Integritetspolicy

Gäller från och med: 25.05.2025

I. Inledande bestämmelser

Syftet med dessa principer för skydd av personuppgifter (nedan ”Principerna”) är att ge Er, som användare av plattformarna AreteApp och Diamond Studio, Era representanter eller eventuellt andra berörda fysiska personer (nedan gemensamt ”registrerade”), heltäckande information om hur bolaget UMARUTTI s.r.o., i egenskap av personuppgiftsansvarig (nedan ”Personuppgiftsansvarig” eller ”vi”), samlar in, använder, lagrar och på annat sätt behandlar Era personuppgifter.

Den Personuppgiftsansvarige åtar sig att skydda Era personuppgifter i full överensstämmelse med gällande rättsregler i Tjeckien och Europeiska unionen. Behandlingen av personuppgifter sker särskilt i enlighet med följande rättsakter:

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (Allmän dataskyddsförordning – nedan ”GDPR”).
Lag nr 110/2019 Sb. om behandling av personuppgifter, i gällande lydelse (nedan ”Lagen om behandling av personuppgifter”).
Lag nr 253/2008 Sb. om vissa åtgärder mot legalisering av intäkter från brottslig verksamhet och finansiering av terrorism, i dess senare lydelser (nedan ”AML-lagen”).
Lag nr 480/2004 Sb. om vissa tjänster i informationssamhället och om ändring av vissa lagar, i gällande lydelse, i relevanta fall.

Den Personuppgiftsansvarige är medveten om att det, utöver dessa allmänna bestämmelser, kan finnas särskilda lagstadgade skyldigheter, såsom de som följer av lag nr 253/2008 Sb. om vissa åtgärder mot legalisering av intäkter från brottslig verksamhet och finansiering av terrorism, i dess senare lydelser (nedan ”AML-lagen”), vilka i vissa fall kan modifiera eller begränsa utövandet av vissa rättigheter för registrerade i syfte att tillgodose allmänintresset och säkerställa effektiviteten i åtgärder mot penningtvätt och finansiering av terrorism.

Dessa Principer är utformade för att vara tydliga, begripliga och transparenta, i enlighet med de principer som krävs enligt GDPR. Plattformarna AreteApp och Diamond Studio är i första hand avsedda för grossist-/B2B-samarbete med näringsidkare. Den Personuppgiftsansvarige är dock medveten om att detta samarbete innebär behandling av personuppgifter om fysiska personer som företräder eller agerar för dessa näringsidkare (t.ex. anställda, företrädare i bolagsorgan). Vidare kan den Personuppgiftsansvarige, i samband med plattformen Diamond Studio, agera i rollen som personuppgiftsbiträde för sina användare, som via denna plattform presenterar varor för sina egna kunder. Närmare uppgifter om denna roll anges i användarvillkoren för plattformarna AreteApp och Diamond Studio samt i relevanta avsnitt i dessa Principer.

II. Personuppgiftsansvarig (Data Controller)

Personuppgiftsansvarig för Era personuppgifter är följande bolag:

UMARUTTI s.r.o.

Säte: Kozí 916/5, Staré Město, 110 00 Praha 1

Organisationsnummer (IČO): 41690885

Momsregistreringsnummer (DIČ): CZ41690885

Registrerad i handelsregistret som förs av stadsdomstolen i Prag, avdelning C, akt 3999.5

Kontaktuppgifter i frågor som rör skydd av personuppgifter:

E-post: [email protected]

Telefon: +420 606 751 525

Kontaktperson: Vladimír Kondratěnko

Adress: Umarutti s.r.o., Kozí 916/5, 110 00 Praha 1, Tjeckien

För frågor och utövande av rättigheter inom området skydd av personuppgifter kan Ni använda ovan angiven e-post, alternativt kontakta nedan angivna kontaktuppgifter till dataskyddsombudet, om ett sådant har utsetts, eller den särskilda kontakt som anges i kapitel XIV i dessa Principer. Att säkerställa en tydlig och tillgänglig kommunikationskanal för frågor som rör skydd av personuppgifter är en prioritet för den Personuppgiftsansvarige, så att registrerade effektivt kan utöva sina rättigheter enligt GDPR.

III. Dataskyddsombud (Data Protection Officer - DPO)

Företaget UMARUTTI s.r.o. har utsett ett dataskyddsombud som övervakar att behandlingen av personuppgifter följer gällande rättsregler inom samtliga av företagets verksamheter, inklusive både grossist- och detaljhandelsförsäljning. Dataskyddsombud är herr Vladimír Kondratěnko, företagets verkställande direktör. Du kan kontakta dataskyddsombudet i alla frågor som rör behandlingen av dina personuppgifter och utövandet av dina rättigheter enligt GDPR. Dataskyddsombudets kontaktuppgifter är följande: E-post [email protected], telefon +420 606 751 525, postadress Kozí 916/5, 110 00 Praha 1.

För effektiv kommunikation i frågor som rör skyddet av personuppgifter rekommenderar vi att du i första hand använder e-postadressen [email protected].

IV. Principer för behandling av personuppgifter

Personuppgiftsansvarig följer vid behandlingen av dina personuppgifter konsekvent de grundläggande principer som fastställs i artikel 5 i GDPR. Dessa principer utgör den grundläggande ramen för all behandling och är bindande för den personuppgiftsansvarige. Det gäller följande principer:

Laglighet, korrekthet och transparens:

Personuppgifter behandlas med stöd av minst en giltig rättslig grund, på ett korrekt sätt och på ett sätt som är begripligt och öppet för de registrerade.

Ändamålsbegränsning:

Personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och får inte vidarebehandlas på ett sätt som är oförenligt med dessa ursprungliga ändamål.

Uppgiftsminimering:

De personuppgifter som behandlas är adekvata, relevanta och begränsade till vad som är nödvändigt i förhållande till de ändamål för vilka de behandlas. Detta återspeglas exempelvis i utformningen av registreringsformulär och omfattningen av den information som krävs för respektive tjänst.

Korrekthet:

Den personuppgiftsansvarige säkerställer att de personuppgifter som behandlas är korrekta och vid behov uppdaterade. Den vidtar alla rimliga åtgärder för att personuppgifter som är felaktiga med hänsyn till de ändamål för vilka de behandlas utan dröjsmål raderas eller rättas.

Lagringsminimering:

Personuppgifter lagras i en form som möjliggör identifiering av de registrerade endast så länge som är nödvändigt för att uppfylla de ändamål för vilka de behandlas. Efter utgången av denna period raderas uppgifterna eller anonymiseras, om inte lagstiftningen föreskriver annat.

Integritet och konfidentialitet:

Personuppgifter behandlas på ett sätt som säkerställer lämplig säkerhet, inklusive skydd genom lämpliga tekniska eller organisatoriska åtgärder mot obehörig eller olaglig behandling och mot oavsiktlig förlust, förstöring eller skada.

Den personuppgiftsansvariges ansvar:

Den personuppgiftsansvarige ansvarar för att följa ovanstående principer och måste kunna visa att de efterlevs.

Att ange dessa principer är inte endast ett formellt krav; den personuppgiftsansvarige implementerar aktivt dessa principer i sina interna processer och den dagliga verksamheten för att säkerställa ett verkligt skydd av dina personuppgifter.

V. Ändamål med behandlingen, kategorier av personuppgifter, rättslig grund och lagringstid

Detta avsnitt ger en detaljerad översikt över för vilka ändamål den personuppgiftsansvarige behandlar dina personuppgifter, vilka kategorier av personuppgifter som är relevanta för dessa ändamål, på vilken rättslig grund detta sker och under hur lång tid dina personuppgifter kommer att lagras. Tydligheten i denna information är avgörande för att uppfylla transparensprincipen enligt GDPR.

Följande tabell sammanfattar de huvudsakliga aktiviteterna för behandling av personuppgifter som utförs av den personuppgiftsansvarige:

Ändamål med behandlingen	Kategorier av behandlade personuppgifter	Rättslig grund för behandlingen (enligt GDPR)	Lagringstid för personuppgifter
1. Registrering och hantering av användarkonto på plattformarna AreteApp och Diamond Studio	Identifieringsuppgifter (förnamn, efternamn på kontaktperson, företagsnamn, organisationsnummer, momsregistreringsnummer), kontaktuppgifter (e-post, telefonnummer, adress till säte/verksamhetsställe), inloggningsuppgifter (användarnamn, lösenord – i säkert hashad form).	Fullgörande av avtal (tillhandahållande av plattformstjänster enligt Användningsvillkoren) – artikel 6.1 b GDPR.	Under den tid din registrering på plattformen gäller. Efter att kontot har avslutats kan vissa uppgifter lagras under den tid som är nödvändig för att skydda Personuppgiftsansvarigs rättsliga anspråk (vanligen 3–5 år). Användningsvillkoren anger möjlighet att exportera data inom 30 dagar från att kontot avslutats; därefter raderas eller anonymiseras uppgifterna, om inte lagstiftning kräver längre lagring.
2. Behandling och hantering av beställningar av varor (diamanter, smycken etc.)	Köparens identifierings- och kontaktuppgifter (enligt ovan), beställningsuppgifter, leveransadress, faktureringsuppgifter, betalningsinformation.	Fullgörande av köpeavtal – artikel 6.1 b GDPR.	Under den tid som är nödvändig för att beställningen ska kunna hanteras fullständigt. Därefter under den tid som föreskrivs i tillämplig lagstiftning för arkivering (typiskt 10 år för skattehandlingar).
3. Fullgörande av skyldigheter inom AML	Klientens identifieringsuppgifter, kopior av identitetshandlingar, information om medlens ursprung samt andra uppgifter som krävs enligt AML-lagen.	Fullgörande av rättslig förpliktelse – GDPR (i samband med AML-lagen).	Vanligen 10 år från genomförandet av transaktionen eller från att relationen avslutats.
4. Tillhandahållande av funktioner i plattformen Diamond Studio (Personuppgiftsansvarig i rollen som personuppgiftsbiträde)	Personuppgifter om Användarens klienter på plattformen Diamond Studio som Användaren laddar upp.	Fullgörande av avtal om behandling av personuppgifter. Användaren ansvarar för att säkerställa egen rättslig grund.	Under den tid tjänsten tillhandahålls och i enlighet med Användarens instruktioner.
5. Kommunikation med användare och kundsupport	För- och efternamn, e-postadress, telefonnummer, kommunikationens innehåll.	Personuppgiftsansvarigs berättigade intresse av att tillhandahålla support – GDPR. Alternativt fullgörande av avtal.	Under den tid som är nödvändig för att hantera förfrågan. Därefter kan de lagras under en skälig tid (t.ex. 1–3 år).
6. Utskick av kommersiella meddelanden (marknadsföring)	E-postadress, för- och efternamn, adress (för postutskick), uppgifter från offentliga källor (förnamn, efternamn, adress för B2B-postmarknadsföring), eventuellt information om preferenser eller köphistorik.	För befintliga B2B-kunder (e-post): Berättigat intresse – GDPR, § 7.3 i lag nr 480/2004 Sb. För B2B-aktörer inom smyckesbranschen (post): Berättigat intresse – artikel 6.1 f GDPR (se nedan). För övriga fall: Samtycke – artikel 6.1 a GDPR.	Till dess att samtycket återkallas eller invändning framförs. För engångskampanjer via post: Engångsvis, senast till dess att invändning framförs.
7. Analys av användningen av plattformarna och förbättring av dem	IP-adress, uppgifter om enhet och webbläsare, uppgifter om användning av plattformen, uppgifter från cookies.	För nödvändiga cookies: Berättigat intresse – GDPR. För övriga cookies: Samtycke – GDPR.	Beroende på typ av cookie, specificerat i Policyn för användning av cookies.
8. Säkerställande av säkerhet och skydd av rättsliga anspråk	IP-adresser, systemloggar, uppgifter om transaktioner, innehåll i kommunikation.	Personuppgiftsansvarigs berättigade intresse – GDPR.	Under den tid som är absolut nödvändig, därefter under preskriptionstiderna (vanligen 3–5 år).
9. Fullgörande av andra lagstadgade skyldigheter	Olika kategorier av personuppgifter beroende på den specifika skyldigheten.	Fullgörande av rättslig förpliktelse – GDPR.	Under den tid som föreskrivs i tillämplig författning.

Särskilda villkor för behandling för AML-ändamål: Behandling av personuppgifter för att fullgöra skyldigheter enligt AML-lagen (punkt 3 i tabellen) regleras av särskilda bestämmelser i AML-lagen. Dessa bestämmelser, särskilt § 17a (begränsning av informationsskyldigheten) och § 38 (tystnadsplikt) i AML-lagen, kan begränsa utövandet av vissa av dina rättigheter som registrerad (t.ex. rätten till information om behandlingen, rätten till tillgång) i syfte att inte äventyra AML-åtgärdernas ändamål och pågående utredningar. Mer detaljerad information om dessa begränsningar finns i kapitel IX i dessa Principer.

Viktigt förtydligande av rollen som personuppgiftsansvarig och personuppgiftsbiträde:

Det är avgörande att skilja mellan situationer där UMARUTTI s.r.o. agerar som personuppgiftsansvarig för dina personuppgifter och situationer där bolaget agerar som personuppgiftsbiträde.

UMARUTTI s.r.o. som personuppgiftsansvarig: I de flesta av de ovan beskrivna fallen, särskilt vid din registrering, behandlingen av dina beställningar, fullgörandet av AML-skyldigheter, marknadskommunikation med dig eller analys av användningen av våra plattformar, är vi personuppgiftsansvariga för dina personuppgifter. Det innebär att vi fastställer ändamålen och medlen för behandlingen.

UMARUTTI s.r.o. som personuppgiftsbiträde: Om du använder plattformen Diamond Studio för att presentera varor för dina egna kunder och lägger in deras personuppgifter i denna plattform, är du (som användare av Diamond Studio) personuppgiftsansvarig för dessa uppgifter och UMARUTTI s.r.o. agerar som personuppgiftsbiträde. Vi behandlar dessa uppgifter endast enligt dina instruktioner och i enlighet med personuppgiftsbiträdesavtalet. I ett sådant fall är det din skyldighet som personuppgiftsansvarig att informera dina kunder om behandlingen av deras personuppgifter och säkerställa en giltig rättslig grund för denna behandling. Dessa Principer avser i första hand de aktiviteter där UMARUTTI s.r.o. är personuppgiftsansvarig.

Rättslig grund erättigat intresse:

Om berättigat intresse för den personuppgiftsansvarige (artikel 6.1 f i GDPR) anges som rättslig grund för behandlingen, bedömer den personuppgiftsansvarige alltid noggrant (genom ett s.k. intresseavvägningstest) huruvida detta intresse inte väger tyngre än dina intressen eller grundläggande rättigheter och friheter. Du har rätt att invända mot sådan behandling, såsom beskrivs i kapitel IX i dessa Principer.

Särskilda villkor för behandling för ändamål av direkt postmarknadsföring (Berättigat intresse):

Ett särskilt fall av behandling baserad på berättigat intresse är utskick av tryckta reklamerbjudanden (värvningskataloger) via vanlig post. För detta ändamål gäller följande:

Legal basis: Rättslig grund: Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges berättigade intressen i den mening som avses i artikel 6.1 f i GDPR.
Categories: Kategorier av personuppgifter: Vi behandlar endast uppgifter som erhållits från offentligt tillgängliga källor, närmare bestämt: förnamn, efternamn och adress till näringsidkare som är verksamma inom smyckesbranschen.
Purpose: Ändamål: Ändamålet är att skicka reklamerbjudanden via vanlig post. Ingen automatiserad individuell beslutsfattning i den mening som avses i artikel 22 i förordningen sker.
Berättigat intresse: Vårt berättigade intresse består i direktmarknadsföring av våra produkter och tjänster till relevanta näringsidkare. Punkt 47 i GDPR anger att ”behandling av personuppgifter för direktmarknadsföringsändamål kan anses vara behandling som sker för ett berättigat intresse.” Lag nr 40/1995 Sb., om reglering av reklam, tillåter spridning av oönskad reklam i tryckt form, om den inte stör mottagaren och om mottagaren inte i förväg har gett uttryck för att han eller hon inte önskar den. Den personuppgiftsansvarige har gjort en bedömning och kommit fram till att, med hänsyn till den offentliga källan till uppgifterna, kommunikationens B2B-karaktär, erbjudandets relevans för de kontaktade subjekten, att kostnaderna bärs av den personuppgiftsansvarige samt möjligheten att när som helst avböja fortsatta utskick, väger de registrerades intressen eller rättigheter inte tyngre än den personuppgiftsansvariges berättigade intresse.
Retention period: Lagringstid: Personuppgifter för detta ändamål kommer att behandlas vid ett enstaka tillfälle för utskick, dock längst till dess att invändning mot behandlingen framförs eller rätten till radering utövas.
Recipients: Mottagare: Ytterligare mottagare kan vara personer som för den Personuppgiftsansvarige tillhandahåller tekniska tjänster och leveranstjänster kopplade till utskick. Personuppgifter kommer inte att överföras till ett tredjeland.

VI. Källor till personuppgifter (Sources of Personal Data)

Den Personuppgiftsansvarige inhämtar personuppgifter från följande källor:

Transparens kring datakällor är viktig för oss, särskilt om uppgifterna inte kommer direkt från er.

VII. Mottagare av personuppgifter och överföring till tredjeländer

Den Personuppgiftsansvarige kan göra era personuppgifter tillgängliga för eller överföra dem till följande kategorier av mottagare:

Om vissa mottagare är personuppgiftsbiträden har den Personuppgiftsansvarige ingått ett avtal med dem enligt artikel 28 i GDPR, vilket säkerställer skyddet av era rättigheter.

Överföring av personuppgifter till tredjeländer:

Den Personuppgiftsansvarige strävar i första hand efter att behandla data inom EU/EES. Vissa leverantörer av IT-tjänster kan vara etablerade utanför EU/EES. Om en överföring till ett tredjeland sker, sker det alltid i enlighet med kapitel V i GDPR, dvs. på grundval av:

Ni har rätt att begära en kopia av dessa skyddsåtgärder. Personuppgiftsansvarig genomför regelbundna leverantörsrevisioner.

VIII. Säkerhet för personuppgifter (Security of Personal Data)

Personuppgiftsansvarig har antagit och upprätthåller lämpliga tekniska och organisatoriska åtgärder för att säkerställa skyddet av era personuppgifter, i enlighet med artikel 32 i GDPR och med beaktande av teknikens ståndpunkt, kostnader och risker. Dessa åtgärder omfattar:

Ni ansvarar också för att skydda era inloggningsuppgifter. Vi rekommenderar att ni väljer starka lösenord och byter dem. Ingen dataöverföring är 100 % säker, var därför försiktiga.

IX. Registrerades rättigheter (Rights of Data Subjects)

GDPR ger er ett antal rättigheter som ni kan utöva. Personuppgiftsansvarig är skyldig att svara inom en månad (tidsfristen kan förlängas med två månader). Observera att utövandet av vissa rättigheter kan begränsas av AML-lagen (§ 17a, § 38).

Ni har följande rättigheter:

Rätt till tillgång (artikel 15 GDPR):

Rätt att få bekräftelse på behandlingen samt tillgång till uppgifter och information. Kan begränsas av AML-lagen.

Rätt till rättelse (artikel 16 GDPR):

Rätt att få felaktiga uppgifter rättade och ofullständiga uppgifter kompletterade. Kan begränsas av AML-lagen.

Rätt till radering (artikel 17 GDPR):

Rätt till radering av uppgifter under vissa förutsättningar. Är inte absolut; det finns undantag (t.ex. AML-lagen).

Rätt till begränsning av behandling (artikel 18 GDPR):

Rätt att begränsa behandlingen i vissa fall. Kan begränsas av AML-lagen.

Rätt till dataportabilitet (artikel 20 GDPR):

Rätt att få och överföra uppgifter, om behandlingen grundar sig på samtycke eller avtal och sker automatiserat.

Rätt att invända (artikel 21 GDPR):

Rätt att invända mot behandling som grundar sig på berättigat intresse. Om uppgifter behandlas för direktmarknadsföringsändamål (inklusive utskick av postala erbjudanden) har du rätt att när som helst invända och uppgifterna kommer inte längre att behandlas.

Rättigheter kopplade till automatiserat beslutsfattande (artikel 22 GDPR):

Rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling med betydande konsekvenser, med undantag.

Rätt att återkalla samtycke (artikel 7.3 GDPR):

Rätt att när som helst återkalla samtycke, om behandlingen grundar sig på det. Återkallande av samtycke måste vara enkelt.

Rätt att lämna in klagomål (artikel 77 GDPR):

Rätt att lämna in klagomål till en tillsynsmyndighet (i Tjeckien ÚOOÚ).

Så utövar du dina rättigheter:

Du kan utöva dina rättigheter via e-post eller post till kontaktuppgifterna som anges i kap. II eller XIV. Ange tillräcklig identifiering och specificering av begäran. Vi kan be dig om ytterligare verifiering av din identitet.

X. Cookies och liknande tekniker (Cookies and Similar Technologies)

Våra webbplatser och plattformar använder cookies och liknande tekniker för att säkerställa funktionalitet, förbättra användarupplevelsen, analys och personalisering. Cookies är små textfiler som lagras på din enhet.

Detaljerad information om typer av cookies, ändamål, rättslig grund och giltighetstid finns i våra Riktlinjer för användning av cookies, som är tillgängliga på webbplatsen. Där hittar du också information om hur du hanterar dina preferenser och ditt samtycke.

XI. Automatiserat beslutsfattande och profilering (Automated Decision-Making and Profiling)

Vi informerar dig om användningen av automatiserat beslutsfattande och profilering.

Automated decision-making with legal effects: Automatiserat beslutsfattande med rättsliga verkningar: Personuppgiftsansvarig genomför inte sådant beslutsfattande. Centrala beslut fattas med mänsklig granskning.

Profiling: Profilering för andra ändamål: Vi kan använda profilering för att personalisera innehåll och erbjudanden samt för segmentering för marknadsföringsändamål. Detta har inga rättsliga eller betydande verkningar enligt artikel 22 GDPR. Du har rätt att invända mot detta.

Om vi i framtiden skulle införa automatiserat beslutsfattande enligt artikel 22 kommer vi att informera dig i förväg.

XII. Klagomål och kontaktuppgifter till tillsynsmyndigheten (Complaints and Contact Details of the Supervisory Authority)

Om du anser att GDPR har överträtts har du rätt att lämna in ett klagomål till Úřad pro ochranu osobních údajů (ÚOOÚ).

Kontaktuppgifter till ÚOOÚ:

Adress: Pplk. Sochora 27, 170 00 Praha 7

Telefon: +420 234 665 111

E-post: [email protected]

Webb: www.uoou.gov.cz

ID för databox: qkbaa2n3

Vi rekommenderar dock att ni först kontaktar oss; vi kommer att försöka lösa era synpunkter.

XIII. Ändringar av dessa Principer

Personuppgiftsansvarig har rätt att ändra dessa Principer. Ni kommer att informeras om ändringar genom publicering på webbplatsen. Vid väsentliga ändringar kan vi även informera er via e-post.

Vi rekommenderar att ni regelbundet följer den aktuella lydelsen. Datum för senaste uppdatering anges i början av dokumentet. Genom att fortsätta använda plattformarna efter att ändringarna trätt i kraft uttrycker ni ert samtycke.

XIV. Kontaktuppgifter för ärenden som rör skydd av personuppgifter

För alla frågor, begäranden, synpunkter eller klagomål, vänligen kontakta:

E-post: [email protected]

Telefon: +420 606 751 525

Kontaktperson: Vladimír Kondratěnko

Adress: Umarutti s.r.o., Kozí 916/5, 110 00 Praha 1, Tjeckien

Språkklausul / Language Clause:

This document may be executed in Czech and in other language versions. In the event of any discrepancies between the Czech version and any other language version, the Czech version shall prevail. The only legally binding version of this document is the Czech language version. All translations into other languages are provided for informational purposes only and are not legally binding.