OCHRANA OSOBNÝCH ÚDAJOV
1. Úvodné ustanovenia
1.1. Spoločnosť Veľkoobchod Vláhová Jasněna s.r.o., IČO: 36295922, sídlom Ivanovce 194, PSČ 913 05, ktorá je zapísaná v Obchodnom registri Okresného súdu Trenčín, oddiel Sro, vložka č. 10250/R, kontaktná osoba: Petra Soukupová, kontaktná e-mailová adresa: vlahova@stonline.sk (ďalej tiež ako „spoločnosť“ alebo „správca“), s ohľadom na nutnosť plnenia povinnosti v oblasti ochrany osobných údajov, vyplývajúcich najmä zo zákona č. 18/2018 Z. z., o ochrane osobných údajov a o zmene niektorých zákonov, v znení neskorších predpisov, a nariadenia Európskeho parlamentu a Rady (EU) č. 2016/679 o ochrane fyzických osôb v súvislosti so spracovaním osobných údajov a o voľnom pohybe týchto údajov a o zrušení smernice 95/46/ES (všeobecné nariadenie o ochrane osobných údajov) stanovuje tieto zásady pre spracovanie osobných údajov.1.2.Týmto dokumentom správca poskytuje informácie, ktoré osobné údaje a za akým účelom spracováva, a aké práva a povinnosti náležia osobám, ktorých osobné údaje správca spracováva. Tento dokument sa netýka spracovania osobných údajov zamestnancov spoločnosti.
1.3. Tento dokument môže byť podľa potreby revidovaný a aktualizovaný.
1.4. Správca spracováva osobné údaje ručne i automatizovane, vedie evidenciu všetkých činností, pri ktorých dochádza k spracovaniu osobných údajov.
2. Základné pojmy
2.1: Spoločnosť je správcom osobných údajov, lebo určuje účely a prostriedky spracovania osobných údajov; osobné údaje spracováva sama alebo k tomuto účelu využíva služieb ďalších osôb, tj. spracovateľov.2.2. Osobnými údajmi sú všetky informácie o identifikovanej alebo identifikovateľnej fyzickej osobe (ďalej len „subjekt údajov”); identifikovateľnou fyzickou osobou je fyzická osoba, ktorú je možné priamo či nepriamo identifikovať, najmä odkazom na určitý identifikátor, napríklad meno, identifikačné číslo, lokačné údaje, sieťový identifikátor alebo na jeden či viac zvláštnych prvkov fyzickej, fyziologickej, genetickej, psychickej, ekonomickej, kultúrnej alebo spoločenskej identity tejto fyzickej osoby.
2.3. Spracovaním osobných údajov je akákoľvek operácia alebo súbor operácii s osobnými údajmi alebo súbormi osobných údajov, ktorý je vykonávaný pomocou, či bez pomoci automatizovaných postupov, ako je zhromažďovanie, zaznamenanie, usporiadanie, štrukturovanie, uloženie, prispôsobenie alebo pozmenenie, vyhľadanie, nahliadnutie, použitie, sprístupnenie prenosom, šírenie alebo akékoľvek iné sprístupnenie, zoradenie či skombinovanie, obmedzenie, vymazanie alebo zničenie.
2.4. Spracovateľom osobných údajov môže byť akákoľvek fyzická alebo právnická osoba, alebo iný subjekt, ktorý spracováva osobné údaje pre správcu.
3. Základné zásady spracovania
3.1. Pri spracovaní osobných údajov správcaa) spracováva osobné údaje vo vzťahu k subjektom údajov korektne, zákonne a transparentne,
b) zhromažďuje osobné údaje iba pre určité, výslovne vyjadrené a legitímne účely a ďalej ich nespracováva spôsobom, ktorý je s týmito účelmi nezlučiteľný,
c) spracováva iba také osobné údaje, ktoré sú primerané, relevantné a obmedzené na nevyhnutný rozsah vo vzťahu k účelu, pre ktorý sú spracovávané,
d) spracováva iba také osobné údaje, ktoré sú presné a v prípade potreby aktualizované; správca k tomuto účelu prijme všetky rozumné opatrenia, aby osobné údaje, ktoré sú nepresné s prihliadnutím k účelom, pre ktoré sa spracovávajú, boli bezodkladne vymazané alebo opravené,
e) ukladá osobné údaje vo forme umožňujúcej identifikáciu údajov subjektov po dobu nie dlhšiu, ako je nevyhnutné pre účely, pre ktoré sú spracovávané,
f) spracováva osobné údaje spôsobom, ktorý zaistí náležité zabezpečenie osobných údajov, vrátane ich ochrany pomocou vhodných technických alebo organizačných opatrení pred neoprávneným či protiprávnym spracovaním a pred náhodnou stratou, zničením alebo poškodením.
3.2. Správca zodpovedá za dodržanie všetkých vyššie uvedených zásad a musí byť schopný dodržiavanie týchto zásad doložiť.
3.3. Správca je oprávnený spracovávať osobné údaje iba na základe niektorého z právnych dôvodov spracovania stanovených právnymi predpismi. Iba ako nie je daný iný právny dôvod spracovania, musí správca získať súhlas subjektu údajov.
4. Spracovávané osobné údaje
4.1. V súvislosti so svojou činnosťou správca spracováva nižšie uvedené osobné údaje.4.2. Ide o základné identifikačné a adresné údaje
a) meno a priezvisko,
b) dátum narodenia,
c) bydlisko, prípadne kontaktná adresa,
d) kontaktné telefónne číslo,
e) kontaktná elektronická (emailová) adresa,
f) prihlasovacie meno a heslo pre zákaznícky účet eshopu (on-line obchodu).
4.3. Ak subjekt údajov pracuje prostredníctvom zástupcu, správca spracováva rovnako identifikačné a adresné údaje tohoto zástupcu.
4.4. V prípade, kedy so zákazníkom alebo so správcom komunikuje právnická osoba, správca spracováva nasledujúce osobné údaje priraditeľné k tejto právnickej osobe, a to meno a priezvisko osoby, ktorá za právnickú osobu vystupuje; u tejto osoby ďalej spracovávame osobné údaje týkajúce sa kontaktného telefónneho čísla a kontaktnej emailovej adresy, funkcie či pracovného zaradenia.
4.5. Ďalej správca spracováva
a) zákaznícke číslo zákazníka
b) údaje o zakúpenom tovare a/alebo poskytovaných službách (dátum objednávky, dátum predania tovaru, druh, špecifikáciu a množstvo tovaru alebo služby, cena),
c) údaje z komunikácie medzi správcom a zákazníkom (písomná alebo elektronická komunikácia, záznamy telefonických hovorov, …),
d) údaje o prihlásení na zákaznícky účet,
e) údaje o platobnej morálke,
f) údaj o zasielaní noviniek.
4.6. Správca prevádza priebežne aktualizáciu spracovávaných osobných údajov, najmä vtedy, ak správca zistí nesprávnosť niektorého zo spracovávaných osobných údajov alebo obdrží od subjektu údajov informáciu o zmene niektorého zo spracovávaných osobných údajov.
5. Predaj tovaru a poskytovanie služieb
5.1. Za účelom uzatvorenia a plnenia zmluvy o predaji tovaru alebo poskytnutia služby správca spracováva identifikačné a adresné údaje zákazníka a prípadne jeho zástupcu. Ak je zmluva uzatváraná prostredníctvom elektronickej pošty alebo telefónu, spracováva správca rovnako údaj týkajúci sa elektronickej adresy a telefónneho čísla zákazníka. Ak existuje komunikácia správcu a zákazníka súvisiaca s procesom uzatvárania zmluvy alebo s jej plnením, spracováva správca rovnako osobné údaje obsiahnuté v tejto komunikácii. Rovnako za týmto účelom správca spracováva údaje týkajúce sa predmetu plnenia zmluvy a spôsobu uzatvorenia zmluvy, teda najmä údaje týkajúce sa objednaného tovaru alebo služieb, dátumu objednávky a predania tovaru a ceny.5.2. Ak dochádza k uzatvoreniu zmluvy prostredníctvom eshopu (on-line obchodu) správca (www.vlahova.cz), pri ktorej je vyžadovaná registrácia (založenie zákazníckeho účtu), spracováva správca za účelom overenia totožnosti zákazníka údaje týkajúce sa prihlasovacieho mena, hesla a dátumu prihlásenia.
5.3. Právnym dôvodom pre spracovanie osobných údajov podľa tohoto článku je jeho nutnosť pre uzavretie a splnenie zmluvy. Súhlas subjektu údajov k tomuto spracovaniu sa nevyžaduje. Tieto osobné údaje správca získava od zákazníkov, ďalšie získava z priebehu obchodného vzťahu. Ak by zákazník odmietol niektoré z uvedených osobných údajov správcovi oznámiť alebo by nesúhlasil s ich spracovaním pre tento účel, musel by správca odmietnuť predať tovar alebo poskytnúť služby.
5.4. Osobné údaje podľa tohoto článku správca spracováva po dobu nutnú k dosiahnutiu uvedeného účelu. Ak zákazník v súvislosti s kúpou tovaru alebo poskytnutím služby splní voči správcovi všetky svoje záväzky (vrátane platobných), po uplynutí záručnej doby správca ukončí spracovanie osobných údajov pre tento účel, ak nie je v týchto zásadách stanovené inak alebo právny predpis nepožaduje spracovanie po dlhšiu dobu.
5.5. Ak zákazník poskytne správcovi osobné údaje, ale k uzatvoreniu zmluvy nedôjde, správca ukončí spracovanie osobných údajov po uplynutí troch (3) kalendárnych mesiacov odo dňa ukončenia rokovania o uzatvorení zmluvy.
5.6. Spracovanie osobných údajov týkajúcich sa zákazníckeho účtu bude zo strany správcu ukončené po uplynutí dvoch (2) rokov od posledného prihlásenia zákazníka. V tomto prípade je právnym dôvodom pre spracovanie osobných údajov nutnosť pre účely oprávneného zájmu správcu, ktorým je umožniť zákazníkovi urobiť objednávku, bez toho, aby si musel zriadiť nový zákaznícky účet.
6. Vedenie sporných alebo iných konaní
6.1. V prípade, kedy správca, zákazník alebo iná osoba zaháji sporné alebo iné konanie, ktorého je správca účastníkom, alebo sa zahájenie takéhoto konania javí ako pravdepodobné, spracováva správca osobné údaje týkajúce sa identifikácie a kontaktu, dodaného tovaru alebo poskytnutých služieb, neuhradené sumy, ako i ďalších údajov týkajúcich sa tohoto konania, ktoré má správca k dispozícii.6.2. Právnym dôvodom pre spracovanie osobných údajov podľa tohoto článku je jeho nutnosť pre účely oprávnených záujemcov správcu, ktorým je ochrana majetku a/alebo dobrej povesti správcu. Súhlas subjektu údajov k tomuto spracovaniu sa nevyžaduje. Tieto osobné údaje správca získava od zákazníkov, od osôb, ktoré príslušné konanie zahájili, od orgánu alebo osoby, u ktorého konanie prebieha, z verejných registrov či iných verejne dostupných zdrojov.
6.3. Osobné údaje podľa tohoto článku správca spracováva do skončenia konania, resp. zániku súvisiacich práv a povinností, ku ktorých plneniu je treba spracovávať tieto osobné údaje.
7. Plnenie zákonných povinností
7.1. Správca ďalej spracováva osobné údaje za účelom plnenia povinností uložených právnymi predpismi. Z dôvodu vyžadovaných zákonom o účtovníctve a ďalšími právnymi predpismi najmä z oblasti daňovej správy správcu po stanovenú dobu uchováva dokumenty (v elektronickej alebo papierovej podobe) obsahujúce osobné údaje, najmä faktúry a dokumenty, z ktorých vyplýva právny dôvod pre vystavenie faktúr (tj. najmä objednávky a zmluvy) obsahujúce identifikačné a adresné údaje zákazníkov, údaje týkajúce sa predaného tovaru a poskytnutých služieb, vyúčtovanej ceny.7.2. Právnym dôvodom pre spracovanie osobných údajov podľa tohoto článku je jeho nutnosť pre splnenie právnych povinností správcu. Súhlas subjektov údajov k tomuto spracovaniu sa nevyžaduje. Tieto osobné údaje správca získava od zákazníkov alebo z priebehu obchodného vzťahu.
7.3. Osobné údaje podľa tohoto článku správca spracováva po dobu stanovenú právnymi predpismi.
8. Šírenie obchodných informácií a používanie cookies
8.1. Ak správca získa od zákazníka podľa článku 5. týchto zásad emailovú adresu v súvislosti s predajom tovaru alebo poskytovaním služieb, je správca oprávnený spracovávať emailovú adresu a identifikačné údaje pre potreby zasielania obchodných informácií správcu týkajúcich sa tovaru alebo služieb.8.2: Predpokladom pre možnosť šírenia obchodných informácií podľa článku 8.1. je, že zákazník má jasnú a zreteľnú možnosť jednoduchým spôsobom, zdarma alebo na účet správcu odmietnuť súhlas s takýmto využitím jeho emailovej adresy i pri zasielaní každej jednotlivej správy, ak pôvodne toto využitie neodmietol.
8.3. Právnym dôvodom pre spracovanie osobných údajov podľa článku 8.1. je nutnosť pre účely oprávnených záujmov správcu, ktorým je robenie marketingu. Súhlas subjektu údajov k tomuto spracovaniu sa nevyžaduje. Správca je oprávnený spracovávať osobné údaje do doby, kým zákazník správcovi oznámi, že už s týmto spracovaním nesúhlasí.
8.4. Šíriť obchodné informácie bez splnenia podmienok podľa článkov 8.1. a 8.2. je správca oprávnený iba na základe získania súhlasu. V tomto prípade je právnym dôvodom pre spracovanie osobných údajov za týmto účelom súhlas, ktorý môže byť kedykoľvek odvolaný. Správca je oprávnený spracovávať osobné údaje pre tieto účely do okamihu, kedy subjekt údajov svoj súhlas odvolá, najviac však po dobu pät (5) rokov odo dňa udelenia tohoto súhlasu. Neposkytnutie tohoto súhlasu alebo jeho odvolanie nemá žiadny vplyv na možnosť kúpi tovaru alebo poskytovania služieb.
8.5. Ak správca získa od zákazníka alebo iného užívateľa webových stránok správcu súhlas s umiestňovaním súborov cookies na jeho počítači, je správca oprávnený na základe tohoto súhlasu umiestňovať do počítača tejto osoby textové súbory za účelom spätného odosielania informácii o správaní tohoto užívateľa na webových stránkach správcu. Pred poskytnutím súhlasu podľa tohoto článku musí byť osoba poskytujúca súhlas poučená o tom, že tento súhlas je možné kedykoľvek odvolať.
8.6. Právnym dôvodom pre spracovanie osobných údajov podľa článku 8.5. je súhlas subjektu údajov. Neposkytnutie tohoto súhlasu alebo jeho odvolanie nemá žiadny vplyv na možnosť kúpi tovaru alebo poskytovanie služieb. Tieto osobné údaje správca spracováva po dobu trvania súhlasu.
9. Predávanie osobných údajov tretím osobám
9.1. Správca predáva osobné údaje inému subjektu (napr. súdu alebo daňovému úradu), ak mu to ukladá právny predpis alebo je to nutné k splneniu povinnosti uloženej právnym predpisom či vykonateľným rozhodnutím príslušného orgánu.9.2. Správca pri plnení svojich povinností z uzatvorených zmlúv alebo v prípade ochrany svojich legitímnych záujmov môže využívať odborné a špecializované služby iných subjektov. Ak títo dodávatelia spracovávajú osobné údaje predané od správcu, majú postavenie spracovateľa osobných údajov a spracovávajú tieto osobní údaje iba v rámci pokynov od správcu a nesmú ich využiť inak. Ide najmä o činnosti poskytovateľa IT služieb vrátane ukladania údajov, tvorby a fungovania on-line obchodu, advokátskych služieb, vedenie účtovníctva, marketingu a doručovacích služieb. Na žiadosť subjektu údajov správca oznámi, či a ktorému subjektu boli jeho osobné údaje poskytnuté a ďalšie súvisiace informácie.
9.3. Každého takého dodávateľa správca starostlivo vyberá a s každým uzatvára zmluvu o spracovaní osobných údajov, v ktorej sú stanovené povinnosti k ochrane a zabezpečenia osobných údajov, vrátane povinnosti zachovávať mlčanlivosť.
9.4. Správca je oprávnený predať osobné údaje iba tým osobám, ktoré poskytujú dostatočné záruky zavedením vhodných technických a organizačných opatrení tak, aby toto spracovanie splňovalo všetky požiadavky stanovené právnymi predpismi a aby bola zaistená ochrana práv subjektu údajov.
9.5. K tomuto nakladaniu s osobnými údajmi správcu nepotrebuje súhlas subjektu údajov, lebo by v opačnom prípade nebol schopný splniť svoje povinnosti zo zmluvy, resp. k tomuto poskytnutiu dochádza z jeho potreby za účelom oprávnených záujmov správcu.
9.6. Správca nemá v úmysle predávať osobné údaje do štátov mimo Európsku úniu.
10. Spôsob spracovávania a prístup k osobným údajom
10.1. Osobné údaje sú spracovávané prostredníctvom informačného systému správcu, ktorého zabezpečenie pred stratami osobných údajov i pred prístupom neoprávnených osôb je pravidelne overované. Prístup do systému je omedzený podľa nastavených manažérskych funkcií. Bezpečnosť predávania osobných údajov v elektronickej podobe tretím osobám je zabezpečený prostredníctvom prístupu do informačného systému správcu chráneného bezpečným heslom. Informačný systém je štandardný, jeho dodávateľ poskytuje obvyklé záruky bezpečnosti, jeho funkčnosť a bezpečnosť je pravidelne testovaná a udržovaná externým dodávateľom, s ktorým má správca uzatvorenú zmluvu o spracovaní osobných údajov.10.2. Správca vykonáva pri spracovaní osobných údajov najmä nasledujúce technické a organizačné opatrenia:
a) zamykanie priestoru správcu, kde sa osobné údaje spracovávajú,
b) zamykanie osobných údajov v tlačenej podobe do uzamykateľných skriní,
c) spracovanie osobných údajov iba zodpovednými osobami;
d) preškolenie zodpovedných osôb, ako majú s osobnými údajmi nakladať.
10.3. Každý úkon, ktorý zahŕňa akékoľvek nakladanie s osobnými údajmi, je zaznamenaný v informačnom systéme správcu, a to vrátane údajov o osobe, ktorá tento úkon vykonala.
10.4. Správca spracovávané osobné údaje priebežne aktualizuje, najmä v súvislosti so zmenami, ktoré mu oznámia zákazníci alebo ktoré správca zistí od iných osôb alebo z iných verejne dostupných zdrojov.
10.5. Ak už správca dosiahne účelu spracovania osobných údajov a žiadny ďalší dôvod pre ich spracovanie nemá, tieto osobné údaje vymaže bez možnosti ich obnovy.
10.6. Prístup k osobným údajom u správcu majú iba osoby, u ktorých to nutne vyžaduje dosiahnutie účelu, pre ktorý sú osobné údaje spracovávané. Za týmto účelom u správcu prebieha pravidelný audit.
10.7. Osoby majúci prístup k osobným údajom sú riadne preškolené o ich ochrane a sú povinné dodržiavať mlčanlivosť.
11. Práva subjektu údajov
11.1. Subjekt údajov má v súvislosti s ochranou osobných údajov nasledujúce práva:a) na prístup k jeho osobným údajom, ktoré zahŕňa najmä právo získať od správcu potvrdenie, či spracováva jeho osobné údaje, informácie o účeloch spracovania, kategóriách osobných údajov, príjemcoch, ktorým osobné údaje boli alebo budú sprístupnené, plánovanej dobe spracovania, o existencii práva požadovať od správcu opravu alebo vymazanie osobných údajov týkajúcich sa subjektu údajov alebo obmedzenie ich spracovania alebo vzniesť námietku proti tomuto spracovaniu,
b) na opravu nepresných osobných údajov; subjekt údajov má však súčasne povinnosť oznamovať zmeny svojich osobných údajov a doložiť, že k takejto zmene došlo. Zároveň je povinný poskytnúť súčinnosť, ak bude zistené, že osobné údaje, ktoré sú o ňom spracovávané, nie sú presné,
c) právo na vymazanie osobných údajov, ktoré sa ho týkajú, ak správca nepreukáže oprávnené dôvody pre spracovanie týchto osobných údajov,
d) na obmedzenie spracovania osobných údajov do doby vyriešenia podnetu, ak popiera presnosť osobných údajov, dôvody ich spracovania alebo ak podá námietku proti ich spracovaniu,
e) právo na oznámenie opravy, vymazanie alebo obmedzenie spracovania osobných údajov, ak sa to ukáže ako nemožné alebo to vyžaduje neprimerané úsilie,
f) na prenositeľnosť údajov v štrukturovanom, bežne používanom a strojovo čitateľnom formáte, a právo požiadať o predanie týchto údajov inému správcovi,
g) vzniesť námietku proti spracovaniu jeho osobných údajov z dôvodu oprávneného záujmu správcu (napr. na zasielanie obchodných informácii); v prípade, že nebude preukázaná existencia závažného oprávneného dôvodu pre spracovanie, ktorý prevažuje nad záujmami alebo právami a slobodami subjektu údajov, správca spracovanie na základe námietky ukončí bez zbytočného odkladu,
h) kedykoľvek odvolať súhlas so spracovaním osobných údajov, ak ich správca spracováva na základe jeho súhlasu; týmto odvolaním súhlasu však nebude dotknutá zákonnosť spracovania založená na súhlase udeleného pred jeho odvolaním,
i) obrátiť sa s podnetom alebo sťažnosťou na Úrad pre ochranu osobných údajov (www.dataprotection.gov.sk).