arrow_back Flowkeeps Privacy Policy
dark_mode
Table of Contents
1. Controller Identity 2. Data Protection Officer 3. Processing Activities 4. Categories of Data 5. Recipients 6. International Transfers 7. Retention Periods 8. Your Rights 9. Complaints 10. Automated Decisions 11. Obligation to Provide 12. Children's Data 13. Cookie Policy 14. Policy Updates

Privacy Policy

Service: FlowKeeps  |  Controller: House of Comms s.r.o.  |  Version: 1.0  |  Effective date:  |  Last updated: 19 March 2026

Language notice: This Privacy Policy is also available in Slovak (Zásady ochrany osobných údajov) and Czech (Zásady ochrany osobních údajů). Slovak Consumers are entitled to receive this information in Slovak. Czech Consumers are entitled to receive it in Czech. The applicable national-language version is the binding version for Consumers in that jurisdiction.

At a glance — what we do with your data

  • Who we are: House of Comms s.r.o., IČO 50649833, Brectanova 3, Bratislava 831 01, Slovak Republic. Contact:
  • What data we collect: Your email, name, receipt images and metadata, bank account and transaction data (only if you connect a bank), company workspace data, and technical/device data.
  • Why we collect it: To provide the FlowKeeps service, authenticate your identity, process receipts via AI, and comply with legal obligations.
  • Who we share it with: Google (Firebase authentication, Gemini AI), Amazon Web Services (cloud storage), Tatrabanka (bank data, only if you connect), and the European Central Bank (exchange rate queries — no personal data sent).
  • How long we keep it: Account data is kept while your account is active. Receipts and financial data are kept until you delete them or close your account, with limited retention for legal compliance.
  • Your rights: You have the right to access, correct, delete, export, and object to processing of your data. Contact us at .
  • Supervisory authorities: Úrad na ochranu osobných údajov SR (Slovakia)  |  ÚOOÚ (Czech Republic).

The full policy below provides complete details required by GDPR Articles 13–14.

Table of Contents
  1. Controller Identity and Contact
  2. Data Protection Officer
  3. Processing Activities — Purpose, Legal Basis, Data, Retention
  4. Categories of Personal Data
  5. Recipients and Sub-processors
  6. International Data Transfers
  7. Retention Periods
  8. Your Data Subject Rights
  9. Right to Lodge a Complaint
  10. Automated Decision-Making and Profiling
  11. Obligation to Provide Data
  12. Children's Data
  13. Cookie Policy
  14. Policy Updates

1. Controller Identity and Contact

Data Controller:
House of Comms s.r.o.
Registered office: Brectanova 3, Bratislava 831 01, Slovak Republic
IČO (Company ID): 50649833
DIČ (Tax ID):
IČ DPH (VAT):
Commercial Register: Municipal Court Bratislava III, Section Sro, Insert No. 116669/B

Privacy contact:
Email:
Phone:
Postal: House of Comms s.r.o., Brectanova 3, Bratislava 831 01, Slovak Republic

The Controller is responsible for determining the purposes and means of processing your personal data. Where Business Users use FlowKeeps to manage data of their own customers or employees, those Business Users act as independent controllers, and a Data Processing Agreement under GDPR Article 28 is required (see Terms & Conditions §12.1).

Slovak-law note: Personal data processing is governed by Act No. 18/2018 Coll. on the Protection of Personal Data, which implements the GDPR in the Slovak Republic. The Controller does not process the national identifier (rodné číslo) for the purposes of the FlowKeeps service. Processing of such identifiers would require a separate lawful basis under §78 of Act 18/2018 and is not carried out.

Czech-law note: Processing by Czech-resident users is additionally governed by Act No. 110/2019 Sb. on the Processing of Personal Data.

2. Data Protection Officer

The Controller has not appointed a Data Protection Officer (DPO) as the core activities of FlowKeeps do not require regular and systematic large-scale monitoring of data subjects, nor large-scale processing of special category data, under GDPR Article 37(1).

However, given the EDPB's 2026 coordinated enforcement focus on GDPR Articles 12–14 transparency obligations, voluntary DPO appointment is under review. Privacy-related enquiries may be directed to in the meantime.

Slovak-law note: Voluntary DPO appointments, when made, must be notified to the Úrad na ochranu osobných údajov SR via the DPA's online notification form (available at dataprotection.gov.sk), pursuant to Act 18/2018 §44(4).

3. Processing Activities

The following table maps each processing purpose to its legal basis under GDPR Article 6, the categories of personal data processed, the recipients, and the retention period. This tabular format reflects EDPB best-practice guidance for GDPR Article 13 transparency disclosures.

Purpose Legal Basis (GDPR Art. 6) Data Categories Recipients Retention
Account creation and authentication Art. 6(1)(b) — contract performance
Necessary to enter into and perform the service contract
Email, name, password hash, auth provider ID, email verification status, consent timestamps Google Firebase (authentication); Provider's PostgreSQL database (AWS) Until account deletion; max. 5 years after closure for audit/legal purposes
Receipt management and storage Art. 6(1)(b) — contract performance Receipt images, vendor, amount, currency, date, line items, VAT details (including ICO, DIC, ICDPH on receipts), OCR text, tags, currency conversion data AWS S3 (image storage); Google Gemini API (OCR, if user uploads image); Provider's database (AWS) Until User deletes receipts or account; images in S3 deleted upon receipt or account deletion
AI-assisted receipt data extraction (OCR) Art. 6(1)(b) — contract performance; Art. 6(1)(a) — consent for optional AI processing (disclosed at upload) Receipt images; extracted metadata Google LLC (Gemini API) Images transmitted for real-time processing; not retained by Google for model training under Google Cloud DPA
Bank account connection (Tatrabanka PSD2) Art. 6(1)(a) — explicit consent (user initiates OAuth flow) Encrypted OAuth access/refresh tokens, consent ID, IBAN, account name, balance, transaction history (amount, date, parties, reference) Tatrabanka a.s. (as data source); Provider's database (AWS, encrypted) Until user disconnects bank (tokens immediately deleted upon revocation); cached transaction data retained until account deletion
Automated receipt-to-transaction reconciliation Art. 6(1)(b) — contract performance Receipt metadata, bank transaction data Google LLC (Gemini API, for AI-assisted matching); Provider's internal processing Reconciliation results stored with receipt/transaction; deleted with account
Company Workspace management Art. 6(1)(b) — contract performance Company name, member email addresses and names, role assignments, invite codes, join timestamps Provider's database (AWS); Company Workspace members (read access per role) Until Company Workspace is deleted; member data deleted upon removal from workspace
Audit logging (Company Workspace) Art. 6(1)(b) — contract performance; Art. 6(1)(f) — legitimate interests (accountability within team) Actor User ID and display name, action type, resource ID, timestamp, action metadata Provider's database (AWS); accessible to Company Owner and Accountant role 12 months from event, then deleted; or until Company Workspace deletion if sooner
Data export (CSV/XLSX/YAML) Art. 6(1)(b) — contract performance Receipt data as above; user identity (for export rate-limiting) User's own device (file download); no third-party recipients Generated files not retained server-side after download
Security, fraud prevention, and rate limiting Art. 6(1)(f) — legitimate interests (preventing abuse, protecting the service and users) IP address, User ID, timestamp, request metadata; JWT session tokens Provider's infrastructure; no third-party sharing for this purpose Rate-limit state: 10 minutes; security logs: 90 days
Service communication (transactional emails) Art. 6(1)(b) — contract performance Email address, name Google Firebase (email verification, password reset templates) Until account deletion
Legal and regulatory compliance Art. 6(1)(c) — legal obligation (tax, accounting, AML legislation) Transaction records, account records, consent logs Competent authorities upon lawful request As required by applicable law (Slovakia: 10 years for accounting records per Act 431/2002 Coll.; Czech Republic: 10 years per Act 563/1991 Sb.)
Terms and Privacy Policy acceptance logging Art. 6(1)(c) — legal obligation (demonstrating lawful basis for processing); Art. 6(1)(f) — legitimate interests (compliance demonstration) User ID, version of Terms/PP accepted, acceptance timestamp Provider's database (AWS) Until account deletion + 3 years for compliance evidence
Currency conversion Art. 6(1)(b) — contract performance Receipt amount and currency (no personal data sent to ECB API) European Central Bank Statistical Data API (no personal data transmitted) Conversion rates cached in memory per session; not stored as personal data
Legitimate interests assessment: Where the Controller relies on Art. 6(1)(f) (legitimate interests), we have assessed that these interests are not overridden by the data subjects' rights and freedoms. In all such cases, the processing is limited to what is strictly necessary, the data subjects can reasonably expect such processing, and appropriate safeguards are in place. You may object to legitimate-interest processing at any time (see Section 8.6).

4. Categories of Personal Data

4.1 Registration and identity data

  • Email address (required)
  • Display name (required; may be auto-populated from authentication provider)
  • Password (stored as a secure hash; never transmitted or stored in plain text)
  • Authentication provider and provider-specific identifier (where Google or Apple Sign-In is used)
  • Email verification status
  • Timestamps: account creation, last update, Terms & Privacy Policy acceptance

4.2 Financial and receipt data

  • Receipt images (photographs or scanned files of receipts and invoices)
  • Vendor/merchant name
  • Total amount, currency (ISO 4217), and ECB-converted EUR equivalent
  • Receipt date
  • Line items (product name, quantity, unit, price)
  • VAT summary (rate, base amount, VAT amount)
  • Slovak/Czech fiscal identifiers appearing on receipts: IČO, DIČ, IČ DPH, OKP (security code), receipt ID
  • Selling place / place of issue
  • OCR text (raw text extracted from receipt image)
  • User-defined tags

4.3 Bank and payment data

  • OAuth access and refresh tokens (AES-256 encrypted at rest)
  • Consent ID issued by Tatrabanka
  • IBAN, account currency, account name, product type, balance
  • Bank transactions: amount, currency, booking/value date, creditor/debtor name and IBAN, remittance information, variable/constant/specific symbols, transaction type, direction
  • Reconciliation status (linked receipt IDs)

4.4 Company and team data

  • Company name
  • Member names and email addresses
  • Role assignments (Owner, Worker, Accountant)
  • Invite codes (temporary, single-use, time-limited; expire after 24 hours)
  • Audit log entries: actor identity, action type, resource IDs, timestamps, metadata

4.5 Device and technical data

  • IP address (used for rate limiting; not stored long-term in identifiable form)
  • User-Agent string
  • JWT session token (server-issued; stored in device secure storage)
  • App version (via Flutter package_info_plus)
  • Platform (Android / iOS / Web)
  • User language preference (en/sk/cs)
  • User theme preference (light/dark/system)

4.6 Special category data

The Service is not designed to process special-category personal data (GDPR Article 9) such as health data, biometric data, racial or ethnic origin, political opinions, religious beliefs, or sexual orientation. Users should not upload receipt images or other Content containing special-category data. If special-category data is inadvertently included in uploaded receipts, the Controller will treat it in accordance with applicable law.

5. Recipients and Sub-processors

The Controller engages the following categories of third parties as data processors (Art. 28 GDPR), each bound by a Data Processing Agreement or equivalent contractual safeguard:

Sub-processor / Recipient Entity / Location Purpose Data Transferred
Google Firebase Authentication Google LLC, USA (EU data residency options available) User authentication (email/password, Google Sign-In, Apple Sign-In), email verification, password reset Email address, name, authentication provider data, Firebase UID
Google Gemini API Google LLC, USA AI-powered receipt image analysis and OCR extraction Receipt images (sent for real-time processing); extracted text metadata returned
Amazon Web Services (AWS) S3 Amazon.com Inc., USA (region configurable; EU region required for GDPR compliance) Receipt image cloud storage Receipt images; S3 object keys
Amazon Web Services (AWS) RDS / PostgreSQL Amazon.com Inc., USA (region configurable; EU region required) Primary application database (users, receipts, bank data, company data) All personal data categories (Sections 4.1–4.5)
Tatrabanka a.s. Tatrabanka a.s., Hodžovo námestie 3, 811 06 Bratislava, Slovak Republic PSD2-compliant bank data access (account info, transactions) — only when User initiates bank connection OAuth tokens (issued by Tatrabanka); account and transaction data provided by Tatrabanka
European Central Bank (ECB) European Central Bank, Frankfurt, Germany Exchange rate data retrieval (public API) No personal data transmitted to ECB. Query contains only currency codes and dates.

The Controller maintains an up-to-date sub-processor list. Users may request the current list by contacting .

The Controller does not sell personal data to third parties. Personal data is not shared with third parties for their own marketing or advertising purposes.

6. International Data Transfers

Several sub-processors are located outside the European Economic Area (EEA). The Controller ensures that such transfers comply with GDPR Chapter V:

Recipient Transfer destination Safeguard
Google LLC (Firebase, Gemini) United States EU Standard Contractual Clauses (SCCs) — Google Cloud Data Processing Addendum; EU-US Data Privacy Framework (where applicable). The EU General Court upheld the EU-US DPF in September 2025, but SCCs are maintained as a parallel safeguard given residual uncertainty.
Amazon Web Services (S3, RDS) United States (corporate); EU regions available and required for production data EU SCCs — AWS GDPR Data Processing Addendum; production AWS resources must be deployed in an EEA region (e.g., eu-central-1 Frankfurt or eu-west-1 Dublin) to minimise transfers. Where data is processed in US AWS regions (e.g., for global infrastructure), EU SCCs apply.

Tatrabanka a.s. is a Slovak entity. The ECB is an EU institution. No personal data transfers outside the EEA occur through these services.

You may obtain a copy of the applicable transfer safeguards (SCCs) by contacting .

AWS region requirement: For GDPR compliance, the Controller must deploy all AWS resources storing personal data in an EEA region. This is a compliance action item (see compliance.md).

7. Retention Periods

Data Category Retention Period Legal Basis / Justification
Account registration data (email, name, auth data) Active account lifetime + 12 months after account deletion Contract performance; fraud prevention; dispute resolution
Receipt images (AWS S3) Until deleted by User, or until account deletion (whichever is sooner) + 30-day export window Contract performance
Receipt metadata (database) Until deleted by User or account deletion + 30-day export window Contract performance
Bank OAuth tokens Until User disconnects bank connection (immediately revoked and deleted) Consent; deleted upon revocation
Bank account and transaction data (cached) Until account deletion or bank disconnection Contract performance
Company Workspace data Until Workspace deletion by Owner + 30-day export window for members Contract performance
Audit logs (Company Workspace) 12 months from event creation; or until Workspace deletion Legitimate interests (team accountability)
Consent/acceptance timestamps (T&C, PP) Account lifetime + 3 years after account deletion Legal obligation (demonstrating lawful processing basis)
IP addresses and request metadata (rate limiting) 10 minutes (rate-limit state); security logs: 90 days Legitimate interests (security, abuse prevention)
JWT session tokens Session duration; expire per configured JWT TTL; revoked on logout/account deletion Contract performance
Accounting and transaction records (legal retention) 10 years from end of financial year in which the record was created Legal obligation — Act 431/2002 Coll. on Accounting (Slovakia); Act 563/1991 Sb. on Accounting (Czech Republic)
Invite codes 24 hours from creation (automatic expiry); deleted on use Contract performance

After the applicable retention period, personal data is securely deleted from production and backup systems. Backup deletion may lag by up to 90 days due to backup rotation schedules.

8. Your Data Subject Rights

Under GDPR and applicable national law, you have the following rights regarding your personal data. To exercise any right, contact . The Controller will respond within one month of receiving your request (extendable by a further two months for complex or numerous requests, with notification).

8.1 Right of access (GDPR Art. 15)

You have the right to obtain confirmation of whether we process your personal data and, if so, a copy of that data together with information about the processing (purposes, categories, recipients, retention, safeguards).

8.2 Right to rectification (GDPR Art. 16)

You have the right to correct inaccurate personal data or complete incomplete data. You may update most of your data directly within the Service settings.

8.3 Right to erasure ("right to be forgotten") (GDPR Art. 17)

You have the right to request deletion of your personal data where: the data is no longer necessary for its original purpose; you withdraw consent (where consent was the legal basis); you object and there are no overriding legitimate grounds; the data was processed unlawfully; or deletion is required by law.

This right is subject to exceptions, including legal retention obligations. Receipts containing accounting records may be retained for the legally mandated period even after a deletion request.

8.4 Right to restriction of processing (GDPR Art. 18)

You may request that we restrict processing of your data in certain circumstances (e.g., while accuracy is contested, while an objection is considered, or when you prefer restriction to erasure of unlawfully processed data).

8.5 Right to data portability (GDPR Art. 20)

Where processing is based on contract or consent and carried out by automated means, you have the right to receive your personal data in a structured, commonly used, machine-readable format (CSV, XLSX) and to transmit it to another controller. The Service's export function (CSV/XLSX/YAML) directly supports this right. You may also request a full data export by contacting privacy support.

8.6 Right to object (GDPR Art. 21)

Where processing is based on legitimate interests (Art. 6(1)(f)), you have the right to object at any time. The Controller will cease processing unless it can demonstrate compelling legitimate grounds that override your interests, or for the establishment, exercise, or defence of legal claims.

8.7 Right to withdraw consent (GDPR Art. 7(3))

Where processing is based on your consent, you may withdraw it at any time without affecting the lawfulness of processing carried out before withdrawal. Specifically:

  • Bank connection: Revoke at any time from the bank settings screen within the app. OAuth tokens are immediately deleted.
  • AI receipt processing: You may opt out of Gemini AI processing in app settings; OCR features will be limited to on-device processing only.

8.8 Rights related to automated decision-making

See Section 10.

8.9 Identity verification

To protect your data, we may ask you to verify your identity before fulfilling a data subject request. We will not fulfil requests where we cannot reasonably verify the requester's identity.

Slovak-law note: Data subjects in the Slovak Republic may exercise rights under Act 18/2018 §§19–30 in addition to GDPR rights. There is no requirement to pay a fee for exercising these rights under normal circumstances.

9. Right to Lodge a Complaint

You have the right to lodge a complaint with a supervisory authority if you believe we have processed your personal data unlawfully. You may contact:

Authority Jurisdiction Contact
Úrad na ochranu osobných údajov SR
Office for Personal Data Protection of the Slovak Republic
Slovak Republic
(lead supervisory authority for the Controller)
Námestie 1. mája 18, 811 06 Bratislava, Slovak Republic
Tel: +421 2 3231 3214
Email: statny.dozor@pdp.gov.sk
Web: dataprotection.gov.sk
Úřad pro ochranu osobních údajů (ÚOOÚ)
Office for Personal Data Protection, Czech Republic
Czech Republic
(for Czech-resident data subjects)
Pplk. Sochora 27, 170 00 Praha 7, Czech Republic
Tel: +420 234 665 111
Email: posta@uoou.gov.cz
Web: uoou.cz

We ask that you contact us first at so we can try to resolve any concerns directly before escalating to a supervisory authority.

Slovak-law note: Unauthorised processing of personal data constitutes a criminal offence under §374 of the Slovak Criminal Code (Act No. 300/2005 Coll.), enforceable by criminal prosecution authorities.

Czech-law note: The ÚOOÚ specifically enforces equal visual prominence of cookie consent buttons (Accept / Refuse all must have similar prominence and colour). See Section 13.

10. Automated Decision-Making and Profiling

10.1 AI-assisted receipt data extraction

The Service uses Google Gemini AI to automatically extract data from uploaded receipt images (vendor name, total amount, date, line items, VAT details). This is an automated processing operation. However, it does not constitute automated decision-making that produces legal or similarly significant effects within the meaning of GDPR Article 22(1): the User retains full control to review, edit, or discard all AI-extracted data before it is saved. No decisions are made automatically without human review.

10.2 AI-assisted bank reconciliation

The Service uses Google Gemini AI to suggest matches between uploaded receipts and bank transactions ("auto-reconciliation"). These are suggestions only — they are flagged for User confirmation and do not take effect until the User manually confirms or accepts the suggested link. This does not constitute automated decision-making with legal effects under Art. 22.

10.3 Rate limiting

Automated IP-based rate limiting is applied to prevent abuse. Where an IP address exceeds the configured request threshold, requests are temporarily blocked. This is a security measure and does not constitute profiling for commercial or discriminatory purposes.

10.4 No profiling for marketing

The Controller does not engage in behavioural profiling, targeted advertising, or automated credit scoring based on User data.

11. Obligation to Provide Data

Data Mandatory / Optional Consequence of not providing
Email address Mandatory Cannot create an account or use the Service
Display name Mandatory (may be auto-populated) Cannot complete registration; required for Company Workspace identification
Receipt images and metadata Optional (core use case, but no obligation) Receipt management features unavailable
Bank connection (Tatrabanka OAuth) Optional Bank integration and auto-reconciliation features unavailable; all other features function normally
AI receipt processing (Gemini) Optional (on-device OCR available as alternative) Automatic data extraction from receipts unavailable; manual entry required
Company Workspace data (company name, member details) Optional Company collaboration features unavailable; personal-use features unaffected

12. Children's Data

The Service is not directed at children. Minimum age requirements:

  • 16 years — Slovak Republic (Act 18/2018 §15, GDPR Art. 8)
  • 15 years — Czech Republic (Act 110/2019 Sb., §7)
  • 16 years — all other jurisdictions (GDPR Art. 8 default)

The Controller does not knowingly collect personal data from persons below the applicable age threshold without verifiable parental or guardian consent. If the Controller becomes aware that personal data has been collected from an underage user without parental consent, that data will be deleted promptly.

If you are a parent or guardian and believe your child has registered for FlowKeeps without your consent, please contact .

Slovak-law note: The national identifier (rodné číslo) is never collected by the Service. Its use for age verification purposes is restricted under Act 18/2018 §78.

Czech-law note: The lower age threshold of 15 (Czech Republic) must be reflected in consent mechanisms for Czech-resident users. This requires a mechanism to determine the user's country of residence at registration.

13. Cookie Policy

13.1 Applicable context

Cookie rules under the ePrivacy Directive (2002/58/EC, as transposed in Slovakia by Act No. 351/2011 Coll. and in the Czech Republic by Act No. 127/2005 Sb. and Act No. 110/2019 Sb.) apply primarily to the website (flowkeeps.com) and any web-based version of FlowKeeps. The mobile apps (Android, iOS) do not use cookies; they use device-local secure token storage.

The EU ePrivacy Regulation proposal was officially withdrawn on 11 February 2025. The ePrivacy Directive and its national transpositions remain the governing law for cookie consent.

13.2 Cookie categories

Category Consent required? Description Examples (current)
Strictly necessary No (exempt) Essential for the website to function. Cannot be disabled without breaking core functionality. Authentication session cookies fall here. Session management, authentication tokens (Flutter web), CSRF protection
Functional / preference Yes — prior opt-in Remember user preferences (language, theme) to improve experience. Language selection, theme preference (currently stored in app, not cookies)
Analytics / performance Yes — prior opt-in
(legitimate interest is NOT a valid basis for analytics cookies)
Measure usage and performance to improve the Service. No analytics cookies currently deployed.
Marketing / advertising Yes — prior opt-in Track Users across sites for targeted advertising. No marketing cookies currently deployed.

13.3 Cookie consent requirements

When the website is launched, the Controller will implement a GDPR-compliant Consent Management Platform (CMP) — such as Cookiebot or Usercentrics — which must:

  • Block all non-essential cookies and scripts before consent is given;
  • Present "Accept all" and "Reject all" (or "Accept necessary only") buttons with equal visual prominence and colour (required by Czech DPA enforcement practice and EDPB guidelines);
  • Offer granular category-level opt-in;
  • Not use pre-ticked checkboxes (Planet49 CJEU ruling, C-673/17);
  • Not bundle cookie consent with acceptance of these Terms or the Privacy Policy;
  • Disclose cookie lifespan and third-party access for each cookie;
  • Record consent with a timestamp and the specific choices made;
  • Allow easy withdrawal of consent at any time (via a persistent "Manage cookies" link);
  • Refresh consent approximately every 12 months.

13.4 Current status

The Service is in pre-launch. No non-essential cookies are currently deployed. Firebase Authentication, when used on the web platform, may set strictly necessary session cookies. These are disclosed here as required by Art. 5(3) of the ePrivacy Directive regardless of consent exemption.

13.5 Cookie audit

A full automated cookie audit will be conducted prior to public launch to identify all trackers loaded on flowkeeps.com. The results will be used to populate a comprehensive cookie register and update this policy.

14. Policy Updates

The Controller may update this Privacy Policy from time to time to reflect changes in processing activities, legal requirements, or business operations.

For material changes (new processing purposes, new data categories, new third-party recipients, or changes to data subject rights procedures):

  • Affected Users will be notified via email and in-app notification at least 30 days before the change takes effect;
  • Where a material change requires fresh consent, this will be sought before the change takes effect;
  • Users who do not agree with the changes may delete their account prior to the effective date.

For non-material changes (corrections, updated contact information, clarifications that do not affect rights), an updated version will be published with a new "last updated" date, without prior notification.

The current version of this Privacy Policy is always accessible at flowkeeps.com/privacy. The effective date and version number appear at the top of this document.

© 2026 House of Comms s.r.o.  |  IČO: 50649833  |  Privacy Policy version 1.0 — last updated 19 March 2026, effective from .

Zásady ochrany osobných údajov

Služba: FlowKeeps  |  Prevádzkovateľ: House of Comms s.r.o.  |  Verzia: 1.0  |  Dátum účinnosti:  |  Naposledy aktualizované: 19. marca 2026

Jazykové upozornenie: Tieto Zásady ochrany osobných údajov sú k dispozícii aj v angličtine (Privacy Policy) a češtine (Zásady ochrany osobních údajů). Slovenskí spotrebitelia majú právo dostať tieto informácie v slovenskom jazyku. Českí spotrebitelia majú právo dostať ich v českom jazyku. Pre spotrebiteľov v danej jurisdikcii je záväzná príslušná jazyková verzia.

V skratke — čo robíme s vašimi údajmi

  • Kto sme: House of Comms s.r.o., IČO 50649833, Brectanova 3, Bratislava 831 01, Slovenská republika. Kontakt:
  • Aké údaje zhromažďujeme: Váš e-mail, meno, obrázky dokladov a metadáta, údaje o bankovom účte a transakciách (len ak pripojíte banku), údaje o firemnom pracovnom priestore a technické údaje/údaje o zariadení.
  • Prečo ich zhromažďujeme: Na poskytovanie služby FlowKeeps, overenie vašej totožnosti, spracovanie dokladov pomocou umelej inteligencie a plnenie zákonných povinností.
  • S kým ich zdieľame: Google (autentifikácia Firebase, umelá inteligencia Gemini), Amazon Web Services (cloudové úložisko), Tatrabanka (bankové údaje, len pri prepojení) a Európska centrálna banka (dotazy na výmenné kurzy — neposielajú sa žiadne osobné údaje).
  • Ako dlho ich uchovávame: Údaje o účte sa uchovávajú počas aktivity vášho účtu. Doklady a finančné údaje sa uchovávajú, kým ich nevymažete alebo nezrušíte účet, s obmedzeným uchovávaním pre účely dodržiavania právnych predpisov.
  • Vaše práva: Máte právo na prístup, opravu, vymazanie, export a namietanie proti spracúvaniu vašich údajov. Kontaktujte nás na .
  • Dozorné orgány: Úrad na ochranu osobných údajov SR (Slovensko)  |  ÚOOÚ (Česká republika).

Úplné znenie zásad nižšie poskytuje všetky podrobnosti vyžadované podľa článkov 13–14 GDPR.

Obsah
  1. Totožnosť a kontaktné údaje prevádzkovateľa
  2. Zodpovedná osoba (DPO)
  3. Činnosti spracúvania — Účel, právny základ, údaje, doba uchovávania
  4. Kategórie osobných údajov
  5. Príjemcovia a sprostredkovatelia
  6. Medzinárodné prenosy údajov
  7. Doby uchovávania
  8. Vaše práva dotknutej osoby
  9. Právo podať sťažnosť
  10. Automatizované rozhodovanie a profilovanie
  11. Povinnosť poskytnúť údaje
  12. Údaje detí
  13. Zásady používania súborov cookie
  14. Aktualizácie zásad

1. Totožnosť a kontaktné údaje prevádzkovateľa

Prevádzkovateľ (Správca údajov):
House of Comms s.r.o.
Sídlo: Brectanova 3, Bratislava 831 01, Slovenská republika
IČO: 50649833
DIČ:
IČ DPH:
Obchodný register: Mestský súd Bratislava III, Oddiel: Sro, Vložka č. 116669/B

Kontakt pre ochranu súkromia:
E-mail:
Telefón:
Korešpondenčná adresa: House of Comms s.r.o., Brectanova 3, Bratislava 831 01, Slovenská republika

Prevádzkovateľ je zodpovedný za určenie účelov a prostriedkov spracúvania vašich osobných údajov. V prípadoch, keď Firemní používatelia využívajú FlowKeeps na správu údajov svojich vlastných zákazníkov alebo zamestnancov, títo Firemní používatelia konajú ako nezávislí prevádzkovatelia a vyžaduje sa Zmluva o spracúvaní údajov podľa článku 28 GDPR (pozri VOP §12.1).

Poznámka k slovenskému právu: Spracúvanie osobných údajov sa riadi zákonom č. 18/2018 Z. z. o ochrane osobných údajov, ktorý implementuje GDPR v SR. Prevádzkovateľ nespracúva rodné číslo na účely služby FlowKeeps. Jeho spracúvanie by si vyžadovalo osobitný právny základ podľa §78 zákona a nevykonáva sa.

Poznámka k českému právu: Spracúvanie používateľmi s pobytom v ČR sa dodatočne riadi zákonom č. 110/2019 Sb. o spracúvaní osobných údajov.

2. Zodpovedná osoba (DPO)

Prevádzkovateľ nevymenoval zodpovednú osobu (DPO), keďže hlavné činnosti FlowKeeps si nevyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu, ani spracúvanie osobitných kategórií údajov vo veľkom rozsahu podľa článku 37 ods. 1 GDPR.

Vzhľadom na koordinované presadzovanie GDPR v roku 2026 zo strany EDPB zamerané na povinnosti transparentnosti podľa článkov 12–14 GDPR je dobrovoľné vymenovanie DPO predmetom preskúmania. Otázky týkajúce sa ochrany súkromia môžete medzičasom smerovať na .

Poznámka k slovenskému právu: Dobrovoľné vymenovania DPO, ak budú vykonané, musia byť oznámené Úradu na ochranu osobných údajov SR prostredníctvom online formulára úradu (dostupného na dataprotection.gov.sk) podľa §44(4) zákona č. 18/2018 Z. z.

3. Činnosti spracúvania

Nasledujúca tabuľka priraďuje každý účel spracúvania k jeho právnemu základu podľa článku 6 GDPR, kategóriám spracúvaných osobných údajov, príjemcom a dobe uchovávania. Tento tabuľkový formát odráža najlepšie postupy podľa usmernení EDPB pre transparentné informácie podľa článku 13 GDPR.

Účel Právny základ (čl. 6 GDPR) Kategórie údajov Príjemcovia Uchovávanie
Vytvorenie účtu a autentifikácia Čl. 6(1)(b) — plnenie zmluvy
Nevyhnutné na uzavretie a plnenie zmluvy o poskytovaní služby
E-mail, meno, hash hesla, ID poskytovateľa autentifikácie, stav overenia e-mailu, časové pečiatky súhlasu Google Firebase (autentifikácia); PostgreSQL databáza Prevádzkovateľa (AWS) Do vymazania účtu; max. 5 rokov po zrušení na účely auditu/právne účely
Správa a ukladanie dokladov Čl. 6(1)(b) — plnenie zmluvy Obrázky dokladov, predajca, suma, mena, dátum, položky, detaily DPH (vrátane IČO, DIČ, IČ DPH na dokladoch), OCR text, značky, údaje o konverzii mien AWS S3 (uloženie obrázkov); Google Gemini API (OCR, ak používateľ nahrá obrázok); Databáza Prevádzkovateľa (AWS) Kým Používateľ nevymaže doklady alebo účet; obrázky v S3 vymazané pri vymazaní dokladu alebo účtu
Extrakcia údajov z dokladov pomocou AI (OCR) Čl. 6(1)(b) — plnenie zmluvy; Čl. 6(1)(a) — súhlas pre voliteľné spracovanie AI (zverejnené pri nahrávaní) Obrázky dokladov; extrahované metadáta Google LLC (Gemini API) Obrázky sa prenášajú na spracovanie v reálnom čase; Google ich neuchováva na trénovanie modelov podľa Google Cloud DPA
Prepojenie bankového účtu (Tatrabanka PSD2) Čl. 6(1)(a) — výslovný súhlas (používateľ iniciuje OAuth tok) Šifrované OAuth access/refresh tokeny, ID súhlasu, IBAN, názov účtu, zostatok, história transakcií (suma, dátum, protistrany, referenčné údaje) Tatrabanka a.s. (ako zdroj údajov); Databáza Prevádzkovateľa (AWS, šifrovane) Kým používateľ neodpojí banku (tokeny sa po odvolaní ihneď vymažú); údaje o transakciách uchovávané do vymazania účtu
Automatické párovanie dokladov s transakciami Čl. 6(1)(b) — plnenie zmluvy Metadáta dokladov, údaje bankových transakcií Google LLC (Gemini API, pre párovanie pomocou AI); Interné spracovanie Prevádzkovateľa Výsledky párovania uložené s dokladom/transakciou; vymazané s účtom
Správa Firemného pracovného priestoru Čl. 6(1)(b) — plnenie zmluvy Názov spoločnosti, e-mailové adresy a mená členov, priradenie rolí, pozvánkové kódy, časové pečiatky pripojenia Databáza Prevádzkovateľa (AWS); Členovia Firemného pracovného priestoru (prístup na čítanie podľa role) Kým nie je Firemný pracovný priestor vymazaný; údaje člena vymazané pri odstránení z priestoru
Protokolovanie auditu (Firemný pracovný priestor) Čl. 6(1)(b) — plnenie zmluvy; Čl. 6(1)(f) — oprávnené záujmy (zodpovednosť v tíme) ID a zobrazované meno konajúceho používateľa, typ akcie, ID zdroja, časová pečiatka, metadáta akcie Databáza Prevádzkovateľa (AWS); prístupné Vlastníkovi spoločnosti a role Účtovník 12 mesiacov od udalosti, potom vymazané; alebo do vymazania Firemného pracovného priestoru, podľa toho, čo nastane skôr
Export dát (CSV/XLSX/YAML) Čl. 6(1)(b) — plnenie zmluvy Údaje dokladov (ako uvedené vyššie); identita používateľa (pre obmedzenie rýchlosti exportu) Vlastné zariadenie Používateľa (stiahnutie súboru); žiadni príjemcovia tretích strán Vygenerované súbory nie sú uchovávané na serveri po stiahnutí
Bezpečnosť, prevencia podvodov a obmedzovanie rýchlosti Čl. 6(1)(f) — oprávnené záujmy (prevencia zneužívania, ochrana služby a používateľov) IP adresa, ID používateľa, časová pečiatka, metadáta požiadavky; JWT session tokeny Infraštruktúra Prevádzkovateľa; žiadne zdieľanie s tretími stranami na tento účel Stav obmedzenia rýchlosti: 10 minút; bezpečnostné záznamy: 90 dní
Komunikácia o službe (transakčné e-maily) Čl. 6(1)(b) — plnenie zmluvy E-mailová adresa, meno Google Firebase (overenie e-mailu, šablóny pre obnovenie hesla) Do vymazania účtu
Právna a regulačná zhoda Čl. 6(1)(c) — zákonná povinnosť (daňová, účtovná legislatíva, AML) Záznamy o transakciách, záznamy o účte, záznamy o súhlase Príslušné orgány na základe zákonnej požiadavky Podľa platného práva (Slovensko: 10 rokov pre účtovné záznamy podľa zákona č. 431/2002 Z. z.; Česká republika: 10 rokov podľa zákona č. 563/1991 Sb.)
Protokolovanie prijatia VOP a zásad ochrany údajov Čl. 6(1)(c) — zákonná povinnosť (preukázanie právneho základu spracúvania); Čl. 6(1)(f) — oprávnené záujmy (preukázanie zhody) ID používateľa, verzia prijatých VOP/Zásad, časová pečiatka prijatia Databáza Prevádzkovateľa (AWS) Do vymazania účtu + 3 roky na účely preukázania zhody
Konverzia mien Čl. 6(1)(b) — plnenie zmluvy Suma dokladu a mena (do ECB API sa neposielajú žiadne osobné údaje) API pre štatistické údaje Európskej centrálnej banky (neprenášajú sa žiadne osobné údaje) Kurzy konverzie uchovávané v pamäti počas relácie; neuchovávajú sa ako osobné údaje
Posúdenie oprávnených záujmov: Tam, kde sa Prevádzkovateľ opiera o čl. 6(1)(f) (oprávnené záujmy), posúdili sme, že tieto záujmy nie sú prevažované právami a slobodami dotknutých osôb. Vo všetkých takýchto prípadoch je spracúvanie obmedzené na nevyhnutne potrebné, dotknuté osoby môžu takéto spracúvanie rozumne očakávať a sú zavedené primerané záruky. Proti spracúvaniu na základe oprávneného záujmu môžete kedykoľvek namietať (pozri časť 8.6).

4. Kategórie osobných údajov

4.1 Registračné a identifikačné údaje

  • E-mailová adresa (povinná)
  • Zobrazované meno (povinné; môže byť automaticky vyplnené z poskytovateľa autentifikácie)
  • Heslo (uchovávané ako bezpečnostný hash; nikdy neprenášané ani neukladané v otvorenej forme)
  • Poskytovateľ autentifikácie a identifikátor špecifický pre poskytovateľa (pri použití Google alebo Apple Sign-In)
  • Stav overenia e-mailu
  • Časové pečiatky: vytvorenie účtu, posledná aktualizácia, prijatie VOP a Zásad ochrany osobných údajov

4.2 Finančné údaje a údaje z dokladov

  • Obrázky dokladov (fotografie alebo skeny bločkov a faktúr)
  • Názov predajcu/dodávateľa
  • Celková suma, mena (ISO 4217) a ekvivalent v EUR prepočítaný kurzom ECB
  • Dátum dokladu
  • Položky (názov produktu, množstvo, jednotka, cena)
  • Zhrnutie DPH (sadzba, základ dane, výška DPH)
  • Slovenské/české fiškálne identifikátory na dokladoch: IČO, DIČ, IČ DPH, OKP (bezpečnostný kód), ID dokladu
  • Miesto predaja / miesto vystavenia
  • OCR text (surový text extrahovaný z obrázka dokladu)
  • Používateľom definované značky (tagy)

4.3 Bankové a platobné údaje

  • OAuth access a refresh tokeny (AES-256 šifrované v kľudovom stave)
  • ID súhlasu vydané Tatrabankou
  • IBAN, mena účtu, názov účtu, typ produktu, zostatok
  • Bankové transakcie: suma, mena, dátum zaúčtovania/valuty, názov a IBAN veriteľa/dlžníka, informácie o platbe, variabilný/konštantný/špecifický symbol, typ transakcie, smer transakcie
  • Stav odsúhlasenia (ID prepojených dokladov)

4.4 Firemné a tímové údaje

  • Názov spoločnosti
  • Mená a e-mailové adresy členov
  • Priradenie rolí (Vlastník, Pracovník, Účtovník)
  • Pozvánkové kódy (dočasné, jednorazové, časovo obmedzené; platnosť 24 hodín)
  • Záznamy auditu: identita konajúcej osoby, typ akcie, ID zdrojov, časové pečiatky, metadáta

4.5 Technické údaje a údaje o zariadení

  • IP adresa (používa sa na obmedzenie rýchlosti; neuchováva sa dlhodobo v identifikovateľnej forme)
  • Reťazec User-Agent
  • JWT session token (vydaný serverom; uložený v bezpečnom úložisku zariadenia)
  • Verzia aplikácie (prostredníctvom Flutter package_info_plus)
  • Platforma (Android / iOS / Web)
  • Jazyková preferencia používateľa (sk/en/cs)
  • Preferencia témy používateľa (svetlá/tmavá/systémová)

4.6 Osobitné kategórie údajov

Služba nie je navrhnutá na spracúvanie osobitných kategórií osobných údajov (článok 9 GDPR), ako sú zdravotné údaje, biometrické údaje, rasový alebo etnický pôvod, politické názory, náboženské presvedčenie alebo sexuálna orientácia. Používatelia by nemali nahrávať obrázky dokladov ani iný Obsah obsahujúci osobitné kategórie údajov. Ak sú osobitné kategórie údajov neúmyselne zahrnuté v nahraných dokladoch, Prevádzkovateľ s nimi bude nakladať v súlade s platným právom.

5. Príjemcovia a sprostredkovatelia

Prevádzkovateľ využíva nasledujúce kategórie tretích strán ako sprostredkovateľov (čl. 28 GDPR), pričom každá je viazaná Zmluvou o spracúvaní údajov alebo rovnocennou zmluvnou zárukou:

Sprostredkovateľ / Príjemca Subjekt / Lokalita Účel Prenášané údaje
Google Firebase Authentication Google LLC, USA (možnosti rezidencie údajov v EÚ) Autentifikácia používateľov (e-mail/heslo, Google Sign-In, Apple Sign-In), overenie e-mailu, obnovenie hesla E-mailová adresa, meno, údaje poskytovateľa autentifikácie, Firebase UID
Google Gemini API Google LLC, USA Analýza obrázkov dokladov a extrakcia OCR pomocou AI Obrázky dokladov (odoslané na spracovanie v reálnom čase); extrahované textové metadáta
Amazon Web Services (AWS) S3 Amazon.com Inc., USA (región konfigurovateľný; pre súlad s GDPR vyžadovaný región EÚ) Cloudové úložisko pre obrázky dokladov Obrázky dokladov; kľúče objektov S3
Amazon Web Services (AWS) RDS / PostgreSQL Amazon.com Inc., USA (región konfigurovateľný; vyžadovaný región EÚ) Primárna aplikačná databáza (používatelia, doklady, bankové údaje, firemné údaje) Všetky kategórie osobných údajov (oddiely 4.1–4.5)
Tatrabanka a.s. Tatrabanka a.s., Hodžovo námestie 3, 811 06 Bratislava, Slovenská republika Prístup k bankovým údajom v súlade s PSD2 (informácie o účte, transakcie) — len keď používateľ iniciuje prepojenie banky OAuth tokeny (vydané Tatrabankou); údaje o účte a transakciách poskytnuté Tatrabankou
Európska centrálna banka (ECB) Európska centrálna banka, Frankfurt, Nemecko Získavanie výmenných kurzov (verejné API) Do ECB sa neprenášajú žiadne osobné údaje. Dotaz obsahuje len kódy mien a dátumy.

Prevádzkovateľ vedie aktuálny zoznam sprostredkovateľov. Používatelia môžu požiadať o aktuálny zoznam kontaktovaním .

Prevádzkovateľ nepredáva osobné údaje tretím stranám. Osobné údaje nie sú zdieľané s tretími stranami na ich vlastné marketingové ani reklamné účely.

6. Medzinárodné prenosy údajov

Niektorí sprostredkovatelia sa nachádzajú mimo Európskeho hospodárskeho priestoru (EHP). Prevádzkovateľ zabezpečuje, že takéto prenosy sú v súlade s kapitolou V GDPR:

Príjemca Miesto prenosu Záruka
Google LLC (Firebase, Gemini) Spojené štáty Štandardné zmluvné doložky EÚ (SCC) — Google Cloud Data Processing Addendum; Rámec pre ochranu osobných údajov medzi EÚ a USA (DPF) (tam, kde je to uplatniteľné). Všeobecný súd EÚ potvrdil EU-US DPF v septembri 2025, ale SCC sú udržiavané ako paralelná záruka vzhľadom na pretrvávajúcu neistotu.
Amazon Web Services (S3, RDS) Spojené štáty (sídlo spoločnosti); regióny EÚ k dispozícii a vyžadované pre produkčné údaje Štandardné zmluvné doložky EÚ (SCC) — AWS GDPR Data Processing Addendum; produkčné AWS zdroje musia byť nasadené v regióne EHP (napr. eu-central-1 Frankfurt alebo eu-west-1 Dublin) na minimalizáciu prenosov. Ak sa údaje spracúvajú v amerických AWS regiónoch (napr. pre globálnu infraštruktúru), uplatňujú sa SCC EÚ.

Tatrabanka a.s. je slovenský subjekt. ECB je inštitúcia EÚ. Prostredníctvom týchto služieb nedochádza k žiadnym prenosom osobných údajov mimo EHP.

Kópiu uplatniteľných záruk prenosu (SCC) môžete získať kontaktovaním .

Požiadavka na región AWS: Pre súlad s GDPR musí Prevádzkovateľ nasadiť všetky AWS zdroje uchovávajúce osobné údaje v regióne EHP. Toto je akčná položka zhody (pozri compliance.md).

7. Doby uchovávania

Kategória údajov Doba uchovávania Právny základ / Odôvodnenie
Registračné údaje účtu (e-mail, meno, autentifikačné údaje) Životnosť aktívneho účtu + 12 mesiacov po vymazaní účtu Plnenie zmluvy; prevencia podvodov; riešenie sporov
Obrázky dokladov (AWS S3) Do vymazania používateľom alebo do vymazania účtu (podľa toho, čo nastane skôr) + 30-dňové okno na export Plnenie zmluvy
Metadáta dokladov (databáza) Do vymazania používateľom alebo vymazania účtu + 30-dňové okno na export Plnenie zmluvy
Bankové OAuth tokeny Do odpojenia bankového prepojenia používateľom (okamžite odvolané a vymazané) Súhlas; vymazané po odvolaní
Bankové údaje o účte a transakciách (ukladané do vyrovnávacej pamäte) Do vymazania účtu alebo odpojenia banky Plnenie zmluvy
Údaje Firemného pracovného priestoru Do vymazania priestoru Vlastníkom + 30-dňové okno na export pre členov Plnenie zmluvy
Záznamy auditu (Firemný pracovný priestor) 12 mesiacov od vytvorenia udalosti; alebo do vymazania priestoru Oprávnené záujmy (zodpovednosť tímu)
Časové pečiatky súhlasu/prijatia (VOP, Zásady ochrany údajov) Životnosť účtu + 3 roky po vymazaní účtu Zákonná povinnosť (preukázanie zákonného základu spracúvania)
IP adresy a metadáta požiadaviek (obmedzovanie rýchlosti) 10 minút (stav obmedzenia rýchlosti); bezpečnostné záznamy: 90 dní Oprávnené záujmy (bezpečnosť, prevencia zneužívania)
JWT session tokeny Trvanie relácie; platnosť podľa nakonfigurovaného JWT TTL; zrušené pri odhlásení/vymazaní účtu Plnenie zmluvy
Účtovné a transakčné záznamy (zákonné uchovávanie) 10 rokov od konca účtovného obdobia, v ktorom bol záznam vytvorený Zákonná povinnosť — zákon č. 431/2002 Z. z. o účtovníctve (Slovensko); zákon č. 563/1991 Sb. o účetnictví (Česká republika)
Pozvánkové kódy 24 hodín od vytvorenia (automatické vypršanie); vymazané po použití Plnenie zmluvy

Po uplynutí príslušnej doby uchovávania sú osobné údaje bezpečne vymazané z produkčných a záložných systémov. Vymazanie zo záloh môže byť oneskorené až o 90 dní v dôsledku cyklov rotácie záloh.

8. Vaše práva dotknutej osoby

Podľa GDPR a platných národných právnych predpisov máte v súvislosti so svojimi osobnými údajmi nasledujúce práva. Na uplatnenie akéhokoľvek práva nás kontaktujte na . Prevádzkovateľ odpovie do jedného mesiaca od prijatia vašej žiadosti (v prípade zložitých alebo viacnásobných žiadostí možno predĺžiť o ďalšie dva mesiace s oznámením).

8.1 Právo na prístup (čl. 15 GDPR)

Máte právo na potvrdenie, či spracúvame vaše osobné údaje, a ak áno, na kópiu týchto údajov spolu s informáciami o spracúvaní (účely, kategórie, príjemcovia, uchovávanie, záruky).

8.2 Právo na opravu (čl. 16 GDPR)

Máte právo na opravu nepresných osobných údajov alebo doplnenie neúplných údajov. Väčšinu svojich údajov si môžete aktualizovať priamo v nastaveniach Služby.

8.3 Právo na vymazanie („právo byť zabudnutý") (čl. 17 GDPR)

Máte právo požiadať o vymazanie svojich osobných údajov, ak: údaje už nie sú potrebné na pôvodný účel; odvoláte súhlas (ak bol súhlas právnym základom); namietate a neexistujú prevažujúce oprávnené dôvody; údaje boli spracúvané nezákonne; alebo vymazanie vyžaduje zákon.

Toto právo podlieha výnimkám vrátane zákonných povinností uchovávania. Doklady obsahujúce účtovné záznamy môžu byť uchovávané počas zákonom stanovenej doby aj po žiadosti o vymazanie.

8.4 Právo na obmedzenie spracúvania (čl. 18 GDPR)

Môžete požiadať o obmedzenie spracúvania vašich údajov za určitých okolností (napr. kým sa namieta presnosť, kým sa posudzuje námietka, alebo ak uprednostňujete obmedzenie pred vymazaním nezákonne spracúvaných údajov).

8.5 Právo na prenosnosť údajov (čl. 20 GDPR)

Ak je spracúvanie založené na zmluve alebo súhlase a vykonáva sa automatizovanými prostriedkami, máte právo získať svoje osobné údaje v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte (CSV, XLSX) a preniesť ich k inému prevádzkovateľovi. Exportná funkcia Služby (CSV/XLSX/YAML) priamo podporuje toto právo. Môžete tiež požiadať o úplný export údajov kontaktovaním podpory ochrany súkromia.

8.6 Právo namietať (čl. 21 GDPR)

Ak je spracúvanie založené na oprávnených záujmoch (čl. 6(1)(f)), máte právo kedykoľvek namietať. Prevádzkovateľ ukončí spracúvanie, pokiaľ nepreukáže presvedčivé oprávnené dôvody, ktoré prevažujú nad vašimi záujmami, alebo na určenie, výkon alebo obhajobu právnych nárokov.

8.7 Právo odvolať súhlas (čl. 7(3) GDPR)

Ak je spracúvanie založené na vašom súhlase, môžete ho kedykoľvek odvolať bez vplyvu na zákonnosť spracúvania vykonaného pred odvolaním. Konkrétne:

  • Bankové prepojenie: Odvolajte kedykoľvek z obrazovky nastavení banky v aplikácii. OAuth tokeny sú okamžite vymazané.
  • Spracovanie dokladov AI: V nastaveniach aplikácie sa môžete odhlásiť zo spracovania prostredníctvom Gemini AI; funkcie OCR budú obmedzené len na spracovanie v zariadení.

8.8 Práva súvisiace s automatizovaným rozhodovaním

Pozri časť 10.

8.9 Overenie totožnosti

Na ochranu vašich údajov vás môžeme požiadať o overenie totožnosti pred vybavením žiadosti dotknutej osoby. Žiadosti nevybavíme tam, kde nedokážeme rozumne overiť totožnosť žiadateľa.

Poznámka k slovenskému právu: Dotknuté osoby v Slovenskej republike môžu uplatniť práva podľa §19–30 zákona č. 18/2018 Z. z. okrem práv podľa GDPR. Za výkon týchto práv za bežných okolností nie je potrebné platiť poplatok.

9. Právo podať sťažnosť

Máte právo podať sťažnosť dozornému orgánu, ak sa domnievate, že sme vaše osobné údaje spracúvali nezákonne. Môžete kontaktovať:

Orgán Jurisdikcia Kontakt
Úrad na ochranu osobných údajov SR Slovenská republika
(hlavný dozorný orgán pre Prevádzkovateľa)
Námestie 1. mája 18, 811 06 Bratislava, Slovenská republika
Tel: +421 2 3231 3214
E-mail: statny.dozor@pdp.gov.sk
Web: dataprotection.gov.sk
Úřad pro ochranu osobních údajů (ÚOOÚ) Česká republika
(pre dotknuté osoby s pobytom v ČR)
Pplk. Sochora 27, 170 00 Praha 7, Česká republika
Tel: +420 234 665 111
E-mail: posta@uoou.gov.cz
Web: uoou.cz

Žiadame vás, aby ste nás najskôr kontaktovali na , aby sme sa mohli pokúsiť vyriešiť akékoľvek obavy priamo pred postúpením dozornému orgánu.

Poznámka k slovenskému právu: Neoprávnené spracúvanie osobných údajov predstavuje trestný čin podľa §374 Trestného zákona (zákon č. 300/2005 Z. z.), vymáhateľný orgánmi trestného stíhania.

Poznámka k českému právu: ÚOOÚ osobitne presadzuje rovnocennú vizuálnu výraznosť tlačidiel na vyjadrenie súhlasu so súbormi cookie (tlačidlá „Prijať všetky" a „Odmietnuť všetky" musia mať podobnú výraznosť a farbu). Pozri časť 13.

10. Automatizované rozhodovanie a profilovanie

10.1 Extrakcia údajov z dokladov pomocou AI

Služba používa Google Gemini AI na automatické extrahovanie údajov z nahraných obrázkov dokladov (názov predajcu, celková suma, dátum, položky, detaily DPH). Ide o automatizovanú operáciu spracúvania. Nie je to však automatizované rozhodovanie, ktoré by malo právne alebo podobne závažné účinky v zmysle článku 22(1) GDPR: Používateľ si zachováva plnú kontrolu na preskúmanie, úpravu alebo zahodenie všetkých údajov extrahovaných AI pred ich uložením. Bez ľudského preskúmania sa neprijímajú žiadne rozhodnutia automaticky.

10.2 Párovanie bankových transakcií pomocou AI

Služba používa Google Gemini AI na navrhovanie zhôd medzi nahranými dokladmi a bankovými transakciami („automatické odsúhlasenie"). Ide len o návrhy — sú označené na potvrdenie používateľom a nenadobúdajú účinnosť, kým používateľ manuálne nepotvrdí alebo neprijme navrhované prepojenie. Nejde o automatizované rozhodovanie s právnymi účinkami podľa čl. 22 GDPR.

10.3 Obmedzovanie rýchlosti

Automatické obmedzovanie rýchlosti na základe IP adresy sa uplatňuje na prevenciu zneužívania. Ak IP adresa prekročí nakonfigurovaný limit požiadaviek, požiadavky sú dočasne blokované. Ide o bezpečnostné opatrenie a nepredstavuje profilovanie na komerčné alebo diskriminačné účely.

10.4 Žiadne profilovanie na marketing

Prevádzkovateľ nevykonáva behaviorálne profilovanie, cielenú reklamu ani automatické kreditné skórovanie na základe údajov používateľov.

11. Povinnosť poskytnúť údaje

Údaj Povinný / Dobrovoľný Dôsledok neposkytnutia
E-mailová adresa Povinná Nie je možné vytvoriť účet ani používať Službu
Zobrazované meno Povinné (môže byť automaticky vyplnené) Nie je možné dokončiť registráciu; vyžaduje sa pre identifikáciu vo Firemnom pracovnom priestore
Obrázky dokladov a metadáta Dobrovoľné (hlavná funkcia, ale bez povinnosti) Funkcie správy dokladov nie sú k dispozícii
Bankové prepojenie (Tatrabanka OAuth) Dobrovoľné Banková integrácia a funkcie automatického odsúhlasenia nie sú k dispozícii; všetky ostatné funkcie fungujú normálne
Spracovanie dokladov AI (Gemini) Dobrovoľné (alternatívne je k dispozícii OCR v zariadení) Automatická extrakcia údajov z dokladov nie je k dispozícii; vyžaduje sa manuálny vstup
Údaje Firemného pracovného priestoru (názov spoločnosti, údaje členov) Dobrovoľné Funkcie tímovej spolupráce nie sú k dispozícii; funkcie pre osobné použitie nie sú ovplyvnené

12. Údaje detí

Služba nie je určená deťom. Minimálne vekové požiadavky:

  • 16 rokov — Slovenská republika (zákon č. 18/2018 Z. z., §15, čl. 8 GDPR)
  • 15 rokov — Česká republika (zákon č. 110/2019 Sb., §7)
  • 16 rokov — všetky ostatné jurisdikcie (predvolená hodnota podľa čl. 8 GDPR)

Prevádzkovateľ vedome nezhromažďuje osobné údaje osôb mladších ako príslušná veková hranica bez preukázateľného súhlasu rodiča alebo zákonného zástupcu. Ak sa Prevádzkovateľ dozvie, že osobné údaje boli zhromaždené od maloletej osoby bez rodičovského súhlasu, tieto údaje budú bezodkladne vymazané.

Ak ste rodič alebo zákonný zástupca a domnievate sa, že sa vaše dieťa zaregistrovalo na FlowKeeps bez vášho súhlasu, kontaktujte nás na .

Poznámka k slovenskému právu: Rodné číslo služba nikdy nezhromažďuje. Jeho použitie na účely overenia veku je obmedzené podľa §78 zákona č. 18/2018 Z. z.

Poznámka k českému právu: Nižšia veková hranica 15 rokov (Česká republika) musí byť zohľadnená v mechanizmoch súhlasu pre používateľov s pobytom v ČR. Vyžaduje sa mechanizmus na určenie krajiny pobytu používateľa pri registrácii.

13. Zásady používania súborov cookie

13.1 Uplatniteľný kontext

Pravidlá pre súbory cookie podľa smernice o súkromí a elektronických komunikáciách (2002/58/ES, transponovanej v SR zákonom č. 351/2011 Z. z. a v ČR zákonom č. 127/2005 Sb. a zákonom č. 110/2019 Sb.) sa uplatňujú predovšetkým na webovú stránku (flowkeeps.com) a akúkoľvek webovú verziu FlowKeeps. Mobilné aplikácie (Android, iOS) nepoužívajú súbory cookie; používajú lokálne bezpečné úložisko tokenov v zariadení.

Návrh nariadenia o súkromí a elektronických komunikáciách (ePrivacy) bol oficiálne stiahnutý 11. februára 2025. Smernica o súkromí a elektronických komunikáciách a jej vnútroštátne transpozície zostávajú platným právom pre súhlas so súbormi cookie.

13.2 Kategórie súborov cookie

Kategória Vyžadovaný súhlas? Popis Príklady (súčasné)
Nevyhnutné Nie (oslobodené) Nevyhnutné pre fungovanie webovej stránky. Nemožno ich vypnúť bez narušenia základnej funkcionality. Patria sem autentifikačné session cookies. Správa relácií, autentifikačné tokeny (Flutter web), ochrana CSRF
Funkčné / preferenčné Áno — predchádzajúci opt-in Zapamätanie preferencií používateľa (jazyk, téma) na zlepšenie zážitku. Výber jazyka, preferencia témy (v súčasnosti uložené v aplikácii, nie v cookies)
Analytické / výkonnostné Áno — predchádzajúci opt-in
(oprávnený záujem NIE je platným základom pre analytické cookies)
Meranie používania a výkonu na zlepšenie Služby. V súčasnosti nie sú nasadené žiadne analytické cookies.
Marketingové / reklamné Áno — predchádzajúci opt-in Sledovanie používateľov naprieč stránkami na cielenú reklamu. V súčasnosti nie sú nasadené žiadne marketingové cookies.

13.3 Požiadavky na súhlas so súbormi cookie

Po spustení webovej stránky Prevádzkovateľ implementuje platformu na správu súhlasov (CMP) v súlade s GDPR — napríklad Cookiebot alebo Usercentrics — ktorá musí:

  • Blokovať všetky nevyhnutné súbory cookie a skripty pred udelením súhlasu;
  • Zobrazovať tlačidlá „Prijať všetky" a „Odmietnuť všetky" (alebo „Prijať len nevyhnutné") s rovnakou vizuálnou výraznosťou a farbou (vyžadované aplikačnou praxou českého ÚOOÚ a usmerneniami EDPB);
  • Ponúkať podrobný opt-in podľa kategórií;
  • Nepoužívať vopred zaškrtnuté políčka (rozsudok Súdneho dvora EÚ Planet49, C-673/17);
  • Nespájať súhlas so súbormi cookie s prijatím týchto VOP alebo Zásad ochrany osobných údajov;
  • Uvádzať dobu platnosti cookies a prístup tretích strán pre každý súbor cookie;
  • Zaznamenávať súhlas s časovou pečiatkou a konkrétnymi voľbami;
  • Umožniť jednoduché odvolanie súhlasu kedykoľvek (prostredníctvom trvalého odkazu „Spravovať cookies");
  • Obnovovať súhlas približne každých 12 mesiacov.

13.4 Súčasný stav

Služba je v štádiu pred spustením. V súčasnosti nie sú nasadené žiadne nevyhnutné súbory cookie. Firebase Authentication môže na webovej platforme nastaviť nevyhnutné session cookies. Tie sú tu uvedené podľa požiadaviek čl. 5(3) smernice o súkromí a elektronických komunikáciách bez ohľadu na oslobodenie od súhlasu.

13.5 Audit súborov cookie

Pred verejným spustením sa vykoná úplný automatizovaný audit súborov cookie s cieľom identifikovať všetky sledovacie prvky načítané na flowkeeps.com. Výsledky sa použijú na vytvorenie komplexného registra súborov cookie a aktualizáciu týchto zásad.

14. Aktualizácie zásad

Prevádzkovateľ môže tieto Zásady ochrany osobných údajov čas od času aktualizovať, aby odrážali zmeny v činnostiach spracúvania, právnych požiadavkách alebo obchodných operáciách.

Pri podstatných zmenách (nové účely spracúvania, nové kategórie údajov, noví príjemcovia tretích strán alebo zmeny postupov práv dotknutých osôb):

  • Dotknutí používatelia budú informovaní prostredníctvom e-mailu a notifikácie v aplikácii najmenej 30 dní pred nadobudnutím účinnosti zmeny;
  • Ak podstatná zmena vyžaduje nový súhlas, tento bude získaný pred nadobudnutím účinnosti zmeny;
  • Používatelia, ktorí s zmenami nesúhlasia, môžu pred dátumom účinnosti vymazať svoj účet.

Pri nepodstatných zmenách (opravy, aktualizácie kontaktných informácií, objasnenia, ktoré neovplyvňujú práva) bude zverejnená aktualizovaná verzia s novým dátumom „naposledy aktualizované" bez predchádzajúceho upozornenia.

Aktuálna verzia týchto Zásad ochrany osobných údajov je vždy k dispozícii na flowkeeps.com/privacy. Dátum účinnosti a číslo verzie sú uvedené v hornej časti tohto dokumentu.

© 2026 House of Comms s.r.o.  |  IČO: 50649833  |  Zásady ochrany osobných údajov verzia 1.0 — naposledy aktualizované 19. marca 2026, účinné od .

Zásady ochrany osobních údajů

Služba: FlowKeeps  |  Správce: House of Comms s.r.o.  |  Verze: 1.0  |  Datum účinnosti:  |  Naposledy aktualizováno: 19. března 2026

Jazykové upozornění: Tyto Zásady ochrany osobních údajů jsou k dispozici také v angličtině (Privacy Policy) a slovenštině (Zásady ochrany osobných údajov). Čeští spotřebitelé mají právo obdržet tyto informace v českém jazyce. Slovenskí spotřebitelé v jazyce slovenském. Pro spotřebitele je závazná národní jazyková verze.

Ve zkratce — co děláme s vašimi údaji

  • Kdo jsme: House of Comms s.r.o., IČO 50649833, Brectanova 3, Bratislava 831 01, Slovenská republika. Kontakt:
  • Jaké údaje shromažďujeme: Váš e-mail, jméno, obrázky účtenek a metadata, údaje o bankovním účtu a transakcích (pouze pokud banku připojíte), údaje firemního pracovního prostoru a technické údaje.
  • Proč je shromažďujeme: Pro poskytování služby FlowKeeps, ověření totožnosti, zpracování účtenek pomocí umělé inteligence a plnění zákonných povinností.
  • S kým je sdílíme: Google, Amazon Web Services, Tatrabanka (pouze při propojení) a Evropská centrální banka.
  • Jak dlouho je uchováváme: Údaje o účtu jsou uchovávány po dobu aktivity účtu. Finanční data do jejich smazání vámi, omezeně pak pro účely plnění právních předpisů.
  • Vaše práva: Máte právo na přístup, opravu, výmaz, export a vznést námitku. Kontaktujte nás na .
  • Dozorové úřady: Úřad pro ochranu osobních údajů (ÚOOÚ, ČR)  |  Úřad na ochranu osobních údajů SR.
Obsah
  1. Totožnost a kontaktní údaje správce
  2. Pověřenec pro ochranu osobních údajů (DPO)
  3. Činnosti zpracování — Účel, Právní základ, Údaje, Doba uchovávání
  4. Kategorie osobních údajů
  5. Příjemci a další zpracovatelé
  6. Mezinárodní přenosy údajů
  7. Doba uchovávání
  8. Vaše práva subjektu údajů
  9. Právo podat stížnost
  10. Automatizované rozhodování a profilování
  11. Povinnost poskytnout údaje
  12. Údaje dětí
  13. Zásady používání souborů cookie
  14. Aktualizace zásad

1. Totožnost a kontaktní údaje správce

Správce:
House of Comms s.r.o.
Sídlo: Brectanova 3, Bratislava 831 01, Slovenská republika
IČO: 50649833
DIČ:
IČ DPH:
Obchodní rejstřík: Městský soud Bratislava III, oddíl Sro, vložka č. 116669/B

Kontakt pro ochranu osobních údajů:
E-mail:
Telefon:
Poštovní adresa: House of Comms s.r.o., Brectanova 3, Bratislava 831 01, Slovenská republika

Správce odpovídá za stanovení účelů a prostředků zpracování vašich osobních údajů. Pokud Firemní uživatelé používají FlowKeeps ke správě údajů svých vlastních zákazníků nebo zaměstnanců, tito Firemní uživatelé jednají jako nezávislí správci a je vyžadována Smlouva o zpracování údajů dle čl. 28 GDPR (viz Všeobecné obchodní podmínky §12.1).

Poznámka k českému právu: Zpracování uživateli s bydlištěm v ČR se řídí zákonem č. 110/2019 Sb., o zpracování osobních údajů, a nařízením GDPR.

2. Pověřenec pro ochranu osobních údajů (DPO)

Správce nejmenoval pověřence pro ochranu osobních údajů (DPO), neboť hlavní činnosti FlowKeeps nevyžadují pravidelné a systematické monitorování subjektů údajů ve velkém měřítku ani zpracování zvláštních kategorií osobních údajů ve velkém měřítku ve smyslu čl. 37 odst. 1 GDPR.

S ohledem na koordinované prosazování GDPR ze strany EDPB v roce 2026 zaměřené na povinnosti transparentnosti podle čl. 12–14 je dobrovolné jmenování DPO předmětem přezkumu. Dotazy týkající se ochrany soukromí směrujte prozatím na .

3. Činnosti zpracování

Následující tabulka přiřazuje každý účel zpracování k příslušnému právnímu základu dle čl. 6 GDPR, kategoriím zpracovávaných osobních údajů, příjemcům a době uchovávání.

Účel Právní základ (čl. 6 GDPR) Kategorie údajů Příjemci Uchovávání
Vytvoření účtu a autentizace Čl. 6(1)(b) — plnění smlouvy E-mail, jméno, hash hesla, ID poskytovatele, stav ověření e-mailu, časová razítka souhlasu Google Firebase; databáze správce (AWS) Do smazání účtu; max. 5 let po uzavření pro účely auditu
Správa a ukládání účtenek Čl. 6(1)(b) — plnění smlouvy Obrázky účtenek, prodejce, částka, měna, datum, položky, detaily DPH (IČO, DIČ na účtenkách), OCR text, štítky AWS S3; Google Gemini API; databáze správce Do smazání účtenek nebo účtu uživatelem
Extrakce dat z účtenek pomocí AI (OCR) Čl. 6(1)(b) — plnění smlouvy; čl. 6(1)(a) — souhlas pro volitelné zpracování AI Obrázky účtenek; extrahovaná metadata Google LLC (Gemini API) Obrázky přenášeny pouze pro zpracování v reálném čase; Google je neuchovává pro trénování modelů
Propojení bankovního účtu (Tatrabanka PSD2) Čl. 6(1)(a) — výslovný souhlas Šifrované OAuth tokeny, ID souhlasu, IBAN, název účtu, zůstatek, historie transakcí Tatrabanka a.s.; databáze správce (AWS, šifrovaně) Do odpojení banky; tokeny okamžitě smazány při odvolání
Automatické párování účtenek s transakcemi Čl. 6(1)(b) — plnění smlouvy Metadata účtenek, data bankovních transakcí Google LLC (Gemini API); interní zpracování správce Výsledky párování uloženy s účtenkou/transakcí; smazány s účtem
Správa firemního pracovního prostoru Čl. 6(1)(b) — plnění smlouvy Název společnosti, e-mailové adresy a jména členů, přiřazení rolí, pozvánkové kódy, časová razítka připojení Databáze správce (AWS); členové firemního prostoru (přístup dle role) Do smazání firemního prostoru; data člena smazána při odebrání z prostoru
Protokolování auditu (firemní pracovní prostor) Čl. 6(1)(b) — plnění smlouvy; čl. 6(1)(f) — oprávněné zájmy (odpovědnost v týmu) ID a jméno autora akce, typ akce, ID zdroje, časové razítko, metadata akce Databáze správce (AWS); přístupné vlastníkovi a účetnímu 12 měsíců od události, poté smazáno; nebo do smazání firemního prostoru
Export dat (CSV/XLSX/YAML) Čl. 6(1)(b) — plnění smlouvy Data účtenek; identita uživatele (pro omezení rychlosti exportu) Zařízení uživatele (stažení souboru); žádní třetí příjemci Vygenerované soubory nejsou na serveru uchovávány po stažení
Bezpečnost, prevence podvodů a omezení rychlosti Čl. 6(1)(f) — oprávněné zájmy (prevence zneužití, ochrana služby a uživatelů) IP adresa, ID uživatele, časové razítko, metadata požadavku; JWT session tokeny Infrastruktura správce; bez sdílení s třetími stranami Stav omezení rychlosti: 10 minut; bezpečnostní záznamy: 90 dní
Servisní komunikace (transakční e-maily) Čl. 6(1)(b) — plnění smlouvy E-mailová adresa, jméno Google Firebase (šablony pro ověření e-mailu, obnovení hesla) Do smazání účtu
Právní a regulační dodržování předpisů Čl. 6(1)(c) — právní povinnost (daňová, účetní, AML legislativa) Záznamy transakcí, záznamy účtů, záznamy souhlasů Příslušné orgány na základě zákonné žádosti Dle platného práva (Česká republika: 10 let pro účetní záznamy dle zákona č. 563/1991 Sb.)
Záznam přijetí podmínek a zásad ochrany osobních údajů Čl. 6(1)(c) — právní povinnost; čl. 6(1)(f) — oprávněné zájmy (prokázání souladu) ID uživatele, verze přijatých podmínek/ZOP, časové razítko přijetí Databáze správce (AWS) Do smazání účtu + 3 roky jako důkaz souladu
Převod měn Čl. 6(1)(b) — plnění smlouvy Částka a měna účtenky (žádné osobní údaje nejsou odesílány do API ECB) Evropská centrální banka — statistické API (žádné osobní údaje nepřenášeny) Směnné kurzy uloženy v paměti na dobu relace; neukládány jako osobní údaje
Posouzení oprávněných zájmů: Tam, kde správce spoléhá na čl. 6(1)(f) (oprávněné zájmy), bylo posouzeno, že tyto zájmy nepřevažují práva a svobody subjektů údajů. Ve všech takových případech je zpracování omezeno na nezbytné minimum, subjekty údajů mohou takové zpracování rozumně očekávat a jsou zavedena přiměřená ochranná opatření. Proti zpracování na základě oprávněného zájmu můžete kdykoli vznést námitku (viz odst. 8.6).

4. Kategorie osobních údajů

4.1 Registrační a identifikační údaje

  • E-mailová adresa (povinná)
  • Zobrazované jméno (povinné; může být automaticky vyplněno z poskytovatele autentizace)
  • Heslo (uloženo jako bezpečný hash; nikdy nepřenášeno ani neuchováváno v čitelné podobě)
  • Poskytovatel autentizace a specifický identifikátor poskytovatele (při použití Google nebo Apple Sign-In)
  • Stav ověření e-mailu
  • Časová razítka: vytvoření účtu, poslední aktualizace, přijetí podmínek a zásad ochrany osobních údajů

4.2 Finanční údaje a údaje z účtenek

  • Obrázky účtenek (fotografie nebo naskenované soubory účtenek a faktur)
  • Název prodejce/obchodníka
  • Celková částka, měna (ISO 4217) a ekvivalent v EUR dle ECB
  • Datum účtenky
  • Položky (název produktu, množství, jednotka, cena)
  • Souhrn DPH (sazba, základ daně, výše DPH)
  • Slovenské/české fiskální identifikátory na účtenkách: IČO, DIČ, IČ DPH, OKP (bezpečnostní kód), ID účtenky
  • Místo prodeje / místo vystavení
  • OCR text (surový text extrahovaný z obrázku účtenky)
  • Uživatelsky definované štítky

4.3 Bankovní a platební údaje

  • OAuth přístupové a obnovovací tokeny (šifrované AES-256 při uložení)
  • ID souhlasu vydaného Tatrabankou
  • IBAN, měna účtu, název účtu, typ produktu, zůstatek
  • Bankovní transakce: částka, měna, datum zaúčtování/valuty, jméno věřitele/dlužníka a IBAN, referenční informace, variabilní/konstantní/specifický symbol, typ transakce, směr
  • Stav párování (ID propojených účtenek)

4.4 Firemní a týmové údaje

  • Název společnosti
  • Jména a e-mailové adresy členů
  • Přiřazení rolí (Vlastník, Pracovník, Účetní)
  • Pozvánkové kódy (dočasné, jednorázové, časově omezené; platnost 24 hodin)
  • Záznamy auditu: identita autora, typ akce, ID zdrojů, časová razítka, metadata

4.5 Zařízení a technické údaje

  • IP adresa (použita pro omezení rychlosti; neuchovávána dlouhodobě v identifikovatelné podobě)
  • Řetězec User-Agent
  • JWT session token (vydaný serverem; uložen v zabezpečeném úložišti zařízení)
  • Verze aplikace (prostřednictvím Flutter package_info_plus)
  • Platforma (Android / iOS / Web)
  • Jazykové preference uživatele (en/sk/cs)
  • Preference motivu uživatele (světlý/tmavý/systémový)

4.6 Zvláštní kategorie osobních údajů

Služba není určena ke zpracování zvláštních kategorií osobních údajů (čl. 9 GDPR), jako jsou zdravotní údaje, biometrické údaje, rasový nebo etnický původ, politické názory, náboženské přesvědčení nebo sexuální orientace. Uživatelé by neměli nahrávat obrázky účtenek ani jiný obsah obsahující zvláštní kategorie údajů. Pokud jsou takové údaje náhodně zahrnuty v nahraných účtenkách, správce s nimi naloží v souladu s platným právem.

5. Příjemci a další zpracovatelé

Správce zapojuje následující kategorie třetích stran jako zpracovatele údajů (čl. 28 GDPR), každý vázán smlouvou o zpracování údajů nebo rovnocennou smluvní zárukou:

Zpracovatel / Příjemce Subjekt / Sídlo Účel Přenášené údaje
Google Firebase Authentication Google LLC, USA (dostupné možnosti EU datové rezidence) Autentizace uživatele (e-mail/heslo, Google Sign-In, Apple Sign-In), ověření e-mailu, obnova hesla E-mailová adresa, jméno, data poskytovatele autentizace, Firebase UID
Google Gemini API Google LLC, USA AI analýza obrázků účtenek a OCR extrakce Obrázky účtenek (odesílány pro zpracování v reálném čase); vrácena extrahovaná textová metadata
Amazon Web Services (AWS) S3 Amazon.com Inc., USA (region konfigurovatelný; vyžadován region EU pro soulad s GDPR) Cloudové úložiště obrázků účtenek Obrázky účtenek; klíče objektů S3
Amazon Web Services (AWS) RDS / PostgreSQL Amazon.com Inc., USA (region konfigurovatelný; vyžadován region EU) Primární aplikační databáze (uživatelé, účtenky, bankovní data, firemní data) Všechny kategorie osobních údajů (odd. 4.1–4.5)
Tatrabanka a.s. Tatrabanka a.s., Hodžovo námestie 3, 811 06 Bratislava, Slovenská republika PSD2 přístup k bankovním datům (informace o účtu, transakce) — pouze při inicializaci bankovního propojení uživatelem OAuth tokeny (vydané Tatrabankou); data účtu a transakcí poskytnutá Tatrabankou
Evropská centrální banka (ECB) Evropská centrální banka, Frankfurt, Německo Získávání dat o směnných kurzech (veřejné API) Do ECB nejsou přenášeny žádné osobní údaje. Dotaz obsahuje pouze kódy měn a data.

Správce udržuje aktuální seznam zpracovatelů. Uživatelé mohou vyžádat aktuální seznam na .

Správce neprodává osobní údaje třetím stranám. Osobní údaje nejsou sdíleny s třetími stranami pro jejich vlastní marketingové nebo reklamní účely.

6. Mezinárodní přenosy údajů

Několik zpracovatelů se nachází mimo Evropský hospodářský prostor (EHP). Správce zajišťuje, aby tyto přenosy byly v souladu s kapitolou V GDPR:

Příjemce Cíl přenosu Záruka
Google LLC (Firebase, Gemini) Spojené státy americké Standardní smluvní doložky EU (SCC) — Dodatek Google Cloud k zpracování dat; Rámec EU-USA pro ochranu soukromí dat (Data Privacy Framework, kde je to relevantní). Jako paralelní záruka jsou udržovány SCC.
Amazon Web Services (S3, RDS) Spojené státy americké (sídlo); dostupné a požadované regiony EU pro produkční data SCC EU — Dodatek AWS k zpracování dat GDPR; produkční AWS zdroje musí být nasazeny v regionu EHP (např. eu-central-1 Frankfurt nebo eu-west-1 Dublin). Kde jsou data zpracovávána v US regionech AWS, platí SCC EU.

Tatrabanka a.s. je slovenský subjekt. ECB je institucí EU. Prostřednictvím těchto služeb nedochází k žádným přenosům osobních údajů mimo EHP.

Kopii příslušných záruk pro přenos (SCC) lze získat na .

Požadavek na region AWS: Pro soulad s GDPR musí správce nasadit všechny AWS zdroje uchovávající osobní údaje v regionu EHP. Toto je položka pro zajištění souladu.

7. Doba uchovávání

Kategorie údajů Doba uchovávání Právní základ / Odůvodnění
Registrační data (e-mail, jméno, autentizační data) Po dobu aktivního účtu + 12 měsíců po smazání účtu Plnění smlouvy; prevence podvodů; řešení sporů
Obrázky účtenek (AWS S3) Do smazání uživatelem nebo do smazání účtu (podle toho, co nastane dříve) + 30denní okno pro export Plnění smlouvy
Metadata účtenek (databáze) Do smazání uživatelem nebo smazání účtu + 30denní okno pro export Plnění smlouvy
Bankovní OAuth tokeny Do odpojení bankovního propojení (okamžitě odvolány a smazány) Souhlas; smazány při odvolání
Bankovní a transakční data (v mezipaměti) Do smazání účtu nebo odpojení banky Plnění smlouvy
Data firemního pracovního prostoru Do smazání prostoru vlastníkem + 30denní okno pro export členů Plnění smlouvy
Záznamy auditu (firemní pracovní prostor) 12 měsíců od vytvoření události; nebo do smazání prostoru Oprávněné zájmy (odpovědnost týmu)
Časová razítka souhlasu/přijetí (podmínky, ZOP) Po dobu aktivního účtu + 3 roky po smazání účtu Právní povinnost (prokázání zákonného základu zpracování)
IP adresy a metadata požadavků (omezení rychlosti) 10 minut (stav omezení rychlosti); bezpečnostní záznamy: 90 dní Oprávněné zájmy (bezpečnost, prevence zneužití)
JWT session tokeny Po dobu relace; expirují dle nakonfigurovaného TTL; odvolány při odhlášení/smazání účtu Plnění smlouvy
Účetní a transakční záznamy (zákonné uchovávání) 10 let od konce účetního roku, v němž byl záznam vytvořen Právní povinnost — zákon č. 563/1991 Sb. o účetnictví (Česká republika)
Pozvánkové kódy 24 hodin od vytvoření (automatická expirace); smazány při použití Plnění smlouvy

Po uplynutí příslušné doby uchovávání jsou osobní údaje bezpečně smazány z produkčních a zálohovacích systémů. Smazání ze záloh může být zpožděno až o 90 dní z důvodu rotace záloh.

8. Vaše práva subjektu údajů

Podle GDPR a příslušných národních předpisů máte následující práva týkající se vašich osobních údajů. Pro uplatnění jakéhokoli práva kontaktujte . Správce odpoví do jednoho měsíce od obdržení vaší žádosti (tuto lhůtu lze prodloužit o další dva měsíce u složitých nebo četných žádostí, s oznámením).

8.1 Právo na přístup (čl. 15 GDPR)

Máte právo získat potvrzení, zda zpracováváme vaše osobní údaje, a pokud ano, kopii těchto údajů spolu s informacemi o zpracování (účely, kategorie, příjemci, doba uchovávání, záruky).

8.2 Právo na opravu (čl. 16 GDPR)

Máte právo na opravu nepřesných osobních údajů nebo doplnění neúplných údajů. Většinu svých údajů můžete aktualizovat přímo v nastavení Služby.

8.3 Právo na výmaz ("právo být zapomenut") (čl. 17 GDPR)

Máte právo požádat o výmaz svých osobních údajů, pokud: údaje již nejsou potřebné pro původní účel; odvoláte souhlas (pokud byl souhlas právním základem); vznesete námitku a neexistují převažující oprávněné důvody; údaje byly zpracovány protiprávně; nebo výmaz vyžaduje zákon.

Toto právo podléhá výjimkám, včetně zákonných povinností uchovávání. Účtenky obsahující účetní záznamy mohou být uchovávány po zákonem stanovenou dobu i po obdržení žádosti o výmaz.

8.4 Právo na omezení zpracování (čl. 18 GDPR)

Můžete požádat o omezení zpracování vašich údajů za určitých okolností (např. při zpochybnění přesnosti údajů, při posuzování námitky nebo pokud dáváte přednost omezení před výmazem protiprávně zpracovávaných údajů).

8.5 Právo na přenositelnost údajů (čl. 20 GDPR)

Pokud je zpracování založeno na smlouvě nebo souhlasu a provádí se automatizovaně, máte právo obdržet své osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu (CSV, XLSX) a předat je jinému správci. Exportní funkce Služby (CSV/XLSX/YAML) toto právo přímo podporuje. Můžete také požádat o úplný export dat kontaktováním podpory ochrany osobních údajů.

8.6 Právo vznést námitku (čl. 21 GDPR)

Pokud je zpracování založeno na oprávněných zájmech (čl. 6 odst. 1 písm. f)), máte právo kdykoli vznést námitku. Správce zpracování ukončí, pokud neprokáže závažné oprávněné důvody, které převažují nad vašimi zájmy, nebo pro určení, výkon či obhajobu právních nároků.

8.7 Právo odvolat souhlas (čl. 7 odst. 3 GDPR)

Pokud je zpracování založeno na vašem souhlasu, můžete jej kdykoli odvolat, aniž by tím byla dotčena zákonnost zpracování provedeného před odvoláním. Konkrétně:

  • Bankovní propojení: Odvolejte kdykoli z obrazovky nastavení banky v aplikaci. OAuth tokeny jsou okamžitě smazány.
  • AI zpracování účtenek: Můžete se odhlásit ze zpracování Gemini AI v nastavení aplikace; funkce OCR budou omezeny pouze na zpracování na zařízení.

8.8 Práva související s automatizovaným rozhodováním

Viz část 10.

8.9 Ověření totožnosti

Pro ochranu vašich údajů vás můžeme požádat o ověření totožnosti před vyřízením žádosti subjektu údajů. Nevyřídíme žádosti, u nichž nelze přiměřeně ověřit totožnost žadatele.

9. Právo podat stížnost

Máte právo podat stížnost u dozorového úřadu, pokud se domníváte, že jsme vaše osobní údaje zpracovali protiprávně. Můžete se obrátit na:

Úřad Jurisdikce Kontakt
Úřad pro ochranu osobních údajů (ÚOOÚ) Česká republika
(pro subjekty údajů s bydlištěm v ČR)
Pplk. Sochora 27, 170 00 Praha 7, Česká republika
Tel: +420 234 665 111
E-mail: posta@uoou.gov.cz
Web: uoou.cz
Úřad na ochranu osobných údajov SR
Úřad pro ochranu osobních údajů SR
Slovenská republika
(vedoucí dozorový úřad pro Správce)
Námestie 1. mája 18, 811 06 Bratislava, Slovenská republika
Tel: +421 2 3231 3214
E-mail: statny.dozor@pdp.gov.sk
Web: dataprotection.gov.sk

Žádáme vás, abyste nás nejprve kontaktovali na , abychom se pokusili vyřešit případné obavy přímo před postoupením dozorovému úřadu.

10. Automatizované rozhodování a profilování

10.1 AI extrakce dat z účtenek

Služba používá Google Gemini AI k automatické extrakci dat z nahraných obrázků účtenek (název prodejce, celková částka, datum, položky, detaily DPH). Jedná se o automatizovanou operaci zpracování. Nepředstavuje však automatizované rozhodování s právními nebo podobně závažnými účinky ve smyslu čl. 22 odst. 1 GDPR: uživatel si plně zachovává kontrolu a může všechna AI extrahovaná data před uložením zkontrolovat, upravit nebo odmítnout. Žádná rozhodnutí nejsou přijímána automaticky bez lidské kontroly.

10.2 AI párování bankovních transakcí

Služba používá Google Gemini AI k navrhování shod mezi nahranými účtenkami a bankovními transakcemi („automatické párování"). Jedná se pouze o návrhy — jsou označeny k potvrzení uživatelem a nenabývají účinnosti, dokud je uživatel ručně nepotvrdí nebo neakceptuje. To nepředstavuje automatizované rozhodování s právními účinky dle čl. 22.

10.3 Omezení rychlosti

Automatizované omezení rychlosti na základě IP adresy je uplatňováno pro prevenci zneužití. Kde IP adresa překročí nakonfigurovaný práh požadavků, jsou požadavky dočasně blokovány. Jedná se o bezpečnostní opatření a nepředstavuje profilování pro komerční nebo diskriminační účely.

10.4 Žádné profilování pro marketing

Správce se nezabývá behaviorálním profilováním, cílenou reklamou ani automatizovaným hodnocením úvěruschopnosti na základě dat uživatelů.

11. Povinnost poskytnout údaje

Údaje Povinné / Volitelné Důsledek neposkytnutí
E-mailová adresa Povinné Nelze vytvořit účet ani používat Službu
Zobrazované jméno Povinné (může být automaticky vyplněno) Nelze dokončit registraci; vyžadováno pro identifikaci ve firemním prostoru
Obrázky účtenek a metadata Volitelné (hlavní případ použití, bez povinnosti) Funkce správy účtenek nejsou dostupné
Bankovní propojení (Tatrabanka OAuth) Volitelné Bankovní integrace a automatické párování nejsou dostupné; všechny ostatní funkce fungují normálně
AI zpracování účtenek (Gemini) Volitelné (dostupné OCR na zařízení jako alternativa) Automatická extrakce dat z účtenek není dostupná; vyžadován ruční zadávání
Data firemního prostoru (název společnosti, detaily členů) Volitelné Funkce firemní spolupráce nejsou dostupné; funkce pro osobní použití nejsou dotčeny

12. Údaje dětí

Služba není určena dětem. Požadavky na minimální věk:

  • 16 let — Slovenská republika (zákon č. 18/2018 Z. z., §15, čl. 8 GDPR)
  • 15 let — Česká republika (zákon č. 110/2019 Sb., §7)
  • 16 let — všechny ostatní jurisdikce (výchozí hodnota čl. 8 GDPR)

Správce záměrně neshromažďuje osobní údaje osob pod příslušnou věkovou hranicí bez ověřitelného souhlasu rodiče nebo zákonného zástupce. Pokud správce zjistí, že byly shromážděny osobní údaje nezletilého uživatele bez rodičovského souhlasu, tyto údaje budou neprodleně smazány.

Pokud jste rodič nebo zákonný zástupce a domníváte se, že vaše dítě se zaregistrovalo do FlowKeeps bez vašeho souhlasu, kontaktujte nás na .

Poznámka k českému právu: Nižší věková hranice 15 let (Česká republika) musí být zohledněna v mechanismech souhlasu pro uživatele s bydlištěm v ČR. To vyžaduje mechanismus ke zjištění země bydliště uživatele při registraci.

13. Zásady používání souborů cookie

13.1 Rozsah použití

Pravidla pro cookies dle Směrnice o soukromí a elektronických komunikacích (2002/58/ES, transponované v České republice zákonem č. 127/2005 Sb. a zákonem č. 110/2019 Sb.) se vztahují zejména na webové stránky (flowkeeps.com) a jakoukoliv webovou verzi FlowKeeps. Mobilní aplikace (Android, iOS) cookies nepoužívají; využívají lokální zabezpečené úložiště tokenů na zařízení.

Návrh nařízení EU o ePrivacy byl officiálně stažen dne 11. února 2025. Směrnice o ePrivacy a její národní transpozice zůstávají platným právem pro souhlas s cookies.

13.2 Kategorie cookies

Kategorie Vyžadován souhlas? Popis Příklady (aktuální)
Nezbytně nutné Ne (vyjmuty) Nezbytné pro fungování webu. Nelze zakázat bez narušení základní funkčnosti. Sem patří cookies pro správu autentizačních relací. Správa relací, autentizační tokeny (Flutter web), ochrana CSRF
Funkční / preferenční Ano — předchozí opt-in Zapamatování preferencí uživatele (jazyk, motiv) pro zlepšení zážitku. Výběr jazyka, preference motivu (aktuálně uloženy v aplikaci, ne v cookies)
Analytické / výkonnostní Ano — předchozí opt-in
(oprávněný zájem NENÍ platným základem pro analytické cookies)
Měření použití a výkonu pro zlepšení Služby. Žádné analytické cookies aktuálně nasazeny.
Marketingové / reklamní Ano — předchozí opt-in Sledování uživatelů napříč weby pro cílenou reklamu. Žádné marketingové cookies aktuálně nasazeny.

13.3 Požadavky na souhlas s cookies

Při spuštění webové stránky správce implementuje platformu pro správu souhlasů (CMP) v souladu s GDPR, která musí:

  • Blokovat všechny nepodstatné cookies a skripty před udělením souhlasu;
  • Zobrazovat tlačítka „Přijmout vše" a „Odmítnout vše" (nebo „Přijmout pouze nezbytné") se stejnou vizuální prominencí a barvou (požadováno praxí ČOI a pokyny EDPB);
  • Nabízet granulární opt-in na úrovni kategorií;
  • Nepoužívat předem zaškrtnutá políčka (rozsudek SDEU ve věci Planet49, C-673/17);
  • Nespojovat souhlas s cookies s přijetím těchto podmínek nebo zásad ochrany osobních údajů;
  • Zveřejňovat životnost cookies a přístup třetích stran pro každý cookie;
  • Zaznamenávat souhlas s časovým razítkem a konkrétními volbami;
  • Umožňovat snadné odvolání souhlasu kdykoli (prostřednictvím trvalého odkazu „Spravovat cookies");
  • Obnovovat souhlas přibližně každých 12 měsíců.

13.4 Aktuální stav

Služba je před spuštěním. Žádné nepodstatné cookies nejsou aktuálně nasazeny. Firebase Authentication při použití na webové platformě může nastavovat nezbytně nutné cookies relace. Ty jsou zde zveřejněny dle čl. 5(3) Směrnice o ePrivacy bez ohledu na vyjmutí ze souhlasu.

13.5 Audit cookies

Před veřejným spuštěním bude proveden plný automatizovaný audit cookies pro identifikaci všech trackerů načtených na flowkeeps.com. Výsledky budou použity k naplnění komplexního registru cookies a aktualizaci těchto zásad.

14. Aktualizace zásad

Správce může tyto Zásady ochrany osobních údajů čas od času aktualizovat, aby odrážely změny v činnostech zpracování, právních požadavcích nebo obchodních operacích.

Při podstatných změnách (nové účely zpracování, nové kategorie údajů, noví příjemci třetích stran nebo změny postupů pro práva subjektů údajů):

  • Dotčení uživatelé budou upozorněni e-mailem a oznámením v aplikaci nejméně 30 dní před nabytím účinnosti změn;
  • Pokud podstatná změna vyžaduje nový souhlas, bude tento souhlas vyžádán před nabytím účinnosti změny;
  • Uživatelé, kteří se změnami nesouhlasí, mohou před datem účinnosti smazat svůj účet.

Při nepodstatných změnách (opravy, aktualizace kontaktních informací, upřesnění, která neovlivňují práva) bude zveřejněna aktualizovaná verze s novým datem poslední aktualizace, bez předchozího oznámení.

Aktuální verze těchto Zásad ochrany osobních údajů je vždy k dispozici na flowkeeps.com/privacy. Datum účinnosti a číslo verze jsou uvedeny v záhlaví tohoto dokumentu.

Flowkeeps

by House of Comms s.r.o.

Privacy Policy Terms & Conditions Press

© 2026 House Of Comms s.r.o. All rights reserved.

House of Comms Logo