Ochrana osobních údajů

Informace provozovatele
k zpracování osobních údajů podle Dotčených osob - zákazníků

podle ustanovení čl. 13 Nařízení Evropského parlamentu a Rady (EU) 2016/679 z 27. dubna 2016 o ochraně fyzických osob při zpracování osobních údajů a o volném pohybu takovýchto údajů, kterým se ruší směrnice 95/46/ES (všeobecné nařízení o ochraně údajů), (dále jen „Nařízení GDPR“) a zákona č. 101/2000 Sb. o ochraně osobních údajů (dále jen „Zákon“)
(dále jen „Informace“)

Společnost:
Obchodní jméno: VENHEL s.r.o.
Sídlo: Zámocká 30, 811 01 Bratislava, Slovenská republika
IČO: 45 546 649
Registrace: v Obchodním rejstříku vedeném Okresním soudem Bratislava I
oddíl Sro, vložka č. 107823/B
Statutární zástupce: Martin Kušpál, jednatel
Kontaktní údaje: venhel@venhel.cz, +421 910 615 600
(dále jen „Společnost“ anebo „Provozovateľ“),

informuje Dotčené osoby o ochraně osobních údajů (dále jen „OÚ“) podle ustanovení čl. 13 Nařízení GDPR a § 19 Zákona následovně:

1. Dotčenou osobou se pro účely této Informace rozumí fyzická osoba, která u Provozovatele nakupuje zboží, registruje se na webové stránce Provozovatele, které je zasílán newsletter nebo jiné oznámení (např. v případě nedokončení objednávky), která se zapojila do spotřebitelské soutěže, věrnostního programu, která zveřejnila referenci nebo komentář k produktu, která přidala produkt do tzv. wishlistu nebo která kontaktuje Provozovatele prostřednictvím kontaktního formuláře.
2. Provozovatel je vůči Dotčené osobě v právním postavení Provozovatele dle Nařízení GDPR a Zákona, tj. osoba, která sama nebo společně s jinými vymezí účel a prostředky zpracování OÚ a zpracovává OÚ vlastním jménem.
3. Oprávněné zájmy Provozovatele nebo třetí strany, pokud se OÚ zpracovávají podle čl. 6 odst. 1 písm. f) Nařízení GDPR a § 13 odst. 1 písm. f) Zákona (čl. 13 odst. 1 písm. d) Nařízení GDPR a § 19 odst. 1 písm. d) Zákona):
   Provozovatel zpracovává OÚ na základě takového právního základu v případě fyzických osob, kterým provozovatel poskytl službu nebo které projevily prvotní zájem o nabídnuté služby a zasílá jim newsletter na podporu poskytování služeb. Dotčená osoba může kdykoli vyjádřit nesouhlas s takovým oslovováním. Na základě tohoto vyjádření Provozovatel nebude tuto Dotčenou osobu dále oslovovat.
   Provozovatel dále zpracovávané osobní údaje na tomto právním základu v případech, kdy jde o osobní údaje fyzické osoby, která zveřejňuje svou referenci k zakoupenému produktu nebo komentář k vybranému produktu. Dotčená osoba může kdykoli vyjádřit nesouhlas s takovýmto zveřejňováním, a to odstraněním zveřejněných referencí nebo komentářů, prostřednictvím svého uživatelského profilu nebo zasláním požadavku Provozovateli. Na základě tohoto vyjádření Provozovatel nebude tyto reference nebo komentáře zveřejňovat.
4. Provozovatel zpracovává následující OÚ Klientů, pro účely, na základě právního základu a po dobu zpracování následovně (čl. 13 ods. 1 písm. c), e) a ods. 2 písm. e) Nařízení GDPR a § 19 ods. 1 písm. c), e) a ods. 2 písm. a) Zákona):

Seznam zpracovávaných osobních údajů	Účel zpracovávání osobních údajů (čl. 5 ods. 1 Nařízení GDPR a § 7 Zákona)	Právní základ zpracování osobních údajů (čl. 6 odst. 1 Nařízení GDPR a § 13 ods. 1 Zákona)	Zákonný/smluvní požadavek/ požadavek potřebný na uzavření smlouvy/povinnost Dotčené osoby poskytnout osobní údaje/možné následky neposkytnutí osobních údajů (čl. 6 ods. 1 Nařízení GDPR a § 13 ods. 1 Zákona)	Doba zpracování osobních údajů (čl. 5 ods. 1 písm. e) Nařízení GDPR a § 10 Zákona)
Osobní údaje týkající se nákupu zboží, včetně registrace do e-shopu, zejména: Identifikační údaje: titul, jméno, příjmení, platební údaje Kontaktní údaje: adresa trvalého/přechodného pobytu anebo jiná korespondenční adresa, telefonní číslo, e-mailová adresa	Identifikace smluvní strany smlouvy. Plnění zákonných a smluvních povinností Provozovatele vyplývajících mu z všeobecně závazných právních předpisů (zejména předpisů z oblasti účetnictví) a ze smlouvy	Zpracování osobních údajů je nezbytné pro plnění smlouvy, jejíž stranou je Dotčená osoba, nebo k provedení opatření před uzavřením smlouvy na žádost Dotčené osoby (čl. 6 ods. 1 písm. b) Nařízení GDPR a § 13 ods. 1 písm. b) Zákona) v návaznosti na zvláštní předpisy nebo mezinárodní smlouvy, kterými je Česká republika vázána (čl. 6 ods. 1 písm. c) Nařízení GDPR a § 13 ods. 1 písm. c) Zákona)	Poskytovaní osobních údajů je požadavkem, který je nezbytný k uzavření smlouvy mezi Dotčenou osobou a Provozovatelem. Následně jde o smluvní požadavek v souvislosti s požadavky vyplývajícími ze zvláštního právního předpisu. Neposkytnutí osobních údajů způsobí nemožnost identifikace Dotčené osoby a tedy i nemožnost uzavření smlouvy zakládající spolupráci mezi Dotčenou osobou a Provozovatelem a nemožnost plnění zákonných povinností.	Během trvání spolupráce a právních předpisů České republiky.
Profilová fotografie, titulní fotografie uložená v uživatelském kontu	Personalizace zaregistrovaného uživatelského konta a zveřejnění fotografie na webové stránce  Provozovatele	Souhlas Dotčené osoby se zpracováním osobních údajů alespoň na jeden konkrétní účel (čl. 6 ods. 1 písm. a) Nařízení GDPR a § 13 ods. 1 písm. a) Zákona)	Dobrovolnost poskytnutí údajů. Možné následky neposkytnutí: neposkytnutí osobních údajů způsobí, že Osobní údaje Dotčené osoby nebudou použity na plánovaný účel	Po dobu trvání existence uživatelského konta, resp. do doby odstranění fotografií z uživatelského konta Dotčené osoby
E-mailová adresa a jméno pro účely zasílání připomenutí  o nedokončení objednávky	Zasílání reklamních nabídek v případě nedokončení objednávky	Oprávněný zájem Provozovatele (čl. 6 ods. 1 písm. f) Nařízení GDPR a § 13 ods. 1 písm. f) Zákona)	Zákonné oprávnění Provozovatele Dotčená osoba může kdykoliv zrušit zasílání newsletterů	Po dobu 7 dní, resp. do doby doručení požadavku o zrušení zasílání newsletteru
Titul, jméno, příjmení, e-mailová adresa pro účely zasílání newsletteru	Zasílání všeobecných reklamních oznámení o produktech Provozovatele a informační letáky o činnosti Provozovatele osobám, které o to požádaly na webové stránce Provozovatele	Souhlas Dotčené osoby se zpracováním osobních údajů alespoň na jeden konkrétní účel (čl. 6 ods. 1 písm. a) Nařízení GDPR a § 13 ods. 1 písm. a) Zákona)	Dobrovolnost poskytnutí údajů. Neudělení souhlasu způsobí, že obchodní nabídky produktů a služeb nebudou zasílány.	Po dobu 3 (tří) let, resp. do odvolání souhlasu.
Titul, jméno, příjmení, telefonní číslo a e-mailová adresa pro účely zasílání newsletteru	Zasílání reklamních oznámení o produktech Provozovatele a informační letáky o činnosti Provozovatele osobám, které si objednaly Zboží	Oprávněný zájem Provozovatele (čl. 6 ods. 1 písm. f) Nařízení GDPR a § 13 ods. 1 písm. f) Zákona)	Zákonné oprávnění Provozovatele  Dotčená osoba může kdykoliv zrušit zasílání newsletterů	Po dobu 3 (tří) let, resp. do doby doručení požadavku o zrušení zasílání newsletteru.
Osobní údaje potřebné na organizování spotřebitelské soutěže, zejména titul, jméno, příjmení, adresa a další údaje v závislosti na typu soutěže	Identifikace fyzické osoby, která se zapojila do spotřebitelských soutěží organizovaných za účelem propagace a zviditelnění Provozovatele	Souhlas Dotčené osoby se zpracováním osobních údajů alespoň na jeden konkrétní účel (čl. 6 ods. 1 písm. a) Nařízení GDPR  a § 13 ods. 1 písm. a) Zákona)	Dobrovolnost poskytnutí údajů. Souhlas je udělen zapojením se do soutěže/kvízu. Možné následky neposkytnutí: neposkytnutí osobních údajů způsobí, že Osobní údaje Dotčené osoby nebudou použity na plánovaný účel	Po dobu trvání soutěže a jejího vyhodnocení a v případě výherce do doby odevzdání výhry
Titul, jméno, příjmení, e-mailová adresa v souvislosti s vybraným preferovaným produktem	Zasílání e-mailové notifikace o dostupnosti vybraného produktu  registrovaným osobám (wishlist)	Oprávněný zájem Provozovatele poskytovat Dotčené osobě požadované produkty (čl. 6 ods. 1 písm. f) Nařízení GDPR a § 13 ods. 1 písm. f) Zákona)	Zákonné oprávnění Provozovatele. Dotčená osoba sama zařadí vybraný produkt do wishlistu. Dotčená osoba má možnost odmítnutí takovéto služby.	Po dobu 6 měsíců ode dne zařazení vybraného produktu do  wishlistu anebo do doby odmítnutí doručování dalších upozornění.
Osobní údaje získané prostřednictvím kontaktního formuláře: zejména e-mailová adresa a případně další Osobní údaje uvedené v textu odeslané zprávy	Získávané osobní údaje prostřednictvím kontaktního formuláře za účelem uchovávání dotazu a vypracování odpovědi na dotaz Dotčené osoby	Souhlas Dotčené osoby se zpracováním osobních údajů alespoň na jeden konkrétní účel (čl. 6 ods. 1 písm. a) Nařízení GDPR a § 13 ods. 1 písm. a) Zákona)	Dobrovolnost poskytnutí údajů. Možné následky neposkytnutí: neposkytnutí osobních údajů způsobí, že osobní údaje Dotčené osoby nebudou použity na plánovaný účel a Provozovatel nemusí poskytnout požadovanou odpověď na dotaz	Po dobu trvání souhlasu, na kterou Dotčená osoba vyjádřila svůj souhlas (1 rok)
Titul, jméno, příjmení, adresa trvalého/přechodného pobytu anebo jiná korespondenční adresa, e-mailová adresa, telefonní číslo, údaje o nákupu pro účely věrnostního programu	Zařazení Dotčené osoby do věrnostního programu za účelem poskytování slevy nebo jiné výhody, a tím zviditelnění služeb Provozovatele	Souhlas Dotčené osoby se zpracováním osobních údajů alespoň na jeden konkrétní účel (čl. 6 ods. 1 písm. a) Nařízení GDPR a § 13 ods. 1 písm. a) Zákona)	Dobrovolnost poskytnutí údajů. Možné následky neposkytnutí: neposkytnutí osobních údajů způsobí, že osobní údaje Dotčené osoby nebudou použity na plánovaný účel	Po dobu trvaní souhlasu, na kterou Dotčená osoba vyjádřila svůj souhlas (3 roky ode dne využití poslední výhody)
Titul, jméno, příjmení, profilová fotografie a případně další osobní údaje uvedené v textu zveřejněných referencí nebo komentářů	Zveřejnění referencí anebo komentářů Dotčené osoby na stránce Provozovatele k vybranému produktu	Oprávněný zájem Provozovatele zjišťovat spokojenost Dotčené osoby (čl. 6 ods. 1 písm. f) Nařízení GDPR a § 13 ods. 1 písm. f) Zákona)	Zákonná oprávněnost Provozovatele. Dotčená osoba sama zveřejňuje hodnocení k zakoupenému produktu anebo komentáře k vybranému produktu. Dotčená osoba má možnost odmítnuté takovéto služby.	Po dobu zařazení vybraného produktu do prodeje, max. po dobu 10 (deseti) let.

5. Identifikace příjemce anebo kategorie příjemce, pokud existuje (čl. 13 ods. 1 písm. e) Nařízení GDPR a § 19 ods. 1 písm. e) Zákona):
   1. externí spolupracovník,
   2. externí poskytovatel datového úložiště,
   3. externí poskytovatel účetních a daňových služeb,
   4. externí poskytovatel skladových, logistických a kurýrních služeb,
   5. externí poskytovatel právních služeb,
   6. externí poskytovatel marketingových služeb,
   7. externí poskytovatel platebních služeb.
6. Informace o tom, zda Provozovatel zamýšlí přenést osobní údaje do třetí země anebo mezinárodní organizaci, identifikaci třetí země nebo mezinárodní organizace (čl. 13 ods. 1 písm. f) Nařízení GDPR a § 19 ods. 1 písm. f) Zákona):
   Provozovatel nezamýšlí takový přenos.
7. Právo Dotčené osoby požadovat od Provozovatele přístup k OÚ týkajících se Dotčené osoby, o právu na opravu OÚ, o právu na vymazání OÚ nebo o právu na omezení zpracování OÚ, o právu namítat zpracování OÚ, jako i o právu na přenosnost OÚ (čl. 13 ods. 2 písm. b) Nařízení GDPR a § 19 ods. 2 písm. b) Zákona):
   Dotčená osoba má vůči Provozovateli následující práva ve vztahu k OÚ:
    
   1. Právo požadovat přístup k osobním údajům týkajících se Dotčené osoby: Dotčená osoba má právo získat od Provozovatele potvrzení o tom, zda se zpracovávají osobní údaje Dotčené osoby a pokud ano, má právo získat přístup k těmto osobním údajům a informace o
   • účelu zpracování osobních údajů,
   • kategorii zpracovávaných osobních údajů,
   • identifikaci příjemce anebo kategorii příjemce, kterému byly anebo mají být osobní údaje poskytnuty, zejména o příjemci v třetí zemi anebo o mezinárodní organizaci, pokud je to možné,
   • době uchovávání osobních údajů; pokud to není možné, informaci o kritériích jejího určení,
   • právu požadovat od Provozovatele opravu osobních údajů týkajících se Dotčené osoby, jejich vymazání nebo omezení jejich zpracování anebo o právu namítat zpracování osobních údajů,
   • právu podat návrh na zahájení řízení podle § 100 Zákona anebo podat stížnost kontrolnímu orgánu podle ustanovení čl. 77 Nařízení GDPR,
   • zdroji osobních údajů, pokud osobní údaje nebyly získány od Dotčené osoby,
   • existenci automatizovaného individuálního rozhodování včetně profilování podle ustanovení čl. 22 ods. 1 a 4 Nařízení GDPR a ustanovení § 28 ods. 1 a 4 Zákona (v těchto případech poskytne Provozovatel Dotčené osobě informace o použitém postupu, jako i o významu a předpokládaných důsledcích takového zpracování osobních údajů pro Dotčenou osobu).

Provozovatel poskytne kopii OÚ, které jsou zpracovávány. Za jakékoliv další kopie, o které Dotčená osoba požádá, může Provozovatel účtovat přiměřený poplatek odpovídající administrativním nákladům. Pokud Dotčená osoba podala žádost elektronickými prostředky, informace budou poskytnuty v běžně používané elektronické podobě, pokud Dotčená osoba nepožádala o jiný způsob.

Informace musí být poskytnuty okamžitě, nejpozději ve lhůtě 1 měsíce. Provozovatel má právo prodloužit dobu zpracování žádosti o další 2 měsíce, pokud je požadavek složitý nebo častý. Musí však Dotčené osobě do 1 měsíce oznámit důvod prodloužení doby zpracování.

V případě žádosti neodůvodněné nebo příliš časté má Provozovatel právo účtovat poplatek přiměřený nákladům nebo odmítnout žádost. Musí vysvětlit důvod odmítnutí a právo Dotčené osoby obrátit se se stížností na kontrolní orgán.

2. Právo na opravu osobních údajů: Dotčená osoba má právo na to, aby Provozovatel bez zbytečného odkladu opravil nesprávné osobní údaje, které se jí týkají. S ohledem na účel zpracování údajů má Dotčená osoba právo na doplnění neúplných osobních údajů.
   
   Informace musí být poskytnuty okamžitě, nejpozději ve lhůtě 1 měsíce. Provozovatel má právo prodloužit dobu zpracování žádosti o další 2 měsíce, pokud je požadavek složitý anebo častý. Musí však Dotčené osobě do 1 měsíce oznámit důvod prodloužení doby zpracování.
   
   V případě žádosti neodůvodněné nebo příliš časté má Provozovatel právo účtovat poplatek přiměřený nákladům nebo odmítnout žádost. Musí vysvetlit důvod odmítnutí a právo Dotčené osoby obrátit se se stížností na kontrolní orgán.


3. Právo na vymazání osobních údajů nebo právo na omezení zpracování osobních údajů: Dotčená osoba má právo na to, aby Provozovatel bez zbytečného odkladu vymazal osobní údaje, které se jí týkají. Provozovatel je povinen bez zbytečného odkladu vymazat osobní údaje, pokud Dotčená osoba uplatnila právo na výmaz podle předcházející věty, jestliže

• OÚ už nejsou potřebné pro účel, pro který byly získány nebo jinak zpracovávány,
• Dotčená osoba odvolá svůj souhlas se zpracováním OÚ a neexistuje jiný právní základ pro zpracování OÚ,
• Dotčená osoba namítá zpracování OÚ a nepřevažují žádné oprávněné důvody pro zpracování OÚ,
• OÚ se zpracovávají nezákonně,
• je důvodem pro výmaz splnění povinnosti podle Nařízení GDPR, Zákona, zvláštního předpisu anebo mezinárodní smlouvy, kterou je Česká republika vázaná, anebo
• se OÚ získavaly v souvislosti s nabídkou služeb informační společnosti.

Předcházející dvě věty nejsou platné, pokud je zpracování osobních údajů potřebné

• pro uplatnění práva na svobodu projevu nebo práva na informace,
• pro splnění povinností podle Nařízení GDPR, Zákona, zvláštního předpisu nebo mezinárodní smlouvy, kterou je Česká republika vázána nebo pro splnění úkolu realizovaného ve veřejném zájmu nebo při výkonu veřejné moci svěřené Provozovateli,
• z důvodu veřejného zájmu v oblasti veřejného zdraví,
• pro účel archivace, pro vědecký účel, pro účel historického výzkumu anebo pro statistický účel, pokud je pravděpodobné, že právo znemožní anebo závažným způsobem ztíží dosažení cílů takového zpracování, nebo
• pro uplatnění právního nároku.

Dotčená osoba má právo na to, aby Povozovatel omezil zpracování OÚ, jak

• Dotčená osoba namítá správnost OÚ, a to během období umožňujícího Provozovateli ověřit správnost osobních údajů,
• zpracování OÚ je nezákonné a Dotčená osoba namítá vymazání OÚ a žádá namísto toho omezení jejich použití,
• Provozovatel už nepotřebuje OÚ pro účely zpracování OÚ, ale potřebuje je Dotčená osoba pro uplatnění právního nároku, nebo
• Dotčená osoba namítá zpracování, a to až do ověření, zda oprávněné důvody na straně Provozovatele převažují nad oprávněnými důvody Dotčené osoby.

Pokud se zpracování osobních údajů omezilo, kromě uchovávání může OÚ Provozovatel zpracovávat jen se souhlasem Dotčené osoby nebo za účelem uplatnění právního nároku, na ochranu osob anebo z důvodu veřejného zájmu.

4. Právo namítat zpracování osobních údajů: Pokud se osobní údaje zpracovávají pro účely přímého marketingu, Dotčená osoba má právo kdykoliv namítat proti zpracování svých osobních údajů včetně profilování. Pokud Dotčená osoba namítá vůči zpracování pro účely přímého marketingu, Provozovatel už její osobní údaje pro tyto účely nesmí zpracovávat.
    
5. Právo na přenosnost osobních údajů: Dotčená osoba má získat OÚ, které se jí týkají a které poskytla Provozovateli, ve strukturovaném, běžně používaném a strojově čitelném formátu a má právo přenést tyto údaje dalšímu Provozovateli. Právo na přenosnost nesmí mít nepříznivé důsledky na práva a svobody jiných. Toto platí, když: 
   • se zpracování základá na souhlasu nebo smlouvě,
   • se zpracování vykonává automatizovanými prostředky.

Provozovatel má lhůtu na přenos údajů 1 měsíc, je možné ji prodloužit o 2 měsíce v případě, že je přenos složitý. Musí o tom informovat Dotčenou osobu a odůvodnit, proč nastalo prodloužení lhůty. V případě, že kroky na přenos Provozovatel neučinil, musí informovat Dotčenou osobu, proč tak neučinil a o právu Dotčené osoby podat stížnost kontrolnímu orgánu.

8. Právo Dotčené osoby kdykoliv odvolat souhlas se zpracováním OÚ (čl. 13 ods. 2 písm. c) Nařízení GDPR a § 19 ods. 2 písm. c) Zákona):
   Dotčená osoba má právo kdykoliv odvolat souhlas se zpracováním OÚ, které se se jí týkají. Odvolání souhlasu nemá vliv na zákonnost zpracování OÚ založeného na souhlasu před jeho odvoláním. Dotčená osoba může souhlas odvolat stejným způsobem, jakým souhlas udělila.
    
9. Právo Dotčené osoby podat návrh na zahájení řízení podle § 100 Zákona nebo stížnost dozorovému orgánu podle čl. 77 Nařízení GDPR (čl. 13 ods. 2 písm. d) Nařízení GDPR a § 19 ods. 2 písm. d) Zákona):
   Aniž by byly dotčeny jiné správní nebo soudní prostředky nápravy, má Dotčená osoba právo podat stížnost kontrolnímu orgánu, zejména v členském státu svého obvyklého pobytu, místě výkonu práce nebo v místě údajného porušení, pokud se domnívá, že zpracovávání osobních údajů, které se jí týká, je v rozporu s Nařízením GDPR.
   
   Dotčená osoba má právo podat na Úřad pro ochranu osobních údajů návrh na zahájení řízení o ochraně osobních údajů. Účelem řízení je zjistit, zda došlo k porušení práv fyzických osob při zpracovávání jejich osobních údajů nebo došlo k porušení Nařízení GDPR, Zákona nebo zvláštního předpisu v oblasti ochrany osobních údajů a v případě zjištění nedostatků, pokud je to opodstatněné a účelné, uložit opatření k nápravě, případně pokutu za porušení Nařízení GDPR, Zákona nebo zvláštního předpisu pro oblast ochrany OÚ.
   
   Návrh na začátek řízení musí obsahovat

• jméno, příjmení, korespondenční adresu a podpis navrhovatele,
• označení toho, proti komu návrh směřuje, s uvedením jména, příjmení, trvalého pobytu nebo názvu sídla a identifikačního čísla, pokud bylo přiděleno,
• predmět návrhu s označením práv, která měla být při zpracování osobních údajů porušena,
• důkazy na podporu tvrzení uvedených v návrhu,
• kopii listiny nebo jiný důkaz prokazující uplatnění práva podle Zákona nebo zvláštního předpisu, pokud takové právo Dotčená osoba uplatnila, nebo důvodů hodných zvláštní pozornosti o neuplatnění předmětného práva, jestliže návrh podala Dotčená osoba.

Vzor návrhu na zahájení řízení bude zveřejněn na webových stránkách Úřadu pro ochranu osobních údajů.

10. Existence automatizovaného individuálního rozhodování včetně profilování (čl. 13 ods. 2 písm. f) Nařízení GDPR a § 19 ods. 2 písm. f) Zákona):
    Provozovatel nevyužívá automatizované individuální rozhodování ani profilování.

V Bratislavě, dne 15. 9. 2020

VENHEL s.r.o.

Martin Kušpál, jednatel