Politika privatnosti

Valamar Riviera d.d., sa sjedištem u Poreču, Hrvatska, Stancija Kaligari 1, OIB: 36201212847 (u daljnjem tekstu: „VALAMAR RIVIERA“ ili „mi“ ili „naš“), poštuje privatnost svake osobe čije osobne podatke prikuplja. U Politici privatnosti željeli bismo Vas obavijestiti o tome koje osobne podatke VALAMAR RIVIERA kao voditelj obrade prikuplja, u koju svrhu, kako ih štitimo i koja su Vaša prava. VALAMAR RIVIERA u nekim slučajevima nastupa kao voditelj obrade i za ispitanike koji su ujedno ispitanici društava s kojima VALAMAR RIVIERA ima sklopljene poduzetničke ugovore na temelju kojih upravlja turističkim dijelom poslovanja u okviru svojih ovlasti na temelju tih ugovora.

U slučaju rezervacije smještaja putem internetske stranice www.valamar.com Vaš voditelj obrade je VALAMAR RIVIERA, a može biti i Imperial Riviera d.d. sa sjedištem u Rabu, Hrvatska, Jurja Barakovića 2, OIB: 90896496260 managed by Valamar, HELIOS FAROS d.d. sa sjedištem u Starom Gradu (Grad Stari Grad), Hrvatska, Naselje Helios 5, OIB: 48594515409 managed by Valamar, Valamar Obertauern GmbH, sa sjedištem u Obertauernu, Austrija, Gamsleitenstraße 6, FN: 195893 d, managed by Valamar, Kesselspitze GmbH & Co KG, sa sjedištem u Obertauernu, Austrija, Alpenstraße 1, FN: 581638 a, managed by Valamar, ovisno u kojem objektu odsjedate. SAZNAJTE VIŠE
Dodatne informacije o obradi osobnih podataka i Vašim pravima možete pronaći u politikama privatnosti u nastavku.

Valamar Riviera d.d. Helios Faros d.d. Imperial Riviera d.d. Valamar Obertauern GMBH Kesselspitze GmbH & Co KG Valamar Marietta GmbH

Valamar Riviera d.d. politika privatnosti

Siječanj, 2024.

Valamar Riviera dioničko društvo za turizam, sa sjedištem u Republici Hrvatskoj, u Poreču, na adresi Stancija Kaligari 1, vodeća je hrvatska turistička kompanija koja upravlja hotelima, ljetovalištima i kamping ljetovalištima u poznatim turističkim destinacijama - u Istri, na otocima Krku, Rabu i Hvaru, u Makarskoj i Dubrovniku te u Obertauernu u Austriji. Valamar Riviera poštuje privatnost svake osobe čije osobne podatke obrađuje. U okviru ove Politike privatnosti, željeli bismo Vas obavijestiti o tome koje osobne podatke Valamar Riviera kao voditelj obrade prikuplja i obrađuje, u koju svrhu, kako ih štitimo i koja su Vaša prava.

Radi lakšeg snalaženja i bržeg dohvata informacije koju tražite, omogućili smo da klikom na naslov sadržaja brže dođete do teme koja vas zanima. U općem dijelu su naša općenita pravila koja se primjenjuju na svaku obradu osobnih podataka, dok smo u posebnom dijelu naveli naše najčešće slučajeve obrade osobnih podataka koji predstavljaju glavninu svih naših obrada.

OPĆI DIO

Voditelj obrade i zakonski okvir

Valamar Riviera, sa sjedištem u Republici Hrvatskoj, u Poreču, Stancija Kaligari 1, OIB: 36201212847 (dalje: Valamar Riviera ili mi ili naš), kao voditelj obrade, obvezuje se na zaštitu Vaših osobnih podataka. Prikupljanje i čuvanje podataka izvodi se u skladu s odredbama Uredbe EU 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka (dalje: Uredba), Zakona o provedbi Opće uredbe o zaštiti podataka (NN 42/2018) i ostalih propisa koji uređuju predmetno područje, a imaju primjenu u Republici Hrvatskoj.

Opseg primjene

Ova Politika privatnosti primjenjuje se na svaku obradu osobnih podataka koju obavlja Valamar Riviera kao voditelj obrade, osim ako je drugom politikom ili drugim dokumentom Valamar Riviere drukčije propisano za neku pojedinu obradu. Valamar Riviera u nekim slučajevima nastupa kao voditelj obrade i za ispitanike koji su ujedno ispitanici društava s kojima Valamar Riviera ima sklopljene ugovore o upravljanju turističkim objektima i sadržajima u okviru svojih ovlasti na temelju tih ugovora.

Ova Politika privatnosti podijeljena je na dva dijela: Opći dio i Posebni dio. Osnovna načela obrade osobnih podataka, kontakt podatci službenika za zaštitu osobnih podataka i ostale odredbe određene u Općem dijelu Politike privatnosti primjenjuju se bez iznimke na svaku obradu osobnih podataka bez obzira je li takva obrada posebno obrađena u Posebnom dijelu Politike privatnosti ili ne. U Posebnom dijelu Politike privatnosti detaljnije su obrađeni posebni slučajevi obrade podataka koji predstavljaju glavninu svih naših obrada.

Službenik za zaštitu podataka

Valamar Riviera imenovala je službenika za zaštitu osobnih podataka kojeg za pitanja vezana uz zaštitu osobnih podataka i za ostvarenje prava zajamčenih Uredbom svakodobno možete kontaktirati putem adrese: dpo@valamar.com odnosno putem pošte na adresu Valamar Riviera d.d., Stancija Kaligari 1, Poreč, Republika Hrvatska – za DPO.

Načela zaštite osobnih podataka

Valamar Riviera prepoznala je načela obrade podataka kao osnovne vrijednosti koje moraju biti poštovane tijekom cijelog ciklusa obrade osobnih podataka, od njihova prikupljanja pa sve do njihova uništenja ili drugog prestanka obrade. Obrađujemo podatke:

  • Zakonito – obrada će biti moguća ako je ista dopuštena zakonom, i to u granicama koje zakon dopušta.
  • Pošteno – uvažavajući specifičnosti svakog odnosa, primjenjujući sve adekvatne mjere za zaštitu osobnih podataka te ne sprječavajući ispitanika u ostvarivanju svojih prava.
  • Transparentno – informirajući ispitanike o obradama osobnih podataka. Od samog prikupljanja podataka kada su ispitanici informirani o svim aspektima obrade podataka pa sve do prestanka obrade podataka ispitanicima se pruža jednostavan i brz pristup vlastitim podatcima. Određene informacije mogu se ograničiti samo kada je to zahtijevano zakonom ili kada je to nužno za zaštitu trećih osoba.
  • Uz ograničenje svrhe – obrađujući osobne podatke u one svrhe u koji su prikupljeni, a u druge svrhe ako su za to ispunjeni uvjeti iz Uredbe. Podatci se mogu obrađivati u podudarne svrhe samo uzimajući u obzir: (a) svaku vezu između svrha prikupljanja osobnih podataka i svrha namjeravanog nastavka obrade; (b) kontekst u kojem su prikupljeni osobni podatci, posebno u pogledu odnosa između nas i ispitanika; (c) prirodu osobnih podataka, osobito činjenicu obrađuju li se posebne kategorije osobnih podataka u skladu s člankom 9. Uredbe ili osobni podatci koji se odnose na kaznene osude i kažnjiva djela u skladu s člankom 10. Uredbe; (d) moguće posljedice namjeravanog nastavka obrade za ispitanike te (e) postojanje odgovarajućih zaštitnih mjera.
  • Uz ograničenje pohrane – pohranjujući podatke u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podatci obrađuju, a duže samo ako je dopušteno propisima.
  • Uz smanjenje količine podataka – obrađujući podatke ako su primjereni, relevantni i ograničeni na ono što je nužno. Posebno se pazi da se ne prikupljaju podatci za koje ne postoji opravdana potreba za obradom.
  • Vodeći računa o točnosti – vodeći računa o točnosti i ažurnosti podataka i brišući netočne podatke u okviru mogućnosti.
  • Vodeći računa o cjelovitosti i povjerljivosti – pružajući tehničkim i organizacijskim mjerama odgovarajuću sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnoga gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera. Relevantne mjere primjenjuju se vodeći računa o rizičnosti svake vrste obrade podataka.

Zakonitost obrade osobnih podataka

Kako bi se poštovala zakonitost obrade osobnih podataka, obrađujemo osobne podatke samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedna od sljedećih pravnih osnova:

  • Obrada je nužna za izvršavanje ugovora u kojem je ispitanik strana ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora; ovo je najčešća svrha obrade podataka ispitanika gdje je okosnica postojeći ugovorni odnos ili ugovorni odnos koji se nastoji postići.
  • Obrada je nužna radi poštovanja pravnih obveza voditelja obrade. Valamar Riviera kao pravni subjekt ima brojne obveze koje su propisane raznim propisima. Ova obveza obuhvaća prikupljanje, a često i dostavu podataka državnim tijelima. Primjerice, obrada osobnih podataka dioničara koji se prijavljuju za glavnu skupštinu, obrada osobnih podataka gostiju i prosljeđivanje kroz sustav eVisitor.
  • Obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, uzimajući u obzir razumna očekivanja ispitanika koja se temelje na njihovu odnosu s voditeljem obrade, osobito ako je ispitanik dijete. Kod primjene ove pravne osnove procjenjujemo da je obrada primjerena poslovnim potrebama, da je što manje invazivna i da interesi ispitanika ne nadjačavaju naše legitimne interese ili legitimne interese treće strane. Primjer su za ovakvu obradu obrada u administrativne svrhe, svrhe očuvanja sigurnosti računalnih mreža, svrhe izravnog marketinga i unaprjeđenja našeg poslovanja. Ispitanik u ovim situacijama uvijek ima pravo prigovoriti na takvu obradu.
  • Obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe. Pravo na zaštitu osobnih podataka nije apsolutno pravo i ujednačavamo ga s drugim temeljnim pravima u skladu s načelom proporcionalnosti. Valamar Riviera uvažava mogućnost da je u nekim situacijama potrebno obrađivati osobne podatke kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe. Primjer za ovakvu obradu podataka su iznimni slučajevi bolesti, povrede gosta ili druge fizičke osobe iz kojih razloga je ponekad potrebno zatražiti osobni dokument gosta i zatražiti zdravstvene podatke koji spadaju u posebnu kategoriju osobnih podataka. Također u nekim izvanrednim situacijama primjerice u slučaju epidemija možemo obrađivati podatke na temelju preporuka Hrvatskog zavoda za javno zdravstvo.
  • Ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha. Kada obrađuje osobne podatke na temelju privole, posebno vodimo računa da su to situacije u kojima ne postoje nikakve, formalne ili neformalne, posljedice za davanje, odbijanje davanja ili uskraćivanja privole. Kada se obrada temelji na privoli, ispitanik može povući privolu u svakom trenutku bez negativnih posljedica. Povlačenje privole ne utječe na zakonitost obrade na temelju privole prije njezina povlačenja.

Vrste osobnih podataka koji se obrađuju

Posebne kategorije osobnih podataka: posebne kategorije osobnih podataka obrađuju se samo ako su ispunjeni uvjeti iz članka 9. Uredbe. Primjerice, obrađujemo podatke radnika koji spadaju u posebne kategorije osobnih podataka, kao što su podatci o članstvu u sindikatu (primjerice kod ostvarivanja posebnih prava prema relevantnim propisima), vjerskim ili filozofskim uvjerenjima (primjerice kod ostvarivanja prava na dodatne neradne dane za vjerske blagdane ako je pojedinac dobrovoljno otkrio takve podatke u navedenu svrhu) ili podataka koji se odnose na zdravlje (primjerice prema posebnim propisima o zaštiti na radu ili vođenja evidencije o radnicima ili kada se za određene poslove traže posebni certifikati o zdravstvenom stanju).

Podatci o kaznenim osudama i kažnjivim djelima: kada za to postoji zakonsko ovlaštenje, obrađujemo i osobne podatke koji se odnose na kaznene osude i kažnjiva djela, kao što su na primjer uvjerenja o nekažnjavanju za radnike prilikom javljanja na javne natječaje, ako je to zahtjev takvog natječaja.

Osobni podatci koji ne spadaju u prethodne dvije skupine: takvi osobni podatci čine najveći dio obrađenih podataka, a to su najčešće identifikacijski podatci i podatci za kontakt poput imena i prezimena, OIB, podatci koji nastaju na temelju kretanja u prostorijama pod videonadzorom.

Većinu osobnih podataka koje prikupljamo, pružaju sami ispitanici te molimo da ne navodite osjetljive informacije (primjerice rasu ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja, i slično) kada to nije nužno. Ako ćete ipak navoditi osjetljive informacije iz bilo kojeg razloga, tim činom dajete svoju izričitu privolu za prikupljanje i korištenje tih informacija na načine opisane u ovoj Politici privatnosti ili na način opisan u trenutku otkrivanja tih informacija.

Dostava podataka trećim subjektima

Valamar Riviera osobne podatke dijeli s drugima samo kada za to postoji zakonska osnova.

Moguće je da u određenim slučajevima dolazi do prijenosa osobnih podataka izvan Europske unije (EU) i Europskog gospodarskog prostora (EGP) i to u zemlje za koje ne postoji odluka Europske komisije o primjerenosti. U tim slučajevima osiguravamo poštovanje visokih standarda zaštite osobnih podataka, a u skladu sa strogim zahtjevima Uredbe i svaki prijenos osobnih podataka u treće zemlje bit će obavljen u skladu s poglavljem V. Uredbe. Najčešći modeli prijenosa u tim slučajevima su primjena standardnih ugovornih klauzula koje je odobrila Europska komisija te izričita privola ispitanika.

Pravne obveze
U okviru izvršavanja zakonskih obveza, obvezni smo dostavljati podatke trećim osobama. Primjerice, dostava podataka gostiju putem sustava eVisitor, dostava podataka radnika nadležnim zavodima: Hrvatskom zavodu za mirovinsko osiguranje, Hrvatskom zavodu za zdravstveno osiguranje, Poreznoj upravi te Središnjem registru osiguranika i mirovinskim društvima. Također obvezni smo u određenim slučajevima dostaviti ili staviti na uvid podatke u vezi sa zaposlenjem Hrvatskom zavodu za zapošljavanje, primjerice radi uključenja radnika u mjere aktivne politike zapošljavanja, nadležnim policijskim postajama odnosno ministarstvu nadležnom za unutarnje poslove, primjerice u slučaju boravka viših državnih dužnosnika u objektima, kao i za izdavanje dozvola za rad, ministarstvu nadležnom za poslove turizma u slučaju zapošljavanja stipendista, ministarstvu nadležnom za poslove gospodarstva i poduzetništva kada se radi o korištenju potpora za ulaganja, osiguravajućim društvima, bankama i u ostalim slučajevima kada propisi to nalažu. Također, određeni podatci radnika šalju se bankama ili mirovinskim fondovima u okviru isplata plaća, a podatci se mogu slati i vjerovnicima u skladu s ovršnim propisima. Ponekad se šalju podatci s obzirom na ugovorne obveze, primjerice kod učenika koji polaze učenje temeljeno na radu (praksa), podatci se razmjenjuju sa školama i/ili fakultetima.
Određeni osobni podatci dostavljaju se i poslovnim subjektima u svrhe pružanja specifičnih usluga kao primjerice usluge zdravstvenih pregleda radnika (ugovorena medicina rada), nadalje, institucijama koje organiziraju zakonski obvezne edukacije (zaštita na radu, higijenski minimum, toksikologija) ili revizorskim društvima kod provođenja obvezne revizije, javnim bilježnicima kada se traže ovjere, Financijskoj agenciji za potrebe ishođenja poslovnih certifikata, obveznicima javne nabave kada se javljamo na natječaje javne nabave, nadalje u svrhe dodjele i korištenja službenih kartica, službenih mobilnih uređaja ili za kupnju goriva.

Valamar Riviera kao management društvo
Poseban slučaj dostave podataka trećim subjektima odnosi se na činjenicu da Valamar Riviera ima sklopljene dugoročne ugovore o upravljanju turističkim sadržajima i objektima s nekoliko turističkih društava. To znači da upravljamo Valamarovim objektima koje čine naši smještajni objekti (u našem vlasništvu ili koje koristimo temeljem neke druge osnove) kao i smještajni objekti društava kojima upravljamo. Usluge upravljanja uključuju prvenstveno usluge vezane uz goste Valamarovih objekata, ali i ljudske potencijale. Obzirom na navedeno, ponekad dijelimo osobne podatke gostiju, kandidata za zaposlenje odnosno radnika Valamarovih objekata s društvima kojima upravljamo, odnosno ispitanici tih društava su i naši ispitanici sve u svrhu razvoja poslovanja i usluga Valamarovih objekata, informiranja o ponudama Valamarovih objekata, identifikacije ispitanika sa sličnim potrebama te analitike povezane s tržišnim kretanjima. Sva načela iz ove Politike odnose se i na ispitanike tih društava u segmentima u kojima smo uključeni kao voditelj obrade, međutim i ta su društva odgovorna kao voditelji svojih obrada podataka ispitanika. Politike privatnosti svih društava kojima upravljamo nalaze se na stranici https://www.valamar.com/hr/izjava-o-privatnosti.

Valamar Riviera kao turistička agencija
Obzirom da smo i turistička agencija, prosljeđujemo podatke trećima kada je to neophodno za realizaciju dogovorenih usluga. Primjerice, podatke gosta koji je rezervirao smještaj prosljeđujemo društvu koje pruža usluge konkretnog smještaja ili podatke kupaca nekog doživljaja prosljeđujemo organizatoru tog doživljaja.

Valamarovi partneri – izvršitelji obrade
Moguća je dostava podataka poslovnim subjektima, izvršiteljima obrade, koji obrađuju podatke u naše ime kao voditelja obrade. Najčešće su to naši poslovni suradnici koji nam pružaju određene usluge primjerice informatičke, marketinške, radi obrade plaćanja, radi usluga zaštite. Sa svim partnerima sklapamo detaljan ugovor u pogledu njihovih ovlasti i obveza kod obrade osobnih podataka, a sukladno zahtjevima Uredbe. Oni su također obvezni koristiti podatke koji su im povjereni isključivo u skladu s našim ugovorima i strogo za svrhu koju smo naveli. Također, obvezni su na ispravan način zaštititi vaše podatke i držati ih u tajnosti.

Vrijeme čuvanja podataka

Podatci ispitanika obrađuju se i čuvaju, u skladu s važećim zakonskim propisima, kada je obveza čuvanja propisana.

U slučajevima kada je Valamar Riviera ovlaštena sama utvrditi rokove čuvanja podataka, podatci se čuvaju onoliko koliko je potrebno radi ostvarivanja svrhe zbog koje se osobni podatci obrađuju vodeći računa o svrsi obrade, legitimnim interesima Valamar Riviere i interesima ispitanika. Kada za određenu obradu nismo u ovoj Politici privatnosti ili na drugom mjestu naveli koji je rok čuvanja podataka, obavještavamo Vas da je rok čuvanja 5 godina.

Nakon isteka predviđenog roka čuvanja podataka, podatke ćemo izbrisati, a u slučajevima u kojima to nije moguće, podatke ćemo učiniti nečitljivima.

Obrada osobnih podataka djece

Obrađujemo osobne podatke djece kada je to vezano uz naše usluge primjerice kada su djeca gosti naših objekata, posjetitelji Maro igraonica, ali i u drugim slučajevima primjerice kada maloljetni učenici kod nas polaze učenje temeljeno na radu (praksa). Ponekad ne možemo utjecati na korištenje naših usluga, primjerice u slučaju kada se djeca pojavljuju kao pratitelji naših profila na društvenim mrežama. Savjetujemo roditeljima i skrbnicima da pouče djecu o sigurnom i odgovornom postupanju s osobnim podatcima, posebice na internetu.

Izvori osobnih podataka

Osobne podatke najčešće dobivamo od Vas. Prilikom davanja osobnih podataka, na bilo koji način (rezervacija smještaja, prijava za posao, korištenje mobilne aplikacije, korištenje usluga restorana, wellnessa i sl.), jamčite da su informacije koje ste priložili točne, da ste poslovno sposobni i ovlašteni raspolagati danim informacijama te da ste u cijelosti suglasni da Vaše podatke upotrebljavamo i prikupljamo u skladu s pozitivnim propisima i uvjetima ove Politike privatnosti.

Također, Vaše osobne podatke dobivamo i posredno, od drugih fizičkih i pravnih osoba, primjerice: od turističkih agencija koje prosljeđuju podatke gostiju za potrebe smještaja, od gostiju koji rezerviraju smještaj za osobe s kojima će boraviti u objektima, od agencija za posredovanje pri zapošljavanju i ustupanje radnika, od poslovnih partnera o njihovim radnicima koji će sudjelovati u izvršavanju određenih ugovora i dr. Prilikom davanja osobnih podataka drugih osoba jamčite nam da su informacije koje ste priložili točne, da ste poslovno sposobni i ste ovlašteni raspolagati danim informacijama, da su ispitanici čije nam osobne podatke prosljeđujete suglasni da njihove podatke obrađujemo. Ako dajete podatke drugih osoba obvezni ste ih upoznati s našom Politikom privatnosti.

U određenim slučajevima, osobne podatke dobivamo i iz javnih izvora, primjerice, sudskog registra, vaših internetskih stranica, oglasa i slično.

Tehnička i integrirana zaštita podataka

Vodimo računa o najvišim organizacijskim i tehničkim standardima zaštite podataka. Stoga, uzimajući u obzir najnovija dostignuća, trošak provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca koji proizlaze iz obrade podataka, u vrijeme određivanja sredstava obrade i u vrijeme same obrade, provodimo odgovarajuće tehničke i organizacijske mjere za omogućavanje učinkovite primjene načela zaštite podataka.

Također, provodimo odgovarajuće tehničke i organizacijske mjere kojima se osigurava da integriranim načinom budu obrađeni samo osobni podatci koji su nužni za svaku posebnu svrhu obrade. Tu mjeru primjenjujemo na količinu prikupljenih osobnih podataka, opseg njihove obrade, razdoblje pohrane i njihovu dostupnost. Točnije, takvim se mjerama osigurava da osobni podatci nisu automatski, bez intervencije pojedinca, dostupni neograničenom broju pojedinca.

Kako bi se osigurala visoka razina sigurnosti prilikom obrade osobnih podataka te kako bi isti bili zaštićeni od slučajnog ili namjernog neovlaštenog pristupa, gubitka ili izmjene, osiguravamo pristup sustavima u koje se pohranjuje najveći broj osobnih podataka pojedinaca samo ovlaštenim osobama u mjeri potrebnoj za izvršavanje njihovih radnih zadataka i to kroz višestruki sustav autentifikacije te je isti osiguran od neovlaštenog pristupa i uporabe i redovito ažuriran.

Povrede osobnih podataka

Implementirali smo odgovarajuće tehničko organizacijske mjere kako bi rizik od povrede sveli na najmanju moguću mjeru, međutim ako ipak primijetite da je došlo do povrede osobnih podataka molimo Vas da nam bez odgađanja prijavite svaku takvu povredu na e-mail: dpo@valamar.com. Uspostavili smo interne mehanizme kako bi u takvim slučajevima pravodobno reagirali na odgovarajući način.

Sukladno Uredbi, ali i internim pravilnicima, u slučaju povrede osobnih podataka, bez nepotrebnog odgađanja i ako je izvedivo, najkasnije 72 sata nakon saznanja o toj povredi, izvješćujemo nadležno nadzorno tijelo o povredi osobnih podataka, osim ako nije vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinaca.

Izvješće koje se dostavlja nadzornom tijelu sadržava sve informacije sukladno Uredbi.

U slučaju povrede osobnih podataka koja povreda će vjerojatno prouzročiti visok rizik za prava i slobode pojedinaca, bez nepotrebnog odgađanja obavješćujemo ispitanika o povredi osobnih podataka. Ponekad, u slučajevima kada Uredba propisuje, obavješćivanje ispitanika nije obvezno.

Prava ispitanika

Bez obzira na osnovu prikupljanja podataka, ispitanici mogu besplatno ostvariti sljedeća prava u granicama koje propisuje Uredba:

Pravo na informiranje: imate pravo biti informiran o obradi i njezinim svrhama. Vodimo računa o pružanju svih informacija ispitaniku koje su neophodne za osiguravanje poštene i transparentne obrade uzimajući u obzir kontekst obrade.

Pravo na brisanje („pravo na zaborav“): imate pravo zatražiti brisanje osobnih podataka koji se na Vas odnose, bez nepotrebnog odgađanja, sukladno uvjetima iz Uredbe. Da biste to učinili, pošaljite svoj zahtjev nama kao voditelju obrade pisanim putem, uključujući i elektronički oblik komunikacije. Napominjemo kako je u zahtjevu potrebno specificirati što konkretno želite da se briše jer Vaše podatke možemo čuvati na temelju različitih pravnih osnova, primjerice ispitanik može biti i naš gost i kandidat za zaposlenje. Imate pravo tražiti brisanje osobnih podataka koji se na Vas odnose ako je ispunjen jedan od sljedećih uvjeta:

  • Vaši osobni podatci više nisu nužni u odnosu na svrhu u koju smo ih prikupili ili obradili
  • povukli ste privolu na kojoj se obrada temelji i ako ne postoji druga pravna osnova za obradu
  • uložili ste prigovor na obradu svojih osobnih podataka, ako ne postoje naši jači legitimni razlozi za obradu
  • osobni podatci nezakonito su obrađeni
  • osobni podatci moraju se brisati radi poštovanja pravne obveze.

U nekim slučajevima neće biti moguće u potpunosti ispuniti zahtjev za brisanjem, primjerice kada postoji zakonska obveza čuvanja, kada je legitimni interes voditelja obrade jači od interesa ispitanika, kada postoji interes voditelja obrade radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva.

Pravo na pristup podatcima: imate pravo na pristup svojim osobnim podacima koje obrađujemo o Vama i možete zatražiti detaljne informacije osobito o njihovoj svrsi obrade, o vrsti/kategorijama osobnih podataka koji se obrađuju uključujući i uvid u svoje osobne podatke, o primateljima ili kategorijama primatelja te o predviđenom razdoblju u kojem će osobni podaci biti pohranjeni. Pristup osobnim podatcima može biti ograničen samo u zakonom propisanim slučajevima odnosno kada se takvim ograničenjem poštuje bit temeljnih prava i sloboda drugih.

Pravo na ispravak: imate pravo na ispravljanje ili dopunjavanje osobnih podataka, ako Vaši podaci nisu točni, potpuni i ažurni. Da biste to učinili, pošaljite svoj zahtjev nama kao voditelju obrade pisanim putem, uključujući i elektronički oblik komunikacije. Napominjemo kako je u zahtjevu potrebno specificirati što konkretno nije točno, potpuno ili ažurno i u kojem bi smislu navedeno trebalo ispraviti te dostaviti potrebnu dokumentaciju u prilog svojih navoda.

Pravo na prenosivost podataka: imate pravo zaprimiti osobne podatke koji se odnose na Vas u strukturiranom, uobičajeno upotrebljavanom i strojno čitljivom formatu - te pravo prenijeti te podatke drugom voditelju obrade bez ometanja od strane voditelja obrade kojem su osobni podaci pruženi, sve u skladu sa zahtjevima Uredbe.

Pravo na ograničenje obrade: imate pravo tražiti ostvarenje prava na ograničenje obrade u slučaju:

  • ako osporavate njihovu točnost
  • ako je obrada nezakonita, a protivite se njihovom brisanju
  • ako voditelj obrade više ne treba osobne podatke ali ste ih zatražili radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva
  • ako ste uložili prigovor na obradu Vaših osobnih podataka i očekujete potvrdu nadilaze li legitimni razlozi voditelja obrade razloge ispitanika.

Pravo na prigovor obradi osobnih podataka: kada obrađujemo podatke na temelju svojih legitimnih interesa koji su jači od interesa ispitanika, tada ispitanik ima pravo na temelju svoje posebne situacije u svakom trenutku uložiti prigovor na obradu osobnih podataka koji se odnose na njega.

U svakom slučaju ispitanici imaju i pravo:

  • podnijeti prigovor Službeniku za zaštitu osobnih podataka
    Valamar Riviera d.d.,
    za DPO
    Stancija Kaligari 1, Poreč
    e-mail: dpo@valamar.com
  • podnijeti pritužbu nadzornom tijelu ako smatrate da su Vam povrijeđena prava na zaštitu podataka
    Agencija za zaštitu osobnih podataka
    Selska cesta 136, HR – 10 000 Zagreb
    e-mail: azop@azop.hr

Mi kao voditelj obrade imamo pravo na zaštitu naših interesa, kao i zaštite ispitanika te sukladno tomu ima pravo provesti aktivnosti utvrđivanja identiteta podnositelja zahtjeva.

Imamo pravo i objaviti obrazac koji će služiti za podnošenje zahtjeva kako bi se što učinkovitije postupilo po zahtjevu.

U slučaju postavljanja zahtjeva, pružit ćemo Vam informacije o poduzetim radnjama u vezi s ostvarivanjem vaših prava bez nepotrebnog odgađanja i u svakom slučaju u roku od mjesec dana od dana zaprimanja zahtjeva. Taj se rok može prema potrebi produljiti za dodatna dva mjeseca, uzimajući u obzir složenost i broj zahtjeva. U tom slučaju ćemo Vas obavijestiti u roku od mjesec dana od dana zaprimanja zahtjeva, zajedno s razlozima odgađanja.

Ako podnesete zahtjev elektroničkim putem, informacije ćemo pružiti elektroničkim putem, ako je to moguće, osim ako ne zatražite drukčije.

Napominjemo, da u slučaju zahtjeva, sve zahtjeve i prateću korespondenciju čuvamo u svrhu dokazivanja postupanja.

Postupanja po zahtjevima ispitanika u pravilu su besplatna, ali ako su zahtjevi ispitanika očito neutemeljeni ili pretjerani, a osobito zbog njihova učestalog ponavljanja, imamo pravo naplatiti razumnu naknadu na temelju administrativnih troškova ili odbiti postupiti po zahtjevu.

Svi zahtjevi koji nisu vezani uz zaštitu osobnih podataka, a dostavljeni su na adresu službenika za zaštitu podataka, npr. ponude kandidata za zaposlenje, upiti za rezervacije u Valamarovim objektima bit će proslijeđeni direktno u nadležne odjele unutar Valamar Riviere, bez posebnog odgovora pošiljatelju od strane službenika za zaštitu podataka. Isto tako, u slučaju potrebe, svi zahtjevi za vezani uz zaštitu osobnih podataka koje zaprime drugi naši odjeli na neke druge naše e-mail adrese, mogu se proslijediti našem službeniku za zaštitu osobnih podataka.

POSEBNI DIO

BORAVAK U VALAMAROVIM OBJEKTIMA (hoteli, apartmani, kampovi)

Osnovni predmet našeg poslovanja je pružanje usluga smještaja u Valamarovim objektima. U tu svrhu sklapamo s Vama ugovore o ugostiteljskim uslugama (o hotelskim uslugama, o smještaju u turističkim apartmanima i o uslugama kampiranja). Stoga, prikupljamo i obrađujemo Vaše osobne podatke u različite svrhe s krajnjim ciljem kvalitetnog pružanja usluge smještaja i popratnih usluga sve prema najvišim standardima turističkih društava.

Valamarovi objekti su naši smještajni objekti (u našem vlasništvu ili koje koristimo temeljem neke druge osnove) kao i smještajni objekti društava kojima upravlja Valamar.

Valamarovi objekti su:

  • Hoteli i apartmani (vile, apartmani, suitevi, case, sobe)
  • Parcele u kampovima
  • Mobilne kućice u kampovima (vile, suitevi i camping home, glamping šatori)

U slučaju rezervacije smještaja putem naših kanala prodaje (rezervacije putem internetske stranice, mobilne aplikacije ili rezervacije telefonskim pozivom u Valamarov pozivni centar (na temelju legitimnog interesa vodimo evidenciju poziva) ili rezervacije prihvaćanjem ponude e-poštom) Vaš voditelj obrade je Valamar Riviera, ali i druga društva ovisno u kojem objektu odsjedate.

Vaše osobne podatke, koje morate dostaviti da bi Vam se pružila usluga smještaja, čuvamo u svojoj bazi podataka u svrhu ispunjavanja ugovora o ugostiteljskim uslugama te ispunjavanja zakonskih obveza vezanih uz ugostiteljsku djelatnost. U slučaju da nam ne ustupite minimum podataka potreban za rezervaciju smještaja i prilikom odsjedanja za prijavu svim nadležnim registrima, nećemo biti u mogućnosti pružiti uslugu rezervacije smještaja odnosno uslugu smještaja sukladno ugovoru i zakonu.

Određeni podatci nužni su kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora o smještaju. Primjerice, prije same rezervacije smještaja, na upit - potencijalnih gostiju, šalju se ponude za smještaj, za čiju izradu i slanje trebamo osobne podatke, najmanje ime, prezime i e-adresu te informacije o željenom boravku.

Osobne podatke koje prikupljamo radi ispunjavanja obveze rezervacije su:

  • Ime i prezime nositelja rezervacije
  • Adresa prebivališta (hrvatski državljani)
  • Datum rođenja
  • Broj, vrsta identifikacijskog dokumenta i mjesto izdavanja
  • Državljanstvo
  • Ime objekta
  • Broj smještajne jedinice, vrsta smještajne jedinice (tip sobe)
  • Datum dolaska i odlaska
  • Broj osoba za koje se rezervira smještaj i razmještaj po sobama
  • Koje su osobe maloljetne
  • Eventualno ostale specifičnosti ovisno o zahtjevu osobe koja rezervira smještaj
  • E-adresa ako ju osoba ima
  • Jezik
  • Telefon
  • Članstvo u Programu vjernosti ako utječe na cijenu smještaja ili prikupljanje bodova
  • Način plaćanja i eventualno dodatne podatke nužne za potrebe izvršenje transakcija ili osiguranja plaćanja

S obzirom na to da je propisano da se podatci za prijavu gostiju upisuju na temelju podataka iz osobne iskaznice, odnosno putne ili neke druge isprave o identitetu, gost nam je dužan dati na uvid takvu ispravu te pružiti sve druge informacije koje su potrebne za upis podataka, a nisu sadržane u takvoj ispravi. Isto tako, za ostvarenje nekih prava i pogodnosti potrebno je priložiti (preslike) odgovarajuće isprave, potvrde i dokumente kojima se takva prava i pogodnosti dokazuju i ostvaruju.

Prilikom dolaska u Valamarov objekt, gosti se u pravilu prijavljuju na recepciji objekta putem registracijske kartice koju gost ispunjava odnosno pregledava i potvrđuje točnost podataka.

Gostima omogućujemo i samostalnu prijavu dolaska putem Check-in aplikacije putem koje gost samostalno unosi svoje osobne podatke na način da učita fotografiju svoje osobne isprave koja fotografija se ne sprema, već aplikacija iz nje učitava samo nužno potrebne osobne podatke.

U svakom slučaju, podatci se unose u bazu gostiju iz koje se podatci automatizmom šalju u sustav eVisitor (jedinstveni online informacijski sustav za prijavu i odjavu gostiju) radi poštovanja naših zakonskih obveza. Podatci koji se prikupljaju su sljedeći (podatci se mogu mijenjati s obzirom na izmjene pozitivnih propisa):

  • Ime i prezime
  • Mjesto, država i datum rođenja
  • Državljanstvo
  • Broj i vrsta identifikacijskog dokumenta
  • Prebivalište (boravište) i adresa
  • Datum i vrijeme dolaska, odnosno odlaska iz objekta
  • Spol
  • Temelj za oslobođenje od plaćanja turističke pristojbe odnosno za umanjenje plaćanja turističke pristojbe

Navedene podatke obrađuju turističke zajednice i tijela javne vlasti Republike Hrvatske u sljedeće zakonite svrhe:

  • praćenja izvršenja obveze prijave i odjave turista od strane obveznika prijave i odjave (pružatelja usluga smještaja)
  • evidencije, obračuna i naplate turističke pristojbe
  • vođenja knjige ili popisa gostiju od strane pružatelja usluga smještaja te praćenja izvršenja navedene obveze od strane inspekcijskih tijela vođenja
  • prijave stranaca ministarstvu nadležnom za unutarnje poslove te praćenja izvršenja navedene obveze od strane inspekcijskih tijela
  • vođenja popisa turista od strane turističkih zajednica te statističke obrade i izvještavanja
  • nadzora nad poslovanjem pružatelja usluge smještaja u dijelu koji se odnosi na zakonitost obavljanja djelatnosti odnosno pružanja registriranih usluga te poštovanja poreznih i drugih propisa o javnim davanjima.

Podaci o gostima u knjizi gostiju koja se vodi u elektronskom obliku se sukladno propisima čuvaju dvije godine. Mi ćemo čuvati određene podatke osoba koje su zatražile ponudu, rezervirale smještaj, otkazale smještaj, podatke gostiju u svrhu dokazivanja sadržaja odnosa sa ispitanikom, odnosno u svrhu postavljanja, ostvarivanja ili obrane pravnih zahtjeva u razdoblju od pet godina od zadnjeg boravka u Valamarovim objektima. U navedene svrhe čuvat ćemo podatke koji su potrebni za samu rezervaciju, kao i ostale podatke ovisno o pojedinom slučaju, primjerice: datum zaprimanja prigovora gosta i sadržaj prigovora, korespondencija i dr. Također, dužni smo čuvati i sve račune, kao i podloge za izdavanje računa izdane gostima s osobnim podatcima gosta sukladno zakonskim propisima.

Ostali podatci vezani uz okolnosti Vašeg boravka, kao primjerice zahtjevi za dječji krevetić također će biti prikupljeni i obrađivani samo tijekom Vašeg boravka kad imaju izravnu vezu s pružanjem konkretne usluge smještaja.

MARO IGRAONICE

U nekim Valamarovim objektima omogućujemo korištenje igraonica za djecu za naše goste. Kako bi Vaše dijete moglo koristiti MARO igraonicu potrebno je popuniti obrazac/iskaznicu za registraciju tzv. Dječju putovnicu u kojoj ćete navesti: ime i dob djeteta, period boravka u Valamarovom objektu, ime, prezime i mobitel roditelja/skrbnika, naziv Valamarovog objekta u kojem boravite i broj smještajne jedinice, te ima li dijete alergije. Zatražit ćemo i potpis na listu dolazaka/odlaska.

Svrha je zaštita i evidencija boravka djece, a pravna osnova Vaša privola. Valamarova putovnica sa podatcima čuva se za vrijeme trajanja konkretnog boravka u Valamarovom objektu.

MJENJAČKO MJESTO

Pružamo i usluge mjenjačnice na svojim mjenjačkim mjestima, u pravilu na recepcijama Valamarovih objekata. Valamar Riviera obvezna je, sukladno važećim propisima o sprječavanju pranja novca i financiranja terorizma, u nekim slučajevima utvrditi i provjeriti identitet osoba koje se služe uslugama mjenjačnice uvidom u službeni osobni dokument stranke u njezinoj nazočnosti te obaviti dubinsku analizu. U slučaju da ne možemo provesti mjere dubinske analize kada je za to propisana obveza, ne smijemo uspostaviti poslovni odnos ili obaviti transakciju, odnosno moramo prekinuti već uspostavljeni poslovni odnos te razmotriti treba li nadležnom državnom tijelu dostaviti obavijest o sumnjivoj transakciji, sredstvima i osobama.

Također, sukladno propisima obvezan je i videonadzor mjenjačkih mjesta. Podatci se čuvaju sukladno propisima na temelju naše zakonske obveze.

ČLANSTVO PROGRAMA VJERNOSTI

Valamar Riviera nositelj je Programa vjernosti Valamar Plus Club (dalje: Program vjernosti). Uvjeti članstva sadržani su u Pravilima Programa vjernosti koji se mogu pronaći na www.valamar.com/hr/program-vjernosti/valamar-plus-club/pravilnik-programa. Ulazak u Program vjernosti vrši se isključivo na temelju zahtjeva ispitanika, i to ponajprije gostiju Valamarovih objekata. Svaki član vjernosti (dalje: loy član) ima svoj korisnički račun za koji su potrebni određeni podaci.

Prihvaćanjem članstva potvrđujete da ste upoznati s obradom osobnih podataka i kreiranjem Vašeg profila kao člana Programa vjernosti od strane Valamara kao voditelja obrade.

U postupku kreiranja profila Valamar će obrađivati osobne podatke:

  • prikupljene prilikom popunjavanja pristupnice u članstvo odnosno otvaranja korisničkog računa (ime, prezime, spol, datum rođenja, e-adresa, broj mobitela, adresa (ulica, kućni broj, poštanski broj, grad i država)
  • o svim rezervacijama i boravcima (datumi dolaska i odlaska, objekti, tip smještajne jedinice)
  • prikupljene tijekom boravka (npr. objekt, broj djece, bračni status, jezik, kućni ljubimci, interesi i aktivnosti tijekom boravka, način putovanja, preferencija smještaja, preferencija odredišta, potrošnja i sl.)
  • prikupljene ispunjavanjem ankete zadovoljstva
  • vezane uz samo članstvo (identifikacijski broj članske kartice, broj bodova, broj iskorištenih bodova, razina članstva, način korištenja bodova, korištenje pogodnosti, jezik komunikacije, način oslovljavanja, sve podatke koje ispunite ažuriranjem svojeg profila u korisničkom računu kao što su: interesi, način putovanja, kućni ljubimci, željeni smještajni objekt, željena kategorija smještajnog objekta, željeno odredište, povezanost s društvenim mrežama).

Sve te kategorije osobnih podataka smatraju se važnima i očekivanima, jer ih koristimo kako bismo Vam mogli ispuniti svoje zadaće preuzete programom vjernosti (primjerice, datum rođenja je bitan za eventualno slanje informacije o nekoj pogodnosti u vrijeme vašeg rođendana u obliku popusta i slično) predlagati druge proizvode i obavještavati Vas o događajima za koje vjerujemo da ćete biti zainteresirani.

Član nije obvezan dati sve navedene podatke, bez ikakvih posljedica na članstvo, međutim neki osobni podatci nužni su za članstvo i ostvarenje prava na pogodnosti primjerice: ime, prezime, podatci o boravcima na temelju kojih se prikupljaju bodovi i sl. Također, u slučaju da nemamo neke podatke, moguće je da će naši newsletteri koje ćete primati manje odgovarati Vašim interesima, primjerice: ako nemamo podataka da ste zainteresirani za biciklizam, nema posljedica na članstvo, međutim tada možda nećete dobiti newsletter s nekim obavijestima o pogodnostima za ljubitelje biciklizma.

Navedeni podatci čuvaju se u bazi gostiju Valamara deset godina od učlanjenja ili od zadnjeg boravka u Valamarovim objektima.

Svrha obrade navedenih podataka je:

  • ostvarenja prava koja dobivate članstvom u Programu vjernosti
  • slanje servisnih poruka radi informiranja o bitnim uvjetima članstva (stanju bodova i razini članstva, nužnosti izmjene lozinke, novostima u Programu vjernosti, izmjenama pravila i slično)
  • bolje razumijevanje Vaših potrebe i preferencije kako bismo Vam slali personalizirane marketinške poruke s obavijestima o posebnim pogodnostima, posebnim ponudama o našim proizvodima i uslugama za koje biste možda bili zainteresirani, o čemu više nađite u poglavlju MARKETINŠKE PORUKE.

Posebno ističemo da član ima pravo prigovora na takvu obradu osobnih podataka bilo u odnosu na početnu ili daljnju obradu, u bilo koje vrijeme i besplatno.

Član može bilo kada i bez navođenja razloga prekinuti svoje članstvo u Programu vjernosti, uz pisanu obavijest na e-adresu info-loyalty@valamar.com ili telefonski na broj +385 52 408 222.

VALAMAR EXPERIENCE CONCIERGE (VEC)

Valamar Riviera je i turistička agencija koja gostima Valamarovih objekata i drugim osobama promovira, preporučuje, ali i rezervira i/ili prodaje robu, usluge i doživljaje primjerice: usluge wellnessa, najam sportske opreme i sportskih terena, mjesta u restoranu, izlete, ulaznice za koncerte, usluge prijevoza, skijaške usluge (zajedno dalje: VEC usluge).

VEC usluge se mogu kupiti ili rezervirati putem:

  • web stranice www.valamar-experience.com/hr (dalje: VEC web stranice)
  • prodajnih mjesta (guest relations i info pultovi i hospitality deskovi) u Valamarovim objektima
  • telefona
  • e-maila
  • aplikacija My Valamar i Places [PLACESAPP]

Ovisno o tipu VEC usluge koju želite kupiti ili rezervirati tražit ćemo Vas različite podatke, primjerice:

  • prilikom kupovine robe, usluga i doživljaja tražit ćemo Vas ime, prezime, e-mail adresu, adresa, grad, poštanski broj, država, broj mobilnog telefona
  • ako tražite uslugu transfera iz zračne luke do Valamarovog objekta ili obratno ili uslugu transfera unutar RH, tražit ćemo Vas ime, prezime, broj mobilnog telefona, podatak o broju rezervacije smještaja, broj i datum leta, a u slučaju prekograničnog transfera i državljanstvo
  • ako želite ostvariti kupovinu prekograničnog izleta, tražit ćemo Vas i datum rođenja, vrstu i broj identifikacijskog dokumenta
  • u slučaju da želite rezervirati skijaške usluge i/ili opremu, tražit ćemo Vas ime, prezime, spol, datum rođenja, e-mail, broj telefona, visinu, težinu, opseg glave i veličinu stopala

Neke navedene podatke navest ćemo i na vaučerima te potvrdama rezervacije kada je primjenjivo.

Svrha obrade podataka je uspješno odgovaranje na Vaš zahtjev, zatim identifikacija Vas kao Kupca, te sklapanje i ispunjenje ugovora i, u slučaju potrebe, kontaktiranja radi dostave na traženu adresu. Pravna osnova je prvenstveno ispunjenje pravnih obveza te izvršenje ugovora odnosno obrada je nužna kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora.

U slučaju da koristite VEC web stranice možete otvoriti svoj VEC korisnički račun kojom prilikom Vas tražimo sljedeće podatke: ime, prezime e-mail, i lozinku. O registraciji ćete dobiti potvrdu e-mailom. Svrha stvaranja profila je da Vam omogućimo uvid u rezervacije, povijest kupovine, liste želja te važeće ili istekle vaučere. Pravna osnova za stvaranje VEC profila je Vaša privola. Kreiranje korisničkog profila nije uvjet za kupovinu/rezervaciju usluga na VEC stranici.

U slučaju telefonskog poziva, temeljem legitimnog interesa vodimo evidenciju poziva.

Neke Vaše osobne podatke ćemo po potrebi, radi izvršenja ugovora, dostaviti onim našim društvima i partnerima koji nude pojedine usluge i robu odnosno organiziraju doživljaje koje ste kupili odnosno rezervirali, a u slučaju dostave robe i dostavnim službama. U tom su slučaju oni su daljnji voditelji obrade i upućujemo Vas da se upoznate s njihovim politikama privatnosti.

Podatke koje prikupljamo tijekom pružanja VEC usluga čuvat ćemo najduže pet godina radi eventualnih reklamacija na pružene usluge, a duže samo ako tako zahtijevaju posebni propisi (računovodstveni i sl.).

U slučaju popunjavanja upitnika o kvaliteti doživljaja i objave komentara na web stranici, isključivo uz vašu privolu, navedeni podatci čuvaju se jednu godinu.

Imamo pravo temeljem legitimnog interesa prikupljati određene podatke kupaca i koristiti ih u svrhu izravnog marketinga kako je opisano u poglavlju MARKETINŠKE PORUKE.

VALFRESCO WEB-TRGOVINA

Valfresco Direkt je naša internetska stranica www.valfresco.com (dalje: Valfresco web stranica) namijenjena pružanju usluga web trgovine prehrambenih i drugih proizvoda i naručivanja hrane i pića iz Valamarovih objekata. Prilikom kupnje preko Valfresco web stranice obrađujemo osobne podatke koje ste upisali u web-obrazac za Vaš korisnički račun (ime, prezime, e-adresa, broj telefona, adresa, adresa dostave) u svrhu identifikacije ispitanika kao Kupca, sklapanja i ispunjenja jednokratnog kupoprodajnog ugovora na daljinu te kontaktiranja radi dostave. Pravni je temelj ugovor, odnosno ispunjenje kupoprodajnog ugovora u kojem je kupac ugovorna strana. Također, obrada je nužna radi poštovanja naših zakonskih obveza.

Imamo pravo radi ispunjenja ugovora, ali i ispunjenja zakonske obveze, kupcu e-poštom, SMS-om i/ili preko instant messaging platforme slati tzv. servisne poruke – potvrde o sklopljenom ugovoru, račune, potvrde narudžbe i ostale obavijesti usko vezane uz konkretnu kupnju.

Također, nakon kupnje, imamo pravo na temelju legitimnog interesa kupcima e-poštom, SMS-om i/ili preko instant messaging platforme slati upitnike o zadovoljstvu i zamoliti kupce da ocijene našu uslugu i proizvode ako to žele. Primarna je svrha upitnika o zadovoljstvu prikupljanje podataka o usluzi radi legitimnog interesa unaprjeđenja naših usluga. Te podatke iz upitnika možemo depersonalizirati i obrađivati u statističke svrhe za vlastite potrebe analiziranja poslovanja i unaprjeđenja usluge.

Pozivom telefonskog broja web-trgovine, možemo sakupljati podatke vezane uz svrhu poziva, primjerice, ako se radi o obavljenoj kupnji, prikupljat ćemo ime, prezime, broj narudžbe kako bismo mogli odgovoriti na zahtjev. Također, na temelju legitimnog interesa vodimo evidenciju poziva.

Imamo pravo temeljem legitimnog interesa prikupljati određene podatke kupaca i koristiti ih u svrhu izravnog marketinga kako je opisano u poglavlju MARKETINŠKE PORUKE.

NAGRADNE IGRE I NAGRADNI NATJEČAJI

Valamar Riviera može povremeno organizirati i nagradne igre i natječaje, u kojem slučaju će prikupljati Vaše osobne podatke samo ako se odlučite sudjelovati u nagradnoj igri odnosno natječaju. Podatci koji će se na taj način prikupljati i koji su nužni za sudjelovanje u nagradnoj igri/natječaju bit će određeni u pravilima nagradne igre/natječaja, te mogu biti različiti. Moguće da će se podatci nagrađenih odnosno pobjednika i javno objaviti.

Tako prikupljeni podatci na temelju svojevrsne ugovorne obveze koristit će se u svrhu provođenja nagradne igre/natječaja, sukladno objavljenim pravilima nagradne igre, te brisati u roku od pet godina nakon završetka.

Često će biti slučaj da gosti koji popunjavaju anketni obrazac za ocjenu kvalitete usluge u Valamarovim objektima mogu sudjelovati i u nagradnoj igri što će biti jasno naznačeno na samom obrascu.

Imamo pravo na temelju legitimnog interesa prikupljati određene podatke sudionika u našim nagradnim igrama i natječajima i koristiti u svrhu izravnog marketinga kako je opisano u poglavlju MARKETINŠKE PORUKE.

JAVNE OBJAVE

Valamar Riviera putem svojih internetskih stranica, medija, profila na društvenim mrežama, internog časopisa VIV (bilo u tiskanom ili e-izdanju), videozidova i oglasnih ploča u objektima objavljuje informacije koje su od interesa za postojeće, ali i potencijalne radnike, goste, poslovne partnere, dakle javnost. Takve objave mogu sadržavati ograničeni skup osobnih podataka, poput imena i prezimena, funkcija, profesionalnih podataka, videa, izjava i fotografija.

Pravna osnova za obradu legitiman je interes informiranja javnosti, ali i marketing, prilikom koje se obrade uvijek pazi na interes ispitanika pa se stoga ne objavljuju osobni podatci ako se utvrdi da je interes ispitanika da se određeni osobni podatci ne objave, jači od interesa Valamar Riviere za objavu istih. U nekim situacijama, objava informacija može se temeljiti na privoli u skladu s najvišim standardima.

Objave imaju trajan karakter čime se osigurava informiranje o aktualnim događajima, kao i uvid u prethodne aktivnosti.

Obrada će prestati ako se na temelju prigovora ispitanika utvrdi da je takav prigovor opravdan ili ako je ispitanik povukao privolu u situacijama kada je privola primjenjiva i to na način koji je moguće provesti.

MARKETINŠKE PORUKE

Imamo interes obrade osobnih podataka koja se provodi za potrebe izravnog marketinga za slanje marketinških poruka te u tu svrhu Valamar koristi različite načine:

  • e-mail marketing (uključujući i sms i/ili instant messaging platforme (viber, whatsapp i sl.) što podrazumijeva slanje marketinških poruka (newsletter)
  • tzv. web i mobile app push poruke/notifikacije (kratke i jednostavne poruke koje se šalju iz preglednika ili aplikacije prema Vašem uređaju)
  • remarketing koji omogućuje prikazivanje oglasa korisnicima koji su prethodno posjetili neku od Valamarovih web stranica ili mobilnih aplikacija, o čemu više nađite u Politikama kolačića koja se nalazi na svakoj internetskoj stranici

Pravne osnove za obradu osobnih podataka za izravni marketing su:

LEGITIMNI INTERES u slučaju relevantnog i odgovarajućeg odnosa ispitanika i Valamara sukladno točki 70. uvodnih odredbi Uredbe i to:

za osnovne newslettere (poruke) koji se šalju određenim kategorijama ispitanika koji su npr.

  • gosti Valamarovih objekata
  • tražili ponudu i/ili rezervirale smještaj,
  • sudjelovali u nagradnoj igri,
  • ispunjavali upitnik o zadovoljstvu,
  • ispunili prijavu u objektima za besplatan WI-FI,
  • obavili kupnju u web trgovini

za newslettere (poruke) dizajnirane baš za vas koji se šalju samo našim loy članovima

PRIVOLA za:

  • osnovne newslettere (poruke)
  • newslettere (poruke) dizajnirane baš za vas koji se šalju samo ispitanicima koji su dali izričitu privolu za takve ponude (a nisu ujedno i loy članovi)
  • push poruke/notifikacije
  • o dodatne podatke kada u slučaju da ispitanici, samostalno prilikom ažuriranja profila na web stranicama daju dodatne podatke
  • remarketing koja se daje davanjem privole na kolačiće. Posebno ističemo da u nekim slučajevima osim podataka dobivenih iz kolačića i pixela za koje se daje posebna privola, mogu se koristiti i podaci ispitanika iz postojeće Valamarove baze podataka (npr. podaci o osobama koje su koristile određeni smještaj). U nekim slučajevima remarketinga uz vašu suglasnost podaci se po potrebi prenose u treću zemlju izvan EU u kojoj je možda potrebna drugačija razina zaštite podataka.

Osnovni newsletteri (poruke) koji se šalju temeljem legitimnog interesa se šalju samo ispitanicima koji su u nekom odnosu s Valamarom odnosno Valamarovim objektima. Podaci koji se obrađuju su ime i prezime, e-mail, broj mobitela, adresa, spol, država/jezik komunikacije te osnovni podatci vezani uz konkretan odnos s Valamar Rivierom (primjerice: objekt, odredište u kojem odsjedate, podatci o izvršenoj kupnji, kupljenom doživljaju i sl.). Sve te kategorije osobnih podataka smatraju se važnima jer omogućuju smisleno kreiranje newslettera koji je u skladu s interesima ispitanika

Osnovni newsletteri (poruke) koji se šalju temeljem privole koja se daje prijavom na newsletter. Prijava na newsletter je omogućena putem web formi na nekim našim internetskim stranicama. Kako bi osigurali da prilikom unosa e-mail adrese nije došlo do pogreške ili zlouporabe, koristimo tzv. Double-Opt in proces (dvostruka verifikacija): nakon što je adresa unesena u polje za prijavu, Valamar Riviera šalje na e-mail link za potvrdu. Tek nakon što ste kliknuli na link za potvrdu, dodaje se Vaša e-mail adresa u bazu podataka za slanje određenog Newslettera. Takvi newsletteri se šalju temeljem vaše privole koju nam dajete ispunjavajući i potvrđujući obrazac na web stranicama. Sadržaj newslettera i svrha bit će navedena prilikom vaše prijave (primjerice: obavijesti o aktualnim posebnim ponudama u našim objektima, ponude za radna mjesta i sl.). U slučaju da ste ažurirali profil i dali još neke podatke, obrađivat će se i ti podaci.

U slučaju da ispitanici, samostalno prilikom ažuriranja profila na web-stranicama, daju dodatne podatke, VALAMAR RIVIERA će na temelju Vaše privole koristiti i te podatke prilikom slanja newslettera.

Poruke (newsletteri) dizajnirani baš za vas su poruke za koje se šalju svim loy članovima kao i osobama koje su dale posebnu privolu za tu vrstu poruka. Za slanje poruka dizajniranih baš za vas Valamar koristi profiliranje ispitanika u svrhu kontaktiranja i obavještavanja o ponudama koje su dizajnirane baš za Vas. Za ove newslettere obrađuje se širok spektar osobnih podataka što može uključivati sljedeće: ime i prezime, e-mail, broj mobitela, adresa, grad, zemlja, poštanski broj, spol, jezik komunikacije, oslovljavanje datum rođenja, godišnjica braka, bračni status, broj i starost djece, interesi (npr. ronjenje, biciklizam i sl.), podatke o zahtjevima za ponudu, rezervacijama i boravcima (destinacija, objekt, tip smještajne jedinice, datumi dolaska i odlaska, broj noćenja, broj odraslih, broj djece), kućni ljubimci, interesi, način putovanja, preferencija smještaja i preferencija destinacije, povezanost s društvenim mrežama, podaci o izvršenoj kupnji na Valamarovim web stranicama, kupljenom doživljaju, podaci prikupljeni ispunjavanjem ankete zadovoljstva, a za loy članove i podaci prikupljeni vezani uz loy članstvo, što uključuje podatke koji su prikupljeni prilikom popunjavanja pristupnice u loy članstvo i vezane uz status člana (identifikacijski broj članske kartice, broj bodova, broj iskorištenih bodova, razina članstva, način korištenja bodova, korištenje pogodnosti, podaci vezano uz aktivnosti u Ambasador programu).

Posljedica profiliranja je isključivo što bolje dizajniranje poruka i ponuda koji odgovaraju vašim interesima, jer u slučaju da nemamo neke podatke, moguće je da će naši newsletteri koje ćete primati manje odgovarati vašim interesima, primjerice ako nemamo podataka da ste zainteresirani za biciklizam, tada možda nećete dobiti newsletter s nekim obavijestima o pogodnostima za ljubitelje biciklizma.

Rok obrade osobnih podataka u svrhu slanja newslettera je 10 godina računajući:

  • od dana zadnjeg boravka odnosno drugog poslovnog odnosa sa nama kada se newsletteri šalju temeljem legitimnog interesa
  • od dana Vaše privole, kada se newsletteri šalju na temelju Vaše privole.

Moguće je da u određenim slučajevima koristimo i usluge campaing management platformi (npr. Oracle Responsys) za višekanalno upravljanje kampanjama koja omogućuje kreiranje personaliziranih poruka na temelju pojedinačnih interesa i preferencija gostiju i potencijalnih klijenata. U tim slučajevima radi se o automatiziranoj obradi podataka i s tim partnerima sklapamo odgovarajuće ugovore.

Rok obrade za podatke koji se prikupljaju putem kolačića ovise o vrsti kolačića i opisani su na svakoj web stranici na kojoj se koriste.

U svim slučajevima kada je ispitanik dao privolu, ispitanik ima pravo svakodobno povući danu privolu, u bilo koje vrijeme, besplatno i bez objašnjenja. Povlačenje privole ne utječe na zakonitost obrade koja se temeljila na privoli prije povlačenja.

U svim slučajevima kada se obrada vrši temeljem legitimnog interesa, ispitanici imaju pravo prigovora u bilo koje vrijeme, besplatno i bez objašnjenja.

Povlačenje privole kao i prigovor se može poslati e-mailom na newsletter@valamar.com .

U svakom trenutku, bez objašnjenja i bez naknade, i bez obzira na pravnu osnovu primanja marketinških poruka (newslettera), možete se odjaviti od primanja bilo kojeg newslettera klikom na link koji se nalazi na dnu svakog newslettera odnosno blokiranjem pošiljatelja sukladno pravilima online kanala koji koristite te u tom slučaju nećete više primati newsletter, ali će podaci ostati arhivirani.

Odjava s newslettera nije vezana uz legitiman interes Valamar Riviere da ispitanicima za koje postoji i neka druga pravna osnova (primjerice gosti objekata, kandidati za zaposlenje) šalje servisne poruke i upitnike o zadovoljstvu vezanim uz konkretan boravak, kupljeni doživljaj i sl., kao i druge servisne poruke.

Povlačenje privole koja se daje za kolačiće također se može dati u svakom trenutku, bez objašnjenja i bez naknade, a opisana je u Politici kolačića.

SERVISNE PORUKE I UPITNICI O ZADOVOLJSTVU

Servisne poruke su poruke koje možemo slati e-poštom, SMS-om, mobile app push porukama i/ili preko instant messaging platforme (Viber, Whatsapp i sl.) a koje su vezane uz određeni odnos koji imamo s vama, šaljemo temeljem legitimnog interesa, odnosno privole kada ju zatražimo, primjerice:

  • prije, za vrijeme i nakon boravka u Valamarovim objektima možemo slati poruke vezane uz potvrde rezervacije, podsjetnike o boravku i ostale obavijesti usko vezane uz konkretan boravak koji ste rezervirali.
  • prilikom kupnje/rezervacije robe, usluga ili doživljaja na nekoj od naših prodajnih internetskih stranica poruke možemo slati potvrde o sklopljenom ugovoru, račune, potvrde narudžbe, vaučere i ostale obavijesti usko vezane uz konkretnu kupnju odnosno rezervaciju.

Upitnike o zadovoljstvu, a koji su vezani uz određeni odnos koji imamo s vama, šaljemo temeljem legitimnog interesa, primjerice:

  • za vrijeme i nakon boravka u Valamarovim objektima, imamo pravo slati upitnike o zadovoljstvu pruženom uslugom u Valamarovim objektima,
  • nakon kupnje/rezervacije robe, usluga ili doživljaja koje ste kupili preko naših kanala prodaje imamo pravo slati upitnike o zadovoljstvu pruženom uslugom odnosno kupljenom robom.

Primarna je svrha upitnika o zadovoljstvu prikupljanje podataka radi legitimnog interesa unaprjeđenja usluge. Rezultate možemo obrađivati sami ili putem suradnika.

Servisne poruke i poruke s upitnicima o zadovoljstvu ne smatraju se marketinškim porukama, te napominjemo da u slučaju da ste zatražili da Vam ne šaljemo marketinške poruke, a nakon toga rezervirate smještaj, moguće je da ćete dobiti servisne poruke i upitnike o zadovoljstvu.

U svakom slučaju kada Vam šaljemo poruke temeljem legitimnog interesa imate pravo na prigovor.

INTERNETSKE STRANICE

Kako bi vam pružili što bolju uslugu i omogućili Vam jednostavniji i brži pristup sadržajima koji Vas zanimaju imamo više internetskih stranica od kojih izdvajamo: www.valamar-riviera.com, www.valamar.com/hr/, www.camping-adriatic.com/hr/, www.places-hotels.com/hr/, www.valamarlovesbike.com/hr/, www.blog.valamar.com, www.maroworld.valamar.com, www.valamar-experience.com/hr/, www.dobarposaouvalamaru.com, www.valfresco.com. Ova Politika privatnosti odnosi se na sve naše stranice sa svim poddomenama.

Od posjetitelja naših internetskih stranica možemo prikupljati osobne podatke koji se upotrebljavaju u svrhe u koje su pruženi, sve u skladu s informacijama navedenima u trenutku prikupljanja (ili očitom svrhom koja se može izvesti iz konteksta prikupljanja).

Korisnici imaju kontrolu nad osobnim podatcima koje unose u web-obrasce. Primjerice, na nekim našim internetskim stranicama pruža Vam se mogućnost da se prijavite na naše newslettere kako biste primali informacije ili ponude. Također, na nekim internetskim stranicama pruža Vam se mogućnost rezervacije smještaja, kupnje izleta i robe, prijave za posao, prijave na razna događanja i sl. U svakom tom slučaju Vi dajete podatke koji su nam potrebni za ispunjenje svrhe svakog pojedinog slučaja. Informacija o obradi osobnih podataka nalaze se i na svakoj internetskoj stranici na svakom mjestu na kojem se podaci prikupljaju.

Na svojim internetskim stranicama možemo koristiti i širok spektar novih alata u svrhu poboljšanja korisničkog iskustva i pritom upotrebljavamo kolačiće i različite druge načine praćenja posjetitelja, primjerice Google ads, META ads, Dynamic Yield, Google Analytics, Hotjar i druge. Koristimo i platformu za upravljanje privolama za kolačiće Usercentrics Consent Management Plattform. Više o kolačićima i drugim tehnologijama molimo da pročitate u našoj Politici kolačića koja se nalazi na svakoj našoj internetskoj stranici.

Pravna osnova za obradu osobnih podataka posjetitelja naših internetskih stranica je legitimni interes, izvršenje ugovora ili privola ako se od ispitanika traži davanje privole.

Posjetitelji imaju sva prava koja su opisana u poglavlju PRAVA ISPITANIKA.

Ova Politika privatnosti ne pokriva načine postupanja s informacijama drugih društava i organizacija koje su u nekim slučajevima povezane sa našim internetskim stranicama, a koje mogu upotrebljavati kolačiće, i druge tehnologije te Vas upućujemo da se upoznate s njihovim pravilima privatnosti i uvjetima poslovanja. Također, prikupljanje podataka na internetskim stranicama otvorenim za događaje u kojima se mi navodimo samo kao sponzor, partner i sl., nije u našoj odgovornosti.

MOBILNE APLIKACIJE

Imamo mobilne aplikacije MyValamar i PLACES kako bi bili pristupačniji korisnicima sa svojim uslugama.

Obzirom da mobilnu aplikaciju možete koristiti samo koristeći Google play odnosno App store (ovisno o vašem tipu uređaja), napominjemo da se tada automatski od strane Googlea i Applea bilježe određeni podaci kao što su: država, jezik, godine korisnika, vrsta uređaja, trajanje korištenja aplikacija, a mi kroz naša sučelja koja imamo sa Googleom i Appleom možemo dobiti analizu tih podataka, međutim te podatke mi ne možemo povezati s konkretnom osobom. Ove Politike privatnosti se ne primjenjuju na Google i Apple koje imaju zasebna pravila o privatnosti. Više podatak o Google play nađite na linku https://policies.google.com/privacy, a o Apple store https://www.apple.com/legal/privacy/data/en/app-store/ .

Prilikom korištenja aplikacije možete podijeliti podatak, dakle samo uz privolu:

  • imam rezervaciju
  • već boravim u objektu
  • Valamar+club članstvo

U tim slučajevima povezat ćemo Vas kao korisnika aplikacije s podacima koje imamo o toj rezervaciji i tada vas možemo identificirati.

Međutim za korištenje aplikacije nije nužno da unesete taj podatak te možete i preskočiti taj korak i pregledavati naše objave.

Možete se i prijaviti u Valamarov program vjernosti te vas u tom slučaju upućujemo na poglavlje ČLANSTVO PROGRAMA VJERNOSTI.

Posjetitelji imaju sva prava koja su opisana u poglavlju PRAVA ISPITANIKA.

U slučaju da želite rezervirati boravak preusmjerit ćemo vas na našu odgovarajuću internetsku stranicu.

U slučaju da nam dopustite slanje notifikacija tzv. push poruke, dakle samo uz privolu, moći ćemo vam slati i servisne poruke kao i promotivne poruke.

DRUŠTVENE MREŽE

Kako bismo mogli bolje komunicirati s korisnicima društvenih mreža i streaming platformi i obavještavali ih o svojim ponudama imamo profile/stranice na društvenim mrežama Facebook, Instagram, YouTube, Pinterest, Tik tok i Spotify (zajedno dalje: društvene mreže).

Korištenjem društvenih mreža prihvaćate njihova pravila između ostalih i pravila vezana uz obradu osobnih podataka, te Vas upućujemo da se upoznate s istima. Društvene mreže i njihove funkcije upotrebljavate na vlastitu odgovornost. Napominjemo da uz svaku interakciju na našim profilima na društvenim mrežama kao i na drugim profilima, društvene mreža bilježe Vaše ponašanje putem kolačića i drugih tehnologija, odnosno vrstu, opseg i svrhe obrade podataka na društvenim mrežama prvenstveno određuju operateri društvenih mreža.

Slijedom navedenoga, neke podatke (npr. ukupan broj posjetitelja ili posjeta stranici, aktivnosti na stranici i podatke koje ostavljaju posjetitelji, interakcije (npr. komentiranje, dijeljenje, ocjenjivanje)) obrađuju i dostavljaju nam društvene mreže. Nemamo utjecaja na kreiranje i prikaz tih podataka.

Možemo obrađivati osobne podatke vezano uz Vaše korisničke aktivnosti na društvenim mrežama u marketinške svrhe isključivo temeljem Vaše privole za kolačiće koje dajete na našim internetskom stranicama. O kojim se točno kolačićima radi i u koju svrhu možete naći u postavkama kolačića za svaku internetsku stranicu. Više o kolačićima molimo nađite u Politici kolačića.

Osim toga, prikupljamo podatke i u statističke svrhe, za daljnji razvoj i optimizaciju sadržaja i atraktivnije oblikovanje svoje ponude. To se posebice odnosi na upotrebu interaktivnih funkcija.

Radi boljeg upravljanja društvenim mrežama koristimo i usluge partnera s kojima imamo sklopljene odgovarajuće ugovore.

U slučaju da želimo koristiti neki Vaš komentar ili sliku koju ste objavili na našem profilu, zatražit ćemo Vas suglasnost.

Ako ste član neke društvene mreže, a ne želite da ta mreža preko naših stranica na toj mreži prikuplja podatke o Vama i spaja s vašim članskim podacima pohranjenim na dotičnoj mreži,

  • prije nego što posjetite našu strancu na dotičnoj mreži, odjavite se s te mreže,
  • obrišite kolačiće s vašeg računala,
  • zatvorite preglednik i ponovo ga pokrenite

Nakon ponovne prijave, za mrežu ste ponovo prepoznatljivi kao određeni/a korisnik.

Kako nemamo potpuni pristup Vašim osobnim podacima na društvenim mrežama, ako želite iskoristiti svoja prava, obratite se izravno pružateljima usluge društvene mreže, jer svaki od njih ima pristup osobnim podacima svojih korisnika i može provesti odgovarajuće mjere i dati informacije.

Obzirom da koristimo usluge društvenih mreža koje ne posluju na području Europske unije dužni smo vas obavijestiti kako te treće strane koje upravljaju društvenim mrežama mogu prenijeti vaše podatke u SAD.

U nastavku donosimo linkove na pravila privatnosti društava koje vode društvene mreže:
Facebook i (Meta Platforms Inc.) https://www.facebook.com/privacy/policy/
Instagram (Meta Platforms Inc.) https://privacycenter.instagram.com/policy/
Youtube (Google LLC) https://policies.google.com/privacy?hl=hr
TikTok (TikTok Ireland, TikTok UK) https://www.tiktok.com/legal/page/eea/privacy-policy/en
Pinterest (Pinterest Europe Ltd. i Pinterest, Inc.) https://policy.pinterest.com/hr/privacy-policy
Spotify (Spotify AB) https://www.spotify.com/at/legal/privacy-policy/

KANDIDATI ZA ZAPOSLENJE I RADNICI

Ovaj dio Politike privatnosti uređuje zaštitu osobnih podataka ponajprije u procesima u vezi sa zaposlenjem, razvojem i edukacijom. U tom smislu ispitanici su ponajprije bivši i sadašnji radnici, tražitelji posla, osobe koje polaze učenje temeljeno na radu (učenici), osobe na stručnom usavršavanju, studenti koji rade na temelju tzv. studentskog ugovora, stipendisti učenici koji rade na temelju tzv. učeničkog ugovora, agencijski radnici i ustupljeni radnici, te druge osobe čiji se podatci obrađuju u okviru radnopravnih i srodnih odnosa.

U okviru obrada podataka koje se provode u vezi sa zaposlenjem, identificirali smo sljedeće svrhe obrade:

  • Selekcija kadrova: uključuje prikupljanje i daljnju obradu relevantne natječajne dokumentacije prijavljenih kandidata za posao, testiranje (uključujući mogućnost online psihologijsko testiranja) i ocjenjivanje, prikupljanje i analizu informacija o kandidatima iz javno dostupnih izvora, uključujući informacije koje je kandidat sam o sebi javno objavio samo ako je to važno zbog rizika koje određeno radno mjesto podrazumijeva. Pravna osnova je obavljanje prethodnih radnji za sklapanje ugovora kao i privola.
  • Smanjivanje reputacijskog rizika: prikupljanje i analiza informacija o zaposlenicima i osobama u usporedivom odnosu iz javno dostupnih izvora, uključujući informacije koje je sam ispitanik o sebi javno objavio, samo ako je to važno zbog rizika koje određeno radno mjesto podrazumijeva. Pravna osnova je legitimni interes.
  • Zaključenje ugovora i ispunjenje ugovora: obrada u svrhe zaključenja ugovora o radu, studentskog ugovora, učenja temeljeno na radu (praksa) ili stručnog osposobljavanja, ugovora o stipendiranju s osobama koje nisu u radnom odnosu ili bilo kojeg drugog usporedivog odnosa. Pravna osnova je i poštivanje pravnih obveza i kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora kao i izvršenje ugovora.
  • Vođenje evidencije zaposlenika, osoba u usporedivom odnosu ili drugih osoba (npr. djeca, supružnici ili korisnici osiguranja). Pravna osnova je poštivanje pravnih obveza.
  • Obračun i isplata plaća te ostvarivanje materijalnih i drugih prava: obrada je nužna kako bi se ostvarila materijalna i druga prava primjerice za ostvarivanje prava za ulazak u mjere aktivne politike zapošljavanja (stalni sezonac i ostali), za ostvarenja dodatnih prava radnika po kolektivnom ugovoru (primjerice: rođenje djeteta) i drugo. Pravna osnova je poštivanje pravnih obveza.
  • Prijava smještaja: obrada podataka nužna je u slučaju da ispitanici borave u objektima za personalni smještaj radnika radi prijave boravka nadležnim tijelima. Pravna osnova je izvršenje pravnih obveza.
  • Upravljanje radnim učinkom: ova svrha uključuje i informacije o postizanju prethodno utvrđenih ciljeva, pravovremenom ispunjenju ciljeva te daljnje analize radi utvrđivanja budućih ciljeva, upravljanja ljudskim potencijalima, utvrđivanja iznosa nagrada i drugim relevantnim mjerama. Pravna osnova je legitimni interes.
  • Nagrađivanje: obrada uključuje nagrađivanje odnosno isplate naknade, pri čemu takva obrada može obuhvatiti i podatke o povredama etičkih i drugih internih pravila, podatci iz sustava upravljanja radnim učinkom, o pohađanim edukacijama, kao i sve druge relevantne podatke. Pravna osnova je legitimni interes.
  • Educiranje:obrada u svrhe educiranja zaposlenika i osoba u usporedivom odnosu osoba, uključujući i pozivanje na obvezne i neobvezne edukacije, provjere znanja, što uključuje i sve potrebne radnje za analizu stečenih znanja i sve druge relevantne informacije za organiziranje, provedbu i daljnje postupanje po provođenju edukacija. Pravna osnova je legitiman interes i privola kada se zatraži.
  • Izrada različitih izvještaja o radnicima: Pravna osnova može biti ispunjenje pravnih obveza, ali i legitiman interes (primjerice prilikom izrade planova za buduća razdoblja i slično).
  • Upute vezane uz rad i informiranje: prikupljanje i obrada podataka u svrhu kvalitetnog i pravovremenog informiranja kandidata o otvorenim pozicijama i natječajima, odnosno mogućnostima zaposlenja. Prikupljanje i obrada podataka svih zaposlenika, osoba u usporedivom odnosu u svrhu kvalitetnog i pravovremenog informiranja o: uputama vezanim uz izvršenje radnih obveza (primjerice: raspored rada, upozorenja o hakerskim napadima i sl.), informacije vezano uz obvezne i neobvezne edukacije, informacije o ostvarivanju prava iz radnog odnosa, informacije o pogodnostima zaposlenicima, informacije o našem poslovanju, zaposlenicima, nagradama, ključnim aktivnostima i inicijativama i ostale informacije vezane uz radni odnos.
    U te svrhe radi brzine i bolje obaviještenosti, informacije možemo slati putem SMS-a, e-poštom i/ili preko instant messaging platforme (Viber, Whatsapp i sl.). kao i putem posebnih aplikacija (koje radnici instaliraju na svoje mobilne uređaje). Pravna osnova je izvršenje ugovora, legitiman interes i privola kada ju zatražimo.
  • Pogodnosti zaposlenicima: možemo odlučiti uvesti korištenje raznih alata u cilju postizanja raznih pogodnosti primjerice izdavanje radnicima ID kartice kojima se ostvaruju popusti u Valamarovim objektima i kod naših partnera. Pravna osnova je legitimni interes.
  • Zaštita imovine i osoba: uključuje evidentiranje ulaza/izlaza iz poslovnih prostorija, mogućnost evidentiranja i provjere korištenja službenih mobilnih uređaja, računalne opreme, internetskog i telefonskog prometa, službenih vozila, prostorija i druge naše imovine. Pravna osnova je legitimni interes.
  • Prestanak radnog odnosa: obrada podataka zbog prestanka ugovora o radu ili drugog usporedivog ugovora. Pravna osnova je ispunjenja zakonskih i ugovornih obveza.
  • Praćenje etičnog ponašanja: obrada uključuje sve postupke u kojima se istražuje poštovanje propisa o etičnom ponašanju ili propisa u vezi sa zaštitom dostojanstva, odnosno u okviru bilo kojeg drugog disciplinskog postupanja, bez obzira je li ispitanik prijavljena osoba ili prijavitelj. Pravna osnova je legitiman interes, a u nekim slučajevima i naša pravna obveza.
  • Zaštita na radu: obrada podataka može biti potrebna i u slučajevima kada je nužna za ispunjenje svrhe posebnih propisa o zaštiti na radu, uključujući alkotestiranje sukladno propisima. Pravna osnova je legitiman interes, a u nekim slučajevima i naša pravna obveza.

Pored navedenih svrha moguća je obrada osobnih podataka i u druge specifične svrhe, ali uvijek u okviru koji je zakonom propisan ili ako je obrada potrebna za ostvarivanje prava i obveza iz radnog odnosa, odnosno u vezi s radnim odnosom i svakim usporedivim odnosom.

Selekcija kadrova

Prikupljamo, obrađujemo i čuvamo podatke kandidata za zapošljavanje u bazi kandidata na temelju njihove dobrovoljne prijave:

  • prijava kandidata putem web prijavnog obrasca na stranici www.dobarposaouvalamaru.com koji služi kao svojevrstan životopis (CV)
  • prijava putem e-poruke
  • dolaskom na organizirane audicije i ispunjavanjem prijavnih obrazaca
  • na drugi način.

Podatci koji se u pravilu prikupljaju: ime, prezime, datum rođenja, adresa, državljanstvo, OIB (za hrvatske državljane s obzirom na to da je OIB najpouzdaniji podatak kojim razlikujemo kandidate), telefonski broj, e-adresa (u svrhu kontaktiranja), spol, stručna sprema, jezik, preferirani način komunikacije.

Podatke o kandidatima u pravilu dobivamo neposredno od kandidata, ali možemo dobivati posredno, od domaćih i stranih agencija za zapošljavanje, u kojem slučaju te agencije imaju obvezu obavijestiti kandidate o obradi njihovih osobnih podataka od naše strane.

Kandidati svoje prijave za posao šalju:

  • kao otvorene molbe u kojem slučaju obrađujemo podatke radi kontaktiranja kandidata u vezi sa zaposlenjem tri godine (ako se osoba ne zaposli kod nas);
  • kao prijave na konkretne natječaje koji imaju naveden rok završetka u kojem slučaju obrađujemo podatke za vrijeme trajanja natječaja i pet mjeseci od završetka natječaja radi kontaktiranja kandidata u vezi sa zaposlenjem, a te se prijave arhiviraju na tri godine. U slučaju da kandidati koji se jave na konkretan natječaj koji ima naveden rok završetka daju posebnu privolu, obrađujemo podatke radi kontaktiranja kandidata u vezi sa zaposlenjem tri godine, kao i otvorene molbe (ako se osoba ne zaposli kod nas).

Imamo legitiman interes koristiti dobivene privatne e-adrese, ali i ostale dostavljene kontakt podatke za kontaktiranje kandidata vezano uz zaposlenje. Primjerice, nakon prijave kandidati mogu dobiti automatski odgovor da je njihova prijava zaprimljena te da će biti kontaktirani kandidati čije su kvalifikacije i iskustva u skladu s traženima za pojedina radna mjesta. Također, nakon prijave kandidati mogu dobiti poruku na broj telefona s predloženim terminom intervjua, poruku u kojoj je navedena dokumentacija potrebna za zapošljavanje i slično. Dodatno, osobe koje su radile na određeno vrijeme, pretežito sezonske poslove, imamo legitiman interes kontaktirati u svrhu informiranja o obavijestima važnim za poslovanje i ključne aktivnosti kod nas i naših društava kojima upravljamo, a radi održavanja kontakta u svrhu eventualne daljnje suradnje.

U svako se doba besplatno možete odjaviti s liste primatelja naših vijesti vezanih uz zapošljavanje e-mailom na ljudski.potencijali@valamar.com.

Podatke koji se čuvaju pružaju sami kandidati, ali mi, na temelju legitimnog interesa osiguravanja najboljih kandidata i sami stvaramo osobne podatke u vezi s aktivnostima zapošljavanja, kao što su rezultati razgovora za posao, testiranja (uključujući online psihologijsko testiranje) i procjene, te prikupljamo osobne podatke i od trećih strana, ponajprije provjerom podataka dobivenih tijekom procesa zapošljavanja kontaktiranjem relevantnih trećih strana (primjerice: agencije za zapošljavanje, pružatelji usluga obrazovanja i osposobljavanja) ili korištenjem javno dostupnih izvora.

Radni odnos i ostali usporedivi odnosi

Mi kao poslodavac prikupljamo, obrađujemo i čuvamo sve podatke radnika u bazi radnika koja se vodi u informatičkom programu i u fizičkim dosjeima radnika. Podatci koji se prikupljaju navedeni su u Pravilniku o sadržaju i načinu vođenja evidencije o radnicima koje je objavilo ministarstvo nadležno za rad i mirovinski sustav.

Potrebni podatci za zasnivanje radnog odnosa u pravilu su: preslika osobne iskaznice, preslika tekućeg računa ili uputa za plaćanje od banke, preslika zaštićenog računa (ako ga radnik posjeduje), OIB, dokaz o stručnoj spremi (preslika svjedodžbe ili diplome), e-knjižica: potvrda o mirovinskom stažu (pribaviti ju u HZMO-u ili putem usluge e-Građani), Elektronički zapis obrasca porezne kartice, tzv. PK obrasca (pribaviti ga u Poreznoj upravi ili putem usluge e-Građani, osobe koje se prvi put zapošljavaju ne posjeduju elektronički zapis obrasca porezne kartice i moraju je otvoriti u Poreznoj upravi), rodni list djeteta ako je mlađe od 15 godina. Nadalje, prema Zakonu o radu radnici moraju dostaviti uvjerenje o nekažnjavanju i dati suglasnost da za njih ishodimo uvjerenje o osuđivanosti, u slučaju zapošljavanja na radnim mjestima koja su u redovnom kontaktu s maloljetnicima.

Potrebni podatci za sklapanje studentskih ugovora u pravilu su: potvrda fakulteta za tekuću godinu kao dokaz studentskog statusa ili preslika indeksa o upisanoj tekućoj godini, preslika osobne iskaznice, potvrda o upisnini za Studentski centar (nije slučaj sa svim studentskim centrima), jedna fotografija ili X-ica, OIB.

Osim tih podataka, možemo u dosjeu radnika čuvati i ostale podatke koji su prikupljeni u postupku zapošljavanja, kao i ostale podatke koji su prikupljeni tijekom radnog odnosa određeni našim pravilnicima (primjerice: nagrade, opomene, certifikate i sl.).

Svi podatci radnika čuvaju se u bazi radnika datumom zasnivanja radnog odnosa i ažurno se vode do prestanka radnog odnosa te se isti čuvaju kao dokumentacija trajne vrijednosti sukladno relevantnim propisima.

U svojoj bazi čuvamo i podatke ostalih osoba u poslovnom odnosu usporedivom s radnim odnosom i stručnom usavršavanju, i to s početkom rada i ažurno ih vodimo do prestanka rada te se čuvaju sukladno relevantnim propisima. Poseban su slučaj podatci učenika koji mogu biti maloljetni o kojima se vodi posebna pažnja i čiji se podatci prikupljaju i čuvaju sukladno posebnim propisima uz odobrenje škole i roditelja.

Podatci o plaći i platne liste podliježu posebnim propisima o čuvanju. U svakom slučaju svi radnici i ostale osobe u poslovnom odnosu usporedivom s radnim odnosom i stručnom usavršavanju imaju sva prava ispitanika.

POSLOVNI PARTNERI

Valamar Riviera u svojem poslovanju obrađuje i podatke poslovnih partnera ili potencijalnih poslovnih partnera, a to su:

  • fizičke osobe koje jesu, mogu postati ili su bili poslovni partneri Valamar Riviere npr. obrtnici, osobe koje su u režimu samostalnih zanimanja (npr. odvjetnici, liječnici i dr.), osobe s kojima se sklapaju ugovori o djelu (npr. pjevači, slikari, fotografi i dr.) i ostale fizičke osobe koje imaju položaj poduzetnika
  • fizičke osobe koje u nekom dijelu poslovanja predstavljaju pravne osobe s kojima Valamar Riviera ima, može imati ili je imala poslovni odnos (npr. osobe koje obavljaju dostavu za svog poslodavca trgovačko društvo, osobe kojima se šalju računi za njihova poslodavca pravnu osobu, potpisnici ugovora za trgovačko društvo koje predstavljaju osobe koje za trgovačko društvo obavljaju primopredaju, osobe koje za svoju pravnu osobu organiziraju kongrese i sl.).

U okviru obrada podataka Ispitanika, Valamar Riviera identificirala je sljedeće svrhe obrade:

  • Zaključenje ugovora: obrada u svrhe zaključenja ugovora iz bilo kojeg područja našeg djelovanja (primjerice: slanje upita, slanje posebnih ponuda, traženje podataka o potpisnicima ugovora, slanje natječaja za pravne osobe koje ispitanici predstavljaju i sl.). Moguće je da koristimo aplikacije kreirane za ponuditelji koji žele sudjelovati u Valamarovim natječajima u kojem slučaju ćemo tražiti da se regresirate.
  • Ispunjenje ugovora: obrada podataka nužna je u svrhu ispunjenja ugovora što uključuje ispunjenje obveza, praćenja njihova izvršavanja i osiguravanja svih relevantnih mjera za njihovo izvršavanje (primjerice: za dogovor o vremenu i mjestu isporuke opreme na temelju ugovora, za slanje računa i sl. za koje slučajeve ćemo razmijeniti kontakt podatke radnika (e-mail, broj mobitela) isključivo u svrhu ispunjenja ugovora).
  • Informiranje: prikupljanje i obrada podataka su nužni u svrhu kvalitetnog i pravovremenog informiranja, stoga Valamar Riviera ima pravo na temelju legitimnog interesa prikupljati određene podatke i koristiti ih u svrhu izravnog marketinga kako je opisano u poglavlju MARKETINŠKE PORUKE.

Pored navedenih svrha moguća je obrada osobnih podataka i u druge specifične svrhe, ali uvijek u okviru koji je zakonom propisan ili ako je obrada potrebna za ostvarivanje prava i obveza iz poslovnog odnosa.

Vrsta osobnih podataka ispitanika koji se prikupljaju su:

  • ime i prezime
  • e-adresa
  • broj telefona
  • podatci o funkciji unutar pravne osobe koju predstavlja (npr. referent prodaje, tajnica uprave i sl.)
  • zanimanje kada je ispitanik fizička osoba s kojom se stupa u ugovorni odnos (primjerice: pjevač, slikar, fotograf, odvjetnik, liječnik...)
  • ponekad reference i kratki životopisi (posebno za konzultante)
  • podatci koji su navedeni na obrascima bjanko zadužnice, zadužnice, mjenice
  • broj računa u banci (IBAN) kada je poslovni partner fizička osoba s kojom se stupa u ugovorni odnos
  • ostali podatci ovisno o prirodi poslovnog odnosa.

Mjesta prikupljanja osobnih podataka ispitanika:

  • zaprimljene ponude ispitanika za ostvarivanje poslovne suradnje
  • zaprimljeni podatci od ispitanika u kontekstu prodaje proizvoda/usluga ili kupnje proizvoda/usluga od poslovnog partnera (primjerice: sajmovi, kongresi i sl.)
  • poslovna korespondencija vezano uz određenu prethodnu ili sadašnju poslovnu suradnju (primjerice korespondencija koja se obavlja u sklopu izvršavanja ugovora)
  • javno objavljeni podatci (primjerice: sudski registar, web-stranice poslovnih partnera, časopisi, bilteni i sl.).

Pored navedenih vrsta podataka i mjesta prikupljanja moguća je obrada osobnih podataka i u druge specifične svrhe, ali uvijek u okviru koji je zakonom propisan ili ako je obrada potrebna za ostvarivanje prava i obveza iz poslovnog odnosa.

VIDEONADZOR

Valamar Riviera kao voditelj obrade ima legitimni interes provesti mjere videonadzora radi zaštite imovine i osoba, a u određenim slučajevima (primjerice: mjenjačnice koje se nalaze na recepcijama objekata) ima i zakonsku obvezu postaviti nadzorne kamere koje snimaju sve osobe koje se kreću u perimetru nadzorne kamere (gosti, zaposlenici, poslovni partneri i dr.).

Obrada osobnih podataka zaposlenika putem sustava videonadzora provodi se i uz uvjete utvrđene propisima kojima se regulira zaštita na radu.

Na propisani način označavamo sva mjesta na kojima je postavljen videonadzor.

Videozapisi se automatski brišu nakon najviše 15 dana od dana snimanja. U slučaju potrebe izuzimanja (presnimavanja), videozapisi se čuvaju najviše šest mjeseci, osim ako je drugim zakonom propisan duži rok čuvanja ili ako su dokaz u sudskom, upravnom, arbitražnom ili drugom istovrijednom postupku. Izuzeti videozapisi bit će pohranjeni u središnjem dojavnom sustavu s izuzetno ograničenim pristupom.

U slučaju vođenja sudskih i/ili kaznenih postupaka, možemo koristiti navedene videozapise. Uvid u osobne podatke na videozapisima mogu imati i treće osobe, izvršitelji obrade, naši ugovorni partneri registrirani i stručni za pružanje usluga zaštite osoba i imovine, a koji ni na koji način ne koriste samostalno navedene podatke nego se brinu o sigurnosti centralnih nadzornih i dojavnih sustava. Na sve ostale pojedinosti vezane uz videonadzor primjenjuju se posebni propisi koji uređuju to područje.

ZAVRŠNE ODREDBE

Ova Politika privatnosti dostupna je na stranicama https://valamar-riviera.com/hr/gdpr-i-politike-privatnosti/, https://www.valamar.com/hr/izjava-o-privatnosti, kao i na drugim Valamarovim internetskim stranicama te također u uredima ljudskih potencijala i na recepcijama Valamarovih objekata.

Obzirom na zahtjeve transparentnosti redovito ćemo revidirati ovu Politiku privatnosti.

Ova Politika o privatnosti je objavljena 1. siječnja 2024. godine.

Helios Faros d.d. politika privatnosti

OPĆI DIO

Voditelj obrade i zakonski okvir

HELIOS FAROS, kao voditelj obrade, obvezuje se na zaštitu Vaših osobnih podataka. Prikupljanje i čuvanje podataka izvodi se u skladu s odredbama Uredbe EU 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka (dalje: Uredba), Zakona o provedbi Opće uredbe o zaštiti podataka (NN 42/2018) i ostalih propisa koji uređuju predmetno područje, a imaju primjenu u Republici Hrvatskoj.

Opseg primjene

Ova Politika primjenjuje se na svaku obradu osobnih podataka koju obavlja HELIOS FAROS kao voditelj obrade, osim ako je drugom politikom ili drugim dokumentom HELIOS FAROS drukčije propisano za neku pojedinu obradu. HELIOS FAROS u nekim slučajevima nastupa kao voditelj obrade i za ispitanike koji su ujedno ispitanici društava s kojima HELIOS FAROS ima sklopljene poduzetničke ugovore na temelju kojih upravlja turističkim dijelom poslovanja u okviru svojih ovlasti na temelju tih ugovora.

Ova Politika privatnosti podijeljena je na dva dijela: Opći dio i Posebni dio. Osnovna načela obrade osobnih podataka, kontakt podatci službenika za zaštitu osobnih podataka i ostale odredbe određene u Općem dijelu Politike primjenjuju se bez iznimke na svaku obradu osobnih podataka bez obzira je li takva obrada posebno obrađena u Posebnom dijelu Politike ili ne. U Posebnom dijelu Politike detaljnije su obrađeni posebni slučajevi obrade podataka koji predstavljaju glavninu svih obrada HELIOS FAROS.

HELIOS FAROS sklopio je dana 16.08.2019. godine sa trgovačkim društvom VALAMAR RIVIERA d.d. Ugovor u odnosu na upravljanje hotelsko turističkim objektima i sadržajima temeljem kojega VALAMAR RIVIERA d.d. upravlja određenim poslovnim segmentima, odnosno obavlja određene poslove temeljem općih ovlasti u ime i za račun HELIOS FAROS kao management kompanija. U tom smislu HELIOS FAROS i VALAMAR RIVIERA d.d. mogu nastupati kao zajednički voditelji osobnih podataka radnika, gostiju i poslovnih partnera u svrhu vođenja operativnog dijela poslovanja, upravljanja poslovnim procesima te pružanja ugovorenih usluga, o čemu na odgovarajući način daju odgovarajuće informacije radnicima, gostima i poslovnim partnerima (u daljnjem tesktu: pristup osobnim podacima s naslova usluga upravljanja).

Službenik za zaštitu podataka

HELIOS FAROS imenovala je službenika za zaštitu osobnih podataka kojeg svakodobno možete kontaktirati putem adrese: gdpr@heliosfaros.hr odnosno putem pošte na adresu Helios Faros d.d., Naselje Helios 21460 Stari Grad, Republika Hrvatska – za DPO, za pitanja vezana uz zaštitu osobnih podataka i za ostvarenje prava zajamčenih Uredbom.

Svi zahtjevi koji nisu vezani uz zaštitu osobnih podataka, a dostavljeni su na adresu službenika za zaštitu podataka, npr. ponude kandidata za zaposlenje, upiti za rezervacije u objektima HELIOS FAROS i sl., bit će proslijeđeni direktno u nadležne odjele HELIOS FAROS, bez posebnog odgovora pošiljatelju od službenika za zaštitu podataka.

Načela zaštite osobnih podataka

HELIOS FAROS prepoznala je načela obrade podataka kao osnovne vrijednosti koje moraju biti poštovane tijekom cijelog ciklusa obrade osobnih podataka, od njihova prikupljanja pa sve do njihova uništenja ili drugog prestanka obrade. HELIOS FAROS obrađuje podatke:

  • Zakonito – obrada će biti moguća ako je ista dopuštena zakonom, i to u granicama koje zakon dopušta.
  • Pošteno – uvažavajući specifičnosti svakog odnosa, primjenjujući sve adekvatne mjere za zaštitu osobnih podataka te ne sprječavajući ispitanika u ostvarivanju svojih prava.
  • Transparentno – informirajući ispitanike o obradama osobnih podataka. Od samog prikupljanja podataka kada su ispitanici informirani o svim aspektima obrade podataka pa sve do prestanka obrade podataka ispitanicima se pruža jednostavan i brz pristup vlastitim podatcima što uključuje mogućnost uvida i dobivanja preslike u skladu s odredbama Uredbe. Određene informacije mogu se ograničiti samo kada je to zahtijevano zakonom ili kada je to nužno za zaštitu trećih osoba.
  • Uz ograničenje svrhe – obrađujući osobne podatke u one svrhe u koji su prikupljeni, a u druge svrhe ako su za to ispunjeni uvjeti iz Uredbe. Podatci se mogu obrađivati u podudarne svrhe samo uzimajući u obzir: (a) svaku vezu između svrha prikupljanja osobnih podataka i svrha namjeravanog nastavka obrade; (b) kontekst u kojem su prikupljeni osobni podatci, posebno u pogledu odnosa između ispitanika i HELIOS FAROS; (c) prirodu osobnih podataka, osobito činjenicu obrađuju li se posebne kategorije osobnih podataka u skladu s člankom 9. Uredbe ili osobni podatci koji se odnose na kaznene osude i kažnjiva djela u skladu s člankom 10. Uredbe; (d) moguće posljedice namjeravanog nastavka obrade za ispitanike te (e) postojanje odgovarajućih zaštitnih mjera.
  • Uz ograničenje pohrane – pohranjujući podatke u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podatci obrađuju, a duže samo ako je dopušteno propisima.
  • Uz smanjenje količine podataka – obrađujući podatke ako su primjereni, relevantni i ograničeni na ono što je nužno. Posebno se pazi da se ne prikupljaju podatci za koje ne postoji opravdana potreba za obradom.
  • Vodeći računa o točnosti – vodeći računa o točnosti i ažurnosti podataka i brišući netočne podatke u okviru mogućnosti.
  • Vodeći računa o cjelovitosti i povjerljivosti – pružajući tehničkim i organizacijskim mjerama odgovarajuću sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnoga gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera. Relevantne mjere primjenjuju se vodeći računa o rizičnosti svake vrste obrade podataka.

Zakonitost obrade osobnih podataka

Kako bi se poštovala zakonitost obrade osobnih podataka, HELIOS FAROS obrađuje osobne podatke samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:

  • Obrada je nužna za izvršavanje ugovora u kojem je ispitanik strana ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora; ovo je najčešća svrha obrade podataka ispitanika gdje je okosnica postojeći ugovorni odnos ili ugovorni odnos koji se nastoji postići.
  • Obrada je nužna radi poštovanja pravnih obveza voditelja obrade. HELIOS FAROS kao pravni subjekt ima brojne obveze koje su propisane raznim propisima. Ova obveza obuhvaća prikupljanje, a često i dostavu podataka državnim tijelima. Primjerice, obrada osobnih podataka dioničara koji se prijavljuju za glavnu skupštinu, obrada osobnih podataka sudionika na sastancima koji se održavaju u prostorijama HELIOS FAROS u skladu sa protuepidemijskim mjerama i sl.
  • Obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, uzimajući u obzir razumna očekivanja ispitanika koja se temelje na njihovu odnosu s voditeljem obrade, osobito ako je ispitanik dijete. Kod primjene ove pravne osnove HELIOS FAROS procjenjuje da je obrada primjerena poslovnim potrebama, da je što manje invazivna i da interesi ispitanika ne nadjačavaju legitimne interese HELIOS FAROS ili treće strane. Primjer su za ovakvu obradu obrada u administrativne svrhe, svrhe očuvanja sigurnosti računalnih mreža, svrhe izravnog marketinga i unaprjeđenja našeg poslovanja. Ispitanik u ovim situacijama uvijek ima pravo prigovoriti na takvu obradu.
  • Obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe. Pravo na zaštitu osobnih podataka nije apsolutno pravo i HELIOS FAROS ujednačava ga s drugim temeljnim pravima u skladu s načelom proporcionalnosti. HELIOS FAROS uvažava mogućnost da je u nekim situacijama potrebno obrađivati osobne podatke kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe.
  • Ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha. Kada obrađuje osobne podatke na temelju privole, HELIOS FAROS posebno vodi računa da su to situacije u kojima ne postoje nikakve, formalne ili neformalne, posljedice za davanje, odbijanje davanja ili uskraćivanja privole. Kada se obrada temelji na privoli, ispitanik može povući privolu u svakom trenutku bez negativnih posljedica. Povlačenje privole ne utječe na zakonitost obrade na temelju privole prije njezina povlačenja.

U nekim izvanrednim situacijama HELIOS FAROS može obrađivati podatke koji se u redovnim situacijama ne bi obrađivali, primjerice prikupljanje podataka na temelju preporuka Hrvatskog zavoda za javno zdravstvo u slučaju epidemija i sl.

Vrste osobnih podataka koji se obrađuju

Posebne kategorije osobnih podataka: posebne kategorije osobnih podataka obrađuju se samo ako su ispunjeni uvjeti iz članka 9. Uredbe. Primjerice, HELIOS FAROS obrađuje podatke radnika koji spadaju u posebne kategorije osobnih podataka, kao što su podatci o članstvu u sindikatu (primjerice kod ostvarivanja posebnih prava prema relevantnim propisima), vjerskim ili filozofskim uvjerenjima (primjerice kod ostvarivanja prava na dodatne neradne dane za vjerske blagdane ako je pojedinac dobrovoljno otkrio takve podatke u navedenu svrhu) ili podataka koji se odnose na zdravlje (primjerice prema posebnim propisima o zaštiti na radu ili vođenja evidencije o radnicima ili kada se za određene poslove traže posebni certifikati o zdravstvenom stanju) i sl.

Podatci o kaznenim osudama i kažnjivim djelima: kada za to postoji zakonsko ovlaštenje, HELIOS FAROS obrađuje i osobne podatke koji se odnose na kaznene osude i kažnjiva djela, kao što su na primjer uvjerenja o nekažnjavanju za radnike.

Osobni podatci koji ne spadaju u prethodne dvije skupine: takvi osobni podatci čine najveći dio obrađenih podataka, a to su najčešće identifikacijski podatci i podatci za kontakt poput imena i prezimena, OIB, podatci koji nastaju na temelju kretanja u prostorijama pod videonadzorom.

Većinu osobnih podataka koje HELIOS FAROS prikuplja, pružaju sami ispitanici te molimo da ne navodite osjetljive informacije (primjerice rasu ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja, i slično) kada to nije nužno. Ako ćete ipak navoditi osjetljive informacije iz bilo kojeg razloga, tim činom daju svoju izričitu privolu za prikupljanje i korištenje tih informacija na načine opisane u ovoj Politici ili na način opisan u trenutku otkrivanja tih informacija.

Dostava podataka trećim subjektima

HELIOS FAROS osobne podatke dijeli s drugima samo kad je to dopušteno.

U okviru izvršavanja zakonskih obveza, HELIOS FAROS obvezna je dostavljati podatke trećim osobama. Primjerice, dostava podataka gostiju putem sustava eVisitor, dostava podataka radnika nadležnim zavodima: Hrvatskom zavodu za mirovinsko osiguranje, Hrvatskom zavodu za zdravstveno osiguranje, Poreznoj upravi te Središnjem registru osiguranika i mirovinskim društvima. Također HELIOS FAROS obvezna je u određenim slučajevima dostaviti ili staviti na uvid podatke u vezi sa zaposlenjem Hrvatskom zavodu za zapošljavanje, primjerice radi uključenja radnika u mjere aktivne politike zapošljavanja, nadležnim policijskim postajama odnosno ministarstvu nadležnom za unutarnje poslove, primjerice u slučaju boravka viših državnih dužnosnika u objektima HELIOS FAROS, kao i za izdavanje dozvola za rad, ministarstvu nadležnom za poslove turizma u slučaju zapošljavanja stipendista, ministarstvu nadležnom za poslove gospodarstva i poduzetništva kada se radi o korištenju potpora za ulaganja, osiguravajućim društvima, bankama i u ostalim slučajevima kada propisi to nalažu.

Također, određeni podatci radnika šalju se bankama ili mirovinskim fondovima u okviru isplata plaća, a podatci se mogu slati i vjerovnicima u skladu s ovršnim propisima. Ponekad se šalju podatci s obzirom na ugovorne obveze, primjerice kod učenika na praksi, podatci se razmjenjuju sa školama, fakultetima.

Određeni osobni podatci dostavljaju se i poslovnim subjektima u svrhe pružanja specifičnih usluga kao primjerice usluge zdravstvenih pregleda radnika (ugovorena medicina rada), nadalje, institucijama koje organiziraju zakonski obvezne edukacije (zaštitu na radu, higijenski minimum, toksikologija) ili revizorskim društvima kod provođenja obvezne revizije, javnim bilježnicima kada se traže ovjere, Financijskoj agenciji za potrebe ishođenja poslovnih certifikata, obveznicima javne nabave kada se HELIOS FAROS javlja na natječaje javne nabave, nadalje u svrhe dodjele i korištenja službenih kartica, službenih mobilnih uređaja ili za kupnju goriva.

Moguća je dostava podataka poslovnim subjektima, izvršiteljima obrade, koji obrađuju podatke uime HELIOS FAROS koja djeluje kao voditelj obrade. Najčešće su to poslovni suradnici HELIOS FAROS koji pružaju informatičke usluge, koji ih čuvaju u svojim bazama ili imaju mogućnost uvida u osobne podatke do završetka obrade. S takvim se subjektima sklapa detaljan ugovor u pogledu njihovih ovlasti i obveza kod obrade osobnih podataka, a sukladno zahtjevima Uredbe.

U određenim situacijama moguće je da vanjski subjekti zajedno s HELIOS FAROS zajednički odrede svrhe i načine obrade osobnih podataka, tada su ti vanjski partneri i HELIOS FAROS zajednički voditelji obrade. U tim odnosima, zajednički voditelji obrade na transparentan način određuju svoje odgovornosti za poštovanje obveza iz Uredbe, osobito s obzirom na ostvarivanje prava ispitanika i svojih dužnosti poštovanja transparentnosti obrade, osim ako su odgovornosti zakonom utvrđene.

Poseban slučaj dostave podataka trećim subjektima činjenica je da HELIOS FAROS ima sklopljene poduzetničke ugovore s trgovačkim društvima na temelju kojih upravlja turističkim dijelom poslovanja. To znači da u određenim slučajevima gosti HELIOS FAROSA mogu dobiti od HELIOS FAROSA i ponude koje sadržavaju informacije o drugim hotelima i objektima kojima upravlja HELIOS FAROS. Također, na temelju poduzetničkih ugovora HELIOS FAROS ima određena prava i obveze vezano uz ljudske potencijale. U tim slučajevima HELIOS FAROS ima pravo obrade osobnih podataka ispitanika tih društava. Sva načela iz ove Politike odnose se i na ispitanike tih društava u segmentima u kojima je uključena HELIOS FAROS kao voditelj obrade, međutim i ta su društva odgovorna kao voditelji svojih obrada podataka ispitanika.

Ako u okviru obrade podataka dolazi do iznošenja podataka u treće zemlje HELIOS FAROS osigurava poštovanje visokih standarda zaštite kako bi se poštovao najviši mogući standard zaštite osobnih podataka, a u skladu sa strogim zahtjevima Uredbe. U tom smislu, kada su u primjeni međunarodni prijenosi osobnih podataka HELIOS FAROS će informirati ispitanika o namjeri iznošenja osobnih podataka trećoj zemlji ili međunarodnoj organizaciji te o postojanju ili nepostojanju odluke Europske komisije o primjerenosti. Svaki prijenos osobnih podataka u treće zemlje bit će obavljen u skladu s poglavljem V. Uredbe.

Vrijeme čuvanja podataka

Podatci ispitanika obrađuju se i čuvaju, u skladu s važećim zakonskim propisima kada je obveza čuvanja propisana (primjerice isplatne liste, analitička evidencija o plaćama za koje se plaćaju obvezni doprinosi čuvaju se trajno, a knjigovodstvene isprave na temelju kojih su podatci uneseni u dnevnik, glavnu knjigu i pomoćne knjige čuvaju se najmanje jedanaest godina), a u situacijama kada je HELIOS FAROS ovlaštena sama utvrditi rokove čuvanja podataka, podatci se čuvaju onoliko koliko je potrebno u svrhe radi kojih se osobni podatci obrađuju vodeći računa o svrsi obrade, legitimnim interesima HELIOS FAROSA i interesima ispitanika da se podatci brišu.

Prava ispitanika

Bez obzira na osnovu prikupljanja podataka, ispitanici mogu besplatno ostvariti sljedeća prava u granicama koje propisuje Uredba:

Pravo na informiranje: ispitanik ima pravo biti informiran o obradi i njezinim svrhama. HELIOS FAROS vodi računa o pružanju svih informacija ispitaniku koje su neophodne za osiguravanje poštene i transparentne obrade uzimajući u obzir kontekst obrade.

Pravo na brisanje („pravo na zaborav“): ispitanik ima pravo zatražiti od HELIOS FAROSA brisanje osobnih podataka koji se na njega odnose, bez nepotrebnog odgađanja sukladno uvjetima iz Uredbe. Da biste to učinili, pošaljite svoj zahtjev nama kao voditelju obrade pisanim putem, uključujući i elektronički oblik komunikacije. Napominjemo kako je u zahtjevu potrebno specificirati što konkretno želite da se briše jer Vaše podatke možemo čuvati na temelju različitih pravnih osnova, primjerice ispitanik može biti i naš gost i kandidat za zaposlenje. Imate pravo tražiti brisanje osobnih podataka koji se na Vas odnose ako je ispunjen jedan od sljedećih uvjeta:

  • Vaši osobni podatci više nisu nužni u odnosu na svrhu u koju smo ih prikupili ili obradili
  • povukli ste privolu na kojoj se obrada temelji i ako ne postoji druga pravna osnova za obradu
  • uložili ste prigovor na obradu svojih osobnih podataka te ako ne postoje naši jači legitimni razlozi za obradu
  • osobni podatci nezakonito su obrađeni
  • osobni podatci moraju se brisati radi poštovanja pravne obveze.

U nekim slučajevima neće biti moguće u potpunosti ispuniti zahtjev za brisanjem, primjerice kada postoji zakonska obveza čuvanja, kada je legitimni interes voditelja obrade jači od interesa ispitanika, kada postoji interes voditelja obrade radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva.

Pravo na pristup podatcima: HELIOS FAROS na zahtjev ispitanika izdat će mu potvrdu obrađuju li se njegovi osobni podatci te ako se takvi osobni podatci obrađuju, pristup osobnim podatcima i svrsi obrade, kategorijama podataka, potencijalnim primateljima kojima će osobni podatci biti otkriveni i drugim podatcima u skladu sa zahtjevima Uredbe. Ispitanik ima pravo dobiti i presliku osobnih podataka koji se obrađuju. Pristup osobnim podatcima može biti ograničen samo u zakonom propisanim slučajevima odnosno kada se takvim ograničenjem poštuje bit temeljnih prava i sloboda drugih.

Pravo na ispravak: ispitanik ima pravo bez nepotrebnog odgađanja ishoditi od HELIOS FAROSA ispravak netočnih osobnih podataka koji se na njega odnose. Uzimajući u obzir svrhe obrade, ispitanik ima pravo dopuniti nepotpune osobne podatke. Da biste to učinili, pošaljite svoj zahtjev nama kao voditelju obrade pisanim putem, uključujući i elektronički oblik komunikacije. Napominjemo kako je u zahtjevu potrebno specificirati što konkretno nije točno, potpuno ili ažurno i u kojem bi smislu navedeno trebalo ispraviti te dostaviti potrebnu dokumentaciju u prilog svojih navoda.

Pravo na prenosivost podataka: Ispitanik ima pravo zaprimiti osobne podatke koji se odnose na njega u strukturiranom, uobičajeno upotrebljavanom i strojno čitljivom formatu u skladu sa zahtjevima Uredbe.

Pravo na prigovor: kada HELIOS FAROS obrađuje podatke na temelju svojih legitimnih interesa koji su jači od interesa ispitanika, tada ispitanik ima pravo na temelju svoje posebne situacije u svakom trenutku uložiti prigovor na obradu osobnih podataka koji se odnose na njega.

Pravo na ograničenje obrade: ispitanik ima mogućnost od HELIOS FAROSA tražiti ostvarenje prava na ograničenje obrade u slučaju da osporava točnost osobnih podataka, smatra da je obrada nezakonita te se protivi brisanju osobnih podataka i umjesto toga traži ograničenje njihove uporabe te je ispitanik uložio prigovor na obradu i očekuje potvrdu nadilaze li legitimni razlozi voditelja obrade razloge ispitanika.

U svakom slučaju ispitanici imaju i pravo:

  • podnijeti prigovor Službeniku za zaštitu osobnih podataka,
  • podnijeti pritužbu nadzornom tijelu (Agencija za zaštitu osobnih podataka) ako smatraju da su im povrijeđena prava na zaštitu podataka.

Svoj pisani zahtjev uputite na adresu za kontakt službenika za zaštitu osobnih podataka: katija.damijanic@heliosfaros.hr odnosno putem pošte na adresu Helios Faros d.d., Naselje Helios 21460 Stari Grad, Republika Hrvatska – za DPO

HELIOS FAROS ima pravo i objaviti obrazac koji će služiti za podnošenje zahtjeva kako bi se što učinkovitije postupilo po zahtjevu.

HELIOS FAROS na zahtjev pruža informacije o poduzetim radnjama u vezi s ostvarivanjem prava ispitanika bez nepotrebnog odgađanja i u svakom slučaju u roku od mjesec dana od dana zaprimanja zahtjeva. Taj se rok može prema potrebi produljiti za dodatna dva mjeseca, uzimajući u obzir složenost i broj zahtjeva. HELIOS FAROS obavješćuje ispitanika o svakom takvom produljenju u roku od mjesec dana od dana zaprimanja zahtjeva, zajedno s razlozima odgađanja.

Ako ispitanik podnese zahtjev elektroničkim putem, HELIOS FAROS informacije pruža elektroničkim putem ako je to moguće, osim ako ispitanik zatraži drukčije.

Postupanja po zahtjevima ispitanika u pravilu su besplatna, ali ako su zahtjevi ispitanika očito neutemeljeni ili pretjerani, a osobito zbog njihova učestalog ponavljanja, HELIOS FAROS ima pravo naplatiti razumnu naknadu na temelju administrativnih troškova ili odbiti postupiti po zahtjevu.

Zaštita osobnih podataka djece

HELIOS FAROS savjetuje roditeljima i skrbnicima da pouče djecu (do 18 godina života) o sigurnom i odgovornom postupanju s osobnim podatcima posebice na internetu. HELIOS FAROS obrađuje osobne podatke djece isključivo uz prethodnu privolu roditelja/skrbnika (primjerice: stipendisti, kada su djeca gosti naših objekata, posjetitelji Maro igraonica i sl).

Izvori osobnih podataka

Osobne podatke HELIOS FAROS dobiva najčešće od ispitanika. Prilikom davanja osobnih podataka HELIOS FAROSU, na bilo koji način (rezervacija smještaja, prijava za posao…), jamčite da su informacije koje ste priložili točne, da ste poslovno sposobni i ovlašteni raspolagati danim informacijama te da ste u cijelosti suglasni da HELIOS FAROS Vaše podatke upotrebljava i prikuplja u skladu s pozitivnim propisima i uvjetima ove Politike privatnosti.

Također, osobne podatke ispitanika HELIOS FAROS dobiva i od drugih fizičkih i pravnih osoba, primjerice: od turističkih agencija koje prosljeđuju podatke gostiju za potrebe smještaja, gostiju koji rezerviraju smještaj za osobe s kojima će boraviti u objektima, agencija za posredovanje pri zapošljavanju i ustupanje radnika. Prilikom davanja osobnih podataka drugih osoba HELIOS FAROSU jamčite da su informacije koje ste priložili točne, da ste poslovno sposobni i ovlašteni raspolagati danim informacijama, da su ispitanici čije osobne podatke prosljeđujete HELIOS FAROSU suglasni da HELIOS FAROS njihove podatke upotrebljava i prikuplja u skladu s pozitivnim propisima i uvjetima ove Politike privatnosti.

Tehnička i integrirana zaštita podataka

HELIOS FAROS kao voditelj obrade vodi računa o najvišim organizacijskim i tehničkim standardima zaštite podataka. Stoga, uzimajući u obzir najnovija dostignuća, trošak provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca koji proizlaze iz obrade podataka, u vrijeme određivanja sredstava obrade i u vrijeme same obrade, provodi odgovarajuće tehničke i organizacijske mjere za omogućavanje učinkovite primjene načela zaštite podataka.

Također, HELIOS FAROS provodi odgovarajuće tehničke i organizacijske mjere kojima se osigurava da integriranim načinom budu obrađeni samo osobni podatci koji su nužni za svaku posebnu svrhu obrade. Tu mjeru HELIOS FAROS primjenjuje na količinu prikupljenih osobnih podataka, opseg njihove obrade, razdoblje pohrane i njihovu dostupnost. Točnije, takvim se mjerama osigurava da osobni podatci nisu automatski, bez intervencije pojedinca, dostupni neograničenom broju pojedinca.

Postupanje po povredama osobnih podataka

HELIOS FAROS kao voditelj obrade osigurava da u slučaju povrede osobnih podataka bez nepotrebnog odgađanja i, ako je izvedivo, najkasnije 72 sata nakon saznanja o toj povredi, izvješćuje nadležno nadzorno tijelo o povredi osobnih podataka, osim ako nije vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinaca.

Izvješće koje se dostavlja nadzornom tijelu sadržava sve informacije sukladno Uredbi.

U slučaju povrede osobnih podataka koje će vjerojatno prouzročiti visok rizik za prava i slobode pojedinaca, HELIOS FAROS kao voditelj obrade bez nepotrebnog odgađanja obavješćuje ispitanika o povredi osobnih podataka. Ponekad, u slučajevima kada Uredba propisuje, obavješćivanje ispitanika nije obvezno.

POSEBNI DIO


BORAVAK U OBJEKTIMA (hoteli, apartmani, kampovi)

Osnovni predmet poslovanja HELIOS FAROSA pružanje je usluga smještaja u hotelima, apartmanima i kampovima. Stoga, HELIOS FAROS prikuplja i obrađuje Vaše osobne podatke u različite svrhe s krajnjim ciljem kvalitetnog pružanja usluge smještaja i popratnih usluga sve prema najvišim standardima turističkih društava.

Vaše osobne podatke, koje morate dostaviti da bi Vam se pružila usluga HELIOS FAROS kao voditelj obrade čuva u svojoj bazi podataka u svrhu ispunjavanja ugovora o smještaju te ispunjavanja zakonskih obveza vezanih uz ugostiteljsku djelatnost. U slučaju da ne ustupite HELIOS FAROSU minimum podataka potreban za rezervaciju smještaja i prilikom odsjedanja za prijavu svim nadležnim registrima, HELIOS FAROS neće Vam biti u mogućnosti pružiti uslugu rezervacije smještaja odnosno uslugu smještaja sukladno ugovoru i zakonu.

Određeni podatci nužni su kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora o smještaju. Primjerice, prije same rezervacije smještaja, na upit osoba potencijalnih gostiju, šalju se ponude za smještaj, za izradu kojih HELIOS FAROS treba osobne podatke, najmanje ime, prezime i e-adresu kako bi mogla poslati ponudu.

Osobne podatke koje HELIOS FAROS prikuplja pri rezervaciji smještaja (rezervacije putem weba ili rezervacije telefonom pozivom u pozivni centar ili rezervacije prihvaćanjem ponude e- poštom) radi ispunjavanja obveze rezervacije su:

  • Ime i prezime nositelja rezervacije
  • Adresa prebivališta (hrvatski državljani)
  • Datum rođenja
  • Broj, vrsta identifikacijskog dokumenta i mjesto izdavanja
  • Državljanstvo
  • Ime objekta
  • Broj smještajne jedinice, vrsta smještajne jedinice (tip sobe)
  • Datum dolaska i odlaska
  • Broj osoba za koje se rezervira smještaj i razmještaj po sobama
  • Koje su osobe maloljetne
  • Eventualno ostale specifičnosti ovisno o zahtjevu osobe koja rezervira smještaj
  • E-adresa ako ju osoba ima
  • Jezik
  • Telefon
  • Članstvo u Programu vjernosti ako utječe na cijenu smještaja ili prikupljanje bodova
  • Način plaćanja i eventualno dodatne podatke nužne za potrebe izvršenje transakcija ili osiguranja plaćanja

U slučaju otkaza rezervacije, Vaše podatke moramo sačuvati za potrebe dokazivanja rezervacije odnosno otkaza iste.

Prilikom dolaska u objekt, gosti se u pravilu prijavljuju na recepciji objekta putem registracijske kartice koju gost ispunjava odnosno pregledava i potvrđuje točnost podataka ili se prijavljuju korištenjem aplikacija za samostalnu prijavu (engl. self check-in). U svakom slučaju, podatci se unose u bazu gostiju iz koje se podatci automatizmom šalju u sustav eVisitor (jedinstveni online informacijski sustav za prijavu i odjavu gostiju) radi poštovanja pravnih obveza HELIOS FAROS Podatci koji se prikupljaju (podatci se mogu mijenjati s obzirom na izmjene pozitivnih propisa):

  • Ime i prezime
  • Mjesto, država i datum rođenja
  • Državljanstvo
  • Broj i vrsta identifikacijskog dokumenta
  • Prebivalište (boravište) i adresa
  • Datum i vrijeme dolaska, odnosno odlaska iz objekta
  • Spol
  • Temelj za oslobođenje od plaćanja turističke pristojbe odnosno za umanjenje plaćanja turističke pristojbe

Navedene podatke obrađuju turističke zajednice i tijela javne vlasti Republike Hrvatske u sljedeće zakonite svrhe:

  • praćenja izvršenja obveze prijave i odjave turista od strane obveznika prijave i odjave (pružatelja usluga smještaja)
  • evidencije, obračuna i naplate turističke pristojbe
  • vođenja knjige ili popisa gostiju od strane pružatelja usluga smještaja te praćenja izvršenja navedene obveze od strane inspekcijskih tijela vođenja
  • prijave stranaca ministarstvu nadležnom za unutarnje poslove te praćenja izvršenja navedene obveze od strane inspekcijskih tijela
  • vođenja popisa turista od strane turističkih zajednica te statističke obrade i izvještavanja
  • nadzora nad poslovanjem pružatelja usluge smještaja u dijelu koji se odnosi na zakonitost obavljanja djelatnosti odnosno pružanja registriranih usluga te poštovanja poreznih i drugih propisa o javnim davanjima.

S obzirom na to da je propisano da se podatci za prijavu gostiju upisuju na temelju podataka iz osobne iskaznice, odnosno putne ili neke druge isprave o identitetu, gost je dužan HELIOS FAROS dati na uvid takvu ispravu te pružiti sve druge informacije koje su potrebne za upis podataka, a nisu sadržane u takvoj ispravi. Isto tako, za ostvarenje nekih prava i pogodnosti potrebno je priložiti (preslike) odgovarajuće isprave, potvrde i dokumente kojima se takva prava i pogodnosti dokazuju i ostvaruju.

Također, HELIOS FAROS dužna je čuvati i sve račune, kao i podloge za izdavanje računa izdane gostima s osobnim podatcima gosta sukladno zakonskim propisima.

Ostali podatci vezani uz okolnosti Vašeg boravka, kao što su primjerice: način putovanja, s kime putujete, bračno stanje, broj djece, kućni ljubimci, ostali interesi, također će biti prikupljeni i obrađivani tijekom Vašeg boravka kad imaju izravnu vezu s pružanjem usluge smještaja.

Prije, za vrijeme i nakon boravka HELIOS FAROS kao voditelj obrade ima pravo na temelju legitimnog interesa Vama kao gostu e-poštom slati tzv. servisne poruke – potvrde rezervacije, podsjetnike o boravku i ostale obavijesti usko vezane uz konkretan boravak koji ste rezervirali.

Također, za vrijeme i nakon boravka, HELIOS FAROS kao voditelj obrade ima pravo na temelju legitimnog interesa Vama kao gostu e-poštom, SMS-om i/ili preko instant messaging platforme (Viber, Whatsapp i sl.) slati upitnike o zadovoljstvu koje će obrađivati sam ili putem suradnika. Primarna je svrha upitnika o zadovoljstvu prikupljanje podataka o usluzi radi legitimnog interesa unaprjeđenja usluge od strane HELIOS FAROS, a HELIOS FAROS te podatke iz upitnika može depersonalizirati i obrađivati u statističke svrhe.

HELIOS FAROS ima pravo na temelju legitimnog interesa prikupljati određene podatke i koristiti u svrhu izravnog marketinga kako je opisano u poglavlju Newsletteri.

Servisne poruke i poruke s upitnicima o zadovoljstvu koji su vezani uz konkretan boravak gosta ne smatraju se newsletterima radi slanja ponude i vijesti HELIOS FAROS.

U odnosu na gore navedene informacije, VALAMAR RIVIERA d.d. ostvaruje pristup osobnim podacima s naslova usluga upravljanja.

KANDIDATI ZA ZAPOSLENJE I RADNICI

HELIOS FAROS poslodavac je velikom broju pojedinaca te ovaj dio Politike uređuje zaštitu osobnih podataka ponajprije u procesima u vezi sa zaposlenjem, razvojem i edukacijom unutar HELIOS FAROSA. U tom smislu ispitanici su ponajprije bivši i sadašnji radnici, tražitelji posla, osobe na praksi (učenici), stručnom usavršavanju, studenti koji rade na temelju tzv. studentskog ugovora, stipendisti te druge osobe čiji se podatci obrađuju u okviru radno pravnih i srodnih odnosa.

U okviru obrada podataka koje se provode u vezi sa zaposlenjem, HELIOS FAROS identificirala je sljedeće svrhe obrade:

  • Selekcija kadrova: uključuje prikupljanje i daljnju obradu relevantne natječajne dokumentacije, testiranje i ocjenjivanje, prikupljanje i analizu informacija o kandidatima iz javno dostupnih izvora, uključujući informacije koje je kandidat sam o sebi javno objavio ako je to važno zbog rizika koje određeno radno mjesto podrazumijeva.
  • Smanjivanje reputacijskog rizika: prikupljanje i analiza informacija o zaposlenicima i osobama u usporedivom odnosu iz javno dostupnih izvora, uključujući informacije koje je sam ispitanik o sebi javno objavio ako je to važno zbog rizika koje određeno radno mjesto podrazumijeva.
  • Zaključenje ugovora: obrada u svrhe zaključenja ugovora o radu, studentskog ugovora, stručne prakse ili stručnog osposobljavanja, ugovora o stipendiranju s osobama koje nisu u radnom odnosu u IMPERIAL RIVIERI ili bilo kojeg drugog usporedivog odnosa.
  • Ostvarivanje materijalnih i drugih prava: obrada je nužna kako bi se ostvarila materijalna i druga prava radnika, osoba u usporedivom odnosu ili drugih osoba (npr. djeca, supružnici ili korisnici osiguranja), primjerice za ostvarivanje prava za ulazak u mjere aktivne politike zapošljavanja (stalni sezonac i ostali), za ostvarenja dodatnih prava radnika po kolektivnom ugovoru HELIOS FAROS (primjerice: rođenje djeteta) i drugo.
  • Ispunjenje ugovora: obrada podataka nužna je u svrhu ispunjenja ugovora od strane ispitanika što uključuje ispunjenje radnih obveza, praćenja njihova izvršavanja i osiguravanja svih relevantnih mjera za njihovo izvršavanje.
  • Prijava smještaja: obrada podataka nužna je u slučaju da ispitanici borave u objektima za personalni smještaj radnika radi prijave boravka nadležnim tijelima.
  • Upravljanje radnim učinkom: ova svrha uključuje i informacije o postizanju prethodno utvrđenih ciljeva, pravovremenom ispunjenju ciljeva te daljnje analize radi utvrđivanja budućih ciljeva, upravljanja ljudskim potencijalima, utvrđivanja iznosa nagrada i drugim relevantnim mjerama.
  • Nagrađivanje: obrada uključuje nagrađivanje odnosno isplate fiksnog i varijabilnog dijela naknade, pri čemu takva obrada može obuhvatiti i podatke o povredama etičkih i drugih internih pravila, podatci iz sustava upravljanja radnim učinkom, o pohađanim edukacijama, kao i sve druge relevantne podatke.
  • Educiranje: obrada u svrhe educiranja osoba koje djeluju pod vodstvom HELIOS FAROS, uključujući i provjere znanja, što uključuje i sve potrebne radnje za kandidiranje i prijavljivanje ispitanika, analizu stečenih znanja i sve druge relevantne informacije za organiziranje, provedbu i daljnje postupanje po provođenju edukacija.
  • Izrada različitih izvještaja o radnicima: neki izvještaji izrađuju se radi zakonske obveze HELIOS FAROS, neki radi ostvarenja određenih prava, ispunjenja obveza HELIOS FAROS u slučaju ugovaranja i ostvarivanja dodatnih pogodnosti za radnike, budžetiranja i sl.
  • Informiranje: prikupljanje i obrada podataka u svrhu kvalitetnog i pravovremenog informiranja kandidata o otvorenim pozicijama i natječajima, odnosno mogućnostima zaposlenja unutar HELIOS FAROS. Prikupljanje i obrada podataka u svrhu kvalitetnog i pravovremenog informiranja svih radnika HELIOS FAROSA o novonastalim promjenama ili posebnim obavijestima važnim za ostvarivanje prava iz radnog odnosa ili važne obavijesti iz područja opće upućenosti u događanja i aktivnosti u HELIOS FAROSU u vezi s ostvarivanjem prava iz radnog odnosa ili svakog usporedivog odnosa. U tu se svrhu radi brzine i bolje obaviještenosti informacije šalju putem poruke telefonom i/ili na službene e-adrese, odnosno privatne ako je radnik dao privolu za korištenje e-adrese u tu svrhu. Nadalje, HELIOS FAROS može nuditi radnicima korištenje aplikacija koje radnici svojevoljno instaliraju na svoje mobilne uređaje putem koje mogu saznati razne novosti vezane uz HELIOS FAROS ili njezine partnere.
  • Zaštita imovine i osoba: uključuje praćenje ulaza/izlaza iz poslovnih prostorija, korištenja službenih mobilnih uređaja, računalne opreme, internetskog i telefonskog prometa, automobila, prostorija, i druge imovine HELIOS FAROS kao i pristup imovini gostiju u skladu s internim aktima.
  • Prestanak radnog odnosa: obrada podataka zbog prestanka ugovora o radu ili drugog usporedivog ugovora, a radi ispunjenja zakonskih i ugovornih obveza.
  • Praćenje etičnog ponašanja: obrada uključuje sve postupke u kojima se istražuje poštovanje propisa o etičnom ponašanju ili propisa u vezi sa zaštitom dostojanstva, odnosno u okviru bilo kojeg drugog disciplinskog postupanja, bez obzira je li ispitanik prijavljena osoba ili prijavljenik.
  • Zaštita na radu: obrada podataka može biti potrebna i u slučajevima kada je nužna za ispunjenje svrhe posebnih propisa o zaštiti na radu, uključujući alko testiranje sukladno propisima.

HELIOS FAROS ima legitiman interes ostvarivati razne pogodnosti za svoje radnike, kao i olakšati neke poslovne procese. U tom smislu HELIOS FAROS može na temelju posebne odluke odlučiti o raznim alatima kojima se postižu te svrhe (primjerice izdavanje radnicima ID kartice kojima se ostvaruju popusti, davanje određenih uputa putem SMS-a, fotografiranje u određenim slučajevima i sl.) u kojem će slučaju pravodobno obavijestiti sve radnike.

Pored navedenih svrha moguća je obrada osobnih podataka i u druge specifične svrhe, ali uvijek u okviru koji je zakonom propisan ili ako je obrada potrebna za ostvarivanje prava i obveza iz radnog odnosa, odnosno u vezi s radnim odnosom i svakim usporedivim odnosom.

Baza podataka HELIOS FAROSA o bivšim i sadašnjim radnicima, kandidatima, osobama na praksi (učenici), stručnom usavršavanju, studentima koji rade na temelju tzv. studentskog ugovora, stipendistima te drugim osobama čiji se podatci obrađuju u okviru radno pravnih i srodnih odnosa vodi se u posebnoj aplikaciji. S nositeljem održavanja i podrške aplikacije kao izvršiteljem obrade osobnih podataka sklopljen je odgovarajući ugovor.

Selekcija kadrova

HELIOS FAROS kao potencijalni poslodavac prikuplja, obrađuje i čuva podatke kandidata za zapošljavanje u HELIOS FAROSU u bazi kandidata na temelju njihove dobrovoljne prijave, i to na sljedeće načine:

  • prijava kandidata putem web prijavnog obrasca koji služi kao svojevrstan životopis (CV)
  • prijava putem e-poruke
  • dolaskom na organizirane audicije i ispunjavanjem prijavnih obrazaca
  • na drugi način.

Podatci koji se u pravilu prikupljaju: ime, prezime, datum rođenja, adresa, državljanstvo, OIB (za hrvatske državljane s obzirom na to da je OIB najpouzdaniji podatak kojim razlikujemo kandidate), mobitel, e-adresa (u svrhu kontaktiranja), spol, stručna sprema, jezik, preferirani način komunikacije.

Podatke o kandidatima HELIOS FAROS može dobivati posredno, od domaćih i stranih agencija za zapošljavanje, u kojem slučaju te agencije imaju obvezu obavijestiti kandidate o obradi njihovih osobnih podataka od strane HELIOS FAROSA.

Kandidati svoje prijave za posao šalju:

  • kao otvorene molbe u kojem slučaju obrađujemo podatke radi kontaktiranja kandidata u vezi sa zaposlenjem pet godina
  • kao prijave na konkretne natječaje koji imaju naveden rok završetka u kojem slučaju obrađujemo podatke za vrijeme trajanja natječaja i pet mjeseci od završetka natječaja radi kontaktiranja kandidata u vezi sa zaposlenjem, a te se prijave arhiviraju na pet godina.

U slučaju da kandidati koji se jave na konkretan natječaj koji ima naveden rok završetka daju posebnu privolu, obrađujemo podatke radi kontaktiranja kandidata u vezi sa zaposlenjem pet godina, kao i otvorene molbe.

HELIOS FAROS ima legitiman interes koristiti dobivene e-adrese, ali i ostale dostavljene podatke za kontakt za kontaktiranje kandidata vezano uz zaposlenje. Primjerice, nakon prijave kandidati mogu dobiti automatski odgovor da je njihova prijava zaprimljena te da će biti kontaktirani kandidati čije su kvalifikacije i iskustva u skladu s traženima za pojedina radna mjesta. Također, nakon prijave kandidati mogu dobiti poruku na broj telefona s predloženim terminom intervjua, poruku u kojoj je navedena dokumentacija potrebna za zapošljavanje i slično. Dodatno, osobe koje su radile na određeno vrijeme, pretežito sezonske poslove, HELIOS FAROS ima legitiman interes kontaktirati u svrhu informiranja o obavijestima važnim za poslovanje i ključne aktivnosti u HELIOS FAROSU, a radi održavanja kontakta u svrhu eventualne daljnje suradnje. U svako se doba besplatno možete odjaviti s liste primatelja vijesti iz HELIOS FAROSA.

Podatke koji se čuvaju pružaju sami kandidati, ali HELIOS FAROS na temelju legitimnog interesa osiguravanja najboljih kandidata stvara osobne podatke u vezi s aktivnostima zapošljavanja, kao što su rezultati razgovora za posao, testiranja i procjene, te prikuplja osobne podatke i od trećih strana, ponajprije provjerom podataka dobivenih tijekom procesa zapošljavanja kontaktiranjem relevantnih trećih strana (primjerice: agencije za zapošljavanje, pružatelji usluga obrazovanja i osposobljavanja) ili korištenjem javno dostupnih izvora.

Radni odnos i ostali usporedivi odnosi

HELIOS FAROS kao poslodavac prikuplja, obrađuje i čuva sve podatke radnika u bazi radnika koja se vodi u informatičkom programu i u fizičkim dosjeima radnika. Podatci koji se prikupljaju navedeni su u Pravilniku o sadržaju i načinu vođenja evidencije o radnicima koje je objavilo ministarstvo nadležno za rad i mirovinski sustav.

Potrebni podatci za zasnivanje radnog odnosa u pravilu su: preslika osobne iskaznice, preslika tekućeg računa ili uputa za plaćanje od banke, preslika zaštićenog računa (ako ga radnik posjeduje), OIB, dokaz o stručnoj spremi (preslika svjedodžbe ili diplome), e-knjižica: potvrda o mirovinskom stažu, (pribaviti ju u HZMO-u ili putem usluge e-Građani), Elektronički zapis obrasca porezne kartice, tzv. PK obrasca (pribaviti ga u Poreznoj upravi ili putem usluge e- Građani, osobe koje se prvi put zapošljavaju ne posjeduju elektronički zapis obrasca porezne kartice i moraju je otvoriti u Poreznoj upravi), rodni list djeteta ako je mlađe od 15 godina.

Potrebni podatci za sklapanje studentskih ugovora u pravilu su: potvrda fakulteta za tekuću godinu kao dokaz studentskog statusa ili preslika indeksa o upisanoj tekućoj godini, preslika osobne iskaznice, potvrda o upisnini za Studentski centar (nije slučaj sa svim studentskim centrima), jedna fotografija ili X-ica, OIB.

Osim tih podataka, HELIOS FAROS može u dosjeu radnika čuvati i ostale podatke koji su prikupljeni u postupku zapošljavanja, kao i ostale podatke koji su prikupljeni tijekom radnog odnosa određeni pravilnicima HELIOS FAROSA (primjerice: nagrade, opomene, certifikate i sl.).

Svi podatci radnika čuvaju se u bazi radnika datumom zasnivanja radnog odnosa i ažurno se vode do prestanka radnog odnosa te se isti čuvaju kao dokumentacija trajne vrijednosti sukladno relevantnim propisima.

HELIOS FAROS u svojoj bazi čuva i podatke ostalih osoba u poslovnom odnosu usporedivom s radnim odnosom ili osoba na praksi i stručnom usavršavanju, i to s početkom rada i ažurno ih vodi do prestanka rada te se čuvaju sukladno relevantnim propisima. Poseban su slučaj podatci učenika na praksi koji mogu biti maloljetni o kojima se vodi posebna pažnja i čiji se podatci prikupljaju i čuvaju sukladno posebnim propisima uz odobrenje škole i roditelja.

Podatci o plaći, platne liste – podliježu posebnim propisima o čuvanju. U svakom slučaju svi radnici i ostale osobe u poslovnom odnosu usporedivom s radnim odnosom ili osoba na praksi i stručnom usavršavanju imaju sva prava ispitanika.

U odnosu na gore navedene informacije, VALAMAR RIVIERA d.d. ostvaruje pristup osobnim podacima s naslova usluga upravljanja.

POSLOVNI PARTNERI

HELIOS FAROS u svojem poslovanju obrađuje i podatke poslovnih partnera ili potencijalnih poslovnih partnera, a to su:

  • fizičke osobe koje jesu, mogu postati ili su bili poslovni partneri HELIOS FAROSA npr. obrtnici, osobe koje su u režimu samostalnih zanimanja (npr. odvjetnici, liječnici i dr.), osobe s kojima se sklapaju ugovori o djelu (npr. pjevači, slikari, fotografi i dr.) i ostale fizičke osobe koje imaju položaj poduzetnika
  • fizičke osobe koje u nekom dijelu poslovanja predstavljaju pravne osobe s kojima HELIOS FAROS ima, može imati ili je imala poslovni odnos (npr. osobe koje obavljaju dostavu za svog poslodavca trgovačko društvo, osobe kojima se šalju računi za njihova poslodavca pravnu osobu, potpisnici ugovora za trgovačko društvo koje predstavljaju osobe koje za trgovačko društvo obavljaju primopredaju, osobe koje za svoju pravnu osobu organiziraju kongrese i sl.).

U okviru obrada podataka Ispitanika, HELIOS FAROS identificirao je sljedeće svrhe obrade:

  • Zaključenje ugovora: obrada u svrhe zaključenja ugovora iz bilo kojeg područja djelovanja HELIOS FAROSA (primjerice: slanje upita, slanje posebnih ponuda, traženje podataka o potpisnicima ugovora, slanje natječaja za pravne osobe koje ispitanici predstavljaju i sl.)
  • Ispunjenje ugovora: obrada podataka nužna je u svrhu ispunjenja ugovora što uključuje ispunjenje obveza, praćenja njihova izvršavanja i osiguravanja svih relevantnih mjera za njihovo izvršavanje (primjerice: za dogovor o vremenu i mjestu isporuke opreme na temelju ugovora, za slanje računa i sl.).
  • Informiranje: prikupljanje i obrada podataka u svrhu kvalitetnog i pravovremenog informiranja; HELIOS FAROS ima pravo na temelju legitimnog interesa prikupljati određene podatke i koristiti ih u svrhu izravnog marketinga kako je opisano u poglavlju Newsletteri.

Pored navedenih svrha moguća je obrada osobnih podataka i u druge specifične svrhe, ali uvijek u okviru koji je zakonom propisan ili ako je obrada potrebna za ostvarivanje prava i obveza iz poslovnog odnosa.

Vrsta osobnih podataka ispitanika koji se prikupljaju su:

  • ime i prezime
  • e-adresa
  • broj telefona
  • podatci o funkciji unutar pravne osobe koju predstavlja (npr. referent prodaje, tajnica uprave i sl.)
  • zanimanje kada je ispitanik fizička osoba s kojom se stupa u ugovorni odnos (primjerice: pjevač, slikar, fotograf, odvjetnik, liječnik...)
  • ponekad reference i kratki životopisi (posebno za konzultante)
  • podatci koji su navedeni na obrascima bjanko zadužnice, zadužnice, mjenice
  • broj računa u banci (IBAN) kada je poslovni partner fizička osoba s kojom se stupa u ugovorni odnos
  • ostali podatci ovisno o prirodi poslovnog odnosa.

Mjesta prikupljanja osobnih podataka ispitanika:

  • zaprimljene ponude ispitanika za poslovnom suradnjom
  • zaprimljeni podatci od ispitanika u kontekstu prodaje proizvoda/usluga HELIOS FAROSA ili kupnje proizvoda/usluga od poslovnog partnera (primjerice: sajmovi, kongresi i sl.)
  • poslovna korespondencija vezano uz određenu prethodnu ili sadašnju poslovnu suradnju (primjerice korespondencija koja se vrši u sklopu izvršavanja ugovora)
  • javno objavljeni podaci (primjerice: sudski registar, web stranice poslovnih partnera, časopisi, bilteni i sl.).

Pored navedenih vrsta podataka i mjesta prikupljanja moguća je obrada osobnih podataka i u druge specifične svrhe, ali uvijek u okviru koji je zakonom propisan ili ako je obrada potrebna za ostvarivanje prava i obveza iz poslovnog odnosa.

Vrijeme čuvanja

Podaci ispitanika koji su kao fizičke osobe u poslovnom odnosu s HELIOS FAROSOM čuvaju se u skladu s važećim zakonskim propisima (primjerice HELIOS FAROS dužan je čuvati i sve račune, kao i podloge za izdavanje računa sukladno zakonskim propisima).

U situacijama kada je HELIOS FAROS ovlašten sam utvrditi rokove čuvanja podataka, isti se utvrđuju vodeći računa o svrsi obrade i interesima ispitanika da se podatci unište, i to je određeno na najviše pet godina od prestanka ugovornog odnosa (u slučaju da je isti postojao).

U odnosu na gore navedene informacije, VALAMAR RIVIERA d.d. ostvaruje pristup osobnim podacima s naslova usluga upravljanja.

JAVNE OBJAVE

HELIOS FAROS putem svojih internetskih stranica, profila na društvenim mrežama, videozidova i oglasnih ploča u objektima objavljuje informacije koje su od interesa za postojeće, ali i potencijalne radnike, goste, poslovne partnere, dakle javnost. Takve objave mogu sadržavati ograničeni skup osobnih podataka, poput imena i prezimena, funkcija, profesionalnih podataka, videa, izjava i fotografija.

Pravna osnova za obradu legitiman je interes informiranja javnosti, ali i marketing, prilikom koje se obrade uvijek pazi na interes ispitanika pa se ne objavljuju osobni podatci ako se utvrdi da je interes ispitanika da se određeni osobni podatci ne objave, jači od interesa HELIOS FAROSA za objavu istih. U nekim situacijama, objava informacija može se temeljiti na privoli u skladu s najvišim standardima.

Objave imaju trajan karakter čime se osigurava informiranje o aktualnim događajima, kao i uvid u prethodne aktivnosti.

Obrada će prestati ako se na temelju prigovora ispitanika utvrdi da je takav prigovor opravdan ili ako je ispitanik povukao privolu u situacijama kada je privola primjenjiva i to na način koji je moguće provesti.

WEB STRANICE, KOLAČIĆI (COOKIES) I INTERNETSKE TEHNOLOGIJE

Internetske stranice HELIOS FAROSA primjenjuju kolačiće (cookiese), a politika kolačiča dostupna je na linku: www.heliosfaros.hr/cookie-policy/ .

VALAMAR RIVIERA d.d., koji djeluje kao management kompanija u ime i za račun HELIOS FAROSA (vidi u uvodu), ima nekoliko web-stranica (primjerice: www.valamar.com, https://www.valamar.com/en/hotels-hvar/hvar-places-hotel, www.camping-adriatic.com, www.valamar-experience.com, www.dobarposaouvalamaru.com, www.valfresco.com…) i moguće je da će ih stvarati i još, sve kako bi se pružila što bolja usluga i korisnicima omogućio jednostavniji i brži pristup sadržajima koji ih zanimaju.

Politike privatnosti VALAMAR RIVIERA d.d. dostupne su putem poveznice: https://www.valamar.com/hr/izjava-o-privatnosti

VIDEONADZOR

HELIOS FAROS kao voditelj obrade ima legitimni interes provesti mjere videonadzora radi zaštite imovine i osoba, a u određenim ima i zakonsku obvezu postaviti nadzorne kamere koje snimaju sve osobe koje se kreću u perimetru nadzorne kamere (gosti, zaposlenici, poslovni partneri i dr.).

Obrada osobnih podataka zaposlenika putem sustava videonadzora provodi se i uz uvjete utvrđene propisima kojima se regulira zaštita na radu.

HELIOS FAROS na propisani način označava sva mjesta na kojima je postavljen videonadzor.

HELIOS FAROS svjesna je da videozapisi sadržavaju osobne podatke svih osoba koje se kreću u perimetru kamere te ih stoga čuva s posebnom pažnjom, ima uređen sustav sigurnosti, dostupnosti te politiku brisanja istih koja je uređena internim pravilima o sigurnosti HELIOS FAROS.

Videozapisi se automatski brišu nakon najviše 15 dana od dana snimanja. U slučaju potrebe izuzimanja (presnimavanja), videozapisi se čuvaju najviše šest mjeseci, osim ako je drugim zakonom propisan duži rok čuvanja ili ako su dokaz u sudskom, upravnom, arbitražnom ili drugom istovrijednom postupku. Izuzeti videozapisi bit će pohranjeni u središnjem dojavnom sustavu s izuzetno ograničenim pristupom.

U slučaju vođenja sudskih i/ili kaznenih postupaka, HELIOS FAROS može koristiti navedene videozapise. Uvid u osobne podatke na videozapisima mogu imati i treće osobe, izvršitelji obrade, ugovorni partneri HELIOS FAROS registrirani i stručni za pružanje usluga zaštite osoba i imovine, a koji ni na koji način ne koriste samostalno navedene podatke nego se brinu o sigurnosti centralnih nadzornih i dojavnih sustava. Na sve ostale pojedinosti vezane uz videonadzor primjenjuju se posebni propisi koji uređuju to područje.

ZAVRŠNE ODREDBE

Ova Politika privatnosti dostupna je na stranicama https://www.valamar.com/en/hotels-hvar/hvar-places-hotel i www.heliosfaros.hr te također u uredima ljudskih potencijala i na recepcijama objekata HELIOS FAROSA.

HELIOS FAROS zadržava pravo u svako doba mijenjati i/ili nadopunjavati ove Politike privatnosti, pri čemu će ažuriranu politiku privatnosti objaviti na gore navedenim medijima.

Imperial Riviera d.d. politika privatnosti

OPĆI DIO

VODITELJ OBRADE I ZAKONSKI OKVIR

IMPERIAL RIVIERA, kao voditelj obrade, obvezuje se na zaštitu Vaših osobnih podataka. Prikupljanje i čuvanje podataka izvodi se u skladu s odredbama Uredbe EU 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka (dalje: Uredba), Zakona o provedbi Opće uredbe o zaštiti podataka (NN 42/2018) i ostalih propisa koji uređuju predmetno područje, a imaju primjenu u Republici Hrvatskoj.

OPSEG PRIMJENE

Ova Politika primjenjuje se na svaku obradu osobnih podataka koju obavlja IMPERIAL RIVIERA kao voditelj obrade, osim ako je drugom politikom ili drugim dokumentom IMPERIAL RIVIERE drukčije propisano za neku pojedinu obradu.

Ova Politika privatnosti podijeljena je na dva dijela: Opći dio i Posebni dio. Osnovna načela obrade osobnih podataka, kontakt podatci službenika za zaštitu osobnih podataka i ostale odredbe određene u Općem dijelu Politike primjenjuju se bez iznimke na svaku obradu osobnih podataka bez obzira je li takva obrada posebno obrađena u Posebnom dijelu Politike ili ne. U Posebnom dijelu Politike detaljnije su obrađeni posebni slučajevi obrade podataka koji predstavljaju glavninu svih obrada IMPERIAL RIVIERE.

SLUŽBENIK ZA ZAŠTITU PODATAKA

IMPERIAL RIVIERA imenovala je službenika za zaštitu osobnih podataka kojeg svakodobno možete kontaktirati putem adrese: gdpr@imperial.hr odnosno putem pošte na adresu Imperial Riviera d.d., Jurja Barakovića 2, 51280 Rab, Republika Hrvatska – za DPO, za pitanja vezana uz zaštitu osobnih podataka i za ostvarenje prava zajamčenih Uredbom.

Svi zahtjevi koji nisu vezani uz zaštitu osobnih podataka, a dostavljeni su na adresu službenika za zaštitu podataka, npr. ponude kandidata za zaposlenje, upiti za rezervacije u objektima IMPERIAL RIVIERE i sl., bit će proslijeđeni direktno u nadležne odjele unutar IMPERIAL RIVIERE, bez posebnog odgovora pošiljatelju od službenika za zaštitu podataka.

NAČELA ZAŠTITE OSOBNIH PODATAKA

IMPERIAL RIVIERA prepoznala je načela obrade podataka kao osnovne vrijednosti koje moraju biti poštovane tijekom cijelog ciklusa obrade osobnih podataka, od njihova prikupljanja pa sve do njihova uništenja ili drugog prestanka obrade. IMPERIAL RIVIERA obrađuje podatke:

  • Zakonito – obrada će biti moguća ako je ista dopuštena zakonom, i to u granicama koje zakon dopušta.
  • Pošteno – uvažavajući specifičnosti svakog odnosa, primjenjujući sve adekvatne mjere za zaštitu osobnih podataka te ne sprječavajući ispitanika u ostvarivanju svojih prava.
  • Transparentno – informirajući ispitanike o obradama osobnih podataka. Od samog prikupljanja podataka kada su ispitanici informirani o svim aspektima obrade podataka pa sve do prestanka obrade podataka ispitanicima se pruža jednostavan i brz pristup vlastitim podatcima što uključuje mogućnost uvida i dobivanja preslike u skladu s odredbama Uredbe. Određene informacije mogu se ograničiti samo kada je to zahtijevano zakonom ili kada je to nužno za zaštitu trećih osoba.
  • Uz ograničenje svrhe – obrađujući osobne podatke u one svrhe u koji su prikupljeni, a u druge svrhe ako su za to ispunjeni uvjeti iz Uredbe. Podatci se mogu obrađivati u podudarne svrhe samo uzimajući u obzir: (a) svaku vezu između svrha prikupljanja osobnih podataka i svrha namjeravanog nastavka obrade; (b) kontekst u kojem su prikupljeni osobni podatci, posebno u pogledu odnosa između ispitanika i IMPERIAL RIVIERE; (c) prirodu osobnih podataka, osobito činjenicu obrađuju li se posebne kategorije osobnih podataka u skladu s člankom 9. Uredbe ili osobni podatci koji se odnose na kaznene osude i kažnjiva djela u skladu s člankom 10. Uredbe; (d) moguće posljedice namjeravanog nastavka obrade za ispitanike te (e) postojanje odgovarajućih zaštitnih mjera.
  • Uz ograničenje pohrane – pohranjujući podatke u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podatci obrađuju, a duže samo ako je dopušteno propisima.
  • Uz smanjenje količine podataka – obrađujući podatke ako su primjereni, relevantni i ograničeni na ono što je nužno. Posebno se pazi da se ne prikupljaju podatci za koje ne postoji opravdana potreba za obradom.
  • Vodeći računa o točnosti – vodeći računa o točnosti i ažurnosti podataka i brišući netočne podatke u okviru mogućnosti.
  • Vodeći računa o cjelovitosti i povjerljivosti – pružajući tehničkim i organizacijskim mjerama odgovarajuću sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnoga gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera. Relevantne mjere primjenjuju se vodeći računa o rizičnosti svake vrste obrade podataka.

ZAKONITOST OBRADE OSOBNIH PODATAKA

Kako bi se poštovala zakonitost obrade osobnih podataka, IMPERIAL RIVIERA obrađuje osobne podatke samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:

  • Obrada je nužna za izvršavanje ugovora u kojem je ispitanik strana ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora; ovo je najčešća svrha obrade podataka ispitanika gdje je okosnica postojeći ugovorni odnos ili ugovorni odnos koji se nastoji postići.
  • Obrada je nužna radi poštovanja pravnih obveza voditelja obrade.IMPERIAL RIVIERA kao pravni subjekt ima brojne obveze koje su propisane raznim propisima. Ova obveza obuhvaća prikupljanje, a često i dostavu podataka državnim tijelima. Primjerice, obrada osobnih podataka dioničara koji se prijavljuju za glavnu skupštinu, obrada osobnih podataka sudionika na sastancima koji se održavaju u prostorijama IMPERIAL RIVIERE u skladu s protupandemijskim mjerama i sl.
  • Obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, uzimajući u obzir razumna očekivanja ispitanika koja se temelje na njihovu odnosu s voditeljem obrade, osobito ako je ispitanik dijete. Kod primjene ove pravne osnove IMPERIAL RIVIERA procjenjuje da je obrada primjerena poslovnim potrebama, da je što manje invazivna i da interesi ispitanika ne nadjačavaju legitimne interese IMPERIAL RIVIERE ili treće strane. Primjer su za ovakvu obradu obrada u administrativne svrhe, svrhe očuvanja sigurnosti računalnih mreža, svrhe izravnog marketinga i unaprjeđenja našeg poslovanja. Ispitanik u ovim situacijama uvijek ima pravo prigovoriti na takvu obradu.
  • Obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe. Pravo na zaštitu osobnih podataka nije apsolutno pravo i IMPERIAL RIVIERA ujednačava ga s drugim temeljnim pravima u skladu s načelom proporcionalnosti. IMPERIAL RIVIERA uvažava mogućnost da je u nekim situacijama potrebno obrađivati osobne podatke kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe.
  • Ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha. Kada obrađuje osobne podatke na temelju privole, IMPERIAL RIVIERA posebno vodi računa da su to situacije u kojima ne postoje nikakve, formalne ili neformalne, posljedice za davanje, odbijanje davanja ili uskraćivanja privole. Kada se obrada temelji na privoli, ispitanik može povući privolu u svakom trenutku bez negativnih posljedica. Povlačenje privole ne utječe na zakonitost obrade na temelju privole prije njezina povlačenja.

U nekim izvanredniim situacijama IMPERIAL RIVIERA može obrađivati podatke koji se u redovnim situacijama ne bi obrađivali, primjerice prikupljanje podataka na temelju preporuka Hrvatskog zavoda za javno zdravstvo u slučaju epidemija i sl.

VRSTE OSOBNIH PODATAKA KOJI SE OBRAĐUJU

Posebne kategorije osobnih podataka: posebne kategorije osobnih podataka obrađuju se samo ako su ispunjeni uvjeti iz članka 9. Uredbe. Primjerice, IMPERIAL RIVIERA obrađuje podatke radnika koji spadaju u posebne kategorije osobnih podataka, kao što su podatci o članstvu u sindikatu (primjerice kod ostvarivanja posebnih prava prema relevantnim propisima), vjerskim ili filozofskim uvjerenjima (primjerice kod ostvarivanja prava na dodatne neradne dane za vjerske blagdane ako je pojedinac dobrovoljno otkrio takve podatke u navedenu svrhu) ili podataka koji se odnose na zdravlje (primjerice prema posebnim propisima o zaštiti na radu ili vođenja evidencije o radnicima ili kada se za određene poslove traže posebni certifikati o zdravstvenom stanju) i sl.

Podatci o kaznenim osudama i kažnjivim djelima: kada za to postoji zakonsko ovlaštenje, IMPERIAL RIVIERA obrađuje i osobne podatke koji se odnose na kaznene osude i kažnjiva djela, kao što su na primjer uvjerenja o nekažnjavanju za radnike.

Osobni podatci koji ne spadaju u prethodne dvije skupine: takvi osobni podatci čine najveći dio obrađenih podataka, a to su najčešće identifikacijski podatci i podatci za kontakt poput imena i prezimena, OIB, podatci koji nastaju na temelju kretanja u prostorijama pod videonadzorom.

Većinu osobnih podataka koje IMPERIAL RIVIERA prikuplja, pružaju sami ispitanici te molimo da ne navodite osjetljive informacije (primjerice rasu ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja, i slično) kada to nije nužno. Ako ćete ipak navoditi osjetljive informacije iz bilo kojeg razloga, tim činom daju svoju izričitu privolu za prikupljanje i korištenje tih informacija na načine opisane u ovoj Politici ili na način opisan u trenutku otkrivanja tih informacija.

ULOGA DRUŠTVA VALAMAR RIVIERA d.d.

IMPERIAL RIVIERA sklopio je sa trgovačkim društvom Valamar Riviera d.d. sa sjedištem u Poreču, Stancija Kaligari 1 OIB: 36201212847 (dalje: Valamar) Ugovor u odnosu na upravljanje hotelsko turističkim objektima i sadržajima (dalje: Management ugovor) temeljem kojega Valamar upravlja određenim poslovnim segmentima IMPERIAL RIVIERE. U tom smislu IMPERIAL RIVIERA i Valamar mogu nastupati kao zasebni voditelji ili kao zajednički voditelji obrade osobnih podataka ili Valamar može nastupati kao izvršitelj obrade osobnih podataka ispitanika.

S obzirom na poduzetnički ugovor, prilikom upravljanja hotelsko turističkim objektima i sadržajima Valamar ponekad neposredno upravlja određenim aktivnostima uključujući upravljanje nekim aktivnostima koje su opisane u Posebnom dijelu ovih Politika privatnosti, te osim toga Valamar dobiva podatke od strane IMPERIAL RIVIERE i ima pravo uvida u podatke u određenim aktivnostima prilikom kojih dolazi do obrade osobnih podataka. Primjerice, Valamar upravlja funkcijom rezervacije smješta putem Valamar rezervacijskog centra (call centra) i putem web stranica www.valamar.com i www.camping-adriatic.com te je u tim slučajevima Valamar samostalni voditelj obrade, međutim sve te podatke koji se odnose na objekte IMPERIAL RIVIERE obrađuje i IMPERIAL RIVIERA kao samostalni voditelj obrade. Nadalje, Valamar ima legitiman interes obrade osobnih podataka koja se provodi za potrebe izravnog marketinga, ponajprije u svrhu slanja marketinških poruka (newslettera) e-poštom, SMS-om i/ili preko instant messaging platforme (Viber, Whatsapp i sl.). Na temelju legitimnog interesa, Valamar može slati različite newslettere ovisno o odnosu koji ispitanici imaju s Valamarom odnosno objektima pod upravljanjem Valamara. U tu se svrhu prikupljaju osobni podatci od gostiju i osoba koje su tražile ponudu ili rezervirale smještaj, osoba koje su sudjelovale u nagradnoj igri, pristupile u članstvo programa vjernosti, ispunjavale upitnik o zadovoljstvu, osoba koje su ispunile prijavu u objektima za besplatan Wi-Fi, osoba koje su obavile kupnju u web-trgovini ili na drugi način bile u nekom odnosu s Valamarom. Slijedom navedenog u određenim slučajevima gosti IMPERIAL RIVIERE mogu dobiti od Valamara i newslettere koje sadržavaju informacije o drugim hotelima i objektima kojima upravlja Valamar, ali i upitnike kvalitete smještaja i ostale servisne e-mailove. Za goste IMPERIAL RIVIERE mogu se povremeno organizirati i nagradne igre, koje može organizirati Valamar u kojem slučaju će se prikupljati Vaši osobni podaci samo ako se odlučite sudjelovati u nagradnoj igri. U IMPERIAL RIVIERI primjenjuje se Valamarov Program vjernosti Plus Club. Uvjeti članstva sadržani su u Valamarovim Pravilima Programa vjernosti koji se mogu pronaći na www.valamar.com/hr/program-vjernosti/valamar-plus-club/pravilnik-programa. Također, na temelju Management ugovora Valamar ima određena prava i obveze vezano uz ljudske potencijale, tako da u tim slučajevima Valamar ima pravo obrade osobnih podataka radnika i kandidata koji se javljaju za zaposlenje u IMPERIAL RIVIERI, primjerice prilikom slanja molbi kandidata putem web stranice www.dobarposaouvalamaru.com.

Kada Valamar nastupa kao voditelj obrade primjenjuju se Politike prihvatnosti Valamara koje možete pronaći na stranici: https://www.valamar.com/hr/izjava-o-privatnosti.

DOSTAVA PODATAKA TREĆIM SUBJEKTIMA

IMPERIAL RIVIERA osobne podatke dijeli s drugima samo kad je to dopušteno.

U okviru izvršavanja zakonskih obveza, IMPERIAL RIVIERA obvezna je dostavljati podatke trećim osobama. Primjerice, dostava podataka gostiju putem sustava eVisitor, dostava podataka radnika nadležnim zavodima: Hrvatskom zavodu za mirovinsko osiguranje, Hrvatskom zavodu za zdravstveno osiguranje, Poreznoj upravi te Središnjem registru osiguranika i mirovinskim društvima. Također IMPERIAL RIVIERA obvezna je u određenim slučajevima dostaviti ili staviti na uvid podatke u vezi sa zaposlenjem Hrvatskom zavodu za zapošljavanje, primjerice radi uključenja radnika u mjere aktivne politike zapošljavanja, nadležnim policijskim postajama odnosno ministarstvu nadležnom za unutarnje poslove, primjerice u slučaju boravka viših državnih dužnosnika u objektima IMPERIAL RIVIERE, kao i za izdavanje dozvola za boravak i rad, ministarstvu nadležnom za poslove turizma u slučaju zapošljavanja stipendista, ministarstvu nadležnom za poslove gospodarstva i poduzetništva kada se radi o korištenju potpora za ulaganja, osiguravajućim društvima, bankama i u ostalim slučajevima kada propisi to nalažu.

Također, određeni podatci radnika šalju se bankama ili mirovinskim fondovima u okviru isplata plaća, a podatci se mogu slati i vjerovnicima u skladu s ovršnim propisima. Ponekad se šalju podatci s obzirom na ugovorne obveze, primjerice kod učenika na praksi, podatci se razmjenjuju sa školama, fakultetima.

Određeni osobni podatci dostavljaju se i poslovnim subjektima u svrhe pružanja specifičnih usluga kao primjerice usluge zdravstvenih pregleda radnika (ugovorena medicina rada), nadalje, institucijama koje organiziraju zakonski obvezne edukacije (zaštitu na radu, higijenski minimum, toksikologija) ili revizorskim društvima kod provođenja obvezne revizije, javnim bilježnicima kada se traže ovjere, Financijskoj agenciji za potrebe ishođenja poslovnih certifikata, obveznicima javne nabave kada se IMPERIAL RIVIERA javlja na natječaje javne nabave, nadalje u svrhe dodjele i korištenja službenih kartica, službenih mobilnih uređaja ili za kupnju goriva.

Moguća je dostava podataka poslovnim subjektima, izvršiteljima obrade, koji obrađuju podatke u ime IMPERIAL RIVIERE koja djeluje kao voditelj obrade. Najčešće su to poslovni suradnici IMPERIAL RIVIERE koji pružaju informatičke usluge, koji ih čuvaju u svojim bazama ili imaju mogućnost uvida u osobne podatke do završetka obrade. S takvim se subjektima sklapa detaljan ugovor u pogledu njihovih ovlasti i obveza kod obrade osobnih podataka, a sukladno zahtjevima Uredbe.

U određenim situacijama moguće je da vanjski subjekti zajedno s IMPERIAL RIVIEROM zajednički odrede svrhe i načine obrade osobnih podataka, tada su ti vanjski partneri i IMPERIAL RIVIERA zajednički voditelji obrade. U tim odnosima, zajednički voditelji obrade na transparentan način određuju svoje odgovornosti za poštovanje obveza iz Uredbe, osobito s obzirom na ostvarivanje prava ispitanika i svojih dužnosti poštovanja transparentnosti obrade, osim ako su odgovornosti zakonom utvrđene.

Poseban slučaj dostave podataka trećim subjektima činjenica je da IMPERIAL RIVIERA ima sklopljen poduzetnički ugovor s Valamarom te se podaci dostavljaju Valamaru, odnosno Valamar ima uvid u osobne podatke ispitanika IMPERIAL RIVIERE sve u skladu s Management i drugim ugovorima (vidi poglavlje: ULOGA DRUŠTVA VALAMAR RIVIERA d.d.).

Ako u okviru obrade podataka dolazi do iznošenja podataka u treće zemlje, IMPERIAL RIVIERA osigurava poštovanje visokih standarda zaštite kako bi se poštovao najviši mogući standard zaštite osobnih podataka, a u skladu sa strogim zahtjevima Uredbe. U tom smislu, kada su u primjeni međunarodni prijenosi osobnih podataka, IMPERIAL RIVIERA će informirati ispitanika o namjeri iznošenja osobnih podataka trećoj zemlji ili međunarodnoj organizaciji te o postojanju ili nepostojanju odluke Europske komisije o primjerenosti. Svaki prijenos osobnih podataka u treće zemlje bit će obavljen u skladu s poglavljem V. Uredbe.

VRIJEME ČUVANJA PODATAKA

Podatci ispitanika obrađuju se i čuvaju, u skladu s važećim zakonskim propisima kada je obveza čuvanja propisana (primjerice isplatne liste, analitička evidencija o plaćama za koje se plaćaju obvezni doprinosi čuvaju se trajno, a knjigovodstvene isprave na temelju kojih su podatci uneseni u dnevnik, glavnu knjigu i pomoćne knjige čuvaju se najmanje jedanaest godina), a u situacijama kada je IMPERIAL RIVIERA ovlaštena sama utvrditi rokove čuvanja podataka, podatci se čuvaju onoliko koliko je potrebno u svrhe radi kojih se osobni podatci obrađuju vodeći računa o svrsi obrade, legitimnim interesima IMPERIAL RIVIERE i interesima ispitanika da se podatci brišu.

PRAVA ISPITANIKA

Bez obzira na osnovu prikupljanja podataka, ispitanici mogu besplatno ostvariti sljedeća prava u granicama koje propisuje Uredba:

Pravo na informiranje: ispitanik ima pravo biti informiran o obradi i njezinim svrhama. IMPERIAL RIVIERA vodi računa o pružanju svih informacija ispitaniku koje su neophodne za osiguravanje poštene i transparentne obrade uzimajući u obzir kontekst obrade.

Pravo na brisanje („pravo na zaborav“): ispitanik ima pravo zatražiti od IMPERIAL RIVIERE brisanje osobnih podataka koji se na njega odnose, bez nepotrebnog odgađanja sukladno uvjetima iz Uredbe. Da biste to učinili, pošaljite svoj zahtjev nama kao voditelju obrade pisanim putem, uključujući i elektronički oblik komunikacije. Napominjemo kako je u zahtjevu potrebno specificirati što konkretno želite da se briše jer Vaše podatke možemo čuvati na temelju različitih pravnih osnova, primjerice ispitanik može biti i naš gost i kandidat za zaposlenje. Imate pravo tražiti brisanje osobnih podataka koji se na Vas odnose ako je ispunjen jedan od sljedećih uvjeta:

  • Vaši osobni podatci više nisu nužni u odnosu na svrhu u koju smo ih prikupili ili obradili
  • povukli ste privolu na kojoj se obrada temelji i ako ne postoji druga pravna osnova za obradu
  • uložili ste prigovor na obradu svojih osobnih podataka te ako ne postoje naši jači legitimni razlozi za obradu
  • osobni podatci nezakonito su obrađeni
  • osobni podatci moraju se brisati radi poštovanja pravne obveze.

U nekim slučajevim neće biti moguće u potpunosti ispuniti zahtjev za brisnjem, primjerice kada postoji zakonska obveza čuvanja, kada je legitimni interes voditelja obrade jači od interesa ispitanika, kada postoji interes voditelja obrade radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva.

Pravo na pristup podatcima: IMPERIAL RIVIERA na zahtjev ispitanika izdat će mu potvrdu obrađuju li se njegovi osobni podatci te ako se takvi osobni podatci obrađuju, pristup osobnim podatcima i svrsi obrade, kategorijama podataka, potencijalnim primateljima kojima će osobni podatci biti otkriveni i drugim podatcima u skladu sa zahtjevima Uredbe. Ispitanik ima pravo dobiti i presliku osobnih podataka koji se obrađuju. Pristup osobnim podatcima može biti ograničen samo u zakonom propisanim slučajevima odnosno kada se takvim ograničenjem poštuje bit temeljnih prava i sloboda drugih.

Pravo na ispravak: ispitanik ima pravo bez nepotrebnog odgađanja ishoditi od IMPERIAL RIVIERE ispravak netočnih osobnih podataka koji se na njega odnose. Uzimajući u obzir svrhe obrade, ispitanik ima pravo dopuniti nepotpune osobne podatke. Da biste to učinili, pošaljite svoj zahtjev nama kao voditelju obrade pisanim putem, uključujući i elektronički oblik komunikacije. Napominjemo kako je u zahtjevu potrebno specificirati što konkretno nije točno, potpuno ili ažurno i u kojem bi smislu navedeno trebalo ispraviti te dostaviti potrebnu dokumentaciju u prilog svojih navoda.

Pravo na prenosivost podataka: Ispitanik ima pravo zaprimiti osobne podatke koji se odnose na njega u strukturiranom, uobičajeno upotrebljavanom i strojno čitljivom formatu u skladu sa zahtjevima Uredbe.

Pravo na prigovor: kada IMPERIAL RIVIERA obrađuje podatke na temelju svojih legitimnih interesa koji su jači od interesa ispitanika, tada ispitanik ima pravo na temelju svoje posebne situacije u svakom trenutku uložiti prigovor na obradu osobnih podataka koji se odnose na njega.

Pravo na ograničenje obrade: ispitanik ima mogućnost od IMPERIAL RIVIERE tražiti ostvarenje prava na ograničenje obrade u slučaju da osporava točnost osobnih podataka, smatra da je obrada nezakonita te se protivi brisanju osobnih podataka i umjesto toga traži ograničenje njihove uporabe te je ispitanik uložio prigovor na obradu i očekuje potvrdu nadilaze li legitimni razlozi voditelja obrade razloge ispitanika.

U svakom slučaju ispitanici imaju i pravo:

  • podnijeti prigovor Službeniku za zaštitu osobnih podataka
  • podnijeti pritužbu nadzornom tijelu (Agencija za zaštitu osobnih podataka) ako smatraju da su im povrijeđena prava na zaštitu podataka.

Svoj pisani zahtjev uputite na adresu za kontakt službenika za zaštitu osobnih podataka: gdpr@imperial.hr odnosno putem pošte na adresu Imperial Riviera d.d., Jurja Barakovića 2, 51280 Rab, Republika Hrvatska – za DPO.

IMPERIAL RIVIERA kao Voditelj obrade ima pravo na zaštitu interesa Voditelja obrade, kao i zaštite ispitanika te sukladno tomu ima pravo provesti aktivnosti utvrđivanja identiteta podnositelja zahtjeva.

IMPERIAL RIVIERA ima pravo i objaviti obrazac koji će služiti za podnošenje zahtjeva kako bi se što učinkovitije postupilo po zahtjevu.

IMPERIAL RIVIERA na zahtjev pruža informacije o poduzetim radnjama u vezi s ostvarivanjem prava ispitanika bez nepotrebnog odgađanja i u svakom slučaju u roku od mjesec dana od dana zaprimanja zahtjeva. Taj se rok može prema potrebi produljiti za dodatna dva mjeseca, uzimajući u obzir složenost i broj zahtjeva. IMPERIAL RIVIERA obavješćuje ispitanika o svakom takvom produljenju u roku od mjesec dana od dana zaprimanja zahtjeva, zajedno s razlozima odgađanja.

Ako ispitanik podnese zahtjev elektroničkim putem, IMPERIAL RIVIERA informacije pruža elektroničkim putem ako je to moguće, osim ako ispitanik zatraži drukčije.

Postupanja po zahtjevima ispitanika u pravilu su besplatna, ali ako su zahtjevi ispitanika očito neutemeljeni ili pretjerani, a osobito zbog njihova učestalog ponavljanja, IMPERIAL RIVIERA ima pravo naplatiti razumnu naknadu na temelju administrativnih troškova ili odbiti postupiti po zahtjevu.

ZAŠTITA OSOBNIH PODATAKA DJECE

IMPERIAL RIVIERA savjetuje roditeljima i skrbnicima da pouče djecu (do 18 godina života) o sigurnom i odgovornom postupanju s osobnim podatcima posebice na internetu. IMPERIAL RIVIERA obrađuje osobne podatke djece isključivo uz prethodnu privolu roditelja/skrbnika (primjerice: stipendisti, kada su djeca gosti naših objekata, posjetitelji Maro igraonica i sl).

IZVORI OSOBNIH PODATAKA

Osobne podatke IMPERIAL RIVIERA dobiva najčešće od ispitanika. Prilikom davanja osobnih podataka IMPERIAL RIVIERI, na bilo koji način (rezervacija smještaja, prijava za posao…), jamčite da su informacije koje ste priložili točne, da ste poslovno sposobni i ovlašteni raspolagati danim informacijama te da ste u cijelosti suglasni da IMPERIAL RIVIERA Vaše podatke upotrebljava i prikuplja u skladu s pozitivnim propisima i uvjetima ove Politike privatnosti.

Također, osobne podatke ispitanika IMPERIAL RIVIERA dobiva i od drugih fizičkih i pravnih osoba, primjerice: od Valamara kao društva koje upravlja određenim poslovnim aspektima poslovanja, od turističkih agencija koje prosljeđuju podatke gostiju za potrebe smještaja, gostiju koji rezerviraju smještaj za osobe s kojima će boraviti u objektima, agencija za posredovanje pri zapošljavanju i ustupanje radnika, od nositelja rezervacije smještaja za ostale goste za koje se bavlja rezervacija. Prilikom davanja osobnih podataka drugih osoba IMPERIAL RIVIERI jamčite da su informacije koje ste priložili točne, da ste poslovno sposobni i ovlašteni raspolagati danim informacijama, da su ispitanici čije osobne podatke prosljeđujete IMPERIAL RIVIERI suglasni da IMPERIAL RIVIERA njihove podatke upotrebljava i prikuplja u skladu s pozitivnim propisima i uvjetima ove Politike privatnosti.

TEHNIČKA I INTEGRIRANA ZAŠTITA PODATAKA

IMPERIAL RIVIERA kao voditelj obrade vodi računa o najvišim organizacijskim i tehničkim standardima zaštite podataka. Stoga, uzimajući u obzir najnovija dostignuća, trošak provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca koji proizlaze iz obrade podataka, u vrijeme određivanja sredstava obrade i u vrijeme same obrade, provodi odgovarajuće tehničke i organizacijske mjere za omogućavanje učinkovite primjene načela zaštite podataka.

Također, IMPERIAL RIVIERA provodi odgovarajuće tehničke i organizacijske mjere kojima se osigurava da integriranim načinom budu obrađeni samo osobni podatci koji su nužni za svaku posebnu svrhu obrade. Tu mjeru IMPERIAL RIVIERA primjenjuje na količinu prikupljenih osobnih podataka, opseg njihove obrade, razdoblje pohrane i njihovu dostupnost. Točnije, takvim se mjerama osigurava da osobni podatci nisu automatski, bez intervencije pojedinca, dostupni neograničenom broju pojedinca.

POSTUPANJE PO POVREDAMA OSOBNIH PODATAKA

IMPERIAL RIVIERA kao voditelj obrade osigurava da u slučaju povrede osobnih podataka bez nepotrebnog odgađanja i, ako je izvedivo, najkasnije 72 sata nakon saznanja o toj povredi, izvješćuje nadležno nadzorno tijelo o povredi osobnih podataka, osim ako nije vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinaca.

Izvješće koje se dostavlja nadzornom tijelu sadržava sve informacije sukladno Uredbi.

U slučaju povrede osobnih podataka koje će vjerojatno prouzročiti visok rizik za prava i slobode pojedinaca, IMPERIAL RIVIERA kao voditelj obrade bez nepotrebnog odgađanja obavješćuje ispitanika o povredi osobnih podataka. Ponekad, u slučajevima kada Uredba propisuje, obavješćivanje ispitanika nije obvezno.

POSEBNI DIO


BORAVAK U OBJEKTIMA (hoteli, apartmani, kampovi)

Osnovni predmet poslovanja IMPERIAL RIVIERE pružanje je usluga smještaja u hotelima, apartmanima i kampovima. Stoga, IMPERIAL RIVERA prikuplja i obrađuje Vaše osobne podatke u različite svrhe s krajnjim ciljem kvalitetnog pružanja usluge smještaja i popratnih usluga sve prema najvišim stanardima turističkih društava.

Vaše osobne podatke, koje morate dostaviti da bi Vam se pružila usluga smještaja, IMPERIAL RIVIERA kao voditelj obrade čuva u svojoj bazi podataka u svrhu ispunjavanja ugovora o smještaju te ispunjavanja zakonskih obveza vezanih uz ugostiteljsku djelatnost. U slučaju da ne ustupite IMPERIAL RIVIERI minimum podataka potreban za rezervaciju smještaja i prilikom odsjedanja za prijavu svim nadležnim registrima, IMPERIAL RIVIERA neće Vam biti u mogućnosti pružiti uslugu rezervacije smještaja odnosno uslugu smještaja sukladno ugovoru i zakonu.

Određeni podatci nužni su kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora o smještaju. Primjerice, prije same rezervacije smještaja, na upit osoba potencijalnih gostiju, šalju se ponude za smještaj, za izradu kojih IMPERIAL RIVIERA treba osobne podatke, najmanje ime, prezime i e-adresu kako bi mogla poslati ponudu.

Osobne podatke koje IMPERIAL RIVIERA prikuplja pri rezervaciji smještaja (rezervacije putem weba ili rezervacije telefonom pozivom u pozivni centar ili rezervacije prihvaćanjem ponude e-poštom) radi ispunjavanja obveze rezervacije su:

  • ime i prezime nositelja rezervacije
  • adresa prebivališta (hrvatski državljani)
  • datum rođenja
  • broj, vrsta identifikacijskog dokumenta i mjesto izdavanja
  • državljanstvo
  • ime objekta
  • broj smještajne jedinice, vrsta smještajne jedinice (tip sobe)
  • datum dolaska i odlaska
  • broj osoba za koje se rezervira smještaj i razmještaj po sobama
  • koje su osobe maloljetne
  • eventualno ostale specifičnosti ovisno o zahtjevu osobe koja rezervira smještaj
  • e-adresa ako ju osoba ima
  • jezik
  • telefon
  • članstvo u Programu vjernosti ako utječe na cijenu smještaja ili prikupljanje bodova
  • način plaćanja i eventualno dodatne podatke nužne za potrebe izvršenje transakcija ili osiguranja plaćanja.

U slučaju otkaza rezervacije, Vaše podatke moramo sačuvati za potrebe dokazivanja rezervacije odnosno otkaza iste.

Prilikom dolaska u objekt, gosti se u pravilu prijavljuju na recepciji objekta putem registracijske kartice koju gost ispunjava odnosno pregledava i potvrđuje točnost podataka ili se prijavljuju korištenjem aplikacija za samostalnu prijavu (engl. self check-in). U svakom slučaju, podatci se unose u bazu gostiju iz koje se podatci automatizmom šalju u sustav eVisitor (jedinstveni online informacijski sustav za prijavu i odjavu gostiju) radi poštovanja pravnih obveza IMPERIAL RIVIERE. Podatci koji se prikupljaju (podatci se mogu mijenjati s obzirom na izmjene pozitivnih propisa):

  • ime i prezime
  • mjesto, država i datum rođenja
  • državljanstvo
  • broj i vrsta identifikacijskog dokumenta
  • prebivalište (boravište) i adresa
  • datum i vrijeme dolaska, odnosno odlaska iz objekta
  • spol
  • temelj za oslobođenje od plaćanja turističke pristojbe odnosno za umanjenje plaćanja turističke pristojbe.

Navedene podatke obrađuju turističke zajednice i tijela javne vlasti Republike Hrvatske u sljedeće zakonite svrhe:

  • praćenja izvršenja obveze prijave i odjave turista od strane obveznika prijave i odjave (pružatelja usluga smještaja)
  • evidencije, obračuna i naplate turističke pristojbe
  • vođenja knjige ili popisa gostiju od strane pružatelja usluga smještaja te praćenja izvršenja navedene obveze od strane inspekcijskih tijela vođenja
  • prijave stranaca ministarstvu nadležnom za unutarnje poslove te praćenja izvršenja navedene obveze od strane inspekcijskih tijela
  • vođenja popisa turista od strane turističkih zajednica te statističke obrade i izvještavanja
  • nadzora nad poslovanjem pružatelja usluge smještaja u dijelu koji se odnosi na zakonitost obavljanja djelatnosti odnosno pružanja registriranih usluga te poštovanja poreznih i drugih propisa o javnim davanjima.

S obzirom na to da je propisano da se podatci za prijavu gostiju upisuju na temelju podataka iz osobne iskaznice, odnosno putne ili neke druge isprave o identitetu, gost je dužan IMPERIAL RIVIERI dati na uvid takvu ispravu te pružiti sve druge informacije koje su potrebne za upis podataka, a nisu sadržane u takvoj ispravi. Isto tako, za ostvarenje nekih prava i pogodnosti potrebno je priložiti (preslike) odgovarajuće isprave, potvrde i dokumente kojima se takva prava i pogodnosti dokazuju i ostvaruju.

Također, IMPERIAL RIVIERA dužna je čuvati i sve račune, kao i podloge za izdavanje računa izdane gostima s osobnim podatcima gosta sukladno zakonskim propisima.

Ostali podatci vezani uz okolnosti Vašeg boravka, kao što su primjerice: način putovanja, s kime putujete, bračno stanje, broj djece, kućni ljubimci, ostali interesi, također će biti prikupljeni i obrađivani tijekom Vašeg boravka kad imaju izravnu vezu s pružanjem usluge smještaja.

Prije, za vrijeme i nakon boravka IMPERIAL RIVIERA kao voditelj obrade ima pravo na temelju legitimnog interesa Vama kao gostu e-poštom slati tzv. servisne poruke – potvrde rezervacije, podsjetnike o boravku i ostale obavijesti usko vezane uz konkretan boravak koji ste rezervirali.

Također, za vrijeme i nakon boravka, IMPERIAL RIVIERA kao voditelj obrade ima pravo na temelju legitimnog interesa Vama kao gostu e-poštom, SMS-om i/ili preko instant messaging platforme (Viber, Whatsapp i sl.) slati upitnike o zadovoljstvu koje će obrađivati sam ili putem suradnika. Primarna je svrha upitnika o zadovoljstvu prikupljanje podataka o usluzi radi legitimnog interesa unaprjeđenja usluge od strane IMPERIAL RIVIERE, a IMPERIAL RIVIERA te podatke iz upitnika može depersonalizirati i obrađivati u statističke svrhe.

IMPERIAL RIVIERA ima pravo na temelju legitimnog interesa prikupljati određene podatke i koristiti u svrhu izravnog marketinga.

Servisne poruke i poruke s upitnicima o zadovoljstvu koji su vezani uz konkretan boravak gosta ne smatraju se newsletterima radi slanja ponude i vijesti IMPERIAL RIVIERE.

MJENJAČKO MJESTO

IMPERIAL RIVIERA pruža i usluge mjenjačnice na svojim mjenjačkim mjestima, u pravilu na recepcijama turističkih objekata. IMPERIAL RIVIERA obvezna je sukladno važećim propisima o sprječavanju pranja novca i financiranja terorizma, u nekim slučajevima utvrditi i provjeriti identitet osoba koje se služe uslugama mjenjačnice uvidom u službeni osobni dokument stranke u njezinoj nazočnosti te obaviti dubinsku analizu. U slučaju da ne možemo provesti mjere dubinske analize kada je za to propisana obveza, IMPERIAL RIVIERA ne smije uspostaviti poslovni odnos ili obaviti transakciju, odnosno mora prekinuti već uspostavljeni poslovni odnos te razmotriti treba li nadležnom državnom tijelu dostaviti obavijest o sumnjivoj transakciji, sredstvima i osobama.

Također, sukladno propisima obvezan je i videonadzor mjenjačkih mjesta. Podatci se čuvaju sukladno propisima na temelju pravne obveze IMPERIAL RIVIERE.

IZLETI, KONCERTI, TRANSFERI I DRUGI DOŽIVLJAJI

IMPERIAL RIVIERA je i turistička agencija te svojim gostima i drugim osobama pruža ili posreduje pri pružanju dodatnih usluga primjerice: prodaja raznih izleta, koncerata, drugih doživljaja, usluge prijevoza, usluge rent-a-cara te po potrebi i druge usluge.

Ako želite koristiti te usluge, IMPERIAL RIVIERA po potrebi može prikupiti Vaše sljedeće podatke:

  • ime i prezime
  • podatke za kontakt (telefon i/ili e-adresu)
  • ostale podatke usko vezane uz usluge koje se pružaju (primjerice: broj leta ako tražite uslugu transfera iz zračne luke do objekta IMPERIAL RIVIERE; spol, državljanstvo, datum rođenja, vrsta i broj identifikacijskog dokumenta zbog zakonskih odredbi vezanih uz prelazak granice ako želite prekogranični izlet).

Navedeni podatci, ali i ostali, ovisno o konkretnoj usluzi koju tražite, bit će prikupljeni isključivo u svrhu pružanja usluge koju želite koristiti.

Ako se radi o uslugama koje organiziraju druge osobe – suradnici, ti će podatci biti proslijeđeni suradniku zaduženom za pružanje određene odabrane usluge te su oni daljnji voditelji obrade osobnih podataka i molimo da se upoznate i s njihovim politikama privatnosti.

U slučaju slanja personaliziranih ponuda na zahtjev kupca, navedeni podatci čuvaju se dva mjeseca.

Podatke koje IMPERIAL RIVIERA prikuplja tijekom pružanja ostalih usluga gostima ili trećim osobama (izleti, koncerti, doživljaji, prijevoz) koje zatraže predmetne usluge putem telefona, na recepcijama ili putem weba, čuvat će se najduže pet godina radi eventualnih reklamacija na pružene usluge, a duže samo ako tako zahtijevaju posebni propisi (računovodstveni i sl.). Za određene usluge (primjerice: iznajmljivanje ležaljki i sl.) podatci će se čuvati do izvršenja usluga.

KANDIDATI ZA ZAPOSLENJE I RADNICI

IMPERIAL RIVIERA poslodavac je velikom broju pojedinaca te ovaj dio Politike uređuje zaštitu osobnih podataka ponajprije u procesima u vezi sa zaposlenjem, razvojem i edukacijom unutar IMPERIAL RIVIERE. U tom smislu ispitanici su ponajprije bivši i sadašnji radnici, tražitelji posla, osobe na praksi (učenici), stručnom usavršavanju, studenti koji rade na temelju tzv. studentskog ugovora, stipendisti te druge osobe čiji se podatci obrađuju u okviru radnopravnih i srodnih odnosa.

U okviru obrada podataka koje se provode u vezi sa zaposlenjem, IMPERIAL RIVIERA identificirala je sljedeće svrhe obrade:

  • Selekcija kadrova: uključuje prikupljanje i daljnju obradu relevantne natječajne dokumentacije, testiranje i ocjenjivanje, prikupljanje i analizu informacija o kandidatima iz javno dostupnih izvora, uključujući informacije koje je kandidat sam o sebi javno objavio ako je to važno zbog rizika koje određeno radno mjesto podrazumijeva.
  • Smanjivanje reputacijskog rizika: prikupljanje i analiza informacija o zaposlenicima i osobama u usporedivom odnosu iz javno dostupnih izvora, uključujući informacije koje je sam ispitanik o sebi javno objavio ako je to važno zbog rizika koje određeno radno mjesto podrazumijeva.
  • Zaključenje ugovora: obrada u svrhe zaključenja ugovora o radu, studentskog ugovora, stručne prakse ili stručnog osposobljavanja, ugovora o stipendiranju s osobama koje nisu u radnom odnosu u IMPERIAL RIVIERI ili bilo kojeg drugog usporedivog odnosa.
  • Ostvarivanje materijalnih i drugih prava: obrada je nužna kako bi se ostvarila materijalna i druga prava radnika, osoba u usporedivom odnosu ili drugih osoba (npr. djeca, supružnici ili korisnici osiguranja), primjerice za ostvarivanje prava za ulazak u mjere aktivne politike zapošljavanja (stalni sezonac i ostali), za ostvarenja dodatnih prava radnika po kolektivnom ugovoru IMPERIAL RIVIERE (primjerice: rođenje djeteta) i drugo.
  • Ispunjenje ugovora: obrada podataka nužna je u svrhu ispunjenja ugovora od strane ispitanika što uključuje ispunjenje radnih obveza, praćenja njihova izvršavanja i osiguravanja svih relevantnih mjera za njihovo izvršavanje.
  • Prijava smještaja: obrada podataka nužna je u slučaju da ispitanici borave u objektima za personalni smještaj radnika radi prijave boravka nadležnim tijelima.
  • Upravljanje radnim učinkom: ova svrha uključuje i informacije o postizanju prethodno utvrđenih ciljeva, pravovremenom ispunjenju ciljeva te daljnje analize radi utvrđivanja budućih ciljeva, upravljanja ljudskim potencijalima, utvrđivanja iznosa nagrada i drugim relevantnim mjerama.
  • Nagrađivanje: obrada uključuje nagrađivanje odnosno isplate fiksnog i varijabilnog dijela naknade, pri čemu takva obrada može obuhvatiti i podatke o povredama etičkih i drugih internih pravila, podatci iz sustava upravljanja radnim učinkom, o pohađanim edukacijama, kao i sve druge relevantne podatke.
  • Educiranje: obrada u svrhe educiranja osoba koje djeluju pod vodstvom IMPERIAL RIVIERE, uključujući i provjere znanja, što uključuje i sve potrebne radnje za kandidiranje i prijavljivanje ispitanika, analizu stečenih znanja i sve druge relevantne informacije za organiziranje, provedbu i daljnje postupanje po provođenju edukacija.
  • Izrada različitih izvještaja o radnicima: neki izvještaji izrađuju se radi zakonske obveze IMPERIAL RIVIERE, neki radi ostvarenja određenih prava, ispunjenja obveza IMPERIAL RIVIERE u slučaju ugovaranja i ostvarivanja dodatnih pogodnosti za radnike, budžetiranja i sl.
  • Informiranje: prikupljanje i obrada podataka u svrhu kvalitetnog i pravovremenog informiranja kandidata o otvorenim pozicijama i natječajima, odnosno mogućnostima zaposlenja unutar IMPERIAL RIVIERE. Prikupljanje i obrada podataka u svrhu kvalitetnog i pravovremenog informiranja svih radnika IMPERIAL RIVIERE o novonastalim promjenama ili posebnim obavijestima važnim za ostvarivanje prava iz radnog odnosa ili važne obavijesti iz područja opće upućenosti u događanja i aktivnosti u IMPERIAL RIVIERI u vezi s ostvarivanjem prava iz radnog odnosa ili svakog usporedivog odnosa. U tu se svrhu radi brzine i bolje obaviještenosti informacije šalju putem poruke telefonom i/ili na službene e-adrese, odnosno privatne ako je radnik dao privolu za korištenje e-adrese u tu svrhu. Nadalje, IMPERIAL RIVIERA može nuditi radnicima korištenje aplikacija koje radnici svojevoljno instaliraju na svoje mobilne uređaje putem koje mogu saznati razne novosti vezane uz IMPERIAL RIVIERU ili njezine partnere.
  • Zaštita imovine i osoba: uključuje praćenje ulaza/izlaza iz poslovnih prostorija, korištenja službenih mobilnih uređaja, računalne opreme, internetskog i telefonskog prometa, automobila, prostorija, i druge imovine IMPERIAL RIVIERE kao i pristup imovini gostiju u skladu s internim aktima.
  • Prestanak radnog odnosa: obrada podataka zbog prestanka ugovora o radu ili drugog usporedivog ugovora, a radi ispunjenja zakonskih i ugovornih obveza.
  • Praćenje etičnog ponašanja: obrada uključuje sve postupke u kojima se istražuje poštovanje propisa o etičnom ponašanju ili propisa u vezi sa zaštitom dostojanstva, odnosno u okviru bilo kojeg drugog disciplinskog postupanja, bez obzira je li ispitanik prijavljena osoba ili prijavljenik.
  • Zaštita na radu: obrada podataka može biti potrebna i u slučajevima kada je nužna za ispunjenje svrhe posebnih propisa o zaštiti na radu, uključujući alkotestiranje sukladno propisima.

IMPERIAL RIVIERA ima legitiman interes ostvarivati razne pogodnosti za svoje radnike, kao i olakšati neke poslovne procese. U tom smislu IMPERIAL RIVIERA može na temelju posebne odluke odlučiti o raznim alatima kojima se postižu te svrhe (primjerice izdavanje radnicima ID kartice kojima se ostvaruju popusti, davanje određenih uputa putem SMS-a, fotografiranje u određenim slučajevima i sl.) u kojem će slučaju pravodobno obavijestiti sve radnike.

Pored navedenih svrha moguća je obrada osobnih podataka i u druge specifične svrhe, ali uvijek u okviru koji je zakonom propisan ili ako je obrada potrebna za ostvarivanje prava i obveza iz radnog odnosa, odnosno u vezi s radnim odnosom i svakim usporedivim odnosom.

Baza podataka IMPERIAL RIVIERE o bivšim i sadašnjim radnicima, kandidatima, osobama na praksi (učenici), stručnom usavršavanju, studentima koji rade na temelju tzv. studentskog ugovora, stipendistima te drugim osobama čiji se podatci obrađuju u okviru radnopravnih i srodnih odnosa vodi se u posebnoj aplikaciji. S nositeljem održavanja i podrške aplikacije kao izvršiteljem obrade osobnih podataka sklopljen je odgovarajući ugovor.

Selekcija kadrova

IMPERIAL RIVIERA kao potencijalni poslodavac prikuplja, obrađuje i čuva podatke kandidata za zapošljavanje u IMPERIAL RIVIERI u bazi kandidata na temelju njihove dobrovoljne prijave, i to na sljedeće načine:

  • prijava kandidata putem web prijavnog obrasca koji služi kao svojevrstan životopis (CV)
  • prijava putem e-poruke
  • dolaskom na organizirane audicije i ispunjavanjem prijavnih obrazaca
  • na drugi način.

Podatci koji se u pravilu prikupljaju: ime, prezime, datum rođenja, adresa, državljanstvo, OIB (za hrvatske državljane s obzirom na to da je OIB najpouzdaniji podatak kojim razlikujemo kandidate), mobitel, e-adresa (u svrhu kontaktiranja), spol, stručna sprema, jezik, preferirani način komunikacije.

Podatke o kandidatima IMPERIAL RIVIERA može dobivati posredno, od domaćih i stranih agencija za zapošljavanje, u kojem slučaju te agencije imaju obvezu obavijestiti kandidate o obradi njihovih osobnih podataka od strane IMPERIAL RIVIERE.

Kandidati svoje prijave za posao šalju:

  • kao otvorene molbe u kojem slučaju obrađujemo podatke radi kontaktiranja kandidata u vezi sa zaposlenjem pet godina
  • kao prijave na konkretne natječaje koji imaju naveden rok završetka u kojem slučaju obrađujemo podatke za vrijeme trajanja natječaja i pet mjeseci od završetka natječaja radi kontaktiranja kandidata u vezi sa zaposlenjem, a te se prijave arhiviraju na pet godina.

U slučaju da kandidati koji se jave na konkretan natječaj koji ima naveden rok završetka daju posebnu privolu, obrađujemo podatke radi kontaktiranja kandidata u vezi sa zaposlenjem pet godina, kao i otvorene molbe.

IMPERIAL RIVIERA ima legitiman interes koristiti dobivene e-adrese, ali i ostale dostavljene podatke za kontakt za kontaktiranje kandidata vezano uz zaposlenje. Primjerice, nakon prijave kandidati mogu dobiti automatski odgovor da je njihova prijava zaprimljena te da će biti kontaktirani kandidati čije su kvalifikacije i iskustva u skladu s traženima za pojedina radna mjesta. Također, nakon prijave kandidati mogu dobiti poruku na broj telefona s predloženim terminom intervjua, poruku u kojoj je navedena dokumentacija potrebna za zapošljavanje i slično. Dodatno, osobe koje su radile na određeno vrijeme, pretežito sezonske poslove, IMPERIAL RIVIERA ima legitiman interes kontaktirati u svrhu informiranja o obavijestima važnim za poslovanje i ključne aktivnosti u IMPERIAL RIVIERI, a radi održavanja kontakta u svrhu eventualne daljnje suradnje. U svako se doba besplatno možete odjaviti s liste primatelja vijesti iz IMPERIAL RIVIERE.

Podatke koji se čuvaju pružaju sami kandidati, ali IMPERIAL RIVIERA na temelju legitimnog interesa osiguravanja najboljih kandidata stvara osobne podatke u vezi s aktivnostima zapošljavanja, kao što su rezultati razgovora za posao, testiranja i procjene, te prikuplja osobne podatke i od trećih strana, ponajprije provjerom podataka dobivenih tijekom procesa zapošljavanja kontaktiranjem relevantnih trećih strana (primjerice: agencije za zapošljavanje, pružatelji usluga obrazovanja i osposobljavanja) ili korištenjem javno dostupnih izvora.

Radni odnos i ostali usporedivi odnosi

IMPERIAL RIVIERA kao poslodavac prikuplja, obrađuje i čuva sve podatke radnika u bazi radnika koja se vodi u informatičkom programu i u fizičkim dosjeima radnika. Podatci koji se prikupljaju navedeni su u Pravilniku o sadržaju i načinu vođenja evidencije o radnicima koje je objavilo ministarstvo nadležno za rad i mirovinski sustav.

Potrebni podatci za zasnivanje radnog odnosa u pravilu su: preslika osobne iskaznice, preslika tekućeg računa ili uputa za plaćanje od banke, preslika zaštićenog računa (ako ga radnik posjeduje), OIB, dokaz o stručnoj spremi (preslika svjedodžbe ili diplome), e-knjižica: potvrda o mirovinskom stažu, (pribaviti ju u HZMO-u ili putem usluge e-Građani), Elektronički zapis obrasca porezne kartice, tzv. PK obrasca (pribaviti ga u Poreznoj upravi ili putem usluge e-Građani, osobe koje se prvi put zapošljavaju ne posjeduju elektronički zapis obrasca porezne kartice i moraju je otvoriti u Poreznoj upravi), rodni list djeteta, ako je mlađe od 15 godina, uvjerenje o prebivalištu (pribavlja se u MUP-u ili putem usluge e-Građani), vjenčani list (pribavlja se u matičnom uredu ili putem usluge e-Građani).

Potrebni podatci za sklapanje studentskih ugovora u pravilu su: potvrda fakulteta za tekuću godinu kao dokaz studentskog statusa ili preslika indeksa o upisanoj tekućoj godini, preslika osobne iskaznice, potvrda o upisnini za Studentski centar (nije slučaj sa svim studentskim centrima), jedna fotografija ili X-ica, OIB.

Osim tih podataka, IMPERIAL RIVIERA može u dosjeu radnika čuvati i ostale podatke koji su prikupljeni u postupku zapošljavanja, kao i ostale podatke koji su prikupljeni tijekom radnog odnosa određeni pravilnicima IMPERIAL RIVIERE (primjerice: nagrade, opomene, certifikate i sl.).

Svi podatci radnika čuvaju se u bazi radnika datumom zasnivanja radnog odnosa i ažurno se vode do prestanka radnog odnosa te se isti čuvaju kao dokumentacija trajne vrijednosti sukladno relevantnim propisima.

IMPERIAL RIVIERA u svojoj bazi čuva i podatke ostalih osoba u poslovnom odnosu usporedivom s radnim odnosom ili osoba na praksi i stručnom usavršavanju, i to s početkom rada i ažurno ih vodi do prestanka rada te se čuvaju sukladno relevantnim propisima. Poseban su slučaj podatci učenika na praksi koji mogu biti maloljetni o kojima se vodi posebna pažnja i čiji se podatci prikupljaju i čuvaju sukladno posebnim propisima uz odobrenje škole i roditelja.

Podatci o plaći, platne liste – podliježu posebnim propisima o čuvanju. U svakom slučaju svi radnici i ostale osobe u poslovnom odnosu usporedivom s radnim odnosom ili osoba na praksi i stručnom usavršavanju imaju sva prava ispitanika.

POSLOVNI PARTNERI

IMPERIAL RIVIERA u svojem poslovanju obrađuje i podatke poslovnih partnera ili potencijalnih poslovnih partnera, a to su:

  • fizičke osobe koje jesu, mogu postati ili su bili poslovni pratneri IMPERIAL RIVIERE npr. obrtnici, osobe koje su u režimu samostalnih zanimanja (npr. odvjetnici, liječnici i dr.), osobe s kojima se sklapaju ugovori o djelu (npr. pjevači, slikari, fotografi i dr.) i ostale fizičke osobe koje imaju položaj poduzetnika
  • fizičke osobe koje u nekom dijelu poslovanja predstavljaju pravne osobe s kojima IMPERIAL RIVIERA ima, može imati ili je imala poslovni odnos (npr. osobe koje obavljaju dostavu za svog poslodavca trgovačko društvo, osobe kojima se šalju računi za njihova poslodavca pravnu osobu, potpisnici ugovora za trgovačko društvo koje predstavljaju osobe koje za trgovačko društvo obavljaju primopredaju, osobe koje za svoju pravnu osobu organiziraju kongrese i sl.).

U okviru obrada podataka Ispitanika, IMPERIAL RIVIERA identificirala je sljedeće svrhe obrade:

  • Zaključenje ugovora: obrada u svrhe zaključenja ugovora iz bilo kojeg područja djelovanja IMPERIAL RIVIERE (primjerice: slanje upita, slanje posebnih ponuda, traženje podataka o potpisnicima ugovora, slanje natječaja za pravne osobe koje ispitanici predstavljaju i sl.)
  • Ispunjenje ugovora: obrada podataka nužna je u svrhu ispunjenja ugovora što uključuje ispunjenje obveza, praćenja njihova izvršavanja i osiguravanja svih relevantnih mjera za njihovo izvršavanje (primjerice: za dogovor o vremenu i mjestu isporuke opreme na temelju ugovora, za slanje računa i sl.).
  • Informiranje: prikupljanje i obrada podataka u svrhu kvalitetnog i pravovremenog informiranja; IMPERIAL RIVIERA ima pravo na temelju legitimnog interesa prikupljati određene podatke i koristiti ih u svrhu izravnog marketinga.

Pored navedenih svrha moguća je obrada osobnih podataka i u druge specifične svrhe, ali uvijek u okviru koji je zakonom propisan ili ako je obrada potrebna za ostvarivanje prava i obveza iz poslovnog odnosa.

Vrsta osobnih podataka ispitanika koji se prikupljaju su:

  • ime i prezime
  • e-adresa
  • broj telefona
  • podatci o funkciji unutar pravne osobe koju predstavlja (npr. referent prodaje, tajnica uprave i sl.)
  • zanimanje kada je ispitanik fizička osoba s kojom se stupa u ugovorni odnos (primjerice: pjevač, slikar, fotograf, odvjetnik, liječnik...)
  • ponekad reference i kratki životopisi (posebno za konzultante)
  • podatci koji su navedeni na obrascima bjanko zadužnice, zadužnice, mjenice
  • broj računa u banci (IBAN) kada je poslovni partner fizička osoba s kojom se stupa u ugovorni odnos
  • ostali podatci ovisno o prirodi poslovnog odnosa.

Mjesta prikupljanja osobnih podataka ispitanika:

  • zaprimljene ponude ispitanika za poslovnom suradnjom
  • zaprimljeni podatci od ispitanika u kontekstu prodaje proizvoda/usluga IMPERIAL RIVIERE ili kupnje proizvoda/usluga od poslovnog partnera (primjerice: sajmovi, kongresi i sl.)
  • poslovna korespondencija vezano uz određenu prethodnu ili sadašnju poslovnu suradnju (primjerice korespondencija koja se obavlja u sklopu izvršavanja ugovora)
  • javno objavljeni podatci (primjerice: sudski registar, web-stranice poslovnih partnera, časopisi, bilteni i sl.).

Pored navedenih vrsta podataka i mjesta prikupljanja moguća je obrada osobnih podataka i u druge specifične svrhe, ali uvijek u okviru koji je zakonom propisan ili ako je obrada potrebna za ostvarivanje prava i obveza iz poslovnog odnosa.

Vrijeme čuvanja

Podatci ispitanika koji su kao fizičke osobe u poslovnom odnosu s IMPERIAL RIVIERA čuvaju se u skladu s važećim zakonskim propisima (primjerice IMPERIAL RIVIERA dužna je čuvati i sve račune, kao i podloge za izdavanje računa sukladno zakonskim propisima).

U situacijama kada je IMPERIAL RIVIERA ovlašten sam utvrditi rokove čuvanja podataka, isti se utvrđuju vodeći računa o svrsi obrade i interesima ispitanika da se podatci unište, i to je određeno na najviše pet godina od prestanka ugovornog odnosa (u slučaju da je isti postojao).

JAVNE OBJAVE

IMPERIAL RIVIERA putem svojih internetskih stranica, videozidova, oglasnih ploča u objektima i na drugi način mogu objavljivati informacije koje su od interesa za postojeće, ali i potencijalne radnike, goste, poslovne partnere, dakle javnost. Takve objave mogu sadržavati ograničeni skup osobnih podataka, poput imena i prezimena, funkcija, profesionalnih podataka, videa, izjava i fotografija.

Pravna osnova za obradu legitiman je interes informiranja javnosti, ali i marketing, prilikom koje se obrade uvijek pazi na interes ispitanika pa se ne objavljuju osobni podatci ako se utvrdi da je interes ispitanika da se određeni osobni podatci ne objave, jači od interesa IMPERIAL RIVIERE za objavu istih. U nekim situacijama, objava informacija može se temeljiti na privoli u skladu s najvišim standardima.

Objave imaju trajan karakter čime se osigurava informiranje o aktualnim događajima, kao i uvid u prethodne aktivnosti.

Obrada će prestati ako se na temelju prigovora ispitanika utvrdi da je takav prigovor opravdan ili ako je ispitanik povukao privolu u situacijama kada je privola primjenjiva i to na način koji je moguće provesti.

VIDEONADZOR

IMPERIAL RIVIERA kao voditelj obrade ima legitimni interes provesti mjere videonadzora radi zaštite imovine i osoba, a u određenim slučajevima (primjerice: mjenjačnice koje se nalaze na recepcijama objekata) ima i zakonsku obvezu postaviti nadzorne kamere koje snimaju sve osobe koje se kreću u perimetru nadzorne kamere (gosti, zaposlenici, poslovni partneri i dr.).

Obrada osobnih podataka zaposlenika putem sustava videonadzora provodi se i uz uvjete utvrđene propisima kojima se regulira zaštita na radu.

IMPERIAL RIVIERA na propisani način označava sva mjesta na kojima je postavljen videonadzor.

IMPERIAL RIVIERA svjesna je da videozapisi sadržavaju osobne podatke svih osoba koje se kreću u perimetru kamere te ih stoga čuva s posebnom pažnjom, ima uređen sustav sigurnosti, dostupnosti te politiku brisanja istih koja je uređena internim pravilima o sigurnosti IMPERIAL RIVIERE.

Videozapisi se automatski brišu nakon najviše 15 dana od dana snimanja. U slučaju potrebe izuzimanja (presnimavanja), videozapisi se čuvaju najviše šest mjeseci, osim ako je drugim zakonom propisan duži rok čuvanja ili ako su dokaz u sudskom, upravnom, arbitražnom ili drugom istovrijednom postupku. Izuzeti videozapisi bit će pohranjeni u središnjem dojavnom sustavu s izuzetno ograničenim pristupom.

U slučaju vođenja sudskih i/ili kaznenih postupaka, IMPERIAL RIVIERA može koristiti navedene videozapise. Uvid u osobne podatke na videozapisima mogu imati i treće osobe, izvršitelji obrade, ugovorni partneri IMPERIAL RIVIERE registrirani i stručni za pružanje usluga zaštite osoba i imovine, a koji ni na koji način ne koriste samostalno navedene podatke nego se brinu o sigurnosti centralnih nadzornih i dojavnih sustava. Na sve ostale pojedinosti vezane uz videonadzor primjenjuju se posebni propisi koji uređuju to područje.

ZAVRŠNE ODREDBE

Ova Politika privatnosti dostupna je na stranicama http://www.imperial-riviera.hr/uploads/privatnost/politika-privatnosti te također u uredima ljudskih potencijala i na recepcijama objekata IMPERIAL RIVIERE.

IMPERIAL RIVIERA zadržava pravo u svako doba mijenjati i/ili nadopunjavati ove Politike privatnosti, pri čemu će ažuriranu politiku privatnosti objaviti na gore navedenim medijima.

Valamar Obertauern GMBH privacy policy

Valamar Obertauern GmbH with its headquarters at Gamsleitenstrasse 6, 5562 Obertauern, Austria, FN 195893d, UID AT U50245104, (hereinafter: OBERTAUERN or we or our or controller) as owner of Valamar Obertauern Hotel 4*, respects the privacy of every person from whom collects personal data. We would like to inform you about what personal data we collect as the data controller, for what purpose, how we protect the data and what your rights are.

DATA CONTROLLER AND LEGAL FRAMEWORK

As the data controller, OBERTAUERN is committed to protect your personal data. The collection and storage of data is carried out in accordance with the provisions of REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (hereinafter: Regulation), TKG (Telecommunications Law 2021) and other regulations governing the subject area, which are applied in the Republic of Austria.

SCOPE OF APPLICATION

This Policy applies to any processing of personal data performed by OBERTAUERN as the data controller, unless another policy or other OBERTAUERN document prescribes otherwise for a particular processing.

This Policy is divided into two parts: The General Section and the Specific section.

The basic principles of personal data processing, contact details and other provisions specified in the General Section of this Policy are applied without exception to any personal data processing regardless of whether such processing is specifically processed in the Specific Section of this Policy or not.

The Specific Section of the Policy deals, in more detail, with specific cases of data processing which represent the majority of all processing by OBERTAUERN.

CONTACT FOR DATA PROTECTION REQUESTS

Regarding issues related to personal data protection and for exercising their rights guaranteed by the Regulation please contact OBERTAUERN at any time via e-mail:dsgvo.obertauern@valamar.at or by mail to the address OBERTAUERN, 5562 Obertauern, Gamsleitenstrasse 6.

All requests not related to data protection, which are delivered to this address, e.g. offers of job candidates, booking inquiries in Hotel Valamar Obertauern 4*, etc. will be provided directly to the relevant departments.

PERSONAL DATA PROTECTION PRINCIPLES

OBERTAUERN has recognized the principles of data processing as basic values that must be respected throughout the cycle of personal data processing, from their collection to their destruction or other cessation of processing. OBERTAUERN processes data:

  • Lawfully - by processing data only if allowed by law and within the limits prescribed by law.
  • Fairly - by considering the specifics of each relationship, applying all appropriate measures to protect personal information and privacy in general and not impeding data subjects in exercising their rights.
  • Transparently - by informing data subjects about the processing of personal data. From the start of the data collection process, when data subjects are informed about all aspects of data processing, until its termination, data subjects are provided easy and fast access to their own data.
  • Purpose limitation - by processing personal data for the purposes they were collected for and for other purposes only if the conditions of the Regulation are met. Data may be processed for matching purposes only considering (a) any link between the purposes of the collection of personal data and the purposes of the intended continuation of the processing; (b) the context in which the personal data was collected, in particular concerning the relationship between the data subjects and OBERTAUERN; (c) the nature of the personal data; (d) the possible consequences of the intended continuation of processing for the data subjects; and (e) the existence of appropriate protection measures.
  • Storage limitation - by storing data in a form which permits identification of data subjects for no longer than is necessary for the initial purposes, and longer only if permitted by the Regulation.
  • Data minimization - by processing data if it is adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed. Particular attention is given to not collecting data for which there is no justifiable reason for processing.
  • Accuracy - by keeping data accurate and up-to-date, and erasing inaccurate data in the scope of possibility.
  • Integrity and Confidentiality - by using appropriate technical and organisational measures to ensure appropriate personal data protection, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage. Relevant measures are applied considering the risk of each type of data processing.

LEGALITY OF PERSONAL DATA PROCESSING

In order to respect the lawfulness of processing personal data, OBERTAUERN processes personal data only if and to the extent that at least one of the following is met:

  • Processing is necessary for the performance of the contract to which the data subject is a party or in order to act at the request of the data subject prior to the conclusion of the contract; this is the most common purpose of data processing with an existing contractual relationship or a contractual relationship in negotiations as its basis.
  • Processing is necessary to comply with the legal obligations of the data controller. As a legal entity, OBERTAUERN has a number of obligations prescribed by various regulations. This obligation includes the collection and often the submission of data to public authorities.
  • Processing is necessary for the legitimate interests of the data controller or a third party, except where those interests are stronger than the interests or fundamental rights and freedoms of data subjects requiring the protection of personal data, considering reasonable expectations of data subjects based on their relationship with the data controller, especially if the data subject is a child. In applying this legal basis, OBERTAUERN assesses that the processing is appropriate to business needs, that it is the least invasive as possible and that the interests of the data subjects do not exceed the legitimate interests of OBERTAUERN or a third party. Examples of such processing are processing for administrative purposes, the purposes of maintaining computer network security. The data subject always has the right to object to such processing in these situations.
  • Processing is necessary to protect key interests of the data subject or other natural person.The right to personal data protection is not an absolute right and OBERTAUERN equates it with other fundamental rights in accordance with the principle of proportionality.
  • The data subject has consented to the processing of his or her personal data for one or more specific purposes. When processing personal data on the basis of consent, OBERTAUERN provides that these are situations in which there are no, formal or informal, consequences for giving, refusing or denying consent. When processing is based on consent, the data subject may withdraw consent at any time without negative consequences. The withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal.

TYPES OF PERSONAL DATA PROCESSED

Specific categories of personal data: shall be processed only if the conditions set out in Article 9 of the Regulation are met.

Data relating to criminal convictions and offenses: shall be processed only under the control of official authority and in accordance with Article 10 of the Regulation.

Personal data that are not included in the previous two groups: that kind of data makes most of the processed data. The most common types of data are identification and contact data such as name, surname, e-mail address and data that are related with your relation with us (accommodation etc.).

Most of the personal data that we collect is provided by the data subjects themselves. Therefore, we kindly ask you that you do not provide sensitive information (such as race or ethnic origin, political opinions, religious or philosophical beliefs, etc.) when this is not necessary. If you nevertheless provide sensitive information for any reason, you hereby give your express consent to the collection and use of such information in the ways described in these Policy or in the manner described at the time of disclosure of that information.

THE ROLE OF VALAMAR RIVIERA d.d.

OBERTAUERN concluded with the company Valamar Riviera d.d. with its registered office in Poreč, Stancija Kaligari 1 OIB: 36201212847 (hereinafter: Valamar) Contract in relation to the management of hotel and tourist facilities and contents (hereinafter: Management contract) based on which Valamar manages certain business segments of OBERTAUERN.

Due to such Management contract, when managing Hotel Valamar Obertauern 4*, Valamar sometimes directly manages certain activities, including the management of some of the activities described in the Special Section of this Privacy Policy, in particular Valamar can process the personal data of the guests for providing the sales and marketing services. In addition, Valamar sometimes receives data from OBERTAUERN and has a right of access to relevant data base to perform certain activities where it subsequently comes to personal data processing.

For example, Valamar can manage the reservation function through the Valamar reservation center (call center) and via the websites www.valamar.com, and in these cases Valamar is an independent data controller (and data subjects will be informed on the spot about that fact) however, all this information related to Hotel Valamar Obertauern 4* are and have to be also processed by OBERTAUERN as an owner and independent data controller.

Furthermore, Valamar has a legitimate interest in processing of personal data carried out for the purposes of direct marketing, primarily for the purpose of sending marketing messages (newsletters) by e-mail, SMS and / or instant messaging platform (Viber, Whatsapp, etc.). Based on a legitimate interest, Valamar may send different newsletters depending on the relationship that respondents have with Valamar or the facilities under Valamar's management. For this purpose, personal data is collected from guests and persons who have asked for an offer or booked accommodation, persons who have participated in the prize game (if there will be any), joined the Valamar`s loyalty program, filled out a satisfaction questionnaire about accommodation in or otherwise had a relationship with Valamar.

Following the above, in certain cases Hotel Valamar Obertauern 4* guests can expect to receive from Valamar newsletters containing information about all other hotels and facilities managed by Valamar, as well as accommodation quality questionnaires and other service e-mails. For Hotel Valamar Obertauern 4* guests, prize games can be organized from time to time, which can be organized by Valamar, in which case guests personal data will be collected only if guests decide to participate in the prize game.

Valamar's Plus Club Loyalty Program can be applied for the OBERTAUERN. The conditions of membership are contained in Valamar's loyalty programme terms and conditions, which can be found at https://www.valamar.com/cmsmedia/loyalty/terms-conditions-en.pdf .

Also, based on the Management contract, Valamar has certain rights and obligations related to human resources, so in these cases Valamar has the right to process personal data of employees and candidates for employment in OBERTAUERN for the purpose of managing the business processes in the Hospitality Operations.

When Valamar acts as the data controller, the Valamar Privacy Policy applies, which can be found at: https://www.valamar.com/en/privacy-policy / https://www.valamar.com/hr/izjava-o-privatnosti.

DATA DELIVERY TO THIRD ENTITIES

OBERTAUERN shares personal information with others only when permitted.

OBERTAUERN is obliged by law to provide data to third parties. For example, delivering guest data and employee data to the competent institutions.

It is possible to deliver data to business entities, processors, who process the data upon instruction of OBERTAUERN, which acts as the data processor. Most often, these are OBERTAUERN's business partners who provide IT services, who store certain data in their databases or have the possibility of accessing personal data until the end of processing. In that cases a detailed contract shall be concluded with such subjects regarding their powers and obligations in the processing of personal data, in accordance with the requirements of the Regulation.

In certain situations, it is possible for external entities and OBERTAUERN to jointly determine the purposes and methods of personal data processing, in which case these external partners and OBERTAUERN are joint data controllers. In these relations, the joint data controllers shall transparently determine their responsibilities for complying with the obligations under the Regulation, in particular with regard to the exercise of data subject`s rights and their duties to respect the transparency of processing, unless responsibilities are established by law.

A special case of data delivery to third parties is the fact that OBERTAUERN has the Management contract with Valamar (see chapter: ROLE OF VALAMAR RIVIERA d.d.).

If data are transferred to third countries as part of data processing, OBERTAUERN ensures compliance with high protection standards in order to comply with the highest possible standard of personal data protection, in accordance with the strict requirements of the Regulation. Any transfer of personal data to third countries will be carried out in accordance with Chapter V of the Regulation.

DATA STORAGE RETENTION

Personal data are processed and stored for the period in accordance with applicable legal regulations when the retention obligation is prescribed (for example, accounting documents), and in situations where OBERTAUERN is authorized to set retention periods, data is stored as long as necessary for the purposes for which personal data is processed taking into account the purpose of processing, the legitimate interests of OBERTAUERN and the interests of the data subjects to delete the data.

RIGHTS OF THE DATA SUBJECTS

Regardless of the basis for data collection, all data subjects can exercise the following rights free of charge within the limits prescribed by the Regulation:

Right to information: The data subject has the right to be informed about the processing and its purposes. OBERTAUERN provides the data subjects with all the information necessary to ensure fair and transparent processing, considering the context of processing.

Right to erasure (“right to be forgotten”): The data subject has the right to request to delete personal data relating to him/her, without undue delay in accordance with the terms of the Regulation. To do so, please send your request to us in writing, including an electronic form of communication. Please note that the request needs to specify what you wish to be deleted, since we can store your data on different legal bases. You have the right to request the deletion of personal data relating to you where one of the following grounds applies:

  • the personal data are no longer necessary in relation to the purposes for which they were collected or otherwise processed;
  • the data subject withdraws consent on which the processing is based, and where there is no other legal ground for the processing;
  • the data subject objects to the processing pursuant and there are no overriding legitimate grounds for the processing, or the data subject objects;
  • the personal data have been unlawfully processed;
  • the personal data have to be erased for compliance with a legal obligation;
  • the personal data have been collected in relation to the offer of information society services.

In some cases, it will not be possible to fully comply with the deletion request, for example when there is a legal obligation for retention, when the legitimate interest of the controller is stronger than the interest of the data subjects, when there is an interest of the data controller to set, enforce or defend legal claims.

Right of access: The data subject shall have the right to obtain from the controller confirmation as to whether or not personal data concerning him or her are being processed, and, where that is the case, access to the personal data and the following information:

  • the purposes of the processing;
  • the categories of personal data concerned;
  • the recipients or categories of recipient to whom the personal data have been or will be disclosed, in particular recipients in third countries or international organisations;
  • where possible, the envisaged period for which the personal data will be stored, or, if not possible, the criteria used to determine that period;
  • the existence of the right to request from the controller rectification or erasure of personal data or restriction of processing of personal data concerning the data subject or to object to such processing;
  • the right to lodge a complaint with a supervisory authority;
  • where the personal data are not collected from the data subject, any available information as to their source;
  • the existence of automated decision-making, including profiling, and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject.

The controller shall provide a copy of the personal data undergoing processing. For any further copies requested by the data subject, the controller may charge a reasonable fee based on administrative costs. Where the data subject makes the request by electronic means, and unless otherwise requested by the data subject, the information shall be provided in a commonly used electronic form. The right to obtain a copy shall not adversely affect the rights and freedoms of others.

Right to rectification: The data subject shall have the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her. Considering the purposes of the processing, the data subject shall have the right to have incomplete personal data completed, including by means of providing a supplementary statement.

Right to data portability: The data subject has the right to receive personal data relating to him in a structured, commonly used and machine-readable format in accordance with the requirements of the Article 20 of Regulation.

Right to object: The data subject shall have the right to object, on grounds relating to his or her particular situation, at any time to processing of personal data concerning him or her which is based on public interest and legitimate interests, including profiling based on those provisions. The controller shall no longer process the personal data unless the controller demonstrates compelling legitimate grounds for the processing which override the interests, rights and freedoms of the data subject or for the establishment, exercise or defence of legal claims. Where personal data are processed for direct marketing purposes, the data subject shall have the right to object at any time to processing of personal data concerning him or her for such marketing, which includes profiling to the extent that it is related to such direct marketing.

Right to restriction of processing: The data subject shall have the right to obtain from the controller restriction of processing where one of the following applies:

  • the accuracy of the personal data is contested by the data subject, for a period enabling the controller to verify the accuracy of the personal data;
  • the processing is unlawful and the data subject opposes the erasure of the personal data and requests the restriction of their use instead;
  • the controller no longer needs the personal data for the purposes of the processing, but they are required by the data subject for the establishment, exercise or defence of legal claims;
  • the data subject has objected to processing pending the verification whether the legitimate grounds of the controller override those of the data subject.

In any case, data subjects also have the right to:

  • to submit a complaint time via e-mail: dsgvo.obertauern@valamar.at or by mail to the address OBERTAUERN Gmbh, Gamsleitenstrasse 6, 5562 Obertauern, Austria
  • to lodge a complaint with a supervisory authority (Austrian Data Protection Authority) if they believe that their rights to data protection have been violated.

OBERTAUERN as the data controller has the right to protect the interests of the data controller as well as the protection of the data subjects and accordingly has the right to carry out the activities of establishing the identity of the applicant. OBERTAUERN has the right to publish a form that will be used to submit a request in order to process the request as efficiently as possible.

On request, OBERTAUERN provides information on the actions taken in relation to the exercise of data subject's rights without undue delay and in any case within one month from the date of receipt of the request. This period may be extended by an additional two months, considering the complexity and number of applications. OBERTAUERN shall notify the data subject of any such extension within one month from the date of receipt of the request, together with the reasons for the postponement.

If the data subject submits the request electronically, OBERTAUERN provides the information electronically if possible, unless the data subject requests otherwise.

The data subject's request is generally free of charge, but if the data subject's request is manifestly unfounded or excessive, and in particular because of their frequent repetition, OBERTAUERN is entitled to charge a reasonable fee based on administrative costs or refuse to act on the request.

PROTECTION OF PERSONAL DATA OF CHILDREN

OBERTAUERN advises parents and guardians to teach children about safe and responsible handling of personal data, especially on the Internet. In relation to the offer of information society services directly to a child, the processing of the personal data of a child shall be lawful where the child is at least 16 years old. Where the child is below the age of 16 years, such processing shall be lawful only if and to the extent that consent is given or authorised by the holder of parental responsibility over the child.

PERSONAL DATA SOURCES

OBERTAUERN receives personal data most often from data subjects. When providing personal data to OBERTAUERN, in any way (booking accommodation, job application…) you guarantee that the information you have provided is correct, that you are legally capable and authorized to dispose of the given information and that you fully agree that OBERTAUERN collects and uses your data in accordance with the regulations and terms of this Privacy Policy.

Also, OBERTAUERN receives personal data from other natural and legal persons, for example: from Valamar as a company that manages certain business aspects of business, from travel agencies that forward guest data for accommodation, guests who book accommodation for people with whom they will stay in hotel, agency for employment mediation and assignment of workers, from the holder of accommodation reservations for others guests for whom the reservation is made.

When providing personal data of other persons to OBERTAUERN, you guarantee that the information you provide is accurate, that you are legally capable and authorized to dispose of the information, that respondents whose personal data you forward to us agree that OBERTAUERN uses and collects their data in accordance with positive regulations and the terms of this Privacy Policy.

TECHNICAL AND INTEGRATED DATA PROTECTION

OBERTAUERN, as data controller, provides the highest organizational and technical standards of data protection. Therefore, considering the latest developments, the cost of implementation and the nature, scope, context and purposes of processing, as well as risks of different levels of probability and seriousness for the rights and freedoms of individuals arising from data processing, at the time of processing, appropriate technical and organizational measures to enable the effective application of the principles of data protection are applied.

Also, OBERTAUERN implements appropriate technical and organizational measures to ensure that only personal data necessary for each specific purpose of processing are processed in an integrated manner. OBERTAUERN applies this measure to the amount of personal data collected, the scope of their processing, the retention period and their availability. Specifically, such measures ensure that personal data is not automatically, without the intervention of an individual, available to an unlimited number of individuals.

DATA BREACH

In the case of a personal data breach, as the data controller, OBERTAUERN shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons.

The report submitted to the supervisory authority shall contain all information prescribed by the Regulation.

In the event of a personal data breach that is likely to pose a high risk to the rights and freedoms of individuals, OBERTAUERN, as the data controller, shall inform the data subjects of the personal data breach without undue delay. Sometimes, in cases where the Regulation prescribes, informing data subjects is not mandatory.

Special section


ACCOMMODATION

OBERTAUERN'S main business activity is the provision of accommodation services in its Hotel Valamar Obertauern 4*. Therefore, OBERTAUERN collects and processes your personal data for various purposes with the ultimate goal of providing quality accommodation and related services all according to the highest standards of tourism companies.

OBERTAUERN, as the data controller, stores your personal data that you must provide for accommodation services in its database for the purpose of fulfilling accommodation contracts and fulfilling legal obligations related to the hospitality business. In case you do not provide OBERTAUERN with the minimum data required for booking accommodation and for the registration to all competent registers, OBERTAUERN will not be able to provide you with booking services or accommodation services in accordance with the contract and law.

Certain information is necessary in order to act at the request of the data subject before concluding the accommodation contract. For example, before booking accommodation at the request of potential guests, you have to receive offer, for which personal data is needed, at least name, surname and e-mail address in order to be able to send an offer.

The personal data that OBERTAUERN collects when booking in order to fulfil the reservation obligation usually are:

  • Name and surname of the reservation holder
  • Date of birth
  • Number, type of identification document and place of issue
  • Citizenship
  • Number of accommodation units, type of accommodation unit (room type)
  • Date of arrival and departure
  • Number of persons per accommodation unit
  • Minors
  • Possibly other specifics depending on the request of the person booking the accommodation
  • e-mail if the person has one
  • Language
  • Phone number
  • Membership in the Valamar`s Loyalty program, if it affects the price of accommodation or collecting points
  • Payment method and possible additional information needed to execute the transaction or secure payment. In case of cancellation, we must save your data for the purpose of proving the reservation or cancellation.

Upon arrival at the Hotel OBERTAUERN 4*, guests have to check in and confirm data.

In addition, OBERTAUERN is obliged to keep all invoices, as well as the basis for issuing invoices issued to guests with personal data of the guest in accordance with legal regulations.

Other data related to the circumstances of your stay such as: mode of travel, who you are traveling with, marital status, number of children, pets, other interests, will also be collected and processed during your stay only when they have a direct connection with the accommodation service.

Before, during and after the stay OBERTAUERN as the data controller has the right based on the legitimate interest to send you so-called service messages – booking confirmations, reminders and other information closely related to the specific stay you have booked. Also, during and after the stay, OBERTAUERN as the data controller has the right based on the legitimate interest to send to you guest questionnaires about service satisfaction via e-mail, sms and/or instant messaging platforms (viber, whatsapp, etc.) which will be processed by us or through associates. The primary purpose of the service satisfaction questionnaire is to collect service data for the legitimate interest of service improvement by OBERTAUERN, and OBERTAUERN may depersonalize and process this data from the questionnaire for statistical purposes.

OBERTAUERN has the right, based on a legitimate interest, to collect certain data and use it for direct marketing.

Service messages and messages with service satisfaction questionnaires related to a specific stay of the guest are not considered newsletters for the purpose of sending OBERTAUERN marketing offers and news.

VIDEO SURVEILLANCE

OBERTAUERN as the data controller, has a legitimate interest in implementing video surveillance measures to protect property and persons. We marked all places where video surveillance is installed in the prescribed manner. We are aware that the videos contain personal data of all persons moving around the perimeter of the camera, and therefore we keep them with special care, we have a regulated system of security, availability and our internal safety rules. Special regulations governing the area apply to all other details related to video surveillance.

GETTING IN CONTACT WITH US

When you contact us via email or via one of the forms on our website, data are processed and stored, in accordance with the purpose of processing.

FINAL PROVISIONS

This Privacy Policy is available at Valamar Riviera d.d. website https://www.valamar.com/en/privacy-policy-valamar-obertauern and also at reception of Hotel Valamar Obertauern 4*, (when hotel is operating).

Kesselspitze GmbH & Co KG privacy policy

GENERAL SECTION

DATA CONTROLLER AND LEGAL FRAMEWORK

As the data controller, KESSELSPITZE, is committed to protecting your personal data. The collection and storage of data is carried out in accordance with the provisions of REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (hereinafter: “the Regulation”), TKG (Telecommunications Law 2021) and other regulations governing the subject area, which are applied in the Republic of Austria.

SCOPE OF APPLICATION

This Policy applies to any processing of personal data performed by KESSELSPITZE as the data controller, unless another policy or other KESSELSPITZE document prescribes otherwise for particular processing.

This Policy is divided into two parts: the General Section and the Specific Section.

The basic principles of personal data processing, contact details and other provisions specified in the General Section of this Policy are applied without exception to any personal data processing, regardless of whether such processing is specifically processed in the Specific Section of this Policy or not.

The Specific Section of the Policy deals, in more detail, with specific cases of data processing that represent the majority of all processing by KESSELSPITZE.

CONTACT FOR DATA PROTECTION REQUESTS

Regarding issues related to personal data protection and for the exercising of rights guaranteed by the Regulation, please contact KESSELSPITZE at any time via e-mail: dsgvo.kesselspitze@valamar.at or by mail to the address Kesselspitze GmbH & Co KG, 5562 Obertauern, Alpenstraße 1.

All requests not related to data protection that are delivered to this address, e.g. offers of job candidates, booking inquiries for Hotel Kesselspitze 5*, etc. will be forwarded directly to the relevant departments.

PERSONAL DATA PROTECTION PRINCIPLES

KESSELSPITZE has recognised the principles of data processing as basic values that must be respected throughout the cycle of personal data processing, from their collection to their destruction or other cessation of processing. KESSELSPITZE processes data observing:

  • Lawfulness - by processing data only if allowed by law and within the limits prescribed by law.
  • Fairness – by considering the specifics of each relationship, applying all appropriate measures to protect personal information and privacy in general and not impeding data subjects in exercising their rights.
  • Transparency – by informing data subjects about the processing of personal data. From the start of the data collection process, when data subjects are informed about all aspects of data processing, until its termination, data subjects are provided easy and fast access to their own data.
  • Purpose limitation – by processing personal data for the purposes for which they were collected and for other purposes only if the conditions of the Regulation have been met. Data may be processed for matching purposes only considering (a) any link between the purposes of the collection of personal data and the purposes of the intended continuation of the processing; (b) the context in which the personal data was collected, in particular concerning the relationship between the data subjects and KESSELSPITZE; (c) the nature of the personal data; (d) the possible consequences for the data subjects of the intended continuation of processing; and (e) the existence of appropriate protection measures.
  • Storage limitation – by storing data in a form which permits identification of data subjects for no longer than is necessary for the initial purposes, and longer only if permitted by the Regulation.
  • Data minimisation – by processing data if adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed. Particular attention is given to not collecting data for whose processing there is no justifiable reason.
  • Accuracy – by keeping data accurate and up to date, and erasing inaccurate data within the scope of possibility.
  • Integrity and Confidentiality – by using appropriate technical and organisational measures to ensure appropriate personal data protection, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage. Relevant measures are applied considering the risk of each type of data processing.

LEGALITY OF PERSONAL DATA PROCESSING

In order to respect the lawfulness of processing personal data, KESSELSPITZE processes personal data only if and to the extent that at least one of the following criteria is met:

  • Processing is necessary for the performance of the contract to which the data subject is a party or in order to act at the request of the data subject prior to the conclusion of the contract; this is the most common purpose of data processing, with an existing contractual relationship or a contractual relationship in negotiation as its basis.
  • Processing is necessary to comply with the legal obligations of the data controller. As a legal entity, KESSELSPITZE has a number of obligations prescribed by various regulations. These obligations include the collection and often the submission of data to public authorities.
  • Processing is necessary for the legitimate interests of the data controller or a third party, except where those interests take precedence over the interests or fundamental rights and freedoms of data subjects requiring the protection of personal data, considering reasonable expectations of data subjects based on their relationship with the data controller, especially if the data subject is a child. In applying this legal basis, KESSELSPITZE assesses that the processing is appropriate to business needs, that it is the least invasive possible and that the interests of the data subjects do not exceed the legitimate interests of KESSELSPITZE or a third party. Examples of such processing are processing for administrative purposes, or the purposes of maintaining computer network security. The data subject always has the right to object to such processing in these situations.
  • Processing is necessary to protect key interests of the data subject or other natural person. The right to personal data protection is not an absolute right and KESSELSPITZE equates it with other fundamental rights in accordance with the principle of proportionality.
  • The data subject has consented to the processing of his or her personal data for one or more specific purposes. When processing personal data on the basis of consent, KESSELSPITZE provides that these are situations in which there are no formal or informal consequences for giving, refusing or denying consent. When processing is based on consent, the data subject may withdraw consent at any time without negative consequences. The withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal.

TYPES OF PERSONAL DATA PROCESSED

Special categories of personal data: shall be processed only if the conditions set out in Article 9 of the Regulation are met.

Data relating to criminal convictions and offences shall be processed only under the control of an official authority and in accordance with Article 10 of the Regulation.

Personal data that are not included in the previous two groups: the kind of data that makes up most processed data. The most common types of data are identification and contact data such as name, surname, e-mail address and data that are related to your relation with us (accommodation etc.).

Most of the personal data that we collect is provided by the data subjects themselves. Therefore, we kindly ask you that you do not provide sensitive information (such as race or ethnic origin, political opinions, religious or philosophical beliefs, etc.) when this is not necessary. If you nevertheless provide sensitive information for any reason, you thereby give your express consent to the collection and use of such information in the ways described in this Policy or in the manner described at the time of disclosure of that information.

THE ROLE OF VALAMAR RIVIERA d.d.

KESSELSPITZE concluded with the company Valamar Riviera d.d. with its registered office in Poreč, Stancija Kaligari 1 OIB: 36201212847 (hereinafter: “Valamar”) a Contract in relation to the management of hotel and tourist facilities and contents (hereinafter: “Management Contract”) on the basis of which Valamar manages certain business segments of KESSELSPITZE.

As a result of the said Management Contract, when managing Hotel Kesselspitze 5*, Valamar sometimes directly manages certain activities, including the management of some of the activities described in the Special Section of this Privacy Policy, and in particular Valamar may process the personal data of the guests for providing sales and marketing services. In addition, Valamar sometimes receives data from KESSELSPITZE and has a right of access to relevant data bases to perform certain activities where it subsequently comes to personal data processing.

For example, Valamar may manage the reservation function through the Valamar reservation centre (call centre) and via the website www.valamar.com, and in these cases Valamar is an independent data controller (and data subjects will be informed on the spot about that fact); however, all this information related to Hotel Kesselspitze 5* is and has to be also processed by KESSELSPITZE as owner and an independent data controller.

Furthermore, Valamar has a legitimate interest in the processing of personal data carried out for the purposes of direct marketing, primarily for the purpose of sending marketing messages (newsletters) by email, SMS and/or instant messaging platform (Viber, Whatsapp, etc.). On the basis of legitimate interest, Valamar may send different newsletters depending on the relationship that respondents have with Valamar or the facilities under Valamar’s management. For this purpose, personal data is collected from guests and persons who have asked for an offer or booked accommodation, persons who have participated in a prize game (should there be one), joined the Valamar loyalty programme, filled out a satisfaction questionnaire about accommodation or otherwise had a relationship with Valamar.

Following the above, in certain cases Hotel Kesselspitze 5* guests can expect to receive from Valamar newsletters containing information about all other hotels and facilities managed by Valamar, as well as accommodation quality questionnaires and other service emails. For Hotel Kesselspitze 5* guests, prize games can be organised from time to time by Valamar, in which case guests’ personal data will be collected only if guests decide to participate in the prize game.

Valamar’s Plus Club Loyalty Programme can be applied for KESSELSPITZE. The conditions of membership are contained in Valamar’s loyalty programme terms and conditions, which can be found at https://www.valamar.com/cmsmedia/loyalty/terms-conditions-en.pdf .

Also, on the basis of the Management Contract, Valamar has certain rights and obligations related to human resources, so in these cases Valamar has the right to process personal data of employees and candidates for employment in KESSELSPITZE for the purpose of managing the business processes in its hospitality operations.

When Valamar acts as the data controller, the Valamar Privacy Policy applies, which can be found at: https://www.valamar.com/en/privacy-policy / https://www.valamar.com/hr/izjava-o-privatnosti.

DATA DELIVERY TO THIRD ENTITIES

KESSELSPITZE shares personal information with others only when permitted.

KESSELSPITZE is obliged by law to provide data to third parties, for example, delivering guest data and employee data to the competent institutions.

It is possible to deliver data to business entities – processors – who process the data upon the instruction of KESSELSPITZE, which acts as the data processor. Most often, these are KESSELSPITZE’s business partners who provide IT services, and who store certain data in their databases or have the opportunity to access personal data until the end of processing. In these cases a detailed contract shall be concluded with such subjects regarding their powers and obligations in the processing of personal data, in accordance with the requirements of the Regulation.

In certain situations, it is possible for external entities and KESSELSPITZE to jointly determine the purposes and methods of personal data processing, in which cases these external partners and KESSELSPITZE are joint data controllers. In these relations, the joint data controllers shall determine their responsibilities for complying with their obligations under the Regulation transparently, in particular with regard to the exercise of data subjects’ rights and their duties to respect the transparency of processing, unless such responsibilities are established by law.

A special case of data delivery to third parties is the fact that KESSELSPITZE has the Management Contract with Valamar (see chapter: ROLE OF VALAMAR RIVIERA d.d.).

If data are transferred to third countries as part of data processing, KESSELSPITZE ensures compliance with high protection standards in order to comply with the highest possible standard of personal data protection, in accordance with the strict requirements of the Regulation. Any transfer of personal data to third countries will be carried out in accordance with Chapter V of the Regulation.

DATA STORAGE PERIOD

Personal data are processed and stored for the period in accordance with applicable legal regulations when the retention obligation is prescribed (for example, accounting documents), and in situations where KESSELSPITZE is authorised to set retention periods, data is stored as long as necessary for the purposes for which personal data is processed taking into account the purpose of processing, the legitimate interests of KESSELSPITZE and the interests of the data subjects in the deletion of the data.

RIGHTS OF THE DATA SUBJECTS

Regardless of the basis for data collection, all data subjects can exercise the following rights free of charge within the limits prescribed by the Regulation:

Right to information: The data subject has the right to be informed about the processing and its purposes. KESSELSPITZE provides the data subjects with all the information necessary to ensure fair and transparent processing, considering the context of processing.

Right to erasure („right to be forgotten“): The data subject has the right to request the deletion of personal data relating to him/her, without undue delay, in accordance with the terms of the Regulation. Should you wish this to take place, please send your request to us in writing, including an electronic form of communication. Please note that the request needs to specify what you wish to be deleted, since we can store your data on different legal bases. You have the right to request the deletion of personal data relating to you where one of the following grounds applies:

  • the personal data are no longer necessary in relation to the purposes for which they were collected or otherwise processed;
  • the data subject withdraws the consent upon which the processing is based, and where there is no other legal ground for the processing;
  • the data subject objects to the processing pursuant and there are no overriding legitimate grounds for the processing, or the data subject objects ;
  • the personal data have been unlawfully processed;
  • the personal data must be erased for compliance with a legal obligation;
  • the personal data have been collected in relation to the offer of information society services.

In some cases, it will not be possible to fully comply with the deletion request, for example when there is a legal obligation for retention, when the legitimate interest of the controller takes precedence over the interest of the data subjects or when there is an interest of the data controller to set, enforce or defend legal claims.

Right of access: The data subject shall have the right to obtain from the controller confirmation as to whether or not personal data concerning him or her are being processed, and, where that is the case, access to the personal data and the following information:

  • the purposes of the processing;
  • the categories of personal data concerned;
  • the recipients or categories of recipient to whom the personal data have been or will be disclosed, in particular recipients in third countries or international organisations;
  • where possible, the envisaged period for which the personal data will be stored, or, if that is not possible, the criteria used to determine that period;
  • the existence of the right to request from the controller rectification or erasure of personal data or restriction of processing of personal data concerning the data subject or to object to such processing;
  • the right to lodge a complaint with a supervisory authority;
  • where the personal data have not been collected from the data subject, any available information as to their source;
  • the existence of automated decision-making, including profiling, and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject.

The controller shall provide a copy of the personal data undergoing processing. For any further copies requested by the data subject, the controller may charge a reasonable fee based on administrative costs. Where the data subject makes the request by electronic means, and unless otherwise requested by the data subject, the information shall be provided in a commonly used electronic form. The right to obtain a copy shall not adversely affect the rights and freedoms of others

Right to rectification: The data subject shall have the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her. Considering the purposes of the processing, the data subject shall have the right to have incomplete personal data completed, including by means of providing a supplementary statement.

Right to data portability: The data subject has the right to receive personal data relating to him or her in a structured, commonly used and machine-readable format in accordance with the requirements of Article 20 of the Regulation.

Right to object: The data subject shall have the right to object, on grounds relating to his or her particular situation, at any time, to the processing of personal data concerning him or her that is based on public interest and legitimate interests, including profiling based on those provisions. The controller shall no longer process the personal data unless the controller demonstrates compelling legitimate grounds for the processing which override the interests, rights and freedoms of the data subject or for the establishment, exercise or defence of legal claims. Where personal data are processed for direct marketing purposes, the data subject shall have the right to object at any time to the processing of personal data concerning him or her for such marketing, which includes profiling to the extent that it is related to such direct marketing.

Right to restriction of processing: The data subject shall have the right to obtain from the controller restriction of processing where one of the following applies:

  • the accuracy of the personal data is contested by the data subject, for a period enabling the controller to verify the accuracy of the personal data;
  • the processing is unlawful and the data subject opposes the erasure of the personal data and requests the restriction of their use instead;
  • the controller no longer needs the personal data for the purposes of processing, but they are required by the data subject for the establishment, exercise or defence of legal claims;
  • the data subject has objected to processing pending the verification of whether the legitimate grounds of the controller override those of the data subject.

In any case, data subjects also have the right:

  • to submit a complaint time via email: dsgvo.kesselspitze@valamar.at or by mail to the address Kesselspitze GmbH & Co KG, 5562 Obertauern, Alpenstraße 1
  • to lodge a complaint with a supervisory authority (Austrian Data Protection Authority) if they believe that their rights to data protection have been violated.

KESSELSPITZE as the data controller has the right to protect the interests of the data controller as well as maintain the protection of the data subjects and accordingly has the right to carry out the activities of establishing the identity of the applicant. KESSELSPITZE has the right to publish a form that will be used to submit a request in order to process the request as efficiently as possible.

On request, KESSELSPITZE provides information on the actions taken in relation to the exercise of data subject’s rights without undue delay and in any case within one month from the date of receipt of the request. This period may be extended by an additional two months, considering the complexity and number of applications. KESSELSPITZE shall notify the data subject of any such extension within one month of the date of receipt of the request, together with the reasons for the postponement.

If the data subject submits the request electronically, KESSELSPITZE provides the information electronically if possible, unless the data subject requests otherwise.

The data subject’s request is generally not charged, but if the data subject’s request is manifestly unfounded or excessive, and in particular in the event of its frequent repetition, KESSELSPITZE is entitled to charge a reasonable fee based on administrative costs or refuse to act on the request.

PROTECTION OF PERSONAL DATA OF CHILDREN

KESSELSPITZE advises parents and guardians to teach children about safe and responsible handling of personal data, especially on the internet. In relation to the offer of information society services directly to a child, the processing of the personal data of a child shall be lawful where the child is at least 16 years old. Where the child is below the age of 16 years, such processing shall be lawful only if and to the extent that consent is given or authorised by the holder of parental responsibility over the child.

PERSONAL DATA SOURCES

KESSELSPITZE receives personal data most often from data subjects. When providing personal data to KESSELSPITZE in any way (booking accommodation, job application, etc.), you guarantee that the information you have provided is correct, that you are legally capable and authorised to dispose of the given information and that you fully agree that KESSELSPITZE may collect and use your data in accordance with the regulations and terms of this Privacy Policy.

Also, KESSELSPITZE receives personal data from other natural and legal persons, for example from Valamar as a company that manages certain commercial aspects of business, from travel agencies that forward guest data for accommodation, guests who book accommodation for people with whom they will stay in the hotel, agencies for employment mediation and the assignment of workers, and from the holder of accommodation reservations for others’ guests, for whom the reservation is made.

When providing the personal data of other persons to KESSELSPITZE, you guarantee that the information you provide is accurate, that you are legally capable and authorised to dispose of the information, and that the respondents whose personal data you forward to us agree that KESSELSPITZE may use and collect their data in accordance with positive regulations and the terms of this Privacy Policy.

TECHNICAL AND INTEGRATED DATA PROTECTION

KESSELSPITZE, as data controller, provides the highest organisational and technical standards of data protection. Therefore, considering the latest developments, the cost of implementation and the nature, scope, context and purposes of processing, as well as risks of different levels of probability and seriousness for the rights and freedoms of individuals arising from data processing, at the time of processing, appropriate technical and organisational measures to enable the effective application of the principles of data protection are applied.

Also, KESSELSPITZE implements appropriate technical and organisational measures to ensure that only personal data necessary for each specific processing purpose are processed in an integrated manner. KESSELSPITZE applies this measure to the amount of personal data collected, the scope of their processing, the retention period and their availability. Specifically, such measures ensure that personal data is not automatically, without the intervention of an individual, available to an unlimited number of individuals.

DATA BREACH

In the case of a personal data breach, as the data controller, KESSELSPITZE shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the competent supervisory authority, unless the personal data breach is unlikely to result in risk to the rights and freedoms of natural persons.

The report submitted to the supervisory authority shall contain all information prescribed by the Regulation.

In the event of a personal data breach that is likely to pose a high risk to the rights and freedoms of individuals, KESSELSPITZE, as the data controller, shall inform the data subjects of the personal data breach without undue delay. Sometimes, in cases where the Regulation prescribes, informing data subjects is not mandatory.

SPECIAL SECTION


ACCOMMODATION

KESSELSPITZE’s main business activity is the provision of accommodation services in its Hotel Kesselspitze 5*. Therefore, KESSELSPITZE collects and processes your personal data for various purposes with the ultimate goal of providing quality accommodation and related services all according to the highest standards of tourism companies.

KESSELSPITZE, as the data controller, stores the personal data that you must provide for accommodation services in its database for the purpose of fulfilling accommodation contracts and fulfilling legal obligations related to the hospitality business. In the event you do not provide KESSELSPITZE with the minimum data required for booking accommodation and for the registration to all competent registers, KESSELSPITZE will not be able to provide you with booking services or accommodation services in accordance with the contract and law.

Certain information is necessary in order to act at the request of the data subject before concluding the accommodation contract. For example, before booking accommodation at the request of potential guests, you have to receive an offer, for which personal data is needed: at least name, surname and e-mail address.

The personal data that KESSELSPITZE collects when booking in order to fulfil the reservation obligation usually are:

  • Name and surname of the reservation holder
  • Date of birth
  • Number, type and place of issue of identification document
  • Citizenship
  • Number of accommodation units and type of accommodation unit (room type)
  • Date of arrival and departure
  • Number of persons per accommodation unit
  • Minors
  • Possibly other specifics depending on the request of the person booking the accommodation
  • email address, if the person has one
  • Language
  • Phone number
  • membership in the Loyalty program, if it affects the price of accommodation or collecting points
  • Payment method and possible additional information needed to execute the transaction or secure payment. In case of cancellation, we must save your data for the purpose of proving the reservation or cancellation.

Upon arrival at the Hotel Kesselspitze 5*, guests have to check in and confirm data.

In addition, KESSELSPITZE is obliged to keep all invoices, as well as the basis for issuing invoices issued to guests with the personal data of each guest in accordance with legal regulations.

Other data related to the circumstances of your stay, such as mode of travel, with whom you are travelling, marital status, number of children, pets, and other interests, will also be collected and processed during your stay only when they have a direct connection with the accommodation service.

Before, during and after your stay KESSELSPITZE as the data controller has the right based on legitimate interest to send you so-called service messages – booking confirmations, reminders and other information closely related to the specific stay you have booked. Also, during and after the stay, KESSELSPITZE as the data controller has the right based on legitimate interest to send to you guest questionnaires about service satisfaction via email, SMS and/or instant messaging platforms (Viber, Whatsapp, etc.) which will be processed by us or through associates. The primary purpose of the service satisfaction questionnaire is to collect service data for the legitimate interest of service improvement by KESSELSPITZE, and KESSELSPITZE may depersonalise and process this data from the questionnaire for statistical purposes.

KESSELSPITZE has the right, based on legitimate interest, to collect certain data and use it for direct marketing.

Service messages and messages with service satisfaction questionnaires related to a specific stay of the guest are not considered newsletters for the purpose of sending KESSELSPITZE marketing offers and news.

VIDEO SURVEILLANCE

KESSELSPITZE as the data controller has a legitimate interest in implementing video surveillance measures to protect property and persons. We have marked all places where video surveillance is installed in the prescribed manner. We are aware that the videos contain personal data of all persons moving around the perimeter of the camera, and therefore we keep them with special care: we have a regulated system of security, availability and our internal safety rules. Special regulations governing the area apply to all other details related to video surveillance.

GETTING IN CONTACT WITH US

When you contact us via email or via one of the forms on our website, data are processed and stored in accordance with the processing purpose.

WEBSITE, COOKIES AND INTERNET TECHNOLOGIES

Our website uses so-called cookies. A cookie is a small text file that is saved to your browser on your computer or mobile device, and retrieved from it on subsequent visits. They do not cause any damage. Cookies cannot be used to reveal your personal identity, that is your name and surname. We use cookies to provide you with the best usability. Some cookies remain stored on your device until you delete them. They enable us to recognise your browser during subsequent visits.

If you do not agree with this practice, you can adjust your browser settings so that it will inform you before cookies are set. This will also enable you to permit specific cookies.

We use different types of cookies:

Cookies by function

  • Essential cookies - they are necessary for the operation of the website, which cannot function without them. This means that a website cannot be opened or displayed without these cookies. These cookies are used for the purpose of transmitting communication or are necessary to provide an information society service that is explicitly required by the user of such a service. These cookies do not need and do not require your consent.
  • Statistics cookies - these cookies enable basic analysis of web pages with the aim of improving the work of web pages through data that is completely anonymised, i.e. not based on your personal data or data that can be linked to you in any way. These cookies are used to analyse user behaviour and, on the basis of the anonymous data, can determine what website visitors view and want, so KESSELSPITZE is then able to customise the website and make its content and functionality as easy to use. These cookies require your consent.
  • Marketing cookies - they are used to analyse your interests and wishes, and they serve the purpose of informing you about special and personalised offers, news and events organised through online channels (e-mail, internet, internet promotion). These cookies require your consent.

Cookies by source

  • First party cookies come from the internet site you are viewing, and can be permanent or temporary. With these cookies, internet sites can store data that will be used again upon the next visit to the internet site.
  • Third party cookies come from other internet sites, which are located on the internet site you are viewing. With these cookies, other internet sites can track internet usage on the internet site you are viewing for marketing or analytical purposes.

Cookies by duration

  • Persistent cookies - Persistent or saved cookies remain on your computer after you close your internet browser program. They help internet sites store information, such as login and password, language settings, or cookie settings, so you do not have to re-enter them each time you visit. Persistent cookies can stay on your computer or mobile device for days, months, even years.
  • Temporary cookies Temporary cookies or session cookies are removed from your computer when you close your internet browser. They use internet sites to store temporary information, such as the last few pages you opened on the internet site you visited, or items in your shopping cart if you are on an internet site that specialises in internet sales.

Cookies are stored in the user’s browser for a maximum of 2 years.

If you have changed your mind about the cookie settings on our website, you can alter them at any time.

You can always delete cookies stored on your computer, thus preventing further processing of your personal data through such technology. Each web browser has its own procedure for deleting cookies, and below are links to deletion procedures in the most popular web browsers:

Google Chrome: https://support.google.com/chrome/answer/95647?co=GENIE.Platform%3DDesktop&hl=en

Mozilla Firefox: https://support.mozilla.org/en-US/kb/clear-cookies-and-site-data-firefox

Microsoft Edge: https://support.microsoft.com/en-us/windows/microsoft-edge-browsing-data-and-privacy-bb8174ba-9d73-dcf2-9b4a-c582b4e640dd

You can find more about cookies on the following pages:

  • http://www.allaboutcookies.org/
  • http://www.youronlinechoices.com/en/
  • http://www.aboutads.info/choices/

Valamar Marietta GmbH privacy policy

Valamar Marietta GmbHwith its headquarters in Ringstraße 8, AT-5562 Obertauern (hereinafter: MARIETTA or we or our or controller) as owner of Obertauern Places hotel by Valamar – ex Marietta hotel (hereinafter: the Hotel), respects the privacy of every person from whom collects personal data. We would like to inform you about what personal data we collect as the data controller, for what purpose, how we protect the data and what your rights are.

DATA CONTROLLER AND LEGAL FRAMEWORK

As the data controller, MARIETTA is committed to protect your personal data. The collection and storage of data is carried out in accordance with the provisions of REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (hereinafter: Regulation), TKG (Telecommunications Law 2021) and other regulations governing the subject area, which are applied in the Republic of Austria.

SCOPE OF APPLICATION

This Policy applies to any processing of personal data performed by MARIETTA as the data controller, unless another policy or other MARIETTA document prescribes otherwise for a particular processing.

This Policy is divided into two parts: The General Section and the Specific section.

The basic principles of personal data processing, contact details and other provisions specified in the General Section of this Policy are applied without exception to any personal data processing regardless of whether such processing is specifically processed in the Specific Section of this Policy or not.

The Specific Section of the Policy deals, in more detail, with specific cases of data processing which represent the majority of all processing by MARIETTA.

CONTACT FOR DATA PROTECTION REQUESTS

Regarding issues related to personal data protection and for exercising their rights guaranteed by the Regulation please contact MARIETTA at any time via e-mail: dsgvo.obertauern.places@valamar.at or by mail to the address Valamar Marietta GmbH with its headquarters in Ringstraße 8, AT-5562 Obertauern.

All requests not related to data protection, which are delivered to this address, e.g. offers of job candidates, booking inquiries in the Hotel, etc. will be provided directly to the relevant departments.

PERSONAL DATA PROTECTION PRINCIPLES

MARIETTA has recognized the principles of data processing as basic values that must be respected throughout the cycle of personal data processing, from their collection to their destruction or other cessation of processing. MARIETTA processes data:

  • Lawfully - by processing data only if allowed by law and within the limits prescribed by law.
  • Fairly - by considering the specifics of each relationship, applying all appropriate measures to protect personal information and privacy in general and not impeding data subjects in exercising their rights.
  • Transparently - by informing data subjects about the processing of personal data. From the start of the data collection process, when data subjects are informed about all aspects of data processing, until its termination, data subjects are provided easy and fast access to their own data.
  • Purpose limitation - by processing personal data for the purposes they were collected for and for other purposes only if the conditions of the Regulation are met. Data may be processed for matching purposes only considering (a) any link between the purposes of the collection of personal data and the purposes of the intended continuation of the processing; (b) the context in which the personal data was collected, in particular concerning the relationship between the data subjects and MARIETTA; (c) the nature of the personal data; (d) the possible consequences of the intended continuation of processing for the data subjects; and (e) the existence of appropriate protection measures.
  • Storage limitation - by storing data in a form which permits identification of data subjects for no longer than is necessary for the initial purposes, and longer only if permitted by the Regulation.
  • Data minimization - by processing data if it is adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed. Particular attention is given to not collecting data for which there is no justifiable reason for processing.
  • Accuracy - by keeping data accurate and up-to-date, and erasing inaccurate data in the scope of possibility.
  • Integrity and Confidentiality - by using appropriate technical and organisational measures to ensure appropriate personal data protection, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage. Relevant measures are applied considering the risk of each type of data processing.

LEGALITY OF PERSONAL DATA PROCESSING

In order to respect the lawfulness of processing personal data, MARIETTA processes personal data only if and to the extent that at least one of the following is met:

  • Processing is necessary for the performance of the contract to which the data subject is a party or in order to act at the request of the data subject prior to the conclusion of the contract; this is the most common purpose of data processing with an existing contractual relationship or a contractual relationship in negotiations as its basis.
  • Processing is necessary to comply with the legal obligations of the data controller. As a legal entity, MARIETTA has a number of obligations prescribed by various regulations. This obligation includes the collection and often the submission of data to public authorities.
  • Processing is necessary for the legitimate interests of the data controller or a third party, except where those interests are stronger than the interests or fundamental rights and freedoms of data subjects requiring the protection of personal data, considering reasonable expectations of data subjects based on their relationship with the data controller, especially if the data subject is a child. In applying this legal basis, MARIETTA assesses that the processing is appropriate to business needs, that it is the least invasive as possible and that the interests of the data subjects do not exceed the legitimate interests of MARIETTA or a third party. Examples of such processing are processing for administrative purposes, the purposes of maintaining computer network security. The data subject always has the right to object to such processing in these situations.
  • Processing is necessary to protect key interests of the data subject or other natural person. The right to personal data protection is not an absolute right and MARIETTA equates it with other fundamental rights in accordance with the principle of proportionality.
  • The data subject has consented to the processing of his or her personal data for one or more specific purposes. When processing personal data on the basis of consent, MARIETTA provides that these are situations in which there are no, formal or informal, consequences for giving, refusing or denying consent. When processing is based on consent, the data subject may withdraw consent at any time without negative consequences. The withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal.

TYPES OF PERSONAL DATA PROCESSED

Special categories of personal data: shall be processed only if the conditions set out in Article 9 of the Regulation are met.

Data relating to criminal convictions and offenses: shall be processed only under the control of official authority and in accordance with Article 10 of the Regulation.

Personal data that are not included in the previous two groups: that kind of data makes most of the processed data. The most common types of data are identification and contact data such as name, surname, e-mail address and data that are related with your relation with us (accommodation etc.).

Most of the personal data that we collect is provided by the data subjects themselves. Therefore, we kindly ask you that you do not provide sensitive information (such as race or ethnic origin, political opinions, religious or philosophical beliefs, etc.) when this is not necessary. If you nevertheless provide sensitive information for any reason, you hereby give your express consent to the collection and use of such information in the ways described in these Policy or in the manner described at the time of disclosure of that information.

THE ROLE OF VALAMAR RIVIERA d.d.

MARIETTA concluded with the company Valamar Riviera d.d. with its registered office in Poreč, Stancija Kaligari 1 OIB: 36201212847 (hereinafter: Valamar) Contract in relation to the management of hotel and tourist facilities and contents (hereinafter: Management contract) based on which Valamar manages certain business segments of MARIETTA.

Due to such Management contract, when managing the Hotel, Valamar sometimes directly manages certain activities, including the management of some of the activities described in the Special Section of this Privacy Policy, in particular Valamar can process the personal data of the guests for providing the sales and marketing services. In addition, Valamar sometimes receives data from MARIETTA and has a right of access to relevant data base to perform certain activities where it subsequently comes to personal data processing.

For example, Valamar can manage the reservation function through the Valamar reservation center (call center) and via the websites www.valamar.com, and in these cases Valamar is an independent data controller (and data subjects will be informed on the spot about that fact) however, all this information related to Hotel are and have to be also processed by MARIETTA as an owner and independent data controller.

Furthermore, Valamar has a legitimate interest in processing of personal data carried out for the purposes of direct marketing, primarily for the purpose of sending marketing messages (newsletters) by e-mail, SMS and / or instant messaging platform (Viber, Whatsapp, etc.). Based on a legitimate interest, Valamar may send different newsletters depending on the relationship that respondents have with Valamar or the facilities under Valamar's management. For this purpose, personal data is collected from guests and persons who have asked for an offer or booked accommodation, persons who have participated in the prize game (if there will be any), joined the Valamar`s loyalty program, filled out a satisfaction questionnaire about accommodation in or otherwise had a relationship with Valamar.

Following the above, in certain cases Hotel guests can expect to receive from Valamar newsletters containing information about all other hotels and facilities managed by Valamar, as well as accommodation quality questionnaires and other service e-mails. For Hotel guests, prize games can be organized from time to time, which can be organized by Valamar, in which case guests personal data will be collected only if guests decide to participate in the prize game.

Valamar's Plus Club Loyalty Program can be applied for the MARIETTA. The conditions of membership are contained in Valamar's loyalty programme terms and conditions, which can be found at https://www.valamar.com/cmsmedia/loyalty/terms-conditions-en.pdf.

Also, based on the Management contract, Valamar has certain rights and obligations related to human resources, so in these cases Valamar has the right to process personal data of employees and candidates for employment in MARIETTA for the purpose of managing the business processes in the Hospitality Operations.

When Valamar acts as the data controller, the Valamar Privacy Policy applies, which can be found at: https://www.valamar.com/en/privacy-policy / https://www.valamar.com/hr/izjava-o-privatnosti.

DATA DELIVERY TO THIRD ENTITIES

MARIETTA shares personal information with others only when permitted.

MARIETTA is obliged by law to provide data to third parties. For example, delivering guest data and employee data to the competent institutions.

It is possible to deliver data to business entities, processors, who process the data upon instruction of MARIETTA, which acts as the data processor. Most often, these are MARIETTA's business partners who provide IT services, who store certain data in their databases or have the possibility of accessing personal data until the end of processing. In that cases a detailed contract shall be concluded with such subjects regarding their powers and obligations in the processing of personal data, in accordance with the requirements of the Regulation.

In certain situations, it is possible for external entities and MARIETTA to jointly determine the purposes and methods of personal data processing, in which case these external partners and MARIETTA are joint data controllers. In these relations, the joint data controllers shall transparently determine their responsibilities for complying with the obligations under the Regulation, in particular with regard to the exercise of data subject`s rights and their duties to respect the transparency of processing, unless responsibilities are established by law.

A special case of data delivery to third parties is the fact that MARIETTA has the Management contract with Valamar (see chapter: ROLE OF VALAMAR RIVIERA d.d.).

If data are transferred to third countries as part of data processing, MARIETTA ensures compliance with high protection standards in order to comply with the highest possible standard of personal data protection, in accordance with the strict requirements of the Regulation. Any transfer of personal data to third countries will be carried out in accordance with Chapter V of the Regulation.

DATA STORAGE PERIOD

Personal data are processed and stored for the period in accordance with applicable legal regulations when the retention obligation is prescribed (for example, accounting documents), and in situations where MARIETTA is authorized to set retention periods, data is stored as long as necessary for the purposes for which personal data is processed taking into account the purpose of processing, the legitimate interests of MARIETTA and the interests of the data subjects to delete the data.

RIGHTS OF THE DATA SUBJECTS

Regardless of the basis for data collection, all data subjects can exercise the following rights free of charge within the limits prescribed by the Regulation:

Right to information: The data subject has the right to be informed about the processing and its purposes. MARIETTA provides the data subjects with all the information necessary to ensure fair and transparent processing, considering the context of processing.

Right to erasure (“right to be forgotten”): The data subject has the right to request to delete personal data relating to him/her, without undue delay in accordance with the terms of the Regulation. To do so, please send your request to us in writing, including an electronic form of communication. Please note that the request needs to specify what you wish to be deleted, since we can store your data on different legal bases. You have the right to request the deletion of personal data relating to you where one of the following grounds applies:

  • the personal data are no longer necessary in relation to the purposes for which they were collected or otherwise processed;
  • the data subject withdraws consent on which the processing is based, and where there is no other legal ground for the processing;
  • the data subject objects to the processing pursuant and there are no overriding legitimate grounds for the processing, or the data subject objects;
  • the personal data have been unlawfully processed;
  • the personal data have to be erased for compliance with a legal obligation;
  • the personal data have been collected in relation to the offer of information society services.

In some cases, it will not be possible to fully comply with the deletion request, for example when there is a legal obligation for retention, when the legitimate interest of the controller is stronger than the interest of the data subjects, when there is an interest of the data controller to set, enforce or defend legal claims.

Right of access: The data subject shall have the right to obtain from the controller confirmation as to whether or not personal data concerning him or her are being processed, and, where that is the case, access to the personal data and the following information:

  • the purposes of the processing;
  • the categories of personal data concerned;
  • the recipients or categories of recipient to whom the personal data have been or will be disclosed, in particular recipients in third countries or international organisations;
  • where possible, the envisaged period for which the personal data will be stored, or, if not possible, the criteria used to determine that period;
  • the existence of the right to request from the controller rectification or erasure of personal data or restriction of processing of personal data concerning the data subject or to object to such processing;
  • the right to lodge a complaint with a supervisory authority;
  • where the personal data are not collected from the data subject, any available information as to their source;
  • the existence of automated decision-making, including profiling, and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject.

The controller shall provide a copy of the personal data undergoing processing. For any further copies requested by the data subject, the controller may charge a reasonable fee based on administrative costs. Where the data subject makes the request by electronic means, and unless otherwise requested by the data subject, the information shall be provided in a commonly used electronic form. The right to obtain a copy shall not adversely affect the rights and freedoms of others.

Right to rectification: The data subject shall have the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her. Considering the purposes of the processing, the data subject shall have the right to have incomplete personal data completed, including by means of providing a supplementary statement.

Right to data portability: The data subject has the right to receive personal data relating to him in a structured, commonly used and machine-readable format in accordance with the requirements of the Article 20 of Regulation.

Right to object: The data subject shall have the right to object, on grounds relating to his or her particular situation, at any time to processing of personal data concerning him or her which is based on public interest and legitimate interests, including profiling based on those provisions. The controller shall no longer process the personal data unless the controller demonstrates compelling legitimate grounds for the processing which override the interests, rights and freedoms of the data subject or for the establishment, exercise or defence of legal claims. Where personal data are processed for direct marketing purposes, the data subject shall have the right to object at any time to processing of personal data concerning him or her for such marketing, which includes profiling to the extent that it is related to such direct marketing.

Right to restriction of processing: The data subject shall have the right to obtain from the controller restriction of processing where one of the following applies:

  • the accuracy of the personal data is contested by the data subject, for a period enabling the controller to verify the accuracy of the personal data;
  • the processing is unlawful and the data subject opposes the erasure of the personal data and requests the restriction of their use instead;
  • the controller no longer needs the personal data for the purposes of the processing, but they are required by the data subject for the establishment, exercise or defence of legal claims;
  • the data subject has objected to processing pending the verification whether the legitimate grounds of the controller override those of the data subject.

In any case, data subjects also have the right to:

  • to submit a complaint time via e-mail: dsgvo.obertauern.places@valamar.at or by mail to the address Valamar Marietta GmbH with its headquarters in Ringstraße 8, AT-5562 Obertauern
  • to lodge a complaint with a supervisory authority (Austrian Data Protection Authority) if they believe that their rights to data protection have been violated.

MARIETTA as the data controller has the right to protect the interests of the data controller as well as the protection of the data subjects and accordingly has the right to carry out the activities of establishing the identity of the applicant. MARIETTA has the right to publish a form that will be used to submit a request in order to process the request as efficiently as possible.

On request, MARIETTA provides information on the actions taken in relation to the exercise of data subject's rights without undue delay and in any case within one month from the date of receipt of the request. This period may be extended by an additional two months, considering the complexity and number of applications. MARIETTA shall notify the data subject of any such extension within one month from the date of receipt of the request, together with the reasons for the postponement.

If the data subject submits the request electronically, MARIETTA provides the information electronically if possible, unless the data subject requests otherwise.

The data subject's request is generally free of charge, but if the data subject's request is manifestly unfounded or excessive, and in particular because of their frequent repetition, MARIETTA is entitled to charge a reasonable fee based on administrative costs or refuse to act on the request.

PROTECTION OF PERSONAL DATA OF CHILDREN

MARIETTA advises parents and guardians to teach children about safe and responsible handling of personal data, especially on the Internet. In relation to the offer of information society services directly to a child, the processing of the personal data of a child shall be lawful where the child is at least 16 years old. Where the child is below the age of 16 years, such processing shall be lawful only if and to the extent that consent is given or authorised by the holder of parental responsibility over the child.

PERSONAL DATA SOURCES

MARIETTA receives personal data most often from data subjects. When providing personal data to MARIETTA, in any way (booking accommodation, job application…) you guarantee that the information you have provided is correct, that you are legally capable and authorized to dispose of the given information and that you fully agree that MARIETTA collects and uses your data in accordance with the regulations and terms of this Privacy Policy.

Also, MARIETTA receives personal data from other natural and legal persons, for example: from Valamar as a company that manages certain business aspects of business, from travel agencies that forward guest data for accommodation, guests who book accommodation for people with whom they will stay in hotel, agency for employment mediation and assignment of workers, from the holder of accommodation reservations for others guests for whom the reservation is made.

When providing personal data of other persons to MARIETTA, you guarantee that the information you provide is accurate, that you are legally capable and authorized to dispose of the information, that respondents whose personal data you forward to us agree that MARIETTA uses and collects their data in accordance with positive regulations and the terms of this Privacy Policy.

TECHNICAL AND INTEGRATED DATA PROTECTION

MARIETTA, as data controller, provides the highest organizational and technical standards of data protection. Therefore, considering the latest developments, the cost of implementation and the nature, scope, context and purposes of processing, as well as risks of different levels of probability and seriousness for the rights and freedoms of individuals arising from data processing, at the time of processing, appropriate technical and organizational measures to enable the effective application of the principles of data protection are applied.

Also, MARIETTA implements appropriate technical and organizational measures to ensure that only personal data necessary for each specific purpose of processing are processed in an integrated manner. MARIETTA applies this measure to the amount of personal data collected, the scope of their processing, the retention period and their availability. Specifically, such measures ensure that personal data is not automatically, without the intervention of an individual, available to an unlimited number of individuals.

DATA BREACH

In the case of a personal data breach, as the data controller, MARIETTA shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons.

The report submitted to the supervisory authority shall contain all information prescribed by the Regulation.

In the event of a personal data breach that is likely to pose a high risk to the rights and freedoms of individuals, MARIETTA, as the data controller, shall inform the data subjects of the personal data breach without undue delay. Sometimes, in cases where the Regulation prescribes, informing data subjects is not mandatory.

Special section


ACCOMMODATION

MARIETTA'S main business activity is the provision of accommodation services in its Hotel MARIETTA 5*. Therefore, MARIETTA collects and processes your personal data for various purposes with the ultimate goal of providing quality accommodation and related services all according to the highest standards of tourism companies.

MARIETTA, as the data controller, stores your personal data that you must provide for accommodation services in its database for the purpose of fulfilling accommodation contracts and fulfilling legal obligations related to the hospitality business. In case you do not provide MARIETTA with the minimum data required for booking accommodation and for the registration to all competent registers, MARIETTA will not be able to provide you with booking services or accommodation services in accordance with the contract and law.

Certain information is necessary in order to act at the request of the data subject before concluding the accommodation contract. For example, before booking accommodation at the request of potential guests, you have to receive offer, for which personal data is needed, at least name, surname and e-mail address in order to be able to send an offer.

The personal data that MARIETTA collects when booking in order to fulfil the reservation obligation usually are:

  • Name and surname of the reservation holder
  • Date of birth
  • Number, type of identification document and place of issue
  • Citizenship
  • Number of accommodation units, type of accommodation unit (room type)
  • Date of arrival and departure
  • Number of persons per accommodation unit
  • Minors
  • Possibly other specifics depending on the request of the person booking the accommodation
  • e-mail if the person has one
  • Language
  • Phone number
  • Membership in the Valamar`s Loyalty program, if it affects the price of accommodation or collecting points
  • Payment method and possible additional information needed to execute the transaction or secure payment. In case of cancellation, we must save your data for the purpose of proving the reservation or cancellation.

Upon arrival at the Hotel guests have to check in and confirm data.

In addition, MARIETTA is obliged to keep all invoices, as well as the basis for issuing invoices issued to guests with personal data of the guest in accordance with legal regulations.

Other data related to the circumstances of your stay such as: mode of travel, who you are traveling with, marital status, number of children, pets, other interests, will also be collected and processed during your stay only when they have a direct connection with the accommodation service.

Before, during and after the stay MARIETTA as the data controller has the right based on the legitimate interest to send you so-called service messages – booking confirmations, reminders and other information closely related to the specific stay you have booked. Also, during and after the stay, MARIETTA as the data controller has the right based on the legitimate interest to send to you guest questionnaires about service satisfaction via e-mail, sms and/or instant messaging platforms (viber, whatsapp, etc.) which will be processed by us or through associates. The primary purpose of the service satisfaction questionnaire is to collect service data for the legitimate interest of service improvement by MARIETTA, and MARIETTA may depersonalize and process this data from the questionnaire for statistical purposes.

MARIETTA has the right, based on a legitimate interest, to collect certain data and use it for direct marketing.

Service messages and messages with service satisfaction questionnaires related to a specific stay of the guest are not considered newsletters for the purpose of sending MARIETTA marketing offers and news.

VIDEO SURVEILLANCE

MARIETTA as the data controller, has a legitimate interest in implementing video surveillance measures to protect property and persons. We marked all places where video surveillance is installed in the prescribed manner. We are aware that the videos contain personal data of all persons moving around the perimeter of the camera, and therefore we keep them with special care, we have a regulated system of security, availability and our internal safety rules. Special regulations governing the area apply to all other details related to video surveillance.

GETTING IN CONTACT WITH US

When you contact us via email or via one of the forms on our website, data are processed and stored, in accordance with the purpose of processing.

WEBSITE, COOKIES AND INTERNET TECHNOLOGIES

Our website uses so-called cookies. A cookie is a small text file that is saved to your browser on your computer or mobile device, and retrieved from it on subsequent visits. They do not cause any damage. Cookies cannot be used to reveal your personal identity meaning your name and surname. We use cookies to provide you with the best usability. Some cookies remain stored on your device until you delete them. They enable us to recognize your browser during subsequent visits.

If you do not agree with this practice, you can adjust your browser settings so that it will inform before setting cookies. This will also enable you to permit specific cookies.

We use different types of cookies:

Cookies by function

  • Essential cookies - they are necessary for the operation of the website, which cannot function without them. This means that a website cannot be opened or displayed without these cookies. These cookies are used for the purpose of transmitting communication or are necessary to provide an information society service that is explicitly required by the user of such a service. These cookies do not need and do not require your consent.
  • Statistics cookies - these cookies enable basic analysis of web pages with the aim of improving the work of web pages through data that is completely anonymised, i.e. not based on your personal data or data that can be linked to you in any way. These cookies are used to analyse user behaviour and, on the basis of the anonymous data, can determine what website visitors view and want, so KESSELSPITZE is then able to customise the website and make its content and functionality as easy to use. These cookies require your consent.
  • Marketing cookies - they are used to analyse your interests and wishes, and they serve the purpose of informing you about special and personalised offers, news and events organised through online channels (e-mail, internet, internet promotion). These cookies require your consent.

Cookies by source

  • First party cookies come from the internet site you are viewing, and can be permanent or temporary. With these cookies, internet sites can store data that will be used again upon the next visit to the internet site.
  • Third party cookies come from other internet sites, which are located on the internet site you are viewing. With these cookies, other internet sites can track internet usage on the internet site you are viewing for marketing or analytical purposes.

Cookies by duration

  • Persistent cookies - Persistent or saved cookies remain on your computer after you close your internet browser program. They help internet sites store information, such as login and password, language settings, or cookie settings, so you do not have to re-enter them each time you visit. Persistent cookies can stay on your computer or mobile device for days, months, even years.
  • Temporary cookies Temporary cookies or session cookies are removed from your computer when you close your internet browser. They use internet sites to store temporary information, such as the last few pages you opened on the internet site you visited, or items in your shopping cart if you are on an internet site that specialises in internet sales.

Cookies are stored in the user’s browser for a maximum of 2 years.

If you have changed your mind about the cookie settings on our website, you can alter them at any time.

You can always delete cookies stored on your computer, thus preventing further processing of your personal data through such technology. Each web browser has its own procedure for deleting cookies, and below are links to deletion procedures in the most popular web browsers:

Google Chrome: https://support.google.com/chrome/answer/95647?co=GENIE.Platform%3DDesktop&hl=en

Mozilla Firefox: https://support.mozilla.org/en-US/kb/clear-cookies-and-site-data-firefox

Microsoft Edge: https://support.microsoft.com/en-us/windows/microsoft-edge-browsing-data-and-privacy-bb8174ba-9d73-dcf2-9b4a-c582b4e640dd

You can find more about cookies on the following pages:

  • http://www.allaboutcookies.org/
  • http://www.youronlinechoices.com/en/
  • http://www.aboutads.info/choices/

In Obertauern, 01.07.2023.

Predbilježite se za posebne ponude

Primajte naše posebne ponude i popuste izravno u svoj sandučić elektroničke pošte.

vrh