INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ SPOLEČNOSTÍ PENTEREP SECURITY S.R.O.
1. SPRÁVCE OSOBNÍCH ÚDAJŮ
Správcem osobních údajů podle čl. 4 bod 7 nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „GDPR”) je společnost Penterep Security s.r.o., IČO: 17749433, se sídlem Ševčenkova 570/4, Brno-Bosonohy, PSČ 783 46, Česká republika, zapsaná v obchodním rejstříku vedeném u Krajského soudu v Brně, oddíl C, vložka 131321 (dále jen „Penterep Security“ nebo „my“).
Společnost Penterep Security zpracovává osobní údaje uživatelů („Uživatel“ nebo „Vy“) na webových stránkách www.penterep.com (dále jen „Webové stránky“), na kterých jsou vytvářeny Uživatelské účty a nabízeny služby Poskytovatele. Na webových stránkách penterep.online (dále jen „Aplikace“) vytváří a spravují databázi osobních údajů výhradně Uživatelé. Poskytovatel k těmto údajům nepřistupuje a žádným způsobem je nezpracovává.
Osobními údaji se rozumí veškeré informace o identifikované nebo identifikovatelné fyzické osobě; identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
Kontaktní údaje společnosti Penterep Security jsou:
- doručovací adresa: Ševčenkova 570/4, Brno-Bosonohy, PSČ 783 46, Česká republika
- e-mail: info@penterep.com
Společnost Penterep Security nejmenovala pověřence pro ochranu osobních údajů.
2. KATEGORIE ZPRACOVÁVANÝCH OSOBNÍCH ÚDAJŮ
Společnost Penterep Security získává osobní údaje Uživatelů či návštěvníků Webových stránek, obchodních partnerů a dalších fyzických osob z následujících zdrojů:
- osobní údaje poskytne přímo fyzická osoba při vytvoření Uživatelského účtu;
- osobní údaje poskytne jiný Uživatel pro účely vytvoření pozvánky k účasti na projektu; Uživatel může prostřednictvím Platformy pozvat do projektu dalšího neregistrovaného uživatele prostřednictvím jeho e-mailové adresy;
- od třetích stran, pokud jste s tím vyslovili souhlas (např. polohové údaje z Vašeho internetového prohlížeče).
Společnost Penterep Security zpracovává osobní údaje u následujících kategorií osob:
- registrovaní Uživatelé (tj. klienti) Webových stránek
- e-maily pozvaných a dosud neregistrovaných uživatelů
- dodavatelé zboží a služeb
- osoby odebírající newsletter
- vlastní zaměstnanci.
Společnost Penterep Security zpracovává Vaše identifikační a kontaktní údaje a údaje nezbytné pro plnění smlouvy (vytvoření Uživatelského účtu a poskytování služeb spočívajících v možnosti provádění penetračních testů prostřednictvím Aplikace, kterou provozuje na Webových stránkách). Výčet údajů, který dále uvádíme, neznamená, že o každém zákazníkovi společnost Penterep Security zpracovává údaje v plném rozsahu. Jde pouze o splnění informační povinnosti, s tím, že rozsah údajů je vždy ke konkrétnímu zákazníkovi individualizován, s výjimkou údajů, které společnosti Penterep Security ukládá zpracovávat zákon. Zároveň pro úplnost uvádíme i údaje vztahující se pouze k právnickým osobám, které však nejsou osobními údaji ve smyslu předpisů na ochranu osobních údajů. Ochranu podle platné právní úpravy ochrany osobních údajů mají pouze osobní údaje fyzických osob.
Společnost Penterep Security nezpracovává žádné osobní údaje, které tvoří Uživatelský obsah, tj. osobní údaje, jež Uživatelé shromažďují, vkládají, nahrávají nebo ukládají na Webových stránkách a/nebo v Aplikaci a které spravují v rámci svého Uživatelského účtu. Společnost Penterep Security nemá žádný přístup k Uživatelskému obsahu, pokud je Aplikace provozována na serverech Uživatele. Uživatelský obsah uchovávaný v cloudu na serverech společnosti Penterep Security je ukládán v zašifrované databázi a společnost Penterep Security k tomuto obsahu nepřistupuje ani jej žádným způsobem nevyužívá pro vlastní potřebu.
Zpracováváme následující osobní údaje:
- jméno a příjmení / název obchodní společnosti
- e-mailová adresa
- místo trvalého pobytu / sídlo společnosti
- korespondenční adresa, liší-li se od místa trvalého pobytu
- IČO / DIČ
- telefonní číslo pouze za předpokladu, že bylo ze strany Uživatele dobrovolně poskytnuto
- číslo bankovního účtu
- informace o odebíraných službách
- informace o provedených platbách
- IP adresa a logy (tj. data a časy provedených akcí)
- jazykové preference
- profilová fotografie, pokud ji Uživatel dobrovolně do Uživatelského účtu nahrál
- pohlaví.
3. ZÁKONNÝ DŮVOD A ÚČEL ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
Existuje několik zákonných důvodů, pro které společnost Penterep Security zpracovává Vaše osobní údaje:
- plnění smlouvy mezi Vámi a naší společností jako správcem podle čl. 6 odst. 1 písm. b) GDPR;
- plnění právní povinnosti správce podle čl. 6 odst. 1 písm. c) GDPR, zejména:
- plnění našich daňových povinností podle zákona č. 235/2004 Sb. o dani z přidané hodnoty;
- plnění povinností podle zákona č. 563/1991 Sb., o účetnictví;
- oprávněný zájem naší společnosti jako správce na poskytování přímého marketingu (zejména pro zasílání obchodních sdělení a newsletterů) podle čl. 6 odst. 1 písm. f) GDPR;
- Váš souhlas se zpracováním pro účely poskytování přímého marketingu (zejména pro zasílání obchodních sdělení a newsletterů) podle čl. 6 odst. 1 písm. a) GDPR ve spojení s § 7 odst. 2 zákona č. 480/2004 Sb., o některých službách informační společnosti v případě, že nedošlo k objednávce zboží nebo služby; pro účely přizpůsobení našich služeb Vašim potřebám (tj. zasílání cílených nabídek připravených „na míru“), můžete nám poskytnout souhlas se zpracováním Vašich provozních a lokalizačních údajů pro marketingové a obchodní účely.
Účelem zpracování osobních údajů je:
- poskytování služeb Webových stránek a Aplikace a plnění našich smluvních závazků; Vaše osobní údaje jsou nezbytné pro uzavření a plnění smlouvy jakož i poskytování našich služeb, ke zpracování plateb za poskytované služby apod;
- plnění našich zákonných povinností vůči orgánům státní správy; toto zahrnuje mj. zpracování Vašich osobních údajů nezbytných ke splnění povinnosti vedení účetnictví a poskytování informací příslušným úřadům, např. finanční správě apod.
- vyřizování reklamací;
- uplatňování našich práv a oprávněných zájmů prostřednictvím soudních řízení;
- prevence podvodů a zneužívání našich služeb;
- zajišťování bezpečnosti dat, systémů a sítě;
- komunikace se zákazníky a marketing; zpracováváme Vaše osobní údaje, abychom Vás mohli informovat o novinkách, vylepšení Webových stránek a/nebo Aplikace či námi poskytovaných služeb a dalších změnách.
Ze strany naší společnosti nedochází k automatickému individuálnímu rozhodování ve smyslu čl. 22 GDPR.
4. TŘETÍ STRANY
Jsme oprávněni sdílet Vaše osobní údaje s třetími stranami, pokud je přístup k těmto osobním údajům a jejich využívání nezbytné pro: (i) dodržení veškerých platných zákonů a právních předpisů anebo soudních rozhodnutí; (ii) zjišťování podvodů, trestných činů, bezpečnostních a technických problémů a jejich předcházení a řešení anebo (iii) ochranu zájmů, majetku a bezpečnosti naší společnosti, Uživatelů a veřejnosti, je-li to v souladu s právními předpisy.
Vaše osobní údaje sdílíme s oprávněnými subjekty, které nám poskytují služby, a to s vývojáři Aplikace, IT administrátory, externími účetními, externími systémy pro rozesílání e-mailových zpráv, s externími společnostmi, na jejichž serverech bude Aplikace hostována, s poskytovateli cloudových služeb, poskytovateli platebních služeb, s podnikateli poskytujícími odborné a konzultační služby (např. daňoví poradci, advokáti, soudní exekutoři, insolvenční správci), orgány veřejné moci (např. finanční úřad, soudy, orgány činné v trestním řízení), poskytovatelé poštovních a zásilkových služeb. Vaše osobní údaje sdělujeme třetím stranám v rozsahu, který je nezbytný pro poskytování služeb Webových stránek.
Společnost Penterep Security nepředává Vaše osobní údaje do třetích zemí (tj. do zemí mimo Evropskou unii) ani mezinárodním organizacím. Všichni příjemci osobních údajů zpracovávají Vaše osobní údaje v rámci Evropské unie.
5. DOBA UCHOVÁVÁNÍ ÚDAJŮ
Doba uchovávání osobních údajů závisí za na jejich povaze a účelu jejich zpracování. Maximální doba jejich uchovávání se proto může lišit dle účelu zpracování.
Většina osobních údajů Uživatele souvisejících s jeho Uživatelským účtem vytvořeným na Platformě bude anonymizována, nebo vymazána max. 1 rok poté, kdy Uživatel tento svůj účet zruší. E-mailové adresy dosud neregistrovaných uživatelů jsou v případě nevytvoření Uživatelského účtu zpracovávány pouze po dobu 30 dnů.
V ostatních případech společnost Penterep Security uchovává osobní údaje:
- po dobu nezbytnou k výkonu práv a povinností vyplývajících ze smluvního vztahu mezi Vámi a naší společností a k uplatňování nároků z těchto smluvních vztahů (nejméně po dobu 3 let a maximálně po dobu 10 let od ukončení smluvního vztahu);
- jsou-li osobní údaje zpracovávány na základě Vašeho souhlasu pro účely marketingu, zpracováváme do doby, než Váš souhlas odvoláte, nejdéle však po dobu 5 let.
6. VAŠE PRÁVA
Můžete kdykoli zkontrolovat nebo změnit informace ve svém Uživatelském účtu nebo svůj Uživatelský účet zrušit.
Za podmínek stanovených GDPR máte následující práva v souvislosti s Vašimi osobními údaji:
- právo na přístup ke svým osobním údajům dle čl. 15 GDPR - na základě uplatnění práva na přístup k osobním údajům Vám poskytneme informace, zda a jaké Vaše osobní údaje zpracováváme, za jakým účelem, jakou povahu takové zpracování má a jakým příjemcům osobní údaje předáváme; dále Vám poskytneme informace o dalších právech, které můžete v souvislosti se zpracováním Vašich osobních údajů využít; s ohledem na ochranu Vaší osoby, tedy aby žádná nepovolaná osoba nezískala přístup k Vašim osobním údajům, může být nezbytné, abychom vhodným způsobem ověřili Vaši identitu;
- právo na opravu osobních údajů dle čl. 16 GDPR - na základě uplatnění práva na opravu opravíme bez zbytečného odkladu nepřesný osobní údaj;
- právo na výmaz osobních údajů dle čl. 17 GDPR - na základě uplatnění práva být zapomenut vymažeme Vámi označené osobní údaje; Vaše osobní údaje však nevymažeme, pokud nadále trvá účel jejich zpracování nebo existuje právní důvod pro jejich zpracování, zejména pokud jsou nezbytné pro určení, výkon nebo obhajobu našich právních nároků či plnění našich právních povinností;
- právo na omezení zpracování osobních údajů dle čl. 18 GDPR - na základě uplatnění práva na omezení zpracování osobních údajů případně omezíme zpracování Vámi označených osobních údajů; po dobu omezení zpracování osobních údajů budeme moci zpracovávat dotčené osobní údaje pouze s Vaším souhlasem, nebo i bez tohoto souhlasu z důvodu určení, výkonu nebo obhajoby našich právních nároků nebo z důvodu ochrany práv jiné osoby;
- právo vznést námitku proti zpracování dle čl. 21 GDPR - Vaše osobní údaje nebudou po vznesení námitky dále zpracovávány, pokud nebudou existovat závažné oprávněné důvody pro zpracování, které převažují nad Vašimi zájmy, právy a svobodami, nebo pokud zpracování neslouží pro uplatnění, výkon nebo obhajobu právních nároků;
- právo na přenositelnost údajů dle čl. 20 GDPR, je-li to technicky proveditelné - na základě uplatnění práva na přenositelnost údajů přeneseme Vaše osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu zvolenému správci osobních údajů, pokud je toto zpracování založeno na Vašem souhlasu nebo na plnění smlouvy;
- právo nebýt předmětem automatizovaného individuálního rozhodování dle čl. 22 GDPR – máte právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, která pro Vás má právní účinky nebo se Vás obdobným způsobem významně dotýká;
- právo odvolat souhlas se zpracováním pro účely přímého marketingu (zejména pro zasílání obchodních sdělení a newsletterů) podle čl. 6 odst. 1 písm. a) GDPR ve spojení s § 7 odst. 2 zákona č. 480/2004 Sb., o některých službách informační společnosti v případě, že nedošlo k objednávce zboží nebo služby.
Výše uvedená práva můžete uplatnit e-mailem nebo dopisem zaslaným na naši kontaktní adresu, která je uvedena v těchto Informacích o zpracování osobních údajů. Máme právo vyžádat si doplňující informace za účelem Vaší řádné identifikace (potvrzení totožnosti). Máme rovněž právo odmítnout Vaši žádost, nebo požadovat úhradu administrativních nákladů spojených s poskytnutím požadovaných informací nebo sdělení v případě, že se jedná o žádost opakovanou, zjevně nedůvodnou či nepřiměřenou, popř. zjevně zneužívající.
7. PRÁVO ODVOLAT SOUHLAS
Máte právo odvolat Váš souhlas se zpracováním osobních údajů pro účely přímého marketingu, průzkumu trhu. Uživatel toto právo uplatní tak, že v e-mailu, který od nás obdržel, klikne na volbu „Odhlásit odběr“, nebo zasílání e-mailů upraví v nastavení svého Uživatelského účtu.
8. PODÁNÍ STÍŽNOSTI
Pokud se domníváte, že Vaše osobní údaje zpracováváme v rozporu s platnými právními předpisy o ochraně údajů (GDPR), máte právo nás o tom informovat a požadovat nápravu.
Pokud dle Vašeho názoru nápravu nezjednáme, jste oprávněn podat stížnost na příslušný úřad pro dohled nad ochranou osobních údajů.
Dohled nad ochranou osobních údajů v České republice vykonává:
Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, telefon: 234 665 111, E-mail: posta@uoou.cz, Datová schránka: qkbaa2n, www.uoou.cz
Bližší informace o Vašich právech lze nalézt na stránkách ÚOOÚ: https://www.uoou.cz/6-prava-subjektu-udaj/d-27276.
Máte rovněž právo podat stížnost u úřadu příslušného pro ochranu osobních údajů v zemi Vašeho trvalého bydliště.
V Evropské unii dále vykonává dohled nad ochranou osobních údajů Evropský inspektor ochrany údajů.
9. BEZPEČNOST INFORMACÍ
Uplatňujeme administrativní, organizační, technická a další opatření za účelem ochrany osobních údajů, které shromažďujeme a zpracováváme. Tato opatření zahrnují mj. šifrování databáze, firewall a řízení přístupových práv. Účelem našich bezpečnostních kontrol je zachovat odpovídající úroveň důvěrnosti dat, jejich integrity, dostupnosti, odolnosti a schopnosti obnovit je. Pravidelně testujeme bezpečnost služeb Webových stránek a Aplikace.
Pokud by navzdory přijatým a uplatňovaným bezpečnostním opatřením došlo k jakémukoliv porušení zabezpečení osobních údajů, bude takové porušení zabezpečení bez zbytečného odkladu ohlášeno dozorovému úřadu, tj. Úřadu pro ochranu osobních údajů České republiky. V případech stanovených GDPR a jinými právními předpisy, oznámíme porušení zabezpečení osobních údajů přímo Vám.
10. ZÁVĚREČNÁ USTANOVENÍ
Předpokladem vytvoření Uživatelského účtu na Platformě je potvrzení seznámení se s těmito Informace o zpracování osobních údajů. Zaškrtnutím políčka potvrzujete, že jste se seznámili s těmito Informace o zpracování osobních údajů a že je v celém rozsahu přijímáte.
Správce je oprávněn tyto Informace o zpracování osobních údajů podle potřeby měnit z důvodu změn v postupech zpracování údajů či z jiných důvodů. Novou verzi Informací o zpracování osobních údajů správce zveřejní na Webových stránkách a současně Vám bude zaslána na Vaši e-mailovou adresu, kterou jste Správci poskytli.
Tyto Informace o zpracování osobních údajů společností Penterep Security nabývají účinnosti dnem 1.1.2023.