1. Preambule
Ochrana soukromí klientů při zpracování osobních údajů v souladu s platnými zákony je nejvyšší prioritou společnosti WAYFORPAY, s.r.o. (dále jen „Správce“). Správce působí jako obchodní zástupce v oblasti platebních služeb (dále jen „služeb“), přičemž tento dokument obsahuje podmínky zpracování osobních údajů klienta (fyzické osoby) při poskytování Služeb.
Správce se zavazuje nakládat se získanými osobními údaji v souladu s nařízením (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „obecné nařízení GDPR“) a o zrušení směrnice 95/46/ES a dále v souladu se zákonem č. 253/2008 Sb. o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu (dále jen „AML zákon“).
Správce klade velký důraz na dodržování obecného nařízení GDPR a v rámci svých činností, které provádí dodržuje základní zásady pro nakládání s osobními údaji, kterými jsou:
- zákonnost, korektnost a transparentnost
- omezení účelem
- minimalizace údajů
- přesnost
- omezení uložení
- integrita a důvěrnost.
Osobní údaje klientů bude Správce užívat pouze pro naplnění účelů stanovených v těchto pravidlech a nesdělí je neoprávněným třetím osobám.
Během zpracování osobních údajů Správce dbá na to, aby nedošlo k újmě na právech fyzických osob v souvislosti se zpracováním osobních údajů. Současně je Správce povinnen plnit ustanovení příslušných právních předpisů a aplikovat přiměřená opatření na ochranu právního pořádku, demokratické společnosti a jejích konkrétních důležitých zájmů, jak je uvedeno dále.
Pravidla chrany osobních údajů obsahují všechny informace poskytované subjektu údajů dle čl. 13 obecného nařízení GDPR.
Správce upozorňuje klienty, aby při poskytování svých osobních údajů postupovali v každém případě opatrně, obezřetně a vždy se přesvědčili o legálnosti zpracování osobních údajů.
2. Druh a doba zpracování dat
Správce shromažďuje osobní údaje za účelem uzavření a plnění smlouvy o poskytování Služeb uzavřené mezi Správcem a klientem.
Ve smyslu obecného nařízení GDPR a za účelem splnění zákonných povinností správce údajů dle § 9 AML zákona Správce je oprávněn zpracovávat osobní údaje klientů v rozsahu:
- jméno, příjmení, titul, rodné číslo, případně datum narození, místo narození, pohlaví,
- trvalý pobyt nebo jiný pobyt a státní občanství, číslo telefonu, adresa pro doručování elektronické pošty,
- kopie osobních dokladů prokazujících totožnost klienta,
- u podnikající fyzické osoby: obchodní firma, odlišující dodatek nebo další označení, místo podnikání a identifikační číslo osoby,
- číslo bankovního účtu vč. jména majitele účtu,
- údaje o realizovaných i zrušených platebních transakcích,
- údaje o jakékoli kreditní, debetní nebo jiné platební kartě, včetně PAN čísla, data expirace a jméno držitele platební karty,
- veškerou realizovanou komunikaci,
- informace získané z dotazníků nebo obdobných formulářů, o jejichž vyplnění můžete být požádán,
- IP adresu a časy připojení zařízení klienta,
- údaje o logování klientů na svých webových stránkách, zejména provozní data, lokalizační data, weblogy, apod., jakož i údaje o chování klientů v prostředí internetu.
Správce získává osobní údaje svých klientů zejména od nich samých v rámci jednání o uzavření smlouvy o poskytování Služeb mezi Správcem a klientem. Správce dále získává osobní údaje klientů rovněž od zpracovatelů karetních transakcí, přičemž Správce rovněž předává osobní údaje klientů směrem k acquirerům nutných pro realizaci služeb.
Zpracování osobních údajů mohou pro Správce provádět zpracovatelé výhradně na základě smlouvy o zpracování osobních údajů.
Správce poskytuje osobní údaje o zákaznících státním orgánům a dalším subjektům v rámci uplatnění zákonem stanovených práv a plnění zákonem stanovených povinností.
Přístup k osobním údajům klientů mají pouze zaměstnanci Správce a třetích stran (viz. kapitola 5), kteří se podílejí na realizaci účelů zpracování osobních údajů stanovených v těchto pravidlech.
Osobní údaje budou zpracovávány po celou dobu trvání smlouvy o poskytování Služeb a dále do konce kalendářního roku, v němž bylo ukončeno plnění smlouvy o poskytování Služeb.
Doba zpracování osobních údajů je 10 let od uskutečnění obchodu nebo od ukončení obchodního vztahu mezi klientem a správcem údajů (podle toho, co nastane později). Klient je obeznámen, že jako subjekt údajů nemůže tento souhlas odvolat.
Správce údajů je oprávněn na vyžádání tyto údaje poskytnout příslušným státním orgánům.
3. Způsob a zásady zpracování dat
Správce ve vztahu ke klientovi zpracovává osobní údaje korektně a zákonným a transparentním způsobem, přičemž zajišťuje náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením.
Správce pro zpracování a uložení dat využívá CRM systém zpracovatele RAYNET implementujícího povinnosti zpracování osobních dat homologovaného v souladu s obecným nařízením GDPR.
Základem pro ochranu dat CRM systému zpracovatele dat RAYNET je zajištění toho, aby k jednotlivým skupinám informací měly přístup jen osoby k tomu oprávněné a dále:
- samotný vstup do aplikace je chráněn unikátním uživatelským jménem a heslem.
- nastavuje dvoufázové ověřování, expiraci a kvalitu hesla (délka, speciální znaky, velká a malá písmena).
- RAYNET CRM obsahuje jednoduchý nástroj pro správu uživatelských rolí a skupin, který umožňuje definovat oprávnění pro přístup k datům, jak jednotlivým skupinám uživatelů, tak i zcela individuálně.
- Veškeré datové přenosy jsou šifrovány protokolem TLS.
4. Práva klienta v souvislosti se zpracováním dat
Správce zpracovává osobní údaje bez souhlasu klienta, neboť osobní údaje zpracovává pouze za účelem nezbytným pro plnění smlouvy o poskytování Služeb uzavřené mezi Správcem a klientem. Zákon pro zpracování osobních údajů v takovém případě souhlas klienta se zpracováním osobních údajů nevyžaduje.
Práva klienta jsou následující:
- právo na přístup k osobním údajů
- právo na opravu
- právo na výmaz („právo být zapomenut“)
- právo na omezení zpracování
- právo na přenositelnost údajů
- právo vznést námitku
- právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování včetně profilování.
Klient má právo na to, aby správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají. S přihlédnutím k účelům zpracování má subjekt údajů právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení.
Klient má právo kdykoli požádat Správce o to, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovány, kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny.
Informace bude klientovi poskytnuta bez zbytečného odkladu s tím, že za poskytnutí informace je Správce oprávněn požadovat přiměřenou úhradu nepřevyšující náklady nezbytné na poskytnutí informace.
Pokud se klient domnívá, že Správce provádí zpracování jeho osobních údajů v rozporu s ochranou jeho soukromého a osobního života nebo v rozporu se zákonem, je oprávněn požádat Správce o vysvětlení, případně požadovat blokování, opravu, doplnění nebo likvidaci osobních údajů.
Správce oznamuje jednotlivým příjemcům, jimž byly osobní údaje zpřístupněny, veškeré opravy nebo výmazy osobních údajů nebo omezení zpracování provedené v souladu s článkem 16, čl. 17 odst. 1 a článkem 18 obecného nařízení GDPR, s výjimkou případů, kdy se to ukáže jako nemožné nebo to vyžaduje nepřiměřené úsilí.
Správce informuje subjekt údajů o těchto příjemcích, pokud to subjekt údajů požaduje.
Jestliže bude žádost klienta shledána oprávněnou, Správce neprodleně odstraní závadný stav. Pokud Správce žádosti nevyhoví, může se klient obrátit na Úřad pro ochranu osobních údajů; právo klienta obrátit se na Úřad pro ochranu osobních údajů přímo tím není dotčeno.
Klient je oprávněn se obrátit na Správce s dotazem ohledně zpracování osobních údajů nebo s žádostí o opravu, zrušení a blokování svých osobních údajů.
Kontaktní údaje na ÚOOÚ jsou následující:
Telefon: +420 234 665 111 (Ústředna)
FAX: +420 234 665 444
WWW: https://www.uoou.cz
E-mail: [email protected]
ID datové schránky: qkbaa2n
IČO: 70837627
Adresa: Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7