(english version below)
Polityka Prywatności Calypso Fitness
W celu realizacji zasady zgodności z prawem, rzetelności oraz przejrzystości przetwarzania danych osobowych osób korzystających z usług oferowanych przez Calypso Fitness S.A. z siedzibą w Warszawie, przyjęta została niniejsza Polityka Prywatności.
Polityka Prywatności określa na jakich zasadach Calypso Fitness S.A. z siedzibą w Warszawie zbiera oraz przetwarza dane osobowe swoich klientów oraz jakie prawa przysługują tym klientom w związku z przetwarzaniem ich danych osobowych.
Zważywszy, że od dnia 25.05.2018 r. swoje bezpośrednie zastosowanie ma Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych – dalej „RODO”), Calypso Fitness S.A. z siedzibą w Warszawie zachęca swoich klientów do zapoznania się z poniższymi informacjami dotyczącymi przetwarzania ich danych osobowych.
Określenia pisane wielką literą w dalszej części niniejszej Polityki Prywatności mają znaczenia nadane im odpowiednio w Regulaminie Usług Calypso Fitness lub Regulaminie Strefy Klienta Calypso Fitness, chyba że z kontekstu ich użycia będzie wynikało wyraźnie w sposób odmienny.
I. Informacje o Administratorze danych osobowych.
Administratorem Twoich danych osobowych jest Calypso Fitness S.A. z siedzibą w Warszawie, ul. Puławska 427, 02-801 Warszawa
W kwestiach dotyczących przetwarzania Twoich danych osobowych może skontaktować się bezpośrednio z Administratorem, wysyłając tradycyjną korespondencję na adres pocztowy Calypso Fitness S.A. z siedzibą w Warszawie, ul. Puławska 427, 02-801 Warszawa.
II. Inspektor ochrony danych osobowych.
W sprawach dotyczących ochrony Twoich danych osobowych oraz realizacji przysługujących Ci praw możesz w każdym czasie skontaktować się z Inspektorem Ochrony Danych, wyznaczonym przez grupę przedsiębiorstw, do której należy Administrator, pod adresem e – mail: IOD@calypso.com.pl.
III. Cel przetwarzania danych osobowych.
Twoje dane osobowe przetwarzane są przez Administratora w różnych celach, w rożnym zakresie oraz na różnych podstawach prawnych przewidzianych w RODO.
Poniżej wskazane zostały informacje dotyczące przetwarzania Twoich danych osobowych, pogrupowane zgodnie z celami w jakich dane te są przetwarzane przez Administratora.
- Wykonanie umowy.
Przetwarzanie Twoich danych osobowych przez Administratora jest niezbędne do wykonania Umowy o świadczenie usług fitness oraz Umowy o prowadzenie Konta Użytkownika, w tym do:
A. zapewnienia Ci dostępu do usług fitness oferowanych przez Administratora,
B. umożliwienia Ci założenia Konta Użytkownika w Strefie Klienta Calypso Fitness oraz korzystania z dostępnych tam funkcjonalności.
Postawę prawną legalizującą przetwarzania Twoich danych osobowych przez Administratora w tym celu stanowi art. 6 ust. 1 lit. b) RODO.
2. Realizacja prawnie uzasadnionych interesów Administratora lub osoby trzeciej.
Administrator ma prawo przetwarzać Twoje dane osobowe w celu realizacji prawnie uzasadnionych interesów Administratora lub osoby trzeciej.
Administrator uznał, że zgodne z realizacją prawnie uzasadnionych interesów Administratora lub osoby trzeciej jest przetwarzanie Twoich danych osobowych w celu:
- przesyłania Twoich danych osobowych w ramach grupy przedsiębiorstw, do której należy Administrator, do wewnętrznych celów administracyjnych,
- bezwzględnie niezbędnym do zapobiegania oszustwom oraz zapewnienia bezpieczeństwa sieci i informacji,
- doboru usług do potrzeb klientów Administratora,
- optymalizacji produktów lub usług na podstawie Twoich uwag i opinii na ich temat, Twojego zainteresowania, logów technicznych aplikacji,
- optymalizacji procesów obsługi sprzedaży lub posprzedaży,
- rozpatrywania reklamacji,
- archiwalnym (dowodowym) dla zabezpieczenia informacji na wypadek prawnej potrzeby wykazania określonych faktów (np. przed organem podatkowym),
- ewentualnego ustalenia, dochodzenia lub obrony przed roszczeniami,
- badania satysfakcji klientów i określenia jakości usług i obsługi Administratora,
- oferowania Ci przez Administratora produktów lub usług (marketing bezpośredni), w tym dobierania ich pod katem Twoich potrzeb za pomocą profilowania (co wyjaśnione zostało w dalszej części Polityki Prywatności),
- oferowania Ci bezpośrednio (marketing bezpośredni) produktów lub usług podmiotów współpracujących z Administratorem (partnerów Administratora), np. w formie kuponów rabatowych, w tym dobierania ich pod kątem Twoich potrzeb za pomocą profilowania (co zostało wyjaśnione w dalszej części Polityki Prywatności) w zakresie określonym prowadzoną i udokumentowaną przez Administratora analizą prawnie uzasadnionych interesów,
- stosowanie monitoringu wizyjnego w klubach fitness, w których świadczone są usługi fitness oferowane przez Administratora w ramach umowy o świadczenie usług fitness, z wyłączeniem takich miejsc jak szatnia, przebieralnia, łazienka i toaleta, w celu zapobiegania kradzieżom, aktom wandalizmu lub innym naruszeniom porządku, bezpieczeństwa lub ogólnie przyjętych norm zachowania w klubach fitness.
Administrator przetwarza Twoje dane osobowe wyłącznie w skonkretyzowanych, wyraźnych i prawnie uzasadnionych celach, a twoje dane osobowe nie są przetwarzane dalej w sposób niezgodny z tymi celami.
Możliwość przetwarzania Twoich danych osobowych w celu realizacji prawnie uzasadnionych interesów Administratora lub osoby trzeciej przewidziana została w art. 6 ust. 1 lit. f) RODO.
3. Ochrona żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej.
Administrator ma prawo przetwarzać Twoje dane osobowe w celu ochrony Twoich żywotnych interesów lub żywotnych interesów innej osoby fizycznej, czyli takich, które mają istotne znaczenie dla życia Twojego lub innej osoby fizycznej.
Do powyższego katalogu zalicza się przede wszystkim cele humanitarne, a w szczególności klęski żywiołowe i katastrofy spowodowane przez człowieka, jak również cele związane z koniecznością ratowania życia, zdrowia lub ochroną majątku (np. Administrator może skontaktować się z Tobą w celu oddania Ci Twojego zgubionego portfela znalezionego w klubie fitness lub w związku ze zdarzeniem które miało miejsce w klubie fitness na Twoją szkodę lub szkodę innej osoby fizycznej, jeżeli byłeś/byłaś jego uczestnikiem lub świadkiem).
Podstawę prawną przetwarzania danych osobowych w celu ochrony Twoich żywotnych interesów lub żywotnych interesów innej osoby fizycznej stanowi art. 6 ust. 1 lit. d) RODO.
Administrator nie będzie jednak przetwarzał na tej podstawie twoich danych osobowych szczególnych kategorii (w tym danych dotyczących zdrowia), chyba, że wyrazisz wyraźną zgodę na przetwarzanie twoich danych w Tym celu albo będziesz fizycznie lub prawnie niezdolny do wyrażenia tej zgody, a przetwarzanie danych osobowych będzie bezwzględnie konieczne do ochrony Twoich żywotnych interesów lub żywotnych interesów innej osoby fizycznej (art. 9 ust. 2 lit. a) lub c) RODO).
4. Przetwarzanie danych osobowych w jednym lub w większej liczbie celów, do których wymagana jest zgoda osoby, której dane dotyczą.
Jeżeli przetwarzanie Twoich danych osobowych nie będzie miało swojej podstawy prawnej w jednym z celów, o których mowa w pkt 1-3 powyżej, Administrator będzie mógł przetwarzać Twoje dane osobowe w jednym lub większej liczbie innych celów wyraźnie określonych przez Administratora, wyłącznie w sytuacji, gdy uprzednio wyrazisz na to zgodę i przetwarzania Twoich danych osobowych w tym celu nie będą zabraniały bezwzględnie obowiązujące przepisy powszechnie obowiązującego prawa.
Odrębnej zgody wymaga w szczególności:
A) przetwarzanie przez Administratora Twoich danych osobowych w celu marketingu bezpośredniego produktów lub usług Administratora lub podmiotów współpracujących z Administratorem (partnerów Administratora), realizowane poprzez:
- wysyłanie Ci informacji handlowych za pomocą środków komunikacji elektronicznej (np. poprzez przesłanie Ci oferty handlowej na adres e-mail podany przez Ciebie w formularzu rejestracyjnym) – wymóg uzyskania Twojej zgody przewidziany został w art.10 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną,
- kontaktowanie się z Tobą przy użyciu telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących (np. poprzez przedstawienie Ci oferty handlowej podczas rozmowy telefonicznej) – wymóg uzyskania Twojej zgody przewidziany został w art. 172 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne.
B) przetwarzanie przez Administratora Twoich danych osobowych dotyczących zdrowia, zbieranych przy użyciu dostępnych w klubach fitness analizatorów „Tanita” w celu pomiaru składu masy ciała i monitoringu postępów treningowych – wymóg uzyskania Twojej wyraźnej zgody na przetwarzanie danych osobowych w tym celu przewidziany został w art. 9 ust. 2 lit. a) RODO.
Administrator będzie mógł również przetwarzać Twoje dane osobowe w jednym lub większej liczbie określonych przez Administratora celów, które nie zostały wymienione w niniejszym punkcie wyłącznie w sytuacji, gdy zostaniesz o tym uprzednio poinformowany i wyrazisz zgodę na przetwarzanie twoich danych osobowych w innym (nowym) celu.
IV. Informacja o odbiorcach danych osobowych.
Do odbiorców lub kategorii odbiorców Twoich danych osobowych należysz Ty oraz:
1. podmioty przetwarzające:
- podmioty z grupy przedsiębiorstw, do której należy Administrator, prowadzące kluby fitness, w których świadczone są usługi realizowane w ramach zawartej przez Ciebie umowy,
- podmioty współpracujące z Administratorem, prowadzące kluby fitness, w których świadczone są usługi w ramach zawartej przez Ciebie umowy, nienależące do grupy przedsiębiorstw Administratora,
- podmioty świadczące usługi technologii informacyjnych (IT),
- podmioty świadczące usługi księgowo-kadrowe,
- podmioty świadczące na rzecz Administratora usługi marketingowe (w tym agencje marketingowe),
- podmioty zajmujące się windykacją roszczeń,
- podmioty świadczące usługi prawne,
- likwidatorzy szkód z firm ubezpieczeniowych,
- agenci rozliczeniowi zajmujący się obsługą płatności bezgotówkowych w Internecie,
- firmy kurierskie i pocztowe,
- inni dostawcy usług zaopatrujących Administratora w rozwiązania techniczne oraz organizacyjne, umożlwiające realizację usług oferowanych w ramach zawartej przez Ciebie umowy
2. niezależni odbiorcy:
- podmioty z grupy kapitałowej Administratora, których oferta uzupełnia ofertę Administratora,
- partnerzy handlowi, których oferta uzupełnia ofertę Administratora,
- partnerzy handlowi, będący członkami programu lojalnościowego realizowanego przez Administratora,
3. inni uprzednio wyraźnie upoważni przez Ciebie odbiorcy.
V. Przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych.
Administrator nie przekazuje Twoich danych osobowych poza teren Polski, Unii Europejskiej oraz Europejskiego Obszaru Gospodarczego.
VI. Okres przechowywania danych osobowych.
Twoje dane osobowe przechowywane są przez Administratora przez okres nie dłuższy, niż będzie to niezbędne do celów, w których dane te będą przetwarzane zgodnie z punktem III Polityki Prywatności, w tym:
- Twoje dane osobowe pozyskane w celu zawarcia i wykonania umowy oraz realizacji prawnie uzasadnionych interesów Administratora będą przechowywane przez okres obowiązywania umowy, a po jego upływie przez okres niezbędny do:
a) posprzedażowej obsługi klientów (np. rozpatrywania reklamacji) – do czasu przedawnienia Twoich roszczeń wynikających z umowy,
b) zabezpieczenia lub dochodzenia roszczeń przysługujących Administratorowi – do czasu przedawnienia roszczeń Administratora,
c) wypełnienia obowiązku prawnego przez Administratora, przy czym dane przetwarzane na potrzeby rachunkowości oraz ze względów podatkowych Administrator przetwarzał będzie przez okres 5 lat, liczonych od końca roku kalendarzowego, w którym powstał obowiązek podatkowy,
2. Twoje dane osobowe pozyskane przez Administratora w celu marketingu bezpośredniego produktów lub usług Administratora będą przechowywane do czasu, aż zgłosisz sprzeciw względem przetwarzania Twoich danych osobowych w tym celu, lub cofniesz zgodę, jeżeli Administrator przetwarzał te dane na podstawie tzw. zgody marketingowej, lub Administrator sam ustali, że dane osobowe podane przez Ciebie w tym celu się zdezaktualizowały.
3. Twoje dane osobowe pozyskane w ramach nagrania wideo z obszarów monitoringu wizyjnego w klubach fitness (w tym Twój wizerunek utrwalony na tych nagraniach) – nagrania po upływie pewnego czasu (w zależności od poszczególnych konfiguracji sprzętowych) są trwale usuwane ze zbiorów danych osobowych Administratora w procesie nadpisywania pamięci kamer monitoringu nowymi nagraniami, chyba że ich przechowanie przez dłuższy czas będzie niezbędne do realizacji celu w jakim zostały utrwalone.
VII. Prawa osoby, której dotyczą dane osobowe.
W związku z przetwarzaniem Twoich danych osobowych przysługują Ci następujące uprawnienia, których realizację zapewnia Administrator:
- prawo dostępu do swoich danych osobowych, czyli uzyskania od Administratora potwierdzenia czy przetwarza on Twoje dane oraz informacji dotyczących takiego przetwarzania, a także otrzymania kopi tych danych,
- prawo do sprostowania (poprawienia) Twoich danych osobowych, jeżeli dane przetwarzanie przez Administratora są nieprawidłowe lub niekompletne,
- prawo do żądania usunięcia danych (w tym „prawo do bycia zapomnianym”),
- prawo żądania od Administratora ograniczenia przetwarzania Twoich danych osobowych,
- prawo do wniesienia sprzeciwu wobec przetwarzania danych,
- prawo do przenoszenia danych osobowych – masz prawo otrzymać od Administratora w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe Ciebie dotyczące, które dostarczyłeś Administratorowi na podstawie umowy lub Twojej zgody; możesz też zlecić Administratorowi przesłanie tych danych osobowych bezpośrednio innemu – wskazanemu przez Ciebie – podmiotowi,
- prawo do wniesienia skargi do organu nadzorczego,
- prawo do cofnięcia zgody na przetwarzanie danych osobowych – w każdej chwili masz prawo cofnąć zgodę na przetwarzanie przez Administratora tych danych osobowych, które Administrator przetwarza na podstawie Twojej zgody; cofnięcie przez Ciebie zgody nie ma wpływu na zgodność z prawem dotychczasowego przetwarzania Twoich danych osobowych przez Administratora w celu objętym udzieloną zgodą.
Administrator przypomina, że przed realizacją Twoich uprawnień ma on prawo Cię zidentyfikować w celu upewniania się, że jesteś tym za kogo się podajesz – ma to na celu zapobiegnięcie sytuacji przekazania informacji dotyczących klientów Administratora osobom do tego nieuprawnionym.
W przypadku wystąpienia przez Ciebie z żądaniem związanym z realizacją wymienionych wyżej uprawnień, Administrator spełni to żądanie bez zbędnej zwłoki, nie później jednak niż w terminie miesiąca od dnia otrzymania Twojego żądania, z poniższym zastrzeżeniem.
Jeżeli sprawa będzie skomplikowana (np. z uwagi na charakter Twojego żądania lub dużą liczbę żądań) miesięczny termin realizacji Twojego żądania może zostać wydłużony jeszcze o dwa kolejne miesiące, o czym Administrator Cię poinformuje w pierwotnym – miesięcznym – terminie, o którym mowa powyżej.
Administrator informuje przy tym, że ma prawa odmówić spełnienia Twojego żądania albo pobrać dodatkową opłatę w wysokości 50 zł, w sytuacji, gdy:
- nie będzie w stanie w sposób jednoznaczny zidentyfikować Twojej tożsamości,
- Twoje żądanie będzie miało nieuzasadniony lub nadmierny charakter.
Odmowa spełniania Twojego żądania przez Administratora powinna zostać uzasadniona jednym z wyżej wymienionych powodów.
VII. Informacja o wymogu/dobrowolności podania danych osobowych.
Podanie przez Ciebie danych osobowych w celu:
- wykonania umowy – jest warunkiem zawarcia oraz realizacji tej umowy przez Administratora; jeżeli nie podasz swoich danych osobowych Administratorowi w tym celu, może on odmówić Ci zawarcia umowy,
- marketingu bezpośredniego realizowanego poprzez wysyłanie Ci informacji handlowych za pomocą środków komunikacji elektronicznej, kontaktowanie się z Tobą przy użyciu telekomunikacyjnych rządzeń końcowych i automatycznych systemów wywołujących – jest dobrowolne i wymaga Twojej zgody; niewyrażenie przez Ciebie zgody na przetwarzanie przez Administratora Twoich danych osobowych w tym celu nie będzie miało wpływu na możliwość zawarcia umowy, niemniej Administrator nie będzie Ci mógł przekazywać wymienionymi kanałami komunikacyjnymi informacji marketingowych, w szczególności o ofertach nowych produktów i usług, promocjach oraz programach lojalnościowych,
- pomiaru składu masy ciała i monitoringu postępów treningowych przy użyciu urządzenia Tanita – jest dobrowolne i wymaga Twojej wyraźnej zgody; niewyrażenie przez Ciebie zgody na przetwarzanie Twoich danych osobowych w tym celu nie wpływa na możliwość zawarcia umowy, ale uniemożliwi Ci to korzystanie z nielimitowanych pomiarów składu ciała oraz monitorowania postępów treningowych przy użyciu analizatora Tania, dostępnych w ramach umowy o świadczenie usług fitness.
IX. Informacja o zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu.
Administrator informuje, że jednym ze sposób w jaki może on przetwarzać Twoje dane osobowe jest tzw. profilowanie. Oznacza to, że Administrator w oparciu dotyczące Cię informacje może tworzyć profile Twoich preferencji (np. określać z jakich usług korzystasz najczęściej, jakimi wydarzeniami organizowanymi przez Administratora się interesujesz itp.) i w oparciu o te profile dostosowywać do nich usługi i treści jakie będziesz w przyszłości otrzymywał od Administratora.
W takcie profilowania Administrator – co do zasady – nie przetwarza Twoich danych w sposób w pełni zautomatyzowany, czyli bez ingerencji człowieka. Wyjątkiem jest sytuacja, w której decyzje podejmowane w sposób zautomatyzowany będą służyć realizacji umowy – w tym przypadku przysługuje Ci prawo do niepodlegania tej decyzji i domagania się ingerencji człowieka w Twojej sprawie, co Administrator zapewnia. W celu realizacji tego uprawnienia możesz skontaktować się z Administratorem w jeden ze sposobów, o których mowa w tytule I. lub II. niniejszej Polityki Prywatności.
Decyzje podejmowane w ten sposób mogą mieć wpływ na to, czy zostanie/niezostanie Ci zaproponowana określona usługa, produkt, oferta, rabat czy program lojalnościowy.
X. Informacja o przetwarzaniu danych osobowych przez Współadministratorów.
Administrator informuje, że jest współadministratorem Twoich danych osobowych, na opisanych niżej zasadach.
- Współadministratorami Twoich danych osobowych są:
A. Calypso Fitness S.A. z siedzibą w Warszawie, ul. Puławska 427, 02-801 Warszawa, (dalej również jako „Współadministrator 1”),
oraz
B. PZU Zdrowie S.A. z siedzibą w Warszawie, ul. Konstruktorska 13, 02-673 Warszawa, (dalej jako „Współadministrator 2”).
Dalej Współadministrator 1 oraz Współadministrator 2 określani będą również łącznie jako „Współadministratorzy”, a każdy z osobna jako „Współadministrator”.
2. Istotne warunki uzgodnień dokonanych pomiędzy Współadministratorami.
W ramach umowy o współadministrowanie zawartej pomiędzy Współadministratorami uzgodniony został zakres odpowiedzialności dotyczący wypełniania obowiązków wynikających z RODO, na następujących zasadach:
1. Każdy Współadministrator ponosi odpowiedzialność za realizację obowiązków wynikających z RODO w zakresie, w jakim sam przetwarza Twoje dane osobowe, to jest:
A. Współadministrator 1 – w zakresie realizacji Umowy o świadczenie usług fitness oraz Umowy o prowadzenie konta użytkownika w Strefie Klienta Calypso Fitness, a także w pozostałych celach, o których mowa w tytule III. Polityki Prywatności,
B. Współadministrator 2 – w zakresie realizacji umowy o świadczenia usługi pakietu medycznego, to jest świadczeń medycznych oraz usług oferowanych przez partnera medycznego Współadministratora 2
z zastrzeżeniem pkt 2) poniżej,
2.. ustalenie, o którym mowa w pkt 1 powyżej, nie ogranicza Twojego prawa do realizacji przysługujących Ci uprawnień, co oznacza, że skuteczne i wiążące wobec wszystkich Współadministratorów będzie zapytanie o informacje, żądanie uzyskania dostępu do danych czy też dostarczenia ich kopii – w tym przypadku dany Współadministrator sam rozpatrzy Twoje zapytanie/żądanie/prośbę, jeżeli będzie się to mieściło w zakresie w jakim przetwarza Twoje dane osobowe jako Administrator, a w przeciwnym wypadku przekaże Twoje zapytanie/żądanie/prośbę drugiemu Współadministratorowi w celu realizacji tego zapytania/żądania/prośby.
XI. Bezpieczeństwo danych osobowych.
Administrator informuje, że wdrożone przez niego oraz podmioty przetwarzające środki techniczne i organizacyjne zapewniają wystarczające gwarancje przetwarzania Twoich danych osobowych, zgodnie z wymagamy określonymi w RODO, oraz należycie chroni Twoje prawa w tym zakresie.
XII. Sposób korzystania z plików „cookies”.
Administrator informuje, że na swojej stronie internetowej stosuje mechanizm plików „cookies”, które podczas korzystania przez Ciebie ze strony internetowej zapisywane są przez serwer Administratora na dysku twardym Twojego urządzenia końcowej (np. komputera, smartphone-u, tabletu).
Stosowanie plików „cookies” ma na celu poprawienie działania strony internetowej Administratora na urządzeniach końcowych swoich klientów. Mechanizm ten nie niszczy Twojego urządzenia końcowego oraz nie powoduje zmian konfiguracji tego urządzenia, ani w zainstalowanym na nim oprogramowaniu. Pliki „cookies” nie mają na celu identyfikowania Cię przez Administratora.
Administrator stosuje pliki „cookies” w celu:
- zapamiętania informacji o Twoim urządzeniu końcowym,
- weryfikacji i rozwoju swojej oferty,
- statystycznym.
Możesz w każdym czasie wyłączyć mechanizm plików „cookies” w przeglądarce internetowej swojego urządzenia końcowego. Administrator informuje jednak, że wyłączenie plików „cookis” może spowodować utrudnienia lub uniemożliwić korzystanie ze strony internetowej Administratora.
XIII.Postanowienia końcowe.
Niniejsza Polityka Prywatności wchodzi w życie z dniem 24 maja 2018 r.
Administrator może zmieniać i uzupełniać postanowienia Polityki Prywatności stosownie do potrzeb wynikających ze zmiany warunków przetwarzania Twoich danych osobowych (np. wynikających ze zmiany obowiązujących przepisów prawa). O wszelkich zmianach lub uzupełnieniach Polityki Prywatności zostaniesz poinformowany poprzez zamieszczenie odpowiedniej informacji na stronach głównych Administratora, a w przypadku istotnych zmian może zostać o tym fakcie poinformowany również odrębnie poprzez wysłanie stosownego powiadomienia na wskazany przez Ciebie adres e-mail, sms-owo lub innym dostępnym bezpośrednim kanałem komunikacji.
Niniejsza Polityka Prywatności nie ogranicza ani nie wyłącza uprawnień przysługujących Ci zgodnie z umową oraz regulaminami świadczenia usług oferowanych przez Administratora.
Inspektor Ochrony Danych
Anna Matyja-Sławińska
e-mail: iod@calypso.com.pl
Calypso Fitness Privacy Policy
For the purpose of implementing the principle of lawfulness, reliability and transparency of personal data processing of the persons that use services offered by Calypso Fitness S.A. with its registered office in Warsaw, this Privacy Policy has been adopted.
The Privacy Policy defines the principles on which Calypso Fitness S.A. with its registered office in Warsaw collects and processes personal data of its customers and what rights are vested in these customers in connection with the processing of their personal data.
Considering that the Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of individuals with regard to the processing of personal data and on the free movement of such data and repealing Directive 95/46/EC (General Data Protection Regulation – hereinafter referred to as „GDPR”) has been directly applicable since 25 May 2018, Calypso Fitness S.A. with its registered office in Warsaw encourages its clients to read the following information concerning the processing of their personal data.
Terms written in capitals in the following part of this Privacy Policy shall have the meanings given to them in the Calypso Fitness Service Terms and Conditions or in the Calypso Fitness Customer Zone Terms and Conditions, respectively, unless the context of their use clearly indicates otherwise.
- Information on the personal data Controller.
The controller of your personal data is Calypso Fitness S.A. with its registered office in Warsaw, ul. Puławska 427, 02-801 Warsaw.
In matters concerning the processing of your personal data, you may contact the Controller directly by sending traditional correspondence to the postal address Calypso Fitness S.A. with its registered office in Warsaw, ul. Puławska 427, 02-801 Warsaw.
- Data Protection Supervisor.
If you have any questions regarding the protection of your personal data or the exercise of your rights, you can contact the Data Protection Supervisor at any time, appointed by the group of companies to which the Controller belongs, at the following e-mail address: IOD@calypso.com.pl.
- Purpose of personal data processing.
Your personal data are processed by the Controller for various purposes, to different extent and on different legal grounds provided for in the GDPR.
Below you will find information concerning the processing of your personal data, grouped according to the purposes for which the data are processed by the Controller.
- Contract performance.
The Controller’s processing of your personal data is necessary for the performance of the Contract for the provision of fitness services and the Contract for the maintenance of the User Account, including:
- a) provide you with access to the fitness services offered by the Controller,
- b) enable you to open a User Account in the Calypso Fitness Customer Zone and to use the functionalities available there.
The legal basis for the processing of your personal data by the Controller for this purpose is Article 6(1)(b) of the GDPR.
- Pursuing the legitimate interests of the Controller or a third party.
The Controller has decided that it is consistent with the realization of the Controller or a third party legitimate interests to process your personal data for these purposes:
1) transfer your personal data within the company group to which the Controller belongs for internal administrative purposes,
2) strictly necessary for preventing fraud and ensuring network and information security,
3) selection of services to meet the needs of the Controller’s clients,
4) optimisation of products or services based on your comments and opinions on them, your interest, technical logs of the application,
(5) the optimisation of sales or after-sales support processes,
6) consideration of complaints,
7) archived (evidence) to secure information in case of legal need to prove certain facts (e.g. before tax authorities),
8) possible determination, investigation or defence against claims,
9) research customer satisfaction and determine the quality of Controller’s services,
10) the Controller offers you products or services (direct marketing), including selecting them according to your needs by means of profiling (as explained later in this Privacy Policy),
11) offer you directly (direct marketing) products or services of entities cooperating with the Controller (Controller’s partners), e.g. in the form of discount vouchers, including their selection for your needs by means of profiling (which is explained later in this Privacy Policy) within the scope of the analysis of legitimate interests conducted and documented by the Controller,
12) using video monitoring in fitness clubs where fitness services offered by the Controller under the agreement for the provision of fitness services are provided, excluding such places as cloakroom, changing room, bathroom and toilet, in order to prevent theft, acts of vandalism or other violations of order, safety or generally accepted standards of behaviour in fitness clubs.
The Controller processes your personal data only for specified, explicit and legitimate purposes, and your personal data are not further processed in a way incompatible with those purposes.
The possibility of processing your personal data to pursue the legitimate interests of the Controller or a third party is provided for in Article 6(1)(b) of the GDPR
- Protection of the vital interests of the data subject or of another individual.
The Controller has the right to process your personal data to protect your vital interests or the vital interests of another natural person, i.e. those that are important for your life or another natural person’s life.
This list includes primarily humanitarian objectives, in particular natural and man-made disasters, as well as objectives related to the need to save lives, health or protect property (e.g. the safety of persons, property and equipment, etc.). The controller may contact you to return your lost wallet found in the fitness club or in connection with an event that occurred in the fitness club to your detriment or to the detriment of another individual if you were a participant or witness.
The legal basis for the processing of personal data to protect your vital interests or those of another individual is Article 6(1)(b) of the GDPR.
However, the Controller will not process your personal data on this basis of special categories (including health data), unless you give your express consent to the processing of your data for this purpose or you are physically or legally incapable of giving such consent, and the processing of personal data will be absolutely necessary to protect your vital interests or the vital interests of another individual (Article 9 para. 2 a) or c) of the GDPR).
- Processing of personal data for one or more of the purposes for which the data subject’s consent is required.
If the processing of your personal data has no legal basis for one of the purposes mentioned in points 1-3 above, the Controller will be able to process your personal data for one or more other purposes explicitly defined by the Controller, only if you have previously given your consent and processed your personal data for this purpose will not be prohibited by the mandatory provisions of generally applicable law.
In particular, separate consent shall be required for:
- the Controller’s processing of your personal data for the purpose of direct marketing of the Controller’s products or services or products or services offered by the entities cooperating with the Controller (the Controller’s partners), carried out by
- sending you commercial information by means of electronic communication (e.g. by sending you a commercial offer to the e-mail address provided by you in the registration form) – the requirement to obtain your consent was laid down in Article 10 of the Act of 18 July 2002 on the provision of services by electronic means,
- contacting you using telecommunications terminal equipment and automated calling systems (e.g. by making a commercial offer to you during a telephone conversation) – the requirement to obtain your consent was laid down in Article 172 of the Telecommunications Act of 16 July 2004,
- the Controller’s processing of your personal health data collected using „Tanita” fitness analysers available at the fitness centre for weight measurement and training progress monitoring – the requirement to obtain your explicit consent to the processing of personal data for this purpose is laid down in Article 9, para.2 (a) of the GDPR.
The Controller will also be able to process your personal data for one or more purposes specified by the Controller, which are not listed in this point, only if you are informed in advance and give your consent to the processing of your personal data for another (new) purpose.
- Information on the recipients of personal data.
The recipients or categories of recipients of your personal information include you and:
- processors:
- a) entities of the company group to which the Controller belongs that operate fitness clubs where services are provided under the contract you have concluded,
- b) entities cooperating with the Controller and operating fitness clubs where services are provided under the contract you have concluded, which are not part of the Controller’s company group,
- c) information technology (IT) service providers,
- d) entities providing accounting and personnel services,
- e) marketing services providers to the Controller (including marketing agencies),
- f) debt collectors,
- g) legal entities providing legal services,
- h) loss adjusters of insurance companies,
- i) clearing agents handling online non-cash payments,
- j) courier and post office services,
- k) other service providers that provide the Controller with technical and organizational solutions that enable the performance of the services offered under the contract you have concluded.
- Independent recipients:
- a) entities from the Controller’s capital group whose offer is supplemented by the offer of the Controller,
- b) trading partners whose offer is supplemented by those of the Controller,
- c) trading partners that are members of a loyalty program operated by the Controller,
- others recipient expressly authorized by you in advance.
- Transfer of personal data to third countries or international organisations.
The Controller does not transfer your personal data outside the territory of Poland, the European Union and the European Economic Area.
- Period of personal data storage.
Your personal data is stored by the Controller for no longer than it will be necessary for the purposes for which the data will be processed in accordance with point III of the Privacy Policy, including:
- Your personal data obtained in order to conclude and perform the contract and to pursue the Controller’s legitimate interests will be stored for the duration of the contract and after its expiration for the period necessary for the purpose:
- a) after-sales customer service (e.g. complaint handling) until the statute of limitations of your contractual claims has expired,
- b) to secure or pursue the Controller’s claims, until such time as the Controller’s claims are time-barred,
- c) fulfillment of the legal obligation by the Controller, with the reservation that the data processed for accounting purposes and for tax reasons shall be processed by the Controller for a period of 5 years, counted from the end of the calendar year in which the tax obligation arose,
- Your personal data collected by the Controller for the purpose of direct marketing of the Controller’s products or services will be stored until you object to the processing of your personal data for this purpose, or you revoke your consent if the Controller processed this data on the basis of the so-called marketing consent, or the Controller determines that the personal data provided by you for this purpose have become outdated.
- Your personal data collected during the video recording from the video surveillance areas in fitness clubs (including your image recorded on these recordings) – after a certain time (depending on individual hardware configurations) the recordings are permanently deleted from the Controller’s personal data sets in the process of overwriting the video surveillance cameras memory with new recordings, unless their storage for a longer period will be necessary to achieve the purpose for which they were recorded.
- Rights of the data subject.
In connection with the processing of your personal data, you are entitled to the following rights, the exercise of which is ensured by the Controller:
1) The right to access your personal data, i.e. to obtain confirmation from the Controller whether it is processing your data and information concerning such processing, as well as to receive a copy of such data,
2) The right to rectify (correct) your personal data if the data are processed incorrectly or incompletely by the Controller,
3) The right to demand the deletion of data (including the 'right to be forgotten’),
4) the right to demand from the Controller to limit the processing of your personal data,
5) the right to object to the processing of data,
6) the right to transfer personal data – you have the right to receive from the Controller, in a structured, commonly used and machine-readable format, your personal data which you provided to the Controller on the basis of an agreement or your consent; you may also commission the Controller to send such personal data directly to another entity indicated by you,
(7) the right to lodge a complaint with the supervisory authority,
8) the right to withdraw the consent to the processing of personal data – at any time you have the right to withdraw the consent to the processing by the Controller of those personal data which the Controller processes on the basis of your consent; withdrawal by you of the consent does not affect the lawfulness of the previous processing of your personal data by the Controller for the purpose covered by the consent.
The Controller reminds you that before exercising your rights, he has the right to identify you to make sure that you are the person you are claiming to be – this is to prevent the situation in which information concerning the Controller’s clients is passed on to unauthorized persons.
In the case of your request related to the execution of the above rights, the Controller will meet the request without undue delay, however, not later than within one month from the date of receipt of your request, subject to the following reservation.
If the case is complicated (e.g. due to the nature of your request or the large number of requests), the monthly deadline for processing your request may be extended by another two months, which will be communicated to you by the Controller within the initial – monthly – deadline mentioned above.
The Controller informs that he has the right to refuse your request or charge an additional fee of PLN 50 in a situation when:
- it is not possible to identify you unambiguously,
- your request will be unjustified or excessive.
The Controller’s refusal to comply with your request shall be based on one of the reasons set out above.
- Information on the requirement/voluntary nature of providing personal data.
You provide personal data for the purpose:
- performance of the contract – it is a condition of concluding and performing this contract by the Controller; if you do not provide your personal data to the Controller for this purpose, he may refuse to conclude the contract,
- direct marketing carried out by sending you commercial information by means of electronic communication, contacting you by means of end telecommunications systems and automated calling systems – is voluntary and requires your consent; your refusal to give your consent to the processing of your personal data by the Controller for this purpose will not affect the possibility of concluding a contract, however the Controller will not be able to pass marketing information, in particular on offers of new products and services, promotions and loyalty programs, through these communication channels,
- measurement of body weight composition and monitoring of training progress using the Tanita device – is voluntary and requires your express consent; your failure to process your personal data for this purpose does not affect your ability to enter into a contract, but it will prevent you from using unlimited body composition measurements and monitoring training progress using a Tanita analyser, available under a fitness service contract.
- Information on automated decision making, including profiling.
The Controller informs that one of the ways in which he can process your personal data is the so-called profiling. This means that the Controller may create profiles of your preferences based on information concerning you (e.g. which services you use most often, which events organised by the Controller you are interested in, etc.) and adapt the services and content that you will receive from the Controller to them based on these profiles in the future.
As a rule, the Controller does not process your data in a fully automated way, i.e. without human intervention, during the profiling process. An exception is made when decisions made automatically serve the purpose of the contract – in this case you have the right not to be subject to this decision and to demand human interference in your case, which the Controller provides. You may contact the Controller to exercise this right in any of the ways set out in Art. I or II of the present Privacy Policy.
Decisions made in this way may affect if a particular service, product, offer, discount or loyalty program is offered to you.
- Information on processing of personal data by Joint Controllers.
The Controller informs that he is a joint controller of your personal data, according to the rules described below.
- Joint Controllers of your personal data are:
Calypso Fitness S.A. with its registered office in Warsaw, Puławska 427, 02-801 Warsaw, (hereinafter also referred to as 'Joint Controller 1′),
and
- PZU Zdrowie S.A. with its registered office in Warsaw, ul. Konstruktorska 13, 02-673 Warsaw, (hereinafter referred to as 'Joint Controller 2′).
Subsequently, Joint Controller 1 and Joint Controller 2 will also be jointly referred to as „Joint Controllers”, and each of them individually as „Joint Controller”.
- Essential terms and conditions agreed between the Joint Controllers.
Within the framework of the joint controlling agreement concluded between the Joint Controllers, the responsibilities concerning the fulfilment of the obligations resulting from the GDPR have been agreed upon, according to the following rules:
1) Each Joint Controller shall be responsible for the implementation of the obligations arising from the GDPR to the extent that it processes your personal data itself, that is to say:
- a) Joint Controller 1 – with respect to the performance of the Fitness Services Contract and the User Account Contract in the Calypso Fitness Customer Zone, as well as for other purposes referred to in Article III of the Privacy Policy,
- b) Joint Controller 2 – in the scope of performance of the contract on provision of services in the medical package, i.e. medical services and services offered by the medical partner of the Joint Controller 2 subject to paragraph (2) below,
- the arrangement mentioned in point 1 above does not limit your right to exercise your rights, which means that all Joint Controllers will be effectively bound by a request for information, a request for access to data or the provision of a copy thereof – in this case, the Joint Controller will consider your inquiry/request/demand/ itself, if it is within the scope of processing your personal data as a Controller, otherwise it will forward your inquiry/request/demand to the other Joint Controller in order to fulfill this request.
- Security of personal data.
The Controller informs that the technical and organizational measures implemented by him and the entities processing your personal data provide sufficient guarantees of processing your personal data, in accordance with the requirements specified in the GDPR, and that he duly protects your rights in this respect.
- Using cookies.
The Controller informs that on his website he uses the mechanism of „cookies”, which during your use of the website the cookies are stored by the Controller’s server on the hard disk of your terminal device (e.g. computer, smartphone, tablet).
The use of cookies is intended to improve the performance of the Controller’s website on the end devices of its customers. This mechanism does not damage your terminal device and does not change the configuration of your terminal device or the software installed on it. Cookies are not intended to identify you by the Controller.
The Controller uses cookies for these purposes:
1) remembering information about your terminal device,
2) verification and development of the Controller’s offer,
3) statistical purposes
You can deactivate the cookie mechanism of your device’s web browser at any time. However, the Controller informs that disabling „cookies” files may cause difficulties or make it impossible to use the Controller’s website.
- Final provisions.
This Privacy Policy shall enter into force on 24 May 2018.
The Controller may amend and supplement the provisions of the Privacy Policy in accordance with the needs resulting from the change of the conditions of processing of your personal data (e.g. resulting from the change of applicable law). You will be informed of any changes or additions to this Privacy Policy by posting appropriate information on the Controller’s home pages, and in the event of significant changes, you may also be informed separately by sending an appropriate notice to the e-mail address provided by you, by text message or by any other available direct communication channel.
This Privacy Policy does not limit or exclude your rights under the contract and the regulations concerning provision of the services offered by the Controller.
Data Protection Supervisor
Anna Matyja-Sławińska
e-mail: iod@calypso.com.pl