Domů / Podmienky ochrany osobných údajov

Podmienky ochrany osobných údajov

Ochrana osobných údajov

  1. Úvodné ustanovenia

1.1 Tento dokument („Ochrana osobných údajov“) podrobne upravuje zásady a postupy spracúvania osobných údajov v spoločnosti Lumora Glow s.r.o., so sídlom Kurtaserská ulica 159/15, 932 01 Veľký Meder, IČO: 50657143, DIČ: 2120408158, IČ DPH: SK2120408158 (ďalej len „prevádzkovateľ“).

1.2 Účelom tohto dokumentu je poskytnúť dotknutým osobám jasné, zrozumiteľné a úplné informácie o tom:

aké osobné údaje spracúvame,

na aké účely a na akom právnom základe,

komu môžu byť osobné údaje poskytnuté,

ako dlho sú uchovávané,

aké práva majú dotknuté osoby a ako ich môžu uplatniť.

1.3 Tento dokument je vypracovaný v súlade s Nariadením Európskeho parlamentu a Rady (EÚ) 2016/679 (GDPR) a zákonom č. 18/2018 Z.z. o ochrane osobných údajov.

  1. Definície pojmov

Na účely tohto dokumentu sa rozumie:

„osobný údaj“ – akákoľvek informácia týkajúca sa identifikovanej alebo identifikovateľnej fyzickej osoby, najmä meno, priezvisko, adresa, e-mail, telefón, údaje o objednávkach a platbách, IP adresa, cookies;

„dotknutá osoba“ – fyzická osoba, ktorej sa osobné údaje týkajú, typicky zákazník e-shopu alebo návštevník webovej stránky;

„prevádzkovateľ“ – subjekt, ktorý určuje účely a prostriedky spracúvania osobných údajov;

„sprostredkovateľ“ – subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa na základe zmluvy podľa čl. 28 GDPR;

„spracúvanie“ – akákoľvek operácia s osobnými údajmi, napr. zhromažďovanie, zaznamenávanie, uchovávanie, poskytovanie, mazanie;

„profilovanie“ – automatizované spracúvanie osobných údajov za účelom vyhodnotenia určitých aspektov správania alebo preferencií osoby;

„tretia krajina“ – krajina mimo Európskej únie a Európskeho hospodárskeho priestoru (EÚ/EHP);

„porušenie ochrany osobných údajov“ – porušenie bezpečnosti vedúce k náhodnému alebo protiprávnemu zničeniu, strate, zmene alebo neoprávnenému sprístupneniu osobných údajov.

  1. Prevádzkovateľ a kontaktné údaje

3.1 Prevádzkovateľ osobných údajov:

Obchodné meno: Lumora Glow s.r.o.

Sídlo: Kurtaserská ulica 159/15, 932 01 Veľký Meder

IČO: 50657143

DIČ: 2120408158

IČ DPH: SK2120408158

3.2 Kontaktné údaje:

E-mail: info@lumoraglow.sk

Telefón: +421 911 818 615

+421 903 261 259

3.3 Prevádzkovateľ neurčil zodpovednú osobu (Data Protection Officer – DPO), keďže nespĺňa podmienky povinnej definície DPO podľa čl. 37 GDPR. V prípade, že sa tieto podmienky v budúcnosti zmenia, prevádzkovateľ bezodkladne ustanoví DPO a zverejní jeho kontaktné údaje.

  1. Zásady spracúvania osobných údajov

Prevádzkovateľ spracúva osobné údaje v súlade s nasledujúcimi zásadami:

Zákonnosť, spravodlivosť a transparentnosť – osobné údaje spracúvame len na základe zákonného právneho titulu a poskytujeme jasné informácie o spracúvaní.

Obmedzenie účelu – osobné údaje zhromažďujeme na konkrétne, vopred určené a legitímne účely a nespracúvame ich spôsobom nezlučiteľným s týmito účelmi.

Minimalizácia údajov – spracúvame len tie osobné údaje, ktoré sú primerané, relevantné a nevyhnutné.

Presnosť – prijímame opatrenia na zabezpečenie presnosti a aktualizácie údajov; nepresné údaje bezodkladne opravujeme alebo mažeme.

Obmedzenie uchovávania – osobné údaje uchovávame najkratšie, ako je to potrebné na dosiahnutie účelu, pričom rešpektujeme zákonné lehoty.

Integrita a dôvernosť – prijímame technické a organizačné opatrenia na ochranu osobných údajov pred stratou, zneužitím a neoprávneným prístupom.

Zodpovednosť – sme schopní preukázať súlad s uvedenými zásadami prostredníctvom dokumentácie a záznamov.

  1. Kategórie spracúvaných osobných údajov

Prevádzkovateľ spracúva najmä tieto kategórie osobných údajov:

Identifikačné údaje – meno, priezvisko.

Kontaktné údaje – adresa, e-mail, telefónne číslo.

Fakturačné a dodacie údaje – adresa doručenia, fakturačné údaje, IČO/IČ DPH (ak ide o podnikateľa).

Údaje o objednávkach a platbách – história objednávok, spôsob platby, údaje o reklamáciách.

Údaje o komunikácii – e-mailová a telefonická komunikácia so zákazníkom.

Marketingové údaje – preferencie, súhlas so zasielaním newslettera.

Technické údaje – IP adresa, cookies, logy prístupov (iba v rozsahu nevyhnutnom na zabezpečenie prevádzky webu).

 

Osobitné kategórie osobných údajov (tzv. citlivé údaje podľa čl. 9 GDPR) prevádzkovateľ nespracúva.

  1. Účely a právne základy spracúvania

Osobné údaje spracúvame na nasledovné účely:

6.1 Spracovanie objednávok a uzatvorenie zmluvy

Účel: prijatie a vybavenie objednávky, dodanie tovaru, zákaznícka podpora.

Právny základ: čl. 6 ods. 1 písm. b) GDPR – plnenie zmluvy.

6.2 Účtovníctvo a daňové povinnosti

Účel: vystavovanie faktúr, vedenie účtovníctva, splnenie zákonných povinností.

Právny základ: čl. 6 ods. 1 písm. c) GDPR – splnenie zákonnej povinnosti.

6.3 Reklamácie a uplatňovanie práv zo zodpovednosti za vady

Účel: vybavenie reklamácií, odstúpení od zmluvy, vrátenia tovaru.

Právny základ: čl. 6 ods. 1 písm. c) GDPR, prípadne čl. 6 ods. 1 písm. b) GDPR.

6.4 Marketing a newsletter

Účel: zasielanie informácií o produktoch, akciách a novinkách.

Právny základ: čl. 6 ods. 1 písm. a) GDPR – súhlas dotknutej osoby. Súhlas možno kedykoľvek odvolať.

6.5 Oprávnený záujem prevádzkovateľa

Účel: zabezpečenie IT systémov, prevencia podvodov, ochrana práv a majetku, evidencia prístupov.

Právny základ: čl. 6 ods. 1 písm. f) GDPR – oprávnený záujem.

6.6 Plnenie povinností v oblasti ochrany spotrebiteľa

Účel: poskytovanie zákonom vyžadovaných informácií, riešenie podnetov a sťažností.

Právny základ: čl. 6 ods. 1 písm. c) GDPR.

  1. Príjemcovia a sprostredkovatelia osobných údajov

7.1 Osobné údaje poskytujeme výhradne v nevyhnutnom rozsahu a len subjektom, ktoré sú oprávnené údaje spracúvať na základe zákona alebo zmluvy so prevádzkovateľom.

7.2 Kategórie príjemcov:

Slovenská pošta – doručovanie zásielok; spracúva identifikačné a kontaktné údaje potrebné na doručenie.

Kurierske spoločnosti napr. Packeta, GLS, doručenie objednávok zákazníkom, poskytovatelia e-shopovej platformy ako Shoptet technická prevádzka internetového obchodu poskytovatelia platobných služieb  ako napr. Stripe, SumUp, bankové inštitúcie spracovanie platieb, marketingové a analytické nástroje ako napr. Google Analytics, Meta Platforms analýza návštevnosti webu a marketingové kampane.

Externá účtovnícka firma – vedenie účtovníctva a archivácia dokladov podľa zákona.

Poskytovatelia IT služieb a webhostingu – správa e-shopu, údržba, zálohovanie a zabezpečenie.

Banky a platobné inštitúcie – realizácia platieb, spracovanie údajov potrebných na vykonanie transakcie.

Orgány verejnej moci – v prípadoch, keď to vyžaduje zákon (napr. daňový úrad, súd, polícia).

7.3 Sprostredkovatelia spracúvajú osobné údaje len na základe písomnej zmluvy podľa čl. 28 GDPR, ktorá obsahuje všetky povinné náležitosti: predmet spracúvania, trvanie, povinnosti a práva prevádzkovateľa, opatrenia na ochranu údajov, mlčanlivosť, postup po ukončení spracúvania.

  1. Prenos osobných údajov do tretích krajín

8.1 Prevádzkovateľ neprenáša osobné údaje do tretích krajín (mimo EÚ/EHP).

Niektorí poskytovatelia služieb môžu prenášať osobné údaje do tretích krajín, najmä do USA.

Takýto prenos je zabezpečený prostredníctvom štandardných zmluvných doložiek (SCC) alebo na základe rozhodnutia Európskej komisie o primeranej úrovni ochrany.

8.2 Ak by došlo k potrebe takéhoto prenosu (napr. využitie poskytovateľa služieb so sídlom mimo EÚ/EHP), prevádzkovateľ zabezpečí primerané záruky v súlade s kapitolou V GDPR, najmä:

uzavretie štandardných zmluvných doložiek (SCC),

vykonanie posúdenia vplyvu na prenos,

informovanie dotknutých osôb o takomto prenose.

8.3 Bez splnenia týchto podmienok prevádzkovateľ prenos osobných údajov nevykoná.

  1. Cookies a online technológie

9.1 Na webovej stránke prevádzkovateľa sa používajú súbory cookies a podobné technológie za účelom:

zabezpečenia základnej funkčnosti e-shopu,

analýzy návštevnosti a výkonu webovej stránky,

marketingu a personalizácie obsahu (len so súhlasom používateľa).

9.2 Kategórie cookies:

Nevyhnutné cookies – potrebné na správne fungovanie webu (napr. košík, prihlásenie).

Preferenčné cookies – zapamätanie nastavení (jazyk, región, zobrazovanie).

Analytické cookies – štatistiky o používaní webu (napr. Google Analytics).

Marketingové cookies – sledovanie preferencií používateľa a zobrazovanie relevantnej reklamy.

9.3 Používateľ má možnosť odmietnuť alebo obmedziť používanie cookies vo svojom internetovom prehliadači. Odmietnutie niektorých cookies môže ovplyvniť funkčnosť e-shopu.

9.4 Marketingové a analytické cookies sa používajú len na základe predchádzajúceho súhlasu používateľa. Súhlas je možné kedykoľvek odvolať.

  1. Automatizované rozhodovanie a profilovanie

10.1 Prevádzkovateľ nevykonáva žiadne rozhodovanie založené výlučne na automatizovanom spracúvaní údajov, ktoré by malo právne účinky alebo by významne ovplyvnilo dotknutú osobu v zmysle čl. 22 GDPR.

10.2 Prevádzkovateľ takisto nevykonáva profilovanie na marketingové alebo iné účely, pokiaľ na to neexistuje osobitný súhlas dotknutej osoby.

10.3 V prípade, že by sa v budúcnosti zaviedlo profilovanie alebo automatizované rozhodovanie, prevádzkovateľ zabezpečí vhodné záruky vrátane práva na ľudský zásah a práva namietať.

  1. Doby uchovávania osobných údajov

11.1 Osobné údaje uchovávame len počas doby nevyhnutnej na dosiahnutie účelu, na ktorý boli získané, alebo počas doby stanovenej právnymi predpismi.

11.2 Konkrétne lehoty uchovávania:

Účtovné doklady (faktúry, pokladničné bloky) – 10 rokov podľa zákona o účtovníctve,

Reklamačné dokumenty a súvisiaca komunikácia – 4 roky od ukončenia konania,

Zákaznícke účty – počas trvania účtu; pri neaktivite max. 2 roky, následne anonymizácia alebo vymazanie,

Marketingové údaje (newsletter) – do odvolania súhlasu alebo do ukončenia kampane + 6 mesiacov pre preukázanie súladu,

Logy a technické záznamy – 6 až 24 mesiacov podľa charakteru a potreby zabezpečenia,

Zálohy dát – podľa internej politiky, spravidla 30 – 90 dní.

  1. Práva dotknutých osôb

Dotknutá osoba má v súlade s GDPR tieto práva:

Právo na prístup (čl. 15 GDPR) – získať potvrdenie, či spracúvame jej osobné údaje, a kópiu týchto údajov.

Právo na opravu (čl. 16 GDPR) – požadovať opravu nepresných údajov alebo doplnenie neúplných údajov.

Právo na vymazanie (čl. 17 GDPR) – tzv. „právo byť zabudnutý“, ak už údaje nie sú potrebné, ak bol odvolaný súhlas, alebo ak boli údaje spracúvané nezákonne.

Právo na obmedzenie spracúvania (čl. 18 GDPR) – v prípadoch, keď sa spochybňuje presnosť údajov, spracúvanie je nezákonné alebo dotknutá osoba namieta.

Právo na prenosnosť údajov (čl. 20 GDPR) – získať osobné údaje v štruktúrovanom, bežne používanom formáte a preniesť ich k inému prevádzkovateľovi.

Právo namietať (čl. 21 GDPR) – najmä proti spracúvaniu na základe oprávneného záujmu a proti priamemu marketingu.

Právo neostať predmetom rozhodnutia založeného výlučne na automatizovanom spracúvaní (čl. 22 GDPR).

Právo odvolať súhlas – ak je právnym základom súhlas, môže ho dotknutá osoba kedykoľvek odvolať, bez vplyvu na zákonnosť spracúvania pred odvolaním.

12.2 Uplatnenie práv je bezplatné. Ak sú však žiadosti zjavne neopodstatnené alebo neprimerané (napr. opakujú sa), prevádzkovateľ je oprávnený účtovať primeraný poplatok alebo žiadosť odmietnuť.

  1. Postup uplatnenia práv dotknutých osôb

13.1 Dotknutá osoba môže uplatniť svoje práva prostredníctvom:

e-mailu na adrese info@lumoraglow.sk,

písomnej žiadosti zaslanej na adresu sídla spoločnosti.

13.2 Z dôvodu ochrany údajov môže prevádzkovateľ požiadať o overenie totožnosti žiadateľa, aby sa zabránilo neoprávnenému prístupu.

13.3 Prevádzkovateľ poskytne informácie o prijatých opatreniach bez zbytočného odkladu, najneskôr však do 30 dní od prijatia žiadosti. V prípade zložitosti alebo väčšieho počtu žiadostí môže byť lehota predĺžená o ďalších 60 dní, o čom bude dotknutá osoba informovaná.

13.4 Ak prevádzkovateľ neprijme opatrenia na základe žiadosti, je povinný informovať dotknutú osobu o dôvodoch a o možnosti podať sťažnosť na Úrad na ochranu osobných údajov SR alebo obrátiť sa na súd.

  1. Bezpečnostné opatrenia

14.1 Prevádzkovateľ prijal primerané technické a organizačné opatrenia s cieľom zabezpečiť ochranu osobných údajov, a to najmä:

Riadenie prístupov – prístup k údajom majú len oprávnené osoby viazané mlčanlivosťou.

Šifrovanie – ochrana prenosu dát prostredníctvom zabezpečeného protokolu (HTTPS/TLS).

Zálohovanie a obnova – pravidelné zálohovanie dát, testovanie obnovy a bezpečné uchovávanie záloh.

Monitoring a logovanie – evidencia prístupov a zaznamenávanie bezpečnostných udalostí.

Fyzická bezpečnosť – zabezpečenie serverov v datacentrách s kontrolovaným prístupom.

Školenia zamestnancov – pravidelné školenia o ochrane údajov a informačnej bezpečnosti.

Aktualizácie a testovanie – pravidelná inštalácia bezpečnostných aktualizácií a testovanie zraniteľností.

14.2 Bezpečnostné opatrenia sú pravidelne prehodnocované a aktualizované podľa technického pokroku a rizík.

  1. Evidencia spracovateľských činností (ROPA)

15.1 Prevádzkovateľ vedie internú evidenciu spracovateľských činností podľa čl. 30 GDPR. Táto evidencia obsahuje:

účely spracúvania,

kategórie dotknutých osôb a údajov,

kategórie príjemcov,

lehoty uchovávania,

opis bezpečnostných opatrení,

informácie o prenosoch do tretích krajín.

15.2 Evidencia je spracovaná v písomnej forme a je k dispozícii dozornému orgánu na požiadanie.

  1. Porušenie ochrany osobných údajov (incidenty)

16.1 V prípade porušenia ochrany osobných údajov (napr. strata, neoprávnený prístup, únik alebo zničenie údajov) prevádzkovateľ bezodkladne prijme opatrenia na minimalizáciu následkov a zabezpečí nápravu.

16.2 Prevádzkovateľ je povinný oznámiť porušenie ochrany osobných údajov Úradu na ochranu osobných údajov SR bez zbytočného odkladu, najneskôr však do 72 hodín, pokiaľ je pravdepodobné, že porušenie povedie k riziku pre práva a slobody fyzických osôb.

16.3 Ak je pravdepodobné, že porušenie spôsobí vysoké riziko pre práva dotknutých osôb, prevádzkovateľ informuje aj samotné dotknuté osoby.

16.4 O všetkých porušeniach sa vedie interná dokumentácia obsahujúca opis incidentu, jeho následky a prijaté opatrenia.

  1. Maloletí a vekové obmedzenia

17.1 E-shop prevádzkovateľa nie je určený osobám mladším ako 16 rokov.

17.2 Prevádzkovateľ vedome nespracúva osobné údaje maloletých bez súhlasu ich zákonného zástupcu.

17.3 Ak sa prevádzkovateľ dozvie, že spracúva údaje maloletého bez príslušného súhlasu, podnikne všetky primerané kroky na okamžité vymazanie týchto údajov.

  1. Zmluvy so sprostredkovateľmi

18.1 Všetky vzťahy so sprostredkovateľmi osobných údajov sú založené na písomnej zmluve o spracúvaní osobných údajov, ktorá obsahuje minimálne tieto náležitosti:

 

predmet a trvanie spracúvania,

povahu a účel spracúvania,

druh osobných údajov a kategórie dotknutých osôb,

povinnosti a práva prevádzkovateľa,

záväzok mlčanlivosti zo strany sprostredkovateľa,

povinnosť prijať primerané bezpečnostné opatrenia,

pomoc prevádzkovateľovi pri uplatňovaní práv dotknutých osôb a pri oznamovaní incidentov,

pravidlá týkajúce sa ukončenia spracúvania (vymazanie alebo vrátenie údajov).

18.2 Prevádzkovateľ si vyhradzuje právo vykonať u sprostredkovateľa audit alebo kontrolu, či dodržiava dohodnuté povinnosti a bezpečnostné opatrenia.

  1. Marketing a newsletter

19.1 Prevádzkovateľ zasiela marketingové informácie (newsletter) výhradne na základe dobrovoľného súhlasu dotknutej osoby podľa čl. 6 ods. 1 písm. a) GDPR.

19.2 Súhlas je možné kedykoľvek odvolať kliknutím na odhlasovací odkaz v každom e-maile alebo zaslaním žiadosti na e-mailovú adresu info@lumoraglow.sk. Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania pred jeho odvolaním.

19.3 Ak ide o existujúcich zákazníkov, prevádzkovateľ je oprávnený zasielať im informácie o podobných produktoch alebo službách aj bez súhlasu, pričom dotknutá osoba má vždy jednoduchú možnosť namietať proti takémuto spracúvaniu a odhlásiť sa.

19.4 Na marketingové účely sa spracúvajú len základné kontaktné údaje (meno, e-mailová adresa) a preferencie zákazníkov. Údaje sa uchovávajú po dobu trvania súhlasu, resp. do jeho odvolania.

  1. Záverečné ustanovenia

20.1 Tento dokument bol vypracovaný v súlade s Nariadením (EÚ) 2016/679 (GDPR) a zákonom č. 18/2018 Z.z. o ochrane osobných údajov.

20.2 Dokument nadobúda účinnosť dňom jeho zverejnenia na webovej stránke e-shopu a tvorí samostatný dokument, na ktorý odkazujú Obchodné podmienky.

20.3 Prevádzkovateľ si vyhradzuje právo tento dokument kedykoľvek aktualizovať, najmä v prípade legislatívnych zmien alebo zmien v spôsobe spracúvania osobných údajov. O každej podstatnej zmene budú dotknuté osoby informované primeraným spôsobom (napr. oznámením na webovej stránke alebo e-mailom).

20.4 Tento dokument bol naposledy aktualizovaný dňa 06.február 2026.