Zásady ochrany osobních údajů
1. Správce osobních údajů
Správcem osobních údajů ve smyslu nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „GDPR"), je:
LV media s.r.o.Tři Dvory 32, 784 01 Litovel
IČO: 179 78 483
zapsaná v obchodním rejstříku vedeném Krajským soudem v Ostravě
Kontaktní e-mail: info@facts.cz
(dále jen „Facts.cz" nebo „Správce")
Facts.cz nemá zákonnou povinnost jmenovat pověřence pro ochranu osobních údajů (DPO).
2. Jaké údaje zpracováváme
2.1 Údaje, které poskytujete při registraci a používání Služby
- Identifikační a kontaktní údaje: e-mailová adresa, typ účtu (Patreon nebo Native), a u Native účtů heslo uložené pouze v zahashované podobě algoritmem bcrypt (samotné heslo neukládáme a nemůžeme jej žádným způsobem rekonstruovat).
- Údaje o Patreon předplatném: identifikátor Patreon účtu (Patreon User ID), úroveň podpory, datum posledního ověření aktivního členství. Samotné platby probíhají na Patreonu; Facts.cz nezpracovává platební karty ani bankovní údaje Patreon uživatelů.
- Údaje o Stripe předplatném: Stripe Customer ID, Stripe Subscription ID, identifikátor zvoleného produktu/ceny, stav předplatného (active / trialing / past_due / canceled), datum konce aktuálního období a příznak „cancel-at-period-end". Tato metadata o předplatném jsou nezbytná k tomu, abychom uživateli mohli zpřístupnit aplikaci a zobrazit mu jeho fakturační stav. Samotné platební údaje (číslo karty, CVV, údaje o bankovním účtu apod.) zpracovává a uchovává výhradně Stripe — Facts.cz je nikdy nevidí ani neukládá.
- Investiční data: portfolia, transakce (nákupy, prodeje, dividendy, poplatky), import IDs, poznámky a další obsah, který do Služby aktivně nahrajete. Tyto údaje představují informace o vašich investicích a Facts.cz s nimi nakládá jako s důvěrnými.
- API klíče brokerů: v případě napojení přes Trading 212 API ukládáme šifrovaně API klíč a tajemství. Tyto údaje slouží výhradně k synchronizaci vašich obchodů a nikdy se nesdílí s třetími stranami nad rámec komunikace s daným brokerem.
2.2 Údaje sbírané automaticky
- Provozní log: IP adresa, datum a čas přístupu, typ prohlížeče, požadovaná URL, HTTP status. Slouží k zabezpečení, detekci útoků a ladění chyb.
- Session cookies: nezbytné cookies pro přihlášení a běh aplikace.
- Preference: volby uložené ve vašem prohlížeči (zvolená měna, filtry, aktivní záložka). Tyto údaje zůstávají lokálně ve vašem zařízení (localStorage) a Facts.cz k nim přistupuje pouze jako k tokenům pro správné chování UI.
3. Účely a právní základy zpracování
| Účel zpracování | Právní základ (GDPR čl. 6) | Doba uchování |
|---|---|---|
| Poskytování a provozování Služby (registrace, přihlášení, výpočty) | Plnění smlouvy – čl. 6 odst. 1 písm. b) | Po dobu trvání Účtu |
| Synchronizace transakcí přes broker API | Plnění smlouvy – čl. 6 odst. 1 písm. b) | Po dobu trvání Účtu |
| Zabezpečení Služby, prevence zneužití, technická diagnostika | Oprávněný zájem Správce – čl. 6 odst. 1 písm. f) | Max. 12 měsíců (provozní logy) |
| Ověření aktivního Patreon členství | Plnění smlouvy – čl. 6 odst. 1 písm. b) | Po dobu trvání předplatného |
| Správa Stripe předplatného (Checkout, fakturace, billing portal) | Plnění smlouvy – čl. 6 odst. 1 písm. b) | Po dobu trvání předplatného + 10 let po skončení (faktury) |
| Reset hesla u Native účtu (jednorázové tokeny v e-mailu) | Plnění smlouvy – čl. 6 odst. 1 písm. b) | Token: 1 hodina. Záznam o použití: max. 12 měsíců |
| Účetní a daňové povinnosti | Plnění právní povinnosti – čl. 6 odst. 1 písm. c) | 10 let (zák. o DPH a o účetnictví) |
| Vyřízení žádostí, podpora, komunikace | Oprávněný zájem / plnění smlouvy | 3 roky od ukončení komunikace |
4. Komu údaje předáváme (zpracovatelé)
Vaše osobní údaje sdílíme pouze v rozsahu nezbytném pro provoz Služby a pouze s důvěryhodnými zpracovateli, kteří jsou smluvně zavázáni k jejich ochraně:
- Poskytovatel cloudového hostingu a databáze (MongoDB Atlas / VPS poskytovatel) – ukládání dat a provoz aplikace, datová centra v EU.
- EODHD – externí zdroj tržních dat (historické ceny, dividendy, fundamenty). Předáváme pouze tickery a symbol identifikátory, žádné osobní údaje.
- SEC EDGAR – veřejné API americké regulatorní autority pro 13F výkazy. Bez sdílení osobních údajů.
- Trading 212 / další brokeři – při napojení přes API komunikujeme jejich rozhraním pomocí vámi poskytnutého klíče. Nesdílíme vaše osobní údaje, pouze ověřujeme přístup a stahujeme vaše transakce.
- Patreon – pro ověření aktivního členství v rámci Patreon přihlášení. Vztah mezi vámi a Patreonem se řídí jeho podmínkami a zásadami ochrany osobních údajů (policies.patreon.com/privacy).
- Stripe – Stripe Payments Europe, Limited (Irsko), pro zpracování plateb, fakturaci, vystavování faktur a billing portál v rámci Stripe předplatného. Stripe vystupuje jako samostatný správce platebních údajů (číslo karty, údaje o bankovním účtu, fakturační adresa) — tyto údaje Facts.cz nikdy nevidí ani neukládá. Stripe Privacy Policy: stripe.com/privacy. Facts.cz si od Stripe uchovává pouze metadata o stavu předplatného (Customer ID, Subscription ID, Price/Product ID, status, konec období).
- Poskytovatel transakčních e-mailů – pro odesílání systémových e-mailů (např. potvrzení registrace, odkaz na reset hesla u Native účtů, oznámení o stavu předplatného). E-mailové zprávy odcházejí přes externího provozovatele SMTP/API; jejich vztah s námi pokrývá Data Processing Agreement.
Vaše údaje neprodáváme a nepoužíváme pro marketingové profilování třetími stranami.
5. Předávání do třetích zemí
Stripe Payments Europe, Limited je usazena v Irsku (EU), avšak v rámci globální infrastruktury Stripe může docházet k předávání části dat mateřské společnosti Stripe, Inc. ve Spojených státech amerických. Patreon a EODHD jsou primárně provozovány ze Spojených států. V takových případech je předání zajištěno v souladu s čl. 44 a násl. GDPR — zejména prostřednictvím standardních smluvních doložek (SCC) schválených Evropskou komisí, případně na základě rozhodnutí o odpovídající ochraně (např. EU–US Data Privacy Framework, pokud je zpracovatel certifikován), doplněných o technická a organizační opatření (šifrování přenosu, omezení účelu, minimalizace).
6. Vaše práva
V souvislosti se zpracováním vašich osobních údajů máte podle GDPR následující práva:
- Právo na přístup (čl. 15) – získat potvrzení, zda zpracováváme vaše osobní údaje, a jejich kopii.
- Právo na opravu (čl. 16) – opravit nepřesné nebo doplnit neúplné údaje.
- Právo na výmaz („právo být zapomenut", čl. 17) – požádat o smazání vašich údajů, pokud již nejsou potřebné k účelu, pro který byly shromážděny, případně pokud byly zpracovány nezákonně.
- Právo na omezení zpracování (čl. 18) – v určitých situacích omezit, jak vaše údaje zpracováváme.
- Právo na přenositelnost údajů (čl. 20) – získat své údaje ve strukturovaném, běžně používaném a strojově čitelném formátu (export).
- Právo vznést námitku (čl. 21) – proti zpracování založenému na oprávněném zájmu.
- Právo odvolat souhlas – pokud je zpracování založeno na souhlasu, můžete jej kdykoli odvolat. Odvolání nemá vliv na zpracování provedené před odvoláním.
- Právo podat stížnost u dozorového úřadu – v ČR je to Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, www.uoou.cz.
Svá práva můžete uplatnit zasláním e-mailu na info@facts.cz. Vaši žádost vyřídíme bez zbytečného odkladu, nejpozději do 30 dnů. V případě potřeby (složitost, počet žádostí) můžeme lhůtu prodloužit o dva měsíce, o čemž vás budeme informovat.
7. Cookies a podobné technologie
Facts.cz používá pouze následující kategorie cookies:
- Nezbytné (technické) cookies – pro fungování přihlášení, session, CSRF ochrany. Bez nich Služba nemůže fungovat. Tyto cookies nevyžadují souhlas.
- Preferenční úložiště – ve vašem prohlížeči (localStorage) ukládáme nastavení UI (zvolená měna, filtry, aktivní záložka, scroll pozice). Tyto údaje neopouští vaše zařízení.
Facts.cz nepoužívá reklamní cookies, sledovací pixely třetích stran ani tracking pro behaviorální cílení reklamy.
8. Zabezpečení
Provozovatel přijal přiměřená technická a organizační opatření k ochraně osobních údajů s ohledem na povahu, rozsah, kontext a účely zpracování:
- šifrované přenosy přes HTTPS (TLS);
- hashování hesel pomocí moderních algoritmů (bcrypt/scrypt/argon2);
- šifrované ukládání API klíčů třetích stran;
- omezený přístup k databázi pouze pro autorizované role;
- pravidelné aktualizace závislostí a bezpečnostní monitoring;
- oddělené prostředí pro vývoj a produkci.
I přes výše uvedená opatření nelze 100% bezpečnost zaručit. V případě bezpečnostního incidentu, který by mohl mít negativní dopad na vaše práva, vás budeme informovat v souladu s čl. 33 a 34 GDPR.
9. Smazání Účtu a důsledky
Při zrušení Účtu (samoobslužně v nastavení nebo na žádost zaslanou na info@facts.cz) bez zbytečného odkladu smažeme vaše osobní údaje s výjimkou těch, u nichž nás právní povinnost nutí je uchovávat déle (typicky účetní doklady po dobu 10 let dle zákona č. 235/2004 Sb. o DPH a č. 563/1991 Sb. o účetnictví).
Pokud máte aktivní Stripe předplatné, doporučujeme jej zrušit před smazáním Účtu (Předplatné → Spravovat předplatné → Cancel). Po smazání Účtu si u Stripe ponecháváme metadata o předplatném (Customer ID, faktury, historie plateb) pouze v rozsahu nutném pro účetní a daňové povinnosti. Faktury a platební údaje zůstávají uloženy u Stripe v souladu s jejich vlastními zásadami.
Pokud používáte přihlášení přes Patreon, samotné zrušení Patreon členství proveďte přímo na platformě Patreon — to není v naší dispozici.
10. Nezletilí
Služba není určena osobám mladším 16 let. Pokud se Provozovatel dozví, že zpracovává údaje osoby mladší 16 let bez souhlasu zákonného zástupce, takové údaje neprodleně smaže.
11. Změny zásad
Tyto Zásady mohou být aktualizovány. O podstatných změnách budeme informovat e-mailem registrovaným uživatelům nebo upozorněním ve Službě nejméně 14 dní před účinností. Aktuální znění je vždy dostupné na adrese www.facts.cz/privacy.
12. Kontakt
Pro jakékoli otázky týkající se zpracování osobních údajů nebo uplatnění vašich práv nás kontaktujte na info@facts.cz.