CZSKDEFRITEN
sprav.cz
Gestione associazioni

Informativa sulla privacy

Efficace dal: 10 febbraio 2026

Questa informativa descrive come la piattaforma sprav.cz („Piattaforma“) tratta i dati personali. Il trattamento è disciplinato dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (RGPD), dalla legge federale svizzera sulla protezione dei dati (LPD, rev. 2023) e da altre normative applicabili. Per le organizzazioni nella Repubblica ceca: GDPR + zák. č. 110/2019 Sb.. Per le organizzazioni in Slovacchia: GDPR + z. č. 18/2018 Z.z.. Per le organizzazioni in Svizzera (CH): nDSG (SR 235.1) (Fedlex). Per le organizzazioni in Germania (DE): GDPR + BDSG — autorità di controllo: Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI). Per le organizzazioni in Austria (AT): GDPR + DSG — autorità di controllo: Datenschutzbehörde (DSB). Autorità di controllo per CH: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB).

Riassunto (semplificato)

  • Trattiamo solo i dati necessari per il funzionamento della piattaforma e la gestione delle organizzazioni.
  • Non vendiamo i vostri dati e non mostriamo pubblicità.
  • Conserviamo i registri di voto e i log di audit più a lungo per la protezione legale delle associazioni.
  • Utilizziamo solo cookie necessari per l'accesso — nessun tracker.
  • Avete il diritto di accesso, rettifica e cancellazione (con le eccezioni descritte di seguito).
  • Contatto per domande sulla protezione dei dati: privacy@sprav.cz

1. Titolare e responsabile del trattamento

1.1 Operatore della piattaforma (responsabile del trattamento)

TimeDeals Pavelka
Berglistrasse 28a, 8180 Bülach, Švýcarsko
UID: CHE-393.597.780
Einzelunternehmen (samostatně výdělečně činná osoba, Švýcarsko)
E-mail: privacy@sprav.cz

L'operatore della piattaforma agisce come responsabile del trattamento ai sensi dell'art. 28 RGPD / art. 9 LPD rispetto ai dati dei membri delle organizzazioni. La piattaforma tratta i dati per conto e su istruzione delle singole organizzazioni.

1.2 Titolare dei dati dei membri

Il titolare dei dati personali dei membri è sempre l'organizzazione pertinente (associazione, condominio, gruppo di interesse) che utilizza la piattaforma per gestire i propri membri, votazioni e documenti. L'organizzazione determina le finalità e i mezzi del trattamento.

1.3 Operatore come titolare

Per i dati trattati ai fini del funzionamento e della sicurezza della piattaforma stessa (registrazione dell'account, sessioni di accesso, log di sicurezza, protezione contro l'abuso), l'operatore agisce come titolare indipendente.

2. Categorie dei dati trattati

CategoriaDati specificiObbligatorio?
Dati dell'accountIndirizzo e-mail, hash della password (Argon2)
Sessioni e sicurezzaHash del token, indirizzo IP, user-agent, ora dell'ultimo accessoAutomaticamente
Dati dei membriAppartenenza all'organizzazione, ruolo (membro/admin), stato di appartenenza
Registri di votoVoto espresso (FAVORELE/CONTRO/ASTENUTO), ora, identificatore del membroAl momento del voto
Log di auditAzione (tipo), identificatore dell'attore, ora, contesto (org, IP)Automaticamente
Registri di consegna e-mailIndirizzo del destinatario, oggetto, stato di consegna, ora di invioAutomaticamente
Comunicazione (forum, messaggi)Testo del messaggio, autore, ora, thread/canaleDurante l'uso
DocumentiFile caricati, nome, data, categoria, autoreAl momento del caricamento
Protezione contro l'abusoNumero di accessi falliti, registri di limitazione della velocitàAutomaticamente

Non trattiamo categorie particolari di dati (dati sensibili) ai sensi dell'art. 9 RGPD, a meno che tali dati non siano inseriti nel sistema dagli utenti stessi o dagli amministratori delle organizzazioni (ad es. nel testo dei documenti). L'organizzazione pertinente è responsabile del contenuto inserito dagli utenti.

3. Finalità del trattamento e basi legali

FinalitàBase legale (RGPD)Base legale (LPD)
Funzionamento della piattaforma, gestione degli account e delle organizzazioniArt. 6(1)(b) – esecuzione del contrattoArt. 31(1) – trattamento per l'esecuzione del contratto
Sicurezza dell'accesso, protezione contro l'abuso (limitazione della velocità, limitazione dell'accesso)Art. 6(1)(f) – interesse legittimo dell'operatoreArt. 31(1) – interesse prevalente
Registrazione delle attività (chi/cosa/quando) per la trasparenza della gestioneArt. 6(1)(f) – interesse legittimo dell'organizzazione e dell'operatoreArt. 31(1) – interesse prevalente
Registrazione di votazioni e risultatiArt. 6(1)(b) – esecuzione del contratto + art. 6(1)(f) – interesse legittimoArt. 31(1) – esecuzione del contratto e interesse prevalente
Registri di consegna e-mail (prova di notifica)Art. 6(1)(f) – interesse legittimo (dimostrabilità della consegna)Art. 31(1) – interesse prevalente
Comunicazione con gli utenti (supporto, risoluzione delle domande)Art. 6(1)(b) – esecuzione del contratto / art. 6(1)(f) – interesse legittimoArt. 31(1)

L'interesse legittimo per i log di audit e i registri di voto risiede nella necessità per le organizzazioni di dimostrare il corretto svolgimento del processo decisionale e nella necessità per l'operatore di proteggere l'integrità della piattaforma. Questo interesse prevale sul diritto alla cancellazione, poiché la cancellazione renderebbe impossibile il controllo retroattivo e la difesa legale dell'organizzazione (art. 17(3)(e) RGPD). Per le organizzazioni con sede nella Repubblica ceca: § 258 e seguenti del Codice civile per le associazioni, § 1200 e seguenti del Codice civile per i condomini. Per le organizzazioni con sede in Slovacchia: z. č. 83/1990 Zb., z. č. 182/1993 Z.z..

4. Periodo di conservazione

CategoriaPeriodo di conservazioneMotivo
Dati dell'account (e-mail, hash della password)Per la durata dell'esistenza dell'account; alla cancellazione dell'account, anonimi immediatamente e irreversibilmente (nessun termine, nessun ripristino)Esecuzione del contratto
Sessioni di accesso (session)Max. 30 giorni (scadenza automatica)Sicurezza
Dati dei membriPer la durata dell'appartenenza all'organizzazioneEsecuzione del contratto
Registri di votoPer la durata dell'esistenza dell'organizzazione; pseudonimizzati dopo la cancellazione dell'accountArt. 17(3)(e) RGPD – difesa dei diritti legali
Log di audit5 anni dalla creazione del recordInteresse legittimo – controllo retroattivo
Registri di consegna e-mail3 anni dall'invioProva della consegna delle notifiche
Forum e messaggiPer la durata dell'esistenza dell'organizzazioneEsecuzione del contratto
DocumentiPer la durata dell'esistenza dell'organizzazioneEsecuzione del contratto
Registri di limitazione della velocitàScadenza automatica (finestra 1–60 minuti)Protezione temporanea
Tentativi di accesso (login attempts)30 giorni dal tentativo (scadenza automatica)Protezione contro la forza bruta

Gli indirizzi IP nel log di audit sono anonimizzati dopo 1 anno. Il User Agent viene rimosso dopo 1 anno. I registri contabili (pagamenti, fatture) sono conservati 10 anni: per le organizzazioni nella Repubblica ceca secondo § 31 zák. č. 563/1991 Sb., per le organizzazioni in Slovacchia secondo la legge sulla contabilità z. č. 431/2002 Z.z..

5. Log di audit e registri di voto – regime speciale

I log di audit e i registri di voto servono a dimostrare il corretto svolgimento del processo decisionale nell'organizzazione. Questi registri non possono essere cancellati su richiesta finché esiste un interesse legittimo dell'organizzazione alla loro conservazione (art. 17(3)(e) RGPD — la cancellazione non si applica se il trattamento è necessario per l'accertamento, l'esercizio o la difesa di diritti in giudizio).

Alla cancellazione dell'account utente, i dati di identificazione (indirizzo e-mail, hash della password, nome) sono immediatamente e irreversibilmente anonimizzati nell'ambito di una transazione atomica. L'indirizzo e-mail è sostituito da un testo segnaposto di sistema, l'hash della password è sovrascritto con un valore casuale e il nome è rimosso. Dopo la cancellazione, non esiste alcun periodo di conservazione né possibilità di ripristino dell'account.

I registri di voto e i log di audit pertinenti sono pseudonimizzati alla cancellazione dell'account — l'identificatore dell'utente è sostituito da un testo segnaposto anonimo, ma il record fattuale stesso (voto, azione, data) rimane conservato.

I registri di consegna e-mail (EmailLog) servono come prova che l'organizzazione ha inviato una notifica ai propri membri (ad es. invito al voto, risultati). Questi registri sono conservati anche dopo la cancellazione dell'account utente, con il collegamento all'utente interrotto (userId è impostato su null).

6. Destinatari e sub-responsabili del trattamento

Condividiamo i dati solo nella misura necessaria con le seguenti categorie di destinatari:

  • Hosting e database: Fornitore di infrastruttura server nell'UE (database PostgreSQL). I dati sono trattati esclusivamente sul territorio dell'UE/SEE.
  • Servizio e-mail: Postmark (ActiveCampaign, LLC, USA) — per l'invio di e-mail transazionali. Il trasferimento negli USA è assicurato sulla base del quadro EU-U.S. Data Privacy Framework. Sono trattati solo gli indirizzi dei destinatari e il contenuto delle e-mail nella misura necessaria per la consegna.
  • Servizio di pagamento: Stripe, Inc. (USA) — per l'elaborazione dei pagamenti. Il trasferimento negli USA è assicurato sulla base del quadro EU-U.S. Data Privacy Framework. Sono trattati: e-mail, importo, identificatore dell'organizzazione.
  • Servizio di monitoraggio degli errori: Sentry (Functional Software, Inc., USA) — per la diagnostica dei problemi tecnici. Sono trattati solo dati tecnici sugli errori, senza dati personali.
  • Amministratori delle organizzazioni: Gli amministratori delle singole organizzazioni hanno accesso ai dati dei membri della propria organizzazione nella misura necessaria per la gestione di appartenenze, votazioni e documenti.

Non vendiamo dati, non li forniamo alle reti pubblicitarie e non li condividiamo con terze parti oltre quanto sopra.

7. Trasferimento di dati verso paesi terzi

L'operatore ha sede in Svizzera. La Commissione europea ha riconosciuto la Svizzera come paese che garantisce un livello adeguato di protezione dei dati (decisione di adeguatezza). Il trasferimento di dati tra l'UE e la Svizzera non richiede garanzie aggiuntive.

Per il servizio di consegna e-mail (Postmark/USA), si applica il quadro EU-U.S. Data Privacy Framework. In caso di modifica di questo quadro, saranno adottate misure appropriate (clausole contrattuali standard o altro meccanismo secondo l'art. 46 RGPD).

8. Cookie e mezzi tecnici

La piattaforma utilizza esclusivamente cookie necessari (tecnici) per la gestione della sessione di accesso. Questi cookie:

  • Non tracciano gli utenti attraverso i siti web
  • Non contengono dati personali (solo hash crittografico del token)
  • Hanno una validità limitata (max. 30 giorni)
  • Sono impostati come HttpOnly e Secure

Non utilizziamo cookie analitici, di marketing o altri cookie di terze parti. Il consenso ai cookie non è quindi richiesto (eccezione secondo l'art. 5(3) della direttiva 2002/58/CE).

9. I vostri diritti

Come interessato, avete i seguenti diritti:

  • Diritto di accesso (art. 15 RGPD / art. 25 LPD): Potete richiedere informazioni sui dati che trattiamo su di voi e una copia di questi dati.
  • Diritto di rettifica (art. 16 RGPD / art. 32(1) LPD): Potete richiedere la rettifica di dati inesatti.
  • Diritto alla cancellazione (art. 17 RGPD / art. 32(2)(c) LPD): Potete richiedere la cancellazione del vostro account. I dati di identificazione (e-mail, password, nome) sono immediatamente e irreversibilmente anonimizzati — l'account non può essere ripristinato. I registri di voto e i log di audit saranno pseudonimizzati (vedi punto 5). La cancellazione completa di questi registri non è possibile a causa dell'art. 17(3)(e) RGPD.
  • Diritto alla limitazione del trattamento (art. 18 RGPD): Nei casi previsti dalla legge (CZ) / nei casi previsti dalla legge (SK).
  • Diritto alla portabilità (art. 20 RGPD): Avete il diritto di esportare i vostri dati in un formato leggibile da macchina. Gli amministratori delle organizzazioni possono esportare i dati dell'organizzazione.
  • Diritto di opposizione (art. 21 RGPD / art. 32(2)(b) LPD): Contro i trattamenti basati su interesse legittimo.
  • Diritto di presentare un reclamo all'autorità di controllo (vedi punto 10).

Come esercitare i vostri diritti

Inviate le vostre richieste a privacy@sprav.cz. Per verificare l'identità, possiamo richiedere una conferma dall'indirizzo e-mail associato al vostro account. Risponderemo alla richiesta senza ritardo ingiustificato, entro 30 giorni al massimo.

Potete anche presentare una richiesta di cancellazione dell'account direttamente nelle impostazioni del profilo sulla piattaforma (se questa funzionalità è disponibile) o via e-mail.

Revoca del consenso

Potete revocare il vostro consenso in qualsiasi momento nelle impostazioni del profilo (Profilo → Privacy → Revoca consenso). Dopo la revoca, il vostro account sarà sospeso. Per ripristinare l'accesso, è necessario dare nuovamente il consenso.

10. Autorità di controllo

Se ritenete che il trattamento dei vostri dati non sia conforme alla normativa, potete presentare un reclamo all'autorità di controllo competente:

  • Repubblica ceca: Úřad pro ochranu osobních údajů (ÚOOÚ), Pplk. Sochora 27, 170 00 Praha 7 www.uoou.cz
  • Repubblica slovacca: Úrad na ochranu osobných údajov SR, Hraničná 12, 820 07 Bratislava
  • Svizzera (CH): Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), Feldeggweg 1, 3003 Bern www.edoeb.admin.ch
  • Germania (DE): Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI), Graurheindorfer Str. 153, 53117 Bonn www.bfdi.bund.de
  • Austria (AT): Datenschutzbehörde (DSB), Barichgasse 40–42, 1030 Wien www.dsb.gv.at

11. Misure tecniche e organizzative

La piattaforma implementa misure tecniche e organizzative appropriate per proteggere i dati:

  • Password memorizzate esclusivamente come hash (Argon2id)
  • Sessioni di accesso protette da token crittografico (SHA-256)
  • Comunicazione crittografata tramite TLS (HTTPS)
  • Protezione CSRF per tutte le richieste mutanti
  • Protezione contro la forza bruta (limitazione della velocità, limitazione dell'accesso)
  • Sigilli di integrità (hash SHA-256) sui record chiave
  • Intestazioni di sicurezza (CSP, HSTS, X-Frame-Options, X-Content-Type-Options)
  • Verifica regolare dell'integrità dei record sulla cronologia (sigilli SHA-256)

I dettagli sulle misure di sicurezza si trovano sulla pagina Sicurezza.

12. Modifiche a questa informativa

Possiamo aggiornare questa informativa in risposta a modifiche della normativa, funzionalità della piattaforma o procedure operative. La versione attuale è sempre disponibile su questa pagina. Informeremo delle modifiche sostanziali tramite la piattaforma o via e-mail.

13. Contatto

Per qualsiasi domanda riguardante la protezione dei dati, rivolgetevi al referente designato per la protezione dei dati (contatto DPO):
privacy@sprav.cz (protezione dei dati / contatto DPO)
info@sprav.cz (domande generali)

TimeDeals Pavelka
Berglistrasse 28a, 8180 Bülach, Švýcarsko

Ultimo aggiornamento: 10 febbraio 2026