Zásady ochrany osobních údajů

Účinnost ode dne: 27. dubna 2026

1. Úvod

Tyto Zásady ochrany osobních údajů (dále jen „Zásady“) popisují, jaké osobní údaje shromažďujeme, k jakým účelům je používáme, jak je chráníme a jaká práva máte v souvislosti s jejich zpracováním.

Zásady jsou vydávány v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 (GDPR) a zákonem č. 110/2019 Sb., o zpracování osobních údajů.

2. Správce osobních údajů

Správcem osobních údajů je provozovatel služby Týmová Kasa:

• Jméno: Tomáš Prokop
• Sídlo: Šrámkova 3213/12, 400 11 Ústí nad Labem – Severní Terasa
• IČO: 19173326
• Kontaktní e-mail: info@tymovakasa.cz

(dále jen „Správce“ nebo „my“)

V některých případech (viz čl. 4.2) vystupujeme rovněž jako zpracovatel osobních údajů, které do Služby zadávají naši Uživatelé jako správci. Tento vztah je upraven samostatnou Smlouvou o zpracování osobních údajů.

3. Jaké údaje zpracováváme

3.1 Údaje, které nám poskytujete při registraci

• Jméno a příjmení
• E-mailová adresa
• Heslo (uloženo výhradně v podobě bezpečného hashe pomocí algoritmu bcrypt; samotné heslo nikdy neukládáme ani k němu nemáme přístup)
• Preferovaný jazyk

3.2 Údaje vznikající užíváním Služby

• Informace o vašem týmu (název, měna, sezóny)
• Údaje o členech týmu, které do Služby zadáváte (viz čl. 4.2)
• Záznamy o pokutách, příspěvcích, platbách a stavu pokladny
• Záznamy o vaší aktivitě ve Službě (přihlášení, provedené akce)
• Údaje sdílené přes funkci „Sdílení přehledu týmu“: pokud správce týmu sdílí přehled týmu (viz čl. 6 níže), jsou prostřednictvím odkazu (standardně chráněného PIN kódem) zpřístupněny pouze jména a fotografie členů týmu, ceník pokut, evidované pokuty, příspěvky, platby, zůstatky a historie transakcí. Nikoliv e-maily, telefonní čísla ani jiné kontaktní údaje.

3.3 Údaje související s platbou

• Informace o zakoupeném tarifu, datu platby a délce předplatného
• Fakturační údaje (jméno, případně název firmy, IČO/DIČ a adresa)
• Platební údaje (číslo karty apod.) nikdy nezpracováváme – ty zpracovává výhradně platební brána Stripe

3.4 Technické údaje

• IP adresa
• Typ zařízení, prohlížeče a operačního systému
• Anonymizovaná data o návštěvnosti (přes Vercel Analytics – viz čl. 7)

3.5 Komunikace

• Obsah zpráv, které nám zašlete prostřednictvím e-mailu nebo kontaktního formuláře

4. Účel a právní základ zpracování

4.1 Údaje, kde jsme správcem

4.2 Údaje, kde jsme zpracovatelem

Pokud jako Uživatel zadáváte do Služby údaje o členech vašeho týmu (jména, kontakty, fotografie, evidované pokuty a platby), jste vy správcem těchto údajů a my vystupujeme jako zpracovatel. Vztah mezi námi je upraven samostatnou Smlouvou o zpracování osobních údajů, která je nedílnou součástí Obchodních podmínek.

To znamená, že:

• Tyto údaje zpracováváme výhradně podle vašich pokynů a pro účely poskytování Služby
• Vy jste odpovědní za to, že máte právní základ pro zpracování těchto údajů (souhlas dotčených osob, oprávněný zájem klubu apod.)
• Vy jste povinni plnit informační povinnost vůči dotčeným osobám (zejména členům týmu a u nezletilých vůči jejich zákonným zástupcům)
• Vy rozhodujete o aktivaci funkce veřejného sdílení a nesete odpovědnost za její důsledky (viz čl. 6)
• My zajišťujeme přiměřenou technickou a organizační ochranu těchto údajů

5. Komu osobní údaje předáváme

Vaše osobní údaje předáváme pouze následujícím zpracovatelům, se kterými máme uzavřené smlouvy o zpracování osobních údajů (DPA):

Vercel a Resend jsou společnosti se sídlem v USA. Předávání údajů do USA probíhá na základě standardních smluvních doložek (SCC) schválených Evropskou komisí, které představují vhodné záruky ochrany osobních údajů ve smyslu čl. 46 GDPR. Příslušné smlouvy (DPA) jsou součástí standardních podmínek poskytovaných těmito společnostmi.

Vaše údaje nikdy neprodáváme ani nepředáváme třetím stranám pro marketingové účely.

Můžeme údaje předat orgánům veřejné moci, pokud nám tak ukládá zákon (například na základě soudního příkazu).

6. Sdílení přehledu týmu

6.1 Služba umožňuje správci týmu sdílet přehled týmu v režimu pouze pro čtení prostřednictvím odkazu s náhodně vygenerovanými znaky. V přehledu jsou prostřednictvím tohoto odkazu zpřístupněny pouze následující údaje:

• Jména a příjmení členů týmu
• Profilové fotografie členů týmu (pokud byly nahrány)
• Ceník pokut týmu
• Evidované pokuty, příspěvky a platby
• Aktuální zůstatky a dluhy členů týmu
• Historie transakcí
• Jméno, příjmení a profilová fotografie osoby, která finanční záznam vytvořila nebo naposledy upravila (správce týmu nebo jiný oprávněný uživatel)

Ve sdíleném přehledu se NEZOBRAZUJÍ: e-mailové adresy, telefonní čísla, data narození, adresy ani jiné kontaktní údaje.

6.2 Standardně je sdílení nastaveno do režimu „Private“ — pro zobrazení obsahu přehledu je vedle odkazu vyžadováno zadání PIN kódu, který Služba automaticky vygeneruje při vytvoření týmu. Tento výchozí stav („privacy by default“) je v souladu s čl. 25 odst. 2 GDPR.

6.3 Správce týmu může:

• Změnit režim na „Public“ (bez ochrany PIN kódem) — tato změna je možná pouze po výslovném potvrzení varovného dialogu zobrazeného Službou
• Regenerovat odkaz (původní odkaz tím přestane fungovat)
• Změnit nebo zrušit PIN v režimu Private
• Kdykoliv se vrátit do režimu Private

6.4 Odpovědnost správce týmu: Sdílením odkazu s třetími osobami (a zejména přechodem do režimu Public) správce týmu prohlašuje, že má pro zpřístupnění výše uvedených údajů třetím osobám právní titul, zejména souhlas dotčených osob (a u nezletilých členů týmu souhlas jejich zákonných zástupců). Provozovatel jako zpracovatel není povinen a nemá technickou možnost ověřit existenci tohoto právního titulu a za jeho absenci nenese odpovědnost.

6.5 Provozovatel důrazně doporučuje ponechat režim Private aktivní zejména u týmů s nezletilými hráči.

7. Cookies a analytické nástroje

7.1 Technické cookies

Služba používá pouze nezbytné technické cookies, které jsou potřebné pro fungování přihlášení, zachování jazykového nastavení a zajištění bezpečnosti relace. Tyto cookies nevyžadují váš souhlas, protože jsou nezbytné pro poskytování Služby.

7.2 Vercel Analytics

Pro měření návštěvnosti používáme Vercel Analytics, který:

• Nepoužívá cookies
• Neukládá osobní údaje
• Sbírá pouze anonymizované údaje o návštěvnosti (počet zobrazení stránek, typ zařízení apod.)

Z tohoto důvodu nevyžadujeme váš souhlas s cookies pro analytické účely.

8. Doba uchování údajů

• Údaje aktivních účtů: po celou dobu existence účtu
• Údaje smazaných účtů (osobní údaje Uživatele): po požádání o smazání účtu nastává 7denní ochranná lhůta, během které může Uživatel účet obnovit opětovným přihlášením. Po uplynutí této lhůty jsou osobní údaje Uživatele trvale smazány, jméno v záznamech je nahrazeno anonymním označením a vazby na finanční záznamy jsou odstraněny. Uživatel může požádat o okamžité smazání bez čekání na uplynutí ochranné lhůty zasláním žádosti na info@tymovakasa.cz
• Finanční záznamy související s vystavenými daňovými doklady (faktury za tarif PRO): uchovávány v zákonem stanovené podobě po dobu 10 let (zákon č. 563/1991 Sb., o účetnictví)
• Záznamy o pokutách, příspěvcích a platbách evidovaných v rámci týmu (kde jsme zpracovatelem): uchovávány po dobu existence týmu z důvodu integrity historických přehledů. Při trvalém smazání hráče správcem týmu zůstávají historické finanční záznamy zachovány s původním jménem z důvodu integrity účetní historie týmu. Právní titul pro toto zpracování: oprávněný zájem správce týmu na vedení úplné finanční evidence (čl. 6 odst. 1 písm. f GDPR)
• Identita tvůrce/editora finančních záznamů: jméno a profilová fotografie osoby, která záznam vytvořila nebo naposledy upravila, jsou zobrazovány po dobu existence záznamu v rámci týmu. Pokud tvůrce smaže svůj uživatelský účet, je odkaz na jeho identitu v záznamech odstraněn (nastaven na prázdnou hodnotu). Pokud tvůrce opustí tým, ale ponechá si účet, jeho jméno a fotografie zůstávají u jím vytvořených záznamů viditelné z důvodu oprávněného zájmu na transparentnosti týmové evidence.
• Komunikace s podporou: nejdéle 1 rok od ukončení komunikace (s výjimkou případů, kdy věc vyžaduje delší uchování pro řešení sporu nebo plnění zákonné povinnosti)
• Zálohy: zálohy mohou obsahovat data ještě po smazání po dobu nezbytně nutnou pro obnovitelnost systému (zpravidla 7 dní)

9. Vaše práva

Jako subjekt údajů máte podle GDPR následující práva:

• Právo na přístup k vašim osobním údajům – můžete požádat o kopii údajů, které o vás zpracováváme
• Právo na opravu nepřesných nebo neúplných údajů
• Právo na výmaz („právo být zapomenut“) – můžete požádat o smazání svých údajů, pokud nejsou potřeba pro plnění smluvní nebo zákonné povinnosti (zejména povinnost uchovávat účetní doklady)
• Právo na omezení zpracování v určitých případech
• Právo na přenositelnost údajů – můžete získat své údaje v běžně používaném strojově čitelném formátu
• Právo vznést námitku proti zpracování založenému na oprávněném zájmu
• Právo nebýt předmětem automatizovaného rozhodování, pokud by mělo právní nebo obdobně významné účinky
• Právo podat stížnost u dozorového úřadu, kterým je v ČR Úřad pro ochranu osobních údajů (Pplk. Sochora 27, 170 00 Praha 7, www.uoou.cz)

Pozn.: Pokud jste členem týmu evidovaným ve Službě bez vlastního účtu (typicky hráč mládežnického týmu), je správcem vašich osobních údajů správce týmu (např. klub, trenér), nikoli Provozovatel Služby. Své žádosti dle GDPR proto adresujte přímo správci týmu. Správce týmu může v odůvodněných případech rozhodnout o úplném smazání hráče včetně historických záznamů.

Pro uplatnění svých práv vůči Provozovateli nás kontaktujte na info@tymovakasa.cz. Vaši žádost vyřídíme bez zbytečného odkladu, nejpozději do 30 dnů od jejího obdržení.

10. Zabezpečení údajů

Vaše osobní údaje chráníme přiměřenými technickými a organizačními opatřeními, zejména:

• Šifrované přenosy dat (HTTPS/TLS)
• Bezpečné ukládání hesel formou hashe (bcrypt)
• Omezený přístup k databázi (Row Level Security v Supabase)
• Pravidelné zálohování
• Bezpečnostní aktualizace používaných technologií

I přes naše úsilí však žádný způsob přenosu nebo úložiště dat na internetu není 100% bezpečný. Pokud byste zaznamenali jakýkoliv bezpečnostní problém, neprodleně nás kontaktujte na info@tymovakasa.cz.

11. Děti a mladiství

11.1 Vlastní uživatelský účet: Služba je pro účely zakládání vlastního uživatelského účtu určena pro osoby starší 15 let (v souladu s § 7 zákona č. 110/2019 Sb., který využívá výjimky čl. 8 odst. 1 GDPR pro Českou republiku).

11.2 Evidence v rámci týmu bez vlastního účtu: Mladší osoby (zejména hráči mládežnických týmů) mohou být ve Službě evidovány správcem týmu jako členové týmu bez vlastního účtu. V takovém případě je správcem jejich osobních údajů správce týmu (typicky klub, trenér nebo zákonný zástupce), který je odpovědný za zajištění právního titulu pro zpracování (zejména souhlas zákonných zástupců nezletilých). Provozovatel v tomto vztahu vystupuje pouze jako zpracovatel podle pokynů správce týmu.

11.3 Pokud zjistíme, že jsme nevědomky shromáždili osobní údaje osoby mladší 15 let v souvislosti se založením vlastního účtu bez souhlasu zákonného zástupce, údaje neprodleně smažeme.

12. Změny zásad

Tyto Zásady můžeme čas od času aktualizovat, zejména v reakci na změny právních předpisů nebo funkcí Služby. O významných změnách vás budeme informovat e-mailem nebo prostřednictvím Služby.

Aktuální verze Zásad je vždy dostupná na stránkách Služby.

13. Kontakt

Pokud máte jakékoliv otázky ohledně zpracování vašich osobních údajů, kontaktujte nás:

• E-mail: info@tymovakasa.cz
• Adresa: Tomáš Prokop, Šrámkova 3213/12, 400 11 Ústí nad Labem – Severní Terasa
• IČO: 19173326

Tyto Zásady nabývají účinnosti dne 27. dubna 2026.