Ochrana osobních údajů

Informace provozovatele ke zpracování osobních údajů
Dotčených osob – zákazníků

podle ustanovení čl. 13 Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob při zpracování osobních údajů a o volném pohybu takových údajů, kterým se zrušuje směrnice 95/46/ES (všeobecné nařízení o ochraně údajů), (dále jen „Nařízení GDPR“) a § 19 zákona 18/2018 Sb. o ochraně osobních údajů (dále jen „Zákon“) (dále jen „Informace“)

Společnost:
Obchodní jméno: Konopná Farma Trade s.r.o.
Adresa: Galvániho 15/B
821 04 Bratislava – městská část Ružinov, Slovenská republika,
IČO: 54 104 785.
Registrace: v Obchodním rejstříku vedeném Okresním soudem Bratislava I,
oddíl s.r.o., vložka č. 155666/B.
Statutární zástupce: Igor Lúčanský, jednatel.
Kontaktní údaje: igor.lucansky@konopnafarmaliptov.sk, tel.: +421 915 452 922
(dále jen „Společnost“ nebo „Provozovatel“),
informuje Dotčené osoby o ochraně osobních údajů (dále jen „OÚ“) podle ustanovení čl. 13 Nařízení GDPR a § 19 Zákona následovně:

  1. Dotčenou osobou se pro účely této Informace rozumí fyzická osoba, která u Provozovatele nakupuje zboží, registruje se na webové stránce Provozovatele, které je zasílán newsletter nebo jiné notifikace (např. v případě nedokončení objednávky), která se zapojila do spotřebitelské soutěže, věrnostního programu, která zveřejnila referenci nebo komentář k produktu, která přidala produkt do tzv. wishlistu nebo která kontaktuje Provozovatele prostřednictvím kontaktního formuláře.
  2. Provozovatel je vůči Dotčené osobě v právním postavení Provozovatele dle Nařízení GDPR a Zákona, tj. osoba, která sama nebo společně s jinými vymezí účel a prostředky zpracování OÚ a zpracovává OÚ vlastním jménem.
  3. Oprávněné zájmy Provozovatele nebo třetí strany, pokud se OÚ zpracovávají podle čl. 6 odst. 1 písm. f) Nařízení GDPR a § 13 odst. 1 písm. f) Zákona (čl. 13 odst. 1 písm. d) Nařízení GDPR a § 19 odst. 1 písm. d) Zákona): Provozovatel zpracovává OÚ na základě takového právního základu v případě fyzických osob, kterým Provozovatel poskytl službu nebo které projevily prvotní zájem o nabídnuté služby a zasílá jim newsletter na podporu poskytování služeb. Dotčená osoba může kdykoli vyjádřit nesouhlas s takovým oslovováním. Na základě tohoto vyjádření Provozovatel nebude tyto Dotčené osoby dále oslovovat. Provozovatel dále zpracovává osobní údaje na tomto právním základě v případech, pokud jde o osobní údaje fyzické osoby, která zveřejňuje svou referenci k zakoupenému produktu nebo komentář k vybranému produktu. Dotčená osoba může kdykoli vyjádřit nesouhlas s takovým zveřejňováním, a to odstraněním zveřejněných referencí nebo komentářů, prostřednictvím svého uživatelského profilu nebo zasláním požadavku Provozovateli. Na základě tohoto vyjádření Provozovatel nebude tyto reference a/nebo komentáře zveřejňovat.
  4. Provozovatel zpracovává následující OÚ Klienty, pro účely, na základě právního základu a po dobu zpracování následovně (čl. 13. odst. 1 písm. c), e) a odst. 2 písm. e) Nařízení GDPR a § 19 odst. 1 písm. c), e) a odst. 2 písm. a) Zákona):
Seznam zpracovávaných osobních údajů Účel zpracování osobních údajů (čl. 5, odst. 1 Nařízení GDPR a § 7 Zákona) Právní základ zpracování osobních údajů (čl. 6, odst. 1 Nařízení GDPR a § 13 odst. 1 Zákona) Zákonný/smluvní požadavek/ požadavek potřebný k uzavření smlouvy/povinnost dotyčné osoby poskytnout osobní údaje/možné následky neposkytnutí osobních údajů (čl. 6 odst. 1 Nařízení GDPR a § 13 Zákona) Doba zpracování osobních údajů (čl. 5, odst. 1 písm. e) Nařízení GDPR a § 10 Zákona)
Osobní údaje týkající se nákupu zboží, včetně registrace do e-shopu, zejména:

  1. Identifikační údaje: titul, jméno, příjmení, platební údaje

Kontaktní údaje: adresa trvalého/přechodného pobytu nebo jiná korespondenční adresa, telefonní číslo, e-mailová adresa

 Identifikace smluvní strany smlouvy. Plnění zákonných a smluvních povinností Provozovatele vyplývajících z obecně závazných právních předpisů (zejména předpisů z oblasti účetnictví) a ze smlouvy Zpracování osobních údajů je nezbytné k plnění smlouvy, jejíž smluvní stranou je dotyčná osoba, nebo k provedení opatření před uzavřením smlouvy na základě žádosti dotyčné osoby (čl. 6 odst. 1 písm. b) Nařízení GDPR a § 13 odst. 1 písm. b) Zákona) v návaznosti na zvláštní předpisy nebo mezinárodní smlouvy, kterými je Slovenská republika vázána (čl. 6 odst. 1 písm. c) Nařízení GDPR a § 13 odst. 1 písm. c) Zákona) Poskytování osobních údajů je požadavkem, který je potřebný k uzavření smlouvy mezi Dotčenou osobou a Provozovatelem. Následně jde o smluvní požadavek ve spojitosti s požadavky vyplývající ze zvláštních právních předpisů. Neposkytnutí osobních údajů způsobí nemožnost identifikace Dotčené osoby, a tedy i nemožnost uzavření smlouvy zakládající spolupráci mezi Dotčenou osobou a Provozovatelem a nemožnost plnění zákonných povinností. Během trvání spolupráce a právních předpisů Slovenské republiky.
Profilová fotografie, titulní fotografie uložená v uživatelském kontě Personalizace zaregistrovaného uživatelského konta a zveřejnění fotografie na webové stránce Provozovatele Souhlas subjektu údajů se zpracováním jeho osobních údajů alespoň pro jeden konkrétní účel (čl. 6, odst. 1 písm. a) Nařízení GDPR a § 13 odst. 1 písm. a) Zákona) Dobrovolnost poskytnutí údajů. Možné následky neposkytnutí: neposkytnutí osobních údajů způsobí, že Osobní údaje Dotčené osoby nebudou použity pro plánovaný účel Po dobu trvání existence uživatelského konta, resp. do doby odstranění fotografií z uživatelského účtu Dotčené osoby
E-mailová adresa a jméno pro účely zasílání připomenutí o nedokončení objednávky Zasílání reklamních nabídek v případě nedokončení objednávky Oprávněný zájem Provozovatele (čl. 6. odst. 1 písm. f) Nařízení GDPR a § 13 odst. 1 písm. f) Zákona) Zákonné oprávnění Provozovatele Dotčená osoba může kdykoli zrušit zasílání newsletterů Po dobu 7 dnů, resp. do doby doručení požadavku o zrušení zasílání newsletteru
Titul, jméno, příjmení, e-mailová adresa pro účely zasílání newsletteru Zasílání všeobecných reklamních sdělení o produktech Provozovatele a informační letáky o činnosti Provozovatele osobám, které o to požádaly na webové stránce Provozovatele Souhlas subjektu údajů se zpracováním jeho osobních údajů alespoň pro jeden konkrétní účel (čl. 6 odst. 1 písm. a) Nařízení GDPR a § 13 odst. 1 písm. a) Zákona) Dobrovolnost poskytnutí údajů. Neudělení souhlasu způsobí, že obchodní nabídky produktů a služeb nebudou zasílány. Po dobu 3 (tří) let, resp. do odvolání souhlasu.
Titul, jméno, příjmení, telefonní číslo a e-mailová adresa pro účely zasílání newsletteru Zasílání reklamních sdělení o produktech Provozovatele a informační letáky o činnosti Provozovatele osobám, které si objednaly zboží Oprávněný zájem Provozovatele (čl. 6 odst. 1 písm. f) Nařízení GDPR a § 13 odst. 1 písm. f) Zákona) Zákonné oprávnění Provozovatele Dotčená osoba může kdykoli zrušit zasílání newsletterů Po dobu 3 (tří) let, resp. do doby doručení požadavku o zrušení zasílání newsletteru
Osobní údaje potřebné k pořádání spotřebitelské soutěže, zejména titul, jméno, příjmení, adresa a další údaje v závislosti na typu soutěže Identifikace fyzické osoby, která se zapojila do spotřebitelských soutěží organizovaných za účelem propagace a zviditelnění Provozovatele Souhlas subjektu údajů se zpracováním jeho osobních údajů alespoň pro jeden konkrétní účel (čl. 6, odst. 1 písm. a) Nařízení GDPR a § 13 odst. 1 písm. a) Zákona) Dobrovolnost poskytnutí údajů. Souhlas je udělován zapojením se do soutěže/kvízu. Možné následky neposkytnutí: neposkytnutí osobních údajů způsobí, že Osobní údaje Dotčené osoby nebudou použity pro plánovaný účel Po dobu trvání soutěže a jejího vyhodnocení a v případě výherce do doby předání výhry
Titul, jméno, příjmení, e-mailová adresa ve spojitosti s vybraným preferovaným produktem Zasílání e-mailové notifikace o dostupnosti vybraného produktu nebo o zvýhodněné ceně vybraného produktu registrovaným osobám (wishlist) Oprávněný zájem provozovatele poskytovat Dotčené osobě požadované produkty (Čl. 6 odst. 1 písm. f) Nařízení GDPR a § 13 odst. 1 písm. f) Zákona) Zákonná oprávněnost Provozovatele. Dotčená osoba sama zařadí vybraný produkt do wishlistu. Dotčená osoba má možnost odmítnutí takové služby. Po dobu 6 měsíců ode dne zařazení vybraného produktu do wishlistu nebo do doby odmítnutí doručování dalších upozornění.
Osobní údaje získané prostřednictvím kontaktního formuláře: zejména e-mailová adresa a případně další Osobní údaje uvedené v textu odeslané zprávy Získávané osobní údaje prostřednictvím kontaktního formuláře za účelem uchovávání dotazu a vypracování odpovědi na dotaz Dotčené osoby Souhlas dotčené osoby se zpracováním jeho osobních údajů alespoň pro jeden konkrétní účel (čl. 6, odst. 1 písm. a) Nařízení GDPR a § 13 odst. 1 písm. a) Zákona) Dobrovolnost poskytnutí údajů. Možné následky neposkytnutí: neposkytnutí osobních údajů způsobí, že Osobní údaje Dotčené osoby nebudou použity pro plánovaný účel a Provozovatel nemusí poskytnout požadovanou odpověď na dotaz Po dobu trvání souhlasu, na kterou dotyčná osoba vyjádřila svůj souhlas (1 rok)
Titul, jméno, příjmení, adresa trvalého/přechodného pobytu nebo jiná korespondenční adresa e-mailová adresa, telefonní číslo, údaje o nákupu pro účely věrnostního programu Zařazení Dotčené osoby do věrnostního programu za účelem poskytování slevy nebo jiné výhody, a tím zviditelnění služeb Provozovatele Souhlas subjektu údajů se zpracováním jeho osobních údajů alespoň pro jeden konkrétní účel (čl. 6 odst. 1 písm. a) Nařízení GDPR a § 13 odst. 1 písm. a) Zákona) Dobrovolnost poskytnutí údajů. Možné následky neposkytnutí: neposkytnutí osobních údajů způsobí, že Osobní údaje Dotčené osoby nebudou použity pro plánovaný účel Po dobu trvání souhlasu, na kterou dotyčná osoba vyjádřila svůj souhlas (3 roky ode dne využití poslední výhody)
Titul, jméno, příjmení, profilová fotografie a případně další Osobní údaje uvedené v textu zveřejněných referencí nebo komentářů Zveřejnění referencí nebo komentářů Dotčené osoby na stránce Provozovatele k vybranému produktu Oprávněný zájem provozovatele zjišťovat spokojenost Dotčené osoby (čl. 6 odst. 1 písm. f) Nařízení GDPR a § 13 odst. 1 písm. f) Zákona) Zákonná oprávněnost Provozovatele. Dotčená osoba sama zveřejňuje hodnocení k zakoupenému produktu nebo komentáře k vybranému produktu. Dotčená osoba má možnost odmítnutí takové služby. Po dobu zařazení vybraného produktu do prodeje, max. po dobu 10 let
  1. Identifikace příjemce nebo kategorii příjemce, pokud existuje (čl. 13 odst. 1 písm. e) Nařízení GDPR a § 19 odst. 1 písm. e) Zákona):
    1. externí spolupracovník,
    2. externí poskytovatel datového úložiště,
    3. externí poskytovatel účetních a daňových služeb,
    4. externí poskytovatel skladových, logistických a kurýrních služeb,
    5. externí poskytovatel právních služeb,
    6. externí poskytovatel marketingových služeb,
    7. externí poskytovatel platebních služeb.
  2. Informace o tom, zda Provozovatel zamýšlí přenést osobní údaje do třetí země nebo mezinárodní organizaci, identifikaci třetí země nebo mezinárodní organizace (čl. 13 odst. 1 písm. f) Nařízení GDPR a § 19 odst. 1 písm. f) Zákona):
    Provozovatel nezamýšlí takový přenos.
  3. Právo Dotčené osoby požadovat od Provozovatele přístup k OÚ týkajících se Dotčené osoby, o právu na opravu OÚ, o právu na vymazání OÚ, nebo o právu na omezení práce OÚ, o právu namítat zpracování OÚ, jakož i o právu na přenosnost OÚ (čl. 13 odst. 2 písm. b) Nařízení GDPR a § 19 odst. 2 písm. b) Zákona):
    Dotčená osoba má vůči Provozovateli následující práva ve vztahu k OÚ:

    1. Právo požadovat přístup k osobním údajům týkajícím se Dotčené osoby: Dotčená osoba má právo získat od Provozovatele potvrzení o tom, zda se zpracovávají osobní údaje Dotčené osoby a pokud ano, má právo získat přístup k těmto osobním údajům a informace o
    • účelu zpracování osobních údajů,
    • kategorii zpracovávaných osobních údajů,
    • identifikaci příjemce nebo o kategorii příjemce, jemuž byly nebo mají být osobní údaje poskytnuty, zejména o příjemci ve třetí zemi nebo o mezinárodní organizaci, pokud je to možné,
    • době uchovávání osobních údajů; pokud to není možné, informaci o kritériích jejího určení,
    • právu požadovat od provozovatele opravu osobních údajů týkajících se dotyčné osoby, jejich vymazání nebo omezení jejich zpracování, nebo o právu namítat zpracování osobních údajů,
    • právu podat návrh na zahájení řízení podle § 100 Zákona nebo podat stížnost dozorovému orgánu podle ustanovení čl. 77 Nařízení GDPR,
    • zdroji osobních údajů, pokud nebyly osobní údaje získány od dotyčné osoby,
    • existenci automatizovaného individuálního rozhodování včetně profilování dle ustanovení čl. 22 odst. 1 a 4 Nařízení GDPR a ustanovení § 28 odst. 1 a 4 Zákona (v těchto případech poskytne provozovatel dotyčné osobě informace zejména o použitém postupu, jakož i o významu a předpokládaných důsledcích takového zpracování osobních údajů pro dotyčnou osobu).

Provozovatel poskytne kopii OÚ, které se zpracovávají. Za jakékoli další kopie, o které Dotčená osoba požádá, může Provozovatel účtovat přiměřený poplatek odpovídající administrativním nákladům. Pokud Dotčená osoba podala žádost elektronickými prostředky, informace se poskytnou v běžně používané elektronické podobě, pokud Dotčená osoba nepožádala o jiný způsob.

Informace musí být poskytnuty okamžitě, nejpozději ve lhůtě 1 měsíce. Provozovatel má právo prodloužit dobu zpracování žádosti o další 2 měsíce, pokud je požadavek složitý nebo častý. Musí však Dotčené osobě do 1 měsíce oznámit důvod prodloužení doby zpracování.

V případě žádosti neodůvodněné nebo příliš časté má Provozovatel právo účtovat poplatek přiměřený nákladům nebo odmítnout žádost. Musí vysvětlit důvod odmítnutí a právo Dotčené osoby obrátit se se stížností na dozorový orgán.

  1. Právo na opravu osobních údajů: Dotčená osoba má právo na to, aby Provozovatel bez zbytečného odkladu opravil nesprávné osobní údaje, které se jí týkají. Se zřetelem na účel zpracování osobních údajů má Dotčená osoba právo na doplnění neúplných osobních údajů. Informace musí být poskytnuty okamžitě, nejpozději ve lhůtě 1 měsíce. Provozovatel má právo prodloužit dobu zpracování žádosti o další 2 měsíce, pokud je požadavek složitý nebo častý. Musí však Dotčené osobě do 1 měsíce oznámit důvod prodloužení doby zpracování. V případě žádosti neodůvodněné nebo příliš časté má Provozovatel právo účtovat poplatek přiměřený nákladům nebo odmítnout žádost. Musí vysvětlit důvod odmítnutí a právo Dotčené osoby obrátit se se stížností na dozorový orgán.
  2. Právo na vymazání osobních údajů nebo právo na omezení zpracování osobních údajů: Dotčená osoba má právo na to, aby Provozovatel bez zbytečného odkladu vymazal osobní údaje, které se jí týkají. Provozovatel je povinen bez zbytečného odkladu vymazat osobní údaje, jestliže Dotčená osoba uplatnila právo na výmaz podle předchozí věty, pokud
  • OÚ již nejsou zapotřebí k účelu, pro který byly získány nebo jinak zpracovány,
  • Dotčená osoba odvolá svůj souhlas se zpracováním OÚ a neexistuje jiný právní základ pro zpracování OÚ,
  • Dotčená osoba namítá zpracování OÚ a nepřevažují žádné oprávněné důvody pro zpracování OÚ,
  • OÚ se zpracovávají nezákonně,
  • je důvodem pro výmaz splnění povinnosti dle Nařízení GDPR, Zákona, zvláštního předpisu nebo mezinárodní smlouvy, kterou je Slovenská republika vázána, nebo
  • se OÚ získávaly v souvislosti s nabídkou služeb informační společnosti.

Předchozí dvě věty se neuplatňují, pokud je zpracování osobních údajů nezbytné

  • na uplatnění práva na svobodu projevu nebo práva na informace,
  • ke splnění povinnosti dle Nařízení GDPR, Zákona, zvláštního předpisu nebo mezinárodní smlouvy, kterou je Slovenská republika vázána, nebo ke splnění úkolu realizovaného ve veřejném zájmu nebo při výkonu veřejné moci svěřené provozovateli,
  • z důvodů veřejného zájmu v oblasti veřejného zdraví,
  • pro účely archivace, pro vědecký účel, pro účely historického výzkumu nebo pro statistický účel, je-li pravděpodobné, že právo znemožní nebo závažným způsobem ztíží dosažení cílů takového zpracování, nebo
  • na uplatnění právního nároku.

Dotčená osoba má právo na to, aby Provozovatel omezil zpracování OÚ, pokud

  • Dotčená osoba namítá správnost OÚ, a to během období umožňujícího Provozovateli ověřit správnost osobních údajů,
  • zpracování OÚ je nezákonné a Dotčená osoba namítá vymazání OÚ a žádá místo toho omezení jejich použití,
  • Provozovatel již nepotřebuje OÚ pro účely zpracování OÚ, ale potřebuje je Dotčená osoba k uplatnění právního nároku, nebo
  • Dotčená osoba namítá zpracování, a to až do ověření, zda oprávněné důvody na straně Provozovatele převažují nad oprávněnými důvody Dotčené osoby.

Bylo-li zpracování osobních údajů omezeno, kromě uchovávání může OÚ Provozovatel zpracovávat jen se souhlasem Dotčené osoby nebo za účelem uplatnění právního nároku, na ochranu osob nebo z důvodů veřejného zájmu.

  1. Právo namítat zpracování osobních údajů: Pokud jsou osobní údaje zpracovávány pro účely přímého marketingu, má dotyčná osoba právo kdykoli namítat proti zpracování svých osobních údajů včetně profilování. Pokud Dotčená osoba namítá vůči zpracování pro účely přímého marketingu, Provozovatel již její osobní údaje pro tyto účely nesmí zpracovávat.
  2. Právo na přenosnost osobních údajů: Dotčená osoba má právo získat OÚ, které se jí týkají a které poskytla Provozovateli, ve strukturovaném, běžně používaném a strojově čitelném formátu a má právo přenést tyto údaje dalšímu provozovateli. Právo na přenosnost nesmí mít nepříznivé důsledky pro práva a svobody jiných. Toto právo platí, pokud:
    • se zpracování zakládá na souhlasu nebo smlouvě a
    • se zpracování provádí automatizovanými prostředky

Provozovatel má lhůtu pro přenos údajů 1 měsíc, lze ji prodloužit o 2 měsíce v případě, že je přenos složitý. Musí o tom informovat Dotčenou osobu a odůvodnit, proč nastalo prodloužení lhůty. V případě, že kroky k přenosu Provozovatel neudělal, musí informovat Dotčenou osobu, proč tak neučinil a o právu Dotčené osoby podat stížnost dozorovému orgánu.

  1. Právo Dotčené osoby kdykoli odvolat souhlas se zpracováním OÚ (čl. 13 odst. 2 písm. c) Nařízení GDPR a § 19 odst. 2 písm. c) Zákona):
    Dotčená osoba má právo kdykoli odvolat souhlas se zpracováním OÚ, které se jí týkají. Odvolání souhlasu nemá vliv na zákonnost zpracování OÚ založeného na souhlasu před jeho odvoláním. Dotčená osoba může souhlas odvolat stejným způsobem, jakým souhlas udělila.
  2. Právo Dotčené osoby podat návrh na zahájení řízení podle § 100 Zákona nebo stížnost dozorovému orgánu podle čl. 77 Nařízení GDPR (čl. 13 odst. 2 písm. d) Nařízení GDPR a § 19 odst. 2 písm. d) Zákona):
    Aniž jsou dotčeny jakékoli jiné správní nebo soudní prostředky nápravy, má Dotčená osoba právo podat stížnost dozorovému orgánu, zejména v členském státě svého obvyklého pobytu, místě výkonu práce nebo v místě údajného porušení, pokud se domnívá, že zpracování osobních údajů, které se jí týká, je v rozporu s Nařízením GDPR. Dotčená osoba má právo podat u Úřadu pro ochranu osobních údajů návrh na zahájení řízení o ochraně osobních údajů. Účelem řízení je zjistit, zda došlo k porušení práv fyzických osob při zpracování jejich osobních údajů nebo došlo k porušení Nařízení GDPR, Zákona nebo zvláštního předpisu v oblasti ochrany osobních údajů, a v případě zjištění nedostatků, je-li to důvodné a účelné, uložit opatření k nápravě, případně pokutu za porušení Nařízení GDPR, Zákona nebo zvláštního předpisu pro oblast ochrany OÚ. Návrh na zahájení řízení musí obsahovat
  • jméno, příjmení, korespondenční adresu a podpis navrhovatele,
  • označení toho, proti komu návrh směřuje, s uvedením jména, příjmení, trvalého pobytu nebo názvu, sídla a identifikačního čísla, bylo-li přiděleno,
  • předmět návrhu s označením práv, která měla být při zpracování osobních údajů porušena,
  • důkazy na podporu tvrzení uvedených v návrhu,
  • kopii listiny nebo jiný důkaz prokazující uplatnění práva podle Zákona nebo zvláštního předpisu, pokud si takové právo Dotčená osoba uplatnila, nebo uvedení důvodů hodných zvláštního zřetele o neuplatnění předmětného práva, jestliže návrh podala Dotčená osoba.

Vzor návrhu na zahájení řízení bude zveřejněn na webovém sídle Úřadu pro ochranu osobních údajů.

  1. Existence automatizovaného individuálního rozhodování včetně profilování (čl. 13 odst. 2 písm. f) Nařízení GDPR a § 19 odst. 2 písm. f) Zákona):
    Provozovatel nevyužívá automatizované individuální rozhodování ani profilování.

V Bratislavě, dne 1. 1. 2021
Konopná farma Trade s.r.o.
Igor Lúčanský, jednatel