CZSKDEFRITEN
sprav.cz
Správa spolkov

Zásady ochrany osobných údajov

Účinné od: 10. februára 2026

Tieto zásady popisujú, ako platforma sprav.cz („Platforma“) spracúva osobné údaje. Spracovanie sa riadi Nariadením Európskeho parlamentu a Rady (EÚ) 2016/679 (GDPR), švajčiarskym federálnym zákonom o ochrane údajov (nDSG, rev. 2023) a ďalšími príslušnými právnymi predpismi. Pre organizácie v ČR: GDPR + zák. č. 110/2019 Sb.. Pre organizácie v SR: GDPR + z. č. 18/2018 Z.z.. Pre organizácie vo Švajčiarsku (CH): nDSG (SR 235.1) (Fedlex). Pre organizácie v Nemecku (DE): GDPR + BDSG — dozorný úrad: Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI). Pre organizácie v Rakúsku (AT): GDPR + DSG — dozorný úrad: Datenschutzbehörde (DSB). Dozorný úrad pre CH: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB).

Zhrnutie (zjednodušene)

  • Spracúvame len údaje nutné pre prevádzku platformy a správu organizácií.
  • Neobchodujeme s vašimi údajmi a nezobrazujeme reklamy.
  • Hlasovacie záznamy a auditné logy uchovávame dlhšie z dôvodu právnej ochrany spolkov.
  • Používame len nevyhnutné cookies na prihlásenie — žiadne trackery.
  • Máte právo na prístup, opravu aj výmaz (s výnimkami popísanými nižšie).
  • Kontakt pre otázky k ochrane údajov: privacy@sprav.cz

1. Správca a spracovateľ údajov

1.1 Prevádzkovateľ platformy (spracovateľ)

TimeDeals Pavelka
Berglistrasse 28a, 8180 Bülach, Švýcarsko
UID: CHE-393.597.780
Einzelunternehmen (samostatně výdělečně činná osoba, Švýcarsko)
E-mail: privacy@sprav.cz

Prevádzkovateľ platformy vystupuje vo vzťahu k údajom členov organizácií ako spracovateľ v zmysle čl. 28 GDPR / čl. 9 DSG. Platforma spracúva údaje menom a na pokyn jednotlivých organizácií.

1.2 Správca údajov členov

Správcom osobných údajov členov je vždy príslušná organizácia (spolok, SVJ, záujmové združenie), ktorá platformu používa na správu svojich členov, hlasovanie a dokumenty. Organizácia určuje účely a prostriedky spracovania.

1.3 Prevádzkovateľ ako správca

Pre údaje spracovávané za účelom prevádzky a bezpečnosti samotnej platformy (registrácia účtu, prihlasovacie relácie, bezpečnostné logy, ochrana proti zneužívaniu) vystupuje prevádzkovateľ ako samostatný správca.

2. Kategórie spracúvaných údajov

KategóriaKonkrétne údajePovinné?
Účtovné údajeE-mailová adresa, hash hesla (Argon2)Áno
Relácie a zabezpečenieHash tokenu, IP adresa, user-agent, čas posledného prístupuAutomaticky
Členské údajePríslušnosť k organizácii, rola (člen/admin), stav členstvaÁno
Hlasovacie záznamyOdovzdaný hlas (ZA/PROTI/ZDRŽAL SA), čas, identifikátor členaPri hlasovaní
Auditné logyAkcia (typ), identifikátor aktéra, čas, kontext (org, IP)Automaticky
Záznamy o doručení e-mailovAdresa príjemcu, predmet, stav doručenia, čas odoslaniaAutomaticky
Komunikácia (fórum, správy)Text príspevku, autor, čas, vlákno/kanálPri použití
DokumentyNahrané súbory, názov, dátum, kategória, autorPri nahratí
Ochrana proti zneužívaniuPočet neúspešných prihlásení, rate-limit záznamyAutomaticky

Nespracúvame zvláštne kategórie údajov (citlivé údaje) v zmysle čl. 9 GDPR, ak takéto údaje nevložia do systému sami používatelia alebo správcovia organizácií (napr. v texte dokumentov). Za obsah vložený používateľmi zodpovedá príslušná organizácia.

3. Účely spracovania a právne základy

ÚčelPrávny základ (GDPR)Právny základ (DSG)
Prevádzka platformy, správa účtov a organizáciíČl. 6(1)(b) – plnenie zmluvyČl. 31(1) – spracovanie na plnenie zmluvy
Zabezpečenie prístupu, ochrana proti zneužívaniu (rate limiting, login throttle)Čl. 6(1)(f) – oprávnený záujem prevádzkovateľaČl. 31(1) – prevažujúci záujem
Záznam aktivít (kto/čo/kedy) pre transparentnosť správyČl. 6(1)(f) – oprávnený záujem organizácie aj prevádzkovateľaČl. 31(1) – prevažujúci záujem
Evidencia hlasovania a výsledkovČl. 6(1)(b) – plnenie zmluvy + čl. 6(1)(f) – oprávnený záujemČl. 31(1) – plnenie zmluvy a prevažujúci záujem
Záznamy o doručení e-mailov (dôkaz o oznámení)Čl. 6(1)(f) – oprávnený záujem (preukázateľnosť doručenia)Čl. 31(1) – prevažujúci záujem
Komunikácia s používateľmi (podpora, riešenie otázok)Čl. 6(1)(b) – plnenie zmluvy / čl. 6(1)(f) – oprávnený záujemČl. 31(1)

Oprávnený záujem pri auditných logoch a hlasovacích záznamoch spočíva v potrebe organizácií preukázať riadny priebeh rozhodovania a v potrebe prevádzkovateľa chrániť integritu platformy. Tento záujem prevažuje nad právom na výmaz, pretože výmaz by znemožnil spätnú kontrolu a právnu obranu organizácie (čl. 17(3)(e) GDPR). Pre organizácie so sídlom v ČR: § 258 a nasl. NOZ pre spolky, § 1200 a nasl. NOZ pre SVJ. Pre organizácie so sídlom v SR: z. č. 83/1990 Zb., z. č. 182/1993 Z.z..

4. Doba uchovávania

KategóriaDoba uchovávaniaDôvod
Účtovné údaje (e-mail, hash hesla)Po dobu existencie účtu; pri zmazaní účtu okamžite a nevratne anonymizované (žiadna lehota, žiadne obnovenie)Plnenie zmluvy
Prihlasovacie relácie (session)Max. 30 dní (automatická expirácia)Zabezpečenie
Členské údajePo dobu členstva v organizáciiPlnenie zmluvy
Hlasovacie záznamyPo dobu existencie organizácie; pseudonymizované po zmazaní účtuČl. 17(3)(e) GDPR – obhajoba právnych nárokov
Auditné logy5 rokov od vytvorenia záznamuOprávnený záujem – spätná kontrola
Záznamy o doručení e-mailov3 roky od odoslaniaDôkaz o doručení oznámenia
Fórum a správyPo dobu existencie organizáciePlnenie zmluvy
DokumentyPo dobu existencie organizáciePlnenie zmluvy
Rate-limit záznamyAutomatický zánik (okno 1–60 minút)Dočasná ochrana
Záznamy o prihlásení (login attempts)30 dní od pokusu (automatická expirácia)Ochrana proti brute-force

IP adresy v audit logu sú anonymizované po 1 roku. User agent je odstránený po 1 roku. Účtovné záznamy (platby, faktúry) sú uchovávané 10 rokov: pre organizácie v ČR podľa § 31 zák. č. 563/1991 Sb., pre organizácie v SR podľa zákona o účtovníctve z. č. 431/2002 Z.z..

5. Auditné logy a hlasovacie záznamy – zvláštny režim

Auditné logy a hlasovacie záznamy slúžia na preukázanie riadneho priebehu rozhodovania v organizácii. Tieto záznamy nemožno na požiadanie zmazať, ak trvá oprávnený záujem organizácie na ich uchovávaní (čl. 17(3)(e) GDPR — výmaz sa neuplatní, ak je spracovanie nevyhnutné na určenie, výkon alebo obhajobu právnych nárokov).

Pri zmazaní používateľského účtu sú identifikačné údaje (e-mailová adresa, hash hesla, meno) okamžite a nevratne anonymizované v rámci jednej atomickej transakcie. E-mailová adresa je nahradená systémovým zástupným textom, hash hesla je prepísaný náhodnou hodnotou a meno je odstránené. Po vykonaní zmazania neexistuje žiadna lehota uchovávania ani možnosť obnovenia účtu.

Hlasovacie záznamy a relevantné auditné logy sú pri zmazaní účtu pseudonymizované — identifikátor používateľa je nahradený anonymným zástupným textom, ale samotný faktický záznam (hlas, akcia, dátum) zostáva zachovaný.

Záznamy o doručení e-mailov (EmailLog) slúžia ako dôkaz, že organizácia odoslala oznámenie svojim členom (napr. pozvánka na hlasovanie, výsledky). Tieto záznamy sú uchovávané aj po zmazaní účtu používateľa, pričom väzba na používateľa je prerušená (userId je nastavený na null).

6. Príjemcovia a čiastkoví spracovatelia

Údaje zdieľame len v nevyhnutnom rozsahu s nasledujúcimi kategóriami príjemcov:

  • Hosting a databázy: Poskytovateľ serverovej infraštruktúry v EÚ (PostgreSQL databázy). Údaje sú spracovávané výlučne na území EÚ/EHP.
  • E-mailová služba: Postmark (ActiveCampaign, LLC, USA) — na odosielanie transakčných e-mailov. Prenos do USA je zabezpečený na základe EU-U.S. Data Privacy Framework. Spracovávané sú len adresy príjemcov a obsah e-mailov v rozsahu nevyhnutnom na doručenie.
  • Platobná služba: Stripe, Inc. (USA) — na spracovanie platieb. Prenos do USA je zabezpečený na základe EU-U.S. Data Privacy Framework. Spracovávané sú: e-mail, čiastka, identifikátor organizácie.
  • Služba na sledovanie chýb: Sentry (Functional Software, Inc., USA) — na diagnostiku technických problémov. Spracovávané sú len technické údaje o chybách, bez osobných dát.
  • Správcovia organizácií: Administrátori jednotlivých organizácií majú prístup k údajom členov svojej organizácie v rozsahu nevyhnutnom na správu členstva, hlasovania a dokumentov.

Údaje nepredávame, neposkytujeme reklamným sieťam a nezdieľame s tretími stranami nad rámec vyššie uvedeného.

7. Predanie údajov do tretích krajín

Prevádzkovateľ sídlí vo Švajčiarsku. Európska komisia uznala Švajčiarsko ako krajinu zabezpečujúcu primeranú úroveň ochrany údajov (rozhodnutie o primeranosti). Predanie údajov medzi EÚ a Švajčiarskom nevyžaduje ďalšie záruky.

Pre službu doručovania e-mailov (Postmark/USA) sa uplatňuje EU-U.S. Data Privacy Framework. V prípade zmeny tohto rámca budú prijaté príslušné opatrenia (štandardné zmluvné doložky alebo iný mechanizmus podľa čl. 46 GDPR).

8. Cookies a technické prostriedky

Platforma používa výlučne nevyhnutné (technické) cookies na správu prihlasovacej relácie. Tieto cookies:

  • Nesledujú používateľov naprieč webmi
  • Neobsahujú osobné údaje (len kryptografický hash tokenu)
  • Majú obmedzenú platnosť (max. 30 dní)
  • Sú nastavené ako HttpOnly a Secure

Nepoužívame analytické, marketingové ani žiadne iné cookies tretích strán. Súhlas s cookies preto nie je vyžadovaný (výnimka podľa čl. 5(3) smernice 2002/58/ES).

9. Vaše práva

Ako subjekt údajov máte nasledujúce práva:

  • Právo na prístup (čl. 15 GDPR / čl. 25 DSG): Môžete požiadať o informáciu, aké údaje o vás spracúvame, a o kópiu týchto údajov.
  • Právo na opravu (čl. 16 GDPR / čl. 32(1) DSG): Môžete požiadať o opravu nepresných údajov.
  • Právo na výmaz (čl. 17 GDPR / čl. 32(2)(c) DSG): Môžete požiadať o zmazanie svojho účtu. Identifikačné údaje (e-mail, heslo, meno) sú okamžite a nevratne anonymizované — účet nemožno obnoviť. Hlasovacie záznamy a auditné logy budú pseudonymizované (pozri bod 5). Úplný výmaz týchto záznamov nie je možný z dôvodu čl. 17(3)(e) GDPR.
  • Právo na obmedzenie spracovania (čl. 18 GDPR): V zákonom stanovených prípadoch (ČR) / v zákonom ustanovených prípadoch (SR).
  • Právo na prenositeľnosť (čl. 20 GDPR): Máte právo na export svojich údajov v strojovo čitateľnom formáte. Administrátori organizácií môžu exportovať dáta organizácie.
  • Právo vzniesť námietku (čl. 21 GDPR / čl. 32(2)(b) DSG): Proti spracovaniu založenému na oprávnenom záujme.
  • Právo podať sťažnosť u dozorného úradu (pozri bod 10).

Ako práva uplatniť

Žiadosti zasielajte na privacy@sprav.cz. Na overenie totožnosti môžeme požiadať o potvrdenie z e-mailovej adresy priradenej k vášmu účtu. Na žiadosť odpovieme bez zbytočného oneskorenia, najneskôr do 30 dní.

Žiadosť o zmazanie účtu môžete podať aj priamo v nastavení profilu v platforme (ak je táto funkcia dostupná) alebo e-mailom.

Odvolanie súhlasu

Svoj súhlas môžete kedykoľvek odvolať v nastavení profilu (Profil → Súkromie → Odvolať súhlas). Po odvolaní bude váš účet pozastavený. Na obnovenie prístupu je nutné súhlas znova udeliť.

10. Dozorné úrady

Ak sa domnievate, že spracovanie vašich údajov nie je v súlade s právnymi predpismi, môžete podať sťažnosť u príslušného dozorného úradu:

  • Česká republika: Úřad pro ochranu osobních údajů (ÚOOÚ), Pplk. Sochora 27, 170 00 Praha 7 www.uoou.cz
  • Slovenská republika: Úrad na ochranu osobných údajov SR, Hraničná 12, 820 07 Bratislava
  • Švajčiarsko (CH): Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), Feldeggweg 1, 3003 Bern www.edoeb.admin.ch
  • Nemecko (DE): Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI), Graurheindorfer Str. 153, 53117 Bonn www.bfdi.bund.de
  • Rakúsko (AT): Datenschutzbehörde (DSB), Barichgasse 40–42, 1030 Wien www.dsb.gv.at

11. Technické a organizačné opatrenia

Platforma implementuje primerané technické a organizačné opatrenia na ochranu údajov:

  • Heslá uložené výlučne ako hash (Argon2id)
  • Prihlasovacie relácie chránené kryptografickým tokenom (SHA-256)
  • Komunikácia šifrovaná pomocou TLS (HTTPS)
  • CSRF ochrana pre všetky mutujúce požiadavky
  • Ochrana proti brute-force (rate limiting, login throttle)
  • Integritné pečate (SHA-256 hash) na kľúčových záznamoch
  • Bezpečnostné hlavičky (CSP, HSTS, X-Frame-Options, X-Content-Type-Options)
  • Pravidelné overovanie integrity záznamov na časovej osi (SHA-256 pečate)

Podrobnosti o bezpečnostných opatreniach nájdete na stránke Zabezpečenie.

12. Zmeny týchto zásad

Tieto zásady môžeme aktualizovať v reakcii na zmeny právnych predpisov, funkcií platformy alebo prevádzkových postupov. Aktuálna verzia je vždy dostupná na tejto stránke. O podstatných zmenách budeme informovať prostredníctvom platformy alebo e-mailom.

13. Kontakt

Pre akékoľvek otázky týkajúce sa ochrany osobných údajov sa obráťte na poverenú kontaktnú osobu pre ochranu údajov:
privacy@sprav.cz (ochrana údajov / DPO kontakt)
info@sprav.cz (všeobecné otázky)

TimeDeals Pavelka
Berglistrasse 28a, 8180 Bülach, Švýcarsko

Posledná aktualizácia: 10. februára 2026