Zásady zpracování osobních údajů Uget

Tento dokument je účinný od 12.6.2020

Obecná ustanovení

  1. UGET je internetovou platformou provozovanou společností UGET GROUP s.r.o., IČO: 070 04 150, se sídlem Buštěhradská 282, Dubí, 272 03 Kladno, zapsaná v obchodním rejstříku vedeném Krajským soudem v Brně, oddíl C, vložka 109161 (UGET).

  2. UGET umožňuje podnikatelům (klient) umístění jimi nabízených produktů, propagaci a vypořádání transakce s kupujícími, kterými jsou zpravidla fyzické osoby (subjekt údajů). Subjektem údajů však může být podle okolností i zaměstnanec strany, která službu poskytuje, či případně jiná osoba.

  3. Ustanovení těchto zásad, které se dotýkají postavení klienta nebo jeho práv a povinností ve vztahu k osobním údajům, se přiměřeně použijí i na výdejní huby, nestanoví-li tyto zásady pro výdejní huby zvláštní úpravu.

  4. V rámci spolupráce UGET a klienta může docházet ke zpracování osobních údajů subjektů údajů různými způsoby a k různým účelům (osobní údaje). Cílem tohoto dokumentu je stanovit základní standard zpracování osobních údajů subjektů údajů, jakož i stanovit mechanismus pro vypořádání nároků subjektů údajů, dojde-li k uplatnění jejich práv v důsledku porušení či z jiného důvodu.

  5. Tyto zásady jsou nedílnou součástí všeobecných obchodních podmínek; strany se od nich mohou odchýlit pouze v případě, že je tím dosaženo lepší ochrany práv subjektů údajů.

  6. S ohledem na povahu těchto zásad je lze považovat za součást smlouvy o pověření zpracovatele zpracováním osobních údajů ve smyslu čl. 28 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů (GDPR).

  7. Která ze stran je ve vztahu k dotčeným osobním údajům správcem a která zpracovatelem, se posoudí podle okolností jednotlivých případů, s přihlédnutím k obchodním zvyklostem.

  8. Aniž by byl dotčen čl. 1.7. těchto zásad, obecně platí, že je klient správcem ve smyslu čl. 24 GDPR ve vztahu k těm údajům, které shromažďuje za účelem dodání objednaného zboží zákazníkovi, případně za účelem jeho dodání do výdejního hubu a vyřízení jakéhokoliv nároku zákazníka; výdejní hub je správcem osobních údajů ve vztahu k údajům, které sám shromažďuje za účelem vydání zboží zákazníkovi. Strana, která není v daném případě správcem, a která se jakýmkoliv způsobem podílí na zpracování osobních údajů, je jejich zpracovatelem, byla-li k takovému zpracování vyzvána správcem, jinak se má za to, že je sama správcem osobních údajů.

Rozsah, účel a titul zpracování

  1. V rámci poskytování služeb prostřednictvím UGET dochází zpravidla ke zpracování těchto údajů:

    • Jméno a příjmení zákazníka;

    • Jméno a příjmení zaměstnance klienta, který provádí dovoz zákazníkovi, nebo který obstarává výdej zboží z výdejního hubu;

    • Jméno a příjmení zaměstnance UGET, s nímž klient komunikuje;

    • Adresa, kterou zákazník poskytl k doručení zásilky;

    • Jméno a příjmení osoby, která je místo zákazníka oprávněna zásilku převzít;

    • Kontaktní údaje zákazníka nebo osoby oprávněné podle písm. e), zejm. e-mail, telefonní číslo či jiný údaj způsobilý k zahájení distanční komunikace.

  2. Při zpracování v rámci nákupu na UGET nedochází ke zpracování citlivých údajů.

  3. Strany zpracovávají osobní údaje pouze v rozsahu nezbytně nutném pro splnění smlouvy, jíž je subjekt údajů stranou. Zákonnost zpracování je tedy založena na čl. 6 odst. (1) písm. b). UGET proto nevyžaduje od subjektů údajů souhlas se zpracováním jejich osobních údajů.

  4. Poskytne-li subjekt údajů souhlas se zpracováním a odvolá-li jej následně, není tím dotčena předchozí ani následná zákonnost zpracování, je-li takové zpracování i nadále nezbytné pro splnění smlouvy.

  5. Účelem zpracování osobních údajů je řádné poskytnutí služeb v rámci transakce uskutečněné na portálu provozovaném UGET.

Posuzování vlivu zpracování

  1. Vzhledem k minimálnímu rozsahu zpracování a vzhledem k minimálnímu riziku, které pro subjekty údajů může plynout z případného porušení, není potřebné provádět posuzování vlivů zpracování na subjekty údajů.

  2. Stane-li se však zpracování natolik rozsáhlým, že bude zahrnovat velkou část obyvatelstva dané lokality, strany zavedou účinné mechanismy k posuzování vlivů.

Podmínky zpracování

  1. Zpracovatel musí dodržovat veškerá technická a organizační opatření pro zajištění zabezpečení osobních údajů, zejména nesmí umožnit přístup k údajům k tomu nepovolaným osobám, a to jak prostředky mechanického, tak elektronického zabezpečení.

  2. Zpracovatel musí osoby, které se na zpracování podílí, poučit o metodách zabezpečení a o povinnosti mlčenlivosti, která se vztahuje na údaje, s nimiž taková osoba přijde do styku.

  3. Shledá-li zpracovatel, že je pokyn správce zjevně nedůvodný či odporuje-li zákonu, upozorní ho na to a takový pokyn až do vyjasnění neprovádí.

  4. Poruší-li zpracovatel svoji povinnost stanovenou těmito zásadami nebo GDPR, nahradí správci škodu, která mu tím vznikla. Taková škoda přitom může spočívat i v povinnosti správce nahradit škodu nebo odčinit nemajetkovou újmu subjektu údajů.

Opatření k zabezpečení osobních údajů

  1. Zpracovatel je povinen prostory, v nichž dochází ke zpracování nebo v nichž jsou umístěny datové nosiče, na nichž jsou zpracovávané údaje uchovávány, zabezpečit proti vniknutí, a to zejména zámkem, mříží či případně alarmem nebo kamerovým systémem.

  2. Zpracovatel je povinen podniknout veškeré potřebné kroky k tomu, aby zabránil vniknutí do prostor podle čl. 5.1. nepovolaným osobám.

  3. Zpracovatel zajistí, aby datové nosiče, na nichž jsou osobní údaje uchovávány, byly chráněny dostatečně silnými hesly či jinými prostředky elektronického zabezpečení.

  4. Spočívá-li zpracování ve sdílení osobního údaje mezi stranami, lze ke sdílení použít pouze internetové služby, která skýtá záruku kvalitního zabezpečení, zejm. skrze prosté šifrování zpráv či end-to-end encyption.

  5. Porušení povinnosti při zpracování osobních údajů zaměstnancem zpracovatele je přičitatelné zpracovateli, bez ohledu na to, jakým způsobem dochází k vypořádání nároků mezi zaměstnancem a zpracovatelem.

Vyřizování nároků subjektů údajů

  1. Strany jsou si povinny poskytnout vzájemnou součinnost k tomu, aby byl subjekt údajů řádně informován o svých právech. Těmi jsou:

    • Právo na přístup k osobním údajům (čl. 15 GDPR);

    • Právo na opravu a doplnění (čl. 16 GDPR);

    • Právo na výmaz (čl. 17 GDPR);

    • Právo na omezení zpracování (čl. 18 GDPR);

    • Právo na přenositelnost údajů (čl. 20 GDPR);

    • Právo vznést námitku (čl. 21 GDPR).

  2. Strany jsou si zároveň povinny poskytnout veškerou potřebnou součinnosti při vyřizování nároků subjektů údajů.

  3. Dojde-li k porušení zabezpečení osobních údajů, nebo dojde-li k zásahu do osobních údajů subjektů údajů, zavazují se strany škodu nebo nemajetkovou újmu, která tím vznikla, nahradit podle poměru svého zavinění, a to podle pravidel GDPR.

  4. Strany v případě porušení neprodleně porušení oznámí subjektu údajů a Úřadu pro ochranu osobních údajů a podniknou další potřebné kroky k zamezení dalšího porušování a k odstranění následku.

Další zpracovatelé

  1. Zpracovatel je v odůvodněných případech oprávněn s předchozím souhlasem správce využít ke zpracování dalšího zpracovatele, postavení správce a zpracovatele a jejich vzájemná práva a povinnosti tím však nejsou dotčeny.

  2. Zpracovatel je odpovědný za výběr dalšího zpracovatele. Dopustí-li se další zpracovatel jakéhokoliv porušení povinností, nahradí spolu se zpracovatelem společně a nerozdílně jakoukoliv škodu nebo nemajetkovou újmu, která tím vznikla.

Právo na audit

  1. Zpracovatel na požádání zpřístupní správci veškeré informace nezbytné k prokázání souladu s GDPR, těmito zásadami nebo pokyny správce a dále umožní audity a inspekce ze strany správce nebo jiného auditora pověřeného správcem ve všech místech, kde probíhá zpracování osobních údajů správce.

  2. Zpracovatel poskytne správci nebo pověřenému auditorovi veškerou potřebnou součinnost k prokázání souladu dle čl. výše.

Závěrečná ustanovení

  1. Tyto zásady mají povahu obchodních podmínek. Případné změny těchto zásad je proto možné provádět i jednostranně, je-li taková změna opodstatněná okolnostmi a nezhoršuje-li významně postavení klienta.

  2. Na poměry stran neupravené těmito zásadami se použijí ustanovení GDPR a zákona o zpracování osobních údajů.

  3. Na poměry stran neupravené těmito zásadami se použijí ustanovení GDPR a zákonaTyto zásady zpracování osobních údajů jsou platné a účinné ode dne 12. června 2020 o zpracování osobních údajů.

Uget Group s.r.o.