1. Úvod
1.1. Tento dokument upravuje zpracování osobních údajů v rámci služby Fakturomat.cz v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 (GDPR).
1.2. Dokument se vztahuje na osobní údaje uživatelů služby i na osobní údaje třetích stran (odběratelů uživatelů), které jsou v rámci služby zpracovávány.
2. Role při zpracování údajů
2.1. Uživatel služby (podnikatel využívající Fakturomat.cz) vystupuje jako správce osobních údajů svých odběratelů a zákazníků.
2.2. Provozovatel (Adam Haken, Mostek 227, 544 75 Mostek, IČ: 72907673, DIČ: CZ686166382, Datová schránka: 6s5a336) vystupuje jako zpracovatel osobních údajů ve smyslu čl. 28 GDPR a zpracovává údaje výhradně na základě pokynů Uživatele a za účelem poskytování služby.
2.3. Registrací a používáním služby Fakturomat.cz vzniká mezi Uživatelem (správcem) a Provozovatelem (zpracovatelem) smluvní vztah o zpracování osobních údajů.
3. Zpracovávané osobní údaje
3.1. V rámci služby mohou být zpracovávány tyto kategorie osobních údajů odběratelů Uživatele:
- a) Identifikační údaje (jméno, příjmení, název firmy)
- b) Kontaktní údaje (e-mail, telefon, adresa)
- c) Fakturační údaje (IČ, DIČ, bankovní spojení)
- d) Údaje z vystavených dokladů (předmět plnění, částky)
3.2. U odběratelů bez IČ (fyzické osoby - spotřebitelé) se jedná o osobní údaje ve smyslu GDPR. Uživatel prohlašuje, že má právní základ pro jejich zpracování.
4. Účel a právní základ zpracování
4.1. Provozovatel zpracovává osobní údaje výhradně za účelem:
- a) Poskytování služby Fakturomat.cz (vytváření a správa faktur)
- b) Technické podpory a řešení problémů
- c) Plnění zákonných povinností Provozovatele
4.2. Právním základem zpracování je plnění smlouvy o poskytování služby a oprávněný zájem na zajištění funkčnosti a bezpečnosti služby.
5. Doba zpracování
5.1. Osobní údaje odběratelů jsou zpracovávány po dobu trvání smluvního vztahu mezi Uživatelem a Provozovatelem (tj. po dobu existence Účtu).
5.2. Po zrušení Účtu jsou údaje smazány dle podmínek uvedených v Podmínkách provozu (14 dní na obnovu, poté trvalé smazání).
5.3. Provozní logy mohou být uchovávány až 12 měsíců po smazání Účtu z důvodu bezpečnosti a řešení případných sporů.
6. Povinnosti Provozovatele jako zpracovatele
6.1. Provozovatel se zavazuje:
- a) Zpracovávat osobní údaje pouze na základě doložených pokynů Uživatele
- b) Zajistit, aby osoby oprávněné zpracovávat údaje byly vázány mlčenlivostí
- c) Přijmout vhodná technická a organizační opatření k zabezpečení údajů
- d) Nezapojit dalšího zpracovatele bez předchozího souhlasu Uživatele
- e) Být Uživateli nápomocen při plnění jeho povinností vůči subjektům údajů
- f) Po ukončení poskytování služby údaje smazat nebo vrátit
7. Subdodavatelé a infrastruktura
7.1. Serverová infrastruktura je provozována na dedikovaném serveru u poskytovatele MASTER Internet s.r.o. (master.cz). Poskytovatel hostingu zajišťuje fyzickou infrastrukturu, síťové připojení a servisní zásahy (např. výměna disků). Při manipulaci s hardwarem postupuje dle platných ISO norem pro bezpečnost informací.
7.2. E-mailová komunikace (odesílání faktur, upomínek) je realizována přímo z dedikovaného serveru Provozovatele.
7.3. Pro automatické rozpoznání textu z nahraných dokladů (PDF, obrázky), které neobsahují strojově čitelnou ISDOC vrstvu, je využíváno GPT API společnosti OpenAI. Dle datové politiky OpenAI (platform.openai.com/docs/guides/your-data) nejsou data odeslaná přes API využívána k trénování modelů (od března 2023). Data jsou dočasně uchovávána po dobu až 30 dnů pro účely monitoringu zneužití služby, poté jsou smazána.
7.4. Provozovatel nezapojuje další zpracovatele, kteří by měli přímý přístup k osobním údajům uloženým v Aplikaci.
8. Bezpečnostní opatření
8.1. Provozovatel implementuje přiměřená technická a organizační opatření k ochraně osobních údajů, zejména:
- a) Šifrování přenosu dat (HTTPS/TLS)
- b) Zabezpečené ukládání hesel (hašování)
- c) Pravidelné zálohování dat
- d) Omezení přístupu k údajům
- e) Možnost dvoufaktorového ověření
9. Povinnosti Uživatele jako správce
9.1. Uživatel jako správce osobních údajů svých odběratelů je povinen:
- a) Mít právní základ pro zpracování údajů svých odběratelů
- b) Informovat své odběratele o zpracování jejich údajů
- c) Vyřizovat žádosti subjektů údajů (přístup, výmaz, oprava)
- d) Zajistit přesnost a aktuálnost zadávaných údajů
9.2. Provozovatel nenese odpovědnost za porušení povinností Uživatele jako správce údajů.
10. Práva subjektů údajů
10.1. Odběratelé Uživatele (subjekty údajů) mají právo:
- a) Na přístup ke svým osobním údajům
- b) Na opravu nepřesných údajů
- c) Na výmaz údajů („právo být zapomenut")
- d) Na omezení zpracování
- e) Na přenositelnost údajů
- f) Podat stížnost u dozorového úřadu (ÚOOÚ)
10.2. Žádosti subjektů údajů vyřizuje primárně Uživatel jako správce. Provozovatel poskytne potřebnou součinnost.
11. Kontakt
11.1. Pro dotazy týkající se ochrany osobních údajů kontaktujte: info@fakturomat.cz
11.2. Dozorový úřad: Úřad pro ochranu osobních údajů (ÚOOÚ), Pplk. Sochora 27, 170 00 Praha 7.