Politica de Confidențialitate (GDPR)

Protecția datelor dumneavoastră cu caracter personal reprezintă o prioritate pentru noi, motiv pentru care am adoptat măsuri tehnice și organizatorice adecvate pentru a asigura securitatea și confidențialitatea acestor date. Prezenta Politică de Confidențialitate explică ce date personale colectăm, cum și de ce le prelucrăm, precum și care sunt drepturile dumneavoastră în conformitate cu legislația aplicabilă privind protecția datelor (Regulamentul (UE) 2016/679 – GDPR, precum și legile naționale în vigoare).

Prin furnizarea datelor dumneavoastră personale pe site-ul sanctum.ro sau în contextul folosirii serviciilor noastre, vă exprimați acordul (acolo unde este necesar) și înțelegerea cu privire la faptul că aceste date vor fi prelucrate în conformitate cu prezenta politică și cu prevederile legale aplicabile. Vă asigurăm că vom prelucra datele personale în mod legal, echitabil și transparent, numai în scopurile specificate și temeinic justificate.

Operatorul de date și informații de contact

Datele personale colectate prin intermediul acestui site sunt prelucrate de SANCTUM GLAMPING S.R.L. (detaliat în secțiunea Termeni și Condiții), în calitate de Operator de date (Data Controller).

Operator: SANCTUM GLAMPING S.R.L., str. Dumitru Gheață nr. 2, bl. B3, sc. 3, ap. 36, Mun. Drobeta–Turnu Severin, jud. Mehedinți, J25/296/2021, CUI 44338527.

E-mail contact pentru protecția datelor: contact@sanctum.ro

Pentru orice întrebări legate de prelucrarea datelor dvs. personale sau pentru exercitarea drepturilor care vă revin conform GDPR (detaliate mai jos), ne puteți contacta la adresa de e-mail de mai sus.

Categoriile de date personale colectate

Sanctum colectează doar acele date personale care sunt necesare în raport cu scopurile menționate în această politică (principiul minimizării datelor). Aceste date pot include:

• Date de identificare: Nume și prenume;
• Date de contact: Adresă de e-mail, număr de telefon, adresă poștală (domiciliu/reședință) – dacă este necesară pentru facturare sau corespondență;
• Detalii rezervare: Date privind sejurul rezervat (de ex. datele sosirii și plecării, numărul de persoane, preferințe comunicate, observații speciale);
• Date de plată: Detalii privind tranzacțiile efectuate (suma plătită, data plății, metoda) și, uneori, date de facturare (cum ar fi adresa, pentru emiterea facturii fiscale). Notă: Datele complete ale cardului bancar nu sunt stocate de Sanctum – acestea sunt procesate direct de furnizorul nostru de servicii de plată securizat;
• Date tehnice de navigare: Adresa IP, tipul dispozitivului și al browser-ului folosit, pagini accesate pe site, date și ore ale vizitelor, așa cum sunt colectate prin cookie-uri și tehnologii similare (vezi Politica de Cookies);
• Date de marketing: Adresa de e-mail (și eventual numele) furnizată pentru abonarea la newsletter sau pentru a primi oferte promoționale;
• Alte informații pe care ni le puteți transmite în mod voluntar: feedback, recenzii, răspunsuri la eventuale chestionare, preferințe personale (ex: solicitări privind regimul alimentar, alergii, ocazii speciale pentru care se face rezervarea etc.).

Sanctum nu solicită și nu prelucrează cu bună știință categorii speciale de date personale prin intermediul site-ului (cum ar fi date privind sănătatea, opiniile politice, convingerile religioase, date genetice sau biometrice etc.), nici date ale minorilor sub 16 ani fără consimțământul verificabil al părinților. Vă rugăm să nu ne transmiteți astfel de date sensibile prin formularele site-ului. În situația rară în care ar fi necesar să prelucrăm date sensibile (de exemplu, un caz de accident survenit la locația noastră ce implică date medicale), vom acționa conform legii și cu garanții adecvate.

Scopurile și temeiurile prelucrării datelor

Sanctum colectează și prelucrează datele dvs. personale doar în scopuri legitime, bine determinate, și în baza unui temei legal conform GDPR. În continuare detaliem aceste scopuri de prelucrare și temeiurile legale aferente:

1. Furnizarea serviciilor de cazare și administrarea rezervărilor

Folosim datele de identificare și contact pentru a înregistra și confirma rezervarea făcută de dvs., pentru a vă contacta cu privire la detaliile sejurului (confirmări, eventuale modificări sau anulări) și pentru a vă oferi serviciile de cazare solicitate. De asemenea, prelucrăm aceste date pentru a întocmi documentele necesare (ex: contract de prestări servicii turistice dacă se impune, fișa de anunțare a sosirii și plecării - cerută de autorități, etc.).

Temei legal: executarea unui contract la care persoana vizată (clientul) este parte – conform art. 6 alin. (1) lit. b GDPR. Furnizarea acestor date este o condiție necesară pentru încheierea și derularea contractului de cazare; refuzul furnizării poate conduce la imposibilitatea onorării rezervării.

2. Plata și conformitatea financiar-contabilă

Prelucrăm datele necesare efectuării plăților online (ex. ID tranzacție, status plată) și emiterii facturilor fiscale către clienți, conform legii. De asemenea, putem prelucra datele în scopul gestionării eventualelor restituiri de avansuri, anulări sau compensări.

Temei legal: îndeplinirea unei obligații legale care revine operatorului – art. 6 alin. (1) lit. c GDPR, coroborat cu legislația financiar-fiscală (de exemplu, păstrarea documentelor contabile pe o durată minimă impusă de lege).

3. Comunicări cu clientul și asistență clienți

Vom folosi datele de contact pentru a comunica cu dvs. înainte, în timpul și după sejur, la cererea dvs. sau pentru a vă transmite informații importante despre rezervare. De exemplu, dacă apar situații neprevăzute (ex: indisponibilitatea temporară a unei facilități) sau pentru a vă solicita feedback după ședere.

Temei legal: interesul nostru legitim de a asigura servicii de calitate și satisfacția clienților – art. 6 alin. (1) lit. f GDPR, precum și, după caz, executarea contractului (pentru comunicările strict necesare prestării serviciilor).

4. Marketing direct (newsletter și oferte promoționale)

Dacă v-ați abonat voluntar la newsletter-ul nostru prin intermediul site-ului (de exemplu, ați introdus adresa de email și v-ați dat consimțământul explicit), vom utiliza datele furnizate (în principal adresa de e-mail) pentru a vă trimite periodic buletine informative, oferte speciale, noutăți despre serviciile și evenimentele noastre. De asemenea, dacă ați efectuat o rezervare la noi, este posibil să vă includem în campanii de marketing direct privind servicii similare celor achiziționate, pe baza interesului nostru legitim de a ne fideliza clienții și a-i informa despre oferte care i-ar putea interesa.

Temei legal: consimțământul persoanei vizate – art. 6 alin. (1) lit. a GDPR – pentru persoanele care își lasă datele în scop de marketing (abonare voluntară), respectiv interesul legitim – art. 6 alin. (1) lit. f GDPR – pentru comunicări de marketing către clienții existenți privind produse/servicii similare, în limitele permise de lege.

În cazul marketingului bazat pe interesul legitim, ne asigurăm că respectăm dreptul dumneavoastră de opoziție, putând oricând să vă dezabonați sau să ne solicitați încetarea acestor comunicări. Vom include întotdeauna o opțiune simplă de dezabonare (un link de „Unsubscribe"/„Dezabonare" în email) în comunicările de marketing, astfel încât vă puteți retrage ușor și în orice moment acordul sau vă puteți opune prelucrării în scop de marketing direct. Odată ce optați pentru dezabonare, nu veți mai primi asemenea comunicări.

5. Analize interne și îmbunătățirea serviciilor

Putem prelucra anumite date (inclusiv agregate/anonimizate) despre rezervările și preferințele clienților, feedback-ul oferit, statistici de utilizare a site-ului, în scopul analizei interne a afacerii noastre – de exemplu, pentru a înțelege tendințele de ocupare, pentru a îmbunătăți oferta de servicii, pentru a optimiza site-ul și experiența utilizatorilor etc.

Temeiul acestor prelucrări: interesul nostru legitim de a ne dezvolta și eficientiza activitatea (art. 6 alin. (1) lit. f GDPR), asigurându-ne totodată că acest interes nu vă afectează în mod disproporționat drepturile (ori folosim date anonime, ori aplicăm pseudonimizare și limităm accesul, astfel încât impactul asupra confidențialității să fie minim).

6. Profilare în scop de marketing personalizat

În anumite situații, Sanctum poate realiza o profilare ușoară a clienților săi, adică o analiză a datelor pe care ni le-ați furnizat (de ex. istoricul rezervărilor, preferințe exprimate, interese deduse din interacțiunile cu site-ul) pentru a adapta comunicările de marketing la profilul și interesele dumneavoastră. De exemplu, dacă ați rezervat frecvent sejururi în cuplu, este posibil să vă trimitem oferte pentru pachete romantice; sau dacă ne-ați indicat un interes pentru anumite activități (drumeții, sporturi etc.), să vă informăm despre acele facilități.

Profilarea realizată de noi nu produce efecte juridice sau similare semnificative asupra dumneavoastră (nu există consecințe negative, ci doar personalizarea ofertelor) și se bazează fie pe consimțământul dumneavoastră (dacă este separată de marketingul general), fie pe interesul nostru legitim de a ne eficientiza marketingul. În orice caz, aveți dreptul de a refuza sau opri oricând acest tip de profilare, fie prin dezabonarea de la comunicările comerciale, fie printr-o solicitare trimisă către noi. Vom înceta imediat prelucrarea datelor dvs. în scop de profilare pentru marketing direct dacă vă opuneți, fără consecințe negative în privința dreptului de a utiliza serviciile noastre.

7. Respectarea obligațiilor legale și intereselor legitime

Pot exista situații în care va trebui să prelucrăm datele dvs. pentru a ne conforma unor obligații legale (ex: solicitări justificative din partea autorităților, raportări financiar-contabile, obligații de arhivare, verificări anti-fraudă) sau pentru a ne apăra drepturile și interesele în justiție (ex: gestionarea unor plângeri sau litigii).

Temei legal: obligație legală (art. 6 alin. (1) lit. c) – de exemplu, obligația de a transmite date către autoritățile fiscale sau de turism; interes legitim (art. 6 alin. (1) lit. f) – de exemplu, pentru constatarea, exercitarea sau apărarea unui drept în instanță.

Sanctum nu folosește datele dvs. personale pentru decizii exclusiv automatizate care să vă afecteze in mod semnificativ (adică nu există un proces decizional automat fără intervenție umană care să producă efecte juridice asupra dvs. sau să vă afecteze similar într-o măsură semnificativă, conform art. 22 GDPR). Orice decizie importantă privind relația cu dumneavoastră va implica factor uman. De asemenea, nu vindem și nu înstrăinăm datele dumneavoastră către terțe părți în scopuri de marketing independent, fără consimțământ.

Destinatarii datelor cu caracter personal

În desfășurarea activităților descrise, este posibil să dezvăluim anumite date personale către terți, însă numai în condiții de confidențialitate și cu garantarea protecției adecvate a datelor. Astfel de destinatari pot include:

• Procesatori împuterniciți de Sanctum: parteneri care ne furnizează servicii auxiliare necesare (de ex. platforma de rezervări online, serviciul de găzduire web, serviciul de trimitere newsletter/email marketing, furnizorul serviciului de procesare plăți online, serviciul de contabilitate, consultanți IT etc.). În relația cu acești împuterniciți, ne asigurăm contractual că ei prelucrează datele exclusiv conform instrucțiunilor noastre și în deplină securitate.
• Instituții financiar-bancare: în măsura necesară procesării plăților sau rambursărilor (de ex. banca noastră și banca clientului, procesatorul de carduri). Aceste entități au propriile obligații de protecție a datelor și pot acționa ca operatori de sine stătători pentru informațiile de plată.
• Autorități publice (ex: organe fiscale, autorități de turism, poliție, instanțe judecătorești) – doar în cazul în care există o obligație legală de divulgare a datelor sau dacă acestea le solicită în mod justificat, conform legii. De exemplu, datele din fișa de cazare pot fi accesate de organele de poliție conform reglementărilor, sau evidențele financiar-contabile pot fi auditate de autoritățile fiscale.
• Consilieri profesionali: avocați, contabili, auditori, în cazul în care divulgarea este necesară pentru exercitarea sau apărarea unui drept al nostru (de exemplu, în cazul unui litigiu cu un client, vom putea transmite avocaților informațiile relevante despre rezervare).

Toate terțele părți către care transmitem sau care pot accesa date personale vor fi obligate (prin lege sau contract) să păstreze confidențialitatea datelor și să le folosească strict în scopul pentru care le-au primit. Sanctum nu va divulga și nu transferă date personale către terți pentru ca aceștia să le folosească în scopuri proprii de marketing, în absența consimțământului explicit al persoanei vizate.

În prezent, datele dvs. nu sunt transferate în afara Spațiului Economic European (SEE). Dacă în viitor ar fi necesar un astfel de transfer (de exemplu, către un furnizor de servicii situat în afara SEE), Sanctum va asigura implementarea unui mecanism legal adecvat de protecție (precum o decizie de adecvare a Comisiei Europene sau Clauze Contractuale Standard) și vă va informa în prealabil, în conformitate cu art. 44-49 GDPR.

Păstrarea datelor (retenție)

Păstrăm datele dvs. personale numai atât timp cât este necesar pentru îndeplinirea scopurilor pentru care au fost colectate sau cât impun obligațiile legale (de exemplu, perioadele de arhivare). Durata concretă de stocare diferă în funcție de natura datelor și scopul prelucrării:

• Datele de rezervare și sejur (informații despre clienți și rezervările lor) – se păstrează în evidențele noastre active pe durata relației contractuale (până la finalizarea sejurului) și o perioadă rezonabilă după, de regulă 3 ani, pentru a putea gestiona eventuale reclamații, solicitări ulterioare sau repetarea rezervării. Anumite date pot fi păstrate mai mult timp dacă sunteți un client recurent, într-o bază de date de clienți fideli, dar nu vor fi folosite în alt scop fără consimțământ.
• Datele financiare și documentele contabile (facturi, chitanțe, evidențe de plată ce pot conține nume și adresă) – se păstrează conform obligațiilor legale fiscale, de exemplu 10 ani de la încheierea exercițiului financiar în cursul căruia au fost întocmite documentele, conform legislației financiar-contabile din România.
• Datele colectate pentru marketing direct (newsletter) – se păstrează până la retragerea consimțământului (dezabonare) sau până la exercitarea dreptului de opoziție. Odată ce v-ați dezabonat de la newsletter sau ne-ați solicitat să nu vă mai contactăm, nu vom mai folosi datele dvs. de contact în scop de marketing. Vom marca în sistem această opțiune și vom păstra minimal informația necesară pentru a ne asigura că nu veți mai fi contactat (o listă de excludere), decât dacă ne indicați că doriți ștergerea completă a datelor (dreptul de a fi uitat).
• Datele tehnice de acces și navigare (log-uri de server, jurnale securitate) – de obicei se păstrează pentru o perioadă scurtă, de exemplu 30 de zile, exceptând situațiile în care sunt necesare investigări suplimentare (de exemplu, un incident de securitate) unde log-urile pot fi păstrate până la rezolvarea completă a problemei.
• Alte date transmise prin corespondență (emailuri, formulare de contact) – se păstrează atât timp cât este necesar pentru scopul corespondenței. De exemplu, o solicitare de informații fără rezervare ulterioară va fi păstrată până la oferirea răspunsului final plus o perioadă de ~6 luni; o reclamație va fi păstrată cel puțin pe durata soluționării și termenul de prescripție aplicabil.

După expirarea perioadei de retenție aplicabile, sau la cererea dvs. legitimă de ștergere, vom proceda fie la ștergerea securizată a datelor personale, fie la anonimizarea lor (astfel încât să nu mai poată fi asociate de noi cu o persoană identificată).

Drepturile dumneavoastră

Conform GDPR, în calitate de persoană vizată, beneficiați de o serie de drepturi privind datele dumneavoastră cu caracter personal. Sanctum respectă pe deplin aceste drepturi și a stabilit proceduri interne pentru facilitarea exercitării lor. Drepturile principale de care dispuneți sunt enumerate mai jos:

• Dreptul de acces – Aveți dreptul de a obține de la noi o confirmare că prelucrăm sau nu date personale care vă privesc și, în caz afirmativ, acces la respectivele date și informații despre modul în care sunt prelucrate (scopuri, categorii de date, destinatari, perioadă de stocare etc.). Practic, puteți solicita o copie a datelor personale pe care le deținem despre dumneavoastră.
• Dreptul la rectificare – Aveți dreptul să ne solicitați corectarea sau completarea datelor personale inexacte ori incomplete care vă privesc. Vom acționa prompt la orice cerere de rectificare justificată, asigurând acuratețea datelor.
• Dreptul la ștergerea datelor („dreptul de a fi uitat") – În anumite situații, ne puteți cere să ștergem datele personale care vă privesc, de exemplu dacă acestea nu mai sunt necesare pentru scopurile pentru care le-am colectat sau dacă v-ați retras consimțământul și nu există alt temei legal pentru prelucrar. Vom analiza fiecare cerere de ștergere pentru a vedea dacă sunt îndeplinite condițiile legale (spre exemplu, nu putem șterge date pe care avem obligația legală să le păstrăm pentru o anumită perioadă, cum sunt facturile fiscale, sau date necesare pentru constatarea unui drept în instanță). În caz de refuz justificat al cererii de ștergere, vă vom comunica motivul refuzului și durata de stocare rămasă.
• Dreptul la restricționarea prelucrării – Aveți dreptul de a obține restricționarea prelucrării datelor în anumite cazuri (de ex., contestați exactitatea datelor – pentru perioada necesară verificării, sau prelucrarea este ilegală dar nu doriți ștergerea datelor, sau ați formulat opoziție la prelucrare – pentru intervalul în care se verifică dacă interesele noastre legitime prevalează). Restricționarea înseamnă că datele vor fi doar stocate, fără a mai fi supuse altor prelucrări (exceptând stocarea și utilizarea în scopuri legale, de exemplu pentru constatarea unui drept).
• Dreptul la portabilitatea datelor – Aveți dreptul să primiți de la noi datele personale pe care ni le-ați furnizat, într-un format structurat, utilizat în mod curent și care poate fi citit automat (de ex. CSV) și aveți dreptul să solicitați ca aceste date să fie transmise direct altui operator, dacă acest lucru este fezabil din punct de vedere tehnic. Acest drept se aplică doar pentru datele furnizate de dvs. și prelucrate prin mijloace automate, în baza consimțământului sau a unui contract.
• Dreptul la opoziție – Aveți dreptul să vă opuneți, din motive legate de situația particulară în care vă aflați, prelucrărilor întemeiate pe interesul nostru legitim, inclusiv creării de profiluri pe acest temei. Ne vom conforma cererii de opoziție exceptând cazul în care putem demonstra că avem motive legitime și imperioase care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților dvs. De asemenea, vă puteți opune în orice moment prelucrării datelor în scop de marketing direct, inclusiv profilării asociate marketingului, fără nicio justificare – iar în acest caz vom înceta de îndată astfel de prelucrări.
• Dreptul de a nu fi supus(ă) unei decizii automatizate individuale – Sanctum nu ia decizii exclusiv automate cu efecte semnificative, însă vă aducem la cunoștință că GDPR vă garantează dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrare automată (fără intervenție umană), inclusiv profilare, care produce efecte juridice ce vă privesc sau vă afectează similar într-o măsură semnificativă (cu excepția cazului în care o astfel de decizie este necesară pentru un contract, este autorizată de lege sau este bazată pe consimțământul explicit și sunt garantate măsuri de protecție).
• Dreptul de a vă adresa justiției și dreptul de a depune o plângere la autoritatea de supraveghere – Dacă considerați că v-au fost încălcate drepturile privind protecția datelor, aveți dreptul de a vă adresa Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), precum și dreptul de a introduce o acțiune în justiție. Plângerea la ANSPDCP nu exclude acțiunea în instanță și viceversa.

Autoritatea de supraveghere din România

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
Adresa: B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, cod poștal 010336, București, România
E-mail: anspdcp@dataprotection.ro | Tel: +40 318 059 211

Ne dorim să rezolvăm orice problemă pe cale amiabilă, așa că vă încurajăm ca, înainte de a face o plângere oficială, să ne contactați și să ne acordați oportunitatea de a remedia orice nemulțumire.

Exercitarea drepturilor

Vă puteți exercita oricare dintre drepturile de mai sus trimițând o solicitare scrisă, datată și semnată, la adresa noastră de e-mail contact@sanctum.ro sau prin poștă la adresa sediului social menționată. Vom răspunde cererii dvs. în cel mult o lună de la primirea acesteia, termen ce poate fi prelungit cu încă maxim două luni în funcție de complexitatea sau numărul cererilor (veți fi informat despre orice eventuală întârziere și motivele acesteia). Exercitarea drepturilor este gratuită; totuși, în cazul în care formularea unei cereri este vădit nefondată sau excesivă (de exemplu, caracter repetitiv), ne rezervăm dreptul fie de a percepe o taxă rezonabilă (pentru a acoperi costurile administrative), fie de a refuza cererea, în conformitate cu prevederile GDPR.

Securitatea datelor personale

Sanctum acordă o importanță deosebită securității datelor dvs. personale. Am implementat măsuri tehnice (ex: metode de criptare pentru date sensibile, protocoale de securitate la transmiterea datelor – HTTPS, stocare securizată, backup regulat) și măsuri organizatorice (ex: instruirea personalului, politici interne de acces la date, clauze de confidențialitate) menite să protejeze datele împotriva accesului neautorizat, a pierderii, distrugerii sau divulgării neautorizate.

Deși facem tot posibilul pentru a proteja informațiile personale, trebuie să conștientizați că nicio transmitere de date prin internet nu este 100% sigură. În cazul puțin probabil al unui incident de securitate (de ex. o breșă de securitate) care v-ar putea afecta drepturile și libertățile, ne angajăm să respectăm obligațiile legale de notificare: vom informa Autoritatea de Supraveghere în termen de 72 de ore de la constatare și, dacă este necesar, vă vom informa și pe dumneavoastră fără întârzieri nejustificate, în conformitate cu art. 33-34 GDPR.

Este important și ca dumneavoastră să luați măsuri pentru a vă proteja datele – de exemplu, nu divulgați altora detaliile de autentificare (dacă aveți cont pe site), asigurați-vă că folosiți o conexiune sigură când ne transmiteți informații etc.

Modificări ale Politicii de Confidențialitate

Prezenta Politică de Confidențialitate poate fi actualizată periodic, în special dacă intervin schimbări în modul în care prelucrăm datele sau apar modificări legislative relevante. Vom publica orice nouă versiune a politicii pe site, iar dacă modificările sunt semnificative, le vom semnala într-un mod vizibil (de exemplu, printr-o notificare pe site sau pe email). Data ultimei actualizări este indicată la finalul documentului. Vă încurajăm să verificați această pagină din când în când pentru a rămâne la curent cu eventualele modificări. Continuarea utilizării serviciilor Sanctum după intrarea în vigoare a unei versiuni actualizate a Politicii de Confidențialitate va semnifica luarea la cunoștință și (după caz) acceptarea modificărilor.

Dacă vom dori să folosim datele dvs. într-un scop nou, care nu este acoperit de prezenta informare, vă vom furniza o notificare separată și, dacă e cazul, vă vom solicita consimțământul acolo unde legea o impune.

În cazul în care aveți întrebări, nelămuriri sau doriți orice clarificare suplimentară cu privire la Politica noastră de Confidențialitate sau modul în care Sanctum prelucrează datele dvs. personale, nu ezitați să ne contactați la contact@sanctum.ro. Vom reveni cu un răspuns cât mai curând posibil.