Online Fáčko

Zásady ochrany osobních údajů

Účinné od 14. dubna 2026. Poslední aktualizace: 14. dubna 2026.

Tyto zásady popisují, jak aplikace Online Fáčko (dále jen „služba") zpracovává osobní údaje uživatelů v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 (dále jen „GDPR") a zákonem č. 110/2019 Sb. o zpracování osobních údajů.

1. Správce osobních údajů

Tomáš Sláma, IČO: 02284502, se sídlem Jablůňka 312, 756 23 Jablůňka, není plátcem DPH (dále jen „správce").

Kontakt pro věci ochrany osobních údajů: slamatomas737@gmail.com.

2. Jaké osobní údaje zpracováváme

Registrační údaje

  • jméno a příjmení (pokud uvedete),
  • e-mailová adresa,
  • heslo (ukládáme výhradně jeho bcrypt hash, nikoliv otevřený text),
  • IP adresa a User-Agent při přihlášení (pro bezpečnostní audit),
  • údaje o vašem Google účtu (pouze pokud použijete přihlášení přes Google — e-mail, jméno, avatar).

Fakturační data

  • údaje o vaší firmě (název, IČO, DIČ, adresa, bankovní spojení),
  • údaje vámi zadaných odběratelů (název, IČO, DIČ, adresa, e-mail, telefon),
  • vystavené a importované faktury včetně položek, poznámek a příloh,
  • záznamy o nákladech a kategorizace výdajů.

Data z bankovního propojení (volitelné)

  • API token k bankovnímu výpisu (ukládán pouze v zašifrované podobě — AES-256-GCM),
  • stažené bankovní transakce (datum, částka, variabilní symbol, protistrana, zpráva).

Technická data

  • session cookies pro udržení přihlášení (striktně nezbytné — neslouží k trackingu),
  • volba aktuálního účetního roku a firmy (cookies),
  • server-side logy přístupů k aplikaci.

Nezpracováváme zvláštní kategorie osobních údajů (rasa, zdravotní stav, náboženství atd.) a nesledujeme vás napříč weby — služba neobsahuje analytický tracking ani reklamní cookies.

3. Právní základ a účely zpracování

ÚčelPrávní základ (GDPR)Doba uchování
Poskytování služby (účet, faktury, data)čl. 6 odst. 1 písm. b) — plnění smlouvyPo dobu existence účtu
Archivace faktur pro účely daňové evidencečl. 6 odst. 1 písm. c) — právní povinnost (§ 31 zák. 235/2004 Sb.)10 let po skončení zdaňovacího období
Bezpečnost aplikace (audit, detekce zneužití)čl. 6 odst. 1 písm. f) — oprávněný zájem12 měsíců
Transakční e-maily (ověření účtu, reset hesla, notifikace o platbě)čl. 6 odst. 1 písm. b) — plnění smlouvyPo dobu existence účtu
Zálohy databázečl. 6 odst. 1 písm. f) — oprávněný zájem30 dní

4. Zpracovatelé (komu data předáváme)

Vaše data ukládáme a zpracováváme prostřednictvím následujících poskytovatelů cloudových služeb. Všichni mají sídlo v EU / USA a odpovídající smluvní záruky (DPA podle GDPR čl. 28):

  • Neon Inc. — databázový hosting (PostgreSQL). Region Frankfurt (eu-central-1). Privacy policy.
  • Vercel Inc. — aplikační hosting. Serverless funkce běží v regionu Frankfurt. Privacy policy.
  • Resend, Inc. — zasílání transakčních e-mailů. Privacy policy.
  • Upstash, Inc. — Redis pro rate-limiting přihlášení. Privacy policy.
  • Cloudflare, Inc. — DNS a CDN pro doménu onlinefacko.cz. Privacy policy.
  • Fio banka, a.s. — pouze pokud si propojíte bankovní účet, předáváme API token pro čtení pohybů. Fio žádná osobní data nedostává.

Nepředáváme vaše údaje třetím stranám pro marketingové účely a neprodáváme je.

5. Zabezpečení dat

  • komunikace s aplikací je šifrována TLS 1.2+,
  • databáze má šifrování v klidu (encryption at rest u Neonu),
  • hesla jsou hashována algoritmem bcrypt s pracovním faktorem 10,
  • bankovní API tokeny jsou šifrovány AES-256-GCM před uložením,
  • kontrola přístupu k datům je vynucena na úrovni aplikace — každý uživatel vidí pouze svá data,
  • přístup provozovatele k produkční databázi je chráněn silnými hesly a pouze na osobní zařízení správce.

6. Vaše práva

V souladu s GDPR máte následující práva:

  • Přístup k údajům (čl. 15) — můžete si stáhnout všechna svá data z nastavení účtu v sekci „Export dat".
  • Oprava nepřesných údajů (čl. 16) — přímo v nastavení profilu.
  • Výmaz („právo být zapomenut", čl. 17) — v nastavení účtu tlačítko „Smazat účet". Smaže se účet i všechna související data. Upozornění: faktury, které jste vystavili, mohou být pro vás dále archivační povinností podle zákona — v takovém případě si je nejprve exportujte.
  • Omezení zpracování (čl. 18), přenositelnost (čl. 20) — pomocí exportu dat.
  • Námitka proti zpracování (čl. 21) — e-mailem na správce.
  • Stížnost u dozorového úřadu — Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7 (uoou.cz).

7. Cookies

Používáme výhradně striktně nezbytné cookies pro provoz služby:

  • authjs.session-token — udržení přihlášení (HttpOnly, Secure, SameSite=Lax);
  • current-company-id, accounting-year — volba aktivní firmy a roku (HttpOnly);
  • theme — volba světlého / tmavého režimu (localStorage, nikoliv cookie).

Neukládáme analytické, reklamní ani tracking cookies, a proto dle ePrivacy směrnice není vyžadován souhlasný banner.

8. Děti

Služba je určena pouze pro osoby starší 18 let (OSVČ a právnické osoby). Nezpracováváme data osob mladších 18 let.

9. Změny zásad

Tyto zásady můžeme čas od času aktualizovat. O podstatných změnách vás informujeme e-mailem alespoň 14 dní před jejich účinností.

Pokud máte otázky nebo chcete uplatnit některé z výše uvedených práv, kontaktujte nás na slamatomas737@gmail.com.