Informace o zpracování osobních údajů
Společnost Al Andalous s.r.o. tímto podle čl. 12 Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016, obecného nařízení o ochraně osobních údajů (dále jen „GDPR”), informuje, že zpracovává Vaše osobní údaje za následujících podmínek:
1. TOTOŽNOST A KONTAKTNÍ ÚDAJE SPRÁVCE
1.1. Správcem Vašich osobních údajů je společnost Al Andalous s.r.o., se sídlem Roháčova 145/14, 130 00 Praha 3, IČO: 04551125, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, pod sp.zn. C 24958/0 (dále jen „správce“).
1.2. Kontaktní údaje správce jsou následující: Al Andalous s.r.o., Roháčova 145/14, Praha 3, 130 00, emailová adresa info@alandalous.cz, telefon: 725 783 962.
1.3. Správce nejmenoval pověřence pro ochranu osobních údajů.
2. ÚČEL A ROZSAH ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
2.1 Správce provádí zpracování Vašich osobních údajů, které jsou nutné k uzavření kupní smlouvy nebo před uzavřením této smlouvy, a dále provádí zpracování Vašich osobních údajů, které je nezbytné pro plnění veřejnoprávních povinností této společnosti.
2.2 správce provádí zpracování osobních údajů rovněž pro marketingové účely, pokud k tomu dostane Váš souhlas.
2.3 Vaše osobní údaje jsou zpracovávány v následujícím rozsahu: Identifikační a kontaktní údaje, konktrétně jméno a příjemní, adresa bydliště, emailová adresa, telefonní číslo, datum narození, případné další komunikační kontakty.
3. PRÁVNÍ ZÁKLAD ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
3.1. Právním základem zpracování Vašich osobních údajů je skutečnost, že toto zpracování je nezbytné pro:
3.1.1. splnění smlouvy mezi Vámi a správcem nebo pro provedení opatření správcem před uzavřením takové smlouvy ve smyslu čl. 6 odst. 1 písm. b) Nařízení Evropského parlamentu a Rady 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „nařízení“);
3.1.2. splnění právních povinností, které se na správce vztahují, ve smyslu čl. 6 odst. 1 písm. c) nařízení, a to konkrétně zejména splnění povinností uložených správci obecně závaznými právními předpisy, zejména zákonem č. 235/2004 Sb., o dani z přidané hodnoty, ve znění pozdějších předpisů, zákonem č. 586/1992 Sb., o daních z příjmů, ve znění pozdějších předpisů, a zákonem č. 563/1991 Sb., o účetnictví, ve znění pozdějších předpisů.
3.2. Právním základem zpracování je rovněž Váš souhlas v případech, kdy zpracování není nutné pro plnění smluvních či zákonných povinností.
4. ZPRACOVÁVÁNÍ OSOBNÍCH ÚDAJŮ TŘETÍ OSOBOU
4.1 Vaše osobní údaje mohou být poskytnuty poskytovatelům doručovacích, právních a účetních služeb, marketingových či dalších služeb, kteří spolupracují se správcem na základě smlouvy obsahující náležitosti dle GDPR.
4.2 Vaše osobní údaje mohou být poskytnuty provozovatelům vzdálených úložišť elektronických dat (tzv. cloudy) za účelem uložení dat, pokud s takovými provozovateli byla uzavřena smlouva obsahující náležitosti smlouvy obsahující náležitosti dle GDPR.
4.3 Vaše osobní údaje mohou být poskytovány příjemcům ze třetích zemí, vč. zemí mimo kategorie zemí s odpovídající úrovní ochrany ve smyslu kapitoly V. GDPR v případě Vašeho souhlasu, popř. pokud je předání nezbytné pro plnění smlouvy uzavřené mezi Vámi správcem.
5. DOBA ULOŽENÍ OSOBNÍCH ÚDAJŮ
5.1. Nebudete-li souhlasit s delší dobou pro uchování Vašich osobních údajů, budou Vaše osobní údaje zpracovávány po dobu trvání účinků práv a povinností ze smlouvy a dále po dobu nutnou pro účely archivování podle příslušných obecně závazných právních předpisů, nejdéle však po dobu stanovenou obecně závaznými právními předpisy.
6. ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ
Ochranu Vašich osobních údajů zabezpečujeme následujícími prostředky:
a) Ochrana před neoprávněným přístupem k osobním údajům
Přístup k záznamovým zařízením a k listinným evidencím:
Záznamová zařízení a listinné evidence jsou umístěny v uzamykatelných prostorech správce, popř. v uzamykatelných skříních a zásuvkách zaměstnanců, popř. dalších spolupracovníků, správce. Vstup do místnosti mají pouze oprávněné osoby. Ostatní osoby mají přístup do místnosti pouze v doprovodu oprávněných osob.
Softwarový přístup k zařízením zpracovávajícím osobní údaje je chráněn uživatelským jménem a heslem.
Přístup k osobním údajům mají v nutném rozsahu pouze zaměstnanci a spolupracovníci, kteří osobní údaje využijí při plnění svých povinností.
b) Ochrana před neoprávněným čtením, kopírováním, přenosem, úpravou a vymazáním osobních údajů
Přístup k osobním údajům je chráněn přístupovým jménem a heslem.
Oprávněné osoby jsou proškoleny, přičemž každé další školení bude zaznamenáno v evidenci správce. Dále jsou prováděny pravidelné kontroly nastavení systému a dodržování interních předpisů správce.
c) Ochrana před živelnou událostí
Vyjma opatření dle písm. a) a protipožárních opatření nejsou přijata žádná další opatření.
d) Ochrana před útokem zvenčí (např. hackerský útok)
Systém správce je připojen k internetové síti. Proti napadení z vnější sítě byla přijata opatření ve formě zabezpečení firewall, zabezpečení přihlašovacím jménem a heslem, podporou šifrování přenosu dat pomocí vhodných protokolů a dalšími opatřeními poskytovatele web-hostingových služeb. Dalším opatřením jsou pravidelné kontroly systému ze strany správcem pověřených osob.
f) Ochrana před neznalostí
Všechny oprávněné a pověřené osoby jsou řádně poučeny a budou pravidelně proškolovány. Poučení a proškolení spočívá zejména v informování těchto osob o funkčnosti systému správce, záznamových zařízení a softwarového vybavení (včetně aktualizací), jakož i o právech a povinnostech při zpracování osobních údajů ve smyslu GDPR.
g) Další opatření
Správce otestoval funkčnost procesů a zpracování osobních údajů a jeho soulad s GDPR k dnešnímu dni. Další testování budou následovat.
7. PRÁVA SUBJEKTU ÚDAJŮ
Tímto Vás správce poučuje o právech v souvislosti se zpracováním Vašich osobních údajů, a to v intencích ustanovení článku 13, 15-22 a 34 GDPR.
Podle článku 13 GDPR:
- Máte právo požadovat od správce přístup k Vašim osobním údajům,
- Máte právo požadovat opravu nebo výmaz osobních údajů, popřípadě omezení zpracování, a vznést námitku proti zpracování, jakož i právo na přenositelnost údajů,
- Máte právo podat stížnost u dozorového úřadu a obrátit se se svými podněty ve věcech týkajících se osobních údajů přímo i na Úřad pro ochranu osobních údajů, se sídlem Pplk. Sochora 727/27, 170 00 Praha 7 - Holešovice.
- Poskytnutí Vašich osobních údajů správci nemusí být ani zákonným ani smluvním požadavkem, tedy nemusím mít povinnost osobní údaje správci poskytnout,
Podle článku 15 GDPR - právo na přístup k osobním údajům:
- Máte právo získat od správce potvrzení, zda Vaše osobní údaje jsou či nejsou zpracovávány, a pokud je tomu tak, mám právo získat přístup k Vašim osobním údajům a k následujícím informacím: a) účely zpracování; b) kategorie dotčených osobních údajů; c) příjemci nebo kategorie příjemců, kterým Vaše osobní údaje byly nebo budou zpřístupněny, zejména příjemci ve třetích zemích nebo v mezinárodních organizacích; d) plánovaná doba, po kterou budou Mé osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby; e) existence práva požadovat odsprávce opravu nebo výmaz Vašich osobních údajů nebo omezení jejich zpracování a/nebo vznést námitku proti tomuto zpracování; f) právo podat stížnost u dozorového úřadu; g) veškeré dostupné informace o zdroji Vašich osobních údajů, pokud nebyly získány přímo od Vás; h) skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 22 odst. 1 a 4 GDPR, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro Vás.
- Máte právo na poskytnutí kopie Vašich osobních údajů zpracovávaných Správcem. Za další kopie správce může účtovat přiměřený poplatek na základě administrativních nákladů. Jestliže podáte žádost v elektronické formě, poskytnou se informace v elektronické formě, která se běžně používá, pokud nepožádám o jiný způsob.
Podle článku 16 GDPR – právo na opravu Mých osobních údajů:
- Máte právo na to, aby správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se Vás týkají. S přihlédnutím k účelům zpracování mám právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení.
Podle článku 17 GDPR – právo na výmaz osobních údajů:
- Máte právo na to, aby správce bez zbytečného odkladu vymazal Vaše osobní údaje, pokud je dán jeden z těchto důvodů: a) osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány; b) odvolal/a jste souhlas se zpracováním osobních údajů, a neexistuje žádný další právní důvod pro zpracování; c) vznesl/a jste námitky proti zpracování podle čl. 21 odst. 1 GDPR a neexistují žádné převažující oprávněné důvody pro zpracování nebo jste vznesl/a námitky proti zpracování podle čl. 21 odst. 2 GDPR; d) osobní údaje byly zpracovány protiprávně; e) osobní údaje musí být vymazány ke splnění právní povinnosti stanovené v právu Evropské unie nebo jejího členského státu, které se na správce vztahuje. Omezení se neuplatní, pokud je zpracování osobních údajů nezbytné: a) pro výkon práva na svobodu projevu a informace; b) pro splnění právní povinnosti, jež vyžaduje zpracování podle práva Evropské unie nebo jejího členského státu, které se na Správce vztahuje, nebo pro splnění úkolu provedeného ve veřejném zájmu nebo při výkonu veřejné moci, pokud by jím byl Správce pověřen; c) z důvodů veřejného zájmu v oblasti veřejného zdraví; d) pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu či pro statistické účely v souladu s čl. 89 odst. 1 GDPR; e) pro určení, výkon nebo obhajobu právních nároků.
Podle článku 18 GDPR - právo na omezení zpracování osobních údajů:
- Máte právo na to, aby správce omezil zpracování v kterémkoli z těchto případů: a) pokud byste popíral/a přesnost Vašich osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost Vašich osobních údajů ověřit; b) zpracování je protiprávní a Vy byste odmítl/a výmaz Vašich osobních údajů a žádal/a byste místo toho o omezení jejich použití; c) správce již Vaše osobní údaje nepotřebuje pro účely zpracování, avšak Vy byste je požadoval/a pro určení, výkon nebo obhajobu právních nároků; d) vznesl/a-li byste námitku proti zpracování podle čl. 21 odst. 1 GDPR, dokud nebude ověřeno, zda oprávněné důvody správce převažují nad Vašimi oprávněnými důvody.
- Pokud bylo zpracování omezeno podle bodu j) výše, mohou být tyto Mé osobní údaje, s výjimkou jejich uložení, zpracovány pouze s mým souhlasem, nebo z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu Evropské unie nebo některého jejího členského státu.
Podle článku 19 GDPR - oznamovací povinnost ohledně opravy nebo výmazu osobních údajů nebo omezení zpracování:
- Správce oznamuje jednotlivým příjemcům, jimž byly Vaše osobní údaje zpřístupněny, veškeré opravy nebo výmazy Vašich osobních údajů nebo omezení zpracování, s výjimkou případů, kdy se to ukáže jako nemožné nebo to vyžaduje nepřiměřené úsilí. Správce Vás informuje o těchto příjemcích, jen pokud to budete požadovat.
Podle článku 20 GDPR – právo na přenositelnost údajů
- Za podmínek uvedeného ustanovení máte právo získat osobní údaje, které se Vás týkají a poskytl/a jste správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil.
Podle článku 21 GDPR – právo vznést námitku:
- Máte z důvodů týkajících se Vaší konkrétní situace právo kdykoli vznést námitku proti zpracování Vašich osobních údajů, na základě čl. 6 odst. 1 písm. f) GDPR, včetně profilování založeného na těchto ustanoveních. Správce Vaše osobní údaje dále nebude zpracovávat, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad Vašimi zájmy nebo právy a svobodami, nebo pro určení, výkon nebo obhajobu právních nároků.
- Můžete uplatnit své právo vznést námitku automatizovanými prostředky pomocí technických specifikací.
Podle článku 22 GDPR – Automatizované individuální rozhodování, včetně profilování:
- Máte právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro mě právní účinky nebo se mě obdobným způsobem významně dotýká. To neplatí, pokud je rozhodnutí: a) nezbytné k uzavření nebo plnění smlouvy mezi Vámi a správcem; b) povoleno právem Evropské unie nebo jejího členského státu, které se na správce vztahuje a které rovněž stanoví vhodná opatření zajišťující ochranu mých práv a svobod a oprávněných zájmů; c) založeno na Vašem výslovném souhlasu.
Podle článku 34 GDPR – oznamování případů porušení zabezpečení osobních údajů
- Pokud je pravděpodobné, že určitý případ porušení zabezpečení Vašich osobních údajů bude mít za následek vysoké riziko pro Vaše práva a svobody, má správce povinnost Vám toto porušení bez zbytečného odkladu oznámit.
- Oznámení podle předchozího bodu q) se však nevyžaduje, je-li splněna kterákoli z těchto podmínek: a) Správce zavedl náležitá technická a organizační ochranná opatření a tato opatření byla použita, zejména taková, která činí tyto Mé osobní údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim mít přístup, jako je například šifrování; b) Správce přijal následná opatření, která zajistí, že vysoké riziko pro má práva a svobody podle bodu q) výše se již pravděpodobně neprojeví; c) vyžadovalo by to nepřiměřené úsilí.
Poslední aktualizace dne 22.2.2023