Zásady ochrany osobních údajů — Toveria
Verze 2.0 — Červen 2026
V souladu s GDPR (EU) 2016/679, se zákonem o ochraně osobních údajů
a platnými předpisy pro mezinárodní přenosy údajů
1. Identita správce zpracování
Toveria — podnikatel fyzická osoba (EI) provozovaný Kamel DOURA
12 Rue de la Part-Dieu, 69003 Lyon, Francie
SIRET : 978 781 227 00019 — RCS : 978 781 227 R.C.S. Lyon
📧 dpo@toveria.com
Kamel DOURA (EI Toveria) je správcem osobních údajů shromažďovaných prostřednictvím platformy Toveria (toveria.com) a její mobilní aplikace v rámci tržiště BtoC, CtoC, CtoB a BtoB provozovaného z Evropy po celém světě.
2. Pověřenec pro ochranu údajů (DPO)
Pověřenec je vaším kontaktem pro všechny otázky týkající se ochrany vašich osobních údajů.
3. Shromažďované údaje
3.1 Údaje registrace — Všichni uživatelé
| Údaj | Povinný | Účel |
|---|---|---|
| Jméno a příjmení | Ano | Identifikace, DAC7, fakturace |
| Datum narození | Ano (fyzické osoby) | Ověření věku, DAC7 |
| E-mailová adresa | Ano | Ověřování, oznámení |
| Telefonní číslo | Ano | Ověření identity, bezpečnost, OTP |
| Úplná poštovní adresa | Ano | Doručení, fakturace, DAC7 |
| Země bydliště | Ano | Daňová shoda, mezinárodní DPH |
| Přezdívka | Ano | Zobrazení na platformě |
| Avatar | Ne | Personalizace |
| Biografie | Ne | Veřejný profil prodávajícího |
3.2 Dodatečné údaje — Profesionální účty
| Údaj | Povinný | Účel |
|---|---|---|
| Obchodní název | Ano | Právní shoda, fakturace BtoB |
| Právní forma | Ano | Právní shoda |
| SIRET / Ekvivalentní registr EU | Ano | Ověření identity podniku |
| Číslo intrakomunitární DPH | Ano (pokud je subjektem) | VIES, fakturace BtoB |
| Země skladování zboží | Ano | Shoda DAC7, DPH |
| Kbis nebo ekvivalent evropský | Ano | Ověření identity |
| IBAN (účet pro převod) | Přes Stripe | Platba prodávajícího (Stripe Connect) |
| Certifikace DAC7 | Ano | Právní povinnost |
| Dokumenty KYC Stripe | Přes Stripe | Ověření identity Connect |
3.3 Údaje shromažďované při používání
- Inzeráty : název, popis, cena, fotografie, videa, kategorie, umístění
- Transakce : historie nákupů/prodejů, částky, reference platby, přepravci, čísla sledování
- Konverzace : zprávy vyměňované mezi členy
- Chování : navštívené stránky, vyhledávání, prohlížené inzeráty, oblíbené položky
- Technické : IP adresa, typ zařízení, prohlížeč, OS, jazyk, časové pásmo
- Celní : informace z deklarací CN22/CN23 pro mezinárodní zásilky
3.4 Údaje o platbě
Zpracovávány výhradně společností Stripe. Toveria neukládá bankovní údaje. Toveria obdrží pouze tokenizované identifikátory a potvrzení transakcí.
3.5 Údaje mezinárodních kupujících
Pro kupující mimo EU shromažďuje Toveria pouze údaje nezbytné pro transakci: jméno, e-mail, adresa doručení, země. Tyto údaje jsou zpracovávány v souladu s GDPR a, je-li to vhodné, s místními zákony o ochraně údajů (PDPA Thajsko, LGPD Brazílie, PIPEDA Kanada atd.).
3.6 Daňové identifikační číslo (NIF / Tax ID)
Shromažďováno pro prodávající překračující prahové hodnoty DAC7 (30 transakcí nebo 2 000 €/rok). Také shromažďováno pro transakce BtoB vyžadující fakturu s daňovou identifikací.
3.7 Údaje o push notifikacích
Pokud aktivujete push notifikace, je vygenerován identifikátor zařízení (token FCM) služby Firebase Cloud Messaging (Google) a uchován pro zasílání vám notifikací souvisejících s vaší aktivitou (zprávy, nabídky, prodeje, sledování objednávky). Tento identifikátor neobsahuje žádné přímé osobní údaje. Aktivace je volitelná a je založena na vašem explicitním souhlasu (autorizace požadovaná vaším prohlížečem, kterou předchází informace v aplikaci); žádný identifikátor není společnosti Google přenesen před tímto souhlasem. Notifikace můžete kdykoli deaktivovat ze svého zařízení nebo z nabídky aplikace.
4. Právní základy zpracování
| Zpracování | Právní základ |
|---|---|
| Správa účtu | Plnění smlouvy (čl. 6 odst. 1 písm. b) |
| Zpracování plateb | Plnění smlouvy (čl. 6 odst. 1 písm. b) |
| Transakční oznámení | Plnění smlouvy (čl. 6 odst. 1 písm. b) |
| Fakturace BtoB | Plnění smlouvy + právní povinnost |
| Shoda DAC7 | Právní povinnost (čl. 6 odst. 1 písm. c) |
| Ověření DPH VIES | Právní povinnost (čl. 6 odst. 1 písm. c) |
| Celní deklarace | Právní povinnost (čl. 6 odst. 1 písm. c) |
| Shoda s mezinárodními sankcemi | Právní povinnost (čl. 6 odst. 1 písm. c) |
| Boj proti podvodům | Oprávněný zájem (čl. 6 odst. 1 písm. f) |
| Zlepšování služby | Oprávněný zájem (čl. 6 odst. 1 písm. f) |
| E-maily marketingu | Souhlas (čl. 6 odst. 1 písm. a) |
| Analytické cookies | Souhlas (čl. 6 odst. 1 písm. a) |
| Personalizovaná doporučení | Souhlas (čl. 6 odst. 1 písm. a) |
| Push notifikace (Firebase Cloud Messaging) | Souhlas (čl. 6 odst. 1 písm. a) |
5. Účely zpracování
5.1 Správa účtu a ověřování
Vytvoření účtu, ověření identity (e-mail OTP, SMS OTP), bezpečné přihlášení, vícefaktorové ověřování (TOTP), obnovení účtu.
5.2 Fungování tržiště
Zveřejňování a správa inzerátů, zasílání zpráv v reálném čase mezi členy, zpracování transakcí (všechny typy: BtoC, CtoC, CtoB, BtoB), správa dávek, historie objednávek.
5.3 Platby a převody prodávajícím
Bezpečné zpracování plateb (Stripe), generování účtenek, převod prostředků prodávajícím (Stripe Connect), správa předplatného Pro, fakturace boostů.
5.4 Fakturace BtoB
Automatické generování faktur v souladu s předpisy (sekvenční číslo, úplné daňové údaje obou stran, příslušná DPH) pro transakce mezi profesionálními účty.
5.5 Právní shoda
Deklarace DAC7 DGFiP, ověření DPH přes VIES, shoda DSA, ověření seznamů mezinárodních sankcí (přes OpenSanctions, před platbou), dodržování celních předpisů. Geografické omezení navíc vylučuje země pod embargem (registrace a doručení jsou blokováni) na základě platných mezinárodních sankcí (OFAC, EU, OSN) a kontroly vývozů; uvedená země je pro tento účel zpracovávána.
5.6 Mezinárodní transakce
Správa údajů nezbytných pro celní deklarace (CN22/CN23), výpočet příslušných daní (IOSS, cla), ověření omezení vývozů/dovozu.
5.7 Bezpečnost a boj proti podvodům
Detekce podvodného chování, ověření autentičnosti účtů, ochrana před nezákonným obsahem, kontroly proti podvodům v doporučovacím programu, ověření mezinárodních sankcí.
5.8 Zákaznická podpora a spory
Zpracování žádostí o podporu, mediace mezi kupujícím a prodávajícím, archivace výměn nezbytných pro řešení sporů, včetně mezinárodních sporů.
5.9 Obchodní komunikace
Zasílání povinných transakčních e-mailů, zasílání marketingových e-mailů se souhlasem (kdykoliv odvolatelné).
6. Příjemci údajů
6.1 Techničtí poskytovatelé (zpracovatelé)
| Poskytovatel | Role | Umístění | Záruky |
|---|---|---|---|
| Supabase | Databáze, ověřování, úložiště | EU (Frankfurt) | Smlouva DPA GDPR |
| Stripe | Platby, KYC, Connect | Spojené státy | CCT EU — Privacy Shield 2.0 |
| Resend | Transakční e-maily | Spojené státy | CCT EU |
| Google (Firebase Cloud Messaging) | Push notifikace | Spojené státy | CCT EU |
| Anthropic | Asistence AI (vyhledávání podle obrázku, generování popisů inzerátů, asistent podpory), na žádost uživatele | Spojené státy | CCT EU |
| Vercel | Hostování aplikace | Spojené státy / EU | CCT EU |
| OpenSanctions | Filtrování seznamů mezinárodních sankcí (OFAC, OSN, EU) před platbou | EU (Německo) | Údaje omezeny na identitu — DPA GDPR |
6.2 Veřejné orgány
- DGFiP (Francie) : roční deklarace DAC7
- ARCOM (Francie) : žádosti DSA
- Celní orgány : údaje z deklarací CN22/CN23
- Příslušné orgány : odpověď na soudní příkazy
- Regulátoři třetích zemí : je-li to vyžadováno místním právem aplikovatelným na transakci
6.3 Sdílení mezi členy
Viditelný je pouze veřejný profil : přezdívka, avatar, město, biografie, hodnocení, počet prodejů. Skutečné jméno, adresa, e-mail a telefonní číslo nikdy nejsou přímo sdíleny s ostatními členy (doručovací údaje jsou prodávajícímu předány pouze po potvrzení platby, pouze pro účel expedice).
6.4 Kupující mimo EU
Když kupující mimo EU uskuteční transakci, údaje nezbytné pro expedici (jméno, adresa doručení) jsou sdíleny s prodávajícím a případně s přepravcem. Tyto údaje mohou podléhat celním předpisům země určení.
7. Přenosy mimo Evropskou unii
Přenosy do třetích zemí (zejména Spojené státy) jsou regulovány:
- Standardními smluvními doložkami (CCT) schválenými Evropskou komisí (rozhodnutí o přiměřenosti 2021/914)
- Rámcem EU-US Privacy Shield 2.0 (Rozhodnutí o přiměřenosti z července 2023) pro přenosy do Spojených států
Pro údaje kupujících bydlících mimo EU uplatňuje Toveria stejné standardy ochrany jako pro evropské rezidenty, v rozsahu povoleném místními platnými zákony.
8. Doba uchovávání údajů
Každý údaj je uchován po dobu přísně nezbytnou pro jeho účel, poté je smazán nebo anonymizován. V souladu s doporučeními CNIL procházejí některé údaje po jejich fázi aktivního používání zprostředkujícím archivováním s omezeným přístupem (přístupné pouze pro dodržování právních povinností nebo řešení sporu) před jejich trvalým smazáním.
| Kategorie | Doba uchovávání |
|---|---|
| Údaje aktivního účtu | Doba trvání účtu |
| Údaje účtu po uzavření | Smazání osobních údajů při uzavření; údaje podléhající právní povinnosti jsou uchovávány odděleně po dobu jejich vlastní trvání |
| Údaje transakcí / objednávek | 10 let (Obchodní zákoník, CGI) |
| Faktury BtoB | 10 let (Obchodní zákoník) |
| Konverzace (zprávy) | Aktivní fáze 6 měsíců po poslední zprávě, poté zprostředkující archivování s omezeným přístupem, poté smazání: 24 měsíců (konverzace bez objednávky) nebo 5 let (konverzace související s objednávkou) |
| Přílohy zpráv (fotografie) | Smazány se související zprávou |
| Inzeráty smazané členem | Média odstraněna okamžitě; trvalé smazání inzerátu 180 dní poté |
| Inzeráty prodané / související s objednávkou | Uchovávány jako důkaz transakce (až 5 let / účetní povinnosti) |
| Recenze a hodnocení | Anonymizace po 5 letech (hodnocení a komentář zachovány, identita autora oddělena) |
| Údaje DAC7 a daňové | 10 let |
| Celní údaje | 5 let (Celní zákoník) |
| Technické protokoly (chyby API) | 90 dní (automatické denní čištění) |
| Protokol pokusů o platbu (boj proti podvodům) | 7 dní (automatické denní čištění) |
| Ostatní bezpečnostní protokoly | Maximálně 12 měsíců |
| Analytické cookies | Maximálně 13 měsíců |
| Údaje doporučovacího programu | 3 roky |
| KYC Stripe (doklady totožnosti) | Podle povinností Stripe / 5 let |
| Token push notifikace (FCM) | Až do deaktivace nebo zneplatnění; vypršené tokeny automaticky vyčištěny |
Spor nebo běžící povinnost („legal hold") : jakýkoli údaj nezbytný pro řešení sporu, dodržování právní povinnosti nebo žádost příslušného orgánu je uchován až do konce této povinnosti, s výjimkou výše uvedených dob.
9. Vaše práva
V souladu s GDPR (rezidenti EU) a, v rozsahu, v jakém je to vhodné, s místními zákony o ochraně údajů (rezidenti mimo EU), máte následující práva:
9.1 Práva GDPR (rezidenti EU)
- Přístup (čl. 15) — obdržet kopii vašich údajů
- Oprava (čl. 16) — opravit nepřesné údaje
- Smazání (čl. 17) — smazání s výjimkou právní povinnosti uchovávání
- Omezení (čl. 18) — dočasné pozastavení zpracování
- Přenositelnost (čl. 20) — export ve strukturovaném formátu (JSON/CSV)
- Námitka (čl. 21) — námitka proti zpracování založenému na oprávněném zájmu
- Odvolání souhlasu — kdykoliv odvolatelné
9.2 Práva rezidentů mimo EU
Toveria rozšiřuje, pokud je to možné, ochranu GDPR na rezidenty mimo EU. Rezidenti zemí s konkrétními zákony (LGPD Brazílie, PDPA Thajsko, PIPEDA Kanada, CCPA Kalifornie atd.) mohou uplatnit práva stanovená jejich zákonem kontaktováním dpo@toveria.com.
9.3 Uplatnění práv
📧 dpo@toveria.com — Předmět: [Práva GDPR] Vaše žádost
Lhůta odpovědi: 30 dní (prodloužitelné o 2 měsíce pro složité žádosti). Může být požadován doklad totožnosti.
9.4 Opravné prostředky
CNIL — cnil.fr/fr/plaintes — CNIL, 3 place de Fontenoy, 75007 Paris
10. Cookies a sledovací prvky
Cookies přísně nezbytné (nevyžaduje se souhlas)
| Cookie | Účel | Doba trvání |
|---|---|---|
| Ověřování relace | Zachování přihlášení | Relace |
| Předvolby uživatele | Jazyk, zobrazení | 1 rok |
| Košík / dávka | Zapamatování výběru | Relace |
| Bezpečnost | CSRF, boj proti podvodům | Relace |
Souhlas s cookies (toveria_cookie_consent) | Zapamatování vašeho výběru | 6 měsíců |
Analytické cookies (se souhlasem)
| Cookie | Účel | Doba trvání |
|---|---|---|
| Analýza publika | Zlepšování služby | 13 měsíců |
V současné době nejsou aktivní žádné analytické nebo reklamní cookies: budou umístěny pouze po vašem explicitním souhlasu.
Podrobnosti (kategorie, doby trvání, odvolání) naleznete v našich Zásadách správy cookies. Správa je dostupná kdykoli prostřednictvím tlačítka „Spravovat cookies" (nabídka a spodní část každé právní stránky).
11. Bezpečnost údajů
- Šifrování při přenosu : HTTPS / TLS 1.3
- Šifrování v klidu : databáze Supabase šifrovaná
- Ověřování : e-mail OTP + SMS OTP + TOTP (2FA)
- Řízení přístupu : Row Level Security (RLS) Supabase
- Platby : Stripe PCI DSS Level 1
- Omezený přístup : osobní údaje přístupné pouze oprávněným zaměstnancům
- Protokolování : bezpečnostní protokoly uchovávány 12 měsíců
- Boj proti podvodům : Stripe Radar, kontroly doporučovacího programu, ověření sankcí
V případě porušení údajů, které by mohlo vytvořit riziko, vás Toveria informuje do 72 hodin.
12. Údaje nezletilých
Platforma je vyhrazena osobám starším 18 let. Hlášení: dpo@toveria.com.
13. Změny
Podstatné změny jsou oznámeny e-mailem s 30denní lhůtou.
14. Kontakt
📧 dpo@toveria.com — Ochrana údajů
📧 dpo@toveria.com — Pověřenec pro ochranu údajů
Toveria — Evropské tržiště BtoC, CtoC, CtoB a BtoB
SIRET : [Doplnit] — Registrace CNIL č. : [Doplnit]
Poslední aktualizace: Červen 2026
Francouzská verze — v případě rozporu s překladem má francouzská verze přednost.