Ochrana osobních údajů

1. Totožnost a kontaktní údaje správce 
1.1. Správcem Vašich osobních údajů je společnost: BOOKNET s.r.o., se sídlem Smetanovo náměstí 222/8, 702 00 Moravská Ostrava, IČ: 25685449, DIČ: CZ699002903, zapsána v obchodním rejstříku vedeném Krajským soudem v Ostravě, oddíl C, vložka 28268 (dále jen „správce“).
1.2. Kontaktní údaje jsou: adresa pro doručování: GDPR, Smetanovo náměstí 222/8, 702 00 Ostrava, e-mail: gdpr@kzb.cz, telefon: 597 490 496. 
1.3. Správce nejmenoval Pověřence pro ochranu osobních údajů.
 
2. Zákonný důvod zpracování osobních údajů 
2.1. Tyto podmínky ochrany osobních údajů se vztahují na veškeré Vaše nákupy zboží prostřednictvím e-shopu provozovaného na webovém portále www.KNIHY-ZA-BABKU.cz
2.2. Osobní údaje jsou všechny údaje, které se vztahují k Vaší osobě. Patří k nim Vaše jméno, Vaše e-mailová adresa, telefonní číslo nebo Vaše uživatelské jednání při prohlížení či nákupu zboží v našem e-shopu a v případech Vámi uděleného souhlasu i další osobní údaje jako např. datum narození.  
2.3. Správce zpracovává Vaše osobní údaje podle čl. 4 bod 7) nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen: “GDPR”).  
2.4. Zákonným důvodem pro zpracování osobních údajů je plnění smlouvy nebo provedení opatření správcem před uzavřením takové smlouvy dle čl. 6 odst. 1 písm. b) GDPR, jakož i plnění právní povinnosti správce dle čl. 6 odst. 1 písm. c) GDPR. 
 
3. Účel zpracování osobních údajů 
3.1. Účelem zpracování Vašich osobních údajů je vyřízení objednávky, jakož i řádný výkon práv a povinností vyplývajících ze smluvního vztahu mezi správcem a Vámi, včetně dodání zboží na Vámi určenou adresu. Účelem zpracování osobních údajů je dále zasílání obchodních sdělení a provádění dalších cílených aktivit pro zvyšování Vašeho uživatelského komfortu, zahrnující kromě jiného individualizaci nabídky produktů a služeb, zařazení zákazníka do segmentu, cílení reklamy, oslovení za účelem získání zpětné vazby. 
3.2. Správce používá v rámci zvyšování kvality svých služeb, personalizace nabídky a reklam, analýzy návštěvnosti a pro analytické účely tzv. soubory cookies. Zatržením checkboxu na webových stránkách správce ve znění „Souhlasím s podmínkami ochrany osobních údajů.“, projevujete svůj souhlas s užitím této technologie, jež je blíže popsána zde

4. Zpracování osobních údajů 
4.1. Osobní údaje, které může správce zpracovávat i bez souhlasu klienta k zajištění prodeje produktu: 
- osobní údaje sloužící k identifikaci klienta (jméno, příjmení), které správce potřebuje k poskytnutí služby (prodej produktu); 
- kontaktní údaje – osobní údaje umožňující kontakt správce a doručitele zboží se zákazníkem (zákazníkem uvedená kontaktní adresa, číslo telefonu, e-mailová adresa); 
Poskytnutí těchto Vašich osobních údajů je podmínkou pro vytvoření objednávky, jakož i nutným předpokladem pro uzavření a řádné plnění smlouvy. 
- objednávky, záznamy e-mailové komunikace se zákazníkem.  
Poskytnutí těchto Vašich osobních údajů je podmínkou pro řešení případných reklamací či jiných Vašich nároků z titulu odpovědnosti za vady dodaného výrobku.  
Zákonným důvodem pro zpracování těchto osobních údajů je plnění smlouvy nebo provedení opatření správcem před uzavřením takové smlouvy dle čl. 6 odst. 1 písm. b) GDPR, jakož i plnění právní povinnosti správce dle čl. 6 odst. 1 písm. c) GDPR. 
4.2. Osobní údaje, které může správce zpracovávat se souhlasem klienta: 
4.2.1. Chcete-li se zaregistrovat a mít svůj uživatelský účet, musíte se zaregistrovat prostřednictvím vašeho jména, příjmení, poštovní adresy, telefonního čísla, své e-mailové adresy a Vámi zvoleného hesla. Pro jednoznačnou identifikaci Vaší osoby a Vaši bezpečnost vyžadujeme dvojité ověření, kdy k dokončení Vaší registrace dojde teprve poté, kdy tuto registraci potvrdíte odsouhlasením v potvrzovacím e-mailu, který Vám zašleme. V případě, že Vaši registraci nepotvrdíte nejpozději do 5 dnů, tuto vymažeme z naší databáze.  Dále touto registrací získáváte možnost přednastavení Vašich přístupových údajů, které již nebudete muset vždy znovu vyplňovat, dále být informován o stavu Vašeho konta, stavu vyřizování Vaší objednávky, o aktuálních nabídkách a spotřebitelských soutěžích, našich produktech a službách a budete mít přístup do archivu svých objednávek.  
4.2.2. S ohledem na smluvní charakter vztahů mezi správcem a zákazníkem je poskytnutí těchto Vašich osobních údajů zcela dobrovolné. Vaše osobní údaje uvedené v tomto odstavci nejste povinen správci poskytnout a tyto nejsou podmínkou pro vytvoření objednávky s výjimkou osobních údajů nutných pro doručení zboží. Jejich poskytnutí je předpokladem pro řádné plnění smlouvy a nutným předpokladem pro spravování Vašeho uživatelského účtu.  
4.2.3. Zákonným důvodem pro zpracovaná osobních údajů dle tohoto odstavce je udělení Vašeho souhlasu s tímto zpracováním dle čl. 6 odst. 1 písm. a) GDPR.
4.2.4. Mezi osobní údaje zpracovávané podle této části patří nad rámec údajů uvedených v čl. 5.1.:  
- historie nákupu a procházení našich webových stránek – tyto údaje zpracováváme z důvodu, abychom Vám poskytli individualizovanou nabídku našeho zboží, abychom Vás mohli zařadit do příslušného zákaznického segmentu a mohli tak lépe cílit reklamu našeho zboží dle Vašich zájmů a preferencí; 
- datum narození - Vaše datum narození zpracováváme z důvodu, abychom Vám mohli zaslat blahopřání k narozeninám, případně informaci o speciálních nabídkách a akcích souvisejících s Vašimi narozeninami;
- e-mailová adresa, jenž může být předána za účelem zaslání dotazníku spokojenosti provozovateli internetových stránek www.heureka.cz, společnosti Heureka Shopping s.r.o., Karolínská 650/1, 186 00 Praha 8 - Karlín, Česká republika, C 218977 vedená u městského soudu v Praz, IČ - 02387727.
4.2.5. Takto udělený souhlas můžete kdykoli písemně odvolat jednou z forem uvedených v čl. 10 těchto Podmínek.  
4.3. Ze strany Poskytovatele nedochází k automatickému individuálnímu rozhodování ve smyslu č. 22 GDPR. 

5. Zdroj osobních údajů  
5.1. Správce získává Vaše osobní údaje přímo od Vás jako zákazníka při poskytnutí služby (zákazník poskytuje osobní údaje, které správce potřebuje pro dodávku objednaného zboží) nebo v souvislosti s registrací, případně v rámci další komunikace, ať už osobní, telefonické, písemné či jiné.  
 
6. Doba uložení osobních údajů 
6.1. Vaše osobní údaje nezbytné pro vytvoření objednávky budou zpracovávány po dobu trvání účinků práv a povinností ze smlouvy, a dále po dobu nutnou pro účely archivování, jakož i zachování všech nároků z příslušného smluvního vztahu v rozsahu dle příslušných obecně závazných právních předpisů, nejdéle však po dobu 10 let. Po uplynutí těchto lhůt budou Vaše osobní údaje vymazány. Ostatní osobní údaje (e-mail, telefon, datum narození, pokud jej vyplníte, pohlaví, pokud jej vyplníte, historie komunikace) budou uchovávány po dobu 3 let od vašeho posledního nákupu.  
 
7. Zajištění ochrany osobních údajů 
7.1. Správce používá moderní bezpečnostní technologie zajišťující maximální možnou ochranu zpracovávaných osobních údajů před neoprávněným přístupem nebo přenosem, před jejich ztrátou nebo zničením, jakož i před jiným možným zneužitím. Veškeré osoby, které s vašimi osobními údaji přicházejí do styku v rámci plnění svých pracovních či smluvně převzatých povinností, jsou vázány smluvní povinností mlčenlivosti.  
7.2. Infrastruktura aplikace – aplikace je provozována v privátním cloudu u externích poskytovatelů. Servery jsou umístěny v datových centrech v rámci EU. Pro provoz je využívána virtualizační infrastruktura s aktivními bezpečnostními prvky. Provoz systému zajišťuje a funkcionalitu uživatelům poskytuje společnost BRAINEST s. r. o.  
7.3. Ochrana uživatelských dat – komunikace s aplikací je zajištěna pomocí šifrovaného spojení. Produkční prostředí je zcela odděleno od vývojového (testovacího) prostředí a vzájemně mezi sebou nesdílí uživatelská data. Přístup k produkčním systémům (údržba, aktualizace apod.) je striktně omezen na formálně definovanou skupinu pověřených osob. Klíčové aktivity na produkčních systémech jsou monitorovány a logovány. Ochrana uživatelských dat je zajištěna v souladu s EU legislativou (GDPR). 
7.4. Komunikace s aplikací je zajištěna pomocí zabezpečeného šifrovaného spojení (protokol HTTPS). Klientské relace jsou rozlišeny pomocí mechanismu cookies. 
7.5. Autentizace – v případě neregistrovaného uživatele není autentizace vyžadována. Pro autentizaci registrovaného uživatele je využíván jednofaktorový autentizační mechanismus form-based (uživatelské jméno a heslo). Uživatelské účty jsou individuální. Hesla jsou v aplikaci ukládána výhradně jako tzv. hash (otisky) s využitím mechanismu SHA. Čitelná podoba hesla není nikdy ukládána a kontroluje se pouze v okamžiku autentizace uživatele.  
7.6. Zálohování systému a dat – zálohování probíhá v pravidelných intervalech dle definovaného zálohovacího plánu. Veškerá zálohovaná uživatelská data jsou šifrována. Přístup k zálohám má pouze úzká oblast formálně definovaných osob.  
7.7. Vývoj a testování systému je plně odděleno (fyzicky i síťově) od produkčního prostředí. Vývojové a produkční prostředí vzájemně mezi sebou nesdílí uživatelská data. Přístupová oprávnění do vývojového prostředí jsou odlišná od produkčního prostředí. Skupina autorizovaných osob do obou systémů je formálně definována.  
7.8. Auditovací záznamy jsou pořizovány z definovaných, podstatných aktivit uživatelů aplikace. Logování je rozděleno do několika části – historie aktivit, aplikační log, systémový log. Záznamy jsou uchovávány po dobu specifikovanou pro každou část zvlášť. 
- Historie aktivit – informace o aktivitách uživatelů při využívání aplikace. Každý záznam obsahuje informaci o přesném čase provedení, id uživatele, IP adresu uživatele, typu prohlížeče (user agent). 
- Aplikační log – informace k vyhodnocování kondice aplikace. Každý záznam obsahuje informaci o přesném čase provedení, IP adresu. 
- Systémový log – informace k měření výkonnosti, požadavky uživatelů (http request), aplikační chyby. 
 
8. Zpřístupnění osobních údajů jiným osobám 
8.1. Správce prohlašuje, že Vaše osobní údaje považuje za důvěrné, tyto bude používat pouze pro účely stanovené těmito Podmínkami a obecně závaznými právními předpisy, přičemž tyto nebude zveřejňovat či poskytovat třetí osobě, s výjimkou osob souvisejících s prezentací zboží, jeho distribucí, platebním stykem a zjišťováním Vaší spokojenosti ve vztahu k realizaci objednávky zboží v rámci holdingu PEMIC BOOKS, a.s., IČ: 25899881, jehož je BOOKNET nedílnou součástí.  
8.2. Správce pro svoji obchodní činnost používá partnery zodpovídající zejména za řádné fungování e-shopu, za dodávku zboží zákazníkům, jakož i za bezpečné platby za dodané zboží. Těmto partnerům může správce za účelem řádného plnění povinností vůči Vám jako zákazníkovi Vaše osobní údaje zpřístupňovat. Všichni zpracovatelé jsou zavázání k dodržování platných předpisů o ochraně osobních údajů a budou mít přístup k Vašim osobním údajům pouze v takovém rozsahu a na takové časové období, které je potřebné pro poskytnutí příslušné služby. S těmito partnery správce uzavřel smlouvu o zpracování osobních údajů. Aktuálně využíváme následující partnery:  
 
- Poskytovatel IT služeb: BRAINEST s.r.o., Smetanovo náměstí 222/8, Moravská Ostrava, 702 00 Ostrava, Česká republika, IČ: 28616839;
- Poskytovatel datového úložiště: KVADOS, a. s., Pivovarská 4/10, 702 00 Ostrava 1, Česká republika, IČ: 25826654;  
- Externí přepravní společnosti: Česká pošta, s.p., IČ: 47114983.

9. Přístup zákazníka ke svým osobním údajům 
9.1. Informaci o tom, jaké osobní údaje o klientovi správce zpracovává, si klient může ověřit na registračním formuláři Můj účet – osobní údaje.   
 
10. Práva zákazníka 
10. 1. Máte právo požadovat od správce přístup ke svým osobním údajům dle čl. 15 GDPR, opravu osobních údajů dle čl. 16 GDPR, popřípadě omezení zpracování dle čl. 18 GDPR. Dále máte právo na výmaz osobních údajů dle čl. 17 odst. 1 písm. a), a c) až f) GDPR a právo vznést námitku proti zpracování dle čl. 21 GDPR, jakož i právo na přenositelnost údajů dle čl. 20 GDPR. Máte možnost se obrátit na zákaznickou linku správce na telefonním čísle 597 490 496, kde mu budou informace, jak může uplatnit své případné dotazy nebo námitky na zpracování osobních údajů.  
10.2. Uplatnit případné námitky proti zpracování osobních údajů, odvolat udělený souhlas či změnit jeho rozsah lze některým z následujících způsobů: 
- e-mailovou zprávou na: gdpr@kzb.cz;  
- písemnou doporučenou žádostí podanou na adresu: BOOKNET s.r.o., se sídlem Smetanovo náměstí 222/8, 702 00 Moravská Ostrava; 
- prostřednictvím formuláře „Dotaz na os. údaje";
10.3. Pokud se domníváte, že zpracováním Vašich osobních údajů bylo zasaženo do Vašich práv, máte možnost obrátit se na dozorový úřad, kterým je Úřad pro ochranu osobních údajů.  
 
11. Závěrečná ujednání 
11.1. Tyto podmínky pozbývají platnosti uplynutím doby uvedené v čl. 6.1. těchto Podmínek.   
11.2. Zatržením checkboxu „Souhlasím s podmínkami ochrany osobních údajů.“ na webových stránkách správce uživatel svobodně a dobrovolně potvrzuje, že si tyto Podmínky přečetl, že těmto Podmínkám porozuměl, že s těmito v celém rozsahu souhlasí, a že je v celém rozsahu akceptuje.  
11.3. Správce je oprávněn tyto podmínky změnit. Správce je povinen bez zbytečného odkladu zveřejnit novou verzi podmínek na svých internetových stránkách. 
11.4. Vztahy těmito podmínkami výslovně neupravené se řídí GDPR a právním řádem České republiky, zejména zákonem č. 89/2012 Sb., občanský zákoník, v platném znění.  
11.5. Tyto podmínky nabývají účinnosti dnem 25.5. 2018.