1. Správce osobních údajů
Správcem Vašich osobních údajů je společnost:
(dále jen „Kartička", „my" nebo „Správce")
Tyto Zásady zpracování osobních údajů (dále jen „Zásady") Vás informují o tom, jak shromažďujeme, zpracováváme a chráníme Vaše osobní údaje v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 (obecné nařízení o ochraně osobních údajů, dále jen „GDPR") a zákonem č. 110/2019 Sb., o zpracování osobních údajů.
2. Na koho se tyto Zásady vztahují
Tyto Zásady se vztahují na následující kategorie osob (subjektů údajů):
- Zákazníci (koncoví uživatelé) – fyzické osoby, které se registrují na platformě Kartička a využívají věrnostní programy partnerských podniků.
- Partneři (podniky) – provozovatelé podniků (kavárny, bistra, restaurace apod.), kteří využívají platformu Kartička k provozování svých věrnostních programů, a jejich zaměstnanci a zástupci.
3. Popis platformy a datových toků
Platforma Kartička se skládá z následujících rozhraní, z nichž každé zpracovává osobní údaje specifickým způsobem:
3.1 Aplikace Kartička (pro zákazníky)
Mobilní aplikace, ve které si zákazník vytváří účet, spravuje svá členství ve věrnostních programech, sbírá razítka, uplatňuje kupóny a vytváří rezervace.
3.2 Aplikace Můj podnik (pro obsluhu partnera)
Mobilní aplikace pro zaměstnance a obsluhu partnerských podniků. Umožňuje skenování zákaznických kódů, načítání osobních údajů zákazníků s aktivním členstvím, připisování razítek a správu objednávek.
3.3 Wallet karty (Apple Wallet a Google Wallet)
Digitální věrnostní karty uložené v peněženkách mobilních zařízení zákazníků. Při stažení Wallet karty se automaticky vytváří členství zákazníka v daném podniku.
3.4 Správa podniku (administrace pro partnery)
Webové rozhraní pro partnerské podniky, které umožňuje prohlížení seznamu členů, jejich osobních údajů, aktivity, správu věrnostního programu a statistiky.
3.5 Webové stránky (mojekarticka.cz)
Webové stránky slouží k registraci, přihlášení, vytváření rezervací a správě zákaznického účtu včetně možnosti zrušení členství nebo celého účtu.
4. Jaké osobní údaje zpracováváme
4.1 Údaje zákazníků
Při registraci a používání platformy Kartička můžeme zpracovávat následující kategorie osobních údajů:
| Kategorie údajů | Konkrétní údaje | Povinnost poskytnutí |
|---|---|---|
| Základní identifikační | Jméno, příjmení | Nepovinné |
| Kontaktní údaje | E-mailová adresa | Povinné (pro registraci) |
| Kontaktní údaje | Telefonní číslo | Nepovinné (povinné u rezervací) |
| Osobní údaje | Datum narození | Nepovinné |
| Adresní údaje | Adresa bydliště | Nepovinné |
| Přihlašovací údaje | E-mail a heslo (hash), nebo přihlášení přes Apple/Google | Povinné (dle zvolené metody) |
| Údaje o aktivitě | Razítka, kupóny, rezervace, historie návštěv | Vznikají automaticky |
| Technické údaje | IP adresa, typ zařízení, operační systém | Vznikají automaticky |
4.2 Údaje partnerů (podniků)
U partnerských podniků zpracováváme identifikační a kontaktní údaje osob jednajících za podnik (jméno, e-mail, telefon), fakturační údaje (IČO, DIČ, sídlo) a přihlašovací údaje do rozhraní Správa podniku a aplikace Můj podnik.
4.3 Zvláštní kategorie osobních údajů
Nezpracováváme a nemáme v úmyslu zpracovávat zvláštní kategorie osobních údajů ve smyslu čl. 9 GDPR (údaje o zdravotním stavu, rase, etnickém původu, politických názorech, náboženském vyznání, sexuální orientaci apod.).
5. Členství a zpřístupnění údajů partnerským podnikům
Toto je klíčový mechanismus platformy Kartička z pohledu ochrany osobních údajů:
5.1 Princip dobrovolného členství
Samotná registrace na platformě Kartička neznamená, že jakýkoli partnerský podnik získá přístup k Vašim osobním údajům. Vaše osobní údaje jsou podniku zpřístupněny teprve v okamžiku, kdy si aktivujete členství v daném podniku.
Členství se aktivuje:
- V aplikaci Kartička – zákazník si vyhledá podnik a klikne na „Aktivovat členství".
- Při stažení Wallet karty – při stažení digitální věrnostní karty pro konkrétní podnik do Apple Wallet nebo Google Wallet se členství vytváří automaticky.
5.2 Co podnik po aktivaci členství vidí
Po aktivaci členství získá partnerský podnik přístup k následujícím údajům daného zákazníka:
- Jméno a příjmení (pokud bylo zadáno)
- E-mailová adresa
- Datum narození (pokud bylo zadáno)
- Historie aktivity v rámci daného podniku (razítka, kupóny, návštěvy)
- Datum poslední aktivity
5.3 Zrušení členství
Členství v konkrétním podniku můžete kdykoli zrušit, a to:
- v aplikaci Kartička,
- na webových stránkách mojekarticka.cz,
- zasláním žádosti na e-mail info@karticka.cz.
Po zrušení členství podnik ztrácí přístup k Vašim osobním údajům.
6. Rezervace
Při vytvoření rezervace (prostřednictvím webových stránek nebo aplikace Můj podnik) jsou podniku zpřístupněny osobní údaje zadané v rámci rezervace – typicky jméno, e-mailová adresa a telefonní číslo. Tyto údaje jsou podniku zpřístupněny za účelem realizace rezervace, a to i bez aktivního členství ve věrnostním programu.
Právním základem pro zpracování údajů v souvislosti s rezervací je plnění smlouvy (čl. 6 odst. 1 písm. b) GDPR) – provedení opatření přijatých před uzavřením smlouvy na žádost zákazníka.
7. Přihlášení prostřednictvím třetích stran (Apple, Google)
Při registraci nebo přihlášení prostřednictvím služeb Apple Sign-In nebo Google Sign-In získáváme od poskytovatele pouze ty údaje, které nám uživatel povolí sdílet – typicky e-mailovou adresu a jméno. U služby Apple Sign-In může uživatel zvolit skrytí své skutečné e-mailové adresy (funkce Hide My Email).
Nezískáváme přístup k Vašemu heslu u Apple ani Google. Zpracování těchto údajů se řídí rovněž podmínkami příslušného poskytovatele (Apple Inc. / Google LLC).
8. Účely zpracování a právní základy
| Účel zpracování | Právní základ (čl. 6 GDPR) | Kategorie údajů |
|---|---|---|
| Registrace a vedení uživatelského účtu | Plnění smlouvy (čl. 6/1/b) | E-mail, heslo (hash), jméno, příjmení |
| Poskytování věrnostních služeb (razítka, kupóny, odměny) | Plnění smlouvy (čl. 6/1/b) | Identifikační údaje, údaje o aktivitě |
| Zpřístupnění údajů podniku po aktivaci členství | Plnění smlouvy (čl. 6/1/b) | Viz bod 5.2 |
| Realizace rezervací | Předsmluvní opatření (čl. 6/1/b) | Jméno, e-mail, telefon |
| Synchronizace s pokladními systémy partnera | Plnění smlouvy (čl. 6/1/b), oprávněný zájem (čl. 6/1/f) | Identifikační údaje, údaje o členství |
| Zasílání marketingových sdělení | Souhlas (čl. 6/1/a) | E-mail, jméno |
| Vedení účetnictví a plnění daňových povinností | Plnění právní povinnosti (čl. 6/1/c) | Fakturační údaje partnerů |
| Zlepšování služeb a analýza | Oprávněný zájem (čl. 6/1/f) | Technické a agregované údaje |
| Ochrana práv a řešení sporů | Oprávněný zájem (čl. 6/1/f) | Veškeré relevantní údaje |
| Zajištění bezpečnosti platformy | Oprávněný zájem (čl. 6/1/f) | Technické údaje, IP adresy |
9. Příjemci osobních údajů
Vaše osobní údaje mohou být zpřístupněny nebo předány následujícím kategoriím příjemců:
9.1 Partnerské podniky
Partnerské podniky, u kterých máte aktivní členství, mají přístup k Vašim osobním údajům v rozsahu uvedeném v bodě 5.2. Partnerské podniky vystupují ve vztahu k osobním údajům svých členů jako samostatní správci osobních údajů – sami určují, jak dále s údaji v rámci svého podniku nakládají (např. pro účely přímého marketingu, personalizace nabídek apod.). Vztah mezi Kartičkou a partnerským podnikem je upraven smlouvou, která stanovuje povinnosti obou stran v oblasti ochrany osobních údajů.
9.2 Zpracovatelé
Pro zajištění provozu platformy využíváme služeb zpracovatelů, kteří zpracovávají osobní údaje na základě našich pokynů a v souladu se zpracovatelskými smlouvami dle čl. 28 GDPR:
| Zpracovatel / kategorie | Účel zpracování | Rozsah údajů |
|---|---|---|
| Poskytovatel hostingu a serverové infrastruktury | Provoz platformy, ukládání dat | Veškeré údaje uložené na platformě |
| Dotykačka ČR s.r.o. (IČO: 06290914) | Integrace s pokladním systémem | Identifikační údaje členů, údaje o transakcích |
| Storyous s.r.o. | Integrace s pokladním systémem | Identifikační údaje členů, údaje o transakcích |
| KasaFIK (provozovatel pokladního systému) | Integrace s pokladním systémem | Identifikační údaje členů, údaje o transakcích |
| Apple Inc. | Apple Wallet karty, Apple Sign-In | Identifikační údaje (dle nastavení uživatele) |
| Google LLC | Google Wallet karty, Google Sign-In | Identifikační údaje (dle nastavení uživatele) |
| Externí poradci (účetní, právní poradci) | Vedení účetnictví, právní služby | Fakturační údaje, údaje nezbytné pro daný účel |
| Poskytovatel e-mailových služeb | Zasílání transakčních a marketingových e-mailů | E-mailová adresa, jméno |
9.3 Orgány veřejné moci
Vaše osobní údaje můžeme předat orgánům veřejné moci (soudy, finanční úřady, orgány činné v trestním řízení apod.), pokud nám to ukládá zákon nebo nařízení soudu.
10. Předávání osobních údajů do třetích zemí
Někteří z výše uvedených zpracovatelů (zejména Apple Inc. a Google LLC) mohou být usazeni nebo mohou zpracovávat osobní údaje mimo Evropský hospodářský prostor (EHP). V takových případech je předání osobních údajů zajištěno na základě:
- rozhodnutí Evropské komise o odpovídající úrovni ochrany (čl. 45 GDPR), nebo
- standardních smluvních doložek schválených Evropskou komisí (čl. 46 odst. 2 písm. c) GDPR), nebo
- jiných vhodných záruk dle čl. 46 GDPR.
Bližší informace o zárukách můžete získat na vyžádání na adrese info@karticka.cz.
11. Doba uchovávání osobních údajů
Vaše osobní údaje uchováváme pouze po dobu nezbytnou k naplnění účelů zpracování:
| Situace | Doba uchovávání |
|---|---|
| Aktivní uživatelský účet | Po celou dobu existence účtu |
| Po zrušení účtu zákazníkem | Údaje smazány bez zbytečného odkladu (max. 30 dnů), s výjimkou zákonných povinností |
| Po zrušení členství v podniku | Údaje přestanou být podniku zpřístupněny bez zbytečného odkladu |
| Fakturační a účetní údaje | Dle zákona o účetnictví (5 let) a zákona o DPH (10 let) |
| Údaje pro ochranu právních nároků | Po dobu promlčecích lhůt (max. 3 roky dle občanského zákoníku) |
| Marketingový souhlas | Do odvolání souhlasu |
12. Zabezpečení osobních údajů
Přijali jsme přiměřená technická a organizační opatření k ochraně Vašich osobních údajů před neoprávněným přístupem, ztrátou, zničením nebo zneužitím. Tato opatření zahrnují zejména:
- šifrování komunikace mezi aplikacemi a servery (HTTPS/TLS),
- ukládání hesel výhradně v hashované podobě,
- řízení přístupu k osobním údajům na principu need-to-know,
- pravidelné zálohování dat,
- zabezpečení serverové infrastruktury.
13. Vaše práva jako subjektu údajů
V souvislosti se zpracováním Vašich osobních údajů máte následující práva:
13.1 Právo na přístup (čl. 15 GDPR)
Máte právo získat od nás potvrzení, zda zpracováváme Vaše osobní údaje, a pokud ano, máte právo získat přístup k těmto údajům a k informacím o účelech zpracování, kategoriích údajů, příjemcích, plánované době uchovávání a dalších skutečnostech.
13.2 Právo na opravu (čl. 16 GDPR)
Máte právo požadovat opravu nepřesných osobních údajů a doplnění neúplných údajů. Základní údaje (jméno, e-mail, datum narození, adresu) můžete upravit přímo v aplikaci Kartička nebo na webu.
13.3 Právo na výmaz (čl. 17 GDPR)
Máte právo požádat o vymazání Vašich osobních údajů, pokud již nejsou potřebné pro účel zpracování, odvolali jste souhlas, vznesli jste námitku proti zpracování, nebo byly údaje zpracovány protiprávně. Celý účet můžete zrušit:
- v aplikaci Kartička,
- na webových stránkách mojekarticka.cz,
- zasláním žádosti na info@karticka.cz.
13.4 Právo na omezení zpracování (čl. 18 GDPR)
Máte právo požadovat omezení zpracování, pokud popíráte přesnost údajů, zpracování je protiprávní, údaje již nepotřebujeme, ale Vy je potřebujete pro právní nároky, nebo jste vznesli námitku proti zpracování.
13.5 Právo na přenositelnost (čl. 20 GDPR)
Máte právo získat osobní údaje, které jste nám poskytli, ve strukturovaném, běžně používaném a strojově čitelném formátu a předat je jinému správci.
13.6 Právo vznést námitku (čl. 21 GDPR)
Máte právo kdykoli vznést námitku proti zpracování Vašich osobních údajů, které provádíme na základě oprávněného zájmu. V takovém případě údaje nebudeme dále zpracovávat, pokud neprokážeme závažné oprávněné důvody pro zpracování.
13.7 Právo odvolat souhlas
Pokud zpracováváme Vaše osobní údaje na základě souhlasu (např. zasílání marketingových sdělení), máte právo tento souhlas kdykoli odvolat, a to kliknutím na odkaz pro odhlášení v každém e-mailu nebo zasláním žádosti na info@karticka.cz. Odvolání souhlasu nemá vliv na zákonnost zpracování před jeho odvoláním.
13.8 Právo nebýt předmětem automatizovaného rozhodování (čl. 22 GDPR)
Máte právo nebýt předmětem rozhodnutí založeného výhradně na automatizovaném zpracování (včetně profilování), které by pro Vás mělo právní účinky nebo se Vás obdobně významně dotýkalo. V rámci platformy Kartička neprovádíme automatizované rozhodování s právními účinky.
14. Jak uplatnit svá práva
Svá práva můžete uplatnit:
- E-mailem: info@karticka.cz
- Písemně: Kartička s.r.o., 17. listopadu 1207/22, Podlesí, 736 01 Havířov
Na Vaši žádost odpovíme bez zbytečného odkladu, nejpozději do jednoho měsíce od přijetí žádosti. V odůvodněných případech (s ohledem na složitost nebo počet žádostí) můžeme tuto lhůtu prodloužit o další dva měsíce, o čemž Vás budeme informovat.
Uplatnění práv je bezplatné. V případě zjevně nedůvodných nebo nepřiměřených žádostí (zejména opakovaných) jsme oprávněni účtovat přiměřený poplatek nebo žádost odmítnout.
15. Právo podat stížnost
Pokud se domníváte, že zpracováním Vašich osobních údajů dochází k porušení GDPR, máte právo podat stížnost u dozorového úřadu:
16. Soubory cookies
Informace o používání souborů cookies na webových stránkách mojekarticka.cz jsou uvedeny v samostatném dokumentu – Zásady používání cookies, dostupném na našich webových stránkách.
17. Závěrečná ustanovení
Tyto Zásady nabývají účinnosti dne 1. 5. 2025 a nahrazují předchozí verzi Zásad zpracování osobních údajů ze dne 17. 7. 2024.
Vyhrazujeme si právo tyto Zásady průběžně aktualizovat. Aktuální znění Zásad je vždy dostupné na webových stránkách:
https://www.mojekarticka.cz/zpracovani-osobnich-udaju.html
O podstatných změnách Vás budeme informovat prostřednictvím e-mailu nebo oznámení v aplikaci Kartička.