Zásady zpracování osobních údajů

Ve společnosti Red Company s.r.o., IČO 094 53 598, se sídlem Debřská 1305, Kosmonosy, 293 06, zapsané u Městského soudu v Praze, oddíl C, vložka 336523 („Red Company“) považujeme osobní údaje našich zákazníků, dodavatelů a dalších osob za něco, co je třeba chránit. Níže se dozvíte, jak společnost Red Company přistupuje k ochraně osobních údajů svých zákazníků, potenciálních zákazníků, dodavatelů či případně dalších subjektů. Zpracování osobních údajů je považováno za přísně důvěrné a s osobními údaji je nakládáno v souladu s platnými právními předpisy v oblasti ochrany osobních údajů, zejména obecným nařízením o ochraně osobních údajů (EU) 2016/679 („Nařízení GDPR“).

A) Kategorie osobních údajů a účely jejich zpracování

a. Poptáváte služby společnosti Red Company?

Společnost Red Company má široké portfolio produktů a služeb. Najdete ho na www.redcompany.cz nebo na jejich jednotlivých webových stránkách. Pokud poptáte tyto produkty a služby, bude společnost Red Company pracovat s Vašimi kontaktními údaji, které ji za tímto účelem sdělíte. Jsou to nejčastěji jméno, příjmení, společnost, IČ, e-mail, telefonní číslo, Vaše požadavky ohledně produktů a služeb, případně další údaje, které v poptávce vyplníte nebo je společnosti Red Company v rámci další domluvy předáte.

Jaké jsou účely a právní základ zpracování?

  • kontaktování pro další domluvu (čl. 6 odst. 1 písm. b) Nařízení GDPR)
  • komunikace v případě, pokud se pro některé produkty nebo služby rozhodnete (čl. 6 odst. 1 písm. b) Nařízení GDPR)
  • doložení plnění povinností plynoucích z právních předpisů nebo ze smluv (čl. 6 odst. 1 písm. c) Nařízení GDPR)

Pokud se rozhodnete produkty společnosti Red Company otestovat, řada z nich je spojena s uživatelským účtem, přes který do produktů budete mít přístup. V takovém případě jsou nezbytné některé identifikační a kontaktní osobní údaje (jméno, příjmení, IP adresa, údaje o firmě, e-mail, telefonní číslo a údaje, které si v uživatelském účtu a produktu nastavíte).

Jaké jsou účely a právní základ zpracování?

  • nastavení přístupu do uživatelského rozhraní (čl. 6 odst. 1 písm. b) Nařízení GDPR)
  • společná komunikace v případě potřeby (čl. 6 odst. 1 písm. b) Nařízení GDPR)
  • zasílání pravidelných Red Company novinek (čl. 6 odst. 1 písm. f) Nařízení GDPR)
  • plnění povinností plynoucích z právních předpisů nebo ze smluv (čl. 6 odst. 1 písm. c) Nařízení GDPR)

Takové zpracování umožňuje Nařízení GDPR (jednání o smlouvě, poskytování smluvního plnění, případně plnění zákonných povinností a oprávněný zájem). Pokud se na další spolupráci se společností Red Company nedomluvíte, Vaše data v uživatelském účtu přestanou být zpracovávána nejpozději do 6 měsíců od poslední komunikace nebo od zrušení zkušební verze.

Pokud jste testovali službu nebo produkty společnosti Red Company, společnost Red Company je oprávněna zpracovávat Vaši e-mailovou adresu (případně telefonní číslo) ve smyslu § 7 odst. 3 zákona č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti), ve znění pozdějších předpisů za účelem šíření obchodních sdělení týkajících se vlastních výrobků či služeb v případě, že jste takové zasílání původně neodmítli. E-mailová adresa bude zařazena do databáze na 3 roky od posledního využití služby nebo produktu, z odběru je ale možné se kdykoliv odhlásit.

b. Odebíráte produkty a služby společnosti Red Company?

Aby mohla společnost Red Company své služby poskytovat, zpracovává Vaše jméno, příjmení, Název společnosti, IČ, IP adresu, fakturační údaje, e-mailovou adresu, telefonní číslo, případně osobní údaje kontaktních osob, které uvedete, údaje o poptávání/poskytování služeb, údaje o způsobu využívání služeb/produktů, informace o zpětné vazbě a případně další údaje související se způsobem a obsahem využívaných služeb/produktů.

Jaké jsou účely a právní základ zpracování?

  • Společná komunikace (čl. 6 odst. 1 písm. b) Nařízení GDPR)
  • uzavření smlouvy samotné (čl. 6 odst. 1 písm. b) Nařízení GDPR)
  • zprovoznění produktu či služby (čl. 6 odst. 1 písm. b) Nařízení GDPR)
  • řešení požadavků zákazníka (čl. 6 odst. 1 písm. b) Nařízení GDPR)
  • řešení případných chyb služby či produktů ((čl. 6 odst. 1 písm. b) Nařízení GDPR)
  • propojení nabídky s požadavky a potřebami zákazníka (čl. 6 odst. 1 písm. f) Nařízení GDPR)
  • analýza způsobu používání služeb a produktů (čl. 6 odst. 1 písm. f) Nařízení GDPR)
  • vymáhání pohledávek (čl. 6 odst. 1 písm. f) Nařízení GDPR)
  • získávání zpětné vazby od zákazníků ((čl. 6 odst. 1 písm. f) Nařízení GDPR)
  • zasílání pravidelných Red Company novinek (čl. 6 odst. 1 písm. f) Nařízení GDPR)
  • plnění povinností plynoucích z právních předpisů nebo ze smluv (čl. 6 odst. 1 písm. c) Nařízení GDPR)

Takové zpracování umožňuje Nařízení GDPR (plnění smlouvy, plnění zákonných povinností, případně oprávněný zájem). Data budou zpracovávána po dobu vzájemné spolupráce a potom 10 let od posledního poskytnutí plnění. V případě, že jste takové zasílání původně neodmítli, společnost Red Company je oprávněna zpracovávat Vaši e-mailovou adresu (případně telefonní číslo) ve smyslu § 7 odst. 3 zákona č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti), ve znění pozdějších předpisů za účelem šíření obchodních sdělení týkajících se vlastních výrobků či služeb. E-mailová adresa bude zařazena do databáze na 3 roky od posledního využití služby nebo produktu, z odběru je ale možné se kdykoliv odhlásit.

Berete na vědomí, že některá obchodní sdělení mohou být zasílána pouze určitým segmentům adresátů, a to podle různých kritérií rozdělení (např. podle obratu, podle sortimentu, používaných funkcionalit apod.).

c. Jste byznys partneři (dodavatelé) společnosti Red Company?

Aby bylo možné spolupráci realizovat, je potřeba zpracovat i některé údaje (typicky jméno, příjmení, e-mailovou adresu, telefonní číslo, firemní údaje, údaje o spolupráci).

Jaké jsou účely a právní základ zpracování?

  • zařazení a plnění smlouvy (čl. 6 odst. 1 písm. b) Nařízení GDPR)
  • společná komunikace (čl. 6 odst. 1 písm. b) Nařízení GDPR)
  • plnění povinností plynoucích z právních předpisů nebo ze smluv (čl. 6 odst. 1 písm. c) Nařízení GDPR)

Takové zpracování umožňuje Nařízení GDPR (plnění smlouvy, plnění zákonných povinností). Data budou zpracovávány po dobu vzájemné spolupráce a potom 10 let od posledního poskytnutí plnění.

V rámci (například affiliate) spolupráce mezi Vámi a společností Red Company může dojít i k předávání některých osobních údajů třetích osob (například cookies, údajů o leadech a konverzích, doručovací údaje apod.).

d. Zatím nevyužíváte služby společnosti Red Company, ale zapsali jste se do newsletteru?

Vaši e-mailovou adresu zapíše společnost Red Company do databáze newsletteru na základě Vašeho souhlasu (čl. 6 odst. 1 písm. a) Nařízení GDPR). Ten je dobrovolný a můžete ho vzít kdykoliv zpět. Do odběru Vás společnost Red Company zapíše na dobu 3 let, pokud souhlas neprodloužíte, případně pokud jej v této době neodvoláte.

e. Rádi byste pracovali ve společnosti Red Company a poslali jste své CV?

V takovém případě zpracovává společnost Red Company vaše údaje, které jsou v životopise uvedené, vaše kontaktní údaje, které jste za tímto účelem sdělili a případně detaily case study, kterou dostanete k řešení.

Takové zpracování umožňuje Nařízení GDPR (jednání o smlouvě, čl. 6 odst. 1 písm. b) Nařízení GDPR). Tyto údaje budou zpracovávány po dobu otevřeného výběrového řízení, na které reagujete, případně po dobu 3 měsíců (pokud nereagujete na konkrétní pracovní inzerát). Pokud se na další spolupráci se společností Red Company nedomluvíte, Vaše údaje budou déle zpracovávány pouze s Vaším souhlasem (čl. 6 odst. 1 písm. a) Nařízení GDPR), pro případ otevření nových pozic někdy v budoucnu. Takový souhlas je dobrovolný a můžete ho kdykoliv odvolat.

B) Příjemci osobních údajů

Vaše osobní údaje jsou u společnosti Red Company v bezpečí a můžete si být jistí, že je nikdy nikomu jen tak nepředává. Osobní údaje jsou zpřístupněny pouze oprávněným pracovníkům společnosti Red Company, včetně freelancerů, kteří se k datům dostanou proto, že společnosti Red Company pomáhají s chodem společnosti a poskytováním služeb, či jednotlivým zpracovatelům a správcům osobních údajů, a to pouze v míře nezbytně nutné pro naplnění jednotlivých účelů zpracování.

Cílem těchto spoluprací je poskytnutí těch nejlepších a nejrelevantnějších služeb pro Vás. Takto získané údaje mohou poskytovatelé služeb použít pouze na základě smlouvy o předání osobních údajů či smlouvy o zpracování osobních údajů uzavřených mezi takovými příjemci a společností Red Company. Jsou to zejména:

  • freelanceři podílející se na vývoji a udržování našich produktů (z oblasti IT, marketingu, dat);
  • společnosti podílející se na zajištění plateb (platební brány, banky);
  • poskytovatelé prvků a doplňků, které v rámci našich produktů a služeb využíváte;
  • poskytovatel e-mailingové služby (Wedos Webmail);
  • poskytovatelé reklamních a analytických systémů (Complianz, Google, Facebook);
  • případně další, pokud se na nich domluvíme v rámci spolupráce.

Jsou-li Vaše osobní údaje přenášeny mimo Evropskou unii, děje se tak za použití náležitých přenosových mechanismů, včetně odpovídajících předchozích posouzení a náležitých bezpečnostních opatření. Nejčastěji se přitom využívají standardní smluvní doložky (SCC) vydané Evropskou komisí. Bližší informace či seznam příjemců poskytne společnost Red Company na vyžádání.

C) Vaše práva

Pokud byste potřebovali ohledně osobních údajů cokoliv probrat, můžete kontaktovat společnost Red Company na e-mailové adrese info@redcompany.cz nebo na telefonním čísle 723 104 669. Společnost Red Company jmenovala pověřence pro ochranu osobních údajů, kterého je možné kontaktovat e-mailem na adrese DPO@redcompany.cz.

Ze strany společnosti Red Company nedochází k tzv. automatickému rozhodování a profilování. Nařízení GDPR, které oblast osobních údajů upravuje, vám dává mimo jiné řadu práv v souvislosti se zpracováním osobních údajů. Jedná se o právo:

  • na přístup k osobním údajům: získat potvrzení, zda jsou zpracovávány Vaše osobní údaje; pokud tomu tak je, máte právo obdržet kopii takových osobních údajů, a kromě toho některé další informace, včetně účelů zpracování, kategorií příjemců, předpokládané doby uchovávání a existence automatizovaného rozhodování (včetně profilování); po ověření Vaší totožnosti Vám tento výpis bude zabezpečeným způsobem předán, a to ve srozumitelné a snadno přístupné formě;
  • na opravu nepřesných a doplnění neúplných osobních údajů: aktualizovat či doplnit informace o své osobě tak, aby bylo vždy zajištěno, že spravované informace budou správné;
  • na výmaz osobních údajů: požadovat, aby Vaše osobního údaje byly bez zbytečného prodlení vymazány, pokud (i) již osobní údaje nejsou potřebné pro účely, pro které byly shromažďovány nebo jinak zpracovávány, (ii) vznesete námitku proti používání těchto osobních údajů a již neexistují žádné nadřazené oprávněné důvody k jejich dalšímu zpracovávání, (iii) je zpracování založeno výlučně na Vašem souhlasu a vy tento souhlas odvoláte, nebo (iv) je výmaz nutný ke splnění zákonné povinnosti nebo pokud byly osobní údaje zpracovávány v rozporu se zákonem;
  • na omezení zpracování osobních údajů: požádat o omezení zpracování svých osobních údajů, pokud (i) se domníváte, že Vaše osobní údaje jsou nesprávné, a proto jste požádali o jejich opravu (v takovém případě můžete požadovat o omezení zpracování, dokud nebude ověřeno, zda jsou tyto osobní údaje skutečně nesprávné), (ii) je zpracování Vašich osobních údajů protiprávní a nesouhlasíte s tím, aby tyto osobní údaje byly vymazány, ale namísto toho požadujete, aby používání těchto osobních údajů bylo omezeno, (iii) požadujete, aby Vaše osobní údaje byly použitelné k určování, prosazování nebo hájení zákonných nároků, i když společnost Red Company je již nepotřebuje pro účely jí prováděného zpracování, nebo (iv) během čekání na ověření, zda oprávněné důvody společnosti Red Company převažují nad právy a svobodami jednotlivce v případě, že jste vznesli námitku proti zpracování;
  • na přenositelnost údajů: získat osobní údaje, které jste nám poskytli, ve strukturovaném, běžně používaném a strojově čitelném formátu a předat je ke zpracování jinému správci; toto právo se uplatňuje v případech, kdy je zpracování Vašich osobních údajů založeno na zákonném důvodu spočívajícím v tom, že jste k tomuto zpracování osobních údajů udělili souhlas nebo že jste se společností Red Company uzavřeli smlouvu a zpracování je prováděno automatizovanými prostředky;
  • vznést námitku, po níž zpracování osobních údajů bude ukončeno, neprokáže-li se, že existují závažné oprávněné důvody pro zpracování, jež převažují nad zájmy nebo právy a svobodami subjektu údajů, zejména, je-li důvodem případné vymáhání právních nároků;
  • právo obrátit se se stížností na dozorový orgán, kterým je v České republice Úřad pro ochranu osobních údajů (www.uoou.cz).

    D) Ustanovení o zpracování osobních údajů, jejichž jste správci

Pokud je společnost Red Company z pohledu Nařízení GDPR zpracovatelem osobních údajů, kterých jste správci, platí pro společnost Red Company tyto podmínky práce s daty (zpracovatelská smlouva):

  1. Red Company může pro klienta zpracovávat osobní údaje, které jsou umístěné v Red Company produktech nebo ke kterým má Red Company přístup z důvodu vývoje/zdokonalování/údržby služeb pro klienta. Jsou to nejčastěji zákaznické údaje jako jméno, příjmení, doručovací adresy zákazníků, IP adresy, kontaktní údaje (telefonní číslo, e-mailová adresa), údaje o nákupech a poptávkách, případně údaje, které s nákupem souvisí.
  2. Red Company osobní údaje zpracuje pouze za účelem poskytování svých produktů a služeb a jejich vylepšení, případně řešení Vašich požadavků a opravování chyb služby a produktů, pokud se nedomluvíme individuálně jinak. Údaje bude Red Company pro klienta zpracovávat po dobu poskytování svých Red Company produktů a služeb, ve kterých jsou data umístěna. Data jsou ve správě klienta a Red Company s nimi pracuje pouze na základě jeho pokynů.
  3. Red Company přijal maximálně možná technická, organizační, bezpečnostní a další opatření, která zamezí neoprávněnému nebo nahodilému přístupu k údajům, jejich změně, zničení, ztrátě či jinému neoprávněnému nakládání (porušení zabezpečení).
  4. V případě, že Red Company zjistí porušení zabezpečení osobních údajů, posoudí nejprve riziko, které z takového porušení vyplývá pro subjekty údajů. Při posouzení rizika bude Red Company brát v potaz zejména intenzitu porušení a jeho případných důsledků, druh zasažených osobních údajů a počet dotčených subjektů údajů. S ohledem na povahu zpracování klient souhlasí s tím, že Red Company je nejlépe schopen určit pravděpodobné riziko plynoucí z porušení zabezpečení.
  5. Jakmile Red Company zjistí porušení zabezpečení osobních údajů, ohlásí je bez zbytečného odkladu klientovi a přijme příslušná nápravná opatření ke zmírnění či odstranění nepříznivých účinků vyplývajících z tohoto porušení. Kromě ohlášení porušení zabezpečení klientovi může Red Company porušení zabezpečení za klienta ohlásit také přímo dozorovému úřadu či oznámit subjektům údajů, a to v případě, že Red Company na základě posouzení rizika dojde k závěru, že je pravděpodobné, že porušení zabezpečení může mít za následek riziko pro práva a svobody dotčených subjektů údajů. Red Company provede ohlášení či oznámení porušení zabezpečení za klienta pouze v případě, že (a) tento záměr oznámí klientovi, a (b) klient v poskytnuté lhůtě (typicky 48 hodin, aby byly dodrženy lhůty dle Nařízení GDPR) písemně nevyjádří svůj nesouhlas s tím, aby Red Company za klienta takové oznámení dozorovému úřadu či subjektům údajů provedl. Pokud klient písemně nevyjádří svůj nesouhlas včas, provede Red Company oznámení dozorovému úřadu a/nebo subjektům údajů bez zbytečného odkladu s tím, že Red Company může taková oznámení provádět taktéž hromadně v případě zjištění porušení týkajících se vícero klientů. Red Company bude klienta o provedeném oznámení dozorovému úřadu či subjektů údajů vždy informovat. Klient za tímto účelem uděluje společnosti Red Company svůj výslovný souhlas, který lze odvolat pouze písemně ve výše uvedené lhůtě písemným vyjádřením nesouhlasu. Red Company není povinen na žádost klienta ohlašovat či oznamovat porušení zabezpečení v případě, že dle posouzení Red Company není pravděpodobné, že porušení zakládá riziko pro práva a svobody subjektů údajů.
  6. Klient bere na vědomí, že za ohlášení či oznámení porušení zabezpečení ve smyslu článků 33 a 34 Nařízení GDPR zůstává plně odpovědný a že Red Company na sebe nepřebírá v této souvislosti odpovědnost správce osobních údajů, zejména za včasnost a úplnost ohlášení či oznámení. Ohlášení či oznámení porušení zabezpečení zároveň není uznáním jakéhokoliv pochybení nebo viny ze strany Red Company a odpovědnost Red Company vůči klientům je v této souvislosti vyloučena (omezena) v nejširším možném rozsahu podle aplikovatelných právních předpisů.
  7. Red Company zajistil, aby zaměstnanci a jiné osoby pověřené ke zpracování údajů zpracovávaly údaje jen v rozsahu a za účelem plnění smlouvy a podle právních přepisů.
  8. Red Company se zavazuje na výzvu klienta opravit, aktualizovat, smazat nebo přemístit osobní údaje (v rámci funkcionalit produktů a služeb).
  9. Red Company bude při plnění povinností podle Nařízení GDPR postupovat s nezbytnou péčí.
  10. Red Company smí do zpracování osobních údajů zapojit dalšího zpracovatele, a to zejména poskytovatele IT a marketingových služeb potřebných a aktuálně dostupných na trhu pro účely údržby, provozu a vývoje Red Company produktů a služeb, kteří splňují normy stanovené Evropskou unií, a to bez dodatečného výslovného konkrétního povolení klienta.
  11. V případě implementace doplňku do Red Company produktu bere klient na vědomí a souhlasí s tím, že data bude zpracovávat poskytovatel takového doplňku (třetí strana) podle svých provozních podmínek.
  12. V případě ukončení poskytování Red Company produktů, ve kterých jsou osobní údaje umístěné, Red Company přestane osobní údaje aktivně zpracovávat a nejpozději po 60 dnech vymaže existující (zálohovací) kopie, pokud právní předpisy nevyžadují jejich ponechání (například z důvodu trestního řízení apod.)
  13. Red Company se zavazuje zachovávat mlčenlivost o údajích, zejména je nesmí zveřejňovat, šířit, či předávat dalším osobám mimo osoby v zaměstnaneckém poměru nebo jiným oprávněným osobám. Red Company zajistí, aby také jeho zaměstnanci a jiné oprávněné osoby dodržovali závazek mlčenlivosti. Tato povinnost Red Company trvá i po skončení vzájemné spolupráce.
  14. Red Company je dále povinen zachovávat mlčenlivost o bezpečnostních opatřeních přijatých k zabezpečení ochrany osobních údajů, a to i po skončení vzájemné spolupráce.