隐私政策

§1. 个人数据控制者

1. 根据2016年4月27日欧洲议会和理事会第 (EU) 2016/679 号条例（“GDPR”）的含义， 您个人数据的控制者为：
   • 注册地址： Al. Jerozolimskie 125/127, 02-017 Warszawa
   • NIP（税号）： 1230850240，REGON： 015874032
   • 已登记于经济活动中央登记和信息系统（CEIDG）
   • 以下称为“控制者”或“WLR Apartments”。
2. 可通过以下方式联系控制者：
   • 电子邮件： rodo@wlrapartments.pl
   • 电话： +48 602 221 241
   • 邮寄： 寄至上述注册地址。
3. 控制者未指定数据保护官。有关个人数据处理的 所有事宜，请通过上述电子邮件地址与我们 联系。

§2. 处理的目的和法律依据

1. 您的个人数据出于以下目的而被处理：
   1. 短期租赁合同的订立和履行（公寓预订、 入住接待、就预订相关事宜进行联系）— 法律依据： GDPR 第6(1)(b)条（履行合同所必需）；
   2. 履行税务和会计义务，包括开具增值税发票、 记名收据以及向全国电子发票系统（KSeF）提交发票 — 法律依据：GDPR 第6(1)(c)条，并结合《商品和服务税法》 以及《会计法》；
   3. 在线支付的处理（Przelewy24：银行卡、BLIK、即时转账）以及 比特币支付 — 法律依据：GDPR 第6(1)(b)条；
   4. 处理投诉以及就合同主张可能的索赔 — 法律依据：GDPR 第6(1)(f)条（控制者的合法利益）；
   5. 自有服务的营销（新闻通讯、特别优惠、忠诚度计划）— 法律依据：GDPR 第6(1)(a)条（同意）；同意可随时撤回；
   6. 统计、分析、网站的正常运行以及 Cookie 处理 — 法律依据：GDPR 第6(1)(f)条（合法利益）或 GDPR 第6(1)(a)条 （同意 — 就严格必要之外的 Cookie 而言）；
   7. 确保入住及财产的安全（例如在办理入住时核验身份 证件）— 法律依据：GDPR 第6(1)(f)条。
2. 在预订表单中提供数据是自愿的，但对于订立和履行 租赁合同是必需的。若不提供联系数据，则无法 确认预订或就预订事宜进行沟通。

摘要 — 目的、法律依据和保存期限：

§3. 所处理数据的范围

1. 在预订过程中，我们收集以下数据：
   • 姓名；
   • 电子邮件地址；
   • 包含国家区号的电话号码；
   • 居住国家；
   • 客人人数、预计到达和离开时间；
   • 可选 — 对预订的备注。
2. 如选择增值税发票选项，我们另外收集：
   • NIP（税号）、公司名称、注册地址（街道、邮政编码、城市）；
   • 用于发送发票的电子邮件地址；
   • 可选 — 用于 KSeF 的接收方信息（名称、地址、NIP／内部 ID）。
3. 如选择记名收据，我们收集：
   • 姓名；
   • 地址（街道、邮政编码、城市）；
   • 用于发送收据的电子邮件地址。
4. 办理入住时，我们核验数据是否与身份证件 （身份证、护照）相符。我们不制作任何复印件或扫描件， 仅记录其与预订时所提供数据的相符情况。
5. 支付数据（卡号、银行账户信息）不由控制者 保存 — 这些数据仅由支付服务商 Przelewy24（PayPro S.A.）依照其隐私政策进行处理。
6. 对于比特币支付，我们仅保存交易的公开标识符 （TXID）以及接收钱包地址，用于会计核算 和支付确认。

§4. 数据接收方

1. 我们可能将您的个人数据传输给以下类别的接收方：
   • 支付服务商： Przelewy24 — 注册地位于波兹南的 PayPro S.A. （处理银行卡、BLIK 和即时转账支付）；
   • 为控制者提供服务的会计事务所 — 在为开展会计 记账和开具会计凭证所必需的范围内；
   • 财政部的全国电子发票系统（KSeF） — 在开具增值税 发票的情况下；
   • IT 服务提供商：托管、电子邮件、预订系统、 分析、通讯工具（基于数据处理委托 协议 — GDPR 第28条）；
   • 快递和邮政公司 — 在需要寄送文件 或寄送遗留在公寓内物品的情况下；
   • 律师事务所和催收机构 — 在主张索赔的情况下；
   • 公共机关（税务局、法院、警察、检察机关）— 仅在法律 所要求的范围和依据内。
2. 我们不会出于营销目的将您的个人数据出售给 第三方。

§5. 数据的保存期限

1. 我们将在下列期限内处理您的数据：
   • 预订数据和客人数据 — 在合同履行期间 以及合同所产生索赔的诉讼时效期间内（原则上 最长 6 年 — 《民法典》第118条）；
   • 发票和收据上的数据 — 自开具该凭证的会计年度 末起算 5 年期间（《税收通则》 第86条第1款）；
   • 出于营销目的处理的数据 — 直至撤回 同意或提出异议；
   • Cookie 中的数据 — 依照相应文件的存续期（从 单次会话至 24 个月，视类型而定）；
   • 电子邮件往来、联系表单 — 自最后一次 互动起最长 3 年。
2. 所示期限届满后，数据将被删除或匿名化。

§6. 数据主体的权利

1. 就个人数据的处理，您享有以下权利：
   • 访问权 — 您可以获知我们是否处理 您的数据，并获取其副本（GDPR 第15条）；
   • 更正权 — 您可以要求更正不准确的 数据或补充不完整的数据（GDPR 第16条）；
   • 删除权（“被遗忘权”）— 但基于法律义务而处理的数据除外 （例如增值税发票上的数据）（GDPR 第17条）；
   • 限制处理权（GDPR 第18条）；
   • 数据可携权 — 就基于同意或合同 并以自动化方式处理的数据而言（GDPR 第20条）；
   • 反对权 — 针对基于控制者 合法利益的处理（GDPR 第21条）；就营销而言，该反对 为无条件的；
   • 撤回同意权 — 可随时行使，且不影响撤回 之前所进行处理的合法性（GDPR 第7(3)条）；
   • 投诉权 — 向监督机关，即 个人数据保护局局长（UODO），ul. Stawki 2, 00-193 华沙，波兰提出。
2. 如需行使上述任何权利，请通过 §1 中所列 控制者的电子邮件地址与我们联系。我们将在不无故 拖延的情况下，最迟于收到请求后一个月内予以答复。

§7. Cookie 及类似技术

1. 本网站使用 Cookie — 保存在用户设备上的小型 文本文件。我们将其分为：
   • 必要的 — 网站正常运行所必需（维持 会话、预订购物车、安全）。无需同意；
   • 功能性的 — 记住用户的偏好（货币、语言、 表单设置）；
   • 分析性的 — 匿名的流量统计（例如 Google Analytics）；
   • 营销性的 — 用于个性化广告并衡量 其效果（例如 Facebook Pixel、Google Ads）。
2. 对必要之外 Cookie 的同意通过首次访问时显示的 Cookie 横幅获取。您可随时：
   • 通过网站上的 Cookie 设置面板修改您的同意；
   • 通过您浏览器的设置撤回同意（最常用 浏览器的说明可在其帮助页面上获取）；
   • 清除同意 — 通过在浏览器中删除 Cookie。
3. 禁用必要的 Cookie 可能导致网站无法正常运行， 特别是使预订无法完成。

§8. 向欧洲经济区（EEA）以外传输数据

1. 原则上，您的数据在欧洲经济区境内 处理。
2. 我们使用的某些工具（例如由美国主体提供的 分析或营销服务）可能导致数据被传输至 EEA 以外。在此情况下，传输依据以下方式进行：
   • 基于确认具备适当保护水平的欧盟委员会 决定（例如欧盟-美国数据隐私框架）；
   • 或基于经欧盟委员会批准的标准合同条款 （SCC）；
   • 或基于 GDPR 第46条所规定的其他保障措施。

§9. 自动化决策和用户画像

1. 我们不会对您作出完全基于自动化处理、且会 产生法律效果或对您造成类似重大影响的决定 （GDPR 第22条）。
2. 在营销方面，我们可能使用根据您的偏好定制的 信息（例如季节性促销）。每一项此类沟通均包含 有关取消订阅可能性的信息。

§10. 数据安全

1. 控制者采取适当的技术和组织措施，以确保 所处理个人数据的保护，特别是：
   • 网站上的 HTTPS（TLS）连接加密；
   • 对处理系统的访问控制；
   • 定期备份；
   • 软件更新和事件监控；
   • 与 IT 服务提供商签订的数据处理委托协议（GDPR 第28条）。
2. 如发现可能对自然人的权利或自由造成 高风险的个人数据泄露，我们将依照 GDPR 第33条至第34条，及时通知 数据主体以及 UODO 局长。

§11. 隐私政策的变更

1. 隐私政策的当前版本可在网站上获取。
2. 对于重大变更，我们将提前 14 天以在网站上 可见的方式或通过电子邮件（如我们持有您的地址）予以通知。
3. 新表述的政策自其内容中所示日期起生效。 在该日期之后继续使用网站即表示接受变更。

§12. 联系方式

1. 有关个人数据处理的所有事宜，请 与我们联系：
   • 电子邮件： rodo@wlrapartments.pl
   • 电话： +48 602 221 241
   • 通信地址： Al. Jerozolimskie 125/127, 02-017 Warszawa