Ochrana osobních údajů
u obchodní společnosti LABPLUS s.r.o.
se sídlem Vinohradská 2165/48, 120 00 Praha - Vinohrady
identifikační číslo: 17800447
zapsané v obchodním rejstříku vedeném u Městského soudu v Praze, spisová značka C 376986
pro prodej zboží a služeb prostřednictvím on-line obchodu umístěného na internetové adrese https://labplus.cz
Jaké informace shromažďujeme
Při objednávce jsou povinně vyžadovány pouze údaje nezbytně nutné pro úspěšné vyřízení objednávky (jméno, adresa a kontakt).
Dále v e-shopu vyžadujeme fakturační údaje, které jsou použity pro splnění zákonných povinností.
Jakým způsobem shromažďujeme informace
Některé informace získáme přímo od vás (například vyplněním registračního formuláře). Některé zaznamenáváme automaticky (pomocí souborů cookie).
Informace, které získáváme od vás
Shromažďujeme pouze údaje, které se nám rozhodnete poskytnout nebo jsou nezbytně nutné k splnění zákonných náležitostí (fakturace). Požádáme-li Vás o poskytnutí osobních údajů, nemusíte nám je poskytnout. Případné odmítnutí může mít za následek omezení služeb společnosti LABPLUS s.r.o. (dále jen „Labplus“) nebo nemožnost naplno využívat funkce systému.
Informace, které získáváme automaticky
Automaticky zaznamenáváme různé informace o tom, jakým způsobem používáte službu Labplus, k čemuž využíváme například soubory cookie. To nám mimo jiné umožňuje analyzovat, vylepšovat a zabezpečovat službu Labplus. Tyto data jsou anonymní.
K čemu používáme získané informace
Poskytnuté údaje budou použity pro splnění zákonných povinností, závazků, jako je např. vyřízení objednávky, popřípadě k vyřizování reklamací, apod. Osobní údaje jsou také zpracovávány prostřednictvím elektronické databáze pro jednání nezbytné a úzce spojené s plněním povinností poskytovatele a realizací smlouvy a také případně prostřednictvím třetích subjektů – zpracovatelů osobních údajů zodpovědných za své jednání.
Používání osobních údajů
Osobní informace, které shromažďujeme, nám pomáhají poskytovat a vylepšovat náš produkt a služby s ním spojené. Dále slouží k efektivní komunikaci s Vámi.
Sdílení osobních údajů
Údaje jsou k dispozici pouze poskytovateli služby (LABPLUS s.r.o.), třetím stranám jsou poskytovány jen s výjimkou situace související s distribucí či platebním stykem, vedením účetnictví a plněním dalších zákonných povinností poskytovatele. Žádné další osobě nebudou poskytnuty.
Anonymní informace
Služby společnosti LABPLUS s.r.o. používají v rámci zvyšování kvality služeb, personalizace nabídky, sběru anonymních dat a pro analytické účely tzv. soubory cookie. Používáním webu souhlasíte s použitím zmíněné technologie.
Obecné informace
Zpracovatel osobních údajů - LABPLUS s.r.o. (údaje jsou šifrovány a ukládány na serverech v kancelářích a laboratořích v Praze)
Poskytovatel řešení pro internetový obchod - Evici webdesign s.r.o. (Ostrava, CZ).
Provozovatel serverů - Akamai Technologies International AG (Švýcarsko, CH).
Umístění serverů - Servery jsou umístěny v Londýně (Anglie, UK) a ve Frankfurtu (Německo, DE).
Bezpečnost dat
Uživatel a poskytovatel se zavazují vzájemně zacházet důvěrně se všemi podklady a informacemi, které jsou výslovně označeny jako důvěrné, jejichž důvěrnost vyplývá ze zákona, anebo rozpoznatelně nejsou určeny pro třetí osobu.
Aktualizace
Průběžně budeme tyto informace aktualizovat, abychom Vás lépe informovali o tom, jak s osobními údaji nakládáme.
Zpracovatelská smlouva
Poskytovatel je ve vztahu k osobním údajům klientů zpracovatelem dle čl. 28 GDPR. Klient je správcem těchto údajů.
Tyto podmínky upravují vzájemná práva a povinnosti při zpracování osobních údajů, ke kterým Poskytovatel získal přístup v rámci plnění smlouvy uzavřené formou odsouhlasení obchodních podmínek na www.labplus.cz (dále jen „smlouva“) uzavřené s Uživatelem ke dni zřízení uživatelského účtu.
Poskytovatel se zavazuje pro Uživatele zpracovávat osobní údaje v rozsahu a za účelem stanovenými v bodech 4 - 7 této smlouvy. Prostředky zpracování budou automatizované. Poskytovatel bude v rámci zpracování osobní údaje shromažďovat, ukládat na nosiče informací, uchovávat, blokovat a likvidovat. Poskytovatel není oprávněn osobní údaje zpracovávat v rozporu nebo nad rámec stanovený těmito podmínkami.
Poskytovatel se zavazuje pro uživatele zpracovávat osobní údaje v tomto rozsahu:
- běžné osobní údaje
- zvláštní kategorie údajů podle čl. 9 GDPR
Poskytovatel se zavazuje pro uživatele zpracovávat osobní údaje za účelem poskytování služeb Labplus.
Osobní údaje je možné zpracovávat pouze na pracovištích Poskytovatele nebo jeho dodavatelů podle bodu 8 těchto podmínek, a to na území Evropské unie.
Poskytovatel se zavazuje pro Uživatele zpracovávat osobní údaje klientů Uživatele, to vše po dobu nezbytnou k výkonu práv a povinností vyplývajících ze smluvního vztahu mezi Poskytovatelem a Uživatelem a z uplatňování nároků z těchto smluvních vztahů (po dobu 5 let od ukončení smluvního vztahu).
Uživatel uděluje povolení se zapojením subdodavatele jakožto dalšího zpracovatele podle čl. 28 odst. 2 GDPR, kterým je poskytovatel hostingu Linode LLC. Uživatel dále uděluje Poskytovateli obecné povolení zapojit do zpracování dalšího zpracovatele osobních údajů, Poskytovatel však musí uživatele písemně informovat o všech zamýšlených změnách týkajících se přijetí dalších zpracovatelů nebo jejich nahrazení a poskytnout uživateli možnost vyslovit vůči těmto změnám námitky. Poskytovatel musí uložit svým subdodavatelům v postavení zpracovatele osobních údajů stejné povinnosti na ochranu osobních údajů, jak jsou stanoveny v těchto podmínkách.
Poskytovatel se zavazuje, že zpracovávání osobních údajů bude zabezpečeno zejména následujícím způsobem:
- Osobní údaje jsou zpracovávány v souladu s právními předpisy a na základě pokynů Uživatele, tj. pro výkon veškerých činností potřebných pro poskytování služeb Labplus.
- Poskytovatel se zavazuje, že technicky a organizačně zabezpečí ochranu zpracovávaných osobních údajů tak, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití a aby byly personálně a organizačně nepřetržitě po dobu zpracovávání údajů zabezpečeny veškeré povinnosti zpracovatele osobních údajů, vyplývající z právních předpisů.
- Přijatá technická a organizační opatření odpovídají míře rizika. Poskytovatel pomocí nich zajišťuje neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování, a včas obnovuje dostupnost osobních údajů a přístup k nim v případě fyzických či technických incidentů.
- Poskytovatel tímto prohlašuje, že ochrana osobních údajů podléhá interním bezpečnostním předpisům Poskytovatele.
- K osobním údajům budou mít přístup pouze oprávněné osoby Poskytovatele a subdodavatelů dle bodu 8 těchto podmínek, které budou mít Poskytovatelem stanoveny podmínky a rozsah zpracování údajů a každá taková osoba bude přistupovat k osobním údajům pod svým jednoznačným identifikátorem.
- Oprávněné osoby Poskytovatele, které zpracovávají osobní údaje podle těchto podmínek, jsou povinny zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo jejich zabezpečení. Poskytovatel zajistí jejich prokazatelné zavázání k této povinnosti. Poskytovatel zajistí, že tato povinnost pro Poskytovatele i oprávněné osoby bude trvat i po skončení pracovněprávního nebo jiného vztahu k Poskytovateli.
- Poskytovatel bude uživateli nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění uživatelovy povinnosti reagovat na žádosti o výkon práv subjektu údajů stanovených v GDPR; stejně tak při zajišťování souladu s povinnostmi podle čl. 32 až 36 GDPR, a to při zohlednění povahy zpracování a informací, jež má Poskytovatel k dispozici.
- Po ukončení poskytování plnění, které je spojeno se zpracováním, dle bodu 7 těchto podmínek, je Poskytovatel povinen všechny osobní údaje vymazat, nebo je vrátit Uživateli, pokud nemá povinnost uložit osobní údaje na základě zvláštního zákona.
- Poskytovatel poskytne Uživateli veškeré informace potřebné k doložení toho, že byly splněny povinnosti podle této smlouvy a GDPR, umožní audity, včetně inspekcí, prováděné Uživatelem nebo jiným auditorem, kterého uživatel pověřil.
Uživatel se zavazuje neprodleně ohlašovat všechny jemu známé skutečnosti, které by mohly nepříznivě ovlivnit řádné a včasné plnění závazků vyplývajících z těchto podmínek na a poskytnout Poskytovateli součinnost nezbytnou pro plnění těchto podmínek.
Popis procesů řešení bezpečnostních incidentů
Bezpečnostní incident – situace, při které došlo k ohrožení bezpečnosti osobních údajů nebo k porušení pravidel. Bezpečnostní incident vzniká v důsledku selhání nebo nedodržení bezpečnostních opatření nebo porušení bezpečnostní politiky.
Bezpečnostním incidentem mohou být např. tyto události: krádež, vykradení, vloupání, útok, neoprávněný přístup k informacím nebo datům, neoprávněné použití informací, neoprávněný vstup do budovy nebo do systému, smazání dat, selhání infrastruktury nebo připojení, selhání serveru, databáze nebo aplikace, hackerský útok, průnik do systému dat, virový útok, útok vyděračským softwarem (ransomware), přírodní katastrofa, falšování webové stránky (spoofing).
Při bezpečnostním incidentu může dojít k ohrožení, ztrátě, odcizení, zneužití nebo změně dat nebo informací.
Jako bezpečnostní incident může být vyhodnocený i pouhý neúspěšný pokus o zcizení nebo jiné znehodnocení informací.
Odpovědné osoby pověřené řešením incidentů, zjišťováním výskytu porušení a posuzováním rizika jsou: Mgr. Ivan Voříšek Ph.D. (jednatel).
V případě, že Poskytovatel zjistí, že došlo k bezpečnostnímu incidentu, neprodleně provede šetření, zda nedošlo k porušení zabezpečení osobních údajů.
Pokud Poskytovatel zjistí, že došlo k porušení bezpečnosti osobních údajů, posoudí riziko pro subjekty údajů. Rizika jsou posuzována podle těchto kritérií:
- Typ porušení – zpřístupnění způsobí větší riziko než jejich úplná ztráta.
- Povaha, citlivost a objem osobních údajů – čím citlivější data, tím větší riziko pro jednotlivce, kombinace osobních údajů je více citlivá než samotná datová položka.
- Snadnost identifikace jednotlivců – někdy lze provést přímo z narušených osobních dat. Šifrovaná data bez šifrovacího klíče jsou pro nevolanou osobu nečitelná.
- Závažnost důsledků pro jednotlivce – u citlivých dat může být potenciální škoda pro jednotlivce zvlášť závažná, porušení osobních údajů u zranitelných jednotlivců může představovat vyšší riziko újmy. Dlouhodobé účinky mají větší dopad.
- Zvláštní charakteristiky jednotlivce – např. děti, lidé s postižením nebo zranitelné osoby.
- Počet dotčených jednotlivců – čím větší počet dotčených jednotlivců, tím větší dopad může porušení mít.
- Zvláštní charakteristiky Poskytovatele – jsou rozdíly v citlivosti zpracovávaných osobních údajů.
Vyhodnocením rizik Poskytovatelem může dospět k těmto závěrům:
- Je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob.
- Je pravděpodobné, že porušení bude mít za následek riziko pro práva a svobody jednotlivců.
- Je pravděpodobné, že porušení bude mít za následek vysoké riziko pro práva a svobody jednotlivců. Vyšší riziko vznikne při porušení ochrany zvláštní kategorie osobních údajů (citlivých údajů).
Z vyhodnocení rizik podle a) nevyplývá Poskytovateli žádná ohlašovací resp. oznamovací povinnost.
Z vyhodnocení rizik podle b) vyplyne pro Poskytovatele ohlašovací povinnost k dozorovému úřadu.
Z vyhodnocení podle c) vyplyne pro Posktytovatele oznamovací povinnost k dozorovému úřadu a k subjektu údajů.
Posktytovateli vzniká ohlašovací povinnost dozorovému úřadu, jen když je pravděpodobné, že porušení bude mít za následek riziko pro práva a svobody jednotlivců.
Účelem ohlašovací povinnosti je omezení újmy způsobené fyzickým osobám. Porušení ochrany osobních údajů musí být nahlášeno nejpozději do 72 hodin dozorovému úřadu na některou z uvedených možností:
Adresa Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7
E-mail posta@uoou.cz
ID datové schránky qkbaa2n
Není-li možné poskytnout informace současně, mohou být poskytnuty postupně bez dalšího zbytečného odkladu.
Pokud se porušení týkají stejného typu osobních údajů, jejichž zabezpečení bylo porušeno stejným způsobem během poměrně krátké doby, je možno provést hromadné ohlášení.
- V ohlášení budou dozorovému úřadu poskytnuty alespoň tyto informace:
- popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů (např. děti, lidé s postižením, zaměstnanci, zranitelné skupiny lidí atd.) a kategorií a přibližného množství dotčených záznamů osobních údajů (např. zdravotní data, školní záznamy, informace o sociální péči, finanční údaje, čísla bankovních účtů, čísla pasů atd.);
- jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace;
- popis pravděpodobných důsledků porušení zabezpečení osobních údajů;
- popis opatření, která Posktytovatel přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.
Posktytovateli vzniká oznamovací povinnost vůči jednotlivci, jen když je pravděpodobné, že porušení bude mít za následek vysoké riziko pro práva a svobody jednotlivců, tj. porušení může vést u dotčeného jednotlivce k materiální nebo nemateriální škodě (diskriminaci, krádeži totožnosti, podvodu, peněžní ztrátě, poškození pověsti atd.).
Posktytovatel oznámí toto porušení bez zbytečného odkladu subjektu osobních údajů a dozorovému úřadu.
V oznámení subjektu údajů budou poskytnuty alespoň tyto informace:
- popis povahy porušení;
- jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiné kontaktní místo;
- popis pravděpodobných důsledků porušení;
- popis opatření přijatých nebo navržených Posktytovatelem pro řešení případu, včetně případných opatření ke zmírnění možných nepříznivých dopadů.
Posktytovatel může poskytnout podle možností jednotlivcům konkrétní radu, jak se chránit před možnými nepříznivými důsledky porušení (např. resetování hesla apod.).
Oznámení subjektu údajů uvedené výše se nevyžaduje, je-li splněna kterákoli z těchto podmínek:
Posktytovatel zavedl náležitá technická a organizační ochranná opatření a tato opatření byla použita u osobních údajů dotčených porušením zabezpečení osobních údajů. Jde zejména o taková opatření, která učinila tyto údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim mít přístup, jako je například šifrování.
Posktytovatel přijal následná opatření, která zajistila, že vysoké riziko pro práva a svobody subjektů údajů se již pravděpodobně neprojeví.
Vyžadovalo by to nepřiměřené úsilí. V takovém případě musí být subjekty údajů informovány stejně účinným způsobem pomocí veřejného oznámení nebo podobného opatření.
Pokud dozorový úřad usoudí, že dané porušení bude mít s vysokou pravděpodobností za následek vysoké riziko, může na Posktytovateli požadovat, aby dotčenému subjektu údajů toto porušení oznámil, tak dosud neučinil. Může však také rozhodnout, že je splněna některá z podmínek uvedených v předchozím odstavci.
Posktytovatel dokumentuje veškeré případy porušení zabezpečení osobních údajů, přičemž uvede skutečnosti, které se týkají daného porušení, jeho účinky a přijatá nápravná opatření.
Posktytovatel vede dokumentaci o veškerých případech, i když nevznikne povinnost hlásit je dozorovému úřadu. Popis porušení musí obsahovat:
- popis události,
- příčiny porušení,
- jaké osobní údaje byly dotčeny,
- účinky a důsledky porušení,
- nápravná opatření přijatá Posktytovatelem,
- zdůvodnění případného neohlášení incidentu resp. porušení důvody odkladu při opožděném podání ohlášení,
- doklad o oznámení subjektům osobních údajů,
- doklad o tom, že zaměstnanci Posktytovatele byli poučeni o tom, jak se mají v případě porušení zabezpečení osobních údajů zachovat.
Obdobným způsobem Posktytovatel zaznamená bezpečnostní incidenty, u nichž se okamžitě neprojevilo porušení zabezpečení osobních údajů, ale zároveň není vyloučeno, že se toto porušení neprojeví později.
Role pověřence pro ochranu osobních údajů – pověřenec spolupracuje s dozorovým úřadem a působí jako kontaktní místo pro dozorový úřad a subjekty údajů. Jméno a kontakt na pověřence uvádí Posktytovatel při ohlašování události.
Posktytovatel seznámí své zaměstnance s procesy řešení incidentů a poučí je o tom, jak se mají chovat, aby předcházeli případům porušení zabezpečení osobních údajů, a jak se chovat v případech, kdy k tomuto porušení dojde. Poučení zaměstnanců se provádí při nástupu do zaměstnání, dále pravidelně jednou za 2 roky.
Jakýkoliv bezpečnostní incident zaměstnanci nahlásí svému vedoucímu zaměstnanci, který kontaktuje odpovědné osoby Posktytovatele. V případě, že došlo k porušení zabezpečení osobních údajů, kontaktují pověřence pro ochranu osobních údajů.
Pokud Posktytovatel používá dodavatele a tento dodavatel zjistí porušení zabezpečení osobních údajů, jež pro Posktytovatele zpracovává, musí to Posktytovatel ohlásit bez zbytečného odkladu. Poskytuje-li dodavatel služby více Posktytovatelům, kteří všichni byli postiženi tím samým incidentem, musí dodavatel ohlásit podrobnosti o tomto incidentu všem Posktytovatelům.