Zásady zpracování osobních údajů

Zásady zpracování osobních údajů

Správce osobních údajů a subjekt údajů

Správcem osobních údajů je společnost School Prom Tickets s.r.o., IČ: 24076244, se sídlem Sanderova 1616/16, Holešovice, 170 00 Praha 7, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl C, vložka 438383 (dále jen správce). Správce je možné kontaktovat písemně na výše uvedené adrese nebo e-mailem na info@mytickets.cz. 

Subjektem údajů je fyzická osoba, která správci poskytla svoje osobní údaje na základě smlouvy uzavřené se správcem nebo na základě užívání portálu správce s názvem MyTickets umístěného na webu správce (https://mytickets.cz/) či mobilní aplikace správce s názvem MyTickets Scanner (dále také jako aplikace MyTickets Scanner nebo jen Aplikace). Subjektem údajů může být též fyzická osoba, jejíž osobní údaje správce získal z jiných zákonných zdrojů.

Správce nejmenoval pověřence pro ochranu osobních údajů.

Rozsah zpracování osobních údajů

Správce zpracovává osobní údaje v rozsahu, v jakém jsou mu poskytnuty subjekty údajů, nebo v jakém rozsahu je správce získá z jiných zákonných zdrojů. Jedná se o: 

  • jméno a příjmení (příp. titul),
  • název obchodní firmy fyzické osoby, 
  • bydliště, 
  • adresa sídla nebo místa podnikání, 
  • fakturační a dodací adresa,
  • identifikační číslo a daňové identifikační číslo, 
  • e-mail, 
  • přihlašovací jméno a heslo,
  • telefon,
  • fotografie (pokud je dobrovolně nahrána v rámci účtu),
  • platební údaje,
  • podpis,
  • síťové identifikátory,
  • osobní údaje získané z cookies,
  • technické údaje o zařízení a chybách Aplikace (model zařízení, verze operačního systému a Aplikace, technický popis případné chyby),
  • historie skenů vstupenek (záznam o čase a výsledku kontroly vstupenky).

Aplikace MyTickets Scanner:

Aplikace MyTickets Scanner slouží výhradně pověřeným pracovníkům pořadatelů akcí k odbavování vstupenek na místě konání akce. Pořadatelé akcí vystupují v roli zpracovatelů na základě smluvního ujednání obsahujícího dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky právních předpisů a aby byla zajištěna ochrana práv subjektů údajů. Pořadatelé akcí a jejich pověření pracovníci jsou ohledně zpřístupněných osobních údajů vázáni mlčenlivostí. Aplikace zpracovává identifikační údaje účastníků v rozsahu nezbytném pro ověření platnosti vstupenky (zpravidla jméno, příjmení, e-mail a typ vstupenky) a vede lokální historii skenů pro účely auditu a předcházení vícenásobnému použití vstupenek. Pro načítání QR kódů vyžaduje aplikace přístup k fotoaparátu zařízení, avšak žádná další citlivá oprávnění (např. kontakty, poloha, mikrofon, externí úložiště) nevyužívá.

 

Účel zpracování osobních údajů

Správce zpracovává osobní údaje subjektů údajů za účelem splnění smlouvy uzavřené mezi subjektem údajů a správcem, tj. zejména za účelem doručení vstupenky, informování o změně termínu nebo místa konání akce, o zrušení akce, o dalších detailech a náležitostech akce, kontroly vstupenky a umožnění vstupu na akci (a to i prostřednictvím aplikace MyTickets Scanner) nebo vyřízení reklamace a případného předání kontaktu na pořadatele akce.

Dále pak za účelem plnění právních povinností a za účelem přímého marketingu (tj. nabízení produktů a služeb správce) včetně zasílání obchodních sdělení ve smyslu zákona č. 480/2004 Sb., o některých službách informační společnosti. 

Obchodní sdělení správce zasílá pouze v případě, že se subjekt údajů přihlásil k odběru novinek (newsletterů) nebo v případě, že správce získal podrobnosti elektronického kontaktu subjektu údajů v souvislosti s prodejem svých produktů nebo služeb. Subjekt údajů má možnost se jednoduchým způsobem a zdarma z odběru novinek (newsletterů) odhlásit pomocí zaslání e-mailu na info@mytickets.cz nebo pomocí odkazu uvedeného v každém jednotlivém obchodním sdělení.

Osobní údaje jsou dále zpracovávány za účelem diagnostiky a zachycení případných provozních chyb aplikace MyTickets Scanner.

Ze strany správce nedochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 22 obecného nařízení o ochraně osobních údajů č. 2016/679.

Posouzení nezbytnosti zpracování

Správce dbá na ochranu soukromí subjektů údajů, a proto zpracovává pouze osobní údaje, které jsou nezbytně nutné pro stanovené účely zpracování.

Právní základ zpracování osobních údajů

Právním základem zpracování prováděného za účelem přímého marketingu je souhlas subjektů údajů se zpracováním osobních údajů (přihlášení k odběru newsletterů) nebo oprávněný zájem správce (získání elektronického kontaktu v souvislosti s prodejem výrobku nebo služby správce dle zák. č. 480/2004 Sb.). 

V ostatních případech je právním základem zpracování splnění smlouvy, ochrana oprávněných zájmů správce (ochrana majetku, uplatnění práv ze smlouvy v soudním řízení, předcházení podvodům s vícenásobným použitím vstupenek, diagnostika chyb aplikace apod.) a splnění právní povinnosti.

Doba zpracovávání osobních údajů

V případě osobních údajů zpracovávaných za účelem splnění smlouvy správce zpracovává osobní údaje po dobu trvání smluvního vztahu a následně po dobu dalších 10 let, a to s ohledem na promlčecí lhůty stanovené v občanském zákoníku. V případě zpracování za účelem splnění právní povinnosti správce zpracovává osobní údaje po dobu stanovenou právními předpisy. V případě osobních údajů zpracovávaných na základě souhlasu zpracovává správce osobní údaje po dobu 10 let, nebo do doby, kdy je souhlas se zpracováním osobních údajů ze strany subjektu údajů odvolán. Tím není dotčena povinnost správce zpracovávat osobní údaje po dobu stanovenou příslušnými právními předpisy či v souladu s nimi.

Osobní údaje zpracovávané pro marketingové účely na základě oprávněného zájmu (získání elektronického kontaktu v souvislosti s prodejem výrobku nebo služby správce dle zák. č. 480/2004 Sb.) zpracovává správce po dobu 3 let od posledního prodeje, nebude-li proti tomuto zpracování do té doby podána námitka ze strany subjektu údajů.

Údaje o účastnících akce uložené v lokální databázi aplikace MyTickets Scanner jsou automaticky odstraňovány nejpozději při prvním spuštění aplikace po uplynutí 24 hodin ode dne konání akce. Pracovník pořadatele může svá lokální data kdykoliv ručně vymazat v nastavení aplikace nebo odhlášením ze svého účtu, což způsobí úplné smazání všech lokálně uložených údajů z paměti zařízení.

Odvolání souhlasu se zpracováním osobních údajů

Jestliže subjekt údajů udělil správci souhlas se zpracováním osobních údajů, může svůj dobrovolně udělený souhlas se zpracováním osobních údajů kdykoli bezplatně odvolat, a to zasláním e-mailu na info@mytickets.cz. Odvoláním souhlasu není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním. Odvolání souhlasu též nemá vliv na zpracování osobních údajů, které správce zpracovává na základě jiného právního základu, než je souhlas (tj. zejména je-li zpracování nezbytné pro splnění smlouvy, ochranu oprávněných zájmů správce nebo splnění právní povinnosti či z jiných důvodů uvedených v platných právních předpisech).

Přístup k osobním údajům

K osobním údajům subjektů údajů má přístup správce a případně též třetí osoby - příjemci, kteří poskytují vhodné záruky a jejichž zpracování splňuje požadavky dle platných právních předpisů a které zajišťuje náležitou ochranu práv subjektů údajů. 

Příjemci osobních údajů jsou pořadatelé akcí, na které si subjekt údajů kupuje vstupenky. Dále pak poskytovatelé účetních/mzdových služeb a systémů, správci IT systémů, poskytovatelé právního a daňového poradenství, poskytovatel platební brány, spolupracovníci správce, poskytovatelé marketingových služeb a orgány veřejné moci, kterým má správce povinnost osobní údaje poskytovat (např. finanční úřady). Příjemcem údajů o provozních chybách Aplikace je poskytovatel služby Sentry, společnost Functional Software, Inc. Do služby Sentry jsou odesílány výhradně technické informace o pádech aplikace, přičemž přihlašovací tokeny, hesla ani žádné jiné osobní údaje nejsou odesílány a jsou před přenosem automaticky filtrovány.

Osobní údaje jsou předávány pouze v rámci členských států Evropské unie s výjimkou případů, kdy jsou pro zpracování využívány služby společnosti Google. Tento poskytovatel sídlí v USA. Předávání tomuto příjemci je založeno na EU-US Data Privacy Framework.

Prokazování totožnosti subjektů údajů

Správce je oprávněn požadovat prokázání totožnosti subjektů údajů za účelem zamezení přístupu neoprávněných osob k osobním údajům.

Práva subjektů údajů ve vztahu k osobním údajům

Ve vztahu k osobním údajům má subjekt údajů zejména následující práva: 

  1. a) právo svůj souhlas kdykoli odvolat; 
  2. b) právo osobní údaje opravit či doplnit;
  3. c) právo požadovat omezení zpracování;
  4. d) právo vznést námitku či stížnost proti zpracování v určitých případech;
  5. e) právo požadovat přenesení údajů;
  6. f) právo na přístup k osobním údajům;
  7. g) právo být informován o porušení zabezpečení osobních údajů v určitých případech;
  8. h) právo na výmaz osobních údajů (právo být „zapomenut“) v určitých případech (prostřednictvím výše uvedené e-mailové adresy lze zažádat i o úplné smazání uživatelského účtu ze systému MyTickets); a 
  9. i) další práva stanovená v zákoně o zpracování osobních údajů a v obecném nařízení o ochraně osobních údajů č. 2016/679.

Co to znamená, že subjekt údajů má právo vznést námitku?

Dle čl. 21 obecného nařízení o ochraně osobních údajů č. 2016/679 má subjekt údajů mimo jiné právo vznést námitku proti zpracování osobních údajů, jestliže je zpracování prováděno na základě oprávněného zájmu, včetně zpracování za účelem přímého marketingu. Námitku je možné podat správci písemně či na e-mailovou adresu: info@mytickets.cz. V případě, že subjekt údajů vznese námitku proti zpracování, správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků. Jestliže jsou osobní údaje zpracovávány za účelem přímého marketingu a subjekt údajů proti takovému zpracování vznese námitku, správce osobní údaje v tomto rozsahu již dále nezpracovává.

Bližší informace o tomto právu obsahuje zejména čl. 21 obecného nařízení o ochraně osobních údajů č. 2016/679.

Povinnost poskytnout osobní údaje

Osobní údaje subjekt údajů poskytuje zcela dobrovolně. Nemá žádnou povinnost je poskytnout. V případě, že osobní údaje neposkytne, nehrozí mu žádná sankce. Nicméně pokud subjekt údajů své osobní údaje správci neposkytne, nebude možné uzavřít mezi subjektem údajů a správcem smlouvu ani ji řádně plnit. Je však čistě a pouze na rozhodnutí subjektu údajů, zda do smluvního vztahu se správcem chce vstoupit, či nikoliv.

Zabezpečení osobních údajů

Veškeré osobní údaje jsou zabezpečeny standardními postupy a technologiemi. Veškerá komunikace mezi aplikací MyTickets Scanner a serverem MyTickets probíhá zabezpečeně po šifrovaném spojení HTTPS. Lokální databáze v zařízení správce je šifrována standardem AES-256 (SQLCipher), přičemž šifrovací klíč je odvozen z identifikátoru uživatele a zařízení a nikde se neukládá v čitelné podobě. 

Osobní údaje, které jsou zpracovávány v elektronické formě, jsou ukládány v rámci interního systému a jsou přístupné pouze oprávněným uživatelům pracujícím s těmito osobními údaji prostřednictvím zařízení zabezpečených přihlašovacím jménem a heslem. Správce používá profesionální antivirovou ochranu a firewall, jež pravidelně aktualizuje. Správce pravidelně kontroluje, zda systém neobsahuje slabá místa a nebyl vystaven útoku, a používá taková bezpečností opatření, která je možné po správci rozumně vyžadovat, aby nedošlo k neoprávněnému přístupu k poskytnutým osobním údajům, a která s ohledem na aktuální stav technologií poskytují dostatečné zabezpečení. Osobní údaje, jež jsou zpracovávány v písemné formě, jsou uloženy v zabezpečených prostorách správce, do kterých mají přístup pouze oprávněné osoby. Všechna přijatá bezpečnostní opatření jsou pravidelně aktualizována.

Přestože správce zabezpečuje osobní údaje pomocí vhodných technických a organizačních opatření, není objektivně možné zcela zaručit jejich bezpečnost. Proto není ani možné 100% zajistit, že k poskytnutým osobním údajům nemůže třetí osoba získat přístup, nemohou být zkopírovány, zveřejněny, pozměněny nebo zničeny prolomením bezpečnostních opatření správce. V této souvislosti nicméně správce zaručuje, že činí vše proto, aby osobní údaje byly v bezpečí, a pravidelně kontroluje, zda nedošlo k porušení jejich zabezpečení.

Cookies

Správce v rámci portálu MyTickets umístěného na webových stránkách https://mytickets.cz/ využívá tzv. cookies, které jsou ukládány na zařízení subjektů údajů. Tyto cookies slouží zejména pro zajištění funkčnosti webových stránek, pro marketing a pro analýzu návštěvnosti. S výjimkou nezbytných technických cookies, jsou cookies uloženy pouze po předchozím souhlasu ze strany subjektu údajů. Pokud subjekt údajů cookies odmítne, nebude správce sledovat o subjektu údajů žádné marketingové ani analytické informace. V prohlížeči se jen použije soubor cookie, prostřednictvím něhož se uloží informace, že se tyto údaje nemají sledovat.

Standardní webové prohlížeče (Safari, Internet Explorer, Firefox, Google Chrome apod.) podporují správu cookies. V rámci nastavení prohlížečů může subjekt údajů jednotlivé cookies ručně mazat, blokovat či zcela zakázat jejich použití, lze je také blokovat nebo povolit jen pro jednotlivé internetové stránky. Pro detailnější informace může subjekt údajů použít nápovědu svého prohlížeče.

Správce na svých webových stránkách používá tzv. dočasné cookies a trvalé cookies. Dočasné cookies jsou uloženy v zařízení jen do ukončení programu internetového prohlížeče. Dočasné cookies umožňují uchovávání informací při přecházení z jedné webové stránky na druhou a odstraňují potřebu opakovaného zadávání některých údajů. Trvalé cookies pomáhají identifikovat zařízení subjektů údajů v případě opakované návštěvy webových stránek a umožňují přizpůsobovat webové stránky zájmům subjektů údajů.

V následující tabulce naleznete, jaké druhy souboru cookies správce využívá:

Vydavatel/ Název cookie

Typ

Trvanlivost

Popis

cmplz_banner-status

Trvalá

1 rok 

Zajištění funkčnosti: Ukládá informaci o zobrazení/skrytí cookie lišty.

cmplz_consented_services

Trvalá

1 rok

Zajištění funkčnosti: Ukládá volbu povolených služeb třetích stran.

cmplz_functional

Trvalá

1 rok 

Zajištění funkčnosti: Ukládá souhlas uživatele s funkčními cookies.

cmplz_marketing

Trvalá

1 rok 

Zajištění funkčnosti: Ukládá souhlas uživatele s marketingovými cookies.

cmplz_policy_id

Trvalá

1 rok 

Zajištění funkčnosti: Ukládá ID aktuálně platných zásad používání cookies.

cmplz_preferences

Trvalá

1 rok 

Zajištění funkčnosti: Ukládá souhlas uživatele s preferenčními cookies.

cmplz_statistics

Trvalá

1 rok 

Zajištění funkčnosti: Ukládá souhlas uživatele se statistickými cookies.

PHPSESSID

Dočasná

Relace (Session)

Nezbytná technická cookie pro zajištění základní funkčnosti webových stránek (identifikátor relace).

quform_session

Dočasná

Relace (Session)

Zajištění funkčnosti webových formulářů (identifikátor relace formuláře).

sbjs_current

Dočasná

Relace (Session)

Slouží pro účely marketingu a analýzu návštěvnosti.

sbjs_current_add

Dočasná

Relace (Session)

Slouží pro účely marketingu a analýzu návštěvnosti.

sbjs_first

Dočasná

Relace (Session)

Slouží pro účely marketingu a analýzu návštěvnosti.

sbjs_first_add

Dočasná

Relace (Session)

Slouží pro účely marketingu a analýzu návštěvnosti.

sbjs_migrations

Dočasná

Relace (Session)

Slouží pro účely marketingu a analýzu návštěvnosti.

sbjs_session

Dočasná

Krátkodobá (cca 30 min)

Slouží pro účely marketingu a analýzu návštěvnosti.

sbjs_udata

Dočasná

Relace (Session)

Slouží pro účely marketingu a analýzu návštěvnosti.

Závěrečná ustanovení

Subjekt údajů má právo podat stížnost týkající se zpracovávání osobních údajů správcem u Úřadu pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, internetové stránky: www.uoou.cz. Případně má možnost požádat o soudní ochranu u příslušného soudu.

Tyto zásady nabývají účinnosti dne 29. 5. 2026.