Zásady zpracování osobních údajů webových stránek a aplikace MENRO

Menro MTM s.r.o.


1. ÚVODNÍ USTANOVENÍ

1.1. Tyto zásady upřesňují pravidla pro shromažďování a zpracování osobních údajů prostřednictvím (i) webových stránek https://www.menro.cz/ a (i) přidružené mobilní aplikace MENRO pro iOS a Android (společně dále jen „rozhraní internetového obchodu“)

1.2. MENRO je internetovým obchodem provozovaným společností Menro MTM s.r.o., IČO: 045 13 304, se sídlem Olivova 2096/4, Nové Město, 110 00 Praha 1, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl C, vložka 248773 (dále jen „MENRO“).

1.3. MENRO prodává prostřednictvím rozhraní internetového obchodu spotřebitelům (dále jen „subjekt údajů“) pánskou módu, a to zboží na míru i zboží konfekční (jak jsou definovány ve všeobecných obchodních podmínkách).

1.4. V rámci spolupráce MENRO a dodavatele může docházet ke zpracování osobních údajů subjektů údajů různými způsoby a k různým účelům („osobní údaje“). Cílem tohoto dokumentu je stanovit základní standard zpracování osobních údajů subjektů údajů, jakož i stanovit mechanismus pro vypořádání nároků subjektů údajů, dojde-li k uplatnění jejich práv v důsledku porušení či z jiného důvodu.

1.5. Tyto zásady jsou nedílnou součástí všeobecných obchodních podmínek MENRO; strany se od nich mohou odchýlit pouze v případě, že je tím dosaženo lepší ochrany práv subjektů údajů. Pojmy definované ve všeobecných obchodních podmínkách mají v těchto zásadách význam, který definují všeobecné obchodní podmínky, nevyplývá-li z těchto zásad něco jiného.

1.6. S ohledem na povahu těchto zásad je lze považovat za součást smlouvy o pověření zpracovatele zpracováním osobních údajů ve smyslu čl. 28 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů („GDPR“).

1.7. Která ze stran je ve vztahu k dotčeným osobním údajům správcem a která zpracovatelem, se posoudí podle okolností jednotlivých případů, s přihlédnutím k obchodním zvyklostem.

1.8. Aniž by byl dotčen čl. 1.7. těchto zásad, obecně platí, že je MENRO správcem ve smyslu čl. 24 GDPR ve vztahu k těm údajům, které shromažďuje za účelem výroby a dodání objednaného zboží zákazníkovi, případně za účelem vyřízení jakéhokoliv nároku zákazníka. Dodavatel je zpracovatelem osobních údajů ve vztahu k osobním údajům, které mu jsou poskytnuty o zákaznících ze strany MENRO za účelem výroby zboží na míru. Strana, která není v daném případě správcem, a která se jakýmkoliv způsobem podílí na zpracování osobních údajů, je jejich zpracovatelem, byla-li k takovému zpracování vyzvána správcem, jinak se má za to, že je sama správcem osobních údajů.

2. ROZSAH, ÚČEL, DOBA A TITUL ZPRACOVÁNÍ

2.1. V rámci prodeje zboží ze strany MENRO dochází zpravidla ke zpracování těchto údajů:

  1. Jméno a příjmení zákazníka;

  2. Adresa, kterou zákazník poskytl k doručení zkušebního zboží a zboží;

  3. Kontaktní údaje zákazníka, zejm. e-mail, telefonní číslo či jiný údaj způsobilý k zahájení distanční komunikace;
  4. Zákazníkem anonymizované fotografie pořízené zákazníkem mobilní aplikací MENRO jak je popsáno v čl. 2.2 těchto zásad, jež slouží k odebrání tělesných měr pro vyhotovení zboží na míru.

2.2. Zákazník pořizuje anonymizované fotografie, dle čl. 2.1 písm. e) těchto zásad, v mobilní aplikaci MENRO. Zákazník je aplikací instruován k vyfotografování své postavy z několika úhlů, přičemž ho aplikace ihned po vyfocení jednotlivé fotografie navede k tomu, aby každou vyfocenou fotografii anonymizoval (tj. manuálně zakryl svůj obličej). MENRO po přijetí fotografie nejdříve kontroluje, zdali jsou fotografie náležitě anonymizovány, pokud tomu tak není, jsou tyto fotografie bez zbytečného odkladu zlikvidovány a zákazník je vyzván k pořízení nových dostatečně anonymizovaných fotografií, aby mohl být splněn účel smlouvy. V případě koupě konfekčního zboží se tento článek neuplatní.

2.3. Při zpracování osobních údajů v rámci nákupu na MENRO nedochází ke zpracování citlivých údajů.

2.4. Strany zpracovávají osobní údaje pouze v rozsahu nezbytně nutném pro splnění smlouvy, jíž je subjekt údajů stranou. Zákonnost zpracování je tedy založena na čl. 6 odst. (1) písm. b) GDPR. MENRO proto nevyžaduje od subjektů údajů souhlas se zpracováním jejich osobních údajů.

2.5. Poskytne-li subjekt údajů souhlas se zpracováním a odvolá-li jej následně, není tím dotčena předchozí ani následná zákonnost zpracování, je-li takové zpracování i nadále nezbytné pro splnění smlouvy.

2.6. Účelem zpracování osobních údajů je rezervace, výroba a prodej zboží na míru prostřednictvím rozhraní internetového obchodu, anebo prodej konfekčního zboží prostřednictvím rozhraní internetového obchodu.

2.7. MENRO zpracovává osobní údaje zákazníků po dobu trvání práv a povinností ze smluvního vztahu, po dobu stanovenou právními předpisy, zejména daňovými a účetními předpisy, příp. po dobu trvání uživatelského účtu zákazníka. Osobní údaje podle čl. 2.1 písm. d) těchto zásad, které MENRO i jakýkoliv zpracovatel zpracovává jen po dobu nezbytně nutnou k výrobě zboží na míru, dodání zboží na míru a po dobu kdy zákazník může uplatnit svá práva na úpravu zboží na míru z důvodu, že rozměry zboží na míru neodpovídá naměřeným tělesným mírám.

2.8. Zpracovateli ani jinému správci se od MENRO, jako od správce, nedostane společně osobních údajů podle čl. 2.1 písm. a) a d) těchto zásad, na jejichž základě by disponoval identitou zákazníka i anonymizovanými fotografiemi zákazníka.

3. POSUZOVÁNÍ VLIVU ZPRACOVÁNÍ

3.1. Vzhledem k minimálnímu rozsahu zpracování a vzhledem k minimálnímu riziku, které pro subjekty údajů může plynout z případného porušení, není potřebné provádět posuzování vlivů zpracování na subjekty údajů.

3.2. Stane-li se však zpracování natolik rozsáhlým, že bude zahrnovat velkou část obyvatelstva dané lokality, strany zavedou účinné mechanismy k posuzování vlivů.

4. PODMÍNKY ZPRACOVÁNÍ

4.1. Zpracovatel musí dodržovat veškerá technická a organizační opatření pro zajištění zabezpečení osobních údajů, zejména nesmí umožnit přístup k údajům k tomu nepovolaným osobám, a to jako prostředky mechanické, tak elektronického zabezpečení.

4.2. Zpracovatel musí osoby, které se na zpracování podílí, poučit o metodách zabezpečení a o povinnosti mlčenlivosti, která se vztahuje na údaje, s nimiž taková osoba přijde do styku.

4.3. Shledá-li zpracovatel, že je pokyn správce zjevně nedůvodný či odporuje-li zákonu, upozorní ho na to a takový pokyn až do vyjasnění neprovádí.

4.4. Poruší-li zpracovatel svoji povinnost stanovenou těmito zásadami nebo GDPR, nahradí správci škodu, která mu tím vznikla. Taková škoda přitom může spočívat i v povinnosti správce nahradit škodu nebo odčinit nemajetkovou újmu subjektu údajů.

5. OPATŘENÍ K ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ

5.1. Zpracovatel je povinen zabezpečit prostory, v nichž dochází ke zpracování, nebo v nichž jsou umístěny datové nosiče, na nichž jsou zpracovávané údaje uchovávány, zabezpečit proti vniknutí, a to zejména zámkem, mříží či případně alarmem nebo kamerovým systémem.

5.2. Zpracovatel je povinen podniknout veškeré potřebné kroky k tomu, aby zabránil vniknutí do prostor podle čl. 5.1. nepovolaným osobám.

5.3. Zpracovatel zajistí, aby datové nosiče, na nichž jsou osobní údaje uchovávány, byly chráněny dostatečně silnými hesly či jinými prostředky elektronického zabezpečení.

5.4. Spočívá-li zpracování ve sdílení osobního údaje mezi stranami, lze ke sdílení použít pouze internetové služby, které skýtají záruku kvalitního zabezpečení, zejm. skrze prosté šifrování zpráv či end-to-end encryption.

5.5. Porušení povinnosti při zpracování osobních údajů zaměstnancem zpracovatele je přičitatelné zpracovateli, bez ohledu na to, jakým způsobem dochází k vypořádání nároků mezi zaměstnancem a zpracovatelem.

6. VYŘIZOVÁNÍ NÁROKŮ SUBJEKTŮ ÚDAJŮ

6.1. Strany jsou si povinny poskytnout vzájemnou součinnost k tomu, aby byl subjekt údajů řádně informován o svých právech. Těmi jsou:

  1. Právo na přístup k osobním údajům (čl. 15 GDPR);
  2. Právo na opravu a doplnění (čl. 16 GDPR);
  3. Právo na výmaz (čl. 17 GDPR);
  4. Právo na omezení zpracování (čl. 18 GDPR);
  5. Právo na přenositelnost údajů (čl. 20 GDPR);
  6. Právo vznést námitku (čl. 21 GDPR);

6.2. Strany jsou si zároveň povinny poskytnout veškerou potřebnou součinnost při vyřizování nároků subjektů údajů.

6.3. Dojde-li k porušení zabezpečení osobních údajů, nebo dojde-li k zásahu do osobních údajů subjektů údajů, zavazují se strany škodu nebo nemajetkovou újmu, která tím vznikla, nahradit podle poměru svého zavinění, a to podle pravidel GDPR.

6.4. Strany v případě porušení neprodleně porušení oznámí subjektu údajů a Úřadu pro ochranu osobních údajů a podniknou další potřebné kroky k zamezení dalšího porušování a k odstranění následku.

7. DALŠÍ ZPRACOVATELÉ

7.1. Zpracovatel je v odůvodněných případech oprávněn s předchozím souhlasem správce využít ke zpracování dalšího zpracovatele, postavení správce a zpracovatele a jejich vzájemná práva a povinnosti tím však nejsou dotčena.

7.2. Zpracovatel je odpovědný za výběr dalšího zpracovatele. Dopustí-li se další zpracovatel jakéhokoliv porušení povinností, nahradí spolu se zpracovatelem společně a nerozdílně jakoukoliv škodu nebo nemajetkovou újmu, která tím vznikla.

8. PRÁVO NA AUDIT

8.1. Zpracovatel na požádání zpřístupní správci veškeré informace nezbytné k prokázání souladu s GDPR, těmito zásadami nebo pokyny správce a dále umožní audity a inspekce ze strany správce nebo jiného auditora pověřeného správcem ve všech místech, kde probíhá zpracování osobních údajů správce.

8.2. pracovatel poskytne správci nebo pověřenému auditorovi veškerou potřebnou součinnost k prokázání souladu dle čl. výše.

9. ZÁVĚREČNÁ USTANOVENÍ

9.1. Tyto zásady mají povahu obchodních podmínek. Případné změny těchto zásad je proto možné provádět i jednostranně, je-li taková změna opodstatněná okolnostmi a nezhoršuje-li významně postavení zákazníka.

9.2. Na poměry stran neupravené těmito zásadami se použijí ustanovení GDPR a zákona o zpracování osobních údajů.

Tyto zásady jsou účinné ke dni 1. července 2020.

Máme pro vás dobré zprávy

Prozraďte nám svoji e-mailovou adresu a do schránky vám pravidelně padne newsletter o tom, na čem zrovna vyšíváme.