Zásady ochrany osobních údajů (GDPR)

Tento dokument popisuje, jak je v rámci služby Správa vozidel nakládáno s osobními údaji podle nařízení (EU) 2016/679 (GDPR) a souvisejících právních předpisů.

Správce: ToozServis Auto/Pneu Tomáš Zachurčok (TooZ Servis), IČO 87854716, Gorkého 2351/19a, 568 02 Svitavy, Česká republika, e-mail pro právní komunikaci: info@toozservis.cz, tel: +420 731 552 299.

1. Údaje o vozidle vs. údaje o osobě

• Ne každý údaj o vozidle je sám o sobě osobním údajem. Osobním údajem se stává zejména tehdy, je-li přiřaditelný ke konkrétní fyzické osobě.
• Typicky se to týká kombinací jako: vozidlo + vlastník/uživatel, servisní historie + identita zákazníka, dokument + kontaktní údaje osoby.
• V praxi proto dochází k oddělenému zpracování: (a) technicko-vozidlová data, (b) údaje o osobách, (c) provozní/auditní metadata systému.

2. Kategorie zpracovávaných údajů

2.1 Údaje o účtu a osobě

• Identifikační a kontaktní údaje účtu (jméno/název, e-mail, telefon, fakturační údaje, role účtu).
• Bezpečnostní údaje (přihlašovací identifikátory, 2FA údaje, historie přístupů, bezpečnostní události).

2.2 Údaje o vozidle a provozu servisu

• Vozidlové údaje, servisní úkony, připomínky, rezervace, dokumenty, přílohy a související poznámky.

2.3 Provozní a auditní data systému

• IP adresa, user-agent, endpoint, serverové časové značky, auditní a bezpečnostní logy, technická metadata relace, transakční identifikátory plateb.

3. Role správce a zpracovatele

• Správce: TooZ Servis je správcem osobních údajů pro údaje o vlastním uživatelském účtu, autentizaci, bezpečnosti, provozu služby, platební evidenci a plnění právních povinností.
• Zpracovatel: pokud podnikatelský zákazník vkládá do služby údaje svých klientů/řidičů/zaměstnanců, je ve vhodném rozsahu správce tímto zákazníkem a TooZ Servis může vystupovat jako zpracovatel.
• Konkrétní rozdělení rolí se může lišit podle typu datového toku a smluvního nastavení (včetně případné zpracovatelské doložky).

4. Autorizace a oprávnění k vložení údajů

• Uživatel odpovídá za to, že má právní titul vložit do systému údaje o sobě i o třetích osobách.
• Uživatel odpovídá za to, že při vložení údajů třetích osob plní vůči nim informační povinnost, pokud to vyžaduje právo.

5. Účely a právní základy zpracování

• Plnění smlouvy (čl. 6 odst. 1 písm. b GDPR): provoz účtu, poskytování funkcí digitální služby, podpora, aktivace tarifu.
• Právní povinnost (čl. 6 odst. 1 písm. c GDPR): účetní a daňové povinnosti, zákonná evidence.
• Oprávněný zájem (čl. 6 odst. 1 písm. f GDPR): bezpečnost systému, audit, prevence podvodů a zneužití, detekce incidentů, obhajoba právních nároků.
• Souhlas (čl. 6 odst. 1 písm. a GDPR): pouze tam, kde je vyžadován (např. volitelné budoucí funkce mimo nezbytný provoz).

6. Příjemci a kategorie zpracovatelů

• Platební instituce a platební brána (Comgate) pro zpracování online plateb.
• Hosting/cloud infrastruktura, technická správa, monitoring, logování a bezpečnostní nástroje.
• E-mailové služby pro provozní a notifikační komunikaci.
• Dodavatelé OCR/AI komponent, pokud jsou pro konkrétní funkci reálně aktivní.
• Orgány veřejné moci, pokud to ukládá právní předpis nebo vykonatelné rozhodnutí.

7. Předávání do třetích zemí

• Pokud jsou využiti dodavatelé mimo EU/EHP, je přenos realizován jen při splnění podmínek GDPR (zejména rozhodnutí o odpovídající ochraně nebo standardní smluvní doložky včetně doplňkových záruk).
• Pokud daný tok mimo EU/EHP neprobíhá, předání se neuskutečňuje.

8. Retenční doby a retenční kritéria

• Účet a profil: po dobu trvání účtu a dále po dobu nezbytnou pro vypořádání nároků, sporů a zákonných povinností.
• Servisní a provozní záznamy: po dobu trvání účtu, případně do výmazu účtu nebo do uplynutí důvodu pro další uchování.
• Auditní a bezpečnostní logy: po dobu nezbytnou pro prevenci podvodů/zneužití, řešení incidentů a obhajobu právních nároků.
• Platební a účetní evidence: po dobu vyžadovanou daňovými a účetními předpisy.
• Doklady pro reklamace a spory: po dobu trvání reklamačního/sporného řízení a po dobu běhu souvisejících promlčecích lhůt.

9. Ověření identity při výkonu práv

• Subjekt údajů může uplatnit právo na přístup, opravu, výmaz, omezení, námitku, přenositelnost a další práva podle GDPR.
• Při výkonu práv může správce požadovat přiměřené ověření totožnosti žadatele, aby nedošlo k neoprávněnému zpřístupnění údajů.

Žádosti směřujte na info@toozservis.cz.

10. Auditní logy, bezpečnost a obrana nároků

• Auditní a bezpečnostní záznamy jsou zpracovávány i za účelem prevence podvodů, detekce zneužití, ochrany systému a obhajoby právních nároků.
• Tato evidence může zahrnovat i technické geolokační nebo síťové údaje, pokud jsou nezbytné pro bezpečnostní účel.

11. Automatizované rozhodování a AI/OCR

• AI/OCR výstupy slouží jako asistované předvyplnění, nikoli jako automatizované rozhodování s právními účinky ve smyslu čl. 22 GDPR.
• Finální rozhodnutí o použití dat provádí uživatel.

12. Cookies a lokální úložiště

Služba používá technické prostředky ukládání dat (cookies a local/session storage) pro zabezpečení, přihlášení a provoz aplikace. Podrobnosti jsou v dokumentu Cookies.