Informace o zpracování osobních údajů obchodních partnerů a návštěvníků

I. Úvod

  1. Účelem tohoto dokumentu Informace o zpracování osobních údajů obchodních partnerů a návštěvníků správce (dále jen „zásady“) je podrobné vysvětlení podmínek zpracování osobních údajů, k němuž dochází ze strany Výstaviště České Budějovice a.s., se sídlem Husova tř. 523/30, České Budějovice 2, 370 05 České Budějovice; Doručovací číslo: PSČ 370 21, IČO: 608 27 475, zapsaná v obchodním rejstříku vedeném Krajským soudem v Českých Budějovicích, oddíl B, vložka 626 (dále jen „správce“) v případě obchodních partnerů, jejich zaměstnanců a jiných osob a návštěvníků provozoven a webových stránek správce.
  2. Správce určuje účel a prostředky zpracování osobních údajů.
  3. Správce v rámci své běžné podnikatelské činnosti zpracovává zpravidla osobní údaje obchodních partnerů nebo jejich zaměstnanců či zástupců, návštěvníků provozoven nebo jiných objektů, v jejichž rámci vykonává správce svoji obchodní činnost (dále také jen „partner“ či „subjekt“). Osobním údajem je jakákoliv informace týkající se určené nebo určitelné fyzické osoby, tj. subjektu údajů. Subjekt se považuje za určený nebo určitelný, jestliže lze subjekt přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu; osobním údajem je například jméno, příjmení, e-mail, mobilní telefon, adresa; osobním údajem může ve spojení s dalším osobním údajem být i údaj o nákupní preferenci (společně dále jen „osobní údaj“ či „údaj“).
  4. Osobní údaje subjektu jsou zpracovávány v souladu s těmito zásadami a právními předpisy v oblasti ochrany osobních údajů. Zpracováním osobních údajů je jakákoliv operace nebo soustava operací prováděná s osobními údaji automatizovaně nebo manuálně, prostředky výpočetní techniky i jinými prostředky, a to zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, uchovávání, třídění nebo kombinování, blokování a likvidace (dále jen „zpracování“).
  5. V případě, že subjekt kterémukoliv bodu nebo podmínce dle těchto zásad nerozumí, může se obrátit na správce na kontaktech uvedených níže.
  6. K ochraně poskytnutých osobních údajů přistupuje správce s vysokou pečlivostí. Osobní údaje jsou správcem zpracovávány transparentně a v souladu s příslušnou účinnou právní úpravou.
  7. Správce zásadně shromažďuje jen ty osobní údaje, které skutečně potřebuje ke stanovenému účelu. Správce vše činí tak, aby průběžně hodnotil zpracování ať již z hlediska náležitého zabezpečení, minimalizace osobních údajů, tak i z hlediska transparentnosti, korektnosti a zákonnosti. Správce dodržuje zásadu odpovědnosti, integrity, důvěrnosti, přesnosti a omezení uložení.
  8. Správce je oprávněn v případě potřeby zásady změnit.
  9. Informace týkající se zpracování osobních údajů zákazníků a zaměstnanců správce jsou podrobně upraveny v jiných dokumentech.

II. Kontaktní údaje správce

  1. Kontaktní údaje správce jsou následující:
    1. vcb.cz
    2. +420 770 165 901 (volání je zpoplatněno dle ceníku příslušného operátora)
    3. info@vcb.cz
    4. Výstaviště České Budějovice a.s., Husova 523/30, 370 05 České Budějovice
    5. Datová schránka: h8ygze5

III. Účel zpracování osobních údajů

  1. Účelem zpracování osobních údajů je výkon běžné podnikatelské činnosti, včetně případného přímého marketingu tam, kde to připouští zákon a ochrana zdraví a majetku správce, jeho zaměstnanců, případně dalších osob.
  2. V rámci stanoveného účelu budou prováděny zejména následující operace (činnosti) zpracování vedoucí k danému účelu:
    1. sjednání a plnění příslušné smlouvy (např. nájemní, o spolupráci, o dílo apod.);
    2. zajištění a vymáhání závazků
    3. vedení obchodní komunikace;
    4. plnění zákonných či smluvních práv a povinností správce;
    5. evidence návštěv v provozovnách správce;
    6. provoz kamerového systému;
    7. zajištění podnikatelské agendy;
    8. vylepšování výrobků a služeb;
    9. obecný výzkum a analýzy;
    10. zajištění funkčnosti prvků (features) v rámci webových stránek, aplikací nebo služeb.

IV. Právní základ zpracování

  1. Právním základem zpracování je sjednání a plnění příslušné smlouvy, plnění zákonných povinností a oprávněný zájem spočívající v ochraně života a zdraví osob a majetku správce.
  2. Subjekt je oprávněn k podání námitky proti zpracování za účelem zjištění, zda oprávněné zájmy správce převažují nad oprávněnými důvody subjektu. V takovém případě bude zpracování osobních údajů omezeno na uložení nebo na určení, výkon nebo obhajobu právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu Evropské unie nebo některého členského státu.

V. Rozsah zpracovávaných osobních údajů

  1. Osobní údaje subjektu jsou zpracovávány v nezbytném rozsahu ke splnění daného účelu.
  2. Osobní údaje jsou správcem zpracovávány v rozsahu:
    1. identifikační a kontaktní údaje (zpravidla jméno, příjmení, zaměstnavatel, pracovní pozice, telefon, e-mailová adresa);
    2. údaje o proběhlých schůzkách a návštěvách subjektu v provozovnách správce;
    3. platební údaje a popisné údaje, včetně informací o platebních metodách a prostředcích (např. údaje o debetních či kreditních kartách);
    4. podoba a obrazové informace o chování a jednání zaznamenaných osob;
    5. přihlašovací údaje k účtu, včetně uživatelského jména a označení, pod kterým uživatel vystupuje na internetu, hesla a jedinečného uživatelského ID;
    6. historie nákupů;
    7. audiovizuální záznamy;
    8. osobní nastavení (preference) včetně nastavení v oblasti marketingu a používání cookies;
    9. informace ohledně sociálních sítí, včetně údajů o identitě/přihlašovacích údajů a jakýchkoliv informací z veřejně publikovaných příspěvků týkající se správce nebo vzájemné komunikace;
    10. identifikační číslo přístroje, přístup do sítě;
    11. cookies, adresa IP, odkazovací záhlaví, údaje identifikující internetový prohlížeč a jeho verze, jakož i webové „beacons and tags“
  3. Správce v rámci uvedených účelů nezpracovává zvláštní kategorie osobních údajů, jimiž jsou údaje vypovídající o rasovém nebo etnickém původu, politických názorech, členství v odborech, náboženském vyznání či filozofickém přesvědčení, zdravotním stavu, sexuálním životě či sexuální orientaci subjektu. Pokud některý z těchto údajů subjekt údajů v rámci komunikace se správcem poskytne, jedná se o nahodilé shromáždění těchto údajů, které nejsou následně zpracovávány.

VI. Doba zpracování osobních údajů

  1. Osobní údaje subjektu budou zpracovávány po dobu odpovídající účelu zpracování a příslušnému právnímu titulu.
  2. Doba uchování kamerového záznamu je nejvýše 30 dní v rámci časové smyčky. Záznam zachyceného incidentu je uchován po dobu nezbytnou pro projednání případu a pro právní ochranu.

VII. Způsob zpracování, zpracovatelé a příjemci

  1. Osobní údaje budou zpracovávány automatizovaným i manuálním způsobem vlastními zaměstnanci správce nebo osobami v postavení zpracovatelů, které správce zpracováním osobních údajů pověřil a s nimiž uzavřel příslušné smlouvy o zpracování osobních údajů (taková osoba dále jen „zpracovatel“). Zpracování bude prováděno rovněž prostředky výpočetní techniky.
  2. Při interakci s webovými stránkami a aplikacemi správce jsou údaje automaticky shromažďovány a sdíleny se správcem prostřednictvím technologických platforem, které daný zážitek poskytují. Například internetový prohlížeč či mobilní přístroj může sdílet určité údaje se správcem v rámci toho, jak tyto přístroje komunikují s webovými stránkami či aplikacemi.
  3. Při používání aplikací správce taktéž informuje o tom, že údaje shromažďuje a používá, v rámci standardních povolení v obchodech s aplikacemi, operačních systémech pro mobily i v rámci zážitku s aplikací. V případě potřeby je subjekt vyzván k udělení příslušného souhlasu.
  4. Webový prohlížeč či platforma mobilního přístroje zpravidla poskytuje další nástroje umožňující ovládat to, kdy prohlížeč či přístroj shromažďuje či sdílí konkrétní kategorie informací. Mobilní přístroj nebo internetový prohlížeč tak například může nabízet nástroje umožňující spravovat používání cookies či sdílení informací o poloze.
  5. Subjekt bere na vědomí, že správce využívá ke splnění daného účelu zpracovatele, kteří mají přístup k nezbytnému rozsahu osobních údajů subjektu pro splnění svého úkolu. Jedná se o zpracovatele zejména z následujících kategorií:
    1. osoby provádějící účetnictví, audit, právní služby;
    2. osoby poskytující IT služby;
    3. osoby zabývající se marketingem;
    4. osoby zabývající se zpracováním tištěných materiálů;
    5. osoby zabývající se vývojem a implementací podnikových systémů;
    6. osoby zabývající se vývojem webových a mobilních aplikací;
    7. osoby zabývající se on-line komunikací, včetně komunikace na sociálních sítích;
    8. osoby zabývající se zjišťováním zákaznické spokojenosti.
  6. Osobní údaje subjektu mohou být poskytnuty též dalším příjemcům, kteří se podílejí na činnosti správce, a to v rozsahu nezbytném pro naplnění příslušného účelu zpracování.
  7. Aktuální seznam příjemců, včetně zpracovatelů, si lze vyžádat na kontaktech správce uvedených v čl. II odst. 1 těchto zásad.
  8. Osobní údaje mohou být rovněž poskytnuty orgánům veřejné moci oprávněným získávat osobní údaje dle příslušných právních předpisů. Zpracování osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly ochrany údajů pro daný účel zpracování.

VIII. Webové stránky a cookies

  1. Při použití webových stránek správce dochází k přenosu a záznamu informací, které mohou zahrnovat osobní údaje.
  2. K sběru a záznamu informací jsou využívány technologie a postupy, jako jsou například tzv. cookies a pixelové tagy; které mohou zahrnovat (i) IP adresu; (ii) jedinečný identifikátor využívající „cookies“, informace o cookies a informace týkající se toho, zda přístroj disponuje softwarem potřebným pro přístup k určitým prvkům (features); (iii) jedinečný identifikátor přístroje a typu přístroje; (iv) doménu, typ prohlížeče a jazyk, (v) druh operačního systému a jeho nastavení; (vi) stát a časové pásmo; (vii) dříve navštívené webové stránky; (viii) informace o krocích na webových stránkách správce, jako například klikání, nákupy a označené preference; a (ix) čas přístupu a referenční adresy URL.
  3. Prostřednictvím webových stránek mohou shromažďovat informace také třetí strany, a to s využitím tzv. cookies, zásuvných modulů (plug-ins) a widgety (widgets) třetích stran. Tyto třetí strany shromažďují údaje přímo z internetového prohlížeče subjektu a jejich zpracování podléhá vlastním pravidlům třetích stran pro ochranu soukromí.
  4. Cookies a pixelové tagy používá správce ke sledování používání webových stránek, a k vyhodnocení a analýze preferencí zákazníků (například volba státu a jazyka). Cookies a pixelové tagy jsou používány rovněž k získání souhrnných údajů o provozu na stránkách a jejich komunikaci, ke zjištění trendů a získání statistických údajů s cílem dále zlepšovat webové stránky správce.

IX. Cookies

  1. Na webových stránkách správce jsou používány v zásadě následující tři kategorie souborů cookies:
  2. Funkční: Tyto soubory cookies jsou vyžadovány pro základní fungování stránek, a proto jsou vždy zapnuté; patří k nim cookies, které umožňují v průběhu procházení webových stránek správce si zapamatovat subjekt již během jediné návštěvy, nebo – v souladu s nastavením – při každé návštěvě. Pomáhají vytvořit obsah nákupního košíku a projít procesem zaplacení a také napomáhají v zabezpečení a při plnění požadavků stanovených právními předpisy.
  3. Zlepšující fungování: Tyto soubory cookies umožňují zlepšovat funkcionalitu webových stránek správce tím, že sledují jejich používání. V některých případech tyto cookies zlepšují rychlost odezvy na požadavky subjektu a umožňují zapamatovat si volby subjektu vybrané pro dané stránky. Odmítnutí těchto cookies může to vést k tomu, že doporučení nebudou přesná a chod stránek se zpomalí.
  4. Sociální média a reklama: Cookies pro sociální média nabízejí možnost propojit subjekt se sociálními sítěmi a sdílet na nich obsah z webových stránek správce. Cookies pro reklamu (cookies třetích stran) shromažďují informace napomáhající lépe přizpůsobovat reklamu zájmům subjektu, a to na webových stránkách správce i mimo ně. V některých případech je součástí těchto cookies i zpracování osobních údajů subjektu. Odmítnutí těchto cookies může mít za následek zobrazení reklamy, která pro subjekt nebude tolik relevantní nebo nemožnost účinně se propojit s účty na Facebooku, Twitteru či jiných sociálních sítích nebo neumožnění sdílení obsahu na sociálních médiích.
  5. Ke změně preferencí souvisejících s cookies slouží část nazvaná „Nastavení souborů cookies“ nacházející se ve spodní části každé z webových stránek správce.

X. Uplatnění práv

  1. Veškeré dotazy, poznámky či žádosti týkající se zpracování osobních údajů, a to včetně vznesení námitky proti zpracování osobních údajů, může subjekt směřovat na kontakty správce uvedené v čl. II odst. 1 těchto zásad.
  2. Žádost, dotaz, námitky, uplatnění práva, požadavek na přístup či jiný požadavek subjektu bude po přijetí správcem zpracován bez zbytečného odkladu, v odůvodněných případech nejdéle do 1 měsíce. Tuto lhůtu je možné v případě potřeby a s ohledem na složitost a počet žádostí prodloužit o další 2 měsíce.
  3. V případě potřeby mohou být při vyřizování požadavků dle tohoto článku VIII. zásad ze strany správce vyžadovány dodatečné informace pro přiřazení osoby ke konkrétnímu subjektu. V odůvodněných případech, pro ochranu práv subjektů, může být požadována kontrola/ověření identifikace osoby žadatele.
  4. Orgánem dozoru pro zpracování osobních údajů je Úřad pro ochranu osobních údajů, jehož kontaktní údaje jsou uvedeny na www.uoou.cz. Subjekt je oprávněn podat stížnost k orgánu dozoru.

XI. Podrobné poučení o právech

  1. Právo na přístup

Subjekt má právo získat od správce potvrzení, zda jsou jeho osobní údaje zpracovávány, a pokud ano, má právo požadovat informaci o účelu, kategoriích, zdroji, příjemcích, době zpracování, existenci práva na opravu, výmaz, omezení, námitky a podání stížnosti u dozorového úřadu.

Správce má nastavena opatření, aby každému subjektu poskytl veškeré informace a sdělení o zpracování. Správce informace poskytne elektronicky, popřípadě písemně.

Správce neodmítne vyhovět žádosti subjektu při výkonu práv subjektu, ledaže nemůže věrohodně zjistit totožnost subjektu údajů, k němuž se dotčené údaje vztahují.

Veškeré informace, sdělení a úkony jsou udělovány bezplatně. Pokud jsou žádosti podané subjektem vyhodnocené jako zjevně nedůvodné nebo nepřiměřené, a zejména pokud se opakují, může správce buď: (i) uložit přiměřený poplatek zohledňující administrativní náklady spojené s poskytnutím požadovaných informací, sdělení nebo s učiněním požadovaných úkonů, nebo (ii) odmítnout žádosti vyhovět.

Pokud má správce důvodné pochybnosti o totožnosti fyzické osoby, která podává žádost, může požádat o poskytnutí dodatečných informací nezbytných k potvrzení subjektu.

  1. Právo na opravu

Subjekt má právo na to, aby správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se subjektu týkají.

S přihlédnutím k účelům zpracování má subjekt také právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení.

  1. Právo na výmaz („právo být zapomenut“)

Subjekt má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se subjektu týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z těchto důvodů:

  1. osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;
  2. subjekt odvolá souhlas, na jehož základě byly údaje zpracovávány, a neexistuje žádný další právní důvod pro zpracování;
  3. subjekt vznese námitky proti zpracování (podle níže uvedeného „Práva vznést námitku“) a neexistují žádné převažující oprávněné důvody pro zpracování;
  4. osobní údaje byly zpracovány protiprávně;
  5. osobní údaje musí být vymazány ke splnění právní povinnosti stanovené v právu Evropské unie nebo členského státu, které se na správce vztahuje;
  6. osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti v případě osoby mladší 16 let, u níž musí ke zpracování dle účinné právní úpravy dát souhlas osoba vykonávající rodičovskou zodpovědnost.

Výše uvedené se neuplatní, pokud je zpracování nezbytné:

  1. pro výkon práva na svobodu projevu a informace;
  2. pro splnění právní povinnosti, jež vyžaduje zpracování podle právních předpisů, nebo pro splnění úkolu provedeného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen;
  3. z důvodů veřejného zájmu v oblasti veřejného zdraví;
  4. pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu či pro statistické účely, pokud je pravděpodobné, že by výše uvedené právo znemožnilo nebo vážně ohrozilo splnění cílů uvedeného zpracování;
  5. pro určení, výkon nebo obhajobu právních nároků.
  1. Právo na omezení zpracování

Subjekt má právo na to, aby správce omezil zpracování, v kterémkoli z těchto případů:

  1. pokud subjekt popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů ověřit;
  2. zpracování je protiprávní a subjekt odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití;
  3. správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt je požaduje pro určení, výkon nebo obhajobu právních nároků;
  4. pokud subjekt vznesl námitku proti zpracování, dokud nebude ověřeno, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu.

Pokud bylo zpracování omezeno dle výše uvedeného „Práva na omezení zpracování“, mohou být tyto osobní údaje, s výjimkou jejich uložení, zpracovány pouze se souhlasem subjektu, nebo z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu Evropské unie nebo některého členského státu.

  1. Právo na přenositelnost údajů

Subjekt má právo získat osobní údaje, které se jej týkají, které sdělil správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil, a to v případě, že:

  1. zpracování je založeno na souhlasu nebo na smlouvě; nebo
  2. zpracování se provádí automatizovaně.

Předmětem „Práva na přenositelnost“ nejsou data získaná činností správce.

Při výkonu svého práva na přenositelnost údajů má subjekt právo na to, aby osobní údaje byly předány přímo správcem správci druhému, je-li to technicky proveditelné.

Výkonem výše uvedeného „Práva na přenositelnost údajů“ není dotčeno výše uvedené „Právo na výmaz“.

Výše uvedeným „Právem na přenositelnost údajů“ nesmí být nepříznivě dotčena práva a svobody jiných osob.

  1. Právo vznést námitku

Z důvodů týkajících se konkrétní situace subjektu, má subjekt právo kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají a které jsou zpracovávány na základě právního důvodu spočívajícím v oprávněném zájmu správce.

Pokud jsou osobní údaje zpracovávány pro účely obrany proti nárokům subjektu, vymáhání pohledávek správce, k doložení souladu při provádění kontroly ze strany orgánu dozoru, má subjekt právo vznést kdykoliv námitku. Správce na základě této námitky přezkoumá zpracování a osobní údaje dále nezpracovává, pokud nebudou existovat závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.

  1. Automatizované individuální rozhodování, včetně profilování

Subjekt má právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro subjekt právní účinky nebo se jej obdobným způsobem významně dotýká.

Správce nezakládá žádná ze svých rozhodnutí při provozování klientské linky výhradně na automatizovaném zpracování a profilování, které je správcem prováděno, nemá pro subjekt právní účinky, ani se jej významně nedotýká.

Žádost, dotaz, námitky, uplatnění práva, požadavek na přístup či jiný požadavek subjektu bude po přijetí správcem zpracován bez zbytečného odkladu, v odůvodněných případech nejdéle do 1 měsíce. Tuto lhůtu je možné v případě potřeby a s ohledem na složitost a počet žádostí prodloužit o další 2 měsíce.