Zpracování osobních údajů

1. Správce osobních údajů

Správcem osobních údajů ve smyslu čl. 4 odst. 7 GDPR je společnost:

Provozovatel nejmenoval pověřence pro ochranu osobních údajů (čl. 37 GDPR), neboť k tomu není povinen.

2. Subjekty údajů

Tento dokument se týká těchto kategorií subjektů údajů:

• Obchodník — pokud je jím fyzická osoba podnikatel (OSVČ);
• Statutární orgán a skuteční majitelé právnické osoby Obchodníka — údaje získané z veřejných rejstříků (ARES, OR, ESM) i přímo od Obchodníka;
• Kontaktní osoba Obchodníka uvedená při registraci nebo v Aplikaci;
• Zaměstnanci a další uživatelé Aplikace přidaní Obchodníkem do svého účtu (administrátoři, obsluha čerpání poukazů, účetní apod.).

Vůči osobním údajům těchto subjektů vystupuje Provozovatel jako samostatný správce. Naopak vůči osobním údajům koncových zákazníků (kupujících poukazů) vystupuje Provozovatel jako zpracovatel pro Obchodníka — pravidla tohoto vztahu (zpracovatelská smlouva ve smyslu čl. 28 GDPR) jsou součástí čl. 15 Obchodních podmínek platformy, které Obchodník akceptuje při registraci.

3. Kategorie zpracovávaných osobních údajů

• Identifikační údaje: jméno a příjmení, titul, datum narození (u OSVČ a statutárů z veřejných rejstříků), IČO, DIČ, název firmy;
• Kontaktní údaje: e-mailová adresa, telefonní číslo, korespondenční adresa, adresa provozovny;
• Údaje z veřejných rejstříků: obchodní firma, sídlo, statutární orgán, skuteční majitelé, údaje z ARES a obchodního rejstříku, evidence skutečných majitelů (ESM);
• Údaje pro ověření Obchodníka: doklady předložené při ručním ověření identity (např. výpis z obchodního rejstříku, živnostenský list, potvrzení vlastnictví bankovního účtu);
• Bankovní a fakturační údaje: číslo bankovního účtu pro výplaty zůstatku, údaje z mikroplatby ověřující vlastnictví účtu, fakturační adresa;
• Provozní údaje o užívání Aplikace: aktivita v Aplikaci, počet a hodnota vystavených Poukazů, statistiky prodeje, čerpání, výplat;
• Komunikace s podporou: obsah e-mailové, telefonické a chatové komunikace s Provozovatelem;
• Technické a provozní údaje: IP adresa, identifikátor zařízení a prohlížeče, časová razítka přístupů, identifikátory relace a cookies.

4. Účely zpracování a právní základy

a) Uzavření a plnění smlouvy s Obchodníkem

• Účel: registrace v Aplikaci, ověření Obchodníka, poskytování platformy v rámci zvoleného Tarifu, vystavování Poukazů, výplaty zůstatku, fakturace, zákaznická podpora.
• Právní základ: plnění smlouvy a opatření přijatá před uzavřením smlouvy na žádost subjektu údajů (čl. 6 odst. 1 písm. b GDPR). U statutárů a kontaktních osob, které nejsou stranou smlouvy, oprávněný zájem Provozovatele a Obchodníka na řádném plnění smlouvy (čl. 6 odst. 1 písm. f GDPR).

b) Ověření identity Obchodníka

• Účel: ověření, že Obchodník skutečně existuje a má oprávnění uzavřít smlouvu (zejména přes veřejné rejstříky, ověřovací mikroplatbu, případně doložení dokladů).
• Právní základ: oprávněný zájem Provozovatele na prevenci podvodů a ochrany platformy a koncových zákazníků (čl. 6 odst. 1 písm. f GDPR), v kombinaci s plněním smlouvy (čl. 6 odst. 1 písm. b GDPR) a zákonných povinností dle zákona č. 253/2008 Sb. o opatřeních proti legalizaci výnosů z trestné činnosti (čl. 6 odst. 1 písm. c GDPR).

c) Plnění zákonných povinností (účetnictví, daně, AML)

• Účel: vedení účetnictví, vystavování a archivace daňových dokladů, samofakturace dle Obchodních podmínek, plnění povinností dle zákona č. 563/1991 Sb. o účetnictví, zákona č. 235/2004 Sb. o DPH a zákona č. 253/2008 Sb. (AML).
• Právní základ: plnění právní povinnosti (čl. 6 odst. 1 písm. c GDPR).

d) Provoz, dostupnost a bezpečnost Aplikace

• Účel: zajištění funkčnosti, dostupnosti a bezpečnosti Aplikace, prevence zneužití (vícenásobné registrace, neoprávněné přístupy), řešení provozních incidentů a chyb.
• Právní základ: oprávněný zájem Provozovatele (čl. 6 odst. 1 písm. f GDPR).

e) Podpora a komunikace s Obchodníkem

• Účel: vyřizování dotazů, řešení provozních problémů, oznámení podstatných změn v Aplikaci, sjednání schůzek.
• Právní základ: plnění smlouvy (čl. 6 odst. 1 písm. b GDPR) a oprávněný zájem (čl. 6 odst. 1 písm. f GDPR).

f) Marketing a obchodní sdělení

• Účel: zasílání obchodních sdělení o novinkách v Aplikaci a dalších službách Provozovatele.
• Právní základ: oprávněný zájem Provozovatele dle § 7 odst. 3 zákona č. 480/2004 Sb. o některých službách informační společnosti (zasílání obchodních sdělení vlastním zákazníkům s možností kdykoli odhlásit), případně souhlas Obchodníka, byl-li udělen.
• Námitka / odhlášení: z odběru obchodních sdělení se Obchodník může kdykoli odhlásit jediným klikem v každém e-mailu nebo zasláním zprávy na [email protected].

5. Doby uchování osobních údajů

• Údaje související se smluvním vztahem (registrace, fakturace, komunikace): po dobu trvání smlouvy a dále po dobu nezbytnou pro ochranu právních nároků (zpravidla 3 roky po ukončení smlouvy).
• Účetní a daňové doklady: 10 let od konce zdaňovacího období dle zákona o účetnictví a zákona o DPH.
• Údaje vyžadované zákonem č. 253/2008 Sb. (AML): 10 let.
• Údaje pro prevenci podvodů a ověření Obchodníka: po dobu trvání smlouvy a 3 roky po jejím ukončení; v případě prokázaného pokusu o zneužití až do promlčení nároků.
• Provozní a bezpečnostní logy: 30–180 dní.
• Přístup pouze pro čtení k validaci Poukazů po ukončení smlouvy: 12 měsíců dle čl. 12 Obchodních podmínek; datový export pak až do uplynutí archivační lhůty.
• Údaje pro účely marketingu: do odvolání souhlasu, resp. vznesení námitky, nejdéle však 3 roky od poslední aktivity Obchodníka.

6. Příjemci a subzpracovatelé

Osobní údaje Obchodníka, jeho statutárů, kontaktních osob a uživatelů Aplikace mohou být zpřístupněny následujícím kategoriím příjemců, vždy v rozsahu nezbytném pro konkrétní účel:

• Externí účetní a daňoví poradci v rozsahu nezbytném pro plnění zákonných povinností;
• Právní zástupci v případě sporu nebo vymáhání pohledávek;
• Banka Provozovatele v rozsahu údajů nezbytných pro výplaty zůstatku;
• Orgány veřejné moci (zejména správce daně, živnostenský úřad, finanční analytický úřad, orgány činné v trestním řízení), pokud to vyžaduje právní předpis.

Provozovatel zapojuje do zpracování následující subzpracovatele:

• WEDOS Internet, a.s. (IČO 28115708, CZ) — hosting Aplikace, databáze a provozní infrastruktury.
• Seznam.cz, a.s. (IČO 26168685, CZ) — služba Email Profi pro odesílání transakčních a provozních e-mailů.
• Premio Inc. (USA) — služba ChatWay pro online chatovou podporu; přenos do třetí země je založen výhradně na standardních smluvních doložkách dle čl. 46 odst. 2 písm. c GDPR.
• Functional Software, Inc. (USA) — sběr a vyhodnocení chybových a provozních diagnostik v Aplikaci (Sentry); přenos do třetí země je založen na standardních smluvních doložkách dle čl. 46 odst. 2 písm. c GDPR a na aktuálně účinném rámci EU–US Data Privacy Framework.
• Fio banka, a.s. (IČO 61858374, CZ) — banka Provozovatele a poskytovatel bankovního API.

O záměru zapojit nového subzpracovatele Provozovatel informuje Obchodníka v rozsahu a způsobem sjednaným ve zpracovatelské smlouvě, pokud jde o zpracování dat koncových zákazníků; pro vlastní zpracování ze strany Provozovatele jako správce je aktuální seznam vždy dostupný na této stránce.

7. Předávání mimo Evropský hospodářský prostor

Aplikace VášPoukaz, její databáze, e-mailová a bankovní infrastruktura jsou provozovány v České republice.

Pouze v případě využití nástrojů ChatWay a Sentry může docházet k omezenému přenosu provozních a komunikačních údajů do Spojených států amerických.

Pro Sentry (Functional Software, Inc.) je přenos založen na standardních smluvních doložkách dle čl. 46 odst. 2 písm. c GDPR a navíc na aktuálně účinném Rámci EU–USA pro ochranu údajů. Pro ChatWay (Premio Inc.), který v Rámci EU–USA pro ochranu údajů certifikován není, se opíráme výhradně o standardní smluvní doložky dle čl. 46 odst. 2 písm. c GDPR. Do jiných třetích zemí mimo EHP osobní údaje nepředáváme.

8. Zdroje osobních údajů

• přímo od Obchodníka při registraci, ověření a běžném užívání Aplikace;
• z veřejných rejstříků (ARES, obchodní rejstřík, evidence skutečných majitelů, živnostenský rejstřík);
• od Obchodníka jako správce, jde-li o údaje jeho zaměstnanců a uživatelů Aplikace, které sám do Aplikace přidá. Obchodník v takovém případě odpovídá za to, že tyto osoby informoval o předání jejich údajů Provozovateli a o rozsahu a účelu zpracování.

9. Vaše práva

Ve vztahu k osobním údajům, které o vás zpracováváme jako samostatný správce, máte následující práva:

• právo na přístup k osobním údajům (čl. 15 GDPR);
• právo na opravu nepřesných údajů (čl. 16 GDPR);
• právo na výmaz za podmínek čl. 17 GDPR (s výjimkou údajů, jejichž uchování je nezbytné pro plnění zákonných povinností);
• právo na omezení zpracování (čl. 18 GDPR);
• právo na přenositelnost údajů (čl. 20 GDPR);
• právo vznést námitku proti zpracování založenému na oprávněném zájmu, zejména proti přímému marketingu (čl. 21 GDPR);
• právo kdykoli odvolat souhlas se zpracováním, je-li zpracování založeno na souhlasu;
• právo podat stížnost u Úřadu pro ochranu osobních údajů (www.uoou.cz), Pplk. Sochora 27, 170 00 Praha 7.

10. Automatizované rozhodování a profilování

Při zpracování osobních údajů Obchodníků nedochází k automatizovanému individuálnímu rozhodování ve smyslu čl. 22 GDPR ani k profilování s právními nebo obdobně významnými dopady na subjekt údajů. Algoritmické vyhodnocování v rámci ověření Obchodníka a prevence podvodů (kontroly proti veřejným rejstříkům, ověření vlastnictví bankovního účtu, detekce podezřelých vzorců) slouží pouze jako podklad pro lidské posouzení odpovědným pracovníkem Provozovatele.

11. Cookies

V Aplikaci jsou používány pouze technicky nezbytné soubory cookies a identifikátory přihlašovacích relací pro správné fungování přihlášení a práce v Aplikaci. Podrobnosti viz Zásady používání cookies.

12. Zabezpečení osobních údajů

Provozovatel přijal přiměřená technická a organizační opatření k zabezpečení osobních údajů — zejména šifrovanou komunikaci (HTTPS/TLS), šifrované úložiště, řízení přístupu na principu nejmenších oprávnění, dvoufaktorovou autentizaci pro administrativní účty, oddělení testovacích a produkčních prostředí, pravidelná zálohování, logování přístupů a pravidelné bezpečnostní revize. Subzpracovatele si pečlivě vybíráme a smluvně jim ukládáme stejnou úroveň ochrany.

13. Povinnost poskytnout osobní údaje

Poskytnutí osobních údajů Obchodníka je smluvním požadavkem a v rozsahu identifikačních a fakturačních údajů též zákonným požadavkem. Bez poskytnutí nezbytných údajů nelze smlouvu o užívání Aplikace uzavřít, plnit ani zaúčtovat.

14. Změny zásad

Provozovatel je oprávněn tyto zásady aktualizovat. Aktuální verze je vždy zveřejněna na této stránce s uvedením data účinnosti. O podstatných změnách Provozovatel Obchodníka informuje e-mailem nebo prostřednictvím Aplikace.

15. Kontakt pro uplatnění práv

Pro uplatnění svých práv nebo v případě dotazů ohledně zpracování osobních údajů nás kontaktujte na e-mailu [email protected] nebo písemně na adresu sídla správce uvedenou v čl. 1.