Zásady ochrany osobních údajů (GDPR)

(provozovatel: exid s.r.o., IČO 082 71 275, Ovocný trh 572/11, 110 00 Praha 1, e-mail: necas@exid.zone)

1. Správce osobních údajů

exid s.r.o.
IČO: 082 71 275
Sídlo: Ovocný trh 572/11, 110 00 Praha 1, Česká republika
Zapsána u Městského soudu v Praze, spisová značka C 316070
Kontaktní e-mail: necas@exid.zone

2. Zdroje a kategorie zpracovávaných osobních údajů

2.1. Osobní údaje shromažďujeme přímo od uživatelů (Kupujících) při:

• vyplňování objednávkového formuláře E-shopu,
• registraci účtu a přihlášení na www.exid.zone,
• komunikaci e-mailem (necas@exid.zone) nebo telefonicky (+420 605 707 814).

2.2. Zpracováváme následující kategorie osobních údajů:

• Identifikační údaje: jméno a příjmení fyzických osob; IČO/DIČ, název organizace u podnikatelů a právnických osob.
• Kontaktní údaje: e-mailová adresa, telefonní číslo, doručovací adresa (pro vystavení faktury nebo předání přístupových údajů).
• Fakturační údaje: fakturační adresa, variabilní symbol, číslo bankovního účtu (246 634 599/0600, Komerční banka).
• Údaje o objednávce a používání Digitálního obsahu: data nákupu, zakoupené produkty, licenční kódy, historie aktualizací, aktivace účtu, IP adresa při přihlášení.
• Technické logy: IP adresa, informace o prohlížeči a operačním systému, časová razítka, aby bylo možné zajistit bezpečnost provozu a odhalit neoprávněný přístup.
• Údaje pro reklamace a technickou podporu: popis reklamované vady, datum uplatnění reklamace, záznamy o komunikaci a řešení reklamace.
• Marketingové údaje: souhlas s odběrem newsletteru a obchodních sdělení, cookies nastavení (analytické a marketingové).

3. Účely a právní důvody zpracování

3.1. Osobní údaje zpracováváme pro tyto účely:

• Plnění smlouvy o poskytnutí Digitálního obsahu (zákon č. 260/2016 Sb., o digitálním obsahu a digitálních službách):
  – poskytování přístupových údajů, odkazů ke stažení
  – zasílání faktur a upomínek k úhradě
  – sledování stavu objednávky a administrace účetů
  – komunikace ohledně aktualizací, oprav a nových verzí digitálního obsahu
• Plnění právní povinnosti (zákon č. 235/2004 Sb., o dani z přidané hodnoty; zákon č. 563/1991 Sb., o účetnictví):
  – archivace účetních dokladů (min. 10 let dle zákona o účetnictví)
  – evidence reklamací (min. 2 roky dle občanského zákoníku)
  – oznamovací povinnosti vůči úřadům (finanční úřad, ČOI)
• Legitimní zájem správce (čl. 6 odst. 1 písm. f) GDPR):
  – zajištění bezpečnosti IT systémů, prevence podvodů
  – vedení anonymizovaných statistik návštěvnosti, optimalizace webu
  – zasílání obchodních sdělení B2B (pokud není vyžadován souhlas)
• Souhlas uživatele (čl. 6 odst. 1 písm. a) GDPR):
  – zasílání newsletterů a marketingových sdělení
  – používání cookies pro analytické a marketingové účely (Google Analytics, Facebook Pixel apod.)
• Zpracování pro účely vyřízení reklamace (zákon č. 89/2012 Sb., občanský zákoník; zákon č. 260/2016 Sb.):
  – sběr popisu vady, data uplatnění reklamace, evidence řešení a dokladování průběhu reklamace

4. Technologie a způsob zpracování

4.1. Osobní údaje jsou zpracovávány elektronicky (databázové systémy Shoptet, CRM, e-mail) i v papírové podobě (tištěné faktury, výpisy ze serveru). Veškeré servery a databáze jsou hostovány v rámci EU (hostitel s certifikací ISO 27001).

4.2. Osobní údaje spravují tyto subjekty:

• Správce Shoptet (technická správa e-shopu, zálohy databází)
• Platební brány (Komerční banka, PayPal apod.) – potvrzení transakcí a předání platebních údajů
• IT poskytovatelé (hosting, CDN) – zajištění provozu a bezpečnosti serverů v souladu s GDPR
• Externí účetní (zpracování faktur, archivace daňových dokladů)
• Kurýrní/dopravní společnosti (při fyzickém doručení faktury či marketingových materiálů) – pouze přenos jména a adresy příjemce
• Externí auditoři a penetrační testeři – kontrola zabezpečení, přístup v omezeném rozsahu

5. Doba uchovávání osobních údajů

5.1. Doba uchovávání závisí na účelu zpracování:

• Obchodní a fakturační údaje: minimálně 10 let od konce účetního období (podle zákona o účetnictví a VAT).
• Údaje o objednávkách Digitálního obsahu: doba trvání platné licence + 2 roky (pro případ reklamace či jiných právních nároků podle občanského zákoníku a zákona o digitálním obsahu).
• Reklamační údaje: minimálně 2 roky od vyřízení reklamace (podle § 1969–1977 občanského zákoníku).
• Marketingové údaje (newsletter, cookies): dokud platí souhlas uživatele; po odvolání souhlasu anonymizace nebo vymazání do 30 dnů.
• Technické logy (IP, přihlášení): maximálně 12 měsíců, poté anonymizace.
• Zálohy serverů (obsah zahrnující osobní údaje): uchovávány 30 dnů, poté přepsány nebo odstraněny.

6. Příjemci osobních údajů

6.1. Osobní údaje nejsou poskytovány dalším třetím stranám pro jejich vlastní zpracování. Přístup k údajům mají výhradně subjekty uvedené v bodě 4.2 a to pouze v rozsahu nutném pro výkon jejich činnosti.

6.2. Při zákonné povinnosti (např. finanční úřad, Česká obchodní inspekce, soud) předáváme údaje pouze v rozsahu a lhůtách stanovených právními předpisy.

7. Přenos osobních údajů mimo EHP

7.1. V současné době neprenášíme osobní údaje mimo Evropský hospodářský prostor (EHP). Veškerá data jsou hostována na serverech v EU.

7.2. Pokud by došlo k budoucímu přenosu mimo EHP (např. využití externí služby v USA), zajistíme patřičnou ochranu (standardní smluvní doložky EU, BCR nebo jiný schválený mechanismus) a uživatele o tom předem informujeme.

8. Práva subjektu údajů

8.1. Každý uživatel má právo:

• a) Právo na přístup k osobním údajům (čl. 15 GDPR) – obdržet potvrzení, zda jsou jeho osobní údaje zpracovávány, a kopii údajů.
• b) Právo na opravu (čl. 16 GDPR) – nechat aktualizovat nebo opravit nepřesné/neúplné údaje.
• c) Právo na výmaz („právo být zapomenut“) (čl. 17 GDPR) – pokud údaje již nejsou potřeba pro účel, ke kterému byly shromážděny, nebo spotřebitel odvolá souhlas.
• d) Právo na omezení zpracování (čl. 18 GDPR) – např. pokud uživatel namítá nepřesnost údajů.
• e) Právo na přenositelnost údajů (čl. 20 GDPR) – získat osobní údaje ve strojově čitelném formátu a předat je jinému správci.
• f) Právo vznést námitku (čl. 21 GDPR) – proti zpracování na základě oprávněného zájmu (např. zasílání obchodních sdělení B2B).
• g) Právo odvolat souhlas (čl. 7 odst. 3 GDPR) – pokud byl souhlas udělen pro marketingové účely nebo cookies; odvolání neovlivní zákonnost zpracování do doby odvolání.
• h) Právo podat stížnost u dozorového úřadu (Úřad pro ochranu osobních údajů), pokud se domnívá, že zpracování porušuje GDPR nebo jiný předpis.

8.2. Pro uplatnění svých práv může uživatel kontaktovat správce na e-mailu necas@exid.zone nebo zaslat doporučený dopis na adresu exid s.r.o., Ovocný trh 572/11, 110 00 Praha 1. Odpověď obdrží do 30 dnů od doručení žádosti.

9. Zabezpečení osobních údajů

9.1. Provádíme technická a organizační opatření k ochraně osobních údajů před neoprávněným přístupem, ztrátou, zničením či únikem, např.:

• šifrování komunikace (SSL/TLS) na webu www.exid.zone,
• pravidelné zálohování databází a šifrované úložiště záloh,
• firewall a antivirová ochrana na serverech,
• omezená přístupová práva pro zaměstnance a externí zpracovatele pouze v rozsahu nezbytném pro výkon jejich činnosti,
• pravidelné aktualizace software (CMS, pluginů) a bezpečnostní audity (interní i externí).

9.2. V případě bezpečnostního incidentu (únik, ztráta, neoprávněný přístup) jsme povinni informovat dozorový úřad (Úřad pro ochranu osobních údajů) do 72 hodin a dotčené subjekty (Kupující) neprodleně, nejpozději do 72 hodin od zjištění incidentu.

10. Změny zásad ochrany osobních údajů

10.1. Tyto zásady mohou být aktualizovány v případě změny legislativy (např. nová pravidla pro digitální obsah), změny interních procesů či rozšíření služeb E-shopu. Aktuální znění bude zveřejněno na www.exid.zone/podminky-ochrany-osobnich-udaju/ a nabude účinnosti patnáctým dnem od data zveřejnění, pokud nebude uvedeno jinak.

10.2. Doporučujeme uživatelům pravidelně kontrolovat tuto stránku, aby byli informováni o případných změnách.

11. Kontakt pro otázky a stížnosti

11.1. Máte-li jakékoli dotazy k ochraně osobních údajů nebo chcete uplatnit svá práva, kontaktujte správce na e-mailu necas@exid.zone nebo poštou na adresu:

exid s.r.o.
Ovocný trh 572/11
110 00 Praha 1

11.2. Máte právo podat stížnost u dozorového úřadu – Úřad pro ochranu osobních údajů (www.uoou.cz).

Tyto zásady ochrany osobních údajů byly schváleny vedením exid s.r.o. dne 6. června 2025 a jsou platné od 6. června 2025.