Zásady ochrany osobních údajů
Poslední aktualizace: 19. února 2026
1. Správce osobních údajů
1.1. Správcem vašich osobních údajů ve smyslu čl. 4 odst. 7 nařízení Evropského parlamentu a Rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů (dále jen "GDPR"), a zákona č. 110/2019 Sb., o zpracování osobních údajů (dále jen "ZZOÚ"), je:
Spojo
IČO: 22437266
Sídlo: Podlesí 600, 757 01 Valašské Meziříčí
E-mail: podpora@spojo.cz
(dále jen "Správce")
1.2. Správce nejmenoval pověřence pro ochranu osobních údajů (DPO), neboť zpracování osobních údajů nevyžaduje jeho jmenování dle čl. 37 GDPR. Pro veškeré dotazy týkající se ochrany osobních údajů se obracejte na e-mailovou adresu podpora@spojo.cz.
2. Zásady zpracování osobních údajů
2.1. Správce zpracovává osobní údaje v souladu se zásadami stanovenými v čl. 5 GDPR:
- Zákonnost, korektnost a transparentnost — údaje zpracováváme na základě zákonného důvodu a transparentně vás o tom informujeme.
- Účelové omezení — údaje shromažďujeme pouze pro stanovené, výslovně vyjádřené a legitimní účely.
- Minimalizace údajů — zpracováváme pouze údaje, které jsou přiměřené, relevantní a omezené na nezbytný rozsah.
- Přesnost — přijímáme opatření, aby zpracovávané údaje byly přesné a v případě potřeby aktualizované.
- Omezení uložení — údaje uchováváme pouze po dobu nezbytnou pro stanovené účely.
- Integrita a důvěrnost — údaje chráníme vhodnými technickými a organizačními opatřeními.
3. Rozsah zpracovávaných údajů
3.1. V rámci používání Platformy zpracováváme následující kategorie osobních údajů:
Registrační a profilové údaje
Jméno a příjmení, e-mailová adresa, telefonní číslo, profilový obrázek, typ účtu (zákazník/řemeslník), bio/popis.
Údaje o řemeslnících (podnikatelské údaje)
IČO, DIČ, obchodní jméno, obor činnosti, město působení, hodinová sazba, radius služeb, hodnocení, portfolio prací (fotografie), dostupnost.
Údaje o poptávkách a zakázkách
Název a popis práce, kategorie, lokalita (adresa, město, GPS souřadnice), rozpočtový rámec, fotografie, preferovaný termín, stav zakázky.
Platební a transakční údaje
Údaje o transakcích (částky, stav platby, provize), identifikátory plateb v systému Stripe, údaje o předplatném. Správce neuchovává čísla platebních karet — tyto zpracovává výhradně platební procesor Stripe.
Komunikační údaje
Zprávy a konverzace mezi uživateli, nabídky, hodnocení a recenze, notifikace, e-mailová komunikace se Správcem.
Technické a analytické údaje
IP adresa, typ a verze prohlížeče, operační systém, referrer URL, cookies, data o návštěvnosti (Google Analytics), vyhledávací dotazy a kliknutí na výsledky vyhledávání, chybové záznamy (Sentry).
3.2. Poskytnutí registračních údajů (jméno, e-mail) je smluvním požadavkem nezbytným pro uzavření smlouvy o používání Platformy. Bez těchto údajů není možné služby Platformy poskytovat. Poskytnutí telefonního čísla, profilového obrázku a dalších volitelných údajů je dobrovolné.
3.3. Poskytnutí podnikatelských údajů řemeslníkem (IČO, obor) je smluvním požadavkem pro využívání funkcí řemeslníka na Platformě.
4. Účely a právní základy zpracování
4.1. Vaše osobní údaje zpracováváme na základě následujících právních důvodů dle čl. 6 odst. 1 GDPR:
| Účel zpracování | Právní základ | Kategorie údajů |
|---|---|---|
| Registrace a správa účtu | Plnění smlouvy — čl. 6(1)(b) | Registrační údaje |
| Zprostředkování poptávek a nabídek | Plnění smlouvy — čl. 6(1)(b) | Údaje o poptávkách, profilové údaje |
| Zprostředkování komunikace | Plnění smlouvy — čl. 6(1)(b) | Komunikační údaje |
| Zpracování plateb a úschova | Plnění smlouvy — čl. 6(1)(b) | Platební údaje |
| Předplatné a kreditní systém | Plnění smlouvy — čl. 6(1)(b) | Platební údaje, údaje o předplatném |
| Zobrazení profilu řemeslníka veřejnosti | Plnění smlouvy — čl. 6(1)(b) | Profilové údaje, portfolio, hodnocení |
| Účetní a daňová evidence | Právní povinnost — čl. 6(1)(c) | Platební a transakční údaje |
| Plnění povinností poskytovatele služeb informační společnosti | Právní povinnost — čl. 6(1)(c) | Registrační údaje, technické údaje |
| Zajištění bezpečnosti a prevence podvodů | Oprávněný zájem — čl. 6(1)(f) | Technické údaje, údaje o aktivitě |
| Zlepšování služeb a funkčnosti | Oprávněný zájem — čl. 6(1)(f) | Analytické údaje (vyhledávání, chyby) |
| Monitorování chyb aplikace | Oprávněný zájem — čl. 6(1)(f) | Technické údaje (Sentry) |
| Analýza návštěvnosti (Google Analytics) | Souhlas — čl. 6(1)(a) | Analytické cookies |
4.2. Tam, kde je zpracování založeno na oprávněném zájmu Správce, byl proveden test proporcionality (balanční test), jehož závěr potvrdil, že oprávněný zájem Správce převažuje nad právy subjektů údajů. Máte právo kdykoliv vznést námitku proti zpracování na základě oprávněného zájmu (viz článek 9).
5. Příjemci osobních údajů
5.1. Vaše osobní údaje sdílíme pouze s následujícími kategoriemi příjemců, a to výhradně v rozsahu nezbytném pro stanovené účely:
Stripe Payments Europe, Ltd.
Sídlo: Irsko (EU) | Zpracovatel
Zpracování plateb, systém úschovy (escrow), výplaty řemeslníkům (Stripe Connect), správa předplatného. Stripe je certifikovaný dle PCI DSS Level 1. Zásady ochrany soukromí Stripe.
Supabase, Inc.
Sídlo: USA | Zpracovatel | Data uložena v EU (Frankfurt)
Hosting databáze, autentizace uživatelů, úložiště souborů (fotografie), real-time komunikace. Zásady ochrany soukromí Supabase.
Resend, Inc.
Sídlo: USA | Zpracovatel
Odesílání transakčních a notifikačních e-mailů (potvrzení platby, notifikace o nových nabídkách, zprávách apod.). Zásady ochrany soukromí Resend.
Functional Software, Inc. (Sentry)
Sídlo: USA | Zpracovatel
Monitorování a zaznamenávání chyb aplikace pro zajištění stability a kvality služeb. Údaje jsou anonymizovány (autorizační hlavičky, cookies a citlivá data jsou odstraněna před odesláním). Zásady ochrany soukromí Sentry.
Google LLC (Google Analytics)
Sídlo: USA | Zpracovatel | Pouze se souhlasem
Analýza návštěvnosti webu — pouze s vaším výslovným souhlasem (cookie banner). Zásady ochrany soukromí Google.
Cloudflare, Inc. (Turnstile)
Sídlo: USA | Zpracovatel
CAPTCHA ochrana proti botům a automatizovaným útokům při registraci a přihlášení. Zásady ochrany soukromí Cloudflare.
Render Services, Inc.
Sídlo: USA | Zpracovatel | Hosting
Hosting webové aplikace a aplikačního serveru. Zásady ochrany soukromí Render.
5.2. Vaše osobní údaje mohou být dále zpřístupněny:
- Ostatním uživatelům Platformy — v rozsahu nezbytném pro fungování tržiště (např. jméno a profilový obrázek v konverzacích, profil řemeslníka ve výsledcích vyhledávání, hodnocení a recenze).
- Orgánům veřejné moci — v případech, kdy to vyžaduje platný právní předpis (např. finanční úřad, orgány činné v trestním řízení).
5.3. Vaše osobní údaje neprodáváme a nesdílíme s třetími stranami za účelem přímého marketingu.
6. Předávání údajů do třetích zemí
6.1. Některé z výše uvedených zpracovatelů mají sídlo v USA, což znamená, že vaše osobní údaje mohou být předávány mimo Evropský hospodářský prostor (EHP).
6.2. Předávání osobních údajů do USA je založeno na jednom z následujících právních základů dle kapitoly V GDPR:
- EU–US Data Privacy Framework — zpracovatelé certifikovaní v rámci DPF (na základě rozhodnutí Evropské komise o přiměřenosti ze dne 10. 7. 2023);
- Standardní smluvní doložky (SCC) — schválené Evropskou komisí dle čl. 46 odst. 2 písm. c) GDPR, doplněné o posouzení dopadu předání.
6.3. Databáze Supabase je provozována na serverech v rámci EU (Frankfurt, Německo). Hlavní úložiště vašich osobních údajů se tedy nachází v EU.
7. Doba uchovávání údajů
7.1. Osobní údaje uchováváme pouze po dobu nezbytnou pro naplnění účelu jejich zpracování nebo po dobu vyžadovanou platnými právními předpisy:
| Kategorie údajů | Doba uchovávání | Důvod |
|---|---|---|
| Profilové údaje | Po dobu trvání účtu + 30 dnů | Plnění smlouvy, možnost obnovy |
| Údaje o poptávkách a zakázkách | 3 roky od dokončení zakázky | Promlčecí lhůta dle Občanského zákoníku |
| Platební a transakční údaje | 10 let od transakce | Zákon č. 563/1991 Sb., o účetnictví; zákon č. 235/2004 Sb., o DPH |
| Údaje o předplatném | 10 let od ukončení předplatného | Účetní a daňové povinnosti |
| Komunikace (zprávy) | Po dobu trvání účtu | Plnění smlouvy |
| Hodnocení a recenze | Po dobu trvání účtu hodnoceného | Oprávněný zájem (důvěra tržiště) |
| Analytické údaje (vyhledávání) | 2 roky | Oprávněný zájem (zlepšování služeb) |
| Chybové záznamy (Sentry) | 90 dnů | Oprávněný zájem (stabilita služby) |
| Google Analytics data | 14 měsíců | Nastavení Google Analytics |
7.2. Po uplynutí doby uchovávání jsou osobní údaje bezpečně vymazány nebo anonymizovány.
8. Cookies a webové technologie
8.1. Platforma používá následující typy cookies:
Nezbytné cookies (technické)
Slouží pro základní funkcionalitu — přihlášení, udržení relace, zabezpečení, CAPTCHA ochrana. Tyto cookies jsou nezbytné pro fungování Platformy a nelze je odmítnout.
Právní základ: Čl. 6(1)(b) GDPR (plnění smlouvy) a § 89 odst. 3 zákona č. 127/2005 Sb. (výjimka pro technicky nezbytné cookies).
Analytické cookies (Google Analytics)
Slouží k analýze návštěvnosti a zlepšování služeb. Tyto cookies jsou načítány pouze s vaším výslovným souhlasem, který udělíte prostřednictvím cookie banneru při první návštěvě.
Právní základ: Čl. 6(1)(a) GDPR (souhlas).
8.2. Odvolání souhlasu s analytickými cookies: Svůj souhlas s analytickými cookies můžete kdykoliv odvolat kliknutím na odkaz "Nastavení cookies" v patičce každé stránky. Po kliknutí se znovu zobrazí cookie banner, kde můžete zvolit "Pouze nezbytné".
8.3. Nastavení cookies můžete změnit i v nastavení svého prohlížeče. Blokování nezbytných cookies může omezit funkcionalitu Platformy.
9. Automatizované rozhodování a profilování
9.1. Platforma provádí automatizované zpracování v následujících oblastech:
- Řazení výsledků vyhledávání — výsledky vyhledávání služeb a řemeslníků jsou řazeny automaticky na základě relevance, hodnocení, vzdálenosti a úrovně předplatného (search boost). Řemeslníci s vyšším tarifem mohou mít zvýhodněné pozice.
- Automatické schválení zakázek — pokud zákazník nereaguje na dokončenou zakázku do 2 pracovních dnů, je automaticky schválena.
- Automatické zrušení — pokud řemeslník nereaguje na žádost o zrušení do 48 hodin, je zrušení automaticky schváleno.
9.2. Žádné z výše uvedených automatizovaných zpracování nepředstavuje automatizované rozhodování s právními účinky ve smyslu čl. 22 GDPR. Řazení výsledků vyhledávání nemá právní účinek ani obdobně významný dopad na subjekt údajů — jedná se o řazení obsahu tržiště na základě objektivních kritérií.
9.3. Platforma neprovádí profilování za účelem přímého marketingu ani automatizované rozhodování, které by mělo právní účinky na uživatele.
10. Práva subjektů údajů
10.1. Jako subjekt údajů máte dle GDPR následující práva:
- Právo na přístup (čl. 15) — máte právo získat potvrzení, zda jsou vaše osobní údaje zpracovávány, a pokud ano, získat k nim přístup a informace o zpracování.
- Právo na opravu (čl. 16) — máte právo na opravu nepřesných osobních údajů a na doplnění neúplných údajů. Většinu údajů můžete upravit přímo v nastavení účtu.
- Právo na výmaz (čl. 17) — máte právo na vymazání svých osobních údajů ("právo být zapomenut"), pokud odpadl důvod zpracování. Toto právo nelze uplatnit, pokud je zpracování nezbytné pro plnění právní povinnosti.
- Právo na omezení zpracování (čl. 18) — máte právo požádat o dočasné omezení zpracování vašich údajů, např. pokud popíráte přesnost údajů.
- Právo na přenositelnost údajů (čl. 20) — máte právo získat své osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu a předat je jinému správci.
- Právo vznést námitku (čl. 21) — máte právo kdykoliv vznést námitku proti zpracování založenému na oprávněném zájmu. V takovém případě nebudeme údaje dále zpracovávat, pokud neprokážeme závažné oprávněné důvody.
- Právo odvolat souhlas (čl. 7) — pokud je zpracování založeno na souhlasu, máte právo souhlas kdykoliv odvolat, aniž by tím byla dotčena zákonnost zpracování před odvoláním.
- Právo podat stížnost (čl. 77) — máte právo podat stížnost u dozorového úřadu, kterým je Úřad pro ochranu osobních údajů (viz níže).
10.2. Svá práva můžete uplatnit zasláním žádosti na e-mail podpora@spojo.cz. Na vaši žádost odpovíme bez zbytečného odkladu, nejpozději do 30 dnů. Ve výjimečných případech může být lhůta prodloužena o další 2 měsíce, o čemž vás budeme informovat.
11. Zabezpečení údajů
11.1. Správce přijal vhodná technická a organizační opatření k zajištění bezpečnosti osobních údajů dle čl. 32 GDPR, zejména:
- Šifrování dat při přenosu (TLS/HTTPS);
- Řízení přístupu na úrovni databáze (Row Level Security);
- Bezpečnostní hlavičky (CSP, HSTS, X-Frame-Options, X-Content-Type-Options);
- Omezování počtu požadavků (rate limiting);
- CAPTCHA ochrana proti automatizovaným útokům;
- Sanitizace citlivých dat v chybových záznamech (Sentry);
- Bezpečné zpracování plateb prostřednictvím PCI DSS certifikovaného procesoru (Stripe);
- Pravidelné zálohy databáze.
12. Dozorový úřad
12.1. Pokud se domníváte, že zpracováním vašich osobních údajů bylo porušeno či je porušováno nařízení GDPR nebo zákon č. 110/2019 Sb., máte právo podat stížnost u dozorového úřadu:
Úřad pro ochranu osobních údajů (ÚOOÚ)
Pplk. Sochora 727/27
170 00 Praha 7
Telefon: +420 234 665 111
E-mail: posta@uoou.cz
Web: www.uoou.cz
13. Kontakt
Pro uplatnění svých práv, s dotazy nebo stížnostmi ohledně ochrany osobních údajů se na nás obracejte:
- E-mail: podpora@spojo.cz
- Kontaktní stránka: spojo.cz/kontakt
Na vaši žádost odpovíme bez zbytečného odkladu, nejpozději do 30 dnů od jejího doručení.
14. Změny těchto zásad
14.1. Správce si vyhrazuje právo tyto Zásady ochrany osobních údajů aktualizovat. O podstatných změnách budete informováni e-mailem nebo oznámením na Platformě.
14.2. Aktuální znění těchto Zásad je vždy dostupné na adrese spojo.cz/ochrana-soukromi. Tyto Zásady nabývají účinnosti dnem 18. února 2026.