Ochrana soukromí

Aplikace OmniFlow zpracovává osobní údaje v souladu s nařízením EU 2016/679 (GDPR) a zákonem č. 110/2019 Sb.

1. Správce údajů a provozovatel služby

Správcem osobních údajů, které zákazník do služby vkládá (údaje uživatelů, kontaktů, dokladů apod.), je v typickém uspořádání zákazník — podnikající právnická nebo fyzická osoba, která službu využívá. Pro práva subjektů údajů v tomto rozsahu kontaktujte příslušnou osobu u zákazníka.

Provozovatelem cloudové služby OmniFlow je společnost OmniSys s.r.o., se sídlem Martinů 1342, 250 92 Šestajovice, Česká republika, IČO 24937282, DIČ CZ24937282. Vůči údajům zpracovávaným v rámci služby pro zákazníka vystupuje OmniSys jako zpracovatel ve smyslu čl. 4 odst. 8 GDPR (zpracování na pokyn správce a v rozsahu smluvního ujednání). Dotazy k zpracování ze strany provozovatele můžete směřovat na contact@omniflow.cz.

2. Jaké údaje zpracováváme

• Uživatelé: jméno, e-mail, heslo (neúplné), přístupová oprávnění k firmám
• Kontakty a odběratelé: jméno, IČO, DIČ, adresa, e-mail, telefon – údaje zadané v systému
• Doklady: faktury, nabídky, zálohy, přijaté faktury – obsahují údaje o odběratelích a dodavatelích
• Technické údaje: IP adresa při přihlášení, záznamy o odeslaných e-mailech (pro faktury, upomínky)

3. Účel a právní základ zpracování

Údaje zpracováváme pro provoz fakturačního systému: vydávání dokladů, evidenci kontaktů, odesílání faktur e-mailem, účetní a daňové povinnosti. Právním základem je plnění smlouvy, oprávněný zájem správce nebo zákonná povinnost.

4. Cookies

Aplikace používá tyto cookies:

• omniflow_session (nebo jiný název relace): technická cookie pro přihlášenou relaci. Nezbytná pro fungování aplikace. Platnost do zavření prohlížeče nebo do určité doby nečinnosti.
• omniflow_cookie_consent: ukládá souhlas s používáním cookies. Platnost 1 rok. Nastavuje se po kliknutí na přijetí v liště cookies.

Cookies jsou nastaveny s atributy HttpOnly, SameSite=Lax a v produkci také Secure.

5. Doba uchovávání

Účetní doklady a související údaje se uchovávají v souladu s platnými právními předpisy (zákon o účetnictví, zákon o DPH – typicky 10 let). Údaje uživatelů a kontaktů se uchovávají po dobu trvání smlouvy a dle zákonných lhůt po jejím skončení.

Údaje, které zákazník do služby vloží, nejsou zpřístupňovány třetím osobám mimo níže uvedené subzpracovatele a mimo uživatele s oprávněním v rámci příslušné organizace či firmy a provozní zásahy v nezbytném rozsahu (podpora, bezpečnost, plnění smlouvy o zpracování). Požádá-li oprávněná osoba o výmaz údajů, u nichž zákon neukládá delší uchování, provedeme výmaz v aktivních systémech bez zbytečného odkladu. Kopie mohou v zálohách přetrvat nejdéle po dobu běžné rotace záloh provozovatele (obvykle ne déle než 30 dní od okamžiku, kdy se výmaz projeví v běžném provozu). Obdobně lze vyžádat odstranění dočasných technických záznamů z nepřijatých nebo nesparovaných e-mailů s bankovními výpisy.

6. Vaše práva

V souladu s GDPR máte právo na přístup k údajům, opravu, výmaz, omezení zpracování, přenositelnost a námitku. Máte též právo podat stížnost u dozorového úřadu (ÚOOÚ). Pro uplatnění práv kontaktujte správce údajů (viz odstavec 1).

7. Bezpečnost a sdílení

Údaje jsou uloženy v zabezpečené databázi. Hesla jsou ukládána v šifrované podobě (bcrypt). K provozním datům mají přístup uživatelé, které zákazník do služby pozval a oprávnil. Zaměstnanci a případní smluvní spolupracovníci provozovatele (OmniSys s.r.o.) mohou k údajům přistupovat jen v nezbytném rozsahu — zejména technická podpora na žádost zákazníka, zajištění bezpečnosti a dostupnosti služby, řešení incidentů a plnění smlouvy — a jsou vázáni mlčenlivostí či obdobnými závazky. Údaje neposkytujeme třetím stranám k marketingovým účelům. Mohou být předány na základě zákonné povinnosti (soud, správa daní) nebo v souvislosti s odesíláním e-mailů (vlastní SMTP zákazníka či infrastruktura uvedená u subzpracovatelů).

8. Subzpracovatelé

Provozovatel služby OmniFlow, společnost OmniSys s.r.o., využívá k poskytování služby následující subzpracovatele (zpracovatele ve smyslu čl. 28 GDPR), s nimiž má uzavřeny odpovídající závazky:

• Hetzner Online GmbH (Německo, EU) — provoz serverové infrastruktury (hosting), na které běží aplikace OmniFlow a související úložiště.
• Seznam.cz, a.s. — přenos a doručení e-mailů odesílaných ze služby prostřednictvím systémového (výchozího) SMTP provozovatele; obsah zprávy a údaje o příjemci mohou projít infrastrukturou tohoto poskytovatele. Zvolí-li zákazník vlastní SMTP server, odeslání těchto zpráv u tohoto subzpracovatele typicky neprobíhá (předává se přímo poskytovateli zvolenému zákazníkem).
• WEDOS Internet, a.s. — hosting prezentačních webových stránek služby (např. omniflow.cz), nikoli provozního prostředí samotné aplikace.

Seznam subzpracovatelů můžeme v průběhu provozu rozumně upravit (např. změnou poskytovatele při zachování odpovídající úrovně ochrany). Aktuální znění je vždy uvedeno na této stránce.

9. Změny

Tyto zásady mohou být aktualizovány. Významné změny budou zveřejněny na této stránce s uvedením data poslední aktualizace.

Stejné výchozí znění zásad je v aplikaci na adrese https://app.omniflow.cz/privacy. Stránka je přístupná i bez přihlášení.