Powered by Smartsupp

Ochrana osobních údajů

Ochrana osobných údajov

Prevádzkovateľ eshopu:

Ľubomír Kuzara

Michálkovická 1810/181, Ostrava - Sliezska Ostrava, 710 00,

ič: 66914019

Aké informácie zhromažďujeme

Pri objednávke sú povinne vyžadované iba údaje nevyhnutné pre úspešné vybavenie objednávky (meno, adresa a kontakt).

Ďalej v e-shope vyžadujeme fakturačné údaje, ktoré sú použité na splnenie zákonných povinností.

Akým spôsobom zhromažďujeme informácie

Niektoré informácie získame priamo od vás (napríklad vyplnením registračného formulára). Niektoré zaznamenávame automaticky (pomocou súborov cookie).

Informácie, ktoré získavame od vás

Zhromažďujeme iba údaje, ktoré sa nám rozhodnete poskytnúť alebo sú nevyhnutné na splnenie zákonných náležitostí (fakturácia). Ak Vás požiadame o poskytnutie osobných údajov, nemusíte nám ich poskytnúť. Prípadné odmietnutie môže mať za následok obmedzenie služieb Upgates alebo nemožnosť naplno využívať funkcie systému.

Informácie, ktoré získavame automaticky

Automaticky zaznamenávame rôzne informácie o tom, akým spôsobom používate službu Upgates, na čo využívame napríklad súbory cookie. To nám okrem iného umožňuje analyzovať, vylepšovať a zabezpečovať službu Upgates. Tieto údaje sú anonymné.

Na čo používame získané informácie

Poskytnuté údaje budú použité na splnenie zákonných povinností, záväzkov, ako je napr. vybavenie objednávky, poprípade na vybavovanie reklamácií, apod. Osobné údaje sú tiež spracovávané prostredníctvom elektronickej databázy pre konanie nevyhnutné a úzko spojené s plnením povinností poskytovateľa a realizáciou zmluvy a prípadne prostredníctvom tretích subjektov – spracovateľov osobných údajov zodpovedných za svoje konanie.

Používanie osobných údajov

Osobné informácie, ktoré zhromažďujeme, nám pomáhajú poskytovať a vylepšovať náš produkt a služby s ním spojené. Ďalej slúži na efektívnu komunikáciu s Vami.

Zdieľanie osobných údajov

Údaje sú k dispozícii iba poskytovateľovi služby Upgates (Evici webdesign s.r.o.), tretím stranám sú poskytované len s výnimkou situácie súvisiacej s distribúciou či platobným stykom, vedením účtovníctva a plnením ďalších zákonných povinností poskytovateľa. Žiadnej ďalšej osobe nebudú poskytnuté.

Anonymné informácie

Služby spoločnosti Evici webdesign s.r.o. používajú v rámci zvyšovania kvality služieb, personalizácie ponuky, zberu anonymných dát a na analytické účely tzv. súbory cookie. Používaním webu súhlasíte s použitím spomínanej technológie.

Všeobecné informácie

Spracovateľ osobných údajov - Evici webdesign s.r.o. (údaje sú šifrované a ukladané na vývojárskych serveroch v kanceláriách v Ostrave a v spoločnosti Linode, LLC)

Prevádzkovateľ serverov - Linode, LLC (servery sú umiestnené v Londýne alebo Franfurkte).

Umiestnenie serverov - Servery s1, s3 a s6 sú umiestnené v Londýne (Anglicko, UK), ostatné servery vo Frankfurte (Nemecko, DE).

Bezpečnosť dát

Užívateľ a poskytovateľ sa zaväzujú vzájomne zaobchádzať dôverne so všetkými podkladmi a informáciami, ktoré sú výslovne označené ako dôverné, ktorých dôvernosť vyplýva zo zákona, alebo rozpoznateľne nie sú určené pre tretiu osobu.

Aktualizácia

Priebežne budeme tieto informácie aktualizovať, aby sme Vás lepšie informovali o tom, ako s osobnými údajmi nakladáme.

Spracovateľská zmluva

Poskytovateľ je vo vzťahu k osobným údajom klientov spracovateľom podľa čl. 28 GDPR. Klient je správcom týchto údajov.
Tieto podmienky upravujú vzájomné práva a povinnosti pri spracovaní osobných údajov, ku ktorým získal Poskytovateľ prístup v rámci plnenia licenčnej zmluvy uzavretej formou odsúhlasenia obchodných podmienok na www.upgates.sk (ďalej len „licenčná zmluva“) uzavreté s Užívateľom ku dňu zriadenia užívateľského účtu.
Poskytovateľ sa zaväzuje pre Užívateľa spracovávať osobné údaje v rozsahu a za účelom stanovenými v bodoch 4 - 7 tejto zmluvy. Prostriedky spracovania budú automatizované. Poskytovateľ bude v rámci spracovania osobné údaje zhromažďovať, ukladať na nosiče informácií, uchovávať, blokovať a likvidovať. Poskytovateľ nie je oprávnený osobné údaje spracovávať v rozpore alebo nad rámec stanovený týmito podmienkami.
Poskytovateľ sa zaväzuje pre užívateľov spracovávať osobné údaje v tomto rozsahu:
bežné osobné údaje
osobitné kategórie údajov podľa článku 9 GDPR

Poskytovateľ sa zaväzuje pre užívateľov spracovávať osobné údaje za účelom poskytovania platformy Upgates formou licenčnej zmluvy.
Osobné údaje je možné spracovávať iba na pracoviskách Poskytovateľa alebo jeho dodávateľov podľa bodu 8 týchto podmienok, a to na území Európskej únie.
Poskytovateľ sa zaväzuje pre Užívateľa spracovávať osobné údaje klientov Užívateľa, to všetko po dobu nevyhnutnú na výkon práv a povinností vyplývajúcich zo zmluvného vzťahu medzi Poskytovateľom a Užívateľom a z uplatňovania nárokov z týchto zmluvných vzťahov (po dobu 5 rokov od ukončenia zmluvného vzťahu).
Užívateľ udeľuje povolenie so zapojením subdodávateľa ako ďalšieho spracovateľa podľa článku 28 ods. 2 GDPR, ktorým je poskytovateľ hostingu Linode LLC. Užívateľ ďalej udeľuje Poskytovateľovi všeobecné povolenie zapojiť do spracovania ďalšieho spracovateľa osobných údajov, Poskytovateľ však musí užívateľa písomne informovať o všetkých zamýšľaných zmenách týkajúcich sa prijatia ďalších spracovateľov alebo ich nahradení a poskytnúť užívateľovi možnosť vysloviť voči týmto zmenám námietky. Poskytovateľ musí uložiť svojim subdodávateľom v postavení spracovateľa osobných údajov rovnaké povinnosti na ochranu osobných údajov, ako sú stanovené v týchto podmienkach.
Poskytovateľ sa zaväzuje, že spracovávanie osobných údajov bude zabezpečené najmä nasledujúcim spôsobom:
Osobné údaje sú spracovávané v súlade s právnymi predpismi a na základe pokynov Užívateľa, tj pre výkon všetkých činností potrebných na poskytovanie eshopovej platformy Upgates formou licenčnej zmluvy.
Poskytovateľ sa zaväzuje, že technicky a organizačne zabezpečí ochranu spracovávaných osobných údajov tak, aby nemohlo dôjsť k neoprávnenému alebo náhodnému prístupu k údajom, k ich zmene, zničeniu či strate, neoprávneným prenosom, k ich inému neoprávnenému spracovaniu, ako aj k inému zneužitiu a aby boli personálne a organizačne nepretržite počas spracovávania údajov zabezpečené všetky povinnosti spracovateľa osobných údajov, vyplývajúce z právnych predpisov.
Prijaté technické a organizačné opatrenia zodpovedajú miere rizika. Poskytovateľ pomocou nich zaisťuje neustálu dôvernosť, integritu, dostupnosť a odolnosť systémov a služieb spracovania, a včas obnovuje dostupnosť osobných údajov a prístup k nim v prípade fyzických či technických incidentov.
Poskytovateľ týmto prehlasuje, že ochrana osobných údajov podlieha interným bezpečnostným predpisom Poskytovateľa.
K osobným údajom budú mať prístup iba oprávnené osoby Poskytovateľa a subdodávateľov podľa bodu 8 týchto podmienok, ktoré budú mať Poskytovateľom stanovené podmienky a rozsah spracovania údajov a každá taká osoba bude pristupovať k osobným údajom pod svojim jednoznačným identifikátorom.
Oprávnené osoby Poskytovateľa, ktoré spracovávajú osobné údaje podľa týchto podmienok, sú povinné zachovávať mlčanlivosť o osobných údajoch a o bezpečnostných opatreniach, ktorých zverejnenie by ohrozilo ich zabezpečenie. Poskytovateľ zaistí ich preukázateľné zaviazanie k tejto povinnosti. Poskytovateľ zaistí, že táto povinnosť pre Poskytovateľa i oprávnené osoby bude trvať aj po skončení pracovnoprávneho alebo iného vzťahu k Poskytovateľovi.

Poskytovateľ bude pomáhať užívateľovi prostredníctvom vhodných technických a organizačných opatrení, pokiaľ je to možné, na splnenie užívateľovej povinnosti reagovať na žiadosti o výkon práv subjektu údajov stanovených v GDPR; rovnako tak pri zabezpečovaní súladu s povinnosťami podľa čl. 32 až 36 GDPR, a to pri zohľadnení povahy spracovania a informácií, ktoré má Poskytovateľ k dispozícii.
Po ukončení poskytovania plnenia, ktoré je spojené so spracovaním, podľa bodu 7 týchto podmienok, je Poskytovateľ povinný všetky osobné údaje vymazať, alebo ich vrátiť Užívateľovi, pokiaľ nemá povinnosť uložiť osobné údaje na základe osobitného zákona.
Poskytovateľ poskytne Užívateľovi všetky informácie potrebné na doloženie toho, že boli splnené povinnosti podľa tejto zmluvy a GDPR, umožnia audity, vrátane inšpekcií, vykonávané Užívateľom alebo iným audítorom, ktorého užívateľ poveril.
Užívateľ sa zaväzuje bezodkladne ohlasovať všetky jemu známe skutočnosti, ktoré by mohli nepriaznivo ovplyvniť riadne a včasné plnenie záväzkov vyplývajúcich z týchto podmienok na a poskytnúť Poskytovateľovi súčinnosť nevyhnutnú pre plnenie týchto podmienok.

Popis procesov riešenia bezpečnostných incidentov

Bezpečnostný incident – situácia, pri ktorej došlo k ohrozeniu bezpečnosti osobných údajov alebo k porušeniu pravidiel. Bezpečnostný incident vzniká v dôsledku zlyhania alebo nedodržania bezpečnostných opatrení alebo porušenia bezpečnostnej politiky.

Bezpečnostným incidentom môžu byť napr. tieto udalosti: krádež, vykradnutie, vlámanie, útok, neoprávnený prístup k informáciám alebo dátam, neoprávnené použitie informácií, neoprávnený vstup do budovy alebo do systému, zmazanie dát, zlyhanie infraštruktúry alebo pripojenia, zlyhanie servera, databázy alebo aplikácie , hackerský útok, prienik do systému dát, vírusový útok, útok vydieračským softvérom (ransomware), prírodná katastrofa, falšovanie webovej stránky (spoofing).

Pri bezpečnostnom incidente môže dôjsť k ohrozeniu, strate, odcudzeniu, zneužitiu alebo zmene dát alebo informácií.

Ako bezpečnostný incident môže byť vyhodnotený aj obyčajný neúspešný pokus o odcudzenie alebo iné znehodnotenie informácií.

Zodpovedné osoby poverené riešením incidentov, zisťovaním výskytu porušenia a posudzovaním rizika sú: Ing. Ján Rataj (konateľ).

V prípade, že Poskytovateľ zistí, že došlo k bezpečnostnému incidentu, bezodkladne vykoná vyšetrovanie, či nedošlo k porušeniu zabezpečenia osobných údajov.

Ak Poskytovateľ zistí, že došlo k porušeniu bezpečnosti osobných údajov, posúdi riziko pre subjekty údajov. Riziká sú posudzované podľa týchto kritérií:

Typ porušenia – sprístupnenie spôsobí väčšie riziko ako ich úplná strata.
Povaha, citlivosť a objem osobných údajov – čím citlivejšie dáta, tým väčšie riziko pre jednotlivcov, kombinácia osobných údajov je viac citlivá ako samotná dátová položka.
Jednoduchosť identifikácie jednotlivcov – niekedy je možné vykonať priamo z narušených osobných dát. Šifrované dáta bez šifrovacieho kľúča sú pre nevolanú osobu nečitateľné.
Závažnosť dôsledkov pre jednotlivcov – u citlivých dát môže byť potenciálna škoda pre jednotlivcov zvlášť závažná, porušenie osobných údajov u zraniteľných jednotlivcov môže predstavovať vyššie riziko ujmy. Dlhodobé účinky majú väčší vplyv.
Zvláštne charakteristiky jednotlivca – napr. deti, ľudia s postihnutím alebo zraniteľné osoby.
Počet dotknutých jednotlivcov – čím väčší počet dotknutých jednotlivcov, tým väčší vplyv môže porušenie mať.
Zvláštne charakteristiky Poskytovateľa – sú rozdiely v citlivosti spracovávaných osobných údajov.

Vyhodnotením rizík Poskytovateľom môže dospieť k týmto záverom:

Je nepravdepodobné, že by toto porušenie malo za následok riziko pre práva a slobody fyzických osôb.
Je pravdepodobné, že porušenie bude mať za následok riziko pre práva a slobody jednotlivcov.
Je pravdepodobné, že porušenie bude mať za následok vysoké riziko pre práva a slobody jednotlivcov. Vyššie riziko vznikne pri porušení ochrany osobitnej kategórie osobných údajov (citlivých údajov).

Z vyhodnotenia rizík podľa a) nevyplýva Poskytovateľovi žiadna ohlasovacia resp. oznamovacia povinnosť.

Z vyhodnotenia rizík podľa b) vyplynie pre Poskytovateľa ohlasovaciu povinnosť k dozornému úradu.

Z vyhodnotenia podľa c) vyplynie pre Posktytovateľov oznamovaciu povinnosť k dozornému úradu ak subjektu údajov.

Posktytovateľovi vzniká ohlasovacia povinnosť dozornému úradu, len keď je pravdepodobné, že porušenie bude mať za následok riziko pre práva a slobody jednotlivcov.

Účelom ohlasovacej povinnosti je obmedzenie ujmy spôsobenej fyzickým osobám. Porušenie ochrany osobných údajov musí byť nahlásené najneskôr do 72 hodín dozornému úradu na niektorú z uvedených možností:

Adresa Úrad pre ochranu osobných údajov, Pplk. Sochora 27, 170 00 Praha 7
E-mail posta@uoou.cz
ID dátovej schránky qkbaa2n

Ak nie je možné poskytnúť informácie súčasne, môžu byť poskytnuté postupne bez ďalšieho zbytočného odkladu.

Pokiaľ sa porušenia týkajú rovnakého typu osobných údajov, ktorých zabezpečenie bolo porušené rovnakým spôsobom počas pomerne krátkej doby, je možné vykonať hromadné ohlásenie.

V ohlásení budú dozornému úradu poskytnuté aspoň tieto informácie:

opis povahy daného prípadu porušenia zabezpečenia osobných údajov vrátane, pokiaľ je to možné, kategórií a približného počtu dotknutých subjektov údajov (napr. deti, ľudia s postihnutím, zamestnanci, zraniteľné skupiny ľudí atď.) a kategórií a približného množstva dotknutých záznamov osobných údajov (napr. zdravotné dáta, školské záznamy, informácie o sociálnej starostlivosti, finančné údaje, čísla bankových účtov, čísla pasov atď.);
meno a kontaktné údaje poverenca pre ochranu osobných údajov alebo iného kontaktného miesta, ktoré môže poskytnúť bližšie informácie;
opis pravdepodobných dôsledkov porušenia zabezpečenia osobných údajov;
opis opatrení, ktoré Posktytovateľ prijal alebo navrhol na prijatie s cieľom vyriešiť dané porušenie zabezpečenia osobných údajov, vrátane prípadných opatrení na zmiernenie možných nepriaznivých vplyvov.

Posktytovateľovi vzniká oznamovacia povinnosť voči jednotlivcovi, len keď je pravdepodobné, že porušenie bude mať za následok vysoké riziko pre práva a slobody jednotlivcov, tj porušenie môže viesť u dotknutého jednotlivca k materiálnej alebo nemateriálnej škode (diskriminácii, krádeži totožnosti, podvodu, peňažnej strate, poškodenie povesti atď.).

Posktytovateľ oznámi toto porušenie bez zbytočného odkladu subjektu osobných údajov a dozornému úradu.

V oznámení dotknutej osoby budú poskytnuté aspoň tieto informácie:

opis povahy porušenia;
meno a kontaktné údaje poverenca pre ochranu osobných údajov alebo iné kontaktné miesto;
opis pravdepodobných dôsledkov porušenia;
opis opatrení prijatých alebo navrhnutých Posktytovateľom na riešenie prípadu, vrátane prípadných opatrení na zmiernenie možných nepriaznivých vplyvov.

Posktytovateľ môže poskytnúť podľa možnosti jednotlivcom konkrétnu radu, ako sa chrániť pred možnými nepriaznivými dôsledkami porušenia (napr. resetovanie hesla a pod.).

Oznámenie subjektu údajov uvedené vyššie sa nevyžaduje, ak je splnená ktorákoľvek z týchto podmienok:

Posktytovateľ zaviedol primerané technické a organizačné ochranné opatrenia a tieto opatrenia boli použité pri osobných údajoch dotknutých porušením zabezpečenia osobných údajov. Ide najmä o také opatrenia, ktoré urobili tieto údaje nezrozumiteľnými pre kohokoľvek, kto nie je oprávnený k nim mať prístup, ako je napríklad šifrovanie.
Posktytovateľ prijal následné opatrenia, ktoré zaistili, že vysoké riziko pre práva a slobody dotknutých osôb sa už pravdepodobne neprejaví.
Vyžadovalo by to neprimerané úsilie. V takom prípade musia byť dotknuté osoby informované rovnako účinným spôsobom prostredníctvom verejného oznámenia alebo podobného opatrenia.

Pokiaľ dozorný úrad usúdi, že dané porušenie bude mať s vysokou pravdepodobnosťou za následok vysoké riziko, môže od Posktytovateľa požadovať, aby dotknutej osobe údajov toto porušenie oznámil, tak ešte neurobil. Môže však tiež rozhodnúť, že je splnená niektorá z podmienok uvedených v predchádzajúcom odseku.

Posktytovateľ dokumentuje všetky prípady porušenia zabezpečenia osobných údajov, pričom uvedie skutočnosti, ktoré sa týkajú daného porušenia, jeho účinky a prijaté nápravné opatrenia.

Posktytovateľ vedie dokumentáciu o všetkých prípadoch, aj keď nevznikne povinnosť hlásiť ich dozornému úradu. Popis porušenia musí obsahovať:

  • popis udalosti,
    príčiny porušenia,
    aké osobné údaje boli dotknuté,
    účinky a dôsledky porušenia,
    nápravné opatrenia prijaté Posktytovateľom,
    zdôvodnenie prípadného neohlásenia incidentu resp. porušenie dôvody odkladu pri oneskorenom podaní ohlásenia,
    doklad o oznámení subjektom osobných údajov,
    doklad o tom, že zamestnanci Posktytovateľa boli poučení o tom, ako sa majú v prípade porušenia zabezpečenia osobných údajov zachovať.

Podobným spôsobom Posktytovateľ zaznamená bezpečnostné incidenty, pri ktorých sa okamžite neprejavilo porušenie zabezpečenia osobných údajov, ale zároveň nie je vylúčené, že sa toto porušenie neprejaví neskôr.

Úloha poverenca pre ochranu osobných údajov – povereník spolupracuje s dozorným úradom a pôsobí ako kontaktné miesto pre dozorný úrad a subjekty údajov. Meno a kontakt na poverenca uvádza Posktytovateľ pri ohlasovaní udalosti.

Posktytovateľ oboznámi svojich zamestnancov s procesmi riešenia incidentov a poučí ich o tom, ako sa majú správať, aby predchádzali prípadom porušenia zabezpečenia osobných údajov, a ako sa správať v prípadoch, keď k tomuto porušeniu dôjde. Poučenie zamestnancov sa vykonáva pri nástupe do zamestnania, ďalej pravidelne raz za 2 roky.

Akýkoľvek bezpečnostný incident zamestnancovi nahlási svojmu vedúcemu zamestnancovi, ktorý kontaktuje zodpovedné osoby Posktytovateľa. V prípade, že došlo k porušeniu zabezpečenia osobných údajov, kontaktujú poverencov pre ochranu osobných údajov.

Pokiaľ Posktytovateľ používa dodávateľ a tento dodávateľ zistí porušenie zabezpečenia osobných údajov, ktoré pre Posktytovateľa spracováva, musí to Posktytovateľ ohlásiť bez zbytočného odkladu. Ak dodávateľ poskytuje služby viacerým Posktytovateľom, ktorí všetci boli postihnutí tým istým incidentom, musí dodávateľ ohlásiť podrobnosti o tomto incidente všetkým Posktytovateľom.