Zásady ochrany osobních údajů

Platné od: 23. 5. 2026 | Správci údajů: MoBee s.r.o. (objednávky) + czechm8 s.r.o. (newsletter, aplikace, marketing)

Vaše data patří vám. Níže čtete, co s nimi děláme a jaká máte práva.

Při provozu jiskra.store dochází k souběžnému zpracování osobních údajů dvěma správci, každý pro jiný účel. Oba správci zpracovávají údaje v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 (GDPR) a zákonem č. 110/2019 Sb., o zpracování osobních údajů. Vzájemné role a rozdělení odpovědnosti jsou upraveny dohodou o společných správcích podle čl. 26 GDPR (CZM8-JCA-2026-001) — plné znění je dostupné v dokumentu Dohoda o společných správcích (PDF). Podstatné informace z této dohody jsou popsány níže v této politice.

V souladu s čl. 26 odst. 3 GDPR můžete uplatnit svá práva vůči kterémukoli ze správců — kontakty obou jsou uvedeny v sekci 1 a 8. Pokud nevíte, kterému správci patří váš dotaz, napište kterémukoli z nich a vyřízení mezi sebou koordinujeme.

Vůči vám jako subjektu údajů odpovídáme za škodu způsobenou porušením GDPR společně a nerozdílně (čl. 82 odst. 4 GDPR). Můžete uplatnit nárok v plné výši vůči kterémukoli ze správců — vnitřní rozdělení odpovědnosti mezi námi vás neomezuje.

1. Správci osobních údajů

Pokud je váš dotaz nejednoznačný (např. zákazník, který nakoupil a zároveň odebírá newsletter), můžete kontaktovat kteréhokoli ze správců — vyřízení mezi sebou koordinujeme. Společný správce podle čl. 26 GDPR je oprávněn obracet se na druhého správce pro vyřízení žádosti subjektu údajů.

2. Jaké osobní údaje zpracováváme

V souvislosti s nákupem a provozem e-shopu zpracováváme:

Identifikační údaje

• Jméno a příjmení
• Fakturační a doručovací adresa
• IČO, DIČ (u podnikatelů)

Kontaktní údaje

• E-mailová adresa
• Telefonní číslo

Údaje o objednávkách

• Historie objednávek
• Platební informace (bez údajů o kartě)
• Komunikace ohledně objednávek

Technické údaje

• IP adresa
• Cookies a identifikátory zařízení
• Údaje o chování na webu (s vaším souhlasem)

3. Účely a právní základ zpracování

3.5 Newsletter a obchodní sdělení

Správce: czechm8 s.r.o. (provozovatel webu jiskra.store).

Účel: Zasílání obchodních sdělení (novinky, akce, slevy, produktová oznámení o značce Jiskra).

Právní základy

• Výslovný souhlas (čl. 6 odst. 1 písm. a) GDPR) — pro web signup, checkout opt-in, „chci dostávat newsletter”
• Oprávněný zájem správce + zákonná výjimka § 7 odst. 3 z. 480/2004 Sb. — pro již nakoupivší zákazníky („soft opt-in”)
• Souhlas s vazbou na konkrétní účel — pro účast v soutěžích, festivaly, eventy

Zpracovávané údaje

• e-mailová adresa
• jméno (volitelné)
• zdroj přihlášky (footer, checkout, festival, atd.)
• verze textu souhlasu (frozen consent text version)
• čas a IP adresa přihlášky
• status (pending / subscribed / unsubscribed / bounced / complained / erased)

Mechanizmy ochrany

• Double opt-in: Po přihlášce subjekt obdrží potvrzovací email s odkazem platným 7 dní. Odběr je aktivní až po kliknutí.
• Frozen consent text version: Při každé přihlášce ukládáme verzi textu souhlasu, který subjekt viděl. Pokud později text změníme, původní verze zůstává historicky zachována pro audit.
• Suppression list: Po odhlášení nebo erasure je e-mail uložen jako SHA256 hash (nelze zpětně rozšifrovat) v suppression listu po dobu 5 let. Zabráníme tím náhodnému opětovnému přidání emailu (např. při bulk importu).
• Audit log: Pro každou významnou akci (import, manuální přidání, odeslání kampaně, GDPR SAR, erasure) ukládáme audit záznam s časem, aktérem a předmětem. Retence 5 let.
• One-click unsubscribe (RFC 8058): Odhlášení jedním kliknutím v každém emailu, bez nutnosti přihlášení.

Doba uložení

Do odvolání souhlasu (resp. do unsubscribe). Po odhlášení: hash v suppression listu 5 let, audit log 5 let, samotná osobní data odstraněna nebo anonymizována.

Příjemci

• Resend Inc. (USA) — processor pro odeslání emailů
• Sanity AS (USA) — processor pro úložiště dat o odběratelích
• Vercel Inc. (USA) — processor pro webhosting a serverové logy

Předání mezi czechm8 s.r.o. a MoBee s.r.o. (např. soft opt-in zákazníci) je upraveno dohodou o společných správcích podle čl. 26 GDPR.

3.6 Mobilní aplikace Jiskra Connect

Správce / provozovatel aplikace: czechm8 s.r.o., IČO 23508213, Školská 660/3, 110 00 Praha 1.

Účel: Diagnostika elektroskútru přes Bluetooth Low Energy, informování o stavu baterie a nabíjení, kontakt na servis prodávajícího (MoBee s.r.o.).

Právní základy

• Oprávněný zájem (čl. 6 odst. 1 písm. f) GDPR) — diagnostické údaje skútru zpracovávané lokálně v aplikaci
• Souhlas (čl. 6 odst. 1 písm. a) GDPR) — odesílání crash reportů přes Sentry (opt-in v nastavení aplikace)

Co aplikace zpracovává

• diagnostické údaje skútru (SOH baterie, napětí, proud, ujetá vzdálenost) — pouze lokálně, neopouští zařízení uživatele
• volitelně: anonymní crash report (Sentry) — bez PII, jen stack trace + verze aplikace + model zařízení
• verze aplikace a operačního systému (pro kompatibilitu s firmware skútru)

Co aplikace NEZPRACOVÁVÁ

• žádné lokační údaje (GPS)
• žádné advertising identifikátory (IDFA / GAID)
• žádný cross-app tracking
• žádné údaje o jiných aplikacích na vašem zařízení

Bluetooth oprávnění aplikace vyžaduje k navázání spojení s elektroskútrem. Bez tohoto oprávnění aplikace neumožní diagnostiku.

Příjemci údajů z aplikace

• Functional Software, Inc. / Sentry (USA) — pouze pokud uživatel aktivoval crash reporting

4. Doba uložení osobních údajů

• Objednávky a faktury: 10 let (zákonná povinnost)
• Reklamace a záruky: po dobu záruční lhůty + 1 rok
• Marketing (se souhlasem): do odvolání souhlasu; po odhlášení je e-mailová adresa uložena jako SHA256 hash v suppression listu po dobu 5 let (oprávněný zájem prevence omylného re-importu dle čl. 6/1/f GDPR); audit log marketingových aktivit 5 let.
• Reklamace a záruky: 24 měsíců zákonné lhůty + 4 roky obecná promlčecí doba = celkem 6 let od koupě (§ 629 odst. 1 OZ)
• Objednávky a faktury: 10 let (zákonná povinnost dle zákona o účetnictví)
• Cookies: dle kategorie (viz Zásady cookies)

5. Příjemci osobních údajů

Vaše osobní údaje mohou být předány následujícím kategoriím příjemců:

• Přepravní společnosti DHL Freight, PPL, Zásilkovna (pro doručení objednávky) — předává MoBee
• Poskytovatelé platebních služeb (Shopify Payments, Česká spořitelna) — předává MoBee
• Účetní a daňoví poradci obou správců
• Orgány státní správy (na základě zákonné povinnosti)
• Mezi správci MoBee s.r.o. a czechm8 s.r.o. (např. soft opt-in zákazníci) podle dohody o společných správcích (čl. 26 GDPR)

6. Předání údajů do třetích zemí

V souvislosti s provozem e-shopu může docházet k předání osobních údajů do třetích zemí mimo Evropský hospodářský prostor, zejména do Spojených států amerických a Kanady.

K předání dochází při využití následujících služeb:

Předání do třetích zemí je založeno na následujících právních zárukách:

• Shopify Inc. (Kanada): Rozhodnutí Komise 2002/2/ES o odpovídající ochraně Kanady (PIPEDA) dle čl. 45 GDPR.
• Google LLC, Meta Platforms, Sanity, Resend, Vercel, Functional Software (Sentry), Dun & Bradstreet (USA): EU-US Data Privacy Framework — rozhodnutí Komise (EU) 2023/1795 ze dne 10. července 2023 dle čl. 45 GDPR. Všichni jmenovaní poskytovatelé jsou certifikováni pod DPF.
• V případě, že některý procesor přestane být DPF certifikován, aktivujeme standardní smluvní doložky (Modul 2 — controller-to-processor) přijaté Komisí rozhodnutím (EU) 2021/914 dle čl. 46 odst. 2 písm. c) GDPR.

V rámci pravidelného posuzování dopadu předání (Transfer Impact Assessment per Schrems II — CJEU C-311/18) ověřujeme, že úroveň ochrany u amerických a kanadských procesorů odpovídá standardům EU. Kopii dokumentace záruk lze získat na vyžádání na info@e-mobee.cz nebo subscription@czechm8.com.

7. Vaše práva

V souvislosti se zpracováním osobních údajů máte právo:

8. Jak uplatnit svá práva

Pro uplatnění svých práv nás kontaktujte. Pokud nevíte, který správce má vaše údaje, napište kterémukoli z nich a vyřízení mezi sebou koordinujeme.

Vaši žádost vyřídíme do 1 měsíce od přijetí. V případě komplexních žádostí lze lhůtu prodloužit až o 2 měsíce; o prodloužení vás budeme informovat do 1 měsíce.

Pro ověření totožnosti vás žádáme primárně o potvrzení informací, které máme již spojené s vaším účtem — e-mail z naší databáze, číslo nedávné objednávky, jméno a doručovací adresa, případně kombinace více údajů. Tento postup je v souladu se stanoviskem ÚOOÚ k ověřování totožnosti subjektů údajů. Jen ve výjimečných odůvodněných případech (zejména žádost o výmaz citlivých údajů od neznámého e-mailu nebo zjevné riziko zneužití třetí osobou) můžeme dodatečně požádat o kopii dokladu totožnosti — vždy s začerněním rodného čísla a fotografie a po doložení důvodu, proč standardní ověření nestačí.

8a. Technická a organizační opatření

Přijímáme přiměřená technická a organizační opatření k zabezpečení osobních údajů (čl. 32 GDPR):

• šifrování přenosu (HTTPS / TLS 1.2+)
• šifrování úložiště (Sanity, Vercel, Shopify — všechny providers)
• řízení přístupů pomocí silných hesel a vícefaktorové autentizace pro administrátory
• HMAC podepsané session cookies (rotace, krátká platnost)
• pravidelné zálohy
• audit logy administrátorských akcí (newsletter, GDPR žádosti) s retencí 5 let
• pseudonymizace v suppression listu (SHA256 hash emailu)
• regulérní kontroly přístupů a oprávnění

8b. Souhlas nezletilých osob

Souhlas se zpracováním osobních údajů pro účely zasílání obchodních sdělení (newsletter) může udělit osoba starší 16 let (čl. 8 GDPR + § 7 z. 110/2019 Sb.). Pro mladší osoby je nutný souhlas zákonného zástupce.

9. Dozorový úřad

Pokud se domníváte, že zpracování vašich osobních údajů porušuje GDPR, máte právo podat stížnost u dozorového úřadu:

10. Cookies

Informace o používání cookies naleznete v samostatném dokumentu Zásady používání cookies.