Zásady zpracovávání a ochrany osobních údajů
Zásady zpracovávání a ochrany osobních údajů
Preambule
SpolečnostRyby Praha s.r.o., se sídlem Pod Zámečkem 92/3, Dolní Chabry, 184 00 Praha 8, IČO: 04260813, a zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl C 244942, kontaktní email: info@chabrybarna.cz, je výlučným vlastníkem a provozovatelem portálu rozvozů jídel a nápojů na internetové stránce / (dále jen „Portál“). V rámci provozu Portálu dochází ke zpracování osobních údajů fyzických osob-uživatelů Portálu (dále jen „uživatel), a společnost Ryby Praha s.r.o., těmito Zásadami ochrany osobních údajů (dále jen „Zásady“), jednak ujišťuje uživatele Portálu, že při zpracování osobních údajů postupuje vždy v souladu se všemi příslušnými právními předpisy na úseku ochrany osobních údajů, zejm. pak nařízením Evropského Parlamentu a Rady (EU) 2016/679, Obecné nařízení o ochraně osobních údajů (dále jen „GDPR“) a zákonem č. 110/2019 Sb., o zpracování osobních údajů (dále jen „Zákon“), a jednak současně splňuje své zákonné informační povinnosti ve smyslu čl. 12 a násl. GDPR. Zpracováním osobních údajů se pro účely těchto Zásad rozumí jakékoliv automatizované nakládání a operace s osobními údaji uživatelů ve smyslu čl. 4 odst. 2 GDPR.
Správcovství
Společnost Ryby Praha s.r.o., se sídlem Pod Zámečkem 92/3, Dolní Chabry, 184 00 Praha 8, IČO: 04260813, a zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl C 244942, kontaktní email: info@chabrybarna.cz je s ohledem na provoz Portálu správcem osobních údajů jeho uživatelů, ve smyslu čl. 4 odst. 7 GDPR (dále jen „Správce“). Správce určuje účely a prostředky zpracování osobních údajů a je odpovědný za plnění svých zákonných povinností ve vztahu k tomuto zpracovávání.
Jakékoliv dotazy, požadavky či jiné žádosti můžete kdykoliv směřovat na email: info@chabrybarna.cz
Správce při zpracování osobních údajů v této chvíli využívá služeb zpracovatele (ve smyslu čl. 4 odst. 8 GDPR). Za zpracovatele se považují poskytovatel webhostingu Portálu, shoptet.cz (https://www.shoptet.cz/podminky-ochrany-osobnich-udaju/). Pokud by došlo k využití služeb dalšího zpracovatele osobních údajů, vždy by se toto zpracování řídilo těmito Zásadami a režimem příslušných ustanovení GDPR, zejm. pak jeho čl. 28 a násl.
Správce při své činnosti postupuje výlučně v souladu s příslušnými právními předpisy na úseku ochrany osobních údajů a v souladu se zásadami uvedenými v čl. 5 GDPR, tj. zásadou zákonnosti, transparentnosti, zásadou účelového omezení, zásadou přesnosti, minimalizací sběru údajů a dalšími.
Správce prohlašuje, že si je vědom všech svých zákonných povinností ve vztahu ke zpracování osobních údajů.
Osobní údaje
Za osobní údaj je v obecné rovině (čl. 4 odst. 1 GDPR) považována jakákoliv informace, která se týká identifikované nebo identifikovatelné (dohledatelné) osoby. Pro účely používání Portálu uživatelem a pro účely těchto Zásad se osobním údajem rozumí všechny informace o uživateli Portálu, které byly v souladu s Všeobecnými obchodními podmínkami Správce (/obchodni-podminky/) sděleny či jinak zpřístupněny Správci (dále jen „VOP Správce“).
Kontaktní údaje – jedná se o osobní údaje, které Správce potřebuje za účelem plnění ze smlouvy a za účelem správného fungování služeb Portálu. Abyste si mohli jídlo a pití od poskytovatele objednat, je třeba Správci sdělit minimální množství údajů, kterými jsou: jméno, příjmení, doručovací adresa vybraného jídla/pití (adresa, PSČ, město, stát), email a telefonní číslo. Tyto údaje slouží pro rychlou objednávku bez registrace. Správce neumožňuje provedení objednávky prostřednictvím sociálních sítí (např. Facebook), a proto žádným způsobem nezpracovává jakákoliv data a osobní údaje z těchto sociálních sítí.
V případě založení vlastního uživatelského účtu na Portále (/registrace/), se pro účely vytvoření tohoto účtu za osobní údaje považují: jméno, příjmení, fakturační adresa uživatele, která může a nemusí být stejná jako doručovací adresa pro vybrané jídlo/pití, doručovací adresa či adresy pro vybrané jídlo/pití, email a telefonní číslo.
Identifikátory – jedná se o informace či údaje, které samy o sobě nemají charakter osobního údaje, ale v případě, že jsou přiřazeny k Vaší osobě, osobním údajem se stanou. V případě provedené registrace, tj. v případě založení vlastního uživatelského účtu na Portále, se za takové identifikátory považuje: Přehled mých objednávek, Moje doklady, Moje slevy, Moje hodnocení produktů, a Moje diskuze u produktů.
Identifikátorem je rovněž způsob a stav platby uživatele. Portál nabízí platbu prostřednictvím platební brány Pays.cz, bezhotovostní platbou platební kartou. Jakékoliv osobní údaje vzniknuvší z tohoto vztahu (např. telefonní číslo, číslo platební karty, údaje o realizovaných a zrušených platebních transakcích, ip adresa zařízení nebo čas provedení transakce) jsou výlučnou odpovědností poskytovatele platební brány, jakožto správce těchto údajů (blíže viz https://www.pays.cz/buyers.asp) a zpracování těchto osobních údajů je samostatným vztah mezi uživatelem a poskytovatelem platební brány.
Analytické údaje a cookies – Portál při svém správném fungování využívá cookies a jiných veřejně přístupných údajů a informací. Za cookies je považován krátký textový soubor, který navštívená webová stránka odešle do prohlížeče a umožňuje Portálu zaznamenávat informace o jeho využívání, jako je návštěvnost, preferovaná nastavení apod. Cookies a analytická data (jako jsou např. IP adresa, typ vyhledávače, čas strávený na Portále, komunikace s Portálem, identifikace obsluhovaného zařízení apod.) jsou Správcem využívány výlučně za účelem vylepšení služeb Portálu a vylepšení prezentace a poskytovaných informací Portálem ve vztahu k jeho uživatelům (viz také Google Analytics). Každý uživatel webového rozhraní, ze kterého vstupuje do Portálu, je oprávněn si nastavit fungování cookies, vč. jejich odmítnutí (viz např. https://support.google.com/chrome/answer/95647?co=GENIE.Platform%3DDesktop&hl=cs nebo https://www.youronlinechoices.com/cz/casto-kladene-dotazy#11).
PSČ zadávané na hlavní stránce /, ke zjištění informace, zda se na dané PSČ rozváží jídla/pití z Portálu, se v dané chvíli nepovažuje za osobní údaje a tento údaj není dále (v dalších krocích) jakkoliv zpracováván, to vše s výjimkou opětovného zadání údaje do konkrétní objednávky nebo do uživatelského účtu, dle shora uvedených pravidel.
Jiné než uvedené údaje (sdělené a předané uživatelem Portálu) Správce nezpracovává. Zejm. pak nedochází ke zpracovávání citlivých osobních údajů ve smyslu čl. 9 GDPR. I vzhledem k této skutečnosti a s ohledem na shora uvedený minimalizovaný rozsah zpracovávaných údajů, Správce nejmenoval Pověřence pro ochranu osobních údajů ve smyslu čl. 37 GDPR (dále jen „DPO“), přesto však garantuje maximální možnou ochranu zpracovávaných údajů. Správce prohlašuje, že má zavedeny vhodné technické a organizační kontrolní mechanismy, které zabrání neoprávněnému nebo nezákonnému zpracování jakýchkoli osobních údajů v jeho držení, a které chrání tyto osobní údaje před náhodnou ztrátou, poškozením nebo zničením. Tím není vyloučena povinnost Správce dle čl. 34 GDPR.
Účely zpracování a právní tituly
S kontaktními údaji Správce nakládá za účelem řádného poskytování služeb Portálu a pro plnění smluvních závazků Správce, vyplývajících z jeho VOP. Jméno, příjmení a adresu potřebuje Správce znát proto, aby správně, řádně a včas zajistit rozvoz uživatelem vybraného produktu. Telefonní číslo Správce potřebuje ze stejného důvodu, a dále zejm. za účelem zastižení uživatele v místě doručení a sdělení uživateli o příjezdu kurýra. E-mailová adresa slouží rovněž pro uvedené účely a dále pro komunikaci se Správcem, pro účely vytvoření vlastního uživatelského účtu (na email je v případě potřeby zasíláno zapomenuté heslo k účtu), a v neposlední řadě je email prostředkem marketingové komunikace mezi Správcem a uživatelem, jak je uvedeno dále v těchto Zásadách. Právním základem zde je čl. 6 odst. 1 písm. b) GDPR, tj. plnění ze smlouvy a čl. 6 odst. 1 písm. f) GDPR, tj. oprávněné zájmy Správce.
Identifikátory Správce využívá jednak pro zlepšení svých služeb a za účelem marketingu, jednak slouží uživateli jako přehled o jeho objednávkách, zájmech, spokojenosti se službami Portálu apod. Údaje o způsobu a stavu platby slouží Správci pro správné přiřazení platby k objednávce, a tedy k řádnému plnění ze smlouvy. V případě oprávněné žádosti uživatele dojde k výmazu těchto údajů. Právním základem zde je čl. 6 odst. 1 písm. b) GDPR, tj. plnění ze smlouvy, čl. 6 odst. 1 písm. c) GDPR, tj. zákonné povinnosti Správce a čl. 6 odst. 1 písm. f) GDPR, tj. oprávněné zájmy Správce.
Analytická data a cookies Správce využívá za účelem shora uvedeného vylepšení služeb Portálu a vylepšení prezentace a poskytovaných informací Portálem ve vztahu k jeho uživatelům. Právním základem zde je čl. 6 odst. 1 písm. f) GDPR, tj. oprávněné zájmy Správce.
Současně je třeba vnímat, že Správce je oprávněn některé osobní údaje zpracovávat za účelem plnění jeho zákonných povinností, za účelem vyřizování reklamací a případné obrany v soudních řízení a pro účely marketingu a komunikace s uživateli. Právním základem zde je čl. 6 odst. 1 písm. c) GDPR, tj. zákonné povinnosti Správce a čl. 6 odst. 1 písm. f) GDPR, tj. oprávněné zájmy Správce.
Marketing
Správce je oprávněn osobní údaje (email, telefonní číslo) zpracovávané mj. také z důvodu dle čl. 6 odst. 1 písm. f), tj. oprávněných zájmů Správce, využívat k zasílání nabídek či jiných marketingových sdělení. Uživatel je oprávněn Správci kdykoliv sdělit, že nesouhlasí se zpracováváním svých osobních údajů za účelem takovéhoto marketingu, a to přímo na adrese: info@chabrybarna.cz, případně přímo při zadávání konkrétní objednávky jídla/pití z Portálu. Bližší informace o přímém marketingu při zpracovávání osobních údajů najdete např. ve stanovisku Úřadu pro ochranu osobních údajů ze dne 1. 6. 2018 (https://www.uoou.cz/gdpr-a-primy-elektronicky-marketing/d-30715).
Doba zpracovávání osobních údajů
Správce je oprávněn zpracovávat osobní údaje pouze a výlučně po dobu nezbytně nutnou k plnění jeho povinností a po dobu naplnění některého/jakéhokoliv ze zákonných důvodů pro zpracování (dle čl. 6 GDPR). Jakmile Správce nemá žádný zákonný důvod pro zpracování osobních údajů, musí tyto neprodleně anonymizovat či jinak zlikvidovat (anonymizací se rozumí nevratný proces, kterým dojde k takovému znehodnocení osobního údaje, že tento údaj/tato informace, přestává být osobním údajem, tj. na jejím základě již nejde určit žádnou osobu/uživatele). Dobu zpracování určuje jednak účel zpracování, resp. právní důvod zpracování, ale jednak např. speciální zákony (např. zákon č. 563/1991 Sb., o účetnictví, ve znění pozdějších předpisů, č. 499/2004 Sb., o archivnictví a spisové službě, ve znění pozdějších předpisů a další). V případě, že Správce nepotřebuje osobní údaje z jiného důvodu, než-li plnění ze smlouvy (čl. 6 odst. 1 písm. b) GDPR), jsou tyto vymazány do 90 dnů ode dne zániku důvodu k jejich zpracování a při zániku/zrušení uživatelského účtu do 60 dnů ode dne jeho zrušení. V ostatních případech jsou údaje zpracovávány po nezbytně nutnou či právními předpisy povolenou dobu.
Předávání osobních údajů
Správcem zpracovávané osobní údaje jsou předávány v nezbytně nutném rozsahu a za současného zachování všech vyžadovaných právních standardů jejich ochrany třetím stranám, kterými jsou: kurýři Správce, kteří jsou zaměstnanci Správce (a to v rozsahu: znění objednávky, stav o zaplacení, jméno, příjmení, místo doručení, telefonní číslo). K jakémukoliv jinému předání osobních údajů může dojít pouze ze zákonných důvodů nebo na základě souhlasu uživatele. Správce žádným způsobem nepředává osobní údaje mimo Evropskou unii nebo mimo Evropský hospodářský prostor.
Práva uživatelů
Uživatelé Portálu mají ve vztahu k jejich osobním údajům práva vyplývají z čl. 15 a násl. GDPR.
Právo na informace – právo na informace je uživatelům plně zprostředkováno těmito Zásadami, a v případě jakéhokoliv dotazu je uživatel oprávněn se na Správce obrátit na adrese: info@chabrybarna.cz;
Právo na přístup – uživatel má právo získat od Správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány (blíže viz čl. 15 GDPR). Uživatel má právo se kdykoliv obrátit na Správce na adrese:info@chabrybarna.cz. Správce zajistí odpověď uživateli nejpozději do 30 dní ode dne přijetí dotazu/žádosti;
Právo na opravu – uživatel má právo na to, aby Správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají. S přihlédnutím k účelům zpracování má uživatel právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení. S žádostí o opravu je uživatel oprávněn obrátit se kdykoliv na Správce na adrese:info@chabrybarna.cz;
Právo na výmaz – uživatel má právo na to, aby Správce bez zbytečného odkladu vymazal osobní údaje, které se daného uživatele týkají, a Správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud dojde k naplnění jakéhokoliv důvodu uvedeného v čl. 17 odst. 1 GDPR. Jinými slovy, Správce vyhoví žádosti uživatele, je-li oprávněná a nemá-li Správce jiný legitimní důvod pro takové zpracování osobních údajů;
Právo odvolat souhlas se zpracováním osobních údajů – máte nezpochybnitelné právo kdykoliv a bez udání důvodu odvolat svůj souhlas se zpracováním osobních údajů, pokud jste takovýto souhlas (čl. 6 odst. 1 písm. a) GDPR) správci udělili;
Právo na omezení zpracování – uživatel má právo na to, aby Správce omezil zpracování, je-li naplněna jakákoliv premisa ustanovení čl. 18 odst. 1 GDPR, nebo např. pokud uživatel nepožaduje výmaz svých osobních údajů, ale pouze požaduje zastavení jejich zpracování. Uživatel bere na vědomí, že pokud Správce potřebuje k řádnému plnění svých povinností a služeb Portálu takovéto osobní údaje, jejich výmazem dle předchozího práva nebo omezením jejich zpracování, přestává být uživatel oprávněn k využívání služeb Portálu;
Právo na přenositelnost údajů – uživatel má právo získat osobní údaje, které se ho týkají, jež poskytl Správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu Správce, kterému byly osobní údaje poskytnuty, bránil, a to v případě že dojde k naplnění některého bodu čl. 20 odst. 1 GDPR;
Právo vznést námitku – uživatel má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají, na základě čl. 6 odst. 1 písm. f) (tj. na základě oprávněného zájmu Správce, viz výše), včetně profilování založeného na těchto ustanoveních. Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků. Pokud se osobní údaje zpracovávají pro účely přímého marketingu, má uživatel právo vznést kdykoli námitku proti zpracování osobních údajů, které se ho týkají, pro tento marketing, což zahrnuje i profilování, pokud se týká tohoto přímého marketingu. Pokud uživatel vznese námitku proti zpracování pro účely přímého marketingu, nebudou již osobní údaje pro tyto účely zpracovávány;
Právo nebýt předmětem automatizovaného rozhodování – uživatel má právo, za současného nenaplnění pravidel v čl. 22 odst. 2 GDPR, nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká;
Právo podat stížnost – uživatel právo podat stížnost u některého dozorového úřadu, zejména v členském státě svého obvyklého bydliště, místa výkonu zaměstnání nebo místa, kde došlo k údajnému porušení, pokud se uživatel domnívá, že zpracováním jeho osobních údajů jsou porušena pravidla GDPR. Aniž je dotčena jakákoli jiná správní či mimosoudní ochrana, má každý uživatel právo na účinnou soudní ochranu proti právně závaznému rozhodnutí dozorového úřadu, které se ho týká. Aniž je dotčena jakákoli dostupná správní či mimosoudní ochrana, včetně uvedeného práva na podání stížnosti u dozorového úřadu, má každý uživatel právo na účinnou soudní ochranu, pokud má za to, že jeho práva podle GDPR byla porušena v důsledku zpracování jeho osobních údajů v rozporu s GDPR. Dozorovým úřadem pro Českou republiku je Úřad pro ochranu osobních údajů, se sídlem Pplk. Sochora 27, 170 00 Praha 7 (blíže viz https://www.uoou.cz/).
Závěrečná ustanovení
Správce je oprávněn tyto Zásady kdykoliv jednostranně změnit, s účinností jejich uveřejním na webu: /podminky-ochrany-osobnich-udaju/.
Uživatel bere na vědomí, že užíváním Portálu vyjadřuje svůj souhlas s těmito Zásadami a rovněž dává na vědomí, že se s těmito Zásadami řádně a úplně seznámil.
Tyto Zásady nabývají účinnosti dne 29.10.2020.