Zásady zpracování osobních údajů

zásady zpracování osobních údajů

1        úvod

Bc. Martin Feix, coby provozovatel internetového obchodu GIRLS WITHOUT CLOTHES, dostupného na internetové adrese https://www.girlswithoutclothes.cz/ (dále jen „Provozovatel“), zpracovává osobní údaje fyzických osob (tzv. subjektů údajů), které mají zájem o nákup v internetovém obchodu (potenciální zákazníci) nebo v internetovém obchodu nakupují či v minulosti nakoupily (zákazníci).

Provozovatel dbá na to, aby zpracování osobních údajů výše uvedených osob bylo zákonné, korektní, transparentní, přesné, důvěrné a osobní údaje byly zpracovávány pouze v nezbytném rozsahu. Provozovatel dbá též na to, aby osobní údaje byly řádně zabezpečeny a aby při zpracování osobních údajů byla dodržena veškerá pravidla stanovená obecným nařízením o ochraně osobních údajů (dále jen „GDPR“) jakož i dalšími právními předpisy v oblasti nakládání s osobními údaji a jejich ochrany.

2        Správce osobních údajů

Správcem osobních údajů je Provozovatel – Bc. Martin Feix, IČO: 87764946, podnikatel se sídlem Karoliny Světlé 1016/9, Staré Město, 110 00 Praha 1.

Provozovatele lze kontaktovat zejména:

                                                                                  Karoliny Světlé 1016/9

                                                                                  110 00 Praha 1

3        Účel a právní základ pro zpracování

3.1         Plnění kupní smlouvy

Provozovatel zpracovává osobní údaje zejména za účelem plnění uzavřené kupní smlouvy. Zpracování osobních údajů za účelem plnění uzavřené kupní smlouvy je nezbytné mimo jiné proto, aby Provozovatel mohl zákazníkovi dodat koupené zboží.

K tomuto zpracování osobní údajů není třeba žádného souhlasu – jeho právním základem je plnění smlouvy, jejíž stranou je subjekt údajů (viz čl. 6 odst. 1 písm. b) GDPR).

3.2         Plnění právních povinností Provozovatele

Provozovatel zpracovává osobní údaje také za účelem plnění svých právních povinností, vyplývajících pro Provozovatele zejména z účetních a daňových zákonů (např. zákona o DPH), ze zákona o ochraně spotřebitele apod., včetně povinnosti Provozovatele být schopen doložit, že osobní údaje zpracovává v souladu s obecně závaznými právními předpisy, zejména v souladu s GDPR.

K tomuto zpracování osobních údajů není třeba žádného souhlasu – jeho právním základem je splnění právní povinnosti, která se na Provozovatele, coby správce osobních údajů, vztahuje (viz čl. 6 odst. 1 písm. c) GDPR).

3.3         Oprávněné zájmy Provozovatele

Provozovatel je oprávněn zpracovávat osobní údaje také za účelem:

  • uplatňování přímého marketingu (blíže viz čl. 5 těchto zásad);
  • evidence zákazníků, jejich objednávek a případných reklamací;
  • vedení tzv. blacklistu, tj. interního seznamu zákazníků, kteří v minulosti jakýmkoli způsobem porušili své povinnosti z uzavřené kupní smlouvy;
  • určení, výkonu nebo obhajoby právních nároků (zejména právních nároků vyplývajících z uzavřené kupní smlouvy).

K tomuto zpracování osobních údajů rovněž není třeba žádného souhlasu – jeho právním základem oprávněný zájem Provozovatele (viz čl. 6 odst. 1 písm. f) GDPR).

3.4         Souhlas subjektu údajů

Na základě souhlasu se zpracováním osobních údajů je Provozovatel oprávněn zpracovávat osobní údaje za účelem:

  • uplatňování přímého marketingu (blíže viz čl. 5 těchto zásad);
  • zřízení a vedení zákaznického účtu (blíže viz čl. 9 těchto zásad).

Právním základem tohoto zpracování je souhlas subjektu údajů se zpracováním osobních údajů (viz čl. 6 odst. 1 písm. a) GDPR).

4        Zpracování osobních údajů na základě souhlasu

Udělení souhlasu se zpracováním osobních údajů je zcela dobrovolné. Případné neudělení souhlasu nebude mít pro subjekt údajů žádné nepříznivé následky.

Každý subjekt údajů má právo souhlas se zpracováním osobních údajů kdykoli odvolat, a to jedním z následujících způsobů:

  • prostřednictvím zákaznického účtu (v sekci „Moje osobní údaje“)
  • elektronickým oznámením zaslaným na e-mailovou adresu Provozovatele (viz e-mailové adresy uvedené v čl. 2 těchto zásad);
  • listinným oznámením zaslaným na adresu sídla Provozovatele (viz korespondenční adresa uvedená v čl. 2 těchto zásad).

Souhlas s vedením zákaznického účtu lze odvolat zasláním žádosti o zrušením zákaznického účtu (blíže viz čl. 9 těchto zásad).

Odvoláním souhlasu není dotčena zákonnost zpracování osobních údajů v období před odvoláním souhlasu, na jehož základě bylo zpracování osobních údajů prováděno.

5        Přímý marketing = newslettery

5.1         Obecně

Zpracováním osobních údajů pro účely přímého marketingu se rozumí zpracování osobních údajů za účelem zasílání obchodních sdělení ve smyslu zákona č. 480/2004 Sb., o některých službách informační společnosti, ve znění pozdějších předpisů (dále jen „zákon č. 480/2004 Sb.“).

Obchodním sdělením se rozumí jakákoli forma sdělení, včetně reklamy a vybízení k návštěvě stránek internetového obchodu, určeného k přímé či nepřímé podpoře zboží či služeb nebo image Provozovatele (dále jen „Newslettery“).

5.2         Způsob zasílání newsletterů

Zpracování osobních údajů pro účely zasílání Newsletterů vůči potenciálním zákazníkům (tedy osobám, které v internetovém obchodu ještě nenakoupily, ale rozhodly se odebírat Newslettery) je možné pouze na základě jejich souhlasu se zpracováním osobních údajů. Rovněž i samotné zasílání Newsletterů potenciálním zákazníkům lze provádět pouze na základě jejich souhlasu (v souladu s § 7 odst. 2 zákona č. 480/2004 Sb.).

Zpracování osobních údajů pro účely zasílání Newsletterů vůči zákazníkům (tedy osobám, které v internetovém obchodu nakoupily) je možné i bez jejich souhlasu, a to na základě existence oprávněného zájmu Provozovatele (viz recitál 47 GDPR). Rovněž i samotné zasílání Newsletterů zákazníkům lze provádět bez jejich souhlasu (v souladu s § 7 odst. 3 zákona č. 480/2004 Sb.), pokud to zákazník původně neodmítl (např. po předchozím nákupu).

5.3         Ukončení zpracování pro účely přímého marketingu

Provozovatel ukončí zpracování osobních údajů pro účely přímého marketingu bezodkladně poté, co zákazník či potenciální zákazník vyjádří svůj nesouhlas s takovým zpracováním. Nesouhlas lze učinit např. některým z následujících způsobů:

  • odvolání souhlasu se zpracováním osobních údajů (blíže viz čl. 4 těchto zásad);
  • odhlášením se z odběru Newsletterů, což je možné učinit v každém Newsletteru;
  • vznesením námitky proti takovému zpracování (za podmínky čl. 21 GDPR).

Bez ohledu na výše uvedené Provozovatel ukončí zpracování osobních údajů pro účely přímého marketingu nejpozději do 5 let od posledního nákupu v internetovém obchodu (uzavření kupní smlouvy). Jakýmkoli dalším nákupem se doba zpracování prodlužuje vždy o dalších 5 let.

V případě, že k nákupu v internetovém obchodu nikdy nedojde, Provozovatel ukončí zpracování nejpozději do 5 let od okamžiku udělení souhlasu.

6        Kategorie příjemců osobních údajů

Příjemcem osobních údajů je každý, komu Provozovatel osobní údaje poskytne.  

Provozovatel může poskytovat osobní údaje zejména příjemcům, jejichž služby využívá v rámci provozování internetového obchodu. Jedná se zejména o subjekty poskytující účetní, tiskové a poštovní služby, právní služby, IT služby, cloudové služby, služby rozesílání Newsletterů či provozovatele platebních bran a systémů atd. Tito příjemci budou zpracovávat osobní údaje buď jako samostatní správci (tedy jako subjekty, které samy určují účely a prostředky zpracování osobních údajů, a to nezávisle na Provozovateli), nebo jako zpracovatelé (tedy subjekty, které zpracovávají osobní údaje pro Provozovatele na základě jeho pokynů).

Vedle toho bude Provozovat poskytovat osobní údaje orgánům veřejné moci, pokud mu tuto povinnost ukládají anebo budou ukládat obecně závazné právní předpisy. Za příjemce však nejsou považovány orgány veřejné moci v rámci výkonu svých vyšetřovacích pravomocí.

7        Doba zpracování osobních údajů

Provozovatel bude zpracovávat osobní údaje pouze po dobu, která je nezbytná vzhledem k účelu jejich zpracování. Zánikem jednoho z právních základů pro zpracování osobních údajů není dotčeno zpracování osobních údajů (v nezbytném rozsahu) na základě jiného právního základu (a za příslušným účelem).

7.1         Plnění kupní smlouvy

Za tímto účelem bude Provozovatel zpracovávat osobní údaje po dobu trvání závazku z kupní smlouvy, maximálně však do 30 dnů ode dne doručení koupeného zboží zákazníkovi.

7.2         Plnění právních povinností Provozovatele

Za tímto účelem bude Provozovatel zpracovávat osobní údaje po dobu trvání příslušné právní povinnosti, stanovené obecně závaznými právními předpisy (např. daňové doklady, na kterých jsou uvedeny osobní údaje zákazníků, musí Provozovatel uchovávat po dobu 10 let).

7.3         Oprávněné zájmy

Za účelem přímého marketingu bude Provozovatel zpracovávat osobní údaje do doby vyjádření nesouhlasu s takovým zpracováním, nejdéle však po dobu 5 let od posledního nákupu v internetovém obchodu (blíže viz odst. 5.3 těchto zásad).

Za účelem evidence zákazníků, jejich objednávek a případných reklamací bude Provozovatel zpracovávat osobní údaje po dobu 5 let od posledního nákupu v internetovém obchodu.

Za účelem vedení tzv. blacklistu bude Provozovatel zpracovávat osobní údaje po dobu 5 let od posledního nákupu v internetovém obchodu.

Za účelem určení, výkonu nebo obhajoby právních nároků bude Provozovatel zpracovávat osobní údaje po dobu existence příslušného právního nároku, maximálně však po dobu 1 roku po uplynutí promlčecí lhůty dle obecně závazných právních předpisů. V případě zahájení a trvání soudního, správního nebo jakéhokoli jiného řízení, ve kterém budou řešeny práva či povinnosti vyplývající z příslušného právního nároku, neskončí doba zpracování osobních údajů k tomuto účelu před pravomocným skončením takového řízení.

7.4         Souhlas subjektů údajů

Za účelem přímého marketingu bude Provozovatel zpracovávat osobní údaje do okamžiku odvolání souhlasu se zpracováním osobních údajů (blíže viz čl. 4 těchto zásad), nebo vyjádření nesouhlasu s takovým zpracováním (blíže viz odst. 5.3 těchto zásad).

Za účelem zřízení a vedení zákaznického účtu bude Správce zpracovávat osobní údaje do okamžiku zrušení zákaznického účtu (blíže viz čl. 9 těchto zásad).

8        Práva subjektů údajů

Každý subjekt údajů má, mimo jiné, tato práva:

  • právo na přístup k osobním údajům (za podmínek čl. 15 GDPR)
  • právo na opravu osobních údajů (za podmínek čl. 16 GDPR)
  • právo na výmaz osobních údajů (za podmínek čl. 17 GDPR)
  • právo na omezení zpracování osobních údajů (za podmínek čl. 18 GDPR)
  • právo vznést námitku proti zpracování (za podmínek čl. 21 GDPR)
  • právo na přenositelnost osobních údajů (za podmínek čl. 20 GDPR)
  • právo podat stížnost u dozorového orgánu (Úřadu pro ochranu osobních údajů)
  • právo odvolat souhlas se zpracováním osobních údajů (blíže viz čl. 4 těchto zásad)

9        Zákaznický účet

9.1         Zřízení zákaznického účtu

Zřízení zákaznického účtu je zcela dobrovolné. Provozovatel umožňuje provedení nákupu v internetovém obchodu i bez zřízení zákaznického účtu (tzv. bez registrace).

Aby Provozovatel mohl uchovávat osobní údaje vložené do formuláře pro zřízení a vedení zákaznického účtu (či kdykoli později do zákaznického účtu), potřebuje k tomu souhlas se zpracováním osobních údajů (blíže viz čl. 4 těchto zásad).

Do okamžiku, než potenciální zákazník uzavře s Provozovatelem kupní smlouvu (tj. do doby, než se stane zákazníkem), a následně po splnění všech povinností z uzavřené kupní smlouvy nebude Provozovatel nakládat s osobními údaji jinak než pro účely vedení zákaznického účtu; tím však není dotčena možnost Provozovatele zpracovávat osobní údaje na základě jiných právních základů a za příslušným účelem.

9.2         Zrušení zákaznického účtu

Zákaznický účet lze kdykoli zrušit, a to na základě žádosti o zrušení zákaznického účtu zaslané na některou z kontaktních adres uvedených v čl. 2 výše (zejména tedy na e-mailovou adresu info@girlswithoutclothes.cz).  

Bez ohledu na výše uvedené Provozovatel zruší zákaznický účet nejpozději do 5 let od posledního nákupu zákazníka v internetovém obchodu. V případě, že k nákupu v internetovém obchodu nikdy nedojde, Provozovatel zruší zákaznický účet do 5 let od jeho zřízení.

10      Další informace o zpracování osobních údajů

V případě dotazů ohledně zpracování osobních údajů či v případě uplatnění práv subjektu údajů uvedených v čl. 8 těchto zásad lze Provozovatele kontaktovat prostřednictvím některé z kontaktních adres uvedených v čl. 2 těchto zásad.

Obecné informace o zpracování osobních údajů lze nalézt též na internetových stránkách Úřadu pro ochranu osobních údajů dostupných na www.uoou.cz.

Tyto zásady nabývají účinnosti dnem 7.8. 2018.