Zásady ochrany osobních údajů

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ A SYSTÉM OCHRANY OSOBNÍCH ÚDAJŮ PODLE NAŘÍZENÍ GDPR

Úvodní ustanovení

Tyto Zásady zpracování osobních údajů (dále jen „Zásady“) upravují způsob, jakým společnost Katkaparfumery s. r. o. (dále jen „Správce“), slovenský podnikatelský subjekt se sídlem v Slovenské republice, zpracovává osobní údaje fyzických osob v souvislosti se svou činností, zejména s prodejem parfémů a kosmetiky prostřednictvím elektronického obchodu www.katkaparfumery.cz, který je určen také zákazníkům v České republice.

Právní rámec

Zásady jsou vypracovány v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob při zpracování osobních údajů a o volném pohybu takových údajů (dále jen „GDPR“), se zákonem č. 18/2018 Z. z. o ochraně osobních údajů Slovenské republiky (dále jen „ZOOÚ“) a se zákonem č. 110/2019 Sb. o zpracování osobních údajů.

Účel Zásad

Účelem těchto Zásad je prokázat, že zpracování osobních údajů ze strany Správce probíhá v souladu s platnou právní úpravou, zejména se ZOOÚ a nařízením GDPR.

Odpovědnost Správce

Správce je povinen přijmout přiměřená technická a organizační opatření s ohledem na povahu, rozsah, kontext a účel zpracování, jakož i na rizika pro práva a svobody subjektů údajů, a tato opatření průběžně aktualizovat.

Výsledek posouzení zpracování

Tento dokument je výsledkem posouzení zpracovatelských činností prováděného Správcem za účelem plnění zákonných povinností v oblasti ochrany osobních údajů. Zavedením standardizovaných opatření podle těchto Zásad se snižuje riziko porušení ochrany údajů.

Rozsah působnosti

Tyto Zásady se vztahují na všechny fyzické osoby, jejichž osobní údaje jsou zpracovávány v souvislosti s činností Správce. Obsahují přehled účelů zpracování, kategorií subjektů údajů, právních základů, jakož i informace o právech subjektů údajů a způsobu jejich uplatňování.

SPRÁVCE:

Kontaktní údaje Správce:

Pověřenec pro ochranu osobních údajů

Správce nemá povinnost jmenovat pověřence pro ochranu osobních údajů podle čl. 37 GDPR, a proto tato funkce není ustanovena.

Dohled nad zpracováním osobních údajů

Dohled nad zpracováním osobních údajů v rámci organizace vykonává jednatel společnosti. Kontaktní údaje naleznete ZDE.

Hlášení bezpečnostních incidentů

Kontaktní údaje pro hlášení bezpečnostních incidentů naleznete ZDE.

Uplatnění práv subjektů údajů

Kontaktní údaje pro uplatňování práv subjektů údajů naleznete ZDE.

OBECNÉ INFORMACE K ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ:

Správce odpovídá za zpracování osobních údajů v souladu s Nařízením GDPR, tj. Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob při zpracování osobních údajů a o volném pohybu takových údajů.

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ:

Správce je povinen dodržovat zásady zpracování osobních údajů podle čl. 5 Nařízení GDPR, které zahrnují zejména:

• povinnost zpracovávat osobní údaje zákonně, korektně a transparentně,
• povinnost získávat osobní údaje jen pro vymezené, výslovně uvedené a legitimní účely a dále je nezpracovávat způsobem neslučitelným s těmito účely,
• povinnost zpracovávat osobní údaje jen v rozsahu přiměřeném, relevantním a nezbytném vzhledem k účelu,
• povinnost uchovávat osobní údaje v podobě umožňující identifikaci subjektů údajů nejdéle po dobu nezbytnou k účelům zpracování,
• povinnost zajistit správnost a aktualizaci osobních údajů; nepřesné údaje musí být neprodleně opraveny nebo vymazány,
• povinnost zpracovávat osobní údaje způsobem, který zajistí jejich přiměřenou bezpečnost,
• povinnost být schopen doložit soulad se zásadami zpracování na vyžádání dozorového orgánu.

ZÁKONNÝ DŮVOD ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ:

Zpracování osobních údajů Správcem je zákonné pouze tehdy, pokud se provádí na základě některého z právních základů stanovených v Nařízení GDPR a v ZOOÚ. Právními základy jsou zejména:

1. Čl. 6 odst. 1 písm. a) Nařízení GDPR, resp. § 13 odst. 1 písm. a) ZOOÚ – souhlas subjektu údajů se zpracováním osobních údajů pro jeden nebo více konkrétních účelů.
2. Čl. 6 odst. 1 písm. b) Nařízení GDPR, resp. § 13 odst. 1 písm. b) ZOOÚ – zpracování osobních údajů je nezbytné pro plnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření před uzavřením smlouvy na základě její žádosti.
3. Čl. 6 odst. 1 písm. c) Nařízení GDPR, resp. § 13 odst. 1 písm. c) ZOOÚ – zpracování osobních údajů je nezbytné pro splnění zákonné povinnosti, která se na Správce vztahuje.
4. Čl. 6 odst. 1 písm. f) Nařízení GDPR, resp. § 13 odst. 1 písm. f) ZOOÚ – zpracování osobních údajů je nezbytné pro účely oprávněných zájmů Správce nebo třetí strany, kromě případů, kdy nad těmito zájmy převažují zájmy nebo základní práva a svobody subjektu údajů, zejména pokud je jí dítě.
5. Další zpracování osobních údajů pro účely archivace, vědeckého nebo historického výzkumu nebo pro statistické účely, pokud je v souladu se zvláštním předpisem a pokud jsou dodrženy přiměřené záruky ochrany práv subjektu údajů. Tento právní základ se uplatní pouze v případě, že Správce provádí takové zpracování.

PROHLÁŠENÍ:

Prohlašujeme, že jako Správce vašich osobních údajů splňujeme všechny zákonné povinnosti vyžadované platnou legislativou, zejména podle ZOOÚ a Nařízení GDPR, a tedy že:

• budeme zpracovávat vaše osobní údaje pouze na základě platného právního důvodu v souladu s Nařízením GDPR a ZOOÚ uvedeného výše,
• budeme postupovat v souladu se zásadami zpracování osobních údajů podle čl. 5 Nařízení GDPR, které jsou uvedeny v těchto Zásadách,
• tímto si plníme informační povinnost podle čl. 13 Nařízení GDPR vůči subjektům údajů,
• umožníme vám a budeme vás podporovat při uplatňování a plnění vašich práv podle ZOOÚ a Nařízení GDPR.

Plnění informační povinnosti vůči subjektům údajů:

Plnění informační povinnosti vůči subjektům údajů se uskutečňuje v souladu s čl. 13 Nařízení GDPR, který upravuje povinnosti Správce při získávání osobních údajů přímo od subjektu údajů.

ÚČELY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Ke každému účelu jsou v přílohách těchto Zásad uvedeny všechny povinné náležitosti podle GDPR a ZOOÚ, a to zejména právní základ zpracování, kategorie subjektů údajů, rozsah zpracovávaných osobních údajů, doba jejich uchovávání a okruh příjemců. V případě potřeby jsou doplněny také další zákonem vyžadované informace (např. zdroj údajů, přenos do třetích zemí nebo existence automatizovaného rozhodování). Správce zpracovává osobní údaje pro následující účely, které jsou rozděleny podle kategorií subjektů údajů:

I. Informace pro návštěvníky a uživatele webové stránky a e-shopu

• Provoz, bezpečnost a správa webové stránky a e-shopu
• Kontaktní formulář
• Používání funkce „wishlist“ (seznam přání)

II. Informace pro zákazníky e-shopu – spotřebitele

• Nákup zboží a zákaznická podpora prostřednictvím e-shopu
• Účetní agenda
• Uplatnění dárkových poukázek nebo nákupních kreditů
• Reklamace (uplatnění práv z vad zboží nebo služby)

III. Informace pro zákazníky e-shopu – podnikatelské subjekty

• Nákup zboží a zákaznická podpora prostřednictvím e-shopu
• Účetní agenda
• Uplatnění práv z vad zboží nebo služby (odpovědnost za vady)

IV. Informace pro účastníky věrnostního programu e-shopu

• Registrace a účast ve věrnostním programu e-shopu

V. Informace pro příjemce marketingových oznámení a online reklamy

• Newsletter – marketingová komunikace
• Online reklama – Google Ads a remarketing

VI. Informace pro obchodní partnery – dodavatele a jejich zaměstnance nebo zástupce

• Komunikace a řízení smluvních vztahů
• Účetní agenda

ZABEZPEČENÍ A OCHRANA OSOBNÍCH ÚDAJŮ

Správce přijal veškerá přiměřená technická a organizační opatření s cílem zajistit ochranu zpracovávaných osobních údajů před neoprávněným přístupem, změnou, zničením, ztrátou nebo jiným neoprávněným zpracováním. Tato opatření jsou navržena s ohledem na povahu, rozsah, kontext a účely zpracování, jakož i na rizika pro práva a svobody subjektů údajů.

VAŠE PRÁVA V SOUVISLOSTI S OCHRANOU OSOBNÍCH ÚDAJŮ

Způsob a forma odpovědi:

Na žádosti a dotazy subjektů údajů bude Správce odpovídat stejným způsobem, jakým byla žádost podána (písemně / elektronicky / ústně), ledaže subjekt údajů výslovně požádá o jiný způsob. Poskytnutí informací ústní formou může být podmíněno ověřením totožnosti subjektu údajů. Má-li Správce oprávněné pochybnosti o totožnosti osoby, která žádost podala, je oprávněn požádat o doplňující informace potřebné k jejímu ověření.

Z důvodu ochrany osobních údajů si Správce vyhrazuje právo nereagovat elektronicky na žádosti, které nejsou podepsány kvalifikovaným elektronickým podpisem. V takových případech může být vhodnější zpracovat žádost písemně a doručit ji do vlastních rukou, aby se zabránilo riziku neoprávněného přístupu třetí osoby k chráněným údajům.

Lhůta pro vyřízení žádosti:

Podle § 29 odst. 3 zákona č. 18/2018 Z. z. je lhůta pro vyřízení žádosti subjektu údajů jeden měsíc od jejího doručení. V odůvodněných případech může být tato lhůta prodloužena o další dva měsíce – i opakovaně – s ohledem na složitost nebo počet žádostí. O každém prodloužení musí být subjekt údajů informován včetně důvodů prodloužení.

Informace o poplatcích:

Správce je oprávněn účtovat přiměřený poplatek zohledňující administrativní náklady v těchto případech:

• za druhou a každou další kopii poskytovaných údajů,
• nebo pokud je žádost zjevně nedůvodná či nepřiměřená, zejména pokud se opakuje.

Opakovanou žádostí se rozumí taková, která se týká týchž osobních údajů a téhož práva. Žádost o přístup následovaná žádostí o výmaz se nepovažuje za opakující se.

Vhodná opatření pro uplatnění práv subjektu údajů a opatření usnadňující výkon jeho práv:

Správce si vyhrazuje právo vyřídit žádosti online, pokud tuto možnost uzná za nejvhodnější.

Výčet práv, která nová právní úprava v oblasti ochrany osobních údajů přiznává subjektům údajů:

Tento výčet práv je použitelný a subjekt údajů si tato práva může u Správce uplatňovat pouze za splnění zákonných podmínek, které jsou dále v textu podrobněji specifikovány.

1. Právo na přístup

Subjekt údajů má právo získat od Správce potvrzení o tom, zda jsou zpracovávány osobní údaje, které se jej týkají, a pokud tomu tak je, má právo získat přístup k těmto osobním údajům a k informacím uvedeným v informační povinnosti.

Správce poskytne kopii osobních údajů, které jsou zpracovávány. Za jakékoli další kopie, o které subjekt údajů požádá, může Správce účtovat přiměřený poplatek odpovídající administrativním nákladům. Pokud subjekt údajů podal žádost elektronickými prostředky, budou informace poskytnuty v běžně používané elektronické podobě, pokud subjekt údajů nepožádá o jiný způsob.

Uplatněné právo na získání kopie osobních údajů nesmí mít nepříznivé důsledky pro práva a svobody jiných osob.

2. Právo na opravu

Subjekt údajů má právo na to, aby Správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají. S ohledem na účely zpracování má subjekt údajů právo na doplnění neúplných osobních údajů, a to i prostřednictvím poskytnutí doplňujícího prohlášení.

3. Právo na výmaz (právo být zapomenut)

Správce je povinen bez zbytečného odkladu vymazat osobní údaje, pokud subjekt údajů uplatnil právo na výmaz, a pokud:

1. osobní údaje již nejsou potřebné pro účel, pro který byly shromážděny nebo jinak zpracovávány,
2. subjekt údajů odvolá souhlas podle § 13 odst. 1 písm. a) nebo § 16 odst. 2 písm. a), na jehož základě je zpracování osobních údajů prováděno, a neexistuje jiný právní základ pro zpracování,
3. subjekt údajů vznese námitku proti zpracování osobních údajů podle § 27 odst. 1 a neexistují žádné převažující oprávněné důvody pro zpracování, nebo subjekt údajů vznese námitku proti zpracování osobních údajů podle § 27 odst. 2,
4. osobní údaje jsou zpracovávány protiprávně,
5. výmaz je nutný ke splnění povinnosti podle tohoto zákona, zvláštního právního předpisu nebo mezinárodní smlouvy, kterou je Česká republika vázána, nebo
6. osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti podle § 15 odst. 1.

Správce není povinen vymazat zpracovávané osobní údaje o subjektu údajů, pokud je zpracování osobních údajů nezbytné:

1. pro uplatnění práva na svobodu projevu nebo práva na informace,
2. pro splnění povinnosti podle tohoto zákona, zvláštního právního předpisu nebo mezinárodní smlouvy, kterou je Česká republika vázána, nebo pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, která byla správci svěřena,
3. z důvodů veřejného zájmu v oblasti veřejného zdraví v souladu s § 16 odst. 2 písm. h) až j),
4. pro účely archivace, pro vědecké účely, pro účely historického výzkumu nebo pro statistické účely podle § 78 odst. 8, pokud je pravděpodobné, že právo podle odstavce 1 znemožní nebo závažným způsobem ztíží dosažení cílů takového zpracování,
5. pro uplatnění právního nároku.

4. Právo na omezení zpracování

Subjekt údajů má právo na to, aby správce omezil zpracování, pokud nastane jeden z těchto případů:

1. subjekt údajů popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů ověřit;
2. zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho omezení jejich použití;
3. správce již nepotřebuje osobní údaje pro účely zpracování, ale subjekt údajů je požaduje pro prokázání, uplatnění nebo obhajobu právních nároků;
4. subjekt údajů vznesl námitku proti zpracování, a to do doby ověření, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů.

5. Právo na přenositelnost údajů

Subjekt údajů má právo získat osobní údaje, které se ho týkají a které poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a má právo předat tyto údaje jinému správci, aniž by mu v tom správce, kterému byly osobní údaje poskytnuty, bránil.

Subjekt údajů má při uplatňování svého práva na přenositelnost údajů podle odstavce 1 právo na to, aby osobní údaje byly předány přímo od jednoho správce druhému správci, je-li to technicky možné.

Právo uvedené v odstavci 1 nesmí mít nepříznivé důsledky pro práva a svobody jiných osob.

6. Právo vznést námitku proti zpracování osobních údajů

Subjekt údajů má právo z důvodů týkajících se jeho konkrétní situace vznést námitku proti zpracování osobních údajů, které se ho týkají, a které je prováděno na základě článku 6 odst. 1 písm. e) nebo f), včetně námitky proti profilování založenému na těchto ustanoveních.

Pokud jsou osobní údaje zpracovávány pro účely přímého marketingu, má subjekt údajů právo kdykoli vznést námitku proti zpracování osobních údajů, které se ho týkají, pro účely takového marketingu, včetně profilování v rozsahu, v jakém souvisí s takovým přímým marketingem.

Správce nesmí dále zpracovávat osobní údaje, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo důvody pro uplatnění právního nároku.

Pokud subjekt údajů vznese námitku proti zpracování pro účely přímého marketingu, osobní údaje již nesmí být pro tyto účely zpracovávány.

7. Právo nebýt předmětem automatizovaného individuálního rozhodování včetně profilování

Subjekt údajů má právo nebýt předmětem rozhodnutí, které je založeno výhradně na automatizovaném zpracování, včetně profilování, a které má pro něj právní účinky nebo se ho obdobně významně dotýká.

Odstavec 1 se nepoužije, pokud je rozhodnutí:

1. nezbytné pro uzavření nebo plnění smlouvy mezi subjektem údajů a správcem,
2. povoleno právem Unie nebo právem členského státu, kterému správce podléhá, a které zároveň stanovuje vhodná opatření zajišťující ochranu práv a svobod a oprávněných zájmů subjektu údajů, nebo
3. založeno na výslovném souhlasu subjektu údajů.

8. Právo odvolat souhlas se zpracováním osobních údajů

Pokud správce zpracovává osobní údaje subjektu údajů pouze na právním základě souhlasu, je povinen subjektu údajů zajistit právo kdykoli svůj souhlas odvolat, a to stejně snadnou formou, jakou byl souhlas udělen. Pokud správce zpracovává osobní údaje na jiném právním základě než je souhlas subjektu údajů, tato osoba nemá právo souhlas odvolat, neboť souhlas nebyl poskytnut.

9. Právo podat stížnost dozorovému orgánu

V případě pochybností o zákonnosti zpracování osobních údajů může subjekt údajů podat stížnost u dozorového orgánu, kterým je:

• Úřad na ochranu osobních údajů Slovenské republiky
• Budova Park One, Námestie 1. mája 18, 811 06 Bratislava
• číslo: +421 /2/ 3231 3214
• e-mail: dozor@pdp.gov.sk
• https://dataprotection.gov.sk

V případě podání návrhu elektronickou formou musí podání splňovat náležitosti podle § 19 odst. 1 zákona č. 71/1967 Zb. o správním řízení (správní řád).

Subjekt údajů si však může uplatnit své právo podat stížnost také u příslušného dozorového orgánu ve státě, kde má obvyklý pobyt nebo místo výkonu práce, anebo kde došlo k údajnému porušení.

V případě zákazníků z České republiky je tímto orgánem:

• Úřad pro ochranu osobních údajů (Česká republika)
• Sochora 27, 170 00 Praha 7
• číslo: +420 234 665 111
• e-mail: posta@uoou.cz
• https://www.uoou.cz

Subjekt údajů může uplatnit veškerá práva podle GDPR a ZOOÚ, přičemž rozsah uplatnitelných práv závisí na konkrétním účelu a právním základu zpracování. Správce každou žádost posuzuje individuálně. Podrobné přiřazení konkrétních práv k jednotlivým právním základům zpracování je uvedeno v Matici právních základů a práv subjektů údajů, která tvoří nedílnou součást těchto Zásad.

Svá práva můžete uplatnit kdykoli, a to písemnou formou nebo elektronicky doručením žádosti na níže uvedené kontaktní údaje:

VZORY PRO UPLATNĚNÍ PRÁV SUBJEKTŮ ÚDAJŮ

• Přístup k osobním údajům
• Oprava osobních údajů
• Výmaz osobních údajů
• Omezení zpracování osobních údajů
• Přenositelnost osobních údajů
• Vznést námitku proti zpracování osobních údajů
• Aby se na mě nevztahovalo automatizované individuální rozhodování a profilování
• Odvolání souhlasu se zpracováním osobních údajů

MLČENLIVOST:

Správce si dovoluje ujistit subjekty údajů, že všechny osoby, které se podílejí na zpracování osobních údajů jeho jménem nebo na jeho pokyn jsou povinny zachovávat mlčenlivost o osobních údajích, jejichž zpřístupnění by mohlo ohrozit jejich bezpečnost. Tato povinnost mlčenlivosti trvá i po ukončení právního či jiného oprávněného vztahu se Správcem. Bez výslovného souhlasu subjektu údajů nebudou jeho osobní údaje poskytnuty třetí straně.

Tyto zásady zpracování osobních údajů nahrazují předchozí verze a platí v aktuálním znění od

01.10.2025.

Verze: 02 | Schválil: Radoslav Ličko