1. Správce osobních údajů

Správcem osobních údajů je společnost:

Správce nejmenoval pověřence pro ochranu osobních údajů (DPO), neboť to není s ohledem na rozsah a povahu zpracování vyžadováno. Ve všech záležitostech souvisejících s ochranou osobních údajů se můžete obracet přímo na správce prostřednictvím emailu uvedeného výše.

2. Jaké osobní údaje zpracováváme

Rozsah zpracovávaných osobních údajů se liší podle vaší role na platformě.

2.1 Prodávající (Seller)

Identifikační a kontaktní údaje:

• Jméno a příjmení
• Emailová adresa
• Telefonní číslo

Údaje o nemovitosti:

• Přesná adresa nemovitosti (ulice, číslo popisné/orientační, město, PSČ)
• GPS souřadnice nemovitosti
• Typ nemovitosti a její parametry (dispozice, výměra v m², energetická třída PENB, vlastnická omezení)
• Fotografie nemovitosti (interiér a exteriér)

Katastrální údaje:

• Parcelní číslo, list vlastnictví a číslo jednotky (získávané automaticky z veřejné databáze ČÚZK)

Anonymizovaná lokace:

• Zobrazovací souřadnice pro makléře (náhodný bod v okruhu 500 metrů od skutečné adresy nemovitosti), sloužící k ochraně přesné polohy nemovitosti před zprostředkováním kontaktu

Hodnocení:

• Hodnocení makléře (hvězdičkový rating, textový komentář, odpovědi na strukturované otázky)

Notifikační preference:

• Nastavení preferencí pro emailové a in-app notifikace (typ a kanál)

2.2 Makléř (Broker)

Identifikační a kontaktní údaje:

• Jméno a příjmení
• Emailová adresa
• Telefonní číslo

Firemní údaje:

• IČO a název firmy
• Sídlo firmy (získávané automaticky z registru ARES)
• DIČ (ověřované automaticky přes systém VIES)

Profesní údaje:

• Adresa kanceláře (ulice, město, PSČ, GPS souřadnice)
• Informace o živnostenském oprávnění
• Příslušnost k realitní síti (název sítě, IČO mateřské pobočky)

Finanční a fakturační údaje:

• Číslo bankovního účtu (pro účely fakturace)
• Fakturační údaje

Údaje o nabídkách:

• Odhad tržní ceny nemovitosti, nabízená provize, rozsah služeb, doprovodná zpráva

Notifikační preference:

• Nastavení preferencí pro emailové a in-app notifikace (typ a kanál)

2.3 Administrátor

• Jméno a emailová adresa
• Záznamy o provedených akcích v rámci administrace platformy (audit log)

3. Účely zpracování a právní základy

Osobní údaje zpracováváme výhradně pro níže uvedené účely a na základě odpovídajících právních základů podle nařízení Evropského parlamentu a Rady (EU) 2016/679 (GDPR).

3.1 Registrace a provoz uživatelského účtu

• Právní základ: Čl. 6 odst. 1 písm. b) GDPR — plnění smlouvy
• Doba uchování: Po dobu trvání uživatelského účtu a 3 roky po jeho zrušení

3.2 Zprostředkování kontaktu mezi prodávajícím a makléřem (Match)

• Právní základ: Čl. 6 odst. 1 písm. b) GDPR — plnění smlouvy
• Doba uchování: Po dobu trvání zprostředkování a 3 roky po jeho ukončení

3.3 Ověření identity a oprávnění makléře (IČO přes ARES, DIČ přes VIES)

• Právní základ: Čl. 6 odst. 1 písm. f) GDPR — oprávněný zájem správce na ověření důvěryhodnosti makléřů působících na platformě
• Balancing test: Ověření identity makléře je nezbytné k ochraně prodávajících před neověřenými osobami. Zpracovávány jsou výhradně veřejně dostupné údaje z registrů ARES a VIES, zásah do práv makléřů je minimální.
• Doba uchování: Po dobu trvání uživatelského účtu makléře

3.4 Fakturace a vedení účetní evidence

• Právní základ: Čl. 6 odst. 1 písm. c) GDPR — splnění právní povinnosti (zákon č. 563/1991 Sb., o účetnictví; zákon č. 235/2004 Sb., o dani z přidané hodnoty)
• Doba uchování: 10 let od konce účetního období, ve kterém došlo k uskutečnění příslušné transakce

3.5 Zasílání emailových notifikací souvisejících s provozem platformy

• Právní základ: Čl. 6 odst. 1 písm. b) GDPR — plnění smlouvy
• Doba uchování: Po dobu trvání uživatelského účtu

3.6 SMS verifikace telefonního čísla makléře (jednorázový kód OTP)

• Právní základ: Čl. 6 odst. 1 písm. b) GDPR — plnění smlouvy
• Doba uchování: Jednorázově; kód OTP je po ověření zneplatněn

3.7 Monitoring katastru nemovitostí (Watchdog)

• Právní základ: Čl. 6 odst. 1 písm. f) GDPR — oprávněný zájem správce na ochraně transakce a detekci podezřelých změn v katastru
• Balancing test: Monitoring veřejně přístupných dat katastru nemovitostí je nezbytný k ochraně oprávněných finančních zájmů správce (detekce prodeje nemovitosti). Jedná se výhradně o veřejné údaje dle zákona č. 256/2013 Sb.; zásah do práv subjektů je minimální a přiměřený sledovanému účelu.
• DPIA: Pro toto zpracování byla provedena posouzení vlivu na ochranu osobních údajů (DPIA) dle čl. 35 GDPR s ohledem na automatizovaný charakter a délku monitoringu.
• Doba uchování: Minimálně 24 měsíců od vzniku propojení (Match); automaticky prodlouženo při aktivní spolupráci dle systému Check-in

3.8 Periodické ověřování stavu transakce (Check-in)

• Právní základ: Čl. 6 odst. 1 písm. b) GDPR — plnění smlouvy; Čl. 6 odst. 1 písm. f) GDPR — oprávněný zájem správce na sledování průběhu transakce
• Doba uchování: Po dobu trvání zprostředkování a 3 roky po jeho ukončení

3.9 Hodnocení makléřů prodávajícími

• Právní základ: Čl. 6 odst. 1 písm. f) GDPR — oprávněný zájem správce na zajištění transparentnosti a kvality služeb na platformě
• Balancing test: Hodnocení makléřů je nezbytné pro informované rozhodování prodávajících. Makléři mají právo nahlásit nespravedlivé hodnocení a veškerá hodnocení podléhají moderaci. Zásah do práv makléřů je proporcionální vzhledem k profesnímu charakteru jejich činnosti.
• Doba uchování: Po dobu trvání uživatelského účtu hodnoceného makléře a 3 roky po jeho zrušení

3.10 Vedení auditního záznamu (Audit log)

• Právní základ: Čl. 6 odst. 1 písm. f) GDPR — oprávněný zájem správce na zajištění bezpečnosti platformy a možnosti zpětné kontroly
• Balancing test: Vedení auditního záznamu je nezbytné pro bezpečnost platformy, řešení sporů a prevenci zneužití. Zaznamenávány jsou pouze akce provedené na platformě, nikoli soukromé údaje nad rámec nezbytného rozsahu.
• Doba uchování: 5 let

3.11 Anonymizace lokace nemovitosti

• Právní základ: Čl. 6 odst. 1 písm. b) GDPR — plnění smlouvy (ochrana soukromí prodávajícího jako součást služby)
• Doba uchování: Po dobu trvání příslušné poptávky

3.12 Uchování snímků dat při propojení (Match snapshoty)

• Právní základ: Čl. 6 odst. 1 písm. f) GDPR — oprávněný zájem správce na doložení podmínek transakce; Čl. 6 odst. 1 písm. c) GDPR — splnění právní povinnosti (fakturační a účetní evidence)
• Doba uchování: 10 let

3.13 Webová analytika (Umami)

• Právní základ: Čl. 6 odst. 1 písm. f) GDPR — oprávněný zájem správce na analýze provozu webové stránky
• Balancing test: Zásah do práv subjektů údajů je nulový — Umami neshromažďuje žádné osobní údaje, nepoužívá cookies a nesleduje jednotlivé uživatele. Data jsou plně anonymní a agregovaná.
• Poznámka: Umami je provozováno na vlastní infrastruktuře v EU (Německo).

3.14 Monitoring chyb aplikace (Sentry)

• Právní základ: Čl. 6 odst. 1 písm. f) GDPR — oprávněný zájem správce na zajištění stability a bezchybného provozu platformy
• Balancing test: Monitoring chyb je nezbytný pro zajištění funkčnosti a bezpečnosti platformy. IP adresy jsou anonymizovány, rozsah zpracovávaných údajů je minimální a doba uchování krátká (90 dní).
• Session Replay: V rámci monitoringu chyb může být anonymizovaně zaznamenána uživatelská relace (Sentry Session Replay) — veškerý text a vstupy jsou automaticky maskovány.
• Doba uchování: 90 dní

3.15 Kontaktní formulář a podpora (support tickets)

• Právní základ: Čl. 6 odst. 1 písm. b) GDPR — plnění smlouvy; Čl. 6 odst. 1 písm. f) GDPR — oprávněný zájem správce na vyřizování dotazů a stížností uživatelů
• Rozsah údajů: Jméno, emailová adresa, předmět a text zprávy
• Doba uchování: 3 roky od vyřešení požadavku

3.16 Geokódování adres nemovitostí (Mapy.cz API)

• Právní základ: Čl. 6 odst. 1 písm. b) GDPR — plnění smlouvy (ověření a zpřesnění adresy nemovitosti jako součást služby)
• Rozsah údajů: Adresa nemovitosti zadaná prodávajícím (bez identifikačních údajů prodávajícího)
• Doba uchování: Jednorázový dotaz; Mapy.cz API neuchovává dotazované adresy
• Zpracovatel: Seznam.cz, a.s. — zpracování výhradně na území EU (Česká republika)

3.17 Autentizace prostřednictvím Google OAuth

• Právní základ: Čl. 6 odst. 1 písm. b) GDPR — plnění smlouvy (umožnění přihlášení k uživatelskému účtu)
• Rozsah údajů: Emailová adresa a zobrazované jméno z Google účtu uživatele
• Doba uchování: Po dobu trvání uživatelského účtu
• Zpracovatel: Google Ireland Ltd. (EU) / Google LLC (USA) — přenos do USA zajištěn SCCs a EU-US Data Privacy Framework (DPF); viz sekce 5
• Poznámka: Google OAuth je volitelnou metodou přihlášení pro prodávající. Při přihlášení přes Google je z Google účtu získána pouze emailová adresa a jméno; platforma nemá přístup k dalším údajům Google účtu.

4. Příjemci a zpracovatelé osobních údajů

Osobní údaje mohou být v nezbytném rozsahu předávány následujícím kategoriím příjemců:

4.1 Zpracovatelé (subdodavatelé)

4.2 Veřejné registry

Přístup k údajům z veřejných registrů je realizován v souladu s příslušnými právními předpisy a jedná se o veřejně dostupné údaje.

4.3 Druhá strana transakce

Po vytvoření propojení (Match) dochází ke vzájemnému sdílení kontaktních údajů mezi prodávajícím a vybraným makléřem. Konkrétně se jedná o jméno, příjmení, emailovou adresu a telefonní číslo. Právním základem je plnění smlouvy podle čl. 6 odst. 1 písm. b) GDPR. Před vytvořením propojení makléř vidí pouze anonymizovanou lokaci nemovitosti (bod v okruhu 500 metrů od skutečné adresy) a parametry nemovitosti bez přesné adresy a kontaktních údajů prodávajícího.

5. Přenos osobních údajů do třetích zemí

Některé služby, které využíváme, mají sídlo mimo Evropský hospodářský prostor (EHP):

Resend Inc. (USA) — odesílání emailových notifikací. Přenos osobních údajů do USA je realizován na základě standardních smluvních doložek (SCCs) přijatých Evropskou komisí podle čl. 46 odst. 2 písm. c) GDPR, případně na základě rozhodnutí Evropské komise o odpovídající úrovni ochrany osobních údajů v rámci EU-US Data Privacy Framework (DPF), pokud je příjemce certifikován.

Functional Software Inc. / Sentry (USA) — monitoring chyb aplikace. Přenášené údaje jsou minimální (anonymizované IP adresy, technické informace o chybách). Přenos je zajištěn standardními smluvními doložkami (SCCs).

Google LLC (USA) — autentizace prodávajících prostřednictvím Google OAuth. Přenášené údaje jsou minimální (emailová adresa a zobrazované jméno). Přenos je zajištěn standardními smluvními doložkami (SCCs) a EU-US Data Privacy Framework (DPF).

U všech ostatních zpracovatelů (Hetzner, Vonage, Seznam.cz) jsou osobní údaje zpracovávány výhradně na území Evropské unie.

6. Zabezpečení osobních údajů

Správce přijal a udržuje vhodná technická a organizační opatření k zajištění bezpečnosti zpracovávaných osobních údajů, zejména:

• Šifrování přenosu dat — veškerá komunikace mezi uživatelem a platformou probíhá prostřednictvím šifrovaného protokolu HTTPS/TLS (certifikáty Let's Encrypt).
• Zabezpečení hesel — hesla uživatelů jsou ukládána výhradně v hashované podobě (bcrypt); správce nemá přístup k nešifrované podobě hesel.
• Řízení přístupu na úrovni databáze (Row Level Security) — každý uživatel má přístup pouze ke svým vlastním datům; přístup je vynucován na úrovni databáze.
• Dvoufaktorové ověření (2FA/TOTP) — povinné pro všechny administrátorské účty.
• SMS verifikace (OTP) — ověření telefonního čísla makléřů prostřednictvím jednorázového kódu zaslaného přes SMS.
• Anonymizace lokace — makléři vidí pouze přibližnou polohu nemovitosti (náhodný bod v okruhu 500 metrů od skutečné adresy) až do okamžiku propojení.
• Anti-bypass filtr zpráv — automatické odstraňování telefonních čísel, emailových adres a URL ze zpráv mezi uživateli před vytvořením propojení, aby se zabránilo obcházení platformy.
• Neměnné záznamy o transakcích (Match snapshoty) — klíčové údaje o propojení jsou uloženy jako neměnný záznam pro účely doložitelnosti.
• Auditní záznamy — veškeré důležité akce na platformě jsou zaznamenávány v audit logu.
• Pravidelné zálohy — databáze je pravidelně zálohována pro případ havárie nebo ztráty dat.

7. Práva subjektů údajů

Jako subjekt údajů máte v souladu s GDPR následující práva:

7.1 Právo na přístup (čl. 15 GDPR)

Máte právo získat od správce potvrzení, zda jsou vaše osobní údaje zpracovávány, a pokud ano, máte právo získat přístup k těmto údajům a informacím o zpracování.

7.2 Právo na opravu (čl. 16 GDPR)

Máte právo požadovat opravu nepřesných osobních údajů, které se vás týkají. S přihlédnutím k účelům zpracování máte rovněž právo na doplnění neúplných osobních údajů.

7.3 Právo na výmaz (čl. 17 GDPR)

Máte právo požadovat výmaz osobních údajů, které se vás týkají. Toto právo podléhá zákonným omezením — správce je povinen uchovávat údaje nezbytné pro splnění právních povinností, zejména:

• fakturační a účetní doklady po dobu 10 let (zákon o účetnictví),
• neměnné záznamy o transakcích (Match snapshoty) po dobu stanovenou zákonem.

7.4 Právo na omezení zpracování (čl. 18 GDPR)

Máte právo požadovat omezení zpracování vašich osobních údajů, a to zejména pokud popíráte přesnost údajů, zpracování je protiprávní, nebo správce údaje již nepotřebuje.

7.5 Právo na přenositelnost údajů (čl. 20 GDPR)

Máte právo získat osobní údaje, které se vás týkají a které jste poskytli správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci.

7.6 Právo vznést námitku (čl. 21 GDPR)

Máte právo kdykoli vznést námitku proti zpracování osobních údajů, které je založeno na oprávněném zájmu správce (čl. 6 odst. 1 písm. f) GDPR). Správce v takovém případě posoudí, zda jeho oprávněné důvody převažují nad vašimi zájmy, právy a svobodami.

7.7 Právo podat stížnost u dozorového úřadu

Pokud se domníváte, že zpracováním vašich osobních údajů dochází k porušení GDPR, máte právo podat stížnost u dozorového úřadu:

7.8 Jak uplatnit svá práva

Svá práva můžete uplatnit zasláním žádosti na emailovou adresu info@spravnymakler.cz. Žádost vyřídíme bez zbytečného odkladu, nejpozději do 30 dnů od jejího obdržení. Ve výjimečných případech, s ohledem na složitost nebo počet žádostí, může být tato lhůta prodloužena o dalších 60 dnů, o čemž vás budeme informovat. Pro účely ověření vaší totožnosti vás můžeme požádat o poskytnutí dodatečných informací.

8. Smazání účtu a anonymizace údajů

8.1 Prodávající

Prodávající může požádat o smazání svého účtu kdykoli. Při smazání účtu dojde k:

• anonymizaci profilu (jméno je nahrazeno označením "Smazaný uživatel", osobní údaje jsou nastaveny na prázdnou hodnotu),
• zrušení všech aktivních poptávek,
• zablokování autentizačního účtu a anonymizaci přihlašovacího emailu.

8.2 Makléř bez aktivního propojení (Match)

Makléř, který nemá žádné aktivní propojení s prodávajícím, může požádat o smazání účtu. Proces anonymizace je shodný s bodem 8.1.

8.3 Makléř s aktivním propojením (Match)

Makléř, který má aktivní propojení s prodávajícím (a tedy nevypořádaný finanční závazek vůči správci), nemůže požádat o smazání účtu do doby vypořádání všech závazků.

8.4 Zachování údajů z právních důvodů

Bez ohledu na smazání účtu jsou zachovány:

• neměnné záznamy o transakcích (Match snapshoty) a fakturační údaje po dobu 10 let v souladu se zákonem o účetnictví,
• auditní záznamy dokumentující původní údaje před anonymizací.

8.5 Souhrnná tabulka doby uchování

8.6 Technické provedení anonymizace

Autentizační účet je po smazání zablokován a emailová adresa je nahrazena anonymizovaným identifikátorem ve formátu deleted_{id}@deleted.spravnymakler.cz, aby nemohlo dojít k opětovné registraci se stejným účtem.

9. Cookies a sledování

9.1 Cookies

Platforma Správný Makléř používá výhradně technicky nezbytné cookies, bez kterých by platforma nemohla fungovat:

• Autentizační session cookie (Supabase Auth) — zajišťuje přihlášení uživatele a udržení relace.
• Bezpečnostní tokeny — ochrana proti podvržení požadavků (CSRF).
• Staging cookie — používán výhradně v testovacím prostředí (HttpOnly, šifrovaný SHA-256, platnost 30 dní).

Platforma nepoužívá žádné analytické, marketingové ani reklamní cookies.

9.2 Webová analytika

Pro analýzu provozu webu používáme nástroj Umami, který je provozován na vlastní infrastruktuře v Evropské unii (Německo). Umami:

• nevyužívá cookies,
• nesbírá žádné osobní údaje,
• nesleduje jednotlivé uživatele,
• zpracovává pouze anonymní a agregovaná data.

9.3 Third-party tracking

Platforma nepoužívá Google Analytics, Facebook Pixel ani žádné jiné nástroje třetích stran pro sledování uživatelů.

10. Automatizované rozhodování a profilování

10.1 Cenový semafor

Platforma využívá automatizované porovnání nabídek makléřů s mediánem cen na trhu (tzv. cenový semafor). Jedná se o orientační vizuální indikátor, který nemá závazný charakter a neslouží jako podklad pro automatizované rozhodování s právními účinky.

10.2 Detekce duplicit

Platforma automaticky kontroluje, zda již pro danou nemovitost (identifikovanou podle parcelního čísla a čísla jednotky) neexistuje aktivní poptávka. Jedná se o čistě technické opatření k prevenci duplicitních zadání.

10.3 Vyloučení profilování

Správce neprovádí profilování ve smyslu čl. 4 bodu 4 GDPR ani automatizované rozhodování, které by mělo právní účinky na subjekty údajů nebo je obdobným způsobem významně ovlivňovalo ve smyslu čl. 22 GDPR.

11. Ochrana osobních údajů dětí

Platforma Správný Makléř není určena osobám mladším 18 let. Správce vědomě neshromažďuje ani nezpracovává osobní údaje dětí. Pokud správce zjistí, že zpracovává osobní údaje osoby mladší 18 let, bez zbytečného odkladu takové údaje vymaže.

12. Změny těchto zásad

Správce si vyhrazuje právo tyto zásady ochrany osobních údajů kdykoli aktualizovat, zejména v návaznosti na změny právních předpisů, technické změny platformy nebo rozšíření zpracovávaných údajů.

O podstatných změnách budou uživatelé informováni:

• emailovou zprávou na adresu uvedenou v uživatelském účtu,
• oznámením přímo v aplikaci.

Datum poslední aktualizace je vždy uvedeno na začátku tohoto dokumentu. Doporučujeme tyto zásady pravidelně kontrolovat.

13. Kontaktní údaje

V případě jakýchkoli dotazů nebo žádostí souvisejících se zpracováním osobních údajů nás kontaktujte:

Tyto zásady ochrany osobních údajů nabývají účinnosti dne 1. března 2026.