Політика конфіденційності
1. Загальні положення
Ця Політика конфіденційності має інформаційний характер та визначає правила обробки персональних даних Користувачів, які користуються веб-сайтом unisonhearts.pl (далі: «Сервіс»), за допомогою якого здійснюється продаж квитків на заходи, організовані під брендом Unison Hearts.
Політика не є джерелом зобов’язань для Користувачів, але є виконанням інформаційного обов’язку Адміністратора відповідно до ст. 13 GDPR.
2. Адміністратор персональних даних
Адміністратором персональних даних є:
| Назва: | Colorful Sp. z o.o |
| Торгова марка: | Unison Hearts |
| Місцезнаходження: | Краків, Польща |
| NIP: | 6772379072 |
| REGON: | 123025909 |
| KRS: | 0000494219 |
| Електронна пошта: | unisonhearts.pl@gmail.com |
Адміністратор не призначив Інспектора із захисту даних. З питань, пов’язаних із захистом персональних даних, можна звертатися за вказаною вище електронною адресою.
3. Спосіб збору персональних даних
Персональні дані Користувачів збираються через Сервіс наступним чином:
- надання персональних даних під час процесу купівлі квитка на захід;
- надання персональних даних під час опціональної реєстрації облікового запису в Сервісі;
- підписка на розсилку новин;
- збір даних за допомогою файлів cookie — виключно за попередньою згодою Користувача.
Надання персональних даних є добровільним, але необхідним для купівлі квитка та участі в заході. Ненадання необхідних даних унеможливлює укладення договору.
4. Обсяг оброблюваних даних
Залежно від дій, що здійснюються в Сервісі, ми обробляємо наступні категорії персональних даних:
- ім’я та прізвище,
- дата народження (для перевірки вікового цензу),
- адреса електронної пошти,
- номер телефону,
- дані про придбані квитки та історію замовлень,
- дані, добровільно надані учасником (наприклад, переваги щодо підбору учасників),
- NIP — опціонально, виключно для виставлення рахунку-фактури.
Віковий ценз: заходи, організовані Адміністратором, призначені виключно для осіб віком від 25 до 55 років. Надання дати народження служить для перевірки відповідності цій умові. Особи, які не відповідають віковому критерію, не можуть брати участь у заході.
5. Цілі та правові підстави обробки даних
Нижче наведено таблицю, що відображає цілі обробки даних, їх обсяг та правові підстави відповідно до GDPR:
| Тип даних | Мета обробки | Правова підстава |
| Ім’я, прізвище, електронна пошта, телефон, дата народження, історія замовлень, NIP (опціонально) | Укладення та виконання договору купівлі-продажу квитка; реєстрація облікового запису; обробка замовлень; надсилання квитків електронною поштою; розгляд скарг | Ст. 6 п. 1 л. b GDPR (виконання договору) |
| Ім’я, прізвище, електронна пошта, історія покупок | Виставлення та зберігання рахунків-фактур та бухгалтерських документів | Ст. 6 п. 1 л. c GDPR (юридичний обов’язок) |
| Ім’я, прізвище, електронна пошта, дані про покупки | Встановлення, захист або стягнення претензій | Ст. 6 п. 1 л. f GDPR (законний інтерес Адміністратора) |
| Адреса електронної пошти | Надсилання розсилки новин — інформації про майбутні заходи | Ст. 6 п. 1 л. a GDPR (згода) + ст. 172 Закону про телекомунікації |
| Переваги учасника | Підбір учасників (matching) — без розголошення даних іншим учасникам | Ст. 6 п. 1 л. a GDPR (згода) |
| Зображення (фото/відео) | Документація та просування заходів | Ст. 6 п. 1 л. a GDPR (згода) |
| Дані про активність з файлів cookie | Маркетинг, профілювання переваг Користувача | Ст. 6 п. 1 л. a GDPR (згода) |
| Дані з контактної форми | Надання відповідей на запитання Користувачів | Ст. 6 п. 1 л. f GDPR (законний інтерес Адміністратора) |
| Всі дані, що обробляються в ІТ-системах | Створення та зберігання резервних копій; забезпечення цілісності, доступності та конфіденційності систем | Ст. 32 п. 1 л. b та c GDPR |
6. Одержувачі персональних даних
Персональні дані Користувачів можуть бути надані наступним категоріям одержувачів:
- суб’єктам, що перевіряють квитки під час заходу (ім’я, прізвище, код замовлення, електронна пошта);
- платіжним посередникам (наприклад, PayU, операторам BLIK та платіжних карток);
- постачальникам програмного забезпечення за моделлю SaaS, що використовується Адміністратором;
- постачальникам ІТ-послуг та хостингу;
- Google Ireland Limited — у сфері послуг Google Analytics;
- Meta Platforms Ireland Limited — у сфері послуг Facebook Pixel та реклами на платформах Facebook та Instagram;
- TikTok Technology Limited — у сфері збору статистичних даних.
Персональні дані учасників не надаються іншим учасникам заходів або третім особам, за винятком суб’єктів, зазначених вище, які діють виключно на підставі договорів доручення обробки даних (ст. 28 GDPR).
7. Передача даних за межі Європейської економічної зони (ЄЕЗ)
Персональні дані Користувачів можуть передаватися до третіх країн (зокрема до Сполучених Штатів Америки) у зв’язку з використанням Адміністратором послуг, що надаються Google Inc. та Meta Platforms.
Передача даних здійснюється із застосуванням відповідних заходів безпеки, що вимагаються GDPR, зокрема стандартних договірних положень, затверджених Європейською Комісією. Користувач має право отримати копію даних, переданих до третьої країни.
8. Термін зберігання даних
Персональні дані зберігатимуться протягом періодів, необхідних для досягнення цілей, для яких вони були зібрані:
| Мета обробки | Термін зберігання |
| Виконання договору купівлі-продажу квитка | До моменту скасування реєстрації або до закінчення терміну позовної давності |
| Податкові та бухгалтерські зобов’язання | 5 років з кінця податкового року, відповідно до законодавства |
| Стягнення або захист претензій | До закінчення терміну позовної давності |
| Маркетинг (розсилка новин) | До моменту відкликання згоди |
| Дані з файлів cookie | Відповідно до налаштувань браузера або до моменту відкликання згоди |
| Обліковий запис Користувача | До моменту скасування реєстрації в Сервісі |
9. Права суб’єктів даних
Кожен Користувач, чиї дані обробляються Адміністратором, має наступні права:
Право доступу до даних (ст. 15 GDPR) — право на отримання підтвердження, чи обробляються дані, та доступу до них;
- Право на виправлення (ст. 16 GDPR) — право на негайне виправлення неточних або доповнення неповних даних;
- Право на видалення (ст. 17 GDPR) — право вимагати негайного видалення даних, якщо існують підстави, зазначені в цьому положенні;
- Право на обмеження обробки (ст. 18 GDPR) — право вимагати обмеження обробки даних у випадках, зазначених у цьому положенні;
- Право на перенесення даних (ст. 20 GDPR) — право на отримання даних у структурованому, загальновживаному форматі;
- Право на заперечення (ст. 21 GDPR) — право на заперечення проти обробки даних для цілей прямого маркетингу або на підставі законного інтересу;
- Право на відкликання згоди — у будь-який момент, без впливу на законність обробки до її відкликання;
- Право на подання скарги до Голови Управління із захисту персональних даних (вул. Ставки 2, 00-193 Варшава).
Для реалізації вищезазначених прав необхідно зв’язатися з Адміністратором електронною поштою за адресою: unisonhearts.pl@gmail.com.
10. Заперечення проти обробки даних для маркетингових цілей
Користувач має право подати заперечення проти обробки персональних даних для цілей прямого маркетингу, включаючи профілювання. Після подання заперечення Адміністратор не буде обробляти дані для цієї мети.
У сфері прямого маркетингу дані можуть оброблятися автоматизованим способом, включаючи профілювання, що полягає в аналізі поведінки Користувача в Сервісі та адаптації пропозиції до його переваг. Користувач має право не підлягати профілюванню.
11. Файли cookie та експлуатаційні дані
Сервіс використовує файли cookie (тістечка) — невеликі текстові файли, що зберігаються на пристрої Користувача.
Цілі використання файлів cookie:
- ідентифікація Користувача як авторизованого;
- запам’ятовування обраних квитків у кошику замовлень;
- запам’ятовування даних для входу;
- адаптація вмісту Сервісу до переваг Користувача;
- ведення анонімної статистики щодо використання Сервісу;
- ремаркетинг — показ персоналізованої реклами користувачам, які раніше відвідували Сервіс.
Зазвичай більшість інтернет-браузерів за замовчуванням приймають файли cookie. Користувач може змінити налаштування файлів cookie за допомогою налаштувань свого браузера, що, однак, може вплинути на функціональність Сервісу (наприклад, унеможливити купівлю квитка).
Адміністратор також обробляє анонімізовані експлуатаційні дані (IP-адреса, домен) для генерації статистики. Ці дані є агрегованими та анонімними — вони не містять ознак, що ідентифікують конкретних Користувачів.
12. Автоматизоване прийняття рішень та профілювання
Персональні дані Користувачів не використовуватимуться для автоматизованого прийняття рішень, що спричиняють юридичні наслідки або іншим чином суттєво впливають на ситуацію Користувача.
В обмеженому обсязі дані можуть використовуватися для підбору учасників заходів (так званий matching) на основі переваг, наданих Користувачем, виключно за його згодою. Ця дія не спричиняє юридичних наслідків і не впливає суттєво на ситуацію Користувача.
13. Безпека даних
Адміністратор застосовує відповідні технічні та організаційні заходи, що забезпечують захист оброблюваних персональних даних, зокрема:
- шифрування переданих даних (протокол SSL/TLS);
- контроль доступу до інформаційних систем;
- регулярне створення резервних копій;
- захист даних від їх розголошення несанкціонованим особам, втрати, знищення або пошкодження.
14. Добровільність надання даних
Адміністратор застосовує відповідні технічні та організаційні заходи, що забезпечують захист оброблюваних персональних даних, зокрема:
- шифрування переданих даних (протокол SSL/TLS);
- контроль доступу до інформаційних систем;
- регулярне створення резервних копій;
- захист даних від їх розголошення несанкціонованим особам, втрати, знищення або пошкодження.
15. Посилання на інші веб-сайти
Сервіс може містити посилання на інші веб-сайти. Адміністратор не несе відповідальності за політику конфіденційності, що застосовується цими сайтами. Рекомендуємо ознайомитися з політикою конфіденційності кожного відвідуваного зовнішнього сайту.
16. Зміни до Політики конфіденційності
Адміністратор залишає за собою право змінювати цю Політику конфіденційності. Будь-які зміни публікуватимуться на сторінці Сервісу із зазначенням дати набрання чинності. Використання Сервісу після внесення змін означає їх прийняття.