Podmínky zpracování osobních údajů
obchodní společnosti MVP PROMOTIONS s.r.o.
se sídlem Nezamyslova 2801/26, 615 00 Brno – Židenice
identifikační číslo: 19660677
zapsané v obchodním rejstříku vedeném Krajským soudem v Brně, oddíl C, vložka 135578
(dále jen „správce")
verze 1.0, účinné od 18. 5. 2026
1. Úvodní ustanovení
Tento dokument informuje kupující (subjekty údajů) o zpracování jejich osobních údajů v souladu s čl. 13 a 14 Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů (dále jen „GDPR").
Správcem osobních údajů je společnost MVP PROMOTIONS s.r.o., IČ: 19660677, se sídlem Nezamyslova 2801/26, 615 00 Brno – Židenice (dále jen „správce"). Zpracovatelem osobních údajů na základě smlouvy o zpracování osobních údajů dle čl. 28 GDPR je společnost ADMI ENTERPRISES s.r.o., IČ: [DOPLNIT] (dále jen „zpracovatel"), která zajišťuje technický provoz webové stránky a prodejního systému a má přístup k databázi v rozsahu nezbytném pro plnění těchto úkolů. Zpracovatel zpracovává osobní údaje výhradně na pokyn správce a nesmí je používat pro vlastní účely.
Kontaktní údaje správce pro věci ochrany osobních údajů: e-mail merinsky@mvppromotions.cz. Správce nejmenoval pověřence pro ochranu osobních údajů, neboť mu tato povinnost nevyplývá z čl. 37 odst. 1 GDPR, neboť hlavní činností správce není rozsáhlé pravidelné a systematické monitorování ani zpracování zvláštních kategorií ve velkém rozsahu.
2. Rozsah zpracovávaných osobních údajů
Správce zpracovává následující kategorie osobních údajů:
| Kategorie údajů | Konkrétní údaje | Důvod sběru |
|---|---|---|
| Identifikační údaje | Jméno a příjmení | Identifikace kupujícího, vystavení vstupenky |
| Kontaktní údaje | E-mailová adresa | Doručení vstupenky (QR kódu), komunikace |
| Platební údaje | Identifikátor transakce, částka, datum platby; úplné údaje platební karty zpracovává výhradně platební brána, správce tyto údaje neukládá | Realizace platby |
| Technické údaje | IP adresa, cookies, údaje o prohlížeči a zařízení | Analytika, zabezpečení webu |
| Marketingové údaje | E-mailová adresa (všichni kupující, není-li opt-out) | Zasílání obchodních sdělení o dalších akcích |
Služba je určena výhradně osobám starším 18 let. Kupující potvrzuje při nákupu, že je zletilý. Správce nemá v úmyslu zpracovávat osobní údaje dětí ve smyslu čl. 8 GDPR.
Správce nezpracovává zvláštní kategorie osobních údajů (čl. 9 GDPR) ani údaje o trestních odsouzeních.
3. Účely a právní základ zpracování
Osobní údaje jsou zpracovávány pro následující účely:
| Účel zpracování | Právní základ | Popis |
|---|---|---|
| Plnění kupní smlouvy | Čl. 6 odst. 1 písm. b) GDPR | Zpracování objednávky, doručení vstupenky, komunikace ohledně objednávky |
| Plnění právních povinností | Čl. 6 odst. 1 písm. c) GDPR | Účetní a daňové povinnosti, evidence tržeb |
| Oprávněný zájem správce | Čl. 6 odst. 1 písm. f) GDPR | Ochrana práv správce, zabezpečení webu |
| Analytika návštěvnosti (cookies) | Souhlas – čl. 6 odst. 1 písm. a) GDPR | Měření návštěvnosti prostřednictvím analytických cookies (Google Analytics, Microsoft Clarity, vlastní analytika ADMI); vyžaduje souhlas udělený přes cookies lištu |
| Zasílání obchodních sdělení | Oprávněný zájem – čl. 6 odst. 1 písm. f) GDPR + § 7 odst. 3 ZSIS | Marketingové e-maily o dalších akcích zasílané stávajícím zákazníkům; kupující může zasílání odmítnout při nákupu (opt-out) nebo kdykoliv odhlášením |
Pro každé zpracování osobních údajů založené na oprávněném zájmu správce (čl. 6 odst. 1 písm. f) GDPR) provedl správce balanční test (Legitimate Interest Assessment). Výsledky testů jsou archivovány a jsou k dispozici na vyžádání na adrese merinsky@mvppromotions.cz.
Správce je oprávněn zasílat obchodní sdělení svým stávajícím zákazníkům na základě oprávněného zájmu dle § 7 odst. 3 zákona č. 480/2004 Sb. (zákon o některých službách informační společnosti), a to výhradně na e-mailové adresy kupujících, kteří zakoupili vstupenku. Kupující může zasílání obchodních sdělení odmítnout: (a) při nákupu vstupenky zaškrtnutím příslušného políčka (opt-out), nebo (b) kdykoliv po nákupu kliknutím na odkaz pro odhlášení v zaslaném e-mailu, nebo (c) žádostí zaslanou na adresu merinsky@mvppromotions.cz. Obchodní sdělení se týkají výhradně vlastních akcí pořadatele.
4. Příjemci a zpracovatelé osobních údajů
Osobní údaje mohou být předány následujícím třetím stranám (zpracovatelům), které se smluvně zavázaly k dodržování povinností dle GDPR:
| Subjekt | Role / typ vztahu | Předávané údaje |
|---|---|---|
| ADMI ENTERPRISES s.r.o., IČ: [DOPLNIT] | Zpracovatel dle čl. 28 GDPR – technický provoz webu, systému a databáze; přístup k datům pouze na pokyn správce | Všechny kategorie osobních údajů uložené v systému |
| GoPay s.r.o. | Samostatný správce – poskytovatel platebních služeb; zpracovává data na základě vlastních právních povinností | Platební údaje |
| Stripe Payments Europe, Ltd. | Samostatný správce – poskytovatel platebních služeb; zpracovává data na základě vlastních právních povinností | Platební údaje |
| Fio banka, a.s. | Samostatný správce – regulovaná finanční instituce; zpracovává data na základě vlastních zákonných povinností | Platební údaje |
| Supabase, Inc. (USA) | Databázové úložiště (cloudový hosting dat) | Všechny údaje uložené v systému |
| Railway Corp. (USA) | Hosting webové aplikace | Technické údaje |
| Mailjet SAS (Francie, EU) | Zasílání e-mailů (vstupenky, marketing) – zpracovatel se sídlem v EU; data uchovávána v EU regionu (Mailjet EU data residency); případné předání sub-zpracovatelům mimo EU zajištěno SCC dle DPA Mailjetu | E-mailová adresa, jméno |
| Google LLC (USA) | Google Analytics – analytika webu (účet ve vlastnictví správce) | IP adresa, cookies, údaje o zařízení |
| Microsoft Corporation (USA) | Microsoft Clarity – analytika uživatelského chování (účet ve vlastnictví správce) | IP adresa, cookies, údaje o zařízení |
| ADMI ENTERPRISES s.r.o. | Vlastní analytický nástroj (implementován zpracovatelem, data patří správci) – sbírá anonymizované technické údaje (počet návštěv, zdrojové stránky, klikací tok v objednávkovém procesu); data jsou uložena v Supabase (EU region), retence 26 měsíců; nesbírá session replay ani textové inputy | Anonymizované technické údaje |
Předání osobních údajů zpracovatelům se sídlem v USA je zajištěno následujícími mechanismy: Google LLC a Microsoft Corporation jsou certifikovány v rámci EU–US Data Privacy Framework (DPF) dle rozhodnutí Evropské komise ze dne 10. 7. 2023; předání je založeno na tomto rozhodnutí. Supabase, Inc. a Railway Corp. nejsou certifikovány v rámci DPF; předání je zajištěno standardními smluvními doložkami dle čl. 46 odst. 2 písm. c) GDPR doplněnými o posouzení dopadu převodu (Transfer Impact Assessment).
Kopie standardních smluvních doložek (SCC) je k dispozici na vyžádání na adrese merinsky@mvppromotions.cz.
Vztah mezi správcem a zpracovatelem (ADMI ENTERPRISES s.r.o.) je upraven smlouvou o zpracování osobních údajů dle čl. 28 odst. 3 GDPR, která zakotvuje povinnosti zpracovatele, zejména: zpracovávání dat výhradně na pokyn správce, mlčenlivost osob s přístupem k datům, technická a organizační bezpečnostní opatření, součinnost při plnění práv subjektů údajů a výmaz nebo vrácení dat po ukončení spolupráce.
Zpracovatel (ADMI ENTERPRISES s.r.o.) je oprávněn využívat dalších zpracovatelů (sub-zpracovatelů) na základě obecného předchozího povolení správce. Aktuální seznam sub-zpracovatelů zahrnuje zejména poskytovatele hostingu (Railway, Supabase) a je dostupný na vyžádání na adrese merinsky@mvppromotions.cz.
K osobním údajům kupujících mohou mít v omezeném rozsahu přístup také oprávnění pracovníci pořadatele (např. obsluha vstupu a skenovací aplikace), a to výhradně za účelem ověření vstupenky nebo vyřešení technických problémů při vstupu na akci. Tito pracovníci jsou vázáni povinností mlčenlivosti. Skenovací aplikace ukládá záznam každého naskenování (identifikátor vstupenky, jméno obsluhy, čas skenování, výsledek); tyto záznamy jsou uchovávány po dobu 30 dnů a poté automaticky smazány.
Správce nepředává osobní údaje jiným třetím stranám, s výjimkou případů, kdy je to nezbytné pro splnění právní povinnosti (např. orgánům státní správy).
5. Doba uchovávání osobních údajů
Osobní údaje jsou uchovávány po následující dobu:
| Účel | Doba uchování |
|---|---|
| Údaje o objednávkách (jméno, e-mail, detail objednávky) | Po dobu trvání kupní smlouvy a dále po dobu obecné promlčecí lhůty 3 let dle § 629 občanského zákoníku, v rozsahu nezbytném pro obhajobu právních nároků správce (čl. 6 odst. 1 písm. f) GDPR) |
| Účetní a daňové doklady (faktury) | 10 let dle § 35 zákona č. 235/2004 Sb., o DPH, a zákona č. 563/1991 Sb., o účetnictví |
| Marketingové údaje (e-mail) | Do odhlášení (opt-out) nebo na požadavek výmazu |
| Technické údaje (analytika, cookies) | Dle nastavení jednotlivých nástrojů (max. 26 měsíců) |
| Bezpečnostní logy (IP hash, user-agent, endpoint, výsledek) | 30 dní, poté automaticky smazány |
| Agregované statistické údaje (anonymizované) | Bez časového omezení |
Po uplynutí doby uchování jsou osobní údaje smazány nebo anonymizovány. Anonymizované údaje (agregované statistiky bez vazby na konkrétní osobu) mohou být uchovávány bez časového omezení, neboť se již nejedná o osobní údaje ve smyslu GDPR.
6. Práva subjektu údajů
Kupující má v souvislosti se zpracováním svých osobních údajů následující práva:
- právo na přístup k osobním údajům (čl. 15 GDPR) – právo získat potvrzení, zda jsou zpracovávány jeho osobní údaje, a pokud ano, získat k nim přístup;
- právo na opravu (čl. 16 GDPR) – právo na opravu nepřesných osobních údajů nebo doplnění neúplných údajů;
- právo na výmaz (čl. 17 GDPR) – právo na smazání osobních údajů, pokud pominul účel zpracování nebo byl-li odvolán souhlas; právo na výmaz se neuplatní, je-li zpracování nezbytné pro splnění právní povinnosti, pro obhajobu právních nároků správce nebo z dalších důvodů uvedených v čl. 17 odst. 3 GDPR;
- právo na omezení zpracování (čl. 18 GDPR) – právo požadovat omezení zpracování za zákonem stanovených podmínek;
- právo na přenositelnost údajů (čl. 20 GDPR) – právo získat osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu; toto právo se vztahuje pouze na údaje zpracovávané na základě souhlasu nebo smlouvy a automatizovaně (čl. 20 odst. 1 GDPR); na účetní a daňové doklady zpracovávané na základě právní povinnosti se nevztahuje;
- právo vznést námitku (čl. 21 GDPR) – právo vznést námitku proti zpracování na základě oprávněného zájmu správce; proti zpracování pro účely přímého marketingu máte vždy absolutní právo vznést námitku a tato námitka bude bezvýjimečně vyhověna (čl. 21 odst. 2 a 3 GDPR);
- právo odvolat souhlas – souhlas se zasíláním obchodních sdělení lze kdykoliv odvolat, aniž by tím byla dotčena zákonnost zpracování před jeho odvoláním;
- právo podat stížnost u dozorového úřadu – Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, www.uoou.cz.
U správce nedochází k automatizovanému rozhodování ve smyslu čl. 22 GDPR, včetně profilování s právními či obdobně významnými účinky pro subjekt údajů. Analytické zpracování slouží pouze k agregovanému měření a zlepšování webu.
Žádosti týkající se uplatnění výše uvedených práv je možné zasílat na e-mailovou adresu merinsky@mvppromotions.cz. Správce je oprávněn ověřit totožnost žadatele přiměřenými prostředky, aby nedošlo k vydání údajů neoprávněné osobě; přičemž ověření bude přiměřené citlivosti dotčených údajů a nebude vyžadovat poskytnutí dodatečných osobních údajů, které správce nemá k dispozici. Správce žádost vyřídí bez zbytečného odkladu, nejpozději do 30 dnů od jejího obdržení. V případě složitosti nebo počtu žádostí může být tato lhůta prodloužena o další 2 měsíce, o čemž bude správce žadatele informovat.
7. Cookies
Webová stránka správce používá cookies – malé textové soubory ukládané v prohlížeči kupujícího. Podrobné informace o používaných cookies, jejich účelu a možnostech nastavení jsou dostupné prostřednictvím cookies lišty (consent banneru) zobrazené při první návštěvě webové stránky.
Správce využívá následující typy cookies:
- Nezbytné cookies – nezbytné pro správnou funkčnost webové stránky a objednávkového procesu; tyto cookies nelze odmítnout;
- Analytické cookies – Google Analytics a vlastní analytický nástroj ADMI ENTERPRISES s.r.o.; slouží k měření návštěvnosti; vyžadují souhlas kupujícího;
- Cookies pro nahrávání relací (Session recording) – Microsoft Clarity; slouží k záznamu pohybu na stránce pro účely testování a optimalizace; aktivují se pouze při udělení souhlasu se všemi cookies (tlačítko „Přijmout vše" v cookie banneru);
- Marketingové cookies – pokud jsou používány, slouží k personalizaci reklamního obsahu; vyžadují souhlas kupujícího.
Google Analytics 4 standardně neukládá plné IP adresy – IP je hashována ještě před uložením. Microsoft Clarity automaticky maskuje obsah formulářových polí (masked text) aby nedošlo k zachycení citlivých vstupů.
Kupující může svůj souhlas s cookies kdykoliv změnit nebo odvolat prostřednictvím cookies lišty nebo v nastavení svého prohlížeče.
8. Zabezpečení osobních údajů
Správce přijal přiměřená technická a organizační opatření k ochraně osobních údajů před neoprávněným přístupem, změnou, zničením nebo ztrátou, a to zejména:
- šifrování přenosu dat (HTTPS/TLS);
- zabezpečený přístup k databázi (Supabase Row Level Security);
- omezený přístup k osobním údajům pouze na oprávněné osoby;
- pravidelné zálohování dat.
9. Závěrečná ustanovení
Poskytnutí jména a e-mailové adresy je smluvní požadavek; bez těchto údajů nelze vystavit vstupenku ani dodat plnění z kupní smlouvy.
V případě porušení zabezpečení osobních údajů, které má za následek vysoké riziko pro práva a svobody fyzických osob, informuje správce dotčené subjekty údajů bez zbytečného odkladu (čl. 34 GDPR).
Správce je oprávněn tyto podmínky zpracování osobních údajů kdykoliv aktualizovat. Aktuální znění je vždy dostupné na webové stránce správce na adrese [DOPLNIT URL].
Tyto podmínky nabývají účinnosti dne 18. 5. 2026.
Kontaktní údaje správce
Obchodní firma: MVP PROMOTIONS s.r.o.
Sídlo: Nezamyslova 2801/26, 615 00 Brno – Židenice
IČO: 19660677
E-mail: merinsky@mvppromotions.cz
V Brně dne 18. 5. 2026
Související: Obchodní podmínky / Cookies / napiš nám.