Personal data protection and processing policy

Policy of the processing of personal data in

SPARK sp. z o.o.

This document is created according to Regulation on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (Data Protection Directive), further called the Regulation.

Personal data administration and technical conditions of data processing

1. Administrator of personal data is SPARK sp. z o.o., located in Warsaw, ul. Chłodna 20/56, 00-891 Warsaw, TIN (NIP) 5272696432, REGON: 1467212290, email: info@poland-incoming.eu, further called SPARK.

2. Personal data, described in this document, can be stored according to conditions as follows:

a. on email server or serves, accessible via email program or from internet browser. Access is secured by login and password.

b. on VPS cloud server or servers, used to store and process data, access is secured by login and password, accessible via internet browser or application.

c. as physical copy (paper document): in SPARK sp. z o.o. operational office (al. Solidarności 78/101 in Warsaw). Access to the office possible for SPARK employees.

3. Passwords and logins mentioned in pt. 2 a.-b. are known to SPARK sp. z o.o. employees, who are obliged to preserve them in secrecy. Key to SPARK office mentioned in pt. 2 c. are in hands of these employees only.

4. SPARK maintains records of categories of processing activities, according to art. 30 pt. 1-2 of the Regulation. These records document processing of special categories of personal data (as described in pt. 8 of this document)

Purposes of processing of personal data

5. Personal data are processed by SPARK on purpose of organizing tours and providing tour related services to it’s customers.

a. data described in pt. 6 letter a. and c. (data of turists and bus drivers) are processed solely on the purpose of organizing, conducting, providing specific tour or service and are deleted from SPARK databases within 30 days from end of the tour or service or expiry of legal claims, mentioned in art. 17 pt.3 letter e. of the Regulation.

b. data mentioned in pt. 6 letters b.,d.,e., are processed on for the purpose of organizing current and future touristic events, services and tours.

6. People, whose data are processed by SPARK, can be described using the categories below:

a. participants of touristic event/service/tour (tourists): name and surname, email address, address, telephone number, number of passport or ID, and – in the event of business tourism services: name of his/her employer and job position can be processed. This data are processed according to art. 6 point 1 letter b. of the Regulation (as administrator) or according to legal agreement with data administrator (as processor),

b. tour leaders and tour guides: name, surname, email address, telephone (processed by SPARK on basis of art 6. Pt. 1 lit.b of the Regulation) (as Administrator) or according to legal agreement with data administrator (as processor),

c. bus drivers: first name, phone number, processed according to written consent.

d. contractors and theirs employees: name, surname, phone number, email address, job position, processed according to art. 6 pt. 1 lit. b of the Regulation,

e. owners or employees of travel agencies, offices, transport companies, museums, touristic attractions etc.: email address, name and surname, phone number (processed according to art. 6 pt. 1 letter b.,c.,f., of the Regulation).

Rules of transferring personal data to other subjects

7. Transferring of personal data is possible only for the purpose of organizing specific tour or providing specific services. Categories of receivers, to whom the data described in pt. 6 can be transferred, are described below:

a. data of tourists: transfer is possible to hotels, where tourists are staying, to room/transfer and other digital booking platforms (programs or online services), airlines and other transport companies, tour leaders and tour guides, taking part in the tour/service, insurance companies if the SPARK sells travel insurance as an agent and offices and other state-run institutions for the purpose of visa and other official procedures connected with the tour/service,

b. data of tour leaders and tour guides: transfer is possible to hotels, other tour leaders and guides, travel agencies, museums and other tourisitic attractions, bus drivers and tourists.

c. data of bus drivers: transfer is possible to tour guides and tour leaders,

d. data of owners or employees of travel agencies, offices, transport companies, museums, touristic attractions and other SPARK contractors involved in organization of the tour etc.– transfer is possible to tour leaders, tour guides and tourists, as well as to SPARK accountant office (if the data is visible on invoices).

Processing of special categories of personal data

8. It can happen that for the purpose of organizing of a tour / providing a service, SPARK will process information regarding food allergies, special room requirements, special diet. Because this kind of data can lead to knowledge about one’s health, disability, religious or other believes, the data are processed in anonymized way, to not allow anyone to easily connect this special categories of data with specific person. Processing should be done in a way similar to these examples: “number of gluten free meals for the group”, “number of rooms for disabled people for the group”. These kinds of data are removed from SPARK database within 30 days after the tour ends or expiry of legal claims, mentioned in art. 17 pt.3 letter e. of the Regulation.

8.1 Processing of data mentioned in pt. 6a., and pt. 8. is based on consent:

a. acquired in written form by SPARK from the one whose data is processed (also – in digital form) – when SPARK is the administrator of the data,

b. acquired according to the Regulation by administrator – when SPARK is a processor of data.

8.2 In case of processing data mentioned in pt. 8 lit. b., SPARK requires written statement (in digital form if possible) of administrator, that he or she accepts SPARK’s data processing policy. Administrator is obliged to process data shared to SPARK according to the Regulation.  

8.3 Consent form, mentioned in pt. 8.1 letter a. and pt.6 letter a. and c. are an annex to this document.

Rights of people, whose data is processed by SPARK

9. A person, whose personal data is processed by SPARK, has the right to:

a. access

b. rectification

c. erasure,

d. restricting processing,

e. protest against processing,

f. transfer,

g. withdraw the consent for processing of data in any moment,

h. make an official complain to data protection authorities,
of his/her data.

9.1 Rights, enumerated in pt. 9 above can be executed according to rules described in the Regulation.

10. In case of processing data on the base of consent, mentioned in pt. 8.1, SPARK provides one information, mentioned in art. 13 pt. 1 and 2 of the Regulation, only in case one does not have information about mentioned data from other sources.

Introductory provisions

11. This document is preserved in written form in SPARK’s office, address: al. Solidarności 78/101 in Warsaw.

12. This policy is valid from 25 of May 2018.

13. This document is written in two language versions, Polish and English. In case of doubts about its meaning, Polish version is binding.

……………………………………………………………………

 Agata Kabza-Papuga

      SPARK CEO

Warsaw, 24.05.2018

 Polityka przetwarzania danych osobowych w SPARK sp. z o.o.

Dokument utworzony na podstawie ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego dalej Rozporządzeniem.

Administracja i warunki techniczne przetwarzania danych

1. Administratorem danych osobowych jest SPARK spółka z ograniczoną odpowiedzialnością, z siedzibą w ul. Chłodna 20/56, 00-891 Warszawa, NIP: 5272696432, Regon: 1467212290. Email info@poland-incoming.eu, telefon: +48 22 126 98 00, dalej zwana SPARK.
2. Dane osobowe, o których mowa w powyższym dokumencie, mogą być przechowywane z zachowaniem następujących środków technicznych i procedur:
a. na serwerze bądź serwerach pocztowych, do którego dostęp zabezpieczony jest loginem i hasłem z poziomu programu pocztowego lub przeglądarki internetowej,
b. na serwerze bądź serwerach typu VPS-cloud, służących do przechowywania danych, zabezpieczonych loginem i hasłem. Dostęp doń jest możliwy z poziomu przeglądarki internetowej lub za pomocą aplikacji, po uprzednim zalogowaniu się,
c. w postaci fizycznej (jako dokumenty): w biurze SPARK sp. z o.o. przy alei Solidarności 78/101 w Warszawie. Dostęp możliwy dla pracowników posiadających klucze do biura.

3. Hasła i loginy, o których mowa w pkt. 2 a.-b. są znane pracownikom SPARK sp. z o.o., zobowiązanym do zachowania ich w tajemnicy. Klucz do biura SPARK sp. z o.o. o którym mowa w pkt. 2 c. posiadają pracownicy spółki.
4. SPARK prowadzi rejestry: czynności przetwarzania danych osobowych oraz rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, zgodnie z art. 30. pkt. 1-2 Rozporządzenia. Rejestry dotyczą danych o szczególnym charakterze, opisanych w pkt. 8 tego dokumentu.

Cele przetwarzania danych osobowych

5. Dane osobowe są przetwarzane przez SPARK sp. z o.o. w celu organizacji imprez turystycznych i zapewnienia usług turystycznych.

a. dane wymienione w pkt. 6.lit a. i c. (dane turystów i kierowców autobusów) przetwarzane są wyłącznie na potrzeby realizacji konkretnej imprezy/usługi turystycznej i są usuwane z baz danych SPARK sp. z o.o. w terminie do30 dni od momentu zakończenia danej imprezy/usługi albo do chwili wygaśnięcia roszczeń, o których mowa w art. 17 pkt. 3 lit e. Rozporządzenia

b. dane wymienione w pkt. 6 lit. b., d., e., są przetwarzane na potrzeby organizacji bieżących i przyszłych imprez/usług turystycznych.

6. Osoby, których dane są przetwarzane przez SPARK sp. z o.o. należą do następujących kategorii:

a. uczestnicy imprezy turystycznej (turyści): przetwarzane są imię i nazwisko, adres email, adres domowy, telefon, numer paszportu lub dowodu osobistego, a także nazwa pracodawcy i stanowisko służbowe w przypadku uczestnika imprezy turystycznej – biznesowej (przetwarzane przez SPARK na podstawie art. 6 pkt.1 lit.b. Rozporządzenia i na podstawie umowy z administratorem, jako podmiot przetwarzający, lub na podstawie zgody – jako administrator),
b. piloci i przewodnicy turystyczni: imię i nazwisko, adres email, telefon (przetwarzane przez SPARK na podstawie art. 6 pt.1 lit. b. Rozporządzenia i na podstawie umowy z administratorem, jako podmiot przetwarzający),
c. kierowcy autobusów (imię, numer telefonu), przetwarzane na podstawie oświadczenia o zgodzie na przetwarzanie,
d. kontrahenci i ich pracownicy: imię, nazwisko, służbowy numer telefonu, służbowy adres email, stanowisko służbowe, przetwarzane na podstawie art. 6 pkt.1 lit. b. Rozporządzenia),
e. właściciele lub pracownicy biur podróży, urzędów, firm transportowych, muzeów, atrakcji turystycznych itp.: imię, nazwisko, służbowy numer telefonu, służbowy adres email (przetwarzane na podstawie art. 6 pkt.1 lit. b., c., f., Rozporządzenia)

Zasady ujawniania danych osobowych

7. Ujawnienie danych nastąpić może wyłącznie na potrzeby realizacji konkretnej usługi lub imprezy turystycznej. Kategorie odbiorców, którym dane osobowe wymienione w punkcie 6 zostaną lub zostały ujawnione:
a. dane uczestników imprezy turystycznej (turystów): ujawniane są hotelom, w którym turyści nocują, platformom służącym do rezerwacji hoteli i środków transportu, liniom lotniczym i innym przewoźnikom, pilotom lub przewodnikom wycieczek turystycznych, w których turyści uczestniczą, firmie ubezpieczeniowej w przypadku ubezpieczenia podróży przy pośrednictwie SPARKa oraz urzędom i instytucjom państwowym na potrzeby wystawienia wiz i podobnych dokumentów pobytowych.
b. dane pilotów i przewodników turystycznych: ujawniane są hotelom, pilotom wycieczek, przewodnikom, biurom podroży, pracownikom muzeów i innych atrakcji turystycznych, kierowcom autobusów i turystom.
c. dane kierowców autobusów – ujawniane są pilotom lub przewodnikom wycieczek turystycznych.
d. dane właścicieli lub pracowników biur podróży, urzędów, firm transportowych, muzeów, atrakcji turystycznych, kooperantów zaangażowanych w proces tworzenia wycieczki itp. – ujawniane są pilotom, przewodnikom wycieczek turystycznych i turystom oraz zewnętrznej firmie, prowadzącej księgowość SPARK sp. z o.o. (o ile są widoczne na fakturze lub rachunku).

Przetwarzanie szczególnych kategorii danych osobowych

8. Na potrzebę realizacji konkretnej imprezy turystycznej, w żywotnym interesie swoich klientów, SPARK przetwarza informacje dotyczące alergii pokarmowych, trudności z poruszaniem czy określonej diety. Ponieważ istnieje możliwość wywnioskowania z tych informacji wiedzy na temat wyznania, światopoglądu, zdrowia lub niepełnosprawności uczestników imprezy turystycznej, informacje te gromadzone są w sposób zanonimizowany, uniemożliwiający identyfikację osoby, której dotyczą: na przykład w formie „liczba bezglutenowych posiłków na grupę”, „liczba pokoi hotelowych dla niepełnosprawnych na grupę” itp. Informacje te są usuwane z baz danych SPARKa w terminie do 30 dni od zakończenia imprezy/usługi turystycznej (albo do chwili wygaśnięcia roszczeń, o których mowa w art. 17 pkt. 3 lit e. Rozporządzenia)
8.1 Przetwarzanie danych określonych w pkt. 6.a., i 8. następuje na podstawie zgody. Zgoda pozyskiwana jest w sposób następujący:
a. za pomocą oświadczenia, przedstawionego przez SPARK, wyrażonego przez osobę w formie pisemnej (również elektronicznej) – gdy SPARK jest administratorem danych,
b. uzyskanego w zgodzie z Rozporządzeniem przez administratora danych – gdy SPARK jest podmiotem przetwarzającym,
8.2 W przypadku przetwarzania danych wymienionych w pkt. 8, lit. b., SPARK przedstawia administratorowi swoją politykę ochrony danych osobowych do akceptacji (wyrażonej w formie pisemnej – w tym elektronicznej). Administrator zobowiązuje się przetwarzać przekazane SPARKowi dane zgodnie z Rozporządzeniem.
8.3 Wzór oświadczenia o którym mowa pkt. 8.1. lit. a. oraz pkt. 6 lit a. i c. znajduje się w załączniku niniejszego dokumentu.

Prawa osób, których dane przetwarza SPARK

9. Osoba, której dane są przetwarzane przez SPARK, w odniesieniu do jej danych osobowych, ma prawo do:
a. dostępu do tych danych,
b. sprostowania tych danych,
c. usunięcia tych danych,
d. żądania ograniczenia przetwarzania tych danych,
e. wniesienia sprzeciwu wobec przetwarzania tych danych,
f. przenoszenia tych danych,
g. cofnięcia zgody na przetwarzanie tych danych w dowolnym momencie,
h. wniesienia skargi do organu nadzorczego.

9.1 Prawa, o których mowa w pkt.9 powyżej mogą być wykonywane przy spełnieniu warunków wykonywania tych praw określonych w odpowiednich przepisach Rozporządzenia.

10. W przypadku przetwarzania danych osobowych na podstawie zgody, o której mowa w pkt. 8.1 SPARK podaje osobom, których dotyczą te dane informacje wskazane w Artykule 13 ust. 1 i 2 Rozporządzenia, tylko w sytuacji, gdy osoby te nie dysponują już wskazanymi w tych przepisach informacjami.

Przepisy wprowadzające

11. Niniejsza Polityka Przetwarzania Danych Osobowych jest przechowywana w biurze SPARK sp. z o.o., przy alei Solidarności 78/101 w Warszawie.

12. Niniejsza Polityka Przetwarzania Danych Osobowych wchodzi w życie z dniem 25 maja 2018 r.

13, Niniejszy dokument jest sporządzony w jednobrzmiących wersjach polskiej i angielskiej, w razie wątpliwości interpretacyjnych wersja polska jest wiążąca. 

Zarząd spółki SPARK spółka z ograniczoną odpowiedzialnością:

………………………..

Agata Kabza-Papuga

Prezes Zarządu

Warszawa, 24.05.2018