1. Správce osobních údajů
Správcem osobních údajů ve smyslu Nařízení Evropského parlamentu a Rady (EU) 2016/679 (GDPR) je:
CukrCafé s.r.o.
Sídlo: Panská 895/6, Nové Město, 110 00 Praha 1
IČO: 06439845
DIČ: CZ06439845
Zapsaná v obchodním rejstříku vedeném Městským soudem v Praze [DOPLNIT oddíl/vložka]
E-mail: info@cukrcafe.cz
Web: https://www.cukrcafe.cz
(dále jen „správce" nebo „my")
2. Kategorie zpracovávaných osobních údajů
Při nákupu dárkového poukazu a souvisejících službách zpracováváme následující kategorie osobních údajů:
2.1. Údaje, které nám sami poskytnete
Údaje o kupujícím (povinné pro vystavení voucheru a daňového dokladu):
- E-mailová adresa
- Jméno a příjmení (volitelné)
- Telefonní číslo (volitelné)
- Fakturační adresa, IČO a DIČ (volitelné, pro firemní zákazníky)
Údaje o příjemci dárkového poukazu (poskytujete je vy jako kupující):
- Jméno a příjmení (povinné pro personalizaci voucheru)
- E-mailová adresa (pokud si přejete zaslat voucher přímo příjemci)
- Doručovací adresa (pouze v případě doručení poukazu poštou)
- Osobní vzkaz (volitelně, vytisknutý / zobrazený na voucheru)
Důležité: Pokud nám předáváte údaje o jiné osobě (příjemci poukazu), prohlašujete, že jste oprávněn(a) tyto údaje sdílet, případně že jste o tom příjemce informoval(a). My pak tomuto příjemci na vyžádání poskytneme všechny informace o zpracování.
2.2. Údaje, které získáváme automaticky
- Technické údaje: IP adresa, typ zařízení a prohlížeče, jazyk, časové razítko požadavku
- Auditní záznam: záznamy o provedených akcích v rámci objednávky a uplatnění voucheru (vytvoření, platba, zaslání, uplatnění) — pro účely doložení transakce, ochrany proti zneužití a účetnictví
- Údaje o platbě: typ platební metody, identifikátor transakce od platební brány, výsledek platby (úspěch / chyba). Číslo platební karty u nás NEUKLÁDÁME — zpracovává jej výhradně platební brána GoPay.
3. Účely a právní základy zpracování
| Účel zpracování | Právní základ | Doba uchování |
|---|---|---|
| Vystavení a doručení dárkového poukazu, plnění kupní smlouvy | čl. 6 odst. 1 písm. b) GDPR — plnění smlouvy | Po dobu platnosti voucheru + 4 roky pro účely reklamace |
| Vystavení daňového dokladu (faktury) | čl. 6 odst. 1 písm. c) GDPR — právní povinnost (zákon o účetnictví, zákon o DPH) | 10 let od konce zdaňovacího období |
| Auditní záznam (kdo, co, kdy, IP) | čl. 6 odst. 1 písm. f) GDPR — oprávněný zájem (ochrana proti podvodu, řešení reklamací) | 5 let od poslední aktivity |
| Komunikace se zákazníkem (e-mail, dotaz, reklamace) | čl. 6 odst. 1 písm. b) a f) GDPR | 3 roky |
| Zaslání marketingových sdělení (newsletter) | čl. 6 odst. 1 písm. a) GDPR — souhlas | Do odvolání souhlasu |
| Plnění zákonných povinností (např. odpověď orgánům státní správy) | čl. 6 odst. 1 písm. c) GDPR | Podle lhůty stanovené zákonem |
4. Příjemci osobních údajů (zpracovatelé)
Vaše osobní údaje můžeme předat následujícím zpracovatelům, kteří pro nás zajišťují technický provoz služby. Se všemi máme uzavřenou smlouvu o zpracování osobních údajů dle čl. 28 GDPR.
| Zpracovatel | Účel | Sídlo / hosting |
|---|---|---|
| Supabase Inc. | Databáze a úložiště dat objednávky a vouchery | EU (Frankfurt, Německo) |
| Resend, Inc. | Doručování transakčních e-mailů (potvrzení, voucher) | USA — předání na základě standardních smluvních doložek (SCC) |
| Vercel Inc. | Hostování webové aplikace a edge funkce | USA — předání na základě SCC |
| GoPay s.r.o. | Zpracování online platby (kartou, převodem) | Česká republika |
| Upstash, Inc. | Rate limiting (ochrana proti útokům na formuláře) | EU (Frankfurt) |
Vaše údaje nikomu jinému neprodáváme ani je nepředáváme za jiným než uvedeným účelem. K údajům mají přístup pouze pověření zaměstnanci a smluvní partneři, kteří je nutně potřebují pro výkon své činnosti.
5. Předávání údajů mimo Evropský hospodářský prostor
Některá data jsou zpracovávána u dodavatelů se sídlem ve Spojených státech amerických (Resend, Vercel). Předání je realizováno na základě standardních smluvních doložek (SCC) schválených Evropskou komisí, případně dalších vhodných záruk dle čl. 46 GDPR. Tyto smlouvy zaručují obdobnou úroveň ochrany jako uvnitř EU.
6. Vaše práva jako subjektu údajů
V souvislosti se zpracováním máte následující práva, která můžete kdykoli uplatnit zasláním e-mailu na info@cukrcafe.cz:
- Právo na přístup — informace o tom, jaké údaje o vás zpracováváme (čl. 15 GDPR)
- Právo na opravu — pokud jsou údaje nepřesné nebo neúplné (čl. 16 GDPR)
- Právo na výmaz („právo být zapomenut") — pokud již údaje nepotřebujeme, vznesete námitku nebo odvoláte souhlas (čl. 17 GDPR). Výjimka: údaje, které máme povinnost uchovávat dle zákona (např. účetní doklady — 10 let), vymazat nelze.
- Právo na omezení zpracování — v případech vyjmenovaných v čl. 18 GDPR
- Právo vznést námitku proti zpracování na základě oprávněného zájmu nebo pro účely přímého marketingu (čl. 21 GDPR)
- Právo na přenositelnost — získat údaje ve strojově čitelném formátu (čl. 20 GDPR)
- Právo odvolat souhlas kdykoli — odvolání nemá vliv na zákonnost zpracování před odvoláním
- Právo podat stížnost u dozorového úřadu, kterým je v České republice:
Úřad pro ochranu osobních údajů (ÚOOÚ)
Pplk. Sochora 27, 170 00 Praha 7
www.uoou.cz · posta@uoou.cz · +420 234 665 111
Na vaše žádosti odpovídáme nejpozději do 30 dnů od obdržení.
7. Cookies a obdobné technologie
Na našem webu používáme pouze technicky nezbytné cookies, které jsou potřebné pro správné fungování webu a vaši přihlášenou relaci. Pro tyto cookies nepotřebujeme váš souhlas (čl. 5 odst. 3 směrnice 2002/58/ES, transponováno do § 89 zákona č. 127/2005 Sb.).
Aktuálně používáme:
| Cookie | Účel | Doba platnosti |
|---|---|---|
authjs.session-token | Přihlášená relace administrátora | 7 dnů (rolling) |
authjs.csrf-token | Ochrana proti CSRF útokům | Doba relace |
Tracking, analytika ani reklamní cookies se nepoužívají. Pokud v budoucnu zařadíme analytické nástroje (např. Plausible nebo Umami), budou nakonfigurovány tak, aby nepoužívaly cookies a nesbíraly osobní údaje (anonymizovaný traffic). V opačném případě požádáme o váš souhlas přes cookie banner.
8. Zabezpečení údajů
Vaše osobní údaje chráníme přiměřenými technickými a organizačními opatřeními:
- Šifrovaný přenos všech dat (TLS 1.2+) mezi vaším prohlížečem a našimi servery
- Šifrované úložiště databáze a souborů u poskytovatele (Supabase, AES-256 at rest)
- Pseudonymizace — heslo administrátora je uloženo pouze jako bcrypt hash, voucher kódy mají HMAC token
- Zásada minimalizace — sbíráme pouze údaje, které jsou nezbytné pro daný účel
- Řízení přístupu — k administrativním datům má přístup pouze omezený okruh pověřených osob (role-based access control)
- Auditní záznamy všech administrativních akcí
- Pravidelné zálohy databáze (denní automatizovaný snapshot)
V případě podezření na únik dat budeme postupovat dle čl. 33 a 34 GDPR — incident nahlásíme ÚOOÚ do 72 hodin a v případě vysokého rizika informujeme i dotčené subjekty.
9. Děti
Naše služby nejsou určeny osobám mladším 16 let. Vědomě nesbíráme osobní údaje od dětí. Pokud zjistíme, že jsme získali údaje od dítěte bez souhlasu zákonného zástupce, údaje neprodleně vymažeme.
10. Změny zásad
Tyto Zásady ochrany osobních údajů můžeme v budoucnu upravit. Aktuální verze je vždy dostupná na cukrcafe.cz/pravni/ochrana-udaju. O podstatných změnách informujeme registrované zákazníky e-mailem nejméně 30 dnů před nabytím účinnosti.
11. Kontakt
Máte-li jakékoli otázky, žádosti nebo stížnosti týkající se zpracování vašich osobních údajů, kontaktujte nás:
- E-mail: info@cukrcafe.cz
- Adresa: CukrCafé s.r.o., Panská 895/6, 110 00 Praha 1
CukrCafé s.r.o. — Účinné od 1. ledna 2026