Tyto Zásady ochrany osobních údajů (dále jen „Zásady“) popisují, jakým způsobem společnost Kadenc SaaS s.r.o., se sídlem Rybná 716/24, Staré Město, 110 00 Praha 1, IČO: 123 45 678, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl C, vložka 123456 (dále jen „Provozovatel“ nebo „Kadenc“), zpracovává osobní údaje v souvislosti s provozem cloudové B2B platformy Kadenc dostupné na internetové adrese https://kadenc.vercel.app (dále jen „Platforma“).
Zpracování osobních údajů probíhá v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů, dále jen „GDPR“).
1. Úloha a postavení Provozovatele
Při poskytování Platformy vystupuje Kadenc ve dvou různých právních postaveních v závislosti na tom, o čí osobní údaje se jedná:
Kadenc jako Správce osobních údajů (Data Controller): Kadenc je správcem osobních údajů ve vztahu k osobním údajům zástupců, majitelů a zaměstnanců opraven (uživatelů Platformy), kteří si na Platformě zřizují uživatelský účet, spravují předplatné nebo Platformu užívají k výkonu své práce. Kadenc určuje účel a prostředky tohoto zpracování za účelem plnění B2B smlouvy, správy klientských účtů, fakturace a plnění zákonných povinností.
Kadenc jako Zpracovatel osobních údajů (Data Processor): Ve vztahu k osobním údajům koncových zákazníků opraven (majitelů jízdních kol), které provozovatelé opraven a jejich zaměstnanci do Platformy vkládají (např. údaje o zákaznících, schůzkách, zakázkách, poznámkách a jízdních kolech), vystupuje Kadenc výhradně jako zpracovatel. Správcem těchto osobních údajů je příslušná opravna (Tenant), která Platformu využívá. Kadenc tato data zpracovává pouze za účelem poskytování a technického provozu Platformy na základě pokynů opravny a v souladu se Zpracovatelskou smlouvou, která je součástí Obchodních podmínek.
2. Rozsah zpracovávaných osobních údajů
Platforma zpracovává osobní údaje rozdělené do následujících kategorií:
A. Údaje o provozovatelích opraven, majitelích a zaměstnancích (B2B rovina)
U těchto subjektů zpracovává Kadenc osobní údaje v roli Správce:
- Registrační a přihlašovací údaje: E-mailová adresa (sloužící jako přihlašovací jméno), zašifrované heslo a uživatelské jméno.
- Identifikační a kontaktní údaje opravny: Název opravny (příp. jméno a příjmení podnikatele), IČO, DIČ, sídlo, kontaktní e-mail a telefon.
- Údaje o organizaci a rolích: Údaje o zařazení zaměstnanců k jednotlivým pobočkám a jejich přístupová práva.
- Fakturační a platební údaje: Fakturační údaje (jméno, e-mail pro zasílání faktur) a identifikátory předplatného u poskytovatele platební brány.
B. Údaje o koncových zákaznících opraven a jízdních kolech (B2C rovina)
U těchto subjektů zpracovává Kadenc osobní údaje v roli Zpracovatele pro příslušnou opravnu (Správce):
- Identifikační a kontaktní údaje zákazníka: Jméno, příjmení, e-mailová adresa a telefonní číslo.
- Ověřovací údaje: Telefonní číslo využité pro SMS ověření identity při zakládání rezervace servisu.
- Údaje o majetku a zakázkách: Údaje o jízdním kole (včetně příp. výrobního čísla), nahlášené závady, technická diagnóza, průběh servisních prací a interní poznámky opravny k zakázce či zákazníkovi.
- Komunikační logy: Provozní záznamy o odeslaných transakčních notifikacích (např. potvrzení dokončení opravy).
3. Třetí strany a subdodavatelé (Sub-processors)
Kadenc využívá k zajištění provozu Platformy a plnění svých závazků prověřené subdodavatele, kteří v pozici dalších zpracovatelů přicházejí do styku s osobními údaji:
| Subdodavatel | Sídlo a kontakt | Účel a rozsah zpracování | Předávané údaje |
|---|---|---|---|
| Supabase, Inc. | 970 Topper Ave, Campbell, CA 95008, USA (servery v EU - AWS Frankfurt) | Poskytovatel cloudové infrastruktury, PostgreSQL databáze, cloudového úložiště a autentizační služby (Supabase Auth). | Kompletní databáze Platformy včetně všech B2B i B2C osobních údajů, e-mailů, šifrovaných hesel a transakčních dat. |
| Stripe Payments Europe, Ltd. | 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irsko | Zprostředkování B2B platebních transakcí, správa předplatného opravny, generování fakturačních relací a zpracování platebních karet. | E-mail majitele opravny, fakturační jméno a adresa, IČO/DIČ, ID zákazníka a stav předplatného. Platby kartou probíhají přímo na zabezpečené bráně Stripe, Kadenc čísla karet nezpracovává. |
| GoSMS s.r.o. | U dálnice 1391/6c, 664 51 Šlapanice, Česká republika (IČO: 29272304) | Zajištění distribuce provozních a ověřovacích SMS zpráv koncovým zákazníkům opraven (např. potvrzení schůzky, dokončení opravy). | Telefonní číslo příjemce a text zprávy (který obsahuje název opravny a základní informace o stavu zakázky). |
Předávání údajů subdodavatelům probíhá na základě uzavřených zpracovatelských smluv (DPA) garantujících vysoký standard zabezpečení a ochranu práv subjektů údajů. Supabase využívá servery umístěné na území Evropské unie (region eu-central-1 Frankfurt) pro eliminaci rizik spojených s mezinárodním přenosem dat.
4. Zabezpečení a izolace dat
Bezpečnost dat je pro Kadenc nejvyšší prioritou. Platforma uplatňuje následující technická a organizační opatření:
- Logická izolace dat: Data jednotlivých opraven jsou striktně oddělena. Každá opravna má zaručen přístup výhradně ke svým vlastním datům a údajům svých zákazníků, čímž je znemožněno křížové sdílení informací napříč tenanty.
- Řízení přístupu: Oprávnění přistupovat do systému je vždy vázáno na ověřenou identitu uživatele. Uživatelská oprávnění jsou hierarchicky uspořádána (např. majitel, zaměstnanec) tak, aby měli uživatelé přístup pouze k datům nezbytným pro jejich roli.
- Šifrování: Veškerá komunikace mezi uživatelem a Platformou je zabezpečena pomocí šifrovacího protokolu (HTTPS). Citlivé údaje, zejména přístupová hesla, jsou nevratně hashovány.
- Monitorování a audit: Významné události v systému (změny stavu zakázek, notifikace) jsou monitorovány a zaznamenávány do provozních logů za účelem zajištění integrity a včasného odhalení případných anomálií.
5. Doba uchovávání osobních údajů
Osobní údaje jsou uchovávány pouze po dobu, která je nezbytná k naplnění účelů uvedených v těchto Zásadách:
- Údaje o provozovatelích a zaměstnancích (B2B): Po celou dobu trvání smluvního vztahu (aktivního předplatného). Po ukončení předplatného jsou data uchovávána po dobu 3 let pro účely ochrany právních nároků Kadenc. Účetní doklady a fakturační údaje jsou v souladu s daňovými předpisy ČR uchovávány po dobu 10 let od konce zdaňovacího období.
- Údaje o koncových zákaznících (B2C): Po dobu trvání smluvního vztahu mezi zákazníkem a příslušnou opravnou, nebo dokud opravna (jakožto Správce) data z Platformy neodstraní. Kadenc provádí výmaz nebo anonymizaci těchto dat na pokyn opravny, případně bez zbytečného odkladu po zániku B2B smlouvy s danou opravnou (vyjma záloh po nezbytnou dobu cyklu obnovy).
- Provozní SMS fronta (
public.notification_outbox): Fronta neukládá text ani tělo zprávy. Uchovávátemplate_key, příjemce, stav doručení a vazby na entityappointment_idneborepair_order_id; výsledný text se generuje dynamicky pouze v paměti při odeslání. Metadata jsou po úspěšném odeslání a doručení uchovávána po dobu 90 dnů pro kontrolu doručitelnosti a vyúčtování služeb, následně jsou trvale smazána.
6. Práva subjektů údajů
Jako subjekt údajů máte podle GDPR následující práva:
- Právo na přístup: Právo získat potvrzení, zda jsou Vaše osobní údaje zpracovávány, a získat k nim přístup.
- Právo na opravu: Právo na opravu nepřesných nebo neúplných osobních údajů.
- Právo na výmaz („právo být zapomenut“): Právo požadovat smazání Vašich osobních údajů, pokud pominul důvod pro jejich zpracování nebo odvoláte souhlas (pokud neexistuje jiný právní základ).
- Právo na omezení zpracování: Právo požadovat omezení zpracování v zákonem stanovených případech.
- Právo na přenositelnost: Právo získat své osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu a předat je jinému správci.
- Právo vznést námitku: Právo vznést námitku proti zpracování osobních údajů založenému na oprávněném zájmu Správce.
- Právo podat stížnost: Právo podat stížnost u dozorového úřadu, kterým je v České republice Úřad pro ochranu osobních údajů (Pplk. Sochora 27, 170 00 Praha 7, web: https://www.uoou.cz).
Uplatnění práv koncových zákazníků (B2C)
Vzhledem k tomu, že Kadenc je ve vztahu k datům koncových zákazníků opraven v roli Zpracovatele, musí tito zákazníci uplatňovat svá práva (včetně žádostí o výmaz či opravu) přímo u příslušné opravny, u které své kolo servisují. Pokud zákazník kontaktuje společnost Kadenc přímo, bude jeho žádost předána příslušné opravně jakožto Správci k vyřízení.
Uplatnění práv uživatelů opraven (B2B)
Majitelé opraven a jejich zaměstnanci mohou svá práva uplatnit přímo u společnosti Kadenc, a to e-mailem na adrese: podpora@kadenc.vercel.app.
7. Závěrečná ustanovení
Kadenc je oprávněn tyto Zásady ochrany osobních údajů jednostranně měnit nebo doplňovat, zejména v souvislosti se změnou legislativy nebo technickým rozvojem Platformy. O podstatných změnách budou uživatelé Platformy informováni prostřednictvím e-mailu nebo upozorněním v administračním rozhraní Platformy minimálně 14 dní před účinností změn.