Zásady ochrany osobních údajů

Platforma EVA — služba zpřístupňování digitálního obsahu pro vzdálenou identifikaci a ověření elektronického podpisu. Verze 0.90 — PRACOVNÍ VERZE.

1. Úvod a rozsah

Tyto Zásady popisují, jak v platformě EVA — službě zpřístupňování digitálního obsahu pro vzdálenou identifikaci a ověření elektronického podpisu (dále jen „Platforma") — zpracováváme osobní údaje. Vážíme si Vašeho soukromí a údaje zpracováváme v souladu s nařízením (EU) 2016/679 (GDPR) a zákonem č. 110/2019 Sb., o zpracování osobních údajů.

Služby (dále také „Služby Platformy") jsou digitální obsah bez fyzických nosičů poskytovaný Provozovatelem prostřednictvím Platformy v rozsahu definovaném Obchodními podmínkami pro Klienty (zejména čl. 3 VOP), tj. zejména služba prokázání totožnosti podle § 25d ZoA, služba elektronického podepisování dokumentů a další služby v podobě digitálního obsahu (protokol o schůzce, auditní stopa, archivace záznamů, generování protokolů a podobné). Smlouva je smluvní vztah mezi Provozovatelem a Uživatelem, jehož předmětem je poskytování Služeb.

Tyto Zásady tvoří nedílnou součást Obchodních podmínek pro Klienty a (pro vztah Provozovatel ↔ Advokát) Advokátních podmínek.

2. Komu jsou Zásady určeny

Tyto Zásady jsou určeny:

• Uživatelům platformy — fyzickým osobám (Klientům, Subjektům ověření), které využívají Služby Platformy zpravidla na základě pozvánky Advokáta;
• Advokátům — uživatelům Platformy, kteří využívají Platformu pro výkon své advokátní činnosti vůči svým klientům;
• Klientům-Podnikatelům — fyzickým nebo právnickým osobám objednávajícím identifikaci fyzické osoby jednající v jejich zastoupení.

3. Provozovatel ve dvojí roli — Správce vs Zpracovatel

Provozovatel je ve vztahu k osobním údajům Uživatelů zpracovávaným v rámci Služeb Platformy ve dvojí roli:

4. Jaké osobní údaje zpracováváme

4.1 Údaje zpracovávané Provozovatelem jako Správcem (vlastní účely)

• Jméno a příjmení Uživatele
• E-mailová adresa Uživatele
• (Volitelně, na základě dobrovolného poskytnutí Uživatelem) Telefonní číslo Uživatele
• Provozní údaje — IP adresa, čas přístupu, použité zařízení/prohlížeč (pro účely bezpečnosti a anti-fraud opatření)
• Protokol a informace o použití Služeb Platformy — zejména časové údaje vstupu a odchodu z videokonferenční místnosti, identifikátor Smlouvy, technické provozní metadata (logy přístupu a operací) — pro účely auditu provozu Platformy a dodržování právních a smluvních povinností Provozovatele;
• Údaje o doručitelnosti obchodních sdělení (zda byl e-mail otevřen, klik na unsubscribe).

4.2 Údaje zpracovávané Provozovatelem jako Zpracovatelem (na pokyn Advokáta)

Tyto údaje Advokát zpracovává jako Správce z titulu své zákonné povinnosti podle § 25d ZoA. Provozovatel je zpracovává výhradně na pokyn Advokáta a v rozsahu nezbytném pro plnění této zákonné povinnosti:

• Údaje přebírané z Bank iD (v rozsahu odpovídajícím produktu Identify Plus):
  • identifikátor uživatele (Bank iD sub), jméno, příjmení, rodné příjmení, případné tituly
  • datum narození, rodné číslo, pohlaví
  • místo a stát narození, primární státní občanství, další státní občanství
  • adresa trvalého pobytu, případně kontaktní adresa
  • identifikační doklady — typ, číslo, vydavatel, datum vydání, platnost
  • e-mail a telefonní číslo (vč. údaje o jejich ověření v bance)
  • rodinný stav
  • právní status — dosažení zletilosti, politicky exponovaná osoba (PEP), omezená svéprávnost
  • časový údaj o posledním ověření identity v bankovním systému
  • preferovaný jazyk komunikace (locale) — pokud jej banka předá
  Konkrétní rozsah údajů ovlivňuje Uživatel svým souhlasem v rozhraní své banky během identifikačního procesu.
• Auditní stopa — záznamy o vstupu do videokonferenční místnosti, otevření dokumentu, potvrzení podpisu, časové údaje úkonu;
• Dokumenty nahrané Advokátem k podpisu / ověření (obsah dokumentu Provozovatel technicky nečte v rámci provozu Platformy — privacy by design);
• Záznam audiovizuální komunikace (videokonference) — v aktuální verzi Platformy se NENAHRÁVÁ. Pokud by v budoucnu byl Advokátem konfigurován nahrávací režim, bude o tom Uživatel předem informován.

4.3 Zvláštní kategorie osobních údajů (čl. 9 GDPR)

Zvláštní kategorie osobních údajů ve smyslu čl. 9 GDPR (zejména údaje o zdravotním stavu, biometrické údaje pro účely identifikace, údaje o rasovém nebo etnickém původu, politických názorech, náboženském vyznání, členství v odborech, sexuálním životě nebo sexuální orientaci) Provozovatel nezpracovává.

5. Účel zpracování a právní základ

Účel	Údaje	Právní základ (čl. 6 GDPR)	Role Provozovatele
Plnění smlouvy o Službách Platformy — poskytování a provoz Platformy, doručování pozvánek, technická podpora	Jméno, příjmení, e-mail (případně telefon)	čl. 6 odst. 1 písm. b) — plnění smlouvy	Správce
Bezpečnost provozu, prevence zneužití (rate-limiting, anti-fraud, audit přihlášení)	IP adresa, časové údaje, zařízení/prohlížeč	čl. 6 odst. 1 písm. f) — oprávněný zájem	Správce
Zasílání obchodních sdělení Provozovatele o souvisejících službách Platformy (newsletter, novinky, případné budoucí cenové modely, zpětná vazba k uživatelské zkušenosti)	Jméno, příjmení, e-mail	čl. 6 odst. 1 písm. f) — oprávněný zájem Provozovatele ve smyslu recitálu 47 GDPR, ve spojení s § 7 odst. 3 zákona č. 480/2004 Sb. (ZSIS) — soft opt-in pro související služby. Uživatel má právo kdykoliv vznést námitku podle čl. 21 odst. 2 a 3 GDPR (viz čl. 7 níže).	Správce
Vzdálená identifikace klienta podle § 25d ZoA	Údaje z Bank iD (viz čl. 4.2)	čl. 6 odst. 1 písm. c) — plnění zákonné povinnosti Advokáta podle § 25d ZoA	Zpracovatel (na pokyn Advokáta)
Vedení auditní stopy podle § 25b ZoA, kniha o prohlášeních o pravosti podpisu	Auditní stopa, výstupy identifikace, podpisové úkony	čl. 6 odst. 1 písm. c) — plnění zákonné povinnosti Advokáta podle § 25b ZoA	Zpracovatel (na pokyn Advokáta)

6. Doba zpracování

• Kontaktní údaje pro plnění smlouvy o Službách Platformy (jméno, příjmení, e-mail) — po dobu trvání vztahu + 5 let po jeho ukončení (zákonné promlčecí lhůty pro případné nároky ze smlouvy);
• Kontaktní údaje pro zasílání obchodních sdělení — po dobu trvání oprávněného zájmu, nejvýše do okamžiku vznesení námitky Uživatelem (poté bezodkladně ukončeno);
• Údaje identifikační (§ 25d ZoA) a auditní stopa — 10 let od ukončení schůzky / dokončení identifikace (§ 25b ZoA);
• Záznamy přihlášení a IP adres — 12 měsíců, poté agregace nebo smazání;
• Pozvánky neuplatněné — 30 dnů, poté smazání;
• Záznam videokonference — v aktuální verzi platformy se nepořizuje. Pokud by byl v budoucnu Advokátem aktivován, uchování dle nastavení Advokáta, nejdéle 10 let podle § 25b ZoA.

7. Vaše právo vznést námitku proti přímému marketingu

Uživatel má právo kdykoliv vznést námitku proti zpracování svých osobních údajů pro účely přímého marketingu (zasílání obchodních sdělení Provozovatele) podle čl. 21 odst. 2 a 3 GDPR. Toto právo je absolutní — Provozovatel po obdržení námitky bezodkladně ukončí zpracování pro tyto účely.

Námitku lze vznést:

• kliknutím na odhlašovací odkaz (unsubscribe) v každém obchodním sdělení;
• e-mailem na adresu advokat@michalstraka.cz;
• písemně na adresu sídla Provozovatele uvedenou v záhlaví těchto Zásad.

Provozovatel po obdržení námitky:

• bezodkladně ukončí zasílání obchodních sdělení Uživateli;
• Uživatele informuje o vyřízení námitky do 30 dnů;
• nadále zpracovává údaje Uživatele pouze v rozsahu nezbytném pro plnění smlouvy o Službách Platformy a pro plnění zákonných povinností.

8. Příjemci osobních údajů a další správci

8.1 Bankovní identita, a.s. — samostatný správce

Bankovní identita, a.s., IČO 09513817, se sídlem Smrčkova 2485/4, 180 00 Praha 8, je ve vztahu k údajům získaným v rámci ověření identity klienta samostatným správcem osobních údajů ve smyslu čl. 4 bodu 7 GDPR. Provozovatel (EVA) a Bankovní identita, a.s. nejsou společnými správci ve smyslu čl. 26 GDPR. Údaje jsou předávány Provozovateli na základě souhlasu Uživatele uděleného v rozhraní jeho banky a v rozsahu jím odsouhlaseném. Zásady zpracování osobních údajů Bank iD jsou dostupné na bankid.cz/ochrana-osobnich-udaju.

8.2 Zpracovatelé Provozovatele

Některé činnosti zpracování provádějí pro Provozovatele zpracovatelé v následujících kategoriích, s nimiž má Provozovatel uzavřené odpovídající zpracovatelské smlouvy podle čl. 28 GDPR:

• Hostingový provider — Hetzner Online GmbH, server v EU (Frankfurt / Falkenstein), pro účely hostování infrastruktury Platformy;
• Provider videokonferenční infrastruktury — společnost zařazená do EU-US Data Privacy Framework, případně se sídlem v EU s podpisem standardních smluvních doložek (SCC), pro účely zajištění přenosu audio/video signálu v reálném čase. Tento provider zpracovává: WebRTC streamy v tranzitu (šifrované), session metadata (identifikátor místnosti, čas připojení/odpojení), IP adresy účastníků; nepořizuje záznam komunikace;
• Microsoft Ireland Operations Limited (Microsoft 365) — pro účely doručování e-mailových pozvánek, notifikací a souvisejících systémových sdělení; data zpracovávána v EU.

8.3 Další příjemci

• Orgány veřejné moci — pokud nás k tomu zavazuje právní předpis (např. soud, Česká advokátní komora, Úřad pro ochranu osobních údajů, orgány činné v trestním řízení);
• Advokát jako samostatný správce — ve vztahu k údajům podle čl. 25d ZoA.

Údaje obecně nepředáváme do třetích zemí mimo EU/EHP. Pokud k takovému předání výjimečně dojde, je zajištěno postupně:

1. primárně na základě rozhodnutí Evropské komise o odpovídající úrovni ochrany (adequacy decision) podle čl. 45 GDPR — typicky v rámci EU-US Data Privacy Framework (rozhodnutí Komise (EU) 2023/1795) nebo obdobných rozhodnutí pro jiné jurisdikce;
2. není-li to možné, prostřednictvím standardních smluvních doložek schválených Evropskou komisí podle rozhodnutí Komise (EU) 2021/914 ze dne 4. června 2021 (Standard Contractual Clauses) nebo jiných vhodných záruk podle čl. 46 GDPR.

9. Vaše práva

V souladu s GDPR máte (jako subjekt údajů) tato práva:

• právo na přístup k údajům (čl. 15);
• právo na opravu nepřesných údajů (čl. 16);
• právo na výmaz („právo být zapomenut") podle čl. 17 GDPR — s ohledem na zákonné a smluvní povinnosti Provozovatele a Advokáta (zejména archivace podle § 25b ZoA a uchování auditní stopy podle § 25d ZoA, povinnost obhajoby případných právních nároků a archivní povinnosti smluvních partnerů) může být právo na výmaz omezeno na údaje, které nejsou předmětem zákonné nebo smluvní archivační povinnosti.
  • Vůči Provozovateli jako Správci (údaje podle čl. 4.1 — jméno, příjmení, e-mail a další pro plnění Smlouvy a marketing) uplatňuje Uživatel právo na výmaz přímo u Provozovatele kontakty uvedenými v čl. 13 níže;
  • Vůči Advokátovi jako Správci (údaje podle čl. 4.2 — identifikační údaje § 25d ZoA, auditní stopa, dokumenty) uplatňuje Uživatel právo na výmaz prostřednictvím příslušného Advokáta (kterého kontaktuje do jeho datové schránky, e-mailem nebo jinými prostředky uvedenými u Advokáta v seznamu ČAK). Provozovatel jako zpracovatel takovou žádost po obdržení od Advokáta jako Správce zpracuje v souladu s jeho pokynem.
• právo na omezení zpracování (čl. 18);
• právo na přenositelnost údajů (čl. 20);
• právo vznést námitku proti zpracování na základě oprávněného zájmu (čl. 21 odst. 1 GDPR) a (zejména) proti zpracování pro účely přímého marketingu (čl. 21 odst. 2 a 3 GDPR — absolutní právo, viz čl. 7 výše);
• právo podat stížnost u Úřadu pro ochranu osobních údajů (uoou.gov.cz).

Své právo můžete uplatnit e-mailem na advokat@michalstraka.cz. Provozovatel reaguje na žádost nejpozději do 30 dnů od jejího obdržení; ve složitějších případech lze lhůtu prodloužit o další 60 dnů s předchozí informací Uživateli.

10. Bezpečnost zpracování

Provozovatel aplikuje tato technická a organizační opatření v souladu s čl. 32 GDPR:

• Komunikace pouze přes HTTPS s protokolem TLS 1.3 (Let's Encrypt certifikát; SSL Labs hodnocení A);
• Hesla uložena pouze jako bcrypt hash, nikdy v plaintextu;
• Auditní log šifrovaný at-rest pomocí AES-256-GCM;
• Hash chain auditního logu (SHA-256) — auditní stopa je tamper-evident;
• Dvoufaktorové ověření (TOTP) pro administrativní účty;
• Step-up ověření pro destruktivní operace (force re-auth);
• Omezení síťového přístupu (firewall, bind aplikace na loopback rozhraní za reverzním proxy);
• Pravidelné aktualizace operačního systému, knihoven a kontejnerové infrastruktury;
• Šifrované zálohy a oddělená správa kryptografických klíčů.

11. Cookies a podobné technologie

Platforma EVA používá cookies a podobné technologie (lokální úložiště prohlížeče) ve čtyřech kategoriích. Vaše volby můžete kdykoli upravit klikem na odkaz Nastavení cookies v patičce kterékoli stránky. Souhlas je platný nejvýše 13 měsíců, potom vás požádáme znovu.

11.1 Nezbytné (vždy aktivní)

• Session cookie (eva.sid) — provoz uživatelské relace a autentizace; httpOnly, secure, sameSite=lax;
• CSRF token cookie — ochrana proti Cross-Site Request Forgery útokům;
• Záznam vašich voleb cookies (evaCookieConsent v localStorage) — uchovává volby kategorií a verzi schválení.

Pro tyto cookies se podle § 89 odst. 3 zákona č. 127/2005 Sb., o elektronických komunikacích, a podle čl. 6 odst. 1 písm. b) GDPR (plnění smlouvy), nevyžaduje souhlas Uživatele, neboť jsou technicky nezbytné pro poskytování Služeb Platformy výslovně požadovaných Uživatelem.

11.2 Funkční (volitelné, defaultně vypnuté)

• evaTheme — preference vzhledu (světlý/tmavý režim);
• evaMobileBannerDismissed — skrytí oznámení o mobilní podpoře;
• evaConferenceOnboardingDismissed — skrytí úvodních pokynů ke konferenci.

Funkční úložiště si pamatuje vaše preference mezi návštěvami a vylepšuje uživatelský komfort. Právní základ: čl. 6 odst. 1 písm. a) GDPR (souhlas). Bez souhlasu jsou tyto preference omezeny na aktuální relaci.

11.3 Výkonové

Momentálně nevyužíváme. Pokud bychom v budoucnu zavedli analytiku výkonu Platformy (např. self-hosted anonymizovaný Plausible nebo Matomo), aktivovala by se pouze po vašem souhlasu na základě čl. 6 odst. 1 písm. a) GDPR.

11.4 Marketingové

Momentálně nevyužíváme a v dohledném horizontu neplánujeme zavádět cílení obchodních sdělení, retargeting ani podobné technologie. Pokud by k tomu došlo, aktivovaly by se pouze po vašem souhlasu na základě čl. 6 odst. 1 písm. a) GDPR a o této změně vás budeme předem informovat.

12. Změny Zásad

Tyto Zásady mohou být průběžně aktualizovány. Aktuální verzi naleznete vždy na adrese /privacy. O podstatných změnách Provozovatel informuje Uživatele e-mailem nebo prostřednictvím Platformy nejméně 14 dní předem.

13. Kontakt

Dotazy ke zpracování osobních údajů, žádosti o uplatnění práv podle čl. 9, námitky proti přímému marketingu podle čl. 7 a žádosti o specifikaci sub-zpracovatelů podle čl. 8.2 směřujte na:

• E-mail: advokat@michalstraka.cz
• Datová schránka: n6z4vin
• Písemně: Mgr. Michal Straka, LL.M., advokát, Na Pankráci 1010/51, 140 00 Praha 4

Verze 0.90 — PRACOVNÍ VERZE · platnost od 1. 6. 2026