Zásady zpracování dat

Účinnost od: 11. června 2026

Tento dokument plní informační povinnost správce podle čl. 13 a 14 nařízení Evropského parlamentu a Rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů (dále jen „GDPR“), a podle zákona č. 110/2019 Sb., o zpracování osobních údajů.

1. Totožnost a kontaktní údaje správce (čl. 13 odst. 1 písm. a) GDPR)

Správcem osobních údajů je společnost Svět daní s.r.o., IČO: 27786579, DIČ: CZ27786579, se sídlem Staměřice 96, 751 25 Dolní Újezd, zapsaná v obchodním rejstříku vedeném Krajským soudem v Ostravě, oddíl C, vložka 29663 (dále jen „Správce“). Kontaktní e-mail: info@bankstatmate.cz. Správce nejmenoval pověřence pro ochranu osobních údajů, neboť mu tato povinnost dle čl. 37 GDPR nevzniká.

2. Postavení správce a zpracovatele

2.1. U údajů o uživatelských účtech, fakturaci a technickém provozu Služby je Správce správcem ve smyslu čl. 4 bodu 7 GDPR.

2.2. U osobních údajů třetích osob obsažených v účetních datech synchronizovaných ze systému POHODA E1 (dodavatelé, odběratelé, zaměstnanci firem) je správcem uživatel Služby, resp. příslušná firma, a provozovatel Služby je zpracovatelem dle čl. 4 bodu 8 a čl. 28 GDPR. Zpracování těchto údajů se řídí zpracovatelskou doložkou obsaženou v čl. 9 Obchodních podmínek; subjekty údajů uplatňují svá práva primárně u příslušné firmy jakožto správce.

3. Účely, právní základy a doba zpracování (čl. 13 odst. 1 písm. c) a odst. 2 písm. a) GDPR)

Účel zpracování	Právní základ (čl. 6 odst. 1 GDPR)	Doba uchování
Vedení uživatelského účtu a řízení přístupů	písm. b) — plnění smlouvy	Po dobu trvání účtu + 30 dnů na výmaz
Synchronizace, uložení a zobrazení účetních dat	písm. b) — plnění smlouvy (v režimu zpracovatele dle čl. 2.2)	Po dobu trvání předplatného, resp. účtu
Fakturace a evidence plateb	písm. b) — plnění smlouvy; písm. c) — právní povinnost	Daňové doklady 10 let dle § 35 zákona č. 235/2004 Sb.; účetní záznamy dle § 31 zákona č. 563/1991 Sb.
Transakční e-maily (přihlašovací odkazy, pozvánky, provozní oznámení)	písm. b) — plnění smlouvy	Po dobu trvání účtu
Vyřízení dotazů a poptávek z kontaktního formuláře	písm. b) — jednání před uzavřením smlouvy na žádost subjektu údajů	Do vyřízení dotazu, nejdéle 12 měsíců
Bezpečnostní a auditní logy, řešení chyb	písm. f) — oprávněný zájem na bezpečnosti a ochraně práv	Nejdéle 12 měsíců
Vymáhání pohledávek a obrana právních nároků	písm. f) — oprávněný zájem	Po dobu promlčecích lhůt dle § 629 a násl. občanského zákoníku

Poskytnutí údajů nezbytných pro vedení účtu a fakturaci je smluvním požadavkem; bez jejich poskytnutí nelze Službu poskytovat (čl. 13 odst. 2 písm. e) GDPR). U zpracování založených na oprávněném zájmu provedl Správce balanční test se závěrem, že zájmy a základní práva subjektů údajů nad oprávněnými zájmy Správce nepřevažují; subjekt údajů má proti takovému zpracování právo vznést námitku dle čl. 21 GDPR.

4. Kategorie zpracovávaných osobních údajů

Identifikační a kontaktní údaje uživatelů: jméno a příjmení, e-mailová adresa, role a přiřazení k firmám, fakturační údaje (název, IČO, DIČ, sídlo).
Účetní data synchronizovaná z Pohody E1 (v režimu zpracovatele): údaje o dodavatelích a odběratelích (název, adresa, IČO, DIČ), údaje z účetního deníku a dokladů (částky, DPH, data, čísla dokladů, předkontace, střediska), pohledávky a závazky včetně splatností, bankovní a pokladní pohyby (částky, protistrany, variabilní symboly, čísla účtů).
Provozní a technické údaje: IP adresa, user-agent, časové značky přihlášení a operací.
Údaje z kontaktního formuláře: jméno, e-mailová adresa, případně firma/IČO a obsah zprávy.

Správce nezpracovává zvláštní kategorie osobních údajů dle čl. 9 GDPR ani neprovádí zpracování zaměřené na děti.

5. Automatizované individuální rozhodování (čl. 13 odst. 2 písm. f) GDPR)

Při poskytování Služby nedochází k automatizovanému rozhodování ani profilování s právními či obdobně významnými účinky pro subjekt údajů ve smyslu čl. 22 GDPR. Služba data pouze ukládá, agreguje a zobrazuje.

6. Cookies a obdobné technologie (§ 89 odst. 3 zákona č. 127/2005 Sb.)

Služba ukládá do koncového zařízení pouze údaje technicky nezbytné pro přenos zprávy a poskytnutí služby výslovně vyžádané uživatelem — autentizační/session cookie zajišťující přihlášení (Firebase Authentication). Na takové ukládání se dle § 89 odst. 3 zákona č. 127/2005 Sb., o elektronických komunikacích, nevyžaduje souhlas. Kontaktní formulář je chráněn bezpečnostní službou Cloudflare Turnstile, která slouží výhradně k rozlišení lidí od automatizovaných robotů (ochrana před spamem) a nepoužívá cookies ke sledování napříč weby. Marketingové ani analytické cookies třetích stran Služba nepoužívá; budou-li v budoucnu nasazeny, budou podmíněny předchozím prokazatelným souhlasem.

Obchodní sdělení ve smyslu zákona č. 480/2004 Sb., o některých službách informační společnosti, Správce zasílá pouze za podmínek § 7 tohoto zákona; transakční a provozní e-maily obchodním sdělením nejsou.

7. Příjemci a zpracovatelé (čl. 13 odst. 1 písm. e) GDPR)

Osobní údaje mohou být zpřístupněny následujícím kategoriím příjemců: poskytovatelům infrastruktury a dalším zpracovatelům vázaným smlouvou dle čl. 28 GDPR, a dále orgánům veřejné moci, stanoví-li tak právní předpis.

Služba	Poskytovatel	Účel	Region
Google Firebase	Google Ireland Ltd. / Google LLC	Hosting aplikace, databáze, ukládání dat, autentizace	EU
Resend	Resend, Inc.	Odesílání transakčních e-mailů	EU (Irsko)
Cloudflare Turnstile	Cloudflare, Inc.	Ochrana kontaktního formuláře před zneužitím (anti-bot ověření)	EU/US (globální síť)

Zpracovatelské smlouvy: Google — Cloud Data Processing Addendum (cloud.google.com/terms/data-processing-addendum); Resend — Data Processing Agreement (resend.com/legal/dpa); Cloudflare — Customer Data Processing Addendum (cloudflare.com/cloudflare-customer-dpa).

8. Předávání do třetích zemí (čl. 13 odst. 1 písm. f), čl. 44–49 GDPR)

Údaje jsou primárně zpracovávány v datových centrech v Evropské unii. Dochází-li u některého zpracovatele k předání do USA, je zajištěno rozhodnutím Evropské komise o odpovídající ochraně dle čl. 45 GDPR pro subjekty certifikované v rámci EU-U.S. Data Privacy Framework, případně standardními smluvními doložkami dle čl. 46 odst. 2 písm. c) GDPR. Kopii záruk lze vyžádat na kontaktním e-mailu Správce.

9. Práva subjektů údajů (čl. 15–22 a čl. 77 GDPR)

Právo na přístup (čl. 15) — získat potvrzení o zpracování a kopii zpracovávaných údajů.
Právo na opravu (čl. 16) — opravu nepřesných či doplnění neúplných údajů.
Právo na výmaz (čl. 17) — výmaz údajů, jsou-li splněny podmínky tohoto článku.
Právo na omezení zpracování (čl. 18)
Právo na přenositelnost (čl. 20) — získat údaje ve strukturovaném, běžně používaném a strojově čitelném formátu.
Právo vznést námitku (čl. 21) — proti zpracování založenému na oprávněném zájmu.
Právo odvolat souhlas (čl. 7 odst. 3) — je-li zpracování založeno na souhlasu, kdykoli jej odvolat, aniž je dotčena zákonnost dosavadního zpracování.
Právo podat stížnost (čl. 77) — u dozorového úřadu, kterým je Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, www.uoou.gov.cz.

Žádosti vyřizujeme dle čl. 12 GDPR bezplatně a bez zbytečného odkladu, nejpozději do jednoho měsíce od obdržení; tuto lhůtu lze s ohledem na složitost a počet žádostí prodloužit o další dva měsíce, o čemž bude žadatel informován. Před vyřízením žádosti jsme oprávněni ověřit totožnost žadatele. Týká-li se žádost údajů zpracovávaných v režimu zpracovatele (čl. 2.2), předáme ji bez zbytečného odkladu příslušnému správci.

10. Zabezpečení (čl. 32 GDPR)

Správce přijal technická a organizační opatření odpovídající riziku zpracování, zejména šifrování přenosu i uložených dat, řízení přístupu podle rolí vynucované na straně serveru a auditní záznamy. Podrobný popis opatření obsahuje dokument Bezpečnost.

11. Změny zásad

Tyto zásady mohou být aktualizovány, zejména při změně zpracovatelů nebo právní úpravy. O podstatných změnách budou registrovaní uživatelé informováni e-mailem; aktuální znění s datem účinnosti je vždy dostupné na webových stránkách Služby.