Принципы обработки персональных данных

принят в соответствии с Регламентом (ЕС) 2016/679 Европейского парламента и Совета о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, а также отменяет Директиву 95/46/EC (Общий регламент по защите данных) (далее – «GDPR») и в соответствии с Законом No 110/2019 Сб., об обработке персональных данных

1. Введение

Предприниматель Kamil Závodný, юридический адрес: Bílovecká 177/170, Kylešovice, 747 06 Opava, ID компании: 66168279,
Идентификационный номер налогоплательщика: CZ7507275479, как оператор www.medicalseeds.cz интернет-магазина (далее – «Администратор»), обрабатывает персональные данные так называемых субъектов данных – физических лиц, которые:

  • заинтересованы в совершении покупки в интернет-магазине (потенциальные клиенты);

  • Они покупают или купили в интернет-магазине (клиенты).

Администратор гарантирует, что обработка персональных данных субъектов данных является законной, правильной, прозрачной, точной, конфиденциальной и что персональные данные обрабатываются только в необходимом объеме. Администратор также обеспечивает надлежащую защиту персональных данных и соблюдение всех правил, изложенных в GDPR, а также других правовых нормах в области обработки персональных данных.

Эти принципы были приняты, в том числе, для демонстрации соответствия обработки персональных данных Администратором правовым нормам. Разъяснение отдельных терминов, связанных с обработкой персональных данных в соответствии с настоящей Политикой, приведено в статье 12 ниже.

2. Контролер персональных данных

Ответственным обработчиком персональных данных является компания Kamil Závodný, зарегистрированная по адресу: Bílovecká 177/170, Kylešovice, 747 06 Opava,
Идентификационный номер: 66168279, идентификационный номер налогоплательщика: CZ7507275479.

Связаться с администратором можно любым из следующих способов:

  • лично (или в письменной форме) по юридическому адресу Администратора Medical Seeds, Nákladní 438/17, 746 01 Opava, Czech Republic;

  • в электронном виде по адресу электронной почты info@medicalseeds.cz;

  • по телефону +420 736 294 694.

3. Цели обработки, для которых предназначены персональные данные, и правовое основание для обработки

3.1. Исполнение договора купли-продажи

Администратор обрабатывает персональные данные, в частности, с целью заключения и исполнения договора купли-продажи, т.е. как минимум для того, чтобы Администратор мог доставить клиенту товары, приобретенные в интернет-магазине.

Правовым основанием для такой обработки является ст. 6. 1 лит. b) GDPR – исполнение договора, стороной которого является субъект данных.

3.2. Выполнение юридических обязательств Администратора

Администратор обрабатывает персональные данные с целью выполнения юридических обязательств Администратора, таких как законы о бухгалтерском учете и налогообложении, Закон о защите прав потребителей и т. д., в том числе обязанность Администратора доказать, что он обрабатывает персональные данные в соответствии с общеобязательными правовыми нормами, в частности, в соответствии с GDPR.

Правовым основанием для такой обработки является ст. 6. 1 лит. c) GDPR – соблюдение юридического обязательства, которое распространяется на Администратора.

3.3. Законные интересы Администратора

Администратор может обрабатывать персональные данные в целях::

  • использование прямого маркетинга (см. ст. 5 ниже);

  • определение, осуществление или защита от законных требований (в частности, требований, вытекающих из заключенного договора купли-продажи).

Правовым основанием для такой обработки является ст. 6. 1 лит. f) GDPR – законный интерес Администратора.

3.4. Согласие субъекта данных

На основании согласия субъекта данных Администратор может обрабатывать персональные данные в целях::

  • использование прямого маркетинга (см. ст. 5 ниже);

  • открытие и ведение учетной записи клиента (см. ст. 10 ниже).

Правовым основанием для такой обработки является ст. 6. 1 лит. a) GDPR – согласие субъекта данных.

4. Обработка персональных данных на основании согласия

4.1. Добровольность

Предоставление согласия на обработку персональных данных является полностью добровольным

Непредоставление согласия не будет иметь никаких негативных последствий для субъекта данных.

4.2. Отзыв согласия

Каждый субъект данных имеет право отозвать согласие на обработку персональных данных в любое время, в частности одним из следующих способов.

  • через учетную запись клиента;

  • путем электронного уведомления, отправленного на адрес электронной почты Администратора (см. Статью 2 выше);

  • путем письменного уведомления, направленного на адрес зарегистрированного офиса Администратора или учреждения/одного из учреждений (см. Статью 2 выше);

  • по телефону, используя контактные данные Администратора (см. Статью 2 выше).

Согласие на ведение учетной записи клиента также может быть отозвано путем закрытия учетной записи клиента (см. пункт 10.2 ниже).

Отзыв согласия не влияет на законность обработки на основании согласия, которое было дано до его отзыва.

5. Прямой маркетинг

5.1. Общие положения

Под обработкой персональных данных в целях прямого маркетинга понимается обработка персональных данных с целью отправки коммерческих сообщений в понимании Закона No 480/2004 Сб. «О некоторых услугах информационного общества» в действующей редакции (далее – «Закон No 480/2004 Сб.»).

Под коммерческими сообщениями понимается любая форма коммуникации, включая рекламу и побуждение к посещению веб-сайта интернет-магазина, предназначенная для прямого или косвенного продвижения товаров или услуг или имиджа Администратора (в частности, информационные бюллетени).

5.2. Как это работает на самом деле?

Обработка персональных данных с целью отправки коммерческих сообщений потенциальным клиентам (т.е. лицам, которые еще не совершили покупку в интернет-магазине, но решили получать коммерческие сообщения) возможна только на основании их согласия на обработку персональных данных. Кроме того, фактическая отправка коммерческих сообщений потенциальным клиентам может осуществляться только на основании согласия (в соответствии с § 7 (2) Закона No 480/2004 Сб.).

Обработка персональных данных с целью отправки коммерческих сообщений клиентам (т.е. лицам, которые уже совершили покупку в интернет-магазине) возможна даже без их согласия, исходя из наличия законного интереса Администратора (см. пункт 3.3 выше или преамбулу 47 GDPR). Кроме того, фактическая отправка коммерческих сообщений клиентам, если эти коммерческие сообщения относятся к собственным аналогичным продуктам или услугам Администратора, может быть осуществлена в таком случае без их согласия (в соответствии с § 7 (3) Закона No 480/2004 Сб.), если клиент первоначально отказался или не откажется впоследствии[см. https://www.uoou.cz/gdpr-a-nbsp-primy-elektronicky-marketing/d-30715]

5.3. Прекращение обработки данных в целях прямого маркетинга

Контролер прекращает обработку персональных данных в целях прямого маркетинга сразу после того, как клиент или потенциальный клиент выразит свое несогласие с такой обработкойНесогласие может быть сделано, например, одним из следующих способов:

  • отзыв согласия на обработку персональных данных (см. ст. 4 выше);

  • выражать несогласие с обработкой персональных данных, а также может быть отозвано согласие на обработку персональных данных (см. ст. 4 выше);

  • путем отказа от подписки, который может быть сделан в любом коммерческом сообщении;

  • возразив против такой обработки (в соответствии со ст. 21 GDPR).

Несмотря на вышеизложенное, Администратор прекращает обработку персональных данных в целях прямого маркетинга не позднее, чем через 3 года после последней покупки в интернет-магазине (заключения договора купли-продажи). Таким образом, любая последующая покупка продлевает срок обработки еще на 3 года.

Если покупка в интернет-магазине так и не состоялась, Администратор прекратит обработку одновременно с аннулированием учетной записи клиента (см. пункт 10.2 ниже).

6. Категории получателей персональных данных

Получателем персональных данных является любое лицо, которому Администратор предоставляет персональные данные.

Администратор передает, в частности, персональные данные следующим получателям: субъектам, предоставляющим бухгалтерские или налоговые услуги, почтовые или транспортные услуги, услуги по рассылке информационных бюллетеней, юридические услуги, ИТ-услуги, операторы платежных шлюзов, операторы платежных систем, администраторы доменов, поставщики технической поддержки и т. д. Эти получатели будут обрабатывать персональные данные либо как независимые контролеры (т.е. как субъекты, определяющие цели и средства обработки персональных данных, независимо от Администратора), либо как обработчики (т.е. субъекты, которые обрабатывают персональные данные для Администратора на основании инструкций Администратора).

Кроме того, Администратор будет предоставлять персональные данные государственным органам, если эта обязанность возложена на них общеобязательными правовыми нормами. Эти получатели всегда будут обрабатывать персональные данные в качестве независимых контролеров. Однако органы государственной власти при осуществлении своих следственных полномочий не считаются получателями.

7. Передача в третьи страны или международные организации

Администратор не будет передавать персональные данные третьим странам или международным организациям в соответствии со статьей 44 и последующими статьями GDPR.

8. Продолжительность обработки персональных данных

Персональные данные будут обрабатываться только в течение срока, необходимого с учетом цели их обработки. Прекращение действия одного из законных оснований для обработки персональных данных не влияет на обработку персональных данных (в необходимом объеме) на другом законном основании.

8.1. Исполнение Договора купли-продажи

С этой целью Администратор будет обрабатывать персональные данные в течение 30 дней после прекращения последнего из обязательств, вытекающих из договора купли-продажи. Это не влияет на возможность Администратора в дальнейшем обрабатывать эти персональные данные на основании других законных оснований и для целей, указанных в настоящих принципах.

8.2. Выполнение юридических обязательств Администратором

С этой целью Администратор будет обрабатывать персональные данные в течение срока действия соответствующего юридического обязательства Администратора, предусмотренного общеобязательными правовыми нормами.

8.3. Законные интересы Администратора

8.3.1. Прямой маркетинг

С этой целью Администратор может обрабатывать персональные данные до момента выражения несогласия с такой обработкой, но не дольше 3 лет с момента последней покупки в интернет-магазине (см. пункт 5.3 выше).

8.3.2. Судебные иски

С этой целью Администратор может обрабатывать персональные данные в течение срока действия соответствующего судебного требования, но не более 1 года после истечения срока исковой давности в соответствии с общеобязательными правовыми нормами. В случае инициирования и продолжительности судебного, административного или любого другого разбирательства, в ходе которого будут урегулированы права или обязанности, вытекающие из соответствующего судебного иска, срок обработки персональных данных с этой целью не закончится до окончательного завершения такого разбирательства.

8.4. Согласие субъекта данных

8.4.1. Прямой маркетинг

С этой целью Администратор может обрабатывать персональные данные до момента:

  • отзыв согласия на обработку персональных данных (см. ст. 4 выше);

  • выражение своего возражения против обработки персональных данных таким же образом, как вы можете отозвать согласие (см. статью 4 выше);

однако не дольше, чем до момента аннулирования учетной записи клиента (см. пункт 10.2 ниже).

8.4.2. Обслуживание учетной записи Клиента

С этой целью Администратор может обрабатывать персональные данные до тех пор, пока учетная запись клиента не будет аннулирована (см. пункт 10.2 ниже).

8.5. Удаление персональных данных

Сразу после истечения срока обработки в соответствии с. 8.1, 8.2 или 8.3.2 выше, Администратор обязуется обезличить или уничтожить соответствующие персональные данные, цель их обработки которых перестала существовать.

В случаях согласно. 8.3.1 или 8.4 выше, Администратор прекращает обработку персональных данных в указанных целях немедленно после отзыва согласия, выражения несогласия или аннулирования учетной записи клиента.

9. Права субъектов данных

Каждый субъект данных имеет следующие права, в частности:

  • право запрашивать доступ к своим персональным данным (в соответствии со статьей 15 GDPR);

  • право на исправление или удаление персональных данных (в соответствии со статьей 16 или статьей 17 GDPR);

  • право на ограничение обработки персональных данных (с учетом статьи 18 GDPR);

  • право на возражение против обработки (в соответствии со статьей 21 GDPR);

  • право на переносимость данных (в соответствии со статьей 20 GDPR);

  • право на отзыв согласия на обработку персональных данных (см. ст. 4 выше).

Любой субъект данных, который считает, что Контролер обрабатывает его персональные данные в нарушение защиты частной и личной жизни субъекта данных или соответствующего законодательства, в частности, если персональные данные являются неточными в отношении цели их обработки, может

a) обратиться за разъяснениями к Администратору (контактные данные см. в статье 2 выше), или

b) потребовать от Администратора исправить такую ситуацию, в частности, путем исправления, дополнения или удаления персональных данных (контактные данные см. в статье 2 выше).

Если субъект данных считает, что его право на защиту персональных данных было нарушено, он также имеет право подать жалобу в надзорный орган, которым является Управление по защите персональных данных, зарегистрированное по адресу: Pplk. Sochora 27, Holešovice, 170 00 Praha 7.

10. Учетная запись клиента

10.1. Открытие клиентского счета

Создание учетной записи клиента является полностью добровольным, так как Администратор позволяет вам совершить покупку в интернет-магазине без открытия учетной записи клиента (т.е. без регистрации).

Для того, чтобы Администратор мог хранить персональные данные, введенные в форму для открытия и ведения учетной записи клиента (или в любое время позже внесенные в учетную запись клиента), Администратору необходимо согласие на это.

До момента, когда потенциальный клиент заключает договор купли-продажи с Администратором (т.е. становится клиентом) и впоследствии после выполнения всех обязательств, вытекающих из заключенного договора купли-продажи, Администратор не будет обрабатывать персональные данные каким-либо иным образом, кроме как в целях поддержания учетной записи клиента; однако это не влияет на способность Администратора обрабатывать персональные данные на других законных основаниях, в частности, на основании согласия, предоставленного в целях прямого маркетинга (отправки коммерческих сообщений).

10.2. Закрытие учетной записи клиента

Учетная запись клиента может быть закрыта в любое время через учетную запись клиента или на основании запроса на аннулирование учетной записи клиента, отправленного на один из контактных адресов, указанных в разделе 2 выше.

Несмотря на вышеизложенное, Контролер может аннулировать Учетную запись Клиента по истечении 3 лет с момента последней покупки Клиента в Интернет-магазине, а также Контролер может аннулировать Учетную запись Клиента, даже если Клиент нарушает свои обязательства по Договору купли-продажи.

Если покупка в интернет-магазине так и не состоялась, Администратор может аннулировать учетную запись клиента по истечении 3 лет с момента ее создания.

11. Файлы cookie и другие технические данные

Более подробная информация о так называемых файлах cookie и других технических данных, обрабатываемых при посещении веб-сайта интернет-магазина, приведена в отдельном документе Файлы cookie.

12. Основные термины

Персональные данные – это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (так называемому субъекту данных); Идентифицируемое физическое лицо — это лицо, которое может быть идентифицировано, прямо или косвенно, в частности, с помощью идентификатора, такого как имя, фамилия, дата рождения, место жительства, адрес электронной почты, номер телефона, идентификационный номер, данные о местоположении, онлайн-идентификатор или один или несколько факторов, характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица.

Обработка персональных данных – это любая операция или совокупность операций с персональными данными или совокупностями персональных данных, которые осуществляются с помощью автоматизированных процедур или без них, такие как сбор, запись, организация, структурирование, хранение, адаптация или изменение, извлечение, консультирование, использование, раскрытие путем передачи, распространения или любого другого раскрытия, согласования или комбинирования, ограничения, удаления или уничтожения.

Клиентом является физическое лицо, заключившее договор купли-продажи с Администратором через интернет-магазин, т.е. лицо, которое имеет так называемые клиентские отношения с Администратором.

Потенциальным клиентом является физическое лицо, которое еще не заключило договор купли-продажи с Администратором через интернет-магазин, т.е. лицо, не имеющее так называемых клиентских отношений с Администратором.

13. Дополнительная информация об обработке персональных данных

Администратор обязан принимать такие технические и организационные меры для предотвращения несанкционированного или случайного доступа к персональным данным, их изменения, уничтожения, потери, несанкционированной передачи или другой несанкционированной обработки или неправомерного использования. Это обязательство действует даже после прекращения обработки персональных данных.

Если у Вас возникли вопросы относительно обработки персональных данных, Вы можете связаться с Администратором по одному из контактных адресов, указанных в статье 2 настоящей Политики.

Общую информацию об обработке персональных данных также можно найти на веб-сайте Управления по защите персональных данных, доступном по адресу www.uoou.cz.

Эти принципы вступают в силу с 7.6.2023.