Zásady ochrany osobních údajů

Správcem osobních údajů je Vladyslav Haiduk, fyzická osoba podnikající (OSVČ), IČO 23484624. Úplné registrační údaje a dozorové orgány najdete v Tiráži.

Ve všech otázkách ochrany osobních údajů a při uplatnění svých práv pište na [email protected]. Nejmenovali jsme samostatného pověřence pro ochranu osobních údajů — žádosti vyřizuje sám správce.

Zpracováváme jen takové údaje, které potřebujeme k provozu platformy a placených služeb. Kategorie jsou:

• Údaje o účtu a profilu: E-mailová adresa, hash hesla při registraci heslem, identifikátory napojeného OAuth poskytovatele při přihlášení přes Google, jméno, příjmení, země, český kraj, preferovaný jazyk, předvolba telefonu, národní telefonní číslo, telefon ve formátu E.164, časy vytvoření účtu, dokončení profilu a posledního přihlášení. Samostatné zobrazované jméno účtu nesbíráme; pokud Google poskytne display name, použijeme ho jen k předvyplnění jména a příjmení, je-li to potřeba.
• Inzeráty, zprávy a moderace: Inzeráty, které zveřejníte (titulek, popis, fotky, cena, kategorie, atributy, sklad/objednatelnost, možnosti doručení, stav publikace a historie inzerátu), chatové zprávy a přílohy, reporty a poznámky k reportům, wishlist, blokovaní uživatelé a moderační kroky.
• Údaje prodávajícího a storefrontu: Pokud používáte nástroje prodávajícího, zpracováváme typ/status prodávajícího, veřejný badge, zákaznický kontaktní e-mail/telefon, text pravidel vracení, stav podnikatelského ověření a storefrontu, název storefrontu, slug, popis, logo/banner, provozovny, otevírací dobu, poznámky k vyzvednutí, pozvánky členů týmu, členství a role v týmu.
• Objednávky a doručení: Údaje o objednávkách a doručení: identifikátory kupujícího a prodávajícího, položka, množství, cena/měna, stav a události objednávky, telefon a poznámka kupujícího, doručovací adresa pro doručení domů, místo/adresa/město/souřadnice/čas/poznámky k veřejnému předání, předávací kódy, žádosti o zrušení/pomoc/změnu, tracking čísla, identifikátory dopravce a tracking události.
• Ověření totožnosti a podnikatele: Údaje o ověření telefonu: zadané telefonní číslo, poskytovatel ověření (Twilio), pokus/výsledek/status a časové údaje. Údaje podnikatelského ověření/KYB: právní název, právní forma, IČO/DIČ nebo registrační údaje, údaje ARES, sídlo, kontakty podpory, předložené dokumenty nebo podklady, ověřovací události, rozhodnutí kontrolora a časové údaje.
• Platební údaje, předplatné a propagace: Při platbě za propagaci nebo předplatné kompletní data karty získává a ukládá Stripe — provozovatel celé číslo karty ani CVC nikdy nevidí ani neukládá. Uchováváme identifikátory zákazníka/platby/předplatného/platební metody u Stripe, značku karty, poslední čtyři číslice a expiraci, pokud je Stripe vrátí, stav faktury/platby, částku, měnu, zúčtovací období, daňové a účetní údaje, slevy/promo kódy, reference Stripe webhooků a hashe a časy souhlasů s uložením karty nebo waiverem práva odstoupit.
• Analytika a výkonnostní události: Události zobrazení inzerátů/storefrontů, impresí, kliknutí, odhalení kontaktu a doručení propagací; měření stránek a událostí v Google Analytics po souhlasu; příznak započítání, čas, identifikátory inzerátu/storefrontu/kampaně, ID uživatele při přihlášení, volitelný session key při souhlasu s analytikou a hash IP adresy/user-agentu pro anonymní deduplikaci.
• Vyhledávání míst a lokalizační údaje: Vyhledávací text, vybrané adresy, přibližné mapové souřadnice, místa předání, doručovací adresy, pokud jsou použity, filtry země/jazyka a požadavky na reverzní geokódování posílané poskytovateli vyhledávání míst.
• Odměny a doporučení: Pokud používáte referral nebo odměnové funkce, zpracováváme sdílecí odkazy, záznamy kliknutí, konverze, odměnové peněženky, účetní knihu odměn, achievements, redemptions, anti-abuse příznaky a rozhodnutí kontrolora.
• Notifikace: Nastavení notifikací, záznamy notifikací, doručovací kanál, stav doručení, zdroj notifikace, časové údaje a související identifikátory, například ID inzerátu, objednávky, předplatného nebo storefrontu.
• Komunikace s podporou: Pokud nám napíšete e-mailem nebo přes help/support flow, uchováváme zprávu, naši odpověď, přílohy a interní poznámky ke zpracování po dobu nezbytnou k vyřízení a k případné obraně právních nároků.
• Importovaná data inzerátů třetích stran: Veřejný obsah inzerátů z Bazoše importovaný pro objevování: zdrojové identifikátory, zdrojová kategorie, titulek/popisek, cena, lokalitní náznaky, fotky/média, časy, zobrazované/kontaktní náznaky prodávajícího, stav claimu a importní/revizní metadata.
• AI obohacení dat: Pokud je zapnuté AI obohacení, text importovaného inzerátu, návrhy kategorií/atributů a necitlivá metadata mohou být odeslána AI poskytovateli za účelem klasifikace nebo normalizace. Záměrně za tímto účelem neposíláme platební údaje, hesla ani soukromé chaty.
• Technické údaje: Při návštěvě webu nebo volání API obdržíme metadata požadavku, jako je IP adresa, user-agent, čas, požadovaný endpoint/stránka a kontext autentizace/sezení. Pro analytiku zobrazení ukládáme hash IP adresy a hash user-agentu, nikoli surové hodnoty. Samostatné bezpečnostní/auditní logy mohou uchovávat metadata požadavků pro prevenci zneužití, řešení problémů a právní nároky.
• Cookies a obdobná úložiště: Úplný seznam cookies a klíčů localStorage, jejich účel a možnosti změny vaší volby najdete v samostatných Zásadách cookies.
• Právní a souhlasné záznamy: Verzované záznamy přijetí Podmínek, Zásad ochrany osobních údajů, potvrzení věku, voleb cookies, souhlasů s uložením karty a waiverů u placených služeb, včetně času a omezeného kontextu požadavku potřebného k prokázání volby.

Některé stránky inzerátů vznikají z veřejných inzerátů na Bazoši, nikoli přímo od prodávajícího. Zdrojem je Bazoš a zdrojový identifikátor uchováváme, aby šel záznam dohledat, převzít, opravit nebo odstranit.

Importované kategorie mohou zahrnovat text inzerátu, veřejné fotografie, cenu, kategorii, veřejnou zdrojovou URL nebo identifikátor, přibližnou lokalitu, zobrazované/kontaktní náznaky prodávajícího a technická importní metadata. Zpracování opíráme o oprávněný zájem na objevování nabídky, deduplikaci, prevenci podvodů a umožnění claimu nebo námitky.

Pokud se vás importovaný inzerát týká, napište na [email protected] nebo použijte claim flow na inzerátu a požádejte o přístup, opravu, výmaz, posouzení námitky nebo informace o zdroji.

Každá zpracovatelská činnost se opírá o jeden z právních titulů GDPR:

• Plnění smlouvy: Většina zpracování — váš účet, vaše inzeráty, zprávy a nákupy propagací nebo předplatného — je nezbytná k poskytnutí služby, pro kterou jste se zaregistrovali.
• Oprávněný zájem: O oprávněný zájem se opíráme u bezpečnosti (rate-limiting, detekce podvodů, audit logy), moderace, prevence zneužití odměn/propagací, omezené souhrnné analytiky včetně anonymních počtů zobrazení z hashovaných metadat, objevování importovaných inzerátů, deduplikace a vyřizování claimů/odstranění.
• Souhlas: Souhlas používáme u volitelných cookies/úložišť v prohlížeči, jako je analytický session key, cookies Google Analytics a referral cookie, u souhlasu s uložením platební metody, u potvrzení waiveru práva odstoupit tam, kde je vyžadováno, a do budoucna u marketingových e-mailů.
• Plnění právní povinnosti: Některé zpracování vyžadují české předpisy — účetní a daňové záznamy o transakcích provozovatele, plnění zákonných žádostí orgánů veřejné moci a povinnosti reagovat na oznámení nezákonného obsahu, nebezpečných výrobků nebo porušení práv.

K provozu platformy využíváme níže uvedené zpracovatele a podzpracovatele. Produkční zpracovatelé působí na základě písemných podmínek zpracování a zpracovávají údaje pouze podle pokynů provozovatele.

Většina základního hostingu a databázového zpracování probíhá v EU/EHP u Hetzneru (Německo). Někteří zpracovatelé nebo jejich skupinové společnosti/podzpracovatelé mohou zpracovávat data mimo EU/EHP, včetně Cloudflare, Stripe, Google (včetně Google Workspace/Gmail SMTP), Twilio a OpenAI, pokud je zapnuté. Geoapify zpracovává primárně v EU. Předání mimo EU/EHP se opírá o podmínky zpracování poskytovatele a použitelné záruky, například EU-U.S. Data Privacy Framework nebo standardní smluvní doložky.

Osobní údaje uchováváme jen po dobu nezbytně nutnou k účelu, pro který byly získány, a poté je vymažeme nebo anonymizujeme.

• Údaje o účtu/profilu uchováváme po dobu aktivity účtu. O smazání účtu požádejte na e-mail podpory uvedený v Tiráži; po ověření žádosti anonymizujeme identifikační údaje účtu/profilu do 30 dnů. Záznamy, které musíme uchovat ze zákona, kvůli bezpečnosti, sporům nebo účetnictví, uchováváme podle níže uvedených pravidel.
• Inzeráty zůstávají zveřejněné, dokud je nesmažete nebo nedosáhnou konce životního cyklu. Uzavřené inzeráty a jejich statistiky uchováváme 24 měsíců pro účely historie podvodů a sporů.
• Záznamy o objednávkách, doručení, předání, zásilkách a koordinaci transakcí mezi uživateli uchováváme 24 měsíců po uzavření pro účely podvodů, podpory a sporů, pokud zákon nebo aktivní nároky nevyžadují déle.
• Telefonní a podnikatelské ověřovací záznamy uchováváme po dobu aktivity účtu nebo statusu prodávajícího a poté až 3 roky pro audit, prevenci podvodů a právní nároky, pokud zákon nebo aktivní nároky nevyžadují déle.
• Platební záznamy, faktury a účetní doklady uchováváme 10 let v souladu s českým zákonem o účetnictví.
• Události zobrazení, impresí, kliknutí, odhalení kontaktu a analytiky propagací uchováváme 24 měsíců; agregované statistiky, které již neidentifikují uživatele ani prohlížeč, můžeme uchovat déle.
• Importované inzeráty z Bazoše a související importní metadata uchováváme, dokud jsou užitečné pro objevování, claim/removal handling, deduplikaci, prevenci podvodů a auditní historii. Odstraněné nebo namítané záznamy mohou být uchovány v omezené podobě, je-li to potřeba k zabránění reimportu nebo obraně právních nároků.
• Záznamy o souhlasu s cookies, přijetí právních dokumentů, uložení karty a waiveru práva odstoupit uchováváme 3 roky od data volby pro účely auditu.
• E-maily a help requesty podpory uchováváme 3 roky od poslední odpovědi, poté je mažeme, nevyžaduje-li probíhající právní záležitost delší dobu.

V souvislosti se svými osobními údaji máte podle GDPR tato práva:

• Přístup: Můžete požádat o kopii osobních údajů, které o vás vedeme, a o informace o tom, jak je zpracováváme.
• Oprava: Můžete žádat o opravu nepřesných údajů nebo doplnění neúplných údajů.
• Výmaz (právo být zapomenut): Můžete žádat o výmaz osobních údajů, které již nejsou potřebné k účelu, pro který byly získány, kdy odvoláte souhlas, nebo když je zpracování protiprávní. Některé záznamy (účetnictví, audit logy) jsme povinni uchovávat ze zákona.
• Omezení zpracování: Můžete nás požádat, abychom zpracování omezili po dobu, kdy se řeší vaše žádost o opravu nebo námitka.
• Přenositelnost údajů: U údajů, které jste nám poskytli na základě smlouvy nebo souhlasu, můžete žádat o strukturovaný strojově čitelný export.
• Námitka: Můžete vznést námitku proti zpracování opírajícímu se o oprávněný zájem. Zpracování ukončíme, pokud neprokážeme závažné důvody, které převáží, nebo pokud zpracování není nezbytné pro určení a obranu právních nároků.
• Odvolání souhlasu: Tam, kde zpracování opíráme o váš souhlas, jej můžete kdykoli odvolat. Odvolání se nedotýká zákonnosti zpracování, které proběhlo před odvoláním.
• Stížnost: Máte právo podat stížnost u dozorového úřadu pro ochranu osobních údajů ve státě svého bydliště.

K uplatnění kteréhokoli z těchto práv napište na [email protected]. Odpovíme do 30 dnů; u složitých žádostí lhůtu prodloužíme až o dalších 60 dnů a do prvních 30 dnů vás o tom informujeme.

Skarbex je určen osobám od 16 let. Osoby ve věku 16 a 17 let mohou platformu používat s vědomím a souhlasem zákonného zástupce. Vědomě nesbíráme osobní údaje od osob mladších 16 let; pokud zjistíme, že se tak stalo, údaje i účet smažeme.

Komunikaci chráníme pomocí TLS, hesla hashujeme (bcrypt), karetní data tokenizujeme přes Stripe, vybraná citlivá ověřovací pole šifrujeme na aplikační úrovni, na admin straně používáme řízení přístupu podle rolí a u citlivých akcí vedeme audit logy. Žádný systém není zcela bezpečný; pokud dojde k incidentu, který se týká vašich údajů, ohlásíme jej dozorovému úřadu do 72 hodin a v zákonem požadovaných případech bez zbytečného odkladu i vám.

Tyto Zásady můžeme aktualizovat. Podstatné změny v ochraně osobních údajů oznámíme v platformě a tam, kde to vyžaduje právo, požádáme před pokračováním dotčeného zpracování o nový souhlas. Nepodstatná upřesnění nabývají účinnosti zveřejněním. Datum nahoře odpovídá aktuální verzi.

S jakýmkoli dotazem, žádostí nebo stížností v oblasti ochrany osobních údajů se obraťte na [email protected].