Zásady ochrany osobních údajů
Ochrana osobních údajů a Smlouva o zpracování osobních údajů (DPA) dle čl. 28 GDPR
I. Správce osobních údajů
Správcem osobních údajů je společnost FaktFlow s. r. o., IČO: 23629312, DIČ: CZ23629312, se sídlem Korunní 2569/108, Vinohrady, 101 00 Praha 10, sp. zn. C 430409, DS: rur3dbf.
Kontakt pro záležitosti ochrany osobních údajů: gdpr@faktflow.cz
II. Zásady ochrany osobních údajů
A) Právní základ a účel zpracování
| Kategorie údajů | Účel zpracování | Právní základ | Doba uchování |
|---|---|---|---|
| Registrační údaje (jméno, e-mail, telefon) | Správa účtu, přihlašování, fakturace | Plnění smlouvy (čl. 6/1/b GDPR) | Po dobu trvání smlouvy + 3 roky |
| Fakturační údaje (firma, IČO, DIČ, adresa) | Vydávání daňových dokladů, zákonné povinnosti | Plnění smlouvy + zákonná povinnost (čl. 6/1/b,c) | 10 let (zákon o účetnictví) |
| Přístupové a technické (IP adresa, session ID, logy) | Bezpečnost, ladění chyb, audit trail | Oprávněný zájem (čl. 6/1/f) | 12 měsíců |
| Marketingová sdělení | Zasílání obchodních sdělení o produktech FaktApp | Souhlas (čl. 6/1/a) | Do odvolání souhlasu, max. 3 roky |
| Cookies a sledovací data | Viz Zásady cookies | Souhlas / oprávněný zájem | Viz Zásady cookies |
| Registrační souhlas (timestamp, IP adresa, verze VOP) | Důkaz uzavření smlouvy, právní ochrana | Oprávněný zájem (čl. 6/1/f) | 3 roky po ukončení smlouvy; nezaktivovaní zájemci 2 roky od registrace; IP adresa 12 měsíců |
| Registrační souhlas (timestamp, IP, verze VOP) | Důkaz uzavření smlouvy, právní ochrana | Oprávněný zájem (čl. 6/1/f) | 3 roky po ukončení smlouvy; u nezaktivovaných zájemců 2 roky od registrace |
B) Příjemci osobních údajů
Osobní údaje mohou být předány: subdodavatelům Poskytovatele (hosting, platební brána, e-mail, analytika) — aktuální seznam na faktflow.cz/zpracovani-dat; státním orgánům a soudům dle zákonné povinnosti; právním poradcům a auditorům vázaným mlčenlivostí.
Osobní údaje nejsou prodávány ani půjčovány třetím stranám. Veškeré zpracování probíhá v EU/EHP. Výjimkou jsou služby třetích stran (Google Analytics), které mohou přenášet data do USA na základě mechanismu EU–U.S. Data Privacy Framework (DPF). GoPay s.r.o. je česká společnost — data zůstávají v EU.
C) Zabezpečení
Poskytovatel uplatňuje tato technická a organizační opatření:
- šifrování přenosu dat protokolem TLS 1.2+
- šifrování uložených citlivých dat (AES-256)
- vícefaktorová autentizace (MFA) pro administrátorské přístupy
- audit log aktivit po dobu 12 měsíců
- řízení přístupových oprávnění (RBAC)
- pravidelný patch management a penetrační testování
Podrobnosti na faktflow.cz/bezpecnost.
D) Práva subjektů údajů
Veškerá práva lze uplatnit na adrese gdpr@faktflow.cz.
| Právo | Co to znamená | Lhůta pro odpověď |
|---|---|---|
| Právo na přístup (čl. 15) | Získat kopii osobních údajů, které zpracováváme | Do 30 dní (lze prodloužit o 60 dní) |
| Právo na opravu (čl. 16) | Opravit nesprávné nebo neúplné údaje | Do 30 dní |
| Právo na výmaz (čl. 17) | Vymazat údaje, pokud není zákonný důvod pro jejich uchování | Do 30 dní |
| Právo na omezení zpracování (čl. 18) | Omezit zpracování údajů v určitých situacích | Do 30 dní |
| Právo na přenositelnost (čl. 20) | Získat údaje ve strojově čitelném formátu (CSV, JSON) | Do 30 dní |
| Právo vznést námitku (čl. 21) | Namítat zpracování na základě oprávněného zájmu | Okamžitě |
| Odvolání souhlasu (čl. 7/3) | Odvolat souhlas se zpracováním (cookies, marketing) | Okamžitě |
| Právo podat stížnost | Podat stížnost u ÚOOÚ (www.uoou.cz) | — |
E) Cookies
Podrobné informace o používání cookies a správě souhlasů jsou uvedeny v samostatném dokumentu Zásady používání cookies.
III. Smlouva o zpracování osobních údajů (DPA)
Typy osobních údajů dle modulů
| Modul | Typy osobních údajů | Kategorie subjektů údajů |
|---|---|---|
| InvoFlow (Fakturace) | Jméno, adresa, e-mail, IČO, DIČ odběratelů a dodavatelů | Podnikatelé — fyzické osoby, kontaktní osoby firem |
| DocFlow (Vytěžování) | Údaje z dokladů: jméno, adresa, částky, variabilní symbol | Dodavatelé, zaměstnavatelské subjekty |
| TaskFlow (Úkolovník) | Jména a e-maily členů týmu, obsah úkolů a komentářů | Zaměstnanci a spolupracovníci Klienta |
| TimeFlow (Docházka) | Jména zaměstnanců, pracovní doby, absence | Zaměstnanci Klienta |
| TripFlow (Ces. příkazy) | Jména, pracovní pozice, utracené částky, destinace cest | Zaměstnanci Klienta |
Povinnosti Zpracovatele (FaktFlow s.r.o.)
- Zpracovávat osobní údaje pouze na základě zdokumentovaných pokynů Správce
- Zajistit přiměřená technická a organizační opatření pro ochranu zpracovávaných dat
- Uchovávat data výhradně na serverech v EU/EHP
- Oznámit bezpečnostní incident Klientovi do 24 hodin od zjištění
- Po ukončení Smlouvy data na žádost Klienta vrátit nebo bezpečně zlikvidovat
- Umožnit Klientovi přiměřený audit (termín min. 30 dní předem; náklady hradí Klient)
Povinnosti Správce (Klienta)
Klient jako Správce osobních údajů odpovídá za:
- existenci platného právního základu pro předávání osobních údajů Zpracovateli;
- plnění informační povinnosti vůči subjektům údajů, jejichž data vloží do Platformy;
- to, že do Platformy nenahraje osobní údaje v rozsahu větším, než je nezbytné;
- to, že do Platformy nenahraje zvláštní kategorie osobních údajů dle čl. 9 GDPR bez výslovného právního základu.
Hlášení bezpečnostních incidentů
Zpracovatel oznámí Klientovi bezpečnostní incident do 24 hodin od jeho zjištění na kontaktní e-mail evidovaný v Platformě. Klient je povinen sám oznámit incident dozorovému úřadu (ÚOOÚ) do 72 hodin od zjištění (čl. 33 GDPR), pokud incident představuje riziko pro práva a svobody fyzických osob.
Rozhodné právo
Tato DPA se řídí právem České republiky a právem EU (GDPR). Spory se řeší dle VOP FaktFlow s.r.o.
IV. Aktualizace těchto Zásad
Platná verze je vždy dostupná na faktflow.cz/gdpr. Klienti budou o podstatných změnách informováni e-mailem. Tyto Zásady nabývají účinnosti dnem 1. března 2026.
FaktFlow s.r.o. · IČO: 23629312 · sp. zn. C 430409 · gdpr@faktflow.cz