Podmínky ochrany osobních údajů

 

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Jan Alexandr Kopřiva, Prácheňská 791, Kamenický Šenov, 471 14, IČO: 14222167 (dále jen "provozovatel")

PRÁVA SUBJEKTŮ ÚDAJŮ A JEJICH UPLATŇOVÁNÍ 

Informace o ochraně osobních údajů a jejich zpracování v rámci  

Jan Alexandr Kopřiva, Prácheňská 791, Kamenický Šenov, 471 14, IČO: 14222167 (dále jen "provozovatel")

o právech subjektů údajů podle Nařízení GDPR určená k uveřejnění a poskytování subjektům údajů

  

I. Předmět

Provozovatel internetového obchodu na adrese www.coasy.cz, zavedl, dodržuje a pravidelně aktualizuje vnitřní předpisy, které upravují povinnosti vyplývající z provozování elektronického obchodu www.coasy.cz v oblasti ochrany osobních údajů vyplývající z Nařízení Evropského parlamentu a Rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně osobních údajů) (dále jen „GDPR“), a z dalších souvisejících předpisů vytvářejících právní rámec ochrany osobních údajů aplikovatelný na činnost provozovatele.

Tento dokument shrnující zásady zpracování osobních údajů společnosti provozovatele, (dále jen „Zásady“) slouží k poskytnutí informace subjektům údajů o tom, jaké osobní údaje provozovatel v rámci své činnosti zpracovává, včetně informací o tom, pro jaké časové období a z jakého důvodu tak činí. Zásady rovněž obsahují základní informace o právech a povinnostech subjektů údajů podle GDPR a o způsobech jejich uplatnění.

II. KATEGORIE OSOBNÍCH ÚDAJŮ

Osobními údaji jsou veškeré informace o identifikované nebo identifikovatelné fyzické osobě. V rámci činnosti provozovatele může dojít ke zpracování následujících kategorií osobních údajů:

  • identifikační údaje, například jméno a příjmení, titul, datum narození nebo rodné číslo, IČ, DIČ, číslo identifikačních dokladů, podpis;
  • kontaktní údaje, například telefonní číslo, e-mail, adresa trvalého pobytu, kontaktní adresa, fakturační adresa, jiné komunikační adresy nebo sociální sítě, bankovní spojení;
  • údaje o poskytnutých službách, například druh poskytnuté služby [nebo dodaného zboží] a jejich objem, informace o platební morálce, další relevantní údaje týkající se zpracování;
  • údaje o odebraných službách, například druh poskytnuté služby [nebo odebraného zboží] a jejich objem, další relevantní údaje týkající se zpracování;
  • údaje z komunikace mezi zákazníkem /kupujícím/ a provozovatelem, údaje z komunikace mezi dodavatelem a provozovatelem, údaje související se sjednáváním a plněním smluv o poskytnutí služeb [nebo prodeji zboží];
  • další údaje získané na základě souhlasu subjektu údajů, například údaje získané marketingovým průzkumem, údaje o využívání služeb a odběru zboží, zákaznické preference, údaje o slevách a bonusech a jejich využívání.

III. Zpracování osobních údajů

V souladu s článkem 6 GDPR je zpracování osobních údajů přípustné:

  • na základě souhlasu subjektu údajů;
  • pro účely splnění či uzavření smlouvy;
  • pro splnění právní povinnosti;
  • pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby;
  • pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci; nebo
  • pro účely oprávněných zájmů provozovatele, či třetí strany, pokud nemá před těmito zájmy přednost zájem subjektu údajů.

V případě odmítnutí subjektu údajů poskytnout provozovateli osobní údaje v rozsahu nezbytném pro splnění smlouvy, v rozsahu vyžadovaném právními předpisy a v rozsahu nezbytném pro ochranu oprávněných zájmů provozovatele, nemůže provozovatel poskytnout předmětnou službu [či dodat zboží]. Ke zpracování osobních údajů se v těchto případech nevyžaduje zvláštní souhlas. Tento souhlas není vyžadován také v dalších případech, kdy je možné zpracovávat osobní údaje na základě jiného z výše uvedených právních důvodů.

Veškeré osobní údaje poskytnuté provozovateli, jsou zpracovávány pro stanovený účel, přičemž nikdy nedochází ke zpracování těchto osobních údajů způsobem, který je s těmito účely neslučitelný. Provozovatel zároveň zpracovává osobní údaje pouze po dobu nezbytnou ke splnění příslušného účelu, s výjimkou zpracování osobních údajů na základě právního předpisu, které probíhá po dobu stanovenou příslušným právním předpisem.

Provozovatel zpracovává elektronické kontakty pro účely šíření vlastních obchodních sdělení. Obchodní sdělení provozovatele jsou zřetelně označena jako obchodní sdělení a neskrývají totožnost odesílatele. Adresáti mají možnost jejich zasílání kdykoli odmítnout. Tato možnost a příslušný kontakt k zaslání odmítnutí jsou v obchodním sdělení vždy uvedeny.

Provozovatel zpracovává osobní údaje k šíření svých obchodních sdělení i na základě souhlasu se zpracováním osobních údajů k marketingovým a obchodním účelům.

Účelem zpracování osobních údajů, k jejichž zpracování je nezbytný souhlas, je především zkvalitňování služeb, nabízení na míru šitých služeb zákazníkům nebo oslovování zákazníků a potenciálních zákazníků (telefonicky, elektronicky, písemně, jinými formami reklamy a dalšími prostředky). Z osobních údajů získaných na základě souhlasu mohou být pro tyto účely vytvářeny i profily zákazníků nebo anonymizované databáze chování zákazníků při využívání služeb provozovatele.

Osobní údaje získané na základě souhlasu je možné zpracovávat výhradně po dobu platnosti uděleného souhlasu. Udělení souhlasu je dobrovolné a je tak možné souhlas kdykoli odvolat. Odvolání souhlasu je nutné učinit výslovným, srozumitelným a určitým projevem vůle.

Osobní údaje jsou zpracovávány ručně i automatizovaně.

Pro lepší představu o typických účelech zpracování osobních údajů uplatňujících se v rámci činnosti provozovatele, uvádíme konkrétní příklady některých účelů zpracování:

  • identifikace zákazníka (splnění smlouvy)
  • vyúčtování za služby (splnění smlouvy)
  • bezpečnost a ochrana majetku (oprávněný zájem provozovatele)
  • plnění daňových nebo zaměstnavatelských povinností (splnění zákonných povinností)
  • marketing a obchodní účely (souhlas subjektu)

IV. Příjemci osobních údajů a sdílení s jinými správci

Provozovatel předává osobní údaje jinému správci, pokud tak stanoví právní předpis, je-li to nezbytné pro účely splnění smlouvy nebo z důvodu ochrany oprávněného zájmu provozovatele, či třetí strany, pokud nemá před těmito zájmy přednost zájem subjektu údajů. V ostatních případech provozovatel předává osobní údaje jinému správci výhradně na základě souhlasu subjektu údajů. Udělení souhlasu je dobrovolným rozhodnutím subjektu údajů, ke kterému není subjekt údajů jakýmkoli způsobem nucen.

Při své činnosti využívá provozovatel služeb odborných specializovaných subjektů, například advokátů, auditorů, dodavatelů IT systémů, marketingových odborníků, znalců nebo obchodních zástupců. Tyto osoby vystupují zpravidla v pozici zpracovatele osobních údajů, se všemi povinnostmi s tím spojenými, a nakládají s nimi podle pokynů provozovatele. V případě, že jsou osobní údaje předány subjektům, které vystupují v pozici správce osobních údajů, vztahuje se na ně právní rámec ochrany osobních údajů stanovený v GDPR a dalších souvisejících předpisů. Tímto je subjektům údajů garantována vysoká úroveň ochrany osobních údajů. K předání osobních údajů třetím osobám dochází vždy v souladu s příslušnými právními předpisy při zachování práv subjektů údajů.

V. Práva subjektu údajů

Předpokladem uplatnění práv subjektu údajů podle nařízení GDPR je, v souvislosti se zpracováním osobních údajů ze strany provozovatele (jak jsou specifikována v následujících bodech této části 5. Zásad), náležité prokázání totožnosti subjektu údajů, která umožní potřebnou identifikaci subjektu údajů či jiné oprávněné osoby.

V. a) Právo na poskytnutí informací

  • Za podmínek stanovených v článcích 13 a 14 GDPR poskytne provozovatel subjektu údajů informace týkající se zpracování osobních údajů, a to vždy alespoň do té míry, ve které subjekt údajů těmito informace již nedisponuje. Jedná se zejména o (i) kontaktní údaje provozovatele (ii) účely zpracování osobních údajů, (iii) kategorie dotčených osobních údajů, (iv) případné příjemce či kategorie příjemců osobních údajů a (v) případný záměr správce předat osobní údaje příjemci ve třetí zemi nebo mezinárodní organizaci. Rozsah poskytovaných informací a doba jejich poskytnutí se liší dle specifik konkrétního případu, a to vždy dle specifikace vyplývající z GDPR.
  • Obdobně jako v případě odstavce výše postupuje provozovatel. Osobní údaje nesmí dále zpracovat pro jiný účel, než pro který byly získány. V těchto situacích poskytne provozovatel subjektu údajů potřebné informace ještě před uvedeným dalším zpracováním.

V. b) Právo na přístup k osobním údajům

  • Dle článku 15 GDPR má subjekt údajů zejména právo získat od provozovatele potvrzení, zda osobní údaje, které se jej týkají, jsou či nejsou zpracovávány. Pokud zpracovávány jsou, má subjekt údajů právo k nim získat přístup.
  • Subjekt údajů má dále právo na informaci o (a) účelu zpracování osobních údajů, (b) kategorii dotčených osobních údajů, (c) příjemcích nebo kategoriích příjemců osobních údajů, (d) plánované době uložení osobních údajů, (e) existenci práva požadovat od provozovatele opravu, výmaz nebo omezení zpracování osobních údajů a možnosti vznést námitku proti zpracování osobních údajů, (f) právu podat stížnost u dozorového úřadu, (g) zdroji osobních údajů, (h) skutečnosti, že dochází k automatizovanému rozhodování, včetně profilování, (i) o opatřeních přijatých při předávání osobních údajů do zemí mimo EU/EHP.

V. c) Právo na opravu

  • Dle článku 16 GDPR má subjekt údajů právo, aby provozovatel bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají. S přihlédnutím k účelům zpracování má také právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení.

V. d) Právo na výmaz („být zapomenut“)

  • Subjekt údajů dle článku 17 GDPR právo na to, aby provozovatel bez zbytečného odkladu vymazal osobní údaje, které se ho týkají, a provozovatel má povinnost osobní údaje bez zbytečného odkladu vymazat, a to zejména v případech, kdy (a) osobní údaje již nejsou potřebné pro účely, pro které provozovatelem byly shromážděny nebo jinak zpracovány, (b) subjekt údajů odvolá udělený souhlas a neexistuje žádný další právní důvod zpracování, (c) subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování, (d) osobní údaje byly zpracovány protiprávně, (e) osobní údaje musí být vymazány ke splnění právní povinnosti provozovatele nebo (f) osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti dítěti. Výjimky, kdy se práva na výmaz nelze domáhat plynou zejména z plnění povinností stanovených právními předpisy.

V. e) Právo na omezení zpracování

  • Dle článku 18 GDPR má subjekt údajů právo na to, aby provozovatel zpracování osobních údajů omezil, pokud (a) subjekt údajů popírá přesnost osobních údajů, (b) zpracování osobních údajů ze strany provozovatele je protiprávní a subjekt údajů odmítá jejich výmaz a žádá omezení, (c) provozovatel osobní údaje nadále nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků, nebo (d) subjekt údajů vznesl námitku proti zpracování a dochází ke srovnávání kolidujících oprávněných zájmů.
  • O zrušení omezení zpracování bude subjekt údajů ze strany provozovatele předem informován. Výjimky, kdy se práva na omezení zpracování nelze domáhat plynou zejména z plnění povinností stanovených právními předpisy.

V. f) Oznámení o opravě, výmazu nebo omezení zpracování

  • Dle článku 19 GDPR má subjekt údajů právo, aby provozovatel oznámil veškeré opravy, výmazy nebo omezení zpracování osobních údajů jednotlivým příjemcům osobních údajů. To neplatí, pokud se to ukáže jako nemožné nebo to vyžaduje nepřiměřené úsilí. O příjemcích musí být subjekt údajů informován, pokud tuto informaci požaduje.

V. g) Právo na přenositelnost údajů

  • Za podmínek článku 20 GDPR má subjekt údajů právo získat své osobní údaje, které poskytl provozovatel ve strukturovaném, běžně používaném a strojově čitelném formátu. Subjekt údajů má dále právo tyto údaje předat jinému správci nebo požádat provozovatele je-li to technicky proveditelné, aby je tomuto jinému správci sám předal přímo.

V. h) Právo vznést námitku

  • Dle článku 21 GDPR má subjekt údajů, z důvodů týkajících se své konkrétní situace, právo kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají a které jsou zpracovávány provozovatelem pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci nebo pro účely oprávněných zájmů provozovatele jakožto správce či třetí strany. Pokud provozovatel neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků, nebude provozovatel osobní údaje dále zpracovávat.
  • V případě, že subjekt údajů podá námitku proti zpracování osobních údajů shromážděných pro účely přímého marketingu, což zahrnuje i profilování, nebudou ze strany provozovatele osobní údaje pro tyto účely nadále zpracovávány.

V. i) Automatizované individuální rozhodování, včetně profilování

  • Dle článku 22 GDPR má subjekt údajů právo nebýt předmětem jakéhokoli rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká.
  • Provozovatel nečiní žádná rozhodnutí s právními účinky pro subjekt údajů výhradně na základě automatizovaného zpracování, včetně profilování. Každé takové rozhodnutí provozovatele je zásadně činěno po posouzení k tomu příslušnou kvalifikovanou osobou.

V. j) Oznamování případů porušení zabezpečení

  • Dle článku 34 GDPR má subjekt údajů právo být ze strany provozovatele informován, pokud dojde k takovému porušení zabezpečení osobních údajů, které bude mít za následek vysoké riziko pro práva a svobody fyzických osob.

VI. ŽÁDOSTI, STÍŽNOSTI, NÁMITKY nebo podněty

Z nařízení GDPR plynou subjektům údajů četná práva, která mají sloužit k zajištění vysoké úrovně ochrany jejich osobních údajů. Provozovatel ochranu osobních údajů a soukromí subjektů údajů vždy považuje za prioritu. Ve věci svých práv se na nás proto neváhejte kdykoliv obrátit s jakýmikoli žádostmi, stížnostmi, námitkami (včetně kvalifikované námitky podle článku 21 GDPR), dotazy nebo podněty (dále společně jen „Žádost“).

V jakékoli záležitosti týkající se osobních údajů je možné provozovatele kontaktovat prostřednictvím e-mailové adresy: info@coasy.cz nebo písemně na adrese Jan Alexandr Kopřiva, Prácheňská 791, Kamenický Šenov, 471 14.

V případě, že Žádost bude obsahovat všechny potřebné údaje a relevantní informace pro její vyřízení, bude provozovatel žadatele kontaktovat a informovat o přijatém opatření.

V případě, že Žádost nebude obsahovat všechny potřebné údaje a relevantní informace pro vyřízení záležitosti, bude provozovatel žadatele kontaktovat s požadavkem o doplnění Žádosti. Po doplnění potřebných údajů a informací vyřeší provozovatel záležitost standardním postupem.

Za účelem ověření oprávněnosti Žádosti a k jejímu řádnému vyřízení může být žadatel požádán o prokázání své totožnosti či doložení jiných nezbytných informací.

VII. ÚŘAD NA OCHRANU OSOBNÍCH ÚDAJŮ

Subjekt údajů má právo obrátit se kdykoli se stížností na Úřad pro ochranu osobních údajů (Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, www.uoou.cz, posta@uoou.cz, tel. +420 234 665 111).

VIII. Pověřená osoba

Osobou pověřenou v oblasti ochrany osobních údajů jsou společníci Jan Alexandr Kopřiva, Prácheňská 791, Kamenický Šenov, 471 14, identifikační číslo: 14222167, e-mail: info@coasy.cz.

 

Zásady jsou účinné od 1.4.2022.