Zásady zpracování osobních údajů
Tyto zásady zpracování osobních údajů jsou vydány kosmetickým salonem PŘÍBĚHY krásy v souladu s nařízením (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů („nařízení“ nebo „GDPR“) za účelem zajištění informační povinnosti jako správce dle čl. 13 GDPR vůči subjektům údajů, jejichž osobní údaje kosmetický salon PŘÍBĚHY krásy v souladu s těmito zásadami a nařízením GDPR zpracovává.
1. Správce osobních údajů
Vaše osobní údaje zpracovává Irena Holá, se sídlem Sukovská 609/39, 149 00 Praha 4, IČO: 21378533, jakožto správce osobních údajů, a to pro účely, způsobem, na základě právního důvodu a po dobu stanovenou dále v těchto zásadách.
2. Kontaktní údaje správce
Při uplatňování svých práv uvedených níže v těchto zásadách se můžete obrátit na správce údajů písemně na adrese Irena Holá, Sukovská 609/39, 149 00 Praha 4, nebo prostřednictvím e-mailu info@pribehykrasy.cz.
3. Kategorie subjektů údajů
Subjekty údajů, jejichž osobní údaje správce zpracovává, jsou zákazníci kosmetického salonu PŘÍBĚHY krásy.
4. Kategorie osobních údajů
V souvislosti s poskytováním služeb a prodejem zboží může ze strany správce ke zpracování zejména následujících kategorií osobních údajů:
adresní a identifikační údaje sloužící k jednoznačné a nezaměnitelné identifikace subjektu údajů (např. jméno, příjmení, akademický titul, příp. rodné číslo, datum narození, adresa trvalého pobytu, korespondenční adresa, bankovní spojení), údaje umožňující kontakt se subjektem údajů (kontaktní údaje např. kontaktní adresa, číslo telefonu, e-mailová adresa aj. obdobné informace), a další údaje nezbytné pro plnění smlouvy;
údaje poskytnuté nad rámec příslušných zákonů zpracovávané v rámci uděleného souhlasu ze strany subjektu údajů (údaje o zdravotním stavu, zpracování fotografií).
5. Účely, právní důvody a doba zpracování osobních údajů
Rozsah zpracovávaných údajů závisí na účelu zpracování. Pro některé účely je možné zpracovávat údaje přímo na základě smlouvy,
oprávněného zájmu správce nebo na základě zákona (bez souhlasu), pro jiné pouze na základě souhlasu.
Ke zpracování osobních údajů nutných pro plnění smlouvy, plnění zákonných povinností správce a pro ochranu oprávněných zájmů správce není zapotřebí souhlas dotčených subjektu údajů,
nicméně proti zpracování osobních údajů pro účely oprávněných zájmů správce je možné podat námitku. Zpracování z důvodu plnění smlouvy a plnění zákonných povinností nelze odmítnout.
Jedná se zejména o tyto základní dílčí účely:
vedení účetnictví (plnění zákonných povinností);
plnění zákonných daňových povinností (plnění zákonných povinností);
jednání o uzavření smlouvy (oprávněný zájem správce);
poskytování služeb a prodej zboží, reklamační řízení, zlepšování služeb (plnění smlouvy, oprávněný zájem, zákonná povinnost);
fakturační účely (plnění smlouvy, zákonná povinnost);
vymáhání případných pohledávek za zákazníkem a ostatní zákaznické spory (oprávněný zájem správce);
marketing a obchodní sdělení, věrnostní programy (oprávněný zájem, souhlas);
údaje o zdravotním stavu za účelem posouzení kontraindikací při poskytování služeb (souhlas).
Z obchodních sdělení zaslaných správcem je vždy zřejmé, že uvedené sdělení je obchodním sdělením ve smyslu platných právních předpisů, a že správce je jejich odesílatelem. Obchodní sdělení zasílá správce na kontakty zákazníků buď na základě oprávněného zájmu správce, a to jen do doby, než vysloví námitku proti zpracování osobních údajů, nebo na základě výslovného souhlasu se zpracováním osobních údajů pro obchodní účely nebo na základě souhlasu s marketingovým oslovením prostřednictvím elektronického kontaktu. V zaslaných obchodních sděleních je rovněž kontakt pro odmítnutí zasílání těchto sdělení. U subjektů, které udělily souhlas s marketingovým oslovením prostřednictvím elektronického kontaktu, zpracovává správce s jejich souhlasem po dobu uvedenou v souhlasu kontakty, které jí subjekt dá k dispozici pro účely marketingového oslovení s nabídkou služeb a produktů.
Osobní údaje pro shora uvedené dílčí účely jsou zpracovány v rozsahu nutném pro naplnění těchto účelů a po dobu nutnou k jejich dosažení nebo po dobu přímo stanovenou právními předpisy nebo smlouvou. Poté jsou osobní údaje vymazány či anonymizovány. Základní lhůty pro zpracování osobních údajů jsou k dispozici níže. Konkrétně budou osobní údaje zpracovávány následovně (s tím, že uváděné doby zpracování a uchovávání osobních údajů mohou být prodlouženy o zákonnou promlčecí lhůtu, a to zejména v případech, kde je riziko soudních sporů):
A) Zpracovávání osobních údajů v rámci poskytování služeb a prodeje zboží
| Účel zpracování |
Kategorie osobních údajů |
Právní důvod zpracovávání |
Doba uchovávání |
| Objednávky služeb, potvrzování objednávek, poskytování služeb, prodej zboží |
Identifikační a kontaktní údaje zadané v rámci objednávky |
Plnění smlouvy, zákonná povinnost |
3 roky od poskytnutí služby/prodeje zboží |
| Zjišťování kontraindikací poskytované služby |
Údaje o zdravotním stavu |
Souhlas |
Do odvolání souhlasu |
| Vystavení faktury, dokladu, plnění objednávky |
Údaje potřebnék vystavení faktury |
Zákonná povinnost |
10 let |
| Rezervace termínu |
Údaje zadané v rámci online rezervace termínu |
Plnění ze smlouvy |
3 roky od rezervace |
| Plnění požadavků zákazníků, odpovídání na dotazy |
Osobní údaje zadané při odeslání dotazu |
Oprávněný zájem |
Do vyřešení požadavku |
| Monitorování používání webových stránek, zajištění příjemného uživatelského prostředí |
Údaje souvisejícís používáním webových stránek, zadávání údajů, prokliky (vč. cookies) |
Souhlas |
Do odvolání souhlasu |
| Odesílání elektronických newsletterů, respektive individuálních nabídek |
kontaktní údaje potřebné pro tyto účely (email) |
Oprávněný zájem (jedná-li se
o stávajícího zákazníka)
Souhlas (v případě subjektu údajů registrovanéhok odběru obchodních sdělení) |
Do okamžiku vznesení námitky
Do odvolání souhlasu |
| Řešení reklamací |
Údaje písemné reklamace (doručené e-mailem/poštou/ formou protokolu), identifikační a kontaktní údaje |
Zákonná povinnost |
3 roky |
| fotografie zákazníků při poskytován služby |
fotografie |
Souhlas |
Do odvolání souhlasu |
6. Kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích
Správce v rámci plnění svých zákonných povinností předává osobní údaje správním orgánům a úřadům stanoveným platnou legislativou. Správce dále při plnění svých závazků a povinností ze smluv může využívat odborné a specializované služby jiných subjektů. Pokud tito dodavatelé zpracovávají osobní údaje předané od správce, mají postavení zpracovatelů osobních údajů a zpracovávají osobní údaje pouze v rámci pokynů od správce a nesmí je využít jinak. Jde zejména o vymáhání dlužných pohledávek, činnost znalců, účetních, advokátů, daňových poradců, správu IT systémů, internetovou reklamu nebo obchodní zastoupení. Správce každého dodavatele pečlivě vybírá a s každým uzavírá smlouvu o zpracování osobních údajů, ve které má zpracovatel stanoveny přísné povinnosti k ochraně a zabezpečení osobních údajů.
Zpracovateli budou výlučně společnosti se sídlem na území České republiky. K předávání osobních údajů do zahraničí nedochází.
Kategoriemi příjemců osobních údajů jsou:
zpracovatelé
finanční ústavy
státní aj. orgány v rámci plnění zákonných povinností stanovených příslušnými právními předpisy
příp. další příjemci – např. dle souhlasu uděleného ze strany subjektu údajů
7. Aktualizace osobních údajů
Správce aktualizuje zpracovávané osobní údaje informacemi od subjektů údajů, od třetích stran, případně pomocí veřejných zdrojů (internet, veřejné rejstříky).
8. Způsob zpracovávání osobních údajů
Zpracování osobních údajů provádí správce. Zpracování je prováděno v jeho sídle. V případě použití zpracovatele, provádí zpracování zpracovatel. Ke zpracování dochází prostřednictvím výpočetní techniky, popř. i manuálním způsobem u osobních údajů v listinné podobě za dodržení všech bezpečnostních zásad pro zprávu a zpracování osobních údajů. Za tímto účelem přijal správce technicko-organizační opatření k zajištění ochrany osobních údajů, zejména opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Veškeré subjekty, kterým mohou být osobní údaje zpřístupněny, respektují právo subjektů údajů na ochranu soukromí a jsou povinny postupovat dle platných právních předpisů týkajících se ochrany osobních údajů.
9. Informace o právech subjektů údajů v souvislosti se zpracováním osobních údajů
Subjekt údajů má v případě, že je pro správce identifikovatelnou fyzickou osobou a prokáže svoji totožnost, níže uvedená práva. Uvedená práva je možné realizovat pouze ve vztahu k osobním údajům, u nichž je nepochybné, že patří žadateli.
Právo na informace (čl. 13 a 14 GDPR)
Dle čl. 13 a 14 GDPR má subjekt údajů právo na informace, zejména o rozsahu a účelu zpracování, způsobu zpracování osobních dat, a o tom, komu mohou být osobní údaje zpřístupněny. Správce plní informační povinnost vůči subjektům údajů prostřednictvím těchto zásad zveřejněných na webových stránkách www.pribehykrasy.cz, dále ve smlouvách se zákazníky a smluvními partnery a v odpovědích na žádosti subjektů údajů.
Právo na přístup k osobním údajům (čl. 15 GDPR)
Dle čl. 15 GDPR má subjekt údajů právo na přístup k osobním údajům, které zahrnuje následující práva:
získat potvrzení, zda zpracovává osobní údaje,
získat informace o účelech zpracování,
kategoriích dotčených osobních údajů,
příjemcích, kterým osobní údaje byly nebo budou zpřístupněny,
plánované době zpracování,
o existenci práva požadovat od správce opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo omezení jejich zpracování nebo vznést námitku proti tomuto zpracování,
právu podat stížnost u dozorového úřadu,
o veškerých dostupných informacích o zdroji osobních údajů, pokud nejsou získány od subjektu údajů,
skutečnosti, že dochází k automatizovanému rozhodování, včetně profilování, o vhodných zárukách při předání údajů mimo EU,
získat kopii osobních údajů v případě, že nebudou nepříznivě dotčena práva a svobody jiných osob.
V případě opakované žádosti bude správce oprávněna za kopii osobních údajů účtovat přiměřený poplatek.
Právo na opravu nepřesných údajů (čl. 16 GDPR)
Dle čl. 16 GDPR má subjekt údajů právo na opravu nepřesných osobních údajů a na doplnění neúplných osobních údajů, které o něm bude správce zpracovávat. Správce provede opravu bez zbytečného odkladu, vždy však s ohledem na dané technické možnosti.
Právo na výmaz (čl. 17 GDPR)
Dle čl. 17 GDPR má subjekt údajů právo na výmaz osobních údajů, které se ho týkají, pokud správce neprokáže oprávněné důvody pro zpracování těchto osobních údajů. Pokud se subjekt údajů domnívá, že nedošlo k výmazu jeho osobních údajů, může uplatnit žádost o výmaz za podmínky doložení oprávněnosti uvedené žádosti.
Osobní údaje budou vymazány zejména, jestliže:
správce údajů již daný osobní údaj nepotřebuje pro účel, který byl důvodem ke shromažďování údajů, nebo důvodem ke zpracovávání údajů jiným způsobem;
jedná se o zpracování údajů na základě souhlasu uděleného subjektem údajů, ale subjekt údajů svůj souhlas odvolal a pro zpracování údajů neexistuje jiný právní důvod;
jedná se o zpracování údajů na základě oprávněného zájmu správce údajů nebo třetí osoby, ale subjekt údajů podal proti zpracování údajů námitku a – vyjma námitky proti zpracovávání údajů za účelem bezprostředního obchodního zájmu – neexistuje přednostní legitimní důvod na zpracovávání údajů;
správce údajů zpracovával osobní údaje protiprávně;
výmaz osobních údajů je nutný ke splnění zákonné povinnosti nebo
byly osobní údaje shromážděny v souvislosti s nabídkou služeb informační společnosti.
Právo na omezení zpracování (čl. 18 GDPR)
Dle čl. 18 GDPR má subjekt údajů do doby vyřešení podnětu právo na omezení zpracování, pokud bude popírat přesnost osobních údajů, důvody jejich zpracování nebo pokud podá námitku proti jejich zpracování.
Právo na oznámení opravy, výmazu nebo omezení zpracování (čl. 19 GDPR)
Dle čl. 19 GDPR má subjekt údajů právo na oznámení ze strany správce v případě opravy, výmazu nebo omezení zpracování osobních údajů.
Právo na přenositelnost osobních údajů (čl. 20 GDPR)
Dle čl. 20 GDPR má subjekt údajů právo vyžádat si od správce osobní údaje, které se ho týkají a které poskytl správci v souvislosti se smlouvou nebo na základě souhlasu nebo které se zpracovávají automatizovaně, a to ve strukturovaném, běžně používaném a strojově čitelném formátu, a dále právo žádat o předání těchto údajů jinému správci, bude-li řádně určena osoba jednající za příslušného správce a bude možné ji autorizovat.
V případě, že by výkonem tohoto práva mohlo dojít k nepříznivému dotčení práv a svobod třetích osob, nelze žádosti vyhovět.
Právo vznést námitku proti zpracování osobních údajů (čl. 21 GDPR)
Dle čl. 21 GDPR má subjekt údajů právo vznést námitku proti zpracování jeho osobních údajů z důvodu oprávněného zájmu správce.
V případě, že správce neprokáže, že existuje závažný oprávněný důvod pro zpracování, který převažuje nad zájmy nebo právy a svobodami subjektu údajů, správce zpracování na základě námitky ukončí bez zbytečného odkladu.
Právo na odvolání souhlasu se zpracováním osobních údajů
Souhlas se zpracováním osobních údajů je možné kdykoliv po jeho účinnosti odvolat. Odvolání je zapotřebí učinit výslovným, srozumitelným a určitým projevem vůle.
Souhlas s marketingovým oslovením udělený ke konkrétnímu elektronickému kontaktu je možné kdykoli odvolat způsobem stanoveným v zaslaném obchodním sdělení.
Odvoláním není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním.
Automatizované individuální rozhodování včetně profilování (čl. 22 GDPR)
Dle čl. 21 GDPR má subjekt údajů právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které by pro něj mělo právní účinky nebo se jej obdobným způsobem významně dotklo.
Správce uvádí, že neprovádí automatizované rozhodování ani profilování.
Právo obrátit se na Úřad pro ochranu osobních údajů (čl. 77 GDPR)
Dle čl. 21 GDPR má subjekt údajů právo obrátit se na Úřad pro ochranu osobních údajů (www.uoou.cz) se stížností, pokud se subjekt údajů domnívá, že zpracováním jeho osobních údajů jsou porušena jeho práva nebo jakékoliv ustanovení GDPR.
