Ochrana osobních údajů — firemní tarify (GDPR)
Verze 1.1 — firemní tarify · Platné od 7. 6. 2026
Tyto zásady popisují, jakým způsobem platforma Donely nakládá s osobními údaji v rámci poskytování softwarové služby (SaaS) na internetové doméně https://donely.cz (dále jen „Služba“). Vzhledem k tomu, že Služba je poskytována výhradně v segmentu B2B (podnikatelům), pracuje platforma v tzv. dualitě rolí: jako Správce vůči registračním a fakturačním údajům samotného Zákazníka a jako Zpracovatel vůči datům, která Zákazník vkládá do systému o svých lidech, úkolech a provozu. Tento dokument v sobě plně integruje i Zpracovatelskou smlouvu (DPA) podle článku 28 GDPR.
ČÁST A — DONELY JAKO SPRÁVCE OSOBNÍCH ÚDAJŮ
V této části vystupuje Poskytovatel (identifikovaný v systému jako Martin Zahrádka, Nejdecká 177 362 36 Pernink, IČO 04209621) v roli správce osobních údajů vůči Zákazníkům (fyzickým osobám podnikajícím a zástupcům právnických osob).
1. Rozsah zpracování, účel a právní základ
Poskytovatel zpracovává následující kategorie osobních údajů Zákazníka:
- Identifikační a kontaktní údaje: jméno, příjmení, název firmy, IČO, DIČ, adresa sídla, e-mailová adresa, telefonní číslo.
- Systémové a autentizační údaje: zahashované heslo (bcrypt), IP adresy, logy přístupů a systémové role.
- Platební a fakturační údaje: bankovní spojení, historie plateb, variabilní symboly a vystavené faktury.
Právní základy zpracování:
- Plnění smlouvy (čl. 6 odst. 1 písm. b) GDPR): Zpracování je nezbytné pro zřízení účtu, poskytování Služby v tarifech ACTIVE, TRIAL, READ_ONLY, VIEWER či v kombinaci s doplňkovým úložištěm.
- Splnění právní povinnosti (čl. 6 odst. 1 písm. c) GDPR): Uchovávání fakturačních a účetních dokladů podle zákona o účetnictví a zákona o DPH.
- Oprávněný zájem (čl. 6 odst. 1 písm. f) GDPR): Ochrana Služby před zneužitím, vymáhání pohledávek a provoz provozního cold archivu po úplném odchodu Zákazníka za účelem umožnění zpětné obnovy dat.
2. Doba uchování údajů u Správce
Poskytovatel uchovává osobní údaje Zákazníka po následující dobu:
- Fakturační a účetní údaje: 10 let od konce účetního období, ve kterém byl doklad vystaven, z důvodu plnění zákonných povinností.
- Provozní a registrační údaje Zákazníka: po dobu trvání smluvního vztahu (aktivního účtu) a dále po dobu 10 let v režimu cold archivu od přepnutí do stavu EXPIRED, pokud Zákazník nepožádá o dřívější smazání.
ČÁST B — ZPRACOVATELSKÁ SMLOUVA (DPA dle čl. 28 GDPR)
Tato část se uplatní v situaci, kdy Zákazník (jako Správce) vkládá do Služby osobní údaje svých pracovníků, subdodavatelů či jiných třetích osob. Poskytovatel (Martin Zahrádka, Nejdecká 177 362 36 Pernink, IČO 04209621) vystupuje v pozici Zpracovatele.
1. Předmět, účel a pokyny pro zpracování
Zpracovatel zpracovává osobní údaje výhradně za účelem poskytování Služby Donely (evidence úkolů, správa nemovitostí, měsíční uzávěrky) na základě pokynů Správce. Za pokyny se považují veškeré úkony a konfigurace, které Správce nebo jím pověření uživatelé v aplikaci provedou (např. zadání úkolu, nahrání souboru, přiřazení pracovníka). Zpracovatel data nevyužívá pro vlastní marketing ani je nepředává třetím stranám.
2. Kategorie subjektů údajů a rozsah dat
Subjekty údajů: Pracovníci, technici, koordinátoři, správci a subdodavatelé Zákazníka. Volitelně též externí majitelé jednotek pozvaní do modulu Portfolio. (Pozn.: Pokud se externí majitel portfolia do platformy registruje samostatně jako uživatel, stává se Poskytovatel správcem jeho přihlašovacích a profilových údajů na základě plnění smlouvy, avšak provozní vazba na jednotky v rámci firmy Zákazníka zůstává v režimu zpracování.)
Rozsah zpracovávaných údajů:
- Jméno, příjmení, e-mail, telefon, profilová fotografie (avatar).
- Provozní údaje: odpracovaný čas, popisy vykonané práce, lokace úkolů (vazba na projekty a jednotky), orientační provozní odměny.
- Nahrané soubory: fotografie z terénu, dokumentace k úkolům, stavební plánky, firemní loga.
Striktní zákaz citlivých údajů (čl. 9 GDPR): Zákazník se výslovně zavazuje, že do textových polí, komentářů ani příloh Služby nebude vkládat zvláštní kategorie osobních údajů (např. zdravotní stav, rodná čísla, údaje o odsouzeních). Za porušení tohoto zákazu nese plnou odpovědnost Zákazník.
3. Závazná timeline uchování a mazání dat (v souladu s VOP §7)
Zpracování dat v čase striktně kopíruje technický stav účtu Zákazníka a ustanovení VOP:
| Fáze/Stav | Rozsah dat v systému | Pravidla uchování a mazání souborů (Uploadů) |
|---|---|---|
| TRIAL (firma) | Plná data a soubory firmy. | Trvá 7 dní od ověření e-mailu. Pokud nedojde k objednávce, přepíná se do READ_ONLY. |
| TRIAL Home | Vlastní jednotky v portfoliu — plná data v rámci trial limitů. | Standardně 30 dní od první vlastní jednotky. Po skončení bez tarifu → read-only u jednotek; retence 14 dní, výmaz souborů nad 20 MB s předchozím e-mailem; export ZIP v aplikaci. |
| READ_ONLY Home | Titulní fotka a půdorys; dokumenty skryty. | Bez placeného tarifu Home. Retence dle VOP §2A — po lhůtě zůstanou nejstarší soubory do 20 MB. |
| ACTIVE (S/M/L) | Systémová data + soubory (v rámci tarifu a doplňkového úložiště Add-on). | Běžný placený provoz. Zakoupené doplňkové úložiště pouze rozšiřuje kapacitu, nemění rozsah typů dat. |
| VIEWER (Grace period) | Systémová data + stávající soubory. | Ochranná lhůta 1 měsíc od konce předplatného. Možnost stažení standardního exportu ZIP (1× za uzávěrku). |
| Plain VIEWER | Pouze systémová metadata. | Po uplynutí 1 měsíce grace periody jsou všechny nahrané soubory (fotky, PDF) ze serveru trvale smazány. Nové uploady nejsou povoleny. |
| VIEWER + STORAGE | Systémová data + soubory v rozsahu dokoupeného Add-onu. | Zákazník nahrává dokumentaci znovu ze své zálohy, provoz uploadů pokračuje výhradně v limitu Add-onu. |
| Bez obnovy (do 90 dní) | Systémová data na serveru. | Pokud nebyl aktivován placený či doplňkový Viewer, automatizovaný systémový skript (Cron) nejpozději do 90 dnů od konce předplatného definitivně vymaže veškeré soubory (uploady). |
| EXPIRED (Úplný odchod) | Strukturovaná metadata (projekty, úkoly, členové). | Účet je v režimu úplného odchodu bez uploadů. Systémová metadata jsou na 10 let přesunuta do provozního cold archivu. Na přání Zákazníka e-mailem lze provést kompletní výmaz okamžitě. |
Upozornění: Data nahraná Zákazníkem do Služby (provozní data a uploady) jsou striktně oddělena od vlastních fakturačních a smluvních PDF dokumentů Poskytovatele, které podléhají samostatné 10leté zákonné archivační lhůtě Správce.
4. Zapojení subdodavatelů (Další zpracovatelé)
Správce uděluje Zpracovateli obecné povolení zapojit do zpracování následující subdodavatele:
| Subdodavatel | Účel zpracování | Umístění / Právní ošetření přenosu |
|---|---|---|
| Váš-Server (Váš Web s.r.o.) | Serverová infrastruktura, hosting a PostgreSQL databáze. | Česká republika / EU. Žádný přenos mimo EU. |
| Resend Inc. | Rozesílání transakčních e-mailů (ověření, notifikace úkolů). | USA. Přenos je právně zajištěn Standardními smluvními doložkami (SCC) integrovanými ve zpracovatelské smlouvě s Resend Inc. v souladu s Data Privacy Framework. |
Zpracovatel je povinen informovat Správce o jakémkoliv plánovaném přidání nebo nahrazení subdodavatelů (prostřednictvím e-mailu nebo rozhraní aplikace) minimálně 14 dní předem, čímž dává Správci možnost vznést proti takové změně námitku.
5. Technická a organizační opatření
Zpracovatel zavedl a udržuje technická opatření zajišťující vysokou úroveň bezpečnosti dle čl. 32 GDPR:
- Šifrování veškeré komunikace prostřednictvím protokolu HTTPS (certifikáty Let's Encrypt).
- Bezpečné hašování uživatelských hesel algoritmem bcrypt.
- Striktní logická izolace dat mezi jednotlivými firmami (multi-tenancy architektura na úrovni databázových dotazů).
- Řízení přístupu v aplikaci na základě uživatelských rolí (Operator, Coordinator, Worker, Viewer).
- Pravidelné automatizované zálohování hlavní databáze mimo produkční prostředí.
- Závazek mlčenlivosti všech pracovníků technické podpory Poskytovatele, kteří mohou do systému vstupovat výhradně za účelem řešení technických incidentů.
ČÁST C — PRÁVA SUBJEKTŮ ÚDAJŮ A EXPORTY
Tato část popisuje výkon práv fyzických osob (Zákazníků i jejich pracovníků) a vymezuje vztah mezi vestavěnými aplikačními exporty a zákonnými nároky.
1. Rozlišení aplikačních exportů a zákonných práv
Zákazník bere na vědomí, že samoobslužné funkce v aplikaci jsou nastaveny podle parametrů zvoleného tarifu a jejich využívání mimo rámec bezplatných limitů může být zpoplatněno:
- Standardní export (ZIP): Obsahuje pouze nahrané soubory a přílohy. Je dostupný v aktivním tarifu nebo během 1 měsíce trvání Grace Vieweru, a to maximálně 1× za uzávěrkové období.
- Premium export: Obsahuje kompletní datovou strukturu včetně JSON souborů (projekty, úkoly, časy). Jde o placenou samoobslužnou službu (případně součást odchodového balíčku).
- Zákonné právo na přístup a přenositelnost (čl. 15 a čl. 20 GDPR): Nezávisle na výše uvedených samoobslužných limitech má Zákazník právo požádat o bezplatný výpis a kopii svých zpracovávaných osobních údajů v běžně používaném a strojově čitelném formátu. Poskytovatel tento výpis zpracuje a doručí bezplatně v přiměřené a zákonné lhůtě 30 dnů od ověření totožnosti žadatele e-mailem na adrese info@donely.cz.
2. Postup pro pracovníky a externisty
Pokud je žadatelem o výmaz, opravu či přístup řadový pracovník nebo pozvaný uživatel Zákazníka, je povinen uplatnit svá práva v první řadě u své správcovské firmy (Zákazníka), která je v pozici Správce dat. Pokud taková žádost dorazí Poskytovateli, bude bezodkladně přeposlána danému Zákazníkovi k vyřízení.
3. Právo podat stížnost
Subjekty údajů mají v případě podezření na nezákonné zpracování osobních údajů právo podat stížnost u dozorového úřadu, kterým je Úřad pro ochranu osobních údajů (ÚOOÚ), se sídlem Pplk. Sochora 27, 170 00 Praha 7 (web: https://www.uoou.cz).
Tyto zásady a zpracovatelská smlouva nabývají účinnosti dne 7. června 2026.