Polityka prywatności Klientów kawiarni Costa Coffee
1. Wstęp
Drogi Kliencie!
Dbamy o Twoją prywatność i chcemy, abyś w czasie korzystania z naszych usług czuł się komfortowo.
Dlatego też poniżej prezentujemy Ci najważniejsze informacje o zasadach przetwarzania przez nas
Twoich danych osobowych, które są wykorzystywane podczas korzystania z usług w naszych
kawiarniach Costa Coffee. Informacje te zostały przygotowane z uwzględnieniem Rozporządzenia
Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z
przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia
dyrektywy 95/46/WE czyli ogólnego rozporządzenia o ochronie danych, (dalej: „RODO”).
ADMINISTRATOR DANYCH OSOBOWYCH (dalej: „Administrator lub LTR”)
Lagardere Travel Retail Sp. z o.o. z siedzibą w Warszawie, przy ul. Aleje Jerozolimskie 174, 02-486,
wpisaną do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla miasta stołecznego
Warszawy pod numerem KRS: 0000048015, NIP: 5262100142, REGON: 012782720, kapitał zakładowy
w wysokości 102 631 000.00
INSPEKTOR OCHRONY DANYCH („IOD”)
W celu zapewnienia odpowiedniej ochrony danych osobowych Klientów kawiarni Costa Coffee
Administrator powołał Inspektora Ochrony Danych. Można kontaktować się bezpośrednio z
Inspektorem Ochrony Danych we wszystkich sprawach związanych z przetwarzaniem danych
osobowych i realizacją RODO pod adresem: iodo@lagardere-tr.pl
2. Jakie kategorie danych osobowych przetwarza LTR?
Czym są dane osobowe i co oznacza przetwarzanie?
Dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania
osobie fizycznej. Przetwarzaniem danych osobowych jest każda czynność na danych osobowych,
niezależnie od tego, czy jest dokonywana w sposób zautomatyzowany czy nie, np. zbieranie,
przechowywanie, utrwalanie, porządkowanie, modyfikowanie, przeglądanie, wykorzystywanie,
udostępnianie, ograniczanie, usuwanie lub niszczenie. LTR przetwarza dane osobowe w różnych
celach, przy czym w zależności od celu, zastosowanie mogą mieć różne sposoby zbierania, podstawy
prawne przetwarzania, wykorzystywania, ujawniania oraz okresy przechowywania.
W ramach korzystania z kawiarni Costa Coffee LTR w szczególności przetwarzać będzie następujące
dane:
A. DANE OSOBOWE
- imię i nazwisko
- adres email
- numer telefonu
- wizerunek
- informacje podane w CV, jeżeli proces przetwarzania dotyczy rekrutacji
B. DANE TRANSAKCYJNE
- ID PSD
- numer paragonu
- typ transakcji (zakup, zwrot)
- kwota total
- produkty na paragonie
- forma płatności
- informacje o zrealizowanej promocji
C. INNE INETRAKCJE
- tematyka nawiązania kontaktu z nami
- treść informacji zaadresowanej do nas
3. Skąd uzyskujemy dane osobowe?
LTR uzyskuje dane osobowe bezpośrednio od Ciebie, gdy wypełniasz kwestionariusz kontaktowy,
dokonujesz reklamacji zakupionego produktu lub wykonanej przez nas obsługi Klienta oraz w
przypadku wzięcia udziału w procesie rekrutacyjnym do kawiarni Costa Coffee.
4. Czy Twoje dane są bezpieczne?
Dbamy o bezpieczeństwo Twoich danych osobowych. Przeanalizowaliśmy ryzyka, jakie wiążą się z
poszczególnymi procesami przetwarzania Twoich danych, a następnie wdrożyliśmy odpowiednie
środki bezpieczeństwa i ochrony danych osobowych. Na bieżąco monitorujemy stan naszej
infrastruktury technicznej, szkolimy nasz personel, przyglądamy się stosowanym procedurom,
wprowadzamy konieczne usprawnienia. W razie jakichkolwiek pytań dotyczących Twoich danych
osobowych, jesteśmy do Twojej dyspozycji pod adresem iodo@lagadere-tr.pl.
5. Co się dzieje, jeśli nie przekażesz LTR swoich danych osobowych?
Przekazanie danych osobowych dla LTR jest dobrowolne, w związku z korzystaniem z kwestionariusza
kontaktowego znajdującego się na stronie: https://www.costacoffee.pl/kontakt, reklamacją usługi lub
produktu oferowanego w naszych kawiarniach Costa Coffee oraz wzięciem udziału w procesie
rekrutacyjnym do naszych kawiarni.
6. W jakich celach LTR przetwarza dane osobowe i co stanowi podstawę prawną tego
przetwarzania?
LTR przetwarza Twoje dane osobowe w celach opisanych poniżej. Dla każdego celu LTR musi mieć
podstawę prawną. Podstawą prawną może być np. (i) Twoja zgoda na przetwarzanie danych
osobowych w odpowiednim zakresie, (ii) to, że przetwarzanie jest konieczne w celu realizacji umowy,
której jesteś stroną, obowiązek prawny (ii) lub (iii) to, że LTR lub osoba trzecia ma uzasadniony interes
w przetwarzaniu danych osobowych, nad którym nie przeważa Twój interes w zaprzestaniu
przetwarzania tych danych osobowych. Przy każdym celu wykazanym poniżej zostanie określona
podstawa prawna, na jakiej opiera się LTR.
Jeżeli za podstawę prawną dla wskazanego poniżej celu została uznana Twoja zgoda, nie będziemy
przetwarzać Twoich danych osobowych dla tego celu, bez uzyskania takiej zgody. Ponadto, masz prawo
do wycofania swojej zgody w dowolnym momencie, korzystając z odnośników umożliwiających
wycofanie, znajdujących się w aplikacji lub za pośrednictwem poczty elektronicznej: iodo@lagardere.tr.pl. Należy pamiętać, że wycofanie zgody nie ma wpływu na legalność przetwarzania danych
dokonanego w oparciu o zgodę przed jej wycofaniem.
LTR będzie wykonywać następujące usługi:
a) realizacja zawartej z Tobą umowy (art. 6 ust1 lit b RODO);
b) zapewnianie informacji i wsparcia Klientowi. W przypadku nawiązania z nami kontaktu,
w zależności od potrzeb wynikających z danego przypadku, będziemy przetwarzać Twoje dane
osobowe celem zapewnienia żądanych informacji lub udzielenia wsparcia. Takie przetwarzanie
danych osobowych opiera się na uzasadnionym interesie LTR (art. 6 ust. 1 lit. f RODO);
c) monitoring wizyjny w kawiarniach Costa Coffee w celu zapewnienia bezpieczeństwa naszym
Klientom, Pracownikom, towarom, co jest naszym prawnie uzasadnionym interesem (art. 6 ust
1 lit. f RODO);
d) rekrutacja personelu do kawiarni Costa Coffee na podstawie udzielonej przez Ciebie zgody (art.
6 ust 1 lit. a RODO);
e) organizacja konkursów w kawiarniach Costa Coffee (art. 6 ust 1 lit. a RODO);
f) reklamacyjna (zgodnie z Regulaminem) podstawą przetwarzania danych osobowych jest
prawnie uzasadniony interes LTR polegający na możliwości ustosunkowania się do zarzutów
postawionych w reklamacji (art. 6 ust 1 lit. f RODO);
g) promocja własnych produktów, co jest naszym prawnie uzasadnionym interesem (art. 6 ust 1 lit.
f RODO);
h) ustalenie, dochodzenie lub obrona przed roszczeniami, podstawą przetwarzania Twoich danych
osobowych jest prawnie uzasadniony interes LTR, polegający na ustaleniu, dochodzeniu lub
obronie roszczeń Administratora danych wobec Klientów kawiarni Costa Coffee (art. 6 ust 1 lit. f
RODO);
i) przeprowadzenia analiz statystycznych i handlowych co jest naszym prawnie uzasadnionym
interesem (art. 6 ust 1 lit. f RODO).
7. Komu udostępniamy Twoje dane osobowe?
Przekazujemy dane osobowe innym wyłącznie, gdy zezwalają nam na to przepisy prawa. W takim
przypadku, w stosownej umowie zawieranej z podmiotem trzecim przewidujemy postanowienia
i mechanizmy bezpieczeństwa w celu ochrony danych oraz zachowania naszych standardów w zakresie
ochrony danych, ich poufności i bezpieczeństwa. Umowy tego rodzaju zwane są umowami powierzenia
przetwarzania danych osobowych, a LTR ma kontrolę nad tym, w jaki sposób i w jakim zakresie
podmiot, któremu LTR powierzyła przetwarzanie określonych kategorii danych osobowych, dane te
przetwarza. W związku z powyższym wskazujemy, że odbiorcami danych osobowych są:
• podmiot zapewniający możliwość korzystania z kwestionariusz kontaktowego
• podmioty świadczące usługi hostingowe na rzecz administratora, np. wsparcie procesu
rekrutacyjnego
(przy czym dane osobowe przekazujemy tylko w takim zakresie, w jakim jest to rzeczywiście niezbędne
dla osiągnięcia danego celu).
8. Czy LTR e nie będzie przekazywać Twoje dane osobowe poza teren Europejskiego Obszaru
Gospodarczego?
Dane osobowe użytkowników są udostępniane, na podstawie umowy powierzenia przetwarzania
danych osobowych, spółce Costa Ltd z Wielkiej Brytanii, w związku z decyzją z dnia 28 czerwca 2021 r.
Komisji Europejskiej zatwierdzającej odpowiedni poziom ochrony danych w Wielkiej Brytanii.
9. Jak długo przetwarzamy dane osobowe?
Czas, przez jaki możemy przetwarzać dane osobowe, jest uzależniony od podstawy prawnej
stanowiącej legalną przesłankę przetwarzania danych osobowych przez LTR. W obowiązujących w LTR
politykach, w tym politykach dotyczących retencji danych, określamy, iż nigdy nie wolno nam
przetwarzać danych osobowych ponad okres dłuższy niż wynika to z ww. podstaw prawnych.
Stosownie do tego informujemy, że:
a) w przypadku, gdy Administrator przetwarza dane osobowe na podstawie zgody, okres
przetwarzania trwa do momentu wycofania tej zgody przez użytkownika;
b) w przypadku, gdy Administrator przetwarza dane osobowe na podstawie uzasadnionego interesu
administratora danych, okres przetwarzania trwa do momentu ustania ww. interesu (np. okres
przedawnienia roszczeń cywilnoprawnych) lub do momentu sprzeciwienia się osoby, której dane
dotyczą, dalszemu takiemu przetwarzaniu – w sytuacjach, gdy sprzeciw taki zgodnie z przepisami
prawa przysługuje;
c) w przypadku, gdy Administrator przetwarza dane osobowe, ponieważ jest to konieczne z uwagi
na obowiązujące przepisy prawa, okresy przetwarzania danych w tym celu określają te przepisy.
10. Bezpieczeństwo danych
W celu zapewnienia integralności i poufności danych, Administrator wdrożył procedury umożliwiające
dostęp do danych osobowych jedynie osobom upoważnionym i jedynie w zakresie, w jakim jest to
niezbędne ze względu na wykonywane przez nie zadania. Administrator stosuje rozwiązania
organizacyjne i techniczne, w tym szyfrowanie połączenia w celu zapewnienia, że wszystkie operacje
na danych osobowych są rejestrowane i dokonywane tylko przez osoby uprawnione.
Administrator podejmuje ponadto wszelkie niezbędne działania, by także jego podwykonawcy i inne
podmioty współpracujące dawały gwarancję stosowania odpowiednich środków bezpieczeństwa
w każdym przypadku, gdy przetwarzają dane osobowe na zlecenie Administratora.
Administrator prowadzi na bieżąco analizę ryzyka i monitoruje adekwatność stosowanych zabezpieczeń
danych do identyfikowanych zagrożeń. W razie konieczności, Administrator wdraża dodatkowe środki
służące zwiększeniu bezpieczeństwa danych.
11. TWOJE UPRAWNIENIA
Osoby fizyczne mają określone prawa dotyczące swoich danych osobowych, a Lagardere Travel Retail
sp. z o.o. jako administrator danych odpowiada za realizację tych praw zgodnie z obowiązującymi
przepisami prawa. W przypadku wszelkich pytań i próśb dotyczących zakresu i realizacji praw, a także
w celu skontaktowania się z nami właśnie w celu skorzystania z określonego uprawnienia w zakresie
ochrony danych osobowych prosimy o kontakt pod adresem e-mail: iodo@lagardere-tr.pl. Zastrzegamy
sobie prawo realizacji poniższych uprawnień po pozytywnym zweryfikowaniu tożsamości osoby
ubiegającej się o dokonanie danej czynności.
Dostęp do danych osobowych
Osoby fizyczne mają prawo dostępu do swoich danych oraz otrzymania ich kopii, które przechowujemy
jako administrator danych. Prawo to można wykonywać poprzez wysłanie e-maila na adres:
iodo@lagardere-tr.pl
Prawo do sprostowania (poprawienia) swoich danych osobowych
Zmiany, w tym zaktualizowana swoich danych osobowych, które przetwarzane są w ramach udziału w
Programie można dokonać poprzez wysłanie maila na adres: iodo@lagardere-tr.pl
Wycofanie zgody
W przypadku przetwarzania danych osobowych na podstawie zgody, osoby fizyczne mają prawo
w dowolnej chwili wycofać tę zgodę. Informujemy o tym w każdym momencie zbierania zgód
i umożliwiamy wycofanie zgody w tak łatwy sposób, jak jej udzielono. W braku odmiennej informacji,
to znaczy jeśli nie podaliśmy innego adresu czy numeru kontaktowego celem wycofania zgody, prosimy
o przesłanie do nas maila na adres: iodo@lagardere-tr.pl
Przetwarzanie danych do momentu cofnięcia przez Ciebie zgody pozostaje zgodne z prawem.
Prawo do ograniczenia przetwarzania lub wniesienia sprzeciwu wobec przetwarzania danych
osobowych
Osoby fizyczne mają prawo ograniczenia przetwarzania lub wniesienia sprzeciwu wobec przetwarzania
swoich danych osobowych w dowolnej chwili, ze względu na ich szczególną sytuację, chyba że
przetwarzanie jest wymagane zgodnie z przepisami prawa.
Osoba fizyczna może wnieść sprzeciw wobec przetwarzania jej danych osobowych, gdy:
• przetwarzanie danych osobowych odbywa się na podstawie prawnie uzasadnionego interesu
lub dla celów statystycznych, a sprzeciw jest uzasadniony przez szczególną sytuację, w której
się znalazła,
Z kolei w odniesieniu do żądania ograniczenia przetwarzania danych podpowiadamy, że przysługuje ono
np. gdy dana osoba zauważy, że jej dane są nieprawidłowe. Wówczas może żądać ograniczenia
przetwarzania Twoich danych na okres pozwalający nam sprawdzić prawidłowość tych danych.
Pozostałe prawa: prawo żądania usunięcia danych i prawo do przenoszenia danych
W przypadku chęci realizacji tych praw, należy wysłać maila na adres iodo@lagardere-tr.pl
Z prawa do usunięcia danych można skorzystać np. gdy dane osoby fizycznej nie będą już niezbędne do
celów, dla których zostały zebrane przez Administratora albo gdy osoba fizyczna wycofa swoją zgodę
na przetwarzanie danych przez Administratora. Nadto, w przypadku, gdy osoba fizyczna zgłosi sprzeciw
wobec przetwarzania jej danych lub gdy jej dane będą przetwarzane niezgodnie z prawem. Dane
powinny być również usunięte w celu wywiązania się z obowiązku wynikającego z przepisu prawa.
Z kolei prawo do przenoszenia danych przysługuje wówczas, gdy przetwarzanie danych osoby odbywa
się na podstawie zgody osoby fizycznej lub umowy zawartej z nią oraz gdy przetwarzanie to odbywa się
w sposób automatyczny.
Wszelkie pozostałe pytania, wątpliwości i skargi
W razie, gdybyście mieli Państwo jakiekolwiek pytania, zastrzeżenia lub wątpliwości dotyczące treści
niniejszej Polityki prywatności lub sposobu w jaki przetwarzamy dane osobowe, jak również skargi
dotyczące tych kwestii (choć mamy nadzieję, że nie będzie konieczności wniesienia tego rodzaju skarg),
prosimy o przesłanie maila wraz ze szczegółowymi informacjami dotyczącymi skargi na adres
iodo@lagardere-tr.pl lub listownie na adres: Inspektor Ochrony Danych; Lagardere Travel Retail
sp. z o.o.; Aleje Jerozolimskie 174; 02-486 Warszawa. Wszelkie otrzymane skargi zostaną rozpatrzone i
udzielimy na nie odpowiedzi. Inspektorem Ochrony Danych w LTR., adres e-mail: iodo@lagardere-tr.pl
Przed spełnieniem żądania osoby, której dane dotyczą mamy prawo do przeprowadzenia jej weryfikacji.
Osoby, których dane osobowe przetwarza LTR, mają również prawo wnieść skargę do organu
nadzorczego, którym jest Prezes Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193
Warszawa).
12. Zmiany Polityki Prywatności
Administrator danych zastrzega sobie prawo do wprowadzania zmian w Polityce Prywatności.
1. Data określona poniżej jest datą Polityki Prywatności w ostatniej wersji.
Data: 13.11.2023 r.