Aktualizováno: 04.05.2026
Tento dokument popisuje, jak jsou zpracovávány osobní údaje osob, které si prostřednictvím platformy VášPoukaz.cz pořizují dárkové poukazy konkrétních provozovatelů (obchodníků).
1. Úvod a vymezení pojmů
Společnost Nxtrope s.r.o., IČO 21884919, se sídlem Podbělohorská 3349, 150 00 Praha (dále jen „Provozovatel" nebo „VášPoukaz") provozuje platformu VášPoukaz.cz, jejímž prostřednictvím obchodníci (provozovny — restaurace, hotely, lázně, wellness studia apod., dále jen „Obchodník") prodávají vlastní dárkové poukazy svým zákazníkům.
Kupujícím je fyzická osoba, která prostřednictvím prodejního formuláře na platformě zakoupí poukaz konkrétního Obchodníka, případně osoba, která takový poukaz uplatní (dále jen „Kupující").
Vztah mezi Provozovatelem a Obchodníkem se řídí Obchodními podmínkami platformy. Vztah mezi Obchodníkem a Kupujícím (kupní smlouva ohledně poukazu a následné poskytnutí služby/zboží) je vztahem mezi Obchodníkem a Kupujícím — Provozovatel není jeho stranou.
2. Role v rámci zpracování osobních údajů
Vůči osobním údajům Kupujícího vystupuje VášPoukaz ve dvou odlišných rolích — toto rozlišení je zásadní pro uplatňování vašich práv:
a) VášPoukaz jako zpracovatel pro Obchodníka
Pro účely vystavení poukazu, jeho doručení Kupujícímu, evidence čerpání, vyřízení rezervace a komunikace o objednávce je správcem osobních údajů ve smyslu čl. 4 odst. 7 GDPR Obchodník, jehož poukaz si kupujete. VášPoukaz tyto údaje zpracovává jeho jménem jako zpracovatel ve smyslu čl. 4 odst. 8 GDPR, a to na základě čl. 15 Obchodních podmínek platformy, který tvoří zpracovatelskou smlouvu ve smyslu čl. 28 GDPR. Obchodník je k dispozici v záhlaví prodejního formuláře a v e-mailu s vystaveným poukazem.
b) VášPoukaz jako samostatný správce
Pro účely plnění vlastních zákonných povinností Provozovatele (zejména účetních a daňových), vedení peněžních prostředků v režimu příkazníka, prevence podvodů, provozu a zabezpečení Aplikace a vyřizování reklamací plnění Provozovatele vystupuje VášPoukaz ve vztahu ke Kupujícímu jako samostatný správce. Tento dokument se věnuje zejména této roli.
3. Správce osobních údajů — totožnost a kontakt
Nxtrope s.r.o.
Podbělohorská 3349
150 00 Praha
IČO: 21884919, DIČ: CZ21884919
E-mail: [email protected]
Telefon: +420 735 047 126
Provozovatel nejmenoval pověřence pro ochranu osobních údajů, neboť jeho hlavní činností není rozsáhlé zpracování zvláštních kategorií osobních údajů ani systematické monitorování subjektů údajů ve velkém rozsahu (čl. 37 GDPR).
4. Kategorie zpracovávaných osobních údajů
- Identifikační a kontaktní údaje: jméno a příjmení, e-mailová adresa, telefonní číslo;
- Údaje o objednávce a poukazu: obsah a hodnota poukazu, variabilní symbol, kód poukazu, datum vystavení, případné personalizované sdělení (věnování);
- Platební údaje: číslo bankovního účtu, ze kterého byla úhrada poukazu odeslána, částka, datum a identifikace platby (jakožto údaje vyplývající z výpisu bankovního účtu Provozovatele jednajícího jako příkazník);
- Doručovací údaje: adresa pro doručení, pokud Kupující objedná i fyzický tisk poukazu;
- Údaje o čerpání poukazu: datum, místo a rozsah čerpání u Obchodníka;
- Technické a provozní údaje: IP adresa, identifikátor zařízení a prohlížeče, časová razítka, identifikátory relace a cookies.
5. Účely zpracování a právní základy (VášPoukaz jako správce)
a) Plnění zákonných povinností (účetnictví, daně, AML)
- Účel: evidence účetních dokladů, fakturace, plnění povinností dle zákona č. 563/1991 Sb., o účetnictví, zákona č. 235/2004 Sb., o DPH, a zákona č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti.
- Právní základ: plnění právní povinnosti (čl. 6 odst. 1 písm. c GDPR).
b) Zprostředkování platby v režimu příkazníka
- Účel: přijetí platby od Kupujícího jménem a na účet Obchodníka, identifikace platby, následný převod na zůstatek Obchodníka v Aplikaci. Provozovatel jedná jako příkazník dle § 2430 a násl. občanského zákoníku.
- Právní základ: nezbytnost pro splnění smluvního příkazu mezi Provozovatelem a Obchodníkem (čl. 6 odst. 1 písm. b GDPR), v kombinaci s plněním právních povinností (čl. 6 odst. 1 písm. c GDPR).
c) Prevence podvodů a ověření plateb
- Účel: ochrana Kupujícího, Obchodníka i Provozovatele před podvodným jednáním; ověření oprávněnosti plateb (např. mikroplatba dle Obchodních podmínek), evidence pokusů o zneužití, kontrola omezení počtu objednávek a opakovaných refundací.
- Právní základ: oprávněný zájem Provozovatele a třetích osob (Obchodníka, ostatních uživatelů Aplikace) na bezpečném provozu platformy a předcházení škodám (čl. 6 odst. 1 písm. f GDPR).
d) Provoz, dostupnost a bezpečnost Aplikace
- Účel: zajištění funkčnosti, dostupnosti a bezpečnosti Aplikace, řešení provozních incidentů, ladění chyb, ochrana před zneužitím.
- Právní základ: oprávněný zájem Provozovatele (čl. 6 odst. 1 písm. f GDPR).
e) Vyřizování reklamací plnění Provozovatele
- Účel: vyřízení reklamací směřujících k plnění Provozovatele (např. funkčnost Aplikace, technický refund, zpracování platby), komunikace s Kupujícím, řešení sporů a ochrana právních nároků.
- Právní základ: plnění smluvních a zákonných povinností (čl. 6 odst. 1 písm. b a c GDPR) a oprávněný zájem Provozovatele na ochraně právních nároků (čl. 6 odst. 1 písm. f GDPR).
f) Newsletter o spuštění tržiště
- Údaje: e-mailová adresa, volitelně kategorie zájmu, datum udělení souhlasu a IP adresa odesílatele formuláře.
- Účel: jednorázové oznámení o spuštění tržiště, případně o nových obchodnících v zájmové kategorii.
- Právní základ: souhlas subjektu údajů udělený odesláním formuláře (čl. 6 odst. 1 písm. a GDPR).
- Doba uchování: do odvolání souhlasu, nejdéle však 24 měsíců od přihlášení.
- Odvolání souhlasu: kdykoliv e-mailem na [email protected].
6. Doby uchování osobních údajů
- Účetní a daňové doklady: 10 let od konce zdaňovacího období, kterého se týkají, dle zákona o účetnictví a zákona o DPH.
- Údaje vyžadované zákonem č. 253/2008 Sb. (AML): po dobu stanovenou tímto zákonem, zpravidla 10 let.
- Údaje o poukazu a objednávce (jako zpracovatel Obchodníka): po dobu platnosti poukazu, případně do jeho vyčerpání, a dále po dobu nezbytnou pro ochranu právních nároků (zpravidla 3 roky po skončení platnosti, v souladu s pokyny Obchodníka jako správce).
- Údaje pro prevenci podvodů: nejdéle 12 měsíců od posledního relevantního záznamu, v případě prokázaného pokusu o zneužití až do promlčení nároků.
- Provozní a bezpečnostní logy: 30–180 dní.
- Reklamační agenda: 3 roky od vyřízení reklamace (promlčecí lhůta).
Po uplynutí příslušné doby uchování jsou osobní údaje anonymizovány nebo bezpečně vymazány.
7. Příjemci a subzpracovatelé
Osobní údaje Kupujícího mohou být zpřístupněny následujícím kategoriím příjemců, a to vždy v rozsahu nezbytném pro konkrétní účel:
- Obchodník — jako jiný správce ve vztahu k údajům souvisejícím s prodaným poukazem;
- Externí účetní a daňoví poradci v rozsahu nezbytném pro plnění zákonných povinností;
- Orgány veřejné moci (zejména správce daně, orgány činné v trestním řízení, finanční analytický úřad), pokud to vyžaduje právní předpis.
Provozovatel zapojuje do zpracování následující subzpracovatele:
- WEDOS Internet, a.s. (IČO 28115708, CZ) — hosting Aplikace, databáze a provozní infrastruktury.
- Seznam.cz, a.s. (IČO 26168685, CZ) — služba Email Profi pro odesílání transakčních a provozních e-mailů.
- Premio Inc. (USA) — služba ChatWay pro online chatovou podporu; přenos do třetí země je založen výhradně na standardních smluvních doložkách dle čl. 46 odst. 2 písm. c GDPR.
- Functional Software, Inc. (USA) — sběr a vyhodnocení chybových a provozních diagnostik v Aplikaci (Sentry); přenos do třetí země je založen na standardních smluvních doložkách dle čl. 46 odst. 2 písm. c GDPR a na aktuálně účinném rámci EU–US Data Privacy Framework.
- Fio banka, a.s. (IČO 61858374, CZ) — banka Provozovatele a poskytovatel bankovního API.
Aktuální seznam subzpracovatelů je vždy dostupný na této stránce. O záměru zapojit nového subzpracovatele Provozovatel informuje s dostatečným předstihem; ve vztahu ke zpracování pro Obchodníka platí lhůty a postupy sjednané ve zpracovatelské smlouvě.
8. Předávání mimo Evropský hospodářský prostor
Aplikace VášPoukaz, její databáze, e-mailová a bankovní infrastruktura jsou provozovány v České republice. Hlavní zpracování osobních údajů Kupujících tedy probíhá v rámci EHP.
Pouze v případě využití nástrojů ChatWay (online konverzace) a Sentry (chybová diagnostika) může docházet k omezenému přenosu provozních a komunikačních údajů do Spojených států amerických.
Pro Sentry (Functional Software, Inc.) je přenos založen na standardních smluvních doložkách dle čl. 46 odst. 2 písm. c GDPR a navíc na aktuálně účinném rámci Rámec EU–USA pro ochranu údajů. Pro ChatWay (Premio Inc.), který v rámci Rámce EU–USA pro ochranu údajů certifikován není, se opíráme výhradně o standardní smluvní doložky dle čl. 46 odst. 2 písm. c GDPR. Do jiných třetích zemí mimo EHP osobní údaje nepředáváme.
9. Vaše práva
Ve vztahu k osobním údajům, které o vás zpracováváme jako samostatný správce, máte následující práva:
- právo na přístup k osobním údajům (čl. 15 GDPR);
- právo na opravu nepřesných údajů (čl. 16 GDPR);
- právo na výmaz za podmínek čl. 17 GDPR;
- právo na omezení zpracování (čl. 18 GDPR);
- právo na přenositelnost údajů (čl. 20 GDPR);
- právo vznést námitku proti zpracování založenému na oprávněném zájmu (čl. 21 GDPR);
- právo podat stížnost u Úřadu pro ochranu osobních údajů (www.uoou.cz), Pplk. Sochora 27, 170 00 Praha 7.
Důležité upozornění: pokud chcete uplatnit práva ve vztahu k osobním údajům, jejichž správcem je Obchodník (zejména údaje o poukazu, jeho čerpání a doručení), kontaktujte přímo Obchodníka, jehož kontaktní údaje naleznete v e-mailu s poukazem nebo na jeho prodejní stránce. Pokud nás kontaktujete vy, předáme vaši žádost příslušnému Obchodníkovi a budeme s ním v rámci zpracovatelské smlouvy součinní.
10. Automatizované rozhodování a profilování
Při zpracování osobních údajů Kupujících nedochází k automatizovanému individuálnímu rozhodování ve smyslu čl. 22 GDPR ani k profilování s právními nebo obdobně významnými dopady na subjekt údajů. Algoritmické vyhodnocování v rámci prevence podvodů (kontrola limitů, duplicit a podezřelých vzorců) slouží pouze jako podklad pro lidské posouzení odpovědným pracovníkem Provozovatele.
11. Cookies a sledovací technologie
V Aplikaci jsou používány pouze technicky nezbytné soubory cookies a identifikátory přihlašovacích relací pro správné fungování prodejního formuláře a postupu úhrady. Podrobnosti viz Zásady používání cookies.
12. Zabezpečení osobních údajů
Provozovatel přijal přiměřená technická a organizační opatření k zabezpečení osobních údajů — zejména šifrovanou komunikaci (HTTPS/TLS), šifrované úložiště, řízení přístupu na principu nejmenších oprávnění, oddělení testovacích a produkčních prostředí, pravidelná zálohování, logování přístupů a pravidelné bezpečnostní revize. Subzpracovatele si pečlivě vybíráme a smluvně jim ukládáme stejnou úroveň ochrany.
13. Povinnost poskytnout osobní údaje
Poskytnutí osobních údajů Kupujícím je smluvní a v rozsahu daňových a účetních povinností zákonný požadavek. Bez poskytnutí nezbytných údajů (jméno, e-mail, údaje o platbě) nelze poukaz vystavit, doručit ani zaúčtovat.
14. Změny zásad
Provozovatel je oprávněn tyto zásady zpracování osobních údajů aktualizovat. Aktuální verze je vždy zveřejněna na této stránce s uvedením data účinnosti. O podstatných změnách Provozovatel Kupujícího vhodným způsobem informuje.
15. Kontakt pro uplatnění práv
Pro uplatnění svých práv nebo v případě dotazů ohledně zpracování osobních údajů Provozovatelem nás kontaktujte na e-mailu [email protected] nebo písemně na adresu sídla správce uvedenou v čl. 3.
Tyto zásady jsou platné a účinné od 04.05.2026.
Máte otázky k ochraně osobních údajů?
Kontaktujte nás na [email protected].