Polityka prywatności

Administrator danych

Administratorem Twoich danych osobowych jest Łukasz Ryłko, prowadzący jednoosobową działalność gospodarczą pod firmą „Łukasz Ryłko — Przewodnik Tatrzański", z siedzibą: Os. Kasprusie 13 lok. 5, 34-500 Zakopane, NIP: 7361750140, REGON: 529530576 (dalej: Administrator). Kontakt z Administratorem we wszystkich sprawach związanych z ochroną danych: kontakt@tatractive.pl, tel. +48 508 710 246. Administrator nie wyznaczył Inspektora Ochrony Danych — kontakt w sprawach ochrony danych odbywa się bezpośrednio z Administratorem.

Zakres zbieranych danych

• Formularz rezerwacji: imię i nazwisko, e-mail, telefon, liczba uczestników, opcjonalne uwagi (w tym informacje o stanie zdrowia istotne dla bezpieczeństwa)
• Formularz kontaktowy: imię, e-mail, telefon (opcjonalnie), treść wiadomości
• Płatności: dane przetwarzane przez Stripe (nie przechowujemy danych kart płatniczych — otrzymujemy jedynie identyfikator transakcji i status płatności)
• Cookies: pliki techniczne niezbędne do działania strony, analityczne (Google Analytics) i marketingowe (Google Ads) — wyłącznie po Twojej zgodzie
• Wizerunek: zdjęcia z wycieczki (wyłącznie po Twojej zgodzie wyrażonej przy rezerwacji lub na miejscu zbiórki — § 26 Regulaminu)

Cel przetwarzania danych

• Realizacja umowy o usługę przewodnicką (rezerwacja, płatność, kontakt w sprawie wycieczki)
• Obsługa płatności i wystawienie dokumentu księgowego (faktura/paragon)
• Odpowiadanie na zapytania z formularza kontaktowego
• Analiza ruchu na stronie (Google Analytics 4 — wyłącznie po zgodzie)
• Marketing i mierzenie skuteczności reklam (Google Ads — wyłącznie po zgodzie)
• Dochodzenie lub obrona przed roszczeniami (po zakończeniu umowy)
• Zapewnienie bezpieczeństwa Uczestnika podczas wycieczki (informacje o stanie zdrowia z pola „Uwagi" rezerwacji — przetwarzane jako dane szczególnej kategorii zgodnie z art. 9 ust. 2 lit. a RODO na podstawie zgody)

Podstawa prawna przetwarzania

• Wykonanie umowy o usługę przewodnicką (rezerwacja, płatność, kontakt w sprawie wycieczki) — art. 6 ust. 1 lit. b RODO
• Obsługa płatności i dokumentacja księgowa — art. 6 ust. 1 lit. c RODO (obowiązek prawny — przepisy podatkowe i rachunkowe)
• Odpowiedź na zapytanie z formularza kontaktowego — art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes — komunikacja z osobą zainteresowaną ofertą)
• Analityka ruchu (Google Analytics 4) i marketing (Google Ads) — art. 6 ust. 1 lit. a RODO (zgoda wyrażona w banerze cookies)
• Wizerunek (zdjęcia z wycieczki) — art. 6 ust. 1 lit. a RODO (zgoda) + art. 81 ustawy o prawie autorskim
• Dane o stanie zdrowia — art. 9 ust. 2 lit. a RODO (zgoda na przetwarzanie danych szczególnej kategorii)
• Dochodzenie / obrona przed roszczeniami — art. 6 ust. 1 lit. f RODO (uzasadniony interes)

Prawnie uzasadnione interesy

• odpowiedź na zapytanie skierowane przez formularz kontaktowy lub e-mail (komunikacja z osobą zainteresowaną ofertą)
• zapewnienie bezpieczeństwa strony i ochrona przed nadużyciami (zabezpieczenie przed atakami botów, monitorowanie nieprawidłowości)
• dochodzenie lub obrona przed roszczeniami (po zakończeniu umowy, do upływu terminów przedawnienia)

Pamiątkowy album po wycieczce

• Zakres danych: zdjęcia uczestników z danej wycieczki oraz adres e-mail podany przy rezerwacji.
• Album jest prywatny - dostępny wyłącznie pod indywidualnym, niezgadywalnym linkiem i nieindeksowany przez wyszukiwarki. Nie publikujemy go nigdzie publicznie.
• Album i zdjęcia przechowujemy maksymalnie 365 dni od wysłania, po czym są trwale usuwane.
• W każdej chwili możesz wnieść sprzeciw wobec przetwarzania lub zażądać usunięcia zdjęć - wystarczy wiadomość na kontakt@tatractive.pl, a usuniemy je niezwłocznie.

Okres przechowywania danych

• Dane rezerwacji i płatności — 5 lat od końca roku, w którym wystawiono dokument księgowy (art. 86 § 1 Ordynacji podatkowej, art. 74 ust. 2 ustawy o rachunkowości)
• Dane do dochodzenia / obrony roszczeń — do 6 lat od zakończenia umowy (art. 118 KC dla działalności gospodarczej; dla konsumentów typowo 3 lata)
• Dane z formularza kontaktowego — do 30 dni od zakończenia korespondencji (chyba że doszło do zawarcia umowy — wtedy obowiązują okresy umowne)
• Dane Google Analytics 4 — do 14 miesięcy (domyślne ustawienie GA4)
• Cookies — zgodnie z czasem życia konkretnego pliku cookie wymienionego w sekcji „Pliki cookies"
• Wizerunek (zdjęcia z wycieczki) — do cofnięcia zgody (zdjęcia są usuwane w terminie 14 dni od żądania)
• Dane o stanie zdrowia z pola „Uwagi" rezerwacji — wraz z całą rezerwacją 5 lat (przepisy podatkowe); informacje przekazane ustnie Przewodnikowi są niszczone po zakończeniu wycieczki

Twoje prawa

• Dostępu do swoich danych osobowych (art. 15 RODO)
• Sprostowania (poprawienia) danych (art. 16 RODO)
• Usunięcia danych — „prawo do bycia zapomnianym" (art. 17 RODO)
• Ograniczenia przetwarzania (art. 18 RODO)
• Przenoszenia danych (art. 20 RODO)
• Wniesienia sprzeciwu wobec przetwarzania (art. 21 RODO)
• Cofnięcia zgody w dowolnym momencie — bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem. Cofnąć zgodę na cookies można poprzez link „Zarządzaj cookies" w stopce. Cofnąć zgodę na wizerunek lub inne kategorie można przez kontakt e-mail z Administratorem.
• Wniesienia skargi do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl

Wymóg podania danych

Podanie danych osobowych w formularzu rezerwacji jest dobrowolne, ale niezbędne do zawarcia i wykonania umowy o usługę przewodnicką. Niepodanie wymaganych danych (imię, nazwisko, e-mail, telefon, liczba uczestników) uniemożliwia dokonanie rezerwacji. Pole „Uwagi" jest opcjonalne, ale zalecamy zgłoszenie w nim okoliczności zdrowotnych istotnych dla bezpieczeństwa (§ 11 Regulaminu). Podanie danych w formularzu kontaktowym jest dobrowolne — bez nich Administrator nie może odpowiedzieć na zapytanie.

Automatyczne podejmowanie decyzji i profilowanie

Administrator nie podejmuje wobec użytkowników decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, wywołujących wobec nich skutki prawne lub w podobny sposób istotnie na nich wpływających (art. 22 RODO). Google Analytics i Google Ads wykorzystują techniki profilowania w celach analitycznych i reklamowych, jednak ich wynik nie jest przez Administratora wykorzystywany do indywidualnych decyzji wobec konkretnego użytkownika.

Odbiorcy danych

• Stripe Payments Europe Ltd. (Irlandia) i Stripe Inc. (USA) — obsługa płatności online, certyfikat PCI DSS
• Supabase Inc. — hosting bazy danych (region UE, Frankfurt)
• Vercel Inc. (USA) — hosting strony internetowej
• Google LLC (USA) — analityka (Google Analytics 4) i reklamy (Google Ads) — wyłącznie po Twojej zgodzie
• Karolina Gac — licencjonowany przewodnik tatrzański III klasy, prowadzi wybrane wycieczki na podstawie umowy o współpracy z Administratorem (dane przetwarzane wyłącznie w celu wykonania umowy)
• Meta Platforms Inc. (USA — WhatsApp/Instagram/Facebook) — wyłącznie jeśli wyrazisz zgodę na dołączenie do grupy komunikacyjnej WhatsApp wycieczki (§ 26 Regulaminu) lub na publikację wizerunku w mediach społecznościowych
• Służby ratunkowe (TOPR, Horská záchranná služba) — wyłącznie w sytuacji zagrożenia życia lub zdrowia Uczestnika (przekazanie informacji niezbędnych do akcji ratunkowej)
• Organy administracji publicznej — wyłącznie na żądanie organów uprawnionych (urząd skarbowy, sąd, prokuratura, policja) na podstawie obowiązujących przepisów prawa

Transfer danych poza Europejski Obszar Gospodarczy (EOG)

• Stripe Inc. (USA) — obsługa płatności online
• Vercel Inc. (USA) — hosting strony
• Google LLC (USA) — analityka (Google Analytics 4) i reklamy (Google Ads)
• Meta Platforms Inc. (USA) — WhatsApp / Instagram / Facebook

Google Analytics 4 i Google Ads

Google Analytics 4 zbiera dane o sposobie korzystania ze strony (przeglądane podstrony, czas spędzony, rodzaj urządzenia, przybliżona lokalizacja na podstawie adresu IP — IP nie jest przechowywane). Choć Google deklaruje, że IP nie jest rejestrowane, dane GA4 mogą zawierać identyfikatory pozwalające pośrednio zidentyfikować użytkownika, dlatego są przetwarzane jako dane osobowe na podstawie zgody (art. 6 ust. 1 lit. a RODO). Stosujemy mechanizm Google Consent Mode v2 — domyślnie wszystkie zgody (analytics_storage, ad_storage, ad_user_data, ad_personalization) są oznaczone jako „denied" i Google nie zbiera żadnych danych do czasu Twojej wyraźnej zgody w bannerze cookies.

Pliki cookies — kategorie i zarządzanie zgodą

Używamy trzech kategorii cookies: (1) niezbędne — wymagane do działania strony (preferencja języka, sesja rezerwacji, ochrona CSRF), nie wymagają zgody; (2) analityczne — Google Analytics 4, pomagają zrozumieć, jak korzystasz ze strony, wymagają Twojej zgody; (3) marketingowe — Google Ads (remarketing, mierzenie skuteczności reklam), wymagają Twojej zgody. Cookies analityczne i marketingowe włączamy wyłącznie po Twojej zgodzie wyrażonej w bannerze. Zgodę możesz wycofać lub zmienić w każdej chwili przez link „Zarządzaj cookies" w stopce strony, a także zarządzać cookies w ustawieniach przeglądarki.

Szczegółowa lista plików cookies

Lista jest aktualizowana w miarę zmian. Faktyczne pliki cookies aktywne w danej chwili można sprawdzić w narzędziach przeglądarki (DevTools → Application → Cookies).

Newsletter i komunikacja marketingowa

Administrator nie prowadzi obecnie newslettera, listy mailingowej ani innej regularnej komunikacji marketingowej. Dane kontaktowe podane przez Klienta w celu zawarcia umowy o usługę przewodnicką (e-mail, telefon) nie są wykorzystywane do celów marketingowych ani do wysyłki ofert handlowych. W przypadku uruchomienia w przyszłości newslettera, korzystanie z niego będzie wymagało odrębnej, dobrowolnej i wyraźnej zgody Klienta wyrażonej osobno (osobny checkbox „Zapisz mnie do newslettera"), zgodnie z art. 6 ust. 1 lit. a RODO oraz art. 10 ustawy o świadczeniu usług drogą elektroniczną.