FlipKing Pro
Začít
GDPR

Zásady zpracování osobních údajů

Datum účinnosti: 23. 4. 2026 · Naposledy aktualizováno 23. 4. 2026

1. Správce osobních údajů

Správcem osobních údajů ve smyslu čl. 4 odst. 7 nařízení Evropského parlamentu a Rady (EU) 2016/679 (dále jen „GDPR") a provozovatelem platformy FlipKing Pro (dále jen „Správce" nebo „Provozovatel") je:

  • Prexima Reality s.r.o.
  • IČO: 08600872
  • Sídlo: Nad obcí I 2110/29, 140 00 Praha 4 - Krč
  • Zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl C, vložka 321378, sp. zn. C 321378/MSPH
  • Statutární orgán: Maxim Ponomarenko, jednatel

Kontaktní e-mail pro uplatnění práv subjektu údajů: privacy@flipking.cz. Obecná podpora: info@flipking.cz.

Správce průběžně posuzuje povinnost jmenovat pověřence pro ochranu osobních údajů (DPO) dle čl. 37 odst. 1 GDPR ve vazbě na rozsah a povahu zpracování. Aktuální stav a kontakt na odpovědnou osobu pro GDPR jsou zveřejněny na této stránce. Veškeré dotazy k ochraně osobních údajů směřujte na e-mail uvedený výše.

2. Jaké údaje zpracováváme

2.1 Registrační údaje

  • E-mailová adresa
  • Jméno a příjmení (volitelně přezdívka)
  • Hash hesla (bcrypt, nelze zpětně dešifrovat)

2.2 Údaje z Bankovní identity

Při ověření Tipstera získáváme z Bankovní identity (provozuje Bankovní identita a.s.) v rámci OpenID Connect scope openid profile.name profile.birthdate výhradně tyto claimy:

  • sub — jedinečný pseudonymní identifikátor subjektu přidělený Bankovní identitou.
  • name — jméno a příjmení.
  • birthdate — datum narození (pro ověření plnoletosti a evidenci KYC dat).

Rozsáhlejší claimy (adresa, rodné číslo, číslo dokladu) Provozovatel v současné době nezískává ani neukládá. Pokud bude v budoucnu nezbytné scope rozšířit, změna bude oznámena alespoň 14 dnů předem úpravou těchto zásad.

2.3 Platební údaje

Platby zpracovává Stripe Payments Europe, Limited (Irsko) skrze službu Stripe Connect; v rámci skupiny může být jako subdodavatel zapojena i společnost Stripe, Inc. (USA). Správce čísla platebních karet neuchovává — disponuje pouze tokenem a metadaty transakce (částka, měna, stav, poslední čtyři číslice karty). Tipster jako příjemce prostředků poskytuje Stripe údaje potřebné k ověření totožnosti (KYC) přímo v onboardingu Stripe Connect.

2.4 Provozní údaje

  • IP adresa, user agent, jazyk prohlížeče, rozlišení obrazovky.
  • Logy přístupů a akcí na Platformě (audit trail) — identifikátor uživatele, čas, akce, výsledek.
  • Obsah zveřejněných tipů a interakcí s Platformou.

2.5 Produktová analytika a záznam relace (volitelné)

Pouze se souhlasem uděleným v cookie banneru (čl. 6 odst. 1 písm. a GDPR) zaznamenáváme:

  • Klikoví a scrollová data — pro produktovou analytiku, měření konverzí a UX testování.
  • Záznam relace (session replay přes rrweb) — sekvence DOM interakcí (pohyb myši, kliky, rolování, stisky kláves v editačních polích); hodnoty citlivých polí (hesla, čísla karet, BankID claimy) jsou v rámci zachycení technicky maskovány. Záznam je spojen s ID přihlášeného uživatele (pokud je přihlášen) a identifikátorem relace — nejde o anonymní ani výlučně agregovaná data.

Účelem zpracování je zlepšování produktu, diagnostika chyb a ochrana před podvodným jednáním. Data jsou uložena v EU a nesdílíme je mimo Provozovatele a jeho prověřené zpracovatele. Uživatel může souhlas kdykoliv odvolat v patičce stránky („Nastavení cookies") — od okamžiku odvolání se záznam přestane pořizovat.

3. Právní základ zpracování

  • Plnění smlouvy (čl. 6 odst. 1 písm. b GDPR) — registrace, provoz účtu, zpracování transakcí.
  • Oprávněný zájem (čl. 6 odst. 1 písm. f GDPR) — bezpečnost Platformy, prevence podvodů (včetně automatické detekce anomálií), audit logy a nezbytné technické logování pro řešení incidentů. Oprávněný zájem se nevztahuje na produktovou analytiku a záznam relace — ty jsou výlučně na souhlasu.
  • Souhlas (čl. 6 odst. 1 písm. a GDPR) — produktová analytika a záznam relace (rrweb session replay), volitelné cookies nad rámec nezbytných, marketingové e-maily, volitelné rozšiřující údaje v profilu. Souhlas lze kdykoliv odvolat se stejnou snadností, s jakou byl udělen (čl. 7 odst. 3 GDPR).
  • Právní povinnost (čl. 6 odst. 1 písm. c GDPR) — účetní a daňové předpisy (zákony č. 563/1991 Sb., 235/2004 Sb., 586/1992 Sb.), povinnosti plynoucí ze spolupráce s orgány činnými v trestním řízení a dozorovými úřady.

4. Zpracovatelé, samostatní správci a příjemci

Osobní údaje sdílíme s následujícími subjekty. U každého je uvedeno, v jakém postavení ve smyslu GDPR vůči uživatelům vystupuje:

  • Stripe Payments Europe, Limited (Irsko) — platební služby a Stripe Connect. Stripe vystupuje současně jako zpracovatel podle čl. 28 GDPR (pro údaje, které mu předáváme v rámci naší platební instrukce) a jako samostatný správce podle čl. 4 odst. 7 GDPR pro účely plnění vlastních právních povinností (AML, fraud prevention, regulatorní hlášení, KYC Connect onboarding). Zpracování Stripe jako samostatného správce se řídí Stripe Global Privacy Policy. V rámci skupiny Stripe může docházet k předávání do USA, chráněnému standardními smluvními doložkami Evropské komise a účastí v EU-U.S. Data Privacy Framework.
  • Bankovní identita, a.s. (ČR) — ověření totožnosti Tipstera. Pro účely vydání ověřovacích claimů vystupuje jako samostatný správce; Provozovatel se stává správcem předaných claimů po jejich obdržení.
  • Hostingový partner — provoz serverové infrastruktury v EU (zpracovatel dle čl. 28 GDPR).
  • Poskytovatelé e-mailových služeb — transakční a notifikační zprávy (zpracovatel).
  • Orgány veřejné moci — samostatní správci; údaje jim předáváme pouze v rozsahu, v jakém to ukládá zákon (Policie ČR, Úřad pro ochranu osobních údajů, Finanční správa, soudy, příp. Finanční analytický úřad).

4a. Předávání mimo EHP

V rámci plateb jsou některé údaje předávány do USA (Stripe, Inc., Delaware). Předávání je chráněno standardními smluvními doložkami Evropské komise (čl. 46 odst. 2 písm. c GDPR) a účastí Stripe v programu EU-U.S. Data Privacy Framework (čl. 45 GDPR). Jiné mimoevropské předávání Správce standardně neprovádí. Pokud vybraný subdodavatel zpracovává data mimo EHP, bude vždy uveden v tomto seznamu s odkazem na použitou záruku.

4b. Automatizované rozhodování a profilování

Platforma používá následující automatizované vyhodnocování:

  • Tipsterský tier (NOVÁČEK / OVĚŘENÝ / EXPERT / ELITE) — přepočítává se automaticky na základě počtu dokončených prodejů (pouze ratingy u transakcí ve stavu RELEASED, po vyřízení sporů a refundů) a průměrného hodnocení od Kupujících. Tier určuje výši provize, maximální počet aktivních tipů a délku escrow lhůty; nemá přímý vliv na možnost účet užívat.
  • Detekce anomálií — pravidla identifikují podezřelé vzory (např. vícečetné účty, neobvyklé transakční sekvence, pokusy o obcházení rate-limitů). Při naplnění pravidla je odpovídající akce odmítnuta nebo účet automaticky pozastaven.

Pokud systém detekuje rizikový signál, je odpovídající akce automaticky odmítnuta nebo je účet automaticky pozastaven (account freeze). Takové opatření může mít pro uživatele podstatné účinky (zejména nemožnost výběru FC) a spadá pod čl. 22 GDPR.

Uživatel má v souladu s čl. 22 odst. 3 GDPR právo:

  • dosáhnout lidského zásahu — Provozovatel zajistí manuální přezkum rozhodnutí odpovědnou osobou bez zbytečného odkladu po obdržení odůvodněné žádosti;
  • vyjádřit svůj názor a doložit okolnosti, které systém nemohl zohlednit;
  • napadnout rozhodnutí u Úřadu pro ochranu osobních údajů nebo soudní cestou.

Žádost o přezkum lze podat přímo v aplikaci nebo e-mailem na privacy@flipking.cz s identifikací účtu a stručným popisem situace. Do vyhodnocení žádosti zůstává automatické opatření v platnosti. Přezkum je prováděn manuálně odpovědnou osobou Provozovatele; lhůtu pro odpověď Provozovatel stanoví individuálně podle složitosti případu a informuje o ní uživatele bez zbytečného odkladu po přijetí žádosti.

5. Doba uchovávání

Automatické lhůty (technicky vynucené naplánovanými úlohami):

  • Záznam relace (rrweb) a produktová analytika — nejvýše 30 dnů od pořízení; poté automaticky mazány.
  • Detailní informace u zakoupených tipů (citlivé údaje ke konkrétní nemovitosti) — nejvýše 90 dnů od zakoupení; poté automaticky odstraněny.

Řízené lhůty (uchováváme po nezbytnou dobu, výmaz probíhá na žádost nebo v rámci pravidelné revize):

  • Registrační a profilové údaje — po dobu existence účtu. Po zrušení účtu přechází do režimu níže.
  • Údaje po zrušení účtu (profilové údaje, metadata transakcí mimo KYC) — uchovávány po dobu nezbytnou k vypořádání otevřených nároků, reklamací a daňových kontrol; výmaz nebo anonymizaci provádí Provozovatel na žádost subjektu údajů, nejpozději však po uplynutí obecné promlčecí lhůty (§ 629 OZ).
  • Identifikační a transakční údaje ověřených Tipsterů (KYC claimy z Bankovní identity a metadata transakcí ze Stripe Connect) — nejvýše 10 let od ukončení vztahu. Právním základem je oprávněný zájem (čl. 6 odst. 1 písm. f GDPR) na schopnosti vypořádat případné nároky a doložit průběh transakcí; v rozsahu, v jakém se konkrétní údaj vyžaduje zvláštními předpisy (účetnictví, DPH, případně AML v případě vzniku postavení povinné osoby), je právním základem právní povinnost (čl. 6 odst. 1 písm. c GDPR).

Zákonné lhůty:

  • Účetní doklady — 5 let (resp. 10 let u plátců DPH) dle zákona č. 563/1991 Sb. o účetnictví a zákona č. 235/2004 Sb. o DPH.

Uvedené lhůty jsou maximální. Subjekt údajů může kdykoliv požádat o výmaz dle čl. 17 GDPR e-mailem na privacy@flipking.cz. Provozovatel žádost vyřídí do 30 dnů (čl. 12 odst. 3 GDPR) a informuje, které údaje byly vymazány a které musí být z důvodu právních povinností nebo oprávněných zájmů zachovány.

Poznámka: Výmaz účtu je dostupný jako self-service v Nastavení účtu → „Smazat účet". Žádost prochází 30denní ochrannou lhůtou, po jejím uplynutí Provozovatel automaticky anonymizuje osobní údaje; vybrané metadata transakcí a účetních dokladů jsou ponechány v anonymizované podobě po dobu nezbytnou dle výše uvedených lhůt.

6. Práva subjektu údajů

Jako subjekt údajů máte podle GDPR tato práva, která můžete uplatnit e-mailem na privacy@flipking.cz:

  • Právo na přístup k údajům, které o vás zpracováváme (čl. 15).
  • Právo na opravu nepřesných údajů (čl. 16).
  • Právo na výmaz („právo být zapomenut", čl. 17) — s výjimkou údajů, které jsme povinni uchovávat ze zákona.
  • Právo na omezení zpracování (čl. 18).
  • Právo na přenositelnost údajů do jiné služby ve strojově čitelném formátu (čl. 20).
  • Právo vznést námitku proti zpracování založenému na oprávněném zájmu (čl. 21).
  • Právo odvolat souhlas (s účinností do budoucna, čl. 7).
  • Právo podat stížnost u dozorového úřadu — Úřad pro ochranu osobních údajů (uoou.gov.cz).

7. Cookies, analytika a záznam relace

Platforma používá technické cookies a lokální úložiště nezbytné pro provoz (přihlášení, CSRF ochrana, jazyková preference, záznam uděleného souhlasu). Tato zpracování probíhají na základě oprávněného zájmu (čl. 6 odst. 1 písm. f GDPR) a § 89 zákona č. 127/2005 Sb. — souhlas se nevyžaduje.

Analytické a produktové nástroje, včetně záznamu relace (session replay přes rrweb), se aktivují pouze po udělení souhlasu v cookie banneru (čl. 6 odst. 1 písm. a GDPR). Odvolání souhlasu lze kdykoliv provést tlačítkem „Nastavení cookies" v patičce stránky — odvolání má okamžitý účinek a probíhající záznam se ukončí. Podrobný popis kategorií a technologií je v Zásadách používání cookies.

8. Zabezpečení

Správce přijal přiměřená technická a organizační opatření k ochraně osobních údajů — šifrování přenosu (TLS 1.2+), hashování hesel, zálohování, řízení přístupů na principu nejnižších oprávnění a pravidelné audity bezpečnosti.

9. Změny zásad

Tyto zásady mohou být aktualizovány. O podstatných změnách budeme uživatele informovat e-mailem nebo oznámením v aplikaci alespoň 14 dnů před účinností změny.

Aktuální verze ze dne 23. 4. 2026.