Zásady ochrany osobních údajů
Tyto zásady popisují, jak a v jakém rozsahu zpracováváme osobní údaje návštěvníků našeho webu a zákazníků internetového obchodu TheFlowery. Zpracování probíhá v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů (dále jen „GDPR") a zákonem č. 110/2019 Sb., o zpracování osobních údajů.
1. Správce osobních údajů
Správcem osobních údajů je:
TheFlowery s.r.o.
IČO: 23683058
Sídlo: Kodaňská 599/49, 101 00 Praha 10 – Vršovice
Zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl C, vložka 430367
E-mail: info@theflowery.cz
Telefon: +420 702 953 001
(dále jen „my" nebo „správce")
Kontaktní osobou pro záležitosti ochrany osobních údajů je jednatel společnosti. Žádosti, dotazy a námitky zasílejte elektronicky na e-mail uvedený výše.
2. Jaké údaje o vás zpracováváme
Zpracováváme následující kategorie osobních údajů, přičemž rozlišujeme údaje o kupujícím (osoba uzavírající smlouvu a hradící objednávku) a údaje o příjemci zásilky (osoba, na jejíž adresu má být zboží doručeno; může jít o stejnou osobu jako kupující, nebo o osobu třetí — typicky obdarovaného).
Údaje o kupujícím:
- Kontaktní údaje: e-mailová adresa kupujícího pro zaslání potvrzení objednávky a daňového dokladu. E-mail kupující zadává přímo na zabezpečené platební stránce Stripe; my e-mail získáváme od Stripe v rámci výsledku platby.
- Platební metadata: identifikátor platební transakce. Kompletní údaje o platební kartě (číslo karty, jméno držitele, CVV, datum platnosti) zpracovává výhradně platební brána Stripe — my k nim nemáme přístup a v naší databázi je neukládáme.
Údaje o příjemci zásilky (poskytuje kupující při zadávání objednávky):
- Identifikační údaje: jméno a příjmení příjemce.
- Kontaktní údaje: telefonní číslo příjemce, doručovací adresa v rámci Prahy.
- Volitelné údaje: vzkaz na kartičce přiložené k zásilce (pokud jej kupující vloží).
Upozornění pro kupujícího: Pokud uvádíte v objednávce údaje jiné osoby jako příjemce, jste povinen mít k tomu přiměřené oprávnění (zpravidla na základě vašeho vztahu k obdarovanému) a předat údaje pouze v rozsahu nezbytném pro doručení.
Údaje o objednávce: objednané zboží a jejich ceny, datum a čas doručení, zvolený časový slot, volitelná poznámka pro floristu.
Údaje z našeptávače adres: vyhledávací dotaz a IP adresa, na jejichž základě nám partner Mapy.cz vrací návrhy doručovací adresy.
Technické údaje: IP adresa, typ prohlížeče, operační systém, datum a čas návštěvy — zaznamenané v rámci provozních a bezpečnostních logů.
Povinnost poskytnutí údajů
Poskytnutí jména příjemce, telefonního čísla příjemce, doručovací adresy, e-mailu kupujícího (zadávaného na platební stránce Stripe) a údajů o objednávce je smluvním požadavkem nezbytným pro uzavření a plnění kupní smlouvy (doručení zboží a vystavení dokladu). Bez těchto údajů nemůžeme objednávku přijmout ani doručit. Vzkaz na kartičce a poznámka pro floristu jsou dobrovolné a jejich neposkytnutí nemá vliv na možnost objednávku dokončit.
3. Právní základy a účely zpracování
Osobní údaje zpracováváme pouze v rozsahu nezbytném pro níže uvedené účely a na základě odpovídajícího právního titulu dle čl. 6 GDPR:
| Účel zpracování | Právní základ | Článek GDPR |
|---|---|---|
| Vyřízení objednávky kupujícího (uzavření a plnění kupní smlouvy s kupujícím) | Plnění smlouvy | čl. 6 odst. 1 písm. b) |
| Doručení zboží příjemci, pokud je odlišný od kupujícího (zpracování údajů o příjemci) | Oprávněný zájem správce a kupujícího na řádném doručení zásilky třetí osobě | čl. 6 odst. 1 písm. f) |
| Vystavení a uchování účetních dokladů | Právní povinnost | čl. 6 odst. 1 písm. c) |
| Odpověď na dotaz v kontaktním formuláři | Oprávněný zájem na vyřízení dotazu a vedení běžné obchodní komunikace | čl. 6 odst. 1 písm. f) |
| Zajištění bezpečnosti webu a prevence zneužití (provozní a bezpečnostní logy) | Oprávněný zájem na ochraně provozu webu, prevenci zneužití a řešení bezpečnostních incidentů | čl. 6 odst. 1 písm. f) |
| Obhajoba a vymáhání právních nároků z kupní smlouvy | Oprávněný zájem na ochraně právních nároků správce | čl. 6 odst. 1 písm. f) |
Bez souhlasu zpracováváme jen takové údaje, které jsou nezbytné pro některý z výše uvedených účelů. Pro marketingové účely (např. zasílání newsletteru) v současnosti osobní údaje nezpracováváme; kdybychom v budoucnu takové zpracování zahájili, bude probíhat výhradně na základě vašeho dobrovolného souhlasu.
Příjemce zásilky a oprávněný zájem: Pokud kupující objednává zboží jako dárek a uvádí údaje jiné osoby (příjemce), zpracováváme údaje příjemce na základě oprávněného zájmu (čl. 6 odst. 1 písm. f) GDPR) — bez zpracování těchto údajů by nebylo možné dárek doručit, což odpovídá rozumnému očekávání obdarovaného i kupujícího. Příjemce může kdykoli vznést námitku proti tomuto zpracování (viz článek 7).
4. Jak dlouho údaje uchováváme
Osobní údaje uchováváme pouze po dobu nezbytnou k dosažení účelu zpracování, respektive po dobu stanovenou zvláštním právním předpisem:
| Kategorie údajů | Doba uchování | Důvod |
|---|---|---|
| Účetní záznamy (faktury, prvotní doklady) | 5 let | § 31 zákona č. 563/1991 Sb., o účetnictví |
| Údaje o objednávce a údaje příjemce | 3 roky od převzetí zboží + přiměřená rezerva pro řešení případných sporů (max. 6 měsíců) | Obecná promlčecí lhůta (§ 629 odst. 1 občanského zákoníku — 3 roky) a oprávněný zájem na obhajobě právních nároků |
| Kontaktní dotazy z formuláře | 1 rok | Vyřízení dotazu, oprávněný zájem |
| Technické logy a IP adresy | 6 měsíců | Bezpečnost provozu webu |
Po uplynutí uvedených dob údaje buď anonymizujeme, nebo nevratně vymažeme.
Pozn.: TheFlowery s.r.o. je neplátcem DPH, proto platí standardní lhůta dle § 31 zákona o účetnictví (5 let). V případě registrace k DPH se lhůta pro daňové doklady prodlouží na 10 let dle § 35 zákona o DPH a tento dokument bude aktualizován.
5. Komu údaje předáváme
Pro zajištění provozu obchodu spolupracujeme s několika dodavateli. Některé z nich angažujeme jako zpracovatele ve smyslu čl. 28 GDPR (zpracovávají osobní údaje výhradně podle našich pokynů a na základě smlouvy o zpracování), jiní vystupují vůči vám zčásti jako samostatní správci podle vlastních pravidel — zejména tam, kde si sami určují účely a způsob zpracování (např. compliance, prevence podvodů, zákonné povinnosti platebních institucí).
5.1 Zpracovatelé (čl. 28 GDPR)
| Zpracovatel | Účel | Sídlo | Předání mimo EU |
|---|---|---|---|
| Vercel Inc. | Hosting webové aplikace | USA | Ano — na základě standardních smluvních doložek (SCCs) dle čl. 46 GDPR |
| Supabase Inc. | Databáze a úložiště souborů katalogu produktů (objednávky se v databázi neukládají) | USA (data v EU regionu Frankfurt) | Ano — SCCs dle čl. 46 GDPR |
| Google Ireland Limited (skupina Google LLC) | Doručení interní e-mailové notifikace o nové objednávce a o zprávách z kontaktního formuláře, včetně doručovacích údajů příjemce, údajů o objednávce, fotografií zakoupeného zboží a — u kontaktního formuláře — jména, e-mailu a obsahu zprávy odesílatele | Irsko (EU); část zpracování v USA | Ano — částečné předání do USA v rámci EU-US Data Privacy Framework a na základě standardních smluvních doložek (SCCs) dle čl. 46 GDPR |
| Seznam.cz, a.s. (Mapy.cz) | Našeptávač doručovací adresy v dokončování objednávky | Česká republika (EU) | Ne |
5.2 Další příjemci a samostatní správci
| Příjemce | Postavení | Účel | Sídlo |
|---|---|---|---|
| Stripe Payments Europe, Ltd. | Pro samotné provedení platby zpracovává údaje na základě našich pokynů; pro účely prevence podvodů, zákonných AML/KYC povinností a vlastní compliance vystupuje jako samostatný správce podle vlastních zásad ochrany osobních údajů (stripe.com/privacy). | Zpracování platby kartou a uchování platebních údajů jako součásti platební transakce | Irsko (EU) |
| Příslušné orgány veřejné moci | Příjemce v rozsahu zákonné povinnosti | Plnění zákonných povinností správce (např. daňové, účetní, dohledové) | Česká republika |
5.3 Doručování zboží
Zboží doručujeme vlastními silami, externího dopravce ani kurýrní službu nezapojujeme. Doručovací adresa se v rámci provozu obchodu předává pouze výše uvedeným příjemcům — dalším třetím stranám pro účely doručení ji nepředáváme.
Osobní údaje nepředáváme do třetích zemí mimo výše uvedené případy, kde jsou k dispozici odpovídající záruky dle kapitoly V GDPR.
5.4 Analytické nástroje
S vaším souhlasem (čl. 6 odst. 1 písm. a) GDPR) využíváme následující zpracovatele:
- Google Analytics 4 — Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irsko. Zásady ochrany soukromí
- PostHog — PostHog Inc., hostováno v regionu EU (Frankfurt). Zásady ochrany soukromí
Při dokončení objednávky navíc odesíláme anonymní záznam o transakci (částka, položky, identifikátor objednávky bez vašich osobních údajů) do obou nástrojů i bez souhlasu — právním základem je oprávněný zájem na základním měření tržeb (čl. 6 odst. 1 písm. f) GDPR). Pokud jste analytické cookies přijali, k záznamu se doplní váš identifikátor relace.
Tyto nástroje nepoužíváme k profilování pro reklamní účely ani k automatizovanému rozhodování.
6. Automatizované rozhodování a profilování
Při zpracování osobních údajů nedochází k automatizovanému rozhodování ve smyslu čl. 22 GDPR ani k profilování, které by mělo právní účinky vůči subjektu údajů.
7. Vaše práva
Ve vztahu k námi zpracovávaným osobním údajům máte následující práva:
- Právo na přístup — potvrzení, zda o vás zpracováváme osobní údaje, a přístup k těmto údajům.
- Právo na opravu — oprava nepřesných nebo neúplných údajů.
- Právo na výmaz — výmaz údajů, pokud pominul účel zpracování a neexistuje jiná zákonná povinnost údaje uchovávat.
- Právo na omezení zpracování — pozastavení zpracování v zákonem stanovených případech.
- Právo na přenositelnost údajů — získání údajů ve strojově čitelném formátu a jejich předání jinému správci.
- Právo vznést námitku — proti zpracování založenému na oprávněném zájmu.
- Právo odvolat souhlas — tam, kde je zpracování založeno na souhlasu. Odvolání nemá vliv na zákonnost předchozího zpracování.
- Právo podat stížnost — u Úřadu pro ochranu osobních údajů (www.uoou.cz, Pplk. Sochora 27, 170 00 Praha 7).
8. Jak uplatnit svá práva
Kteroukoli ze žádostí zašlete e-mailem na info@theflowery.cz. Pro ověření vaší totožnosti si můžeme vyžádat dodatečné informace. Na žádost odpovíme bez zbytečného odkladu, nejpozději do 30 dnů od jejího doručení; ve složitých případech lze lhůtu prodloužit o další dva měsíce, o čemž vás budeme informovat.
Uplatnění práv je zdarma. Pouze v případě zjevně neopodstatněných nebo nepřiměřených žádostí (zejména žádostí opakujících se) můžeme vyžadovat přiměřený poplatek nebo žádost odmítnout.
9. Zabezpečení údajů
Přijímáme přiměřená technická a organizační opatření k ochraně osobních údajů před neoprávněným přístupem, ztrátou, změnou či zničením. Mezi tato opatření patří zejména šifrované připojení (HTTPS), zabezpečený přístup do administračního rozhraní, pravidelné zálohování dat a výběr prověřených zpracovatelů s odpovídající úrovní ochrany.
10. Cookies
Informace o používání cookies naleznete v samostatném dokumentu Zásady cookies.
11. Změny těchto zásad
Tyto zásady můžeme průběžně aktualizovat, zejména v reakci na legislativní změny nebo na změny našich interních procesů. Aktuální znění je vždy dostupné na této stránce. Datum poslední účinnosti je uvedeno na konci dokumentu.
Účinnost od 28. 5. 2026.