Zásady zpracování osobních údajů služby INVOICO
Poslední aktualizace: 25. 3. 2026
1. Úvodní ustanovení a totožnost správce
1.1. Tyto Zásady zpracování osobních údajů (dále jen „Zásady") informují uživatele služby INVOICO (dále jen „Služba") o tom, jakým způsobem jsou jejich osobní údaje zpracovávány.
1.2. Správce osobních údajů:
- Apertia Robotics s.r.o., IČO: 22233270
- Sídlo: Matěje Koštíře 269, Sedlčánky, 250 88 Čelákovice
- E-mail pro záležitosti ochrany osobních údajů: privacy@invoico.cz
- Obecný kontakt: info@invoico.cz
1.3. Tyto Zásady jsou vydány v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů (dále jen „GDPR") a zákonem č. 110/2019 Sb., o zpracování osobních údajů.
2. Kategorie zpracovávaných osobních údajů
Správce zpracovává následující kategorie osobních údajů:
2.1. Údaje o uživateli (registrační a profilové údaje)
- Jméno a příjmení
- E-mailová adresa
- Telefonní číslo
- Heslo v hashované (nečitelné) podobě
- Jazykové nastavení
- Role ve Workspace (Owner, Admin, Member)
- Informace o ověření telefonu a e-mailu
- Datum vytvoření účtu, datum poslední změny
2.2. Údaje o firmách evidovaných ve Workspace
- Název firmy
- IČO / registrační číslo
- DIČ / VAT ID
- Sídlo / adresa
- Telefonní číslo firmy
- Měna a fakturační kontext
- Nastavení účetních polí
2.3. Údaje obsažené v nahraných fakturách
Uživatel nahrává do Služby faktury ve formátu PDF, které mohou obsahovat osobní údaje třetích osob (dodavatelů, kontaktních osob). Jedná se zejména o:
- Identifikační údaje dodavatele a odběratele (název, IČO, DIČ, adresa)
- Jména kontaktních osob uvedených na faktuře
- Bankovní spojení (číslo účtu, IBAN)
- Číslo faktury, data, částky a další účetní údaje
- Variabilní symbol a další platební údaje
2.4. Fakturační a platební údaje
- Identifikace zákazníka/Workspace v platebním systému Stripe
- Název a adresa fakturační firmy
- IČO, DIČ fakturační firmy
- Informace o nabitém zůstatku Workspace
- Historie dobití, platebních transakcí a případných refundací
- Informace o uložené platební metodě a nastavení automatického dobíjení
Poznámka: Čísla platebních karet Správce neukládá; jsou uložena výhradně u poskytovatele platebních služeb Stripe.
2.5. Komunikační údaje
- Obsah e-mailové komunikace se zákaznickou podporou
- Pozvánky do Workspace (e-mailová adresa pozvaného)
- SMS ověřovací kódy
2.6. Technické a provozní údaje
- IP adresa
- Typ a verze prohlížeče
- Informace o zařízení
- Přístupové a session tokeny
- Technické logy aplikace
- Webhook a event záznamy
3. Účely a právní základy zpracování
| Účel zpracování | Právní základ (čl. GDPR) | Kategorie údajů |
|---|---|---|
| Registrace a správa uživatelského účtu | Plnění smlouvy (čl. 6 odst. 1 písm. b) | 2.1 |
| Ověření identity (e-mail, telefon) | Plnění smlouvy (čl. 6 odst. 1 písm. b) | 2.1, 2.5 |
| Poskytování Služby (zpracování faktur, AI/OCR vytěžování) | Plnění smlouvy (čl. 6 odst. 1 písm. b) | 2.1, 2.2, 2.3 |
| Správa Workspace, firem a uživatelských rolí | Plnění smlouvy (čl. 6 odst. 1 písm. b) | 2.1, 2.2 |
| Fakturace a zpracování plateb | Plnění smlouvy (čl. 6 odst. 1 písm. b) | 2.1, 2.2, 2.4 |
| Zasílání transakčních e-mailů (ověření, pozvánky, reset hesla) | Plnění smlouvy (čl. 6 odst. 1 písm. b) | 2.1, 2.5 |
| Plnění právních povinností (účetní a daňové předpisy, archivace) | Právní povinnost (čl. 6 odst. 1 písm. c) | 2.1, 2.4 |
| Zajištění bezpečnosti a prevence zneužití Služby | Oprávněný zájem (čl. 6 odst. 1 písm. f) | 2.6 |
| Technický provoz, diagnostika a zlepšování Služby | Oprávněný zájem (čl. 6 odst. 1 písm. f) | 2.6 |
| Řešení sporů a uplatňování právních nároků | Oprávněný zájem (čl. 6 odst. 1 písm. f) | 2.1, 2.4 |
4. Příjemci a zpracovatelé osobních údajů
Správce předává osobní údaje následujícím kategoriím příjemců výhradně v rozsahu nezbytném pro poskytování Služby:
4.1. Externí zpracovatelé
| Zpracovatel / kategorie | Účel | Předávané údaje | Sídlo / země |
|---|---|---|---|
| OpenRouter, Inc. | Automatické vytěžování dat z faktur prostřednictvím AI modelů | Obsah nahraných PDF faktur, technické identifikátory | USA |
| Stripe, Inc. | Zpracování plateb, dobíjení peněžních prostředků do Workspace, správa platebních metod | Identifikace Workspace/zákazníka, fakturační údaje firmy (název, adresa, IČO, DIČ), informace o transakcích a uložené platební metodě | USA (s ochranou dle standardních smluvních doložek – viz čl. 5) |
| Twilio, Inc. | SMS ověření telefonního čísla při registraci | Telefonní číslo, ověřovací kód | USA (s ochranou dle standardních smluvních doložek – viz čl. 5) |
| Vlastní SMTP infrastruktura provozovaná Správcem | Zasílání transakčních e-mailů (ověření, pozvánky, reset hesla) | E-mailová adresa, jméno, obsah transakční zprávy | Německo (na dedikovaném serveru v infrastruktuře Hetzner) |
| Hetzner Online GmbH | Hosting a provoz infrastruktury Služby | Veškeré údaje zpracovávané v rámci Služby | Německo (dedikovaný server) |
4.2. Státní registry a veřejné zdroje
- ARES (Administrativní registr ekonomických subjektů) – Služba dotazuje veřejně dostupný registr ARES na základě IČO zadaného uživatelem za účelem doplnění údajů o firmě. Správce nepředává do ARES žádné osobní údaje; dotaz obsahuje pouze IČO.
4.3. Orgány veřejné moci
Správce může být povinen předat osobní údaje orgánům veřejné moci na základě zákonné povinnosti (např. finanční úřad, soudy, orgány činné v trestním řízení).
5. Předávání údajů do třetích zemí
5.1. Některé zpracovatele osobních údajů (zejména Stripe a Twilio) mají sídlo v USA. Předávání osobních údajů do USA probíhá na základě rozhodnutí Evropské komise o přiměřenosti (EU-U.S. Data Privacy Framework), případně na základě standardních smluvních doložek přijatých Evropskou komisí dle čl. 46 odst. 2 písm. c) GDPR.
5.2. Podrobnější informace o konkrétních zárukách lze získat na vyžádání na e-mailu privacy@invoico.cz.
6. Doba uchovávání osobních údajů
| Kategorie údajů | Doba uchovávání |
|---|---|
| Registrační a profilové údaje | Po dobu trvání účtu + 30 dní po jeho zrušení (pro případ obnovení) |
| Údaje o firmách ve Workspace | Po dobu trvání Workspace |
| Nahrané faktury a vytěžená data | Po dobu trvání Workspace, resp. dle nastavení uživatele; po ukončení smlouvy max. 30 dní |
| Fakturační a platební údaje | Po dobu stanovenou daňovými a účetními předpisy (zpravidla 10 let) |
| Technické logy | Maximálně 12 měsíců od jejich vzniku |
| Komunikace se zákaznickou podporou | Po dobu trvání účtu + 3 roky po ukončení (pro řešení případných sporů) |
| SMS ověřovací kódy | Bezprostředně po ověření (max. 24 hodin) |
Po uplynutí doby uchovávání jsou údaje nevratně smazány nebo anonymizovány.
7. Práva subjektů údajů
7.1. V souladu s GDPR má každý subjekt údajů následující práva:
- Právo na přístup (čl. 15 GDPR) – právo získat potvrzení o tom, zda jsou osobní údaje zpracovávány, a pokud ano, získat k nim přístup.
- Právo na opravu (čl. 16 GDPR) – právo na opravu nepřesných osobních údajů.
- Právo na výmaz (čl. 17 GDPR) – právo požádat o smazání osobních údajů za podmínek stanovených GDPR.
- Právo na omezení zpracování (čl. 18 GDPR) – právo požádat o omezení zpracování v určitých případech.
- Právo na přenositelnost údajů (čl. 20 GDPR) – právo obdržet osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu.
- Právo vznést námitku (čl. 21 GDPR) – právo vznést námitku proti zpracování založenému na oprávněném zájmu Správce.
- Právo podat stížnost – právo podat stížnost u dozorového úřadu, kterým je Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, www.uoou.cz.
7.2. Svá práva může subjekt údajů uplatnit zasláním žádosti na e-mail privacy@invoico.cz. Správce vyřídí žádost bez zbytečného odkladu, nejpozději do 30 dnů od jejího obdržení.
8. Právo na výmaz dat v rámci Služby
8.1. Uživatel má právo kdykoli požádat o smazání všech svých dat uložených v rámci Služby. Tuto možnost nalezne v sekci Nastavení → Profil → Smazání dat.
8.2. Po potvrzení budou nevratně odstraněny veškeré nahrané faktury, vytěžená data, dokumenty, firmy a další uživatelská data v rámci Workspace.
8.3. Účet uživatele zůstane po smazání dat aktivní, pokud uživatel nepožádá rovněž o zrušení účtu.
8.4. Správce si ponechává pouze anonymizované statistické údaje a fakturační záznamy nezbytné pro plnění zákonných povinností (zejména daňových a účetních).
9. Osobní údaje třetích osob obsažené ve fakturách
9.1. Uživatel bere na vědomí, že nahráváním faktur do Služby může dojít ke zpracování osobních údajů třetích osob (zejména identifikačních údajů dodavatelů a kontaktních osob uvedených na fakturách).
9.2. Ve vztahu k těmto osobním údajům třetích osob vystupuje uživatel (resp. Firma, jejímž jménem jedná) jako správce a Provozovatel jako zpracovatel ve smyslu čl. 28 GDPR.
9.3. Provozovatel zpracovává osobní údaje třetích osob výhradně za účelem poskytování Služby (AI/OCR vytěžování, uložení, zobrazení a export dat) a v rozsahu pokynů uživatele.
9.4. Uživatel odpovídá za to, že zpracování osobních údajů třetích osob prostřednictvím Služby je v souladu s platnými právními předpisy, zejména GDPR. To zahrnuje mimo jiné zajištění odpovídajícího právního základu pro zpracování těchto údajů.
9.5. Smlouva o zpracování osobních údajů (DPA): Pro účely čl. 28 GDPR se tyto Zásady považují za rámcovou smlouvu o zpracování osobních údajů. Na vyžádání Provozovatel poskytne samostatnou smlouvu o zpracování (Data Processing Agreement). Žádost lze zaslat na e-mail privacy@invoico.cz.
10. Zabezpečení osobních údajů
10.1. Správce přijal přiměřená technická a organizační opatření k zajištění bezpečnosti zpracovávaných osobních údajů, a to zejména:
- Šifrování komunikace mezi uživatelem a Službou (TLS/HTTPS).
- Ukládání hesel výhradně v hashované podobě.
- Řízení přístupu na základě rolí (Owner, Admin, Member).
- Pravidelné zálohování dat.
- Logování přístupů a bezpečnostně relevantních událostí.
- Platební údaje karet jsou ukládány výhradně u poskytovatele Stripe a Správce k nim nemá přístup.
- Oddělení dat jednotlivých Workspace.
10.2. V případě zjištění bezpečnostního incidentu, který představuje riziko pro práva a svobody subjektů údajů, Správce postupuje v souladu s čl. 33 a 34 GDPR (oznamovací povinnost vůči dozorovému úřadu a dotčeným osobám).
11. Soubory cookies a analytické nástroje
11.1. Služba používá technicky nezbytné cookies pro zajištění základní funkčnosti (přihlášení, session management, jazykové preference).
11.2. Pokud Služba využívá analytické nebo marketingové cookies, bude uživatel o jejich použití informován prostřednictvím cookie lišty a bude mít možnost udělit nebo odmítnout souhlas v souladu s platnými předpisy.
11.3. Podrobnosti o používaných cookies mohou být uvedeny v samostatném dokumentu Cookies Policy dostupném na webových stránkách Služby.
12. Změny Zásad
12.1. Správce si vyhrazuje právo tyto Zásady kdykoli upravit, zejména v reakci na změny právních předpisů nebo změny ve zpracování osobních údajů.
12.2. O podstatných změnách bude uživatel informován prostřednictvím e-mailu nebo oznámením v rámci Služby.
12.3. Aktuální znění Zásad je vždy dostupné na webových stránkách Služby.
13. Kontakt
Dotazy, žádosti a podněty ohledně zpracování osobních údajů můžete směřovat na:
- E-mail: privacy@invoico.cz
- Poštovní adresa: Apertia Robotics s.r.o., Matěje Koštíře 269, Sedlčánky, 250 88 Čelákovice