Zpět
JDETOBEZBANKY!

Právní dokument · Interní systém

Ochrana osobních údajů

Informace o zpracování osobních údajů v interním systému JDETOBEZBANKY Sales Hub v souladu s Nařízením (EU) 2016/679 (GDPR) a zákonem č. 110/2019 Sb., o zpracování osobních údajů.

Účinnost od
24. dubna 2026
Verze
3.0
Identifikátor
PRIV-2026-03
Jazyk
Čeština (cs-CZ)

Interní systém pro zaměstnance a spolupracovníky

Tento dokument popisuje zpracování osobních údajů uživatelů interního systému určeného výhradně pro zaměstnance, statutární orgány a smluvní partnery společnosti Fin & Reality s.r.o. Společnost působí v oblasti zprostředkování podnikatelských úvěrů se zajištěním nemovitostí a souvisejících realitních činností; interní systém slouží k řízení této obchodní činnosti. Zpracování se řídí zejména GDPR, zákonem č. 110/2019 Sb., zákonem č. 262/2006 Sb. (zákoník práce) a zákonem č. 563/1991 Sb. (o účetnictví).
Obsah dokumentu(15)
Rozbalit

Správce osobních údajů

Správcem osobních údajů ve smyslu čl. 4 odst. 7 GDPR je společnost Fin & Reality s.r.o., se sídlem Valentinská 1061/6, 110 00 Praha 1, IČO: 19729821, DIČ: CZ19729821, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze (dále jen „Správce"). Správce působí zejména v oblasti zprostředkování podnikatelských úvěrů se zajištěním nemovitostí a realitních služeb; systém neslouží k poskytování ani zprostředkování spotřebitelských úvěrů dle zákona č. 257/2016 Sb.

Sídlo

Valentinská 1061/6, Praha 1

IČO / DIČ

19729821 / CZ19729821

E-mail

info@jdetobezbanky.cz

Telefon

+420 210 012 593

Pověřenec a kontakt v GDPR věcech

Správce nemá zákonnou povinnost jmenovat pověřence pro ochranu osobních údajů (DPO) dle čl. 37 GDPR, neboť jeho hlavní činnost nespočívá v rozsáhlém systematickém monitorování ani zpracování zvláštních kategorií údajů. Pro jakékoliv dotazy, žádosti subjektů údajů nebo oznámení incidentů má Správce zřízeno jednotné kontaktní místo.

Jednotné kontaktní místo

Veškerá komunikace ve věcech ochrany osobních údajů: info@jdetobezbanky.cz (do předmětu uveďte „GDPR"). Správce odpoví bez zbytečného odkladu, nejpozději do 1 měsíce od doručení žádosti (čl. 12 odst. 3 GDPR); lhůta může být ve složitých případech prodloužena nejdéle o další 2 měsíce.

Účely a kategorie zpracování

Osobní údaje zpracováváme výhradně pro následující účely v rámci provozu interního systému. Pro každý účel evidujeme záznam o činnostech zpracování dle čl. 30 GDPR.

  • Správa uživatelských účtů – vytvoření, administrace a deaktivace přístupů autorizovaných osob.
  • Provozní a výkonnostní agenda – evidence obchodních výsledků, výpočet provizí, bonusů a overrides, reporting managementu.
  • Plnění pracovněprávních povinností – docházka, úkolování, evidence výkonu práce dle § 96 zákoníku práce.
  • Bezpečnost, audit a kybernetická bezpečnost – logování přístupů, detekce incidentů, auditní stopa k transakcím a konfiguračním změnám.
  • Plnění právních povinností – účetní a daňová archivace, odpovědi orgánům veřejné moci, obrana právních nároků.
  • Řízení vztahů s klienty a partnery – kontaktní údaje obchodních partnerů jen v rozsahu nezbytném pro poskytování služeb společnosti.

Právní základ zpracování

Plnění smlouvy (čl. 6 odst. 1 písm. b) GDPR)

Zpracování nezbytné pro plnění pracovní, manažerské nebo obchodní smlouvy uzavřené s uživatelem – zejména výpočet odměny, provizí a plnění smluvního závazku.

Plnění právní povinnosti (čl. 6 odst. 1 písm. c) GDPR)

Uchovávání účetních dokladů dle zákona č. 563/1991 Sb., daňových dokladů dle § 35 zákona č. 235/2004 Sb., o DPH, a zákonem stanovených evidencí dle zákoníku práce.

Oprávněný zájem (čl. 6 odst. 1 písm. f) GDPR)

Zajištění bezpečnosti systému, prevence podvodů, ochrana obchodního tajemství (§ 504 zákona č. 89/2012 Sb., občanský zákoník) a vymáhání právních nároků. Zpracování probíhá po provedení testu proporcionality; subjekt údajů má právo vznést námitku.

Souhlas (čl. 6 odst. 1 písm. a) GDPR)

Pouze v rozsahu nad rámec zákonných povinností (např. zasílání nadstandardního newsletteru). Souhlas lze kdykoli odvolat bez vlivu na zákonnost předchozího zpracování.

Kategorie zpracovávaných údajů

Zpracováváme pouze údaje nezbytné k uvedeným účelům v souladu s principem minimalizace (čl. 5 odst. 1 písm. c) GDPR):

Kategorie zpracovávaných osobních údajů
KategoriePříklady údajů
IdentifikačníJméno, příjmení, titul, pracovní pozice, ID uživatele
KontaktníPracovní e-mail, pracovní telefon
PřístupovéUživatelské jméno, hashované heslo (bcrypt), 2FA token
Provozní a výkonnostníObchodní výsledky, provize, overrides, metriky výkonu
TechnickéIP adresa, časová razítka, user-agent, auditní logy
Pracovněprávní (omezeně)Pracoviště, tým, nadřízený, rozsah oprávnění

Žádné zvláštní kategorie údajů

Nezpracováváme zvláštní kategorie osobních údajů dle čl. 9 GDPR (zdraví, biometrické údaje, politické názory apod.) ani údaje o odsouzeních dle čl. 10 GDPR.

Zdroje údajů a jejich původ

  • Přímo od subjektu údajů – při uzavření smluvního vztahu, registraci do systému a následné aktivitě.
  • Z interních systémů Správce – HR, účetnictví, CRM, reporty partnerů.
  • Z veřejných rejstříků – ARES, obchodní rejstřík, pouze pro ověření identity u statutárních orgánů a partnerů.

Doba uchovávání

Lhůty pro uchovávání osobních údajů
Typ údajůDoba uchováváníPrávní důvod
Uživatelský účetPo dobu trvání smluvního vztahu + 3 rokyObrana právních nároků (§ 629 NOZ)
Mzdové a provizní záznamy30 / 10 let§ 35a zák. 582/1991 Sb.; § 35 zákona o DPH
Účetní doklady10 let od konce účetního období§ 31 zákona č. 563/1991 Sb., o účetnictví
Auditní logy a přístupy3 roky od pořízeníOprávněný zájem – kyberbezpečnost
Komunikace subjektů údajů3 roky od vyřízení žádostiPlnění povinností dle čl. 12 GDPR

Po uplynutí lhůt jsou údaje buď neodvolatelně anonymizovány, nebo bezpečně vymazány (včetně záloh v rámci jejich rotace).

Příjemci a zpracovatelé

Osobní údaje nejsou předávány třetím stranám s výjimkou následujících kategorií příjemců, se kterými máme uzavřenou smlouvu o zpracování osobních údajů dle čl. 28 GDPR:

Kategorie příjemců a zpracovatelů
KategorieÚčelLokalita
Poskytovatel hostingu (Railway)Běh aplikace a infrastrukturaEU
Databázová služba (Neon / PostgreSQL)Úložiště aplikačních datEU (Frankfurt)
Poskytovatel e-mailové komunikaceTransakční e-mailyEU
Auditor / právní zástupceAudit a právní poradenstvíČR
Orgány veřejné mociPouze na základě zákonaČR / EU

Předávání mimo EU/EHP

Bez předávání do třetích zemí

Osobní údaje jsou uloženy výhradně v datových centrech na území Evropské unie. Správce neprovádí předávání osobních údajů do třetích zemí ani mezinárodním organizacím ve smyslu čl. 44 a násl. GDPR. Pokud by v budoucnu k předání došlo, bude zajištěno standardními smluvními doložkami (SCC 2021/914) a doplňkovými opatřeními.

Automatizované rozhodování a profilování

Žádné automatizované rozhodování s právními účinky

V systému neprobíhá automatizované individuální rozhodování ani profilování ve smyslu čl. 22 GDPR, které by mělo právní účinky vůči uživatelům nebo je obdobně významně ovlivňovalo. Výpočty provizí jsou prováděny deterministicky podle předem stanovených pravidel a podléhají kontrole člověkem (manažerská validace).

Zabezpečení údajů

Správce přijal vhodná technická a organizační opatření dle čl. 32 GDPR s ohledem na povahu, rozsah, kontext a účely zpracování i na rizika pro práva a svobody fyzických osob:

Šifrování přenosu TLS 1.3
Šifrování dat at-rest v DB
Hashování hesel (bcrypt, cost ≥ 12)
Dvoufaktorová autentizace (2FA)
Řízení přístupů (RBAC, princip least privilege)
Segregace prostředí (prod / staging / dev)
Pravidelné zálohy se šifrováním
Monitoring a detekce anomálií
Logování auditní stopy (3 roky)
Periodické bezpečnostní revize
Interní směrnice o kyberbezpečnosti
Školení pracovníků s přístupem
V relevantním rozsahu se řídíme zákonem č. 181/2014 Sb., o kybernetické bezpečnosti, a směrnicí (EU) 2022/2555 (NIS2).

Postup při úniku údajů

V případě porušení zabezpečení osobních údajů, které bude mít za následek riziko pro práva a svobody fyzických osob, ohlásí Správce incident Úřadu pro ochranu osobních údajů do 72 hodin od jeho zjištění dle čl. 33 GDPR. Pokud porušení představuje vysoké riziko, bez zbytečného odkladu informuje také dotčené subjekty údajů dle čl. 34 GDPR.

Vaše práva jako subjektu údajů

V souvislosti se zpracováním osobních údajů máte níže uvedená práva dle čl. 15 až 22 GDPR:

Právo na přístup

Získat potvrzení o zpracování a kopii údajů (čl. 15)

Právo na opravu

Opravit nepřesné nebo doplnit neúplné údaje (čl. 16)

Právo na výmaz

Být zapomenut, pokud nepřevažuje právní důvod (čl. 17)

Právo na omezení

Omezit zpracování v stanovených případech (čl. 18)

Právo na přenositelnost

Získat data v strojově čitelném formátu (čl. 20)

Právo vznést námitku

Namítat zpracování z oprávněného zájmu (čl. 21)

Právo nebýt předmětem rozhodnutí

Odmítnout automatizované rozhodování (čl. 22)

Právo odvolat souhlas

Kdykoli bez udání důvodu (čl. 7 odst. 3)

Uplatnění práv a stížnosti

Uplatnění u Správce

Svá práva můžete uplatnit e-mailem na info@jdetobezbanky.cz nebo písemně na adresu sídla. Pro ověření totožnosti můžeme požádat o doplňující údaje. Vyřízení je bezplatné; v případě zjevně neopodstatněných nebo nepřiměřených žádostí můžeme účtovat přiměřený poplatek nebo žádost odmítnout.

Stížnost u dozorového úřadu

Pokud se domníváte, že je zpracováním porušeno GDPR nebo zákon č. 110/2019 Sb., máte právo podat stížnost u dozorového úřadu: Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, tel. +420 234 665 111, datová schránka qkbaa2n, uoou.gov.cz.

Změny zásad

Tyto zásady můžeme aktualizovat v reakci na legislativní změny, rozhodovací praxi ÚOOÚ nebo změny v našich procesech. O podstatných změnách informujeme uživatele minimálně 14 dní předem prostřednictvím systému nebo e-mailem.

Historie verzí

  • v3.0 – 24. 4. 2026 · Doplnění NIS2, detailní retence, zdroje údajů, postupy pro incidenty.
  • v2.0 – 22. 3. 2026 · Sjednocení provizních overrides a rozšíření příjemců.
  • v1.0 – první vydání dle GDPR.

Související dokumenty

Podmínky užívání

Pravidla přístupu a povinnosti uživatelů systému.

Zásady cookies

Jaké soubory cookies systém používá a proč.