Podmínky zpracování osobních údajů

V souladu s právními předpisy o ochraně osobních údajů zpracovává Poskytovatel, jako zpracovatel,
pro Uživatele, jako správce, na základě jeho pokynů osobní údaje.

Předmět zpracování, kategorie subjektů údajů a typ osobních údajů

1. Předmětem zpracování jsou osobní údaje Zákazníků, které Uživatel vložil do Služby nebo které Poskytovatel z jeho podnětu zpracovává, zejména identifikační údaje, adresní údaje, kontaktní údaje, informace o jednání Zákazníka v rámci webu Uživatele, obsah Sdělení, aktivita Zákazníka vztahující se k přijatým Sdělením a případně další údaje poskytnuté Uživatelem Poskytovateli a vztahující se k Zákazníkovi („osobní údaje“).
2. O rozsahu zpracování osobních údajů Zákazníků v každém konkrétním případě rozhoduje vždy výhradně Uživatel.


Povaha, účel a prostředky zpracování

1. Poskytovatel zpracovává osobní údaje automatizovanými prostředky s užitím statistických metod, a to za účelem tvorby individualizovaných Sdělení pro Zákazníky, zasílání Sdělení Zákazníkům a hodnocení výsledků obchodních kampaní.


Doba zpracování

1. Zpracování osobních údajů bude ze strany Poskytovatele probíhat po dobu účinnosti Smlouvy. Povinnosti Poskytovatele týkající se ochrany osobních údajů se Poskytovatel zavazuje plnit po celou dobu účinnosti Smlouvy, pokud z ustanovení Smlouvy nevyplývá, že mají trvat i po zániku její účinnosti.
2. Osobní údaje budou Poskytovatelem vymazány na pokyn Uživatele, nejpozději však po uplynutí 30 dnů od ukončení účinnosti Smlouvy; do tohoto okamžiku je Uživatel oprávněn si kopii osobních údajů stáhnout.


Prohlášení Uživatele

1. Uživatel prohlašuje, že jako správce osobních údajů Zákazníků plní ke dni uzavření Smlouvy všechny své povinnosti dle právních předpisů o ochraně osobních údajů, zejména:
1. zpracovává osobní údaje na základě řádných titulů a má platný právní titul ke zpracování osobních údajů Zákazníků za účelem, v rozsahu, prostředky a způsobem stanovenými Uživatelem dle těchto Podmínek zpracování osobních údajů;
2. informuje Zákazníky o zpracování jejich osobních údajů, a to v rozsahu stanoveném právními předpisy o ochraně osobních údajů;
3. umožňuje Zákazníkům vykonávat jejich práva dle právních předpisů o ochraně osobních údajů;
4. likviduje osobní údaje, jakmile pomine účel, pro který byly zpracovány;
5. plní veškeré své další povinnosti dle právních předpisů o ochraně osobních údajů;
6. do 24 hodin od přijetí předá Poskytovateli automatizovaně přes rozhraní Služeb informace o veškerých odvoláních souhlasu Zákazníků se zpracováním osobních údajů, námitkách proti zpracování osobních údajů, odvoláních souhlasu se zasíláním Obchodních sdělení a jiných úkonech, které mají vliv na možnost zpracování osobních údajů Zákazníků dle Smlouvy, a tyto vždy respektuje;
7. do 24 hodin od přijetí informace Poskytovatele o tom, že došlo k odvolání souhlasu Zákazníků se zpracováním osobních údajů, podání námitek proti zpracování osobních údajů, odvolání souhlasu se zasíláním Obchodních sdělení či k jiným úkonům, které mají vliv na možnost zpracování osobních údajů Zákazníků dle Smlouvy, na tyto adekvátně reaguje a tyto vždy respektuje;

a zavazuje se tyto povinnosti plnit po celou dobu trvání Smlouvy. Příloha č. 1 těchto Podmínek zpracování osobních údajů obsahuje obecný návod pro zpracování osobních údajů, která zároveň představuje minimální úroveň povinností Uživatele při zpracování osobních údajů Zákazníků, kterou se Uživatel zavazuje dodržet.
2. Vznikne-li Poskytovateli v důsledku nesplnění povinnosti Uživatele dle právních předpisů o ochraně osobních údajů újma (škoda i nemajetková újma), zavazuje se Uživatel Poskytovateli tuto újmu v plném rozsahu nahradit. Újmou vzniklou Poskytovateli se pro účely tohoto ustanovení rozumí zejména (i) náhrada újmy (škody i nemajetkové újmy) subjektům údajů ve smyslu právních předpisů o ochraně osobních údajů a (ii) pokuty uložené Úřadem pro ochranu osobních údajů či jiným správním úřadem.


Obecné zásady zpracování osobních údajů

1. Poskytovatel v souvislosti se zpracováním osobních údajů:
1. zpracovává osobní údaje výlučně na základě pokynů Uživatele učiněných prostřednictvím rozhraní poskytovaných Služeb či jinými prostředky, včetně v otázkách předání osobních údajů do třetí země nebo mezinárodní organizaci, pokud mu toto zpracování již neukládá právo Unie nebo členského státu, které se na Uživatele vztahuje; v takovém případě Poskytovatel Uživatele informuje o tomto právním požadavku před zpracováním, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu;
2. nezpracovává osobní údaje získané za účelem poskytování Služeb pro své vlastní účely;
3. zajišťuje, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti;
4. nezapojí do zpracování žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení Uživatele;
5. zohledňuje povahu zpracování;
6. je Uživateli nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění Uživatelovy povinnosti reagovat na žádosti o výkon práv Zákazníků;
7. je Uživateli nápomocen při zajišťování souladu s povinnostmi Uživatele zajistit úroveň zabezpečení zpracování a ohlašovat případy porušení zabezpečení osobních údajů dozorovému úřadu a případně též Zákazníkům, posuzovat vliv na ochranu osobních údajů a realizovat předchozí konzultace s dozorovým úřadem, a to při zohlednění povahy zpracování a informací, jež má Poskytovatel k dispozici;
8. v souladu s rozhodnutím Uživatele všechny osobní údaje buď vymaže, nebo vrátí Uživateli po ukončení poskytování Služeb spojených se zpracováním osobních údajů, a vymaže existující kopie, pokud právo Unie nebo členského státu nepožaduje uložení daných osobních údajů; a
9. poskytne Uživateli veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v těchto Podmínkách zpracování osobních údajů, a umožní audity, včetně inspekcí, prováděné Uživatelem nebo jiným auditorem, kterého Uživatel pověřil, a k těmto auditům přispěje;

přičemž činnosti Poskytovatele dle písm. f), g) a i) budou hrazeny dle cen pro poskytování Služeb konzultační podpory dle Specifikace.
2. V souvislosti se zpracováním osobních údajů vede Poskytovatel záznamy o všech kategoriích činností zpracování prováděných pro Uživatele, jež obsahují:
1. jméno a kontaktní údaje Poskytovatele, Uživatele a případného zástupce Uživatele nebo Poskytovatele a pověřence pro ochranu osobních údajů;
2. kategorie zpracování prováděného pro Poskytovatele;
3. informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci; a
4. obecný popis technických a organizačních bezpečnostních opatření.

Poskytovatel se na základě písemné výzvy Uživatele zavazuje Uživateli vedené záznamy zpřístupnit.


Zabezpečení osobních údajů

1. Poskytovatel přijal a udržuje taková technická a organizační opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů.
2. Poskytovatel přijal a udržuje zejména následující opatření k zajištění úrovně zabezpečení:
1. pseudonymizace osobních údajů;
2. schopnost zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování – zavedená opatření a jejich korektní fungování budou pravidelně kontrolovány;
3. schopnost obnovit dostupnost osobních údajů a přístup k nim včas a v případě fyzických či technických incidentů;
4. proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování;
5. víceúrovňový firewall;
6. antivirovou ochranu a kontrolu neoprávněných přístupů;
7. šifrovaný přenos dat prostřednictvím IT technologií;
8. přístup k osobním údajům pouze pro pověřené osoby Poskytovatele;
9. servery s osobními údaji uzamčené v serverovně; a
10. zálohy dat prováděné do jiné lokality šifrovaným přenosem s přístupem pouze pověřených osob Poskytovatele.
3. Poskytovatel může umožnit Uživateli přístup k údajům Uživatele, zahrnujícím též osobní údaje Zákazníků, prostřednictvím rozhraní API. Uživatel je v takovém případě povinen zajistit, že k rozhraní API budou mít přístup pouze povolané osoby. Poskytovatel neodpovídá za jakékoli ztráty údajů či porušení ochrany osobních údajů v případě, kdy tohoto přístupu k API bude zneužito, ani v případě, kdy po zpřístupnění dat prostřednictvím API dojde ke zneužití těchto dat.
4. V případě, že Poskytovatel zjistí porušení zabezpečení osobních údajů, ohlásí je bez zbytečného odkladu Uživateli.Závěrečná ustanovení

1. Toto aktuální znění Podmínek zpracování osobních údajů je platné a účinné od 1. 1. 2019.

Příloha č. 1 – Doporučení pro implementaci na straně správce osobních údajů

Níže uvádíme doporučení pro správce osobních údajů (tj. podnikatele) k implementaci v oblasti ochrany osobních údajů a ochrany subjektů údajů (tj. jeho zákazníků) před nevyžádanými obchodními sděleními na jejich straně.
Vždy je nezbytné zajistit, aby osobní údaje (včetně těch zpracovávaných v rámci obchodních sdělení a cookies) byly zpracovávány na základě odpovídajících a nejvhodnějších právních důvodů (titulů), zajišťujících legálnost zpracování.
Následující části této přílohy jsou proto koncipovány tak, aby byl vždy identifikován vhodný právní důvod zpracování a aby byla uvedena případná specifika zpracování v konkrétních případech vztahu mezi správcem a subjektem údajů.
Tyto informace nejsou právní radou, nýbrž pouze základními informativními doporučeními pro osoby zpracovávající osobní údaje, jejichž úplnost ani správnost se nezaručuje.

Část A – Osobní údaje

V oblastech, kdy bude docházet ke zpracování osobních údajů „obecně“, tedy nikoli v souvislosti se zasíláním obchodních sdělení či shromažďováním tzv. cookies (srov. níže), se aplikují obecná pravidla o zpracování osobních údajů.
Aby bylo zpracování osobních údajů v souladu s právními předpisy o ochraně osobních údajů, je nezbytné:
1. stanovit účel a prostředky zpracování (dle konkrétního případu);
2. stanovit právní základ, na kterém bude zpracování postaveno (zejména plnění smlouvy se subjektem údajů, popř. pokud nebude možno podřadit zpracování pod plnění smlouvy, bude tímto základem oprávněný zájem správce, popř. v případě nemožnosti užití předchozích dvou titulů bude základem pro zpracování souhlas se zpracováním osobních údajů);
3. splnit případné dodatečné povinnosti spojené s daným právním základem (posouzení oprávněnosti zájmu v případě zpracování na základě oprávněného zájmu, upozornění na možnost odvolat souhlas apod.);
4. splnit informační povinnost vůči subjektu údajů (viz níže); a
5. splnit další obecné povinnosti při zpracování osobních údajů (tedy zejména vedení dokumentace, stanovení organizačních a technických opatření k zabezpečení osobních údajů apod.).
Právní základy (tituly) ke zpracování
Primárně bude veškeré zpracování osobních údajů vztahující se k samotné obchodní činnosti správce realizováno na základě plnění smlouvy se subjektem údajů (zpracování nezbytné pro prodej zboží a poskytování služeb).
Pro rozesílání obchodních sdělení (nejedná se již o zpracování nezbytné pro plnění smlouvy), jejichž podoba je pro všechny subjekty identická nebo navržena na základě historie transakcí daného subjektu, bude možno využít oprávněný zájem správce. Titul oprávněného zájmu je též využíván pro zpracování cookies (ačkoli v budoucnu bude pravděpodobně nezbytné získat výslovný souhlas). Na druhou stranu v případě provádění pokročilé analytiky či dalších operací s osobními údaji, které se svou povahou vzdalují prostému “přímému marketingu”, by bylo nutné získat předchozí souhlas subjektu ke zpracování osobních údajů k těmto účelům - tento souhlas může být např. podmínkou pro zařazení do slevového či věrnostního programu správce.
Je nicméně nezbytné upozornit, že hranice, kdy lze užít pouhý oprávněný zájem namísto souhlasu se zpracováním, není jasně definována (záleží na úvaze a odůvodnění tohoto zpracování ze strany správce) a nelze garantovat, že určité zpracování bude možno na základě oprávněného zájmu realizovat.
Správce musí subjekt v každém případě poučit o tom, že získává jeho osobní údaje, a to bez ohledu na právní základ užitý pro zpracování (plnění smlouvy, oprávněný zájem správce, souhlas subjektu). V případě užití titulu souhlasu není možné tento souhlas vynucovat.
Obsah informační povinnosti
V případě, kdy jsou osobní údaje získávány od subjektů údajů, je nezbytné subjekty údajů informovat o následujících skutečnostech:
1. totožnosti a kontaktních údajích správce a jeho případného zástupce;
2. kontaktních údajích případného pověřence pro ochranu osobních údajů;
3. účelech zpracování, pro které jsou osobní údaje zpracovávány, a právním základu pro zpracování (v tomto případě plnění smlouvy, oprávněný zájem či souhlas subjektu);
4. oprávněném zájmu správce (v případě zpracování založeného na oprávněném zájmu);
5. případných příjemcích nebo kategoriích příjemců osobních údajů, tedy v tomto případě zpracovatele;
6. době, po kterou budou osobní údaje uloženy;
7. právu požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz, popřípadě omezení zpracování, a vznést námitku proti zpracování, jakož i právu na přenositelnost údajů;
8. právu odvolat souhlas se zpracováním (v případě zpracování založeného na základě souhlasu);
9. právu podat stížnost u dozorového úřadu;
10. případném úmyslu správce předat osobní údaje do třetí země a existenci či neexistenci rozhodnutí Komise o odpovídající ochraně nebo, v případech předání uvedených v článcích 46 nebo 47 nařízení GDPR nebo čl. 49 odst. 1 nařízení GDPR druhém pododstavci, odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny;
11. skutečnosti, že je zpracování údajů nezbytné pro uzavření smlouvy (v případě zpracování nezbytného pro plnění smlouvy);
12. skutečnosti, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 22 odst. 1 a 4 nařízení GDPR, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů
Na právo vznést námitku musí být subjekt v případě, kdy je zpracování založeno na oprávněném zájmu správce, výslovně upozorněn, a to zřetelně a odděleně o ostatních informací.
Upozorňujeme, že mezi práva subjektu údajů patří například právo požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz, popřípadě omezení, a již výše uvedené právo podat námitku proti zpracování. Na případné žádosti subjektu o výkon těchto práv je vždy nezbytné adekvátně reagovat, za určených podmínek tak může být například nezbytné přestat zpracovávat osobní údaje pro určité účely nebo osobní údaje zcela vymazat.

Část B – Cookies

V současné době lze cookies zpracovávat v režimu opt-out. To znamená, že je možné je ukládat do koncového zařízení subjektu a dále zpracovávat bez jeho předchozího výslovného souhlasu; je však nutné jej o této skutečnosti informovat a umožnit mu jejich odmítnutí bez podstatného zhoršení služby (respektive jejích částí, které na cookies nezávisejí).
V případě cookies se obdobně využijí výše popsaná pravidla týkající se námitek proti zpracování, včetně „do not track“ žádostí. Do budoucna je nicméně zvažována implementace režimu opt-in.
V případě, že cookies budou způsobilé přiřazení k některému identifikovatelnému subjektu údajů (např. při monitorování přihlášených subjektů), aplikuje se paralelně úprava ochrany osobních údajů. Tehdy je nutné dodržet všechny povinnosti vztahující se k ochraně osobních údajů (část A), a to včetně opatření právního titulu ke zpracování, splnění informační povinnosti a vyřizování žádostí typu “do not track”.