Prohlášení o ochraně osobních údajů
Pavel Šuch, se sídlem ve Střížovicích č.p. 162, 332 07 Střížovice, IČ: 05415411, dále jen „správce“, se při zpracování osobních údajů na e-shopu VinoGusto, jehož je zakladatelem a majitelem, řídí zejména nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), (dále jen pod anglickou zkratkou „GDPR“) a zákonem č. 110/2019 Sb. o ochraně osobních údajů (dále jen pod anglickou zkratkou „GDPR“), ve znění pozdějších předpisů.
I.
Definice některých základních pojmů.
Subjekt údajů má význam jednoznačně stanovený v nařízení GDPR. Subjektem údajů je identifikovaná nebo identifikovatelná žijící fyzická osoba, k níž se osobní údaje vztahují (např. zákazník, zaměstnanec, aj.).
Osobní údaj (dále také i jako „OÚ) vystihuje veškeré informace o identifikované nebo identifikovatelné fyzické osobě (tj. subjektu údajů). Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, příjmení, email, telefonní číslo, síťový identifikátor, aj.
Zvláštní kategorie osobních údajů: zvláštní prvek fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity fyzické osoby, tj. osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě, biometrický údaj, který umožňuje přímou identifikaci nebo autentifikaci subjektu údajů.
Správcem se rozumí fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů. Správce nakládá s osobními údaji na základě právních titulů (oprávněnost zpracování), jejichž obsah je definován v GDPR. Správce má význam stanovený v nařízení GDPR
II.
Zásady zpracování osobních údajů.
Při zpracování osobních údajů je dodržováno odpovídající technickoorganizační opatření k zajištění ochrany osobních údajů, zejména opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů a dodržujeme zejména následující zásady:
• osobní údaje jsou vždy zpracovávány pro jasně a srozumitelně stanovený účel, který stanovenými prostředky, stanoveným způsobem, a pouze po dobu, která je nezbytná vzhledem k účelům jejich zpracování; jsou zpracovávány pouze přesné osobní údaje a jejich zpracování odpovídá stanoveným účelům a je nezbytné pro naplnění těchto účelů. Účel zpracování osobních údajů by měl být vždy legitimní a činnost internetového obchodu a s ní spojené nezbytné zpracování osobních údajů legitimní je;
• osobní údaje jsou chráněny způsobem, který je odpovídající aktuálnímu vývoji techniky; je zajištěna nejvyšší dostupná možnost bezpečnosti těchto údajů, podklady jsou uchovávány částečně jak v papírové formě v zabezpečené prostoru v rámci sídla správce a v elektronické podobě. Veškerá elektronická komunikace mezi zařízením a naší stránkou je šifrována. Databázi obsahující osobní údaje chráníme před jejím poškozením, zničením, ztrátou a zneužitím. Heslo k uživatelskému účtu ukládáme v hashovaný podobě tak, aby nebylo možné ani v případě získání tohoto údaje nepovolanou osobou možné jej dešifrovat. Server s programem, na kterém běží webové rozhraní s databází subjektů osobních údajů, je ve vlastnictví společnosti Shoptet, a.s. (zpracovatel), se kterou je v souladu s pravidly GDPR uzavřena příslušná zpracovatelská smlouva, zajišťující maximální ochranu osobních údajů, kdy jsou na tohoto zpracovatele kladeny stejné vysoké nároky na ochranu OÚ, jako na správce Zpracovatel je rovněž odpovědný za přijetí opatření k zabezpečení osobních údajů podle článku 32 GDPR.;
• subjekty údajů jsou informováni o zpracování osobních údajů a o nárocích na přesné a úplné informace o okolnostech tohoto zpracování, jakož i o dalších souvisejících právech.
III.
Informace o zpracování osobních údajů dle jednotlivých právních titulů a na základě souhlasu subjektu osobních údajů.
1. V rámci elektronické komunikace (zejména objednávky zboží na webových stránkách správce v podobě nastavených formulářů, e-mailová komunikace aj.) správce zpracovává zejména následující osobní údaje: jméno a příjmení, adresa bydliště, telefonní kontakt, e-mailová adresa, IP adresa, aj. .
Osobní údaje správce eviduje a zpracovává na základě platných titulů dle GDPR a na základě platné legislativy ČR za účelem umožnění komunikace, tedy za účelem vyřízení dotazu subjektu údajů k rezervaci zboží, či objednávce a k samotnému vyřízení jeho objednávky zboží. Z pohledu GDPR je zpracování nezbytné pro splnění smlouvy, nebo pro provedení opatření přijatých před uzavřením smlouvy, pro zpracování osobních údajů této agendy není potřeba souhlasu subjektu údajů.
2. V souladu s příslušnými obecně platnými právními předpisy a plněním povinností plynoucích zejména z daňových předpisů a zákona o účetnictví správce zpracovává a uchovává fakturační údaje (jméno, příjmení, adresa místa trvalého pobytu aj.) a kontaktní údaje (např. jméno, příjmení, adresa místa trvalého pobytu, email a telefon aj.), které mu subjekt údajů pro účely zpracování objednávky, jednání o uzavření smlouvy či plnění smlouvy poskytl. Správce k dodržení stanovených zákonných povinností provádí zpracování osobních údajů nezbytné pro splnění právní povinnosti, která se na správce vztahuje, a pro které není třeba souhlasu subjektu OÚ.
3. Plnění zákonné povinnosti ověření věku dle zákona č. 65/2017 Sb., o ochraně zdraví před škodlivými účinky návykových látek. Za účelem ověření věku dle zákona č. 65/2017 Sb., o ochraně zdraví před škodlivými účinky návykových látek jsou zpracovávány osobní údaje maximálně v rozsahu: jméno a příjmení, telefonní číslo, e-mailová adresa, cookies, datum narození, IP adresa
4. Pro zlepšování a personalizaci služeb a některých marketingových činností je zpracování osobních údajů v našem internetových obchodu realizováno na základě právního důvodu oprávněný zájem správce. Jde o zpracování, které z hlediska správce považujeme za oprávněné ve vztahu k subjektu údajů, aniž by potřeboval od subjektu údajů souhlas. V prostředí našeho internetového obchodu se jedná především o formu přímého marketingu prostřednictvím zasílání obchodních sdělení ve smyslu zákona č. 480/2004 Sb. o některých službách informační společnosti ve znění pozdějších předpisů, (včetně odesílání newsletterů), dále náš oprávněný zájem na získávání zpětné vazby od zákazníků za účelem zvyšování spokojenosti našich zákazníků a kvality našich služeb (zejména pro zasílání dotazníku spokojenosti) podle čl. 6 odst. 1 písm. a) GDPR. Na základě uvedeného právního titulu lze oslovovat pouze zákazníky, kteří jíž v našem e-shopu nakoupili. Dále budou osobní údaje zpracovávány pro potřebu vedení interního black listu osob, které se dopouštějí protiprávního jednání vůči obchodu či opakovaně zneužívají práv, aby obchod poškodily, kdy vedení a práce s tímto listem podléhá pravidlům popsaným v interní směrnici správce. Oprávněným zájmem internetového obchodu je i proces vymáhání pohledávek v intencích právního řádu.
5. Právní titul pro zpracování osobních údajů zaměstnanců správce se odvíjí od konkrétního účelu zpracování a může zahrnovat jak plnění smlouvy, tak zákonnou povinnost, nebo oprávněný zájem správce.
6. Právní titul pro zpracování souborů cookies se odvíjí od účelu, pro který jsou cookies používány.
Zákonné důvody pro zpracování cookies:
· Oprávněný zájem (čl. 6 odst. 1 písm. f) GDPR):
Tento právní titul se uplatňuje pro technické cookies, které jsou nezbytné pro provoz webu, a pro cookies, které slouží k měření návštěvnosti a vytváření statistik, pokud je to v zájmu správce a uživatele.
· Nezbytnost pro splnění smlouvy (čl. 6 odst. 1 písm. b) GDPR):
Tento právní titul se uplatňuje, pokud je zpracování cookies nezbytné pro splnění smlouvy, např. při nákupu zboží v e-shopu, kdy se cookies používají pro uchování obsahu košíku.
· Souhlas (čl. 6 odst. 1 písm. a) GDPR):
Tento právní titul je vyžadován pro cookies, které slouží k marketingovým účelům, jako je cílení reklamy nebo analýza chování uživatelů. Běžné prohlížeče mají nastavení, ve kterých můžete odstranit vybrané cookies nebo dokonce ukládání cookies úplně zakázat s rizikem, že v případě smazání nebo zákazu některých cookies nemusí specifické funkce správně fungovat.
7. Pokud není možné využít žádný z výše uvedených právních důvodů pro zpracování osobních údajů, jste e-shopem požádáni, jako subjekt údajů, o souhlas se zpracováním osobních údajů pro v tomto souhlasu definované účely. Typickým případem pro žádost o udělení souhlasu je realizace přímého marketingu, kdy před tímto obchodním sdělení jste jako oslovený subjekt osobních údajů ještě nebyli nikdy naším zákazníkem. Váš souhlas je možné kdykoliv odvolat.
8. Zvláštní kategorie osobních údajů správcem evidovány a zpracovávány nejsou.
IV.
Příjemci osobních údajů.
Osobní údaje jsou přístupné správci v souvislosti s plněním jeho povinností, při kterých je nutné s osobními údaji nakládat. Osobní údaje mohou však být zpřístupněny i třetí osobě, kdy v souladu s příslušnými právními předpisy je správce oprávněn, anebo někdy přímo povinen, předávat osobní údaje subjektu údajů:
• příslušným orgánům státní správy, soudům a orgánům činným v trestním řízení za účelem plnění jejich povinností;
• subjektům státní správy a jiným orgánům veřejné moci z důvodu plnění zákonných povinností;
Dalším osobám v rozsahu stanoveném právními předpisy, například třetím osobám pro účely vedení externího účetnictví, či vymáhání pohledávek a jiné. Osobní údaje mohou být zpřístupněny i oprávněným pracovníkům správce, kteří se k datům mohou dostanou proto, že správci budou pomáhat s chodem společnosti, či jednotlivým zpracovatelům a správcům osobních údajů, a to pouze v míře nezbytně nutné pro naplnění jednotlivých účelů zpracování. Cílem těchto spoluprací je poskytnutí těch nejlepších a nejrelevantnějších služeb pro Vás. Takto získané údaje mohou poskytovatelé služeb použít pouze na základě zpracovatelské smlouvy o předání osobních údajů či smlouvy o zpracování osobních údajů uzavřených mezi takovými příjemci a správcem.
Jsou to zejména:
· společnosti podílející se na zajištění plateb za zboží (platební brány, banky, aj);
· poskytovatelé, které v rámci našich produktů a služeb využíváte (dopravci, se kterými spolupracujeme. Jde o adresu doručení a kontaktní údaje, v případě dobírky i částku k úhradě. Dopravce je oprávněn zpracovávat osobní údaje, které mu předáme, pouze pro účely doručení zboží);
· poskytovatel e-mailingové služby;
· poskytovatel serveru a programové podpory (Shoptet, a.s.);
Při externím zpracovávání dat partnerem, se kterými spolupracujeme na základě zpracovatelské smlouvy zpracovávají údaje pro nás, na základě našich pokynů a v souladu s tímto smluvním dokumentem. Naši dodavatelé dodržují všechny potřebné bezpečnostní, technické a organizační opatření, aby poskytly osobním údajům požadovanou ochranu.
V.
Doba zpracování osobních údajů.
Osobní údaje subjektu údajů zpracovává správce pouze po dobu, která je nezbytná vzhledem k účelům jejich zpracování. Doba uchovávání osobních údajů vyplývá z jednotlivých právních titulů a předpisů, na základě, kterých správce zpracovává. Osobní údaje o Vašem nákupu, tedy objednávky a uzavřené smlouvy, případně Vaše údaje, které jste nám sdělili pro účely řádného plnění smlouvy, uchováváme po dobu 3 let. Po takovou dobu je uchováváme proto, abychom mohli řádně vyřizovat reklamace a reagovat na Vaše případné stížnosti a zároveň případně uplatnit naše právní nároky vůči Vám. Dále uchováváme dokumenty, v nichž jsou Vaše osobní údaje obsaženy, což nám ukládá několik zákonů (Např.: Zákon č. 563/1991 Sb., o účetnictví, v platném znění; zák. č. 235/2004 Sb., o dani z přidané hodnoty, v platném znění; atd.). V případě zpracování osobních údajů na základě Vámi uděleného souhlasu či na základě oprávněného zájmu k poskytování přímého marketingu, jsou Vaše osobní údaje (resp. Váš e-mail) zpracovávány po dobu 5 let, nebude-li tento Váš souhlas se zpracováním osobních údajů z Vaší strany odvolán. Po uplynutí této doby uchováváme Vaše osobní údaje (zejména souhlas, odvolání souhlasu) v nezbytném rozsahu pro případnou obhajobu našich práv.
Faktury musíme uchovávat po dobu 10 let. Účetní doklady uchováváme po dobu 5 let.
V případě, že odvoláte svůj souhlas se zpracováním osobních údajů, musíme vymazat ty osobní údaje, které jsme získali na základě Vašeho souhlasu. Souhlas je možné odvolat zasláním emailu na adresu: Pavel.Such@vinogusto.cz. Odvoláním souhlasu není dotčeno zpracování osobních údajů, které provádíme na základě jiného právního titulu, zejm. za účelem plnění kupní smlouvy, poskytování služby nebo zpracování, které bylo založeno na souhlasu do okamžiku jeho odvolání. Osobní údaje, které o Vás evidujeme v souvislosti s Vaším uživatelským účtem, uchováváme po neomezeně dlouhou dobu v případě, že účet využíváte. Pokud jej nevyužíváte déle než rok, budou tyto Vaše osobní údaje smazány.
VI.
Práva subjektu osobních údajů.
Právem subjektu údajů je požádat správce o informace, jaké osobní údaje a v jakém rozsahu a pro jaký účel jsou o něm zpracovávány. Tyto informace správce poskytne v souladu s principy GDPR, v mimořádných situacích pak nejpozději ve lhůtě 90 dnů. O prodloužení lhůty v mimořádných případech správce bude subjekt údajů včas informovat. Pokud bude subjekt údajů požadovat sdělení informací, které o něm správce eviduje, bude nejprve potřebovat ověřit, že subjekt údajů je skutečně osoba, které náleží tato informace. V žádosti tedy musí subjekt údajů definovat dostatečnou identifikaci své osoby. V případě potřeby má správce právo vyžádat si doplňující informace k identifikaci, než poskytne osobní údaje, které o subjektu údajů zpracovává. Právem správce pak je zamítnout požadavky na informace, které jsou bezdůvodné, či se nepřiměřeně opakují, případně jejich získání vyžaduje nepřiměřené úsilí. Správce je povinen na žádost subjektu údajů provést opravu jeho osobních údajů, výmaz jeho osobních údajů, či omezit jejich zpracování. Osobní údaje budou zpravidla vymazány okamžitě, nejpozději však do jednoho měsíce po podání žádosti. Pokud by výmaz odporoval zákonným, smluvním, daňově-právním, obchodně-právním povinnostem uchovávání nebo jiným zákonem stanoveným důvodům, může být místo výmazu osobních údajů pouze omezeno jejich zpracování. V takovém případě od správce subjekt údajů obdrží sdělení. Po výmazu osobních údajů subjektu údajů již není možné zajistit mu přístup k jeho osobním údajům. Právo na přenositelnost osobních údajů podle GDPR umožňuje subjektům údajů na vyžádání získat od správce jeho osobní údaje, které správce zpracovává na základě jeho souhlasu nebo smlouvy a zároveň je zpracovává automatizovaně. Takové údaje mu správce poskytne v běžně používaném a strojově čitelném formátu. Případně tyto údaje může předat jinému správci, kterého subjekt údajů určí, pokud s předáním tento správce souhlasí. Subjektu údajů má právo na podání námitky proti zpracování osobních údajů, kdy po vyhodnocení námitky bude správcem o závěru vyhodnocení včetně dalších případných kroků ve zpracování osobních údajů informován. Subjekt údajů má také právo nebýt předmětem automatizovaného rozhodnutí, vč. profilování – toto právo má subjekt údajů v souladu s čl. 22 GDPR. Pokud se subjekt údajů domnívá, že jeho osobní údaje nejsou zpracovávány v souladu s platnou legislativou ČR a EU, má právo se obrátit se stížností na příslušný dozorový úřad na Ochranu osobních údajů na adrese:
Úřad pro ochranu osobních údajů, Pplk. Sochora 27 170 00 Praha 7
VII.
Ostatní
1. Správci nevzniká povinnost jmenovat pověřence pro ochranu osobních údajů.
2. S dotazy na ochranu osobních údajů se může subjekt údajů obracet na dále uvedených kontaktech správce:
- e-mail: Pavel.Such@vinogusto.cz ,
- tel.: +420 723 794 463,
- nebo na sídlo správce: Pavel Šuch, Střížovice 162, 332 07 Střížovice.
Ve Střížovicích dne 15.07.2025
Celý dokument "Prohlášení o ochraně osobních údajů" ke stažení v pdf: zde