CZSKDEFRITEN
sprav.cz
Správa spolků

Zásady ochrany osobních údajů

Účinné od: 10. února 2026

Tyto zásady popisují, jak platforma sprav.cz („Platforma“) zpracovává osobní údaje. Zpracování se řídí Nařízením Evropského parlamentu a Rady (EU) 2016/679 (GDPR), švýcarským federálním zákonem o ochraně údajů (nDSG, rev. 2023) a dalšími příslušnými právními předpisy. Pro organizace v ČR: GDPR + zák. č. 110/2019 Sb.. Pre organizácie v SR: GDPR + z. č. 18/2018 Z.z.. Pro organizace ve Švýcarsku (CH): nDSG (SR 235.1) (Fedlex). Pro organizace v Německu (DE): GDPR + BDSG — dozorový úřad: Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI). Pro organizace v Rakousku (AT): GDPR + DSG — dozorový úřad: Datenschutzbehörde (DSB). Dozorový úřad pro CH: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB).

Shrnutí (zjednodušeně)

  • Zpracováváme jen údaje nutné pro provoz platformy a správu organizací.
  • Neobchodujeme s vašimi údaji a nezobrazujeme reklamy.
  • Hlasovací záznamy a auditní logy uchováváme déle z důvodu právní ochrany spolků.
  • Používáme pouze nezbytné cookies pro přihlášení — žádné trackery.
  • Máte právo na přístup, opravu i výmaz (s výjimkami popsanými níže).
  • Kontakt pro dotazy k ochraně údajů: privacy@sprav.cz

1. Správce a zpracovatel údajů

1.1 Provozovatel platformy (zpracovatel)

TimeDeals Pavelka
Berglistrasse 28a, 8180 Bülach, Švýcarsko
UID: CHE-393.597.780
Einzelunternehmen (samostatně výdělečně činná osoba, Švýcarsko)
E-mail: privacy@sprav.cz

Provozovatel platformy vystupuje ve vztahu k údajům členů organizací jako zpracovatel ve smyslu čl. 28 GDPR / čl. 9 DSG. Platforma zpracovává údaje jménem a na pokyn jednotlivých organizací.

1.2 Správce údajů členů

Správcem osobních údajů členů je vždy příslušná organizace (spolek, SVJ, zájmové sdružení), která platformu používá pro správu svých členů, hlasování a dokumentů. Organizace určuje účely a prostředky zpracování.

1.3 Provozovatel jako správce

Pro údaje zpracovávané za účelem provozu a bezpečnosti samotné platformy (registrace účtu, přihlašovací relace, bezpečnostní logy, ochrana proti zneužití) vystupuje provozovatel jako samostatný správce.

2. Kategorie zpracovávaných údajů

KategorieKonkrétní údajePovinné?
Účetní údajeE-mailová adresa, hash hesla (Argon2)Ano
Relace a zabezpečeníHash tokenu, IP adresa, user-agent, čas posledního přístupuAutomaticky
Členské údajePříslušnost k organizaci, role (člen/admin), stav členstvíAno
Hlasovací záznamyOdevzdaný hlas (PRO/PROTI/ZDRŽEL SE), čas, identifikátor členaPři hlasování
Auditní logyAkce (typ), identifikátor aktéra, čas, kontext (org, IP)Automaticky
Záznamy o doručení e-mailůAdresa příjemce, předmět, stav doručení, čas odesláníAutomaticky
Komunikace (fórum, zprávy)Text příspěvku, autor, čas, vlákno/kanálPři použití
DokumentyNahrané soubory, název, datum, kategorie, autorPři nahrání
Ochrana proti zneužitíPočet neúspěšných přihlášení, rate-limit záznamyAutomaticky

Nezpracováváme zvláštní kategorie údajů (citlivé údaje) ve smyslu čl. 9 GDPR, pokud takové údaje nevloží do systému sami uživatelé nebo správci organizací (např. v textu dokumentů). Za obsah vložený uživateli odpovídá příslušná organizace.

3. Účely zpracování a právní základy

ÚčelPrávní základ (GDPR)Právní základ (DSG)
Provoz platformy, správa účtů a organizacíČl. 6(1)(b) – plnění smlouvyČl. 31(1) – zpracování pro plnění smlouvy
Zabezpečení přístupu, ochrana proti zneužití (rate limiting, login throttle)Čl. 6(1)(f) – oprávněný zájem provozovateleČl. 31(1) – převažující zájem
Záznam aktivit (kdo/co/kdy) pro transparentnost správyČl. 6(1)(f) – oprávněný zájem organizace i provozovateleČl. 31(1) – převažující zájem
Evidence hlasování a výsledkůČl. 6(1)(b) – plnění smlouvy + čl. 6(1)(f) – oprávněný zájemČl. 31(1) – plnění smlouvy a převažující zájem
Záznamy o doručení e-mailů (důkaz o oznámení)Čl. 6(1)(f) – oprávněný zájem (prokazatelnost doručení)Čl. 31(1) – převažující zájem
Komunikace s uživateli (podpora, řešení dotazů)Čl. 6(1)(b) – plnění smlouvy / čl. 6(1)(f) – oprávněný zájemČl. 31(1)

Oprávněný zájem u auditních logů a hlasovacích záznamů spočívá v potřebě organizací prokázat řádný průběh rozhodování a v potřebě provozovatele chránit integritu platformy. Tento zájem převažuje nad právem na výmaz, protože výmaz by znemožnil zpětnou kontrolu a právní obranu organizace (čl. 17(3)(e) GDPR). Pro organizace se sídlem v ČR: § 258 a násl. NOZ pro spolky, § 1200 a násl. NOZ pro SVJ. Pre organizácie so sídlom v SR: z. č. 83/1990 Zb., z. č. 182/1993 Z.z..

4. Doba uchování

KategorieDoba uchováníDůvod
Účetní údaje (e-mail, hash hesla)Po dobu existence účtu; při smazání účtu okamžitě a nevratně anonymizováno (žádná lhůta, žádné obnovení)Plnění smlouvy
Přihlašovací relace (session)Max. 30 dní (automatická expirace)Zabezpečení
Členské údajePo dobu členství v organizaciPlnění smlouvy
Hlasovací záznamyPo dobu existence organizace; pseudonymizovány po smazání účtuČl. 17(3)(e) GDPR – obhajoba právních nároků
Auditní logy5 let od vytvoření záznamuOprávněný zájem – zpětná kontrola
Záznamy o doručení e-mailů3 roky od odesláníDůkaz o doručení oznámení
Fórum a zprávyPo dobu existence organizacePlnění smlouvy
DokumentyPo dobu existence organizacePlnění smlouvy
Rate-limit záznamyAutomatický zánik (okno 1–60 minut)Dočasná ochrana
Záznamy o přihlášení (login attempts)30 dní od pokusu (automatická expirace)Ochrana proti brute-force

IP adresy v audit logu jsou anonymizovány po 1 roce. User agent je odstraněn po 1 roce. Účetní záznamy (platby, faktury) jsou uchovávány 10 let: pro organizace v ČR dle § 31 zák. č. 563/1991 Sb., pre organizácie v SR dle zákona o účtovníctve z. č. 431/2002 Z.z..

5. Auditní logy a hlasovací záznamy – zvláštní režim

Auditní logy a hlasovací záznamy slouží k prokázání řádného průběhu rozhodování v organizaci. Tyto záznamy nelze na žádost smazat, pokud trvá oprávněný zájem organizace na jejich uchování (čl. 17(3)(e) GDPR — výmaz se neuplatní, je-li zpracování nezbytné pro určení, výkon nebo obhajobu právních nároků).

Při smazání uživatelského účtu jsou identifikační údaje (e-mailová adresa, hash hesla, jméno) okamžitě a nevratně anonymizovány v rámci jedné atomické transakce. E-mailová adresa je nahrazena systémovým zástupným textem, hash hesla je přepsán náhodnou hodnotou a jméno je odstraněno. Po provedení smazání neexistuje žádná lhůta uchování ani možnost obnovení účtu.

Hlasovací záznamy a relevantní auditní logy jsou při smazání účtu pseudonymizovány — identifikátor uživatele je nahrazen anonymním zástupným textem, ale samotný faktický záznam (hlas, akce, datum) zůstává zachován.

Záznamy o doručení e-mailů (EmailLog) slouží jako důkaz, že organizace odeslala oznámení svým členům (např. pozvánka na hlasování, výsledky). Tyto záznamy jsou uchovávány i po smazání účtu uživatele, přičemž vazba na uživatele je přerušena (userId je nastaven na null).

6. Příjemci a dílčí zpracovatelé

Údaje sdílíme pouze v nezbytném rozsahu s následujícími kategoriemi příjemců:

  • Hosting a databáze: Poskytovatel serverové infrastruktury v EU (PostgreSQL databáze). Údaje jsou zpracovávány výhradně na území EU/EHP.
  • E-mailová služba: Postmark (ActiveCampaign, LLC, USA) — pro odesílání transakčních e-mailů. Přenos do USA je zajištěn na základě EU-U.S. Data Privacy Framework. Zpracovávány jsou pouze adresy příjemců a obsah e-mailů v rozsahu nezbytném pro doručení.
  • Platební služba: Stripe, Inc. (USA) — pro zpracování plateb. Přenos do USA je zajištěn na základě EU-U.S. Data Privacy Framework. Zpracovávány jsou: e-mail, částka, identifikátor organizace.
  • Služba pro sledování chyb: Sentry (Functional Software, Inc., USA) — pro diagnostiku technických problémů. Zpracovávány jsou pouze technické údaje o chybách, bez osobních dat.
  • Správci organizací: Administrátoři jednotlivých organizací mají přístup k údajům členů své organizace v rozsahu nezbytném pro správu členství, hlasování a dokumentů.

Údaje neprodáváme, neposkytujeme reklamním sítím a nesdílíme s třetími stranami nad rámec výše uvedeného.

7. Předání údajů do třetích zemí

Provozovatel sídlí ve Švýcarsku. Evropská komise uznala Švýcarsko jako zemi zajišťující přiměřenou úroveň ochrany údajů (rozhodnutí o přiměřenosti). Předání údajů mezi EU a Švýcarskem nevyžaduje další záruky.

Pro službu doručování e-mailů (Postmark/USA) se uplatňuje EU-U.S. Data Privacy Framework. V případě změny tohoto rámce budou přijata příslušná opatření (standardní smluvní doložky nebo jiný mechanismus dle čl. 46 GDPR).

8. Cookies a technické prostředky

Platforma používá výhradně nezbytné (technické) cookies pro správu přihlašovací relace. Tyto cookies:

  • Nesledují uživatele napříč weby
  • Neobsahují osobní údaje (pouze kryptografický hash tokenu)
  • Mají omezenou platnost (max. 30 dní)
  • Jsou nastaveny jako HttpOnly a Secure

Nepoužíváme analytické, marketingové ani žádné jiné cookies třetích stran. Souhlas s cookies proto není vyžadován (výjimka dle čl. 5(3) směrnice 2002/58/ES).

9. Vaše práva

Jako subjekt údajů máte následující práva:

  • Právo na přístup (čl. 15 GDPR / čl. 25 DSG): Můžete požádat o informaci, jaké údaje o vás zpracováváme, a o kopii těchto údajů.
  • Právo na opravu (čl. 16 GDPR / čl. 32(1) DSG): Můžete požádat o opravu nepřesných údajů.
  • Právo na výmaz (čl. 17 GDPR / čl. 32(2)(c) DSG): Můžete požádat o smazání svého účtu. Identifikační údaje (e-mail, heslo, jméno) jsou okamžitě a nevratně anonymizovány — účet nelze obnovit. Hlasovací záznamy a auditní logy budou pseudonymizovány (viz bod 5). Úplný výmaz těchto záznamů není možný z důvodu čl. 17(3)(e) GDPR.
  • Právo na omezení zpracování (čl. 18 GDPR): V zákonem stanovených případech (ČR) / v zákonom ustanovených prípadoch (SR).
  • Právo na přenositelnost (čl. 20 GDPR): Máte právo na export svých údajů ve strojově čitelném formátu. Administrátoři organizací mohou exportovat data organizace.
  • Právo vznést námitku (čl. 21 GDPR / čl. 32(2)(b) DSG): Proti zpracování založenému na oprávněném zájmu.
  • Právo podat stížnost u dozorového úřadu (viz bod 10).

Jak práva uplatnit

Žádosti zasílejte na privacy@sprav.cz. Pro ověření totožnosti můžeme požádat o potvrzení z e-mailové adresy přiřazené k vašemu účtu. Na žádost odpovíme bez zbytečného odkladu, nejpozději do 30 dnů.

Žádost o smazání účtu můžete podat také přímo v nastavení profilu v platformě (pokud je tato funkce dostupná) nebo e-mailem.

Odvolání souhlasu

Svůj souhlas můžete kdykoli odvolat v nastavení profilu (Profil → Soukromí → Odvolat souhlas). Po odvolání bude váš účet pozastaven. Pro obnovení přístupu je nutné souhlas znovu udělit.

10. Dozorové úřady

Pokud se domníváte, že zpracování vašich údajů není v souladu s právními předpisy, můžete podat stížnost u příslušného dozorového úřadu:

  • Česká republika: Úřad pro ochranu osobních údajů (ÚOOÚ), Pplk. Sochora 27, 170 00 Praha 7 www.uoou.cz
  • Slovenská republika: Úrad na ochranu osobných údajov SR, Hraničná 12, 820 07 Bratislava
  • Švýcarsko (CH): Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), Feldeggweg 1, 3003 Bern www.edoeb.admin.ch
  • Německo (DE): Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI), Graurheindorfer Str. 153, 53117 Bonn www.bfdi.bund.de
  • Rakousko (AT): Datenschutzbehörde (DSB), Barichgasse 40–42, 1030 Wien www.dsb.gv.at

11. Technická a organizační opatření

Platforma implementuje přiměřená technická a organizační opatření na ochranu údajů:

  • Hesla uložena výhradně jako hash (Argon2id)
  • Přihlašovací relace chráněny kryptografickým tokenem (SHA-256)
  • Komunikace šifrována pomocí TLS (HTTPS)
  • CSRF ochrana pro všechny mutující požadavky
  • Ochrana proti brute-force (rate limiting, login throttle)
  • Integritní pečetě (SHA-256 hash) na klíčových záznamech
  • Bezpečnostní hlavičky (CSP, HSTS, X-Frame-Options, X-Content-Type-Options)
  • Pravidelné ověřování integrity záznamů na časové ose (SHA-256 pečetě)

Podrobnosti o bezpečnostních opatřeních najdete na stránce Zabezpečení.

12. Změny těchto zásad

Tyto zásady můžeme aktualizovat v reakci na změny právních předpisů, funkcí platformy nebo provozních postupů. Aktuální verze je vždy dostupná na této stránce. O podstatných změnách budeme informovat prostřednictvím platformy nebo e-mailem.

13. Kontakt

Pro jakékoli dotazy týkající se ochrany osobních údajů se obracejte na pověřenou kontaktní osobu pro ochranu údajů:
privacy@sprav.cz (ochrana údajů / DPO kontakt)
info@sprav.cz (obecné dotazy)

TimeDeals Pavelka
Berglistrasse 28a, 8180 Bülach, Švýcarsko

Poslední aktualizace: 10. února 2026