Ochrana osobních údajů

Definice používaných pojmů

  • Zákon č. 136/2014 Z.z. úplné znenie zákona č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov, ako vyplýva zo zmien a doplnení vykonaných zákonom č. 84/2014 Z. z., ďalej len "Zákon".
  • ÚOOÚ – Úřad na ochranu osobních údajů.
  • – osobní údaje.
  • IS OÚ – informační systém systematicky zpracovávající OÚ.
  • Provozovatel – ten, kdo zpracovává osobní údaje v IS OÚ.
  • Oprávněná osoba – fyzická osoba, která byla poučena ve smyslu § 21 Zákona.
  • Dotyčná osoba – fyzická osoba, občan, který je zakazník e-shopu. Zákon se nevztahuje na SZČO nebo na jiný podnikatelský subjekt.
  • Zprostředkovatel – provozovatelem pověřen subjekt, který zpracovává OU dotčené osoby jménem provozovatele (např. účetní firma).
  • Třetí stranou je každý, kdo není dotyčnou osobou, provozovatelem poskytujícím osobní údaje, jeho zástupcem, zprostředkovatelem nebo oprávněnou osobou.
  • IS e-shop (E-shop) – lze definovat jako prodej zboží příp. služeb na dálku prostřednictvím internetu. Na jedné straně obchodního vztahu je provozovatel e-shopu, tj prodávající a na druhé zákazník e-shopu, t.j. kupující. Při obchodním vztahu se uzavírá obchodní smlouva. IS zpracovává OÚ, potřebné pro uzavření smlouvy a dodání zboží nebo služeb.
  • IS marketing – IS zpracovávající údaje, potřebné pro zasílání newsletterů, reklamy a pod., jméno a příjmení, adresa a adresa elektronické pošty mohou být i OÚ.
  • IS vernostný program, súťaž apod.
  • IP adresa, cookies – údaje, které se ukládají do PC a slouží pro identifikaci PC. Neobsahují OÚ, je to identifikace počítače, ale ne dotčené osoby.
  • e-mailová adresa – adresa elektronické pošty dotčené osoby.

V zmysle §15 ods.1 Zákona provozovatel, oznamuje dotčené osobě tyto informace:

Název e-shopu: www.mobilego.cz

Provozovatel: MIDINET IT s.r.o., Karpatské námestie 10/A, 831 06 Bratislava, IČO: 47430346

Zprostředkovatel: M-UCTO s.r.o., Nemocničná 750/14, 990 01 Veľký Krtíš, ICO: 47427850

Třetí strana:
General Logistics Systems Slovakia s.r.o. (GLS), Lieskovská cesta 13, 962 21 Lieskovec, IČO: 25642642

IS e-shop
Pro uzavření obchodní smlouvy a dodání zboží nebo služby provozovatel potřebuje údaje o zákazníkovi. Pokud zákazník je podnikatelský subjekt, tak provozovatel zpracovává tyto údaje: obchodní jméno firmy, IČO, DIČ, DIČ (pokud je plátce DPH), fakturační a dodací adresu. V tomto případě se OÚ nezpracovávají. Výjimečně se mohou zpracovávat i OÚ, např. jméno zaměstnance firmy, číslo telefonu, e-mailová adresa, pokud zboží přebírá osobně a kurýr ho musí identifikovat (např. prodej na fakturu). Pokud zákazník není podnikatelský subjekt, ale občan, tak provozovatel zpracovává tyto údaje: jméno a příjmení, fakturační a dodací adresu, číslo telefonu a emailovou adresu zákazníka, tj. dotčené osoby. Účelem zpracování osobních údajů kupujícího je uzavření kupní smlouvy a dodání zboží nebo služby, případně pro splnění reklamačních povinnosti prodávajícího.
Dotyčná osoba nevyjadřuje svůj souhlas se zpracováním OÚ a také ani nemůže souhlas odvolat. Doba zpracování OÚ je podmíněna jinými zákony, které souvisejí s uzavřením obchodní smlouvy. OÚ se poskytují zprostředkovateli pro zpracování účetních dokladů a třetím stranám pro doručení zásilky dotčené osobě - zákazníkovi e-shopu. OÚ se zpřístupňují pouze ve smyslu § 10 odst. 2 Zákona.
Právním základem zpracování OÚ dotčené osoby v IS e-shop je § 10 ods. 3 písm. b) Zákona.

IS věrní zákazníci (věrnostní program)
Při pravidelném nákupu dostává zákazník e-shopu slevy. Pro zařazení do slevového programu dotyčná osoba dobrovolně vyjádří souhlas se zpracováním jejích OÚ. Provozovatel zpracovává tytéž OÚ, jako v případě e-shopu. Věrnostní program, ačkoli je to samostatný IS, je propojen s e-shopem. OÚ slouží výlučně pro poskytování slev při nákupech. OÚ se poskytují zprostředkovateli pro zpracování účetních dokladů. Doba platnosti souhlasu dotčené osoby je pět let a dotyčná osoba může souhlas kdykoliv odvolat písemnou formou. Odvolání souhlasu není retroaktivní. Provozovatel neprovádí přeshraniční přenos OÚ do třetích zemí. OÚ se zpřístupňují pouze ve smyslu § 10 odst. 2 Zákona.
Právním základem zpracování OÚ v IS věrní zákazníci (věrnostní program) § 11 ods.1 Zákona - dokázateľný dobrovoľný súhlas dotknutej osoby.

IS marketing
Pro zasílání newsletterů provozovatel zpracovává OÚ dotčených osob. Dotyčná osoba před zahájením zpracování osobních údajů projeví písemně svůj souhlas se zpracováním osobních údajů. Svůj souhlas projeví dobrovolně, zakliknutím na stránce. Souhlas není ničím podmíněn. Provozovatel zpracovává tyto osobní údaje: e-mailová adresa. OÚ slouží výlučně pro zasílání obchodních informací. Doba platnosti souhlasu dotčené osoby je pět let a dotyčná osoba může souhlas kdykoliv odvolat písemnou formou. Odvolání souhlasu není retroaktivní. Provozovatel neprovádí přeshraniční přenos OÚ do třetích zemí. OÚ se zpřístupňují pouze ve smyslu § 10 odst. 2 Zákona.
Právním základem zpracování OÚ v IS marketing je § 11 ods.1 Zákona - dokázateľný dobrovoľný súhlas dotknutej osoby.

Ve smyslu § 16 Zákona, dotyčná osoba, tj zákazník e-shopu, je povinna do IS poskytnout pouze pravdivé osobní údaje. Za nepravdivost osobních údajů odpovídá ten, kdo je do IS poskytl. Osobní údaj se považuje za správný, dokud se neprokáže opak.
V případě jakýchkoli změn, může dotyčná osoba sama aktualizovat své OÚ po přihlášení do e-shopu. Dotyčná osoba je povinna při přihlašování do e-shopu používat ním zvolené nebo provozovatelem přidělené heslo. V případě zneužití hesla a provedení nákupu jménem dotyčné osoby, provozovatel nenese žádnou odpovědnost. V případě vzniku jakékoli škody provozovateli, poskytnutím nesprávných údajů, může provozovatel od dotčené osoby vymáhat vzniklou škodu.

Ve smyslu § 17 Zákona je
(1) Provozovatel po splnění účelu zpracování povinen bez zbytečného odkladu zajistit likvidaci OÚ.
(2) Odstavec 1 se nepoužije, pokud osobní údaje jsou součástí spisového záznamu. Provozovatel zajišťuje likvidaci spisového záznamu podle zvláštního předpisu.
(3) Provozovatel zajistí bez zbytečného odkladu likvidaci osobních údajů kromě osobních údajů uvedených v § 10 odst. 3 písm. d) i když zanikly důvody, které neumožňovaly získat souhlas dotčené osoby podle § 11 odst. 4, a souhlas nebyl dán.
(4) Pokud dotyčná osoba uplatní námitky podle § 28 odst. 3 písm. a), provozovatel je povinen zpracovávané osobní údaje bez zbytečného odkladu zlikvidovat kromě osobních údajů uvedených v § 10 odst. 3 písm. d).
(5) Pokud dotyčná osoba uplatní námitky podle § 28 odst. 3 písm. b), provozovatel je povinen bez zbytečného odkladu skončit využívání osobních údajů uvedených v § 10 odst. 3 písm. d) v poštovním styku.
(6) Pokud dotyčná osoba uplatní námitky podle § 28 odst. 3 písm. c), provozovatel je povinen to bez zbytečného odkladu, nejpozději do tří pracovních dnů, písemně oznámit každému, komu osobní údaje uvedené v § 10 odst. 3 písm. d) poskytl; zákaz dalšího poskytování zde uvedených osobních údajů platí pro provozovatele a každého, komu je provozovatel poskytl ode dne následujícího po dni doručení námitky dotyčné osoby, případně doručení písemného oznámení provozovatele.

Ve smyslu § 18 Zákona pokud provozovatele upozorní dotyčná osoba nebo pokud si dotyčná osoba uplatní u provozovatele své právo, nebo pokud provozovatel sám zjistí, že poskytl třetí straně nesprávné, neúplné nebo neaktuální osobní údaje, nebo že je poskytl bez právního základu, je povinen bez zbytečného odkladu písemně oznámit to každému, komu je poskytl. Provozovatel v oznámení uvede, jaká opatření k nápravě provedl, zejména zda osobní údaje blokoval, doplnil, opravil, aktualizoval nebo zlikvidoval, a jaká opatření žádá přijmout od třetí strany.

Ve smyslu § 28 Zákona si dotyčná osoba vůči provozovateli (e-shopu) může uplatnit tato práva:

(1) Dotyčná osoba má právo na základě písemné žádosti od provozovatele vyžadovat
a) potvrzení, zda jsou nebo nejsou osobní údaje o ní zpracovávané,
b) ve všeobecně srozumitelné formě informace o zpracování osobních údajů v informačním systému v rozsahu podle § 15 odst. 1 písm. a) až e) druhý až šestý bod; při vydání rozhodnutí podle odstavce 5 je dotyčná osoba oprávněna seznámit se s postupem zpracování a vyhodnocování operací,
c) ve všeobecně srozumitelné formě přesné informace o zdroji, z něhož získal její osobní údaje pro zpracování,
d) ve všeobecně srozumitelné formě seznam jejích osobních údajů, které jsou předmětem zpracování,
e) opravu nebo likvidaci svých nesprávných, neúplných nebo neaktuálních osobních údajů, které jsou předmětem zpracování,
f) likvidaci jejích osobních údajů, jejichž účel zpracování skončil; pokud jsou předmětem zpracování úřední doklady obsahující osobní údaje, může požádat o jejich vrácení,
g) likvidaci jejích osobních údajů, které jsou předmětem zpracování, pokud došlo k porušení zákona,
h) blokování jejích osobních údajů z důvodu odvolání souhlasu před uplynutím doby jeho platnosti, pokud provozovatel zpracovává osobní údaje na základě souhlasu dotčené osoby.
(2) Právo dotčené osoby podle odstavce 1 písm. e) a f) lze omezit, jen pokud takové omezení vyplývá ze zvláštního zákona nebo jeho uplatněním by byla porušena ochrana dotyčné osoby, nebo by byla porušena práva a svobody jiných osob.
(3) Dotyčná osoba na základě písemné žádosti má právo u provozovatele zamítat
a) zpracovávání jejích osobních údajů, o nichž předpokládá, že jsou nebo budou zpracovávány pro účely přímého marketingu bez jejího souhlasu, a žádat jejich likvidaci,
b) využívání osobních údajů uvedených v § 10 odst. 3 písm. d) pro účely přímého marketingu v poštovním styku, nebo
c) poskytování osobních údajů uvedených v § 10 odst. 3 písm. d) pro účely přímého marketingu.
(4) Dotyčná osoba na základě písemné žádosti nebo osobně, pokud věc nesnese odklad, má právo u provozovatele kdykoliv nesouhlasit se zpracováváním osobních údajů v případech podle § 10 odst. 3 písm. a), e), f) nebo g) vyslovením oprávněných důvodů nebo předložením důkazů o neoprávněném zasahování do jejích práv a právem chráněných zájmů, které jsou nebo mohou být v konkrétním případě takovým zpracováním osobních údajů poškozené; nebrání-li tomu zákonné důvody a prokáže se, že námitka dotčené osoby je oprávněna, provozovatel je povinen osobní údaje, jejichž zpracování dotyčná osoba zpochybnila, bez zbytečného odkladu blokovat a zlikvidovat, jakmile to okolnosti dovolí.
(5) Dotyčná osoba na základě písemné žádosti nebo osobně, pokud věc nesnese odkladu, dále má právo u provozovatele kdykoliv namítat a nepodléhat rozhodnutí provozovatele, které by mělo pro ni právní účinky nebo významný dopad, pokud se takové rozhodnutí vydá výhradně na základě úkonů automatizovaného zpracování jejích osobních údajů. Dotyčná osoba má právo žádat provozovatele o přezkoumání vydaného rozhodnutí metodou odlišnou od automatizované formy zpracování, přičemž provozovatel je povinen žádosti dotyčné osoby vyhovět, a to tak, že rozhodující roli při přezkoumání rozhodnutí bude mít oprávněná osoba; o způsobu zkoumání a výsledku zjištění provozovatel informuje dotčenou osobu ve lhůtě podle § 29 odst. 3. Dotyčná osoba nemá toto právo pouze v případě, pokud to stanoví zvláštní zákon, ve kterém jsou upraveny opatření k zajištění oprávněných zájmů subjektu údajů, nebo pokud v rámci předsmluvních vztahů nebo během existence smluvních vztahů provozovatel vydal rozhodnutí, kterým vyhověl požadavku dotyčné osoby, nebo pokud provozovatel na základě smlouvy přijal jiná vhodná opatření k zajištění oprávněných zájmů dotčené osoby.
(6) Pokud dotyčná osoba uplatní své právo
a) písemně a z obsahu její žádosti vyplývá, že uplatňuje své právo, považuje se žádost za podanou podle tohoto zákona; žádost podanou elektronickou poštou nebo faxem dotčená osoba doručí písemně nejpozději do tří dnů ode dne jejího odeslání,
b) osobně ústní formou do zápisu, z níž musí být zřejmé, kdo právo uplatnil, čeho se domáhá a kdy a kdo vyhotovil zápis, jeho podpis a podpis dotyčné osoby; kopii zápisu je provozovatel povinen předat dotčené osobě,
c) u zprostředkovatele podle písmene a) nebo písmene b), je ten povinen tuto žádost nebo zápis předat provozovateli bez zbytečného odkladu.
(7) Dotyčná osoba při podezření, že její osobní údaje neoprávněně zpracovávají, může podat úřadu návrh na zahájení řízení o ochraně osobních údajů.
(8) Pokud dotyčná osoba nemá způsobilost k právním úkonům v plném rozsahu, 15) její práva může uplatnit zákonný zástupca.16)
(9) Pokud dotyčná osoba nežije, její práva, které měla podle tohoto zákona, může uplatnit blízká osoba.17)

Ve smyslu § 29 Zákona provozovatel vyřídí žádost dotyčné osoby podle § 28 odst. 1 písm. a) až c), e) až h) a odst. 3 až 5 vybaví provozovatel bezplatně.
Žádost dotyčné osoby podle § 28 odst. 1 písm. d) vyřídí provozovatel bezplatně kromě úhrady ve výši, která nemůže překročit výši účelně vynaložených věcných nákladů spojených se zhotovením kopií, opatřením technických nosičů a s odesláním informace dotčené osobě, pokud zvláštní zákon nestanoví jinak.
Provozovatel písemně vyřídí žádost dotyčné osoby podle odstavců 1 a 2 nejpozději do 30 dnů ode dne doručení žádosti.

Ve smyslu § 19 Zákona provozovatel e-shopu přijal bezpečnostní opatření pro zpracovávání OÚ, které jsou zdokumentovány v Bezpečnostních opatřeních provozovatele.