Ochrana osobních údajů
Jak Fakturek pracuje s osobními údaji
Tato stránka popisuje, jaké údaje se ve službě Fakturek zpracovávají, proč se zpracovávají, jak dlouho se uchovávají a jaká práva mají uživatelé a další osoby podle GDPR.
Podmínky a soukromí
Jedna praktická sada pravidel
Obchodní podmínky řeší používání služby. Tato stránka doplňuje informace o osobních údajích a zpracovatelskou část pro data, která do Fakturku vkládají uživatelé.
Role podle GDPR
1. Kdy je provozovatel správce a kdy zpracovatel
Provozovatel je správcem osobních údajů u údajů, které potřebuje pro vytvoření a správu účtu, poskytování služby, fakturaci předplatného, komunikaci s uživatelem, podporu, bezpečnost, provozní logy a plnění svých právních povinností.
U osobních údajů, které uživatel vkládá do faktur, kontaktů, exportů, API požadavků, bankovních párování nebo jiných částí služby kvůli vlastním zákazníkům, dodavatelům nebo spolupracovníkům, je uživatel zpravidla správcem a provozovatel vystupuje jako zpracovatel. Zpracovatelská pravidla jsou uvedena níže v části „Zpracovatelská doložka“.
Rozsah zpracování
2. Jaké údaje se mohou zpracovávat
Při používání služby mohou být zpracovávány zejména identifikační a kontaktní údaje uživatele, přihlašovací údaje, údaje o spravovaných subjektech a IČO, fakturační údaje, kontakty odběratelů a dodavatelů, obsah vystavených dokladů, bankovní údaje, údaje o úhradách, údaje z bankovních API nebo bankovních e-mailů, API tokeny, importy, exporty, nastavení účtu a provozní logy.
Provozní logy mohou zahrnovat zejména IP adresu, čas požadavku, identifikaci účtu nebo tokenu, typ akce, použitý endpoint, informaci o chybě, změně nastavení, odeslání e-mailu, exportu, přihlášení nebo bezpečnostní události.
Fakturek není určen pro ukládání zvláštních kategorií osobních údajů, například zdravotních údajů, údajů o náboženském vyznání, politických názorech, trestních věcech nebo jiných citlivých údajů, pokud to není nezbytné pro zákonné a řádné použití služby a uživatel k tomu nemá odpovídající právní důvod.
Účely a právní základy
3. Proč se údaje zpracovávají
Údaje se zpracovávají za účelem vytvoření a vedení uživatelského účtu, poskytování fakturační služby, správy předplatného, vystavování dokladů, párování plateb, exportů, API integrací, komunikace s uživatelem, zákaznické podpory, zabezpečení služby, prevence zneužití, řešení incidentů a plnění právních a účetních povinností provozovatele.
Právním základem zpracování je zejména plnění smlouvy nebo provedení opatření před jejím uzavřením, plnění právních povinností, oprávněný zájem na bezpečném a spolehlivém provozu služby, ochraně práv a řešení podpory, případně souhlas tam, kde je vyžadován.
Uchování údajů
4. Jak dlouho se údaje uchovávají
Údaje v účtu se uchovávají po dobu používání služby a následně po dobu nutnou pro export, ukončení účtu, vyřízení otevřených požadavků, ochranu práv provozovatele a splnění právních povinností. Účetní, daňové a smluvní údaje se uchovávají po dobu vyžadovanou právními předpisy nebo po dobu nezbytnou pro obhajobu právních nároků.
Data u neuhrazeného IČO mohou být po uplynutí lhůt uvedených v obchodních podmínkách omezena, archivována nebo smazána. Technické zálohy mohou obsahovat kopie dat po omezenou dobu, dokud nejsou přepsány nebo odstraněny v rámci běžného zálohovacího cyklu.
Provozní a bezpečnostní logy se uchovávají po dobu nezbytnou pro bezpečnost, řešení incidentů, podporu a ochranu práv. Délka uchování se může lišit podle typu logu a závažnosti události.
Cookies a technické údaje
5. Cookies a podobné technologie
Fakturek používá zejména technické cookies a obdobné technologie nezbytné pro přihlášení, správu relace, ochranu před zneužitím, zapamatování základního nastavení a bezpečný provoz aplikace. Tyto cookies jsou potřebné pro fungování služby.
Pokud by Fakturek v budoucnu používal analytické, marketingové nebo jiné volitelné cookies, bude jejich použití popsáno v aplikaci nebo na webu a bude řešeno podle příslušných právních požadavků.
Zpracovatelská doložka
6. Zpracovatelská část pro data vložená uživatelem
Tato část tvoří zpracovatelskou smlouvu mezi uživatelem jako správcem a provozovatelem jako zpracovatelem v rozsahu, v jakém uživatel ve službě zpracovává osobní údaje svých zákazníků, dodavatelů, spolupracovníků nebo jiných osob.
Předmětem zpracování je technické zajištění služby Fakturek, zejména ukládání a zobrazování dat, vystavování dokladů, správa kontaktů, exporty, API, párování plateb, podpora, zabezpečení, provozní logování a zálohování. Doba zpracování odpovídá době trvání účtu, době nezbytné pro ukončení služby a době uchování podle obchodních podmínek a právních předpisů.
Typy osobních údajů mohou zahrnovat identifikační, kontaktní, fakturační, bankovní, platební a účetní údaje, údaje uvedené na dokladech, údaje v poznámkách a komunikaci a technické údaje související s používáním služby. Kategorie subjektů údajů mohou zahrnovat uživatele, jejich zaměstnance nebo spolupracovníky, odběratele, dodavatele, kontaktní osoby, plátce, příjemce faktur a další osoby, jejichž údaje uživatel do služby vloží.
Povinnosti zpracovatele
7. Jak provozovatel zpracovává data uživatele
Provozovatel zpracovává osobní údaje vložené uživatelem pouze na základě doložených pokynů uživatele, těchto podmínek, obchodních podmínek a právních povinností, které se na provozovatele vztahují. Za pokyn uživatele se považuje zejména používání funkcí služby, nastavení integrací, práce s API, export dat, kontaktování podpory a další úkony provedené v účtu.
Provozovatel přijímá přiměřená technická a organizační opatření k ochraně údajů, zejména řízení přístupů, omezení přístupu jen na osoby, které jej potřebují, povinnost mlčenlivosti, zabezpečený přenos dat, zálohování, provozní logování, aktualizace systému a opatření proti zneužití účtů a API. Konkrétní opatření se mohou měnit podle vývoje služby a bezpečnostních rizik.
Provozovatel pomůže uživateli v přiměřeném rozsahu s plněním povinností správce, zejména při vyřizování žádostí subjektů údajů, řešení bezpečnostních incidentů, posouzení bezpečnosti zpracování a ukončení zpracování. Pokud žádost vyžaduje nepřiměřený čas nebo individuální technickou práci, může provozovatel požadovat přiměřenou úhradu nákladů.
Subzpracovatelé
8. Další zpracovatelé a předávání údajů
Uživatel uděluje provozovateli obecné povolení zapojit do zpracování další zpracovatele potřebné pro provoz služby, zejména poskytovatele hostingové infrastruktury, zálohování, e-mailového doručování, monitoringu, bezpečnostních nástrojů, zákaznické podpory a integrací, které uživatel používá.
Provozovatel zaváže další zpracovatele k ochraně údajů v rozsahu odpovídajícím jejich roli. Pokud dojde k podstatné změně dalších zpracovatelů, provozovatel o ní informuje přiměřeným způsobem, například v aplikaci, e-mailem nebo aktualizací této stránky. Uživatel může proti změně vznést odůvodněnou námitku; pokud ji nelze rozumně vyřešit, může přestat příslušnou část služby používat nebo službu ukončit.
Provozovatel neusiluje o předávání osobních údajů mimo Evropský hospodářský prostor. Pokud by k takovému předání došlo, bude provedeno pouze při splnění právních podmínek, například na základě odpovídajících záruk podle GDPR.
Incidenty
9. Porušení zabezpečení a spolupráce
Pokud provozovatel zjistí porušení zabezpečení osobních údajů, které se týká údajů zpracovávaných pro uživatele jako správce, informuje uživatele bez zbytečného odkladu poté, co incident ověří a získá potřebné základní informace. Cílem je poskytnout oznámení zpravidla do 72 hodin od ověření incidentu, pokud to povaha incidentu a dostupné informace umožní.
Oznámení bude obsahovat dostupné informace o povaze incidentu, dotčených údajích, pravděpodobných dopadech a přijatých nebo navrhovaných opatřeních. Uživatel jako správce odpovídá za posouzení, zda má incident hlásit dozorovému úřadu nebo subjektům údajů, pokud právní předpisy nestanoví jinak.
Ukončení zpracování
10. Vrácení a výmaz dat
Uživatel může v rozsahu podporovaném službou exportovat svá data. Po ukončení účtu nebo dotčeného IČO provozovatel data smaže nebo anonymizuje, pokud jejich další uchování nevyžadují právní povinnosti, ochrana práv, řešení incidentů nebo technické zálohy po nezbytnou dobu.
Provozovatel není povinen uchovávat data po ukončení služby déle, než vyžadují obchodní podmínky, právní předpisy nebo přiměřená technická obnova služby. Uživatel odpovídá za to, že si včas stáhne data, která potřebuje pro účetnictví, daně, archivaci nebo jiné účely.
Práva subjektů údajů
11. Jaká máte práva
Subjekt údajů má podle podmínek GDPR zejména právo na přístup k osobním údajům, opravu, výmaz, omezení zpracování, přenositelnost údajů, námitku proti zpracování založenému na oprávněném zájmu a právo odvolat souhlas, pokud je zpracování založeno na souhlasu.
Žádosti týkající se účtu, komunikace s provozovatelem nebo fakturace předplatného je možné posílat na info@fakturek.cz. Pokud se žádost týká údajů, které do služby vložil konkrétní uživatel jako správce, může provozovatel žádost předat tomuto uživateli nebo požádat žadatele, aby se obrátil přímo na něj.
Subjekt údajů má také právo podat stížnost u Úřadu pro ochranu osobních údajů, pokud se domnívá, že jeho osobní údaje jsou zpracovávány v rozporu s právními předpisy.
Kontakt a aktualizace
12. Kontakt a změny těchto informací
Pro dotazy k ochraně osobních údajů, bezpečnosti nebo zpracování dat lze kontaktovat provozovatele na adrese info@fakturek.cz. Tyto informace mohou být aktualizovány zejména při změně služby, integrací, bezpečnostních opatření, právních požadavků nebo způsobu zpracování údajů.