Ochrana osobných údajov

Aké informácie zhromažďujeme

Pri objednávke sú povinne vyžadované len údaje nevyhnutne nutné pre úspešné vybavenie objednávky (meno, adresa a kontakt).

Ďalej v e-shope vyžadujeme fakturačné údaje, ktoré sú použité pre splnenie zákonných povinností.

Akým spôsobom zhromažďujeme informácie

Niektoré informácie získame priamo od vás (napríklad vyplnením registračného formulára). Niektoré zaznamenávame automaticky (pomocou súborov cookie).

Informácie, ktoré získavame od vás

Zhromažďujeme len údaje, ktoré sa nám rozhodnete poskytnúť alebo sú nevyhnutne nutné na splnenie zákonných náležitostí (fakturácia). Ak Vás požiadame o poskytnutie osobných údajov, nemusíte nám ich poskytnúť. Prípadné odmietnutie môže mať za následok obmedzenie služieb Upgates alebo nemožnosť naplno využívať funkcie systému.

Informácie, ktoré získavame automaticky

Automaticky zaznamenávame rôzne informácie o tom, akým spôsobom používate službu Upgates, k čomu využívame napríklad súbory cookie. To nám okrem iného umožňuje analyzovať, vylepšovať a zabezpečovať službu Upgates. Tieto údaje sú anonymné.

Na čo používame získané informácie

Poskytnuté údaje budú použité pre splnenie zákonných povinností, záväzkov, ako je napr. vybavenie objednávky, poprípade na vybavovanie reklamácií, apod. Osobné údaje sú tiež spracované prostredníctvom elektronickej databázy pre konanie nevyhnutné a úzko spojené s plnením povinností poskytovateľa a realizáciou zmluvy a tiež prípadne prostredníctvom tretích subjektov – spracovateľov osobných údajov zodpovedných za svoje konanie.

Používanie osobných údajov

Osobné informácie, ktoré zhromažďujeme, nám pomáhajú poskytovať a vylepšovať náš produkt a služby s ním spojené. Ďalej slúžia na efektívnu komunikáciu s Vami.

Zdieľanie osobných údajov

Údaje sú k dispozícii len poskytovateľovi služby Upgates (Evici webdesign s.r.o.), tretím stranám sú poskytované len s výnimkou situácie súvisiacej s distribúciou či platobným stykom, vedením účtovníctva a plnením ďalších zákonných povinností poskytovateľa. Žiadnej ďalšej osobe nebudú poskytnuté.

Anonymné informácie

Služby spoločnosti Evici webdesign s.r.o. používajú v rámci zvyšovania kvality služieb, personalizácie ponuky, zberu anonymných údajov a pre analytické účely tzv. súbory cookie. Používaním webu súhlasíte s použitím spomenutej technológie.

Všeobecné informácie

Spracovateľ osobných údajov - Evici webdesign s.r.o. (údaje sú šifrované a ukladané na vývojárskych serveroch v kanceláriách v Ostrave a v spoločnosti Linode, LLC)

Prevádzkovateľ serverov - Linode, LLC (servery sú umiestnené v Londýne alebo Frankfurkte).

Umiestnenie serverov - Servery s1, s3 a s6 sú umiestnené v Londýne (Anglicko, UK), ostatné servery vo Frankfurte (Nemecko, DE).

Bezpečnosť údajov

Užívateľ a poskytovateľ sa zaväzujú vzájomne zaobchádzať dôverne so všetkými podkladmi a informáciami, ktoré sú výslovne označené ako dôverné, ktorých dôvernosť vyplýva zo zákona, alebo rozpoznateľne nie sú určené pre tretiu osobu.

Aktualizácia

Priebežne budeme tieto informácie aktualizovať, aby sme Vás lepšie informovali o tom, ako s osobnými údajmi nakladáme.

Spracovateľská zmluva

  1. Poskytovateľ je vo vzťahu k osobným údajom klientov spracovávateľom podľa čl. 28 GDPR. Klient je správcom týchto údajov.
  2. Tieto podmienky upravujú vzájomné práva a povinnosti pri spracovaní osobných údajov, ku ktorým Poskytovateľ získal prístup v rámci plnenia licenčnej zmluvy uzatvorenej formou odsúhlasenia obchodných podmienok na www.upgates.cz (ďalej len „licenčná zmluva“) uzatvorenej s Užívateľom ku dňu založenia užívateľského účtu.
  3. Poskytovateľ sa zaväzuje pre Užívateľa spracovávať osobné údaje v rozsahu a za účelom stanovenými v bodoch 4 - 7 tejto zmluvy. Prostriedky spracovania budú automatizované. Poskytovateľ bude v rámci spracovania osobné údaje zhromažďovať, ukladať na nosiče informácií, uchovávať, blokovať a likvidovať. Poskytovateľ nie je oprávnený osobné údaje spracovávať v rozpore alebo nad rámec stanovený týmito podmienkami.
  4. Poskytovateľ sa zaväzuje pre užívateľa spracovávať osobné údaje v tomto rozsahu:
    1. bežné osobné údaje
    2. zvláštne kategórie údajov podľa čl. 9 GDPR
  5. Poskytovateľ sa zaväzuje pre užívateľa spracovávať osobné údaje za účelom poskytovania platformy Upgates formou licenčnej zmluvy.
  6. Osobné údaje je možné spracovávať len na pracoviskách Poskytovateľa alebo jeho dodávateľov podľa bodu 8 týchto podmienok, a to na území Európskej únie.
  7. Poskytovateľ sa zaväzuje pre Užívateľa spracovávať osobné údaje klientov Užívateľa, to všetko po dobu nevyhnutnú k výkonu práv a povinností vyplývajúcich zo zmluvného vzťahu medzi Poskytovateľom a Užívateľom a z uplatňovania nárokov z týchto zmluvných vzťahov (po dobu 5 rokov od ukončenia zmluvného vzťahu).
  8. Užívateľ udeľuje povolenie so zapojením subdodávateľa ako ďalšieho spracovávateľa podľa čl. 28 ods. 2 GDPR, ktorým je poskytovateľ hostingu Linode LLC. Užívateľ ďalej udeľuje Poskytovateľovi všeobecné povolenie zapojiť do spracovania ďalšieho spracovávateľa osobných údajov. Poskytovateľ však musí užívateľa písomne informovať o všetkých zamýšľaných zmenách týkajúcich sa prijatia ďalších spracovávateľov alebo ich nahradenia a poskytnúť užívateľovi možnosť vysloviť voči týmto zmenám námietky. Poskytovateľ musí uložiť svojim subdodávateľom v postavení spracovávateľa osobných údajov rovnaké povinnosti na ochranu osobných údajov, ako sú stanovené v týchto podmienkach.
  9. Poskytovateľ sa zaväzuje, že spracovávanie osobných údajov bude zabezpečené hlavne nasledujúcim spôsobom:
    1. Osobné údaje sú spracované v súlade s právnymi predpismi a na základe pokynov Užívateľa, tj. pre výkon všetkých činností potrebných pre poskytovanie eshopovej platformy Upgates formou licenčnej zmluvy.
    2. Poskytovateľ sa zaväzuje, že technicky a organizačne zabezpečí ochranu spracovávaných osobných údajov tak, aby nemohlo dôjsť k neoprávnenému alebo náhodnému prístupu k údajom, k ich zmene, zničeniu či strate, neoprávneným prenosom, k ich inému neoprávnenému spracovaniu, ako aj k inému zneužitiu a aby boli personálne a organizačne nepretržite po dobu spracovávania údajov zabezpečené všetky povinnosti spracovávateľa osobných údajov, vyplývajúce z právnych predpisov.
    3. Prijaté technické a organizačné opatrenia zodpovedajú miere rizika. Poskytovateľ pomocou nich zaisťuje neustálu dôvernosť, integritu, dostupnosť a odolnosť systémov a služieb spracovania, a včas obnovuje dostupnosť osobných údajov a prístup k nim v prípade fyzických či technických incidentov.
    4. Poskytovateľ týmto prehlasuje, že ochrana osobných údajov podlieha interným bezpečnostným predpisom Poskytovateľa.
    5. K osobným údajom budú mať prístup len oprávnené osoby Poskytovateľa a subdodávateľov podľa bodu 8 týchto podmienok, ktoré budú mať Poskytovateľom stanovené podmienky a rozsah spracovania údajov a každá taká osoba bude prristupovať k osobným údajom pod svojim jednoznačným identifikátorom.
    6. Oprávnené osoby Poskytovateľa, ktoré spracovávajú osobné údaje podľa týchto podmienok, sú povinné zachovávať mlčanlivosť o osobných údajoch a o bezpečnostných opatreniach, ktorých zverejnenie by ohrozilo ich zabezpečenie. Poskytovateľ zaistí ich preukázateľné zaviazanie k tejto povinnosti. Poskytovateľ zaistí, že táto povinnosť pre Poskytovateľa aj oprávnené osoby bude trvať aj po skončení pracovnoprávneho alebo iného vzťahu k Poskytovateľovi.
    7. Poskytovateľ bude užívateľovi nápomocný prostredníctvom vhodných technických a organizačných opatrení, pokiaľ je to možné, pre splnenie užívateľovej povinnosti reagovať na žiadosti o výkon práv subjektu údajov stanovených v GDPR; rovnako tak pri zaisťovaní súladu s povinnosťami podľa čl. 32 až 36 GDPR, a to pri zohľadnení povahy spracovania a informácií, ktoré má Poskytovateľ k dispozícii.
    8. Po ukončení poskytovania plnenia, ktoré je spojené so spracovaním, podľa bodu 7 týchto podmienok, je Poskytovateľ povinný všetky osobné údaje vymazať, alebo ich vrátiť Užívateľovi, pokiaľ nemá povinnosť uložiť osobné údaje na základe zvláštneho zákona.
    9. Poskytovateľ poskytne Užívateľovi všetky informácie potrebné k doloženiu toho, že boli splnené povinnosti podľa tejto zmluvy a GDPR, umožní audity, vrátane inšpekcií, vykonané Užívateľom alebo iným auditorom, ktorého užívateľ poveril.
  10. Užívateľ sa zaväzuje okamžite ohlasovať všetky jemu známe skutočnosti, ktoré by mohli nepriaznivo ovplyvniť riadne a včasné plnenie záväzkov vyplývajúcich z týchto podmienok a poskytnúť Poskytovateľovi súčinnosť nevyhnutnú pre plnenie týchto podmienok.

Popis procesov riešenia bezpečnostných incidentov

Bezpečnostný incident – situácia, pri ktorej došlo k ohrozeniu bezpečnosti osobných údajov alebo k porušeniu pravidiel. Bezpečnostný incident vzniká v dôsledku zlyhania alebo nedodržania bezpečnostných opatrení alebo porušenia bezpečnostnej politiky.

Bezpečnostným incidentom môžu byť napr. tieto udalosti: krádež, vykradnutie, vlámanie, útok, neoprávnený prístup k informáciám alebo údajom, neoprávnené použitie informácií, neoprávnený vstup do budovy alebo do systému, zmazanie údajov, zlyhanie infraštruktúry alebo pripojenie, zlyhanie serveru, databázy alebo aplikácie, hackerský útok, prienik do systému údajov, vírusový útok, útok vydieračským softvérom (ransomware), prírodná katastrofa, falšovanie webovej stránky (spoofing).

Pri bezpečnostnom incidente môže dôjsť k ohrozeniu, strate, odcudzeniu, zneužitiu alebo zmene údajov alebo informácií.

Ako bezpečnostný incident môže byť vyhodnotený aj neúspešný pokus o odcudzenie alebo iné znehodnotenie informácií.

Zodpovedné osoby poverené riešením incidentov, zisťovaním výskytu porušení a posudzovaním rizika sú: Ing. Jan Rataj (konateľ).

V prípade, že Poskytovateľ zistí, že došlo k bezpečnostnému incidentu, okamžite vykoná prešetrenie, či nedošlo k porušeniu zabezpečenia osobných údajov.

Pokiaľ Poskytovateľ zistí, že došlo k porušeniu bezpečnosti osobných údajov, posúdi riziko pre subjekty údajov. Riziká sú posudzované podľa týchto kritérií:

  • Typ porušenia – sprístupnenie spôsobí väčšie riziko ako ich úplná strata.
  • Povaha, citlivosť a objem osobných údajov – čím citlivejšie údaje, tým väčšie riziko pre jednotlivca, kombinácia osobných údajov je viac citlivá ako samotná dátová položka.
  • Jednoduchosť identifikácie jednotlivcov – niekedy je možné vykonať priamo z narušených osobných údajov. Šifrované dáta bez šifrovacieho kľúča sú pre nepovolanú osobu nečitateľné.
  • Závažnosť dôsledkov pre jednotlivca – pri citlivých údajoch môže byť potenciálna škoda pre jednotlivca zvlášť závažná, porušenie osobných údajov u zraniteľných jednotlivcov môže predstavovať vyššie riziko ujmy. Dlhodobé účinky majú väčší dopad.
  • Zvláštne charakteristiky jednotlivca – napr. deti, ľudia s postihnutím alebo zraniteľné osoby.
  • Počet dotknutých jednotlivcov – čím väčší počet dotknutých jednotlivcov, tým väčší dopad môže porušenie mať.
  • Zvláštne charakteristiky Poskytovateľa – sú rozdiely v citlivosti spracovávaných osobných údajov.

Vyhodnotením rizík Poskytovateľ môže dospieť k týmto záverom:

  1. Je nepravdepodobné, že by toto porušenie malo za následok riziko pre práva a slobody fyzických osôb.
  2. Je pravdepodobné, že porušenie bude mať za následok riziko pre práva a slobody jednotlivcov.
  3. Je pravdepodobné, že porušenie bude mať za následok vysoké riziko pre práva a slobody jednotlivcov. Vyššie riziko vznikne pri porušení ochrany zvláštnej kategórie osobných údajov (citlivých údajov).

Z vyhodnotenia rizík podľa a) nevyplýva Poskytovateľovi žiadna ohlasovacia resp. oznamovacia povinnosť.

Z vyhodnotenia rizík podľa b) vyplynie pre Poskytovateľa ohlasovacia povinnosť k dozornému úradu.

Z vyhodnotenia podľa c) vyplynie pre Poskytovateľa oznamovacia povinnosť k dozornému úradu a k subjektu údajov.

Poskytovateľovi vzniká ohlasovacia povinnosť dozornému úradu, len keď je pravdepodobné, že porušenie bude mať za následok riziko pre práva a slobody jednotlivcov.

Účelom ohlasovacej povinnosti je obmedzenie ujmy spôsobenej fyzickým osobám. Porušenie ochrany osobných údajov musí byť nahlásené najneskôr do 72 hodín dozornému úradu na niektorú z uvedených možností:

Adresa Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7

E-mail posta@uoou.cz

ID dátovej schránky qkbaa2n

Ak nie je možné poskytnúť informácie súčasne, môžu byť poskytnuté postupne bez ďalšieho zbytočného odkladu.

Pokiaľ sa porušenia týkajú rovnakého typu osobných údajov, ich zabezpečenie bolo porušené rovnakým spôsobom počas pomerne krátkej doby, je možné vykonať hromadné ohlásenie.

V ohlásení budú dozornému úradu poskytnuté aspoň tieto informácie:

  1. popis povahy daného prípadu porušenia zabezpečenia osobných údajov vrátane, pokiaľ je to možné, kategórií a približného počtu dotknutých subjektov údajov (napr. deti, ľudia s postihnutím, zamestnanci, zraniteľné skupiny ľudí atď.) a kategórií a približného množstva dotknutých záznamov osobných údajov (napr. zdravotné údaje, školské záznamy, informácie o sociálnej starostlivosti, finančné údaje, čísla bankových účtov, čísla pasov atď.);
  2. meno a kontaktné údaje poverenca pre ochranu osobných údajov alebo iného kontaktného miesta, ktoré môže poskytnúť bližšie informácie;
  3. popis pravdepodobných dôsledkov porušenia zabezpečenia osobných údajov;
  4. popis opatrení, ktoré Poskytovateľ prijal alebo navrhol na prijatie s cieľom vyriešiť dané porušenie zabezpečenia osobných údajov, vrátane prípadných opatrení na zmiernenie možných nepriaznivých dopadov.

Poskytovateľovi vzniká oznamovacia povinnosť voči jednotlivci, len keď je pravdepodobné, že porušenie bude mať za následok vysoké riziko pre práva a slobody jednotlivcov, tj. porušenie môže viesť u dotknutého jednotlivca k materiálnej alebo nemateriálnej škode (diskriminácii, krádeži totožnosti, podvodu, peňažnej strate, poškodeniu povesti atď.).

Poskytovateľ oznámi toto porušenie bez zbytočného odkladu subjektu osobných údajov a dozornému úradu.

V oznámení subjektu údajov budú poskytnuté aspoň tieto informácie:

  1. popis povahy porušenia;
  2. meno a kontaktné údaje poverenca pre ochranu osobných údajov alebo iné kontaktné miesto;
  3. popis pravdepodobných dôsledkov porušenia;
  4. popis opatrení prijatých alebo navrhnutých Poskytovateľom pre riešenie prípadu, vrátane prípadných opatrení na zmiernenie možných nepriaznivých dopadov.

Poskytovateľ môže poskytnúť podľa možností jednotlivcom konkrétnu radu, ako sa chrániť pred možnými nepriaznivými dôsledkami porušenia (napr. resetovanie hesla apod.).

Oznámenie subjektu údajov uvedené vyššie sa nevyžaduje, ak je splnená ktorákoľvek z týchto podmienok:

  1. Poskytovateľ zaviedol náležité technické a organizačné ochranné opatrenia a tieto opatrenia boli použité u osobných údajov dotknutých porušením zabezpečenia osobných údajov. Ide hlavne o také opatrenia, ktoré učinili tieto údaje nezrozumiteľnými pre kohokoľvek, kto nie je oprávnený k nim mať prístup, ako je napríklad šifrovanie.
  2. Poskytovateľ prijal následné opatrenia, ktoré zaistili, že vysoké riziko pre práva a slobody subjektov údajov sa už pravdepodobne neprejavia.
  3. Vyžadovalo by to neprimerané úsilie. V takom prípade musia byť subjekty údajov informované rovnako účinným spôsobom pomocou verejného oznámenia alebo podobného opatrenia.

Pokiaľ dozorný úrad usúdi, že dané porušenie bude mať s vysokou pravdepodobnosťou za následok vysoké riziko, môže od Poskytovateľa požadovať, aby dotknutému subjektu údajov toto porušenie oznámil, ak tak doposiaľ neurobil. Môže však tiež rozhodnúť, že je splnená niektorá z podmienok uvedených v predchádzajúcom odseku.

Poskytovateľ dokumentuje všetky prípady porušenia zabezpečenia osobných údajov, pričom uvedie skutočnosti, ktoré sa týkajú daného porušenia, jeho účinky a prijaté nápravné opatrenia.

Poskytovateľ vedie dokumentáciu o všetkých prípadoch, aj keď nevznikne povinnosť hlásiť ich dozornému úradu. Popis porušenia musí obsahovať:

  • popis udalosti,
  • príčiny porušenia,
  • aké osobné údaje boli dotknuté,
  • účinky a dôsledky porušenia,
  • nápravné opatrenia prijaté Poskytovateľom,
  • zdôvodnenie prípadného neohlásenia incidentu resp. porušenia, dôvody odkladu pri oneskorenom podaní ohlásenia,
  • doklad o oznámení subjektom osobných údajov,
  • doklad o tom, že zamestnanci Poskytovateľa boli poučení o tom, ako sa majú v prípade porušenia zabezpečenia osobných údajov zachovať.

Podobným spôsobom Poskytovateľ zaznamená bezpečnostné incidenty, pri ktorých sa okamžite neprejavilo porušenie zabezpečenia osobných údajov, ale zároveň nie je vylúčené, že sa toto porušenie neprejaví neskôr.

Rola poverenca pre ochranu osobných údajov – poverenec spolupracuje s dozorným úradom a pôsobí ako kontaktné miesto pre dozorný úrad a subjekty údajov. Meno a kontakt na poverenca uvádza Poskytovateľ pri ohlasovaní udalosti.

Poskytovateľ zoznámi svojich zamestnancov s procesmi riešenia incidentov a poučí ich o tom, ako sa majú správať, aby predchádzali prípadom porušenia zabezpečenia osobných údajov, a ako sa správať v prípadoch, kedy k tomuto porušeniu dôjde. Poučenie zamestnancov sa vykonáva pri nástupe do zamestnania, ďalej pravidelne raz za 2 roky.

Akýkoľvek bezpečnostný incident zamestnanci nahlásia svojmu vedúcemu zamestnancovi, ktorý kontaktuje zodpovedné osoby Poskytovateľa. V prípade, že došlo k porušeniu zabezpečenia osobných údajov, kontaktujú poverenca pre ochranu osobných údajov.

Pokiaľ Poskytovateľ používa dodávateľa a tento dodávateľ zistí porušenie zabezpečenia osobných údajov, ktoré pre Poskytovateľa spracováva, musí to Poskytovateľovi ohlásiť bez zbytočného odkladu. Ak poskytuje dodávateľ služby viacerým Poskytovateľom, ktorí všetci boli postihnutí tým istým incidentom, musí dodávateľ ohlásiť podrobnosti o tomto incidente všetkým Poskytovateľom.

Na tejto stránke

Další zdroje informací

Facebook poradna

Výměna zkušeností, rady a tipy mezi provozovateli e-shopů na systému UPgates.

Přejít do poradny

Akademie

Získejte znalosti od našich specialistů na marketing, obchod, právo a podnikání.

Přejít do akademie

Novinky z Blogu

Co nového jsme pro vás připravili nebo chystáme najdete na blogu.

Přejít do blogu

Nepodařilo se Vám najít tu správnou odpověď?

Kontaktujte naši technickou podporu, která je tu pro vás od pondělí do pátku 8:00 až 16:00 hod.

Zákaznická podpora