Tyto zásady vysvětlují, jak v aplikaci PaidX zpracováváme osobní údaje,
proč je potřebujeme a jaká máte práva. PaidX slouží ke kontrole přijatých plateb
bez toho, aby běžný uživatel aplikace měl přímý přístup k firemnímu bankovnímu účtu.
Nezobrazujeme reklamu třetích stran a nepoužíváme údaje pro cílenou reklamu.
Stručné shrnutí
Údaje zpracováváme hlavně pro provoz aplikace, ověření plateb, bezpečnost, audit a podporu uživatelů.
PaidX může zpracovávat údaje o uživatelském účtu, tenantovi/zákazníkovi, provedených kontrolách plateb, zadaných platebních údajích a souvisejících bankovních transakcích.
Každá kontrola platby se ukládá, aby bylo možné dohledat, kdo, kdy a s jakým výsledkem platbu ověřil.
Údaje neprodáváme, nesdílíme s datovými brokery a nepředáváme reklamním sítím.
Máte práva podle GDPR – kdykoli nás můžete kontaktovat.
Jaké údaje zpracováváme a proč
1) Údaje o uživateli aplikace
Identifikace uživatele, například e-mail, uživatelské jméno, jméno a příjmení, přiřazení k zákazníkovi/tenantovi a role nebo oprávnění.
Účely: přihlášení, autorizace, zobrazení správného prostředí, bezpečnost, audit a podpora.
2) Údaje zadávané při kontrole platby
Údaje z QR kódu nebo ručního zadání, například variabilní symbol, částka, měna, případně další platební identifikátory.
Účely: ověření existence platby, porovnání částky, měny a variabilního symbolu, prevence chybné nebo duplicitní kontroly.
3) Výsledek kontroly platby
Datum a čas kontroly, výsledek kontroly, vazba na nalezenou platbu, zpráva o výsledku, identifikace uživatele a případně snapshot uživatelských údajů v době kontroly.
Účely: audit, dohledatelnost, řešení reklamací, prevence opakovaného potvrzení stejné platby.
4) Bankovní a transakční údaje
Údaje o přijatých platbách dostupné v rámci oprávnění daného firemního zákazníka, například částka, měna, variabilní symbol, datum, IBAN účtu, technický identifikátor transakce, reference transakce nebo údaje protistrany, pokud jsou bankou poskytnuty.
Účely: automatické zpracování přijatých plateb, párování plateb, ověření úhrad a zajištění úplnosti dat.
5) Provozní a bezpečnostní logy
Čas požadavku, stav zpracování, chybové kódy, identifikátory požadavků, technické logy, IP adresa v nezbytném rozsahu a údaje nutné pro zabezpečení služby.
Účely: bezpečnost, prevence zneužití, diagnostika chyb, provozní monitoring a řešení incidentů.
6) Diagnostická a technická data aplikace
Verze aplikace, typ zařízení, verze operačního systému, údaje o pádech, výkonu, odezvě a základním používání aplikace.
Účely: stabilita aplikace, odstraňování chyb, zlepšování kvality a technická podpora.
Pozn.: Rozsah zpracování se může lišit podle konkrétního nastavení zákazníka, oprávnění uživatele a napojených firemních systémů.
Bankovní přístup a oprávnění
PaidX běžnému uživateli neposkytuje přímý přístup do firemního internetového bankovnictví.
Bankovní data jsou zpracovávána v rámci technického napojení DigiRoute a v rozsahu schváleném
příslušným firemním zákazníkem. Uživatel aplikace typicky pracuje pouze s výsledkem ověření konkrétní platby.
Právní základy zpracování (GDPR)
Plnění smlouvy – poskytnutí a provoz aplikace PaidX, ověření plateb a zajištění sjednaných funkcí.
Oprávněný zájem – bezpečnost, prevence zneužití, audit, ochrana právních nároků, zvyšování stability a kvality služby.
Plnění právních povinností – pokud se na nás nebo zákazníka vztahují zákonné archivační, účetní nebo jiné povinnosti.
Souhlas – pouze tam, kde je vyžadován, například pro volitelné funkce nebo volitelnou diagnostiku. Souhlas můžete kdykoli odvolat.
Komu údaje předáváme
Firemní zákazník / tenant – údaje o kontrolách a platbách jsou zpřístupněny příslušnému zákazníkovi, pro kterého je aplikace provozována.
Technologičtí zpracovatelé – hosting, databázové služby, cloudová infrastruktura, monitoring, diagnostika, bezpečnostní a podpůrné nástroje.
Bankovní a integrační služby – pouze v rozsahu potřebném pro autorizované napojení, synchronizaci transakcí a zpracování bankovních událostí.
Údaje nepředáváme datovým brokerům ani reklamním sítím.
Přenosy mimo EU/EHP provádíme jen při zajištění odpovídajících záruk.
Doba uchování
Údaje o účtu uživatele: po dobu trvání uživatelského účtu nebo smluvního vztahu a následně po dobu nezbytnou pro ochranu právních nároků.
Údaje o kontrolách plateb: obvykle po dobu potřebnou pro audit, dohledatelnost a řešení reklamací, typicky až 5 let, pokud smlouva nebo právní povinnost neurčí jinak.
Bankovní a transakční údaje: podle nastavení zákazníka, smluvních požadavků a zákonných povinností.
Provozní a diagnostická data: obvykle do 24 měsíců. Agregované statistiky můžeme uchovávat déle bez možnosti přímé identifikace osoby.
Zabezpečení
Přístup k datům je řízen podle uživatelských oprávnění a přiřazení ke konkrétnímu zákazníkovi.
Zákaznická data jsou oddělena podle tenantů a interních databázových pravidel.
Citlivé technické údaje a přístupové údaje chráníme vhodnými technickými a organizačními opatřeními.
Každou kontrolu platby evidujeme pro účely auditu a dohledatelnosti.
Vaše volby a práva
Máte právo na přístup k údajům, opravu, výmaz, omezení zpracování, námitku a přenositelnost.
Máte právo odvolat souhlas, pokud je zpracování založeno na souhlasu.
V některých případech může být výkon práv omezen zákonnou povinností, smluvními požadavky nebo oprávněným zájmem na auditu a bezpečnosti.
Stížnost můžete podat u Úřadu pro ochranu osobních údajů – www.uoou.cz.
Děti
PaidX není určen dětem. Aplikace je určena pro pracovní použití zaměstnanci nebo oprávněnými osobami firemních zákazníků.
This policy explains how we process personal data in the PaidX application,
why we need it and what rights you have. PaidX is used to verify incoming payments
without giving ordinary app users direct access to the company bank account.
We do not show third-party ads and we do not use your data for targeted advertising.
At a glance
We process data mainly to operate the app, verify payments, maintain security, provide auditability and support users.
PaidX may process user account data, customer/tenant assignments, payment check records, entered payment details and related bank transaction data.
Each payment check is recorded so it is possible to determine who verified a payment, when and with what result.
We do not sell data, do not share it with data brokers and do not disclose it to ad networks.
You have GDPR rights and may contact us at any time.
What we process and why
1) App user data
User identification, such as e-mail, username, first and last name, customer/tenant assignment, roles or permissions.
Purposes: login, authorization, displaying the correct environment, security, audit and support.
2) Data entered during payment checks
Data from a QR code or manual input, such as variable symbol, amount, currency and, where applicable, additional payment identifiers.
Purposes: verifying the existence of a payment, matching amount, currency and variable symbol, preventing incorrect or duplicate checks.
3) Payment check result
Date and time of the check, result, link to the matching payment, result message, user identification and, where applicable, a snapshot of user data at the time of the check.
Purposes: audit, traceability, complaint handling and prevention of repeated confirmation of the same payment.
4) Bank and transaction data
Incoming payment data available within the authorization granted by the company customer, such as amount, currency, variable symbol, date, account IBAN, technical transaction identifier, transaction reference or counterparty details if provided by the bank.
Purposes: automated processing of incoming payments, payment matching, payment verification and ensuring data completeness.
5) Operational and security logs
Request time, processing status, error codes, request identifiers, technical logs, IP address where necessary and data required to secure the service.
Purposes: security, abuse prevention, error diagnostics, operational monitoring and incident handling.
6) Diagnostic and technical app data
App version, device type, operating system version, crash data, performance data, latency and basic app usage information.
Purposes: app stability, bug fixing, quality improvement and technical support.
Note: The scope of processing may vary depending on the customer’s configuration, user permissions and connected company systems.
Bank access and authorizations
PaidX does not provide ordinary users with direct access to company internet banking.
Bank data is processed through the DigiRoute technical integration and within the scope approved
by the relevant company customer. App users typically work only with the result of a specific payment check.
Legal bases under GDPR
Performance of a contract – providing and operating PaidX, payment verification and agreed features.
Legitimate interests – security, abuse prevention, audit, protection of legal claims, service stability and quality improvement.
Legal obligations – where statutory retention, accounting or other obligations apply to us or to the customer.
Consent – only where required, for example for optional features or optional diagnostics. Consent may be withdrawn at any time.
Sharing
Company customer / tenant – payment and check data is made available to the relevant customer for whom the app is operated.
Technical processors – hosting, database services, cloud infrastructure, monitoring, diagnostics, security and support tools.
Banking and integration services – only to the extent necessary for authorized connection, transaction synchronization and processing of bank events.
We do not disclose data to data brokers or advertising networks.
Transfers outside the EU/EEA are carried out only with appropriate safeguards.
Retention
User account data: for the duration of the user account or contractual relationship and thereafter as necessary to protect legal claims.
Payment check data: usually for the period needed for audit, traceability and complaint handling, typically up to 5 years, unless a contract or legal obligation requires otherwise.
Bank and transaction data: according to the customer’s settings, contractual requirements and legal obligations.
Operational and diagnostic data: typically up to 24 months. Aggregated statistics may be retained longer without direct identification.
Security
Access to data is controlled based on user permissions and assignment to a specific customer.
Customer data is separated by tenants and internal database rules.
Sensitive technical data and access credentials are protected by appropriate technical and organizational measures.
Each payment check is recorded for audit and traceability purposes.
Your choices and rights
You have the right of access, rectification, erasure, restriction of processing, objection and data portability.
You have the right to withdraw consent where processing is based on consent.
In some cases, exercising rights may be limited by legal obligations, contractual requirements or legitimate interests in audit and security.
You may lodge a complaint with a supervisory authority.
Children
PaidX is not intended for children. The app is intended for work use by employees or authorized persons of company customers.
