Privacy Policy

Effective from: 25.05.2025

I. Introductory Provisions

The purpose of this Privacy Policy (hereinafter referred to as the "Policy") is to provide you, as users of the AreteApp and Diamond Studio platforms, your representatives, or other affected natural persons (hereinafter collectively referred to as "data subjects"), with comprehensive information on how UMARUTTI s.r.o., as the data controller (hereinafter referred to as the "Controller" or "we"), collects, uses, stores, and otherwise processes your personal data.

The Controller undertakes to protect your personal data in full compliance with the applicable legal regulations of the Czech Republic and the European Union. The processing of personal data is carried out primarily in accordance with the following legal regulations:

Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation – hereinafter referred to as "GDPR").
Act No. 110/2019 Coll., on the Processing of Personal Data, as amended (hereinafter referred to as the "Personal Data Processing Act").
Act No. 253/2008 Coll., on Certain Measures against the Legalization of Proceeds from Criminal Activity and the Financing of Terrorism, as amended (hereinafter referred to as the "AML Act").
Act No. 480/2004 Coll., on Certain Information Society Services and on Amendments to Certain Acts, as amended, in relevant cases.

The Controller is aware that in addition to these general regulations, specific legal obligations may exist, such as those arising from Act No. 253/2008 Coll., on Certain Measures against the Legalization of Proceeds from Criminal Activity and the Financing of Terrorism, as amended (hereinafter referred to as the "AML Act"), which may, in certain cases, modify or limit the exercise of certain rights of data subjects for the purpose of fulfilling public interest and ensuring the effectiveness of measures against money laundering and terrorist financing.

This Policy is designed to be clear, comprehensible, and transparent, as required by the principles of GDPR. The AreteApp and Diamond Studio platforms are primarily intended for wholesale (B2B) cooperation with business entities. However, the Controller is aware that within this cooperation, personal data of natural persons representing or acting for these business entities (e.g., employees, statutory bodies) are processed. Furthermore, in connection with the Diamond Studio platform, the Controller may act as a processor of personal data for its users who present goods to their own clients through this platform. Details regarding this role are provided in the Terms of Use of the AreteApp and Diamond Studio platform and in the relevant sections of this Policy.

II. Data Controller

The controller of your personal data is the business company:

UMARUTTI s.r.o.

Registered office: Kozí 916/5, Staré Město, 110 00 Prague 1

Company Reg. No.: 41690885

VAT ID: CZ41690885

Registered in the Commercial Register maintained by the Municipal Court in Prague, Section C, Insert 3999.5

Contact details for personal data protection matters:

Email: privacy{'@'}areteapp.eu

Phone: +420,606 751,525

Contact person: Vladimír Kondratěnko

Address: Umarutti s.r.o., Kozí 916/5, 110 00 Prague 1, Czech Republic

For inquiries and exercising rights in the area of personal data protection, you may use the email address provided above, or contact the Data Protection Officer using the contact details below, if appointed, or the specialized contact mentioned in Chapter XIV of this Policy. Ensuring a clear and accessible communication channel for personal data protection matters is a priority for the Controller so that data subjects can effectively exercise their rights under GDPR.

III. Data Protection Officer (DPO)

UMARUTTI s.r.o. has appointed a Data Protection Officer who oversees compliance of personal data processing with legal regulations across all company activities, including wholesale and retail sales. The Data Protection Officer is Mr. Vladimír Kondratěnko, the company's executive director. You can contact the DPO regarding all matters related to the processing of your personal data and the exercise of your rights under GDPR. The contact details for the Data Protection Officer are as follows: Email privacy{'@'}areteapp.eu, phone +420,606 751,525, postal address Kozí 916/5, 110 00 Prague 1.

For effective communication in personal data protection matters, we recommend primarily using the email address privacy{'@'}areteapp.eu.

IV. Principles of Personal Data Processing

When processing your personal data, the Controller strictly adheres to the fundamental principles set out in Article 5 of the GDPR. These principles form the basic framework for all processing operations and are binding on the Controller. These are the following principles:

Lawfulness, fairness, and transparency:

Personal data are processed on the basis of at least one valid legal title, fairly, and in a manner that is comprehensible and open to data subjects.

Purpose limitation:

Personal data are collected for specified, explicit, and legitimate purposes and must not be further processed in a manner that is incompatible with those original purposes.

Data minimisation:

Processed personal data are adequate, relevant, and limited to what is necessary in relation to the purposes for which they are processed. This is reflected, for example, in the design of registration forms and the scope of information required for individual services.

Accuracy:

The Controller ensures that processed personal data are accurate and, where necessary, kept up to date. It takes all reasonable steps to ensure that personal data that are inaccurate, having regard to the purposes for which they are processed, are erased or rectified without delay.

Storage limitation:

Personal data are kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed. After this period, the data are either erased or anonymised, unless legal regulations stipulate otherwise.

Integrity and confidentiality:

Personal data are processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction, or damage, using appropriate technical or organisational measures.

Accountability of the Controller:

The Controller is responsible for, and must be able to demonstrate, compliance with the above principles.

Stating these principles is not merely a formal requirement; the Controller actively implements these principles into its internal processes and daily operations to ensure the genuine protection of your personal data.

V. Účely zpracování, kategorie osobních údajů, právní základ a doba uchování

Tato kapitola poskytuje detailní přehled o tom, pro jaké účely Správce Vaše osobní údaje zpracovává, jaké kategorie osobních údajů jsou pro tyto účely relevantní, na jakém právním základě tak činí a po jakou dobu budou Vaše osobní údaje uchovávány. Přehlednost těchto informací je klíčová pro naplnění principu transparentnosti dle GDPR.

Následující tabulka shrnuje hlavní činnosti zpracování osobních údajů prováděné Správcem:

Účel zpracování	Kategorie zpracovávaných osobních údajů	Právní základ pro zpracování (dle GDPR)	Doba uchování osobních údajů
1. Registrace a správa uživatelského účtu na platformách AreteApp a Diamond Studio	Identifikační údaje (jméno, příjmení kontaktní osoby, název společnosti, IČO, DIČ), kontaktní údaje (e-mail, telefonní číslo, adresa sídla/provozovny), přihlašovací údaje (uživatelské jméno, heslo – v bezpečně hashované formě).	Plnění smlouvy (poskytování služeb platformy dle Podmínek užívání) – čl. 6 odst. 1 písm. b) GDPR.	Po dobu trvání Vaší registrace na platformě. Po zrušení účtu mohou být některé údaje uchovávány po dobu nezbytnou pro ochranu právních nároků Správce (zpravidla 3-5 let). Podmínky užívání stanoví možnost exportu dat do 30 dnů od zrušení účtu, poté budou data smazána nebo anonymizována, pokud právní předpisy nevyžadují delší uchování.
2. Zpracování a vyřizování objednávek zboží (diamanty, šperky atd.)	Identifikační a kontaktní údaje Kupujícího (jak uvedeno výše), údaje o objednávce, doručovací adresa, fakturační údaje, platební informace.	Plnění kupní smlouvy – čl. 6 odst. 1 písm. b) GDPR.	Po dobu nezbytnou k úplnému vyřízení objednávky. Následně po dobu stanovenou příslušnými právními předpisy pro archivaci (typicky 10 let pro daňové doklady).
3. Plnění povinností v oblasti AML	Identifikační údaje klienta, kopie dokladů totožnosti, informace o původu prostředků, a další údaje vyžadované AML zákonem.	Plnění právní povinnosti – GDPR (ve spojení s AML zákonem).	Zpravidla 10 let od uskutečnění obchodu nebo ukončení vztahu.
4. Poskytování funkcionalit platformy Diamond Studio (Správce v roli zpracovatele)	Osobní údaje klientů Uživatele platformy Diamond Studio, které Uživatel nahraje.	Plnění smlouvy o zpracování osobních údajů. Uživatel je odpovědný za zajištění vlastního právního základu.	Po dobu poskytování služby a v souladu s pokyny Uživatele.
5. Komunikace s uživateli a zákaznická podpora	Jméno a příjmení, e-mailová adresa, telefonní číslo, obsah komunikace.	Oprávněný zájem Správce na poskytování podpory – GDPR. Případně plnění smlouvy.	Po dobu nezbytnou k vyřízení dotazu. Následně mohou být uchovávány po přiměřenou dobu (např. 1-3 roky).
6. Zasílání obchodních sdělení (marketing)	E-mailová adresa, jméno a příjmení, adresa (pro poštovní zásilky), údaje z veřejných zdrojů (jméno, příjmení, adresa pro B2B poštovní marketing), případně informace o preferencích či historii nákupů.	Pro stávající B2B zákazníky (e-mail): Oprávněný zájem – GDPR, § 7 odst. 3 zákona č. 480/2004 Sb. Pro B2B subjekty ve šperkařském odvětví (pošta): Oprávněný zájem – čl. 6 odst. 1 písm. f) GDPR (viz níže). Pro ostatní případy: Souhlas – čl. 6 odst. 1 písm. a) GDPR.	Do odvolání souhlasu nebo vznesení námitky. Pro jednorázové poštovní kampaně: Jednorázově, nejdéle do vznesení námitky.
7. Analýza využívání platforem a jejich vylepšování	IP adresa, údaje o zařízení a prohlížeči, údaje o používání platformy, údaje z cookies.	Pro nezbytné cookies: Oprávněný zájem – GDPR. Pro ostatní cookies: Souhlas – GDPR.	Dle typu cookie, specifikováno v Zásadách používání cookies.
8. Zajištění bezpečnosti a ochrana právních nároků	IP adresy, systémové logy, údaje o transakcích, obsah komunikace.	Oprávněný zájem Správce – GDPR.	Po dobu nezbytně nutnou, následně po dobu promlčecích lhůt (zpravidla 3-5 let).
9. Plnění dalších zákonných povinností	Různé kategorie osobních údajů dle konkrétní povinnosti.	Plnění právní povinnosti – GDPR.	Po dobu stanovenou příslušným předpisem.

Specifika zpracování pro AML účely: Zpracování osobních údajů pro účely plnění povinností dle AML zákona (bod 3 tabulky) se řídí specifickými pravidly stanovenými AML zákonem. Tato pravidla, zejména § 17a (omezení informační povinnosti) a § 38 (povinnost mlčenlivosti) AML zákona, mohou omezit výkon některých Vašich práv jako subjektu údajů (např. právo na informace o zpracování, právo na přístup) s cílem neohrozit účel AML opatření a probíhající šetření. Podrobnější informace o těchto omezeních jsou uvedeny v kapitole IX těchto Zásad.

Důležité upřesnění k roli Správce a zpracovatele:

Je zásadní rozlišovat situace, kdy UMARUTTI s.r.o. vystupuje jako správce Vašich osobních údajů, a situace, kdy vystupuje jako zpracovatel.

UMARUTTI s.r.o. jako správce: Ve většině výše popsaných případů, zejména při Vaší registraci, zpracování Vašich objednávek, plnění AML povinností, marketingové komunikaci s Vámi či analýze využívání našich platforem, jsme správcem Vašich osobních údajů. To znamená, že my určujeme účely a prostředky zpracování.

UMARUTTI s.r.o. jako zpracovatel: Pokud využíváte platformu Diamond Studio k prezentaci zboží Vašim vlastním klientům a vkládáte do této platformy jejich osobní údaje, pak Vy (jako uživatel Diamond Studio) jste správcem těchto údajů a UMARUTTI s.r.o. vystupuje v roli zpracovatele. Zpracováváme tato data pouze na základě Vašich pokynů a v souladu se smlouvou o zpracování osobních údajů. V takovém případě je Vaší povinností jako správce informovat Vaše klienty o zpracování jejich osobních údajů a zajistit pro toto zpracování platný právní základ. Tyto Zásady se primárně vztahují na činnosti, kde UMARUTTI s.r.o. je správcem.

Právní základ "oprávněný zájem":

Pokud je jako právní základ pro zpracování uveden oprávněný zájem Správce (čl. 6 odst. 1 písm. f) GDPR), Správce vždy pečlivě posuzuje (prostřednictvím tzv. balančního testu), zda tento jeho zájem nepřevažuje nad Vašimi zájmy nebo základními právy a svobodami. Máte právo proti takovému zpracování vznést námitku, jak je popsáno v kapitole IX těchto Zásad.

Specifika zpracování pro účely přímého poštovního marketingu (Oprávněný zájem):

Zvláštním případem zpracování na základě oprávněného zájmu je zasílání tištěných reklamních nabídek (akvizičních katalogů) prostřednictvím pozemní pošty. Pro tento účel platí následující:

Právní základ: Právní základ: Zpracování je nezbytné pro účely oprávněných zájmů Správce ve smyslu čl. 6 odst. 1 písm. f) GDPR.
Kategorie: Kategorie osobních údajů: Zpracováváme pouze údaje získané z veřejně dostupných zdrojů, konkrétně: jméno, příjmení a adresa podnikatelských subjektů působících ve šperkařském odvětví.
Účel: Účel: Účelem je zasílání reklamních nabídek prostřednictvím pozemní pošty. K automatickému individuálnímu rozhodování ve smyslu čl. 22 nařízení nedochází.
Oprávněný zájem: Náš oprávněný zájem spočívá v přímém marketingu našich produktů a služeb relevantním podnikatelským subjektům. Bod 47 GDPR uvádí, že „zpracování osobních údajů pro účely přímého marketingu lze považovat za zpracování prováděné z důvodu oprávněného zájmu.“ Zákon č. 40/1995 Sb., o regulaci reklamy, umožňuje šíření nevyžádané reklamy v listinné podobě, pokud adresáta neobtěžuje a pokud adresát předem nedal najevo, že si ji nepřeje. Správce provedl posouzení a dospěl k závěru, že s ohledem na veřejný zdroj údajů, B2B povahu komunikace, relevanci nabídky pro oslovené subjekty, úhradu nákladů Správcem a možnost kdykoli odmítnout další zasílání, nepřevažují zájmy či práva subjektů údajů nad oprávněným zájmem Správce.
Doba uchování: Doba uložení: Osobní údaje pro tento účel budou zpracovávány jednorázově pro odeslání, nejdéle však do vznesení námitky proti zpracování nebo uplatnění práva na výmaz.
Příjemci: Příjemci: Dalšími příjemci mohou být osoby zajišťující pro Správce technické a doručovací služby související se zasíláním. Osobní údaje nebudou předány do třetí země.

VI. Sources of Personal Data

The Controller obtains personal data from the following sources:

Transparency regarding data sources is important to us, especially if the data does not come directly from you.

VII. Recipients of Personal Data and Transfers to Third Countries

The Controller may disclose or transfer your personal data to the following categories of recipients:

If some recipients are in the position of processors, the Controller has concluded a contract with them in accordance with Article 28 of the GDPR, which ensures the protection of your rights.

Transfer of personal data to third countries:

The Controller primarily strives to process data within the EU/EEA. Some IT service providers may be based outside the EU/EEA. If a transfer to a third country occurs, it is always in accordance with Chapter V of the GDPR, i.e., based on:

You have the right to request a copy of these safeguards. The Controller conducts regular audits of suppliers.

VIII. Security of Personal Data

The Controller has adopted and maintains appropriate technical and organizational measures to ensure the protection of your personal data, in accordance with Article 32 of the GDPR and considering the state of the art, costs, and risks. These measures include:

You are also responsible for protecting your access credentials. We recommend choosing strong passwords and changing them regularly. No data transmission is 100% secure, so please exercise caution.

IX. Rights of Data Subjects

The GDPR grants you a number of rights that you can exercise. The Controller is obliged to respond within one month (this period can be extended by two months). Please note that the exercise of some rights may be restricted by the AML Act (§ 17a, § 38).

You have the following rights:

Right of access (Art. 15 GDPR):

The right to obtain confirmation of processing and access to data and information. May be restricted by the AML Act.

Right to rectification (Art. 16 GDPR):

The right to rectify inaccurate and complete incomplete data. May be restricted by the AML Act.

Right to erasure (Art. 17 GDPR):

The right to erasure of data under specified conditions. It is not absolute; exceptions exist (e.g., the AML Act).

Right to restriction of processing (Art. 18 GDPR):

The right to restrict processing in certain cases. May be restricted by the AML Act.

Right to data portability (Art. 20 GDPR):

The right to receive and transmit data if processing is based on consent or a contract and is carried out by automated means.

Right to object (Art. 21 GDPR):

The right to object to processing based on legitimate interest. If data is processed for direct marketing purposes (including sending postal offers), you have the right to object at any time, and the data will no longer be processed.

Rights related to automated decision-making (Art. 22 GDPR):

The right not to be subject to a decision based solely on automated processing with significant effects, with exceptions.

Right to withdraw consent (Art. 7(3) GDPR):

The right to withdraw consent at any time if processing is based on it. Withdrawing consent must be easy.

Right to lodge a complaint (Art. 77 GDPR):

The right to lodge a complaint with a supervisory authority (in the Czech Republic, the Office for Personal Data Protection (ÚOOÚ)).

How to exercise your rights:

You can exercise your rights by e-mail or post using the contact details provided in Chap. II or XIV. Please provide sufficient identification and specify your request. We may ask you for additional identity verification.

X. Cookies and Similar Technologies

Our websites and platforms use cookies and similar technologies to ensure functionality, improve user experience, for analysis, and personalization. Cookies are small text files stored on your device.

Detailed information about the types of cookies, purposes, legal basis, and validity period can be found in our Cookie Policy, which is available on the website. There you will also find information on how to manage your preferences and consent.

XI. Automated Decision-Making and Profiling

We inform you about the use of automated decision-making and profiling.

Automatizované rozhodování s právními účinky: Automated decision-making with legal effects: The Controller does not carry out such decision-making. Key decisions are made with human review.

Profilování: Profiling for other purposes: We may use profiling to personalize content and offers and for segmentation for marketing purposes. This does not have legal or significant effects according to Art. 22 GDPR. You have the right to object to this.

If we introduce automated decision-making according to Art. 22 in the future, we will inform you in advance.

XII. Complaints and Contact Details of the Supervisory Authority

If you believe that there has been a breach of GDPR, you have the right to lodge a complaint with the Office for Personal Data Protection (ÚOOÚ).

Contact details of the ÚOOÚ:

Address: Pplk. Sochora 27, 170 00 Praha 7

Phone: +420,234 665,111

E-mail: posta{'@'}uoou.cz

Web: www.uoou.cz

Data Box ID: qkbaa2n3

However, we recommend that you contact us first, and we will try to resolve your concerns.

XIII. Changes to this Policy

The Controller is entitled to amend this Policy. You will be informed of any changes by publication on the website. In the event of substantial changes, we may also inform you by e-mail.

We recommend regularly reviewing the current version. The date of the last update is indicated at the beginning of the document. By continuing to use the platforms after the changes take effect, you express your consent.

XIV. Contact Details for Data Protection Matters

For all inquiries, requests, suggestions, or complaints, please contact:

Email: privacy{'@'}areteapp.eu

Phone: +420,606 751,525

Contact Person: Vladimír Kondratěnko

Address: Umarutti s.r.o., Kozí 916/5, 110 00 Prague 1, Czech Republic

Language Clause / Language Clause:

This document may be executed in Czech and in other language versions. In the event of any discrepancies between the Czech version and any other language version, the Czech version shall prevail. The only legally binding version of this document is the Czech language version. All translations into other languages are provided for informational purposes only and are not legally binding.