ÚčtenkaÚčtenka

Účinné od 14. května 2026

Ochrana soukromí

Tyto zásady popisují, jaké osobní údaje aplikace Účtenka zpracovává, k jakým účelům, jak dlouho a jaká máte jako uživatel práva. Účtenku provozuje Banbosh Studio (Petr Knobloch). Dokument je v souladu s nařízením GDPR (EU 2016/679), zákonem č. 110/2019 Sb. a požadavky Google Play.

1. Správce osobních údajů

Správcem osobních údajů je Banbosh Studio Petr Knobloch, fyzická osoba podnikající v České republice. Kontaktní e-mail pro veškeré dotazy ohledně ochrany osobních údajů: podpora@banbosh.cz.

Vzhledem k povaze a rozsahu zpracování nemáme zákonnou povinnost jmenovat pověřence pro ochranu osobních údajů (DPO). Kontaktní bod pro všechna podání týkající se osobních údajů je výše uvedený e-mail.

2. Jaká data zpracováváme

Pro rychlou orientaci zde najdete přehled všech kategorií dat, kam směřují a jak dlouho je uchováváme. Podrobnosti k jednotlivým kategoriím následují níže.

E-mail a heslo

Kam

Supabase Auth (region EU, Curych)

Doba

Do smazání účtu (max. 30 dní na fyzický výmaz)

Profil — jméno, adresa, telefon

Kam

Supabase Database (EU). Dobrovolné, vyplňuje se jen pro generování PDF reklamace.

Doba

Do smazání účtu nebo do ručního vymazání v aplikaci

Fotografie účtenek

Kam

Supabase Storage (EU). Při skenování real-time předáno Google Cloud Vision pro OCR — fotka u Google nezůstává.

Doba

Do smazání účtenky uživatelem nebo do smazání účtu

OCR data (prodejce, datum, položky, cena)

Kam

Supabase Database (EU). Při vyžádané AI analýze reklamace anonymizovaný popis předán Anthropic Claude API.

Doba

Do smazání účtenky / účtu

FCM push token

Kam

Firebase Cloud Messaging (Google)

Doba

Do odinstalace aplikace, odhlášení nebo vypnutí push v nastavení

IČO firmy (lookup)

Kam

Veřejný registr ARES (Ministerstvo financí ČR). Neukládá se mimo aktuální reklamaci.

Doba

Pouze za běhu dotazu, do databáze se uloží jen výsledek

Platební údaje (předplatné Pro)

Kam

Google Play Billing / Apple App Store. Banbosh Studio k těmto údajům nemá přístup.

Doba

Dle pravidel platformy. K nám se dostane pouze status předplatného.

Anonymizované statistiky používání

Kam

Supabase Database (EU). Bez vazby na osobu — agregované eventy.

Doba

Sběr lze vypnout v Profil → Soukromí

2.1 Údaje při registraci a přihlášení

  • E-mailová adresa a heslo — uloženo v Supabase Auth (region EU, Curych). Heslo je uloženo pouze jako bezpečný hash, nikoli v čitelné podobě.
  • Volitelné dvoufaktorové přihlášení (2FA) — jednorázové kódy zasílané e-mailem (Resend); kódy v databázi zůstávají maximálně 10 minut.
  • Identifikátor důvěryhodného zařízení — náhodný podpis vašeho zařízení, pokud si zvolíte „zapamatovat na 30 dní" u 2FA.

2.2 Profilové údaje (dobrovolné)

  • Jméno a příjmení, korespondenční adresa, telefon — vyplňujete je pouze tehdy, chcete-li, aby aplikace předgenerovala reklamační dopis ve vašem jméně.

2.3 Data o účtenkách a reklamacích

  • Fotografie účtenek — ukládají se do Supabase Storage v regionu EU.
  • Strukturovaná data z OCR — název prodejce, IČO, DIČ, datum nákupu, položky, ceny. Extrakce probíhá přes Google Cloud Vision API (server-side, fotka se k Google odesílá pouze pro účel extrakce textu).
  • IČO a údaje o firmách — doplňujeme z veřejného registru ARES. Nejde o osobní údaje.
  • Reklamace — popis vady, datum vzniku, status, volitelně AI analýza (viz níže).

2.4 AI analýza reklamace

Pokud si vyžádáte právní posouzení, odesíláme anonymizovaný popis situace (bez vašich osobních údajů) službě Anthropic Claude API. Anthropic data nepoužívá k tréninku modelů (smluvní závazek API customers).

2.5 Push notifikace

  • FCM push token — vydává Firebase Cloud Messaging při udělení oprávnění k notifikacím. Slouží pouze k doručení upozornění na končící záruky a deadliny reklamací. Token můžete kdykoli zneplatnit odhlášením z aplikace.

2.6 Technické a diagnostické údaje

  • IP adresa při API požadavcích (běžné serverové logy Vercel) — slouží k ochraně před zneužitím, uchováváme maximálně 30 dní.
  • Žádné reklamní identifikátory (AAID/IDFA) nezpracováváme. Aplikace neobsahuje analytické SDK třetích stran ani reklamy.

3. K čemu data používáme

  • Poskytování služby — uložení účtenek, výpočet záruční doby, generování reklamace, AI doporučení.
  • Push upozornění na končící záruky (30 / 7 / 1 den předem) a deadliny reklamací podle § 19 zák. č. 634/1992 Sb. (30denní lhůta pro vyřízení).
  • Komunikace — odpovědi na vaše dotazy zaslané na podpora@banbosh.cz, případné notifikace o zásadních změnách aplikace.
  • Bezpečnost — 2FA, audit přihlášení, ochrana před zneužitím účtu.

Co s daty neděláme: neprodáváme je třetím stranám, nevyužíváme je k cílené reklamě, neprofilujeme uživatele pro marketingové účely.

4. Právní základ zpracování

  • Plnění smlouvy (čl. 6 odst. 1 písm. b GDPR) — poskytování samotné služby.
  • Souhlas (čl. 6 odst. 1 písm. a GDPR) — push notifikace, AI analýza reklamace. Souhlas můžete kdykoli odvolat.
  • Oprávněný zájem (čl. 6 odst. 1 písm. f GDPR) — ochrana před zneužitím, serverové logy.

5. Příjemci dat (zpracovatelé)

Pro fungování služby využíváme následující zpracovatele. Se všemi máme uzavřeny smlouvy o zpracování osobních údajů odpovídající čl. 28 GDPR.

  • Supabase (Supabase Inc., USA / EU region) — databáze, autentizace, úložiště fotek. Region zpracování: Curych, EU.
  • Vercel (Vercel Inc., USA) — hostování backendu a tohoto webu. Funkce běží v EU (Frankfurt).
  • Google Cloud Vision (Google LLC) — OCR extrakce textu z fotky účtenky.
  • Anthropic (Anthropic PBC, USA) — AI právní posouzení reklamace.
  • Firebase Cloud Messaging (Google LLC) — doručování push notifikací.
  • Resend (Resend Inc., USA) — odesílání transakčních e-mailů (verifikační kódy 2FA, oznámení).

Předávání mimo EU/EHP probíhá pouze ke zpracovatelům v USA na základě standardních smluvních doložek (SCC) podle čl. 46 GDPR a v souladu s rámcem EU-US Data Privacy Framework.

6. Doba uchování

  • Aktivní účet — data uchováváme po celou dobu používání služby.
  • Po smazání účtu — všechna osobní data včetně fotek, účtenek a reklamací jsou smazána do 30 dní. Anonymizované agregované statistiky bez vazby na osobu si můžeme ponechat.
  • Serverové logy — maximálně 30 dní.
  • 2FA kódy — maximálně 10 minut, poté se mažou automaticky.

7. Vaše práva (GDPR)

  • Právo na přístup — vyžádat si kopii vašich dat.
  • Právo na opravu — kdykoli v aplikaci v sekci Profil.
  • Právo na výmaz („být zapomenut") — viz Smazání účtu.
  • Právo na omezení zpracování a právo vznést námitku.
  • Právo na přenositelnost — export vašich dat ve strukturovaném formátu (na vyžádání).
  • Právo odvolat souhlas — push notifikace lze vypnout v aplikaci nebo v nastavení Androidu.
  • Právo podat stížnost u Úřadu pro ochranu osobních údajů (ÚOOÚ), www.uoou.cz.

Pro uplatnění jakéhokoli práva nás kontaktujte na podpora@banbosh.cz. Odpovídáme do 30 dní.

8. Bezpečnost

  • Veškerá komunikace mezi aplikací a serverem probíhá přes HTTPS s TLS 1.2+ .
  • Data v databázi jsou šifrována v klidu (AES-256, Supabase managed).
  • Hesla nikdy neukládáme v čitelné podobě — pouze bcrypt hash.
  • Biometrické přihlášení (otisk / obličej) probíhá výhradně v telefonu (Android Keystore / iOS Secure Enclave) — biometrika zařízení nikdy neopouští.
  • Row Level Security na úrovni databáze zajišťuje, že každý uživatel vidí jen svá data.

9. Děti

Aplikace je určena pro osoby starší 13 let. Pokud jste rodič nebo zákonný zástupce a domníváte se, že vaše dítě nám poskytlo osobní údaje bez souhlasu, kontaktujte nás — data ihned smažeme.

10. Změny zásad

O změnách těchto zásad vás budeme informovat v aplikaci a aktualizací tohoto dokumentu. Datum poslední aktualizace najdete v hlavičce.