I. Smluvní strany a základní definice

Správce osobních údajů

Crisma Network s. r. o.

  • Sídlo: Chudenická 1059/30, Hostivař, Praha 10, PSČ 102 00

  • IČO: 11799005

  • DIČ: CZ11799005

  • Registrace: Obchodní společnost zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, sp. zn. C 354693

  • (dále jen „Správce“)

Správce je provozovatelem webových stránek, poskytovatelem služeb a dalších projektů (dále jen „Služby“), zejména je pak společností spojenou s provozem a podporou BNI pro Českou republiku, kdy BNI je největší světovou organizací pro obchodní networking a doporučování. Při provozu uvedených Služeb Správce zpracovává osobní údaje fyzických osob jako správce ve smyslu čl. 4 odst. 7 nařízení GDPR.

Základní pojmy

  • Osobní údaje: Veškeré informace, které se vztahují k identifikované nebo identifikovatelné fyzické osobě (subjektu údajů). Identifikovatelná je každá fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, např. jméno, rodné či identifikační číslo, adresné a kontaktní údaje a podobně.

  • Subjekt údajů: Pro účely těchto Zásad fyzická osoba, jejíž osobní údaje jsou Správcem zpracovávány.

  • Zpracování osobních údajů: Jakákoli operace nebo soubor operací s osobními údaji, která je prováděna pomocí či bez pomoci automatizovaných postupů, jako je shromažďování, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení či pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoli jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.

  • Zpracovatel: Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro Správce na základě smlouvy o zpracování osobních údajů dle čl. 28 nařízení GDPR.

  • Právní rámec: Právní rámec, kterým se Správce při zpracování osobních údajů řídí, tvoří zejména nařízení Evropského parlamentu a Rady (EU) č. 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „nařízení GDPR“), zákon č. 110/2019 Sb., o zpracování osobních údajů, a zákon č. 480/2004 Sb., o některých službách informační společnosti, ve znění pozdějších předpisů.

II. Kategorie subjektů údajů, účely a právní základy zpracování

1. Registrace na setkání (meetingy)

  • Právní základ (Organizace): Zpracování pro účely registrace, organizace a administrace setkání je nezbytné pro plnění smlouvy nebo pro provedení opatření před uzavřením smlouvy podle čl. 6 odst. 1 písm. b) GDPR. Pokud nevzniká smluvní vztah, je založeno na oprávněném zájmu Správce podle čl. 6 odst. 1 písm. f) GDPR, spočívajícím v organizaci profesionálních networkingových setkání a komunikaci s účastníky.

  • Právní základ (Marketing Správce): Zpracování za účelem zasílání marketingových sdělení Správcem je založeno na souhlasu subjektu údajů podle čl. 6 odst. 1 písm. a) GDPR, pokud není podle platných právních předpisů k dispozici jiný právní základ.

  • Právní základ (Partneři): Předání osobních údajů eventovým partnerům pro jejich vlastní marketingovou komunikaci je založeno na samostatném souhlasu subjektu údajů podle čl. 6 odst. 1 písm. a) GDPR.

  • Účel zpracování: Organizace a administrace setkání, komunikace s účastníky, vedení evidence účasti, networking související s akcí, následná komunikace a, pokud byl udělen souhlas, zasílání marketingových sdělení a sdílení vybraných kontaktních údajů s konkrétně uvedenými eventovými partnery pro jejich vlastní následnou komunikaci a marketingová sdělení.

2. Odběratelé newsletteru

Správce zpracovává osobní údaje osob, které se prostřednictvím webových stránek či jiných formulářů přihlásí k odběru newsletteru (e-mailových obchodních sdělení).

  • Rozsah zpracovávaných údajů: E-mailová adresa, případně jméno a příjmení a další údaje uvedené ve formuláři pro odběr newsletteru.

  • Právní základ: Souhlas subjektu údajů (čl. 6 odst. 1 písm. a) nařízení GDPR a § 7 zákona č. 480/2004 Sb.). Souhlas může být kdykoli odvolán prostřednictvím odkazu pro odhlášení v každém zaslaném e-mailu.

  • Účel zpracování: Zasílání informací, novinek a dalších obchodních sdělení.

3. E-mailové kampaně s využitím veřejně dostupných databází

Správce využívá službu Bizmachine, databázového brokera, který poskytuje kontaktní údaje z veřejně dostupných zdrojů. Tyto údaje Správce využívá pro účely přímého marketingu (e-mailové kampaně).

  • Rozsah zpracovávaných údajů: Obchodní firma / jméno, e-mailová adresa, případně telefonní číslo a další veřejně dostupné kontaktní údaje.

  • Právní základ: Oprávněný zájem Správce (čl. 6 odst. 1 písm. f) nařízení GDPR), spočívající v přímém marketingu vlastních služeb. Každý e-mail obsahuje možnost odhlášení (unsubscribe). Po odhlášení je adresát automaticky vyřazen z dalších kampaní.

  • Účel zpracování: Přímý marketing – nabídka služeb Správce.

4. Návštěvníci webových stránek

Při návštěvě webových stránek Správce může docházet ke zpracování osobních údajů prostřednictvím analytických a marketingových nástrojů.

  • Rozsah zpracovávaných údajů: IP adresa, typ prohlížeče, operační systém, údaje o chování na webových stránkách (navštívené stránky, čas strávený na stránce, zdroj návštěvy), soubory cookies a další elektronické identifikátory.

  • Právní základ: Souhlas subjektu údajů (čl. 6 odst. 1 písm. a) nařízení GDPR) udělený prostřednictvím cookies lišty; u technicky nezbytných cookies oprávněný zájem Správce (čl. 6 odst. 1 písm. f) nařízení GDPR).

  • Účel zpracování: Analýza návštěvnosti, zlepšování služeb, cílení marketingových sdělení.

III. Příjemci osobních údajů a zpracovatelé

Správce předává osobní údaje následujícím kategoriím příjemců:

1. Zpracovatelé – poskytovatelé technologických služeb

  • Brevo (Sendinblue): Platforma pro zasílání e-mailových kampaní a newsletterů. Brevo zpracovává e-mailové adresy, jména a údaje o interakci s e-maily (otevření, kliknutí, odhlášení). Zprocessed na základě smlouvy o zpracování osobních údajů (Data Processing Agreement).

  • SwipeScale: CRM systém s prvky umělé inteligence pro automatizaci obchodních procesů. Zpracovává kontaktní údaje, historii komunikace a další údaje nezbytné pro řízení vztahů se zákazníky.

  • Google Analytics (nebo srovnatelný analytický nástroj): Služba pro analýzu návštěvnosti webových stránek. Zpracovává anonymizované či pseudonymizované údaje o chování uživatelů na webu (cookies, IP adresa).

  • Bizmachine: Databázový broker poskytující veřejně dostupné kontaktní údaje. Správce získává od tohoto poskytovatele veřejně dostupné obchodní kontakty pro účely přímého marketingu.

  • Platformy sociálních sítí (např. LinkedIn a další): Správce používá pluginy a propojovací nástroje sociálních sítí. Podmínky zpracování osobních údajů se řídí zásadami příslušných provozovatelů sociálních sítí.

2. Spolupracující společnosti (Samostatní správci)

Správce dále předává osobní údaje následujícím spolupracujícím společnostem:

Partner A: Společnost Vlastní cesta s.r.o.

  • Sídlo: Tichého 426/11, Žabovřesky, 616 00 Brno

  • IČO: 29212154 (zapsaná v obchodním rejstříku vedeném Krajským soudem v Brně, sp. zn. C 66074)

  • Účel předání: Networking související s akcí, následná komunikace po akci a vlastní marketingová komunikace Partnera, za podmínek splnění požadavků GDPR na transparentnost a souhlas.

  • Rozsah předávaných údajů: Jméno, příjmení, název společnosti, pracovní pozice, e-mailová adresa a telefonní číslo, pokud byly subjektem údajů poskytnuty.

  • Právní základ: Souhlas subjektu údajů podle čl. 6 odst. 1 písm. a) GDPR pro marketingovou komunikaci Partnera. Pro omezenou administraci a networking související s akcí může Správce vycházet z oprávněného zájmu podle čl. 6 odst. 1 písm. f) GDPR.

Partner B: Společnost SEBA Academy s.r.o.

  • Sídlo: Kolbenova 762/6, Vysočany, 190 00 Praha 9

  • IČO: 19974451 (zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, sp. zn. C 394897)

  • Účel předání: Networking související s akcí, následná komunikace po akci a vlastní marketingová komunikace Partnera, za podmínek splnění požadavků GDPR na transparentnost a souhlas.

  • Rozsah předávaných údajů: Jméno, příjmení, název společnosti, pracovní pozice, e-mailová adresa a telephone číslo, pokud byly subjektem údajů poskytnuty.

  • Právní základ: Souhlas subjektu údajů podle čl. 6 odst. 1 písm. a) GDPR pro marketingovou komunikaci Partnera. Pro omezenou administraci a networking související s akcí může Správce vycházet z oprávněného zájmu podle čl. 6 odst. 1 písm. f) GDPR.

Poučení o postavení partnerů a souhlasu: Partneři vystupují jako samostatní správci pro svou vlastní následnou komunikaci po akci a marketing. Partneři odpovídají za dodržování GDPR a příslušných pravidel pro elektronickou marketingovou komunikaci ve vztahu ke svým vlastním sdělením. Osobní údaje jsou Partnerům předávány pro jejich vlastní marketingovou komunikaci pouze v případě, že subjekt údajů udělil samostatný, konkrétní a svobodný souhlas. Tento souhlas je získáván odděleně od registrace na akci a není podmínkou účasti na akci. Subjekt údajů může souhlas kdykoli odvolat, aniž by tím byla dotčena zákonnost zpracování založeného na souhlasu před jeho odvoláním.

IV. Předávání osobních údajů do třetích zemí

Někteří ze zpracovatelů uvedených výše mohou mít sídlo nebo servery mimo Evropský hospodářský prostor (EHP). V takovém případě Správce zajistí, aby předání osobních údajů probíhalo v souladu s kapitolou V nařízení GDPR, zejména na základě rozhodnutí Evropské komise o odpovídající úrovni ochrany, standardních smluvních doložek nebo jiných vhodných záruk ve smyslu čl. 46 nařízení GDPR.

V. Soubory cookies a elektronické identifikátory

Správce při provozu svých webových stránek používá soubory cookies a další elektronické identifikátory. Cookies jsou malé textové soubory ukládané do zařízení uživatele při návštěvě webových stránek. Správce rozlišuje následující kategorie cookies:

  • Technicky nezbytné cookies: Jsou nutné pro správné fungování webových stránek a nelze je vypnout. Zpracování probíhá na základě oprávněného zájmu Správce.

  • Analytické cookies: Umožňují Správci analyzovat využití webových stránek a zlepšovat je (např. Google Analytics). Zpracování na základě souhlasu.

  • Marketingové cookies: Slouží k cílení reklamy a personalizaci obsahu (např. platformy sociálních sítí). Zpracování na základě souhlasu.

Souhlas s cookies je udělován prostřednictvím cookies lišty zobrazované při první návštěvě webových stránek. Uživatel může svůj souhlas kdykoli odvolat nebo změnit své preference v nastavení cookies.

VI. Automatizované rozhodování a profilování

Správce využívá v rámci CRM systému SwipeScale prvky automatizace s využitím umělé inteligence. Tyto nástroje mohou provádět automatizované operace, jako je segmentace kontaktů, automatické odesílání zpráv či hodnocení potenciálních zákazníků (lead scoring).

Toto zpracování nemá právní účinky ani obdobné významné dopady na subjekty údajů ve smyslu čl. 22 nařízení GDPR. Subjekty údajů mají vždy právo požádat o lidský přezkum automatizovaného rozhodnutí.

VII. Doba uchovávání osobních údajů

Správce uchovává osobní údaje po dobu nezbytnou k naplnění účelů zpracování, případně po dobu stanovenou právními předpisy. Konkrétně:

  • Smluvní vztah: Po dobu jeho trvání a následně po dobu běhu promlčecích lhůt (zpravidla 3 roky, nejdéle 10 let dle občanského zákoníku).

  • Zpracování na základě souhlasu: Do odvolání souhlasu subjektem údajů, nejdéle však po dobu 5 let od udělení souhlasu, pokud není souhlas obnoven.

  • Zpracování na základě oprávněného zájmu: Do vznesení úspěšné námitky subjektem údajů nebo do okamžiku, kdy oprávněný zájem pomine.

  • E-mailové kampaně (Bizmachine / Brevo): Do odhlášení z odběru (unsubscribe) nebo do vznesení námitky.

  • Daňové a účetní doklady: Po dobu stanovenou zákonem (zpravidla 5–10 let).

  • Údaje o registraci na akci: Osobní údaje zpracovávané pro účely registrace a administrace akce jsou uchovávány po dobu nejvýše 3 let od příslušné akce, pokud není delší doba uchování nezbytná pro určení, výkon nebo obhajobu právních nároků nebo pro splnění zákonných povinností.

  • Záznamy o souhlasu: Záznamy o souhlasech, včetně souhlasu s marketingovou komunikací a souhlasu s předáním osobních údajů eventovým partnerům, jsou uchovávány po dobu trvání souhlasu a po přiměřenou dobu poté za účelem prokázání souladu s GDPR.

  • Odhlášené kontakty: Pokud se subjekt údajů odhlásí z marketingové komunikace nebo vznese námitku proti přímému marketingu, může Správce uchovávat nezbytné kontaktní údaje v seznamu vyloučených kontaktů, aby zajistil, že této osobě nebudou zasílána další marketingová sdělení.

VIII. Práva subjektů údajů

Správce garantuje subjektům údajů v souvislosti se zpracováním osobních údajů následující práva vyplývající z nařízení GDPR a zákona č. 110/2019 Sb.:

  • Právo na přístup k osobním údajům (čl. 15 GDPR): Právo získat potvrzení, zda jsou osobní údaje zpracovávány, přístup k nim a další informace.

  • Právo na opravu (čl. 16 GDPR): Právo na opravu nepřesných a doplnění neúplných osobních údajů.

  • Právo na výmaz (čl. 17 GDPR): Právo požadovat výmaz osobních údajů, pokud jsou splněny zákonné podmínky (např. odvolání souhlasu, nadbytečnost).

  • Právo na omezení zpracování (čl. 18 GDPR): Právo požadovat omezení zpracování (např. při popření přesnosti údajů).

  • Právo na přenositelnost údajů (čl. 20 GDPR): Právo získat své osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu.

  • Právo vznést námitku (čl. 21 GDPR): Právo kdykoli vznést námitku proti zpracování založenému na oprávněném zájmu. V případě přímého marketingu Správce zpracování vždy ukončí bez dalšího.

  • Právo nebýt předmětem automatizovaného rozhodování (čl. 22 GDPR): Právo nebýt předmětem rozhodnutí založeného výlučně na automatizovaném zpracování včetně profilování s právními či významnými účinky.

  • Právo odvolat souhlas: Pokud je zpracování založeno na souhlasu, lze jej kdykoli odvolat bez dopadu na zákonnost zpracování před odvoláním.

Jak uplatnit svá práva

Pro uplatnění svých práv může subjekt údajů kontaktovat Správce:

  • E-mail: national_office@bni-czechia.com

  • Předmět zprávy: GDPR – zpracování osobních údajů

Subjekty údajů jsou rovněž oprávněny podat stížnost u dozorového úřadu:

  • Dozorový úřad: Úřad pro ochranu osobních údajů

  • Adresa: Pplk. Sochora 27, 170 00 Praha 7

  • E-mail: posta@uoou.cz

  • Datová schránka: qkbaa2n

  • Web: www.uoou.cz

IX. Zabezpečení osobních údajů

Správce přijal vhodná technická a organizační opatření k zabezpečení osobních údajů, zejména opatření k zajištění důvěrnosti, integrity a dostupnosti zpracovávaných osobních údajů, v souladu s čl. 32 nařízení GDPR.

X. Závěrečná ustanovení

  1. Tyto Zásady ochrany osobních údajů se řídí nařízením GDPR, zákonem č. 110/2019 Sb., o zpracování osobních údajů, a zákonem č. 480/2004 Sb., o některých službách informační společnosti, ve znění pozdějších předpisů.

  2. Správce si vyhrazuje právo tyto Zásady změnit v případě změn v právní úpravě, změn v činnosti Správce nebo změn v technologických řešeních používaných při zpracování osobních údajů. Aktuální znění bude vždy zveřejněno na webových stránkách Správce.

  3. Správce při své činnosti neprovádí systematické předávání osobních údajů mimo země EU/EHP s výjimkou případů uvedených v článku IV těchto Zásad.

  4. Tyto Zásady ochrany osobních údajů jsou účinné ode dne 01.01.2026.