Ochrana osobních údajů

Ochrana osobních údajů v e-shopu
Ochrana osobních údajů v e-shopu VitalSupport
I. Úvod
1. Účelem tohoto dokumentu Ochrana osobních údajů v e-shopu VitalSupport (dále jen „zásady“) je podrobné vysvětlení podmínek zpracování osobních údajů, k němuž dochází ze strany společnosti FAVEA Plus a.s., IČ: 272 77 054, se sídlem Slezská 949/32, 120 00 Praha 2, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 11262 (dále jen „správce“), při provozování e-shopu VitalSupportu místěného na stránkách www.vitalsupport.cz (dále jen „e-shop“). Správce určuje účel a prostředky zpracování osobních údajů v e-shopu.
2. Při provozování e-shopu jsou zpracovávány osobní údaje zákazníka, který je fyzickou osobou a který provede v e-shopu nákup či rezervaci zboží (dále také jen „zákazník“ či „subjekt“). Osobním údajem je jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt se považuje za určený nebo určitelný, jestliže lze subjekt přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu; osobním údajem je například jméno, příjmení, e-mail, mobilní telefon; osobním údajem může ve spojení s dalším osobním údajem být i údaj o nákupní preferenci (společně dále jen „osobní údaj“ či „údaj“).
3. Osobní údaje subjektu jsou zpracovávány v souladu s těmito zásadami. Zpracováním osobních údajů je jakákoliv operace nebo soustava operací prováděná s osobními údaji automatizovaně nebo manuálně, prostředky výpočetní techniky i jinými prostředky, a to zejména shromažďování, ukládání na nosiče informací,
zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, uchovávání, třídění nebo kombinování, blokování a likvidace (dále jen „zpracování“).
4. Subjekt je povinen si tyto zásady pečlivě prostudovat dříve, než provede nákup zboží v e-shopu (nákup dále také jen „transakce“) či než udělí souhlas se zpracováním. V případě, že subjekt kterémukoliv bodu nebo podmínce dle těchto zásad nerozumí, může se obrátit na správce na kontaktech uvedených níže.
5. K ochraně poskytnutých osobních údajů přistupuje správce s vysokou pečlivostí. Osobní údaje jsou správcem zpracovávány transparentně a v souladu s příslušnou účinnou právní úpravou.
6. Správce zásadně shromažďuje jen ty osobní údaje, které skutečně potřebuje ke stanovenému účelu. Správce vše činí tak, aby průběžně hodnotil zpracování, ať již z hlediska náležitého zabezpečení, minimalizace osobních údajů, tak i z hlediska transparentnosti, korektnosti a zákonnosti. Správce dodržuje zásadu odpovědnosti, integrity, důvěrnosti, přesnosti a omezení uložení.
7. Správce při provozování e-shopu nezpracovává zvláštní kategorie osobních údajů,
jimiž jsou údaje vypovídající o rasovém nebo etnickém původu, politických názorech,
členství v odborech, náboženském vyznání či filozofickém přesvědčení, zdravotním
stavu, sexuálním životě či sexuální orientaci subjektu. V rámci provozování e-shopu
jsou sice zpracovávány mimo jiné i údaje o léčivých přípravcích, zdravotnických
prostředcích a potravinách pro zvláštní lékařské účely (společně dále jen
„přípravek“), které si zákazník objednal, tyto údaje však nevypovídají o zdravotním
stavu zákazníka, protože správcem není zjišťováno, pro koho je daný přípravek určen
a ani k takovému zjištění nelze při zpracování údajů pro daný účel dojít. Pokud
například zákazník objedná v e-shopu přípravek, který je určen pro jeho rodinného
příslušníka, objednávka bude správcem zaznamenána s údaji zákazníka, který ji
učinil, tato skutečnost nicméně nevypovídá o zdravotním stavu tohoto zákazníka.
8. Tyto zásady jsou platné a účinné od 24. 05. 2018. Správce je oprávněn v případě
potřeby zásady změnit, avšak toto nemá dopad na podmínky již odsouhlaseného
zpracování. Při užívání e-shopu je subjekt povinen znění zásad pravidelně
kontrolovat.
II. Kontaktní údaje správce
1. Kontaktní údaje správce jsou následující:
info@vitalsupport.cz
+420 261 341 106 (volání je zpoplatněno dle ceníku příslušného operátora)
+420 725 887 084
FAVEA Plus a.s., IČ: 272 77 054, se sídlem Slezská 949/32, 120 00 Praha 2,
zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka
11262
III. Zpracovávané osobní údaje, právní základ, účely a doba zpracování
1. Nákup zboží
 Za účelem přijetí objednávky, uzavření a plnění kupní smlouvy se zákazníkem
správce zpracovává osobní údaje zákazníka v následujícím rozsahu:
o jméno, příjmení, telefonní číslo a e-mailová adresa zákazníka;
o údaje o objednaném zboží (druh, množství, cena);
o údaj o zvolené platební metodě;
o údaj o zvoleném způsobu dodání zboží;
o fakturační adresa (ulice, číslo popisné, město PSČ);
o dodací adresa, pokud je zboží zasíláno na adresu určenou zákazníkem a tato
adresa se liší od fakturační adresy;
o údaj o místě, kde si zákazník přeje zboží vyzvednout, pokud zákazník zvolí
možnost osobního odběru;
o údaj o firmě, IČ a DIČ, pokud ho zákazník uvede;
o případná poznámka k objednávce, pokud ji zákazník uvede;
o údaj o komunikaci mezi správcem a zákazníkem související s nákupem.
 Poskytnutí a zpracování těchto osobních údajů je nezbytné pro naplnění výše
uvedeného účelu. Zpracování osobních údajů je současně nutné pro provedení
opatření přijatých před uzavřením smlouvy a pro plnění smlouvy uzavřené mezi
zákazníkem a správcem, pro plnění povinností správce vyplývajících z právních
předpisů, a to zejména z předpisů upravujících poskytování zdravotních služeb,
zacházení s léčivy a ochranu spotřebitele, a rovněž pro ochranu oprávněných zájmů
správce z důvodu prokázání souladu při kontrolách ze strany orgánů dozoru a pro
obhajobu a výkon práv správce.
 Údaje uvedené v tomto odstavci III. 1. správce zpracovává po dobu 5 let od uzavření
kupní smlouvy. Daňové doklady, které mohou obsahovat osobní údaje, se pak
uchovávají po dobu 10 let od konce zdaňovacího období, ve kterém se plnění
uskutečnilo.
2. Reklamace a odstoupení od smlouvy
 Za účelem vyřízení reklamace zákazníka správce zpracovává osobní údaje
zákazníka v následujícím rozsahu:
o jméno a příjmení zákazníka;
o kontaktní údaje zákazníka (adresa bydliště, e-mailová adresa a/nebo telefonní
číslo);
o údaj o reklamovaném zboží, včetně pořizovací ceny zboží a data prodeje
zboží;
o údaj o důvodech reklamace a požadavku zákazníka na způsob vyřízení
reklamace;
o údaj o datu, kdy byla reklamace vyřízena, a o způsobu jejího vyřízení.
 Pokud zákazník odstoupí od smlouvy uzavřené se správcem, správce za účelem
vyřízení souvisejících úkonů zpracovává osobní údaje zákazníka
v následujícím rozsahu:
o jméno a příjmení zákazníka;
o údaj o zboží, kterého se odstoupení týká, včetně pořizovací ceny zboží a data
prodeje zboží;
o údaj o způsobu vrácení peněz zákazníkovi.
3. Marketing
 Pokud zákazník udělí správci souhlas se zpracováním jeho osobních údajů pro
marketingové účely, správce zákazníka oslovuje s nabídkami slev, výhod či jiných
akcí a s informacemi o produktech a službách správce či jiných osob, přičemž tyto
nabídky a informace jsou přizpůsobovány individuálním zájmům zákazníka. Toto
oslovování je prováděno zejména formou zasílání profilovaných obchodních sdělení
elektronickými prostředky (telefon, e-mailová adresa), mohou však být využity i jiné
způsoby (např. personalizace stránek).
 V rámci stanoveného účelu budou správcem prováděny zejména následující operace
(činnosti) zpracování vedoucí k danému účelu:
o evidence zákazníků, kteří dali souhlas se zpracováním dle tohoto odstavce
III.4.;
o segmentace pro zasílání vhodných nabídek;
o segmentace pro zasílání vhodných informací;
o provádění průzkumu a vyhodnocení trhu a nákupních zvyklostí zákazníků;
o personalizace stránek www. vitalsupport.cz;
o zasílání obchodních sdělení profilovaných podle preferencí zákazníka;
o zasílání informací z oblasti zdraví, kosmetiky a péče o tělo, včetně pozvánek
na vzdělávací akce a návrhů na doplňkové služby;
o zasílání tzv. transakčních sdělení týkajících se uděleného souhlasu, možnosti
zapojení se do rozšířených programů správce.
 Pro naplnění výše uvedeného účelu je správcem prováděno profilování (segmentace
zejména dle údajů o transakcích prováděných zákazníkem v e-shopu, dle jeho
preferencí a dle způsobu, jakým užívá stránky www.vitalsupport.cz), a to za účelem
výběru vhodných nabídek ze strany správce a pro zajištění lepšího uživatelského
komfortu a plné funkcionality stránek.
 Osobní údaje zákazníka jsou zpracovávány v rozsahu nezbytném ke splnění výše
uvedeného účelu, a to v následujícím rozsahu:
o údaje zjištěné na základě transakcí uskutečněných zákazníkem v e-shopu
(výčet v odstavcích III.1. a III.2);
o údaje o užívání stránek www.vitalsupport.cz;
o údaje o on-line identifikátorech (např. IP adresa, MAC adresa, otisk zařízení či
prohlížeče);
o údaje o využívání nabídek a informací zasílaných správcem;
o údaje o účasti v soutěžích a akcích správce;
o údaje z průzkumů a anket správce.
 Právním základem zpracování je informovaný a dobrovolný souhlas zákazníka, který
je udělován správci pro výše uvedený účel. Zákazník je oprávněn tento souhlas
kdykoliv odvolat (blíže viz čl. V. těchto zásad).
 Zákazník není povinen osobní údaje správci pro tento účel poskytovat a udělovat
souhlas. Pokud zákazník souhlas neudělí či udělený souhlas odvolá, nebude ze
strany správce marketingově oslovován. Udělení souhlasu není nutné pro provedení
transakce v e-shopu.
 Osobní údaje zákazníka budou pro výše uvedený účel zpracovávány do doby, než
zákazník odvolá souhlas, který správci udělil, nejdéle však po dobu 3 let od poslední
transakce, kterou zákazník v e-shopu provedl.
 Osobní údaje zákazníka jsou po odvolání souhlasu uchovávány na základě
oprávněného zájmu správce z důvodu prokázání souladu při kontrolách ze strany
orgánů dozoru a pro obhajobu a výkon práv správce, a to pouze v omezeném
nezbytném rozsahu po dobu nezbytně nutnou.
IV. Způsob zpracování, zpracovatelé a příjemci
1. Osobní údaje budou zpracovávány automatizovaným i manuálním způsobem
vlastními zaměstnanci správce nebo osobami v postavení zpracovatelů, které
správce zpracováním osobních údajů pověřil a s nimiž uzavřel příslušné smlouvy o
zpracování osobních údajů (taková osoba dále jen „zpracovatel“). Zpracování bude
prováděno rovněž prostředky výpočetní techniky.
2. Subjekt bere na vědomí, že správce využívá ke splnění daného účelu zpracovatele,
kteří mají přístup k nezbytnému rozsahu osobních údajů subjektu pro splnění svého
úkolu. Jedná se o zpracovatele zejména z následujících kategorií:
 osoby provádějící účetnictví, audit, právní služby;
 osoby poskytující IT služby;
 osoby zabývající se marketingem;
 osoby zabývající se zpracováním tištěných materiálů;
 osoby zabývající se vývojem, prodejem a servisem lékárenských systémů;
 osoby zabývající se vývojem a implementací podnikových systémů;
 osoby zabývající se vývojem webových a mobilních aplikací;
 osoby zabývající se on-line komunikací, včetně komunikace na sociálních sítích;
 osoby zabývající se zjišťováním zákaznické spokojenosti.
3. Osobní údaje mohou být rovněž poskytnuty orgánům veřejné moci oprávněným
získávat osobní údaje dle příslušných právních předpisů. Zpracování osobních údajů
těmito orgány veřejné moci musí být v souladu s použitelnými pravidly ochrany údajů
pro daný účel zpracování.
V. Uplatnění práv, odvolání souhlasu
1. Veškeré dotazy, poznámky či žádosti týkající se zpracování osobních údajů, a to
včetně odvolání souhlasu se zpracováním osobních údajů, může subjekt směřovat na
kontakty správce uvedené v čl. II odst. 1 těchto zásad.
2. O ukončení zasílání obchodních sdělení elektronickými prostředky může subjekt
požádat též způsobem uvedeným v každém jednotlivém obchodním sdělení.
3. Žádost, dotaz, odvolání souhlasu, uplatnění práva, požadavek na přístup či jiný
požadavek subjektu bude po přijetí správcem zpracován bez zbytečného odkladu, v
odůvodněných případech nejdéle do 1 měsíce. Tuto lhůtu je možné v případě potřeby
a s ohledem na složitost a počet žádostí prodloužit o další 2 měsíce. Odvolání
souhlasu k zasílání obchodních sdělení prostřednictvím elektronických kontaktů
(telefon, e-mailová adresa) bude vyřízeno bez zbytečného prodlení, nejpozději do 7
kalendářních dní.
4. V případě potřeby mohou být při vyřizování požadavků dle tohoto článku V. zásad ze
strany správce vyžadovány dodatečné informace pro přiřazení osoby ke konkrétnímu
subjektu. V odůvodněných případech, pro ochranu práv subjektů, může být
požadována kontrola/ověření identifikace osoby žadatele.
5. Orgánem dozoru pro zpracování osobních údajů je Úřad pro ochranu osobních údajů,
jehož kontaktní údaje jsou uvedeny na www.uoou.cz. Subjekt je oprávněn podat
stížnost k orgánu dozoru.
VI. Podrobné poučení o právech
1. Právo na přístup
 Subjekt má právo získat od správce potvrzení, zda jsou jeho osobní údaje
zpracovávány, a pokud ano, má právo požadovat informaci o účelu, kategoriích,
zdroji, příjemcích, době zpracování, existenci práva na opravu, výmaz, omezení,
námitky a podání stížnosti u dozorového úřadu.
 Správce má nastavena opatření, aby každému subjektu poskytl veškeré informace a
sdělení o zpracování. Správce informace poskytne elektronicky, popřípadě písemně.
 Správce neodmítne vyhovět žádosti subjektu při výkonu práv subjektu, ledaže
nemůže věrohodně zjistit totožnost subjektu údajů, k němuž se dotčené údaje
vztahují.
 Veškeré informace, sdělení a úkony jsou udělovány bezplatně. Pokud jsou žádosti
podané subjektem vyhodnocené jako zjevně nedůvodné nebo nepřiměřené, a
zejména pokud se opakují, může správce buď: (i) uložit přiměřený poplatek
zohledňující administrativní náklady spojené s poskytnutím požadovaných informací,
sdělení nebo s učiněním požadovaných úkonů, nebo (ii) odmítnout žádosti vyhovět.
 Pokud má správce důvodné pochybnosti o totožnosti fyzické osoby, která podává
žádost, může požádat o poskytnutí dodatečných informací nezbytných k potvrzení
subjektu.
2. Právo na opravu
 Subjekt má právo na to, aby správce bez zbytečného odkladu opravil nepřesné
osobní údaje, které se subjektu týkají.
 S přihlédnutím k účelům zpracování má subjekt také právo na doplnění neúplných
osobních údajů, a to i poskytnutím dodatečného prohlášení.
3. Právo na výmaz („právo být zapomenut“)
 Subjekt má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje,
které se subjektu týkají, a správce má povinnost osobní údaje bez zbytečného
odkladu vymazat, pokud je dán jeden z těchto důvodů:
o osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo
jinak zpracovány;
o subjekt odvolá souhlas, na jehož základě byly údaje zpracovávány, a
neexistuje žádný další právní důvod pro zpracování;
o subjekt vznese námitky proti zpracování (podle níže uvedeného „Práva vznést
námitku“) a neexistují žádné převažující oprávněné důvody pro zpracování;
o osobní údaje byly zpracovány protiprávně;
o osobní údaje musí být vymazány ke splnění právní povinnosti stanovené v
právu Evropské unie nebo členského státu, které se na správce vztahuje;
o osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační
společnosti v případě osoby mladší 16 let, u níž musí ke zpracování dle
účinné právní úpravy dát souhlas osoba vykonávající rodičovskou
zodpovědnost.
 Výše uvedené se neuplatní, pokud je zpracování nezbytné:
o pro výkon práva na svobodu projevu a informace;
o pro splnění právní povinnosti, jež vyžaduje zpracování podle právních
předpisů, nebo pro splnění úkolu provedeného ve veřejném zájmu nebo při
výkonu veřejné moci, kterým je správce pověřen;
o z důvodů veřejného zájmu v oblasti veřejného zdraví;
o pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického
výzkumu či pro statistické účely, pokud je pravděpodobné, že by výše
uvedené právo znemožnilo nebo vážně ohrozilo splnění cílů uvedeného
zpracování;
o pro určení, výkon nebo obhajobu právních nároků.
4. Právo na omezení zpracování
 Subjekt má právo na to, aby správce omezil zpracování, v kterémkoli z těchto
případů:
o pokud subjekt popírá přesnost osobních údajů, a to na dobu potřebnou k
tomu, aby správce mohl přesnost osobních údajů ověřit;
o zpracování je protiprávní a subjekt odmítá výmaz osobních údajů a žádá
místo toho o omezení jejich použití;
o správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt je
požaduje pro určení, výkon nebo obhajobu právních nároků;
o pokud subjekt vznesl námitku proti zpracování, dokud nebude ověřeno, zda
oprávněné důvody správce převažují nad oprávněnými důvody subjektu.
 Pokud bylo zpracování omezeno dle výše uvedeného „Práva na omezení
zpracování“, mohou být tyto osobní údaje, s výjimkou jejich uložení, zpracovány
pouze se souhlasem subjektu, nebo z důvodu určení, výkonu nebo obhajoby
právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z
důvodů důležitého veřejného zájmu Evropské unie nebo některého členského státu.
5. Právo na přenositelnost údajů
 Subjekt má právo získat osobní údaje, které se jej týkají, které sdělil správci, ve
strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto
údaje jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty,
bránil, a to v případě, že:
o zpracování je založeno na souhlasu nebo na smlouvě; nebo
o zpracování se provádí automatizovaně.
 Předmětem „Práva na přenositelnost“ nejsou data získaná činností správce.
 Při výkonu svého práva na přenositelnost údajů má subjekt právo na to, aby osobní
údaje byly předány přímo správcem správci druhému, je-li to technicky proveditelné.
 Výkonem výše uvedeného „Práva na přenositelnost údajů“ není dotčeno výše
uvedené „Právo na výmaz“.
 Výše uvedeným „Právem na přenositelnost údajů“ nesmí být nepříznivě dotčena
práva a svobody jiných osob.
6. Právo vznést námitku
 Z důvodů týkajících se konkrétní situace subjektu, má subjekt právo kdykoli vznést
námitku proti zpracování osobních údajů, které se jej týkají a které jsou zpracovávány
na základě právního důvodu spočívajícím v oprávněném zájmu správce.
 Pokud jsou osobní údaje zpracovány pro účely přímého marketingu (za základě
oprávněného zájmu), má subjekt právo vznést kdykoli námitku proti zpracování
osobních údajů, které se jej týkají, k takovému účelu, což zahrnuje i profilování,
pokud se týká přímého marketingu. Pokud vznese subjekt námitku proti zpracování
pro účely přímého marketingu, nebudou již osobní údaje pro tyto účely zpracovávány.
 Pokud jsou osobní údaje zpracovávány pro účely obrany proti nárokům subjektu,
vymáhání pohledávek správce, k doložení souladu při provádění kontroly ze strany
orgánu dozoru, má subjekt právo vznést kdykoliv námitku. Správce na základě této
námitky přezkoumá zpracování a osobní údaje dále nezpracovává, pokud nebudou
existovat závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo
právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních
nároků.
7. Automatizované individuální rozhodování, včetně profilování
 Subjekt má právo nebýt předmětem žádného rozhodnutí založeného výhradně na
automatizovaném zpracování, včetně profilování, které má pro subjekt právní účinky
nebo se jej obdobným způsobem významně dotýká.
 Profilování, které je správcem prováděno, nemá pro subjekt právní účinky, ani se jej
významně nedotýká.