Ochrana osobních údajů a Zpracovatelská smlouva

Část první:

Ochrana osobních údajů

1.      Základní ustanovení

 

1.1.        Poskytovatel, společnost FineSolution s.r.o. IČ: 24301230, DIČ: CZ24301230 se sídlem Pod Táborem 54/10, 190 00 Praha 9, je správcem osobních údajů podle čl. 4 bod 7 nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů ve spojení s poskytováním služby FineEshop a o volném pohybu těchto údajů (dále jen: „GDPR”)

1.2.     Osobními údaji se rozumí veškeré údaje o identifikované nebo identifikovatelné fyzické osobě (občanovi). Identifikovatelnou osobou je občan, kterého lze přímo nebo nepřímo identifikovat zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

1.3.        Poskytovatel nejmenoval pověřence pro ochranu osobních údajů.

1.4.        Poskytovatel se zavazuje zpracovávat osobní údaje v souladu s platnými právními předpisy.

 

 

2.      Zdroje a kategorie zpracovávaných osobních údajů

 

2.1.      Poskytovatel zpracovává osobní údaje, které mu uživatel poskytl na základě vyplnění a odeslání objednávkového formuláře. Jedná se o identifikační a kontaktní údaje uživatele, nezbytně nutné pro zřízení a poskytování předmětu smlouvy (jméno, příjmení, adresu trvalého pobytu, a dále telefonický a e-mailový kontakt).

2.2.       Další kategorie údajů, získává Poskytovatel na základě souborů cookies, služby Google Analytics či jiných signálů sledování v okamžiku, kdy se Uživatel nachází na webu www.fineeshop.cz.  Procházením webu Uživatel souhlasí s použitím zmíněné technologie.

2.3.        Ve většině případů dochází k automatickému zpracování osobních údajů. V jednotlivých případech (zejména má-li Uživatel dotaz k produktu, či při řešení problémů) může Poskytovatel osobní údaje Uživatele zpracovat i manuálně. V souvislosti s využíváním služeb Google Analytics (pro statistické účely návštěvnosti webu) a při ukládání souborů typu cookies dochází vždy k automatickému zpracování osobních údajů.

 

3.      Zákonný důvod a účel zpracování osobních údajů

 

3.1.        Zákonným důvodem zpracování osobních údajů je plnění smlouvy mezi Poskytovatelem a Uživatelem podle čl. 6 odst. 1 písm. b) GDPR, plnění právní povinnosti správce dle čl. 6 odst. 1 písm. c) GDPR a oprávněný zájem Poskytovatele dle čl. 6 odst. 1 písm. f) GDPR. Oprávněným zájmem Poskytovatele je zpracování osobních údajů pro účely přímého marketingu.

3.2.        Účelem zpracování osobních údajů je vyřízení objednávky uživatele a výkon práv a povinností vyplývajících ze smluvního vztahu mezi Poskytovatelem a Uživatelem. Účelem zpracování osobních údajů je dále zasílání obchodních sdělení a činění dalších marketingových aktivit.

3.3.        Uživatel má právo vznést námitku proti zpracování údajů, které byly zpracovány z titulu oprávněných zájmů správce podle čl. 6 odst. 1 písm. f) nařízení Evropského parlamentu a Rady (EU) č. 2016/679.

3.4.        Ze strany správce nedochází k automatickému individuálnímu rozhodování ve smyslu čl. 22 GDPR

 

4. Doba uchovávání údajů

 

Poskytovatel uchovává osobní údaje Uživatele po dobu, která je nezbytně nutná k plnění smlouvy a dále pak po dobu 10 let od vložení do systému za účelem obrany práv a povinností Poskytovatele. Po uplynutí doby uchovávání osobních údajů Poskytovatel osobní údaje vymaže.

 

5. Příjemci osobních údajů (subdodavatelé Poskytovatele)

 

Poskytovatel využívá pro provoz e-shopového řešení subdodavatele, a sice poskytovatele hostingu. Subdodavatel zajišťující hostingové služby uzavřel s Poskytovatelem zpracovatelskou smlouvu a zavázal se k přijmutí technických a organizačních opatření k zajištění ochrany osobních údajů v souladu s GDPR a těmito podmínkami.

Poskytovatel využívá služeb společnosti Smartsupp.com s.r.o. sídlo Milady Horákové 13, 602 00 Brno IČO: 03668681 DIČ CZ03668681. Správce uzavřel s společností Smartsupp smlouvu o zpracování osobních údajů. Společnost Smartsupp.com s.r.o. se zavazuje, že osobní údaje mohou být využity pouze pro účely řádného fungování služby Smartsupp, přímé komunikace se Správcem a pro statistické potřeby poskytovatele.

 

6. Práva Uživatele

 

Podle podmínek stanovených v GDPR má Uživatel:

-          právo na přístup ke svým osobním údajům dle čl. 15 GDPR,

-          právo na opravu osobních údajů dle čl. 16 GDPR, popřípadě omezení zpracování dle čl. 18 GDPR,

-          právo na výmaz osobních údajů dle čl. 17 GDPR,

-          právo vznést námitku proti zpracování dle čl. 21 GDPR,

-          právo na přenositelnost údajů dle čl. 20 GDPR,

-          právo odvolat souhlas se zpracováním písemně na adresu Poskytovatele, nebo elektronicky na email info@fineeshop.cz

Uživatel má dále právo podat stížnost u dozorového úřadu – Úřadu pro ochranu osobních údajů, pokud se domnívá, že bylo porušeno právo na ochranu osobních údajů.

 

7. Zabezpečení osobních údajů

 

7.1. Poskytovatel se zavazuje provést technická a organizační opatření k zajištění ochrany osobních údajů v souladu s GDPR a jinými právními předpisy.

7.2. Přístup k osobním údajům mají pouze oprávněné osoby Poskytovatele a jeho subdodavatelů.

 

8. Závěrečná ustanovení

 

8.1.        Poskytnutí osobních údajů je nutným požadavkem pro uzavření a plnění smlouvy, bez poskytnutí osobních údajů není možné smlouvu uzavřít či jí ze strany Poskytovatele plnit.

8.2.      Odesláním objednávky potvrzuje Uživatel, že je seznámen se zásadami ochrany osobních údajů, souhlasí s jejich zněním a akceptuje je v celém rozsahu.

8.3.        Uživatel dále potvrzuje, že souhlasí s použitím svých osobních údajů k elektronickému zasílání obchodních sdělení a reklamních materiálů (e-mailové zpravodaje, obchodní nabídky a další informace) ze strany Poskytovatele.  Tento souhlas může Uživatel kdykoliv písemně odvolat na adrese info@fineeshop.cz.

8.4.       Uživatel potvrzuje, že poskytnuté osobní údaje jsou přesné a byl poučen o tom, že se jedná o dobrovolné poskytnutí osobních údajů.

 

 

Část druhá:

Zpracovatelská smlouva

 

1. Základní ustanovení

 

Zpracovatelská smlouva upravuje práva a povinnosti mezi Poskytovatelem a Uživatelem služby FineEshop. Poskytovatel je dle podmínek stanovených v GDPR zpracovatelem osobních údajů klientů. Uživatel je správcem osobních údajů.

Smluvní strany uzavřely licenční smlouvu formou souhlasu Uživatele s všeobecnými obchodními podmínkami služby FineEshop umístěnými na webových stránkách www.fineeshop.cz.

V rámci plnění licenční smlouvy získal Poskytovatel přístup k osobním údajům klientů Uživatele.

Smluvní strany uzavírají tuto smlouvu za účelem ochrany fyzických osob v souvislosti se zpracováním jejich osobních údajů s ohledem na ustanovení čl. 8 odst. 1 Listiny základních práv Evropské unie a čl. 16 odst. 1 Smlouvy o fungování Evropské unie. Smluvní strany jsou povinny usilovat o tento cíl společnými silami.

 

2. Práva a povinnosti stran

 

2.1. Poskytovatel zpracovává osobní údaje pouze pro účely správce, tedy provoz e-shopového řešení FineEshop formou licenční smlouvy. Ze strany Poskytovatele dochází k automatickému zpracování osobních údajů.

2.2. Poskytovatel se zavazuje, že osobní údaje klientů uživatele nezpřístupní ani nepoužije žádné další informace, které v souvislosti se zpracováním osobních údajů získal.

2.3. Poskytovatel se zavazuje zpracovávat osobní údaje klientů Uživatele po dobu, která je nezbytně nutná pro plnění licenční smlouvy mezi Poskytovatelem a Uživatelem a dále pak do doby, po kterou z tohoto smluvního vztahu mohou plynout právní spory, konkrétně po dobu 10 let od ukončení smluvního vztahu.

 

3. Zapojení dalšího zpracovatele

 

3.1. Uživatel uděluje svolení, zapojit subdodavatele coby dalšího zpracovatele osobních údajů podle čl. 28 odst. 2 GDPR. Subdodavatelem je poskytovatel hostingu aplikace FineEshop a další dle článku 5. Ochrany osobních údajů. Dále Uživatel uděluje Poskytovateli obecné svolení zapojit do zpracování osobních údajů dalšího zpracovatele. Poskytovatel však musí Uživatele informovat písemně o všech zamýšlených změnách, které se týkají přijetí nových, či nahrazení stávajících zpracovatelů. Uživatel má možnost vyslovit vůči těmto změnám námitku.

3.2. Zapojí-li Poskytovatel dalšího subdodavatele, aby jménem Uživatele provedl určité činnosti zpracování, uloží Poskytovatel subdodavateli na základě smlouvy stejné povinnosti na ochranu údajů, jaké jsou uvedeny v těchto podmínkách. Jde zejména o poskytnutí dostatečných záruk, pokud jde o zavedení vhodných technických a organizačních opatření tak, aby zpracování splňovalo požadavky stanovené GDPR.

 

4. Zabezpečení osobních údajů

 

4.1. Poskytovatel se zavazuje přijmout taková technická a organizační opatření, aby nemohlo dojít k porušení zabezpečení osobních údajů ve smyslu čl. 4 odst. 12 GDPR, tj. aby nedošlo k neoprávněnému či nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů.

4.2. Poskytovatel se zavazuje provést technická a organizační opatření k zajištění ochrany osobních údajů v souladu s GDPR a jinými právními předpisy. Úroveň zabezpečení odpovídá danému riziku. Poskytovatel zajišťuje:

a)   neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování;

b) včasné obnovení dostupnosti osobních údajů a přístupu k nim v případě fyzických či technických incidentů;

4.3. Ochrana osobních údajů podléhá interním bezpečnostním předpisům Uživatele. Přístup k osobním údajům mají pouze oprávněné osoby Poskytovatele a jeho subdodavatelů podle čl. 3.1. těchto podmínek. Oprávněné osoby zpracovávají osobní údaje pouze v rozsahu a za podmínek stanovených Poskytovatelem. Každá osoba přistupuje k osobním údajům pod svým specifickým identifikátorem.

4.4. Poskytovatel se zavazuje, že oprávněné osoby, které pověří zpracováním osobních údajů na základě těchto podmínek, budou zpracovávat osobní údaje pouze za podmínek a v rozsahu stanoveném Poskytovatelem. Osoby budou zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů, a to i po skončení zaměstnání či jiných pracovněprávních vztahů k Poskytovateli.

 

5. Součinnost správce a zpracovatele

 

5.1. Poskytovatel bude Uživateli nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů.

5.2. Poskytovatel bude dále nápomocen Uživateli při zajišťování souladu s povinnostmi podle článků 32 až 36 GDPR, a to při zohlednění povahy zpracování a informací, jež má Poskytovatel k dispozici.

5.3. Poskytovatel se zavazuje poskytnout Uživateli veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené těmito podmínkami, GDPR nebo jiným právním předpisem, a umožnit audity, včetně inspekcí, prováděné Uživatelem nebo jiným auditorem, kterého Uživatel pověřil.

5.4. Každá ze stran má povinnost bez prodlení informovat druhou stranu o všech skutečnostech, které mohou mít nepříznivý vliv na plnění závazků vyplývajících z těchto podmínek. Smluvní strany se dále zavazují poskytnout si vzájemně veškerou součinnost potřebnou k plnění těchto podmínek.

 

6. Závěrečná ustanovení

 

6.1. Tyto smluvní podmínky platí na dobu určitou, a to na dobu spojenou se zpracováním osobních údajů, dle čl. 2.3 těchto podmínek. Po ukončení této doby je Poskytovatel povinen všechny osobní údaje vymazat, nebo je vrátit Uživateli, pokud české nebo evropské právo nepožaduje uložení daných osobních údajů.

6.2. Uživatel souhlasí s těmito podmínkami udělením souhlasu prostřednictvím internetového formuláře. Zaškrtnutím souhlasu potvrzuje Uživatel, že je seznámen s těmito podmínkami, souhlasí s jejich zněním a akceptuje je v celém rozsahu.

6.3. Poskytovatel je oprávněn změnit tyto podmínky a bez zbytečného odkladu zveřejnit novou verzi na internetových stránkách www.fineeshop.cz

6.4. Kontaktní údaje Poskytovatele ve věcech týkajících se těchto podmínek: info@fineeshop.cz.

6.5. Vztahy těmito podmínkami výslovně neupravené se řídí GDPR a právním řádem České republiky, zejména zákonem č. 89/2012 Sb., občanský zákoník, v platném znění.

 

Tyto podmínky jsou platné a účinné ke dni 25.5.2018.