Polityka prywatności
INFORMACJE O PRZETWARZANIU DANYCH OSOBOWYCH
Oświadczenie o przetwarzaniu danych osobowych zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679, w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i pouczenie osób, których dane dotyczą (w dalszym ciągu “GDPR”)
I. Administrator danych osobowych
Megashops s.r.o., REGON: 03772551, z siedzibą Nad Lipinou, 738 01 Frýdek-Místek, Republika Czeska, osoba prawna zarejestrowana w Rejestrze Handlowym prowadzonym przez Sąd Rejonowy w Ostrawie, dział C, wkładka 61191 (w dalszym ciągu "administrator") niniejszym zgodnie z art. 12 GDPR informuje o przetwarzaniu Państwa danych osobowych i o Państwa prawach.
II. Cel przetwarzania danych osobowych
spełnienie zobowiązań prawnych ze strony administratora, szczególnie ze względu na prowadzenie księgowości, zobowiązań podatkowych, a także odprowadzanie innych obowiązkowych składek,
zapewnienie zawarcia i późniejszego spełnienia zobowiązania umownego między administratorem i osobą, której dane dotyczą,
w celu ochrony swoich uzasadnionych interesów w ramach uzgodnionego zobowiązania umownego między administratorem danych i osobą, której dane dotyczą, w szczególności w celu zapewnienia spełnienia obowiązków stron w rozumieniu np. postępowania w sprawie reklamacji, ochrony interesów majątkowych administratora w przypadku wszelkich sporów,
ochrona praw administratora, odbiorcy lub innych osób dotkniętych (np. odzyskiwanie należności administratora),
archiwizacja prowadzona na podstawie ustawy nr 563/1991 Dz. U., o księgowości,
negocjacje w sprawie stosunku umownego,
nabory na wolne stanowiska pracy,
w celach marketingowych, aby administrator mógł najlepiej dopasować ofertę swoich produktów i usług,
w przypadku komunikacji handlowej administratora, gdy w tym celu wymagana jest wyraźna, świadoma zgoda osoby, której dane dotyczą, i zgoda ta jest przyznawana osobno,
cele zawarte w ramach zgody osoby, której dane dotyczą
IIA. Źródła danych osobowych
publicznie dostępne rejestry, listy i ewidencje (np. rejestr handlowy, rejestr działalności gospodarczej, rejestr nieruchomości, publiczna książka telefoniczna itp.) oraz inne ogólnodostępne dane (np. prasa, sieci społecznościowe),
bezpośrednio od osób, których dane dotyczą (imię, nazwisko, adres, data urodzenia, adres e-mail, telefon, czat, strona internetowa, sieci społecznościowe, wizytówki, połączenie bankowe)
III. Zakres przetwarzania danych
Dane osobowe przetwarzane są w zakresie:
1. w jakim odpowiednia osoba, której dane dotyczą, udostępniła je administratorowi w związku z zawarciem umowy lub innego stosunku prawnego z administratorem,
2. lub które administrator zebrał w inny sposób i przetwarza je zgodnie z obowiązującymi przepisami prawnymi, lub w celu spełnienia ustawowych obowiązków administratora
IV. Kategorie przetwarzanych danych osobowych
dane adresowe i identyfikacyjne wykorzystywane do jednoznacznej i niezamiennej identyfikacji osoby, której dane dotyczą (np. imię, nazwisko, tytuł, data urodzenia, ewentualnie PESEL, stały adres, REGON, NIP) oraz dane umożliwiające kontakt z osobą, której dane dotyczą (dane kontaktowe - np. adres korespondencyjny, numer telefonu, numer faksu, adres e-mail i inne informacje o podobnym charakterze),
dane opisowe (np. połączenie bankowe),
inne niezbędne dane do realizacji umowy,
dane przekazane poza odpowiednimi przepisami prawnymi przetwarzane w ramach zgody udzielonej przez osobę, której dane dotyczą (przetwarzanie zdjęć, wykorzystanie danych osobowych do celów zarządzania personelem, e-maile od osób zainteresowanych w aukcjach itp.)
V. Kategorie osób, których dane dotyczą
osoba zainteresowana usługą (przyszły potencjalny klient),
osoba zainteresowana towarem (przyszły potencjalny klient),
osoba w stosunku umownym z administratorem (zwłaszcza klientem),
pracownik administratora,
dostawca usługi lub towaru,
osoba zainteresowana pozycją dostawcy towarów lub usług,
osoba poszukująca pracę,
inna osoba, wobec której stosuje swoje prawo administrator (szczególnie szkodnik, który spowodował szkodę administratorowi)
inna osoba, która dochodzi i stosuje swoich praw wobec administratora (w szczególności domniemana osoba poszkodowana w związku z odszkodowaniem)
VI. Kategorie odbiorców danych osobowych
organy państwowe i inne w ramach spełniania obowiązków ustawowych określonych przez odpowiednie przepisy prawne i ich kontrola oraz w ramach spełniania zadań leżących w interesie publicznym, w szczególności organy kontrolne, takie jak Urząd skarbowy, Okręgowy zakład ubezpieczeń społecznych, itp.,
instytucje publiczne, takie jak sądy w przypadku uzasadnionego interesu administratora w postępowaniu sądowym wszczętym przez administratora przeciwko osobie, której dane dotyczą,
dostawca towarów i usług,
przewoźnik pocztowy,
przetwórca
VII. Sposób przetwarzania i ochrony danych osobowych
Przetwarzanie danych osobowych jest wykonywane przez administratora lub ewentualnie przez przetwórcę na podstawie instrukcji administratora. Przetwarzanie odbywa się w siedzibie administratora przez poszczególnych upoważnionych pracowników administratora, ewentualnie przez przetwórcę w miejscu jego siedziby. Przetwarzanie danych odbywa się za pomocą technologii komputerowej na podstawie ewidencji elektronicznej, ewentualnie sposobem ręcznym danych osobowych w formie papierowej przestrzegając wszystkich zasad bezpieczeństwa dotyczących zarządzania i przetwarzania danych osobowych. W tym celu administrator przyjął techniczne i organizacyjne środki w celu zapewnienia ochrony danych osobowych, w szczególności środki zapobiegające nieuprawnionemu lub przypadkowemu dostępowi do danych osobowych, ich zmianie, zniszczeniu lub utracie, nieuprawnionemu przesyłaniu, nieuprawnionemu przetwarzaniu i innemu niewłaściwemu wykorzystywaniu danych osobowych. Wszystkie podmioty, którym udostępniane są dane osobowe, szanują prawa do prywatności ochrony danych osób, których dane dotyczą, i są zobowiązane do przestrzegania stosownych przepisów dotyczących ochrony danych osobowych.
VIII. Czas przetwarzania danych
Dane osobowe będą przetwarzane podczas negocjacji dotyczących zawarcia umowy między administratorem danych a osobą, której dane dotyczą, jak również na czas trwania stosunku umownego lub na czas określony w zgodzie, którą udzieliła osoba, której dane dotyczą, zgodnie z następującymi zasadami:
W przypadku zawarcia umowy dane osobowe będą przetwarzane i przechowywane przez okres kolejnych 36 miesięcy w przypadku sporu dotyczącego związku między administratorem danych a osobą, której dane dotyczą, w celu ochrony uzasadnionych interesów administratora danych.
W celu spełnienia ustawowego obowiązku archiwizowania dokumentów księgowych zgodnie z ustawą nr 563/1991 Dz. U., o księgowości, z późniejszymi zmianami, dane osobowe (z wyjątkiem adresu e-mail i numeru telefonu) będą dalej przetwarzane i przechowywane przez administratora przez okres 5 lat, począwszy od roku następującym po roku, w którym została zawarta umowa między administratorem danych i osobą, której dane dotyczą.
Po upływie powyższych terminów administrator zlikwiduje przetworzone dane osobowe osoby, której dane dotyczą.
IX. Pouczenie dotyczące praw osoby, której dane dotyczą
1) Administrator przetwarza dane w przypadkach przewidzianych przez prawo, i to w celu realizacji umowy, w celu spełnienia obowiązku prawnego, w celu ochrony uzasadnionych interesów administratora lub osoby trzeciej, w celu spełnienia zadania wykonywanego w interesie publicznym lub w ramach wykonywania władzy publicznej, w celu ochrony żywotnych interesów osoby, której dane dotyczą, w przypadku gdy przetwarzanie danych osobowych nie wymaga zgody osoby, której dane dotyczą. Jeśli nie ma innego powodu prawnego, to do przetwarzania danych wymagana jest zgoda osoby, której dane dotyczą.
2) Każda osoba, której dane dotyczą, i która stwierdzi lub podejrzewa, że administrator lub przetwórca przetwarza jego dane osobowe w sposób sprzeczny z ochroną życia prywatnego i osobowego osoby, której dane dotyczą, lub w sposób sprzeczny z prawem, w szczególności, jeśli dane osobowe są niedokładne w odniesieniu do celu ich przetwarzania, może:
Zażądać administratora o wyjaśnienie.
Wymagać od administratora usunięcia stanu wynikającego.
Jeżeli administrator nie spełni żądania osoby, której dane dotyczą, osoba ma prawo skontaktować się bezpośrednio z organem nadzoru, otóż z Urzędem ochrony danych osobowych.
Procedura nie wyklucza, żeby osoba, której dane dotyczą, nie skontaktowała się bezpośrednio z organem nadzoru.
3) Osoba, której dane dotyczą, ma zgodnie z art. 15 GDPR prawo uzyskać od administratora potwierdzenie, że jego dane osobowe są lub nie są przetwarzane, a jeśli tak, ma prawo dostępu do swoich danych osobowych i do następujących informacji: a) cele przetwarzania; b) kategorie danych osobowych; c) odbiorcy lub kategorie odbiorców, których dane osobowe zostały lub zostaną udostępnione, w szczególności odbiorcy w państwach trzecich lub organizacjach międzynarodowych; d) planowany okres, w którym będą przechowywane jego dane osobowe lub jeżeli nie jest możliwe ustalenie okresu, kryteria stosowane do określenia tego okresu; e) istnienie prawa do żądania od administratora naprawy lub usunięcia jego danych osobowych, lub ograniczenia ich przetwarzania, lub wyrażenia sprzeciwu wobec takiego przetwarzania; f) prawo do złożenia skargi do organu nadzoru; g) wszelkie dostępne informacje na temat źródła jego danych osobowych, chyba że zostały uzyskane bezpośrednio od osoby, której dane dotyczą; h) fakt, że ma miejsce automatyczne podejmowanie decyzji, w tym tworzenie profili, o których mowa w art. 22 ust. 1 i 4 GDPR, a przynajmniej w takich przypadkach istotne informacje dotyczące zastosowanej procedury oraz znaczenia i przewidywanych skutków takiego przetwarzania dla mnie.
Osoba, której dane dotyczą, ma prawo do otrzymania kopii swoich danych osobowych przetwarzanych przez administratora. W przypadku dodatkowych kopii administrator może naliczyć uzasadnioną opłatę na podstawie kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, złoży wniosek w formie elektronicznej, zostaną udostępnione powszechnie używane informacje w formie elektronicznej, chyba że zażąda o inny sposób.
4) Osoba, której dane dotyczą, ma zgodnie z artykułem 16 GDPR prawo do tego, aby administrator danych poprawił niedokładne dane osobowe, które go dotyczą, bez zbędnej zwłoki. Biorąc pod uwagę cele przetwarzania, osoba, której dane dotyczą, ma prawo do uzupełnienia niekompletnych danych osobowych również dostarczeniem dodatkowego oświadczenia.
5) Osoba, której dane dotyczą, ma zgodnie z artykułem 17 GDPR prawo do tego, aby administrator danych usunął jego dane osobowe bez zbędnej zwłoki, jeśli jest podany jeden z następujących powodów: a) jego dane osobowe nie są już potrzebne do celów, dla których zostały zgromadzone lub przetworzone w inny sposób; b) osoba, której dane dotyczą, wycofała zgodę na przetwarzanie jego danych osobowych i nie istnieje dalszy prawny powód przetwarzania; c) osoba, której dotyczą dane, wyraziła sprzeciw wobec przetwarzania zgodnie z artykułem 21 ust. 1 GDPR i nie istnieją żadne nadrzędne uzasadnione powody przetwarzania lub osoba, której dane dotyczą, wyraziła sprzeciw wobec przetwarzania zgodnie z art. 21 ust. 2 GDPR; d) dane osobowe zostały przetworzone niezgodnie z prawem; e) dane osobowe muszą zostać usunięte w celu spełnienia obowiązku prawnego określonego w prawie Unii Europejskiej lub państwie członkowskim, które ma zastosowanie do administratora danych.
Powyższy ustęp nie ma zastosowania, jeżeli przetwarzanie danych osobowych jest konieczne: a) w celu korzystania z prawa do wolności słowa i informacji; b) w celu wywiązania się z obowiązku prawnego, który wymaga przetwarzania zgodnie z prawem Unii Europejskiej lub państwa członkowskiego mającego zastosowanie do administratora, lub do wykonania zadania wykonywanego w interesie publicznym, lub w ramach wykonywania władzy publicznej, jeżeli administrator został nim powierzony; c) z powodów interesu publicznego w dziedzinie zdrowia publicznego; d) do celów archiwizacji w interesie publicznym, do celów badań naukowych lub historycznych, lub do celów statystycznych zgodnie z art. 89 ust. 1 GDPR; e) w celu określenia, wykonania lub obrony roszczeń prawnych.
6) Osoba, której dane dotyczą, ma zgodnie z artykułem 18 GDPR prawo, aby administrator ograniczył przetwarzanie danych w którymkolwiek z następujących przypadków: a) jeżeli osoba, której dane dotyczą, zaprzeczyłaby prawdziwości danych osobowych przez okres niezbędny do sprawdzenia prawdziwości danych osobowych przez administratora; b) przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, odmówiła usunięcie danych osobowych, a zamiast tego zażądałaby o ograniczenie ich wykorzystania; c) administrator nie potrzebuje już danych osobowych osoby, której dane dotyczą, do celów przetwarzania, ale ona je zażądała w celu ustalenia, wykonania lub obrony roszczeń prawnych; d) jeżeli osoba, której dane dotyczą, wyrazi sprzeciw wobec przetwarzania zgodnie z art. 21 ust. 1 GDPR, dopóki nie zostanie zweryfikowane, czy uzasadnione powody Administratora przeważają nad uzasadnionymi powodami.
Jeżeli przetwarzanie zostało ograniczone zgodnie z poprzednim ustępem, takie dane osobowe mogą być, z wyjątkiem ich przechowywania, przetwarzane wyłącznie za zgodą osoby, której dane dotyczą, lub w celu ustalenia, wykonania lub obrony roszczeń prawnych, w celu ochrony praw innej osoby fizycznej lub prawnej, lub z ważnych powodów w interesie publicznym Unii Europejskiej, lub jednego z jej państw członkowskich.
7) Administrator informuje zgodnie z artykułem 19 GDPR poszczególnych odbiorców, którym udostępniono dane osobowe osoby, której dane dotyczą, że wszelkie poprawki lub usunięcia jego danych osobowych lub ograniczenia przetwarzania, z wyjątkiem przypadków, kiedy okaże się to niemożliwe lub wymaga to niewspółmiernie dużego wysiłku. Administrator informuje osobę, której dane dotyczą, o tych odbiorcach tylko wtedy, gdy osoba, której dane dotyczą, żąda tego.
8) Osoba, której dane dotyczą, ma zgodnie z artykułem 20 GDPR prawo do uzyskania danych osobowych, które go dotyczą i przekazał je administratorowi w strukturyzowanym, powszechnie używanym i nadającym się do odczytu komputerowego formacie oraz prawo do przekazania tych danych innemu administratorowi, bez tego, aby administrator, któremu przekazano dane osobowe, bronił temu, i to w przypadku, że: a) przetwarzanie opiera się na zgodzie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) lub wg umowy zgodnie z art. 6 ust. 1 lit. b); oraz b) przetwarzanie jest zautomatyzowane. Osoba, której dane dotyczą, ma prawo do przekazania danych osobowych bezpośrednio jednym administratorem drugiemu administratorowi, jeżeli jest to technicznie wykonalne. Prawo to nie ma zastosowania do przetwarzania niezbędnego do spełnienia zadania wykonywanego w interesie publicznym lub w ramach wykonywania władzy publicznej, którą jest administrator powierzony.
9) Osoba, której dane dotyczą, ma zgodnie z artykułem 21 GDPR prawo z przyczyn odnoszących się do jego szczególnej sytuacji, w dowolnym momencie, wyrazić sprzeciw wobec przetwarzania jego danych osobowych, na podstawie art. 6 ust. 1 lit.e) lub f) GDPR, w tym profilowanie na podstawie tych przepisów. Administrator nie będzie przetwarzał dalej jego danych osobowych, chyba że będzie w stanie udowodnić poważne uzasadnione powody przetwarzania, które przeważają nad jego interesami, prawami i swobodami lub w celu określenia, wykonania lub obrony roszczeń prawnych.
Osoba, której dane dotyczą, ma prawo w każdej chwili wyrazić sprzeciw wobec przetwarzania danych osobowych, które go dotyczą, jeśli dane osobowe są przetwarzane do celów marketingu bezpośredniego, w tym profilowania w odniesieniu do tego marketingu bezpośredniego.
Osoba, której dane dotyczą, może skorzystać z prawa do sprzeciwu w sposób zautomatyzowany za pomocą specyfikacji technicznych.
10) Osoba, której dane dotyczą, ma zgodnie z artykułem 22 GDPR prawo nie podlegać żadnej decyzji opartej wyłącznie na automatycznym przetwarzaniu, w tym profilowaniu, które ma dla niej skutki prawne lub ma dla niej znaczący wpływ podobnym sposobem. Nie dotyczy to sytuacji, gdy decyzja: a) jest konieczna do zawarcia lub wykonania umowy między mną i administratorem; b) jest dozwolona przez prawo Unii Europejskiej lub jej państwo członkowskie, które ma zastosowanie do administratora, i które ustanawia również odpowiednie środki w celu ochrony moich praw, wolności i uzasadnionych interesów; c) opiera się na jej wyraźnej zgodzie.
11) Zgodnie z artykułem 34 GDPR, jeżeli jest prawdopodobne, że pewien przypadek naruszenia ochrony danych osobowych może spowodować wysokie ryzyko dla prawa i wolności określonych osób fizycznych, administrator danych jest zobowiązany bez zbędnej zwłoki powiadomić o tym naruszeniu osobę, której dane dotyczą. Powiadomienie nie będzie jednak wymagane, jeżeli zostanie spełniony którykolwiek z poniższych warunków: a) administrator wprowadził odpowiednie zabezpieczenia techniczne i organizacyjne, a środki te zostały zastosowane, w szczególności takie, które sprawiają, że te dane osobowe są niezrozumiałe dla każdego, kto nie jest uprawniony do dostępu do takich informacji, na przykład szyfrowanie;b) administrator podjął działania następcze, które zapewnią, że wysokie ryzyko dotyczące prawa i wolności już prawdopodobnie nie pojawi się; c) to wymagałoby nieproporcjonalnego wysiłku.
W Frýdek-Místek w dniu 24. 5. 2018 r.
Wersja 01-2018
Megashops s.r.o.
jako administrator danych osobowych
Niniejsze oświadczenie jest publicznie dostępne na stronach internetowych administratora.
