunurilor acestora. 

Supravegherea video este folosită pentru protecția proprietății, adică a bunurilor cu valoare considerabilă, și a obiectelor personale ale oaspeților, ținând seama de faptul că altfel nu ar fi posibilă constatarea infracțiunilor, prinderea făptuitorilor în timpul săvârșirii acesteia, prevenirea unor astfel de acte ilegale și furnizarea de dovezi. 

Baza legală pentru procesare de date:
 Interesul legitim al controlorului.

Perioada procesării de date:
Puteți primi mai multe informații despre perioada de procesare și gestionare a datelor în legătură cu sistemul de camere în fiecare hotel sau prin trimiterea unei astfel de cereri la privacyfeedback@szovata.ro.

2.7    Buletin informativ
Compania nu va trimite buletine de știri persoanelor fizice dacă persoana vizată nu este de acord. Persoanele vizate își dau consimțământul Companiei să trimită buletine de știri electronice pe adresa lor de e-mail, furnizând o adresă în cursul înscrierii la newsletter (pe site, prin e-mail sau prin print). Prin furnizarea adresei lor de e-mail, persoanele vizate acceptă să li se trimită materiale promoționale.

Când vă trimitem buletine informative, vă procesăm numele, adresa de e-mail și, ocazional, adresa dvs. de domiciliu. Atunci când setați preferințele buletinului informativ, puteți specifica subiectul buletinului informativ și, de asemenea, regiunea în care este trimis.

Compania va păstra datele personale furnizate pe o listă specială, separată de datele transmise Companiei în alte scopuri. Această listă este accesibilă numai personalului autorizat al companiei și procesatorilor de date. Compania nu va dezvălui lista sau datele niciunei terțe părți și / sau părți neautorizate și va lua toate măsurile de securitate pentru a împiedica accesul oricărei persoane neautorizate. 

Scopul procesării de date:
Scopul gestionării datelor legat de trimiterea buletinelor informative este de a furniza destinatarului informații cuprinzătoare, generale sau personalizate cu privire la cele mai recente oferte speciale ale Companiei.  

Baza legală a procesării de date:
Acordul dvs. voluntar. Vă reamintim că, dacă nu primim acordul dvs. pentru prelucrarea datelor dvs., nu vă vom putea trimite buletine de știri.

Perioada procesării de date:
Vă vom trimite buletine de știri doar atâta timp cât le solicitați. În cazul în care nu mai doriți să primiți buletine de știri, vă puteți dezabona în orice moment fie prin utilizarea link-ului dedicat la sfârșitul fiecărui buletin informativ sau prin notificarea la sovatahotel@szovata.ro, hirlevel@danubiushotels.com sau newsletter@danubiushotels.com.

De asemenea, vă puteți dezabona de la newsletter prin cerere scrisă la următoarea adresă poștală: S.C. Balneoclimaterica S.A., 545500 Sovata, Trandafirilor str. 99.

Transferul de date:
Datele sunt transferate în cadrul Grupului Danubius Hotels Group. Vă rugăm să aveți în vedere faptul că Arisendes.r.o., CP Regents Park Two Ltd., SlovenskeliecebnekupelePiešťany, a.s., SC Balneoclimaterica SA și LéčebnélázněMariánskéLázněa.s. pot fi indicate și ca expeditori ai buletinului informativ. Pentru mai multe informații, vă rugăm să consultați secțiunea 3. În ceea ce privește prelucrarea datelor în cadrul buletinelor informative, hotelurile menționate mai sus procedează în conformitate cu această politică.

Dacă doriți să vă exercitați oricare dintre drepturile menționate în secțiunea 1, cu privire la datele înregistrate în cursul activităților de mai sus sau în cazul în care doriți să ne contactați din alte motive, vă rugăm să ne informați prin trimiterea unui e-mail către sovatahotel@szovata.ro, hirlevel@danubiushotels.com sau newsletter@danubiushotels.com.

2.8    Europoints– Program de Fidelizare 
Scopul prelucrării de date:
Programul de fidelizare pentru clienți al Companiei (baza de date gestionată și administrată de Cardnet Co.) este un serviciu exclusiv oferit oaspeților hotelului - persoane fizice - în scopul de a oferi reduceri oaspeților care se întorc.
În cadrul programului, Compania procesează următoarele date personale:
În cazul unei persoane fizice:
• Numele
• Sexul
• Adresa poștală
• Adresa
• Numărul de telefon
• Adresa e-mail 
• Data nașterii (minorii cu vârsta sub optsprezece ani nu pot participa la program)
De asemenea, procesăm numărul și parola cardului de fidelizare.
Participarea la program poate necesita ocazional furnizarea de date personale suplimentare, caz în care Compania poate solicita datele date și poate informa persoana vizată despre scopul, maniera și durata gestionării datelor.

Baza legală a prelucrării de date: Participanții la program își dau consimțământul în mod expres companiei care administrează datele lor personale predate în scopul operării Programului de Fidelizare a clienților și / sau trimiterii buletinelor informative scrise în mod specific pentru membrii Programului de Fidelizare. Pe baza acestui consimțământ, datele cu caracter personal transmise vor fi gestionate atâta timp cât titularii datelor participă la programul respectiv. 

Procesarea datelor comune:
Pentru a facilita funcționarea programului dat, Compania are dreptul de a transfera datele furnizate reprezentanților săi, subcontractanților, procesatorilor de date și filialelor străine, cu condiția ca aceștia să nu poată transfera aceste date cu caracter personal unei terțe părți, cu excepția procesoarele lor de date. Obiectul transferului acestor date de către persoanele vizate face ca participarea lor la programul respectiv să fie invalidă, ceea ce implică eliminarea acestora din program.

Vă rugăm să aveți în vedere că, în ceea ce privește Programul de loialitate, din motive de interoperabilitate, Arisendes.r.o., CP Regents Park Two Ltd., SlovenskeliecebnekupelePiešťany, a.s., SC Balneoclimaterica SA și LéčebnélázněMariánskéLázněa.s. sunt controlori comuni. Pentru mai multe informații despre companii, consultați secțiunea 3. În ceea ce privește prelucrarea datelor, controlorii în comun procedează în conformitate cu această politică.

Perioada prelucrării de date:
Datele cu caracter personal vor fi prelucrate atâta timp cât persoana în cauză participă la program. Statutul de membru al programului de fidelizare pentru clienți va deveni inactiv în termen de 3 (trei) ani de la data ultimului serviciu hotelier utilizat. Societatea va păstra datele personale ale membrilor pentru perioada de timp definită în prevederile legilor fiscale și contabile relevante și le va șterge după acea perioadă.
Datele despre membrii programului de fidelizare pentru clienți pot fi utilizate în scopuri de cercetare de piață, însă aceștia trebuie să fie informați în prealabil cu privire la acest lucru, fiind necesar consimțământul lor prealabil.
Oaspeții pot solicita ștergerea datelor gestionate în programul de fidelizare a clienților prin trimiterea unui e-mail la adresa dep@danubiushotels.com sau sovatahotel@szovata.ro sau o scrisoare către adresa poștală a Companiei (Balneoclimaterica SA, str. 545500 Sovata, str. Trandafirilor 99.), cu condiția ca acest lucru să nu afecteze prelucrarea legală pe baza consimțământului înainte de retragerea sa. Vă reamintim că fără acordul dvs. este posibil să nu participați la Programul de loialitate.

2.9    Card Cadou Danubius 
Atunci când achiziționați un card cadou Danubius (în continuare: Card cadou), Clientul va furniza următoarele date personale:
•    numele
•    numele și adresa de facturare
•    numele oaspetelui
Scopul prelucrării de date:
Scopul gestionării datelor este de a menține contactul cu clientul și de a livra carduri cadou.

Baza legală pentru prelucrare de date:
Îndeplinirea contractului încheiat în vederea emiterii cardului cadou sau a voucherului. Datele sunt obligatorii, este o cerința pentru furnizarea serviciului.

Perioada prelucrării de date:
Datele personale obținute în acest mod vor fi păstrate de Companie timp de 10 ani, în conformitate cu prevederile legislației fiscale și contabile.

Dacă doriți să vă exercitați oricare dintre drepturile menționate în secțiunea 1, cu privire la datele înregistrate în cursul activităților de mai sus sau dacă doriți să ne contactați din alte motive, vă rugăm să ne informați prin trimiterea unui e-mail la sovatahotel@szovata.ro.

2.10    Date card debit/credit
În cazul rezervării de camere, vă solicităm să ne furnizați următoarele date ale cardului de debit:
•    Numele cardului de debit  
•    Numărul cardului de debit 
•    Data expirării cardului credit / cardului debit 
•    Ocazional, cod CVC/CVV 

Scopul prelucrării de date:
Efectuare de rezervări și perceperea sumei totale a rezervării dvs. sau doar o parte din aceasta, în funcție de anulare. 

Baza legală pentru prelucrare de date: 
Îndeplinirea contractului încheiat pentru prestare de servicii de rezervare a camerelor. Datele sunt obligatorii, este o cerință pentru  prestarea serviciului.

Perioada prelucrării de date:
Datele privind cardurile de debit vor fi criptate și vor fi dezvăluite exclusiv în scopuri de tranzacționare și numai persoanelor autorizate. După plecarea de la hotel, aceste date nu sunt dezvăluite, accesul la aceste date este interzis. Datele vor fi șterse după 10 ani.  

Dacă doriți să vă exercitați oricare dintre drepturile menționate în secțiunea 1, cu privire la datele înregistrate în cursul activităților de mai sus sau dacă doriți să ne contactați din alte motive, vă rugăm să ne informați prin trimiterea unui e-mail la sovatahotel@szovata.ro sau privacyfeedback@szovata.ro.

2.11 Social media (de ex. Facebook, Instagram)
Compania și hotelurile operate de Companie pot fi contactate individual și pe portalurile sociale Facebook și Instagram. Făcând clic pe butoanele "Like" și "Follow" de pe pagina dată, utilizatorii Facebook se pot abona la știrile publicate pe perete, făcând clic pe butonul "Dislike" se pot dezabona și prin ajustarea fluxului de știri, știrile pe care nu doresc să le urmărească pot fi, de asemenea, eliminate de pe peretele lor Facebook. Compania poate accesa profilurile "adepților", însă nu le înregistrează și nu le procesează în propriul sistem intern.

Scopul prelucrării de date:
Distribuirea conținutului pe pagina web al Companiei și al hotelurilor operate de Companie, împărtășirea altor știri și oferte, ținerea legăturii. Puteți să rezervați camere și să aflați cele mai recente oferte prin intermediul paginii Facebook.

Baza legală pentru prelucrare de date:
Acordul dvs. voluntar care poate fi retras în orice moment prin dezabonare. Retragerea consimțământului nu afectează prelucrarea legală pe bază de consimțământ înainte de retragerea sa. În cazul unei retrageri, nu veți primi notificări la newsfeed-ul dvs., știrile noastre nu vor fi postate în fluxul de știri și totuși puteți accesa în continuare știrile despre Companie, deoarece pagina noastră este publică.

Perioada prelucrării de date:
Datele sunt procesate până în momentul dezabonării dvs.

Nu se transferă datele și nu se angajează un operator de date.
Facebook și Instagram sunt controlori de date separați, independenți de noi. Vă rugăm să vizitați următoarele link-uri pentru mai multe informații cu privire la prelucrarea datelor Facebook, directivele privind protecția datelor și reglementările:
•    https://www.facebook.com/policies/cookies/
•    https://www.facebook.com/about/privacy/update
În ceea ce privește prelucrarea datelor de pe Instagram, puteți obține mai multe informații făcând clic pe link-ul de mai jos:

•    help.instagram.com

În cazul rezervărilor de camere, sistemul redirecționează automat vizitatorul către site-ul companiei. Gestionarea datelor se efectuează în conformitate cu articolul 2.1 (rezervarea camerei).

Compania publică, de asemenea, fotografii / videoclipuri despre diferite evenimente / hoteluri / restaurante etc. pe pagina de Facebook. Dacă este o fotografie a unui grup de persoane, Compania va solicita întotdeauna consimțământul scris prealabil al persoanelor vizate înainte de publicare.

Dacă doriți să vă exercitați oricare dintre drepturile menționate în secțiunea 1, cu privire la datele înregistrate în cursul activităților de mai sus sau dacă doriți să ne contactați din alte motive, vă rugăm să ne informați prin trimiterea unui e-mail la privacyfeedback@szovata.ro

2.12    Contact
Ne puteți contacta la oricare dintre datele noastre de contact (e-mail, Facebook, telefon, prin poștă sau prin intermediul formularelor create în acest scop, de exemplu, de ex. solicitare de informații). În astfel de cazuri, presupunem că sunteți de acord cu prelucrarea datelor personale pe care ni le-ați furnizat. 

Scopul prelucrării de date:
Menținerea contactului cu persoana solicitantă, răspunsul și rezolvarea întrebării / solicitării.

Baza legală pentru prelucrare de date:
Având în vedere că am fost contactați de dvs., baza legală a prelucrării datelor este consimțământul dvs. voluntar (presupus). Puteți să vă retrageți oricând consimțământul, însă în acest caz nu putem da curs solicitării dvs. Retragerea consimțământului nu afectează prelucrarea legală pe bază de consimțământ înainte de retragerea sa.

Rețineți că câmpurile de date ale anumitor formulare au fost dezvoltate în funcție de experiențele noastre, prin urmare vă solicităm numai să furnizați datele cele mai necesare pentru a răspunde întrebării / solicitării. Câmpurile obligatorii sunt marcate cu un asterisc roșu.

Perioada prelucrării de date:
După ce am răspuns la cererea, întrebarea sau plângerea dvs.relevantă, mesajele și datele personale obținute în acest context vor fi șterse după 5 ani după anul respectiv. 
Transfer de date:
Solicitarea de informații privind un anumit hotel trebuie / poate fi trimisă către membrilor relevanți ai Grupului Danubius Hotels Group. 

2.13 Datele înregistrate automat, cookie-urile și "codurile de remarketing"
2.13.1 Date înregistrate automat
Când deschideți site-ul nostru pe un dispozitiv (cum ar fi un laptop sau un computer desktop, un smartphone sau o tabletă), datele de selectare ale aparatului vor fi înregistrate automat. Datele înregistrate automat includ adresa IP a dispozitivului, data și ora vizitei site-ului nostru, tipul de browser și numele domeniului și adresa furnizorului dvs. de Internet. Datele înregistrate vor fi logate automat de către serverul web al site-ului, fără a fi nevoie de consimțământul dvs. sau de orice activitate dedicată din partea dumneavoastră. Sistemul folosește datele înregistrate pentru a genera automat date statistice. Aceste date nu pot fi asociate cu alte date cu caracter personal decât în cazul în care o astfel de asociere este impusă prin lege. Aceste date vor fi utilizate exclusiv într-o formă agregată și prelucrată, pentru a corecta erorile și pentru a îmbunătăți calitatea, serviciile noastre și pentru scopuri statistice.

Scopul prelucrării de date: 
Dezvoltarea tehnică a sistemului informatic, monitorizarea serviciului și generarea de date statistice. În cazul activităților frauduloase, aceste date pot fi utilizate și în colaborare cu furnizorul de Internet al utilizatorului și autoritățile de aplicare a legii pentru a determina sursa acestor activități frauduloase.

Baza legală pentru prelucrare de date: 
Cerințele privind prestarea serviciului, conform Legii CVIII din 2001 privind anumite aspecte ale serviciilor de comerț electronic și ale serviciilor societății informaționale, articolul 13 / A, secțiunea (3).

Perioada prelucrării de date:
30 de zile de la data  deschiderii site-ului nostru web. 

2.13.2.    Cookie-uri și tehnologii similare
Ce sunt cookie-urile?
Fișierele cookie sunt mici, pe bază de text, care sunt stocate pe unitatea hard disk a calculatoarelor sau a dispozitivelor inteligente până la data încheierii valabilității setate în fișierul cookie și sunt activate (trimiterea unei notificări către serverul web al site-ului) de fiecare dată când pagina web este deschisă într-un browser de pe dispozitiv. Paginile web utilizează cookie-uri în scopul înregistrării informațiilor privind utilizarea paginii (paginile vizitate, timpul petrecut pe pagini, informațiile de navigare, logout-urile etc.) și setările personale - dar aceste date nu pot fi asociate cu identitatea vizitatorului. Cookie-urile permit operatorilor de site-uri să întrețină site-uri ușor de utilizat și să îmbunătățească experiența utilizatorilor oferită de site-uri către vizitatori. 

Pe platforme unde cookie-urile nu sunt disponibile sau nu pot fi utilizate, alte tehnologii sunt aplicate pentru a atinge obiective similare cu cele de utilizare a modulelor cookie - exemplele includ ID-urile de anunțuri utilizate pe dispozitive mobile pe bază de Android.

Cookie-uri sunt de două tipuri: “ cookie-uri sesiune” și “ cookie-uri persistente”.

•    "Cookie-urile sesiune" sunt stocate temporar pe computer sau pe un dispozitiv inteligent pe perioada în care vizitatorul folosește site-ul; aceste module cookie permit sistemului să "memoreze" anumite informații, astfel încât vizitatorul să nu fie nevoit să le furnizeze de fiecare dată când deschide pagina web. Perioada de valabilitate a cookie-urilor sesiune este limitată la durata utilizării site-ului; scopul utilizării cookie-urilor sesiune este de a preveni pierderea datelor (de exemplu, când se completează un formular mai lung). La sfârșitul fiecărei utilizări a site-ului - fiecare sesiune - precum și atunci când browserul este închis, cookie-urile de acest tip sunt șterse în mod automat.

•    Cookie-urile persistente vor rămâne stocate pe computer sau pe un dispozitiv inteligent după închiderea paginii web. Cookie-urile de acest tip sunt utilizate pentru a permite site-ului să identifice vizitatorii care se întorc pe pagină. Cookie-urile persistente identifică vizitatorii care se întorc pe pagină prin asocierea ID-ului de pe server cu utilizatorul și, prin urmare, ele reprezintă o parte esențială a funcționalității paginilor web care necesită autentificarea utilizatorilor - de exemplu, pe magazinele web, pe site-urile web netbanking și pe site-urile webmail. Cookie-urile persistente nu conțin date personale, ele pot fi utilizate numai pentru identificarea unică a utilizatorilor prin asocierea lor cu elementul corespunzător din baza de date stocată pe serverul site-ului web. Riscul inerent de a utiliza cookie-urile persistente este că aceștia pot identifica numai browserul web, spre deosebire de utilizatorii înșiși, astfel încât dacă un utilizator utilizează un punct de acces public - cum ar fi un computer într-o cafenea Internet sau o bibliotecă publică - să se conecteze la un magazin web și nu reușește să se deconecteze din magazin la sfârșitul sesiunii, o altă persoană poate avea acces neautorizat la magazinul web, fiind identificată în mod fals de către sistem ca fiind utilizatorul original (și prin urmare autentificat).

Cum pot permite și dezactiva modulele cookie?
Majoritatea browserelor de Internet permit automat cookie-urile, dar utilizatorii le pot șterge sau respinge. Pe măsură ce fiecare browser este diferit, puteți seta preferințele cookie-urilor manual în Secțiunea Setări a browserului dvs. Dacă nu doriți să permiteți cookie-uri pe site-ul dvs., puteți modifica setările browserului dvs. pentru a putea primi notificări despre modulele cookie trimise pe dispozitivul dvs. sau pur și simplu să respingeți toate cookie-urile. De asemenea, puteți șterge oricând cookie-urile stocate pe computer sau pe dispozitive mobile. Pentru mai multe informații despre modificarea setărilor browserului, consultați funcția Ajutor a browserului dvs. Vă rrugăm să aveți în vedere că dacă alegeți să dezactivați modulele cookie, limitați funcționalitatea paginii web.

Ce fel de module cookie folosim?

1. Cookie-uri esențiale pentru funcționarea paginii web:
Aceste cookie-uri sunt esențiale pentru buna funcționare a paginii web, astfel încât, în cazul lor, baza legală a prelucrării datelor este cerința furnizării serviciului.
a.) Ghid de umplere
Scopul prelucrării datelor: să faciliteze completarea formularelor prin furnizarea automată a utilizatorului a datelor considerate corecte de către sistem.
Perioada de prelucrare a datelor: durata vizitei pe site

b) Ajutor de căutare
Scopul procesării datelor: Sesiunile de căutare Aids pentru a minimiza timpul de căutare
Perioada de prelucrare a datelor: durata vizitei pe site

c) Verificarea ortografică
Scopul prelucrării datelor: notificarea automată privind erorile de introducere a textului suspectate
Perioada de prelucrare a datelor: durata vizitei pe site

d) Identificarea setării limbii:
Scopul prelucrării datelor: Sistemul utilizează cookie-ul normal pentru a identifica în mod unic vizitatorul în timp ce utilizează site-ul web, pentru a putea "ține minte" setările de limbă ale vizitatorului.
Perioada de prelucrare a datelor: Acest modul cookie este stocat timp de 29 de zile.

e) cookie de rețele sociale (Facebook, Instagram, Google+, Youtube)
Scopul prelucrării datelor: Acest modul cookie permite partajarea conținutului paginii web, prin intermediul rețelelor sociale.
Perioada de prelucrare a datelor: Acest modul cookie este stocat pe durata partajării conținutului.

În ceea ce privește Facebook, vă rugăm să citiți secțiunea 2.11.

f) Player multimedia (YouTube)
Scopul procesării datelor: Acest modul cookie permite redarea de videoclipuri pe site.
Perioada de prelucrare a datelor: Acest modul cookie este stocat pe durata redării videoclipului.

2. Cookie-uri pentru obținerea unor date statistice
The sole function of these cookies is to obtain statistical data, which means they do not involve personal data. They monitor the visitor’s use of the website, which topics they prefer, what they click on, how they scroll on the website, what pages they visit. It is important to note that these cookies strictly obtain anonymous data. These cookies let us know, for example, how many visitors has our website per month. The obtained statistical data allow us to improve our website so they reflect the preferences of our users even more. Google Tag Manager (and Google Analytics) and Hotjar help us obtaining such statistical data. 

3. Cookie-uri marketing 
Scopul utilizării cookie-urilor de marketing este crearea și trimiterea de anunțuri personalizate.
Baza juridică a procesării datelor: Utilizarea acestor cookie-uri necesită întotdeauna consimțământul destinatarului pe care destinatarul ne-o poate acorda într-o fereastră pop-up de pe site. Utilizatorul își poate retrage consimțământul în orice moment, totuși retragerea consimțământului nu va afecta procesarea legală pe baza consimțământului înainte de retragerea sa. După retragerea consimțământului, anunțurile personalizate create pentru utilizator nu vor fi publicate pe alte site-uri.

a) Categorizarea bazată pe localizarea vizitei
Perioada de prelucrare a datelor: 269 de zile

b) Ofertele personalizate pe Facebook
Perioada de prelucrare a datelor: maximum 180 de zile

c) monitorizarea clicurilor pe anunțurile companiei
Perioada de prelucrare a datelor: 2 ani

Dacă doriți să vă exercitați oricare dintre drepturile menționate în secțiunea 1, cu privire la datele înregistrate în cursul activităților de mai sus sau dacă doriți să ne contactați din alte motive, vă rugăm să ne informați prin trimiterea unui e-mail la privacyfeedback@szovata.ro. 

Prelucrarea datelor comune:
În ceea ce privește datele prelucrate Arisendes.r.o., CP Regents Park Two Ltd., SlovenskeliecebnekupelePiešťany, a.s., SC Balneoclimaterica SA și LéčebnélázněMariánskéLázněa.s. sunt controlori comuni. Pentru mai multe informații, consultați secțiunea 3. În ceea ce privește prelucrarea datelor, controlorii în comun procedează în conformitate cu această politică.

2.13.3. Link-uri web 
Pagina noastră web poate conține link-uri web la site-uri care nu sunt administrate și operate de Companie și sunt legate de site-ul nostru în scopul furnizării de informații către utilizatori. Compania nu are nicio influență asupra conținutului și a stării de securitate a paginilor web gestionate de companiile partenere și, prin urmare, nu își poate asuma răspunderea pentru aceasta. Vă rugăm să consultați politicile de confidențialitate înainte de a furniza orice informații despre astfel de site-uri web pe care le vizitați.

2.14    Aplicații pentru locuri de muncă
În cazul în care aplicați pentru un loc de muncă în cadrul Companiei Balneoclimaterica, vom folosi informațiile pe care ni le furnizați numai pentru a vă procesa cererea și pentru a monitoriza statisticile de recrutare. 

Scopul procesării de date:
Scopul prelucrării datelor este de a permite furnizarea de informații către candidații la locuri de muncă cu privire la locurile de muncă promovate, selectarea solicitanților calificați, respectiv contactarea candidaților selectați.

Baza legală pentru procesare de date:
Consimțământul dvs., implicit pentru aplicații prin e-mail sau în format tipărit. Aveți dreptul să vă retrageți consimțământul în orice moment, prin e-mail sau printr-o scrisoare. Retragerea consimțământului nu afectează prelucrarea legală pe bază de consimțământ înainte de retragerea sa. Vă rugăm să aveți în vedere că, în timp ce furnizați datele solicitate în mod voluntar, nu putem continua cu cererea dvs. în lipsa oricărui document sau a datelor solicitate sau dacă vă retrageți acordul.

Perioada procesării de date:
După efectuarea selecției, procesăm CV-urile, datele personale și documentele solicitanților la anunțurile de locuri de muncă specifice trimise la noi în cadrul cererii lor, după cum urmează:

- Păstrăm cererea candidaților pe care nu am selectat-o pentru această slujbă în baza de date a candidatului nostru pentru o perioadă de un an de la efectuarea selecției. După un an, cererea și datele solicitantului sunt șterse din baza de date.

- Transmitem datele solicitantului selectat pentru această lucrare în baza de date a angajaților și le ștergem din baza de date a candidatului.

Procesarea aplicațiilor generale, nespecifice:
• Stocăm aplicația pe care o primim într-o scrisoare sau e-mail în baza noastră de date pentru o perioadă de un an. După un an, CV-urile și datele conținute de astfel de aplicații sunt șterse din baza de date.


Transfer de date:
Pe baza consimțământului din partea titularului de date, datele pot fi transferate către terți, cum ar fi Danubius Hotels Zrt și Arisendes.r.o. Pentru mai multe informații, vă rugăm să consultați secțiunea 3. Danubius Hotels Zrt. și Arisendes.r.o procesează datele obținute, conform acestei politici.

Dacă doriți să vă exercitați oricare dintre drepturile menționate în secțiunea 1, cu privire la datele înregistrate în cursul activităților de mai sus sau dacă doriți să ne contactați din alte motive, vă rugăm să ne informați prin trimiterea unui e-mail la privacyfeedback@szovata.ro sau hr.balneo@szovata.ro.

2.15    Personal
Toate informațiile din această Politică și toate drepturile descrise în secțiunea 1 se aplică și personalului companiei Balneoclimaterica și prelucrării datelor personale ale acestora.

Furnizăm personalului în mod direct informații complete despre politica noastră de confidențialitate a angajaților și despre prelucrarea datelor noastre personale.

2.16    Contacte de afaceri
În comun cu majoritatea companiilor, avem de-a face cu persoane din alte organizații și păstrăm numele lor, funcția lor de afaceri și datele de contact de afaceri.

Scopul prelucrării de date:
Permiterea celor două companii să comunice în vederea colaborării. 

Baza legală pentru prelucrare de date:
Baza noastră de legalitate pentru a face acest lucru reprezintă interesele noastre legitime în îndeplinirea contractului sau păstrarea legăturilor dintre companii. Nu vom folosi datele referitoare la aceste contacte de afaceri decât pentru a facilita afaceri cu cealaltă companie. De exemplu, nu vom comercializa servicii persoanelor fizice ale căror date deținem sau le transferăm unei terțe părți.
Perioada prelucrării de date:
Cel puțin o dată pe an, vom revizui înregistrările noastre de contacte de afaceri și vom șterge acele date care nu mai sunt actuale.
Aceeași politică se aplică prelucrării datelor cu caracter personal ale contactelor de presă.

3)    Informații de referință legale (inclusiv date de contact)

În conformitate cu GDPR, Danubius, în calitate de controlor al datelor personale pe care le prelucrează, trebuie să publice informații despre numele său legal și modul în care poate fi contactat, împreună cu alte detalii. Această secțiune conține toate informațiile solicitate de GDPR, împreună cu câteva informații juridice suplimentare utile.

Denumirea juridică completă a persoanelor juridice care operează hotelurile dvs. este:

SC Balneoclimaterica SA Sovata

Obiectul său de activitate este Operare și Servicii Hoteliere 

Sediul său actual este: 545500 Sovata, Str. Trandafirilor Nr.99.

Este înregistrată în România, cu numărul de înregistrare al societății: J26/266/1991 înregistrată de Oficiul Registrului Comerțuliu de pe lângă Tribunal.

Codul său fiscal este: RO 1245068

Numărul de telefon este: 0265-570940

Avocatul colaborator responsabil pentru protecția de date este: Rusu Aurelia Adriana. Poate fi contactată prin e-mail la aurelia.rusu@szovata.ro.

În scopul curățirii profilului, hotelurile Danubius au fost împărțite în două divizii: City Division cuprinde hoteluri de oraș, în timp ce Divizia SPA gestionează hoteluri balneare și wellness. Hotelurile din oraș sunt în continuare operate de către Danubius Zrt, în timp ce operarea hotelurilor de balneare și wellness a fost preluată de Arisendes.r.o. de MarianskeLazne Drept urmare, Danubius Zrt și Arisendes.r.o. acționează în calitate de controlori comuni pentru hotelurile indicate mai jos, în conformitate cu prevederile acestei politici. Dr. Helga Sztanó este responsabilă de problemele legate de protecția datelor care apar în cursul procesării comune a datelor.

Numele companiei: Arisendes.r.o.
Sediul social: Masarykova 22/5, 353 01 MariánskéLázně, Republica Cehă
Registrul Comerțului:  Krajskýsoud v Plzni
Număr înregistrare: C 33301
Cod identificare: 05456274.

Pe lângă Danubius Zrt / Danubius Hotels Zrt, proprietarii hotelurilor operate de Arisende sunt următorii: 

Numele companiei: CP Regents Park Two Ltd.
Sediul social: CP House, Otterspool Way, Watford WD25 7JP, UK
Număr înregistrare: 5307946.
Cod fiscal UE: GB 848957555

Numele companiei: SlovenskeliecebnekupelePiešťany, a.s. 
Numele prescurtat: SLKP, a.s.
Sediul social: Winterova 29, 921 29 Piešťany, Slovacia
Număr înregistrare: Obch. reg. KS Trnava, odd. Sa, vlozka č. 181/T 
Cod fiscal UE: SK2020389668

Numele companiei: SC Balneoclimaterica SA Sovata
Sediul social: Str, Trandafirilor nr. 99, Cod.545500, Romania
Cod fiscal UE: RO1245068
Număr înregistrare: J26/266/1991 

Numele companiei: LéčebnélázněMariánskéLázněa.s.
Sediul social: Masarykova 22, 353 29 MariánskéLázně, Republica Cehă
Număr înregistrare: B 196
Cod fiscal UE: CZ45359113

Companiile de mai sus alcătuiesc împreună Grupul Danubius Hotels.


4)    Termeni și prescurtări utilizate în prezenta Informare
Majoritatea definițiilor se referă la Regulamentul general al UE privind protecția datelor (GDPR). Acesta este un document legal și nu este posibilă o definiție scurtă într-un limbaj simplu, care este exactă. Scopul este de a oferi o explicație clară care să faciliteze înțelegerea cititorului, uneori poate fi exclusă din definiția juridică completă. Politica noastră este să respectăm cerințele complete ale GDPR, iar drepturile dvs. nu sunt afectate de nicio simplificare a explicațiilor de aici.

Termen sau Prescurtare    Explicație
Controlor    Persoana juridică care determină scopurile și mijloacele de prelucrare a datelor cu caracter personal;
Titular de date (persoana vizată)    Un individ viu sau în afara UE care se ocupă de o organizație din UE. O astfel de persoană este un "titular de date", iar în cadrul GDPR are drepturi asupra prelucrării datelor sale personale.

(Persoana fizică rezidentă în UE este, de asemenea, un titular de date cu drepturi echivalente atunci când se ocupă de o organizație non-UE care comercializează în mod specific în UE. Acest lucru nu este relevant în cazul societăților Danubius.)
UE    Uniunea Europeană
GDPR    Regulamentul general privind protecția datelor din UE, care a intrat în vigoare la 25 mai 2018.
Date personale    Orice informație referitoare la o persoană care este sau poate fi identificată printr-o mare varietate de metode, incluzând dar fără a se limita la:
• Numele persoanei, numărul de identificare, datele despre locație sau un identificator online sau
•    Unul sau mai mulți factori specifici identității fizice, fiziologice, genetice, mentale, economice, culturale sau sociale ale individului.
Prelucrare    Orice operațiune sau set de operațiuni care se efectuează asupra datelor cu caracter personal, indiferent dacă automat sau nu, însemnând inclusiv, dar fără a se limita la:

Colectare, înregistrare, organizare, structurare, stocare, adaptare sau modificare, regăsire, consultare, utilizare, dezvăluire prin transmitere, difuzare, combinare, restricționare, ștergere sau distrugere.
Prelucrător    O persoană juridică care prelucrează date cu caracter personal în numele unui controlor.
Profilare    Prelucrarea automată care utilizează date personale pentru a analiza sau prezice aspecte ale performanței la locul de muncă, situația economică, sănătatea, preferințele personale, interesele, fiabilitatea, comportamentul, locația sau mișcările unei persoane
Pseudonimizare    Criptarea sau păstrarea în alt mod a datelor cu caracter personal într-un mod în care acestea nu pot fi legate de un anumit titular de date fără informații suplimentare. Informațiile suplimentare trebuie păstrate separat și protejate prin măsuri tehnice și organizatorice pentru a preveni utilizarea neautorizată a acestora.
Categorii speciale de date 
    Există restricții foarte stricte privind prelucrarea datelor cu caracter personal în cadrul "categoriilor speciale". Acestea sunt:
• Datele care dezvăluie originea rasială sau etnică, opiniile politice, credințele religioase sau filosofice sau apartenența la sindicate,
• prelucrarea datelor genetice, a datelor biometrice în scopul identificării unice a unui individ, a datelor privind sănătatea sau viața sexuală sau orientarea sexuală a unei persoane sau
•    Condamnări penale.
Autoritatea de
supraveghere    Un organism public independent creat de un stat UE care să monitorizeze aplicarea GDPR și, dacă este necesar, să intervină pentru a proteja drepturile persoanelor în cadrul GDPR
Țară terță    Orice țară în afara UE
Transfer    Trimiterea datelor personale de la operator sau de la operator la o entitate juridică din afara UE.

Zásady ochrany osobných údajov spoločnosti
SLOVENSKÉ LIEČEBNÉ KÚPELE PIEŠŤANY, a.s.
OCHRANA OSOBNÝCH ÚDAJOV
 
ďakujeme, že ste navštívili túto webovú stránku. Spoločnosť SLOVENSKÉ LIEČEBNÉ KÚPELE PIEŠŤANY, a.s., so sídlom Winterova 29, 921 29 Piešťany, IČO: 34 144 790 (ďalej len „Spoločnosť“) si kladie za úlohu chrániť osobné údaje všetkých jej klientov a s účinnosťou od 25. 5. 2018 preto spracúva všetky osobné údaje v súlade s Nariadením Európskeho parlamentu a Rady EÚ 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane osobných údajov) (ďalej len „GDPR“) a zákonom č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „zákon o ochrane osobných údajov“). 

PRÁVA DOTKNUTÝCH OSÔB
 
Podľa GDPR, ktorého cieľom je umožniť dotknutým osobám väčšiu kontrolu nad osobnými údajmi je právo na prístup k osobným údajom, právo na opravu osobných údajov, právo na vymazanie osobných údajov (právo na zabudnutie), právo na obmedzenie spracúvania, právo na prenosnosť osobných údajov, Právo namietať proti spracúvaniu vrátane namietania proti profilovaniu (ak sa vykonáva), Právo podať sťažnosť dozornému orgánu, právo odvolať súhlas so spracúvaním osobných údajov.

Práva dotknutej osoby

 I. Právo na prístup k osobný údajom 

Dotknutá osoba má právo získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú, a ak tomu tak je, má právo získať prístup k týmto osobným údajom a tieto informácie: 
▪ účely spracúvania;
▪ kategórie dotknutých osobných údajov; 
▪ príjemcovia alebo kategórie príjemcov, ktorým boli alebo budú osobné údaje poskytnuté, najmä príjemcovia v tretích krajinách alebo medzinárodné organizácie; 
▪ ak je to možné, predpokladaná doba uchovávania osobných údajov, alebo ak to nie je možné, kritériá na jej určenie; 
▪ existencia práva požadovať od prevádzkovateľa opravu osobných údajov týkajúcich sa dotknutej osoby alebo ich vymazanie alebo obmedzenie spracúvania, alebo práva namietať proti takémuto spracúvaniu; 
▪ právo podať sťažnosť dozornému orgánu; 
▪ ak sa osobné údaje nezískali od dotknutej osoby, akékoľvek dostupné informácie, pokiaľ ide o ich zdroj; 
▪ existencia automatizovaného rozhodovania vrátane profilovania uvedeného v článku 22 ods. 1 a 4 GDPR a v týchto prípadoch aspoň zmysluplné informácie o použitom postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu.
 
Ak sa osobné údaje prenášajú do tretej krajiny alebo medzinárodnej organizácii, dotknutá osoba má právo byť informovaná o primeraných zárukách týkajúcich sa prenosu podľa článku 46 GDPR Prevádzkovateľ poskytne kópiu osobných údajov, ktoré sa spracúvajú. Za akékoľvek ďalšie kópie, o ktoré dotknutá osoba požiada, môže prevádzkovateľ účtovať primeraný poplatok zodpovedajúci administratívnym nákladom. Ak dotknutá osoba podala žiadosť elektronickými prostriedkami, informácie sa poskytnú v bežne používanej elektronickej podobe, pokiaľ dotknutá osoba nepožiadala o iný spôsob. Právo získať kópiu nesmie mať nepriaznivé dôsledky na práva a slobody iných.

II. Právo na opravu osobných údajov
 
Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú. So zreteľom na účely spracúvania má dotknutá osoba právo na doplnenie neúplných osobných údajov, a to aj prostredníctvom poskytnutia doplnkového vyhlásenia.

III. Právo na vymazanie (právo “na zabudnutie”)

Dotknutá osoba má tiež právo dosiahnuť u prevádzkovateľa bez zbytočného odkladu vymazanie osobných údajov, ktoré sa jej týkajú, a prevádzkovateľ je povinný bez zbytočného odkladu vymazať osobné údaje, ak je splnený niektorý z týchto dôvodov: 
▪ osobné údaje už nie sú potrebné na účely, na ktoré sa získavali alebo inak spracúvali; 
▪ dotknutá osoba odvolá súhlas, na základe ktorého sa spracúvanie vykonáva, podľa článku 6 ods. 1 písm. a) GDPR a neexistuje iný právny základ pre spracúvanie; 
▪ dotknutá osoba namieta voči spracúvaniu osobných údajov z dôvodu verejného záujmu alebo z dôvodu oprávneného záujmu prevádzkovateľa príp. tretej strany podľa článku 21 ods. 1 GDPR a neprevažujú žiadne oprávnené dôvody na ďalšie spracúvanie osobných údajov alebo 
▪ dotknutá osoba namieta voči spracúvaniu osobných údajov na účely priameho marketingu podľa článku 21 ods. 2 GDPR; 
▪ osobné údaje sa spracúvali nezákonne; 
▪ osobné údaje musia byť vymazané, aby sa splnila zákonná povinnosť podľa práva Únie alebo práva členského štátu, ktorému prevádzkovateľ podlieha; 
▪ osobné údaje sa získavali v súvislosti s ponukou služieb informačnej spoločnosti podľa článku 8 ods. 1 GDPR.
 
Ak prevádzkovateľ zverejnil osobné údaje a je ich povinný vymazať, so zreteľom na dostupné technológie a náklady na vykonanie opatrení podnikne primerané opatrenia vrátane technických opatrení tak, aby informoval ďalších prevádzkovateľov spracúvajúcich osobné údajov na základe ním zverejnených informácií, že dotknutá osoba žiada o výmaz všetkých odkazov na tieto osobné údaje na ich kópie alebo repliky. Právo na vymazanie sa neuplatňuje, pokiaľ je spracúvanie potrebné: 
▪ na uplatnenie práva na slobodu prejavu a na informácie; 
▪ na splnenie zákonnej povinnosti, ktorá si vyžaduje spracúvanie podľa práva Únie alebo práva členského štátu, ktorému prevádzkovateľ podlieha, alebo na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi; 
▪ z dôvodov verejného záujmu v oblasti verejného zdravia v súlade s článkom 9 ods. 2 písm. h) a i), ako aj článkom 9 ods. 3 nariadenia; 
▪ na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely podľa článku 89 ods. 1 GDPR, pokiaľ je pravdepodobné, že právo uvedené vyššie znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takéhoto spracúvania, alebo 
▪ na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov. 

IV. Právo na obmedzenie spracúvania 

Dotknutá osoba má právo na to, aby prevádzkovateľ obmedzil spracúvanie, pokiaľ ide o jeden z týchto prípadov: 
▪ dotknutá osoba namieta správnosť osobných údajov, a to počas obdobia umožňujúceho prevádzkovateľovi overiť správnosť osobných údajov; 
▪ spracúvanie je protizákonné a dotknutá osoba namieta výmaz osobných údajov a žiada obmedzenie ich použitia;
▪ prevádzkovateľ už nepotrebuje osobné údaje na účely spracúvania, ale potrebuje ich dotknutá osoba na preukázanie, uplatňovanie alebo obhajovanie právnych nárokov; 
▪ dotknutá osoba namietala voči spracúvaniu osobných údajov dôvodu verejného záujmu alebo z dôvodu oprávneného záujmu prevádzkovateľa príp. tretej strany podľa článku 21 ods. 1 GDPR, a to až do overenia, či oprávnené dôvody na strane prevádzkovateľa prevažujú nad oprávnenými dôvodmi dotknutej osoby. 

Ak sa spracúvanie osobných údajov z hore uvedených dôvodov obmedzilo, prevádzkovateľ môže takéto osobné údaje len uchovávať alebo ich spracúvať na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov, alebo na ochranu práv inej fyzickej alebo právnickej osoby, alebo z dôvodov dôležitého verejného záujmu Únie alebo členského štátu. Iné spracúvanie osobných údajov môže prevádzkovateľ uskutočniť len a základe súhlasu dotknutej osoby. Dotknutú osobu, ktorá dosiahla obmedzenie spracúvania v súlade s vyššie uvedeným, prevádzkovateľ informuje pred tým, ako bude obmedzenie spracúvania zrušené. 

V. Právo na prenosnosť údajov

Dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú, a ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto údaje ďalšiemu prevádzkovateľovi bez toho, aby jej prevádzkovateľ, ktorému sa tieto osobné údaje poskytli, bránil, ak: 
▪ sa spracúvanie zakladá na súhlase so spracúvaním bežných osobných údajov podľa článku 6 ods. 1 písm. a) alebo na súhlase so spracúvaním osobitnej kategórie osobných údajov podľa článku 9 ods. 2 písm. a) GDPR, alebo na zmluvných lebo predzmluvných vzťahoch v zmysle podľa článku 6 ods. 1 písm. b) nariadenia, a 
▪ ak sa spracúvanie vykonáva automatizovanými prostriedkami. Dotknutá osoba má pri uplatňovaní svojho práva na prenosnosť údajov právo na prenos osobných údajov priamo od jedného prevádzkovateľa druhému prevádzkovateľovi, pokiaľ je to technicky možné. Uplatňovaním práva na prenosnosť osobných údajov nie je dotknuté právo dotknutej osoby na výmaz osobných údajov podľa čl. 17 GDPR. Právo na prenosnosť sa nevzťahuje na spracúvanie osobných údajov, ktoré je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi. Právo na prenosnosť údajov nesmie mať nepriaznivé dôsledky na práva a slobody iných. 

VI. Právo namietať proti spracúvaniu vrátane namietania proti profilovaniu (ak sa vykonáva)

Dotknutá osoba má právo kedykoľvek namietať z dôvodov týkajúcich sa jej konkrétnej situácie spracúvanie osobných údajov, ktoré sa jej týka, a ktoré je vykonávané na vo verejnom záujme na základe článku 6 ods. 1 písm. e) alebo z dôvodu oprávneného záujmu prevádzkovateľa podľa čl. 6 ods. 1 písm. f) GDPR vrátane namietania proti profilovaniu založenému na uvedených ustanoveniach. Prevádzkovateľ nesmie ďalej spracúvať osobné údaje, pokiaľ nepreukáže nevyhnutné oprávnené dôvody na spracúvanie, ktoré prevažujú nad záujmami, právami a slobodami dotknutej osoby, alebo dôvody na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov. Ak sa osobné údaje spracúvajú na účely priameho marketingu, dotknutá osoba má právo kedykoľvek namietať proti spracúvaniu osobných údajov, ktoré sa jej týka, na účely takéhoto marketingu, vrátane profilovania v rozsahu, v akom súvisí s takýmto priamym marketingom. Ak dotknutá osoba namieta voči spracúvaniu na účely priameho marketingu, osobné údaje sa už na také účely nesmú spracúvať. 

VII. Právo podať sťažnosť dozornému orgánu 

Bez toho, aby boli dotknuté akékoľvek iné správne alebo súdne prostriedky nápravy, má každá dotknutá osoba právo podať sťažnosť dozornému orgánu, teda Úradu na ochranu osobných údajov SR, ak sa domnieva, že spracúvanie osobných údajov, ktoré sa jej týka, je v rozpore s GDPR. 

VIII. Právo odvolať súhlas so spracúvaním

V prípade, ak právnym základom spracúvania osobných údajov je súhlas dotknutej osoby, dotknutá osoba je oprávnená kedykoľvek svoj súhlas odvolať bez toho, aby to malo vplyv na zákonnosť spracúvania založeného na súhlase udelenom pred jeho odvolaním. Dotknutá osoba môže uplatniť právo kedykoľvek odvolať súhlas, a to aj pred uplynutím doby, na ktorú bol tento súhlas udelený nasledovne: 
▪ elektronicky správou zaslanou na adresu zodpovedna.osoba@spapiestany s tým, že v predmete správy uvedie „odvolanie súhlasu podľa GDPR“ 
▪ písomne zaslaním písomnej žiadosti na adresu sídla prevádzkovateľa, t.j. : SLOVENSKÉ LIEČEBNÉ KÚPELE PIEŠŤANY, a.s., Winterova 29, 921 29 Piešťany 

Obmedzenie práv dotknutej osoby 

Práva dotknutej osoby môžu byť obmedzené na základe práva SR pokiaľ bude rešpektovaná podstata základných ľudských práv a slobôd s cieľom zaistiť: 
a) bezpečnosť Slovenskej republiky, 
b) obranu Slovenskej republiky, 
c) verejný poriadok, 
d) plnenie úloh na účely trestného konania, 
e) iné dôležité ciele všeobecného verejného záujmu EU alebo SR, najmä ich hospodársky záujem alebo finančný záujem vrátane peňažných, rozpočtových a daňových záležitostí, verejného zdravia alebo sociálneho zabezpečenia, 
f) ochranu nezávislosti súdnictva a súdnych konaní 
g) predchádzanie porušeniu etiky v regulovaných povolaniach alebo regulovaných odborných činnostiach, 
h) monitorovaciu funkciu, kontrolnú funkciu alebo regulačnú funkciu spojenú s výkonom verejnej moci 
i) ochranu práv dotknutej osoby alebo iných osôb, 
j) uplatnenie právneho nároku, 
k) hospodársku mobilizáciu. 

Spôsob uplatnenia práv dotknutou osobou 

Dotknutá osoba môže uplatniť svoje práva nasledovne: 
▪ elektronicky správou zaslanou na adresu zodpovedna.osoba@spapiestany s tým, že v predmete správy uvedie „práva podľa GDPR“ 
▪ písomne zaslaním písomnej žiadosti na adresu sídla prevádzkovateľa, t.j. SLOVENSKÉ LIEČEBNÉ KÚPELE PIEŠŤANY, a.s., Winterova 29, 921 29 Piešťany 

Ak si dotknutá osoba uplatní právo na prístup k osobným údajom, na ich opravu a vymazanie, obmedzenie spracúvania, prenosnosť, alebo uplatní právo námietok voči spracúvaniu osobných údajov, prevádzkovateľ jej poskytne súčinnosť. Prevádzkovateľ vybavuje žiadosti dotknutých osôb, ktoré si uplatňujú svoje práva podľa GDPR bez zbytočného odkladu, najneskôr však do jedného mesiaca od doručenia žiadosti. V odôvodnených prípadoch je možné lehotu predĺžiť o ďalšie dva mesiace z dôvodu komplexnosti alebo veľkého počtu žiadostí. O predĺžení lehoty bude dotknutá osoba informovaná vždy pred uplynutím mesiaca. Prevádzkovateľ poskytuje všetky informácie v súvislosti s uplatnením práv dotknutej osoby bezplatne.


Zásady spravodlivého a transparentného spracúvania osobných údajov si vyžadujú, aby dotknutá osoba bola informovaná o existencii spracovateľskej operácie a jej účeloch. Informácie súvisiace so spracúvaním osobných údajov týkajúcich sa dotknutej osoby Spoločnosť dotknutej osobe poskytuje v čase získavania osobných údajov od dotknutej osoby, alebo ak sa osobné údaje získali z iného zdroja, v primeranej lehote po získaní osobných údajov v súlade s GDPR a zákonom o ochrane osobných údajov. Prevádzkovateľ získava a spracúva osobné údaje dotknutých osôb na nasledovné účely:

Činnosť akciovej spoločnosti
POSKYTOVANIE INFORMÁCIÍ PODĽA ČLÁNKU 13 GDPR
Totožnosť a kontaktné údaje prevádzkovateľa 
SLOVENSKÉ LIEČEBNÉ KÚPELE PIEŠŤANY, a.s., Winterova 29, 921 29 Piešťany, IČO: 34 144 790
Kontaktné údaje zodpovednej osoby                                        Zodpovedna.osoba@spapiestany.sk
Účel spracúvania osobných údajov                                                                                       Organizovanie valných zhromaždení, spravovanie akcií 
Právny základ spracúvania osobných údajov                                                                                                     Spracúvanie osobných údajov je zákonnou povinnosťou prevádzkovateľa v zmysle čl. 6 ods. 1 písm. c) GDPR najmä podľa zákon č. 513/1991 Zb. Obchodný zákonník a zákon č. 566/2001 Z. z. o cenných papieroch a investičných službách (zákon o cenných papieroch) 
Príjemcovia /kategórie príjemcov                                                                                                                            Okresný súd Trnava, 
Poskytovanie osobných údajov a dôsledky ich neposkytnutia                                                                 Poskytovanie osobných údajov je zákonnou povinnosťou za účelom spravovania jej akcií 
Prenos do tretej krajiny mimo EÚ, ak sa bude vykonávať                                                                                     Osobné údaje sa neprenášajú do tretej krajiny 
Doba uchovávania osobných údajov po skončení účelu                                                                                         Trvalá archívna hodnota 
Automatizované rozhodovanie vrátane profilovania                                                                                   Nevykonáva sa 
Práva dotknutej osoby                                                                                                                                                       Právo na prístup k osobným údajom, právo na opravu osobných údajov, právo na vymazanie osobných údajov (právo na zabudnutie), právo na obmedzenie spracúvania, právo na prenosnosť osobných údajov, Právo namietať proti spracúvaniu vrátane namietania proti profilovaniu (ak sa vykonáva), Právo podať sťažnosť dozornému orgánu, právo odvolať súhlas so spracúvaním osobných údajov. Podrobnosti k právam dotknutej osoby sú uvedené tu.
Danubius europoints
POSKYTOVANIE INFORMÁCIÍ PODĽA ČLÁNKU 13 GDPR
Totožnosť a kontaktné údaje prevádzkovateľa
SLOVENSKÉ LIEČEBNÉ KÚPELE PIEŠŤANY, a.s., Winterova 29, 921 29 Piešťany, IČO: 34 144 790 
Kontaktné údaje zodpovednej osoby                                                                         Zodpovedna.osoba@spapiestany.sk 
Účel spracúvania osobných údajov                                                                                                                         Danubius europoints: zvýhodnenie poskytovania ubytovacích služieb pre členov 
Právny základ spracúvania osobných údajov                                                                                                   Spracúvanie osobných údajov je záväzkový zmluvný vzťah prevádzkovateľa v zmysle čl. 6 ods. 1 písm. b) GDPR 
Príjemcovia /kategórie príjemcov                                                                                                                          Danubius Hotel Operation and Services, akciová spoločnosť, 1051 Budapest, Maďarsko, Policajný zbor: zákon č. 253/1998 Z. z. o hlásení pobytu občanov Slovenskej republiky a registri obyvateľov Slovenskej republiky v znení neskorších predpisov, zákon č. 404/2011 Z. z. o pobyte cudzincov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, sprostredkovatelia: Horizont Informatika Kft., Debrecen, Maďarsko, GUBI computer systems, s.r.o., Trnava; súdy, advokáti, Mestský úrad Piešťany (VZN), Obecný úrad Smrdáky (VZN) 
Poskytovanie osobných údajov a dôsledky ich neposkytnutia                                                                    Poskytovanie osobných údajov je zmluvnou povinnosťou. Bez poskytnutia osobných údajov Prevádzkovateľ nemôže zabezpečiť ubytovanie a pripísať body klientovi 
Prenos do tretej krajiny mimo EÚ, ak sa bude vykonávať                                                                                        Osobné údaje sa neprenášajú do tretej krajiny 
Doba uchovávania osobných údajov po skončení účelu                                                                                                  3 roky po skončení účelu 
Automatizované rozhodovanie vrátane profilovania                                                                                     Nevykonáva sa 
Práva dotknutej osoby                                                                                                                                                     Právo na prístup k osobným údajom, právo na opravu osobných údajov, právo na vymazanie osobných údajov (právo na zabudnutie), právo na obmedzenie spracúvania, právo na prenosnosť osobných údajov, Právo namietať proti spracúvaniu vrátane namietania proti profilovaniu (ak sa vykonáva), Právo podať sťažnosť dozornému orgánu, právo odvolať súhlas so spracúvaním osobných údajov. Podrobnosti k právam dotknutej osoby sú uvedené tu.

Jednorazový vstup
POSKYTOVANIE INFORMÁCIÍ PODĽA ČLÁNKU 13 GDPR
Totožnosť a kontaktné údaje prevádzkovateľa 
SLOVENSKÉ LIEČEBNÉ KÚPELE PIEŠŤANY, a.s., Winterova 29, 921 29 Piešťany, IČO: 34 144 790 
Kontaktné údaje zodpovednej osoby                                                                      Zodpovedna.osoba@spapiestany.sk 
Účel spracúvania osobných údajov                                                                                                                        Evidencia pohybu osôb, ktorí nie sú zamestnancami v priestoroch riaditeľstva Prevádzkovateľa 
Právny základ spracúvania osobných údajov                                                                                                    Spracúvanie osobných údajov je oprávneným záujmom prevádzkovateľa podľa čl. 6 ods. 1 písm. f) GDPR za účelom ochrany dotknutých osôb a ich majetku 
Príjemcovia /kategórie príjemcov                                                                                                                             Orgány činné v trestnom konaní (polícia, súdy) 
Poskytovanie osobných údajov a dôsledky ich neposkytnutia                                                                    Poskytovanie osobných údajov je oprávneným záujmom prevádzkovateľa 
Prenos do tretej krajiny mimo EÚ, ak sa bude vykonávať                                                                                     Osobné údaje sa neprenášajú do tretej krajiny 
Doba uchovávania osobných údajov po skončení účelu                                                                                               1 rok po uzatvorení knihy návštev 
Automatizované rozhodovanie vrátane profilovania                                                                                         Nevykonáva sa 
Práva dotknutej osoby                                                                                                                                                  Právo na prístup k osobným údajom, právo na opravu osobných údajov, právo na vymazanie osobných údajov (právo na zabudnutie), právo na obmedzenie spracúvania, právo na prenosnosť osobných údajov, Právo namietať proti spracúvaniu vrátane namietania proti profilovaniu (ak sa vykonáva), Právo podať sťažnosť dozornému orgánu, právo odvolať súhlas so spracúvaním osobných údajov. Podrobnosti k právam dotknutej osoby sú uvedené tu.

Marketing
POSKYTOVANIE INFORMÁCIÍ PODĽA ČLÁNKU 13 GDPR
Totožnosť a kontaktné údaje prevádzkovateľa 
SLOVENSKÉ LIEČEBNÉ KÚPELE PIEŠŤANY, a.s., Winterova 29, 921 29 Piešťany, IČO: 34 144 790
Kontaktné údaje zodpovednej osoby                                               Zodpovedna.osoba@spapiestany.sk
Účel spracúvania osobných údajov                                                                                                                             Priamy marketing 
Právny základ spracúvania osobných údajov                                                                                                  Spracúvanie osobných údajov je oprávneným záujmom prevádzkovateľa podľa čl. 6 ods. 1 písm. f) GDPR za účelom udržania kontaktu s dotknutou osobou, ktorá je zákazníkom Prevádzkovateľa
Príjemcovia /kategórie príjemcov                                                                                                                             Osobné údaje sa neposkytujú príjemcom a tretím stranám 
Poskytovanie osobných údajov a dôsledky ich neposkytnutia                                                                     Poskytovanie osobných údajov je oprávneným záujmom prevádzkovateľa za účelom skvalitnenia kontaktov s klientmi a poskytovaní im aktuálnych informácií o zľavách, nových službách a ďalších možnostiach 
Prenos do tretej krajiny mimo EÚ, ak sa bude vykonávať.                                                                                      Osobné údaje sa neprenášajú do tretej krajiny 
Doba uchovávania osobných údajov po skončení účelu                                                                                       1 rok po skončení účelu 
Automatizované rozhodovanie vrátane profilovania                                                                                           Nevykonáva sa 
Práva dotknutej osoby                                                                                                                                                  Právo na prístup k osobným údajom, právo na opravu osobných údajov, právo na vymazanie osobných údajov (právo na zabudnutie), právo na obmedzenie spracúvania, právo na prenosnosť osobných údajov, Právo namietať proti spracúvaniu vrátane namietania proti profilovaniu (ak sa vykonáva), Právo podať sťažnosť dozornému orgánu, právo odvolať súhlas so spracúvaním osobných údajov. Podrobnosti k právam dotknutej osoby sú uvedené tu.

Medicínska starostlivosť
POSKYTOVANIE INFORMÁCIÍ PODĽA ČLÁNKU 13 NARIADENIE EURÓPSKEHO PARLAMENTU A RADY EÚ 2016/679 O OCHRANE FYZICKÝCH OSÔB PRI SPRACÚVANÍ OSOBNÝCH ÚDAJOV A O VOĽNOM POHYBE TAKÝCHTO ÚDAJOV, KTORÝM SA ZRUŠUJE SMERNICA 95/46/ES (VŠEOBECNÉ NARIADENIE O OCHRANE OSOBNÝCH ÚDAJOV – „GDPR“) NA ÚČEL POSKYTOVANIA ZDRAVOTNEJ STAROSTLIVOSTI
Prevádzkovateľ 
SLOVENSKÉ LIEČEBNÉ KÚPELE PIEŠŤANY, a.s., Winterova 29, 921 29 Piešťany, IČO: 34 144 790 (ďalej len „Prevádzkovateľ“/ alebo „SLKP“) 
Dotknutá osoba                                                                                                                                                          Fyzická osoba ktorá je identifikovateľná na základe spracúvaných osobných údajov. V prostredí Prevádzkovateľa, ktorý je kúpeľným zariadením, je na účel poskytovania zdravotnej starostlivosti a s tým súvisiacich služieb je dotknutou osobou pacient (ďalej len „pacient“). 
Kontaktné údaje zodpovednej osoby                                                                              Zodpovedna.osoba@spapiestany.sk
Účel spracúvania osobných údajov                                                                                                                    Poskytovanie zdravotnej starostlivosti sa uskutočňuje v súlade so zákonom č. 576/2004 Z. z. o zdravotnej starostlivosti v platnom znení (ďalej len „zákon o zdravotnej starostlivosti“) a s tým súvisiace činnosti. Pretože prevádzkovateľom je kúpeľné zariadenie poskytujúce komplexné služby ubytovania, stravovania a zdravotnej starostlivosti, tak sa osobné údaje pacientov spracúvajú v rámci nasledovných spracovateľských činností: 
a) Rezervácia ubytovania                                                                                                                                                  b) Ubytovanie pacienta                                                                  c) Poskytovanie zdravotnej starostlivosti                                                                                                           d) Pacient, ktorý bol ubytovaný v zariadeniach SLKP môže byť oslovovaný v súvislosti s priamym marketingom                                                                                                                                                               e) Cookies. 
Informácie o právnom základe, rozsahu a spôsobe spracúvania osobných údajov, dobe ich uchovávania a o uplatnení práv dotknutej osoby u osobných údajoch spracúvaných na účel rezervácie ubytovania, ubytovania, priameho marketingu, ako aj spracúvania cookies tak ako to vyžaduje čl. 13 GDPR sú uvedené v rámci informačnej povinnosti k ubytovacím službám. Informácie sú prístupné tu.
Právny základ spracúvania osobných údajov na účel zdravotnej starostlivosti                                                  Osobné údaje na účel poskytovania zdravotnej starostlivosti v zdravotnej dokumentácii sa spracúvajú na základe zákona č. 576/2004 Z. z. o zdravotnej starostlivosti v platnom znení. Vedenie zdravotnej dokumentácie je povinnosť, ktorú Prevádzkovateľovi ukladá uvedený zákon, a teda SLKP spracúva osobné údaje na uvedený účel v zmysle čl. 6 ods. 1 písm. c) GDPR. 
Osobné údaje na účel zdravotnej starostlivosti môžu byť poskytnuté: 
- Priamo dotknutou osobou                                                                                                                                            - Prostredníctvom tretej strany, ktorou je v danom prípade zdravotná poisťovňa. 
a) Ak si pacient zabezpečuje liečebný pobyt sám (zdravotná poisťovňa nehradí úplné náklady spojené s liečením) okrem osobných údajov určených na rezervácie ubytovania poskytuje SLKP aj samotný návrh na liečenie obsahujúci osobné údaje patriace do osobitnej kategórie osobných údajov. Pretože ide o citlivé osobné údaje je vhodné realizovať rezerváciu pobytu cez on-line formulár, kde v poznámke „Osobitné požiadavky“ postačí uviesť len stručné označenie – kúpeľná liečba. Návrh na kúpeľnú liečbu je vhodnejšie posielať poštou nie v kópii e-mailom, pretože súčasťou tohto dokumentu sú aj citlivé osobné údaje týkajúce sa zdravia. 
Ak pacient alebo kúpeľný hosť osobitne kupuje alebo dokupuje procedúry na medicínskej recepcii jeho osobné údaje sa spracúvajú v súlade s čl. 6 ods. 1 písm. b) GDPR, pretože dochádza k záväzkovému vzťahu v zmysle Občianskeho zákonníka (zákon č 40/1964 Zb.), pričom nie všetky kúpené procedúry vyžadujú lekársku prehliadku.
b) V prípade zabezpečenia kúpeľného pobytu zdravotnou poisťovňou osobné údaje na účel zdravotnej starostlivosti poskytuje Prevádzkovateľovi príslušná zdravotná poisťovňa. 
Rozsah osobných údajov poskytovaných na účel zdravotnej starostlivosti                                                             Ak pacient alebo kúpeľný hosť osobitne dokupuje kúpeľné procedúry jeho osobné údaje v rozsahu meno priezvisko, typ procedúry a čas poskytnutia procedúry spracúva medicínska recepcia, pričom tento rozsah osobných údajov môže byť doplnený o údaj o ubytovaní (hotel a číslo izby), ak sú procedúry vyúčtované do nákladov na pobyt. Tento zoznam osobných údaje je nevyhnutný na dosiahnutie účelu a určuje ho Prevádzkovateľ. 
Absolvovanie niektorých procedúr vyžaduje prehliadku u lekára, ktorú musia absolvovať aj klienti, ktorí sú na relaxačnom a nie na liečebnom pobyte. V takom prípade ich zdravotný stav zhodnotí lekár. Lekár vedie zdravotnú dokumentáciu, v ktorej sú spracúvané osobné údaje. Vedenie zdravotnej dokumentácie je zákonnou povinnosťou Prevádzkovateľa ako poskytovateľa zdravotnej starostlivosti podľa zákona o zdravotnej starostlivosti. Zdravotná dokumentácia sa vedie v listinnej ale aj v elektronickej podobe. Rozsah osobných údajov, ktoré sa spracúvajú na účel zdravotnej starostlivosti určuje osobitný zákon o poskytovaní zdravotnej starostlivosti. Sú to nasledovné osobné údaje:                        - dátum a čas zápisu                                                                            - meno, priezvisko, dátum narodenia, rodné číslo, adresa bydliska a zdravotné údaje potrebné na zistenie anamnézy, údaje o poučení a informovanom súhlase,                                                                        - výsledky iných vyšetrení ak je to relevantné                                                                                                      - údaje o chorobe, údaje o priebehu a výsledkoch vyšetrení, liečby a ďalších významných okolnostiach súvisiacich so zdravotným stavom a s postupom pri poskytovaní zdravotnej starostlivosti                                     - údaje o rozsahu poskytnutej zdravotnej starostlivosti                                                                                     - údaje o službách súvisiacich s poskytovaním zdravotnej starostlivosti                                                          - epidemiologicky závažné skutočnosti                                                                                                                           - identifikačné údaje poskytovateľa                                                                                                                       - identifikačné údaje zdravotnej poisťovne. 
Poskytovanie osobných údajov na účel zdravotnej starostlivosti a dôsledky ich neposkytnutia Poskytovanie osobných údajov na účel zdravotnej starostlivosti je zákonnou povinnosťou pacienta. Bez poskytnutia osobných údajov v úplnom rozsahu nie je možné poskytnúť dotknutej osobe zdravotnú starostlivosť. 
Doba uchovávania osobných údajov po skončení účelu - poskytovania zdravotnej starostlivosti Osobné údaje po skončení účelu – teda po odchode pacienta zo zariadenia sa uchovávajú v medicínskom systéme 20 rokov. Okrem toho sa môžu osobné údaje uchovávať na účtovných dokladoch podľa zákona č. 431/2002 Z. z. o účtovníctve v platnom znení 10 rokov od vzniku účtovného dokladu (fakturovanie nákladov relevantnej zdravotnej poisťovni) 
Príjemcovia /kategórie príjemcov pre všetky uvedené účely                                                                                      Medzi príjemcov, ktorí majú /môžu mať prístup k osobným údajom patriacim do osobitnej kategórie osobných údajov patrí sprostredkovateľ GUBI computer systems, s.r.o. a subjekty zo zákona zdravotnej starostlivosti:                                                                                                                                         − Všeobecný lekár /lekár, ktorý ošetrenie odporúčal                                                                                                   − Osoby oprávnené nahliadať do zdravotnej dokumentácie                                                                                          − Orgány na účely sociálnej pomoci, štátnej sociálnej dávky alebo služieb zamestnanosti                                    − Dozorné orgány                                                                                                                                                       − Revízny lekár, revízny farmaceut a revízna sestra príslušnej ZP na účely kontrolnej činnosti v celom rozsahu,                                                                                                                                                                           − Úrad pre dohľad na účely dohľadu nad zdravotnou starostlivosťou a na účely prešetrovania sťažností v celom rozsahu,                                                                                                                                                    − Ministerstvo zdravotníctva, lekár samosprávneho kraja a sestra samosprávneho kraja na účely dozoru podľa osobitného predpisu;                                                                                                                                    − Posudkový lekár na účely lekárskej posudkovej činnosti pri výkone sociálneho poistenia,                                 − Posudkový lekár úradu práce, sociálnych vecí a rodiny na účely lekárskej posudkovej činnosti podľa osobitného predpisu v celom rozsahu,                                                                                                                          − Orgány činné v trestnom konaní. 
Prenos do tretej krajiny mimo EÚ pre všetky uvedené účely, ak sa bude vykonávať                                     Osobné údaje sa neprenášajú do tretej krajiny 
Automatizované rozhodovanie vrátane profilovania                                                                                         Nevykonáva sa
Práva dotknutej osoby                                                                                                                                                   Právo na prístup k osobným údajom, právo na opravu osobných údajov, právo na vymazanie osobných údajov (právo na zabudnutie), právo na obmedzenie spracúvania, právo na prenosnosť osobných údajov, Právo namietať proti spracúvaniu vrátane namietania proti profilovaniu (ak sa vykonáva), Právo podať sťažnosť dozornému orgánu, právo odvolať súhlas so spracúvaním osobných údajov. Podrobnosti k právam dotknutej osoby sú uvedené tu.

Monitorovanie verejne prístupných miest kamerami
POSKYTOVANIE INFORMÁCIÍ PODĽA ČLÁNKU 13 GDPR
Totožnosť a kontaktné údaje prevádzkovateľa 
SLOVENSKÉ LIEČEBNÉ KÚPELE PIEŠŤANY, a.s., Winterova 29, 921 29 Piešťany, IČO: 34 144 790
Kontaktné údaje zodpovednej osoby                                                   Zodpovedna.osoba@spapiestany.sk
Účel spracúvania osobných údajov                                                                                                                           ochrana právom chránených záujmov prevádzkovateľa - ochrana zdravia a majetku dotknutých osôb, ktoré sa nachádzajú na verejne prístupných priestoroch Prevádzkovateľa, ochrana majetku Prevádzkovateľa a odhaľovanie kriminality 
Právny základ spracúvania osobných údajov                                                                                                  Spracúvanie osobných údajov je oprávneným záujmom prevádzkovateľa podľa čl. 6 ods. 1 písm. f) GDPR za účelom ochrany dotknutých osôb a ich majetku 
Príjemcovia /kategórie príjemcov                                                                                                                            Orgány činné v trestnom konaní (polícia, súdy) 
Poskytovanie osobných údajov a dôsledky ich neposkytnutia                                                                 Poskytovanie osobných údajov je oprávneným záujmom prevádzkovateľa 
Prenos do tretej krajiny mimo EÚ, ak sa bude vykonávať                                                                           Osobné údaje sa neprenášajú do tretej krajiny 
Doba uchovávania osobných údajov po skončení účelu                                                                                                 15 dní od vytvorenia záznamu 
Automatizované rozhodovanie vrátane profilovania                                                                                    Nevykonáva sa 
Práva dotknutej osoby                                                                                                                                                 Právo na prístup k osobným údajom, právo na opravu osobných údajov, právo na vymazanie osobných údajov (právo na zabudnutie), právo na obmedzenie spracúvania, právo na prenosnosť osobných údajov, Právo namietať proti spracúvaniu vrátane namietania proti profilovaniu (ak sa vykonáva), Právo podať sťažnosť dozornému orgánu, právo odvolať súhlas so spracúvaním osobných údajov. Podrobnosti k právam dotknutej osoby sú uvedené tu.

Parkovanie

POSKYTOVANIE INFORMÁCIÍ PODĽA ČLÁNKU 13 GDPR
Totožnosť a kontaktné údaje prevádzkovateľa 
SLOVENSKÉ LIEČEBNÉ KÚPELE PIEŠŤANY, a.s., Winterova 29, 921 29 Piešťany, IČO: 34 144 790
Kontaktné údaje zodpovednej osoby                                        Zodpovedna.osoba@spapiestany.sk
Účel spracúvania osobných údajov                                                            Prevádzkovanie vstupového rampového systému spojené s pridelením a evidenciou parkovacích kariet. 
Právny základ spracúvania osobných údajov                                                                                                   Spracúvanie osobných údajov je zmluvnou povinnosťou prevádzkovateľa v zmysle čl. 6 ods. 1 písm. b) GDPR podľa zákona č. 40/1964 Zb. Občiansky zákonník 
Príjemcovia /kategórie príjemcov                                                                                                                               Súdy, polícia, advokáti 
Poskytovanie osobných údajov a dôsledky ich neposkytnutia                                                                     Poskytovanie osobných údajov je zmluvnou povinnosťou. Bez poskytnutia osobných údajov Prevádzkovateľ nemôže vystaviť ročnú parkovaciu kartu 
Prenos do tretej krajiny mimo EÚ, ak sa bude vykonávať                                                                                    Osobné údaje sa neprenášajú do tretej krajiny 
Doba uchovávania osobných údajov po skončení účelu                                                                                                 3 roky po skončení účelu 
Automatizované rozhodovanie vrátane profilovania                                                                                     Nevykonáva sa 
Práva dotknutej osoby                                                                                                                                                 Právo na prístup k osobným údajom, právo na opravu osobných údajov, právo na vymazanie osobných údajov (právo na zabudnutie), právo na obmedzenie spracúvania, právo na prenosnosť osobných údajov, Právo namietať proti spracúvaniu vrátane namietania proti profilovaniu (ak sa vykonáva), Právo podať sťažnosť dozornému orgánu, právo odvolať súhlas so spracúvaním osobných údajov. Podrobnosti k právam dotknutej osoby sú uvedené tu.

Pracovno-právne vzťahy

POSKYTOVANIE INFORMÁCIÍ PODĽA ČLÁNKU 13 NARIADENIA EURÓPSKEHO PARLAMENTUA RADY EÚ 2016/679 O OCHRANE FYZICKÝCH OSÔB PRI SPRACÚVANÍ OSOBNÝCH ÚDAJOV A O VOĽNOM POHYBE TAKÝCHTO ÚDAJOV, KTORÝM SA ZRUŠUJE SMERNICA 95/46/ES (VŠEOBECNÉ NARIADENIEO OCHRANE OSOBNÝCH ÚDAJOV) (ĎALEJ LEN „GDPR“) A ZÁKONA Č. 18/2018Z. Z. O OCHRANE OSOBNÝCH ÚDAJOV A O ZMENE A DOPLNENÍ NIEKTORÝCH ZÁKONOV

Totožnosť a kontaktné údaje prevádzkovateľa  
SLOVENSKÉ LIEČEBNÉ KÚPELE PIEŠŤANY, a.s., Winterova 29, 921 29 Piešťany, IČO: 34 144 790
Kontaktné údaje zodpovednej osoby                                                                                       Zodpovedna.osoba@spapiestany.sk
Účel spracúvania osobných údajov                                                                                                                                   Pracovno-právne vzťahy Právny základ spracúvania osobných údajov Spracúvanie osobných údajov je zmluvnou povinnosťou prevádzkovateľa v zmysle čl. 6 ods. 1 písm. b) GDPR a podľa zákona č. 311/2001 Z. z. Zákonník práce 
Rozsah spracúvaných osobných údajov                                                                                                        Prevádzkovateľ spracúva osobné údaje v rozsahu dokumentov, ako sú najmä: životopis, osobný dotazník, doklad o vzdelaní, potvrdenie alebo posudok o zdravotnom stave potrebnom na výkon práce, zápočet odpracovaných rokov, potvrdenie z Úradu práce, sociálnych vecí a rodiny, pracovná zmluva /dohoda o vykonaní práce/ dohoda o brigádnickej činnosti / pracovné ohodnotenia, rodinný stav, rodné listy detí, potvrdenie o školskej dochádzke, zápočet odpracovaných rokov, prihláška a odhláška do Sociálnej poisťovne, zdravotnej poisťovne, výkazy Sociálnej poisťovne, zdravotnej poisťovne, dovolenkové lístky, priepustky, príkazy na služobné cesty, fotografie, pričom Rozsah spracúvaných osobných údajov vychádza z požiadaviek osobitných zákonov v zmysle čl. 6 ods. 1 písm.c) GDPR, ktorými sú najmä:                                                                                                                            - Zákon č. 461/2003 Z. z. o sociálnom poistení v znení neskorších predpisov                                                - Zákon č. 580/2004 Z. z. o zdravotnom poistení v znení neskorších predpisov                                              - Zákon č. 595/2003 Z. z. o dani z príjmov v znení neskorších predpisov                                                         - Zákon č.43/2004 Z. z. o starobnom dôchodkovom sporení, 
Kópie úradných dokladov o dosiahnutom vzdelaní sa získavajú z dôvodu oprávneného záujmu prevádzkovateľa podľa čl. 6 ods. 1 písm. f) GDPR. Osobitne za účelom dokladovania napr. dozorným orgánom, že zamestnane c má odborné predpoklady pre prácu. 
Kópie úradných dokladov o zdravotnej spôsobilosti na prácu a o odbornej spôsobilosti na prácu vychádzajú z osobitných predpisov. Ich vydávanie potvrdzuje oprávnenie vykonávať danú prácu (napr. prácu s potravinami, s vyhradenými technickými zriadeniami ap.) a je založené na právnom základe čl. 6 ods. 1 písm. c) GDPR. Prevádzkovateľ nimi preukazuje dozorným a kontrolný orgánom spôsobilosť a oprávnenie zamestnanca vykonávať danú prácu na základe:                                                         - Zákona č. 124/2006 Z. z. o bezpečnosti a ochrane zdravia pri práci (§ 16 - platný preukaz /osvedčenie na vykonávanie činnosti vydaný inšpektorátom bezpečnosti práce/výchovno-vzdelávacou inštitúciou /strednou alebo vysokou školou)                                                                                         - Zákona č. 355/2007 Z. z. o ochrane, podpore a rozvoji verejného zdravia (lekárske posudky na prácu vrátane zdravotného preukazu na prácu s potravinami). 
Príjemcovia /kategórie príjemcov                                                                                                                                 Sociálna poisťovňa, zdravotné poisťovne, daňové úrady, školitelia v oblasti bezpečnosti a ochrane zdravia pri práci a v požiarnej ochrane, školitelia v odborných oblastiach, Štatistický úrad SR (Trexima, Bratislava), súdy, advokátske kancelárie 
Poskytovanie osobných údajov a dôsledky ich neposkytnutia                                                                   Poskytovanie osobných údajov je zmluvnou povinnosťou. Bez poskytnutia osobných údajov Prevádzkovateľ nemôže uzatvoriť pracovnú zmluvu s dotknutou osobou na výkon práce. 
Prenos do tretej krajiny mimo EÚ, ak sa bude vykonávať                                                                                   Osobné údaje sa neprenášajú do tretej krajiny Doba uchovávania osobných údajov po skončení účelu 50 rokov po skončení účelu 
Automatizované rozhodovanie vrátane profilovania                                                                                   Nevykonáva sa 
Práva dotknutej osoby                                                                                                                                             Dotknutá osoba má v súlade s GDPR nasledovné práva: Právo na prístup k osobným údajom, právo na opravu osobných údajov, právo na vymazanie osobných údajov (právo na zabudnutie), právo na obmedzenie spracúvania, právo na prenosnosť osobných údajov, Právo namietať proti spracúvaniu vrátane namietania proti profilovaniu (ak sa vykonáva), Právo podať sťažnosť dozornému orgánu, právo odvolať súhlas so spracúvaním osobných údajov. Podrobnejšie o jednotlivých právach sa dozviete tu.
Ubytovacie služby
POSKYTOVANIE INFORMÁCIÍ PODĽA ČLÁNKU 13 NARIADENIE EURÓPSKEHO PARLAMENTUA RADY EÚ 2016/679 O OCHRANE FYZICKÝCH OSÔB PRI SPRACÚVANÍ OSOBNÝCH ÚDAJOV A O VOĽNOM POHYBE TAKÝCHTO ÚDAJOV, KTORÝM SA ZRUŠUJE SMERNICA 95/46/ES (VŠEOBECNÉ NARIADENIEO OCHRANE OSOBNÝCH ÚDAJOV – „GDPR“) NA ÚČEL POSKYTOVANIAUBYTOVACÍCH SLUŽIEB
Prevádzkovateľ 
SLOVENSKÉ LIEČEBNÉ KÚPELE PIEŠŤANY, a.s., Winterova 29, 921 29 Piešťany, IČO: 34 144 790 (ďalej len „Prevádzkovateľ“/ alebo „SLKP“) 
Dotknutá osoba                                                                                                                                                            Fyzická osoba ktorá je identifikovateľná na základe spracúvaných osobných údajov. V prostredí prevádzkovateľa a na účel ubytovania a s tým súvisiacich služieb je dotknutou osobou hosť aj pacient (ďalej len „klient“). 
Kontaktné údaje zodpovednej osoby                                                                     Zodpovedna.osoba@spapiestany.sk
Účely spracúvania osobných údajov                                                                                                               Poskytovanie ubytovania v hotelových zariadeniach SLKP a s tým súvisiace činnosti Na účel poskytnutia ubytovania sa osobné údaje klientov spracúvajú v rámci nasledovných spracovateľských činností:
a) Rezervácia ubytovania                                                                                                                                               b) Ubytovanie klienta                                                                                                                                                       c) Ubytovaný klient môže využívať výhody členstva v systéme Danubius Europoints                                            d) Klient, ktorý bol ubytovaný v zariadeniach SLKP môže byť oslovovaný v súvislosti s priamym marketingom                                                                                                                                                                       e) Cookies. 
Právny základ spracúvania osobných údajov za účelom zabezpečenia ubytovania                                 Spracúvanie osobných údajov na účel poskytnutia ubytovania v hotelovom zariadení je spracúvaním osobných údajov na účel plnenia zmluvy o ubytovaní uzatvorenej podľa Občianskeho zákonníka v zmysle čl. 6 ods. 1 písm. b) GDPR, pričom rezervácia ubytovania je predzmluvným vzťahom. Zmluva o ubytovaní na prechodnú dobu je podľa Občianskeho zákonníka neformálnou zmluvou, a teda je ju možné uzatvoriť v akejkoľvek forme, čo znamená, že zmluva nemusí byť písomná. Zmluva o ubytovaní na prechodnú dobu sa uzatvára medzi Prevádzkovateľom na jednej strane a dotknutou osobou (hosťom) na druhej strane. Zmluvu je možné uzatvoriť:                                                                                  - Priamo s Prevádzkovateľom                                                                                                                                          - Prostredníctvom tretej strany (agentúra, cestovná kancelária, zdravotná poisťovňa). 
Rezervácia ubytovania                                                                                                                                        Ubytovanie v niektorom z našich hotelových zariadení je potrebné rezervovať. Spôsob a rozsah spracúvania osobných údajov na zabezpečenie rezervácie je nasledovný :                                                              a) V prípade rezervácie na účel ubytovania alebo relaxačného pobytu je vhodné využiť on-line rezervačný formulár prístupný na webovom sídle Prevádzkovateľa. On-line formulár je súčasťou informácií o každom ubytovacom zariadení Prevádzkovateľa. Na zabezpečenie rezervácie sa spracúvajú identifikačné osobné údaje v rozsahu meno, priezvisko, adresa a kontaktné osobné údaje v rozsahu e-mail alebo telefónne číslo. Tieto osobné údaje sú nevyhnutné na dosiahnutie účelu spracúvania – teda zabezpečenie rezervácie ubytovania. Predmetom spracúvania môžu byť aj osobné údaje týkajúce sa zdravia, ak ich dotknutá osoba poskytne v poznámke „Osobitné požiadavky“. Súčasťou rezervácie sú aj osobné údaje o spôsobe platby, a teda aj údaje o platobnej karte, príp. čísle účtu.                                                                                                                                                                                     b) V prípade rezervácie ubytovania na účel poskytovania kúpeľnej starostlivosti sa spracúvajú identifikačné osobné údaje v rozsahu meno, priezvisko, adresa, kontaktné osobné údaje v rozsahu e-mail alebo telefónne číslo a osobné údaje týkajúce sa poskytovania zdravotnej starostlivosti, ktorými sú údaje o zdravotnej poisťovni, rodné, dátum narodenia, adresa bydliska, indikácia, diagnóza, platnosť návrhu, kód vysielajúceho lekára. Tieto osobné údaje poskytuje Prevádzkovateľovi zdravotná poisťovňa pacienta poštou alebo on-line prístupom cez webové rozhranie. Súčasťou rezervácie sú aj osobné údaje o spôsobe platby: keďže pobyt môže hradiť zdravotná poisťovňa alebo aj pacient. V prípade ak liečebný pobyt uhrádza aj pacient Prevádzkovateľ spracúva aj údaje o platobnej karte, príp. čísle účtu ap. 
Ubytovanie                                                                                                                                                                    Osobné údaje na účel ubytovania sa v systéme hotelových služieb uchovávajú v nasledovnom rozsahu: meno, priezvisko, adresa, číslo občianskeho preukazu alebo číslo cestovného pasu, číslo víza a dátum narodenia, teda v takom rozsahu, aký ustanovuje zákon č. zákon č. 253/1998 Z. z. o hlásení pobytu občanov Slovenskej republiky a registri obyvateľov Slovenskej republiky v znení neskorších predpisov alebo zákon č. 404/2011 Z. z. o pobyte cudzincov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov 
Poskytovanie osobných údajov na účel rezervácie ubytovania na účel ubytovania a dôsledky ich neposkytnutia                                                                                                                                                   Poskytovanie osobných údajov je zmluvnou povinnosťou dotknutej osoby, teda klienta. Bez poskytnutia osobných údajov Prevádzkovateľ nemôže zabezpečiť ubytovanie vo vybranom hotelovom zariadení. 
Doba uchovávania osobných údajov po skončení účelu                                                                                       Osobné údaje po skončení účelu – teda po odchode klienta zo zariadenia sa uchovávajú v ubytovacom systéme 5 rokov. Okrem toho sa môžu osobné údaje uchovávať na účtovných dokladoch podľa zákona č. 431/2002 Z. z. o účtovníctve v platnom znení10 rokov od vzniku účtovného dokladu. 
Danubius Europoints                                                                                                                                             Ubytovaní klienti sa môžu stať členmi Danubius Europoints. Systém Danubius Europoinst je dobrovoľný a je na zvážení každého klienta. Členstvo sa získava na základe prihlášky za člena, ale členom sa podľa všeobecných ustanovení Danubius Europoints môžu stať len osoby, ktoré platia za služby poskytnuté v sieti hotelov patriacich do skupiny Danubius Europoints, pretože body a teda aj výhody sa získavajú na základe toho, osoba prihlásená za člena zaplatí za ubytovanie a útratu v hoteloch zúčastnených v programe Členstvo v tomto systéme umožňuje čerpať výhody plynúce z viacnásobných návštev v našich hoteloch alebo v sieti hotelov, ktoré sú súčasťou systému. Takže spracúvanie osobných údajov je záväzkovým vzťahom v zmysle Občianskeho zákonníka, nakoľko benefity je možné čerpať pri viacnásobnej návšteve zariadení patriacich do systému, a teda právnym základom spracovania osobných údajov je čl. 6 ods. 1 písm. b) GDPR. Na uvedený účel Prevádzkovateľ spracúva osobné údaje v rozsahu meno, priezvisko, dátum narodenia, adresa bydliska, e-mailová adresa, telefónne číslo, početnosť návštev hoteloch Prevádzkovateľa a početnosť návštev v hoteloch členov skupiny. Tieto hotely sa nachádzajú: 
v Slovenskej republike: Thermia Palace, Hotel Esplanade, Hotel Grand Splendid, Vila Trajan, Hotel Jalta &Dependances, Hotel Centrál, Hotel Vietoris, Hotel Morava
v Českej republike: Hotel Nové Lázně, Hotel Centrální Lázně, Hotel Hvězda, Grandhotel Pacifik, Hotel Butterfly, Hotel Vltava, Hotel Svoboda
v Maďarsku: Danubius Hotel Margitsziget, Danubius Grand Hotel Margitsziget, Danubius Thermal Hotel Sárvár, Danubius Thermal Hotel Bük, Danubius Thermal Hotel Aqua, Danubius Thermal Hotel Hévíz, 
v Rumunsku: Danubius Health Spa Resort Bradet, Danubius Health Spa Resort Sovata, Hotel Faget,
v Spojenom Kráľovstve: Danubius Hotel Regents Park 
Cookies                                                                                                                                                                            Webovú stránku v mene Prevádzkovateľa, t.j. Slovenských liečebných kúpeľov Piešťany spracúva maďarský partner Danubius Hotel Operation and Services, akciová spoločnosť, 1051 Budapest, Szent István tér 11, Maďarsko, ktoré využíva osobné údaje získané prostredníctvom cookies na cielenú reklamu. Podrobnosti o získavaní a využívaní cookies sú uvedené na webovom sídle SLKP v bode „2.17 Automaticky zaznamenané údaje, súbory cookie a "marketingové kódy" tu. 
Poskytovanie osobných údajov a dôsledky ich neposkytnutia                                                                    Poskytovanie osobných údajov je zmluvnou povinnosťou v prípade ak klient má záujem využívať benefity v rámci ubytovania v skupine. Bez poskytnutia osobných údajov nie je možné verifikovať početnosť pobytov u Prevádzkovateľa a poskytnúť benefity pre túto službu. 
Doba uchovávania osobných údajov po skončení účelu                                                                                               Účel spracúvania osobných údajov končí:                                                                                                                            - Ak sa klient do troch rokov od čerpania prvej služby viac v žiadnom z hore uvedených zariadení neubytuje,                                                                                                                                                                                 - Na základe žiadosti klienta. 
Osobné údaje sa likvidujú po 5 rokov od skončenia účelu                   
Priamy marketing                                                                                                                                                               SLKP ako prevádzkovateľ môže oslovovať svojich klientov po odchode kúpeľov za účelom preveriť spokojnosť klienta s poskytovanými službami, ako aj s cieľom udržovať kontakt s klientom zasielaním aktuálnych ponúk a zliav v súvislosti s ponukou služieb. Na uvedený účel sa spracúvajú osobné údaje v rozsahu meno, priezvisko, e-mailová adresa z dôvodu oprávneného záujmu Prevádzkovateľa, teda podľa čl. 6 ods. 1 písm. f) GDPR. 
Poskytovanie osobných údajov a dôsledky ich neposkytnutia                                                                    Spracúvanie osobných údajov je oprávneným záujmom Prevádzkovateľa . Bez poskytnutia osobných údajov nie je možné verifikovať početnosť pobytov u Prevádzkovateľa a poskytnúť benefity pre túto službu. 
Doba uchovávania osobných údajov po skončení účelu                                                                                             a) Prevádzkovateľ zasiela informácie o nových službách a ponukách dva roky od poslednej návštevy klienta. Následne sa osobné údaje zlikvidujú                                                                                                                  b) V prípade námietok dotknutej osoby na využívanie osobných údajov na účel priameho marketingu budú osobné údaje bezodkladne zlikvidované. 
Príjemcovia /kategórie príjemcov pre všetky uvedené účely                                                                                Medzi príjemcov, ktorí majú prístup k osobným údajom patrí sprostredkovateľ GUBI computer systems, s.r.o., Trnava, spoločný prevádzkovateľ Danubius Hotel Operation and Services, akciová spoločnosť, 1051 Budapest, Szent István tér 11, Maďarsko, ktorý prevádzkuje webovú aplikáciu a zabezpečuje podporu pre rezervačný systém, ďalej sprostredkovatelia akými sú Horizont Informatika Kft., Debrecen, Maďarsko a Cross Tinental, S.L. Melcior de Palau 161, Barcelona, Španielsko, príp. súdy a advokáti. 
Prenos do tretej krajiny mimo EÚ pre všetky uvedené účely, ak sa bude vykonávať                                     Osobné údaje sa neprenášajú do tretej krajiny 
Automatizované rozhodovanie vrátane profilovania                                                                                    Nevykonáva sa 
Práva dotknutej osoby                                                                                                                                                    Právo na prístup k osobným údajom, právo na opravu osobných údajov, právo na vymazanie osobných údajov (právo na zabudnutie), právo na obmedzenie spracúvania, právo na prenosnosť osobných údajov, Právo namietať proti spracúvaniu vrátane namietania proti profilovaniu (ak sa vykonáva), Právo podať sťažnosť dozornému orgánu, právo odvolať súhlas so spracúvaním osobných údajov. Podrobnosti k právam dotknutej osoby sú uvedené tu.

Wellness 
POSKYTOVANIE INFORMÁCIÍ PODĽA ČLÁNKU 13 GDPR
Totožnosť a kontaktné údaje prevádzkovateľa 
SLOVENSKÉ LIEČEBNÉ KÚPELE PIEŠŤANY, a.s., Winterova 29, 921 29 Piešťany, IČO: 34 144 790
Kontaktné údaje zodpovednej osoby                                                                      Zodpovedna.osoba@spapiestany.sk
Účel spracúvania osobných údajov                                                                                                                 Poskytovanie služieb wellnes 
Právny základ spracúvania osobných údajov                                                                                                  Spracúvanie osobných údajov je zmluvnou povinnosťou prevádzkovateľa v zmysle čl. 6 ods. 1 písm. b) GDPR 
Príjemcovia /kategórie príjemcov                                                                                                                              GUBI computer systems, s.r.o., Trnava 
Poskytovanie osobných údajov a dôsledky ich neposkytnutia                                                                  Poskytovanie osobných údajov je zmluvnou povinnosťou. Bez poskytnutia osobných údajov Prevádzkovateľ nemôže rozpísať časový plán poskytovania služieb a zabezpečiť ich poskytnutie zo strany oprávnených osôb 
Prenos do tretej krajiny mimo EÚ, ak sa bude vykonávať                                                                                   Osobné údaje sa neprenášajú do tretej krajiny 
Doba uchovávania osobných údajov po skončení účelu                                                                                               1 rok od poskytnutia procedúry 
Automatizované rozhodovanie vrátane profilovania                                                                                     Nevykonáva sa 
Práva dotknutej osoby                                                                                                                                                  Právo na prístup k osobným údajom, právo na opravu osobných údajov, právo na vymazanie osobných údajov (právo na zabudnutie), právo na obmedzenie spracúvania, právo na prenosnosť osobných údajov, Právo namietať proti spracúvaniu vrátane namietania proti profilovaniu (ak sa vykonáva), Právo podať sťažnosť dozornému orgánu, právo odvolať súhlas so spracúvaním osobných údajov. Podrobnosti k právam dotknutej osoby sú uvedené tu.

Oznamovanie protispoločenskej činnosti
POSKYTOVANIE INFORMÁCIÍ PODĽA ČLÁNKU 13 GDPR
Totožnosť a kontaktné údaje prevádzkovateľa 
SLOVENSKÉ LIEČEBNÉ KÚPELE PIEŠŤANY, a.s., Winterova 29, 921 29 Piešťany, IČO: 34 144 790
Kontaktné údaje zodpovednej osoby                                                                          Zodpovedna.osoba@spapiestany.sk 
Účel spracúvania osobných údajov                                                                                                                 Oznamovanie protispoločenskej činnosti 
Právny základ spracúvania osobných údajov                                                                                                   Spracúvanie osobných údajov je zákonnou povinnosťou prevádzkovateľa v zmysle čl. 6 ods. 1 písm. c) GDPR podľa zákona č. 307/2014 Z. z. o oznamovaní protispoločenskej činnosti 
Príjemcovia /kategórie príjemcov                                                                                                                             Polícia, súdy  
Poskytovanie osobných údajov a dôsledky ich neposkytnutia                                                                             Osobné údaje neposkytuje priamo dotknutá osoba 
Prenos do tretej krajiny mimo EÚ, ak sa bude vykonávať                                                                                       Osobné údaje sa neprenášajú do tretej krajiny 
Doba uchovávania osobných údajov po skončení účelu                                                                                                   3 roky    
Automatizované rozhodovanie vrátane profilovania                                                                                    Nevykonáva sa 
Práva dotknutej osoby                                                                                                                                          Právo na prístup k osobným údajom, právo na opravu osobných údajov, právo na vymazanie osobných údajov (právo na zabudnutie), právo na obmedzenie spracúvania, právo na prenosnosť osobných údajov, Právo namietať proti spracúvaniu vrátane namietania proti profilovaniu (ak sa vykonáva), Právo podať sťažnosť dozornému orgánu, právo odvolať súhlas so spracúvaním osobných údajov. Podrobnosti k právam dotknutej osoby sú uvedené tu.
 

nedávno shlédnuto
hotely
Balíčky a speciální nabídky