Ochrana osobních údajů
Poslední úprava: 13. 7. 2026.
Tento dokument popisuje, jak společnost Cointrack s.r.o. zpracovává tvé osobní údaje při poskytování služby Cointrack. Je závaznou součástí Podmínek služby a slouží zároveň jako ochrana tvých práv a jako transparentní popis našich povinností. Vychází z Nařízení Evropského parlamentu a Rady (EU) 2016/679 (GDPR) a zákona č. 110/2019 Sb., o zpracování osobních údajů.
1. Správce osobních údajů
Správcem osobních údajů ve smyslu čl. 4 odst. 7 GDPR je společnost Cointrack s.r.o., IČ: 29583667, se sídlem v České republice, zapsaná v obchodním rejstříku vedeném u příslušného rejstříkového soudu (dále jen „Cointrack" nebo „my"). Veškerá zpracování osobních údajů popsaná níže provádíme pod naší výhradní odpovědností. Pověřence pro ochranu osobních údajů (DPO) jsme nejmenovali — naše zpracování nevyžaduje DPO podle čl. 37 GDPR. Pro otázky k ochraně soukromí piš na privacy@cointrack.cz.
2. Jaké údaje o tobě zpracováváme
Zpracováváme jen ty údaje, které jsou nezbytné pro fungování služby, plnění zákonných povinností a ochranu našich oprávněných zájmů. Kategorie údajů:
- Registrační a přihlašovací údaje: e-mailová adresa, heslo (uchované jako kryptografický hash Argon2id, originál neukládáme), volitelně jméno, jazyk, ID zařízení.
- Finanční a účetní údaje: transakce z bankovních účtů (jen po tvém souhlasu PSD2), vystavené i přijaté faktury, účtenky, kategorizace, rozpočty, cíle, IČO/DIČ partnerů. Vše uložené šifrovaně v PostgreSQL hostované v České republice.
- Soubory a přílohy: fotky účtenek, PDF přijatých i vystavených faktur, e-mailové přílohy. Object storage (MinIO / Backblaze B2) v EU s AES-256 šifrováním v klidu.
- Technické a provozní údaje: IP adresa, user-agent prohlížeče, časové značky přístupů, identifikátor session, log neúspěšných přihlášení. Slouží k bezpečnosti, prevenci zneužití a auditu podle čl. 32 GDPR.
- Komunikační údaje: e-mailová korespondence s podporou, obsah ticketů, screenshoty problémů které nám zašleš. Uchováváme jen po dobu nutnou k vyřízení dotazu (max. 12 měsíců po uzavření ticketu).
- Fakturační údaje: pokud platíš za placené tarify — jméno (nebo firma), IČO, DIČ, sídlo, e-mail, variabilní symbol platby. Daňové doklady uchováváme dle § 35 zákona č. 235/2004 Sb., o DPH.
3. Účely a právní tituly zpracování
Pro každý účel zpracování máme konkrétní právní titul dle čl. 6 odst. 1 GDPR:
- Plnění smlouvy [čl. 6 odst. 1 písm. b)] — registrace, přihlášení, ukládání tvých dat, fakturace, cloud sync, OCR účtenek, generování faktur a QR Platba.
- Plnění právních povinností [čl. 6 odst. 1 písm. c)] — daňové doklady (DPH, účetnictví), reakce na požadavky orgánů činných v trestním řízení (jen na platné soudní příkazy nebo úřední usnesení).
- Oprávněný zájem [čl. 6 odst. 1 písm. f)] — bezpečnostní logy, prevence podvodů, ochrana před zneužitím služby, statistická analýza využití (anonymizovaná, agregovaná).
- Souhlas [čl. 6 odst. 1 písm. a)] — PSD2 napojení banky (souhlas trvá 90 dnů, poté nutno obnovit), volitelné marketingové e-maily (kdykoli se odhlásíš v patičce e-mailu).
4. Komu data předáváme
Zpracovatelé (čl. 28 GDPR), kteří nám pomáhají službu provozovat. S každým máme uzavřenou smlouvu o zpracování osobních údajů (DPA). Žádnému zpracovateli neumožňujeme používat data k vlastním účelům:
- Hetzner Online GmbH — hosting backendu, databáze a šifrovaných souborů, datacentra v Německu (EU).
- Vercel Inc. — CDN a hosting webového rozhraní, EU edge.
- Salt Edge Inc. (PSD2 AIS poskytovatel) — licencovaný PSD2 Account Information Service Provider pro napojení bank, na základě tvého výslovného souhlasu při connection flow.
- Fio banka, a.s. — přímé Fio API napojení (jen pokud sám zadáš Fio API token), token je u nás uložený AES-256-GCM šifrovaně.
- Solitea, a.s. (iDoklad) — iDoklad API pro synchronizaci faktur (jen pokud sám zadáš iDoklad credentials), Client Secret je u nás uložený AES-256-GCM šifrovaně.
- Google LLC — Gemini API pro OCR účtenek a faktur (zpracování v EU, Google se zavazuje neuchovávat obsah pro tréning modelů).
Tvá data NIKOMU neprodáváme, nesdílíme je pro reklamu, nepoužíváme je pro tréning AI modelů třetích stran. Žádný ze zpracovatelů nemá oprávnění používat data k jiným účelům než plnění naší zakázky.
5. Předávání mimo EU/EHP
V zásadě tvá data zůstávají v Evropském hospodářském prostoru (EHP). Servery jsou v Německu (Hetzner). Zálohy v EU (Backblaze B2). Google Gemini API zpracovává v EU regionech. Pokud výjimečně nastane potřeba předat data mimo EHP (například při použití podpůrných služeb od US poskytovatelů), předání probíhá výhradně na základě Standardních smluvních doložek (SCC) schválených Evropskou komisí dle čl. 46 odst. 2 písm. c) GDPR.
6. Jak dlouho data uchováváme
- Finanční data — po dobu aktivního účtu. Po smazání účtu: 30 dní soft-delete (možnost obnovy), pak trvale smazány z provozní DB.
- Daňové doklady (faktury, účtenky) — 10 let dle § 35 zákona č. 235/2004 Sb. o DPH, počítáno od konce kalendářního roku.
- Provozní a bezpečnostní logy — 90 dní (pak agregovaný anonymizovaný extrakt 12 měsíců pro statistiky).
- Zálohy — denní zálohy 30 dní, týdenní 90 dní, měsíční 12 měsíců (Backblaze B2 EU).
- Marketing e-maily — dokud máš souhlas (kdykoli odvoláš). Po odvolání pouze záznam o samotném odvolání po dobu 3 let.
7. Tvá práva podle GDPR
Jako subjekt údajů máš tato práva podle čl. 15–22 GDPR. Veškerá můžeš uplatnit zdarma a my na ně reagujeme do 30 dnů (ve složitých případech do 90 dnů s tím, že tě o prodloužení informujeme):
- Právo na přístup (čl. 15) — informace o tom, jaké údaje o tobě zpracováváme, k jakému účelu, jak dlouho, komu předáváme. Export všech dat v ZIP (JSON + soubory) v Nastavení → Účet → GDPR export.
- Právo na opravu (čl. 16) — všechna data můžeš editovat v aplikaci. Pokud nemůžeš (např. e-mail nejde upravit), napiš nám.
- Právo na výmaz / „být zapomenut" (čl. 17) — Nastavení → Smazat účet. Operace je nevratná. Výjimkou jsou údaje, které musíme uchovávat z důvodu právních povinností (daňové doklady — 10 let).
- Právo na omezení zpracování (čl. 18) — pokud zpochybníš správnost údajů nebo zákonnost zpracování. Pozastavíme aktivní zpracování až do vyřešení.
- Právo na přenositelnost (čl. 20) — export ve strojově čitelném formátu (JSON / CSV) pro přenos k jinému poskytovateli.
- Právo vznést námitku (čl. 21) — proti zpracování na základě oprávněného zájmu (např. statistiky využití). Námitku posoudíme a pokud nepřevažují závažné důvody, zpracování zastavíme.
- Právo nepodléhat automatizovanému rozhodování (čl. 22) — Cointrack NEPOUŽÍVÁ automatizované rozhodování s právními účinky ani profilování. Auto-kategorizace transakcí (AI) je pouze návrh, který kdykoli můžeš přepsat.
- Právo odvolat souhlas (čl. 7 odst. 3) — kdykoli můžeš odvolat udělený souhlas (PSD2, marketing). Odvolání nemá zpětný účinek na zpracování provedené před odvoláním.
- Právo podat stížnost u dozorového úřadu (čl. 77) — Úřad pro ochranu osobních údajů (uoou.gov.cz) — pokud se domníváš, že porušujeme tvá práva. Adresa: Pplk. Sochora 27, 170 00 Praha 7. Doporučujeme nás kontaktovat nejdřív přímo — většinu věcí vyřešíme bez úřadu.
8. Bezpečnost zpracování
Přijímáme technická a organizační opatření přiměřená rizikům podle čl. 32 GDPR:
- TLS 1.3 pro veškerou komunikaci klient ↔ server, HSTS preload
- Hesla hashovaná Argon2id (OWASP doporučení) — originál nikdy neukládáme
- Databáze šifrovaná na úrovni disku (Postgres) + citlivá pole navíc s pgcrypto AES-256
- API tokeny, bankovní credentials a iDoklad Client Secret šifrované AES-256-GCM s rotovatelným klíčem
- Princip minimálních oprávnění (least privilege), 2FA na všechny administrativní účty, audit log všech privilegovaných operací
- Pravidelné bezpečnostní audity, penetration testy a dependency vulnerability scanning
- Incident response plan: kritické incidenty (data breach) oznamujeme postiženým uživatelům i ÚOOÚ do 72 hodin podle čl. 33 GDPR
- Pravidelná školení vývojářů a operations týmu o bezpečnosti a GDPR
9. Automatizované rozhodování a profilování
Cointrack NEPOUŽÍVÁ automatizované rozhodování s právními účinky ani významným dopadem na tebe ve smyslu čl. 22 GDPR. Automatizované funkce jsou pouze podpůrné (návrh kategorie pro transakci, OCR textu z účtenky) a vždy si výsledek můžeš upravit. Žádné rozhodnutí o tobě (např. schválení tarifu, prodloužení účtu) není činěno čistě algoritmicky.
10. Děti a osoby mladší 18 let
Služba Cointrack je určena výhradně osobám starším 18 let. Vědomě neshromažďujeme údaje od dětí. Pokud zjistíš, že nám dítě poskytlo údaje, kontaktuj nás na privacy@cointrack.cz a okamžitě je smažeme.
11. Cookies a podobné technologie
Web cointrack.cz používá pouze technické cookies nezbytné pro fungování (session, preference jazyka) a cookieless analytiku přes Plausible. Žádné Google Analytics, Meta Pixel, TikTok Pixel ani retargeting. Detailní seznam: viz Zásady používání cookies.
12. Změny tohoto dokumentu
Vyhrazujeme si právo tyto zásady aktualizovat (např. při změně právní úpravy, technologie, dodavatelů). Podstatné změny ti oznámíme e-mailem nejméně 30 dní před účinností a budeš mít právo službu ukončit. Drobné úpravy (opravy překlepů, formální přepracování) provádíme bez notifikace, ale vždy aktualizujeme datum „Poslední úprava".
13. Kontakt
Na otázky k ochraně osobních údajů odpovídáme na privacy@cointrack.cz.