1. Správce údajů
Správcem osobních údajů je VisiO Tech s.r.o., IČO: 23230762, provozovatel služby Účetní portál. Kontakt ve věcech ochrany osobních údajů: objednavky@visiotech.cz.
Vzhledem k povaze služby (vedení účetnictví pro klienty účetních firem) vystupuje provozovatel u dat zpracovávaných jménem účetní firmy zpravidla jako zpracovatel (čl. 28 GDPR), kdy správcem je účetní firma; u údajů o uživatelských účtech a provozu služby vystupuje jako správce.
2. Jaké údaje zpracováváme
- Údaje o účtu: jméno, e-mail, hash hesla, role, příslušnost k účetní firmě, případně telefon.
- Účetní a obchodní data: doklady, faktury, údaje o odběratelích a dodavatelích klientů (IČO, DIČ, adresa), částky, položky a související metadata uložená v odděleném datovém prostoru (schématu) každé účetní firmy.
- Dokumenty: nahrané soubory (PDF/obrázky dokladů) uložené v objektovém úložišti.
- Auditní záznamy: kdo, kdy a jakou akci v systému provedl — pro bezpečnost a splnění zákonných povinností.
- Provozní logy: IP adresa (dle recitálu 30 GDPR je osobním údajem), User-Agent a časové razítko — pro bezpečnost a prevenci zneužití.
- Platební údaje: identifikátor zákazníka a stav předplatného u platební brány (žádné údaje o platební kartě — ty drží platební brána).
3. Právní základ zpracování (čl. 6 GDPR)
- čl. 6 odst. 1 písm. b) — plnění smlouvy (poskytování služby).
- čl. 6 odst. 1 písm. c) — právní povinnost (účetní a daňové předpisy, zejm. zákon č. 563/1991 Sb. a zákon č. 235/2004 Sb.).
- čl. 6 odst. 1 písm. f) — oprávněný zájem (bezpečnost, prevence zneužití).
- čl. 6 odst. 1 písm. a) — souhlas (volitelné cookies, marketingová sdělení).
4. Jak dlouho údaje uchováváme
- Údaje o účtu: po dobu trvání účtu.
- Účetní a obchodní data: po dobu trvání účtu, není-li dále stanoveno jinak.
- Zrušené účty: po krátké ochranné lhůtě následuje úplné smazání.
- Auditní záznamy: 5 let v souladu s § 31 zákona č. 563/1991 Sb., o účetnictví. Identifikátor jednající osoby (e-mail) zůstává v auditním záznamu zachován i po smazání uživatele, aby byla zachována vypovídací hodnota auditní stopy.
- Účetní doklady a daňové záznamy: po zákonem stanovenou dobu (zpravidla 5–10 let dle povahy dokladu a příslušného předpisu).
5. Komu údaje předáváme (zpracovatelé dle čl. 28)
Pro provoz služby využíváme níže uvedené zpracovatele. Seznam bude před komerčním spuštěním potvrzen a doplněn o příslušné smlouvy o zpracování:
- Poskytovatel hostingu (VPS) — provoz aplikace a databáze.
- Objektové úložiště — ukládání nahraných dokumentů.
- Poskytovatel strojového zpracování dokladů — automatizované vytěžování údajů z dokladů; data zůstávají v rámci námi spravované infrastruktury a nejsou předávána externím modelům třetích stran k jiným účelům.
- Platební brána — zpracování plateb a předplatného.
Žádné údaje neprodáváme ani je nepředáváme pro reklamní účely třetích stran.
6. Vaše práva (čl. 15–22 GDPR)
- Právo na přístup (čl. 15) — kopii uložených údajů.
- Právo na opravu (čl. 16) — opravu nesprávných údajů.
- Právo na výmaz (čl. 17) — smazání účtu a souvisejících dat, s výjimkou údajů, které musíme uchovat ze zákona.
- Právo na přenositelnost (čl. 20) — export údajů ve strukturovaném formátu.
- Právo vznést námitku (čl. 21) — proti zpracování na základě oprávněného zájmu nebo pro marketing.
- Právo odvolat souhlas (čl. 7) — kdykoliv, mj. v nastavení cookies.
Souhrn práv a postup pro jejich uplatnění najdete také na stránce GDPR — vaše práva.
7. Stížnost u dozorového úřadu
Máte-li podezření na porušení GDPR, můžete podat stížnost u Úřadu pro ochranu osobních údajů: uoou.gov.cz, Pplk. Sochora 27, 170 00 Praha 7, e-mail: posta@uoou.gov.cz.
8. Bezpečnost dat
Komunikace probíhá výhradně přes HTTPS (TLS). Hesla jsou hashována (bcrypt). Relace a tokeny jsou chráněny (HttpOnly, SameSite). Data jednotlivých účetních firem jsou logicky oddělena (samostatná databázová schémata). Provádíme pravidelné zálohování. Přístup k datům je omezen rolemi a auditován.
9. Změny zásad
Materiální změny těchto zásad oznámíme e-mailem zpravidla 30 dní předem. Aktuální verzi vždy najdete na této stránce.