Zásady ochrany osobních údajů

Účelem těchto Zásad ochrany osobních údajů (dále jen „Zásady“) je poskytnout Vám, jakožto uživatelům platforem AreteApp a Diamond Studio, Vašim zástupcům či případně dalším dotčeným fyzickým osobám (dále společně jen „subjekty údajů“), komplexní informace o tom, jakým způsobem společnost UMARUTTI s.r.o., jakožto správce osobních údajů (dále jen „Správce“ nebo „my“), shromažďuje, používá, uchovává a jinak zpracovává Vaše osobní údaje.

Správce se zavazuje chránit Vaše osobní údaje v plném souladu s platnými právními předpisy České republiky a Evropské unie. Zpracování osobních údajů probíhá zejména v souladu s následujícími právními předpisy:

• Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Obecné nařízení o ochraně osobních údajů – dále jen „GDPR“).
• Zákon č. 110/2019 Sb., o zpracování osobních údajů, v platném znění (dále jen „Zákon o zpracování osobních údajů“).
• Zákon č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu, ve znění pozdějších předpisů (dále jen „AML zákon“).
• Zákon č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů, v platném znění, v relevantních případech.

Správce si je vědom, že vedle těchto obecných předpisů mohou existovat specifické zákonné povinnosti, jako například ty vyplývající ze zákona č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu, ve znění pozdějších předpisů (dále jen „AML zákon“), které mohou v určitých případech modifikovat nebo omezit výkon některých práv subjektů údajů za účelem naplnění veřejného zájmu a zajištění efektivity opatření proti praní špinavých peněz a financování terorismu.

Tyto Zásady jsou koncipovány tak, aby byly jasné, srozumitelné a transparentní, jak vyžadují principy GDPR. Platformy AreteApp a Diamond Studio jsou primárně určeny pro velkoobchodní (B2B) spolupráci s podnikatelskými subjekty. Správce si je však vědom, že v rámci této spolupráce dochází ke zpracování osobních údajů fyzických osob, které tyto podnikatelské subjekty zastupují nebo pro ně jednají (např. zaměstnanci, statutární orgány). Dále, v souvislosti s platformou Diamond Studio, může Správce vystupovat v roli zpracovatele osobních údajů pro své uživatele, kteří prostřednictvím této platformy prezentují zboží svým vlastním klientům. Podrobnosti k této roli jsou uvedeny v Podmínkách užívání platformy AreteApp a Diamond Studio a v příslušných sekcích těchto Zásad.

Správcem Vašich osobních údajů je obchodní společnost:

Kontaktní údaje pro záležitosti ochrany osobních údajů:

Pro účely dotazů a uplatňování práv v oblasti ochrany osobních údajů můžete využít výše uvedený e-mail, případně se obrátit na níže uvedené kontaktní údaje pověřence pro ochranu osobních údajů, pokud byl jmenován, nebo na specializovaný kontakt uvedený v kapitole XIV těchto Zásad. Zajištění jasného a dostupného komunikačního kanálu pro záležitosti ochrany osobních údajů je pro Správce prioritou, aby subjekty údajů mohly efektivně uplatňovat svá práva dle GDPR.

Společnost UMARUTTI s.r.o. jmenovala pověřence pro ochranu osobních údajů, který dohlíží na soulad zpracování osobních údajů s právními předpisy napříč všemi činnostmi společnosti, včetně velkoobchodního i maloobchodního prodeje. Pověřencem pro ochranu osobních údajů je pan Vladimír Kondratěnko, jednatel společnosti. Na pověřence se můžete obracet ve všech záležitostech souvisejících se zpracováním vašich osobních údajů a výkonem vašich práv podle GDPR. Kontaktní údaje pověřence pro ochranu osobních údajů jsou následující: Email [email protected], telefon +420 606 751 525, poštovní adresa Kozí 916/5, 110 00 Praha 1.

Pro efektivní komunikaci v záležitostech ochrany osobních údajů doporučujeme využít primárně emailovou adresu [email protected].

Správce při zpracování Vašich osobních údajů důsledně dodržuje základní zásady stanovené v článku 5 GDPR. Tyto zásady tvoří základní rámec pro veškeré operace zpracování a jsou pro Správce závazné. Jedná se o následující principy:

• Zákonnost, korektnost a transparentnost: Osobní údaje jsou zpracovávány na základě alespoň jednoho platného právního titulu, korektně a způsobem, který je pro subjekty údajů srozumitelný a otevřený.
• Účelové omezení: Osobní údaje jsou shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito původními účely neslučitelný.
• Minimalizace údajů: Zpracovávané osobní údaje jsou přiměřené, relevantní a omezené na rozsah, který je nezbytně nutný ve vztahu k účelům, pro které jsou zpracovávány. To se promítá například do návrhu registračních formulářů a rozsahu informací vyžadovaných pro jednotlivé služby.
• Přesnost: Správce dbá na to, aby zpracovávané osobní údaje byly přesné a v případě potřeby aktualizované. Přijímá veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny.
• Omezení uložení: Osobní údaje jsou uchovávány ve formě umožňující identifikaci subjektů údajů jen po dobu ne delší, než je nezbytné pro naplnění účelů, pro které jsou zpracovávány. Po uplynutí této doby jsou údaje buď vymazány, nebo anonymizovány, pokud právní předpisy nestanoví jinak.
• Integrita a důvěrnost: Osobní údaje jsou zpracovávány způsobem, který zajišťuje jejich náležité zabezpečení, včetně ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením.
• Odpovědnost Správce: Správce odpovídá za dodržování výše uvedených zásad a musí být schopen toto dodržování doložit.

Uvedení těchto zásad není pouze formálním požadavkem; Správce aktivně implementuje tyto principy do svých interních procesů a každodenních operací, aby zajistil skutečnou ochranu Vašich osobních údajů.

Tato kapitola poskytuje detailní přehled o tom, pro jaké účely Správce Vaše osobní údaje zpracovává, jaké kategorie osobních údajů jsou pro tyto účely relevantní, na jakém právním základě tak činí a po jakou dobu budou Vaše osobní údaje uchovávány. Přehlednost těchto informací je klíčová pro naplnění principu transparentnosti dle GDPR.

Následující tabulka shrnuje hlavní činnosti zpracování osobních údajů prováděné Správcem:

Specifika zpracování pro AML účely: Zpracování osobních údajů pro účely plnění povinností dle AML zákona (bod 3 tabulky) se řídí specifickými pravidly stanovenými AML zákonem. Tato pravidla, zejména § 17a (omezení informační povinnosti) a § 38 (povinnost mlčenlivosti) AML zákona, mohou omezit výkon některých Vašich práv jako subjektu údajů (např. právo na informace o zpracování, právo na přístup) s cílem neohrozit účel AML opatření a probíhající šetření. Podrobnější informace o těchto omezeních jsou uvedeny v kapitole IX těchto Zásad.

Důležité upřesnění k roli Správce a zpracovatele:

Je zásadní rozlišovat situace, kdy UMARUTTI s.r.o. vystupuje jako správce Vašich osobních údajů, a situace, kdy vystupuje jako zpracovatel.

UMARUTTI s.r.o. jako správce: Ve většině výše popsaných případů, zejména při Vaší registraci, zpracování Vašich objednávek, plnění AML povinností, marketingové komunikaci s Vámi či analýze využívání našich platforem, jsme správcem Vašich osobních údajů. To znamená, že my určujeme účely a prostředky zpracování.

UMARUTTI s.r.o. jako zpracovatel: Pokud využíváte platformu Diamond Studio k prezentaci zboží Vašim vlastním klientům a vkládáte do této platformy jejich osobní údaje, pak Vy (jako uživatel Diamond Studio) jste správcem těchto údajů a UMARUTTI s.r.o. vystupuje v roli zpracovatele. Zpracováváme tato data pouze na základě Vašich pokynů a v souladu se smlouvou o zpracování osobních údajů. V takovém případě je Vaší povinností jako správce informovat Vaše klienty o zpracování jejich osobních údajů a zajistit pro toto zpracování platný právní základ. Tyto Zásady se primárně vztahují na činnosti, kde UMARUTTI s.r.o. je správcem.

Právní základ "oprávněný zájem":

Pokud je jako právní základ pro zpracování uveden oprávněný zájem Správce (čl. 6 odst. 1 písm. f) GDPR), Správce vždy pečlivě posuzuje (prostřednictvím tzv. balančního testu), zda tento jeho zájem nepřevažuje nad Vašimi zájmy nebo základními právy a svobodami. Máte právo proti takovému zpracování vznést námitku, jak je popsáno v kapitole IX těchto Zásad.

Specifika zpracování pro účely přímého poštovního marketingu (Oprávněný zájem):

Zvláštním případem zpracování na základě oprávněného zájmu je zasílání tištěných reklamních nabídek (akvizičních katalogů) prostřednictvím pozemní pošty. Pro tento účel platí následující:

Právní základ: Zpracování je nezbytné pro účely oprávněných zájmů Správce ve smyslu čl. 6 odst. 1 písm. f) GDPR.

Kategorie osobních údajů: Zpracováváme pouze údaje získané z veřejně dostupných zdrojů, konkrétně: jméno, příjmení a adresa podnikatelských subjektů působících ve šperkařském odvětví.

Účel: Účelem je zasílání reklamních nabídek prostřednictvím pozemní pošty. K automatickému individuálnímu rozhodování ve smyslu čl. 22 nařízení nedochází.

Oprávněný zájem: Náš oprávněný zájem spočívá v přímém marketingu našich produktů a služeb relevantním podnikatelským subjektům. Bod 47 GDPR uvádí, že „zpracování osobních údajů pro účely přímého marketingu lze považovat za zpracování prováděné z důvodu oprávněného zájmu.“ Zákon č. 40/1995 Sb., o regulaci reklamy, umožňuje šíření nevyžádané reklamy v listinné podobě, pokud adresáta neobtěžuje a pokud adresát předem nedal najevo, že si ji nepřeje. Správce provedl posouzení a dospěl k závěru, že s ohledem na veřejný zdroj údajů, B2B povahu komunikace, relevanci nabídky pro oslovené subjekty, úhradu nákladů Správcem a možnost kdykoli odmítnout další zasílání, nepřevažují zájmy či práva subjektů údajů nad oprávněným zájmem Správce.

Doba uložení: Osobní údaje pro tento účel budou zpracovávány jednorázově pro odeslání, nejdéle však do vznesení námitky proti zpracování nebo uplatnění práva na výmaz.

Příjemci: Dalšími příjemci mohou být osoby zajišťující pro Správce technické a doručovací služby související se zasíláním. Osobní údaje nebudou předány do třetí země.

Správce získává osobní údaje z následujících zdrojů:

• Přímo od subjektů údajů: Nejčastěji se jedná o údaje, které nám sami poskytnete při registraci na platformách AreteApp nebo Diamond Studio, při vyplňování objednávkových formulářů, při komunikaci s námi (e-mailem, telefonicky, prostřednictvím kontaktních formulářů), nebo když nahráváte obsah či zadáváte informace v rámci uživatelského rozhraní platforem.
• Automaticky při používání platforem: Při Vaší návštěvě a interakci s našimi webovými stránkami a platformami můžeme automaticky shromažďovat určité informace, jako je Vaše IP adresa, typ a verze Vašeho prohlížeče, typ zařízení, operační systém, navštívené stránky, čas strávený na stránkách, provedené akce a další technické údaje. Tyto údaje jsou často shromažďovány prostřednictvím souborů cookies a obdobných technologií.
• Z veřejně dostupných zdrojů: Pro účely ověření Vaší totožnosti a oprávnění jednat jménem podnikatelského subjektu, jakož i pro plnění povinností v oblasti AML, můžeme získávat údaje z veřejně dostupných rejstříků a databází, jako je obchodní rejstřík, živnostenský rejstřík, ARES, evidence skutečných majitelů apod. Pro účely přímého poštovního marketingu (jméno, příjmení, adresa B2B subjektů) mohou být rovněž využity veřejně dostupné zdroje.
• Od třetích stran: V kontextu platformy Diamond Studio (údaje klientů našich B2B klientů). Odpovědnost za zákonnost získání těchto údajů nesou naši B2B klienti. Ve výjimečných případech můžeme získat údaje od obchodních partnerů, pokud k tomu existuje právní základ.

Transparentnost ohledně zdrojů dat je pro nás důležitá, zejména pokud údaje nepocházejí přímo od Vás.

Správce může Vaše osobní údaje zpřístupnit nebo předat následujícím kategoriím příjemců:

• Poskytovatelé platebních služeb a platební brány. Tito poskytovatelé jsou samostatnými správci.
• Přepravní a logistické společnosti.
• Poskytovatelé doručovacích a poštovních služeb.
• Poskytovatelé IT služeb a technické podpory. Tito jsou zpravidla zpracovateli.
• Účetní, daňoví a právní poradci, auditoři. Mohou být zpracovateli i správci.
• Státní orgány a orgány veřejné moci (např. FAÚ, Policie ČR).
• Poskytovatelé marketingových a komunikačních nástrojů. Tito jsou zpravidla zpracovateli.
• Případní další specifičtí příjemci, o kterých budete informováni.

Pokud jsou někteří příjemci v pozici zpracovatelů, Správce s nimi má uzavřenou smlouvu dle článku 28 GDPR, která zajišťuje ochranu Vašich práv.

Předávání osobních údajů do třetích zemí:

Správce se primárně snaží zpracovávat data v EU/EHP. Někteří dodavatelé IT služeb mohou sídlit mimo EU/EHP. Pokud k předání do třetí země dojde, je to vždy v souladu s kapitolou V GDPR, tedy na základě:

• Rozhodnutí Evropské komise o odpovídající ochraně; nebo
• Standardních smluvních doložek (SCC); nebo
• Jiných vhodných záruk.

Máte právo požádat o kopii těchto záruk. Správce provádí pravidelný audit dodavatelů.

Správce přijal a udržuje přiměřená technická a organizační opatření k zajištění ochrany Vašich osobních údajů, v souladu s článkem 32 GDPR a s ohledem na stav techniky, náklady a rizika. Mezi tato opatření patří:

• Řízení fyzického přístupu.
• Řízení přístupu k informačním systémům (identity, hesla, MFA, princip need-to-know).
• Šifrování dat (při přenosu i uložení).
• Zálohování dat.
• Bezpečnost sítě (firewally, detekce průniků).
• Aktualizace a správa zranitelností.
• Školení zaměstnanců.
• Postupy pro řešení bezpečnostních incidentů (včetně hlášení ÚOOÚ).
• Minimalizace dat.

Vy jste rovněž odpovědní za ochranu svých přístupových údajů. Doporučujeme volit silná hesla a měnit je. Žádný přenos dat není 100% bezpečný, dbejte proto opatrnosti.

GDPR Vám přiznává řadu práv, která můžete uplatnit. Správce je povinen reagovat do jednoho měsíce (lhůtu lze prodloužit o dva měsíce). Upozorňujeme, že výkon některých práv může být omezen AML zákonem (§ 17a, § 38).

Máte následující práva:

• Právo na přístup (čl. 15 GDPR): Právo získat potvrzení o zpracování a přístup k údajům a informacím. Může být omezeno AML zákonem.
• Právo na opravu (čl. 16 GDPR): Právo na opravu nepřesných a doplnění neúplných údajů. Může být omezeno AML zákonem.
• Právo na výmaz (čl. 17 GDPR): Právo na výmaz údajů za stanovených podmínek. Není absolutní, existují výjimky (např. AML zákon).
• Právo na omezení zpracování (čl. 18 GDPR): Právo na omezení zpracování v určitých případech. Může být omezeno AML zákonem.
• Právo na přenositelnost údajů (čl. 20 GDPR): Právo získat a předat údaje, pokud je zpracování založeno na souhlasu nebo smlouvě a provádí se automatizovaně.
• Právo vznést námitku (čl. 21 GDPR): Právo vznést námitku proti zpracování na základě oprávněného zájmu. Pokud jsou údaje zpracovávány pro účely přímého marketingu (včetně zasílání poštovních nabídek), máte právo kdykoli vznést námitku a údaje nebudou dále zpracovávány.
• Práva související s automatizovaným rozhodováním (čl. 22 GDPR): Právo nebýt předmětem rozhodnutí založeného výhradně na automatizovaném zpracování s významnými dopady, s výjimkami.
• Právo odvolat souhlas (čl. 7 odst. 3 GDPR): Právo kdykoli odvolat souhlas, pokud je na něm zpracování založeno. Odvolání souhlasu musí být snadné.
• Právo podat stížnost (čl. 77 GDPR): Právo podat stížnost u dozorového úřadu (v ČR ÚOOÚ).

Jak uplatnit svá práva:

Svá práva můžete uplatnit e-mailem nebo poštou na kontakty uvedené v kap. II nebo XIV. Uveďte dostatečnou identifikaci a specifikaci žádosti. Můžeme Vás požádat o dodatečné ověření totožnosti.

Naše weby a platformy používají cookies a obdobné technologie pro zajištění funkčnosti, zlepšení komfortu, analýzu a personalizaci. Cookies jsou malé textové soubory ukládané do Vašeho zařízení.

Podrobné informace o typech cookies, účelech, právním základu a době platnosti naleznete v našich Zásadách používání cookies, které jsou dostupné na webu. Zde také naleznete informace, jak spravovat své preference a souhlas.

Informujeme Vás o využívání automatizovaného rozhodování a profilování.

Automatizované rozhodování s právními účinky: Správce neprovádí takové rozhodování. Klíčová rozhodnutí jsou činěna s lidským přezkumem.

Profilování pro jiné účely: Můžeme využívat profilování pro personalizaci obsahu a nabídek a pro segmentaci pro marketingové účely. Toto nemá právní nebo významné účinky dle čl. 22 GDPR. Máte právo proti tomu vznést námitku.

Pokud bychom v budoucnu zavedli automatizované rozhodování dle čl. 22, budeme Vás předem informovat.

Pokud se domníváte, že došlo k porušení GDPR, máte právo podat stížnost u Úřadu pro ochranu osobních údajů (ÚOOÚ).

Kontaktní údaje ÚOOÚ:

Doporučujeme však nejprve kontaktovat nás, pokusíme se Vaše podněty vyřešit.

Správce je oprávněn tyto Zásady měnit. O změnách budete informováni zveřejněním na webu. V případě podstatných změn Vás můžeme informovat i e-mailem.

Doporučujeme pravidelně sledovat aktuální znění. Datum poslední aktualizace je uvedeno na začátku dokumentu. Pokračováním v používání platforem po účinnosti změn vyjadřujete souhlas.

Pro veškeré dotazy, žádosti, podněty nebo stížnosti se obracejte na: