Zásady ochrany osobních údajů

Verze dokumentu: ZOOU-DRAFT-0.1 · Platnost od: [datum]

1. Správce

Správce osobních údajů: [název / jméno, sídlo, IČO]. Kontakt pro žádosti subjektů údajů: verca@esenciaviva.cz [případně pověřenec pro ochranu osobních údajů].

2. Rozsah těchto zásad

Tyto zásady popisují zpracování osobních údajů v souvislosti s:

• návštěvou webu a volbami ohledně cookies (viz Zásady cookies);
• objednávkou zboží včetně nákupu bez účtu (host checkout);
• volitelným uživatelským účtem a volitelným přihlášením (např. přes Google OAuth), pokud bude zprovozněno;
• platebními transakcemi prostřednictvím platebního poskytovatele (např. Stripe);
• věrnostním programem, pokud bude nabízen — viz samostatné podmínky programu;
• samostatným souhlasem s obchodními sděleními (newsletter / marketing), pokud jej nabízíte.

3. Oddělení „e-shop“ a citlivějšího kontextu péče

Provozovatel může nabízet i služby s osobním nebo zdravotním kontextem (např. terapeutické nebo vzdělávací aktivity). Údaje nutné k provedení běžné objednávky zboží (doručovací údaje, e-mail, historie plateb u konkrétní objednávky) neslouží jako místo pro ukládání zdravotních poznámek, diagnóz ani intimních terapeutických detailů.

Pokud bude zpracování zvláštních kategorií osobních údajů podle čl. 9 GDPR relevantní, vyžaduje se zvlášť definovaný účel, právní základ a dokumentace — toto musí doplnit advokát. Tyto zásady se primárně vztahují na běžný provoz e-commerce a účtu.

4. Kategorie osobních údajů

Typicky: identifikační a kontaktní údaje, doručovací a fakturační údaje, údaje o objednávkách a platbách, technické údaje (logy, IP v omezeném rozsahu), údaje o účtu a přihlášení, záznamy o souhlasu a jeho verzi (sladění s databázovým polem consent_type / version).

5. Právní základy zpracování (GDPR)

• Plnění smlouvy — vyřízení objednávky, doručení, reklamace.
• Oprávněný zájem — např. bezpečnost, zjednodušení sporů, omezené logování; vždy s testem proporcionality (doplní advokát).
• Právní povinnost — např. účetní a daňové doklady.
• Souhlas — marketingové komunikace a nepovinné analytické cookies; souhlas lze kdykoli odvolat. Souhlas s marketingem není podmínkou nákupu ani založení účtu.

6. Příjemci a zpracovatelé

Osobní údaje mohou být předány zpracovatelům podle pokynů správce, například:

• poskytovateli platebních služeb [např. Stripe Payments Europe Ltd. — doplnit aktuální subjekty a odkazy na jejich zásady];
• poskytovateli hostingu / infrastruktury [např. Vercel Inc.];
• poskytovateli e-mailové komunikace [doplnit];
• dopravcům [doplnit].

Seznam zpracovatelů a účelů udržujte aktuální; tato sekce je místem pro verzi dokumentu po každé změně dodavatele.

7. Předání do třetích zemí

Pokud zpracovatel zpracovává údaje mimo EHP, uveďte právní základ předání (např. rozhodnutí o odpovídající úrovni ochrany, standardní smluvní doložky) — doplní advokát podle skutečných smluv.

8. Doba uchovávání

Objednávky a účetní doklady po dobu stanovenou zákonem. Údaje účtu do zrušení účtu nebo nečinnosti podle pravidel [doplnit lhůty]. Marketingové údaje do odvolání souhlasu a případně krátce pro prokázání souhlasu. Logy bezpečnostní — [doplnit].

9. Práva subjektů údajů

Máte právo na přístup, opravu, výmaz (v mezích zákona), omezení zpracování, přenositelnost (kde aplikovatelné), námitku vůči zpracování z oprávněného zájmu a právo podat stížnost u Úřadu pro ochranu osobních údajů (uoou.cz).

10. Profilování a automatizované rozhodování

[Uveďte, zda provádíte profilování s právními účinky — jinak: neprovádíme, pokud je to pravda.]

11. Zabezpečení

Provozovatel uplatňuje vhodná technická a organizační opatření (šifrování v přenosu, omezení přístupů, tajné klíče mimo klientský kód). Podrobnosti neuvádíme veřejně tak, aby neoslabily bezpečnost.