Service: FlowKeeps |
Controller: House of Comms s.r.o. |
Version: 1.0 |
Effective date: |
Last updated: 19 March 2026
Language notice: This Privacy Policy is also available in Slovak (Zásady ochrany osobných údajov) and Czech (Zásady ochrany osobních údajů). Slovak Consumers are entitled to receive this information in Slovak. Czech Consumers are entitled to receive it in Czech. The applicable national-language version is the binding version for Consumers in that jurisdiction.
At a glance — what we do with your data
Who we are: House of Comms s.r.o., IČO 50649833, Brectanova 3, Bratislava 831 01, Slovak Republic. Contact:
What data we collect: Your email, name, receipt images and metadata, bank account and transaction data (only if you connect a bank), company workspace data, and technical/device data.
Why we collect it: To provide the FlowKeeps service, authenticate your identity, process receipts via AI, and comply with legal obligations.
Who we share it with: Google (Firebase authentication, Gemini AI), Amazon Web Services (cloud storage), Tatrabanka (bank data, only if you connect), and the European Central Bank (exchange rate queries — no personal data sent).
How long we keep it: Account data is kept while your account is active. Receipts and financial data are kept until you delete them or close your account, with limited retention for legal compliance.
Your rights: You have the right to access, correct, delete, export, and object to processing of your data. Contact us at .
Supervisory authorities: Úrad na ochranu osobných údajov SR (Slovakia) | ÚOOÚ (Czech Republic).
The full policy below provides complete details required by GDPR Articles 13–14.
1. Controller Identity and Contact
Data Controller:
House of Comms s.r.o.
Registered office: Brectanova 3, Bratislava 831 01, Slovak Republic
IČO (Company ID): 50649833
DIČ (Tax ID):
IČ DPH (VAT):
Commercial Register: Municipal Court Bratislava III, Section Sro, Insert No. 116669/B
Privacy contact:
Email:
Phone:
Postal: House of Comms s.r.o., Brectanova 3, Bratislava 831 01, Slovak Republic
The Controller is responsible for determining the purposes and means of processing your personal data. Where Business Users use FlowKeeps to manage data of their own customers or employees, those Business Users act as independent controllers, and a Data Processing Agreement under GDPR Article 28 is required (see Terms & Conditions §12.1).
Slovak-law note: Personal data processing is governed by Act No. 18/2018 Coll. on the Protection of Personal Data, which implements the GDPR in the Slovak Republic. The Controller does not process the national identifier (rodné číslo) for the purposes of the FlowKeeps service. Processing of such identifiers would require a separate lawful basis under §78 of Act 18/2018 and is not carried out.
Czech-law note: Processing by Czech-resident users is additionally governed by Act No. 110/2019 Sb. on the Processing of Personal Data.
2. Data Protection Officer
The Controller has not appointed a Data Protection Officer (DPO) as the core activities of FlowKeeps do not require regular and systematic large-scale monitoring of data subjects, nor large-scale processing of special category data, under GDPR Article 37(1).
However, given the EDPB's 2026 coordinated enforcement focus on GDPR Articles 12–14 transparency obligations, voluntary DPO appointment is under review. Privacy-related enquiries may be directed to in the meantime.
Slovak-law note: Voluntary DPO appointments, when made, must be notified to the Úrad na ochranu osobných údajov SR via the DPA's online notification form (available at dataprotection.gov.sk), pursuant to Act 18/2018 §44(4).
3. Processing Activities
The following table maps each processing purpose to its legal basis under GDPR Article 6, the categories of personal data processed, the recipients, and the retention period. This tabular format reflects EDPB best-practice guidance for GDPR Article 13 transparency disclosures.
Purpose
Legal Basis (GDPR Art. 6)
Data Categories
Recipients
Retention
Account creation and authentication
Art. 6(1)(b) — contract performance Necessary to enter into and perform the service contract
User ID, version of Terms/PP accepted, acceptance timestamp
Provider's database (AWS)
Until account deletion + 3 years for compliance evidence
Currency conversion
Art. 6(1)(b) — contract performance
Receipt amount and currency (no personal data sent to ECB API)
European Central Bank Statistical Data API (no personal data transmitted)
Conversion rates cached in memory per session; not stored as personal data
Legitimate interests assessment: Where the Controller relies on Art. 6(1)(f) (legitimate interests), we have assessed that these interests are not overridden by the data subjects' rights and freedoms. In all such cases, the processing is limited to what is strictly necessary, the data subjects can reasonably expect such processing, and appropriate safeguards are in place. You may object to legitimate-interest processing at any time (see Section 8.6).
4. Categories of Personal Data
4.1 Registration and identity data
Email address (required)
Display name (required; may be auto-populated from authentication provider)
Password (stored as a secure hash; never transmitted or stored in plain text)
Authentication provider and provider-specific identifier (where Google or Apple Sign-In is used)
Email verification status
Timestamps: account creation, last update, Terms & Privacy Policy acceptance
4.2 Financial and receipt data
Receipt images (photographs or scanned files of receipts and invoices)
Vendor/merchant name
Total amount, currency (ISO 4217), and ECB-converted EUR equivalent
Receipt date
Line items (product name, quantity, unit, price)
VAT summary (rate, base amount, VAT amount)
Slovak/Czech fiscal identifiers appearing on receipts: IČO, DIČ, IČ DPH, OKP (security code), receipt ID
Selling place / place of issue
OCR text (raw text extracted from receipt image)
User-defined tags
4.3 Bank and payment data
OAuth access and refresh tokens (AES-256 encrypted at rest)
Bank transactions: amount, currency, booking/value date, creditor/debtor name and IBAN, remittance information, variable/constant/specific symbols, transaction type, direction
Reconciliation status (linked receipt IDs)
4.4 Company and team data
Company name
Member names and email addresses
Role assignments (Owner, Worker, Accountant)
Invite codes (temporary, single-use, time-limited; expire after 24 hours)
IP address (used for rate limiting; not stored long-term in identifiable form)
User-Agent string
JWT session token (server-issued; stored in device secure storage)
App version (via Flutter package_info_plus)
Platform (Android / iOS / Web)
User language preference (en/sk/cs)
User theme preference (light/dark/system)
4.6 Special category data
The Service is not designed to process special-category personal data (GDPR Article 9) such as health data, biometric data, racial or ethnic origin, political opinions, religious beliefs, or sexual orientation. Users should not upload receipt images or other Content containing special-category data. If special-category data is inadvertently included in uploaded receipts, the Controller will treat it in accordance with applicable law.
5. Recipients and Sub-processors
The Controller engages the following categories of third parties as data processors (Art. 28 GDPR), each bound by a Data Processing Agreement or equivalent contractual safeguard:
Sub-processor / Recipient
Entity / Location
Purpose
Data Transferred
Google Firebase Authentication
Google LLC, USA (EU data residency options available)
User authentication (email/password, Google Sign-In, Apple Sign-In), email verification, password reset
AI-powered receipt image analysis and OCR extraction
Receipt images (sent for real-time processing); extracted text metadata returned
Amazon Web Services (AWS) S3
Amazon.com Inc., USA (region configurable; EU region required for GDPR compliance)
Receipt image cloud storage
Receipt images; S3 object keys
Amazon Web Services (AWS) RDS / PostgreSQL
Amazon.com Inc., USA (region configurable; EU region required)
Primary application database (users, receipts, bank data, company data)
All personal data categories (Sections 4.1–4.5)
Tatrabanka a.s.
Tatrabanka a.s., Hodžovo námestie 3, 811 06 Bratislava, Slovak Republic
PSD2-compliant bank data access (account info, transactions) — only when User initiates bank connection
OAuth tokens (issued by Tatrabanka); account and transaction data provided by Tatrabanka
European Central Bank (ECB)
European Central Bank, Frankfurt, Germany
Exchange rate data retrieval (public API)
No personal data transmitted to ECB. Query contains only currency codes and dates.
The Controller maintains an up-to-date sub-processor list. Users may request the current list by contacting .
The Controller does not sell personal data to third parties. Personal data is not shared with third parties for their own marketing or advertising purposes.
6. International Data Transfers
Several sub-processors are located outside the European Economic Area (EEA). The Controller ensures that such transfers comply with GDPR Chapter V:
Recipient
Transfer destination
Safeguard
Google LLC (Firebase, Gemini)
United States
EU Standard Contractual Clauses (SCCs) — Google Cloud Data Processing Addendum; EU-US Data Privacy Framework (where applicable). The EU General Court upheld the EU-US DPF in September 2025, but SCCs are maintained as a parallel safeguard given residual uncertainty.
Amazon Web Services (S3, RDS)
United States (corporate); EU regions available and required for production data
EU SCCs — AWS GDPR Data Processing Addendum; production AWS resources must be deployed in an EEA region (e.g., eu-central-1 Frankfurt or eu-west-1 Dublin) to minimise transfers. Where data is processed in US AWS regions (e.g., for global infrastructure), EU SCCs apply.
Tatrabanka a.s. is a Slovak entity. The ECB is an EU institution. No personal data transfers outside the EEA occur through these services.
You may obtain a copy of the applicable transfer safeguards (SCCs) by contacting .
AWS region requirement: For GDPR compliance, the Controller must deploy all AWS resources storing personal data in an EEA region. This is a compliance action item (see compliance.md).
7. Retention Periods
Data Category
Retention Period
Legal Basis / Justification
Account registration data (email, name, auth data)
Active account lifetime + 12 months after account deletion
10 minutes (rate-limit state); security logs: 90 days
Legitimate interests (security, abuse prevention)
JWT session tokens
Session duration; expire per configured JWT TTL; revoked on logout/account deletion
Contract performance
Accounting and transaction records (legal retention)
10 years from end of financial year in which the record was created
Legal obligation — Act 431/2002 Coll. on Accounting (Slovakia); Act 563/1991 Sb. on Accounting (Czech Republic)
Invite codes
24 hours from creation (automatic expiry); deleted on use
Contract performance
After the applicable retention period, personal data is securely deleted from production and backup systems. Backup deletion may lag by up to 90 days due to backup rotation schedules.
8. Your Data Subject Rights
Under GDPR and applicable national law, you have the following rights regarding your personal data. To exercise any right, contact . The Controller will respond within one month of receiving your request (extendable by a further two months for complex or numerous requests, with notification).
8.1 Right of access (GDPR Art. 15)
You have the right to obtain confirmation of whether we process your personal data and, if so, a copy of that data together with information about the processing (purposes, categories, recipients, retention, safeguards).
8.2 Right to rectification (GDPR Art. 16)
You have the right to correct inaccurate personal data or complete incomplete data. You may update most of your data directly within the Service settings.
8.3 Right to erasure ("right to be forgotten") (GDPR Art. 17)
You have the right to request deletion of your personal data where: the data is no longer necessary for its original purpose; you withdraw consent (where consent was the legal basis); you object and there are no overriding legitimate grounds; the data was processed unlawfully; or deletion is required by law.
This right is subject to exceptions, including legal retention obligations. Receipts containing accounting records may be retained for the legally mandated period even after a deletion request.
8.4 Right to restriction of processing (GDPR Art. 18)
You may request that we restrict processing of your data in certain circumstances (e.g., while accuracy is contested, while an objection is considered, or when you prefer restriction to erasure of unlawfully processed data).
8.5 Right to data portability (GDPR Art. 20)
Where processing is based on contract or consent and carried out by automated means, you have the right to receive your personal data in a structured, commonly used, machine-readable format (CSV, XLSX) and to transmit it to another controller. The Service's export function (CSV/XLSX/YAML) directly supports this right. You may also request a full data export by contacting privacy support.
8.6 Right to object (GDPR Art. 21)
Where processing is based on legitimate interests (Art. 6(1)(f)), you have the right to object at any time. The Controller will cease processing unless it can demonstrate compelling legitimate grounds that override your interests, or for the establishment, exercise, or defence of legal claims.
8.7 Right to withdraw consent (GDPR Art. 7(3))
Where processing is based on your consent, you may withdraw it at any time without affecting the lawfulness of processing carried out before withdrawal. Specifically:
Bank connection: Revoke at any time from the bank settings screen within the app. OAuth tokens are immediately deleted.
AI receipt processing: You may opt out of Gemini AI processing in app settings; OCR features will be limited to on-device processing only.
8.8 Rights related to automated decision-making
See Section 10.
8.9 Identity verification
To protect your data, we may ask you to verify your identity before fulfilling a data subject request. We will not fulfil requests where we cannot reasonably verify the requester's identity.
Slovak-law note: Data subjects in the Slovak Republic may exercise rights under Act 18/2018 §§19–30 in addition to GDPR rights. There is no requirement to pay a fee for exercising these rights under normal circumstances.
9. Right to Lodge a Complaint
You have the right to lodge a complaint with a supervisory authority if you believe we have processed your personal data unlawfully. You may contact:
Authority
Jurisdiction
Contact
Úrad na ochranu osobných údajov SR Office for Personal Data Protection of the Slovak Republic
Slovak Republic (lead supervisory authority for the Controller)
We ask that you contact us first at so we can try to resolve any concerns directly before escalating to a supervisory authority.
Slovak-law note: Unauthorised processing of personal data constitutes a criminal offence under §374 of the Slovak Criminal Code (Act No. 300/2005 Coll.), enforceable by criminal prosecution authorities.
Czech-law note: The ÚOOÚ specifically enforces equal visual prominence of cookie consent buttons (Accept / Refuse all must have similar prominence and colour). See Section 13.
10. Automated Decision-Making and Profiling
10.1 AI-assisted receipt data extraction
The Service uses Google Gemini AI to automatically extract data from uploaded receipt images (vendor name, total amount, date, line items, VAT details). This is an automated processing operation. However, it does not constitute automated decision-making that produces legal or similarly significant effects within the meaning of GDPR Article 22(1): the User retains full control to review, edit, or discard all AI-extracted data before it is saved. No decisions are made automatically without human review.
10.2 AI-assisted bank reconciliation
The Service uses Google Gemini AI to suggest matches between uploaded receipts and bank transactions ("auto-reconciliation"). These are suggestions only — they are flagged for User confirmation and do not take effect until the User manually confirms or accepts the suggested link. This does not constitute automated decision-making with legal effects under Art. 22.
10.3 Rate limiting
Automated IP-based rate limiting is applied to prevent abuse. Where an IP address exceeds the configured request threshold, requests are temporarily blocked. This is a security measure and does not constitute profiling for commercial or discriminatory purposes.
10.4 No profiling for marketing
The Controller does not engage in behavioural profiling, targeted advertising, or automated credit scoring based on User data.
11. Obligation to Provide Data
Data
Mandatory / Optional
Consequence of not providing
Email address
Mandatory
Cannot create an account or use the Service
Display name
Mandatory (may be auto-populated)
Cannot complete registration; required for Company Workspace identification
Receipt images and metadata
Optional (core use case, but no obligation)
Receipt management features unavailable
Bank connection (Tatrabanka OAuth)
Optional
Bank integration and auto-reconciliation features unavailable; all other features function normally
AI receipt processing (Gemini)
Optional (on-device OCR available as alternative)
Automatic data extraction from receipts unavailable; manual entry required
Company Workspace data (company name, member details)
Optional
Company collaboration features unavailable; personal-use features unaffected
12. Children's Data
The Service is not directed at children. Minimum age requirements:
16 years — all other jurisdictions (GDPR Art. 8 default)
The Controller does not knowingly collect personal data from persons below the applicable age threshold without verifiable parental or guardian consent. If the Controller becomes aware that personal data has been collected from an underage user without parental consent, that data will be deleted promptly.
If you are a parent or guardian and believe your child has registered for FlowKeeps without your consent, please contact .
Slovak-law note: The national identifier (rodné číslo) is never collected by the Service. Its use for age verification purposes is restricted under Act 18/2018 §78.
Czech-law note: The lower age threshold of 15 (Czech Republic) must be reflected in consent mechanisms for Czech-resident users. This requires a mechanism to determine the user's country of residence at registration.
13. Cookie Policy
13.1 Applicable context
Cookie rules under the ePrivacy Directive (2002/58/EC, as transposed in Slovakia by Act No. 351/2011 Coll. and in the Czech Republic by Act No. 127/2005 Sb. and Act No. 110/2019 Sb.) apply primarily to the website (flowkeeps.com) and any web-based version of FlowKeeps. The mobile apps (Android, iOS) do not use cookies; they use device-local secure token storage.
The EU ePrivacy Regulation proposal was officially withdrawn on 11 February 2025. The ePrivacy Directive and its national transpositions remain the governing law for cookie consent.
13.2 Cookie categories
Category
Consent required?
Description
Examples (current)
Strictly necessary
No (exempt)
Essential for the website to function. Cannot be disabled without breaking core functionality. Authentication session cookies fall here.
Remember user preferences (language, theme) to improve experience.
Language selection, theme preference (currently stored in app, not cookies)
Analytics / performance
Yes — prior opt-in (legitimate interest is NOT a valid basis for analytics cookies)
Measure usage and performance to improve the Service.
No analytics cookies currently deployed.
Marketing / advertising
Yes — prior opt-in
Track Users across sites for targeted advertising.
No marketing cookies currently deployed.
13.3 Cookie consent requirements
When the website is launched, the Controller will implement a GDPR-compliant Consent Management Platform (CMP) — such as Cookiebot or Usercentrics — which must:
Block all non-essential cookies and scripts before consent is given;
Present "Accept all" and "Reject all" (or "Accept necessary only") buttons with equal visual prominence and colour (required by Czech DPA enforcement practice and EDPB guidelines);
Offer granular category-level opt-in;
Not use pre-ticked checkboxes (Planet49 CJEU ruling, C-673/17);
Not bundle cookie consent with acceptance of these Terms or the Privacy Policy;
Disclose cookie lifespan and third-party access for each cookie;
Record consent with a timestamp and the specific choices made;
Allow easy withdrawal of consent at any time (via a persistent "Manage cookies" link);
Refresh consent approximately every 12 months.
13.4 Current status
The Service is in pre-launch. No non-essential cookies are currently deployed. Firebase Authentication, when used on the web platform, may set strictly necessary session cookies. These are disclosed here as required by Art. 5(3) of the ePrivacy Directive regardless of consent exemption.
13.5 Cookie audit
A full automated cookie audit will be conducted prior to public launch to identify all trackers loaded on flowkeeps.com. The results will be used to populate a comprehensive cookie register and update this policy.
14. Policy Updates
The Controller may update this Privacy Policy from time to time to reflect changes in processing activities, legal requirements, or business operations.
For material changes (new processing purposes, new data categories, new third-party recipients, or changes to data subject rights procedures):
Affected Users will be notified via email and in-app notification at least 30 days before the change takes effect;
Where a material change requires fresh consent, this will be sought before the change takes effect;
Users who do not agree with the changes may delete their account prior to the effective date.
For non-material changes (corrections, updated contact information, clarifications that do not affect rights), an updated version will be published with a new "last updated" date, without prior notification.
The current version of this Privacy Policy is always accessible at flowkeeps.com/privacy. The effective date and version number appear at the top of this document.
Zásady ochrany osobných údajov
Služba: FlowKeeps |
Prevádzkovateľ: House of Comms s.r.o. |
Verzia: 1.0 |
Dátum účinnosti: |
Naposledy aktualizované: 19. marca 2026
Jazykové upozornenie: Tieto Zásady ochrany osobných údajov sú k dispozícii aj v angličtine (Privacy Policy) a češtine (Zásady ochrany osobních údajů). Slovenskí spotrebitelia majú právo dostať tieto informácie v slovenskom jazyku. Českí spotrebitelia majú právo dostať ich v českom jazyku. Pre spotrebiteľov v danej jurisdikcii je záväzná príslušná jazyková verzia.
V skratke — čo robíme s vašimi údajmi
Kto sme: House of Comms s.r.o., IČO 50649833, Brectanova 3, Bratislava 831 01, Slovenská republika. Kontakt:
Aké údaje zhromažďujeme: Váš e-mail, meno, obrázky dokladov a metadáta, údaje o bankovom účte a transakciách (len ak pripojíte banku), údaje o firemnom pracovnom priestore a technické údaje/údaje o zariadení.
Prečo ich zhromažďujeme: Na poskytovanie služby FlowKeeps, overenie vašej totožnosti, spracovanie dokladov pomocou umelej inteligencie a plnenie zákonných povinností.
S kým ich zdieľame: Google (autentifikácia Firebase, umelá inteligencia Gemini), Amazon Web Services (cloudové úložisko), Tatrabanka (bankové údaje, len pri prepojení) a Európska centrálna banka (dotazy na výmenné kurzy — neposielajú sa žiadne osobné údaje).
Ako dlho ich uchovávame: Údaje o účte sa uchovávajú počas aktivity vášho účtu. Doklady a finančné údaje sa uchovávajú, kým ich nevymažete alebo nezrušíte účet, s obmedzeným uchovávaním pre účely dodržiavania právnych predpisov.
Vaše práva: Máte právo na prístup, opravu, vymazanie, export a namietanie proti spracúvaniu vašich údajov. Kontaktujte nás na .
Dozorné orgány: Úrad na ochranu osobných údajov SR (Slovensko) | ÚOOÚ (Česká republika).
Úplné znenie zásad nižšie poskytuje všetky podrobnosti vyžadované podľa článkov 13–14 GDPR.
1. Totožnosť a kontaktné údaje prevádzkovateľa
Prevádzkovateľ (Správca údajov):
House of Comms s.r.o.
Sídlo: Brectanova 3, Bratislava 831 01, Slovenská republika
IČO: 50649833
DIČ:
IČ DPH:
Obchodný register: Mestský súd Bratislava III, Oddiel: Sro, Vložka č. 116669/B
Kontakt pre ochranu súkromia:
E-mail:
Telefón:
Korešpondenčná adresa: House of Comms s.r.o., Brectanova 3, Bratislava 831 01, Slovenská republika
Prevádzkovateľ je zodpovedný za určenie účelov a prostriedkov spracúvania vašich osobných údajov. V prípadoch, keď Firemní používatelia využívajú FlowKeeps na správu údajov svojich vlastných zákazníkov alebo zamestnancov, títo Firemní používatelia konajú ako nezávislí prevádzkovatelia a vyžaduje sa Zmluva o spracúvaní údajov podľa článku 28 GDPR (pozri VOP §12.1).
Poznámka k slovenskému právu: Spracúvanie osobných údajov sa riadi zákonom č. 18/2018 Z. z. o ochrane osobných údajov, ktorý implementuje GDPR v SR. Prevádzkovateľ nespracúva rodné číslo na účely služby FlowKeeps. Jeho spracúvanie by si vyžadovalo osobitný právny základ podľa §78 zákona a nevykonáva sa.
Poznámka k českému právu: Spracúvanie používateľmi s pobytom v ČR sa dodatočne riadi zákonom č. 110/2019 Sb. o spracúvaní osobných údajov.
2. Zodpovedná osoba (DPO)
Prevádzkovateľ nevymenoval zodpovednú osobu (DPO), keďže hlavné činnosti FlowKeeps si nevyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu, ani spracúvanie osobitných kategórií údajov vo veľkom rozsahu podľa článku 37 ods. 1 GDPR.
Vzhľadom na koordinované presadzovanie GDPR v roku 2026 zo strany EDPB zamerané na povinnosti transparentnosti podľa článkov 12–14 GDPR je dobrovoľné vymenovanie DPO predmetom preskúmania. Otázky týkajúce sa ochrany súkromia môžete medzičasom smerovať na .
Poznámka k slovenskému právu: Dobrovoľné vymenovania DPO, ak budú vykonané, musia byť oznámené Úradu na ochranu osobných údajov SR prostredníctvom online formulára úradu (dostupného na dataprotection.gov.sk) podľa §44(4) zákona č. 18/2018 Z. z.
3. Činnosti spracúvania
Nasledujúca tabuľka priraďuje každý účel spracúvania k jeho právnemu základu podľa článku 6 GDPR, kategóriám spracúvaných osobných údajov, príjemcom a dobe uchovávania. Tento tabuľkový formát odráža najlepšie postupy podľa usmernení EDPB pre transparentné informácie podľa článku 13 GDPR.
Účel
Právny základ (čl. 6 GDPR)
Kategórie údajov
Príjemcovia
Uchovávanie
Vytvorenie účtu a autentifikácia
Čl. 6(1)(b) — plnenie zmluvy Nevyhnutné na uzavretie a plnenie zmluvy o poskytovaní služby
E-mail, meno, hash hesla, ID poskytovateľa autentifikácie, stav overenia e-mailu, časové pečiatky súhlasu
Google Firebase (autentifikácia); PostgreSQL databáza Prevádzkovateľa (AWS)
Do vymazania účtu; max. 5 rokov po zrušení na účely auditu/právne účely
Správa a ukladanie dokladov
Čl. 6(1)(b) — plnenie zmluvy
Obrázky dokladov, predajca, suma, mena, dátum, položky, detaily DPH (vrátane IČO, DIČ, IČ DPH na dokladoch), OCR text, značky, údaje o konverzii mien
AWS S3 (uloženie obrázkov); Google Gemini API (OCR, ak používateľ nahrá obrázok); Databáza Prevádzkovateľa (AWS)
Kým Používateľ nevymaže doklady alebo účet; obrázky v S3 vymazané pri vymazaní dokladu alebo účtu
Extrakcia údajov z dokladov pomocou AI (OCR)
Čl. 6(1)(b) — plnenie zmluvy; Čl. 6(1)(a) — súhlas pre voliteľné spracovanie AI (zverejnené pri nahrávaní)
Obrázky dokladov; extrahované metadáta
Google LLC (Gemini API)
Obrázky sa prenášajú na spracovanie v reálnom čase; Google ich neuchováva na trénovanie modelov podľa Google Cloud DPA
ID používateľa, verzia prijatých VOP/Zásad, časová pečiatka prijatia
Databáza Prevádzkovateľa (AWS)
Do vymazania účtu + 3 roky na účely preukázania zhody
Konverzia mien
Čl. 6(1)(b) — plnenie zmluvy
Suma dokladu a mena (do ECB API sa neposielajú žiadne osobné údaje)
API pre štatistické údaje Európskej centrálnej banky (neprenášajú sa žiadne osobné údaje)
Kurzy konverzie uchovávané v pamäti počas relácie; neuchovávajú sa ako osobné údaje
Posúdenie oprávnených záujmov: Tam, kde sa Prevádzkovateľ opiera o čl. 6(1)(f) (oprávnené záujmy), posúdili sme, že tieto záujmy nie sú prevažované právami a slobodami dotknutých osôb. Vo všetkých takýchto prípadoch je spracúvanie obmedzené na nevyhnutne potrebné, dotknuté osoby môžu takéto spracúvanie rozumne očakávať a sú zavedené primerané záruky. Proti spracúvaniu na základe oprávneného záujmu môžete kedykoľvek namietať (pozri časť 8.6).
4. Kategórie osobných údajov
4.1 Registračné a identifikačné údaje
E-mailová adresa (povinná)
Zobrazované meno (povinné; môže byť automaticky vyplnené z poskytovateľa autentifikácie)
Heslo (uchovávané ako bezpečnostný hash; nikdy neprenášané ani neukladané v otvorenej forme)
Poskytovateľ autentifikácie a identifikátor špecifický pre poskytovateľa (pri použití Google alebo Apple Sign-In)
Stav overenia e-mailu
Časové pečiatky: vytvorenie účtu, posledná aktualizácia, prijatie VOP a Zásad ochrany osobných údajov
4.2 Finančné údaje a údaje z dokladov
Obrázky dokladov (fotografie alebo skeny bločkov a faktúr)
Názov predajcu/dodávateľa
Celková suma, mena (ISO 4217) a ekvivalent v EUR prepočítaný kurzom ECB
Slovenské/české fiškálne identifikátory na dokladoch: IČO, DIČ, IČ DPH, OKP (bezpečnostný kód), ID dokladu
Miesto predaja / miesto vystavenia
OCR text (surový text extrahovaný z obrázka dokladu)
Používateľom definované značky (tagy)
4.3 Bankové a platobné údaje
OAuth access a refresh tokeny (AES-256 šifrované v kľudovom stave)
ID súhlasu vydané Tatrabankou
IBAN, mena účtu, názov účtu, typ produktu, zostatok
Bankové transakcie: suma, mena, dátum zaúčtovania/valuty, názov a IBAN veriteľa/dlžníka, informácie o platbe, variabilný/konštantný/špecifický symbol, typ transakcie, smer transakcie
Služba nie je navrhnutá na spracúvanie osobitných kategórií osobných údajov (článok 9 GDPR), ako sú zdravotné údaje, biometrické údaje, rasový alebo etnický pôvod, politické názory, náboženské presvedčenie alebo sexuálna orientácia. Používatelia by nemali nahrávať obrázky dokladov ani iný Obsah obsahujúci osobitné kategórie údajov. Ak sú osobitné kategórie údajov neúmyselne zahrnuté v nahraných dokladoch, Prevádzkovateľ s nimi bude nakladať v súlade s platným právom.
5. Príjemcovia a sprostredkovatelia
Prevádzkovateľ využíva nasledujúce kategórie tretích strán ako sprostredkovateľov (čl. 28 GDPR), pričom každá je viazaná Zmluvou o spracúvaní údajov alebo rovnocennou zmluvnou zárukou:
Sprostredkovateľ / Príjemca
Subjekt / Lokalita
Účel
Prenášané údaje
Google Firebase Authentication
Google LLC, USA (možnosti rezidencie údajov v EÚ)
Autentifikácia používateľov (e-mail/heslo, Google Sign-In, Apple Sign-In), overenie e-mailu, obnovenie hesla
E-mailová adresa, meno, údaje poskytovateľa autentifikácie, Firebase UID
Google Gemini API
Google LLC, USA
Analýza obrázkov dokladov a extrakcia OCR pomocou AI
Obrázky dokladov (odoslané na spracovanie v reálnom čase); extrahované textové metadáta
Amazon Web Services (AWS) S3
Amazon.com Inc., USA (región konfigurovateľný; pre súlad s GDPR vyžadovaný región EÚ)
Cloudové úložisko pre obrázky dokladov
Obrázky dokladov; kľúče objektov S3
Amazon Web Services (AWS) RDS / PostgreSQL
Amazon.com Inc., USA (región konfigurovateľný; vyžadovaný región EÚ)
Všetky kategórie osobných údajov (oddiely 4.1–4.5)
Tatrabanka a.s.
Tatrabanka a.s., Hodžovo námestie 3, 811 06 Bratislava, Slovenská republika
Prístup k bankovým údajom v súlade s PSD2 (informácie o účte, transakcie) — len keď používateľ iniciuje prepojenie banky
OAuth tokeny (vydané Tatrabankou); údaje o účte a transakciách poskytnuté Tatrabankou
Európska centrálna banka (ECB)
Európska centrálna banka, Frankfurt, Nemecko
Získavanie výmenných kurzov (verejné API)
Do ECB sa neprenášajú žiadne osobné údaje. Dotaz obsahuje len kódy mien a dátumy.
Prevádzkovateľ vedie aktuálny zoznam sprostredkovateľov. Používatelia môžu požiadať o aktuálny zoznam kontaktovaním .
Prevádzkovateľ nepredáva osobné údaje tretím stranám. Osobné údaje nie sú zdieľané s tretími stranami na ich vlastné marketingové ani reklamné účely.
6. Medzinárodné prenosy údajov
Niektorí sprostredkovatelia sa nachádzajú mimo Európskeho hospodárskeho priestoru (EHP). Prevádzkovateľ zabezpečuje, že takéto prenosy sú v súlade s kapitolou V GDPR:
Príjemca
Miesto prenosu
Záruka
Google LLC (Firebase, Gemini)
Spojené štáty
Štandardné zmluvné doložky EÚ (SCC) — Google Cloud Data Processing Addendum; Rámec pre ochranu osobných údajov medzi EÚ a USA (DPF) (tam, kde je to uplatniteľné). Všeobecný súd EÚ potvrdil EU-US DPF v septembri 2025, ale SCC sú udržiavané ako paralelná záruka vzhľadom na pretrvávajúcu neistotu.
Amazon Web Services (S3, RDS)
Spojené štáty (sídlo spoločnosti); regióny EÚ k dispozícii a vyžadované pre produkčné údaje
Štandardné zmluvné doložky EÚ (SCC) — AWS GDPR Data Processing Addendum; produkčné AWS zdroje musia byť nasadené v regióne EHP (napr. eu-central-1 Frankfurt alebo eu-west-1 Dublin) na minimalizáciu prenosov. Ak sa údaje spracúvajú v amerických AWS regiónoch (napr. pre globálnu infraštruktúru), uplatňujú sa SCC EÚ.
Tatrabanka a.s. je slovenský subjekt. ECB je inštitúcia EÚ. Prostredníctvom týchto služieb nedochádza k žiadnym prenosom osobných údajov mimo EHP.
Kópiu uplatniteľných záruk prenosu (SCC) môžete získať kontaktovaním .
Požiadavka na región AWS: Pre súlad s GDPR musí Prevádzkovateľ nasadiť všetky AWS zdroje uchovávajúce osobné údaje v regióne EHP. Toto je akčná položka zhody (pozri compliance.md).
7. Doby uchovávania
Kategória údajov
Doba uchovávania
Právny základ / Odôvodnenie
Registračné údaje účtu (e-mail, meno, autentifikačné údaje)
Životnosť aktívneho účtu + 12 mesiacov po vymazaní účtu
Plnenie zmluvy; prevencia podvodov; riešenie sporov
Obrázky dokladov (AWS S3)
Do vymazania používateľom alebo do vymazania účtu (podľa toho, čo nastane skôr) + 30-dňové okno na export
Plnenie zmluvy
Metadáta dokladov (databáza)
Do vymazania používateľom alebo vymazania účtu + 30-dňové okno na export
Plnenie zmluvy
Bankové OAuth tokeny
Do odpojenia bankového prepojenia používateľom (okamžite odvolané a vymazané)
Súhlas; vymazané po odvolaní
Bankové údaje o účte a transakciách (ukladané do vyrovnávacej pamäte)
Do vymazania účtu alebo odpojenia banky
Plnenie zmluvy
Údaje Firemného pracovného priestoru
Do vymazania priestoru Vlastníkom + 30-dňové okno na export pre členov
Plnenie zmluvy
Záznamy auditu (Firemný pracovný priestor)
12 mesiacov od vytvorenia udalosti; alebo do vymazania priestoru
Oprávnené záujmy (zodpovednosť tímu)
Časové pečiatky súhlasu/prijatia (VOP, Zásady ochrany údajov)
Trvanie relácie; platnosť podľa nakonfigurovaného JWT TTL; zrušené pri odhlásení/vymazaní účtu
Plnenie zmluvy
Účtovné a transakčné záznamy (zákonné uchovávanie)
10 rokov od konca účtovného obdobia, v ktorom bol záznam vytvorený
Zákonná povinnosť — zákon č. 431/2002 Z. z. o účtovníctve (Slovensko); zákon č. 563/1991 Sb. o účetnictví (Česká republika)
Pozvánkové kódy
24 hodín od vytvorenia (automatické vypršanie); vymazané po použití
Plnenie zmluvy
Po uplynutí príslušnej doby uchovávania sú osobné údaje bezpečne vymazané z produkčných a záložných systémov. Vymazanie zo záloh môže byť oneskorené až o 90 dní v dôsledku cyklov rotácie záloh.
8. Vaše práva dotknutej osoby
Podľa GDPR a platných národných právnych predpisov máte v súvislosti so svojimi osobnými údajmi nasledujúce práva. Na uplatnenie akéhokoľvek práva nás kontaktujte na . Prevádzkovateľ odpovie do jedného mesiaca od prijatia vašej žiadosti (v prípade zložitých alebo viacnásobných žiadostí možno predĺžiť o ďalšie dva mesiace s oznámením).
8.1 Právo na prístup (čl. 15 GDPR)
Máte právo na potvrdenie, či spracúvame vaše osobné údaje, a ak áno, na kópiu týchto údajov spolu s informáciami o spracúvaní (účely, kategórie, príjemcovia, uchovávanie, záruky).
8.2 Právo na opravu (čl. 16 GDPR)
Máte právo na opravu nepresných osobných údajov alebo doplnenie neúplných údajov. Väčšinu svojich údajov si môžete aktualizovať priamo v nastaveniach Služby.
8.3 Právo na vymazanie („právo byť zabudnutý") (čl. 17 GDPR)
Máte právo požiadať o vymazanie svojich osobných údajov, ak: údaje už nie sú potrebné na pôvodný účel; odvoláte súhlas (ak bol súhlas právnym základom); namietate a neexistujú prevažujúce oprávnené dôvody; údaje boli spracúvané nezákonne; alebo vymazanie vyžaduje zákon.
Toto právo podlieha výnimkám vrátane zákonných povinností uchovávania. Doklady obsahujúce účtovné záznamy môžu byť uchovávané počas zákonom stanovenej doby aj po žiadosti o vymazanie.
8.4 Právo na obmedzenie spracúvania (čl. 18 GDPR)
Môžete požiadať o obmedzenie spracúvania vašich údajov za určitých okolností (napr. kým sa namieta presnosť, kým sa posudzuje námietka, alebo ak uprednostňujete obmedzenie pred vymazaním nezákonne spracúvaných údajov).
8.5 Právo na prenosnosť údajov (čl. 20 GDPR)
Ak je spracúvanie založené na zmluve alebo súhlase a vykonáva sa automatizovanými prostriedkami, máte právo získať svoje osobné údaje v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte (CSV, XLSX) a preniesť ich k inému prevádzkovateľovi. Exportná funkcia Služby (CSV/XLSX/YAML) priamo podporuje toto právo. Môžete tiež požiadať o úplný export údajov kontaktovaním podpory ochrany súkromia.
8.6 Právo namietať (čl. 21 GDPR)
Ak je spracúvanie založené na oprávnených záujmoch (čl. 6(1)(f)), máte právo kedykoľvek namietať. Prevádzkovateľ ukončí spracúvanie, pokiaľ nepreukáže presvedčivé oprávnené dôvody, ktoré prevažujú nad vašimi záujmami, alebo na určenie, výkon alebo obhajobu právnych nárokov.
8.7 Právo odvolať súhlas (čl. 7(3) GDPR)
Ak je spracúvanie založené na vašom súhlase, môžete ho kedykoľvek odvolať bez vplyvu na zákonnosť spracúvania vykonaného pred odvolaním. Konkrétne:
Bankové prepojenie: Odvolajte kedykoľvek z obrazovky nastavení banky v aplikácii. OAuth tokeny sú okamžite vymazané.
Spracovanie dokladov AI: V nastaveniach aplikácie sa môžete odhlásiť zo spracovania prostredníctvom Gemini AI; funkcie OCR budú obmedzené len na spracovanie v zariadení.
8.8 Práva súvisiace s automatizovaným rozhodovaním
Pozri časť 10.
8.9 Overenie totožnosti
Na ochranu vašich údajov vás môžeme požiadať o overenie totožnosti pred vybavením žiadosti dotknutej osoby. Žiadosti nevybavíme tam, kde nedokážeme rozumne overiť totožnosť žiadateľa.
Poznámka k slovenskému právu: Dotknuté osoby v Slovenskej republike môžu uplatniť práva podľa §19–30 zákona č. 18/2018 Z. z. okrem práv podľa GDPR. Za výkon týchto práv za bežných okolností nie je potrebné platiť poplatok.
9. Právo podať sťažnosť
Máte právo podať sťažnosť dozornému orgánu, ak sa domnievate, že sme vaše osobné údaje spracúvali nezákonne. Môžete kontaktovať:
Orgán
Jurisdikcia
Kontakt
Úrad na ochranu osobných údajov SR
Slovenská republika (hlavný dozorný orgán pre Prevádzkovateľa)
Česká republika (pre dotknuté osoby s pobytom v ČR)
Pplk. Sochora 27, 170 00 Praha 7, Česká republika
Tel: +420 234 665 111
E-mail: posta@uoou.gov.cz
Web: uoou.cz
Žiadame vás, aby ste nás najskôr kontaktovali na , aby sme sa mohli pokúsiť vyriešiť akékoľvek obavy priamo pred postúpením dozornému orgánu.
Poznámka k slovenskému právu: Neoprávnené spracúvanie osobných údajov predstavuje trestný čin podľa §374 Trestného zákona (zákon č. 300/2005 Z. z.), vymáhateľný orgánmi trestného stíhania.
Poznámka k českému právu: ÚOOÚ osobitne presadzuje rovnocennú vizuálnu výraznosť tlačidiel na vyjadrenie súhlasu so súbormi cookie (tlačidlá „Prijať všetky" a „Odmietnuť všetky" musia mať podobnú výraznosť a farbu). Pozri časť 13.
10. Automatizované rozhodovanie a profilovanie
10.1 Extrakcia údajov z dokladov pomocou AI
Služba používa Google Gemini AI na automatické extrahovanie údajov z nahraných obrázkov dokladov (názov predajcu, celková suma, dátum, položky, detaily DPH). Ide o automatizovanú operáciu spracúvania. Nie je to však automatizované rozhodovanie, ktoré by malo právne alebo podobne závažné účinky v zmysle článku 22(1) GDPR: Používateľ si zachováva plnú kontrolu na preskúmanie, úpravu alebo zahodenie všetkých údajov extrahovaných AI pred ich uložením. Bez ľudského preskúmania sa neprijímajú žiadne rozhodnutia automaticky.
10.2 Párovanie bankových transakcií pomocou AI
Služba používa Google Gemini AI na navrhovanie zhôd medzi nahranými dokladmi a bankovými transakciami („automatické odsúhlasenie"). Ide len o návrhy — sú označené na potvrdenie používateľom a nenadobúdajú účinnosť, kým používateľ manuálne nepotvrdí alebo neprijme navrhované prepojenie. Nejde o automatizované rozhodovanie s právnymi účinkami podľa čl. 22 GDPR.
10.3 Obmedzovanie rýchlosti
Automatické obmedzovanie rýchlosti na základe IP adresy sa uplatňuje na prevenciu zneužívania. Ak IP adresa prekročí nakonfigurovaný limit požiadaviek, požiadavky sú dočasne blokované. Ide o bezpečnostné opatrenie a nepredstavuje profilovanie na komerčné alebo diskriminačné účely.
10.4 Žiadne profilovanie na marketing
Prevádzkovateľ nevykonáva behaviorálne profilovanie, cielenú reklamu ani automatické kreditné skórovanie na základe údajov používateľov.
11. Povinnosť poskytnúť údaje
Údaj
Povinný / Dobrovoľný
Dôsledok neposkytnutia
E-mailová adresa
Povinná
Nie je možné vytvoriť účet ani používať Službu
Zobrazované meno
Povinné (môže byť automaticky vyplnené)
Nie je možné dokončiť registráciu; vyžaduje sa pre identifikáciu vo Firemnom pracovnom priestore
Obrázky dokladov a metadáta
Dobrovoľné (hlavná funkcia, ale bez povinnosti)
Funkcie správy dokladov nie sú k dispozícii
Bankové prepojenie (Tatrabanka OAuth)
Dobrovoľné
Banková integrácia a funkcie automatického odsúhlasenia nie sú k dispozícii; všetky ostatné funkcie fungujú normálne
Spracovanie dokladov AI (Gemini)
Dobrovoľné (alternatívne je k dispozícii OCR v zariadení)
Automatická extrakcia údajov z dokladov nie je k dispozícii; vyžaduje sa manuálny vstup
Údaje Firemného pracovného priestoru (názov spoločnosti, údaje členov)
Dobrovoľné
Funkcie tímovej spolupráce nie sú k dispozícii; funkcie pre osobné použitie nie sú ovplyvnené
12. Údaje detí
Služba nie je určená deťom. Minimálne vekové požiadavky:
16 rokov — Slovenská republika (zákon č. 18/2018 Z. z., §15, čl. 8 GDPR)
15 rokov — Česká republika (zákon č. 110/2019 Sb., §7)
16 rokov — všetky ostatné jurisdikcie (predvolená hodnota podľa čl. 8 GDPR)
Prevádzkovateľ vedome nezhromažďuje osobné údaje osôb mladších ako príslušná veková hranica bez preukázateľného súhlasu rodiča alebo zákonného zástupcu. Ak sa Prevádzkovateľ dozvie, že osobné údaje boli zhromaždené od maloletej osoby bez rodičovského súhlasu, tieto údaje budú bezodkladne vymazané.
Ak ste rodič alebo zákonný zástupca a domnievate sa, že sa vaše dieťa zaregistrovalo na FlowKeeps bez vášho súhlasu, kontaktujte nás na .
Poznámka k slovenskému právu: Rodné číslo služba nikdy nezhromažďuje. Jeho použitie na účely overenia veku je obmedzené podľa §78 zákona č. 18/2018 Z. z.
Poznámka k českému právu: Nižšia veková hranica 15 rokov (Česká republika) musí byť zohľadnená v mechanizmoch súhlasu pre používateľov s pobytom v ČR. Vyžaduje sa mechanizmus na určenie krajiny pobytu používateľa pri registrácii.
13. Zásady používania súborov cookie
13.1 Uplatniteľný kontext
Pravidlá pre súbory cookie podľa smernice o súkromí a elektronických komunikáciách (2002/58/ES, transponovanej v SR zákonom č. 351/2011 Z. z. a v ČR zákonom č. 127/2005 Sb. a zákonom č. 110/2019 Sb.) sa uplatňujú predovšetkým na webovú stránku (flowkeeps.com) a akúkoľvek webovú verziu FlowKeeps. Mobilné aplikácie (Android, iOS) nepoužívajú súbory cookie; používajú lokálne bezpečné úložisko tokenov v zariadení.
Návrh nariadenia o súkromí a elektronických komunikáciách (ePrivacy) bol oficiálne stiahnutý 11. februára 2025. Smernica o súkromí a elektronických komunikáciách a jej vnútroštátne transpozície zostávajú platným právom pre súhlas so súbormi cookie.
13.2 Kategórie súborov cookie
Kategória
Vyžadovaný súhlas?
Popis
Príklady (súčasné)
Nevyhnutné
Nie (oslobodené)
Nevyhnutné pre fungovanie webovej stránky. Nemožno ich vypnúť bez narušenia základnej funkcionality. Patria sem autentifikačné session cookies.
Správa relácií, autentifikačné tokeny (Flutter web), ochrana CSRF
Funkčné / preferenčné
Áno — predchádzajúci opt-in
Zapamätanie preferencií používateľa (jazyk, téma) na zlepšenie zážitku.
Výber jazyka, preferencia témy (v súčasnosti uložené v aplikácii, nie v cookies)
Analytické / výkonnostné
Áno — predchádzajúci opt-in (oprávnený záujem NIE je platným základom pre analytické cookies)
Meranie používania a výkonu na zlepšenie Služby.
V súčasnosti nie sú nasadené žiadne analytické cookies.
Marketingové / reklamné
Áno — predchádzajúci opt-in
Sledovanie používateľov naprieč stránkami na cielenú reklamu.
V súčasnosti nie sú nasadené žiadne marketingové cookies.
13.3 Požiadavky na súhlas so súbormi cookie
Po spustení webovej stránky Prevádzkovateľ implementuje platformu na správu súhlasov (CMP) v súlade s GDPR — napríklad Cookiebot alebo Usercentrics — ktorá musí:
Blokovať všetky nevyhnutné súbory cookie a skripty pred udelením súhlasu;
Zobrazovať tlačidlá „Prijať všetky" a „Odmietnuť všetky" (alebo „Prijať len nevyhnutné") s rovnakou vizuálnou výraznosťou a farbou (vyžadované aplikačnou praxou českého ÚOOÚ a usmerneniami EDPB);
Nespájať súhlas so súbormi cookie s prijatím týchto VOP alebo Zásad ochrany osobných údajov;
Uvádzať dobu platnosti cookies a prístup tretích strán pre každý súbor cookie;
Zaznamenávať súhlas s časovou pečiatkou a konkrétnymi voľbami;
Umožniť jednoduché odvolanie súhlasu kedykoľvek (prostredníctvom trvalého odkazu „Spravovať cookies");
Obnovovať súhlas približne každých 12 mesiacov.
13.4 Súčasný stav
Služba je v štádiu pred spustením. V súčasnosti nie sú nasadené žiadne nevyhnutné súbory cookie. Firebase Authentication môže na webovej platforme nastaviť nevyhnutné session cookies. Tie sú tu uvedené podľa požiadaviek čl. 5(3) smernice o súkromí a elektronických komunikáciách bez ohľadu na oslobodenie od súhlasu.
13.5 Audit súborov cookie
Pred verejným spustením sa vykoná úplný automatizovaný audit súborov cookie s cieľom identifikovať všetky sledovacie prvky načítané na flowkeeps.com. Výsledky sa použijú na vytvorenie komplexného registra súborov cookie a aktualizáciu týchto zásad.
14. Aktualizácie zásad
Prevádzkovateľ môže tieto Zásady ochrany osobných údajov čas od času aktualizovať, aby odrážali zmeny v činnostiach spracúvania, právnych požiadavkách alebo obchodných operáciách.
Pri podstatných zmenách (nové účely spracúvania, nové kategórie údajov, noví príjemcovia tretích strán alebo zmeny postupov práv dotknutých osôb):
Dotknutí používatelia budú informovaní prostredníctvom e-mailu a notifikácie v aplikácii najmenej 30 dní pred nadobudnutím účinnosti zmeny;
Ak podstatná zmena vyžaduje nový súhlas, tento bude získaný pred nadobudnutím účinnosti zmeny;
Používatelia, ktorí s zmenami nesúhlasia, môžu pred dátumom účinnosti vymazať svoj účet.
Pri nepodstatných zmenách (opravy, aktualizácie kontaktných informácií, objasnenia, ktoré neovplyvňujú práva) bude zverejnená aktualizovaná verzia s novým dátumom „naposledy aktualizované" bez predchádzajúceho upozornenia.
Aktuálna verzia týchto Zásad ochrany osobných údajov je vždy k dispozícii na flowkeeps.com/privacy. Dátum účinnosti a číslo verzie sú uvedené v hornej časti tohto dokumentu.
Zásady ochrany osobních údajů
Služba: FlowKeeps |
Správce: House of Comms s.r.o. |
Verze: 1.0 |
Datum účinnosti: |
Naposledy aktualizováno: 19. března 2026
Jazykové upozornění: Tyto Zásady ochrany osobních údajů jsou k dispozici také v angličtině (Privacy Policy) a slovenštině (Zásady ochrany osobných údajov). Čeští spotřebitelé mají právo obdržet tyto informace v českém jazyce. Slovenskí spotřebitelé v jazyce slovenském. Pro spotřebitele je závazná národní jazyková verze.
Ve zkratce — co děláme s vašimi údaji
Kdo jsme: House of Comms s.r.o., IČO 50649833, Brectanova 3, Bratislava 831 01, Slovenská republika. Kontakt:
Jaké údaje shromažďujeme: Váš e-mail, jméno, obrázky účtenek a metadata, údaje o bankovním účtu a transakcích (pouze pokud banku připojíte), údaje firemního pracovního prostoru a technické údaje.
Proč je shromažďujeme: Pro poskytování služby FlowKeeps, ověření totožnosti, zpracování účtenek pomocí umělé inteligence a plnění zákonných povinností.
S kým je sdílíme: Google, Amazon Web Services, Tatrabanka (pouze při propojení) a Evropská centrální banka.
Jak dlouho je uchováváme: Údaje o účtu jsou uchovávány po dobu aktivity účtu. Finanční data do jejich smazání vámi, omezeně pak pro účely plnění právních předpisů.
Vaše práva: Máte právo na přístup, opravu, výmaz, export a vznést námitku. Kontaktujte nás na .
Dozorové úřady: Úřad pro ochranu osobních údajů (ÚOOÚ, ČR) | Úřad na ochranu osobních údajů SR.
1. Totožnost a kontaktní údaje správce
Správce:
House of Comms s.r.o.
Sídlo: Brectanova 3, Bratislava 831 01, Slovenská republika
IČO: 50649833
DIČ:
IČ DPH:
Obchodní rejstřík: Městský soud Bratislava III, oddíl Sro, vložka č. 116669/B
Kontakt pro ochranu osobních údajů:
E-mail:
Telefon:
Poštovní adresa: House of Comms s.r.o., Brectanova 3, Bratislava 831 01, Slovenská republika
Správce odpovídá za stanovení účelů a prostředků zpracování vašich osobních údajů. Pokud Firemní uživatelé používají FlowKeeps ke správě údajů svých vlastních zákazníků nebo zaměstnanců, tito Firemní uživatelé jednají jako nezávislí správci a je vyžadována Smlouva o zpracování údajů dle čl. 28 GDPR (viz Všeobecné obchodní podmínky §12.1).
Poznámka k českému právu: Zpracování uživateli s bydlištěm v ČR se řídí zákonem č. 110/2019 Sb., o zpracování osobních údajů, a nařízením GDPR.
2. Pověřenec pro ochranu osobních údajů (DPO)
Správce nejmenoval pověřence pro ochranu osobních údajů (DPO), neboť hlavní činnosti FlowKeeps nevyžadují pravidelné a systematické monitorování subjektů údajů ve velkém měřítku ani zpracování zvláštních kategorií osobních údajů ve velkém měřítku ve smyslu čl. 37 odst. 1 GDPR.
S ohledem na koordinované prosazování GDPR ze strany EDPB v roce 2026 zaměřené na povinnosti transparentnosti podle čl. 12–14 je dobrovolné jmenování DPO předmětem přezkumu. Dotazy týkající se ochrany soukromí směrujte prozatím na .
3. Činnosti zpracování
Následující tabulka přiřazuje každý účel zpracování k příslušnému právnímu základu dle čl. 6 GDPR, kategoriím zpracovávaných osobních údajů, příjemcům a době uchovávání.
Účel
Právní základ (čl. 6 GDPR)
Kategorie údajů
Příjemci
Uchovávání
Vytvoření účtu a autentizace
Čl. 6(1)(b) — plnění smlouvy
E-mail, jméno, hash hesla, ID poskytovatele, stav ověření e-mailu, časová razítka souhlasu
Google Firebase; databáze správce (AWS)
Do smazání účtu; max. 5 let po uzavření pro účely auditu
ID uživatele, verze přijatých podmínek/ZOP, časové razítko přijetí
Databáze správce (AWS)
Do smazání účtu + 3 roky jako důkaz souladu
Převod měn
Čl. 6(1)(b) — plnění smlouvy
Částka a měna účtenky (žádné osobní údaje nejsou odesílány do API ECB)
Evropská centrální banka — statistické API (žádné osobní údaje nepřenášeny)
Směnné kurzy uloženy v paměti na dobu relace; neukládány jako osobní údaje
Posouzení oprávněných zájmů: Tam, kde správce spoléhá na čl. 6(1)(f) (oprávněné zájmy), bylo posouzeno, že tyto zájmy nepřevažují práva a svobody subjektů údajů. Ve všech takových případech je zpracování omezeno na nezbytné minimum, subjekty údajů mohou takové zpracování rozumně očekávat a jsou zavedena přiměřená ochranná opatření. Proti zpracování na základě oprávněného zájmu můžete kdykoli vznést námitku (viz odst. 8.6).
4. Kategorie osobních údajů
4.1 Registrační a identifikační údaje
E-mailová adresa (povinná)
Zobrazované jméno (povinné; může být automaticky vyplněno z poskytovatele autentizace)
Heslo (uloženo jako bezpečný hash; nikdy nepřenášeno ani neuchováváno v čitelné podobě)
Poskytovatel autentizace a specifický identifikátor poskytovatele (při použití Google nebo Apple Sign-In)
Stav ověření e-mailu
Časová razítka: vytvoření účtu, poslední aktualizace, přijetí podmínek a zásad ochrany osobních údajů
4.2 Finanční údaje a údaje z účtenek
Obrázky účtenek (fotografie nebo naskenované soubory účtenek a faktur)
Název prodejce/obchodníka
Celková částka, měna (ISO 4217) a ekvivalent v EUR dle ECB
Slovenské/české fiskální identifikátory na účtenkách: IČO, DIČ, IČ DPH, OKP (bezpečnostní kód), ID účtenky
Místo prodeje / místo vystavení
OCR text (surový text extrahovaný z obrázku účtenky)
Uživatelsky definované štítky
4.3 Bankovní a platební údaje
OAuth přístupové a obnovovací tokeny (šifrované AES-256 při uložení)
ID souhlasu vydaného Tatrabankou
IBAN, měna účtu, název účtu, typ produktu, zůstatek
Bankovní transakce: částka, měna, datum zaúčtování/valuty, jméno věřitele/dlužníka a IBAN, referenční informace, variabilní/konstantní/specifický symbol, typ transakce, směr
Služba není určena ke zpracování zvláštních kategorií osobních údajů (čl. 9 GDPR), jako jsou zdravotní údaje, biometrické údaje, rasový nebo etnický původ, politické názory, náboženské přesvědčení nebo sexuální orientace. Uživatelé by neměli nahrávat obrázky účtenek ani jiný obsah obsahující zvláštní kategorie údajů. Pokud jsou takové údaje náhodně zahrnuty v nahraných účtenkách, správce s nimi naloží v souladu s platným právem.
5. Příjemci a další zpracovatelé
Správce zapojuje následující kategorie třetích stran jako zpracovatele údajů (čl. 28 GDPR), každý vázán smlouvou o zpracování údajů nebo rovnocennou smluvní zárukou:
Zpracovatel / Příjemce
Subjekt / Sídlo
Účel
Přenášené údaje
Google Firebase Authentication
Google LLC, USA (dostupné možnosti EU datové rezidence)
Autentizace uživatele (e-mail/heslo, Google Sign-In, Apple Sign-In), ověření e-mailu, obnova hesla
E-mailová adresa, jméno, data poskytovatele autentizace, Firebase UID
Google Gemini API
Google LLC, USA
AI analýza obrázků účtenek a OCR extrakce
Obrázky účtenek (odesílány pro zpracování v reálném čase); vrácena extrahovaná textová metadata
Amazon Web Services (AWS) S3
Amazon.com Inc., USA (region konfigurovatelný; vyžadován region EU pro soulad s GDPR)
Cloudové úložiště obrázků účtenek
Obrázky účtenek; klíče objektů S3
Amazon Web Services (AWS) RDS / PostgreSQL
Amazon.com Inc., USA (region konfigurovatelný; vyžadován region EU)
Tatrabanka a.s., Hodžovo námestie 3, 811 06 Bratislava, Slovenská republika
PSD2 přístup k bankovním datům (informace o účtu, transakce) — pouze při inicializaci bankovního propojení uživatelem
OAuth tokeny (vydané Tatrabankou); data účtu a transakcí poskytnutá Tatrabankou
Evropská centrální banka (ECB)
Evropská centrální banka, Frankfurt, Německo
Získávání dat o směnných kurzech (veřejné API)
Do ECB nejsou přenášeny žádné osobní údaje. Dotaz obsahuje pouze kódy měn a data.
Správce udržuje aktuální seznam zpracovatelů. Uživatelé mohou vyžádat aktuální seznam na .
Správce neprodává osobní údaje třetím stranám. Osobní údaje nejsou sdíleny s třetími stranami pro jejich vlastní marketingové nebo reklamní účely.
6. Mezinárodní přenosy údajů
Několik zpracovatelů se nachází mimo Evropský hospodářský prostor (EHP). Správce zajišťuje, aby tyto přenosy byly v souladu s kapitolou V GDPR:
Příjemce
Cíl přenosu
Záruka
Google LLC (Firebase, Gemini)
Spojené státy americké
Standardní smluvní doložky EU (SCC) — Dodatek Google Cloud k zpracování dat; Rámec EU-USA pro ochranu soukromí dat (Data Privacy Framework, kde je to relevantní). Jako paralelní záruka jsou udržovány SCC.
Amazon Web Services (S3, RDS)
Spojené státy americké (sídlo); dostupné a požadované regiony EU pro produkční data
SCC EU — Dodatek AWS k zpracování dat GDPR; produkční AWS zdroje musí být nasazeny v regionu EHP (např. eu-central-1 Frankfurt nebo eu-west-1 Dublin). Kde jsou data zpracovávána v US regionech AWS, platí SCC EU.
Tatrabanka a.s. je slovenský subjekt. ECB je institucí EU. Prostřednictvím těchto služeb nedochází k žádným přenosům osobních údajů mimo EHP.
Kopii příslušných záruk pro přenos (SCC) lze získat na .
Požadavek na region AWS: Pro soulad s GDPR musí správce nasadit všechny AWS zdroje uchovávající osobní údaje v regionu EHP. Toto je položka pro zajištění souladu.
7. Doba uchovávání
Kategorie údajů
Doba uchovávání
Právní základ / Odůvodnění
Registrační data (e-mail, jméno, autentizační data)
Po dobu aktivního účtu + 12 měsíců po smazání účtu
Plnění smlouvy; prevence podvodů; řešení sporů
Obrázky účtenek (AWS S3)
Do smazání uživatelem nebo do smazání účtu (podle toho, co nastane dříve) + 30denní okno pro export
Plnění smlouvy
Metadata účtenek (databáze)
Do smazání uživatelem nebo smazání účtu + 30denní okno pro export
Plnění smlouvy
Bankovní OAuth tokeny
Do odpojení bankovního propojení (okamžitě odvolány a smazány)
Souhlas; smazány při odvolání
Bankovní a transakční data (v mezipaměti)
Do smazání účtu nebo odpojení banky
Plnění smlouvy
Data firemního pracovního prostoru
Do smazání prostoru vlastníkem + 30denní okno pro export členů
Plnění smlouvy
Záznamy auditu (firemní pracovní prostor)
12 měsíců od vytvoření události; nebo do smazání prostoru
Oprávněné zájmy (odpovědnost týmu)
Časová razítka souhlasu/přijetí (podmínky, ZOP)
Po dobu aktivního účtu + 3 roky po smazání účtu
Právní povinnost (prokázání zákonného základu zpracování)
IP adresy a metadata požadavků (omezení rychlosti)
10 minut (stav omezení rychlosti); bezpečnostní záznamy: 90 dní
Oprávněné zájmy (bezpečnost, prevence zneužití)
JWT session tokeny
Po dobu relace; expirují dle nakonfigurovaného TTL; odvolány při odhlášení/smazání účtu
Plnění smlouvy
Účetní a transakční záznamy (zákonné uchovávání)
10 let od konce účetního roku, v němž byl záznam vytvořen
Právní povinnost — zákon č. 563/1991 Sb. o účetnictví (Česká republika)
Pozvánkové kódy
24 hodin od vytvoření (automatická expirace); smazány při použití
Plnění smlouvy
Po uplynutí příslušné doby uchovávání jsou osobní údaje bezpečně smazány z produkčních a zálohovacích systémů. Smazání ze záloh může být zpožděno až o 90 dní z důvodu rotace záloh.
8. Vaše práva subjektu údajů
Podle GDPR a příslušných národních předpisů máte následující práva týkající se vašich osobních údajů. Pro uplatnění jakéhokoli práva kontaktujte . Správce odpoví do jednoho měsíce od obdržení vaší žádosti (tuto lhůtu lze prodloužit o další dva měsíce u složitých nebo četných žádostí, s oznámením).
8.1 Právo na přístup (čl. 15 GDPR)
Máte právo získat potvrzení, zda zpracováváme vaše osobní údaje, a pokud ano, kopii těchto údajů spolu s informacemi o zpracování (účely, kategorie, příjemci, doba uchovávání, záruky).
8.2 Právo na opravu (čl. 16 GDPR)
Máte právo na opravu nepřesných osobních údajů nebo doplnění neúplných údajů. Většinu svých údajů můžete aktualizovat přímo v nastavení Služby.
8.3 Právo na výmaz ("právo být zapomenut") (čl. 17 GDPR)
Máte právo požádat o výmaz svých osobních údajů, pokud: údaje již nejsou potřebné pro původní účel; odvoláte souhlas (pokud byl souhlas právním základem); vznesete námitku a neexistují převažující oprávněné důvody; údaje byly zpracovány protiprávně; nebo výmaz vyžaduje zákon.
Toto právo podléhá výjimkám, včetně zákonných povinností uchovávání. Účtenky obsahující účetní záznamy mohou být uchovávány po zákonem stanovenou dobu i po obdržení žádosti o výmaz.
8.4 Právo na omezení zpracování (čl. 18 GDPR)
Můžete požádat o omezení zpracování vašich údajů za určitých okolností (např. při zpochybnění přesnosti údajů, při posuzování námitky nebo pokud dáváte přednost omezení před výmazem protiprávně zpracovávaných údajů).
8.5 Právo na přenositelnost údajů (čl. 20 GDPR)
Pokud je zpracování založeno na smlouvě nebo souhlasu a provádí se automatizovaně, máte právo obdržet své osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu (CSV, XLSX) a předat je jinému správci. Exportní funkce Služby (CSV/XLSX/YAML) toto právo přímo podporuje. Můžete také požádat o úplný export dat kontaktováním podpory ochrany osobních údajů.
8.6 Právo vznést námitku (čl. 21 GDPR)
Pokud je zpracování založeno na oprávněných zájmech (čl. 6 odst. 1 písm. f)), máte právo kdykoli vznést námitku. Správce zpracování ukončí, pokud neprokáže závažné oprávněné důvody, které převažují nad vašimi zájmy, nebo pro určení, výkon či obhajobu právních nároků.
8.7 Právo odvolat souhlas (čl. 7 odst. 3 GDPR)
Pokud je zpracování založeno na vašem souhlasu, můžete jej kdykoli odvolat, aniž by tím byla dotčena zákonnost zpracování provedeného před odvoláním. Konkrétně:
Bankovní propojení: Odvolejte kdykoli z obrazovky nastavení banky v aplikaci. OAuth tokeny jsou okamžitě smazány.
AI zpracování účtenek: Můžete se odhlásit ze zpracování Gemini AI v nastavení aplikace; funkce OCR budou omezeny pouze na zpracování na zařízení.
8.8 Práva související s automatizovaným rozhodováním
Viz část 10.
8.9 Ověření totožnosti
Pro ochranu vašich údajů vás můžeme požádat o ověření totožnosti před vyřízením žádosti subjektu údajů. Nevyřídíme žádosti, u nichž nelze přiměřeně ověřit totožnost žadatele.
9. Právo podat stížnost
Máte právo podat stížnost u dozorového úřadu, pokud se domníváte, že jsme vaše osobní údaje zpracovali protiprávně. Můžete se obrátit na:
Úřad
Jurisdikce
Kontakt
Úřad pro ochranu osobních údajů (ÚOOÚ)
Česká republika (pro subjekty údajů s bydlištěm v ČR)
Pplk. Sochora 27, 170 00 Praha 7, Česká republika
Tel: +420 234 665 111
E-mail: posta@uoou.gov.cz
Web: uoou.cz
Úřad na ochranu osobných údajov SR Úřad pro ochranu osobních údajů SR
Slovenská republika (vedoucí dozorový úřad pro Správce)
Žádáme vás, abyste nás nejprve kontaktovali na , abychom se pokusili vyřešit případné obavy přímo před postoupením dozorovému úřadu.
10. Automatizované rozhodování a profilování
10.1 AI extrakce dat z účtenek
Služba používá Google Gemini AI k automatické extrakci dat z nahraných obrázků účtenek (název prodejce, celková částka, datum, položky, detaily DPH). Jedná se o automatizovanou operaci zpracování. Nepředstavuje však automatizované rozhodování s právními nebo podobně závažnými účinky ve smyslu čl. 22 odst. 1 GDPR: uživatel si plně zachovává kontrolu a může všechna AI extrahovaná data před uložením zkontrolovat, upravit nebo odmítnout. Žádná rozhodnutí nejsou přijímána automaticky bez lidské kontroly.
10.2 AI párování bankovních transakcí
Služba používá Google Gemini AI k navrhování shod mezi nahranými účtenkami a bankovními transakcemi („automatické párování"). Jedná se pouze o návrhy — jsou označeny k potvrzení uživatelem a nenabývají účinnosti, dokud je uživatel ručně nepotvrdí nebo neakceptuje. To nepředstavuje automatizované rozhodování s právními účinky dle čl. 22.
10.3 Omezení rychlosti
Automatizované omezení rychlosti na základě IP adresy je uplatňováno pro prevenci zneužití. Kde IP adresa překročí nakonfigurovaný práh požadavků, jsou požadavky dočasně blokovány. Jedná se o bezpečnostní opatření a nepředstavuje profilování pro komerční nebo diskriminační účely.
10.4 Žádné profilování pro marketing
Správce se nezabývá behaviorálním profilováním, cílenou reklamou ani automatizovaným hodnocením úvěruschopnosti na základě dat uživatelů.
11. Povinnost poskytnout údaje
Údaje
Povinné / Volitelné
Důsledek neposkytnutí
E-mailová adresa
Povinné
Nelze vytvořit účet ani používat Službu
Zobrazované jméno
Povinné (může být automaticky vyplněno)
Nelze dokončit registraci; vyžadováno pro identifikaci ve firemním prostoru
Obrázky účtenek a metadata
Volitelné (hlavní případ použití, bez povinnosti)
Funkce správy účtenek nejsou dostupné
Bankovní propojení (Tatrabanka OAuth)
Volitelné
Bankovní integrace a automatické párování nejsou dostupné; všechny ostatní funkce fungují normálně
AI zpracování účtenek (Gemini)
Volitelné (dostupné OCR na zařízení jako alternativa)
Automatická extrakce dat z účtenek není dostupná; vyžadován ruční zadávání
Data firemního prostoru (název společnosti, detaily členů)
Volitelné
Funkce firemní spolupráce nejsou dostupné; funkce pro osobní použití nejsou dotčeny
12. Údaje dětí
Služba není určena dětem. Požadavky na minimální věk:
16 let — Slovenská republika (zákon č. 18/2018 Z. z., §15, čl. 8 GDPR)
15 let — Česká republika (zákon č. 110/2019 Sb., §7)
16 let — všechny ostatní jurisdikce (výchozí hodnota čl. 8 GDPR)
Správce záměrně neshromažďuje osobní údaje osob pod příslušnou věkovou hranicí bez ověřitelného souhlasu rodiče nebo zákonného zástupce. Pokud správce zjistí, že byly shromážděny osobní údaje nezletilého uživatele bez rodičovského souhlasu, tyto údaje budou neprodleně smazány.
Pokud jste rodič nebo zákonný zástupce a domníváte se, že vaše dítě se zaregistrovalo do FlowKeeps bez vašeho souhlasu, kontaktujte nás na .
Poznámka k českému právu: Nižší věková hranice 15 let (Česká republika) musí být zohledněna v mechanismech souhlasu pro uživatele s bydlištěm v ČR. To vyžaduje mechanismus ke zjištění země bydliště uživatele při registraci.
13. Zásady používání souborů cookie
13.1 Rozsah použití
Pravidla pro cookies dle Směrnice o soukromí a elektronických komunikacích (2002/58/ES, transponované v České republice zákonem č. 127/2005 Sb. a zákonem č. 110/2019 Sb.) se vztahují zejména na webové stránky (flowkeeps.com) a jakoukoliv webovou verzi FlowKeeps. Mobilní aplikace (Android, iOS) cookies nepoužívají; využívají lokální zabezpečené úložiště tokenů na zařízení.
Návrh nařízení EU o ePrivacy byl officiálně stažen dne 11. února 2025. Směrnice o ePrivacy a její národní transpozice zůstávají platným právem pro souhlas s cookies.
13.2 Kategorie cookies
Kategorie
Vyžadován souhlas?
Popis
Příklady (aktuální)
Nezbytně nutné
Ne (vyjmuty)
Nezbytné pro fungování webu. Nelze zakázat bez narušení základní funkčnosti. Sem patří cookies pro správu autentizačních relací.
Správa relací, autentizační tokeny (Flutter web), ochrana CSRF
Funkční / preferenční
Ano — předchozí opt-in
Zapamatování preferencí uživatele (jazyk, motiv) pro zlepšení zážitku.
Výběr jazyka, preference motivu (aktuálně uloženy v aplikaci, ne v cookies)
Analytické / výkonnostní
Ano — předchozí opt-in (oprávněný zájem NENÍ platným základem pro analytické cookies)
Měření použití a výkonu pro zlepšení Služby.
Žádné analytické cookies aktuálně nasazeny.
Marketingové / reklamní
Ano — předchozí opt-in
Sledování uživatelů napříč weby pro cílenou reklamu.
Žádné marketingové cookies aktuálně nasazeny.
13.3 Požadavky na souhlas s cookies
Při spuštění webové stránky správce implementuje platformu pro správu souhlasů (CMP) v souladu s GDPR, která musí:
Blokovat všechny nepodstatné cookies a skripty před udělením souhlasu;
Zobrazovat tlačítka „Přijmout vše" a „Odmítnout vše" (nebo „Přijmout pouze nezbytné") se stejnou vizuální prominencí a barvou (požadováno praxí ČOI a pokyny EDPB);
Nabízet granulární opt-in na úrovni kategorií;
Nepoužívat předem zaškrtnutá políčka (rozsudek SDEU ve věci Planet49, C-673/17);
Nespojovat souhlas s cookies s přijetím těchto podmínek nebo zásad ochrany osobních údajů;
Zveřejňovat životnost cookies a přístup třetích stran pro každý cookie;
Zaznamenávat souhlas s časovým razítkem a konkrétními volbami;
Služba je před spuštěním. Žádné nepodstatné cookies nejsou aktuálně nasazeny. Firebase Authentication při použití na webové platformě může nastavovat nezbytně nutné cookies relace. Ty jsou zde zveřejněny dle čl. 5(3) Směrnice o ePrivacy bez ohledu na vyjmutí ze souhlasu.
13.5 Audit cookies
Před veřejným spuštěním bude proveden plný automatizovaný audit cookies pro identifikaci všech trackerů načtených na flowkeeps.com. Výsledky budou použity k naplnění komplexního registru cookies a aktualizaci těchto zásad.
14. Aktualizace zásad
Správce může tyto Zásady ochrany osobních údajů čas od času aktualizovat, aby odrážely změny v činnostech zpracování, právních požadavcích nebo obchodních operacích.
Při podstatných změnách (nové účely zpracování, nové kategorie údajů, noví příjemci třetích stran nebo změny postupů pro práva subjektů údajů):
Dotčení uživatelé budou upozorněni e-mailem a oznámením v aplikaci nejméně 30 dní před nabytím účinnosti změn;
Pokud podstatná změna vyžaduje nový souhlas, bude tento souhlas vyžádán před nabytím účinnosti změny;
Uživatelé, kteří se změnami nesouhlasí, mohou před datem účinnosti smazat svůj účet.
Při nepodstatných změnách (opravy, aktualizace kontaktních informací, upřesnění, která neovlivňují práva) bude zveřejněna aktualizovaná verze s novým datem poslední aktualizace, bez předchozího oznámení.
Aktuální verze těchto Zásad ochrany osobních údajů je vždy k dispozici na flowkeeps.com/privacy. Datum účinnosti a číslo verze jsou uvedeny v záhlaví tohoto dokumentu.