ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
Last updated: February 21st, 2026
Provozovatel: Neonum s.r.o.
IČO: 19716036
Sídlo: č. p. 289, 684 01 Nížkovice
Účinné od: 13.5.2026
Verze: 1.0
1. Úvodní ustanovení
1.1 Tyto zásady zpracování osobních údajů (dále jen „Zásady“) popisují, jakým způsobem obchodní společnost Neonum s.r.o., IČO: 19716036, se sídlem č. p. 289, 684 01 Nížkovice, vedená u Krajského soudu v Brně pod spisovou značkou C 135700 (dále jen „Správce“ nebo „GOZA“), zpracovává osobní údaje uživatelů mobilní aplikace GOZA a souvisejících služeb (dále jen „Aplikace“).
1.2 Zásady jsou zpracovány v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „GDPR“) a zákonem č. 110/2019 Sb., o zpracování osobních údajů, ve znění pozdějších předpisů.
1.3 Tyto Zásady se vztahují na všechny osoby, které užívají Aplikaci, navštěvují web goza.cz nebo komunikují se Správcem v souvislosti s provozem GOZA (dále jen „Subjekt údajů“ nebo „Uživatel“).
2. Kontaktní údaje správce
2.1 Správce osobních údajů:
• Obchodní firma: Neonum s.r.o.
• IČO: 19716036
• Sídlo: č. p. 289, 684 01 Nížkovice
• Datová schránka: ninab2g
• Web: goza.cz
2.2 Kontakt pro otázky ochrany osobních údajů:
• E-mail: gdpr@goza.cz
• Obecný kontakt: info@goza.cz
• Zákaznická podpora: podpora@goza.cz
2.3 Správce v současné době nejmenoval pověřence pro ochranu osobních údajů, neboť k tomu není povinen. Správce může pověřence jmenovat dobrovolně; o této skutečnosti bude Subjekt údajů informován.
3. Jaké osobní údaje zpracováváme
3.1 V souvislosti s provozem Aplikace zpracovává Správce následující kategorie osobních údajů:
Kategorie
Příklady zpracovávaných údajů
Účetní údaje
E-mail, přezdívka, heslo (v podobě bezpečného hashe), interní identifikátor uživatele, datum registrace, stav účtu.
Technické údaje
IP adresa, typ zařízení, operační systém a jeho verze, verze Aplikace, push token, identifikátor zařízení, logy přístupu, crash logy.
Údaje z dokladů
Fotografie účtenek a faktur, PDF doklady, raw OCR text, normalizovaný text, identifikace obchodníka, datum a čas nákupu, celková částka, IČO/DIČ obchodníka, jednotlivé položky, číslo dokladu, deduplikační otisk.
Nákupní chování
Historie nahraných dokladů, splněné Mise, kategorie a četnost nákupů, navštěvovaní obchodníci, výše útrat, získané Body a XP, výběr Odměn, affiliate kliky a konverze.
Segmentační údaje
Kraj, velikost obce, věková kategorie, případně další dobrovolné údaje z profilového dotazníku (preference, životní situace).
Komunikační údaje
Obsah komunikace s podporou, e-mailové adresy, případné telefonní číslo (poskytne-li je Uživatel).
Audit a anti-fraud
Risk flags, počet odmítnutých Dokladů, ručně provedené zásahy administrátora, důvody schválení nebo zamítnutí, interní poznámky.
3.2 Citlivé položky na účtenkách. Účtenky a faktury mohou obsahovat informace, které mohou být pro Subjekt údajů citlivé (např. nákupy v lékárnách, zdravotnické položky, intimní zboží, alkohol, tabákové výrobky). Správce s těmito údaji zachází se zvýšenou opatrností:
• k těmto údajům má přístup pouze omezený okruh oprávněných osob a pouze v rozsahu nezbytném pro vyhodnocení Dokladu, anti-fraud a reklamace;
• tyto údaje se nikdy nepředávají partnerům v individualizované podobě;
• Správce neprovádí cílení a profilaci založenou specificky na zdravotních nákupech;
• Subjekt údajů má právo vznést námitku proti zpracování dle čl. 11 těchto Zásad.
4. Odkud osobní údaje pocházejí
4.1 Osobní údaje pocházejí zejména z následujících zdrojů:
• přímo od Subjektu údajů (registrace, nahrání Dokladů, vyplnění profilu, komunikace s podporou);
• z technických zdrojů při užívání Aplikace (IP adresa, identifikátory zařízení, logy);
• od třetích stran (zejména affiliate sítě potvrzující konverze, vydavatelé voucherů potvrzující uplatnění).
4.2 Údaje obsažené na nahraných Dokladech (zejména údaje o obchodníkovi a položkách nákupu) jsou údaje obchodníka a nákupu, nikoliv třetí osoby; Správce je zpracovává v rozsahu, v jakém jsou nezbytné pro vyhodnocení nákupu a poskytnutí služby.
5. Účely zpracování a právní základy
5.1 Správce zpracovává osobní údaje pro následující účely a na následujících právních základech:
Účel zpracování
Právní základ
Doba uchování
Správa uživatelského účtu (registrace, přihlášení, profil, smazání účtu)
Plnění smlouvy [čl. 6 odst. 1 písm. b) GDPR]
Po dobu existence účtu
Poskytování služby (nahrání Dokladů, OCR/AI zpracování, vyhodnocení, Body, XP, Mise, Odměny)
Plnění smlouvy [čl. 6 odst. 1 písm. b) GDPR]
Po dobu existence účtu, podrobně viz čl. 8
Anti-fraud, bezpečnost systému, audit log, ochrana ekonomiky Aplikace
Oprávněný zájem [čl. 6 odst. 1 písm. f) GDPR]
Viz čl. 8
Servisní komunikace (oznámení o stavu Dokladu, změny podmínek, bezpečnostní upozornění)
Plnění smlouvy [čl. 6 odst. 1 písm. b) GDPR]
Po dobu existence účtu
Marketingová komunikace (newsletter, marketingové push notifikace, kampaně partnerů)
Souhlas [čl. 6 odst. 1 písm. a) GDPR]
Do odvolání souhlasu, max. 36 měsíců po posledním kontaktu
Personalizace nabídky Misí a Odměn na základě nákupního chování
Oprávněný zájem nebo souhlas (dle rozsahu personalizace)
Po dobu existence účtu
Tvorba agregovaných reportů pro partnery (anonymizovaná/agregovaná data)
Oprávněný zájem [čl. 6 odst. 1 písm. f) GDPR]; po anonymizaci nejde o osobní údaje
Anonymizované údaje bez časového omezení
Plnění právních povinností (účetnictví, daně, zákonné povinnosti)
Právní povinnost [čl. 6 odst. 1 písm. c) GDPR]
Dle příslušných zákonů, typicky 10 let
Ochrana právních nároků a řešení sporů
Oprávněný zájem [čl. 6 odst. 1 písm. f) GDPR]
Po dobu trvání nároku, max. promlčecí lhůta
5.2 Oprávněný zájem. Tam, kde je právním základem oprávněný zájem, Správce posoudil, že tento zájem převažuje nad zájmy a základními právy Subjektu údajů. Subjekt údajů má právo vznést námitku proti zpracování (viz čl. 11).
5.3 Souhlas. Tam, kde je právním základem souhlas, je tento souhlas dobrovolný, konkrétní, informovaný a kdykoliv odvolatelný. Odvolání souhlasu nemá vliv na zákonnost zpracování provedeného před jeho odvoláním.
6. Zpracování dokladů, OCR a umělá inteligence
6.1 Správce při vyhodnocování nahraných Dokladů využívá technologie optického rozpoznávání znaků (OCR) a umělé inteligence (AI):
• OCR slouží k převodu obrazu Dokladu na strojově čitelný text;
• AI pomáhá strukturovat položky, normalizovat názvy produktů a porovnávat data s pravidly Misí.
6.2 Konečné rozhodnutí o uznání Dokladu, přidělení Bodů, XP nebo splnění Mise není činěno výhradně automatizovaně. Backend Aplikace aplikuje předem nastavená pravidla a v rizikových nebo sporných případech je uplatněna manuální kontrola operátorem.
6.3 V rozsahu, v jakém by konkrétní rozhodnutí mohlo představovat automatizované individuální rozhodování s právními účinky nebo obdobně významným dopadem ve smyslu čl. 22 GDPR, má Subjekt údajů právo:
• na lidský zásah ze strany Správce;
• vyjádřit svůj názor;
• napadnout takové rozhodnutí (např. formou reklamace nebo námitky).
6.4 Správce informuje Subjekt údajů o použití automatizovaných nástrojů a o jeho právech těmito Zásadami.
7. Příjemci a zpracovatelé osobních údajů
7.1 Osobní údaje mohou být zpřístupněny následujícím kategoriím příjemců:
Kategorie příjemce
Účel zpřístupnění
Vývojář a správce systému (zpracovatel)
Vývoj, provoz, správa a údržba Aplikace, backendu a databáze.
Poskytovatel hostingu / cloudového úložiště (zpracovatel)
Provoz infrastruktury, ukládání databází, fotografií Dokladů a PDF souborů.
Poskytovatel OCR služby (zpracovatel)
Strojové čtení textu z fotografií Dokladů.
Poskytovatel AI služby (zpracovatel)
Strukturování položek a podpora vyhodnocení Dokladů.
Poskytovatel push notifikací a e-mailingu (zpracovatel)
Doručování servisních a marketingových zpráv.
Affiliate síť (samostatný správce nebo zpracovatel dle nastavení)
Měření konverzí, schvalování objednávek, pending.
Vydavatelé voucherů a Odměn (samostatný správce)
Vydání a uplatnění voucheru / Odměny.
Účetní, daňoví a právní poradci (zpracovatelé)
Plnění zákonných povinností a obrana právních nároků.
Orgány veřejné moci
Pouze v případech, kdy to vyžaduje právní předpis.
7.2 Aktuální seznam zpracovatelů a kontaktních údajů poskytne Správce na vyžádání na e-mailu gdpr@goza.cz. Správce uzavírá se zpracovateli zpracovatelské smlouvy v souladu s čl. 28 GDPR.
7.3 Postavení partnerů Misí a affiliate sítí. GOZA vystupuje vůči osobním údajům uživatelů jako samostatný správce. Partneři Misí (značky, e-shopy, lokální partneři) nedostávají osobní údaje uživatelů. Partnerovi se předávají pouze agregované a anonymizované reporty o výkonu Misí a kampaní (viz čl. 9). Partneři tedy nejsou ve vztahu k osobním údajům uživatelů zpracovateli ani společnými správci.
8. Doba uchování osobních údajů
8.1 Správce uchovává osobní údaje pouze po dobu nezbytnou pro daný účel zpracování. Pracovní lhůty jsou:
Kategorie údajů
Doba uchování
Registrační údaje účtu (e-mail, přezdívka, heslo)
Po dobu trvání účtu; po smazání nejvýše 30 dnů pro řešení sporů.
Fotografie účtenek a PDF faktur (raw soubory)
24 měsíců od nahrání pro účely anti-fraud, reklamací a reprocessingu.
Raw OCR text a strukturovaná data z dokladů
24–36 měsíců od nahrání.
Body, XP, historie Odměn, audit log transakcí
Po dobu trvání účtu + 12 měsíců po jeho smazání.
Anonymizovaná / agregovaná data (bez identifikace)
Bez časového omezení (nejde o osobní údaje).
Účetní doklady k vyplaceným Odměnám / vouchery s peněžní hodnotou
Dle zákona o účetnictví (typicky 5 nebo 10 let).
Audit log adminských zásahů
36 měsíců.
Risk flags, anti-fraud poznámky
Po dobu trvání účtu; po smazání 12 měsíců.
Marketingové souhlasy (log udělení a odvolání)
36 měsíců po odvolání pro prokázání souhlasu.
Komunikace s podporou
3 roky od posledního kontaktu.
Údaje pro obranu právních nároků
Po dobu promlčecí lhůty (typicky 3–10 let).
8.2 Po uplynutí stanovené doby jsou osobní údaje vymazány nebo anonymizovány tak, aby nebylo možné identifikovat konkrétní fyzickou osobu.
9. Reporty pro partnery a anonymizovaná data
9.1 Správce poskytuje partnerům (značkám, e-shopům, lokálním partnerům) reporty o výkonu Misí a kampaní. Tyto reporty jsou:
• agregované (souhrnné údaje za skupinu uživatelů);
• anonymizované (bez možnosti identifikace konkrétního uživatele);
• omezené technickými opatřeními pro malé segmenty (slučování segmentů, minimální počet uživatelů v segmentu).
9.2 Partnerům se mohou předávat zejména:
• počet platných účtenek a splněných Misí;
• průměrná útrata, počet zapojených uživatelů;
• regionální rozložení (kraj, velikost obce);
• věkové kategorie a opakovanost nákupu.
9.3 Partnerům se nikdy nepředávají: jméno, e-mail, telefonní číslo, individuální účtenka konkrétního uživatele, detailní nákupní historie konkrétní osoby ani jakékoliv další údaje umožňující reidentifikaci.
10. Předávání mimo EU / EHP
10.1 Správce upřednostňuje zpracování osobních údajů v rámci Evropského hospodářského prostoru (EHP).
10.2 Některé technické služby (zejména OCR, AI, push notifikace, analytika) mohou být provozovány poskytovateli, kteří mají infrastrukturu nebo mateřskou společnost mimo EHP (typicky USA). V takových případech Správce zajišťuje odpovídající ochranu prostřednictvím:
• rozhodnutí Evropské komise o odpovídající úrovni ochrany (např. EU-US Data Privacy Framework);
• standardních smluvních doložek (SCC) ve smyslu čl. 46 GDPR;
• doplňkových technických a organizačních opatření (zejména šifrování a pseudonymizace).
10.3 Aktuální informace o předávání mimo EHP poskytne Správce na vyžádání na gdpr@goza.cz.
11. Práva subjektu údajů
11.1 Subjekt údajů má v souvislosti se zpracováním osobních údajů následující práva:
11.1.1 Právo na přístup (čl. 15 GDPR)
Subjekt údajů má právo získat od Správce potvrzení, zda zpracovává jeho osobní údaje, a pokud ano, právo na přístup k těmto údajům a informacím o zpracování.
11.1.2 Právo na opravu (čl. 16 GDPR)
Subjekt údajů má právo na opravu nepřesných nebo doplnění neúplných osobních údajů. Část údajů (zejména přezdívku a e-mail) může Uživatel upravit přímo v nastavení Aplikace.
11.1.3 Právo na výmaz (čl. 17 GDPR)
Subjekt údajů má právo na výmaz osobních údajů zejména v případech, kdy údaje již nejsou potřeba pro daný účel, byl odvolán souhlas nebo údaje jsou zpracovávány protiprávně. Právo na výmaz je omezeno tam, kde Správce má zákonnou povinnost údaje uchovávat (zejména účetní a daňové předpisy) nebo kde jsou údaje nutné pro obranu právních nároků.
11.1.4 Právo na omezení zpracování (čl. 18 GDPR)
Subjekt údajů má právo na omezení zpracování v zákonem stanovených případech, např. po dobu ověření přesnosti údajů nebo po dobu posuzování námitky.
11.1.5 Právo na přenositelnost (čl. 20 GDPR)
Subjekt údajů má právo získat osobní údaje, které poskytl Správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a předat je jinému správci. Toto právo se uplatní u údajů zpracovávaných na základě souhlasu nebo plnění smlouvy, automatizovanými prostředky.
11.1.6 Právo vznést námitku (čl. 21 GDPR)
Subjekt údajů má právo vznést námitku proti zpracování:
• na základě oprávněného zájmu Správce – Správce zpracování ukončí, pokud neprokáže závažné oprávněné důvody pro zpracování převažující nad zájmy a právy Subjektu údajů;
• pro účely přímého marketingu – proti tomuto zpracování lze vznést námitku kdykoliv a Správce je povinen zpracování pro účely přímého marketingu ukončit.
11.1.7 Právo odvolat souhlas
Tam, kde je zpracování založeno na souhlasu, má Subjekt údajů právo souhlas kdykoliv odvolat. Odvolání souhlasu lze provést přímo v nastavení Aplikace nebo e-mailem na gdpr@goza.cz.
11.1.8 Právo nebýt předmětem automatizovaného rozhodování (čl. 22 GDPR)
Viz čl. 6 těchto Zásad.
11.1.9 Právo podat stížnost
Subjekt údajů má právo podat stížnost u dozorového úřadu, kterým je v České republice Úřad pro ochranu osobních údajů (Pplk. Sochora 27, 170 00 Praha 7, web: www.uoou.cz).
11.2 Jak uplatnit práva
Subjekt údajů může uplatnit svá práva:
• e-mailem na gdpr@goza.cz nebo info@goza.cz;
• písemně na adresu sídla Správce;
• prostřednictvím datové schránky ninab2g;
• prostřednictvím funkce v Aplikaci, je-li k dispozici.
Správce na žádost odpoví bez zbytečného odkladu, nejpozději do jednoho měsíce od jejího obdržení. Tuto lhůtu lze prodloužit o další dva měsíce, je-li to nezbytné s ohledem na složitost a počet žádostí; Subjekt údajů bude o prodloužení informován.
Správce může požádat o ověření totožnosti Subjektu údajů, pokud má důvodné pochybnosti o jeho totožnosti.
12. Marketingová komunikace, push notifikace a souhlasy
12.1 Správce rozlišuje mezi servisní a marketingovou komunikací:
Servisní komunikace (plnění smlouvy / oprávněný zájem) zahrnuje zejména: oznámení o stavu nahraného Dokladu, výzvy k doplnění, oznámení o vyřízení reklamace, bezpečnostní upozornění, oznámení o změnách Obchodních podmínek a Zásad. Tato komunikace je nezbytná pro fungování služby a nelze ji zcela vypnout; Uživatel však může v nastavení Aplikace ovlivnit některé parametry doručování.
Marketingová komunikace (souhlas) zahrnuje: newsletter, marketingové push notifikace, kampaňové nabídky partnerů, retenční zprávy. Tato komunikace je odesílána pouze se souhlasem Uživatele, který je udělován aktivně (opt-in) a lze jej kdykoliv odvolat (např. odkazem v e-mailu, v nastavení Aplikace nebo e-mailem na gdpr@goza.cz).
12.2 Systémové povolení push notifikací udělené v operačním systému zařízení (iOS / Android) nenahrazuje souhlas se zpracováním osobních údajů pro marketingovou komunikaci dle GDPR.
13. Cookies, SDK a analytické nástroje
13.1 Web goza.cz a Aplikace mohou využívat cookies a obdobné technologie (lokální úložiště, identifikátory zařízení, SDK třetích stran):
• nezbytné cookies / technologie pro provoz služby (přihlášení, bezpečnost, anti-fraud) – právní základ oprávněný zájem nebo plnění smlouvy;
• analytické cookies pro měření používání Aplikace a webu – pouze se souhlasem;
• marketingové cookies a SDK pro personalizaci a remarketing – pouze se souhlasem.
13.2 Detailní informace o jednotlivých cookies, jejich poskytovatelích a době uchování jsou uvedeny v samostatném dokumentu Zásady používání cookies dostupném na webu goza.cz.
13.3 Uživatel může nastavit používání cookies prostřednictvím nástroje pro správu souhlasů (cookie banner) a v nastavení svého prohlížeče nebo zařízení.
14. Zabezpečení osobních údajů
14.1 Správce přijímá vhodná technická a organizační opatření k zajištění odpovídající úrovně bezpečnosti zpracování ve smyslu čl. 32 GDPR, zejména:
• šifrování přenosu dat (HTTPS/TLS) a zabezpečené ukládání hesel (hash funkce);
• zabezpečené úložiště fotografií Dokladů a souborů s omezeným přístupem;
• oddělení produkčních a testovacích prostředí;
• řízení přístupových oprávnění (princip nejnižších privilegií);
• logování a auditování přístupu administrátorů;
• pravidelné zálohování;
• smluvní zavázání zpracovatelů k mlčenlivosti a bezpečnostním standardům;
• interní pravidla a školení osob, které mají s osobními údaji do styku.
14.2 V případě zjištění porušení zabezpečení s rizikem pro práva a svobody fyzických osob postupuje Správce v souladu s čl. 33 a 34 GDPR (oznámení dozorovému úřadu, případně Subjektu údajů).
15. Údaje nezletilých osob
15.1 Aplikace je určena výhradně osobám starším 18 let. Správce vědomě nezpracovává osobní údaje dětí mladších 18 let v souvislosti s registrací do Aplikace.
15.2 Pokud Správce zjistí, že zpracovává osobní údaje osoby mladší 18 let v rozporu s Obchodními podmínkami, podnikne kroky k jejich neprodlenému výmazu. Zákonný zástupce může v takovém případě kontaktovat Správce na gdpr@goza.cz.
16. Změny zásad zpracování osobních údajů
16.1 Správce je oprávněn tyto Zásady jednostranně měnit zejména v důsledku změn právních předpisů, vývoje služby, změn dodavatelů, zavedení nových funkcí nebo z anti-fraud důvodů.
16.2 O podstatných změnách Zásad bude Subjekt údajů informován prostřednictvím Aplikace a/nebo e-mailem v přiměřeném předstihu (zpravidla nejméně 14 dnů před účinností).
16.3 Aktuální verze Zásad je vždy dostupná v Aplikaci a na webu goza.cz.
17. Závěrečná ustanovení
17.1 Tyto Zásady nabývají účinnosti dne [DOPLNIT DATUM ÚČINNOSTI].
17.2 Tyto Zásady jsou vyhotoveny v českém jazyce. V případě jazykových mutací je rozhodující česká verze.
17.3 Pokud má Subjekt údajů jakékoliv dotazy týkající se zpracování osobních údajů nebo chce uplatnit svá práva, neváhá kontaktovat Správce na gdpr@goza.cz.
— konec dokumentu —