Ochrana osobných údajov

Aké informácie zhromažďujeme

Pri objednávke sú povinne vyžadované len údaje nevyhnutné pre úspešné vybavenie objednávky (meno, adresa a kontakt).

Ďalej v e-shope vyžadujeme fakturačné údaje, ktoré sú použité k splneniu zákonných povinností.

Akým spôsobom zhromažďujeme informácie

Niektoré informácie získame priamo od vás (napríklad vyplnením registračného formulára). Niektoré zaznamenávame automaticky (pomocou súborov cookie).

Informácie, ktoré získavame od vás

Zhromažďujeme iba údaje, ktoré sa nám rozhodnete poskytnúť alebo sú nevyhnutne potrebné k splneniu zákonných povinností (fakturácia). Ak Vás požiadame o poskytnutie osobných údajov, nemusíte nám ich poskytnúť. Prípadné odmietnutie môže mať za následok obmedzenie služieb Upgates alebo nemožnosť naplno využívať funkcie systému.

Informácie, ktoré získavame automaticky

Automaticky zaznamenávame rôzne informácie o tom, akým spôsobom používate službu Upgates, k čomu využívame napríklad súbory cookie. To nám okrem iného umožňuje analyzovať, vylepšovať a zabezpečovať službu Upgates. Tieto dáta sú anonymné.

K čomu používame získané informácie

Poskytnuté údaje budú použité k splneniu zákonných povinností a záväzkov, ako je napr. vybavenie objednávky, poprípade vybavovanie reklamácií, apod. Osobné údaje sú tiež spracovávané prostredníctvom elektronickej databázy k rokovaniam nevyhnutným a úzko spojeným s plnením povinností Poskytovateľa a realizáciou zmluvy a tiež sú prípadne spracovávané prostredníctvom tretích subjektov – spracovateľov osobných údajov zodpovedných za svoje konanie.

Používanie osobných údajov

Osobné informácie, ktoré zhromažďujeme, nám pomáhajú poskytovať a vylepšovať náš produkt a služby s ním spojené. Ďalej slúžia k efektívnej komunikácii s Vami.

Šírenie osobných údajov

Údaje sú k dispozícii iba Poskytovateľovi služby Upgates (Evici webdesign s.r.o.), tretím stranám sú poskytované len v situáciách súvisiacich s distribúciou či platobným stykom, vedením účtovníctva a plnením ďalších zákonných povinností Poskytovateľa. Žiadnej ďalšej osobe nebudú poskytnuté.

Anonymné informácie

Služby spoločnosti Evici webdesign s.r.o. používajú v rámci zvyšovania kvality služieb, personalizácie ponuky, zberu anonymných údajov a na analytické účely tzv. súbory cookie. Používaním webu súhlasíte s použitím spomínanej technológie.

Všeobecné informácie

Spracovateľ osobných údajov - Evici webdesign s.r.o. (údaje sú šifrované a ukladané na vývojárskych serveroch v kanceláriách v Ostrave a u spoločnosti Linode, LLC)

Prevádzkovateľ serverov - Linode, LLC (servery sú umiestnené v Londýne alebo Frankfurte).

Umiestnenie serverov - Servery s1, s3 a s6 sú umiestnené v Londýne (Anglicko, UK), ostatné servery vo Frankfurte (Nemecko, DE).

Bezpečnosť dát

Užívateľ a Poskytovateľ sa vzájomne zaväzujú dôverne zaobchádzať so všetkými podkladmi a informáciami, ktoré sú výslovne označené ako dôverné, ktorých dôvernosť vyplýva zo zákona, alebo nie sú určené ako rozpoznateľné pre tretiu osobu.

Aktualizácia

Tieto informácie budeme priebežne aktualizovať, aby Vás lepšie informovali o tom, ako s osobnými údajmi nakladáme.

Spracovateľská zmluva

  1. Poskytovateľ je vo vzťahu k osobným údajom klientov spracovateľom podľa čl. 28 GDPR. Klient je správcom týchto údajov.
  2. Tieto podmienky upravujú vzájomné práva a povinnosti pri spracovaní osobných údajov, ku ktorým Poskytovateľ získal prístup v rámci plnenia licenčnej zmluvy uzatvorenej formou odsúhlasenia obchodných podmienok na www.upgates.sk (ďalej len "licenčná zmluva") uzatvorenej s Užívateľom odo dňa zriadenia užívateľského účtu.
  3. Poskytovateľ sa zaväzuje pre Užívateľa spracovávať osobné údaje v rozsahu a za účelmi stanovenými v bodoch 4.-7. tejto zmluvy. Prostriedky spracovania budú automatizované. Poskytovateľ bude v rámci spracovania osobné údaje zhromažďovať, ukladať na nosiče informácií, uchovávať, blokovať a likvidovať. Poskytovateľ nie je oprávnený osobné údaje spracovávať v rozpore alebo nad rámec stanovený týmito podmienkami.
  4. Poskytovateľ sa zaväzuje pre Užívateľa spracovávať osobné údaje v tomto rozsahu:
    1. bežné osobné údaje
    2. osobitné kategórie údajov podľa čl. 9 GDPR.
  1. Poskytovateľ sa zaväzuje pre Užívateľa spracovávať osobné údaje za účelom poskytovania platformy Upgatesformou licenčnej zmluvy.
  2. Osobné údaje je možné spracovávať len na pracoviskách Poskytovateľa alebo jeho dodávateľov podľa bodu 8. týchto podmienok, a to na území Európskej únie.
  3. Poskytovateľ sa zaväzuje pre Užívateľa spracovávať osobné údaje klientov Užívateľa, to všetko po dobu nevyhnutnú k výkonu práv a povinností vyplývajúcich zo zmluvného vzťahu medzi Poskytovateľom a Užívateľom a vyplývajúcich z uplatňovania nárokov z týchto zmluvných vzťahov (po dobu 5 rokov od ukončenia zmluvného vzťahu).
  4. Užívateľ udeľuje povolenie so zapojením subdodávateľa ako ďalšieho spracovateľa podľa čl. 28 ods. 2 GDPR, ktorým je poskytovateľ hostingu Linode LLC. Užívateľ ďalej udeľuje Poskytovateľovi všeobecné povolenie zapojiť do spracovania ďalšieho spracovateľa osobných údajov, Poskytovateľ však musí Užívateľa písomne informovať o všetkých plánovaných zmenách, týkajúcich sa prijatia ďalších spracovateľov alebo ich nahradenia a poskytnúť Užívateľovi možnosť vysloviť voči týmto zmenám námietky. Poskytovateľ musí uložiť svojim subdodávateľom v postavení spracovateľa osobných údajov rovnaké povinnosti na ochranu osobných údajov, ako sú stanovené v týchto podmienkach.
  5. Poskytovateľ sa zaväzuje, že spracovanie osobných údajov bude zabezpečené najmä nasledujúcim spôsobom:
    1. Osobné údaje sú spracovávané v súlade s právnymi predpismi a na základe pokynov Užívateľa, tj. k výkonu všetkých činností potrebných pre poskytovanie e-shopovej platformy Upgates formou licenčnej zmluvy.
    2. Poskytovateľ sa zaväzuje, že technicky a organizačne zabezpečí ochranu spracovávaných osobných údajov tak, aby nemohlo dôjsť k neoprávnenému alebo náhodnému prístupu k údajom, k ich zmene, zničeniu či strate, neoprávneným prenosom, k ich inému neoprávnenému spracovaniu, ako aj k inému zneužitiu a aby boli personálne a organizačne nepretržite po dobu spracovania údajov zabezpečené všetky povinnosti spracovateľa osobných údajov, vyplývajúce z právnych predpisov.
    3. Prijaté technické a organizačné opatrenia zodpovedajú miere rizika. Poskytovateľ pomocou nich zaisťuje neustálu dôvernosť, integritu, dostupnosť a odolnosť systémov a služieb spracovania, a včas obnovuje dostupnosť osobných údajov a prístup k nim v prípade fyzických či technických incidentov.
    4. Poskytovateľ týmto vyhlasuje, že ochrana osobných údajov podlieha interným bezpečnostným predpisom Poskytovateľa.
    5. K osobným údajom budú mať prístup len oprávnené osoby Poskytovateľa a subdodávateľov podľa bodu 8. týchto podmienok, ktoré budú mať Poskytovateľom stanovené podmienky a rozsah spracovania údajov a každá takáto osoba bude pristupovať k osobným údajom pod svojím jednoznačným identifikátorom.
    6. Oprávnené osoby Poskytovateľa, ktoré spracúvajú osobné údaje podľa týchto podmienok, sú povinné zachovávať mlčanlivosť o osobných údajoch a o bezpečnostných opatreniach, ktorých zverejnenie by ohrozilo ich ochranu. Poskytovateľ zabezpečí ich preukázateľné zaviazanie sa k tejto povinnosti. Poskytovateľ zabezpečí, že táto povinnosť pre Poskytovateľa aj oprávnené osoby bude trvať aj po skončení pracovnoprávneho alebo iného vzťahu k Poskytovateľovi.
    7. Poskytovateľ bude Užívateľovi nápomocný prostredníctvom vhodných technických a organizačných opatrení, pokiaľ je to možné, k splneniu Užívateľovej povinnosti reagovať na žiadosti o výkon práv dotknutej osoby uvedených v GDPR; takisto pri zabezpečovaní súladu s povinnosťami podľa čl. 32 až 36 GDPR, a to s ohľadom na povahu spracovania a informácií, ktoré má Poskytovateľ k dispozícii.
    8. Po ukončení poskytovania plnenia, ktoré je spojené so spracovaním podľa bodu 7. týchto podmienok, je Poskytovateľ povinný všetky osobné údaje vymazať, alebo ich vrátiť Užívateľovi, ak nemá povinnosť uložiť osobné údaje na základe osobitného zákona.
    9. Poskytovateľ poskytne Užívateľovi všetky informácie potrebné k preukázaniu toho, že boli splnené povinnosti podľa tejto zmluvy a GDPR, umožní audity, vrátane inšpekcií, vykonávané Užívateľom alebo iným audítorom, ktorého Užívateľ poveril.
  1. Užívateľ sa zaväzuje okamžite ohlásiť všetky jemu známe skutočnosti, ktoré by mohli nepriaznivo ovplyvniť riadne a včasné plnenie záväzkov vyplývajúcich z týchto podmienok a poskytnúť Poskytovateľovi súčinnosť nevyhnutnú pre plnenie týchto podmienok.

Popis procesov riešenia bezpečnostných incidentov

Bezpečnostný incident – situácia, pri ktorej došlo k ohrozeniu ochrany osobných údajov alebo k porušeniu pravidiel. Bezpečnostný incident vzniká v dôsledku zlyhania alebo nedodržania bezpečnostných opatrení alebo porušenia bezpečnostnej politiky.

Bezpečnostnými incidentmi môžu byť napr. tieto udalosti: krádež, vykradnutie, vlámanie, útok, neoprávnený prístup k informáciám alebo dátam, neoprávnené použitie informácií, neoprávnený vstup do budovy alebo do systému, vymazanie dát, zlyhanie infraštruktúry alebo pripojenia, zlyhanie servera, databázy alebo aplikácie, hackerský útok, prienik do systému dát, vírusový útok, útok vydieračským softvérom (ransomware), prírodná katastrofa, falšovanie webovej stránky (spoofing).

Pri bezpečnostnom incidente môže dôjsť k ohrozeniu, strate, odcudzeniu, zneužitiu alebo zmene údajov alebo informácií.

Ako bezpečnostný incident môže byť vyhodnotený aj neúspešný pokus o krádež alebo iné znehodnotenie informácií.

Zodpovedné osoby poverené riešením incidentov, zisťovaním výskytu porušenia ochrany osobných údajov a posudzovaním rizika sú: Ing. Jan Rataj (konateľ).

V prípade, že spracovateľ zistí, že došlo k bezpečnostnému incidentu, bezodkladne vykoná šetrenie, či nedošlo k porušeniu ochrany osobných údajov.

Ak spracovateľ zistí, že došlo k porušeniu ochrany osobných údajov, posúdi riziko pre dotknuté osoby. Riziká sú posudzované podľa týchto kritérií:

  • Typ porušenia – sprístupnenie spôsobí väčšie riziko než ich úplná strata.
  • Povaha, citlivosť a objem osobných údajov – čím citlivejšie dáta, tým väčšie riziko pre jednotlivcov, kombinácia osobných údajov je viac citlivá ako samotná údajová položka.
  • Jednoduchosť identifikácie jednotlivcov – niekedy možno vykonať priamo z narušených osobných údajov. Šifrované dáta bez šifrovacieho kľúča sú pre nevolanú osobu nečitateľné.
  • Závažnosť dôsledkov pre jednotlivcov – u citlivých dát môže byť potenciálna škoda pre jednotlivca zvlášť závažná, porušenie ochrany osobných údajov u zraniteľných jednotlivcov môže predstavovať vyššie riziko ujmy. Dlhodobé účinky majú väčší dopad.
  • Zvláštne charakteristiky jednotlivca – napr. deti, ľudia s postihnutím alebo zraniteľné osoby.
  • Počet dotknutých jednotlivcov – čím väčší počet dotknutých jednotlivcov, tým väčší dopad môže porušenie mať.
  • Zvláštne charakteristiky správcu – sú rozdiely v citlivosti spracovávaných osobných údajov.

Vyhodnotením rizík spracovateľa môže dospieť k týmto záverom:

  1. Je nepravdepodobné, že by toto porušenie malo za následok riziko pre práva a slobody fyzických osôb.
  2. Je pravdepodobné, že porušenie bude mať za následok riziko pre práva a slobody jednotlivcov.
  3. Je pravdepodobné, že porušenie bude mať za následok vysoké riziko pre práva a slobody jednotlivcov. Vyššie riziko vznikne pri porušení ochrany osobitnej kategórie osobných údajov (citlivých údajov).

Z vyhodnotenia rizík podľa a) nevyplýva spracovateľovi žiadna ohlasovacia resp. oznamovacia povinnosť.

Z vyhodnotenia rizík podľa b) vyplynie pre spracovateľa ohlasovacia povinnosť ku kontrolnému úradu.

Z vyhodnotenia podľa c) vyplynie pre spracovateľa oznamovacia povinnosť ku kontrolnému úradu a k dotknutej osobe (subjektu údajov).

Spracovateľovi vzniká ohlasovacia povinnosť kontrolnému úradu, len keď je pravdepodobné, že porušenie bude mať za následok riziko pre práva a slobody jednotlivcov.

Účelom ohlasovacej povinnosti je obmedzenie ujmy spôsobenej fyzickým osobám. Porušenie ochrany osobných údajov sa musí najneskôr do 72 hodín nahlásiť kontrolnému úradu na niektorú z uvedených možností:

Adresa: Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, Česká republika
E-mail posta@uoou.cz
ID dátovej schránky: qkbaa2n

Ak nie je možné poskytnúť informácie naraz, môžu byť poskytnuté postupne bez ďalšieho zbytočného odkladu.

Ak sa porušenia týkajú rovnakého typu osobných údajov, ktorých ochrana bola porušená rovnakým spôsobom počas pomerne krátkej doby, je možné vykonať hromadné ohlásenie..

V ohlásení budú kontrolnému úradu poskytnuté minimálne tieto informácie:

  1. Popis charakteru daného prípadu porušenia ochrany osobných údajov, vrátane, pokiaľ je to možné, kategórií a približného počtu dotknutých subjektov údajov (napr. deti, ľudia s postihnutím, zamestnanci, zraniteľné skupiny ľudí atď.) a kategórií a približného množstva dotknutých záznamov osobných údajov (napr. zdravotné dáta, školské záznamy, informácie o sociálnej starostlivosti, finančné údaje, čísla bankových účtov, čísla pasov atď.);
  2. meno a kontaktné údaje osoby poverenej k ochrane osobných údajov alebo iného kontaktného miesta, ktoré môže poskytnúť bližšie informácie;
  3. popis pravdepodobných dôsledkov porušenia ochrany osobných údajov;
  4. popis opatrení, ktoré spracovateľ prijal alebo navrhol na prijatie s cieľom vyriešiť dané porušenie ochrany osobných údajov, vrátane prípadných opatrení na zmiernenie možných nepriaznivých následkov.

Spracovateľovi vzniká oznamovacia povinnosť voči jednotlivcovi, len keď je pravdepodobné, že porušenie bude mať za následok vysoké riziko pre práva a slobody jednotlivcov, tj. porušenie môže viesť u dotknutého jednotlivca k materiálnej alebo nemateriálnej škode (k diskriminácii, krádeži totožnosti, podvodu, peňažnej strate, poškodeniu povesti atď.).

Spracovateľ oznámi toto porušenie bez zbytočného odkladu subjektu osobných údajov a kontrolnému úradu.

Spracovateľ prijal následné opatrenia, ktoré zaistili, že vysoké riziko pre práva a slobody dotknutých osôb sa už pravdepodobne neprejaví.

  1. popis charakteru porušenia;
  2. meno a kontaktné údaje osoby poverenej k ochrane osobných údajov alebo iné kontaktné miesto;
  3. popis pravdepodobných dôsledkov porušenia;
  4. popis opatrení prijatých alebo navrhnutých spracovateľom k riešeniu prípadu, vrátane prípadných opatrení na zmiernenie možných nepriaznivých následkov.

Spracovateľ môže poskytnúť podľa možností jednotlivcom konkrétnu radu, ako sa chrániť pred možnými nepriaznivými následkami porušenia (napr. resetovanie hesla a pod.).

Oznámenie subjektu údajov uvedené vyššie sa nevyžaduje, ak je splnená ktorákoľvek z týchto podmienok:

  1. Spracovateľ vykonal primerané technické a organizačné ochranné opatrenia a tieto opatrenia boli použité u osobných údajov dotknutých porušením ochrany osobných údajov. Ide najmä o také opatrenia, ktoré urobili tieto údaje nezrozumiteľnými pre kohokoľvek, kto nie je oprávnený mať k nim prístup, ako je napríklad šifrovanie.
  2. Spracovateľ prijal následné opatrenia, ktoré zaistili, že vysoké riziko pre práva a slobody dotknutých osôb sa už pravdepodobne neprejaví.
  3. Vyžadovalo by to neprimerané úsilie. V takom prípade musia byť dotknuté osoby informované rovnako účinným spôsobom pomocou verejného oznámenia alebo podobného opatrenia.

Ak kontrolný úrad usúdi, že dané porušenie bude mať s vysokou pravdepodobnosťou za následok vysoké riziko, môže po spracovateľovi požadovať, aby dotknutému subjektu údajov toto porušenie oznámil, ak tak doposiaľ neurobil. Môže však tiež rozhodnúť, že je splnená niektorá z podmienok uvedených v predchádzajúcom odstavci.

Spracovateľ dokumentuje všetky prípady porušenia ochrany osobných údajov, pričom uvedie skutočnosti, ktoré sa týkajú daného porušenia, jeho účinky a prijaté nápravné opatrenia.

Spracovateľ vedie dokumentáciu o všetkých prípadoch, aj keď nevznikne povinnosť hlásiť ich kontrolnému úradu. Popis porušenia musí obsahovať:

  • popis udalosti,
  • príčiny porušenia,
  • aké osobné údaje boli dotknuté,
  • účinky a dôsledky porušenia,
  • nápravné opatrenia prijaté spracovateľom,
  • zdôvodnenie prípadného neohlásenia incidentu resp. dôvody odkladu pri oneskorenom podaní ohlásenia,
  • doklad o oznámení dotknutým subjektom osobných údajov,
  • doklad o tom, že zamestnanci spracovateľa boli poučení o tom, ako sa majú v prípade porušenia ochrany osobných údajov zachovať.

Obdobným spôsobom spracovateľ zaznamená bezpečnostné incidenty, pri ktorých sa porušenie ochrany osobných údajov neprejavilo okamžite, ale zároveň nie je vylúčené, že sa toto porušenie prejaví neskôr.

Úloha poverenej osoby k ochrane osobných údajov – poverená osoba spolupracuje s kontrolným úradom a pôsobí ako kontaktné miesto pre kontrolný úrad a dotknuté osoby. Meno a kontakt na poverenú osobu uvádza spracovateľ pri ohlasovaní udalosti.

Spracovateľ zoznámi svojich zamestnancov s procesmi riešenia incidentov a poučí ich o tom, ako sa majú správať, aby predchádzali prípadom porušenia ochrany osobných údajov, a ako sa správať v prípadoch, keď k tomuto porušeniu dôjde. Poučenie zamestnancov sa vykonáva pri nástupe do zamestnania, ďalej pravidelne raz za 2 roky.

Akýkoľvek bezpečnostný incident zamestnanci nahlásia svojmu vedúcemu zamestnancovi, ktorý kontaktuje zodpovedné osoby spracovateľa. V prípade, že došlo k porušeniu ochrany osobných údajov, kontaktujú poverenú osobu k ochrane osobných údajov.

Ak spracovateľ používa dodávateľa a tento dodávateľ zistí porušenie ochrany osobných údajov, ktoré pre spracovateľa spracúva, musí to spracovateľovi ohlásiť bez zbytočného odkladu. Ak poskytuje dodávateľ služby viacerým spracovateľom, ktorí všetci boli postihnutí tým istým incidentom, dodávateľ musí ohlásiť podrobnosti o tomto incidente všetkým spracovateľom.