Ochrana osobných údajov
Nasledujúce ustanovenia sú plnením informačnej povinnosti prevádzkovateľa vo vzťahu k dotknutým osobám o spracúvaní ich osobných údajov podľa článku 13 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej len „Nariadenie GDPR“). S cieľom zabezpečiť spravodlivé a transparentné spracúvanie osobných údajov prevádzkovateľ poskytuje nasledovné informácie:
1. Kontaktné údaje prevádzkovateľa
Prevádzkovateľom, ktorý určil účely a prostriedky spracúvania osobných údajov, je predávajúci, teda obchodná spoločnosť JustFlow, s. r. o., so sídlom Veľká okružná 1309/17, 010 01 Žilina, Slovenská republika, IČO: 53 575 423, zapísaná v Obchodnom registri Okresného súdu Žilina, oddiel: Sro, vložka číslo: 76533/L (ďalej len „prevádzkovateľ“). Prevádzkovateľ spracúva osobné údaje dotknutých osôb v súvislosti s prevádzkovaním internetového obchodu. Dotknutými osobami, teda fyzickými osobami, ktorých sa osobné údaje týkajú, sú osoby, ktoré s prevádzkovateľom prostredníctvom internetového obchodu uzatvorili kúpnu zmluvu a osoby, ktoré sa s cieľom uzatvoriť s prevádzkovateľom kúpnu zmluvu v internetovom obchode registrovali a vytvorili si používateľský účet. Dotknuté osoby môžu v súvislosti so všetkými otázkami týkajúcimi sa spracúvania ich osobných údajov a uplatňovania ich práv podľa Nariadenia GDPR kontaktovať prevádzkovateľa elektronickou poštou prípadne písomne na adrese sídla prevádzkovateľa.
2. Účely a právny základ spracúvania osobných údajov
Prevádzkovateľ spracúva osobné údaje na tieto účely:
a) Uzavretie a plnenie kúpnej zmluvy, ktorej zmluvnou stranou je dotknutá osoba. Právnym základom spracúvania osobných údajov je článok 6 ods. 1 písm. b) Nariadenia GDPR. Kúpnou zmluvou sa rozumie zmluva, ktorej predmetom je predaj tovaru ponúkaného internetovým obchodom. Uzavretím kúpnej zmluvy sa rozumie jej uzavretie na diaľku prostredníctvom internetového obchodu v zmysle týchto obchodných podmienok, t.j. registrácia a vytvorenie používateľského účtu, prihlásenie sa do používateľského účtu, vytvorenie a odoslanie objednávky a jej následný príjem a potvrdenie. Plnením kúpnej zmluvy sa rozumie výkon práv a povinností prevádzkovateľa a dotknutej osoby vyplývajúcich z uzavretej kúpnej zmluvy, a to predovšetkým dodanie objednaného tovaru a uskutočnenie platby za dodaný tovar. Na účely podľa tohto bodu prevádzkovateľ spracúva osobné údaje dotknutej osoby v rozsahu meno, priezvisko, telefón, e-mail, bydlisko (ulica, číslo domu a obec/mesto), doručovacia adresa (ulica, číslo domu a obec/mesto), údaje o nastavení používateľského účtu, údaje o objednanom tovare a spôsobe platby za objednaný tovar, vrátane údajov o predchádzajúcich objednávkach. Poskytovanie osobných údajov je potrebné na uzavretie kúpnej zmluvy v zmysle týchto obchodných podmienok; možným následkom neposkytnutia osobných údajov je neschopnosť prevádzkovateľa uzavrieť kúpnu zmluvu a dodať ponúkaný tovar.
Registráciu a používateľský účet môže dotknutá osoba kedykoľvek zrušiť. V prípade ďalšieho nákupu prostredníctvom internetového obchodu však bude potrebná opätovná registrácia.
b) Splnenie zákonných povinností prevádzkovateľa. Právnym základom spracúvania osobných údajov je článok 6 ods. 1 písm. c) Nariadenia GDPR. Zákonným povinnosťami prevádzkovateľa sa rozumejú povinnosti priamo súvisiace s uzavretím a plnením kúpnej zmluvy medzi prevádzkovateľom a dotknutou osobou, ktoré vyplývajú zo všeobecne záväzných právnych predpisov a opatrení v oblasti daní a účtovníctva, ako aj v oblasti ochrany spotrebiteľa.
c) Oprávnené záujmy prevádzkovateľa. Právnym základom spracúvania osobných údajov je článok 6 ods. 1 písm. f) Nariadenia GDPR. Oprávnené záujmy, ktoré sleduje prevádzkovateľ, spočívajú v uchovávaní osobných údajov na účely preukazovania, uplatňovania alebo obhajovania právnych nárokov prevádzkovateľa voči dotknutej osobe, prípadne na účely právnej obrany prevádzkovateľa voči právnym nárokom dotknutej osoby. Právnymi nárokmi sa rozumejú nároky z uzavretej kúpnej zmluvy v prípade jej porušenia niektorou zmluvnou stranou.
d) Zasielanie marketingovej komunikácie, a to na základe súhlasu dotknutej osoby. Právnym základom spracúvania osobných údajov je článok 6 ods. 1 písm. a) Nariadenia GDPR. Udelením súhlasu so zasielaním marketingovej komunikácie v registračnom formulári dotknutá osoba poskytuje prevádzkovateľovi súhlas so zasielaním noviniek týkajúcich sa tovarov a služieb ponúkaných prevádzkovateľom, a tým aj so spracúvaním osobných údajov (e-mailu) na tento účel.
3. Príjemcovia a kategórie príjemcov osobných údajov
K osobným údajom dotknutej osoby majú prístup poverení zamestnanci prevádzkovateľa, a to v nevyhnute potrebnom rozsahu, ktorý je obmedzený druhom práce a pracovným zaradením zamestnanca.
Osobné údaje dotknutej osoby môžu byť za určitých okolností sprístupňované aj ďalším kategóriám príjemcov, ako napr. poskytovateľom štandardného softvérového vybavenia a poskytovateľom nástrojov na analýzu, spracovanie a uchovávanie dát, osobám, ktoré na základe osobitného zmluvného vzťahu s prevádzkovateľom poskytujú prevádzkovateľovi služby spojené s prevádzkovaním internetového obchodu a s tým spojenej podnikateľskej činnosti (poskytovateľom IT služieb, poskytovateľom platobných služieb, ktorí sprostredkovávajú bezhotovostné platby, poskytovateľom služby vedenia účtovníctva, poskytovateľom daňového poradenstva, poskytovateľom právnych služieb a pod.).
Prevádzkovateľ používa na stránke internetového obchodu súbory cookies, a to primárne na účely merania návštevnosti stránky internetového obchodu a vytvárania štatistík týkajúcich sa návštevnosti a správania sa návštevníkov stránky internetového obchodu, ako aj pre overenie základných funkčnosti stránky internetového obchodu. Tieto informácie sú však anonymizované, a teda nie je ich možné priradiť ku konkrétnej osobe. Používanie súborov cookies je možné odmietnuť voľbou v príslušnom nastavení v internetovom prehliadači.
Informácie a údaje získané prostredníctvom súborov cookies sú spracovávané službou Google Analytics, ktorú prevádzkuje spoločnosť Google Inc., so sídlom 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.
Prenos osobných údajov do tretej krajiny. Osobné údaje, ktoré prevádzkovateľ získava a spracúva, nie sú predmetom prenosu do tretej krajiny alebo medzinárodnej organizácii.
Doba uchovávania osobných údajov. Prevádzkovateľ uchováva osobné údaje dotknutej osoby iba po dobu, ktorá je nevyhnutná vzhľadom na účel ich spracovania, a to nasledovne:
a) na účel uzavretia a plnenia kúpnej zmluvy budú osobné údaje uchovávané do zániku záväzkov z príslušnej kúpnej zmluvy, pričom údaje týkajúce sa používateľského mena, nastavenia používateľského účtu a údajov o predchádzajúcich objednávkach budú uchovávané iba po dobu trvania registrácie a používateľského účtu; zánikom záväzkov z príslušnej kúpnej zmluvy, prípadne zrušením registrácie a užívateľského účtu nie je dotknutá možnosť prevádzkovateľa niektoré osobné údaje dotknutej osoby aj naďalej v nevyhnutnom rozsahu uchovávať na niektorý z ďalších účelov podľa písm. c) tohto článku,
b) na účel splnenia zákonných povinností budú osobné údaje dotknutej osoby uchovávané po dobu trvania príslušnej zákonnej povinnosti prevádzkovateľa,
c) na účely oprávnených záujmov prevádzkovateľa budú osobné údaje uchovávané po dobu trvania oprávneného záujmu prevádzkovateľa, pokiaľ predtým nedôjde k namietaniu voči ich spracúvaniu dotknutou osobou,
d) na účely zasielania marketingovej komunikácie budú osobné údaje uchovávané do odvolania súhlasu, ktorý na tento účel dotknutá osoba udelila, najneskôr do zrušenia registrácie a používateľského účtu.
4. Práva dotknutej osoby
Nariadenie GDPR ustanovuje, aké práva má dotknutá osoba v súvislosti so spracúvaním jej osobných údajov, a to vrátane podmienok výkonu týchto práv. Tieto práva dotknutej osoby teda nie sú absolútne a prevádzkovateľ nie je povinný pri ich uplatňovaní dotknutej osobe automaticky vyhovieť. V konkrétnom prípade sa môžu uplatňovať niektoré výnimky, prípadne niektoré práva môžu byť viazané na určité podmienky, ktoré nemusia byť v konkrétnom prípade splnené. Prevádzkovateľ sa bude zaoberať každou žiadosťou dotknutej osoby týkajúcou sa konkrétneho práva a túto žiadosť skúmať z hľadiska právnej úpravy a uplatniteľných výnimiek.
Dotknutá osoba si môže uplatniť svoje práva ústne, písomne alebo elektronicky, a to prostredníctvom kontaktných údajov uvedených v písm. a) tohto článku. Ak dotknutá osoba požiada o ústne poskytnutie informácií, informácie sa poskytnú po preukázaní jej totožnosti.
Prevádzkovateľ poskytne dotknutej osobe informácie o opatreniach, ktoré prijal na základe jej žiadosti týkajúcej sa konkrétneho práva, bez zbytočného odkladu, najneskôr do jedného mesiaca od doručenia žiadosti. Uvedená lehota sa môže v prípade potreby predĺžiť o ďalšie dva mesiace, pričom sa zohľadní komplexnosť žiadosti a počet žiadostí. Prevádzkovateľ informuje o každom takomto predĺžení dotknutú osobu do jedného mesiaca od doručenia žiadosti spolu s dôvodmi zmeškania lehoty. Ak dotknutá osoba podala žiadosť elektronickými prostriedkami, informácie sa podľa možnosti poskytnú elektronickými prostriedkami, pokiaľ dotknutá osoba nepožiadala o iný spôsob. Ak bude žiadosť dotknutej osoby zjavne neopodstatnená alebo neprimeraná, najmä pre jej opakujúcu sa povahu, prevádzkovateľ je oprávnený požadovať primeraný poplatok na pokrytie administratívnych nákladov spojených s poskytnutím informácií alebo oznámením, či uskutočnením požadovaného opatrenia. Prevádzkovateľ môže tiež odmietnuť konať na základe žiadosti.
a) Právo na prístup k osobným údajom, ktoré o nej prevádzkovateľ spracúva (článok 15 Nariadenia GDPR). Toto právo zahŕňa právo na potvrdenie o tom, či prevádzkovateľ spracúva osobné údaje dotknutej osoby, právo získať prístup k týmto osobným údajom a právo získať kópiu osobných údajov, ak je to technicky uskutočniteľné. Vystavenie prvej kópie je bezplatné. Za akékoľvek ďalšie kópie, o ktoré dotknutá osoba požiada, bude prevádzkovateľ účtovať poplatok zodpovedajúci administratívnym nákladom, ktoré mu s vystavením kópie vzniknú. Prevádzkovateľ môže odmietnuť poskytnúť kópiu osobných údajov, ktoré sa spracúvajú, ak by takéto poskytnutie mohlo mať nepriaznivé dôsledky na práva a slobody iných.
b) Právo na opravu a doplnenie osobných údajov (článok 16 Nariadenia GDPR). Ak prevádzkovateľ spracúva nesprávne alebo neúplné osobné údaje dotknutej osoby, prevádzkovateľ vykoná opravu, prípadne doplnenie osobných údajov bez zbytočného odkladu po tom, čo ho dotknutá osoba požiada. Opravu a aktualizáciu nesprávnych, neúplných a neaktuálnych osobných údajov môže dotknutá osoba realizovať aj sama bez zásahu prevádzkovateľa prostredníctvom prihlásenia do svojho používateľského účtu.
c) Právo na vymazanie osobných údajov (článok 17 Nariadenia GDPR). Tomuto právu zodpovedá povinnosť prevádzkovateľa na základe žiadosti dotknutej osoby vymazať všetky osobné údaje, ktoré o dotknutej osobe eviduje; to právo je však v plnom rozsahu uplatniteľné iba v prípade osobných údajov spracúvaných v súvislosti s vedením a správou používateľského účtu. V ostatných prípadoch sa môže stať, že bude existovať iný dôvod, ktorý prevádzkovateľa oprávňuje, či mu dokonca ukladá povinnosť osobné údaje uchovať (napr. povinnosť plynúca zo zákona o účtovníctve atď.), a teda v takých prípadoch výmaz nie je možné uskutočniť.
d) Právo na obmedzenie spracúvania (článok 18 Nariadenia GDPR). V niektorých prípadoch prevádzkovateľ síce osobné údaje môže uchovávať, nesmie však s nimi nijako nakladať. Ide o nasledujúce situácie dotknutá osoba napadne správnosť osobných údajov, a prevádzkovateľ potrebuje správnosť osobných údajov overiť, spracúvanie osobných údajov je neoprávnené avšak dotknutá osoba namieta proti ich vymazaniu a žiada namiesto toho obmedzenie ich použitia, prevádzkovateľ už nepotrebuje osobné údaje na účely spracúvania, ale potrebuje ich dotknutá osoba na preukázanie, uplatňovanie alebo obhajovanie právnych nárokov, dotknutá osoba namieta proti spracúvaniu osobných údajov, to až do overenia, či oprávnené dôvody na strane prevádzkovateľa prevažujú nad oprávnenými dôvodmi dotknutej osoby.
e) Právo na prenosnosť údajov (článok 20 Nariadenia GDPR). Dotknutá osoba má právo na prenosnosť údajov, čo znamená získanie osobných údajov, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi, a má právo preniesť tieto údaje ďalšiemu prevádzkovateľovi. Predpokladom pre uplatnenie tohto práve je, že osobné údaje sa spracúvajú na základe súhlasu dotknutej osoby alebo na základe zmluvy a ich spracovanie je vykonávané automatizovanými prostriedkami. Osobné údaje budú dotknutej osobe poskytnuté v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte. Dotknutá osoba môže žiadať prenos osobných údajov priamo od jedného prevádzkovateľa k druhému prevádzkovateľovi, pokiaľ je to technicky možné a nebránia tomu iné zákonné alebo významné prekážky.
f) Právo namietať (článok 21 Nariadenia GDPR). Dotknutá osoba má právo kedykoľvek namietať voči spracúvaniu osobných údajov na základe oprávnených záujmov prevádzkovateľa, ako sú vysvetlené vyššie. Toto právo má dotknutá osoba aj voči spracúvaniu osobných údajov na právnom základe verejného záujmu, ktoré však prevádzkovateľ nevykonáva. V prípade uplatnenia tohto práva prevádzkovateľ nebude ďalej spracúvať osobné údaje, ak nepreukáže nevyhnutné oprávnené dôvody na spracúvanie, ktoré prevažujú nad záujmami, právami a slobodami dotknutej osoby, alebo dôvody na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.
g) Právo podať sťažnosť dozornému orgánu (článok 77 Nariadenia GDPR). Dotknutá osoba má právo podať sťažnosť dozornému orgánu, ak sa domnieva, že spracúvanie osobných údajov, ktoré sa jej týka, je v rozpore s Nariadením GDPR. Dozorným orgánom sa rozumie Úrad na ochranu osobných údajov Slovenskej republiky.
h) Odvolanie súhlasu so spracúvaním osobných údajov. Dotknutá osoba má právo kedykoľvek odvolať svoj súhlas so spracovaním osobných údajov, ak bolo spracúvanie osobných údajov založené na tomto právnom základe. Zákonnosť spracúvania osobných údajov na základe udeleného súhlasu však nie je jeho odvolaním dotknutá.
i) Informácie, ktoré je prevádzkovateľ povinný v súvislosti so spracúvaním osobných údajov poskytnúť, sa môžu meniť alebo prestať byť aktuálne. Z tohto dôvodu si prevádzkovateľ vyhradzuje právo kedykoľvek tieto informácie zmeniť, doplniť alebo inak upraviť. Prevádzkovateľ je zároveň povinný o tejto skutočnosti dotknutú osobu primeraným spôsobom upovedomiť.