SPIS TREŚCI

I. POSTANOWIENIA OGÓLNE
II. ADMINISTRATOR DANYCH OSOBOWYCH
III. CEL I PODSTAWA PRAWNA PRZETWARZANIA
IV. PRZEKAZYWANIE DANYCH OSOBOWYCH
V. PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ
VI. ŚRODKI BEZPIECZEŃSTWA
VII. PROFILOWANIE
VIII.OKRES PRZECHOWYWANIA DANYCH
IX. PLIKI COOKIES
X. POSTANOWIENIA KOŃCOWE

I. POSTANOWIENIA OGÓLNE
1. Pojęcia pisane wielką literą, które nie zostały zdefiniowane w Polityce, mają znaczenie nadane im w Regulaminie projektu „My Kraków Tourist Card”.
2. Pojęcia odnoszące się do przetwarzania danych osobowych, które nie zostały zdefiniowane w Polityce, mają znaczenie nadane im w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), (dalej: „RODO”).
3. Celem Polityki jest realizacja obowiązków informacyjnych wynikających z RODO, w związku z przetwarzaniem danych osobowych w ramach Projektu.

II. ADMINISTRATOR DANYCH OSOBOWYCH
1. Administratorem danych osobowych jest Stowarzyszenie Organizacja Turystyczna Stołecznego Królewskiego Miasta Krakowa z siedzibą w Krakowie, adres: 31-005 Kraków, ul. Bracka 1, zarejestrowane w Sądzie Rejonowym dla Krakowa-Śródmieścia, Wydział XI Gospodarczy Krajowego Rejestru Sądowego, wpisane do rejestru stowarzyszeń, innych organizacji społecznych i zawodowych, fundacji oraz samodzielnych publicznych zakładów opieki zdrowotnej, a także do rejestru przedsiębiorców pod numerem KRS 0001062716, nr REGON 526676428, nr NIP 6762653896 (dalej: „Administrator”).
2. Dane kontaktowe Administratora to:
Adres: ul. Bracka 1, 31-005 Kraków
Telefon: +48 12 26 33 142
Email: office@krakowtourism.pl

III. CEL I PODSTAWA PRAWNA PRZETWARZANIA
1. Administrator wskazuje cele i podstawy przetwarzania danych osobowych:
 

Cel przetwarzania	Podstawa prawna przetwarzania
Bieżąca realizacja przez Organizatora zamówień Użytkowników dotyczących zakupu i obsługi Pakietów. Rejestracja Użytkowników w Systemie. Prowadzenie Konta i Systemu. Kontakt związany z realizacją Pakietów.	Konieczność wykonania umowy - art. 6 ust. 1 pkt b) RODO, tj. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.
Cele marketingowe, promowanie Projektu, w tym przesyłanie informacji handlowej. Przetwarzanie danych osobowych związane z Cookies.	Zgoda osoby, której dane dotyczą - art. 6 ust. 1 pkt a) RODO, tj. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów.
Przetwarzanie danych osobowych na potrzeby analityczne i statystyczne.	Interes prawny Administratora – art. 6 ust. 1 pkt f) RODO obejmujący interes gospodarczy, polegający na podnoszeniu jakości świadczonych usług przy zapewnieniu bezpieczeństwa i prawidłowości działania Aplikacji.
Realizacja obowiązków prawnych: archiwizacja dokumentacji, wykonywanie obowiązków księgowych i podatkowych, wykonywanie obowiązków wobec organów publicznych.	Wykonanie obowiązków wynikających z przepisów prawa – art. 6 ust. 1 pkt c) RODO.
Obsługa reklamacji i roszczeń. Udzielanie odpowiedzi na pytania zgłaszane drogą e-mailową.	Interes prawny Administratora – art. 6 ust. 1 pkt f) RODO obejmujący zapewnienie prawidłowej realizacji usług, zapobieganiu nadużyciom, obronie przed niezasadnymi roszczeniami, prowadzeniu bieżącej komunikacji związanej z realizacją programu.

2. Podanie danych osobowych przez Użytkownika jest dobrowolne, jednak Administrator zastrzega sobie prawo do odmowy Aktywacji Pakietu i świadczenia usług w ramach Projektu, w razie odmowy podania danych osobowych.
3. Administrator nie przetwarza szczególnych kategorii danych osobowych.

IV. PRZEKAZYWANIE DANYCH OSOBOWYCH
1. Administrator przekazuje dane osobowe następującym odbiorcom i kategoriom odbiorców: b. Podwykonawcy QB Sp. z o.o. z siedzibą w Gdyni, tj. na dzień wejścia w życie Polityki: Dataspace P.S.A. z siedzibą w Toruniu, KRS: 0000969744.
c. Partnerzy – tj. podmioty współpracujące z Administratorem na podstawie umowy, oferujący korzyści w ramach Projektu (rabaty, zniżki, usługi specjalne) i honorujący Kartę.
d. Podmioty świadczące usługi płatności elektronicznych.
e. Podmioty świadczące usługi prawne i księgowe.
2. Administrator nie przekazuje danych osobowych do państw trzecich.

V. PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ
1. Administrator informuje o prawach przysługujących osobom, których dane dotyczą w związku z przetwarzaniem przez niego danych osobowych:
a. prawo żądania od Administratora dostępu do swoich danych osobowych,
b. prawo sprostowania danych osobowych, usunięcia lub ograniczenia przetwarzania danych osobowych,
c. prawo wniesienia sprzeciwu wobec przetwarzania,
d. prawo do przenoszenia danych osobowych.
e. w przypadku gdy podstawą przetwarzania danych jest zgoda – prawo do cofnięcia udzielonej zgody na przetwarzanie, co jednak pozostaje bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.
f. w przypadku danych osobowych przetwarzanych na podstawie zgody – prawo do wniesienia sprzeciwu wobec przetwarzania danych osobowych na potrzeby takiego marketingu,
g. prawo do wniesienia skargi do organu nadzorczego, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych – dane kontaktowe organu nadzorczego to:
Adres: ul. Stanisława Moniuszki 1A, 00-014 Warszawa 2. Uprawnienia, o których mowa w pkt. od a do f., mogą być realizowane poprzez bezpośredni kontakt z Administratorem.

VI. ŚRODKI BEZPIECZEŃSTWA
1. Administrator stosuje odpowiednie środki techniczne i organizacyjne zapewniające bezpieczeństwo danych:
a. szyfrowanie transmisji danych (SSL/TLS 2.1),
b. szyfrowanie haseł w bazie,
c. kontrola dostępu do danych (autoryzacja wielopoziomowa - logowanie z jednorazowym kodem autoryzującym wysłanym przez SMS),
d. regularne kopie zapasowe (minimum raz dziennie),
e. monitoring bezpieczeństwa i wykrywanie incydentów,
f. regularne audyty bezpieczeństwa,
g. szkolenia pracowników z zakresu ochrony danych.
2. W przypadku naruszenia ochrony danych osobowych:
a. Administrator dokonuje oceny czy naruszenie mogło spowodować ryzyko naruszenia praw lub wolności osób fizycznych.
b. W razie wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych, Administrator niezwłocznie powiadamia Prezesa UODO (w terminie 72 godzin).
b. Użytkownicy zostaną poinformowani o naruszeniu, jeśli naruszenie może skutkować wysokim ryzykiem dla ich praw.
c. Administrator podejmie odpowiednie i proporcjonalne działania naprawcze i zapobiegawcze.

VII. PROFILOWANIE
1. Administrator profiluje niektóre z przetwarzanych danych osobowych. Celem profilowania jest jak najlepsze dopasowanie treści i prezentowanie Użytkownikom dedykowanych materiałów marketingowych i ofert, w tym powiadomień o produktach, usługach, promocjach, na podstawie zainteresowań, preferencji i cech demograficznych Użytkowników tj. w szczególności wieku, historii aktywności w Systemie.
2. Administrator nie przetwarza danych osobowych w celu profilowania, które prowadziłoby do zautomatyzowanego podejmowania decyzji wywołujących wobec Użytkowników skutki prawne lub w podobny sposób istotnie wpływających na Użytkowników.

VIII. OKRES PRZECHOWYWANIA DANYCH
1. Administrator przechowuje dane osobowe przez okres niezbędny do realizacji celów, dla których zostały zebrane i nie przechowuje ich bezterminowo.
2. Okres przechowywania jest ustalany na podstawie obowiązujących przepisów prawa, w tym terminów przedawnienia roszczeń oraz uzasadnionego interesu Administratora. Dotyczy to także konieczności realizacji usług serwisowych Systemu i Aplikacji, a także obsługi Użytkowników.
3. Okres przechowywania danych może zostać wydłużony, jeżeli wynika to z obowiązku prawnego, w szczególności w związku z toczącym się postępowaniem sądowym lub administracyjnym.

IX. PLIKI COOKIES
1. Administrator informuje, że w związku z korzystaniem z Systemu, na urządzeniach końcowych Użytkownika mogą być zapisywane pliki cookies, tj. pliki tekstowe zawierające informacje na temat, między innymi: danych urządzenia, czasu korzystania z Systemu, danych dotyczących lokalizacji, danych adresu IP (dalej: Cookies).
2. Cookies mogą stanowić dane osobowe, ponieważ zawierają informacje mogące służyć do identyfikacji Użytkownika.
3. W momencie wizyty strony www.mykrakowcard.krakowtourism.pl Użytkownik ma możliwość wyrażenia zgody na korzystanie z Cookies. Użytkownik może wycofać zgodę w dowolnym czasie poprzez zmianę ustawień przeglądarki internetowej  pozwalających na zmianę preferencji dotyczących Cookies, w tym wskazanych poniżej. Administrator wskazuje, że w przypadku korzystania z innego urządzenia końcowego przez Użytkownika, jego ustawienia dotyczące Cookies mogą wymagać ponownej aktualizacji celem wyrażenia zgody lub zmiany ustawień plików Cookies.
4. Administrator wskazuje na następującą typologię wykorzystywanych przez niego Cookies:
a. Podział I – sesyjne (session cookies), oraz stałe (persistent cookies). Cookies sesyjne to pliki tymczasowo przechowywane w urządzeniu końcowym Użytkownika, usuwane w momencie opuszczenia Systemu. Cookies stałe to pliki przechowywane przez dłuższy czas w urządzeniu końcowym Użytkownika, w zależności od trwania sesji lub do momentu usunięcia ich przez Użytkownika.
b. Podział II – własne i podmiotów trzecich. Cookies własne – to cookies pochodzące od Organizatora. Cookies podmiotów trzecich – to cookies wykorzystywane przez Organizatora, lecz pochodzące od podmiotów trzecich z których usług korzysta Organizator w ramach Systemu.
c. Podział III – niezbędne, analityczne, funkcjonalne, reklamowe, społecznościowe. Cookies niezbędne – pliki konieczne dla prawidłowego działania Systemu, w tym portalu www.mykrakowcard.krakowtourism.pl. Cookies analityczne – dzięki nim Organizator zbiera informacje o korzystaniu przez Użytkownika ze stron internetowych, celem ulepszania świadczonych usług. Cookies funkcjonalne – dzięki nim możliwe jest zapisywanie niektórych ustawień interfejsu Użytkownika. Cookies reklamowe – umożliwiające dostarczanie dopasowanych treści reklamowych Użytkownikom. Cookies społecznościowe – służące do udostępniania treści za pomocą sieci społecznościowych.
5. Poniższa tabela zawiera informacje na temat plików cookies stosowanych przez Administratora:
 

Dostawca Cookies	Nazwa Cookies	Ważność	Sesyjne/Stałe	Własne/Podmiotów trzecich	Typ (Niezbędne, analityczne, funkcjonalne, reklamowe, społecznościowe)
Qb sp. z o.o.	Ciasteczko sesyjne	30 min	Sesyjne	-	niezbędne

6. Użytkownik ma możliwość zmiany ustawień przeglądarki internetowej celem usunięcia Cookies z urządzenia końcowego. Instrukcje, jak tego dokonać znajdują się poniżej:
- Google Chrome - Usuwanie plików cookie, zezwalanie na nie oraz zarządzanie nimi w Chrome - Komputer - Google Chrome - Pomoc
- Mozilla Firefox - Usuwanie ciasteczek i danych stron w przeglądarce Firefox | Pomoc dla programu Firefox
- Safari - Usuwanie historii, pamięci podręcznej i plików cookie przeglądarki Safari na iPhonie - Wsparcie Apple (PL)
- Opera - Web preferences - Opera Help
- Microsoft Edge - Manage cookies in Microsoft Edge: View, allow, block, delete and use - Microsoft Support

X. POSTANOWIENIA KOŃCOWE
1. Administrator zastrzega prawo modyfikacji Polityki.
2. Polityka wchodzi w życie 9.03.2026 r.