Zásady ochrany osobních údajů

1. Správce osobních údajů

Správcem osobních údajů ve smyslu Nařízení (EU) 2016/679 (GDPR) je Petr Pacas, fyzická osoba podnikající (OSVČ), IČO 04676718, se sídlem Mezníkova 394/14, Nové Dvory, 674 01 Třebíč, Česká republika, kontaktní e-mail info@spiritevents.cz (dále jen „Správce“ nebo „Provozovatel“).

Pro uplatnění práv subjektu údajů se obracejte na uvedenou e-mailovou adresu.

2. Jaké údaje zpracováváme

2.1 Údaje registrovaných uživatelů

• e-mailová adresa, jméno (volitelné)
• záznamy o přihlašování (čas, IP adresa, identifikátor session) pro účely zabezpečení
• jazyková preference, naposledy aktivní organizace

2.2 Údaje pořadatelů (organizací)

• název organizace, kontaktní e-mail, případně fakturační údaje
• obsah a metadata zveřejněných akcí (texty, obrázky, datum, místo, odkazy)

2.3 Provozní údaje

• logy serveru a aplikace pro zabezpečení a odstraňování chyb
• záznamy auditu citlivých administrativních akcí (např. změna identity organizace)

SpiritEvents.cz v současné době neprodává vstupenky a nezpracovává platby, proto Správce nezpracovává platební údaje ani identifikační údaje kupujících vstupenek. Pokud bude v budoucnu zaveden vlastní prodej, budou tyto Zásady aktualizovány v předstihu.

3. Účely a právní základy zpracování

• Plnění smlouvy (čl. 6 odst. 1 písm. b GDPR) – provoz uživatelského účtu, správa organizace, technická podpora.
• Plnění právních povinností (čl. 6 odst. 1 písm. c GDPR) – povinnosti plynoucí z účetních předpisů a předpisů o ochraně osobních údajů.
• Oprávněný zájem (čl. 6 odst. 1 písm. f GDPR) – zabezpečení Služby, prevence zneužití, vedení auditních záznamů, řešení sporů.

4. Doba uchování

• údaje účtu – po dobu trvání účtu a 3 roky po jeho zrušení (řešení sporů)
• obsah akcí pořadatele – po dobu trvání organizace; archivace minulých akcí pro účely profilu organizace
• auditní záznamy – 3 roky
• technické logy – maximálně 90 dní

5. Příjemci a zpracovatelé

K technickému zajištění Služby využíváme následující zpracovatele, s nimiž máme uzavřeny smlouvy o zpracování osobních údajů, pokud to GDPR vyžaduje:

• Resend (Resend, Inc.) – odesílání transakčních e-mailů (přihlášení, pozvánky).
• Vercel Inc. – hostování aplikace.
• Neon Inc. – databázový hosting v EU regionu.
• Cloudflare, Inc. – objektové úložiště R2 pro nahrané obrázky a soubory.

Někteří zpracovatelé mohou být usazeni mimo EU/EHP. V takovém případě je předání zajištěno odpovídajícími zárukami dle čl. 46 GDPR (typicky standardní smluvní doložky).

6. Vaše práva

Jako subjekt údajů máš právo:

• na přístup ke svým osobním údajům (čl. 15 GDPR)
• na opravu nepřesných údajů (čl. 16)
• na výmaz („právo být zapomenut“) v zákonem stanovených případech (čl. 17)
• na omezení zpracování (čl. 18)
• na přenositelnost údajů (čl. 20)
• vznést námitku proti zpracování založenému na oprávněném zájmu (čl. 21)
• podat stížnost u dozorového úřadu – Úřad pro ochranu osobních údajů (www.uoou.cz)

Pro uplatnění práv kontaktuj Správce na info@spiritevents.cz. Žádost vyřídíme bez zbytečného odkladu, nejpozději do 30 dnů.

7. Cookies a ukládání lokálního stavu

Služba používá pouze nezbytné (funkční) cookies, jejichž použití nevyžaduje souhlas:

• better-auth.session_token – přihlášení uživatele (httpOnly, doba trvání relace)
• NEXT_LOCALE – uložená jazyková preference
• se_last_active_org_id – naposledy aktivní organizace pro plynulý návrat do administrace (httpOnly, 1 rok)

Služba nepoužívá analytické ani marketingové cookies a nesleduje uživatele třetími stranami. Pokud se to v budoucnu změní, zveřejníme cookie banner a aktualizujeme tento dokument.

8. Zabezpečení

Přijímáme přiměřená technická a organizační opatření k ochraně osobních údajů – zejména šifrované přenosy (HTTPS), oddělení rolí na úrovni databáze, audit citlivých akcí a minimalizaci přístupových oprávnění.

9. Změny Zásad

Tyto Zásady mohou být průběžně aktualizovány. Aktuální verze je vždy zveřejněna ve Službě s vyznačením data účinnosti a verze. O podstatných změnách upozorníme dotčené uživatele e-mailem.