I. Ochrana osobních údajů

1.1 Vložením osobních údajů potvrzuje uživatel, že je srozuměn s podmínkami ochrany osobních údajů, že vyjadřuje svůj souhlas s jejich zněním, a že je v celém rozsahu akceptuje.

1.2 Poskytovatel je správcem osobních údajů uživatelů podle čl. 4 bod 7) nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen: “GDPR”). Poskytovatel se zavazuje zpracovávat osobní údaje v souladu s právními předpisy, zejm. GDPR.

1.3 Osobními údaji jsou veškeré informace o identifikované nebo identifikovatelné fyzické osobě; identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

1.4 Při objednávce jsou vyžadovány osobní údaje, které jsou nutné pro úspěšné vyřízení objednávky (jméno a adresa, kontakt). Účelem zpracování osobních údajů je vyřízení objednávky uživatele a výkon práv a povinností vyplývajících ze smluvního vztahu mezi Poskytovatelem a Uživatelem. Účelem zpracování osobních údajů je dále zasílání obchodních sdělení a činění dalších marketingových aktivit. Zákonným důvodem pro zpracování osobních údajů je plnění smlouvy dle čl. 6 odst. 1 písm. b) GDPR, plnění právní povinnosti správce dle čl. 6 odst. 1 písm. c) GDPR a oprávněný zájem Poskytovatele dle čl. 6 odst. 1 písm. f) GDPR. Oprávněným zájmem Poskytovatele je zpracování osobních údajů pro účely přímého marketingu.

1.5 Poskytovatel pro plnění licenční smlouvy používá služeb subdodavatelů, zejména poskytovatele mailingových služeb (osobní údaje jsou ukládány v 3. zemích) a poskytovatele webhostingu. Subdodavatelé jsou prověřeni z hlediska bezpečného zpracování osobních údajů. Poskytovatel a subdodavatel webhostingu uzavřeli smlouvu o zpracování osobních údajů, dle které subdodavatel odpovídá za řádně zabezpečení fyzického, hardwarového i softwarového perimetru, a tedy nese vůči uživateli přímou odpovědnost za jakýkoli únik či narušení osobních údajů.

1.6 Poskytovatel ukládá osobní údaje uživatele po dobu nezbytnou k výkonu práv a povinností vyplývajících ze smluvního vztahu mezi poskytovatelem a uživatelem a uplatňování nároků z těchto smluvních vztahů (po dobu 15 let od ukončení smluvního vztahu). Po jejím uplynutí budou údaje vymazány.

1.7 Uživatel má právo požadovat od poskytovatele přístup ke svým osobním údajům dle čl. 15 GDPR, opravu osobních údajů dle čl. 16 GDPR, popřípadě omezení zpracování dle čl. 18 GDPR. Uživatel má právo na výmaz osobních údajů dle čl. 17 odst. 1 písm. a), a c) až f) GDPR. Dále má uživatel právo vznést námitku proti zpracování dle čl. 21 GDPR a právo na přenositelnost údajů dle čl. 20 GDPR.

1.8 Uživatel má právo podat stížnost u Úřadu pro ochranu osobních údajů v případě, že se domnívá, že bylo porušeno jeho právo na ochranu osobních údajů.

1.9 Uživatel nemá povinnost osobní údaje poskytnout. Poskytnutí osobních údajů je však nutným požadavkem pro uzavření a plnění smlouvy a bez poskytnutí osobních údajů není možné smlouvu uzavřít či jí ze strany poskytovatele plnit.

1.10 Ze strany Poskytovatele nedochází k automatickému individuálnímu rozhodování ve smyslu č. 22 GDPR.1.11 Zájemce o využívání služeb Poskytovatele vyplněním kontaktního formuláře:souhlasí s použitím svých osobních údajů pro účely elektronického zasílání obchodních sdělení, reklamních materiálů, přímého prodeje, průzkumů trhu a přímých nabídek produktů ze strany Poskytovatele a třetích subjektů, ne však častěji, než 1x týdně, a zároveňprohlašuje, že zasílání informací dle bodu

1.11.1 nepovažuje za nevyžádanou reklamu ve smyslu zák. č. 40/1995 Sb. ve znění novel, neboť uživatel se zasílám informací dle bodu

1.11.1 ve spojení s § 7 zák. č. 480/2004 Sb. výslovně souhlasí.Souhlas dle tohoto odstavce může uživatel kdykoli písemně odvolat na director@bfresh.cz

1.12 Poskytovatel používá v rámci zvyšování kvality služeb, personalizace nabídky, sběru anonymních dat a pro analytické účely ve své prezentaci tzv. soubory cookie. Používáním webu Uživatel souhlasí s použitím zmíněné technologie.

II. Práva a povinnosti mezi správcem a zpracovatelem (zpracovatelská smlouva)

2.1 Poskytovatel je ve vztahu k osobním údajům klientů uživatelů zpracovatelem dle čl. 28 GDPR. Uživatel je správcem těchto údajů.

2.2 Tyto podmínky upravují vzájemná práva a povinnosti při zpracování osobních údajů, ke kterým Poskytovatel získal přístup v rámci plnění licenční smlouvy uzavřené formou odsouhlasení všeobecných obchodních podmínek na www.bfresh.cz (dále jen „licenční smlouva“) uzavřené s Uživatelem ke dni zřízení uživatelského účtu.

2.3 Poskytovatel se zavazuje pro Uživatele zpracovávat osobní údaje v rozsahu a za účelem stanovenými v čl.

2.4 – 2.7 těchto podmínek. Prostředky zpracování budou automatizované. Poskytovatel bude v rámci zpracování osobní údaje shromažďovat, ukládat na nosiče informací, uchovávat, blokovat a likvidovat. Poskytovatel není oprávněn osobní údaje zpracovávat v rozporu nebo nad rámec stanovený těmito podmínkami.

2.4 Poskytovatel se zavazuje pro uživatele zpracovávat osobní údaje v tomto rozsahu:běžné osobní údaje,
zvláštní kategorie údajů podle čl. 9 GDPR, které Uživatel získal v souvislosti s vlastní obchodní činností.

2.5 Poskytovatel se zavazuje pro uživatele zpracovávat osobní údaje za účelem zpracování poptávek a požadavků klientů získaných z kontaktního formuláře.

2.6 Osobní údaje je možné zpracovávat pouze na pracovištích Poskytovatele nebo jeho subdodavatelů podle čl. 2.8 těchto podmínek, a to na území Evropské unie.

2.7 Poskytovatel se zavazuje pro Uživatele zpracovávat osobní údaje klientů Uživatele, to vše po dobu nezbytnou k výkonu práv a povinností vyplývajících ze smluvního vztahu mezi Poskytovatelem a Uživatelem a z uplatňování nároků z těchto smluvních vztahů (po dobu 15 let od ukončení smluvního vztahu).

2.8 Uživatel uděluje povolení se zapojením subdodavatele jakožto dalšího zpracovatele podle čl. 28 odst. 2 GDPR, kterým je poskytovatel hostingu aplikace. Uživatel dále uděluje Poskytovateli obecné povolení zapojit do zpracování dalšího zpracovatele osobních údajů, Poskytovatel však musí uživatele písemně informovat o všech zamýšlených změnách týkajících se přijetí dalších zpracovatelů nebo jejich nahrazení a poskytnout uživateli možnost vyslovit vůči těmto změnám námitky. Poskytovatel musí uložit svým subdodavatelům v postavení zpracovatele osobních údajů stejné povinnosti na ochranu osobních údajů, jak jsou stanoveny v těchto podmínkách.

2.9 Poskytovatel se zavazuje, že zpracovávání osobních údajů bude zabezpečeno zejména následujícím způsobem:Osobní údaje jsou zpracovávány v souladu s právními předpisy a na základě pokynů Uživatele, tj. pro výkon veškerých činností potřebných pro poskytování webové platformy.Poskytovatel se zavazuje, že technicky a organizačně zabezpečí ochranu zpracovávaných osobních údajů tak, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití a aby byly personálně a organizačně nepřetržitě po dobu zpracovávání údajů zabezpečeny veškeré povinnosti zpracovatele osobních údajů, vyplývající z právních předpisů.Přijatá technická a organizační opatření odpovídají míře rizika. Poskytovatel pomocí nich zajišťuje neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování, a včas obnovuje dostupnost osobních údajů a přístup k nim v případě fyzických či technických incidentů.Poskytovatel tímto prohlašuje, že ochrana osobních údajů podléhá interním bezpečnostním předpisům Poskytovatele.K osobním údajům budou mít přístup pouze oprávněné osoby Poskytovatele a subdodavatelů dle čl. 2.8 těchto podmínek, které budou mít Poskytovatelem stanoveny podmínky a rozsah zpracování údajů a každá taková osoba bude přistupovat k osobním údajům pod svým jednoznačným identifikátorem.Oprávněné osoby Poskytovatele, které zpracovávají osobní údaje podle těchto podmínek, jsou povinny zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo jejich zabezpečení. Poskytovatel zajistí jejich prokazatelné zavázání k této povinnosti. Poskytovatel zajistí, že tato povinnost pro Poskytovatele i oprávněné osoby bude trvat i po skončení pracovně právního nebo jiného vztahu k Poskytovateli.Poskytovatel bude uživateli nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění uživatelovy povinnosti reagovat na žádosti o výkon práv subjektu údajů stanovených v GDPR; stejně tak při zajišťování souladu s povinnostmi podle čl. 32 až 36 GDPR, a to při zohlednění povahy zpracování a informací, jež má Poskytovatel k dispozici.Po ukončení poskytování plnění, které je spojeno se zpracováním, dle čl. 2.7 těchto podmínek, je Poskytovatel povinen všechny osobní údaje vymazat, nebo je vrátit Uživateli, pokud nemá povinnost uložit osobní údaje na základě zvláštního zákona.Poskytovatel poskytne Uživateli veškeré informace potřebné k doložení toho, že byly splněny povinnosti podle této smlouvy a GDPR, umožní audity, včetně inspekcí, prováděné Uživatelem nebo jiným auditorem, kterého uživatel pověřil.

2.10 Uživatel se zavazuje neprodleně ohlašovat všechny jemu známé skutečnosti, které by mohly nepříznivě ovlivnit řádné a včasné plnění závazků vyplývajících z těchto podmínek na a poskytnout Poskytovateli součinnost nezbytnou pro plnění těchto podmínek.

III. Závěrečná ustanovení

3.1 Tyto podmínky pozbývají platnosti uplynutím doby uvedené v čl. 1.6 a čl. 2.7 těchto podmínek.

3.2 Uživatel souhlasí s těmito podmínkami zaškrtnutím souhlasu prostřednictvím internetového formuláře. Zaškrtnutím souhlasu vyjadřuje uživatel, že si tyto podmínky přečetl, že s nimi vyjadřuje svůj souhlas a že je v celém rozsahu akceptuje.

3.3 Poskytovatel je oprávněn tyto podmínky změnit. Poskytovatel je povinen bez zbytečného odkladu zveřejnit novou verzi podmínek na svých internetových stránkách, popř. zašle novou verzi Uživateli na jeho e-mailovou adresu.

3.4 Kontaktní údaje Poskytovatele ve věcech týkajících se těchto podmínek: +420 775 935 091, director@bfresh.cz

3.5 Vztahy těmito podmínkami výslovně neupravené se řídí GDPR a právním řádem České republiky, zejména zákonem č. 89/2012 Sb., občanský zákoník, v platném znění.

Tyto podmínky nabývají účinnosti dnem 12.7.2023

I. Data Protection

1.1 By submitting personal data, the user confirms that they understand the terms of data protection, agree to its content, and accept it in full.

1.2 The Provider is the controller of personal data of users in accordance with Article 4(7) of Regulation (EU) 2016/679 of the European Parliament and of the Council on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (hereinafter “GDPR”). The Provider undertakes to process personal data in compliance with legal regulations, particularly GDPR.

1.3 Personal data includes all information regarding an identified or identifiable natural person; an identifiable natural person is one who can be identified, directly or indirectly, especially by reference to a particular identifier, such as a name, identification number, location data, network identifier, or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural, or social identity of that natural person.

1.4 When placing an order, personal data required for the successful processing of the order (name, address, contact) is requested. The purpose of processing personal data is to fulfill the user’s order and to exercise the rights and obligations arising from the contractual relationship between the Provider and the User. Further, the purpose of processing personal data includes sending commercial communications and other marketing activities. The legal grounds for processing personal data include contract performance under Article 6(1)(b) GDPR, the controller’s legal obligation under Article 6(1)(c) GDPR, and the legitimate interest of the Provider under Article 6(1)(f) GDPR, where the legitimate interest of the Provider is the processing of personal data for direct marketing purposes.

1.5 The Provider uses subcontractor services to fulfill the licensing agreement, primarily a mailing service provider (personal data are stored in third countries) and a web hosting provider. Subcontractors are vetted for secure processing of personal data. The Provider and the web hosting subcontractor have entered into a data processing agreement, under which the subcontractor is responsible for adequately securing the physical, hardware, and software perimeters and bears direct liability towards the user for any breach or leak of personal data.

1.6 The Provider stores personal data of the user for the time necessary to exercise rights and obligations arising from the contractual relationship between the Provider and the User and to assert claims from these contractual relationships (for 15 years from the end of the contractual relationship). After this period, the data will be deleted.

1.7 The user has the right to request access to their personal data under Article 15 GDPR, correction of personal data under Article 16 GDPR, or restriction of processing under Article 18 GDPR. The user has the right to delete personal data under Article 17(1)(a), (c)–(f) GDPR. Furthermore, the user has the right to object to processing under Article 21 GDPR and the right to data portability under Article 20 GDPR.

1.8 The user has the right to file a complaint with the Office for Personal Data Protection if they believe their personal data protection rights have been violated.

1.9 The user is not obligated to provide personal data. However, providing personal data is a necessary requirement for concluding and fulfilling the contract, and without it, it is not possible to conclude or perform the contract from the Provider's side.

1.10 The Provider does not engage in automated individual decision-making as defined by Article 22 GDPR.

1.11 By filling out the contact form, the user agrees to the use of their personal data for electronic sending of commercial communications, advertising materials, direct sales, market research, and direct product offers by the Provider and third parties, but no more than once per week. The user also declares that they do not consider the information sent under point

1.11.1 as unsolicited advertising as defined in Act No. 40/1995 Coll., as amended, since the user explicitly consents to receiving such information under § 7 of Act No. 480/2004 Coll. This consent may be revoked by the user at any time in writing at director@bfresh.cz.

1.12 The Provider uses cookies for the purpose of service quality improvement, offer personalization, anonymous data collection, and analytics. By using the website, the user consents to this technology.

II. Rights and Obligations between Controller and Processor (Processing Agreement)

2.1 The Provider acts as the processor of personal data of users' clients under Article 28 GDPR. The User is the controller of this data.

2.2 These terms govern the mutual rights and obligations in processing personal data, which the Provider has access to in connection with fulfilling the licensing agreement concluded by agreeing to the general terms and conditions on www.bfresh.cz (hereinafter the “Licensing Agreement”) concluded with the User as of the creation of the user account.

2.3 The Provider undertakes to process personal data for the User to the extent and for the purposes set forth in Articles 2.4–2.7 of these terms. The processing will be automated, and the Provider will collect, store, maintain, block, and dispose of personal data. The Provider is not authorized to process personal data beyond or contrary to the scope defined in these terms.

2.4 The Provider undertakes to process the following personal data for the User: common personal data and special categories of data under Article 9 GDPR, which the User has obtained in connection with their business activity.

2.5 The Provider agrees to process personal data for the User to handle inquiries and requests from clients obtained via the contact form.

2.6 Personal data may only be processed at the Provider’s or their subcontractors’ premises under Article 2.8 of these terms, within the European Union.

2.7 The Provider undertakes to process the personal data of the User’s clients for the time necessary to exercise rights and obligations arising from the contractual relationship between the Provider and the User and to assert claims from these contractual relationships (for 15 years from the end of the contractual relationship).

2.8 The User grants permission to engage a subcontractor as an additional processor under Article 28(2) GDPR, namely the application hosting provider. The User also grants the Provider general authorization to engage another processor of personal data, provided the Provider informs the User in writing of any intended changes regarding the appointment or replacement of additional processors and provides the User an opportunity to object to these changes. The Provider must impose the same data protection obligations on its subcontractors as set forth in these terms.

2.9 The Provider undertakes that personal data processing will be secured as follows: Personal data is processed in compliance with legal regulations and based on the User’s instructions, i.e., to perform all activities necessary to provide the web platform. The Provider will ensure the technical and organizational protection of personal data so that it cannot be accessed, altered, destroyed, or lost without authorization, transferred unlawfully, or otherwise misused, ensuring constant confidentiality, integrity, availability, and resilience of processing systems and timely recovery of personal data in case of physical or technical incidents. The Provider declares that personal data protection is subject to the Provider’s internal security policies. Access to personal data will be restricted to authorized persons of the Provider and subcontractors under Article 2.8 of these terms. Each such person will access personal data under a unique identifier, and each person must maintain the confidentiality of the personal data and security measures, ensuring compliance even after the end of their relationship with the Provider.

2.10 The User agrees to report promptly any facts they become aware of that could negatively impact the proper and timely fulfillment of obligations under these terms and to cooperate with the Provider as necessary to fulfill these terms.

III. Final Provisions

3.1 These terms expire at the end of the period specified in Articles 1.6 and 2.7.

3.2 The User agrees to these terms by ticking consent via the online form. By ticking consent, the User affirms that they have read these terms, agree with them, and fully accept them.

3.3 The Provider is authorized to modify these terms. The Provider must publish the new version of the terms on their website without undue delay or send it to the User’s email address.

3.4 Provider’s contact information concerning these terms: +420 775 935 091, director@bfresh.cz

3.5 Matters not expressly governed by these terms are subject to GDPR and the legal system of the Czech Republic, particularly Act No. 89/2012 Coll., the Civil Code, as amended.

These terms take effect on July 12, 2023.