ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

mobilní a webové aplikace „Spolehlivý opravář“

1 Správce osobních údajů

Správcem osobních údajů ve smyslu čl. 4 odst. 7 nařízení Evropského parlamentu a Rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů (dále jen „GDPR“), je společnost:

Spolehlivý opravář s.r.o.

IČO: 24619167
se sídlem: 28. října 1381, Mařatice, 686 01 Uherské Hradiště
zapsaná v obchodním rejstříku vedeném u Krajského soudu v Brně, oddíl C, vložka 150710
e-mail: spravce@spolehlivyopravar.cz.

(dále jen „Správce“ nebo „my“).

Správce nejmenoval pověřence pro ochranu osobních údajů (DPO). Ve všech záležitostech týkajících se zpracování osobních údajů a uplatnění práv subjektů údajů se lze obracet na Správce prostřednictvím výše uvedených kontaktních údajů.

2 Úvod

Aplikace „Spolehlivý opravář“ (dále jen „Aplikace“) je mobilní aplikace pro chytré telefony a tablety (operační systémy iOS a Android) doplněná o webové rozhraní, která zajišťuje nebo zprostředkovává zákazníkům poptávající opravu, revizi nebo odstranění závady na nemovitosti nebo v domácnosti se řemeslníky, kteří tyto opravy a domácí práce zajistí (dále jen „Služba“).

Tyto zásady popisují, jaké osobní údaje v souvislosti s provozem Aplikace a poskytováním jejích Služeb zpracováváme, za jakými účely, na jakém právním základě, po jakou dobu, komu je zpřístupňujeme a jaká práva subjektům údajů náleží.

Zásady se vztahují na všechny osoby, které Aplikaci využívají nebo s ní jinak přicházejí do styku. Tvoří nedílnou součást informační povinnosti Správce podle čl. 13 a 14 GDPR.

3 Komu jsou zásady určeny

Tyto zásady jsou určeny zejména následujícím kategoriím subjektů údajů:

Zákazníci – fyzické osoby (spotřebitelé i podnikatelé) užívající nebo spravující nemovitost, které si v Aplikaci založí účet a zadávají požadavky na opravu, revizi nebo odstranění závady (dále jen „Zakázka“);
Partneři – řemeslníci a podnikatelé registrovaní v Aplikaci, kteří na Zakázky reagují, naceňují je a provádějí jménem Správce (jde-li o fyzické osoby podnikatele, jsou rovněž subjekty údajů; u právnických osob zpracováváme údaje fyzických osob za ně jednajících);
Osoby jednající za Zákazníky nebo Partnery – kontaktní osoby, zaměstnanci a zástupci;
Návštěvníci webového rozhraní Aplikace.

4 Postavení Správce a vzájemné zpřístupnění údajů

Ve vztahu k osobním údajům zpracovávaným prostřednictvím Aplikace vystupuje Spolehlivý opravář s.r.o. v postavení správce, který sám určuje účely a prostředky zpracování.

Pro samotné provedení Zakázky je nezbytné, aby si Zákazník a Správce vzájemně zpřístupnili údaje nutné ke splnění objednané Služby (zejména jméno, kontakt, adresu místa plnění, popis a dokumentaci závady a v průběhu realizace polohu Partnera).

V rámci Služeb mají Partneři přístup k osobním údajům Zákazníků i Partneři, kteří vystupují v roli zpracovatele osobních údajů pro Správce.

5 Jaké osobní údaje zpracováváme

5.1 Registrační a identifikační údaje

jméno a příjmení, resp. obchodní firma / název;
adresa (bydliště, sídlo, místo plnění Zakázky);
e-mailová adresa a telefonní číslo;
u Partnerů identifikační údaje podnikatele (IČO, předmět podnikání) a bankovní spojení;
přihlašovací údaje k účtu; při využití přihlášení přes účet Google nebo Apple identifikátor poskytovaný příslušnou službou.

5.2 Údaje o Zakázkách a obsah vložený uživatelem

popis požadované opravy, revize nebo závady, preferovaný termín v kalendáři;
fotodokumentace, audio a video záznamy pořízené Zákazníkem k popisu Zakázky;
obsah komunikace mezi Zákazníkem a Partnerem v chatu Aplikace;
nacenění, navržené řešení, historie a stav Zakázky, výkazy práce (reporty) Partnera;
dokumentace spravovaná v Aplikaci (foto, reporty, revize, protokoly o předání/převzetí).

5.3 Lokalizační údaje

poloha Partnera v reálném čase po uzavření dohody o provedení Zakázky, údaje o místě a čase plnění Zakázky;
údaje pro navigaci k místu plnění (Google Maps).

5.4 Platební a transakční údaje

údaje o zvoleném cenovém balíčku (Základní/Basic, Standard, Premium, Premium Plus) a o objednaných Službách;
údaje o platbách realizovaných prostřednictvím platební brány; úplné údaje o platební kartě zadává uživatel přímo u poskytovatele platební brány a Správce k nim nemá přístup;
fakturační a účetní údaje.

5.5 Technické a provozní údaje

IP adresa, identifikátor zařízení, typ zařízení a operačního systému, verze Aplikace;
protokoly (logy) o přístupech a změnách účtů Zákazníků, Partnerů i administrace, datum a čas přihlášení a aktivity;
údaje o udělených souhlasech a o akceptaci obchodních a jiných podmínek (včetně data a času uložení souhlasu na serveru);
chybová hlášení a údaje o chování uživatelů pro statistické a provozní účely.

Zvláštní kategorie osobních údajů podle čl. 9 GDPR (např. údaje o zdravotním stavu, biometrické či genetické údaje) Správce prostřednictvím Aplikace nezpracovává. Uživatelé jsou povinni takové údaje do Aplikace (zejména do popisu Zakázky, dokumentace či chatu) nevkládat.

6 Účely zpracování a právní základy

Osobní údaje zpracováváme pouze pro určité, výslovně vyjádřené a legitimní účely, a to na těchto právních základech ve smyslu čl. 6 GDPR:

Účel zpracování	Kategorie údajů	Právní základ
Založení a správa uživatelského účtu, ověření totožnosti uživatele, autentizace	Registrační a identifikační údaje, přihlašovací údaje	čl. 6 odst. 1 písm. b) GDPR – plnění smlouvy (užívání Aplikace)
Poskytování Služeb – zadávání, zprostředkování, naceňování a realizace Zakázek, kalendář, chat, sledování stavu a polohy	Údaje o Zakázkách, obsah vložený uživatelem, lokalizační údaje	čl. 6 odst. 1 písm. b) GDPR – plnění smlouvy
Zpracování plateb a předplatných balíčků, vedení účetnictví, vystavování daňových dokladů	Platební, transakční, fakturační a účetní údaje	čl. 6 odst. 1 písm. b) GDPR (plnění smlouvy) a čl. 6 odst. 1 písm. c) GDPR (plnění právních povinností – účetní a daňové předpisy)
Zabezpečení Aplikace, prevence a odhalování zneužití, podvodů a technických incidentů, vedení provozních logů	Technické a provozní údaje (IP, logy, identifikátory zařízení)	čl. 6 odst. 1 písm. f) GDPR – oprávněný zájem na bezpečnosti a řádném provozu
Vyřizování dotazů, reklamací a uplatněných nároků, vedení sporů	Identifikační a kontaktní údaje, údaje o Zakázkách, komunikace	čl. 6 odst. 1 písm. b), c) a f) GDPR (plnění smlouvy, právní povinnosti, oprávněný zájem na ochraně práv)
Zasílání obchodních sdělení vlastním zákazníkům k obdobným službám	Jméno, e-mail, údaje o doručitelnosti	čl. 6 odst. 1 písm. f) GDPR – oprávněný zájem; § 7 odst. 3 zákona č. 480/2004 Sb. (tzv. soft opt-in)
Zasílání marketingových sdělení nad rámec výše uvedeného, je-li zaváděno	Jméno, e-mail	čl. 6 odst. 1 písm. a) GDPR – souhlas
Statistika, analýza užívání a rozvoj Aplikace	Technické a provozní údaje, v agregované/anonymizované podobě	čl. 6 odst. 1 písm. f) GDPR – oprávněný zájem na zlepšování Služeb

Poskytnutí osobních údajů pro účely založení účtu a plnění smlouvy je smluvním požadavkem; bez jejich poskytnutí nelze Aplikaci užívat ani Zakázku realizovat. Tam, kde je právním základem souhlas, je jeho udělení dobrovolné a lze jej kdykoli odvolat s účinky do budoucna.

7 Doba zpracování osobních údajů

Osobní údaje uchováváme pouze po dobu nezbytnou k naplnění uvedených účelů:

Kategorie / účel	Doba uchování
Údaje k uživatelskému účtu a o jeho užívání	po dobu trvání účtu; po jeho zrušení nejdéle po dobu trvání promlčecích lhůt k případným nárokům (zpravidla 4 roky)
Údaje o Zakázkách, dokumentace, komunikace	po dobu trvání smluvního vztahu a následně po dobu promlčecích a reklamačních lhůt
Účetní a daňové doklady o platbách	10 let (§ 35 zákona č. 235/2004 Sb., o DPH), resp. 5 let dle zákona č. 563/1991 Sb., o účetnictví
Provozní logy a IP adresy	zpravidla 12 měsíců, poté výmaz nebo agregace do anonymní podoby
Údaje pro zasílání obchodních sdělení	do podání námitky, resp. do odvolání souhlasu
Záznamy o udělených souhlasech a akceptaci podmínek	po dobu trvání zpracování a následně po dobu nezbytnou k prokázání souladu

Po uplynutí příslušné doby jsou osobní údaje vymazány nebo nevratně anonymizovány.

8 Příjemci a zpracovatelé osobních údajů

Osobní údaje zpřístupňujeme pouze v nezbytném rozsahu a důvěryhodným příjemcům. K zajištění provozu Aplikace využíváme tyto zpracovatele a poskytovatele technických služeb, kteří zpracovávají osobní údaje na základě smlouvy o zpracování podle čl. 28 GDPR:

Poskytovatel cloudové infrastruktury (Google – Firebase / Google Cloud) – hosting, databáze, autentizace a provozní zázemí Aplikace;
Google (Mapy a Kalendář) – navigace k místu plnění a volitelná synchronizace termínů s kalendářem;
Apple – distribuce přes App Store, přihlášení „Sign in with Apple“ a volitelná synchronizace s kalendářem Apple;
Poskytovatel platební brány (Stripe) – zpracování plateb; tento poskytovatel zpracovává platební údaje rovněž jako samostatný správce v rozsahu nezbytném pro provedení platby;
Dodavatel vývoje a technické podpory Aplikace – údržba, podpora a rozvoj Aplikace na základě zpracovatelské smlouvy;
Partneři, resp. Zákazníci – v rozsahu nezbytném pro realizaci konkrétní Zakázky (viz čl. 3).

Osobní údaje mohou být dále zpřístupněny orgánům veřejné moci, vyžadují-li to právní předpisy nebo je-li to nezbytné k ochraně práv Správce. Osobní údaje nejsou předmětem prodeje ani předávány třetím osobám pro jejich vlastní marketingové účely.

9 Předávání osobních údajů do třetích zemí

Někteří výše uvedení poskytovatelé (zejména Google, Apple a Stripe) mohou osobní údaje zpracovávat i mimo Evropský hospodářský prostor, typicky ve Spojených státech amerických. K předávání dochází při zajištění odpovídajících záruk podle GDPR, a to:

Primárně na základě rozhodnutí Evropské komise o odpovídající úrovni ochrany podle čl. 45 GDPR (zejména rámec EU–US Data Privacy Framework), nebo
Případně na základě standardních smluvních doložek přijatých Evropskou komisí (rozhodnutí č. 2021/914) podle čl. 46 GDPR, případně dalších vhodných záruk dle čl. 46 GDPR.

Bližší informace o zárukách lze získat na žádost u Správce.

10 Automatizované rozhodování a profilování

Při zpracování osobních údajů nedochází k automatizovanému individuálnímu rozhodování ani k profilování s právními či obdobně významnými účinky pro subjekt údajů ve smyslu čl. 22 GDPR.

11 Práva subjektů údajů

V souvislosti se zpracováním osobních údajů náležejí subjektům údajů následující práva, která lze uplatnit u Správce:

právo na přístup k osobním údajům (čl. 15 GDPR);
právo na opravu nepřesných nebo neúplných údajů (čl. 16 GDPR); Aplikace umožňuje opravu údajů přímo v účtu;
právo na výmaz („právo být zapomenut“) za podmínek čl. 17 GDPR; Aplikace umožňuje výmaz a export osobních údajů uživatele na žádost;
právo na omezení zpracování (čl. 18 GDPR);
právo na přenositelnost údajů ve strukturovaném, běžně používaném a strojově čitelném formátu (čl. 20 GDPR);
právo vznést námitku proti zpracování založenému na oprávněném zájmu (čl. 21 odst. 1 GDPR) a kdykoli proti zpracování pro účely přímého marketingu (čl. 21 odst. 2 a 3 GDPR);
právo odvolat souhlas tam, kde je zpracování založeno na souhlasu, s účinky do budoucna;
právo podat stížnost u dozorového úřadu, kterým je Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, www.uoou.cz.

Žádost lze podat prostřednictvím kontaktních údajů uvedených v záhlaví těchto zásad. Správce odpoví bez zbytečného odkladu, nejpozději do jednoho měsíce od obdržení žádosti; tuto lhůtu lze v případě potřeby a s ohledem na složitost a počet žádostí prodloužit o další dva měsíce, o čemž bude subjekt údajů informován. Správce je oprávněn před vyřízením žádosti přiměřeně ověřit totožnost žadatele.

12 Obchodní sdělení a přímý marketing

Je-li to v souladu s právními předpisy, můžeme zákazníkům zasílat obchodní sdělení týkající se vlastních obdobných Služeb. Zasílání obchodních sdělení lze kdykoli bezplatně odmítnout, a to prostřednictvím odhlašovacího odkazu v každém sdělení nebo zprávou na kontaktní e-mail Správce. Po podání námitky, resp. odvolání souhlasu, přestaneme osobní údaje pro tento účel zpracovávat.

13 Zabezpečení osobních údajů

S ohledem na povahu, rozsah a účely zpracování a na rizika pro práva a svobody subjektů údajů přijal Správce vhodná technická a organizační opatření podle čl. 32 GDPR, zejména:

šifrování komunikace prostřednictvím protokolu HTTPS (TLS);
ukládání hesel pouze v podobě kryptografického otisku (hash), nikoli v otevřeném textu, a možnost bezpečné obnovy hesla;
řízení přístupových oprávnění a víceúrovňovou autorizaci v administraci Aplikace;
logování přístupů a změn údajů Zákazníků, Partnerů i administrace;
zálohování dat a opatření k obnově dostupnosti po incidentu;
pravidelnou aktualizaci a kontrolu použitých technologií a komponent.

Správce zpracovává osobní údaje v elektronické podobě automatizovaně; přístup k nim mají pouze pověřené osoby vázané mlčenlivostí.

14 Cookies a webové rozhraní

Webové rozhraní Aplikace používá soubory cookies a obdobné technologie. Nezbytné cookies, které zajišťují základní funkčnost, přihlášení a bezpečnost (zejména session a ochrana proti CSRF), jsou zpracovávány na základě § 89 odst. 3 zákona č. 127/2005 Sb. a čl. 6 odst. 1 písm. b) GDPR a nevyžadují souhlas.

Volitelné funkční, výkonové (analytické) a marketingové cookies jsou používány pouze na základě souhlasu uživatele (čl. 6 odst. 1 písm. a) GDPR), který lze kdykoli udělit či odvolat v nastavení. Podrobnosti budou uvedeny v samostatném nastavení cookies.

15 Ochrana nezletilých

Aplikace a Služby nejsou určeny osobám mladším 15 let. Užívání Aplikace, zadávání Zakázek a uzavírání souvisejících smluv předpokládá plnou svéprávnost uživatele. Zjistí-li Správce, že zpracovává osobní údaje osoby mladší 15 let bez odpovídajícího právního základu, takové údaje bez zbytečného odkladu vymaže.

16 Změny těchto zásad

Tyto zásady mohou být průběžně aktualizovány, zejména v návaznosti na vývoj Aplikace, změnu Služeb nebo právních předpisů. Aktuální znění je vždy dostupné v Aplikaci a na webovém rozhraní. O podstatných změnách budou uživatelé informováni vhodným způsobem (prostřednictvím Aplikace nebo e-mailem) zpravidla nejméně 14 dní před nabytím účinnosti.

17 Kontakt

Ve všech záležitostech týkajících se zpracování osobních údajů a uplatnění práv subjektů údajů se obracejte na Správce:

Spolehlivý opravář s.r.o.

e-mail: spravce@spolehlivyopravar.cz.
adresa: 28. října 1381, Mařatice, 686 01 Uherské Hradiště