Zásady zpracování osobních údajů

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

(Privacy Policy)

účinné od 15. 4. 2026

1. Kdo jsme a jak nás můžete kontaktovat

1.1. Správcem osobních údajů pro zpracování popsané v článcích 3 až 10 těchto zásad jsme my, společnost Beilo s.r.o., IČO: 21136424, se sídlem Obětí 6. května 554/4, Krč, 140 00 Praha 4, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl C, vložka 396327 („my").

1.2. Provozujeme web zamdot.cz a cloudovou B2B SaaS aplikaci Zamdot, která slouží zejména ke správě nástupních a souvisejících HR a mzdových údajů zaměstnanců našich zákazníků.

1.3. Kontaktním kanálem pro veškerou komunikaci ve věcech ochrany osobních údajů, včetně uplatnění práv subjektů údajů, je e-mail info@zamdot.cz. Poštovní korespondenci lze výjimečně směřovat na adresu sídla uvedenou v odst. 1.1, primárním kanálem však zůstává e-mail.

2. Koho se tyto zásady týkají a v jaké roli vystupujeme

2.1. Tyto zásady se vztahují zejména na:

• návštěvníky našeho webu,
• osoby, které nás kontaktují,
• zástupce a kontaktní osoby našich zákazníků a dodavatelů,
• uživatele zákaznických účtů v aplikaci Zamdot,
• zaměstnance a jiné osoby, které vyplňují dotazník nebo nahrávají dokumenty prostřednictvím Zamdotu.

2.2. V některých situacích vystupujeme jako správce osobních údajů. To platí zejména tehdy, když zpracováváme údaje pro účely provozu webu, registrace a správy účtu, uzavření a plnění smlouvy, fakturace, plateb, podpory, bezpečnosti, auditních a provozních logů, obrany právních nároků a případně zasílání obchodních sdělení.

2.3. V jiných situacích vystupujeme jako zpracovatel osobních údajů. To platí zejména tehdy, když náš zákazník používá Zamdot ke sběru a správě osobních údajů svých zaměstnanců nebo jiných osob. V takovém případě o účelech a právních základech zpracování rozhoduje náš zákazník jako správce a my zpracováváme údaje pouze jeho jménem a podle jeho pokynů.

2.4. Pokud jste zaměstnanec nebo jiná osoba, jejíž údaje byly do Zamdotu vloženy naším zákazníkem, je pro obsah těchto údajů, jejich účel, právní základ, dobu uchování a okruh příjemců primárně odpovědný váš zaměstnavatel nebo jiný příslušný zákazník. Tato část našich zásad proto nenahrazuje informační povinnost vašeho zaměstnavatele. Stejné rozlišení mezi vlastní controller privacy policy a platformovým processor režimem používají i srovnatelné evropské HR SaaS služby.

3. Proč a na jakém právním základě zpracováváme osobní údaje jako správce

3.1. Jednání o smlouvě a odpovědi na poptávky.

Osobní údaje zpracováváme proto, abychom mohli reagovat na vaše dotazy, domluvit ukázku, připravit nabídku, ověřit základní parametry vašeho zájmu o Zamdot a činit kroky před uzavřením smlouvy. Právním základem je zpravidla jednání o smlouvě nebo opatření přijatá na vaši žádost před uzavřením smlouvy, popřípadě náš oprávněný zájem na vyřízení B2B komunikace.

3.2. Registrace, vytvoření a správa účtu.

Osobní údaje zpracováváme proto, abychom mohli založit a spravovat zákaznický účet, ověřovat přihlášení, nastavovat role a oprávnění, spravovat firmy v rámci účtu, umožnit používání funkcí aplikace a zasílat provozní a servisní oznámení. Právním základem je plnění smlouvy a náš oprávněný zájem na bezpečném a řádném provozu služby.

3.3. Poskytování služby a zákaznická podpora.

Osobní údaje zpracováváme proto, abychom mohli poskytovat přístup ke službě, řešit technické požadavky, odstraňovat incidenty, poskytovat podporu a dokumentovat průběh komunikace. Právním základem je plnění smlouvy a náš oprávněný zájem na zajištění podpory, kvality a bezpečnosti služby.

3.4. Fakturace, předplatné a platby.

Osobní údaje zpracováváme proto, abychom mohli vést fakturační profil, vyúčtovat předplatné, evidovat platby, řešit neúspěšné inkaso, splnit účetní a daňové povinnosti a chránit naše pohledávky. Právním základem je plnění smlouvy a splnění právních povinností, které se na nás vztahují.

3.5. Bezpečnost, audit a prevence zneužití.

Osobní údaje zpracováváme proto, abychom zajišťovali bezpečnost aplikace a webu, chránili přístupové údaje, vedli auditní záznamy o přístupech, exportech a změnách, předcházeli podvodům, řešili bezpečnostní incidenty, prováděli antivirové skenování nahraných souborů a prokazovali splnění našich povinností. Právním základem je náš oprávněný zájem na bezpečnosti, dostupnosti a obraně našich práv, případně splnění právní povinnosti.

3.6. Právní agenda a obrana nároků.

Osobní údaje zpracováváme proto, abychom mohli uplatňovat nebo hájit své právní nároky, řešit spory, vyřizovat požadavky orgánů veřejné moci, kontrolní a auditní dotazy a chránit svá práva a oprávněné zájmy. Právním základem je náš oprávněný zájem a případně splnění právní povinnosti.

3.7. Obchodní sdělení a marketing.

Pokud provozujeme newsletter, rozesílku produktových novinek, pozvánek na webináře nebo jinou marketingovou komunikaci, můžeme za tímto účelem zpracovávat vaše kontaktní údaje a informace o vašem vztahu k Zamdotu. Právním základem je váš souhlas tam, kde je vyžadován, nebo náš oprávněný zájem na B2B direct marketingu tam, kde je to přípustné podle právních předpisů. Každou takovou komunikaci můžete kdykoli odmítnout.

3.8. Provoz webu a cookies.

Při návštěvě webu můžeme zpracovávat technické a online identifikátory za účelem zajištění funkčnosti, bezpečnosti, měření návštěvnosti a správy preferencí. Tam, kde to právní předpisy vyžadují, budeme volitelné cookies a obdobné technologie používat pouze na základě vašeho souhlasu. Právní základy pro zpracování osobních údajů podle GDPR zahrnují zejména souhlas, plnění smlouvy, splnění právní povinnosti a oprávněný zájem; u každého účelu má být právní základ určen konkrétně.

4. Jaké osobní údaje jako správce zpracováváme

4.1. V závislosti na konkrétní situaci můžeme zpracovávat zejména:

• identifikační údaje, zejména jméno, příjmení, titul a pracovní zařazení,
• kontaktní údaje, zejména pracovní e-mail, telefon, doručovací adresu,
• údaje o společnosti a smluvním vztahu, zejména název firmy, IČO, DIČ, fakturační údaje, tarif, fakturační cyklus, stav předplatného a stav plateb,
• údaje o účtu a přihlášení, zejména přístupové a autentizační údaje, role uživatele, historie přihlášení, reset hesla a bezpečnostní události,
• komunikační údaje, zejména obsah e-mailů, požadavků na podporu, příloh a souvisejících metadat,
• technické a provozní údaje, zejména IP adresu, údaje o zařízení a prohlížeči, časová razítka, logy, auditní záznamy a identifikátory relací,
• údaje o akceptaci smluvní dokumentace, zejména verzi přijatých podmínek, časové razítko akceptace, IP adresu a user-agent v okamžiku registrace nebo akceptace,
• údaje o marketingových preferencích, pokud marketingovou komunikaci používáme.

4.2. V tomto našem controller režimu zpravidla úmyslně nepožadujeme zvláštní kategorie osobních údajů. Pokud nám je však sami zašlete například v rámci podpory nebo komunikace, budeme je zpracovávat jen v rozsahu nezbytném pro vyřízení dané věci a ochranu našich práv.

5. Odkud osobní údaje získáváme

5.1. Osobní údaje získáváme především:

• přímo od vás,
• od našeho zákazníka nebo jiné osoby oprávněné spravovat zákaznický účet,
• z používání webu a aplikace,
• od poskytovatele platebních služeb, zejména ohledně stavu platby nebo související identifikace transakce,
• z veřejně dostupných zdrojů nebo rejstříků, pokud je to přiměřeně nutné pro ověření firmy nebo uzavření a plnění smlouvy.

6. Komu mohou být osobní údaje zpřístupněny

6.1. Osobní údaje zpřístupňujeme pouze v nezbytném rozsahu a pouze těm příjemcům, kteří je potřebují pro naplnění výše uvedených účelů.

6.2. Typicky může jít zejména o:

• poskytovatele cloudové infrastruktury a souvisejících technologií, zejména Amazon Web Services, včetně hostingu aplikace, databáze, úložiště dokumentů, autentizace a e-mailové infrastruktury,
• poskytovatele platebních služeb a správy předplatného, zejména Stripe,
• poskytovatele bezpečnostních a antivirových služeb, pokud jsou zapojeni do ochrany nahrávaných souborů nebo incident response,
• naše účetní, daňové, právní a obdobné poradce,
• orgány veřejné moci, pokud nám tak ukládá právní předpis nebo závazné rozhodnutí.

6.3. Pokud zpracováváme osobní údaje jménem našich zákazníků jako zpracovatel, je detailnější režim subzpracovatelů upraven zejména ve smlouvě o zpracování osobních údajů (DPA).

7. Předávání osobních údajů mimo EHP

7.1. Primárním aplikačním regionem je AWS eu-central-1 (Frankfurt, DE). Veškerá zákaznická data jsou primárně zpracovávána a ukládána v Evropské unii.

7.2. Subzpracovatel Stripe Payments Europe, Ltd. se sídlem v Irsku (EU) může v rámci globální infrastruktury Stripe zpřístupnit část údajů společnosti Stripe, Inc. (USA). Tento přeshraniční přístup je zajištěn prostřednictvím: (a) EU-US Data Privacy Framework (Stripe, Inc. je certifikovaná organizace), a (b) standardních smluvních doložek dle rozhodnutí Evropské komise 2021/914.

7.3. AWS může výjimečně využít support personál mimo Evropský hospodářský prostor; pro takové případy platí AWS DPA a standardní smluvní doložky (AWS EMEA SARL, Lucembursko, je smluvní stranou jako zpracovatel).

7.4. Pokud k předání do třetích zemí dochází, činíme tak výhradně v souladu s GDPR a za použití odpovídajícího transferového mechanismu — zejména rozhodnutí Evropské komise o odpovídající ochraně, standardních smluvních doložek nebo jiného zákonného mechanismu. Informaci o použitých zárukách vám na žádost poskytneme v rozsahu vyžadovaném GDPR.

7.5. Aktuální seznam subzpracovatelů a použitých transferových mechanismů je k dispozici na /pravni/subzpracovatele.

8. Jak dlouho osobní údaje uchováváme

8.1. Osobní údaje neuchováváme déle, než je nezbytné pro daný účel. Konkrétní doba uchování se liší podle typu údajů a účelu jejich zpracování.

8.2. Zpravidla platí, že:

• údaje z poptávek, kontaktních formulářů a demo komunikace uchováváme po dobu nezbytnou k vyřízení a následné přiměřené obchodní návaznosti, zpravidla 12 měsíců, nedojde-li mezitím k uzavření smlouvy nebo nevznikne-li jiný zákonný důvod pro delší uchování;
• údaje o zákaznickém účtu, uživatelích účtu a smluvním vztahu uchováváme po dobu trvání smlouvy a následně po dobu nutnou k ochraně našich práv a řešení souvisejících nároků, zpravidla 3 roky od ukončení smlouvy, pokud delší uchování nevyžaduje zákon nebo konkrétní spor;
• fakturační a platební údaje uchováváme po dobu stanovenou účetními, daňovými a jinými právními předpisy;
• záznamy podpory uchováváme po dobu potřebnou k vyřízení požadavku a následné ochraně práv, zpravidla 24 měsíců od uzavření ticketu nebo komunikace;
• bezpečnostní, auditní a provozní logy uchováváme po dobu odpovídající jejich účelu, zpravidla 12 měsíců, v případě incidentu nebo sporu i déle;
• záznamy o akceptaci smluvní dokumentace uchováváme po dobu trvání účtu a následně po dobu 3 let od zrušení účtu;
• marketingové údaje uchováváme do odhlášení, vznesení námitky, odvolání souhlasu nebo do doby, kdy vyhodnotíme, že další komunikace již není přiměřená, nejdéle však 24 měsíců od poslední interakce, pokud právní předpisy nevyžadují jiný přístup.

8.3. Pokud osobní údaje zpracováváme jako zpracovatel jménem zákazníka, řídí se doba uchování především pokyny zákazníka, DPA a smluvní dokumentací. Po skončení smlouvy bývají zákaznická data po omezenou přechodnou dobu k dispozici pro export a poté jsou vymazána nebo anonymizována, s výjimkou záloh, logů a údajů, které musíme uchovat ze zákona.

9. Jak chráníme osobní údaje

9.1. Přijali jsme přiměřená technická a organizační opatření odpovídající povaze, rozsahu, kontextu a rizikům zpracování. Tato opatření zahrnují zejména řízení přístupových oprávnění, šifrovanou komunikaci, logování a auditní záznamy, ochranu účtů, zabezpečení cloudové infrastruktury a automatické antivirové skenování nahraných souborů.

9.2. Bezpečnostní opatření průběžně vyhodnocujeme a přiměřeně aktualizujeme. Podrobnosti nezveřejňujeme v plném rozsahu, aby nedocházelo ke snižování účinnosti bezpečnostních mechanismů.

9.3. Přestože činíme přiměřené kroky k ochraně osobních údajů, nelze žádný systém považovat za absolutně bezrizikový. I z tohoto důvodu očekáváme odpovědné chování uživatelů, zejména ochranu přístupových údajů a využívání bezpečných zařízení a sítí. GDPR výslovně počítá s povinností zavést odpovídající technická a organizační opatření a čl. 32 se týká právě bezpečnosti zpracování.

10. Jaká máte práva

10.1. Pokud jsme ve vztahu k vašim osobním údajům správcem, máte za podmínek stanovených GDPR zejména právo:

• požadovat přístup ke svým osobním údajům,
• požadovat opravu nepřesných nebo doplnění neúplných osobních údajů,
• požadovat výmaz osobních údajů,
• požadovat omezení zpracování,
• vznést námitku proti zpracování založenému na oprávněném zájmu,
• na přenositelnost údajů, pokud jsou splněny zákonné podmínky,
• odvolat souhlas, je-li zpracování založeno na souhlasu,
• podat stížnost u dozorového úřadu.

10.2. Svá práva můžete uplatnit na kontaktech uvedených výše. Můžeme si od vás přiměřeně vyžádat ověření totožnosti, abychom chránili vaše údaje před neoprávněným zpřístupněním.

10.3. Na vaši žádost odpovíme bez zbytečného odkladu, nejpozději do jednoho měsíce. Ve složitějších případech nebo při větším počtu žádostí můžeme tuto lhůtu prodloužit až o další dva měsíce; o prodloužení a jeho důvodech vás budeme včas informovat.

10.4. Dozorovým úřadem v České republice je Úřad pro ochranu osobních údajů.

10.5. Pokud se vaše žádost týká údajů, které zpracováváme pouze jako zpracovatel jménem našeho zákazníka, předáme vaši žádost příslušnému zákazníkovi nebo vás odkážeme přímo na něj, protože za vyřízení takové žádosti odpovídá především on. Práva subjektů údajů, lhůta jednoho měsíce pro odpověď a právo podat stížnost u dozorového úřadu vyplývají přímo z GDPR a z informací ÚOOÚ pro veřejnost.

11. Je poskytnutí osobních údajů povinné? Dochází k automatizovanému rozhodování?

11.1. Poskytnutí některých osobních údajů je smluvním nebo praktickým předpokladem pro vytvoření účtu, uzavření smlouvy, vystavení daňového dokladu, vyřízení podpory nebo zajištění bezpečnosti služby. Pokud nám tyto údaje neposkytnete, nemusíme být schopni založit účet, uzavřít smlouvu nebo vám poskytnout konkrétní část služby.

11.2. Osobní údaje nepoužíváme k rozhodování založenému výhradně na automatizovaném zpracování, které by pro vás mělo právní účinky nebo se vás obdobně významně dotýkalo ve smyslu čl. 22 GDPR. Automatické systémové notifikace, připomínky ani automatické technické operace, jako je dočasné omezení přístupu k funkcím Služby při neuhrazené platbě za předplatné, samy o sobě takové rozhodování nepředstavují.

12. Zvláštní informace pro zaměstnance a jiné osoby, jejichž údaje naši zákazníci zpracovávají v Zamdotu

12.1. Pokud jste zaměstnanec nebo jiná osoba, které byl zaslán odkaz k vyplnění dotazníku, nahrání dokumentů nebo doplnění údajů prostřednictvím Zamdotu, je správcem obsahu těchto údajů zpravidla váš zaměstnavatel nebo jiný zákazník, který Zamdot používá.

12.2. V tomto režimu můžeme jménem zákazníka zpracovávat zejména:

• identifikační údaje,
• adresní a kontaktní údaje,
• údaje potřebné pro mzdové a daňové zpracování,
• údaje o bankovním spojení,
• údaje o dětech a uplatňovaných nárocích,
• údaje obsažené v nahrávaných dokumentech,
• údaje týkající se cizinců a souvisejících oprávnění,
• odpovědi na vlastní otázky nastavené zákazníkem,
• a podle nastavení zákazníka i další údaje vyžadující zvýšenou ochranu, zejména údaje o zdravotním stavu obsažené v dokumentech.

12.3. O tom, proč jsou tyto údaje požadovány, na jakém právním základě jsou zpracovávány, jak dlouho budou uchovány a komu budou zpřístupněny, rozhoduje příslušný zákazník jako správce. Z těchto důvodů byste měli své dotazy a žádosti týkající se obsahu zaměstnaneckého dotazníku, nahraných dokumentů nebo opravy a výmazu těchto údajů směřovat primárně na svého zaměstnavatele nebo jiného příslušného zákazníka.

12.4. Pokud se na nás obrátíte přímo, můžeme vaši žádost postoupit příslušnému zákazníkovi, informovat jej o ní nebo s ním spolupracovat při jejím vyřízení, pokud to bude potřebné a dovolí to právní předpisy.

12.5. I když obsah zaměstnaneckých údajů zpracováváme jménem zákazníka jako zpracovatel, můžeme jako samostatný správce zpracovávat omezený rozsah technických, bezpečnostních a provozních metadat souvisejících s přístupem do systému, otevřením jednorázového odkazu, doručením nebo použitím pozvánky, nahráním souboru, antivirovým skenem, auditní stopou a řešením incidentů. Děje se tak za účelem bezpečnosti, prevence zneužití, zajištění provozu služby, prokazování splnění povinností a ochrany našich práv.

12.6. Zákaznická data zpracovávaná tímto způsobem jsou po skončení smlouvy se zákazníkem zpravidla po omezenou dobu ponechána k exportu podle smluvní dokumentace a DPA a poté smazána nebo anonymizována, s výjimkou záloh, logů a údajů, které musíme nebo smíme uchovat z důvodu zákonné povinnosti či ochrany našich práv.

12.7. Tato část zásad nenahrazuje informační povinnost vašeho zaměstnavatele. Rozlišení mezi controller privacy policy a processor režimem pro data zaměstnanců používají i srovnatelné evropské HR SaaS služby a odpovídá definicím správce a zpracovatele podle GDPR.

13. Cookies a podobné technologie

13.1. Na našem webu a případně v některých částech služby můžeme používat cookies a obdobné technologie.

13.2. Nezbytné cookies používáme pro zajištění funkčnosti, bezpečnosti a základního provozu. Volitelné analytické nebo marketingové cookies používáme pouze tehdy, pokud k tomu máme odpovídající právní základ.

13.3. Podrobnosti uvádíme v samostatné Cookie Policy.

14. Změny těchto zásad

14.1. Tyto zásady můžeme přiměřeně měnit nebo doplňovat, zejména pokud se změní právní předpisy, naše služby, použité technologie nebo způsob zpracování osobních údajů.

14.2. Aktuální verzi vždy zveřejňujeme na našem webu a v relevantních částech aplikace. U podstatných změn vás budeme informovat vhodným způsobem.

14.3. Tyto zásady jsou účinné od 15. 4. 2026.