Zásady zpracování osobních údajů
Tento dokument popisuje, jak BusHub v beta provozu pracuje s osobními údaji uživatelů. Před ostrým spuštěním musí být doplněn přesný provozovatel, případní zpracovatelé a finální retenční doby.
1. Jaké údaje zpracováváme
- identifikační a kontaktní údaje: jméno, e-mail, telefon, firemní název, IČO, DIČ, adresa, fakturační e-mail, web, licence;
- řidičský profil: město, praxe, informace o oprávnění skupiny D, dostupnost a poznámky uživatele;
- ověřovací doklady řidiče: pokud je uživatel dobrovolně nahraje, může jít například o zadní stranu řidičského průkazu, profesní způsobilost / kód 95 nebo jiný doklad nutný pro důvěryhodnost profilu;
- provozní data: zakázky, nabídky, reakce, konverzace, notifikace, feedback, mapové body a poznámky;
- bezpečnostní data: auditní logy, IP adresa, user-agent, časy přihlášení, reset hesla, ověření e-mailu;
- technická data: session cookie, nastavení účtu a metadata nutná pro provoz aplikace.
2. Proč údaje zpracováváme
- vytvoření a správa účtu;
- ověření firmy nebo řidiče;
- provoz uzavřeného tržiště a komunikace mezi uživateli;
- bezpečnost, prevence zneužití, audit a řešení sporů;
- plnění smluvních, účetních a zákonných povinností;
- zlepšování služby během beta testu.
3. Právní základy
Podle konkrétní situace může jít zejména o plnění smlouvy nebo jednání před jejím uzavřením, oprávněný zájem na bezpečném provozu platformy, plnění právních povinností, případně souhlas uživatele tam, kde je vyžadován.
4. Komu mohou být údaje zpřístupněny
Údaje mohou být zpřístupněny ostatním uživatelům v rozsahu nutném pro fungování tržiště, například firma vidí reakci řidiče nebo protistrana vidí údaje nutné pro řešení zakázky. Řidičské doklady jsou citlivější část profilu a firma je vidí pouze při potvrzeném vztahu s řidičem, pokud řidič u dokladu povolí sdílení. Technicky mohou být údaje zpracovávány poskytovateli hostingu, databáze, e-mailu, plateb, analytiky nebo bezpečnostních nástrojů, pokud budou zapojeni.
V beta verzi je hosting a provozní infrastruktura nastavena technicky. Finální seznam zpracovatelů bude doplněn před ostrým spuštěním.
5. Doba uchování
Účetní, smluvní, bezpečnostní a auditní údaje mohou být uchovány po dobu nutnou k provozu služby, obraně právních nároků a splnění zákonných povinností. Nahrané řidičské doklady lze z účtu smazat; po smazání už nemají být běžně dostupné protistranám. Testovací a beta data mohou být smazána, anonymizována nebo upravena při migracích a čištění databáze.
6. Práva uživatele
Uživatel může požádat o přístup k údajům, opravu, výmaz, omezení zpracování, přenositelnost, námitku proti zpracování a může podat stížnost u dozorového úřadu. V České republice je dozorovým úřadem Úřad pro ochranu osobních údajů.
V aplikaci je k dispozici sekce pro GDPR žádosti v účtu uživatele, případně lze psát na kontaktní e-mail.
7. Zabezpečení
Hesla jsou ukládána jako hash. Přístup k účtu probíhá přes session cookie. Důležité akce jsou auditované. Přístup do tržiště je omezený na přihlášené uživatele. Přesto žádný systém není absolutně bezpečný a uživatel má chránit své přihlašovací údaje.
8. Mapová a importovaná data
Pokud uživatel přidá mapový bod, poznámku, feedback nebo provozní informaci, může být tato informace zobrazena dalším uživatelům jako komunitní obsah. Takový obsah nemá obsahovat osobní údaje třetích osob, pokud k tomu uživatel nemá oprávnění.
9. Změny dokumentu
Tento dokument může být během beta provozu upravován. Aktuální verze je vždy zveřejněna v aplikaci.