Zásady ochrany osobních údajů

Datum účinnosti: 21. 5. 2026 · Verze: 1.3

Tento dokument popisuje, jak aplikace Bonuska (dále jen „Aplikace“) a web bonuska.cz shromažďují, používají a chrání osobní údaje. Postupujeme v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 (GDPR) a souvisejícími právními předpisy.

1) Správce a kontakt

Správce: Cross Digital s.r.o., IČO 24407879

Sídlo: Korunní 2569/108, Vinohrady, 10100 Praha 10, Česká republika

Kontaktní e-mail: info@mail.bonuska.cz

2) Jaké údaje zpracováváme

A) Účet a profil

  • e-mailová adresa
  • jméno nebo přezdívka (pokud ji vyplníte)
  • interní identifikátor uživatele (User ID)
  • role uživatele (např. zákazník / správce firmy), pokud Aplikace role rozlišuje

B) Přihlášení a autentizace

  • údaje potřebné k přihlášení a správě relace (např. tokeny)
  • identifikátory Apple Sign-In / Google Sign-In, pokud je využijete

Pozn.: Hesla (pokud jsou použita) neukládáme v čitelné podobě; jsou bezpečně hashována v rámci poskytovatele autentizace.

C) Technické a provozní údaje

  • technické logy související s provozem Aplikace (např. typ zařízení, verze OS, jazykové nastavení, diagnostické informace)
  • IP adresa může být součástí technických logů při komunikaci se serverem

D) Obsah uživatele v Aplikaci

  • údaje o uložených věrnostních kartách a programech
  • razítka, odměny, dealy, vouchery a historie jejich uplatnění
  • údaje o firmách a programech (u firemních účtů), pokud tyto funkce používáte

E) Poloha (lokalizační údaje)

Pokud udělíte Aplikaci oprávnění k poloze, může Aplikace použít aktuální polohu zařízení pro zobrazení podniků v okolí na mapě.

Aktuální poloha zákazníka se u nás neukládá do databáze, slouží pouze k okamžitému zobrazení relevantního obsahu v Aplikaci. U podniků zpracováváme adresu a souřadnice provozovny, aby bylo možné podnik zobrazit v katalogu a na mapě.

F) Push notifikace a segmenty

  • push token zařízení a nastavení souhlasu s notifikacemi
  • historie odeslaných push kampaní, jejich obsah a počet příjemců
  • údaje potřebné pro výběr cílových skupin, např. držitelé karet, neaktivní zákazníci, zákazníci blízko odměny, aktivní vouchery, uplatněné odměny nebo oblíbené podniky
  • metriky výkonu kampaní, např. návštěvy/skeny po odeslání, uplatnění a konverzní poměr

G) Firemní obsah, tým a moderace

  • údaje o podniku, provozovně, otevírací době, kontaktech, logu, fotografiích, programech, dealech a Happy Hour nabídkách
  • údaje o členech týmu, jejich rolích a pozvánkách do podniku
  • výsledky textové nebo obrazové moderace obsahu, včetně důvodu případného zamítnutí

H) Předplatné a platby

  • informace o aktivní licenci, tarifu, platnosti a historii předplatného
  • identifikátory nákupu a transakční metadata získaná přes App Store, Google Play nebo službu pro správu předplatného

Platební údaje jako číslo karty nezpracováváme přímo; platby probíhají přes Apple, Google nebo jejich platební infrastrukturu.

I) AI Business Insights a personalizace obsahu

  • agregované a provozní údaje o aktivitě podniku, programech, dealech, uplatnění a návštěvnosti pro generování doporučení
  • údaje o oblíbených podnicích, kategoriích a kartách; aktuální polohu používáme v okamžiku zobrazení relevantních nabídek bez ukládání do databáze
  • zpětnou vazbu k AI tipům, pokud ji firemní uživatel poskytne

J) Webové formuláře

  • kontaktní údaje a obsah zprávy odeslané přes webové formuláře
  • technické údaje potřebné pro ochranu formulářů proti spamu a zneužití

3) Účely zpracování

  • zřízení a správy účtu a umožnění přístupu k vašim datům
  • poskytování funkcí Aplikace (uložení karet, správa razítek, dealů a odměn, zobrazení podniků v okolí)
  • správa podniků, týmových rolí, věrnostních programů, dealů a Happy Hours
  • odesílání a cílení push notifikací podle zvolených segmentů
  • měření výkonu věrnostních programů, dealů a push kampaní
  • generování AI Business Insights a doporučení pro firemní účty
  • moderace textů a obrázků nahraných podniky
  • správa licence, předplatného a nákupů v aplikaci
  • zpracování kontaktních dotazů a obchodních poptávek z webu
  • zabezpečení a prevence zneužití (ochrana účtu a systémů)
  • zajištění stability a ladění chyb (diagnostika technických problémů)

4) Právní základy zpracování (GDPR)

  • Plnění smlouvy (čl. 6 odst. 1 písm. b GDPR): poskytování funkcí Aplikace
  • Oprávněný zájem (čl. 6 odst. 1 písm. f GDPR): zabezpečení, prevence zneužití, základní diagnostika a stabilita služby
  • Souhlas (čl. 6 odst. 1 písm. a GDPR): zejména přístup k poloze (oprávnění systému), push notifikace a případně analytické cookies. Souhlas můžete kdykoli odvolat v nastavení zařízení nebo v příslušném rozhraní.
  • Právní povinnost (čl. 6 odst. 1 písm. c GDPR): uchování údajů, pokud nám to ukládají účetní, daňové nebo jiné právní předpisy.

5) Příjemci údajů (zpracovatelé) a sdílení dat

Pro zajištění provozu Aplikace využíváme následující poskytovatele služeb:

  • Supabase – infrastruktura, databáze a správa uživatelů (API/DB/Auth)
  • Expo (služby Expo) – technické a diagnostické funkce související s provozem aplikace
  • Expo Push Service – doručování push notifikací
  • Sentry – diagnostika chyb, monitoring výkonu a stabilita aplikace
  • Vercel – hosting webu, základní provozní metriky a výkon webu
  • RevenueCat – správa předplatného a synchronizace nákupů v aplikaci
  • Upstash Redis – rate limiting a ochrana služeb proti zneužití
  • Google Generative AI – generování AI Business Insights a textová moderace
  • Google Vision API – bezpečnostní kontrola nahraných obrázků
  • Turnstile / podobná anti-spam služba – ochrana webových formulářů proti automatizovanému zneužití

Mapové služby:

  • Google Maps (Android) – mapové podklady pro zobrazení podniků v okolí
  • Apple Maps (iOS) – mapové podklady pro zobrazení podniků v okolí
  • Google Places / obdobné služby – našeptávání a předvyplnění údajů o podniku, pokud tuto funkci využijete

Platformy a služby třetích stran:

  • Apple a Google – přihlášení, distribuce aplikace, platby a správa předplatného
  • Apple Wallet – přidání věrnostní karty do peněženky na iOS

Při použití map může docházet k předání technických údajů nezbytných k zobrazení mapy poskytovateli mapové služby.

Vaše osobní údaje neprodáváme ani je neposkytujeme třetím stranám pro jejich vlastní marketing.

6) Přenosy mimo EU/EEA

Někteří poskytovatelé (např. cloudové služby) mohou zpracovávat data i mimo EU/EEA. V takových případech zajišťujeme ochranu osobních údajů prostřednictvím vhodných záruk dle GDPR, typicky Standardních smluvních doložek (SCC) nebo jiných uznávaných mechanismů.

7) Doba uchování (retence) a smazání účtu

  • Účet a profil: po dobu existence účtu
  • Věrnostní karty, razítka, odměny a historie uplatnění: po dobu existence účtu nebo po dobu potřebnou k poskytování služby a řešení reklamací či sporů
  • Firemní obsah, programy, dealy, push kampaně a metriky: po dobu existence podnikového účtu nebo po dobu potřebnou k poskytování služby
  • Údaje o předplatném a platbách: po dobu trvání předplatného a dále po dobu vyžadovanou účetními, daňovými nebo jinými právními předpisy
  • Technické logy: obvykle 30–90 dnů (pro účely diagnostiky a zabezpečení)
  • Kontaktní formuláře: po dobu vyřízení dotazu a přiměřenou dobu pro navazující komunikaci
  • Smazání účtu (hard delete): pokud v Aplikaci požádáte o smazání účtu, dojde k odstranění vašich osobních údajů z našich systémů zpravidla do 30 dnů, s výjimkou údajů, které musíme uchovat ze zákona.
  • Zálohy: i po smazání mohou být data dočasně obsažena v technických zálohách po omezenou dobu.

8) Zabezpečení

Používáme přiměřená technická a organizační opatření k ochraně osobních údajů, zejména:

  • šifrování přenosu dat (TLS/SSL)
  • řízení přístupu a ochranu databáze
  • bezpečnostní pravidla pro oddělení uživatelských dat (např. Row Level Security)

9) Vaše práva

V souvislosti se zpracováním osobních údajů máte právo:

  • na přístup k osobním údajům a jejich kopii
  • na opravu nepřesných nebo neúplných údajů
  • na výmaz (za podmínek GDPR)
  • na omezení zpracování
  • na přenositelnost údajů
  • vznést námitku proti zpracování založenému na oprávněném zájmu
  • podat stížnost u dozorového úřadu: Úřad pro ochranu osobních údajů (ÚOOÚ)

Pro uplatnění práv nás kontaktujte na: info@mail.bonuska.cz

10) Cookies a tracking (web bonuska.cz)

Web bonuska.cz může používat cookies a podobné technologie:

  • nezbytné cookies pro zajištění základní funkčnosti a bezpečnosti webu
  • případně analytické cookies pro měření návštěvnosti a zlepšování webu (pokud jsou nasazeny)

Pokud web používá analytické nebo marketingové cookies, nabídneme vám volbu prostřednictvím cookie lišty a své preference můžete kdykoli změnit.

11) Oprávnění zařízení

  • Poloha: pro zobrazení podniků v okolí na mapě (poloha se u nás neukládá)
  • Fotoaparát: pro skenování QR kódů při přičítání razítek nebo uplatnění odměny/dealu
  • Fotky a média: pro nahrání loga, fotografií podniku nebo obrázků programů a dealů, pokud tuto funkci využijete
  • Push notifikace: pro doručování zpráv z aplikace a od podniků, jejichž karty nebo nabídky používáte

Oprávnění lze kdykoli upravit v nastavení vašeho zařízení.

12) Ochrana soukromí dětí

Aplikace není primárně určena osobám mladším 16 let. Pokud zjistíme, že jsme zpracovávali osobní údaje dítěte bez odpovídajícího souhlasu zákonného zástupce, podnikneme kroky k jejich odstranění.

13) Změny těchto zásad

Tyto zásady můžeme průběžně aktualizovat. O podstatných změnách vás budeme informovat na webu nebo v Aplikaci.

Poslední aktualizace: 21. 5. 2026