Siesta Extranet – Zásady ochrany soukromí

Společnost SIESTA SOLUTION s.r.o. se sídlem Jičínská 226/17, Žižkov, 130 00 Praha 3, IČO:  05203503 jakožto poskytovatel (dále jen „Poskytovatel“) při poskytování služeb (dále jen „Služeb“) dle Smlouvy o poskytování služeb Siesta Extranet (dále jen „Smlouva“ a „Produkt“) dostupná https://siestasolution.com/cs/siesta-extranet-zasady-ochrany-soukromi/ si tímto dovoluje informovat o způsobu a rozsahu zpracování osobních údajů uživatele (dále jen „Uživatel“) včetně rozsahu práv Uživatele v souvislosti s tímto zpracováním.

Pro jakékoli otázky týkající se ochrany soukromí a uplatňování Vašich práv využijte e-mail: privacy@siestasolution.com.

1. Za jakým účelem zpracováváme osobní údaje?

1.1. Obsahem služeb je zejména umožnění Uživateli provozovat systém umožňující správu rezervačních kapacit Siesta Extranet (Produkt). Primárně tedy zpracováváme osobní údaje Uživatelů – fyzických osob (našich zákazníků), abychom jim mohli poskytovat naše Služby. Dále pak zpracováváme informace o zákaznících Uživatelů, a to jako tzv. zpracovatel (detailně popsáno níže).

1.2. Software zajišťující chod Produktu je systém zpřístupňovaný dálkovým přístupem – celé řešení je tedy hostováno v cloudu a Uživatelé mají možnost se připojit dálkově pomocí internetu.

1.3. Osobní údaje zpracováváme v první řadě za účelem uzavírání a plnění Smlouvy. Za tím účelem mají všichni Uživatelé zřízený uživatelský účet (uživatelské rozhraní Produkutu). K uzavření Smlouvy dochází jednak v listinné papírové podobě a dále elektronicky (zejména když naše podmínky aktualizujeme – toto probíhá výhradně elektronicky prostřednictvím uživatelského účtu), tedy za tímto účelem sbíráme data pro identifikaci smluvní strany při provedení uzavření, abychom měli časové razítko pro důkaz souhlasu s konkrétními podmínkami. Osobní údaje dále zpracováváme za účelem plnění Smlouvy.

1.4. Osobní údaje Uživatele sbíráme i za účelem evidence a analýzy užití Služeb Uživateli s cílem zlepšení kvality Služeb pro Uživatele.

1.5. V odůvodněných případech zpracováváme osobní údaje i za účelem ochrany našich zájmů, typicky v případě právních sporů, řízení před soudem apod. Zde musíme prokazovat, že jsme při poskytování svých Služeb jednali v souladu s právními předpisy.

1.6. Jelikož jste naši klienti, čas od času Vám zasíláme informace a novinky o našich výrobcích a službách. V případě, že nechcete tyto zprávy dostávat, máte možnost se kdykoli zdarma odhlásit. Způsob bude vždy uveden v rámci takového sdělení.

1.7. Často zpracování osobního údaje ukládá i zákon, např. při vedení účetnictví, archivování apod.

1.8. Zpracování těchto údajů je povinné, bez nich není možné Služby využívat.

1.9. Neprovádíme žádné profilování, ani automatizované rozhodování.

2. Od koho osobní údaje dostáváme a komu je předáváme?

2.1. Osobní údaje získáváme výhradně od Vás. Nezjišťujeme si o Vás žádné další údaje, kromě těch, které nám sami dáte. Jste povinni dám poskytovat pouze přesné údaje a pokud se Vaše osobní údaje změní, musíte údaje aktualizovat.

2.2. Pro zpracování osobních údajů Uživatele využíváme následující zpracovatele:

  • společnost Google LLC, Googleplex, Mountain View, California, U.S. jakožto zpracovatelem osobních údajů prostřednictvím služby Google Suite, jde o předání do USA,
  • společnost Citrix Systems, Inc., a Delaware corporation, sídlem 120 S. West Street, Raleigh, North Carolina 27603, U.S. jakožto zpracovatelem osobních údajů prostřednictvím služby Podio, jde o předání do USA.
  • společností Trivi s.r.o., se sídlem Španělská 770/2, Vinohrady, 120 00 Praha 2, IČ: 283 78 440 jakožto zpracovatelem osobních údajů prostřednictvím služby Trivi.
  • Microsoft Corporation, One Microsoft Way, Redmond, WA 98052, U.S.A., a to konkrétně jeho služba “Microsoft Azure”
  • naši externí spolupracovníci (fyzické osoby) zajišťující správu našich systémů a poskytování poradenství v souvislosti s ubytováním.

2.3. Osobní údaje Uživatele jsou zpracovávány v elektronické podobě automatizovanými prostředky, a to konkrétně prostřednictvím Produktu a následně v CRM systému Podio, popř. pro učely účetnictví a fakturace v systému Trivi.

2.4. Osobní údaje Uživatele mohou být zpracovány i manuálně a mohou při tom vystupovat naši zaměstnanci či jiné osoby pracující pro nás pracující, a to mimo jiné za účelem odstraňování chyb, nepřesností apod.  Tyto osoby však mohou zpracovávat osobní údaje pouze za podmínek a v rozsahu výše uvedeném a jsou vázány povinností zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů.

2.5. Osobní údaje zpracováváme vždy v souladu s příslušnými právními předpisy a zajišťujeme jim náležitou péči a ochranu. Staráme se, abyste nikdy neutrpěli újmu na svých právech, zejména na právu na zachování lidské důstojnosti. Chráníme Vás i před neoprávněným zasahováním do Vašeho soukromého a osobního života.

3. Jak dlouho zpracováváme osobní údaje?

Osobní údaje poskytnuté při uzavírání Smlouvy a během jejího plnění uchováme po dobu trvání Smlouvy.

I po ukončení Smlouvy jsme však oprávněni nadále zpracovávat osobní údaje, jejichž zpracování je nezbytné k těmto účelům:

 3.1.Účetnictví a archivace dokumentů         

Osobní údaje, které vyžaduje právní předpis, musíme zpracovat pro účely účetnictví a plnění daňových povinností (event. pro účely archivace). Doba zpracování je 5 let od konce účetního období, v případě dokladů relevantních pro platby DPH je to dokonce 10 let od konce zdaňovacího období, ve kterém se plnění uskutečnilo;

3.2. Oprávněné zájmy

Osobní údaje zpracováváme rovněž pro ochranu našich oprávněných zájmů, tj. obrana před případnými nároky našich zákazníků, a to i před soudem (např. po dobu běhu příslušných promlčecích lhůt, která může být v České republice až 15 let od vniku relevantní události).  V této souvislosti Poskytovatel zpracovává Vaše identifikační údaje (jméno a příjmení, IČO, DIČ, sídlo) a kontaktní údaje (email, telefon), údaje o plnění Smlouvy (její obsah, informace o jejím plnění).

Tyto údaje nemůžeme smazat, a to ani v případě žádosti Uživatele, neboť nejsou zpracovány na základě souhlasu. Vždy však na základě Vaší žádosti posoudíme, zda dané údaje již není nutné zpracovávat.

4. Jaká máte práva?

V prvé řadě máte právo nás požádat o přístup k Vašim osobním údajům včetně vyhotovení kopie všech Vašich osobních údajů.

Vždy Vás budeme informovat o:

  1. účelu zpracování osobních údajů,
  2. osobních údajích, případně kategoriích osobních údajů, které jsou předmětem zpracování, včetně veškerých dostupných informací o jejich zdroji,
  3. povaze automatizovaného zpracování včetně profilování a informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů,
  4. příjemci, případně kategoriích příjemců,
  5. plánované době, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby,
  6. veškerých dostupných informací o zdroji osobních údajů, pokud nejsou získány od Vás.

Mezi Vaše další práva patří

  1. požádat nás o vysvětlení,
  2. požadovat, abychom odstranili vzniklý stav, zejména se může jednat o blokování, provedení opravy, doplnění, omezení zpracování nebo likvidaci osobních údajů (právo být zapomenut),
  3. požadovat osobní údaje, které se Vás týkají ve strukturovaném, běžně používaném a strojově čitelném formátu, a předat tyto údaje jinému správci, aniž bychom tomu jakkoli bránili,
  4. podat dotaz, resp. stížnost na Úřad pro ochranu osobních údajů,
  5. vznést námitku proti zpracování osobních údajů, které se Vás týkají.

5. Jak Vaše osobní údaje chráníme

Vaše údaje chráníme. K tomu slouží následující prostředky zabezpečení: Anitvirové ochrany, firewally, šifrování, autorizační údaje, ozbrojená ostraha.

6.  Když jsme zpracovatelé

 6.1. Úvodní ustanovení

V rámci poskytování Služeb bude docházet ke zpracování osobních údajů Poskytovatel je zde zpracovatelem ve smyslu čl. 28 Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), (dále jen „GDPR“).

Účelem zpracování je provoz Produktu, jakožto systému pro správu ubytovacích kapacit, rezervací a informací o hostech v rámci ubytování, kdy Produkt umožňuje i export dat za účelem plnění povinností s ohledem na oznamování ubytování cizinců a hrazení místních poplatků (dále jen “Hosté”, což zahrnuje i zájemce o ubytování – osoby, které učinily rezervaci).

Produkt rovněž umožňuje přidělení uživatelských oprávnění zaměstnanců, statutárních zástupců a dalších osob určených Uživatelem, kteří užívají Produktu jménem Uživatele (dále jen “Uživatelé Produktu”).

Poskytovatel bude osobní údaje zpracovávat po dobu trvání Smlouvy a neobdrží-li jinou instrukci Uživatele dle odst. 5.9 písm. g), smaže je bez zbytečného odkladu po ukončení Smlouvy.

Předmětem zpracování budou údaje o hostech manuálně vkládané či automaticky nahrávané do Produktu skrze jiné aplikace užívané Uživatelem (např. aplikace WuBook či z některých rezervačních kanálů např. AirBnB.com, booking.com apod.) a osobní údaje o Uživatelích produktu.

Kategoriemi subjektů údajů jsou

  • Hosté či zájemci o ubytování a související služby.
  • Uživatelé Produktu určení Uživatelem.

6.2. Hosté

Typově půjde o údaje potřebné k poskytování ubytovací služby – tedy k uzavření smlouvy. Půjde zejména o jméno, příjmení, bydliště, kontaktní údaje jako telefonní číslo, email, informace o rezervace ubytování (včetně identifikace portálu, ze kterého rezervace je a informace o provedení rezervace, včetně platebního prostředku) a plnění smlouvy o ubytování.

Zpracovávány mohou být i údaje pro plnění povinností dle zákona o cizincích a vedení domovní knihy (zejména informace v rozsahu jméno, příjmení, datum narození, státní občanství, trvalé bydliště v zahraničí, číslo cestovního dokladu a víza, je-li v cestovním dokladu vyznačeno, počátek a místo pobytu, předpokládaná doba a účel pobytu na území České republiky, počátek a konec ubytování) a evidenci dle předpisů o místních poplatcích (doba ubytování, účel pobytu, jméno, příjmení, adresa místa trvalého pobytu nebo místa trvalého bydliště v zahraničí a číslo občanského průkazu nebo cestovního dokladu). Zpracovány mohou být i osobní údaje pro účely vystavování účetních dokladů (mj. identifikace hosta, charakter služby a další relevantní informace) a plnění daňových povinností.

Zpracovávané mohou být i osobní údaje vkládané Uživatelem k jednotlivým hostům (např. v podobě poznámek, informací o slevách atp.).

6.3. Uživatelé Produktu

Typově půjde o uživatelské jméno a heslo a aktivitu v rámci Produktu (logování aktivity).

6.4. Společná ustanovení

Poskytovatel se jakožto zpracovatel osobních údajů zavazuje, že

  1. zpracovává osobní údaje pouze na základě doložených pokynů Uživatele, včetně v otázkách předání osobních údajů do třetí země nebo mezinárodní organizaci, přičemž Poskytovatel neprodleně Uživatele informuje v případě, že podle jeho názoru určitý pokyn porušuje toto nařízení nebo jiné předpisy Unie nebo členského státu týkající se ochrany údajů.
  2. zajišťuje, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti,
  3. přijme všechna technická a organizační opatření, aby zajistil úroveň zabezpečení odpovídající danému riziku,
  4. dodržuje podmínky pro zapojení dalšího zpracovatele (zejména předchozí písemný souhlas Uživatele s tímto zapojením),
  5. zohledňuje povahu zpracování, je Uživateli nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů,
  6. je Uživateli nápomocen při zajišťování souladu s povinnostmi zabezpečovat osobní údaje, ohlašovat bezpečnostní incidenty atd.;
  7. v souladu s rozhodnutím Uživatele všechny osobní údaje buď vymaže, nebo je vrátí Uživateli po ukončení poskytování služeb spojených se zpracováním, a vymaže existující kopie, nestanoví-li právní předpis jinak, neobdrží-li Poskytovatel jinou instrukci Uživatele, veškerá data, která zpracovává jako zpracovatel smaže bez zbytečného odkladu po ukončení Smlouvy;
  8. poskytne Uživateli veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v tomto článku, a umožní audity, včetně inspekcí, prováděné Uživatelem nebo jiným auditorem, kterého Uživatel pověřil, a k těmto auditům přispěje;
  9. nahlásí Uživateli porušení zabezpečení osobních údajů, a to bez zbytečného odkladu poté, kdy jej zjistí.

Poskytovatel se zavazuje přijmout vhodná opatření k tomu, aby zabezpečil osobní údaje, k tomu slouží zejména tyto prostředky zabezpečení: Anitvirové ochrany, firewally, šifrování, autorizační údaje, ozbrojená ostraha atd.

Pro zpracování (hosting, podpora a údržba Produkut) je využíván sub-zpracovatel, kterým je společnost Microsoft Corporation, One Microsoft Way, Redmond, WA 98052, U.S.A., a to konkrétně jeho služba “Microsoft Azure”. Uživatel rovněž souhlasí se zapojením externích spolupracovníků (fyzické osoby) zajišťujících správu našich systémů a poskytování poradenství v souvislosti s ubytováním, přičemž pokud má jít o sub-zpracovatele, Poskytovatel bude o zapojení této osoby Uživatele předem informovat, tak aby mohl vznést námitky proti jejímu zapojení do zpracování. Se všemi je uzavřená odpovídající smlouva na ochranu dat Uživatelů.

7. Osobní údaje kontaktních osob

Uživatel zaručuje, že Poskytovatel je oprávněn zpracovat příslušné osobní údaje osob, které mu byly předány Uživatelem za účelem plnění Smlouvy, a že tyto osoby byly Uživatelem zcela informovány ve smyslu čl. 14 a Poskytovatel je dále ve stanoveném rozsahu nemusí informovat.