1 Úvod a správce údajů
Tyto Zásady ochrany osobních údajů vysvětlují, jak OneKasa shromažďuje, používá a chrání vaše osobní údaje v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 (GDPR) a zákonem č. 110/2019 Sb., o zpracování osobních údajů.
1.1 Správce osobních údajů
Správcem vašich osobních údajů je:
- Obchodní název: OneKasa
- Sídlo: Praha, Česká republika
- E-mail: info@onekasa.com
- Web: https://onekasa.com
1.2 Pověřenec pro ochranu osobních údajů (DPO)
Pro dotazy týkající se ochrany osobních údajů nás kontaktujte na: privacy@onekasa.com
Ochrana vašich osobních údajů je pro nás prioritou. Zpracováváme pouze údaje nezbytné pro poskytování našich služeb.
2 Zpracovávané osobní údaje
Zpracováváme následující kategorie osobních údajů:
| Kategorie | Typy údajů | Zdroj |
|---|---|---|
| Identifikační údaje | Jméno, příjmení, název firmy, IČO | Registrace |
| Kontaktní údaje | E-mail, telefon, adresa | Registrace |
| Platební údaje | Číslo karty (tokenizované), fakturační údaje | Platba |
| Údaje o užívání | Přihlášení, akce v systému, nastavení | Automaticky |
| Technické údaje | IP adresa, prohlížeč, zařízení, cookies | Automaticky |
| Komunikace | E-maily, tikety podpory, zpětná vazba | Komunikace |
2.1 Zvláštní kategorie údajů
Nezpracováváme zvláštní kategorie osobních údajů (citlivé údaje) jako jsou údaje o zdravotním stavu, rasovém původu, náboženství nebo sexuální orientaci.
3 Účely zpracování
Vaše osobní údaje zpracováváme pro následující účely:
3.1 Poskytování služeb
- Vytvoření a správa uživatelského účtu
- Poskytování funkcí platformy OneKasa
- Zpracování rezervací a plateb
- Technická podpora a zákaznický servis
3.2 Právní povinnosti
- Fakturace a účetnictví
- Daňové povinnosti
- Prevence podvodů
3.3 Oprávněné zájmy
- Zlepšování služeb a vývoj nových funkcí
- Analytika a statistiky (anonymizované)
- Bezpečnost systému
- Komunikace o službách
3.4 Se souhlasem
- Marketingová sdělení (odhlášení kdykoliv možné)
- Cookies pro analýzu a personalizaci
4 Právní základ zpracování
| Účel | Právní základ (GDPR) |
|---|---|
| Poskytování služeb | Čl. 6 odst. 1 písm. b) – Plnění smlouvy |
| Fakturace, účetnictví | Čl. 6 odst. 1 písm. c) – Právní povinnost |
| Analytika, bezpečnost | Čl. 6 odst. 1 písm. f) – Oprávněný zájem |
| Marketing | Čl. 6 odst. 1 písm. a) – Souhlas |
5 Příjemci osobních údajů
Vaše údaje můžeme sdílet s následujícími kategoriemi příjemců:
5.1 Zpracovatelé
- Hosting a infrastruktura: Poskytovatelé cloudových služeb v EU
- Platební služby: Stripe, PayPal (certifikovaní dle PCI DSS)
- E-mailové služby: Pro zasílání transakčních e-mailů
- Analytické nástroje: Pro anonymizovanou analýzu užívání
5.2 Třetí strany
- Státní orgány: Na základě zákonné povinnosti
- Daňoví poradci a auditoři: Pro účetní a daňové účely
Se všemi zpracovateli máme uzavřeny smlouvy dle čl. 28 GDPR, které zajišťují ochranu vašich údajů.
6 Předávání údajů mimo EHP
Upřednostňujeme zpracování údajů v rámci Evropského hospodářského prostoru (EHP). Pokud je nezbytné předat údaje mimo EHP, zajišťujeme:
- Rozhodnutí Evropské komise o odpovídající úrovni ochrany
- Standardní smluvní doložky schválené EU
- Data Privacy Framework (pro USA)
V současnosti jsou všechna data uložena na serverech v EU a nejsou systematicky předávána mimo EHP.
7 Doba uchovávání údajů
| Kategorie údajů | Doba uchovávání |
|---|---|
| Údaje o účtu | Po dobu trvání účtu + 30 dní po smazání |
| Fakturační údaje | 10 let (zákonná povinnost) |
| Komunikace (podpora) | 3 roky |
| Logy přihlášení | 1 rok |
| Marketing (se souhlasem) | Do odvolání souhlasu |
| Cookies | Dle typu (viz sekce 9) |
8 Vaše práva
Podle GDPR máte následující práva:
Máte právo získat potvrzení, zda jsou vaše údaje zpracovávány, a přístup k těmto údajům.
Máte právo na opravu nepřesných údajů a doplnění neúplných údajů.
„Právo být zapomenut" – můžete požádat o smazání údajů, pokud nejsou potřebné.
Můžete požádat o omezení zpracování v určitých případech.
Máte právo získat své údaje ve strukturovaném formátu a přenést je k jinému správci.
Můžete vznést námitku proti zpracování založenému na oprávněném zájmu.
8.1 Jak uplatnit práva
Svá práva můžete uplatnit:
- E-mailem na: privacy@onekasa.com
- V nastavení účtu (některá práva)
- Písemně na adresu sídla
Na vaši žádost odpovíme do 30 dnů. Tuto lhůtu lze prodloužit o další 2 měsíce u složitých žádostí.
8.2 Právo podat stížnost
Pokud se domníváte, že zpracování porušuje vaše práva, můžete podat stížnost u:
- Úřad pro ochranu osobních údajů (ÚOOÚ)
- Pplk. Sochora 27, 170 00 Praha 7
- Web: www.uoou.cz
9 Cookies a podobné technologie
9.1 Co jsou cookies
Cookies jsou malé textové soubory ukládané ve vašem prohlížeči, které nám pomáhají zajistit fungování webu a zlepšovat služby.
9.2 Typy cookies
| Typ | Účel | Trvání |
|---|---|---|
| Nezbytné | Přihlášení, bezpečnost, základní funkce | Session / 1 rok |
| Funkční | Preference jazyka, nastavení | 1 rok |
| Analytické | Statistiky návštěvnosti (anonymizované) | 2 roky |
9.3 Správa cookies
Cookies můžete spravovat v nastavení prohlížeče. Blokování některých cookies může ovlivnit funkčnost služby.
10 Zabezpečení údajů
Implementujeme odpovídající technická a organizační opatření pro ochranu vašich údajů:
10.1 Technická opatření
- Šifrování: SSL/TLS pro přenos dat, AES-256 pro uložená data
- Zálohování: Denní automatické zálohy s geografickou redundancí
- Přístup: Dvoufaktorová autentizace, silná hesla
- Monitoring: 24/7 sledování bezpečnostních incidentů
- Firewall: Ochrana proti DDoS a kybernetickým útokům
10.2 Organizační opatření
- Princip minimalizace dat
- Omezení přístupu na základě rolí
- Pravidelná školení zaměstnanců
- Bezpečnostní audity
V případě narušení bezpečnosti vás budeme informovat do 72 hodin dle požadavků GDPR.
11 Změny zásad
Tyto Zásady mohou být průběžně aktualizovány. O významných změnách vás budeme informovat:
- E-mailem na registrovanou adresu
- Oznámením v aplikaci
- Aktualizací data „Poslední aktualizace"
Doporučujeme pravidelně kontrolovat tuto stránku.
12 Kontakt
Pro dotazy ohledně ochrany osobních údajů nás kontaktujte:
Kontaktní údaje
1 Introduction & Data Controller
This Privacy Policy explains how OneKasa collects, uses, and protects your personal data in accordance with the EU General Data Protection Regulation (GDPR) 2016/679 and Czech Act No. 110/2019 Coll. on personal data processing.
1.1 Data Controller
The controller of your personal data is:
- Business Name: OneKasa
- Registered Office: Prague, Czech Republic
- Email: info@onekasa.com
- Website: https://onekasa.com
1.2 Data Protection Officer (DPO)
For data protection inquiries, contact us at: privacy@onekasa.com
Protecting your personal data is our priority. We only process data necessary for providing our services.
2 Data We Collect
We process the following categories of personal data:
| Category | Data Types | Source |
|---|---|---|
| Identification Data | Name, company name, business ID | Registration |
| Contact Data | Email, phone, address | Registration |
| Payment Data | Card number (tokenized), billing details | Payment |
| Usage Data | Logins, actions in system, settings | Automatic |
| Technical Data | IP address, browser, device, cookies | Automatic |
| Communications | Emails, support tickets, feedback | Communication |
2.1 Special Categories of Data
We do not process special categories of personal data (sensitive data) such as health data, racial origin, religion, or sexual orientation.
3 Processing Purposes
We process your personal data for the following purposes:
3.1 Service Provision
- Creating and managing user accounts
- Providing OneKasa platform features
- Processing reservations and payments
- Technical support and customer service
3.2 Legal Obligations
- Invoicing and accounting
- Tax obligations
- Fraud prevention
3.3 Legitimate Interests
- Service improvement and new feature development
- Analytics and statistics (anonymized)
- System security
- Service-related communications
3.4 With Consent
- Marketing communications (unsubscribe anytime)
- Analytics and personalization cookies
4 Legal Basis
| Purpose | Legal Basis (GDPR) |
|---|---|
| Service provision | Art. 6(1)(b) – Contract performance |
| Invoicing, accounting | Art. 6(1)(c) – Legal obligation |
| Analytics, security | Art. 6(1)(f) – Legitimate interest |
| Marketing | Art. 6(1)(a) – Consent |
5 Data Recipients
We may share your data with the following categories of recipients:
5.1 Processors
- Hosting & Infrastructure: EU-based cloud service providers
- Payment Services: Stripe, PayPal (PCI DSS certified)
- Email Services: For transactional emails
- Analytics Tools: For anonymized usage analysis
5.2 Third Parties
- Government Authorities: Based on legal obligation
- Tax Advisors & Auditors: For accounting and tax purposes
We have data processing agreements under Art. 28 GDPR with all processors ensuring your data protection.
6 International Transfers
We prefer processing data within the European Economic Area (EEA). If transfer outside EEA is necessary, we ensure:
- European Commission adequacy decisions
- EU-approved Standard Contractual Clauses
- Data Privacy Framework (for US)
Currently, all data is stored on EU servers and is not systematically transferred outside the EEA.
7 Retention Period
| Data Category | Retention Period |
|---|---|
| Account data | Duration of account + 30 days after deletion |
| Billing data | 10 years (legal requirement) |
| Support communications | 3 years |
| Login logs | 1 year |
| Marketing (with consent) | Until consent withdrawal |
| Cookies | Varies by type (see section 9) |
8 Your Rights
Under GDPR, you have the following rights:
You can obtain confirmation whether your data is being processed and access to that data.
You can correct inaccurate data and complete incomplete data.
"Right to be forgotten" – you can request deletion of data when no longer necessary.
You can request restriction of processing in certain cases.
You can receive your data in a structured format and transfer it to another controller.
You can object to processing based on legitimate interest.
8.1 How to Exercise Your Rights
You can exercise your rights:
- By email to: privacy@onekasa.com
- In account settings (some rights)
- By written notice to our registered office
We will respond within 30 days. This period may be extended by 2 months for complex requests.
8.2 Right to Lodge a Complaint
If you believe processing violates your rights, you can lodge a complaint with:
- Office for Personal Data Protection (ÚOOÚ)
- Pplk. Sochora 27, 170 00 Prague 7
- Web: www.uoou.cz
9 Cookies
9.1 What Are Cookies
Cookies are small text files stored in your browser that help us ensure website functionality and improve services.
9.2 Types of Cookies
| Type | Purpose | Duration |
|---|---|---|
| Essential | Login, security, basic functions | Session / 1 year |
| Functional | Language preferences, settings | 1 year |
| Analytics | Traffic statistics (anonymized) | 2 years |
9.3 Cookie Management
You can manage cookies in your browser settings. Blocking some cookies may affect service functionality.
10 Security
We implement appropriate technical and organizational measures to protect your data:
10.1 Technical Measures
- Encryption: SSL/TLS for data transfer, AES-256 for stored data
- Backups: Daily automatic backups with geographic redundancy
- Access: Two-factor authentication, strong passwords
- Monitoring: 24/7 security incident monitoring
- Firewall: DDoS and cyberattack protection
10.2 Organizational Measures
- Data minimization principle
- Role-based access control
- Regular employee training
- Security audits
In case of a security breach, we will notify you within 72 hours as required by GDPR.
11 Policy Changes
This Policy may be updated periodically. We will notify you of significant changes:
- By email to your registered address
- By notification in the application
- By updating the "Last updated" date
We recommend checking this page regularly.
12 Contact
For questions about personal data protection, contact us: