Ochrana osobních údajů

Ochrana vašich osobních údajů je pro nás prioritou. Tyto Zásady ochrany osobních údajů (dále jen “Zásady”) podrobně vysvětlují, jak shromažďujeme, používáme, sdílíme, uchováváme a chráníme vaše osobní údaje při používání služby Vaše věci.

Tyto Zásady jsou vypracovány v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů (dále jen “GDPR”), a zákonem č. 110/2019 Sb., o zpracování osobních údajů.

1. Správce osobních údajů

1.1. Správcem vašich osobních údajů je:

[NÁZEV SPOLEČNOSTI]

IČO: [IČO]
DIČ: [DIČ]
Sídlo: [ADRESA]
Zapsaná v obchodním rejstříku vedeném [SOUDEM], sp. zn. [SPISOVÁ ZNAČKA]

1.2. Kontaktní údaje pro záležitosti ochrany osobních údajů:

E-mail: gdpr@bazar.cz
Poštovní adresa: [ADRESA], k rukám: Ochrana osobních údajů

1.3. Provozovatel v současné době nejmenoval pověřence pro ochranu osobních údajů (DPO), neboť nesplňuje podmínky dle čl. 37 GDPR. Tato situace bude přehodnocena při významném rozšíření činnosti.

2. Přehled zpracovávaných osobních údajů

2.1. Údaje poskytnuté přímo vámi

Kategorie údajů	Konkrétní údaje	Povinnost poskytnutí
Identifikační údaje	Jméno/přezdívka zobrazená u inzerátů	Povinné pro vytvoření inzerátu
Kontaktní údaje	Telefonní číslo (formát +420), e-mailová adresa	Telefon povinný, e-mail volitelný
Obsah inzerátů	Texty, popisy, cenové údaje, informace o zboží	Povinné pro vytvoření inzerátu
Vizuální obsah	Fotografie zboží (mohou obsahovat metadata EXIF)	Min. 1 fotografie povinná
Lokalizační údaje	Město/obvod uvedené u inzerátu	Volitelné
Komunikace	Obsah e-mailů a zpráv zaslaných na podporu	Dle potřeby

2.2. Údaje shromažďované automaticky

Kategorie údajů	Konkrétní údaje	Způsob anonymizace
Síťové identifikátory	IP adresa	Ukládáme pouze kryptografický hash (SHA-256)
Identifikátory relace	Session ID, identifikátor zařízení	Náhodně generované, bez vazby na osobu
Technické údaje	Typ prohlížeče, operační systém, rozlišení obrazovky	Agregované statistiky
Údaje o aktivitě	Zobrazené inzeráty, kliknutí, vyhledávání	Ukládáme pouze s vaším souhlasem (cookies)
Časové údaje	Datum a čas přístupu, doba strávená na stránce	Agregované statistiky

2.3. Údaje z externích zdrojů

Firebase Authentication – potvrzení o úspěšném ověření telefonního čísla (nezískáváme obsah SMS)
Stripe – potvrzení o úspěšné/neúspěšné platbě, částka, datum (čísla karet ani bankovní údaje nezískáváme)
Cloudflare Turnstile – výsledek antibot ověření (skóre, bez osobních údajů)

3. Účely a právní základy zpracování

Účel zpracování	Právní základ (GDPR)	Zpracovávané údaje
Poskytování služby Vytváření, zobrazování a správa inzerátů, komunikace mezi uživateli	Čl. 6 odst. 1 písm. b) Plnění smlouvy	Jméno, telefon, e-mail, obsah inzerátů, fotografie
Ověření identity SMS ověření telefonního čísla před publikací inzerátu	Čl. 6 odst. 1 písm. b) a f) Plnění smlouvy, oprávněný zájem	Telefonní číslo
AI generování obsahu Automatické vytvoření návrhu inzerátu z fotografií	Čl. 6 odst. 1 písm. b) Plnění smlouvy	Fotografie zboží
Zpracování plateb Realizace plateb za placené služby (topování)	Čl. 6 odst. 1 písm. b) Plnění smlouvy	Identifikátor uživatele, částka, datum
Daňové a účetní povinnosti Vedení účetnictví, daňové doklady	Čl. 6 odst. 1 písm. c) Právní povinnost	Fakturační údaje, platební záznamy
Prevence podvodů a zneužití Rate limiting, detekce botů, bezpečnostní opatření	Čl. 6 odst. 1 písm. f) Oprávněný zájem	Hash IP adresy, session ID, údaje z Turnstile
Technický provoz Zajištění funkčnosti, ladění chyb, bezpečnost	Čl. 6 odst. 1 písm. f) Oprávněný zájem	Technické logy, chybové zprávy
Analytika a zlepšování služby Statistiky návštěvnosti, měření výkonu, UX optimalizace	Čl. 6 odst. 1 písm. a) Souhlas (cookies)	Anonymizované údaje o používání
Marketingová komunikace Zasílání informací o službách, novinkách	Čl. 6 odst. 1 písm. a) Souhlas	E-mail, telefon
Řešení sporů a právní nároky Ochrana práv, řešení reklamací, soudní spory	Čl. 6 odst. 1 písm. f) a c) Oprávněný zájem, právní povinnost	Veškeré relevantní údaje

3.1. Vysvětlení oprávněných zájmů

Tam, kde se odvoláváme na oprávněný zájem jako právní základ zpracování (čl. 6 odst. 1 písm. f) GDPR), máme za to, že naše oprávněné zájmy převažují nad vašimi právy, protože:

Prevence podvodů – ochrana ostatních uživatelů a integrity platformy je nezbytná pro fungování tržiště; zpracování je minimalizováno (hash IP místo plné IP)
Technický provoz – bez základních technických údajů by služba nemohla fungovat; údaje jsou anonymizovány nebo mazány v krátkém čase
Ověření identity – SMS ověření významně snižuje spam a podvody, což prospívá všem uživatelům

Máte právo vznést námitku proti zpracování na základě oprávněného zájmu. Viz článek 6 těchto Zásad.

4. Doba uchování osobních údajů

4.1. Osobní údaje uchováváme pouze po dobu nezbytnou pro splnění účelů, pro které byly shromážděny, nebo po dobu vyžadovanou právními předpisy:

Kategorie údajů	Doba uchování	Důvod
Údaje uživatelského účtu	Po dobu existence účtu + 3 roky	Promlčecí lhůta pro běžné nároky
Aktivní inzeráty	60 dní od vytvoření (automatická expirace)	Provozní pravidla platformy
Smazané/prodané inzeráty	90 dní (anonymizovaná záloha)	Řešení sporů, technické zálohy
Fotografie v draftech	24 hodin	Automatické čištění nedokončených inzerátů
Platební záznamy	10 let	Zákon o účetnictví (§ 31)
Faktury a daňové doklady	10 let	Zákon o DPH, zákon o účetnictví
Hash IP adres (rate limiting)	7 dní	Ochrana proti zneužití
Technické logy	30 dní	Ladění chyb, bezpečnost
Analytická data (cookies)	26 měsíců (anonymizovaná)	Dlouhodobé trendy
Komunikace s podporou	3 roky od posledního kontaktu	Řešení reklamací a sporů
Cookie consent	1 rok	Prokázání souhlasu

4.2. Po uplynutí doby uchování jsou údaje automaticky smazány nebo nevratně anonymizovány.

4.3. V případě probíhajícího právního sporu nebo vyšetřování mohou být údaje uchovány déle, dokud nebude záležitost pravomocně ukončena.

5. Sdílení osobních údajů s třetími stranami

5.1. Poskytovatelé služeb (zpracovatelé)

S následujícími poskytovateli služeb máme uzavřeny smlouvy o zpracování osobních údajů (DPA) v souladu s čl. 28 GDPR:

Google Cloud Platform (Firebase)

Účel: Hostování databáze (Firestore), autentizace uživatelů (Firebase Auth), úložiště souborů (Firebase Storage)

Umístění dat: EU (europe-west1, Belgie)

Předávané údaje: Veškerá data uložená v aplikaci

Záruky: Standardní smluvní doložky EU, certifikace ISO 27001, SOC 2/3

Zásady ochrany soukromí Firebase →

Google (Gemini AI API)

Účel: Analýza fotografií pro automatické generování obsahu inzerátů

Umístění zpracování: USA/EU (dle konfigurace)

Předávané údaje: Fotografie zboží (dočasně, pouze pro analýzu)

Důležité: Fotografie nejsou používány k trénování AI modelů (dle API podmínek pro placené služby)

Záruky: Data Privacy Framework (DPF), smluvní závazky

Zásady ochrany soukromí Google →

Stripe, Inc.

Účel: Zpracování plateb za placené služby

Umístění dat: USA/EU

Předávané údaje: Identifikátor uživatele, částka, metadata transakce (NE čísla karet)

Záruky: PCI-DSS Level 1, Data Privacy Framework, standardní smluvní doložky

Zásady ochrany soukromí Stripe →

Cloudflare, Inc.

Účel: Ochrana proti botům (Turnstile), bezpečnost

Umístění: Globální síť (nejbližší PoP)

Předávané údaje: Technická data prohlížeče pro ověření (bez osobních údajů)

Záruky: Data Privacy Framework, ISO 27001

Zásady ochrany soukromí Cloudflare →

Vercel Inc.

Účel: Hostování webové aplikace, edge computing

Umístění: Globální síť (EU edge nodes)

Předávané údaje: HTTP požadavky, logy

Záruky: Data Privacy Framework, SOC 2 Type II

Zásady ochrany soukromí Vercel →

5.2. Ostatní uživatelé platformy

Kontaktní údaje, které uvedete v inzerátu (jméno, telefon, případně e-mail), budou veřejně přístupné ostatním uživatelům za účelem kontaktování ohledně nabízeného zboží. Toto je nezbytné pro fungování tržiště a zakládá se na plnění smlouvy.

5.3. Orgány veřejné moci

Vaše údaje můžeme zpřístupnit orgánům činným v trestním řízení, soudům, správním orgánům nebo jiným oprávněným subjektům, pokud:

jsme k tomu povinni na základě právního předpisu (např. zákon č. 141/1961 Sb., trestní řád);
obdržíme platné soudní rozhodnutí nebo příkaz orgánu veřejné moci;
je to nezbytné pro ochranu práv, majetku nebo bezpečnosti nás nebo třetích osob.

5.4. Předávání do třetích zemí

Někteří naši poskytovatelé služeb zpracovávají data mimo Evropský hospodářský prostor (EHP), zejména v USA. V těchto případech zajišťujeme přiměřenou úroveň ochrany prostřednictvím:

EU-U.S. Data Privacy Framework – pro poskytovatele certifikované pod tímto rámcem (Google, Stripe, Cloudflare, Vercel)
Standardních smluvních doložek EU (SCC) – schválených Evropskou komisí

Na požádání vám poskytneme kopii relevantních záruk.

6. Vaše práva jako subjektu údajů

V souvislosti se zpracováním vašich osobních údajů máte následující práva dle GDPR:

Právo na přístup (čl. 15 GDPR)

Máte právo získat potvrzení, zda zpracováváme vaše osobní údaje, a pokud ano:

přístup k těmto údajům;
informace o účelech, kategoriích údajů, příjemcích, době uchování;
kopii osobních údajů (první kopie zdarma).

Právo na opravu (čl. 16 GDPR)

Máte právo na opravu nepřesných osobních údajů a doplnění neúplných údajů. Údaje v inzerátech můžete upravit přímo v uživatelském rozhraní.

Právo na výmaz (“právo být zapomenut”, čl. 17 GDPR)

Máte právo požádat o vymazání vašich osobních údajů, pokud:

údaje již nejsou potřebné pro účely, pro které byly shromážděny;
odvoláte souhlas a neexistuje jiný právní základ;
vznesete námitku a neexistují převažující důvody;
údaje byly zpracovány protiprávně.

Výjimky: Nemůžeme vymazat údaje, pokud je jejich uchování vyžadováno zákonem (např. účetní doklady) nebo pro určení, výkon nebo obhajobu právních nároků.

Právo na omezení zpracování (čl. 18 GDPR)

Máte právo požádat o omezení zpracování, pokud:

popíráte přesnost údajů (po dobu ověření);
zpracování je protiprávní, ale nechcete výmaz;
údaje již nepotřebujeme, ale vy je potřebujete pro právní nároky;
vznesli jste námitku (do doby ověření).

Právo na přenositelnost (čl. 20 GDPR)

Máte právo získat své osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu (JSON) a předat je jinému správci. Toto právo se vztahuje na údaje zpracovávané automatizovaně na základě souhlasu nebo plnění smlouvy.

Právo vznést námitku (čl. 21 GDPR)

Máte právo kdykoliv vznést námitku proti zpracování založenému na oprávněném zájmu (čl. 6 odst. 1 písm. f)), včetně profilování. Musíme pak prokázat závažné oprávněné důvody, které převažují nad vašimi zájmy.

Námitka proti přímému marketingu: Pokud vznesete námitku proti zpracování pro účely přímého marketingu, údaje pro tento účel již nebudeme zpracovávat.

Právo odvolat souhlas (čl. 7 odst. 3 GDPR)

Pokud je zpracování založeno na souhlasu (např. analytické cookies, marketing), máte právo tento souhlas kdykoliv odvolat. Odvolání souhlasu nemá vliv na zákonnost zpracování před jeho odvoláním.

Souhlas s cookies odvoláte kliknutím na “Nastavení cookies” v patičce stránky.

Právo podat stížnost (čl. 77 GDPR)

Máte právo podat stížnost u dozorového úřadu, pokud se domníváte, že zpracování vašich osobních údajů porušuje GDPR. V České republice je dozorovým úřadem:

Úřad pro ochranu osobních údajů

Pplk. Sochora 27, 170 00 Praha 7
Tel: +420 234 665 111
E-mail: posta@uoou.cz
Web: www.uoou.cz

6.1. Jak uplatnit svá práva

Pro uplatnění výše uvedených práv nás kontaktujte:

E-mailem na gdpr@bazar.cz
Písemně na adresu sídla s označením “GDPR žádost”

Identifikace: Pro ochranu vašich údajů vás můžeme požádat o ověření totožnosti (např. z telefonního čísla uvedeného v účtu).

Lhůta: Na vaši žádost odpovíme bez zbytečného odkladu, nejpozději do 30 dnů. Ve složitých případech můžeme lhůtu prodloužit o další 2 měsíce, o čemž vás budeme informovat.

Náklady: Uplatnění práv je bezplatné. V případě zjevně nedůvodných nebo nepřiměřených žádostí (zejména opakovaných) můžeme účtovat přiměřený poplatek nebo žádost odmítnout.

7. Automatizované rozhodování a AI

7.1. Automatické generování obsahu inzerátů

Platforma využívá umělou inteligenci (Google Gemini) k automatickému generování návrhu obsahu inzerátu na základě fotografií zboží.

Proces zpracování:

Nahrajete fotografie zboží do platformy;
Fotografie jsou zašifrovány a odeslány do Google Gemini API;
AI model analyzuje vizuální obsah fotografií;
Model generuje návrh textu (název, popis, kategorie, cena);
Návrh je vrácen do platformy a zobrazen vám k úpravě;
Fotografie nejsou poskytovatelem AI trvale uchovávány.

Právní kvalifikace:

Toto zpracování není automatizovaným rozhodováním ve smyslu čl. 22 GDPR, protože:
Výstup AI je pouze návrh, který vyžaduje vaše aktivní potvrzení;
Můžete návrh libovolně upravit nebo zcela přepsat;
Nemá právní účinky ani se vás významně nedotýká (jde o pomocný nástroj).

7.2. Profilování

Nepoužíváme profilování za účelem cílení reklamy, stanovení cen nebo jiného rozhodování, které by vás významně ovlivňovalo.

Jediné automatizované zpracování, které provádíme, je:

Rate limiting – omezení počtu požadavků na základě hash IP adresy (ochrana proti zneužití)
Antibot ověření – Cloudflare Turnstile (detekce botů bez dopadu na běžné uživatele)

8. Zabezpečení osobních údajů

8.1. K ochraně vašich osobních údajů používáme přiměřená technická a organizační opatření odpovídající rizikům zpracování:

Technická opatření:

Šifrování při přenosu – veškerá komunikace je šifrována pomocí TLS 1.3 (HTTPS)
Šifrování v klidu – data v databázi jsou šifrována (Firebase encryption at rest)
Hashování citlivých údajů – IP adresy jsou ukládány pouze jako kryptografický hash (SHA-256)
Bezpečná autentizace – přihlášení pomocí jednorázových SMS kódů (Firebase Auth)
Firewall a ochrana proti útokům – DDoS ochrana (Cloudflare), WAF pravidla
Bezpečnostní hlavičky – CSP, HSTS, X-Frame-Options
Pravidelné zálohy – automatické denní zálohy s šifrováním

Organizační opatření:

Princip minimalizace dat – shromažďujeme pouze nezbytné údaje
Omezení přístupu – k datům mají přístup pouze oprávněné osoby (princip need-to-know)
Smlouvy se zpracovateli – všichni poskytovatelé služeb mají uzavřené DPA
Bezpečnostní politiky – interní pravidla pro práci s daty

8.2. Upozornění: Žádná metoda přenosu dat přes internet ani elektronického ukládání není 100% bezpečná. Přestože usilujeme o ochranu vašich údajů, nemůžeme zaručit absolutní bezpečnost.

8.3. V případě narušení bezpečnosti osobních údajů, které by mohlo představovat riziko pro vaše práva a svobody, vás budeme informovat bez zbytečného odkladu v souladu s čl. 34 GDPR.

9. Cookies a podobné technologie

9.1. Platforma využívá cookies a podobné technologie (localStorage) pro zajištění funkčnosti a zlepšování služeb.

9.2. Podrobné informace o používaných cookies, jejich účelu, době platnosti a možnostech správy jsou uvedeny v samostatném dokumentu Zásady používání cookies.

9.3. Souhlas s volitelými cookies (analytické, marketingové, funkční) můžete kdykoliv změnit kliknutím na “Nastavení cookies” v patičce webových stránek.

10. Ochrana údajů dětí

10.1. Služba není určena osobám mladším 16 let. Vědomě neshromažďujeme osobní údaje od dětí mladších 16 let bez souhlasu zákonného zástupce.

10.2. Pokud zjistíte, že dítě bez souhlasu zákonného zástupce poskytlo své osobní údaje, kontaktujte nás na gdpr@bazar.cz. Údaje neprodleně odstraníme.

10.3. Osoby ve věku 16–18 let mohou službu používat se souhlasem zákonného zástupce.

11. Změny těchto Zásad

11.1. Tyto Zásady můžeme čas od času aktualizovat, aby odrážely změny v našich postupech zpracování, změny právních předpisů nebo jiné okolnosti.

11.2. O významných změnách vás budeme informovat:

e-mailem (pokud ho máme k dispozici);
oznámením na webových stránkách;
vyžádáním nového souhlasu (pokud je vyžadován).

11.3. Datum poslední aktualizace je uvedeno v záhlaví tohoto dokumentu. Doporučujeme tyto Zásady pravidelně kontrolovat.

11.4. Pokračováním v používání služby po účinnosti změn vyjadřujete souhlas s aktualizovanými Zásadami.

12. Kontaktní údaje

Máte-li jakékoli dotazy ohledně těchto Zásad nebo zpracování vašich osobních údajů, kontaktujte nás:

[NÁZEV SPOLEČNOSTI]

E-mail pro GDPR: gdpr@bazar.cz
Obecný kontakt: info@bazar.cz
Adresa: [ADRESA]

Další kontaktní informace naleznete na stránce Kontakt.