Nakládání s osobními údaji a jejich ochrana

 

a) Právní základ, identifikace správce, zpracovatele a dozorového úřadu

1. Nakládání s osobními údaji a jejich ochrana osobních údajů se řídí zejména zákonem č. 101/2000 Sb. a nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „Nařízení“).

2. Správcem a zpracovatelem je Tomasz Krzysztof Jaś, PlanetNails.cz (dále jen „správce“). Správce nejmenoval pověřence pro ochranu osobních údajů.

3. Dozorovým úřadem je Úřad pro ochranu osobních údajů, se sídlem Pplk. Sochora 27, 170 00 Praha 7.

4. Subjektem údajů se rozumí zákazník, který prostřednictvím e-shopu odeslal správci spolu se svou objednávkou zboží také své osobní údaje.

 

b) Zpracovávané informace a důvod jejich zpracování

1. Správce získává, zpracovává a nakládá s osobními údaji subjektu údajů, v souladu s čl. 6 odst. 1 písm. b) Nařízení, pouze z důvodu nezbytnosti plnění smlouvy, případně pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů.

2. Osobní údaje jsou zpracovávány pouze pro účel uzavření smlouvy a plnění ze smlouvy se subjektem údajů. To znamená, že jsou zpracovávány za účelem objednání zboží, přípravu zboží a její předání k přepravě, dopravy zboží do místa určeného smluvní stranou, úhrady ceny za zboží, vedení účetní evidence v zákonem stanoveném rozsahu a dalšími účely, které jsou správci uloženy zákonem nebo mocenskými orgány.

3. V případě, že subjekt údajů dále udělil výslovný souhlas, dle ustanovení čl. 6 odst. 1 písm. a) Nařízení, s využitím jeho osobních údajů pro marketingové účely správce, budou s osobními údaji subjektu údajů nakládáno výhradně pro účely zasílání reklamních sdělení a marketingových nabídek. Subjekt údajů je oprávněn kdykoliv tento svůj souhlas odvolat. Souhlas se zpracováním (využitím) osobních údajů pro marketingové účely není podmínkou pro uzavření smlouvy a dodávku zboží.

4. Správce zpracovává jen údaje poskytnuté subjektem údajů a nezískává je jiným způsobem.

 

c) Zpracovávání a poskytování osobních údajů

1. Správce provádí zpracování osobních údajů výhradně sám. Příjemcem osobních údajů je přepravce, který zajišťuje přepravu objednaného zboží od správce k subjektu údajů a dále zpracovatel účetnictví v souladu s právními předpisy. Správce informuje subjekt údajů o těchto příjemcích, pokud to subjekt údajů požaduje.

2. Správce neposkytuje, s výjimkou přepravce a zpracovatele účetnictví, osobní údaje žádné jiné třetí osobě. Správce nemá v úmyslu předat osobní údaje do třetí země nebo mezinárodní organizaci. Tímto není dotčena případná zákonná povinnost správce předat údaje v zákoně uvedeným subjektům nebo subjektům určeným rozhodnutím mocenských orgánů.

3. Správce z osobních údajů zpracovává jméno, příjmení, bydliště, adresu elektronické pošty (e-mail), číslo účtu (byla-li platba provedena bezhotovostně) a telefonní číslo. V případě, že dodací adresa je odlišná od adresy bydliště, zpracovává správce i údaje o této odlišné dodací adrese, případně osobě, která má zásilku převzít.

4. Pro uzavření a plnění smlouvy jsou nezbytné všechny výše uvedené osobní údaje, s výjimkou telefonního čísla. Bez poskytnutí těchto nezbytných údajů nemůže smlouva vůbec vzniknout (nebude možno z neexistující smlouvy plnit, tedy zaslat/prodat zboží).

Subjekt údajů nemusí uvádět telefonní číslo. Telefonní číslo slouží pouze pro zrychlení komunikace (z toho důvodu též zkvalitnění služeb) a dále k tomu, aby se přepravce mohl se subjektem údajů dohodnout na přepravě. Důsledkem neuvedení telefonního čísla může být pouze nedoručení zboží v případě, kdy v doručovací době nebude na doručovací adrese nikdo přítomen (tato situace může pro subjekt údajů znamenat zvýšení nákladů na dodání zboží z důvodu neposkytnutí dostatečné součinnosti při přebírání zboží – nutnost opětovného zaslání).

5. Správce prohlašuje, že přijal veškerá vhodná technická a organizační opatření k zabezpečení osobních údajů.

6. Správce přijal technická opatření k zabezpečení datových úložišť a úložišť osobních údajů v listinné podobě, zejména šifrováním datového úložiště, chránění přístupu k datovému úložišti heslem a uchováváním listin v uzamykatelné místnosti.

7. Správce prohlašuje, že k osobním údajům mají přístup pouze jím pověřené osoby.

 

d) Doba uložení osobních údajů a jejich výmaz/skartace

1. Osobní údaje budou u správce, zejména z důvodu zajištění plnění ze smlouvy, odpovědnosti za případné vady a z důvodu dalších případných nároků ze smlouvy, uloženy po dobu 5 let od dodání zboží. Po uplynutí této doby budou uloženy pouze v případě, vyžadují-li tak právní normy – např. právní normy upravující vedení účetní evidence.

2. V případě, že subjekt údajů dal souhlas se zpracováním údajů v souladu s čl. 6 odst. 1 písm. a) Nařízení, jsou jeho osobní údaje uloženy a zpracovávány po dobu, než je odvolán souhlas se zpracováním osobních údajů pro účely marketingu, nejdéle však 15 let od udělení tohoto souhlasu.

3. Po uplynutí doby uvedené v předchozích odstavcích budou data vedená v elektronické podobě vymazána, listiny skartovány.

 

e) Základní práva subjektu údajů

Subjekt údajů má v souladu s podmínkami uvedenými v Nařízení zejména následující práva:

-          právo odvolat souhlas se zpracováním písemně nebo elektronicky na adresu nebo email správce

-          právo na přístup ke svým osobním údajům dle čl. 15 Nařízení;

-          právo na opravu osobních údajů dle čl. 16 Nařízení;

-          právo na výmaz osobních údajů („právo být zapomenut“) dle čl. 17 Nařízení;

-          právo na omezení zpracování osobních údajů dle čl. 18 Nařízení;

-          právo na oznámení ohledně opravy nebo výmazu osobních údajů nebo omezení zpracování dle čl. 19 Nařízení;

-          právo na přenositelnost údajů dle čl. 20 Nařízení;

-          právo vznést námitku dle čl. 21 Nařízení;

-          právo nebýt předmětem rozhodnutí založeném výhradně na automatickém zpracování, včetně profilování dle čl. 22 Nařízení;

-          právo na oznámení případů porušení zabezpečení osobních údajů dle čl. 34 Nařízení.

Některá práva subjektu údajů jsou podrobněji upravena níže. Subjektu údajů náleží plná práva uvedená v Nařízení, zejména v případech, kdy jsou v Nařízení upravena v širším rozsahu nebo v jiném znění, než je uvedeno níže (odlišná úprava v Nařízení má vždy přednost před úpravou v tomto dokumentu).

 

f) právo na přístup k informacím, odvolání souhlasu, stížnost

1. Subjekt údajů je oprávněn od správce požadovat přístup k osobním údajům, jež se ho týkají. Dále je oprávněn požadovat na správci opravu osobních údajů nebo jejich výmaz, popřípadě omezení zpracování, a vznést námitku proti zpracování, jakož i práva na přenositelnost údajů.

2. V případě, že subjekt údajů dal v souladu s čl. 6 odst. 1 písm. a) Nařízení souhlas se zpracováním svých osobních údajů, je oprávněn svůj souhlas kdykoli odvolat, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním.

3. Subjekt údajů je oprávněn podat stížnost na správce k dozorovému úřadu, domnívá-li se, že je s jeho osobními údaji nakládáno v rozporu s právní úpravou. Tuto možnost má zejména, pokud správce nepřijme opatření, o něž subjekt údajů požádal; v tomto případě má dále možnost žádat i soudní ochranu.

4. Osobní údaje nejsou zpracovávány automaticky (nedochází ani k automatickému rozhodování) a nejsou ani profilovány.

 

g) Právo subjektu údajů na přístup k osobním údajům

1. Subjekt údajů má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k následujícím informacím:

a) účely zpracování;

b) kategorie dotčených osobních údajů;

c) příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny, zejména příjemci ve třetích zemích nebo v mezinárodních organizacích;

d) plánovaná doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby;

e) existence práva požadovat od správce opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo omezení jejich zpracování a nebo vznést námitku proti tomuto zpracování;

f) právo podat stížnost u dozorového úřadu;

g) veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů;

h) skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 22 odst. 1 a 4 Nařízení, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.

2. Správce na žádost subjektu údajů poskytne kopii zpracovávaných osobních údajů. Za další kopie na žádost subjektu údajů může správce účtovat přiměřený poplatek na základě administrativních nákladů. Jestliže subjekt údajů podává žádost v elektronické formě, poskytnou se informace v elektronické formě, která se běžně používá, pokud subjekt údajů nepožádá o jiný způsob.

3. Subjekt údajů má právo na to, aby správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají. S přihlédnutím k účelům zpracování má subjekt údajů právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení.

 

h) Právo na výmaz osobních údajů („právo být zapomenut“)

1. Subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z těchto důvodů:

a) osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;

b) subjekt údajů odvolá souhlas, na jehož základě byly údaje podle čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a) Nařízení zpracovány, a neexistuje žádný další právní důvod pro zpracování;

c) subjekt údajů vznese námitky proti zpracování podle čl. 21 odst. 1 Nařízení a neexistují žádné převažující oprávněné důvody pro zpracování nebo subjekt údajů vznese námitky proti zpracování podle čl. 21 odst. 2 Nařízení;

d) osobní údaje byly zpracovány protiprávně;

e) osobní údaje musí být vymazány ke splnění právní povinnosti stanovené v právu Unie nebo členského státu, které se na správce vztahuje;

f) osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti podle čl. 8 odst. 1. Nařízení

3. Uvedené v předchozích odstavcích tohoto článku se aplikuje s výhradou důvodů a okolností uvedených v Nařízení, zejména v čl. 17. odst. 3.

 

i) Právo na omezení zpracování a právo na přenositelnost údajů

1. Subjekt údajů má právo na to, aby správce omezil zpracování, v kterémkoli z těchto případů:

a) subjekt údajů popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů ověřit;

b) zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití;

c) správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků;

d) subjekt údajů vznesl námitku proti zpracování podle čl. 21 odst. 1 Nařízení, dokud nebude ověřeno, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů.

2. Pokud bylo zpracování omezeno podle odstavce 1, mohou být tyto osobní údaje, s výjimkou jejich uložení, zpracovány pouze se souhlasem subjektu údajů, nebo z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu Unie nebo některého členského státu.

3. Subjekt údajů, který dosáhl omezení zpracování podle odstavce 1, je správcem předem upozorněn na to, že bude omezení zpracování zrušeno.

4. Subjekt údajů má právo získat osobní údaje, které se ho týkají, jež poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil, za podmínek uvedených v Nařízení.

 

j) Právo vznést námitku

1. Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají, na základě čl. 6 odst. 1 písm. e) nebo f) Nařízení, včetně profilování založeného na těchto ustanoveních. Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.

2. Pokud se osobní údaje zpracovávají pro účely přímého marketingu, má subjekt údajů právo vznést kdykoli námitku proti zpracování osobních údajů, které se ho týkají, pro tento marketing, což zahrnuje i profilování, pokud se týká tohoto přímého marketingu.

3. Pokud subjekt údajů vznese námitku proti zpracování pro účely přímého marketingu, nebudou již osobní údaje pro tyto účely zpracovávány.

 

k) Automatizované individuální rozhodování, včetně profilování

1. Subjekt údajů má právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká.

2. Odstavec 1 se nepoužije, pokud je rozhodnutí:

a) nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem údajů;

b) povoleno právem Unie nebo členského státu, které se na správce vztahuje a které rovněž stanoví vhodná opatření zajišťující ochranu práv a svobod a oprávněných zájmů subjektu údajů; nebo

c) založeno na výslovném souhlasu subjektu údajů.

3. V případech uvedených v odst. 2 písm. a) a c) provede správce údajů vhodná opatření na ochranu práv a svobod a oprávněných zájmů subjektu údajů, alespoň práva na lidský zásah ze strany správce, práva vyjádřit svůj názor a práva napadnout rozhodnutí.

 

l) Oznamování případů porušení zabezpečení osobních údajů subjektu údajů

1. Pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí správce toto porušení bez zbytečného odkladu subjektu údajů způsobem a za podmínek upravených v Nařízení.

 

m) Souhlas subjektu údajů s podmínkami ochrany osobních údajů

1. S těmito podmínkami vyjadřuje subjekt údajů svůj bezvýhradný souhlas zaškrtnutím souhlasu prostřednictvím internetového formuláře. Zaškrtnutím souhlasu subjekt údajů potvrzuje, že se seznámil s podmínkami ochrany osobních údajů a že je v celém rozsahu přijímá.

3. Správce je oprávněn tyto podmínky změnit. Novou verzi podmínek ochrany osobních údajů zveřejní na svých internetových stránkách.

 

Tento dokument nabývá účinnosti dnem 25.5.2018.