Zásady zpracování osobních údajů
I. Úvodní ustanovení
1. Tyto zásady zpracování osobních údajů (dále jen „Zásady“) slouží k informování subjektu údajů o zpracování osobních údajů, které jsou poskytovány společnosti Nejlabo s.r.o., Vendryně 880, 739 94 Vendryně, Česká Republika, IČ: 29458901, DIČ: CZ29458901 jakožto provozovateli internetového obchodu Nejlabo.cz na adrese www.nejlabo.cz, v souvislosti s nákupem zboží v internetovém obchodě nebo za jiným účelem definovaným níže v těchto Zásadách. Tyto Zásady jsou nedílnou součástí kupní smlouvy uzavřené mezi prodávajícím (provozovatelem internetového obchodu) a kupujícím. Uzavřením kupní smlouvy kupující stvrzuje, že se s těmito Zásadami seznámil.
2. Společnost Nejlabo s.r.o. zpracovává veškeré poskytnuté osobní údaje v souladu s právními předpisy, především se zákonem č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů a Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
3. Tyto Zásady v níže uvedeném rozsahu doplňují všeobecné obchodní podmínky pro nákup zboží v internetovém obchodě Nejlabo.cz (dále jen „VOP“). Pojmy definované v VOP se obdobně užijí i pro tyto Zásady.
4. Tyto Zásady jsou vyhotoveny v českém jazyce a jsou platné od 25. 5. 2018.
II. Správce a subjekt osobních údajů
1. Správcem osobních údajů je provozovatel e-shopu, tj. společnost Nejlabo s.r.o.
- sídlem: Vendryně 880, 739 94 Vendryně, Česká Republika
- IČ: 29458901, DIČ: CZ29458901
- emailový kontakt: nejlabo@gmail.com
- telefonický kontakt: +420 604 109 000
2. Subjektem osobních údajů je zákazník - zákazníkem se pro účely těchto Zásad rozumí fyzická osoba, kteráje uživatelem e-shopu, a jejíž osobní údaje jsou správcem zpracovávány. Kupující, jenž je fyzickou osobou, se vždy považuje za zákazníka.
3. Povinnost jmenovat pověřence pro ochranu osobních údajů není dána, a pověřenec pro ochranu osobních údajů tak nebyl jmenován.
III. Kategorie osobních údajů, které správce zpracovává
1. Osobním údajem je jakákoli informace, která se vztahuje k zákazníkovi, jehož je tak správce osobních údajů schopný identifikovat.
2. V souvislosti s provozováním e-shopu může ze strany správce dojít ke zpracování následujících kategorií osobních údajů, které jsou zákazníkem poskytovány v souvislosti s uzavřením kupní smlouvy, popř. při udělení souhlasu zákazníka se zpracováním osobních údajů pro účely vymezené v článku IV. Zásad:
- 2.1. identifikační údaje zákazníka - jedná se o ty osobní údaje, jejichž prostřednictvím je možné zákazníka jednoznačně a nezaměnitelně identifikovat, tj. jméno a příjmení zákazníka a v případě zákazníka, který je podnikatelem, také údaje o firmě zákazníka, jeho identifikačním čísle, popř. též daňovém identifikačním čísle;
- 2.2. kontaktní údaje zákazníka - jedná se o ty osobní údaje, jejichž prostřednictvím je možné zákazníka zkontaktovat, tj. fakturační adresa (v případě zákazníka, který je podnikatelem, jeho sídlo), telefonní číslo a e-mailová adresa, popř. doručovací adresa, požaduje-li zákazník doručení zboží na jinou než fakturační adresu;
- 2.3. údaje o nákupní historii zákazníka - jedná se o ty osobní údaje, jejichž prostřednictvím je možné zjistit transakční historii zákazníka, tj. transakční údaje, včetně bankovního spojení na zákazníka, uvedl-li toto zákazník z jakéhokoliv důvodu v souvislosti s realizovanou koupi zboží, čísla uskutečněných objednávek a údaje o zakoupeném zboží, vydané faktury;
- 2.4. další údaje poskytnuté dobrovolně zákazníkem - jedná se například o komentáře k učiněným objednávkám či jiné záznamy komunikace se zákazníkem.
3. Zákazník je povinen uvádět při poskytování osobních údajů správci všechny osobní údaje v přesné a aktuální podobě,přičemž se zavazuje tytopři jakékoliv jejich změně aktualizovat; osobní údaje poskytnuté zákazníkem jsou správcem považovány za úplné a správné. Správce je oprávněn vyzvat zákazníka k aktualizaci osobních údajů, které zpracovává, a to ve lhůtách odpovídajících potenciálnímu riziku vzniku újmy z neaktuálnosti osobních údajů; správce neodpovídá za neaktuálnost osobních údajů v důsledku nečinnosti zákazníka.
IV. Účely zpracování a právní základ zpracování, včetně doby zpracování osobních údajů
1. Osobní údaje jsou zpracovávány k účelům, jež jsou uvedeny níže, přičemž rozsah zpracovávaných osobních údajů závisí na konkrétním účelu zpracování. Pro některé účely zpracování je možné zpracovávat osobní údaje přímo na základě zákonného právního základu, kde se nevyžaduje souhlas zákazníka s takovým zpracováním osobních údajů, přičemž druhou skupinu pak tvoří zpracování, jež je možné pouze se souhlasem zákazníka.
2. Ke zpracování osobních údajů, k němuž se nevyžaduje souhlas zákazníka, je dán následující právní základ:
- zpracování pro splnění smlouvy, jejíž smluvní stranou je zákazník - zejm. pro účely realizace kupní smlouvy, zahrnující vyřízení objednávky, plnění ze smlouvy zahrnující související komunikaci se zákazníkem, předání zboží k přepravě zboží a konečný prodej objednaného zboží a jeho dodání zákazníkovi a vyúčtování příslušné kupní ceny - a to po dobu trvání smluvního vztahu, resp.po dobu nezbytnou k plnění kupní smlouvy;
- zpracování pro splnění právních povinností, které jsou uloženy správci - zejm. pro účely plnění účetních adaňových povinností správce - a to po nezbytně nutnou dobu dle zákonných lhůt, které jsou stanoveny právními předpisy (př. faktury vystavené správcem jsou v souladu s ust. § 35 zákona č. 235/2004 Sb., o dani z přidané hodnoty, v platném znění, archivovány po dobu 10 let od konce zdaňovacího období, ve kterém se plnění uskutečnilo, přičemž z důvodu nutnosti doložit právní důvod pro vystavení faktur jsou po dobu 10 let ode dne ukončení smlouvy archivovány i uzavřené kupní smlouvy, resp. objednávky zákazníka);
- zpracování pro účely ochrany oprávněných zájmů správce - jedná se o zpracování osobních údajů pro ochranu práv a právem chráněných zájmů správce, které je možné provádět bez souhlasu zákazníka, avšak při naplnění existence odpovídajícího zájmu správce, kterým je potřeba zpracování údajů pro evidenci dlužných pohledávek a uplatňování nároků správce z uzavřených kupních smluv (soudní, popř. exekuční vymáhání pohledávek za zákazníkem a ostatní zákaznické spory, uplatňování pojistných nároků, atp.), řešení nároků zákazníků (reklamace, odstoupení od smlouvy, atp.) a budoucích dotazů a stížností zákazníků, včetně zajištění důkazů pro případ budoucích soudních sporů, jichž bude správce účastníkem. Zpracování osobních údajů je omezeno na dobu nezbytnou pro naplnění sledovaného účelu, avšak nejdéle po dobu 10 let od zahájení zákonné promlčecí lhůty v každém jednotlivém případě.
3. Rozsah zpracovávaných osobních údajů pro zpracování osobních údajů uvedené v předchozím odstavci, pro něž je dán právní základ zpracování bez nutnosti udělení souhlasu zákazníka, je vždy omezen na osobní údaje, které jsou nezbytné pro naplnění konkrétního účelu, pro který jsou zpracovávány, a nepřesáhne rozsah osobních údajů vymezený výše v kategoriích osobních údajů (článek III., odst. 2 Zásad).Správce informuje zákazníka, že pro splnění kupní smlouvy je vždy nezbytné poskytnutí a zpracování osobních údajů v rozsahu identifikačních údajů zákazníka (článek III., odst. 2.1. Zásad) a kontaktních údajů zákazníka (článek III., odst. 2.2. Zásad), které se stávají součástí uzavřené kupní smlouvy, a bez nichž není možné kupní smlouvu realizovat; zpracování údajů o nákupní historii zákazníka (článek III., odst. 2.3. Zásad) pak nastává v návaznosti na realizaci kupní smlouvy a slouží především k ostatním právním základům zpracování, jež byly uvedeny výše v článku IV., odst. 2 Zásad, než je plnění uzavřené kupní smlouvy. Poskytování osobních údajů je povinností zákazníka, která vyplývá z výše zmíněné smlouvy.
4. K zpracování osobních údajů k následujícím účelům se pak vyžaduje souhlas zákazníka:
- zasílání obchodních sdělení (newsletterů);
- vedení uživatelského účtu zákazníka.
5. Zpracování osobních údajů pro účely uvedené v předchozím odstavci je založeno na dobrovolném souhlasu zákazníka, který má zákazník právo kdykoli odvolat, o čemž bude zákazník před udělením souhlasu informován. Odvoláním souhlasu však není nijak dotčena zákonnost zpracování osobních údajů vycházejícího ze souhlasu, který byl dán zákazníkem před jeho odvoláním. Odvolání souhlasu též nemá vliv na zpracování osobních údajů, které správce zpracovává na základě jiného právního základu, než je souhlas (tj. zejména je-li zpracování nezbytné pro splnění smlouvy, právní povinnosti či z jiných důvodů uvedených v platných právních předpisech). Detailnější informace ohledně udělení souhlasů se zpracováním osobních údajů k výše uvedeným účelům, včetně rozsahu takto zpracovávaných osobních údajů a doby trvání takového zpracování, jsou obsaženy v textu jednotlivých souhlasů, jimiž zákazník uděluje právo osobní údaje k danému účelu zpracovávat.
6. Není-li výše stanoveno výslovně jinak, jsou osobní údaje zpracovávány pouze po nezbytně nutnou dobu, zejm. po dobu trvání smluvního vztahu či jiného právního titulu, který správci umožňuje osobní údaje zákazníka zpracovávat, a archivovány dle lhůt uložených právními předpisy.Po ztrátě zákonného důvodu je prováděn výmaz příslušných osobních údajů. Osobní údaje, jež jsou zpracovávány se souhlasem zákazníka, jsou uchovávány pouze po dobu trvání účelu, k němuž byl souhlas udělen, nejdéle pak po dobu trvání uděleného souhlasu zákazníkem či do okamžiku jeho odvolání.
V. Zpracovatelé a kategorie příjemců osobních údajů
1. Správce může zpřístupnit osobní údaje zákazníka:
- zpracovateli osobních údajů - tj. osobě, která provádí zpracování osobních údajů pro správce, a to na základě smlouvy o zpracování osobních údajů;
- příjemci osobních údajů - tj. subjektu, kterému jsou osobní údaje poskytnuty.
2. Správce může osobní údaje zákazníka poskytnout k oprávněným účelům těmto kategoriím příjemců:
- externím spolupracovníkům správce a dodavatelům správce za účelem plnění smlouvy;
- poskytovatelům poštovních a platebních služeb;
- poskytovatelům dopravních a jiných služeb zajišťujících dopravu a předání zboží zákazníkovi;
- poskytovatelům účetních, auditorských a daňových služeb;
- inkasním agenturám a advokátním kancelářím (zejm. za účelem vymáhání pohledávek);
- správcům IT systémů;
- orgánům veřejné moci (např. soudy, správní orgány).
3. Správce nezamýšlí předávat osobní údaje zákazníka do třetích zemí či mezinárodních organizací.
VI. Informace o právech zákazníka coby subjektu údajů
1. Správce zpracovává osobní údaje zákazníka korektně, zákonným a transparentním způsobem a v souladu s legislativními požadavky. Zákazník má zároveň právo se na správce kdykoli obrátit, aby získal informace o procesu zpracování svých osobních údajů či za účelem uplatnění níže uvedených práv, která souvisejí s osobními údaji.
2. Správce informuje zákazníka o jeho právech, jimiž jsou:
- 2.1. právo na přístup k osobním údajům - na základě tohoto práva má zákazník právo získat od správce potvrzení, zdali jsou jeho osobní údaje zpracovávány, a v případě, že tomu tak je, také právo na informace související s tímto zpracováním, event. v případě, že nebudou nepříznivě dotčena práva a svobody jiných osob, i kopii zpracovávaných osobních údajů;
- 2.2. právo na opravu osobních údajů - na základě tohoto práva může zákazník správce žádat o opravení nepřesností v osobních údajích zpracovávaných správcem, popř. na doplnění neúplných osobních údajů;
- 2.3. právo na výmazosobních údajů - na základě tohoto práva může zákazník správce žádat o výmaz jakéhokoli či všech osobních údajů o něm zpracovávaných, a to pokud nejsou potřebné pro účel, pro který byly zpracovávány, nebo pokud zákazník odvolal souhlas s jejich zpracováním (a neexistuje již další právní důvod pro zpracování) anebo vznesl námitky proti zpracování (a neexistují žádné převažující oprávněné důvody správce pro zpracování), dále pokud osobní údaje byly zpracovány protiprávně, musí být vymazány ke splnění právní povinnosti, nebo byly shromážděny v souvislosti s nabídkou služeb informační společnosti;
- 2.4. právo na omezení zpracování osobních údajů - na základě tohoto práva může zákazník správce žádat o omezení zpracování osobních údajů o něm, pokud zákazník popírá přesnost svých osobních údajů (a to na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů ověřit), nebo je jejich zpracování protiprávní, ale zákazník odmítá výmaz takových osobních údajů, nebo pokud osobní údaje již nejsou potřebné k účelu, pro který byly zákazníkem poskytnuty, avšak zákazník o zpracování požádá (např. v souvislosti s uplatněním nároku u soudu, k němuž zákazník zpracovávané osobní údaje potřebuje), nebo pokud zákazník vznesl námitku proti zpracování, přičemž není zřejmé, zda oprávněné zájmy správce převažuje nad oprávněnými zájmy zákazníka;
- 2.5. právo na přenositelnost osobních údajů - v případě automatizovaného zpracování osobních údajů, které je založeno na uzavřené smlouvě nebo souhlasu, který byl zákazníkem udělen, má zákazník právo na tzv. přenositelnost těchto údajů a jejich poskytnutí ve strukturovaném, běžně používaném a strojovém formátu;
- 2.6. vyloučení automatizovaného individuálního rozhodování a profilování - zákazník má právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které by pro něj mělo právní účinky nebo se jej obdobným způsobem významně dotklo. Správce v té souvislosti uvádí, že neprovádí žádné automatizované zpracování bez vlivu lidského posouzení s právními účinky pro subjekty údajů;
- 2.7.právo odvolat souhlas se zpracováním osobních údajů - v případě, kdy zákazník poskytl správci souhlas se zpracováním osobním údajů pro účely, které vyžadují souhlas, má zákazník právo kdykoli tento souhlas odvolat. Zpracování osobních údajů, ke kterému došlo před odvoláním souhlasu, je zákonné;
- 2.8. právo na oznámení případů porušení zabezpečení osobních údajů - zákazník má právo na informaci od správce o tom, že došlo k porušení zabezpečení jeho osobních údajů, jestliže je současně pravděpodobné, že takový případ porušení bude mít za následek vysoké riziko pro práva a svobody fyzických osob; uvedené právo zákazník nemá při splnění stanovených podmínek (mj. pokud správce přijal opatření k zajištění, že se vysoké riziko pravděpodobné neprojeví nebo vyžadovalo-li by takové oznámení nepřiměřené úsilí, kdy pak je nutné poskytnout informaci pomocí veřejného oznámení či podobného opatření);
- 2.9. právo podat stížnost u dozorového orgánu - zákazník má právo obrátit se na Úřad pro ochranu osobních údajů jakožto dozorový orgán, pokud se domnívá, že při zpracování jeho osobních údajů došlo k porušení pravidel ochrany osobních údajů; kontaktní údaje:
Úřad pro ochranu osobních údajů:
Pplk. Sochora 27, 170 00 Praha 7
telefon: +420 234 665 111 (ústředna)
emailová adresa: posta@uoou.cz
internetové stránky: www.uoou.cz
Proti rozhodnutí dozorového orgánu má též zákazník právo na účinnou soudní ochranu proti rozhodnutí, které se ho týká.
Zákazník má rovněž právo vznést námitku proti zpracování osobních údajů - zákazník má právo kdykoliv vznést námitku proti zpracování osobních údajů, které správce zpracovává z důvodu oprávněného zájmu. V případě, že správce neprokáže, že existuje závažný oprávněný důvod pro zpracování, který převažuje nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků, ukončí správce na základě takové námitky zpracování osobních údajů bez zbytečného odkladu.
Stejně tak může zákazník vznést námitku proti zpracování v situaci, že jeho osobní údaje jsou zpracovávány pro účely přímého marketingu. V takovém případě nebude správce bez dalšího osobní údaje již nadále pro tento účel zpracovávat.
3. Veškerá výše uvedené práva (s výjimkou práva podat stížnost dozorovému orgánu) lze uplatnit prostřednictvím elektronické pošty (e-mailu) odeslané na adresu nejlabo@gmail.com. Na tuto adresu se lze obrátit rovněž v souvislosti s žádostí o další doplňující informace týkající se výše uvedených práv. Obdobně lze uvedená práva uplatnit též korespondenční formou na adresu sídla správce - Nejlabo s.r.o., Vendryně 880, 739 94 Vendryně.
4. Na žádost, která se týká uplatnění práv zákazníků, bude správce reagovat bez zbytečného odkladu ve lhůtě do jednoho měsíce od obdržení žádosti, v níž zákazníkovi poskytne informace o přijatých opatřeních, a to způsobem, jakým byla podána taková žádost o uplatnění práv (tj. dle okolností písemně nebo elektronickou formou). Uvedenou lhůtu lze v případě potřeby (mj. vzhledem k složitosti a počtu žádostí) prodloužit o další dva měsíce, přičemž o takovém prodloužení včetně důvodů, které nás k němu vedly, bude správce zákazníka vždy informovat do jednoho měsíce od obdržení žádosti.
5. Nepřijme-li správce opatření, o které zákazník žádal, informuje zákazníka ve shora uvedené lhůtě o důvodech nepřijetí opatření a o možnosti podat stížnost u dozorového orgánu a žádat o soudní ochranu.