Przejdź do treści
← Dworek Osiecki

Polityka Prywatności

Poniższa polityka prywatności opisuje zasady przetwarzania informacji na Twój temat, w tym danych osobowych oraz plików cookie, w związku z korzystaniem z serwisu dworekosiecki.pl, kontaktem telefonicznym, korzystaniem z formularza kontaktowego, mapy dojazdu oraz osadzonego widgetu rezerwacyjnego, za którego pośrednictwem dane przekazywane są bezpośrednio do dostawcy systemu rezerwacji (zob. sekcję 5).

1. Informacje ogólne i administrator danych

  1. Administratorem Twoich danych osobowych jest: Dworek Osiecki Spółka Cywilna, ul. Parkowa 42, 76-004 Osieki (NIP: 4990669588, REGON: 369270699).
  2. Adres kontaktowy poczty elektronicznej w sprawach ogólnych: biuro@dworekosiecki.pl lub recepcja@dworekosiecki.pl.
  3. We wszelkich sprawach dotyczących ochrony danych osobowych oraz w celu realizacji przysługujących Ci praw (RODO) skontaktuj się z nami pod dedykowanym adresem: privacy@dworekosiecki.pl.
  4. Dane osobowe są przetwarzane zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO — rozporządzenie 2016/679).
  5. Nie sprzedajemy danych osobowych. Udostępniamy je wyłącznie podmiotom przetwarzającym (m.in. dostawcy hostingu i poczty), wskazanym w niniejszej polityce, w zakresie niezbędnym do świadczenia usług.

2. Infrastruktura i hosting

  1. Serwis jest hostowany oraz dostarczany za pośrednictwem infrastruktury Cloudflare (platforma Cloudflare Workers oraz sieć edge/CDN). Operatorem usługi jest Cloudflare, Inc. z siedzibą pod adresem 101 Townsend Street, San Francisco, CA 94107, Stany Zjednoczone. Cloudflare, Inc. pełni rolę podmiotu przetwarzającego w rozumieniu art. 28 RODO i przetwarza dane wyłącznie w naszym imieniu, na podstawie umowy powierzenia przetwarzania danych (Data Processing Addendum), włączonej przez odniesienie do zaakceptowanych warunków świadczenia usług Cloudflare.
  2. W celach technicznych i bezpieczeństwa (m.in. ochrona przed atakami, równoważenie ruchu, dostarczanie treści) Cloudflare przetwarza standardowe dane techniczne, takie jak adres IP, znacznik czasu zapytania, nagłówki HTTP oraz informacje o przeglądarce (User-Agent). Podstawą prawną jest uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO) — zapewnienie bezpieczeństwa, dostępności i wydajności serwisu.
  3. Transfer do państwa trzeciego (USA): Ponieważ Cloudflare, Inc. ma siedzibę w Stanach Zjednoczonych, część danych technicznych może być przetwarzana poza Europejskim Obszarem Gospodarczym. Transfer ten odbywa się na podstawie certyfikacji Cloudflare, Inc. w ramach EU-U.S. Data Privacy Framework (Ramy Ochrony Danych UE–USA), a dodatkowo jest zabezpieczony standardowymi klauzulami umownymi (Standard Contractual Clauses, SCC) zatwierdzonymi przez Komisję Europejską, wraz ze środkami uzupełniającymi. Cloudflare obsługuje ruch w sieci punktów obecności zlokalizowanych m.in. w Europejskim Obszarze Gospodarczym (w tym w Polsce), dążąc do minimalizacji transferu danych poza EOG.

3. Kontakt telefoniczny

  1. Do obsługi połączeń telefonicznych korzystamy z usługi telefonii internetowej (SIP) dostarczanej przez Spikon.
  2. Rozmowy telefoniczne nie są nagrywane ani utrwalane.
  3. Jeśli kontaktujesz się z nami telefonicznie, Twój numer telefonu oraz treść rozmowy przetwarzamy wyłącznie w celu obsługi Twojego zapytania — na podstawie art. 6 ust. 1 lit. b RODO (działania przed zawarciem umowy) lub art. 6 ust. 1 lit. f RODO (prowadzenie bieżącego kontaktu).

4. Formularz kontaktowy i poczta transakcyjna

  1. Cel i podstawa prawna: Formularz kontaktowy służy do obsługi zapytań dotyczących noclegów oraz organizacji wydarzeń (wesela, uroczystości rodzinne, wydarzenia firmowe i inne). Dane podane w formularzu przetwarzamy w celu rozpatrzenia Twojego zapytania oraz podjęcia działań na Twoje żądanie przed ewentualnym zawarciem umowy — na podstawie art. 6 ust. 1 lit. b RODO.
  2. Zakres zbieranych danych: imię, nazwisko, adres e-mail, numer telefonu (opcjonalnie), typ wydarzenia (wesele / uroczystość rodzinna / wydarzenie firmowe / inne) oraz szczegóły wydarzenia (daty, liczba gości, nocleg, rodzaj uroczystości, nazwa firmy oraz dodatkowe informacje — do 2000 znaków).
  3. Dobrowolność (art. 13 ust. 2 lit. e RODO): Podanie danych jest dobrowolne, lecz niezbędne do obsługi zapytania i podjęcia działań przed zawarciem umowy — bez nich nie będziemy w stanie udzielić odpowiedzi.
  4. Pole wyboru „Zapoznałem/am się z Polityką Prywatności” ma charakter wyłącznie informacyjny (działa po stronie przeglądarki). Nie stanowi zgody w rozumieniu RODO i nie jest rejestrowane — serwer nie otrzymuje ani nie przechowuje jego stanu.
  5. Przebieg przetwarzania (przepływ danych): przeglądarka → sieć brzegowa Cloudflare (zapora aplikacyjna WAF, ograniczanie liczby zapytań, weryfikacja Turnstile) → worker aplikacji (zapytanie POST /api/contact) → API dostawcy poczty (EmailLabs) → skrzynka pocztowa operatora (recepcja@dworekosiecki.pl). Serwer serwisu nie przechowuje danych z formularza — jedynym trwałym miejscem ich zapisu jest skrzynka pocztowa operatora.
  6. Infrastruktura przetwarzania formularza: Zanim dane z formularza trafią do dostawcy poczty, są przesyłane przez sieć brzegową i środowisko wykonawcze (worker) Cloudflare, Inc., które pełni rolę podmiotu przetwarzającego (art. 28 RODO) — szczegóły oraz informacja o transferze danych technicznych do USA znajdują się w sekcji 2.
  7. Ochrona przed spamem (Cloudflare Turnstile): Wysłanie formularza poprzedza weryfikacja tokenu Turnstile po stronie serwera. Mechanizm ten nie korzysta z plików cookie śledzących — używa wyłącznie krótkotrwałych tokenów walidacyjnych. Podstawą prawną weryfikacji Turnstile jest uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO) — ochrona serwisu i formularza przed nadużyciami i spamem. Samo przetwarzanie treści zapytania odbywa się na podstawie art. 6 ust. 1 lit. b RODO (zob. pkt 1).
  8. Dostawca poczty transakcyjnej (EmailLabs): Do dostarczania wiadomości z formularza korzystamy z usługi EmailLabs (emaillabs.io), prowadzonej przez Vercom S.A. z siedzibą w Poznaniu. Vercom S.A. pełni rolę podmiotu przetwarzającego w rozumieniu art. 28 RODO, na podstawie podpisanej umowy powierzenia przetwarzania danych.
    • Dane przetwarzane są w Polsce (na terenie EOG). Nie następuje transfer do państwa trzeciego — mechanizmy DPF / SCC nie są tu wymagane ani stosowane.
    • Usługa posiada certyfikaty ISO 27001, ISO 27018 oraz ISO 22301. Szyfrowane kopie zapasowe są przechowywane przez 2 lata wyłącznie na terenie EOG.
    • Dalsze podmioty przetwarzające wykorzystywane przez EmailLabs — wszystkie zlokalizowane na terenie EOG (na dzień publikacji niniejszej polityki):
      • Beyond Solutions sp. z o.o. — Poznań, Polska — centrum danych / kopie zapasowe (kolokacja),
      • NTT Global Data Centers EMEA GmbH — Hattersheim, Niemcy — centrum danych / kopie zapasowe,
      • Cyber_Folks S.A. — Poznań, Polska — hosting,
      • Amazon Web Services EMEA SARL — Luksemburg (UE) — wyłącznie zewnętrzne kopie zapasowe (off-site).
  9. Okres przechowywania (retencja): Korespondencję wynikającą z zapytania przechowujemy w skrzynce pocztowej operatora przez czas niezbędny do obsługi danego zapytania oraz — w razie zawarcia umowy — przez okres jej realizacji i przedawnienia ewentualnych roszczeń z nią związanych, po czym korespondencja jest usuwana. Jeżeli zapytanie nie prowadzi do zawarcia umowy, korespondencję usuwamy po ustaniu kontaktu w tej sprawie.

5. Analityka i narzędzia podmiotów trzecich

Aby utrzymać i optymalizować funkcjonalność serwisu, korzystamy z następujących narzędzi:

  1. Cloudflare Web Analytics: Narzędzie analityczne, które nie używa plików cookie, nie śledzi poszczególnych użytkowników pomiędzy sesjami i nie przekazuje danych poza Europejski Obszar Gospodarczy. Zbierane są wyłącznie zagregowane informacje o ruchu (liczba odsłon, kraj pochodzenia, typ urządzenia, czas ładowania strony) w celu utrzymania jakości serwisu. Podstawa prawna: uzasadniony interes administratora danych (art. 6 ust. 1 lit. f RODO). Nie prowadzimy profilowania, retargetingu ani reklamy opartej na zachowaniu.
  2. Cloudflare (infrastruktura edge / CDN): Cała komunikacja między Twoją przeglądarką a naszym serwerem przechodzi przez sieć Cloudflare, która pełni rolę zapory sieciowej, odwrotnego proxy oraz CDN. Cloudflare przetwarza logi techniczne (adres IP, User-Agent, nagłówki HTTP) w celach bezpieczeństwa i zgodnie z własną polityką prywatności.
  3. Cloudflare Turnstile: mechanizm ochrony formularza przed nadużyciami; nie ustawia śledzących plików cookie, używa wyłącznie krótkotrwałych tokenów walidacyjnych (zob. także sekcję 4).
  4. Google Maps: Interaktywna mapa ułatwiająca dojazd do Dworku. Ładowana wyłącznie po wyrażeniu przez Ciebie zgody poprzez przycisk akceptacji w oknie informacyjnym — do tego czasu mapa nie uruchamia żadnych skryptów Google. Podstawą prawną jest Twoja zgoda (art. 6 ust. 1 lit. a RODO). W odniesieniu do danych zbieranych za pośrednictwem mapy Google działa jako niezależny administrator (a nie nasz podmiot przetwarzający w rozumieniu art. 28 RODO). Xasady przetwarzania określają własne warunki i polityka prywatności Google. W odniesieniu do danych przetwarzanych przez Google w związku z mapą prawa (m.in. dostępu, usunięcia) realizujesz bezpośrednio wobec Google, na zasadach określonych w jego polityce prywatności; nasz adres privacy@dworekosiecki.pl obsługuje dane przetwarzane przez Administratora.
  5. RoomAdmin (widget rezerwacyjny): Na stronie noclegowej („Nocleg”) osadzamy ramkę (iframe) systemu rezerwacyjnego RoomAdmin (roomadmin.pl), prowadzonego przez Polcern Sp. z o.o. z siedzibą w Krakowie, ul. Jacka Malczewskiego 47A. Wysłanie rezerwacji za jego pośrednictwem przekazuje dane gościa — imię, nazwisko, adres e-mail, numer telefonu, daty pobytu oraz ewentualnie dane płatnicze — bezpośrednio do RoomAdmin. Podstawą prawną jest art. 6 ust. 1 lit. b RODO (czynności rezerwacyjne i przedumowne). Na podstawie podpisanej umowy powierzenia przetwarzania danych Polcern Sp. z o.o. przetwarza te dane wyłącznie w celu świadczenia usługi rezerwacyjnej roomadmin.pl i pełni rolę naszego podmiotu przetwarzającego w rozumieniu art. 28 RODO; może przy tym korzystać z dalszych podmiotów przetwarzających (podwykonawców) związanych tymi samymi obowiązkami ochrony danych. Dane są przetwarzane przez czas świadczenia usługi — po zakończeniu umowy powierzenia podmiot przetwarzający zwraca nam powierzone dane i usuwa wszelkie ich kopie, chyba że obowiązek dalszego przechowywania wynika z przepisów prawa.

Co NIE jest używane w serwisie:

  • Google Analytics — nie używamy
  • Meta Pixel / Facebook Pixel — nie używamy
  • Hotjar, Smartlook, FullStory i inne narzędzia do nagrywania sesji — nie używamy
  • Reklamy oparte na retargetingu — nie stosujemy
  • Profilowanie zachowań użytkowników — nie prowadzimy

6. Twoje prawa (RODO)

Zgodnie z przepisami RODO, przysługuje Ci prawo do:

  1. Dostępu do swoich danych oraz otrzymania ich kopii.
  2. Sprostowania (poprawiania) swoich danych.
  3. Usunięcia danych („prawo do bycia zapomnianym”).
  4. Ograniczenia przetwarzania danych.
  5. Wniesienia sprzeciwu wobec przetwarzania (np. w celach marketingowych).
  6. Przenoszenia danych.
  7. Cofnięcia zgody w dowolnym momencie — w zakresie, w jakim przetwarzanie odbywa się na podstawie Twojej zgody (np. załadowanie mapy Google Maps), na podstawie art. 7 ust. 3 RODO (zob. też art. 13 ust. 2 lit. c RODO). Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na jej podstawie przed cofnięciem.
  8. Wniesienia skargi do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych (PUODO), ul. Stawki 2, 00-193 Warszawa — gdy uznasz, że przetwarzanie Twoich danych osobowych narusza przepisy RODO.

Aby skorzystać ze swoich praw, skontaktuj się z nami pod adresem: privacy@dworekosiecki.pl.

7. Pliki cookies (ciasteczka)

  1. Serwis stara się minimalizować użycie plików cookie. Narzędzie analityczne (Cloudflare Web Analytics) nie używa żadnych plików cookie.
  2. Pliki cookie ustawiane przez Google Maps są ładowane wyłącznie po wyrażeniu przez Ciebie zgody poprzez okno informacyjne na stronie. Jeśli nie wyrazisz zgody, mapa nie jest ładowana i żadne ciasteczka Google nie są ustawiane.
  3. Cloudflare Turnstile (ochrona formularza kontaktowego) nie ustawia śledzących plików cookie — używa wyłącznie krótkotrwałych tokenów walidacyjnych.
  4. Skorzystanie z osadzonego widgetu rezerwacyjnego RoomAdmin (ramka iframe podmiotu trzeciego) może spowodować ustawienie własnych plików cookie RoomAdmin (np. pliku cookie sesji), regulowanych polityką prywatności RoomAdmin.
  5. Nasz własny, techniczny marker preferencji (_do_site_pref) jest zapisywany w lokalnej pamięci przeglądarki (localStorage), aby zapamiętać Twoją decyzję o załadowaniu mapy. Nie jest to plik cookie i nie jest przesyłany do żadnych serwerów zewnętrznych.
  6. Zawsze możesz zarządzać plikami cookie i lokalną pamięcią przeglądarki, usuwać je lub blokować w ustawieniach przeglądarki.

Ostatnia aktualizacja: Maj 2026