Zásady zpracování a ochrany osobních údajů

Tyto zásady zpracování a ochrany osobních údajů (dále jen „Zásady“) představují základní principy, kterými se společnost CAPEXUS s.r.o., IČ: 24131326, se sídlem Nuselská 419/92, 140 00 Praha 4 - Michle, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl C, vložka 181449 jako správce (dále jen „Společnost“) řídí při získávání a zpracovávání osobních údajů. Tyto Zásady provádějí práva a povinnosti Společnosti vyplývající zejména z následujících obecně závazných právních předpisů:

1. nařízení Evropského parlamentu a Rady (EU) č. 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) („dále jen GDPR“);
2. zákon č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti), ve znění pozdějších předpisů (dále jen „Zákon o některých službách informační společnosti“);
3. a zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů (dále jen „Zákon o elektronických komunikacích“).

Tyto Zásady se uplatní na spolupracující osoby v rámci obchodních vztahů a dále všechny osoby navštěvující webové stránky Společnosti www.capexus.cz (dále jen „Webové stránky“), a to bez ohledu na to, zda jsou ve smluvním vztahu se Společností či nikoliv.

Co jsou to osobní údaje

Osobními údaji se v souladu s GDPR rozumí veškeré informace o určené nebo určitelné fyzické osobě (nikoli tedy právnické osobě), (dále jen „Subjekt údajů“). V zásadě se tedy jedná o jakékoliv informace, které ať už samostatně, nebo v souhrnu s dalšími informacemi můžou sloužit k identifikaci konkrétní fyzické osoby nebo ji přímo identifikují, a to bez ohledu na to, zda se jedná o údaj pravdivý a objektivně měřitelný nebo zda se jedná o pouhý odhad charakteristiky člověka. Pro určení Osobního údaje není rozhodné ani to, zda je tento údaj zanesen písemně nebo ve formě audio či video záznamu (dále jen „Osobní údaje“).

Jaké osobní údaje Společnost zpracovává

Zpracování osobních údajů zahrnuje užívání dat, a to jakoukoliv operaci nebo soubor operací s osobními údaji nebo soubory osobních údajů, které jsou prováděny pomocí či bez pomoci automatizovaných postupů (např. v excelové tabulce či na arších papíru), jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení (např. skartace, vymazáni z disku). V  případě Společnosti se může jednat o nabízení služeb či produktů, oslovování klientů, realizace povinností ze smlouvy (objednávky) či ze zákona.

Společnost shromažďuje (tzn. užívá) následující Osobní údaje:

1. Osobní údaje, které Společnosti Subjekt údajů sám sdělí:

Takovými Osobními údaji mohou být zejména údaje, které Subjekt údajů uvede ve vyplněné smlouvě, ve vyplněném registračním, objednávkovém či jiném formuláři, nebo které Společnosti sdělí prostřednictvím e-mailu, telefonu, faxu či jiného obdobného zařízení. Osobní údaje může Společnosti poskytnout také při soutěžích, vložením recenze produktu či služby na webové stránky či účtech sociálních sítí zřízených Společností, rezervací místa na firemní akci či školení, nebo zasláním obecného dotazu.

Jedná se především o tyto údaje:

• jméno a příjmení
• jméno společnosti (u práv. osob, pokud identifikují nebo mohou identifikovat fyzickou osobu)
• název pracovní pozice/ zaměstnání
• kategorie společnosti (klient, dodavatel, architekt apod.)
• IČ, DIČ (fyzických osob)
• u statutárních orgánů společností i datum narození (u práv. osob)
• adresa trvalého pobytu (pouze u zaměstnanců)
• údaje o bankovním účtu (pokud je spojeno s fyzickou osobou)
• e-mailovou adresu (pokud identifikuje fyzickou osobu)
• telefonní číslo

Kategorie zpracovávaných osobních údajů jsou: identifikační údaje, kontaktní údaje, finanční údaje, profesionální údaje;

2. a dále údaje, které od Subjektu údajů získáme tím, že používá naše služby:

Při návštěvě našich Webových stránek může Společnost shromažďovat některé informace nezbytné pro to, aby byl zajištěn řádný a pohodlný provoz Webových stránek. Takovými informacemi jsou údaje:

• o internetovém protokolu (IP), soužící k připojení počítače Subjektu údajů k internetu
• registrační údaje
• typ a verzi prohlížeče;
• nastavení časového pásma;
• plug-in prohlížečů;
• údaje o návštěvě, včetně platného Uniform Resource Locator (URL), cestu na a z Webových stránek (včetně data a času);
• produkty, které si Subjekt údajů zobrazil nebo hledal
• časy odezvy, chyby během stahování;
• délku návštěv určitých stránek, informace o interakci při návštěvě stránek (například rolování, kliknutí a umístění myši) či způsob opouštění stránky

Pokud Osobní údaje a jiné údaje Společnost sbírá, pak je využívá ke správě a zlepšování Webových stránek a pro účely zajištění interních operací, včetně řešení problémů, analýzy dat, testování, výzkumu, statistických účelů a evidenci četnosti náhledů. Tyto Osobní údaje pak může v případě Vašeho souhlasu dále využít k měření účinnosti reklamy a k poskytování relevantní inzerce.

Společnost využívá při provozu svých Webových stránek tzv. cookies, což jsou textové soubory malého rozsahu (dále jen „Cookies“), které jsou odesílány ze serveru Společnosti do Vašeho prohlížeče, a při Vaší opětovné návštěvě Webových stránek jsou zaslány zpět na server Společnosti. Tím Cookies umožňují Společnosti rozpoznat Váš prohlížeč, zapamatovat si informace o Vaší předchozí aktivitě na Webových stránkách, a uzpůsobit tak obsah Webových stránek Vašim potřebám. Cookies nepoužíváme pro zjištění totožnosti uživatelů webových stránek ani ke zneužití přihlašovacích údajů.

Společnost využívá následujících druhů Cookies:

1. Cookies prvních stran, které umožňují základní provoz a funkčnost Webových stránek, a bez kterých by nebylo možné obsah Webových stránek správně zobrazit;
2. technické Cookies, které umožňují analyzovat využití Webových stránek (např. Google Analytics pro analýzu návštěvnosti dané konkrétní webové stránky či určité služby), Hotjar či cookies provozovatelů reklamních systémů, které jsou na našich stránkách provozovány;
3. technické Cookies* online identifikátory – např. společnosti Facebook (Facebook pixel);
4. reklamní Cookies, které umožňují zobrazení cílené reklamy, sdílení Webových stránek na sociálních sítích či vkládání komentářů k produktům a službám.

Cookies je možné odstranit pomocí nastavení prohlížeče Subjektu údajů. Ten je rovněž možné nastavit tak, Cookies automaticky nebyly ukládány. Pokud však Subjekt údajů zablokuje, vypne či jinak odmítne některé Cookies, Webové stránky se nemusí zobrazovat správně nebo nebude možné využívat některé služby či funkce Webových stránek.

Proč osobní údaje zpracováváme?

Výše uvedené Osobní údaje bude Společnost zpracovávat za účelem:

1. naplňování obchodních vztahů (např. realizace objednávek, realizace díla, schvalování dokumentace, výběr komponent, nábytku, materiálů apod.), přičemž takovým právním základem je plnění smlouvy;
2. vedení účetní evidence a plnění dalších zákonných povinností (zaměstnavatele, plátce daně apod.) a ochraně našich práv (např. pro případ soudního sporu týkajícího se našich služeb), přičemž takovým právním základem je plnění ze zákona či plnění smlouvy;
3. vymáhání pohledávek a to na základě plnění práva z uzavřené smlouvy;
4. zodpovězení dotazu zaslaného prostřednictvím kontaktního formuláře, přičemž takovým právním základem je náš legitimní zájem;
5. zlepšení kvality našich služeb a vývoje nových, přičemž tak činíme na základě našeho legitimního zájmu;
6. zajištění bezpečnosti našich systémů a sítí před útoky zvenčí či zneužitím ze strany uživatelů, přičemž tak činíme na základě našeho legitimního zájmu;
7. propagace našich služeb prostřednictvím těchto zpracování:
   1. zobrazování pouze reklam na základě Vašich zájmů (včetně remarketingu a behaviorální reklamy), a to vše v přiměřeném rozsahu a na základě souhlasu Subjektu údajů nebo v méně zasahujících případech na základě legitimního zájmu;
   2. provádění anonymních analýz a měření s cílem zjistit, jak jsou naše služby používány;
   3. analýzy preferencí Subjektu údajů a zobrazování obsahu, který odpovídá individuálním potřebám na základě souhlasu;
   4. získání výhry v soutěžích námi organizovaných a jejich doručení výhercům z titulu plnění smluvní povinnosti (soutěžních podmínek);
   5. zasílání obchodních sdělení včetně nabídky produktů a služeb třetích stran (odhlášení z přijímání obchodních sdělení je možno provést v nastavení služby, pro kterou se uživatel k odběru takovýchto sdělení zaregistroval, popřípadě emailem: marketing@capexus.cz) a obsahových newsletterů;
   6. poskytnutí služby, produktu či informace, o kterou jste projevili zájem;
   7. v případě, že jste stávající zákazník také k poskytnutí informací o jiných službách či produktech podobných těm, které byly předmětem předchozího obchodního vztahu Subjektu údajů s naší společností a to z titulu našeho legitimního zájmu rozvoje vzájemných obchodních vztahů – tento legitimní zájem vyplývá ze Zákona o některých službách informační společnosti;
   8. novým zákazníkům, bude Společnost zasílat obchodní sdělení a nabídky produktů a služeb pouze v případě, že k tomu Společnosti poskytnete předchozí, svobodný, konkrétní, jednoznačný souhlas;
8. posouzení a vyhodnocení žádosti o pracovní pozici či životopisu z titulu užití dat pro uzavření smlouvy;

Kdo všechno bude mít k Osobním údajům přístup

Osobní údaje, které o Subjektu údajů Společnost získá, jsou zpracovávány výhradně společností s výjimkou třetích stran (dále jen „Zpracovatelé“), které Společnosti pomáhají plnit její smluvní povinnosti zprostředkováním určitých služeb (např. doručování služby). Společnost předává Osobní údaje pouze těm Zpracovatelům, kteří poskytují záruky dostatečné úrovně zabezpečení Osobních údajů a tyto Osobní údaje zpracovávají výhradně na základě smlouvy o zpracování osobních údajů, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k Osobním údajům či k jejich jinému zneužití. Všichni naši partneři jsou vázáni povinností mlčenlivosti a nesmějí využít poskytnuté údaje k žádným jiným účelům, než ke kterým jsme jim je zpřístupnili. Pokud užívají Osobní údaje k jiným účelům (a mají odpovědnost správce), mohou tak činit pouze, pokud mají příslušný právní titul a účel definován (např. v případě advokátů/účetních/daňových poradců z hlediska odborné činnosti a z hlediska profesních předpisů).

V tomto smyslu může Společnost předávat Osobní údaje těmto Zpracovatelům:

1. externím spolupracovníkům a dodavatelům za účelem splnění smluvní a zákonných povinnosti Společnosti
   1. realizace subdodávek,
   2. evidence historie obchodních případů a budování dlouhodobých vztahů s klienty (př. možnost zpětné vazby k již realizovanému projektu apod.)
   3. platebních převodů,
   4. poskytnutí poštovních a doručovatelských služeb,
   5. zpracování mzdového a daňového poradenství;
   6. správci Webových stránek, poskytovatelé cloudového uložiště pro Společnost;
2. externím dodavatelům za účelem realizace legitimního zájmu a/nebo účelům a zpracováním, pro které nám byl udělen souhlas:
   • provozovateli mailchimp.com pro potřeby zasílání obchodních sdělení – zpracovatelská smlouvy, (Data processing agreement), Zásady ochrany osobních údajů (Privacy Policy), a Podmínek použití (Terms of use);
   • facebook.com pro potřeby online marketingu – zpracovatelská smlouva (Zásady používání dat), GDPR (Zásady);

Společnost předává Osobní údaje do třetích zemí v rámci služby podle odst. 2, a přičemž Mailchimp a Facebook je certifikován v rámci smlouvy EU/US – Privacy Shield spadající pod článek 45 GDPR.

Za určitých, přesně definovaných podmínek stanovených právními předpisy je Společnost pak povinna některé Osobní údaje předat např. Policii ČR, popř. jiným orgánům činným v trestním řízení včetně specializovaných útvarů (ÚOOZ, Celní správa atd.) a dalším orgánům veřejné správy.

Prostředky ochrany osobních údajů

Za účelem ochrany a minimalizace rizika neoprávněného přístupu k Osobním údajům Společnost přijala organizační a technická opatření.

Mezi tato opatření patří:

1. organizační omezení zužující okruh osob oprávněných přicházet do styku s Osobními údaji;
2. a technické zabezpečení serverů a Webových stránek Společnosti proti neoprávněné manipulaci.

Osoby přicházející do styku s Osobními údaji jsou poučeny o zásadách ochrany osobních údajů a při jejich zpracování jsou vázány mlčenlivostí. 

Délka uchovávání Osobních údajů

Společnost Osobní údaje uchovává po dobu 3 let, pokud dříve nedojde k odvolání souhlasu ze strany Subjektu údajů. Přičemž v případě odvolání souhlasu není dotčena zákonnost užívání Osobních údajů v době před jeho odvoláním.

Pro přípravy, uzavření a plnění smlouvy se zákazníkem Společnosti, Společnost používá po dobu nezbytnou k vyřízení objednávky (smlouvy). Po uplynutí této doby údaje dále Společnost uchovává na základě našeho oprávněného zájmu za účelem ochrany právních nároků a naší vnitřní evidence a kontroly, a to po dobu trvání promlčecí doby 3 roky a jeden rok po jejím uplynutí s ohledem na nároky uplatněné na konci promlčecí doby. Pro účel plnění právních povinností (za účelem plnění právních povinností zejména dle zákona č. 235/2004 Sb., o dani z přidané hodnoty a zákona č. 563/1991 Sb., o účetnictví) Osobní údaje Společnost užívá po dobu nejvýše 10 let k příslušné objednávce.

V případě nakládání s osobními údaji na základě legitimního zájmu, tyto Osobní údaje Společnost zpracovává maximálně po dobu 1 roku.

Po zániku právního důvodu nebo naplnění účelu, na základě kterého dochází ke zpracování Osobních údajů Společnost tyto Osobní data a všechny jejich existující kopie zlikviduje.

V případě zahájení soudního, správního nebo jiného řízení Společnost zpracovává Osobní údaje Subjektu údajů, bez ohledu na právní titul, v nezbytném rozsahu po celou dobu trvání takových řízení a zbývající část promlčecí doby po jeho ukončení.

Práva Subjektu údajů:

V souvislosti se zpracováním Osobních údajů Společností náleží Subjektu údajů tato práva:

1. právo odvolat souhlas se zpracováním Osobních údajů, je-li zpracování založeno na jeho základě;
2. právo požadovat přístup k Osobním údajům a k informacím o tom, které Osobní údaje jsou Společností zpracovávány;
3. právo na opravu nepřesných Osobních údajů, a případě také na doplnění neúplných Osobních údajů;
4. právo na výmaz zpracovávaných Osobních údajů;
5. právo na omezení zpracování Osobních údajů;
6. právo získat Osobní údaje, které jste Společnosti poskytli, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému osobě;
7. právo být informován o porušení zabezpečení Osobních údajů;
8. právo vznést námitku proti zpracování Osobních údajů a mimo jiné v případech zpracovávání Osobních údajů v marketingu z titulu oprávněného zájmu Společnosti; 
9. právo podat stížnost u dozorového úřadu, tj. u Úřadu pro ochranu osobních údajů, na adrese Pplk. Sochora 27, 170 00 Praha 7, popřípadě datovou schránkou na adresu qkbaa2n;
10. další práva stanovená v obecném nařízení o ochraně osobních údajů č. 2016/679 po nabytí jeho účinnosti.

Výše uvedená práva a případné stížnosti je možné uplatnit u Společnosti, jakožto správce údajů písemně na níže uvedené adrese či prostřednictvím e-mailu na e-mailovou adresu marketing@capexus.cz.

Tyto Zásady jsou platné a účinné od 25. 5. 2018.