sprav.cz
Organization management
Sign in

Zásady ochrany osobních údajů

Účinné od: 10. února 2026

Tyto zásady popisují, jak platforma sprav.cz („Platforma“) zpracovává osobní údaje. Zpracování se řídí Nařízením Evropského parlamentu a Rady (EU) 2016/679 (GDPR), švýcarským federálním zákonem o ochraně údajů (nDSG, rev. 2023) a dalšími příslušnými právními předpisy. Pro organizace v ČR: GDPR + zák. č. 110/2019 Sb.. Pre organizácie v SR: GDPR + z. č. 18/2018 Z.z.. Pro organizace ve Švýcarsku (CH): nDSG (SR 235.1) (Fedlex). Pro organizace v Německu (DE): GDPR + BDSG — dozorový úřad: příslušný zemský úřad pro ochranu osobních údajů (Landesdatenschutzbehörde). Pro organizace v Rakousku (AT): GDPR + DSG — dozorový úřad: Datenschutzbehörde (DSB). Dozorový úřad pro CH: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB).

Tato zásada se použije pro organizace v jurisdikcích dostupných pro doménu sprav.cz (typicky CZ/SK).

Your display language is not Czech or Slovak. The legally maintained privacy policies for sprav.cz are published in Czech and Slovak. Below you see the Czech version. Open the full official text in:

Shrnutí (zjednodušeně)

  • Zpracováváme jen údaje nutné pro provoz platformy a správu organizací.
  • Neobchodujeme s vašimi údaji a nezobrazujeme reklamy.
  • Hlasovací záznamy a auditní logy uchováváme déle z důvodu právní ochrany spolků.
  • Používáme pouze nezbytné cookies pro přihlášení; analytické a marketingové cookies třetích stran nepoužíváme.
  • Máte právo na přístup, opravu i výmaz (s výjimkami popsanými níže).
  • Kontakt pro dotazy k ochraně údajů: privacy@sprav.cz

1. Správce a zpracovatel údajů

1.1 Provozovatel platformy (zpracovatel)

TimeDeals Pavelka
Berglistrasse 28a, 8180 Bülach, Švýcarsko
UID: CHE-393.597.780
Einzelunternehmen (samostatně výdělečně činná osoba, Švýcarsko)
E-mail: privacy@sprav.cz

Provozovatel platformy vystupuje ve vztahu k údajům členů organizací jako zpracovatel ve smyslu čl. 28 GDPR / čl. 9 DSG. Platforma zpracovává údaje jménem a na pokyn jednotlivých organizací.

1.2 Správce údajů členů

Správcem osobních údajů členů je vždy příslušná organizace (spolek, SVJ, zájmové sdružení), která platformu používá pro správu svých členů, hlasování a dokumentů. Organizace určuje účely a prostředky zpracování.

1.3 Provozovatel jako správce

Pro údaje zpracovávané za účelem provozu a bezpečnosti samotné platformy (registrace účtu, přihlašovací relace, bezpečnostní logy, ochrana proti zneužití) vystupuje provozovatel jako samostatný správce.

2. Kategorie zpracovávaných údajů

KategorieKonkrétní údajePovinné?
Účetní údajeE-mailová adresa, hash hesla (Argon2)Ano
Relace a zabezpečeníHash tokenu, IP adresa, user-agent, čas posledního přístupuAutomaticky
Členské údajePříslušnost k organizaci, role (člen/admin), stav členstvíAno
Hlasovací záznamyOdevzdaný hlas (PRO/PROTI/ZDRŽEL SE), čas, identifikátor členaPři hlasování
Auditní logyAkce (typ), identifikátor aktéra, čas, kontext (org, IP)Automaticky
Záznamy o doručení e-mailůAdresa příjemce, předmět, stav doručení, čas odesláníAutomaticky
Komunikace (fórum, zprávy)Text příspěvku, autor, čas, vlákno/kanálPři použití
DokumentyNahrané soubory, název, datum, kategorie, autorPři nahrání
Ochrana proti zneužitíPočet neúspěšných přihlášení, rate-limit záznamyAutomaticky

Nezpracováváme zvláštní kategorie údajů (citlivé údaje) ve smyslu čl. 9 GDPR, pokud takové údaje nevloží do systému sami uživatelé nebo správci organizací (např. v textu dokumentů). Za obsah vložený uživateli odpovídá příslušná organizace.

3. Účely zpracování a právní základy

ÚčelPrávní základ (GDPR)Právní základ (DSG)
Provoz platformy, správa účtů a organizacíČl. 6(1)(b) – plnění smlouvyČl. 31(1) – zpracování pro plnění smlouvy
Zabezpečení přístupu, ochrana proti zneužití (rate limiting, login throttle)Čl. 6(1)(f) – oprávněný zájem provozovateleČl. 31(1) – převažující zájem
Záznam aktivit (kdo/co/kdy) pro transparentnost správyČl. 6(1)(f) – oprávněný zájem organizace i provozovateleČl. 31(1) – převažující zájem
Evidence hlasování a výsledkůČl. 6(1)(b) – plnění smlouvy + čl. 6(1)(f) – oprávněný zájemČl. 31(1) – plnění smlouvy a převažující zájem
Záznamy o doručení e-mailů (důkaz o oznámení)Čl. 6(1)(f) – oprávněný zájem (prokazatelnost doručení)Čl. 31(1) – převažující zájem
Komunikace s uživateli (podpora, řešení dotazů)Čl. 6(1)(b) – plnění smlouvy / čl. 6(1)(f) – oprávněný zájemČl. 31(1)

Oprávněný zájem u auditních logů a hlasovacích záznamů spočívá v potřebě organizací prokázat řádný průběh rozhodování a v potřebě provozovatele chránit integritu platformy. Tento zájem převažuje nad právem na výmaz, protože výmaz by znemožnil zpětnou kontrolu a právní obranu organizace (čl. 17(3)(e) GDPR). Pro organizace se sídlem v ČR: § 258 a násl. NOZ pro spolky, § 1200 a násl. NOZ pro SVJ. Pre organizácie so sídlom v SR: z. č. 83/1990 Zb., z. č. 182/1993 Z.z..

4. Doba uchování

KategorieDoba uchováníDůvod
Účetní údaje (e-mail, hash hesla)Po dobu existence účtu; při smazání účtu okamžitě a nevratně anonymizováno (žádná lhůta, žádné obnovení)Plnění smlouvy
Přihlašovací relace (session)Max. 14 dní (automatická expirace)Zabezpečení
Členské údajePo dobu členství v organizaciPlnění smlouvy
Hlasovací záznamyPo dobu existence organizace; pseudonymizovány po smazání účtuČl. 17(3)(e) GDPR – obhajoba právních nároků
Auditní logy5 let od vytvoření záznamuOprávněný zájem – zpětná kontrola
Záznamy o doručení e-mailů3 roky od odesláníDůkaz o doručení oznámení
Fórum a zprávyPo dobu existence organizacePlnění smlouvy
DokumentyPo dobu existence organizacePlnění smlouvy
Rate-limit záznamyAutomatický zánik (okno 1–60 minut)Dočasná ochrana
Záznamy o přihlášení (login attempts)30 dní od pokusu (automatická expirace)Ochrana proti brute-force

IP adresy v audit logu jsou anonymizovány po 1 roce. User agent je odstraněn po 1 roce. Účetní záznamy (platby, faktury) jsou uchovávány 10 let: pro organizace v ČR dle § 31 zák. č. 563/1991 Sb., pre organizácie v SR dle zákona o účtovníctve z. č. 431/2002 Z.z..

5. Auditní logy a hlasovací záznamy – zvláštní režim

Auditní logy a hlasovací záznamy slouží k prokázání řádného průběhu rozhodování v organizaci. Tyto záznamy nelze na žádost smazat, pokud trvá oprávněný zájem organizace na jejich uchování (čl. 17(3)(e) GDPR — výmaz se neuplatní, je-li zpracování nezbytné pro určení, výkon nebo obhajobu právních nároků).

Při smazání uživatelského účtu jsou identifikační údaje (e-mailová adresa, hash hesla, jméno) okamžitě a nevratně anonymizovány v rámci jedné atomické transakce. E-mailová adresa je nahrazena systémovým zástupným textem, hash hesla je přepsán náhodnou hodnotou a jméno je odstraněno. Po provedení smazání neexistuje žádná lhůta uchování ani možnost obnovení účtu.

Hlasovací záznamy a relevantní auditní logy jsou při smazání účtu pseudonymizovány — identifikátor uživatele je nahrazen anonymním zástupným textem, ale samotný faktický záznam (hlas, akce, datum) zůstává zachován.

Záznamy o doručení e-mailů (EmailLog) slouží jako důkaz, že organizace odeslala oznámení svým členům (např. pozvánka na hlasování, výsledky). Tyto záznamy jsou uchovávány i po smazání účtu uživatele, přičemž vazba na uživatele je přerušena (userId je nastaven na null).

6. Příjemci a dílčí zpracovatelé

Údaje sdílíme pouze v nezbytném rozsahu s následujícími kategoriemi příjemců:

  • Hosting a databáze: Hetzner Online GmbH (Německo, EU) — serverová infrastruktura a databáze PostgreSQL. Údaje jsou zpracovávány výhradně na území EU/EHP.
  • E-mailová služba: Postmark (ActiveCampaign, LLC, USA) — pro odesílání transakčních e-mailů. Přenos do USA je zajištěn na základě EU-U.S. Data Privacy Framework. Zpracovávány jsou pouze adresy příjemců a obsah e-mailů v rozsahu nezbytném pro doručení.
  • Platební služba: Stripe, Inc. (USA) — pro zpracování plateb. Přenos do USA je zajištěn na základě EU-U.S. Data Privacy Framework. Zpracovávány jsou: e-mail, částka, identifikátor organizace.
  • Služba pro sledování chyb: Sentry (Functional Software, Inc., USA) — pro diagnostiku technických problémů. Zpracovávány jsou pouze technické údaje o chybách, bez osobních dat.
  • Správci organizací: Administrátoři jednotlivých organizací mají přístup k údajům členů své organizace v rozsahu nezbytném pro správu členství, hlasování a dokumentů.

Údaje neprodáváme, neposkytujeme reklamním sítím a nesdílíme s třetími stranami nad rámec výše uvedeného.

Marketplace: Pokud používáte Marketplace, některé údaje mohou být veřejně zobrazeny (např. název firmy, popis, kategorie, působnost, hodnocení). Kontaktní údaje jsou veřejně zobrazeny podle tarifu dodavatele. Recenze mohou být veřejně zobrazeny v anonymní podobě (bez jména hodnotitele). Veřejné poptávky organizací mohou být publikovány. Nabídky jsou dostupné správcům a moderátorům příslušné organizace a dodavateli, který nabídku podal.

7. Předání údajů do třetích zemí

Provozovatel sídlí ve Švýcarsku. Evropská komise uznala Švýcarsko jako zemi zajišťující přiměřenou úroveň ochrany údajů (rozhodnutí o přiměřenosti). Předání údajů mezi EU a Švýcarskem nevyžaduje další záruky.

Pro službu doručování e-mailů (Postmark/USA) se uplatňuje EU-U.S. Data Privacy Framework. V případě změny tohoto rámce budou přijata příslušná opatření (standardní smluvní doložky nebo jiný mechanismus dle čl. 46 GDPR).

8. Cookies a technické prostředky

Platforma používá výhradně nezbytné (technické) cookies pro správu přihlašovací relace. Tyto cookies:

  • Nesledují uživatele napříč weby
  • Neobsahují osobní údaje (pouze kryptografický hash tokenu)
  • Mají omezenou platnost (max. 14 dní)
  • Jsou nastaveny jako HttpOnly a Secure

Nepoužíváme analytické, marketingové ani žádné jiné cookies třetích stran. Souhlas s cookies proto není vyžadován (výjimka dle čl. 5(3) směrnice 2002/58/ES).

Pro provozní statistiky používáme vlastní (first-party) měření návštěvnosti stránek. IP adresa se používá pouze přechodně pro ochranu proti zneužití (rate limiting) a není ukládána jako trvalý analytický identifikátor.

8a. Automatizované rozhodování

Neprovádíme automatizované individuální rozhodování ani profilování ve smyslu čl. 22 GDPR / čl. 21 švýcarského DSG.

8b. Věkové omezení

Služba není určena osobám mladším 16 let. Správci organizací jsou odpovědni za zajištění souhlasu zákonného zástupce u členů mladších 16 let v souladu s čl. 8 GDPR.

9. Vaše práva

Jako subjekt údajů máte následující práva:

  • Právo na přístup (čl. 15 GDPR / čl. 25 DSG): Můžete požádat o informaci, jaké údaje o vás zpracováváme, a o kopii těchto údajů.
  • Právo na opravu (čl. 16 GDPR / čl. 32(1) DSG): Můžete požádat o opravu nepřesných údajů.
  • Právo na výmaz (čl. 17 GDPR / čl. 32(2)(c) DSG): Můžete požádat o smazání svého účtu. Identifikační údaje (e-mail, heslo, jméno) jsou okamžitě a nevratně anonymizovány — účet nelze obnovit. Hlasovací záznamy a auditní logy budou pseudonymizovány (viz bod 5). Úplný výmaz těchto záznamů není možný z důvodu čl. 17(3)(e) GDPR.
  • Právo na omezení zpracování (čl. 18 GDPR): V zákonem stanovených případech (ČR) / v zákonom ustanovených prípadoch (SR).
  • Právo na přenositelnost (čl. 20 GDPR): Máte právo na export svých údajů ve strojově čitelném formátu. Administrátoři organizací mohou exportovat data organizace.
  • Právo vznést námitku (čl. 21 GDPR / čl. 32(2)(b) DSG): Proti zpracování založenému na oprávněném zájmu.
  • Právo podat stížnost u dozorového úřadu (viz bod 10).

Jak práva uplatnit

Žádosti zasílejte na privacy@sprav.cz. Pro ověření totožnosti můžeme požádat o potvrzení z e-mailové adresy přiřazené k vašemu účtu. Na žádost odpovíme bez zbytečného odkladu, nejpozději do 30 dnů.

Žádost o smazání účtu můžete podat také přímo v nastavení profilu v platformě (pokud je tato funkce dostupná) nebo e-mailem.

Odvolání souhlasu

Svůj souhlas můžete kdykoli odvolat v sekci GDPR v uživatelském profilu. Po odvolání bude váš účet pozastaven. Pro obnovení přístupu je nutné souhlas znovu udělit.

10. Dozorové úřady

Pokud se domníváte, že zpracování vašich údajů není v souladu s právními předpisy, můžete podat stížnost u příslušného dozorového úřadu:

  • Česká republika: Úřad pro ochranu osobních údajů (ÚOOÚ), Pplk. Sochora 27, 170 00 Praha 7 www.uoou.cz
  • Slovenská republika: Úrad na ochranu osobných údajov SR, Hraničná 12, 820 07 Bratislava
  • Švýcarsko (CH): Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), Feldeggweg 1, 3003 Bern www.edoeb.admin.ch
  • Německo (DE): Příslušný zemský úřad pro ochranu osobních údajů (Landesdatenschutzbehörde), podle sídla správce/organizace v Německu www.datenschutzkonferenz-online.de/datenschutzaufsichtsbehoerden.html
  • Rakousko (AT): Datenschutzbehörde (DSB), Barichgasse 40–42, 1030 Wien www.dsb.gv.at

11. Technická a organizační opatření

Platforma implementuje přiměřená technická a organizační opatření na ochranu údajů:

  • Hesla uložena výhradně jako hash (Argon2id)
  • Přihlašovací relace chráněny kryptografickým tokenem (SHA-256)
  • Komunikace šifrována pomocí TLS (HTTPS)
  • CSRF ochrana pro všechny mutující požadavky
  • Ochrana proti brute-force (rate limiting, login throttle)
  • Integritní pečetě (SHA-256 hash) na klíčových záznamech
  • Bezpečnostní hlavičky (CSP, HSTS, X-Frame-Options, X-Content-Type-Options)
  • Pravidelné ověřování integrity záznamů na časové ose (SHA-256 pečetě)

Podrobnosti o bezpečnostních opatřeních najdete na stránce Zabezpečení.

12. Změny těchto zásad

Tyto zásady můžeme aktualizovat v reakci na změny právních předpisů, funkcí platformy nebo provozních postupů. Aktuální verze je vždy dostupná na této stránce. O podstatných změnách budeme informovat prostřednictvím platformy nebo e-mailem.

13. Kontakt

Pro jakékoli dotazy týkající se ochrany osobních údajů se obracejte na pověřenou kontaktní osobu pro ochranu údajů:
privacy@sprav.cz (ochrana údajů / DPO kontakt)
info@sprav.cz (obecné dotazy)

TimeDeals Pavelka
Berglistrasse 28a, 8180 Bülach, Švýcarsko

Poslední aktualizace: 10. února 2026