Uživatel klientské zóny webu www.celyoturismu.cz jako subjekt osobních údajů své společnosti (dále jen “osobní údaje”) může využívat klientskou zónu mj. ke komunikaci s vlastníkem webu.
Za tímto účelem Klient vloží osobní údaje do databáze spravované prostřednictvím svého účtu v platformě, čímž pověřuje níže uvedené společnosti (dále jen “Zpracovatel” nebo také “Zpracovatelé”) zpracováním osobních údajů způsobem uvedeným v těchto pravidlech.
Správcem osobních údajů je:
- COT Group s. r. o.; IČO: 25098853 se sídlem Táboritská 23/1000, 130 00 Praha 3 – vlastník webu
Zpracovateli osobních údajů jsou:
- Fresh Services, s.r.o.; IČO: 28180208; se sídlem Praha 4 – Podolí, Nad ostrovem 791, PSČ 14700 – dodavatel webu a provozovatel servisu
- NETsecurity s.r.o.; IČO: 27910466 se sídlem Třebízského 282, 252 63 Roztoky – provozovatel hostingu
Zpracovávané osobní údaje:
- jméno,
- příjmení,
- e-mailová adresa,
- IP adresa,
- fakturační údaje,
- informace o provedených platbách.
Pokud Zpracovatel začne zpracovávat dle výslovného pokynu Správce jakýkoli nový osobní údaj, který není specifikovaný v těchto pravidlech, bude takový osobní údaj zpracováván za stejných podmínek stanovených těmito pravidly.
Doba zpracování osobních údajů:
Zpracovatel bude zpracovávat osobní údaje po dobu, kdy Klient využívá služeb platformy (má aktivní účet v platformě), nikoli však déle, než po dobu (v každém jednotlivém případě) nezbytně nutnou k dosažení účelu zpracování podle těchto pravidel.
Prohlášení zpracovatele:
- a) Zpracovatel nakládá s osobními údaji v souladu GDPR a dalšími platnými právními předpisy a pokyny Správce.
- b) Zpracovatel neposkytne osobní údaje ani jejich část jakékoli třetí osobě, a to ani pro nekomerční užití, s výjimkou případů, kdy je povinen osobní údaje poskytnout na základě platného právního předpisu, nebo se souhlasem Správce.
- c) Zpracovatel nebude předávat osobní údaje mimo země Evropského hospodářského prostoru, ledaže by s takovým předáním vyslovil Správce předchozí písemný souhlas.
Zabezpečení osobních údajů:
- a) Zpracovatel zajistí, aby jeho zaměstnanci, spolupracovníci a obchodní partneři zapojení do zpracování osobních údajů postupovali v souladu s těmito pravidly a zachovávali mlčenlivost o těchto osobních údajích a technických a organizačních opatřeních k zabezpečení ochrany osobních údajů.
- b) Zpracovatel přijme veškerá opatření nezbytná k ochraně práv a soukromí subjektů údajů, zejména aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněnému přenosu nebo k jinému neoprávněnému zpracování nebo zneužití osobních údajů.
- c) V souladu s platnými právními předpisy Zpracovatel:
- zabrání neoprávněným osobám přistupovat k osobním údajům a k prostředkům pro jejich zpracování;
- zabrání neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících osobní údaje;
- přijme opatření, která umožní určit a ověřit, komu byly osobní údaje předány;
- přijme pokyny stanovující pravidla pro přístup a další zpracování osobních údajů.
- d) Dochází-li k automatizovanému zpracování osobních údajů, Zpracovatel:
- zajistí, aby systémy pro automatizovaná zpracování osobních údajů používaly pouze oprávněné osoby;
- zajistí, aby fyzické osoby oprávněné k používání systémů pro automatizovaná zpracování osobních údajů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby;
- bude pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány;
- zabrání neoprávněnému přístupu k datovým nosičům.
- e) V případě porušení zabezpečení nebo podezření na porušení zabezpečení Zpracovatel bez zbytečného odkladu, nejpozději však do dvaceti čtyř (24) hodin poté, kdy se o něm dozvěděl on, jeho zaměstnanci, spolupracovníci nebo smluvní partneři, ohlásí tuto skutečnost Správci a poskytne Správci dostatečně určitý popis daného případu porušení zabezpečení včetně přibližného rozsahu/množství a typu dat dotčených porušením zabezpečení, identity každé dotčené osoby, popisu možných důsledků porušení zabezpečení, popisu přijatých opatření a plánů nápravných opatření.
Technická a organizační opatření k zabezpečení ochrany osobních údajů:
- provoz platformy na samostatném virtuálním serveru
- denní zálohování dat
- šifrování hesel funkcí bcrypt
- přístup k serveru pomocí SSH a klíčů
- pravidelné aktualizace SW
- zabezpečený přístup do serverovny
- ochrana proti DDoS útokům
Prohlášení správce:
Správce prohlašuje, že zvážil veškeré profesní, technologické, organizační a osobní dovednosti a kompetence, aby zajistil bezpečnost zpracování osobních údajů Zpracovatelem za účelem uvedeným v těchto pravidlech.