Zásady ochrany osobních údajů
- Účinnost od:
- 2026-07-07
- Verze:
- 1.0
1. Správce osobních údajů
Správcem osobních údajů ve smyslu Nařízení (EU) 2016/679 (GDPR) je Petr Pacas, fyzická osoba podnikající (OSVČ), IČO 04676718, se sídlem Mezníkova 394/14, Nové Dvory, 674 01 Třebíč, Česká republika, kontaktní e-mail info@spiritevents.cz (dále jen „Správce“ nebo „Provozovatel“).
Pro uplatnění práv subjektu údajů se obracejte na uvedenou e-mailovou adresu.
2. Jaké údaje zpracováváme
2.1 Údaje registrovaných uživatelů
- e-mailová adresa, jméno (volitelné)
- záznamy o přihlašování (čas, IP adresa, identifikátor session) pro účely zabezpečení
- jazyková preference, naposledy aktivní organizace
2.2 Údaje pořadatelů (organizací)
- název organizace, kontaktní e-mail, případně fakturační údaje
- obsah a metadata zveřejněných akcí (texty, obrázky, datum, místo, odkazy)
2.3 Údaje kupujících vstupenek
- e-mailová adresa pro doručení vstupenky a komunikaci o objednávce
- jméno na vstupence (pokud Pořadatel vyžaduje jmenovité vstupenky)
- identifikátor objednávky, čas objednávky, údaje o zakoupených vstupenkách
- jazyková preference komunikace o objednávce
Provozovatel nepřijímá ani neukládá platební údaje karet (číslo karty, CVV, expirace) — tyto údaje zpracovává výhradně poskytovatel platební brány certifikovaný podle standardu PCI-DSS. Provozovatel přijímá od platební brány pouze identifikátor transakce, status platby a maskovaný náhled karty (např. typ karty a poslední čtyři číslice) pro účely identifikace platby a vrácení ceny.
2.4 Provozní údaje
- logy serveru a aplikace pro zabezpečení a odstraňování chyb
- záznamy auditu citlivých administrativních akcí (např. změna identity organizace)
3. Účely a právní základy zpracování
- Plnění smlouvy (čl. 6 odst. 1 písm. b GDPR) – provoz uživatelského účtu, správa organizace, technická podpora.
- Plnění právních povinností (čl. 6 odst. 1 písm. c GDPR) – povinnosti plynoucí z účetních předpisů a předpisů o ochraně osobních údajů.
- Oprávněný zájem (čl. 6 odst. 1 písm. f GDPR) – zabezpečení Služby, prevence zneužití, vedení auditních záznamů, řešení sporů.
4. Doba uchování
- údaje účtu – po dobu trvání účtu a 3 roky po jeho zrušení (řešení sporů)
- obsah akcí pořadatele – po dobu trvání organizace; archivace minulých akcí pro účely profilu organizace
- údaje objednávek a vstupenek – po dobu nezbytnou pro plnění smlouvy a 5 let od konce účetního období podle § 31 zákona č. 563/1991 Sb., o účetnictví; daňové doklady 10 let podle zákona o DPH
- auditní záznamy – 3 roky
- technické logy – maximálně 90 dní
5. Příjemci a zpracovatelé
K technickému zajištění Služby využíváme následující zpracovatele, s nimiž máme uzavřeny smlouvy o zpracování osobních údajů, pokud to GDPR vyžaduje:
- Resend (Resend, Inc., sídlo USA) – odesílání transakčních e-mailů (přihlášení, pozvánky). Předání mimo EU zajištěno standardními smluvními doložkami dle čl. 46 GDPR.
- Vercel Inc. (sídlo USA, hosting aplikace v regionu Frankfurt (EU)) – provoz aplikace, anonymizovaná návštěvnost a výkonnostní telemetrie (Web Analytics, Speed Insights). Tyto nástroje nepoužívají cookies ani trvalé identifikátory a nevyžadují souhlas dle § 89 zákona č. 127/2005 Sb. Data se zpracovávají v EU; pro případy nezbytné podpory se předání mimo EU řídí standardními smluvními doložkami dle čl. 46 GDPR.
- Neon Inc. (sídlo USA, databázový hosting v EU regionu) – databáze. Data se ukládají a zpracovávají v EU; pro případy nezbytné podpory se předání mimo EU řídí standardními smluvními doložkami dle čl. 46 GDPR.
- Cloudflare, Inc. (sídlo USA, objektové úložiště R2 v EU regionu) – nahrané obrázky a soubory. Data se ukládají v EU; pro případy nezbytné podpory se předání mimo EU řídí standardními smluvními doložkami dle čl. 46 GDPR.
- Functional Software, Inc. (Sentry) (sídlo USA) – monitorování chyb a stability aplikace (error tracking, výkonnostní telemetrie). Zpracovává technická data (stack trace, IP adresa, verze prohlížeče, URL požadavku) na základě oprávněného zájmu Provozovatele na provozní bezpečnosti Služby dle čl. 6 odst. 1 písm. f) GDPR. Předání mimo EU zajištěno standardními smluvními doložkami dle čl. 46 GDPR. Provozovatel nevyužívá funkci Session Replay ani jiné nástroje vyžadující souhlas dle § 89 zákona č. 127/2005 Sb.
- Poskytovatel platební brány (EU/ČR, certifikovaný podle PCI-DSS) – zpracování platebních transakcí, identifikace plateb a vrácení ceny. Provozovatel od něj přijímá pouze metadata transakcí, nikoli údaje o platebních kartách.
- Pořadatel akce (ČR/EU) – jako další samostatný správcev rozsahu nezbytném pro poskytnutí akce Návštěvníkovi (jméno, e-mail, identifikátor objednávky pro ověření vstupu a komunikaci ohledně akce).
6. Vaše práva
Jako subjekt údajů máš právo:
- na přístup ke svým osobním údajům (čl. 15 GDPR)
- na opravu nepřesných údajů (čl. 16)
- na výmaz („právo být zapomenut“) v zákonem stanovených případech (čl. 17)
- na omezení zpracování (čl. 18)
- na přenositelnost údajů (čl. 20)
- vznést námitku proti zpracování založenému na oprávněném zájmu (čl. 21)
- podat stížnost u dozorového úřadu – Úřad pro ochranu osobních údajů (www.uoou.cz)
Pro uplatnění práv kontaktuj Správce na info@spiritevents.cz. Žádost vyřídíme bez zbytečného odkladu, nejpozději do 30 dnů.
Správce neprovádí automatizované rozhodování ani profilování ve smyslu čl. 22 GDPR, které by mělo právní účinky nebo se Návštěvníka obdobně významně dotýkalo.
Správce nejmenoval pověřence pro ochranu osobních údajů (DPO). Kritéria pro povinné jmenování podle čl. 37 odst. 1 GDPR (orgán veřejné moci, hlavní činnost spočívající v rozsáhlém pravidelném a systematickém monitorování subjektů údajů, nebo zpracování zvláštních kategorií údajů ve velkém rozsahu) se na Správce nevztahují.
7. Cookies a ukládání lokálního stavu
Služba používá pouze nezbytné (funkční) cookies, jejichž použití nevyžaduje souhlas:
- better-auth.session_token – přihlášení uživatele (httpOnly, doba trvání relace)
- NEXT_LOCALE – uložená jazyková preference
- se_last_active_org_id – naposledy aktivní organizace pro plynulý návrat do administrace (httpOnly, 1 rok)
Služba nepoužívá analytické ani marketingové cookies a nesleduje uživatele třetími stranami. Pokud se to v budoucnu změní, zveřejníme cookie banner a aktualizujeme tento dokument.
8. Zabezpečení a hlášení bezpečnostních incidentů
Přijímáme přiměřená technická a organizační opatření k ochraně osobních údajů – zejména šifrované přenosy (HTTPS), oddělení rolí na úrovni databáze, audit citlivých akcí a minimalizaci přístupových oprávnění.
V případě porušení zabezpečení osobních údajů, které je pravděpodobně spojeno s rizikem pro práva a svobody dotčených subjektů, Správce ohlásí incident Úřadu pro ochranu osobních údajů bez zbytečného odkladu, nejpozději do 72 hodin od zjištění (čl. 33 GDPR). Pokud z incidentu vyplývá vysoké riziko pro práva a svobody dotčených subjektů, Správce je o incidentu informuje bez zbytečného odkladu (čl. 34 GDPR).
9. Změny Zásad
Tyto Zásady mohou být průběžně aktualizovány. Aktuální verze je vždy zveřejněna ve Službě s vyznačením data účinnosti a verze. O podstatných změnách upozorníme dotčené uživatele e-mailem.