Polityka Prywatności – AsiaTrip.pl

Data publikacji: 9 listopada 2025 r.

Niniejsza Polityka Prywatności określa zasady przetwarzania danych osobowych użytkowników serwisu AsiaTrip.pl (dalej jako „Serwis”) prowadzonego przez AsiaTrip.pl z siedzibą w Tajlandii. Dokument został przygotowany zgodnie z wymogami RODO (Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679) oraz tajskiej ustawy PDPA (Personal Data Protection Act z 2019 r.), a także uwzględnia polską Ustawę o ochronie danych osobowych z 2018 r. (Dz.U. 2018 poz. 1000)[1]. Polityka uwzględnia dwujęzyczność strony – Serwis dostępny jest w języku polskim i angielskim – jednak dla przejrzystości dokument przedstawiono w języku polskim (w razie rozbieżności między wersjami językowymi, obowiązuje wersja polska). Dowiesz się tu, jakie dane osobowe zbieramy, w jakim celu je wykorzystujemy, na jakiej podstawie prawnej to się odbywa oraz jakie przysługują Ci prawa. Prosimy o uważne przeczytanie poniższych postanowień.

Definicje

Administrator – administratorem danych osobowych jest AsiaTrip.pl – firma z siedzibą w Królestwie Tajlandii: 38/1-3 39 หมู่ที่ 6 Bang Na-Trat Frontage Rd, Bang Kaeo, Bang Phli District, Samut Prakan 10540, Tajlandia. AsiaTrip.pl świadczy usługi organizacji wycieczek w Tajlandii dla turystów z Polski. W niniejszym dokumencie określana także jako „AsiaTrip”, „my” lub „Administrator”. Administrator odpowiada za zgodne z prawem przetwarzanie Twoich danych osobowych.

Serwis – strona internetowa dostępna pod adresem AsiaTrip.pl, za pośrednictwem której użytkownicy mogą zapoznać się z ofertą wycieczek, skontaktować z organizatorem oraz dokonać rezerwacji usług turystycznych. Serwis jest dwujęzyczny (polski/angielski); wszelkie informacje o prywatności obowiązują niezależnie od wersji językowej.

Użytkownik – każda osoba odwiedzająca Serwis lub korzystająca z usług AsiaTrip, której dane osobowe mogą być przetwarzane. W szczególności są to klienci (turyści) zamierzający skorzystać lub korzystający z organizowanych wycieczek, a także osoby kontaktujące się z nami w sprawie oferty.

Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (osoby, której dane dotyczą). Osobą możliwą do zidentyfikowania jest osoba, którą można bezpośrednio lub pośrednio zidentyfikować, np. na podstawie imienia i nazwiska, numeru identyfikacyjnego, danych o lokalizacji, identyfikatora internetowego lub jednego bądź kilku czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość. Uwaga: Nie gromadzimy danych dotyczących osób zmarłych (zgodnie z PDPA dane osób zmarłych nie są traktowane jako dane osobowe). W Polityce prywatności pojęcia „dane osobowe” i „informacje osobowe” używane są zamiennie.

Przetwarzanie – operacja lub zestaw operacji wykonywanych na danych osobowych (w sposób zautomatyzowany lub niezautomatyzowany), taka jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptacja lub modyfikacja, odczytywanie, wykorzystywanie, ujawnianie przez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowanie lub łączenie, ograniczenie, usunięcie lub zniszczenie danych. Innymi słowy, każda czynność wykonywana na Twoich danych – od momentu ich pozyskania, poprzez użycie w określonym celu, aż po ich usunięcie – stanowi przetwarzanie.

RODO – Ogólne Rozporządzenie o Ochronie Danych Osobowych, tj. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, uchylające dyrektywę 95/46/WE. Rozporządzenie to obowiązuje we wszystkich krajach Unii Europejskiej od 25 maja 2018 r. i określa jednolite zasady ochrony danych osobowych. W Polsce bywa określane skrótowo jako „RODO”. W niniejszej Polityce odniesienia do artykułów (art.) dotyczą artykułów RODO, o ile nie zaznaczono inaczej.

Ustawa o ochronie danych osobowych – polska ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000). Ustawa ta służy stosowaniu przepisów RODO w polskim porządku prawnym i określa m.in. organ nadzorczy (Prezes Urzędu Ochrony Danych Osobowych) oraz kwestie proceduralne. W zakresie praw i obowiązków względem osób fizycznych ustawa ta uzupełnia przepisy RODO (np. w sprawach krajowych regulacji szczegółowych), jednak zasadnicze prawa użytkownika wynikają bezpośrednio z RODO.

PDPA – Personal Data Protection Act, B.E. 2562 (2019) – tajska ustawa o ochronie danych osobowych z 2019 r. (obowiązująca od 1 czerwca 2022 r.), regulująca zasady przetwarzania danych osobowych przez podmioty prowadzące działalność w Tajlandii lub kierujące ofertę do osób w Tajlandii. Ustawa PDPA zawiera podobne zasady ochrony danych jak RODO, w tym m.in. wymóg podstaw prawnych dla przetwarzania, prawa osób, których dane dotyczą, obowiązki administratorów i podmiotów przetwarzających, wymogi bezpieczeństwa oraz regulacje dotyczące transferu danych za granicę. W Polityce prywatności odniesienia do „PDPA” oznaczają tę ustawę. Uwaga: AsiaTrip.pl jako podmiot mający siedzibę w Tajlandii podlega przepisom PDPA – przestrzegamy więc zarówno RODO (ze względu na obsługę klientów z UE), jak i PDPA (ze względu na lokalizację firmy).

Partnerzy – podmioty trzecie, którym przekazujemy dane osobowe Użytkowników w związku ze świadczeniem usług turystycznych. Partnerami są wyłącznie podmioty zaangażowane w realizację wycieczki lub świadczeń z nią związanych, m.in.: hotele i obiekty noclegowe w Tajlandii, przewodnicy turystyczni, lokalne biura turystyczne i agenci współpracujący przy organizacji zwiedzania, przewoźnicy (np. firmy transportowe zapewniające transfery, ewentualnie linie lotnicze obsługujące loty krajowe w Tajlandii), a także ubezpieczyciele (jeśli w ramach oferty zapewniamy ubezpieczenie podróży). W pewnych przypadkach do grona partnerów zaliczają się także dostawcy usług płatniczych (gdy Użytkownik dokonuje płatności online, np. operator kart płatniczych lub systemu płatności) oraz dostawcy usług IT (np. firma hostingowa utrzymująca serwer naszej strony, dostawca systemu rezerwacji, czy usług e-mail). Wszyscy Partnerzy otrzymują dane tylko w niezbędnym zakresie i są zobowiązani do wykorzystania ich wyłącznie w celu realizacji swoich usług na rzecz Użytkownika.

Odbiorcy danych – osoby lub instytucje, którym ujawniane są dane osobowe (inne niż sam Użytkownik czy nasz personel). W kontekście naszych usług odbiorcami są przede wszystkim wymienieni wyżej Partnerzy, a także ewentualnie organy publiczne uprawnione z mocy prawa do uzyskania danych (np. organy celne, imigracyjne, służby graniczne lub inne władze, jeżeli obowiązujące przepisy wymagają udostępnienia im danych turystów – np. hotele w Tajlandii przekazują dane gości do systemów meldunkowych zgodnie z miejscowym prawem).

Pliki cookies (ciasteczka) – niewielkie pliki tekstowe zapisywane na urządzeniu Użytkownika (komputerze, smartfonie itp.) podczas korzystania z Serwisu. Cookies zawierają zazwyczaj nazwę domeny Serwisu, unikalny identyfikator oraz informacje o czasie ich przechowywania. Służą one m.in. do rozpoznawania urządzenia Użytkownika przy ponownych odwiedzinach, utrzymania sesji (np. po zalogowaniu), a także do celów statystycznych i marketingowych. Szczegółowe informacje o wykorzystywanych przez nas cookies i podobnych technologiach znajdują się w sekcji Pliki cookies i narzędzia analityczne niniejszej Polityki.

Google Analytics – internetowe narzędzie analityczne dostarczane przez Google (Google Ireland Ltd. dla użytkowników z Europy lub Google LLC z USA), które wykorzystuje pliki cookies do gromadzenia anonimowych informacji o ruchu na stronie (np. liczba odwiedzających, źródła ruchu, zachowanie użytkowników w Serwisie). Dane zbierane przez Google Analytics mogą obejmować m.in. adres IP urządzenia Użytkownika, identyfikatory cookies, informacje o przeglądarce i aktywności na stronie. Korzystamy z Google Analytics w celu analizy sposobu korzystania z Serwisu i poprawy jakości usług, przy czym stosujemy mechanizmy anonimizacji IP (skrócenie adresu IP) w celu ochrony prywatności (Google Analytics w najnowszej wersji GA4 domyślnie nie zapisuje pełnych adresów IP użytkowników). Dane z Google Analytics mogą być przetwarzane poza EOG (np. na serwerach w USA), jednak są zabezpieczone poprzez standardowe klauzule umowne i inne mechanizmy wymagane przez RODO – więcej informacji znajduje się poniżej w sekcji Transfery międzynarodowe.

Meta Pixel (Facebook Pixel) – narzędzie analityczno-marketingowe dostarczane przez Meta Platforms Ireland Ltd. (właściciela portalu Facebook, daw. Facebook Inc.), które również wykorzystuje pliki cookies lub podobne technologie w naszym Serwisie. Meta Pixel pozwala śledzić aktywność Użytkowników na stronie (np. odwiedzenie konkretnych podstron, wysłanie formularza) w celu analizowania skuteczności naszych reklam na Facebooku/Instagramie oraz tworzenia tzw. grup odbiorców (co umożliwia kierowanie spersonalizowanych reklam do osób, które odwiedziły nasz Serwis). Informacje zbierane przez Meta Pixel mogą być łączone z danymi posiadanymi przez Meta (np. jeżeli Użytkownik jest zalogowany na Facebooku, Pixel może powiązać wizytę w Serwisie z jego profilem w celu lepszego dopasowania treści reklam). Dane zebrane przez Meta Pixel mogą być przekazywane na serwery Meta poza EOG (np. w USA), jednak Meta zapewnia, że transfer ten odbywa się zgodnie z prawem (np. na podstawie standardowych klauzul umownych). Więcej na temat plików cookies i możliwości rezygnacji z działania tych narzędzi – w sekcji Pliki cookies.

Organ nadzorczy – w kontekście RODO oznacza to niezależny organ publiczny powołany w celu nadzorowania stosowania przepisów o ochronie danych. W Polsce funkcję tę pełni Prezes Urzędu Ochrony Danych Osobowych (PUODO) z siedzibą przy ul. Stawki 2, 00-193 Warszawa. Natomiast w Tajlandii nadzór nad ochroną danych sprawuje Komitet Ochrony Danych Osobowych (Personal Data Protection Committee, PDPC) wspierany przez Biuro Komitetu Ochrony Danych Osobowych (Office of PDPC) działające przy Ministerstwie Gospodarki Cyfrowej i Społeczeństwa. Użytkownikom przysługują prawa skargowe do organów nadzorczych – szczegóły w sekcji Prawa użytkownika.

Pozostałe niezdefiniowane wprost terminy używane w Polityce (np. „podmiot przetwarzający”, „odbiorca”, „zgoda”, „naruszenie ochrony danych” itp.) należy rozumieć zgodnie z definicjami zawartymi w RODO, ewentualnie PDPA. Pojęcia w języku angielskim (jak cookie, browser, plugin, nazwy własne narzędzi Google/Meta itp.) użyte zostały dla wygody Użytkownika – odpowiadają im analogiczne znaczenia w języku polskim.

Cele przetwarzania danych osobowych

Przetwarzamy Twoje dane osobowe wyłącznie w konkretnych, prawnie dozwolonych celach i nie wykorzystujemy ich w sposób niezgodny z tymi celami. Poniżej przedstawiamy cele, dla jakich zbieramy i używamy dane Użytkowników Serwisu:

• Zawarcie i realizacja umowy o organizację wycieczki (świadczenie usług turystycznych) – Jest to nasz główny cel przetwarzania danych. Potrzebujemy Twoich danych osobowych, aby móc przygotować ofertę wycieczki, zawrzeć z Tobą umowę o świadczenie usług turystycznych oraz faktycznie zorganizować Twój wyjazd. Obejmuje to w szczególności: przyjmowanie rezerwacji, komunikację w sprawie planu podróży, dostosowanie oferty do Twoich potrzeb (np. dat, liczby uczestników), a następnie dokonanie wszelkich niezbędnych rezerwacji i uzgodnień w Twoim imieniu (np. rezerwacja noclegów w hotelach, zamówienie lokalnego przewodnika czy transportu). Przykładowo, zgodnie z przepisami, umowa o świadczenie usług turystycznych musi zawierać pewne Twoje dane (jak imię, nazwisko uczestnika) – ich podanie jest wymogiem ustawowym i warunkiem uczestnictwa w wycieczce. Ponadto bez informacji kontaktowych (np. numeru telefonu, adresu e-mail) nie bylibyśmy w stanie utrzymać z Tobą komunikacji niezbędnej do organizacji podróży (przesłania potwierdzeń, informacji o godzinach zbiórki, zmianach planu itp.). W ramach tego celu przetwarzamy typowe dane identyfikacyjne i kontaktowe uczestników wycieczki (imię, nazwisko, adres e-mail, numer telefonu), a także dane wymagane do rezerwacji poszczególnych świadczeń turystycznych. Mogą to być np. daty urodzenia lub numery paszportów uczestników (niektóre hotele lub przewoźnicy mogą wymagać tych informacji do realizacji rezerwacji lub spełnienia wymogów formalnych). Podkreślamy, że gromadzimy tylko te dane, które są absolutnie niezbędne do organizacji imprezy turystycznej – minimalizujemy zakres danych zgodnie z zasadą adekwatności. Bez podania wymaganych danych nie będziemy mogli zawrzeć umowy ani należycie wykonać usługi, co oznacza, że niestety nie zorganizujemy wycieczki.
• Wykonanie obowiązków prawnych ciążących na Administratorze – Przetwarzamy dane także wtedy, gdy jest to niezbędne do wypełnienia obowiązków wynikających z powszechnie obowiązującego prawa. Dotyczy to w szczególności obowiązków księgowych i podatkowych. Jako przedsiębiorca mamy prawny obowiązek prowadzić księgi rachunkowe i przechowywać dokumentację dotyczącą zawartych umów oraz transakcji finansowych (np. faktury, dowody płatności) przez określony czas. Takie dokumenty mogą zawierać dane osobowe klientów (np. imię i nazwisko na fakturze, adres zamieszkania lub np. adres e-mail na fakturze elektronicznej). Przepisy podatkowe i o rachunkowości mogą wymagać od nas przetwarzania i przechowywania tych danych przez ustawowo określony okres (np. w Polsce co do zasady 5 lat podatkowych od zakończenia roku, w którym nastąpiła transakcja, w Tajlandii według tamtejszych przepisów podatkowych analogicznie). Ponadto mogą istnieć inne obowiązki prawne, np. obowiązki dotyczące bezpieczeństwa i zdrowia turystów – w wyjątkowych sytuacjach możemy być zobowiązani do przekazania informacji o turystach odpowiednim służbom (np. gdy wymaga tego prawo miejscowe w sytuacji zagrożenia lub w kontekście kontroli granicznej/celnej). Innym przykładem obowiązku prawnego może być konieczność udzielenia odpowiedzi organom publicznym (np. na żądanie sądu lub policji) – w granicach prawa będziemy wtedy przetwarzać i udostępniać wymagane informacje. W tych wszystkich przypadkach przetwarzamy dane wyłącznie w zakresie niezbędnym do spełnienia konkretnego obowiązku.
• Ustalenie, dochodzenie lub obrona roszczeń – Może się zdarzyć, że w związku z zawartą umową i realizacją wycieczki powstaną roszczenia po Twojej stronie lub po naszej (np. spory co do jakości świadczenia, konieczność zwrotu środków, odszkodowania itp.). W takich sytuacjach mamy prawo przetwarzać Twoje dane osobowe w celu ustalenia faktów i okoliczności (na podstawie posiadanych danych, np. korespondencji e-mail, dokumentów związanych z wycieczką), a także w celu ewentualnego dochodzenia naszych roszczeń lub obrony przed roszczeniami z Twojej strony. Przykładowo, możemy zachować kopię korespondencji z Tobą lub informacje o przebiegu wyjazdu przez czas niezbędny do upływu terminów przedawnienia roszczeń, aby móc wykazać prawidłowe wykonanie umowy lub wywiązać się z ewentualnych zobowiązań gwarancyjnych. Ten cel obejmuje również wewnętrzne cele archiwalne (dowodowe), jak przechowywanie pewnych danych w razie potrzeby wykazania określonych faktów w przyszłości.
• Zapewnienie komunikacji i obsługi zapytań – Jeżeli kontaktujesz się z nami za pośrednictwem formularza kontaktowego na stronie, drogą e-mailową lub telefonicznie z prośbą o informacje o ofercie, wycenę wycieczki lub inną pomoc, wykorzystujemy Twoje dane, aby udzielić odpowiedzi. Będzie to obejmowało przetwarzanie takich danych jak Twój adres e-mail, numer telefonu, imię (jeśli je podasz) oraz treść zapytania. Dane te są wykorzystywane wyłącznie do skontaktowania się z Tobą i udzielenia Ci potrzebnych informacji, przygotowania oferty lub wykonania czynności na Twoje żądanie przed zawarciem umowy (np. przygotowania wstępnego planu podróży). Zapytania ofertowe mogą zawierać dane innych potencjalnych uczestników (np. gdy pytasz o wycieczkę dla grupy, rodziny) – zakładamy, że przekazujesz nam dane tych osób za ich zgodą lub w ramach upoważnienia do działania w ich imieniu (np. jako organizator grupy). Dane z korespondencji przechowujemy przez czas potrzebny do obsługi Twojego zapytania oraz pewien czas potem (na wypadek, gdybyś zdecydował się jednak skorzystać z oferty lub gdyby doszło do sporu co do treści ustaleń).
• Funkcjonowanie i bezpieczeństwo Serwisu – Podczas Twojej wizyty na naszej stronie internetowej przetwarzamy również pewne dane techniczne, które są niezbędne do zapewnienia prawidłowego działania Serwisu oraz bezpieczeństwa IT. Są to informacje, które Twój przeglądarka internetowa automatycznie przesyła do naszego serwera (tzw. logi serwera), takie jak: adres IP urządzenia, z którego korzystasz, data i czas wizyty, używany system operacyjny i przeglądarka, przeglądane podstrony i odnośniki, ewentualne błędy w działaniu. Dane te są zapisywane w logach systemowych i wykorzystywane w celach administracyjnych – np. do monitorowania wydajności strony, wykrywania ewentualnych problemów technicznych, zapobiegania nieautoryzowanym działaniom (atakom hakerskim) oraz zapewnienia bezpieczeństwa naszych systemów informatycznych. Takie przetwarzanie odbywa się stale, automatycznie i jest niezbędnym warunkiem świadczenia usługi drogą elektroniczną. Informacje z logów nie są wykorzystywane do identyfikacji Użytkownika jako konkretnej osoby i nie zestawiamy ich z innymi danymi, jakie od Ciebie zebraliśmy w innym kontekście – służą wyłącznie celom technicznym i analitycznym związanym z utrzymaniem Serwisu. W razie wykrycia prób naruszenia bezpieczeństwa, dane logów mogą posłużyć do obrony przed takimi działaniami oraz współpracy z odpowiednimi służbami (to również element prawnie uzasadnionego interesu Administratora – zob. niżej podstawy prawne).
• Analiza ruchu na stronie i statystyki – W celach wewnętrznych, związanych z ulepszaniem naszych usług i dostosowaniem Serwisu do potrzeb użytkowników, korzystamy z narzędzi analitycznych (Google Analytics). Pozwala to zbierać ogólne statystyki dotyczące korzystania z Serwisu – np. ilu użytkowników odwiedza naszą stronę w danym okresie, jakie podstrony cieszą się największym zainteresowaniem, z jakich krajów/regionów pochodzą odwiedzający, ile czasu spędzają na stronie itp. Informacje te pomagają nam zrozumieć, które treści są dla Was wartościowe, a które wymagają ulepszenia. Analiza odbywa się na danych zanonimizowanych lub pseudoanonimizowanych – nie koncentrujemy się na danych konkretnych osób, lecz na zbiorczych zestawieniach. W ramach Google Analytics wykorzystywane są pliki cookie, które mogą zostać zapisane na Twoim urządzeniu po wyrażeniu przez Ciebie zgody (szczegóły dotyczące cookies w dalszej części). Narzędzie to może zbierać Twój adres IP, jednak – jak wspomniano w definicjach – stosujemy funkcję anonimizacji IP (w GA4 adresy IP nie są w ogóle zapisywane, a w starszej wersji Universal Analytics ostatni oktet adresu IPv4 jest zerowany), dzięki czemu nie przechowujemy pełnego adresu, a jedynie przybliżoną informację o regionie. Wyniki analiz (raporty statystyczne) nie zawierają danych, które pozwalałyby na Twoją identyfikację.
• Marketing usług własnych – UWAGA: obecnie nie prowadzimy agresywnych działań marketingowych, a Twoje dane nie są wykorzystywane do celów marketingu produktów lub usług osób trzecich. Możemy jednak chcieć poinformować Cię o naszych nowych ofertach wycieczek lub promocjach, zwłaszcza jeśli jesteś naszym klientem lub o to prosiłeś. Taki marketing bezpośredni własnych usług, kierowany do naszych klientów (np. poprzez e-mail z newsletterem lub kontakt telefoniczny z informacją o nowej atrakcyjnej ofercie), odbywa się w granicach dopuszczonych przez prawo. W przypadku komunikacji e-mailowej wymaga to zazwyczaj Twojej uprzedniej zgody (np. zapis na newsletter z potwierdzeniem subskrypcji). Jeśli wyrazisz taką zgodę, będziemy przetwarzać Twoje dane kontaktowe (adres e-mail) również w celu wysyłania Ci okazjonalnych informacji marketingowych. Jeżeli nie jesteś naszym klientem, materiały marketingowe prześlemy Ci tylko pod warunkiem uzyskania Twojej wyraźnej zgody. Zawsze masz prawo zrezygnować z otrzymywania takich informacji – w każdym momencie możesz cofnąć zgodę lub wyrazić sprzeciw wobec marketingu (szczegóły w części Prawa użytkownika). Nadto, na naszej stronie wykorzystujemy wspomniane narzędzie Meta Pixel, które pomaga nam docierać z reklamami do osób, które odwiedziły Serwis. Dzięki Pixelowi możemy np. wyświetlić Ci na Facebooku reklamę promującą naszą nową ofertę wycieczki, jeśli wcześniej oglądałeś_aś podobną ofertę na naszej stronie. Tego rodzaju komunikacja marketingowa w serwisach zewnętrznych (Facebook/Instagram) również odbywa się na podstawie naszego prawnie uzasadnionego interesu, ale zawsze zależy od Twojej zgody na cookies marketingowe w naszym Serwisie oraz ustawień prywatności w serwisach społecznościowych, z których korzystasz. Podkreślamy: nie przekazujemy Twoich danych kontaktowych ani osobowych zewnętrznym firmom w celu ich niezależnego marketingu – żadne dane nie są „sprzedawane” lub udostępniane partnerom marketingowym spoza kręgu naszych usług. Jeśli prowadzimy marketing, to wyłącznie własnych usług i w granicach dozwolonych przez przepisy.

Podsumowując, przetwarzamy dane wyłącznie w celach związanych z organizacją wycieczek i obsługą klientów oraz obowiązkami z tym związanymi. Nie wykorzystujemy danych w nowych, niezgodnych celach bez poinformowania Cię i uzyskania podstawy prawnej. Jeżeli kiedykolwiek zamierzamy przetwarzać Twoje dane w innym celu niż wskazany powyżej, przed rozpoczęciem takiego przetwarzania poinformujemy Cię o tym (np. aktualizując niniejszą Politykę lub kontaktując się bezpośrednio) i, jeśli to wymagane, uzyskamy Twoją zgodę.

Podstawy prawne przetwarzania

Zgodnie z art. 6 RODO, aby przetwarzanie danych osobowych było legalne, musi opierać się na jednej z określonych podstaw prawnych. Również ustawa PDPA w Tajlandii wymaga posiadania odpowiedniej podstawy prawnej (zgody lub wyjątku od wymogu zgody) dla każdego przypadku przetwarzania. Poniżej przedstawiamy, na jakich podstawach prawnych opieramy poszczególne cele przetwarzania:

• Niezbędność do wykonania umowy lub podjęcia działań przed jej zawarciem – Podstawą tą jest art. 6 ust. 1 lit. b RODO, który stanowi, że przetwarzanie jest legalne, gdy „jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie tej osoby przed zawarciem umowy”. W praktyce oznacza to, że możemy przetwarzać Twoje dane, aby zawrzeć i wykonać umowę organizacji wycieczki – bez tych danych nie moglibyśmy przecież zarezerwować Ci hotelu czy biletu ani świadczyć uzgodnionych usług. Ta podstawa prawna obejmuje zarówno etap przygotowania oferty i komunikacji przedumownej (na Twoje żądanie), jak i cały okres realizacji umowy. Przykładowo, gdy wypełniasz formularz rezerwacyjny lub przekazujesz nam dane uczestników wycieczki, robisz to właśnie po to, byśmy mogli podjąć niezbędne działania prowadzące do zawarcia lub realizacji umowy – przetwarzanie tych danych odbywa się legalnie dzięki art. 6 ust. 1 lit. b RODO. Również PDPA przewiduje analogiczną podstawę – zgodnie z sekcją 24 ust. 1 pkt (3) tajskiej ustawy PDPA przetwarzanie (zbieranie, użycie lub ujawnianie) danych jest dopuszczalne bez zgody osoby, której dane dotyczą, jeśli „jest to niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub w celu podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy”. Dlatego legalnie przetwarzamy Twoje dane w celu organizacji wycieczki na mocy przepisów zarówno RODO, jak i PDPA.
• Wypełnienie obowiązku prawnego – Gdy musimy przetwarzać dane z uwagi na konkretne przepisy prawa, podstawą prawną jest art. 6 ust. 1 lit. c RODO, czyli „przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze”. Ta podstawa dotyczy opisanych wcześniej sytuacji, gdy prawo wymaga od nas określonych działań, np. przechowywania dokumentacji księgowej zawierającej Twoje dane, wystawienia faktury imiennej, udostępnienia danych organom publicznym na mocy przepisów itp. W takich przypadkach przetwarzamy dane, bo jest to nasz obowiązek – odmowa mogłaby skutkować naruszeniem przepisów. Podstawę tę stosujemy zawsze w powiązaniu z konkretnym przepisem prawa, który nakłada dany obowiązek (np. ustawą podatkową, o rachunkowości, przepisami imigracyjnymi Tajlandii, itp.). Również PDPA przewiduje wyłączenie wymogu zgody w analogicznej sytuacji – zgodnie z sekcją 24 ust. 1 pkt (6) PDPA przetwarzanie jest dopuszczalne, gdy „jest to niezbędne do wypełnienia obowiązku wynikającego z prawa, któremu podlega administrator danych”. Zatem zarówno na gruncie RODO, jak i PDPA, nasze działania podejmowane w celu spełnienia wymogów prawa (np. przechowywanie dokumentów przez określony czas) są legalne i nie wymagają odrębnej zgody osoby, której dane dotyczą.
• Prawnie uzasadnione interesy Administratora – W niektórych przypadkach opieramy przetwarzanie na art. 6 ust. 1 lit. f RODO, który pozwala na przetwarzanie danych, gdy „jest ono niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią”, o ile nie przeważają nad nimi interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Ta podstawa prawna znajduje zastosowanie m.in. przy:

• zabezpieczeniu ewentualnych roszczeń (nasz uzasadniony interes to możliwość obrony przed roszczeniami lub dochodzenia swoich praw w razie sporu),
• zapewnieniu bezpieczeństwa sieci i informacji (naszym uzasadnionym interesem jest ochrona Serwisu i danych przed atakami oraz zapobieganie oszustwom),
• bieżącej obsłudze i komunikacji z klientami poza ścisłym zakresem wykonania umowy (np. odpowiadanie na zapytania ogólne – naszym interesem jest dobra obsługa klienta i budowanie pozytywnych relacji),
• marketingu bezpośrednim własnych usług (naszym uzasadnionym interesem jest informowanie klientów o naszych ofertach; szanujemy jednak, jeśli ktoś nie życzy sobie marketingu – wówczas może wnieść sprzeciw, o czym poniżej).

W każdym z tych przypadków dokonaliśmy analizy tzw. balansowania interesów, aby upewnić się, że nasz uzasadniony interes nie narusza praw i wolności Użytkowników. Przykładowo, przechowujemy dane po zakończeniu wycieczki przez okres odpowiadający przedawnieniu roszczeń, co jest naszym interesem, ale nie powinno nadmiernie ingerować w Twoją prywatność – dane te nie są już wykorzystywane w celach marketingowych, a jedynie przechowywane w archiwum (i zostaną usunięte po upływie okresu przedawnienia). Podobnie, prowadzenie marketingu bezpośredniego wobec naszych klientów jest uznawane przez RODO za działanie, które w zasadzie można oprzeć na interesie administratora (motyw 47 RODO wskazuje, że jest to prawnie uzasadniony interes). Zawsze jednak masz prawo sprzeciwić się przetwarzaniu na podstawie lit. f (np. zażądać zaprzestania działań marketingowych) – wtedy uszanujemy Twoją decyzję. PDPA również dopuszcza przetwarzanie bez zgody w sytuacji odpowiadającej klauzuli interesu prawnie uzasadnionego: sekcja 24 ust. 1 pkt (5) PDPA pozwala przetwarzać dane, gdy „jest to niezbędne ze względu na prawnie uzasadnione interesy administratora danych lub innej osoby”, chyba że takie interesy są podporządkowane podstawowym prawom podmiotu danych. Ten przepis PDPA niemal odpowiada art. 6 ust. 1 lit. f RODO, co oznacza, że czynności podejmowane przez nas z powołaniem na uzasadniony interes są również legalne w świetle prawa tajskiego.

• Zgoda osoby, której dane dotyczą – Co do zasady staramy się opierać przetwarzanie na powyższych podstawach (umowa, obowiązek, interes), ale w pewnych sytuacjach prosimy Cię o dobrowolną zgodę i na niej opieramy dalsze przetwarzanie. Dzieje się tak zwłaszcza w kontekście plików cookies i narzędzi analityczno-marketingowych, które nie są niezbędne do działania strony. Przy pierwszej wizycie w Serwisie wyświetlamy Ci komunikat (banner cookie) z prośbą o wyrażenie zgody na użycie cookies analitycznych i marketingowych. Jeśli wyrazisz taką zgodę (art. 6 ust. 1 lit. a RODO), będziemy mogli umieścić na Twoim urządzeniu pliki cookies Google Analytics i Meta Pixel oraz odczytywać informacje w nich zawarte, co skutkuje zbieraniem danych o Twojej aktywności w Serwisie dla celów statystycznych i marketingowych. Bez Twojej zgody te pliki nie będą aktywne – szanujemy Twoją decyzję. Udzielenie zgody jest całkowicie dobrowolne; brak zgody nie wpływa na możliwość korzystania z Serwisu (możesz swobodnie czytać informacje, jednak nie będziemy mieć danych analitycznych z Twojej wizyty ani nie zobaczysz naszych spersonalizowanych reklam). W każdej chwili masz prawo wycofać udzieloną zgodę – więcej o tym w sekcji o prawach. Warto dodać, że także przepisy PDPA stawiają zgodę na pierwszym miejscu: co do zasady administrator nie może zbierać, używać ani ujawniać danych osobowych bez zgody osoby, której dane dotyczą, chyba że zachodzi wyjątek określony w ustawie. Mamy jednak omówione wyżej wyjątki (np. konieczność wykonania umowy, obowiązek prawny, interes prawny), które zastosowanie zgody czynią zbędnym. Jeśli jednak żaden wyjątek nie ma miejsca, prosimy o zgodę i dopiero wówczas przetwarzamy dane – przykładem może być sytuacja, gdy chciałbyś, abyśmy zachowali Twoje dane kontaktowe w naszej bazie w celu przyszłych ofert (marketing) pomimo że nie doszło do zawarcia umowy. Wówczas wyraźna zgoda z Twojej strony stanowi podstawę takiego przetwarzania. Podobnie, jeśli kiedykolwiek potrzebowalibyśmy przetwarzać szczególne kategorie danych (np. informacje o stanie zdrowia, wyznaniu – np. w celu dostosowania programu wycieczki), poprosimy Cię o wyraźną zgodę na takie przetwarzanie, chyba że będzie istniała inna podstawa prawna (np. ochrona żywotnych interesów, gdy chodzi o zagrożenie życia/zdrowia). Na marginesie: standardowo nie zbieramy danych wrażliwych (szczególnych kategorii) – nie wymagamy od Ciebie podawania informacji o zdrowiu, pochodzeniu rasowym lub etnicznym, poglądach politycznych, przekonaniach religijnych, przynależności do związków zawodowych, orientacji seksualnej itp. Prosimy, abyś nie przekazywał nam takich informacji, chyba że jest to absolutnie konieczne (np. alergie pokarmowe, wymagające szczególnego traktowania podczas wyjazdu – wówczas sam zdecydujesz, czy chcesz nas o tym poinformować). W przypadku, gdy z własnej inicjatywy przekażesz nam tego typu informacje, przyjmujemy, że czyni to za Twoją wyraźną zgodą (którą w każdej chwili możesz wycofać). Zgodnie z art. 9 RODO przetwarzanie szczególnych kategorii danych wymaga spełnienia dodatkowych warunków – u nas takie sytuacje praktycznie nie występują, a jeśliby wystąpiły, zadbamy o pełną zgodność z prawem (np. uzyskując pisemną zgodę lub działając w ważnym interesie publicznym zdrowotnym). Podobnie PDPA w sekcji 26 zakazuje przetwarzania wrażliwych danych (dot. m.in. zdrowia, poglądów, pochodzenia) bez zgody, z wyjątkami – informujemy zatem, że nie przetwarzamy danych szczególnych kategorii w rozumieniu tych przepisów, a wszelkie dane osobowe dotyczą wyłącznie zwykłych informacji identyfikacyjnych i kontaktowych niezbędnych do organizacji podróży.

Czy musisz podawać nam swoje dane? Podanie danych osobowych jest dobrowolne, jednak w wielu przypadkach konieczne do skorzystania z naszych usług. Jeżeli nie przekażesz nam informacji wymaganych do rezerwacji wycieczki (np. imienia, nazwiska, danych kontaktowych, a w dalszym etapie – danych potrzebnych do poszczególnych rezerwacji), nie będziemy mogli zawrzeć z Tobą umowy ani zrealizować usługi. Podobnie, nieudzielenie wymaganych prawem danych (np. do wystawienia faktury) może uniemożliwić spełnienie naszych obowiązków. Zawsze staramy się zaznaczać, które dane są niezbędne (np. w formularzach oznaczamy pola obligatoryjne). Dane zbierane opcjonalnie (np. dodatkowe informacje o preferencjach podróży) służą poprawie jakości usługi, ale nie są warunkiem jej świadczenia. W zakresie cookies, jak wspomniano, możesz odmówić zgody – korzystanie z Serwisu w trybie podstawowym będzie nadal możliwe. Jednak pewne funkcje mogą wtedy nie działać w pełni (np. mapy Google, jeśli używamy, mogą wymagać zgody na cookies zewnętrzne; analogicznie player wideo itp.). O wszelkich takich zależnościach informujemy Cię na bieżąco przy korzystaniu z poszczególnych funkcjonalności.

Prawa użytkownika (osoby, której dane dotyczą)

Zarówno przepisy RODO (dla Użytkowników z UE), jak i PDPA (dla wszystkich osób, których dane przetwarza administrator w Tajlandii) przyznają szereg praw związanych z ochroną danych osobowych. U nas szanujemy te prawa i zapewniamy możliwość ich realizacji. Poniżej przedstawiamy przysługujące Ci prawa oraz informację, jak możesz z nich skorzystać:

• Prawo dostępu do danych – Masz prawo uzyskać od nas potwierdzenie, czy przetwarzamy Twoje dane osobowe, a jeżeli ma to miejsce – uzyskać do nich dostęp oraz otrzymać informacje m.in. o celach przetwarzania, kategoriach danych, odbiorcach, okresie przechowywania, źródłach danych (gdy nie pochodzą od Ciebie), a także o przysługujących Ci prawach. Możesz również zażądać od nas kopii swoich danych osobowych podlegających przetwarzaniu (pierwsza kopia jest bezpłatna, za kolejne możemy pobrać opłatę administracyjną). Prawo dostępu wynika z art. 15 RODO. Również tajska PDPA gwarantuje takie uprawnienie – zgodnie z sekcją 30 PDPA masz prawo zażądać dostępu i uzyskania kopii swoich danych osobowych będących pod naszą odpowiedzialnością. W przypadku odmowy (co może nastąpić tylko w wyjątkowych sytuacjach, np. gdyby udostępnienie danych negatywnie wpływało na prawa i wolności innych osób lub istniał inny przepis zabraniający ujawnienia), poinformujemy Cię o przyczynie odmowy oraz o Twoim prawie do złożenia skargi.
• Prawo do sprostowania danych – Masz prawo zażądać od nas niezwłocznego sprostowania dotyczących Ciebie danych osobowych, które są nieprawidłowe, oraz uzupełnienia niekompletnych danych (z uwzględnieniem celów przetwarzania). Innymi słowy, jeśli zauważysz, że np. przekręciliśmy Twoje nazwisko, zmienił się Twój adres kontaktowy, albo podałeś nam niepełne informacje, masz prawo żądać, byśmy to poprawili. Prawo to jest przewidziane w art. 16 RODO. Zgodnie z PDPA (sekcja 35) ciąży na nas obowiązek zapewnienia, by dane były prawidłowe, aktualne, kompletne i nie wprowadzające w błąd, a jeśli okażą się nieaktualne lub błędne – mamy je poprawić na Twoje żądanie.
• Prawo do usunięcia danych („prawo do bycia zapomnianym”) – W pewnych sytuacjach masz prawo żądać, abyśmy usunęli Twoje dane osobowe. Dotyczy to m.in. następujących przypadków: (a) dane nie są już niezbędne do celów, w których zostały zebrane (i nie ma innej podstawy prawnej ich dalszego przechowywania); (b) cofnąłeś zgodę, na której opierało się przetwarzanie i nie mamy innej podstawy prawnej; (c) wniosłeś sprzeciw (w sytuacji, gdy przetwarzaliśmy dane na podstawie naszego uzasadnionego interesu lub do celów marketingowych) i nie istnieją nadrzędne prawnie uzasadnione podstawy do kontynuowania przetwarzania; (d) dane były przetwarzane niezgodnie z prawem; (e) dane muszą zostać usunięte w celu wywiązania się z obowiązku prawnego. Prawo do żądania usunięcia danych wynika z art. 17 RODO. Pamiętaj jednak, że nie jest to prawo absolutne – RODO przewiduje wyjątki, w których możemy odmówić usunięcia, np. gdy przetwarzanie jest niezbędne do korzystania z prawa do wolności wypowiedzi i informacji, do wywiązania się z obowiązku prawnego czy do ustalenia, dochodzenia lub obrony roszczeń (patrz art. 17 ust. 3 RODO). Podobnie PDPA w sekcji 33 przyznaje osobie, której dane dotyczą, prawo do żądania usunięcia lub zniszczenia danych (albo ich anonimizacji, tak by nie dało się zidentyfikować osoby) m.in. gdy dane „nie są już potrzebne w związku z celami, dla których były zbierane” albo dane były przetwarzane niezgodnie z prawem. Jeśli więc nie będziemy mieli podstaw prawnych lub obowiązku by dalej Twoje dane przechowywać – usuniemy je na Twoje żądanie. W razie gdybyśmy wyjątkowo odmówili (np. ze względu na wspomniany obowiązek prawny przechowania faktur przez określony czas lub potrzebę zachowania danych dla obrony przed roszczeniem), wyjaśnimy Ci przyczynę odmowy.
• Prawo do ograniczenia przetwarzania – Masz prawo zażądać, abyśmy – w określonych sytuacjach – czasowo ograniczyli przetwarzanie Twoich danych wyłącznie do ich przechowywania. Możesz z tego prawa skorzystać, gdy: (a) kwestionujesz prawidłowość danych – na okres pozwalający nam sprawdzić ich prawidłowość; (b) przetwarzanie jest niezgodne z prawem, ale sprzeciwiasz się usunięciu danych i zamiast tego żądasz ograniczenia (czyli zablokowania) ich wykorzystania; (c) nie potrzebujemy już danych do naszych celów, ale są Ci one potrzebne do ustalenia, dochodzenia lub obrony roszczeń; (d) wniosłeś sprzeciw – do czasu stwierdzenia, czy nasze prawnie uzasadnione podstawy są nadrzędne wobec Twojego sprzeciwu. Gdy przetwarzanie zostanie ograniczone, możemy co do zasady tylko przechowywać dane, a wszelkie inne operacje wymagają Twojej zgody (wyjąwszy pewne szczególne sytuacje, jak ustalenie roszczeń, ochrona praw innej osoby lub ważny interes publiczny). Prawo to przysługuje na podstawie art. 18 RODO. Również PDPA w sekcji 34 daje Ci prawo żądać ograniczenia użycia danych, gdy dane są w trakcie sprawdzania dokładności lub kompletności, gdy ich przetwarzanie jest niezgodne z prawem (ale nie chcesz ich usunięcia) lub gdy Twój wniosek o sprzeciw/ usunięcie jest w trakcie rozpatrywania. W praktyce prawo to możesz wykorzystać np. wtedy, gdy zauważysz, że przechowujemy jakieś Twoje dane, które – Twoim zdaniem – powinniśmy usunąć, ale z jakiegoś powodu nie możemy jeszcze tego zrobić. Możesz wtedy zażądać, byśmy „zamrozili” ich użycie do czasu wyjaśnienia sytuacji. Ograniczenie przetwarzania sygnalizujemy w naszych systemach tak, by było jasne, że danych nie wolno wykorzystywać w typowy sposób.
• Prawo do przenoszenia danych – Masz prawo otrzymać od nas (w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego) dane osobowe, które nam dostarczyłeś, oraz masz prawo zlecić nam przesłanie tych danych bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe. Prawo to dotyczy jednak tylko tych danych, które przetwarzamy na podstawie Twojej zgody (art. 6 ust. 1 lit. a) lub na podstawie umowy (art. 6 ust. 1 lit. b) oraz w sposób zautomatyzowany. Innymi słowy, obejmuje np. dane podane w formularzu rejestracji wycieczki przetwarzane w naszych systemach informatycznych – możemy je wyeksportować i przekazać Tobie lub wskazanemu podmiotowi w pliku CSV/Excel lub innym uzgodnionym formacie. Nie dotyczy natomiast np. naszych odręcznych notatek czy danych przetwarzanych wyłącznie w formie papierowej. Prawo do przenoszenia wynika z art. 20 RODO. PDPA przewiduje bardzo zbliżone uprawnienie w sekcji 31 – masz prawo otrzymać kopię dostarczonych danych w ustrukturyzowanym, powszechnym formacie, jak również żądać, byśmy przesłali te dane bezpośrednio innemu administratorowi danych (jeśli to wykonalne technicznie). Warto zauważyć, że prawo do przenoszenia nie oznacza obowiązku masowego przekazywania wszystkich Twoich danych każdemu wskazanemu podmiotowi – dotyczy tylko danych, które Ty sam nam dostarczyłeś (np. poprzez formularze, umowy), a nie danych, które powstały u nas w wyniku analizy czy przetwarzania (np. nasze notatki wewnętrzne czy oceny). Jeśli jednak chciałbyś uzyskać swoje dane w celu ich przeniesienia – skontaktuj się z nami, wspólnie ustalimy dogodny sposób realizacji tego prawa.
• Prawo do sprzeciwu – Masz prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania Twoich danych osobowych, opartego na naszym prawnie uzasadnionym interesie (art. 6 ust. 1 lit. f RODO) – z przyczyn związanych z Twoją szczególną sytuacją. Dotyczy to zwłaszcza sytuacji, gdy przetwarzamy dane w celach marketingu bezpośredniego – wtedy sprzeciw jest skuteczny bezwarunkowo i oznacza, że zaprzestaniemy przetwarzania Twoich danych w celach marketingowych. Jeśli sprzeciw dotyczy innego naszego uzasadnionego interesu (np. przechowywania danych archiwalnych), uwzględnimy sprzeciw, chyba że wykażemy istnienie ważnych, prawnie uzasadnionych podstaw do dalszego przetwarzania, które są nadrzędne wobec Twoich interesów, praw i wolności lub podstaw do ustalenia, dochodzenia lub obrony roszczeń (taka klauzula przewidziana w art. 21 ust. 1 RODO). Oczywiście ocenimy to uczciwie i przejrzyście – nasze bieżące działania już teraz staramy się dostosować tak, by nie wkraczały nadmiernie w Twoją prywatność, więc w razie sprzeciwu najczęściej uznamy go i zaprzestaniemy spornego przetwarzania. Prawo sprzeciwu wynika z art. 21 RODO. Tajska PDPA również daje prawo sprzeciwu: sekcja 32 PDPA stanowi, że osoba, której dane dotyczą, ma prawo sprzeciwić się w dowolnym momencie dalszemu zbieraniu, wykorzystaniu lub ujawnianiu jej danych osobowych w określonych sytuacjach, m.in. gdy przetwarzamy je na podstawie przesłanek sekcji 24 (4) lub (5) PDPA (odpowiadających interesowi publicznemu oraz prawnie uzasadnionemu interesowi administratora). W przypadku wniesienia sprzeciwu – musimy zaprzestać takiego przetwarzania niezwłocznie, chyba że potrafimy wykazać nadrzędne podstawy zgodne z prawem (podobnie jak w RODO). W kontekście marketingu bezpośredniego PDPA również wymaga honorowania sprzeciwu bez wyjątków (sprzeciw wobec marketingu musi skutkować zaprzestaniem dalszego użycia danych w tym celu). Dlatego możesz być pewien, że np. wypisanie się z newslettera lub zgłoszenie żądania „nie dzwońcie do mnie z ofertami” zostanie w pełni uszanowane.
• Prawo do wycofania zgody – Jeżeli jakiekolwiek przetwarzanie Twoich danych odbywa się na podstawie udzielonej zgody (art. 6 ust. 1 lit. a RODO lub – w przypadku danych wrażliwych – art. 9 ust. 2 lit. a RODO), masz prawo w każdej chwili wycofać tę zgodę. Wycofanie zgody będzie skuteczne na przyszłość – nie wpływa na zgodność z prawem przetwarzania, którego dokonaliśmy, zanim zgodę wycofałeś (czyli do momentu wycofania zgody przetwarzanie pozostaje legalne). Jeśli wycofasz zgodę, nie będziemy już opierać na niej dalszego przetwarzania. Przykładowo, jeśli zgodziłeś się na otrzymywanie newslettera, możesz w każdej chwili zrezygnować (klikając odpowiedni link w stopce maila lub kontaktując się z nami) – wtedy zaprzestaniemy wysyłki. Podobnie, jeśli zgodziłeś się na cookies marketingowe, możesz zmienić ustawienia i cofnąć zgodę (poprzez nasz mechanizm zarządzania zgodami cookie lub ustawienia przeglądarki) – wówczas narzędzia jak Google Analytics czy Pixel przestaną działać na przyszłość. Podkreślamy: wycofanie zgody jest równie łatwe jak jej wyrażenie – dokładamy starań, by zapewnić Ci prosty mechanizm (np. dedykowany link, ustawienia konta, jednoznaczny e-mail). Ta zasada wynika zarówno z RODO (motyw 32 i art. 7 ust. 3 RODO), jak i PDPA – tajska ustawa wprost wymaga, by wycofanie zgody było równie proste co jej udzielenie. Co więcej, sekcja 19 PDPA stwierdza, że osoba, której dane dotyczą, może w dowolnym momencie wycofać zgodę, a wycofanie nie może być obciążone dla niej konsekwencjami (nie wolno jej dyskryminować z powodu skorzystania z prawa do wycofania zgody). W razie wycofania zgody poinformujemy Cię, jeżeli mimo to istnieje inna podstawa prawna pozwalająca nam nadal przetwarzać dane (np. obowiązek prawny zachowania pewnych danych). Jeśli nie, zaprzestaniemy przetwarzania i (w zależności od okoliczności) usuniemy dane, chyba że za Twoją zgodą zatrzymamy je do innego dopuszczalnego celu.
• Prawo do niepodlegania zautomatyzowanemu decyzjonowaniu – Masz prawo żądać, aby wobec Ciebie nie była podejmowana decyzja oparta wyłącznie na zautomatyzowanym przetwarzaniu (w tym profilowaniu), jeżeli wywoływałaby wobec Ciebie skutki prawne lub w podobny sposób istotnie na Ciebie wpływała. Mówiąc prościej, chodzi o sytuacje, gdy np. komputerowy algorytm ocenia Twoje dane i samodzielnie podejmuje decyzję, która istotnie Cię dotyczy – bez udziału człowieka. W naszej działalności nie podejmujemy takich decyzji w sposób w pełni zautomatyzowany. Nie stosujemy systemów oceniających klientów (brak u nas np. automatycznej oceny zdolności finansowej czy profilowania skutkującego odmową usługi). Wszelkie decyzje – np. o przyjęciu rezerwacji, wycenie oferty, ewentualnych zniżkach czy dopasowaniach wycieczki – podejmuje człowiek, biorąc pod uwagę indywidualne okoliczności. Dlatego to prawo w praktyce Ci nie grozi naruszeniem. Niemniej, jest przewidziane w art. 22 RODO, a my je respektujemy. Gdybyśmy kiedykolwiek mieli zamiar wprowadzić system w pełni zautomatyzowanych decyzji, poinformujemy Cię o tym i o prawie do sprzeciwu wobec takiego procesu. PDPA również wymaga szczególnej uwagi przy profilowaniu – choć nie ma wprost analogicznego artykułu, w definicjach PDPA „profilowanie” się nie pojawia, to jednak podstawowe zasady i prawa osób nakazywałyby uwzględnienie Twojego ewentualnego sprzeciwu, jeśli czułbyś, że decyzja oparta na automatycznej analizie Cię krzywdzi.
• Prawo do informacji – Choć nie wymienia się go zwykle jednym tchem z powyższymi prawami, warto podkreślić, że masz prawo być informowanym o przetwarzaniu swoich danych. Realizacją tego prawa jest m.in. niniejsza Polityka Prywatności, jak również tzw. obowiązek informacyjny spełniany przy zbieraniu danych (art. 13 RODO). Oznacza to, że zbierając od Ciebie dane, powinniśmy przekazać Ci określone informacje (to właśnie robimy w tym dokumencie). Jeżeli dane pozyskaliśmy z innego źródła, również powinniśmy Cię poinformować (art. 14 RODO). Mamy także obowiązek poinformować Cię, gdyby doszło do incydentu naruszenia ochrony Twoich danych, który mógłby powodować wysokie ryzyko naruszenia Twoich praw (art. 34 RODO wymaga powiadomienia Cię o poważnym wycieku danych). Również PDPA nakłada na nas obowiązki informacyjne – np. musielibyśmy Cię powiadomić o naruszeniu danych podobnie jak wymaga tego RODO (PDPA sekcja 37(4) nakłada obowiązek zgłoszenia naruszenia do organu w ciągu 72 godzin oraz powiadomienia osoby, której dane dotyczą, o naruszeniu, jeśli może ono skutkować ryzykiem). Dążymy do pełnej transparentności: niniejsza Polityka jest jednym ze sposobów realizacji Twojego prawa do informacji.
• Prawo do złożenia skargi do organu nadzorczego – Jeżeli uważasz, że przetwarzamy Twoje dane niezgodnie z prawem lub nie respektujemy Twoich praw, masz prawo złożyć skargę do właściwego organu nadzorczego. W Polsce funkcję tę pełni Prezes Urzędu Ochrony Danych Osobowych (UODO) – adres: ul. Stawki 2, 00-193 Warszawa, tel. (+48) 22 531 03 00. Możesz zwrócić się do UODO, jeśli jesteś obywatelem RP lub uznasz, że to właściwy organ ze względu na miejsce zamieszkania bądź naruszenia. Jeżeli jednak preferujesz, możesz złożyć skargę do organu nadzorczego w innym państwie UE, w którym przebywasz (zgodnie z RODO masz taką możliwość wyboru). Z kolei z uwagi na siedzibę naszej firmy w Tajlandii, nadzór sprawuje także tajski PDPC. Możesz zatem zgłosić naruszenie do Office of Personal Data Protection Committee (PDPC) w Tajlandii. W praktyce dla polskich Użytkowników łatwiejszy kontakt będzie z UODO, który następnie może skoordynować działania z organami zagranicznymi. Niezależnie od wyboru organu, nie przysługują Ci żadne negatywne konsekwencje za złożenie skargi – masz pełne prawo domagać się kontroli przestrzegania przepisów. Zachęcamy jednak, aby w pierwszej kolejności spróbować wyjaśnić sprawę z nami – zawsze możesz skontaktować się z naszym Administratorem i zadać pytanie czy zgłosić zastrzeżenie, a my postaramy się je rozwiązać polubownie. Jeżeli to nie pomoże, oczywiście skorzystanie z pomocy organu jest Twoim niezbywalnym prawem.

Jak skorzystać z przysługujących praw?
W celu realizacji swoich praw możesz skontaktować się z nami w dowolny dogodny sposób – zalecamy formę pisemną lub elektroniczną, abyśmy mieli potwierdzenie wniosku. Najprościej będzie wysłać do nas e-mail (szczegóły kontaktu podajemy w sekcji Kontakt poniżej) z informacją, z którego prawa chcesz skorzystać i jakiego zakresu danych ono dotyczy. Możesz np. napisać „Proszę o przekazanie kopii moich danych i informacji, czy są przetwarzane” (prawo dostępu) albo „Żądam usunięcia wszelkich danych na mój temat, ponieważ wycofuję zgodę i nie korzystam już z Państwa usług” (prawo do usunięcia). Nie musisz podawać podstawy prawnej ani formuły przepisu – wystarczy zwykłe, zrozumiałe sformułowanie żądania. Jeśli będziemy mieli wątpliwości co do Twojej tożsamości (np. wniosek wpłynie z innego adresu e-mail niż zarejestrowany u nas, a dotyczyć będzie poważnych danych), możemy poprosić Cię o dodatkową weryfikację – robimy to dla ochrony Twoich danych przed dostępem osób nieuprawnionych. Na Twoje żądanie odpowiemy bez zbędnej zwłoki – maksymalnie w ciągu miesiąca od jego otrzymania (to standardowy termin przewidziany w art. 12 ust. 3 RODO). W razie skomplikowanego charakteru żądania lub liczby żądań termin ten może zostać przedłużony do 2 lub 3 miesięcy, o czym Cię poinformujemy wraz z podaniem przyczyn opóźnienia. Spełnienie większości żądań jest bezpłatne. Jeżeli jednak Twoje żądania byłyby ewidentnie nieuzasadnione lub nadmierne (np. zgłaszałbyś je bardzo często bez realnej potrzeby), możemy odmówić podjęcia działań lub zażądać opłaty w rozsądnej wysokości (zgodnie z art. 12 ust. 5 RODO). Zawsze jednak najpierw wyjaśnimy sytuację i spróbujemy znaleźć satysfakcjonujące rozwiązanie.

Wskazówki dodatkowe: Jeżeli masz pytania odnośnie swoich praw lub potrzebujesz pomocy w sformułowaniu żądania – skontaktuj się z nami, z chęcią pomożemy. Pamiętaj też, że powyższe prawa przysługują Ci w pewnym zakresie także, gdy Twoje dane dotyczące podróży są przetwarzane przez naszych Partnerów (np. linie lotnicze, hotele). W takich przypadkach możesz wykonywać prawa bezpośrednio wobec nich jako odrębnych administratorów (np. zażądać od hotelu usunięcia danych po pobycie). My przekazujemy Twoje żądania dalej, jeśli to konieczne – np. jeśli zażądasz u nas sprostowania danych, które wcześniej przekazaliśmy do hotelu, poinformujemy ten hotel o koniecznej korekcie (wynika to z art. 19 RODO, który wymaga, by powiadamiać odbiorców danych o sprostowaniu, usunięciu lub ograniczeniu). Twoja prywatność jest dla nas ważna, dlatego aktywnie dbamy o realizację Twoich praw.

Udostępnianie danych innym podmiotom

Twoje dane osobowe mogą być przekazywane (ujawniane) stronom trzecim wyłącznie w zakresie koniecznym do realizacji celów opisanych w niniejszej Polityce. Nie sprzedajemy Twoich danych podmiotom trzecim ani nie udostępniamy ich do wykorzystania w celach niezwiązanych z świadczonymi usługami. Głównymi odbiorcami Twoich danych są nasi zaufani Partnerzy w Tajlandii, zaangażowani w organizację wycieczek, a także niezbędni dostawcy usług wspierających naszą działalność. Poniżej przedstawiamy kategorie podmiotów, którym możemy przekazywać dane, wraz z uzasadnieniem:

• Lokale noclegowe (hotele, resorty, pensjonaty) – w celu rezerwacji Twojego pobytu udostępniamy danej placówce niezbędne informacje o gościach. Typowo będzie to imię i nazwisko gościa (lub gości), daty pobytu, czasem narodowość, numer paszportu lub dowodu (jeśli wymagane do zameldowania) oraz szczególne życzenia związane z pobytem (np. rodzaj pokoju). Hotele potrzebują tych danych, by zagwarantować rezerwację oraz dopełnić obowiązków meldunkowych zgodnie z lokalnymi przepisami. Przekazujemy tylko zakres danych wymagany przez hotel – zazwyczaj imię i nazwisko plus daty pobytu. W przypadku gdy Ty sam dokonujesz części rezerwacji (np. podajemy Ci tylko kod rabatowy, a rezerwujesz we własnym zakresie), nie przekazujemy wówczas żadnych Twoich danych hotelowi.
• Przewodnicy i organizatorzy lokalni – jeśli w ramach wycieczki zapewniamy usługi lokalnego przewodnika, pilota wycieczek lub korzystamy z lokalnego biura turystycznego w Tajlandii, możemy przekazać takiemu partnerowi listę uczestników wraz z podstawowymi danymi identyfikacyjnymi (imię, nazwisko, kraj pochodzenia) w celu realizacji programu zwiedzania. Przewodnik musi wiedzieć, kogo ma pod opieką, a często też np. ilu turystów polskojęzycznych będzie w grupie. Udostępniamy mu też dane niezbędne do skontaktowania się z Wami na miejscu (np. numer telefonu kontaktowego do lidera grupy), aby usprawnić logistykę. Wszyscy nasi przewodnicy i kontrahenci turystyczni są zobowiązani do zachowania poufności i wykorzystania tych danych wyłącznie na potrzeby danej wycieczki.
• Firmy transportowe – jeżeli plan wycieczki obejmuje przejazdy lub transfery, Twoje dane mogą zostać przekazane firmie świadczącej usługi transportowe (np. firmie wynajmującej autokary z kierowcą, operatorowi łodzi itp.). Zwykle jest to tylko informacja o liczbie pasażerów oraz nazwisko osoby kontaktowej. W przypadku transportu lotniczego (loty wewnętrzne w Tajlandii lub ewentualny lot z/do Polski, jeśli pośredniczymy w zakupie biletów) przekazujemy liniom lotniczym dane wymagane przy rezerwacji biletu: imię, nazwisko, płeć, datę urodzenia, dane paszportowe, obywatelstwo – zgodnie z przepisami i wymogami systemów rezerwacyjnych. Dane te są używane przez przewoźnika tylko w celu wystawienia biletu i przeprowadzenia odprawy (oraz spełnienia wymogów bezpieczeństwa – np. listy pasażerów są przekazywane władzom lotniczym/obsłudze lotnisk).
• Agent ubezpieczeniowy / ubezpieczyciel – jeżeli w ramach naszej usługi oferujemy lub pośredniczymy w zapewnieniu ubezpieczenia turystycznego (NNW, KL itp.), wówczas musimy przekazać towarzystwu ubezpieczeniowemu (lub agentowi) dane ubezpieczonych osób. Typowo obejmuje to imię, nazwisko, datę urodzenia, okres wyjazdu, czasem numer dokumentu tożsamości – celem zawarcia polisy ubezpieczeniowej. Ubezpieczyciel staje się wówczas odrębnym administratorem tych danych, wykorzystującym je do wystawienia polisy i ewentualnej likwidacji szkód. Zawsze informujemy Cię o zakresie wymaganych danych przed zawarciem polisy.
• Lokalne agencje partnerskie – w niektórych przypadkach współpracujemy z lokalnymi agencjami turystycznymi w Tajlandii, które specjalizują się w obsłudze określonych atrakcji czy regionów. Taka agencja może zajmować się np. organizacją jednodniowych wycieczek fakultatywnych w danej miejscowości. Jeśli korzystamy z jej usług, przekazujemy jej listę uczestników i uzgodnione szczegóły (daty, program). Zakres danych typowo obejmuje imiona i nazwiska oraz narodowość (czasem dane paszportowe, jeśli wymagane np. do wejść do parków narodowych dla obcokrajowców). Agencja wykorzysta te dane tylko do zapewnienia zamówionych świadczeń (np. rezerwacji biletów wstępu ze zniżką dla dzieci, jeśli są w grupie).
• Podmioty przetwarzające dane w naszym imieniu – W naszej działalności korzystamy z usług pewnych dostawców, którym powierzamy przetwarzanie danych osobowych w naszym imieniu i na nasze polecenie (zgodnie z art. 28 RODO). Takimi podmiotami mogą być:

• biuro rachunkowe – jeżeli korzystamy z zewnętrznej księgowości, dokumenty zawierające dane klientów (faktury) mogą być przetwarzane przez księgowych; są oni zobowiązani umową do zachowania poufności i działania wyłącznie na nasze zlecenie,
• dostawca hostingu / serwisu IT – nasza strona internetowa oraz poczta e-mail mogą być utrzymywane na serwerach zewnętrznej firmy informatycznej. Taki dostawca (np. firma hostingowa z serwerami w UE) może technicznie mieć dostęp do danych, które przechowujemy na serwerze (np. treści e-maili, bazę danych strony), jednak nie wykorzystuje ich samodzielnie – jedynie zapewnia infrastrukturę. Z każdym dostawcą usług IT mamy podpisaną umowę powierzenia przetwarzania danych, która gwarantuje odpowiedni standard ochrony i poufności,
• dostawcy usług komunikacji – np. firma udostępniająca nam system mailingowy do wysyłki newslettera (jeśli prowadzimy newsletter) lub operator systemu rezerwacji online, z którego korzystamy. Oni również działają na podstawie umowy powierzenia i nie mogą używać Twoich danych do własnych celów.

• inne podmioty doradcze i wspierające – np. kancelaria prawna (jeśli musielibyśmy skorzystać z pomocy prawnej w sprawie związanej z Twoją umową, może zajść potrzeba udostępnienia Twoich danych prawnikowi – w zakresie niezbędnym do uzyskania porady lub reprezentacji), firmy audytorskie (sprawdzające poprawność naszych procesów, np. audyt RODO), podmioty archiwizujące dokumenty itp. W razie zaangażowania takich podmiotów również dbamy o zawarcie odpowiednich klauzul poufności i powierzenia danych.
• Organy administracji publicznej – W określonych sytuacjach możemy mieć obowiązek przekazania Twoich danych organom władzy publicznej, takim jak: policja, prokuratura, sądy, organy podatkowe, celne, graniczne, Urząd Ochrony Danych Osobowych itp. Dzieje się tak wyłącznie na podstawie przepisów prawa. Przykładowo, organy ścigania mogą zwrócić się do nas z żądaniem wydania danych (na podstawie stosownego nakazu lub uprawnienia ustawowego) – np. w toku postępowania, jeśli pojawi się konieczność potwierdzenia, że dana osoba brała udział w wyjeździe. Innym przykładem może być kontrola skarbowa, gdzie musimy okazać dokumenty księgowe zawierające dane klientów. Zawsze weryfikujemy legalność takich żądań i udostępniamy dane tylko, gdy jesteśmy do tego prawnie zobowiązani. W miarę możliwości informujemy też osoby, których dane dotyczą, o takich zapytaniach (chyba że samo ujawnienie faktu przekazania danych organom jest prawnie zabronione, np. w ramach postanowień śledztwa).
• Inni odbiorcy za Twoją zgodą – Jeżeli w przyszłości zaistniałaby potrzeba przekazania Twoich danych innym podmiotom, nie wymienionym powyżej, zrobimy to tylko po uzyskaniu Twojej wyraźnej zgody albo na Twoje wyraźne życzenie. Na przykład, jeśli poprosisz nas o zarekomendowanie Ci innej firmy lub usługi i zechcesz, byśmy przekazali Twoje dane kontaktowe temu podmiotowi – zrobimy to tylko na podstawie Twojej prośby (co stanowi faktycznie zgodę lub działanie na Twoje życzenie).

Wszystkim odbiorcom przekazujemy tylko niezbędne minimum danych. Nasi Partnerzy otrzymują wyłącznie informacje konieczne do wykonania ich części usługi. Każdy partner jest także zobowiązany przepisami (RODO, PDPA lub lokalnymi) do ochrony Twoich danych. Zadbaliśmy, by z podmiotami przetwarzającymi dane w naszym imieniu zawrzeć stosowne umowy powierzenia przetwarzania, gwarantujące, że podmioty te spełniają standardy bezpieczeństwa i nie użyją danych do innych celów. W przypadku Partnerów, którzy działają jako odrębni administratorzy (np. linie lotnicze, hotele), przekazujemy dane w celu wykonania usługi na Twoją rzecz – i oczekujemy od nich poszanowania zasad ochrony danych według obowiązujących ich przepisów. Wielu z naszych kluczowych partnerów (np. międzynarodowe sieci hotelowe, globalne linie lotnicze) ma wdrożone własne polityki prywatności zgodne z RODO lub z międzynarodowymi standardami – możesz się z nimi zapoznać na ich stronach, choć nie jest to konieczne dla skorzystania z usługi.

Brak profilowania zewnętrznego – Nie udostępniamy Twoich danych firmom reklamowym w celu profilowania Cię lub kierowania do Ciebie reklam przez podmioty trzecie. Jedynym wyjątkiem jest działanie Pixel Meta w naszym własnym zakresie reklamowym (opisane wcześniej) – ale i tu dane idą do platformy Meta w formie zaszyfrowanej i są wykorzystywane wyłącznie do obsługi naszych kampanii, nie trafiają do innych reklamodawców. Możesz zarządzać preferencjami reklamowymi bezpośrednio na Facebooku/Instagramie, co pozwala ograniczyć wykorzystanie Twoich aktywności z różnych stron (w tym naszej) do celów reklamowych.

Transfer danych do partnerów spoza UE – Z uwagi na specyfikę działalności (organizacja usług w Tajlandii) większość wymienionych partnerów to podmioty spoza Europejskiego Obszaru Gospodarczego (EOG), głównie w Tajlandii. Oznacza to, że przekazanie Twoich danych tym podmiotom stanowi przekazanie danych do państwa trzeciego w rozumieniu RODO (państwa nieobjętego przepisami RODO). Szczegółowe informacje o tym, jak zapewniamy legalność takich transferów, znajdują się w kolejnym rozdziale.

Transfery międzynarodowe danych

Gdzie przetwarzamy Twoje dane? Twoje dane osobowe mogą być przetwarzane zarówno w Polsce/UE, jak i w Tajlandii, a także ewentualnie w innych krajach, jeśli wynika to z działalności naszych partnerów (np. serwery naszych usług IT mogą fizycznie znajdować się w UE lub w USA). Kluczową kwestią jest to, że przekazujemy dane poza obszar Unii Europejskiej – konkretnie do Tajlandii, gdzie znajduje się nasza siedziba i gdzie realizowana jest usługa wycieczki. RODO w art. 44–49 ustanawia restrykcyjne zasady dotyczące przekazywania danych do państw trzecich, aby zapewnić nieprzerwany, wysoki poziom ochrony danych nawet poza UE. Poniżej wyjaśniamy, jak spełniamy te wymogi.

Brak decyzji stwierdzającej odpowiedni stopień ochrony dla Tajlandii – Komisja Europejska dotąd nie wydała decyzji uznającej Tajlandię za kraj zapewniający adekwatny poziom ochrony danych. Oznacza to, że Tajlandia nie jest formalnie „białą listą” państw, do których dane można swobodnie przekazywać tak jak w granicach UE. W związku z tym, aby legalnie przesyłać dane do Tajlandii, musimy oprzeć transfer na innym mechanizmie zgodnym z Rozdziałem V RODO.

Standardowe klauzule umowne a przesył danych – Jednym z najczęstszych rozwiązań dla transferów jest stosowanie tzw. Standardowych Klauzul Umownych (Standard Contractual Clauses, SCC) zatwierdzonych przez Komisję Europejską. W przypadku gdybyśmy przechowywali dane na serwerach w UE i przekazywali je do naszej centrali w Tajlandii lub do tajlandzkich partnerów, moglibyśmy zawrzeć z nimi takie umowy zapewniające ochronę danych na poziomie RODO. Jednak w naszej specyfice dane są zbierane bezpośrednio przez nasz podmiot w Tajlandii (bo to AsiaTrip z Tajlandii jest Administratorem prowadzącym stronę), co oznacza, że od razu trafiają poza UE. Z prawnego punktu widzenia mamy do czynienia z transferem danych z UE do państwa trzeciego w momencie, gdy polski turysta wpisuje swoje dane w formularz rezerwacyjny na serwerze należącym do firmy z Tajlandii. Aby taki transfer był legalny, opieramy go na derogacjach przewidzianych w art. 49 RODO – dokładnie na tej samej podstawie, która jest podstawą przetwarzania: niezbędności do wykonania umowy z osobą, której dane dotyczą.

Transfer niezbędny do wykonania umowy z Użytkownikiem (art. 49 ust. 1 lit. b RODO) – RODO dopuszcza jednorazowe lub niewielkie transfery danych do państwa trzeciego, gdy są one konieczne do realizacji umowy z osobą, której dane dotyczą. W naszym przypadku tak właśnie jest: aby wykonać umowę wycieczki w Tajlandii, musimy przekazać Twoje dane do Tajlandii (do hoteli, przewodników itp.). Podstawa z art. 49 ust. 1 lit. b legalizuje taki transfer bez potrzeby dodatkowych zabezpieczeń, o ile jest on jednorazowy lub konieczny w kontekście danej umowy. Nasza działalność polega niemal wyłącznie na organizowaniu podróży do krajów poza EOG, w tym Tajlandii – stąd transfer danych poza EOG jest wpisany w charakter usługi. Każdorazowo jednak upewniamy się, że przekazujemy dane tylko w zakresie niezbędnym i w celu związanym z Twoją umową.

Transfer niezbędny do wykonania umowy w interesie osoby, której dane dotyczą (art. 49 ust. 1 lit. c RODO) – Dodatkowo, RODO przewiduje, że transfer może być legalny, jeśli jest konieczny do zawarcia lub wykonania umowy zawartej w interesie osoby, której dane dotyczą, między administratorem a innym podmiotem (np. między nami a hotelem). Ta przesłanka bywa przywoływana gdy np. biuro podróży przekazuje dane do kontrahenta zagranicznego, aby ten mógł świadczyć usługę turystyczną dla klienta – czyli dokładnie nasza sytuacja. Wykorzystujemy więc również i tę podstawę, o ile ma zastosowanie (np. rezerwacja hotelu to umowa zawierana w Twoim interesie między nami a hotelem). W ten sposób działamy zgodnie z art. 49 RODO.

Wdrożone dodatkowe zabezpieczenia – Choć transfery w opisanym zakresie są dopuszczalne na mocy wskazanych wyjątków, dokładamy starań, by Twoje dane były chronione w Tajlandii nie gorzej niż w UE. W tym celu: – Działamy w kraju (Tajlandii), który posiada własne kompleksowe prawo o ochronie danych osobowych – PDPA, blisko wzorowane na RODO, co oznacza, że nasi pracownicy i lokalni partnerzy mają prawnie wiążące obowiązki ochrony danych podobne do europejskich. Tajlandzka ustawa PDPA wymaga m.in., by przed przekazaniem danych za granicę upewnić się, że odbiorca zapewnia adekwatne standardy ochrony, chyba że zachodzi wyjątek jak zgoda lub konieczność umowy. W naszym przypadku odbiorcy danych (np. hotel) znajdują się w tym samym kraju (Tajlandii), więc nie dochodzi do dalszego transferu zagranicznego z Tajlandii – niemniej Tajlandia zobowiązuje administratorów do dbałości o ochronę również wewnątrz kraju. Możesz zatem liczyć, że Twoje dane przekazane tajlandzkiemu partnerowi podlegają PDPA i krajowym przepisom chroniącym przed nadużyciami. – Każdy partner otrzymuje tylko tyle informacji, ile potrzebuje – minimalizacja ta zmniejsza ryzyko niewłaściwego użycia. Jeśli partner nie potrzebuje np. Twojego numeru paszportu, to go nie dostanie. – Z ważniejszymi kontrahentami zawarliśmy umowy regulujące kwestie poufności i bezpieczeństwa danych. Wprawdzie nie są to formalnie „Standardowe Klauzule UE” (bo one obowiązują między np. firmą z UE a spoza UE), ale w treści naszych umów z partnerami znalazły się zapisy zobowiązujące ich do ochrony danych zgodnie z wysokimi standardami, do używania ich tylko w określonym celu i do nieprzekazywania dalej bez zgody. Stanowi to dodatkową warstwę ochronną. – Bezpieczeństwo transmisji: kiedy przesyłamy dane do partnerów, korzystamy z bezpiecznych kanałów komunikacji. Większość transferów odbywa się poprzez zaszyfrowane połączenia internetowe (np. wprowadzamy dane gości bezpośrednio w zabezpieczonym systemie rezerwacyjnym hotelu lub wysyłamy je e-mailem używając szyfrowania TLS). Chronimy też nasze urządzenia i sieci, aby nikt niepowołany nie przechwycił danych. – Świadomość i szkolenia: nasi pracownicy w Tajlandii zostali przeszkoleni w zakresie przepisów RODO i PDPA, wiedzą też, jak obchodzić się z danymi turystów z UE. Rozumieją, że standardy europejskie są bardzo wysokie i starają się im sprostać w codziennej pracy – np. nie omawiają danych klientów w miejscach publicznych, nie zostawiają dokumentów z danymi na widoku osób postronnych, nie wysyłają wrażliwych danych otwartym tekstem itp. – Polityka prywatności i zgoda: Informujemy Cię jasno o tym, że Twoje dane trafią do Tajlandii i wciąż pozostaną pod naszą kontrolą. Udzielając nam danych, robisz to świadomie, wiedząc, że będą użyte w celu realizacji usługi w innym kraju. W pewnym sensie jest to Twoja domniemana zgoda na taki transfer – RODO w art. 49 ust. 1 lit. a dopuszcza transfer do państwa trzeciego na podstawie wyraźnej zgody osoby, po poinformowaniu jej o ryzykach. My uważamy, że lepiej oprzeć się na konieczności umowy (lit. b/c), ale jednocześnie Twoja świadoma decyzja o skorzystaniu z zagranicznej usługi również stanowi akceptację tego faktu.

Transfery do innych krajów – Poza Tajlandią, Twoje dane mogą okazjonalnie trafić również do innych państw: – USA – Jeśli korzystamy z Google Analytics lub Meta Pixel, pewne dane techniczne (adres IP, identyfikatory cookies) mogą zostać przetransferowane do Stanów Zjednoczonych i tam przetwarzane przez Google lub Meta. Obecnie między UE a USA obowiązuje tzw. EU-US Data Privacy Framework (nowe porozumienie oceniające standardy ochrony danych w USA jako adekwatne dla firm certyfikowanych). Google i Meta przystąpiły do tego programu, co oznacza, że transfer danych do tych firm może odbywać się w oparciu o art. 45 RODO (decyzję stwierdzającą odpowiedni stopień ochrony). Dodatkowo, obie firmy zawarły w swoich regulaminach Standardowe Klauzule Umowne na wypadek, gdyby porozumienie okazało się niewystarczające. Wreszcie, mamy możliwość wyłączenia transferu części danych do USA (np. w Google Analytics można ustawić lokalizację centrum danych). Niemniej, informujemy Cię o tych transferach dla pełnej jasności – np. wizyta w naszym Serwisie przy akceptacji cookies marketingowych potencjalnie skutkuje wysłaniem informacji do serwerów Google w USA. Oczywiście masz wybór – możesz nie wyrazić zgody na te narzędzia i wówczas dane nie opuszczą UE. – Inne kraje – Nasi partnerzy są głównie w Tajlandii. Jeśli jednak program wycieczki obejmuje inne destynacje (np. jednodniową wycieczkę do sąsiedniego kraju – Malezji, Laosu itp.), wówczas analogicznie Twoje dane mogą trafić do kontrahentów w tamtych krajach (np. do lokalnego przewoźnika organizującego wyjazd za granicę). Będą to sytuacje sporadyczne i również objęte reżimem art. 49 RODO (niezbędność do wykonania umowy podróży obejmującej ten kraj). Wszystkie te kraje (ASEAN) wprowadzają lub wprowadziły własne ustawy o ochronie danych wzorowane na RODO – poziom ochrony więc stopniowo się podnosi. W każdym razie, przed przekazaniem danych do jakiegoś nowego państwa zawsze rozważymy kwestie bezpieczeństwa i legalności transferu.

Reasumując, Twoje dane będą przekazywane za granicę tylko wtedy, gdy jest to konieczne do realizacji wybranej przez Ciebie usługi lub gdy wyrazisz na to zgodę. Dokonując rezerwacji wycieczki w Tajlandii, musisz liczyć się z tym, że Twoje dane znajdą się w Tajlandii – my jednak czuwamy nad tym, by nawet tam były traktowane z należytą ochroną. Tajlandzka ustawa PDPA zobowiązuje nas do tego samego – możemy przekazać dane za granicę tylko jeśli docelowe miejsce ma odpowiedni standard ochrony lub zachodzą określone okoliczności, takie jak wykonanie umowy czy uzyskanie zgody. W naszym przypadku przekazujemy dane w ramach Tajlandii (bo nasi partnerzy są w tym samym kraju co my), a jedyny transfer „zewnętrzny” następuje z UE do nas (do Tajlandii), który to – jak opisaliśmy – opiera się na przesłance wykonania umowy z Tobą.

Jeśli masz dodatkowe pytania dotyczące transferu Twoich danych za granicę lub chcesz uzyskać kopię zabezpieczeń zastosowanych przy transferze (np. odpowiednich zapisów umownych), skontaktuj się z nami. Postaramy się dostarczyć Ci wszelkich informacji, byś czuł(a) się bezpiecznie powierzając nam swoje dane.

Bezpieczeństwo danych osobowych

Przykładamy dużą wagę do bezpieczeństwa Twoich danych osobowych. Podejmujemy odpowiednie środki techniczne i organizacyjne, aby chronić dane przed nieuprawnionym dostępem, utratą, zmianą czy zniszczeniem. W szczególności wdrożyliśmy następujące rozwiązania:

• Środki organizacyjne i polityki wewnętrzne: Posiadamy wewnętrzne procedury ochrony danych osobowych, które spełniają wymogi RODO i PDPA. Nasi pracownicy zostali przeszkoleni w zakresie najlepszych praktyk bezpieczeństwa informacji i zobowiązani do zachowania poufności. Dostęp do danych mają wyłącznie upoważnione osoby (np. personel obsługi klienta, organizatorzy wycieczek) i tylko w zakresie, w jakim jest to niezbędne do wykonywania ich obowiązków. Regularnie przypominamy o zasadach ochrony danych i prowadzimy audyty wewnętrzne, by upewnić się, że standardy są zachowane.
• Kontrola dostępu: Dane w formie elektronicznej przechowywane są na zabezpieczonych systemach informatycznych. Dostęp do baz danych, skrzynek mailowych czy panelu administracyjnego Serwisu wymaga uwierzytelnienia (silne hasła, często zmieniane, dostęp ograniczony do konkretnych IP jeśli to możliwe). Wprowadziliśmy zasadę minimum privileges, co oznacza, że każdy pracownik czy partner ma dostęp tylko do tych danych, których potrzebuje. Systemy informatyczne posiadają różne poziomy uprawnień, a próby nieautoryzowanego dostępu są logowane i monitorowane.
• Szyfrowanie: Wszystkie połączenia pomiędzy Twoją przeglądarką a naszym Serwisem są zabezpieczone protokołem HTTPS (SSL/TLS), co oznacza, że dane przesyłane przez formularze są szyfrowane podczas transmisji. Również nasze wewnętrzne systemy (np. komunikacja e-mail) korzystają z szyfrowania TLS, gdy to tylko możliwe. Wrażliwe pliki z danymi (np. archiwa z danymi klientów) są dodatkowo szyfrowane lub zabezpieczane hasłami, gdy musimy je przechowywać czy przenosić. Gdy przekazujemy dane partnerom (np. listę gości hotelowi), dbamy o bezpieczny kanał komunikacji – unikamy publicznych, niezabezpieczonych sieci Wi-Fi i otwartych kanałów transmisji.
• Bezpieczeństwo fizyczne: Nasza siedziba jest zabezpieczona przed dostępem osób postronnych. Dokumenty papierowe zawierające dane osobowe (np. umowy, wydruki list uczestników) przechowujemy w zamykanych szafach lub pomieszczeniach, do których dostęp ma wyłącznie personel. Po wykorzystaniu dokumentów, jeżeli nie musimy ich przechowywać, są one niszczone za pomocą niszczarki (w przypadku danych wrażliwych – przekazywane do profesjonalnego zniszczenia). Urządzenia elektroniczne używane do przetwarzania danych (komputery, laptopy) są zabezpieczone hasłami i programami antywirusowymi; nie zostawiamy ich bez nadzoru w miejscach publicznych.
• Kopie zapasowe (backup): Regularnie wykonujemy kopie zapasowe ważnych danych (np. bazy klientów, dokumentacji rezerwacji) i przechowujemy je w bezpiecznym, odizolowanym środowisku. Backupy są szyfrowane i również chronione przed nieautoryzowanym dostępem. Ma to na celu zabezpieczenie się przed utratą danych wskutek awarii sprzętu, ataku ransomware lub innego incydentu. Procedury backupowe są okresowo testowane, aby mieć pewność, że w razie potrzeby dane da się przywrócić.
• Monitorowanie i testy: Monitorujemy nasze systemy pod kątem potencjalnych zagrożeń. Mamy włączone firewall’e, systemy wykrywania włamań i inne mechanizmy zabezpieczające infrastrukturę informatyczną. Co pewien czas przeprowadzamy testy bezpieczeństwa (samodzielnie lub z pomocą zewnętrznych specjalistów), aby zidentyfikować ewentualne luki i niezwłocznie je załatać. Śledzimy też na bieżąco informacje o nowych zagrożeniach (np. znane luki w oprogramowaniu) i natychmiast stosujemy aktualizacje i poprawki bezpieczeństwa.
• Minimalizacja danych: Jak już wspomniano, zbieramy tylko takie dane, które są nam rzeczywiście potrzebne. Im mniej danych przechowujemy, tym mniejsze ryzyko wycieku czy nadużycia. Stosujemy też zasadę ograniczenia okresu przechowywania – dane trzymamy nie dłużej, niż jest to konieczne (szczegóły okresów przechowywania podajemy poniżej). Po upływie tych okresów dane są bezpiecznie usuwane lub anonimizowane.
• Zarządzanie incydentami: Mamy opracowaną procedurę na wypadek podejrzenia naruszenia ochrony danych osobowych. Jeśli doszłoby do incydentu (np. kradzieży sprzętu z danymi, włamania do systemu, wysłania e-maila do niewłaściwego adresata itp.), niezwłocznie podejmiemy działania ograniczające skutki oraz naprawcze. Oceniamy również ryzyko dla osób, których dane dotyczą. Jeżeli okaże się, że incydent mógł skutkować wysokim ryzykiem naruszenia Twoich praw lub wolności, powiadomimy Cię o nim bez zbędnej zwłoki, zgodnie z wymogami art. 34 RODO i sekcji 37 PDPA. Oczywiście zgłosimy też taki incydent do właściwego organu nadzorczego w ciągu 72 godzin od stwierdzenia naruszenia (zgodnie z art. 33 RODO i sekcją 37 PDPA). Wierzymy jednak, że dzięki naszym solidnym zabezpieczeniom uda się uniknąć poważnych incydentów.
• Inspektor Ochrony Danych (IOD): Według RODO i polskiej ustawy z 2018 r., niektóre organizacje muszą powołać Inspektora Ochrony Danych. Analizując charakter naszej działalności, uznaliśmy, że nie mamy obowiązku powołania IOD (nie jesteśmy podmiotem publicznym, nie przetwarzamy na dużą skalę szczególnych kategorii danych ani danych o wyrokach, nasza główna działalność nie polega na systematycznym monitorowaniu osób na dużą skalę). Niemniej, wyznaczyliśmy wewnętrznie osobę odpowiedzialną za nadzór nad bezpieczeństwem informacji i przestrzeganiem przepisów o ochronie danych. W razie pytań odnośnie Twoich danych możesz kontaktować się z nami tak, jak z IOD – nawet jeśli formalnie nim nie jesteśmy, zapewniamy podobny punkt kontaktowy (patrz sekcja Kontakt). W Tajlandii PDPA również wymaga powołania tzw. Data Protection Officer w określonych przypadkach (gdy przetwarzanie jest duże skala). Nasza skala działania jest na tyle umiarkowana, że ten wymóg nas nie dotyczy. Niemniej odpowiedzialność za ochronę danych jest u nas jasno przypisana.
• Zgodność z normami i standardami: Staramy się kierować nie tylko literą prawa, ale też dobrą praktyką. Odnosimy się do zaleceń Europejskiej Rady Ochrony Danych, wytycznych Prezesa UODO, a także standardów międzynarodowych (ISO/IEC 27001) dotyczących zarządzania bezpieczeństwem informacji – adekwatnie do naszych możliwości.

Pomimo wszelkich starań żaden system ochrony nie gwarantuje 100% bezpieczeństwa. Ryzyko związane z przetwarzaniem danych istnieje zawsze (choćby błąd ludzki czy nieprzewidziane okoliczności). Niemniej, możemy zapewnić, że stale doskonalimy nasze zabezpieczenia i reagujemy na pojawiające się zagrożenia. Jeśli masz jakiekolwiek wątpliwości co do bezpieczeństwa swoich danych lub zauważysz coś niepokojącego (np. podejrzaną wiadomość rzekomo od nas), poinformuj nas o tym. Współpraca użytkowników pomaga utrzymać wysoki poziom ochrony.

Pliki cookies i narzędzia analityczne

Nasz Serwis, podobnie jak większość stron internetowych, wykorzystuje pliki cookies oraz pokrewne technologie (np. lokalne przechowywanie, web beacons) w celu zapewnienia jego prawidłowego działania oraz poprawy wygody korzystania. Poniżej wyjaśniamy, jakie rodzaje cookies stosujemy, w jakim celu, oraz jakie masz opcje w zakresie kontroli tych technologii.

Czym są cookies? Cookies to małe pliki tekstowe zapisywane na Twoim urządzeniu (komputerze, telefonie) przez odwiedzaną stronę internetową. Zawierają one pewne informacje (np. unikalny identyfikator, nazwę strony) i są odsyłane przy kolejnych wizytach na tę samą stronę, co pozwala jej rozpoznać powracającego użytkownika. Cookies mogą pełnić różne funkcje: od zapewnienia ciągłości sesji logowania, przez zapamiętywanie preferencji (np. język strony), po zbieranie anonimowych statystyk lub personalizację reklam.

Jakie cookies wykorzystujemy? W naszym Serwisie stosujemy zarówno cookies własne (ustawiane przez domenę AsiaTrip.pl), jak i cookies podmiotów trzecich (ustawiane przez zewnętrzne serwisy, z których funkcjonalności korzystamy – np. Google, Meta). Pod względem czasu istnienia cookies dzielą się na sesyjne (tymczasowe, wygasające po zamknięciu przeglądarki) oraz trwałe (pozostające na urządzeniu przez określony czas lub do momentu usunięcia). Poniżej kategorie cookies na naszej stronie:

• Niezbędne cookies techniczne – Są to pliki konieczne do prawidłowego funkcjonowania Serwisu i dostępnych w nim funkcji. Obejmują m.in. cookies odpowiedzialne za utrzymanie sesji użytkownika (np. po zalogowaniu do ewentualnej strefy klienta – jeśli taka istnieje), cookies preferencji (np. zapamiętujące wybrany język serwisu, jeśli taka opcja jest dostępna), a także cookies służące do zabezpieczenia strony (np. tokeny anty-CSRF chroniące formularze przed nadużyciem). Bez tych cookies korzystanie z Serwisu mogłoby być utrudnione lub niemożliwe – dlatego umieszczamy je automatycznie, bez wymogu uzyskania zgody. Ich użycie odbywa się na podstawie art. 173 ust. 3 ustawy Prawo telekomunikacyjne (w Polsce) oraz naszego prawnie uzasadnionego interesu w rozumieniu RODO (zapewnienie usług żądanych przez użytkownika i bezpieczeństwa serwisu).
• Cookies analityczne – Te pliki służą do zbierania informacji o tym, jak użytkownicy korzystają z naszego Serwisu – jakie podstrony odwiedzają, ile czasu na nich spędzają, jakie działania podejmują. Wykorzystujemy do tego celu głównie Google Analytics. Cookie GA (np. _ga, _gid, _gat) nadają Twojemu urządzeniu losowo wygenerowany identyfikator, który pozwala Google Analytics rozpoznać, że to Twoja kolejna wizyta, ale nie zawiera Twoich danych osobowych takich jak imię czy e-mail. Dzięki tym informacjom możemy tworzyć zbiorcze statystyki i raporty. Dane z Google Analytics są przez nas analizowane w sposób anonimowy – interesują nas trendy (np. które strony są najpopularniejsze), a nie śledzenie konkretnych osób. Mimo to, cookies analityczne traktujemy jako nieniezbędne, co oznacza, że są one zapisywane tylko po wyrażeniu przez Ciebie zgody. Przy pierwszej wizycie pytamy o akceptację cookies analitycznych; jeśli odmówisz – Google Analytics nie zostanie uruchomiony. Pamiętaj, że możesz też skorzystać z dodatkowych opcji opt-out oferowanych przez Google, np. zainstalować dodatek do przeglądarki blokujący Google Analytics (dostępny dla większości popularnych przeglądarek).
• Cookies marketingowe (reklamowe) – Nasz Serwis korzysta z narzędzi marketingowych, takich jak Meta Pixel (Facebook Pixel). Pliki te (np. cookie o nazwie _fbp) pozwalają nam i platformie Meta zrozumieć, że odwiedziłeś naszą stronę, co może skutkować wyświetleniem Ci naszych reklam na Facebooku lub Instagramie. Pixel zbiera informacje o Twojej aktywności na stronie (np. czy przeszedłeś do formularza kontaktowego), co pomaga nam mierzyć skuteczność reklam i kierować je do właściwych odbiorców. Dane zbierane przez Pixel są nieco bardziej osobiste niż czysta analityka, bo mogą być powiązane z Twoim kontem Facebook (jeśli je posiadasz i pozostajesz zalogowany). Dlatego cookies marketingowe również wymagają Twojej zgody. Nie będą aktywne, jeśli na banerze cookie nie zaznaczysz zgody na marketing. Jeśli wyrazisz zgodę, Pixel będzie działał podczas Twojej wizyty. Możesz tę zgodę w każdej chwili wycofać (np. poprzez ustawienia prywatności na naszym banerze lub zmieniając ustawienia reklam na swoim koncie Facebook). W ustawieniach konta Facebook możesz też zarządzać tzw. aktywością poza Facebookiem, gdzie zobaczysz listę witryn (w tym naszą), które przekazywały informacje do Meta, i ewentualnie odłączyć te dane od swojego konta.
• Cookies funkcjonalne i inne – Obecnie nasz Serwis nie korzysta z wielu dodatkowych wtyczek społecznościowych czy multimedialnych, które mogłyby tworzyć własne cookies (jak np. YouTube, Twitter, Google Maps itp.). Gdyby takie elementy zostały dodane, również poinformujemy Cię o nich i, jeśli będą wymagały zgody (np. osadzony film YouTube z cookies śledzącymi), włączymy je tylko za Twoją zgodą. Standardowe przyciski linkujące do naszych profili społecznościowych (o ile są na stronie) nie zbierają danych dopóki w nie nie klikniesz.

Zarządzanie cookies – jak wyrazić lub cofnąć zgodę?
Podczas pierwszej wizyty wyświetlamy Ci baner cookie z opcją akceptacji poszczególnych kategorii plików. Masz możliwość: – zaakceptować wszystkie nieobowiązkowe cookies (analityczne, marketingowe) – np. przyciskiem „Akceptuję”, – odmówić, akceptując tylko niezbędne – np. przyciskiem „Odrzuć” (wtedy zadziałają tylko techniczne pliki konieczne), – spersonalizować wybór – zaznaczając, na które kategorie się zgadzasz, a na które nie, po czym zapisując ustawienia.

Jeśli chcesz zmienić swój wybór później – np. wycofać zgodę lub przeciwnie, włączyć cookies, na które wcześniej się nie zgodziłeś – możesz to zrobić w każdym momencie. W tym celu: – Wejdź w ustawienia cookies, dostępne na naszej stronie (np. link „Ustawienia cookies” w stopce strony lub ikona tarczy/ciasteczka, jeśli jest wyświetlana). Otworzy się panel zarządzania zgodami, gdzie możesz dostosować preferencje i zapisać. – Alternatywnie, możesz wyczyścić cookies w swojej przeglądarce (co spowoduje, że nasz baner pojawi się ponownie przy kolejnej wizycie, bo nie będziemy „pamiętać” Twojego poprzedniego wyboru). Pamiętaj jednak, że usunięcie cookies usuwa je globalnie dla wszystkich stron, więc możesz utracić też zapisane loginy, preferencje na innych stronach. – Możesz również skorzystać z ustawień przeglądarki – większość przeglądarek umożliwia blokowanie cookies stron trzecich lub wszystkich cookies, a także włączenie powiadomień o próbie zapisu cookie. W ustawieniach przeglądarki możesz też usunąć pojedyncze cookies lub wszystkie naraz. Sposób zarządzania różni się w zależności od przeglądarki (np. w Chrome: Ustawienia > Prywatność i bezpieczeństwo > Pliki cookie i inne dane witryn; w Safari: Preferencje > Prywatność; w Firefox: Opcje > Prywatność). Pamiętaj jednak, że zablokowanie wszystkich cookies może spowodować nieprawidłowe działanie niektórych stron (w tym naszego Serwisu). Dlatego zalecamy raczej zarządzanie zgodami poprzez nasz mechanizm, by wyłączyć tylko te kategorie, których nie chcesz.

Narzędzia analityczne i marketingowe – szczegóły ochrony: – Google Analytics: Dane zebrane przez Google Analytics (za pomocą cookies _ga i podobnych) są przetwarzane przez Google zgodnie z Polityką prywatności Google. Google może działać jako nasz podmiot przetwarzający te dane, ale w pewnych przypadkach jest też odrębnym administratorem (np. wykorzystując dane do ulepszania swoich usług, o ile nie zostały wyłączone takie opcje). My skonfigurowaliśmy GA tak, by nie gromadzić danych pozwalających na identyfikację (nie wysyłamy do GA np. Twojego nazwiska czy e-maila). Ponadto włączyliśmy, o ile to możliwe, funkcje dodatkowej ochrony: anonimizację IP i wyłączenie udostępniania danych Google (Data Sharing Settings ograniczone). W rezultacie dane służą wyłącznie nam do statystyk. Google Analytics 4, z którego korzystamy, nie przechowuje adresów IP użytkowników, a okres przechowywania danych zdarzeń ustawiliśmy na 14 miesięcy (po tym czasie dane są automatycznie usuwane z naszych statystyk GA). – Meta Pixel: Korzystanie z Pixel skutkuje połączeniem informacji o Twojej aktywności u nas z systemem reklamowym Meta. My, jako reklamodawca na Facebooku, mamy dostęp jedynie do zanonimizowanych raportów (np. ilu użytkowników wykonało daną akcję) oraz ewentualnie do narzędzi do tworzenia grup odbiorców (np. lista tzw. custom audience – ale uwaga: nie przekazujemy do Meta żadnych Twoich danych kontaktowych w celu tworzenia takich list bez zgody; Pixel działa w oparciu o identyfikatory przeglądarki i konta Facebook). Meta zapewnia, że dane z Pixel, które zbiera, są przetwarzane zgodnie z własną polityką prywatności i nie udostępnia ich nieuprawnionym podmiotom. Niemniej, w ramach profilowania reklam Meta, informacje o Twoich zainteresowaniach mogą być wykorzystywane do wyświetlania Ci reklam (nie tylko naszych). Możesz skorzystać z opcji Your Ad Preferences na Facebooku, aby zobaczyć i kontrolować, jakie dane Meta ma o Twojej aktywności i jak są używane w reklamie. Jeżeli nie życzysz sobie, by Meta gromadziła dane z Twojej aktywności poza Facebookiem, możesz tam wyłączyć funkcję „Aktywność poza Facebookiem” lub skorzystać z opcji opt-out dostępnych np. na stronie YourOnlineChoices lub poprzez ustawienia urządzenia (ograniczenie śledzenia między aplikacjami).

Logi serwera: Choć nie są to cookies, warto wspomnieć o logach. Serwer obsługujący nasz Serwis automatycznie zapisuje pewne informacje o odwiedzinach w postaci logów (jak wspomniano wcześniej: adres IP, data i czas, itp.). Dane te są wykorzystywane głównie do celów technicznych i bezpieczeństwa, a nie do śledzenia użytkowników. Logi przechowywane są przez ograniczony czas (zwykle kilka tygodni) i dostęp do nich mają wyłącznie administratorzy serwera. Nie łączymy logów z konkretnymi osobami, a adresy IP w logach mogą być uznawane za dane osobowe tylko potencjalnie. W razie wystąpienia incydentów bezpieczeństwa logi mogą posłużyć do ich analizy.

Zgoda na cookies w kontekście przepisów: W Polsce stosowanie cookies i podobnych technologii reguluje art. 173 Prawa telekomunikacyjnego, wymagający uzyskania zgody użytkownika (chyba że cookie jest niezbędne do świadczenia usługi żądanej przez użytkownika). My respektujemy te przepisy – stąd mechanizm zgód opisany powyżej. Podstawą prawną przetwarzania danych z cookies za pomocą narzędzi analitycznych/marketingowych jest zatem Twoja zgoda (art. 6 ust. 1 lit. a RODO), a w przypadku jej braku – takie dane nie są gromadzone. Dodatkowo, polskie i unijne przepisy e-prywatności ewoluują, staramy się być na bieżąco i dostosowywać nasze praktyki do aktualnych wytycznych UODO i innych organów.

Cookies osób trzecich spoza EOG: Jak wspomniano, Google i Meta to podmioty spoza Europejskiego Obszaru Gospodarczego. Włączenie ich narzędzi wiąże się z przekazaniem pewnych danych (w formie zaszyfrowanej lub surowej) do USA. Dokonujemy tego tylko za Twoją zgodą, opierając się na art. 49 ust. 1 lit. a RODO (wyraźna zgoda na proponowany transfer po poinformowaniu o ryzykach). Ryzyko polega na tym, że dane w USA mogą być potencjalnie dostępne dla tamtejszych służb na podstawie przepisów typu Cloud Act – jednak w przypadku danych z Google Analytics, które są zanonimizowane, czy Meta Pixel (gdzie głównie identyfikator cookie jest przekazywany), uważamy to ryzyko za minimalne. Niemniej, informujemy Cię o tym wprost tutaj i w naszym banerze cookie. Ostateczna decyzja należy do Ciebie.

Podsumowanie: Używamy cookies w sposób przejrzysty i kontrolowany przez Użytkownika. Zachęcamy do akceptacji cookies analitycznych – pomagają nam rozwijać Serwis – ale szanujemy Twoją wolę, jeśli je wyłączysz. W każdym razie, Serwis został zaprojektowany tak, by być użytecznym również dla osób, które nie wyrażają zgód na dodatkowe cookies. Jeśli masz pytania dotyczące naszej polityki cookies, możesz się z nami skontaktować.

Okres przechowywania danych

Przetwarzamy Twoje dane osobowe nie dłużej, niż jest to konieczne do osiągnięcia celów, dla których zostały zebrane. Okresy przechowywania zależą od rodzaju danych i celu ich przetwarzania, a także od wymogów prawnych. Poniżej przedstawiamy główne kategorie danych i okresy ich przechowywania:

• Dane związane z organizacją wycieczki (umowa) – Dane podane podczas rezerwacji i realizacji wycieczki (np. dane osobowe uczestników, korespondencja w sprawie wyjazdu, szczegóły rezerwacji) będziemy przechowywać przez czas trwania umowy, a następnie przez okres niezbędny do zabezpieczenia ewentualnych roszczeń lub reklamacji. Zgodnie z przepisami cywilnymi, roszczenia z umowy o świadczenie usług turystycznych mogą przedawnić się z upływem 3 lat (lub dłużej, jeśli bieg terminu się przerwał lub zawiesił). Ponadto roszczenia konsumenckie mogą mieć termin dłuższy (np. 5 lat). W praktyce więc przechowujemy dane związane z wycieczką do czasu upływu okresu przedawnienia wzajemnych roszczeń wynikających z umowy. Aktualnie standardowo przyjmujemy okres 5 lat od końca roku, w którym odbyła się wycieczka – powinno to pokryć większość potencjalnych roszczeń. Po tym czasie dane zostaną usunięte lub zanonimizowane, chyba że zachodzą poniższe wyjątki (np. dane w dokumentacji finansowej).
• Dane w dokumentacji finansowo-księgowej – Dokumenty księgowe zawierające dane osobowe (faktury, dowody sprzedaży, umowy w formie papierowej) przechowujemy przez okres wymagany przepisami podatkowymi i rachunkowymi. W Polsce i analogicznie w Tajlandii okres ten wynosi co najmniej 5 pełnych lat podatkowych licząc od zakończenia roku, w którym nastąpiła transakcja (np. faktury z 2025 r. musimy trzymać do końca 2030 r.). Niektóre przepisy mogą wymagać dłuższego okresu – stosujemy się do najdłuższego obowiązującego. Po upływie tych wymogów prawnych dokumenty są bezpiecznie niszczone. Należy zauważyć, że w tych dokumentach zakres danych jest zwykle ograniczony (np. imię i nazwisko klienta na fakturze, adres). Dane te nie są używane do innych celów, ale musimy je zachować ze względów prawnych.
• Dane marketingowe (newsletter, zgody marketingowe) – Jeśli przetwarzamy Twój adres e-mail w celu wysyłki newslettera/promocji na podstawie zgody, będziemy to robić do momentu, aż: (a) wypiszesz się / wycofasz zgodę, lub (b) zaprzestaniemy wysyłki newslettera. Gdy nastąpi rezygnacja z subskrypcji, Twoje dane emailowe zostaną niezwłocznie usunięte z bazy mailingowej (najpóźniej w ciągu kilku dni roboczych). Możemy jednak zachować informację o fakcie, że wycofałeś zgodę, aby nie wysyłać Ci w przyszłości niechcianych komunikatów (tzw. lista „opt-out” – zawiera tylko niezbędne dane identyfikujące, np. adres email). Podobnie, jeśli wyraziłeś inne zgody marketingowe (np. na kontakt telefoniczny), przechowujemy dane do czasu wycofania zgody lub ustania celu. W przypadku marketingu opartego na uzasadnionym interesie (np. kontakt z dotychczasowym klientem z nową ofertą) – będziemy przetwarzać dane dopóki nie zgłosisz sprzeciwu, jednak nie dłużej niż przez pewien rozsądny okres od zakończenia współpracy (obecnie przyjmujemy, że jest to maksymalnie 2 lata od zakończenia wycieczki, jeżeli w tym czasie nie wykażesz zainteresowania kolejną ofertą – bo potem nasz interes marketingowy słabnie). Oczywiście, konkretne maile/telefony mogą być np. 1-2 razy do roku, a nie stale.
• Dane z zapytań niezakończonych umową – Jeśli kontaktowałeś się z nami pytając o ofertę, ale ostatecznie nie doszło do rezerwacji, możemy przechowywać Twoje dane kontaktowe i historię zapytania przez pewien czas w celach analitycznych i obsługowych. Standardowo przechowujemy takie dane przez 1 rok od ostatniego kontaktu, na wypadek gdybyś ponownie się zgłosił (ułatwia nam to nawiązać do poprzednich ustaleń). Po tym okresie dane mogą zostać usunięte lub zanonimizowane, chyba że istnieje inna podstawa przechowywania (np. zgoda na dalszy marketing – wtedy obowiązuje jak wyżej).
• Logi systemowe i dane techniczne – Logi serwera przechowujemy typowo przez 3 miesiące. Cookies analityczne mają określony czas życia (np. cookie _ga Google Analytics jest ważne 2 lata, o ile nie usuniesz go wcześniej; cookie _gid – 24h; Pixel – 90 dni). Informacje z analityki i Pixel w naszych systemach: dane zdarzeń GA4 trzymamy 14 miesięcy w statystykach, jak wspomniano, potem automatycznie usuwają się z naszej widoczności (Google może przechowywać zagregowane dane dłużej, ale one nie dotyczą konkretnych użytkowników). Dane Pixel są w panelu Meta dostępne w formie agregatów historycznych (Meta nie określa jawnie okresu retencji wydarzeń Pixel, ale do tworzenia grup retargetingowych maksymalny zakres to 180 dni wstecz). My nie archiwizujemy danych Pixel poza platformą Meta.
• Dane w korespondencji e-mailowej – E-maile wymienione z Tobą mogą zawierać Twoje dane osobowe. Nasza poczta elektroniczna ma charakter służbowy, wiadomości archiwizujemy przez różne okresy w zależności od treści. Jeśli e-mail dotyczy realizacji umowy, może zostać zachowany przez okres jak dla dokumentacji umownej (do przedawnienia roszczeń). Jeśli to zapytanie ofertowe – jak wspomniano, do roku. Niemniej, staramy się nie przechowywać dużej ilości starych maili – regularnie wykonujemy przegląd i usuwamy niepotrzebne wiadomości. Masz prawo zażądać usunięcia konkretnych maili od nas, jeśli nie ma podstaw, by je dłużej trzymać.

Po upływie wskazanych okresów dane są usuwane lub poddawane anonimizacji (tj. nieodwracalnemu zatarciu elementów pozwalających na identyfikację osoby). Anonimizacja jest równoznaczna z usunięciem w kontekście RODO, gdyż po takiej operacji dane przestają być danymi osobowymi (nie można ich powiązać z żadną osobą). Przykładowo, możemy zachować pewne dane statystyczne o klientach (ile osób skorzystało z wycieczek w danym roku, z jakich miast pochodzili klienci – jeśli to kiedyś notowaliśmy) nawet po wielu latach, ale w formie zbiorczej, niezawierającej identyfikatorów osobowych.

W wyjątkowych okolicznościach pewne dane możemy przechowywać dłużej niż wyżej wskazano, jeśli będzie to konieczne do ustalenia, dochodzenia lub obrony roszczeń (np. jeżeli w związku z wyjazdem toczy się spór sądowy, wtedy przechowamy dane aż do prawomocnego zakończenia sprawy i wykonania ewentualnego orzeczenia). Również jeśli organy państwowe (np. urząd skarbowy) prowadzą postępowanie, możemy mieć obowiązek zachować dane nieco dłużej. Zawsze jednak kierujemy się zasadą ograniczenia okresu przechowywania i przeglądamy okresowo posiadane zbiory, by nie trzymać danych dłużej niż to naprawdę potrzebne.

Jeśli chcesz wiedzieć, czy Twoje konkretne dane wciąż u nas są, możesz skorzystać z prawa dostępu – poinformujemy Cię, czy już je usunęliśmy, czy jeszcze przechowujemy i dlaczego.

Zmiany w Polityce Prywatności

Niniejsza Polityka Prywatności może być okresowo aktualizowana lub zmieniana, w szczególności w przypadku: – zmiany przepisów prawa mających zastosowanie do naszej działalności (np. nowe wytyczne organów nadzorczych, nowelizacje RODO, PDPA lub przepisów krajowych), – wprowadzenia nowych funkcjonalności Serwisu lub usług, które wiążą się z nowym przetwarzaniem danych osobowych (np. uruchomienie sklepu online, programu lojalnościowego, integracji z nowymi partnerami), – zmian w procesach wewnętrznych lub strukturze naszej firmy (np. powołanie inspektora ochrony danych, zmiana danych kontaktowych, adresu siedziby).

Wszelkie zmiany Polityki zostaną opublikowane w Serwisie pod tym samym adresem (tj. w sekcji Polityki Prywatności). Data ostatniej aktualizacji na początku dokumentu zostanie zmieniona odpowiednio, abyś mógł łatwo zauważyć, że Polityka została zmodyfikowana. Zalecamy okresowe przeglądanie tej strony, aby być na bieżąco z ewentualnymi zmianami.

Jeżeli zmiany będą istotne (np. zmienią się podstawowe cele lub podstawy przetwarzania danych, które mogłyby wymagać Twojej zgody), poinformujemy Cię o nich również innymi kanałami – np. poprzez wyskakujące powiadomienie w Serwisie przy najbliższej wizycie, a w niektórych przypadkach (gdy wymagane) – drogą mailową. W sytuacji, gdyby któraś zmiana wymagała zgodnie z prawem ponownego uzyskania Twojej zgody (np. chcielibyśmy przetwarzać Twoje dane w nowym celu marketingowym), poprosimy Cię ponownie o zgodę.

Pamiętaj, że korzystanie z Serwisu po wprowadzeniu zmian oznacza akceptację nowej treści Polityki Prywatności (oczywiście w zakresie dozwolonym prawem – nie możemy zmieniać wstecznie Twoich praw czy wycofywać raz danego słowa). Jeżeli nie zgadzasz się z jakąkolwiek zmianą, masz prawo zażądać zaprzestania przetwarzania Twoich danych lub ich usunięcia (w granicach opisanych w sekcji o prawach).

Kontakt

W razie jakichkolwiek pytań, wniosków lub wątpliwości dotyczących niniejszej Polityki Prywatności bądź ogólnie kwestii przetwarzania Twoich danych osobowych przez AsiaTrip.pl, zachęcamy do kontaktu z nami.

Administrator danych:
AsiaTrip.pl (działająca w ramach AsiaTrip Travel Co., Ltd)
Adres: 38/1-3 39 หมู่ที่ 6 Bang Na-Trat Frontage Rd, Bang Kaeo, Bang Phli District, Samut Prakan 10540, Tajlandia.

Adres korespondencyjny w Polsce (przedstawiciel handlowy):
(Jeśli posiadamy polskiego przedstawiciela lub biuro – tutaj adres; jeśli nie, można pominąć ten blok.)

E-mail: info@asiatrip.plPreferujemy kontakt e-mailowy w sprawach ochrony danych – pozwoli to na najszybsze skierowanie sprawy do właściwej osoby i udzielenie Ci wyczerpującej odpowiedzi na piśmie. Możesz pisać w języku polskim lub angielskim.

Jeśli wolisz korespondencję tradycyjną, pisma (w języku polskim lub angielskim) kierowane na nasz adres w Tajlandii również dotrą do naszej administracji. Weź jednak pod uwagę, że z racji odległości odpowiedź listowna może potrwać dłużej.

W kwestiach pilnych możesz również zadzwonić – postaramy się udzielić informacji telefonicznie, choć w przypadku złożonych żądań (np. udostępnienia kopii danych) i tak poprosimy o potwierdzenie ich na piśmie z uwagi na procedury bezpieczeństwa.

Organ nadzorczy w Polsce: Jeśli masz zastrzeżenia co do sposobu, w jaki przetwarzamy Twoje dane, przysługuje Ci prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa, tel. 22 531 03 00, uodo.gov.pl).

Organ nadzorczy w Tajlandii: Możesz też skontaktować się z Office of Personal Data Protection Committee (PDPC) – w Tajlandii organem właściwym jest PDPC przy Ministry of Digital Economy and Society. Obecnie PDPC rozpatruje skargi od osób, których dane dotyczą, zgodnie z procedurami PDPA.

Mamy nadzieję, że przedstawione informacje są dla Ciebie jasne i wyczerpujące. Dziękujemy za zaufanie, jakim nas obdarzasz, powierzając nam swoje dane w związku z podróżą do Tajlandii. Z naszej strony dołożymy wszelkich starań, by Twoje dane były bezpieczne, a prywatność szanowana. Życzymy udanej i bezpiecznej podróży z AsiaTrip!