Ochrana osobních údajů

Správcem Vašich osobních údajů ve smyslu čl. 4 odst. 7 Nařízení Evropského parlamentu a Rady (EU) 2016/679 (dále jen „GDPR“) je společnost:

IDEx Corporate s.r.o., IČO 18002161, DIČ CZ18002161, se sídlem Kurzova 2222/16, Stodůlky, 155 00 Praha 5, zapsaná v obchodním rejstříku Městského soudu v Praze pod sp. zn. C 379847.

Kontakt ve věcech ochrany osobních údajů: info@idex-corp.com.

U dat, která Zákazník vkládá do Služby (skladová a obchodní data), vystupuje IDEx Corporate s.r.o. v roli zpracovatele ve smyslu čl. 28 GDPR. Správcem těchto dat zůstává Zákazník.

Pro provoz Služby a komunikaci se zákazníky zpracováváme:

• Identifikační údaje: jméno a příjmení kontaktní osoby, název obchodní firmy, IČO, DIČ.
• Kontaktní údaje: e-mail, telefon, doručovací a fakturační adresa.
• Provozní a technické údaje: IP adresa, identifikátor relace, typ prohlížeče, časové razítko přístupu, log akcí v aplikaci.
• Fakturační údaje: historie objednávek, faktury, platební údaje (vyjma celých čísel platebních karet).
• Údaje vložené Zákazníkem: kontakty na dodavatele, jména koncových odběratelů z e-shopu apod. — k těmto datům přistupujeme pouze v roli zpracovatele.

Žádné zvláštní kategorie osobních údajů ve smyslu čl. 9 GDPR (zdraví, biometrie apod.) nezpracováváme.

• Plnění smlouvy (čl. 6 odst. 1 písm. b GDPR) — poskytování Služby, vedení účtu, fakturace, zákaznická podpora.
• Plnění právních povinností (čl. 6 odst. 1 písm. c GDPR) — povinnosti dle zákona o účetnictví (z. č. 563/1991 Sb.), zákona o DPH (z. č. 235/2004 Sb.) a daňového řádu.
• Oprávněné zájmy (čl. 6 odst. 1 písm. f GDPR) — zabezpečení Služby, prevence zneužití, vymáhání nároků, vnitřní statistika užívání bez identifikace jednotlivců.
• Souhlas (čl. 6 odst. 1 písm. a GDPR) — pouze tam, kde je výslovně udělen (např. zasílání marketingových sdělení, pokud jej Zákazník v budoucnu povolí). V současnosti žádný marketingový souhlas nezpracováváme.

Automatizované rozhodování: ve smyslu čl. 22 GDPR neprovádíme žádné automatizované rozhodování ani profilování s právními následky.

• Provozní logy a IP adresy: 12 měsíců, poté agregace nebo smazání.
• Účetní a daňové dokumenty (faktury): 10 let dle § 31 zákona č. 563/1991 Sb., o účetnictví.
• Kontaktní údaje a smluvní dokumentace: po dobu trvání smluvního vztahu a následně 4 roky pro účely promlčení případných nároků (§ 629 OZ).
• Údaje vložené Zákazníkem do aplikace: po dobu trvání smlouvy; po jejím ukončení dalších 30 dnů pro export. Poté nevratně mažeme.
• Zálohy: šifrované zálohy mohou obsahovat data po dobu rotace záloh (max. 30 dnů) i po smazání primárních dat.

Pro provoz Služby využíváme ověřené subzpracovatele v následujících kategoriích. S každým z nich máme uzavřenou smlouvu o zpracování osobních údajů (DPA) v souladu s čl. 28 GDPR.

• Cloudový hosting databáze a autentizace — primární region v EU.
• Cloudový hosting webové aplikace — primárně evropská infrastruktura; pokud je část infrastruktury v USA, je kryta rozhodnutím Komise o odpovídající úrovni ochrany v rámci EU-US Data Privacy Framework.
• Brána pro odesílání transakčních e-mailů (potvrzení, zapomenutá hesla, provozní notifikace) — poskytovatel sídlí v USA, kryt EU-US DPF.
• Externí účetnictví — na základě smlouvy s povinností mlčenlivosti, sídlo v ČR.
• Veřejná data — Služba čerpá veřejně dostupná data (kurzový lístek České národní banky a obdobné zdroje); na tyto zdroje žádné osobní údaje neodesíláme.

Aktuální jmenovitý seznam subzpracovatelů včetně názvů konkrétních poskytovatelů zpřístupňujeme na vyžádání na info@idex-corp.com. O změně subzpracovatele Vás informujeme s přiměřeným předstihem; máte právo vznést proti změně odůvodněnou námitku.

Část technické infrastruktury Služby může být provozována v USA. Takové předávání osobních údajů je v souladu s čl. 45 GDPR založeno na rozhodnutí Evropské komise o odpovídající úrovni ochrany v rámci EU-US Data Privacy Framework; pro případ, že by ochrana DPF přestala platit, jsou doplňkově sjednány Standardní smluvní doložky (SCCs) ve smyslu čl. 46 GDPR. Mimo EU/EHP a uvedené země s odpovídající úrovní ochrany osobní údaje nepředáváme.

Ve vztahu ke svým osobním údajům máte právo na:

• přístup k údajům (čl. 15 GDPR);
• opravu nepřesných údajů (čl. 16 GDPR);
• výmaz („právo být zapomenut“ – čl. 17 GDPR);
• omezení zpracování (čl. 18 GDPR);
• přenositelnost údajů (čl. 20 GDPR);
• vznést námitku proti zpracování (čl. 21 GDPR);
• kdykoli odvolat udělený souhlas;
• podat stížnost u dozorového orgánu — Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, uoou.gov.cz.

Vyřízení žádosti probíhá zpravidla do 30 dnů od jejího doručení na info@idex-corp.com.

V souladu s čl. 32 GDPR zavádíme přiměřená technická a organizační opatření odpovídající povaze a riziku zpracování — zejména šifrování přenosu (TLS), šifrované zálohy, řízení přístupů na úrovni databáze, oddělení rolí (admin / účetní / pracovník) a pravidelné aktualizace závislostí. Žádné opatření nedokáže zaručit absolutní bezpečnost; Zákazník je proto povinen chránit přístupové údaje svých Uživatelů a bez prodlení nahlásit podezření na incident.

Inventario používá výhradně technicky nezbytné cookies pro fungování přihlášení. Detailní informace jsou uvedeny v dokumentu Cookies. Z tohoto důvodu nezobrazujeme cookie banner — viz odůvodnění tamtéž.

Tento dokument může být průběžně aktualizován. Aktuální znění je vždy zveřejněno na této stránce s datem poslední aktualizace v záhlaví. O podstatných změnách aktivně informujeme stávající zákazníky e-mailem.

Dotazy, žádosti o uplatnění práv nebo nahlášení incidentu zasílejte prosím na info@idex-corp.com. Zpravidla odpovídáme do dvou pracovních dnů.