GDPR (ochrana osobních údajů)
1. Úvodní ustanovení
1.1. Tyto zásady ochrany osobních údajů (dále jen „Zásady GDPR“) stanovují, jakým způsobem společnost XHEDGERS corporation s.r.o., se sídlem Příčná 1892/4, Nové Město, 11000 Praha 1, IČO: 22579222, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod sp. zn. C 418754 (dále jen „Společnost“), nakládá s osobními údaji fyzických osob, při poskytování služeb (detailněji viz obchodní podmínky) svým zákazníkům či poskytovatelům a to v souvislosti využíváním online platformy provozované Společností prostřednictvím webových stránek https://www.xhedgers.com (dále jen „Web“).
1.2. Společnost provozuje online platformu pro simulované obchodování v programech ověřování obchodních schopností. Společnost poskytuje virtuální prostředky, neposkytuje investiční služby, neprovádí exekuci pokynů ani investiční poradenství prostřednictvím Webu (dále jen „Služby“).
1.3. Společnost při své činnosti poskytuje Služby, přičemž v souvislosti s tím zpracovává osobní údaje zákazníků, obchodních partnerů, jejich zástupců či zaměstnanců, a také dalších osob, jejichž údaje jsou nezbytné pro řádné poskytování Služeb. Tyto osoby jsou v tomto dokumentu souhrnně označovány jako „Subjekt údajů“.
1.4. Tyto Zásady GDPR se uplatní i na případy, kdy Společnost přijímá Služby od jiných osob.
2. Kdo jsme a kde nás můžete kontaktovat
XHEDGERS corporation s.r.o.,
IČO: 22579222,
Sídlo: Příčná 1892/4, Nové Město, 11000 Praha 1,
E-mail: info@xhedgers.com
3. Účel těchto Zásad GDPR
3.1. Cílem těchto Zásad GDPR je srozumitelně vysvětlit, jakým způsobem Společnost získává, zpracovává a chrání osobní údaje v souvislosti s poskytováním Služeb, provozem Webua uzavíráním smluvních vztahů.
3.2. Zásady GDPR se vztahují na veškeré osobní údaje, které Subjekty údajů poskytnou Společnosti, zejména prostřednictvím registrace či využívání služeb nabízených na WebuSpolečnosti. Služby Společnosti nejsou určeny osobám mladším 18 let. Společnost vědomě neshromažďuje údaje nezletilých osob. Pokud Společnost zjistí, že došlo k registraci osoby mladší 18 let, účet zruší a údaje bez zbytečného odkladu smaže.
4. Správce osobních údajů
4.1. Správcem osobních údajů je Společnost. Ta odpovídá za to, že s osobními údaji je nakládáno v souladu s platnými právními předpisy.
4.2. Subjekt údajů je povinen poskytovat Společnosti pravdivé a aktuální údaje a oznamovat bez zbytečného odkladu jakékoli jejich změny.
5. Jaké údaje shromažďujeme
5.1. Osobními údaji se rozumí jakékoli informace o fyzické osobě, podle nichž je možné tuto osobu přímo nebo nepřímo identifikovat. Za osobní údaje se nepovažují anonymní či plně agregované informace, u nichž nelze určit konkrétního jednotlivce.
5.2. V rámci poskytování Služeb může Společnost shromažďovat, uchovávat a dále používat různé kategorie údajů. Ty lze rozdělit zejména do následujících skupin:
5.2.1. Technické údaje – zahrnují například IP adresu, polohu, přihlašovací údaje, typ a verziprohlížeče, operační systém, jazyková nastavení, časové pásmo, typ a model zařízení,jedinečné identifikátory zařízení (např. ID relace, cookies, tokeny),údaje o interakcích se Službou a diagnostické záznamy (logy), které Subjekt údajů využívá k přístupu ke Službám.
5.2.2. Profilové údaje – uživatelské jméno a heslo, nastavení a preference či osobní zájmy.
5.2.3. Kontaktní údaje – zejména e-mailová adresa, telefonní číslo a případně i poštovní adresa.
5.2.4. Transakční údaje – informace o uskutečněných nebo přijatých platbách a dalších finančních operacích.
5.2.5. Marketingové a komunikační údaje – údaje o preferencích souvisejících s přijímáním marketingových sdělení či jiných forem komunikace od Společnosti.
5.2.6. Údaje o používání služeb – detailní informace o tom, jak Subjekt údajů služby využívá.
5.2.7. Identifikační údaje – jméno, příjmení, případně rodné příjmení, uživatelské jméno nebo jiný obdobný identifikátor.
5.2.8. Finanční údaje – zahrnují údaje nezbytné pro zpracování plateb, zejména číslo bankovního účtu nebo informace o provedené platbě. Platební transakce jsou zpracovávány prostřednictvím externí platební brány, přičemž Společnost neukládá úplné číslo platební karty ani CVC kód a pracuje výhradně s tokeny poskytovanými platební bránou.
5.3. Kromě výše uvedeného Společnost pracuje také s tzv. agregovanými údaji, tedy se statistickými nebo demografickými daty. Tyto údaje mohou být odvozeny z osobních údajů, ale samy o sobě již nejsou považovány za osobní, protože neumožňují identifikovat konkrétní osobu. Agregované údaje Společnost využívá výhradně k analytickým, provozním a statistickým účelům (např. ke zlepšení funkčnosti a bezpečnosti Služeb) a nikdy je Společnost nespojuje se Subjektem údajů tak, aby vedly k jeho přímé identifikaci.
6. Práva subjektů údajů
6.1. Každý Subjekt údajů má v souvislosti se svými údaji následující práva:
6.1.1. Právo na přístup – zjistit, jaké údaje o něm Společnost uchovává
6.1.2. Právo na opravu – požádat o opravu nepřesných nebo neúplných údajů.
6.1.3. Právo na výmaz (právo být zapomenut) – v odůvodněných případech žádat vymazání údajů.
6.1.4. Právo vznést námitku – zejména proti zpracování založenému na oprávněném zájmu nebo pro účely přímého marketingu.
6.1.5. Právo na omezení zpracování – v určitých situacích požadovat dočasné zastavení zpracování.
6.1.6. Právo na přenositelnost – získat své údaje ve strukturované podobě a předat je jiné organizaci.
6.1.7. Právo odvolat souhlas – pokud je zpracování založeno na souhlasu.
6.1.8. Právo nebýt předmětem automatizovaného rozhodování – Subjekt údajů má právo nebýt subjektem rozhodnutí, která jsou založena výhradně na automatizovaném zpracování, včetně profilování, pokud by taková rozhodnutí měla právní účinky nebo jej jinak významně ovlivňovala, ledaže je takové zpracování nezbytné pro uzavření nebo plnění smlouvy, vyžadováno právními předpisy, nebo pokud k němu Subjekt údajů udělil výslovný souhlas.
6.2. Žádosti o uplatnění práv podle čl. 12–22 GDPR (přístup, oprava, výmaz, omezení, přenositelnost, námitka, odvolání souhlasu, námitka proti marketingu, námitka proti automatizovanému rozhodnutí) může Subjekt údajů podat na e-mail: info@eliteways.com. Lhůta pro vyřízení je 1 měsíc od doručení; u složitých případů ji může Společnost prodloužit až o další 2 měsíce. Před vyřízením žádosti si Společnost vyhrazuje právo ověřit totožnost.
7. Účty u XHEDGERS
7.1. Pokud si Subjekt údajů založí účet u Společnosti, je nezbytné, aby Společnost shromažďovala určité osobní údaje, a to zejména:
7.1.1. Jméno a příjmení
7.1.2. E-mailovou adresu
7.1.3. Adresu bydliště
7.1.4. Telefonní číslo
7.1.5. Údaje o bankovním účtu nebo platební bráně (např. IBAN, tokenizované údaje o kartě nebo jiné identifikátory plateb), které jsou nezbytné pro zpracování plateb.
7.2. V některých případech je poskytování osobních údajů zákonným nebo smluvním požadavkem. Pokud tedy Subjekt údajů tyto údaje odmítne poskytnout, Společnost nemusí být schopna s ním uzavřít smlouvu nebo plnit povinnosti z již uzavřené smlouvy. Ve výjimečných případech to může vést i k nutnosti zrušit smlouvu, přičemž o tomto kroku bude Subjekt údajů vždy informován.
8. Jak údaje shromažďujeme
8.1. Společnost využívá různé způsoby získávání osobních údajů, které závisí na povaze vztahu se Subjektem údajů. Tyto způsoby zahrnují zejména:
8.1.1. Subjekt údajů poskytuje své údaje sám, například při vyplnění registračního formuláře,při komunikaci se Společností prostřednictvím e-mailu, telefonu nebo osobního jednání, při podání žádosti o konkrétní Službu.
8.1.2. V některých případech mohou osobní údaje poskytovat třetí osoby (zprostředkovatelé či partneři), které jsou oprávněny je sdílet za účelem umožnění poskytování služeb. V takovém případě Subjekt údajů bere na vědomí, že tyto údaje budou zpracovávány společně s údaji, které již Společnost shromažďuje.
8.1.3. Při používání Webu Společnosti dochází k automatickému shromažďování technických údajů prostřednictvím cookies, serverových logů a dalších podobných technologií. Tyto údaje se týkají zejména prohlížeče, zařízení, polohy a vzorců chování při prohlížení stránek.
i. Shromažďování těchto údajů slouží ke zlepšení bezpečnosti, funkčnosti a uživatelského zážitku.
8.1.4. Údaje lze výjimečně získat i z veřejně dostupných rejstříků nebo od obchodních partnerů, jako například poskytovatelé analytických služeb (např. Google) nebo třeba reklamní a marketingové sítě působící v EU i mimo ni.
i. Osobní údaje mohou být sdíleny také s poskytovateli hostingu, platebních bran a komunikačních nástrojů, a to pouze v rozsahu nezbytném pro provoz Služeb.
8.1.5. Pokud Společnost nezíská osobní údaje přímo od subjektu údajů, informuje jej o jejich zpracování nejpozději do 1 měsíce od získání (nebo při první komunikaci, případně při prvním zpřístupnění údajů jinému příjemci). V takovém případě Společnost sdělí zdroj údajů, účely a právní základ zpracování, kategorie zpracovávaných údajů a kategorie příjemců.
i. Společnost neprodává osobní údaje a nepředává je neoprávněným osobám.
9. K čemu osobní údaje používáme
9.1. Osobní údaje jsou využívány výhradně v souladu s právními předpisy. Společnost je zpracovává pouze v případech, kdy k tomu existuje právní základ. Typicky jde o tyto situace:
• pokud je to nezbytné pro uzavření nebo plnění smlouvy se Subjektem údajů,
• pokud je to nutné pro ochranu oprávněných zájmů Společnosti nebo jejích partnerů, přičemž tyto zájmy nepřevažují nad základními právy Subjektu údajů,
• pokud je zpracování vyžadováno zákonem či jiným právním předpisem,
• pokud Subjekt údajů udělil svůj výslovný a informovaný souhlas (například v případě marketingových sdělení).
10. Souhlas se zpracováním údajů
10.1. Pokud se zpracování neopírá o smlouvu, zákon či oprávněný zájem, je vyžadován souhlas Subjekt údajů. Typicky se to týká marketingových aktivit (zasílání e-mailových newsletterů, obchodních sdělení či cílených nabídek). V takovém případě Společnost potřebuje souhlas Subjektu údajů. Subjekt údajů má právo souhlas kdykoli odvolat, a to jednoduchým způsobem prostřednictvím kontaktních údajů Společnosti.
i. Newslettery a obchodní sdělení Společnost zasílá pouze na základě uděleného souhlasu (čl. 6 odst. 1 písm. a) GDPR), nebo v režimu tzv. zákaznické výjimky dle § 7 zákona č. 480/2004 Sb., pokud Subjekt údajů je již zákazníkem Společnosti a sdělení se týká obdobných služeb Společnosti. V každém e-mailu je dostupné jedno-klikové odhlášení. Jakmile je odhlášeno, Společnost přestává údaje k tomuto účelu používat.
ii. Profilování pro účely přímého marketingu Společnost provádí pouze na základě souhlasu.Proti zpracování pro přímý marketing je možné kdykoli vznést námitku – i bez uvedení důvodu – a Společnost zpracování okamžitě ukončí.
11. Účely, pro které Společnost zpracovává osobní údaje
11.1. Společnost nakládá s osobními údaji výhradně v rozsahu nezbytném pro naplnění konkrétního účelu a vždy v souladu s právními předpisy. Jednotlivé účely lze rozdělit do několika oblastí:
11.1.1. Uzavírání a plnění smluv
i. Registrace nových klientů – pro vytvoření účtu a uzavření smlouvy Společnost zpracovává zejména identifikační a kontaktní údaje.
ii. Plnění smluvních vztahů – zahrnuje poskytování služeb, komunikaci ohledně změn podmínek, zasílání oznámení či vyžádání zpětné vazby. Společnost zpracovává převážně identifikační a kontaktní údaje, případně i marketingové, pokud souvisí s plněním smlouvy.
11.1.2. Správa a bezpečnost Společnosti a Služeb
i. Správa a provozní bezpečnost Společnosti – administrativní a IT podpora, testování a údržba systémů, řešení incidentů, prevence podvodů a činnosti nutné k plynulému chodu společnosti.
ii. Provoz a bezpečnost Webu – zpracování technických údajů k zajištění funkčnosti, stability a ochraně před bezpečnostními hrozbami.
iii. Právní nároky a povinnosti – v případě sporů, insolvenčních řízení či trestních vyšetřování mohou být zpracovávány identifikační, kontaktní či jiné údaje potřebné k obhajobě práv Společnosti.
iv. Prevence zneužití služeb a podvodného jednání (Anti‑fraud) – Společnost není povinnou osobou dle § 2 zákona č. 253/2008 Sb. (AML). Zpracování v této oblasti proto provádí na základě oprávněného zájmu podle čl. 6 odst. 1 písm. f) GDPR, kterým je zajištění bezpečnosti platformy, ochrana uživatelů a odměn, prevence podvodů, cheatu a obcházení pravidel programů.
v. V rámci ověřování uživatelských účtů (KYC) může Společnost zpracovávat identifikační údaje z dokladů totožnosti a biometrické údaje (např. selfie fotografie) pro účely ověření identity Uživatele. Zpracování probíhá na základě oprávněného zájmu Společnosti dle čl. 6 odst. 1 písm. f) GDPR, s cílem předcházet podvodům a zneužití účtů.
11.1.3. Zlepšování služeb a zákaznické zkušenosti
i. Analýza a optimalizace služeb – technické, kontaktní či profilové údaje slouží k vyhodnocování chování uživatelů, zlepšování produktů a zdokonalování marketingu.
ii. Analýza chování na Webu – Společnost sleduje, jak uživatelé využívají Web a Služby, aby je mohla udržovat aktuální a přizpůsobené potřebám.
iii. Offline měření konverzí – pokud Subjekt údajů poskytne své kontaktní údaje prostřednictvím Webu či formulářů, mohou být využity k porovnání online a offline aktivit s cílem přesnějšího vyhodnocování kampaní.
11.1.4. Marketing a obchodní rozvoj
i. Personalizace a marketing – Společnost využívá technické, profilové či uživatelské údajepro cílení reklam a vyhodnocování jejich účinnosti.
ii. Nabídky a doporučení produktů či služeb – klientům může Společnost předkládat nové produkty nebo služby, které odpovídají jejich potřebám a preferencím.
iii. Spolupráce s obchodními partnery – v omezeném rozsahu lze sdílet identifikační a kontaktní údaje pro účely distribuce služeb prostřednictvím zprostředkovatelů či partnerských programů (např. cashback, slevové akce).
Každý Subjekt údajů má právo kdykoli požádat Společnost, aby přestala zasílat marketingová sdělení – ať už vlastním jménem nebo prostřednictvím třetích stran. Odhlášení lze provést jednoduše kliknutím na odhlašovací odkaz uvedený v každé marketingové zprávě, případně kontaktováním Společnosti prostřednictvím oficiální e-mailové adresy v rámci kontaktních údajů Společnosti, viz čl. 2 těchto Zásad GDPR.
11.1.5. Automatizované rozhodování a profilování v programech
i. V rámci programů ověřování obchodních schopností Společnost využívá automatizovanésystémy pro průběžné vyhodnocování výkonu účtu (např. profit/loss, drawdown, počet a velikost obchodů, dodržení pravidel). Na základě těchto metrik systém automaticky identifikuje splnění či nesplnění podmínek programu, přičemž v konečné fázi může proběhnout také manuální kontrola zaměřená na ověření férového a transparentního obchodování (např. analýza obchodů uskutečněných v době významných ekonomických událostí aj.) a posouzení případného nároku na odměnu.
ii. Zpracování je nezbytné pro plnění smlouvy (čl. 6(1)(b) GDPR). Subjekt údajů má právopožádat o lidský přezkum rozhodnutí, vyjádřit své stanovisko a rozhodnutí napadnout na emailu Společnosti v čl. 2 těchto Zásad GDPR.
12. Cookies a podobné technologie
12.1. Společnost na Webu využívá tzv. cookies a další obdobné technologie. Tyto soubory Společnosti pomáhají zajistit správnou funkčnost stránek, přizpůsobit je potřebám uživatelů a vyhodnocovat jejich používání.
12.2. Každý uživatel má možnost nastavit svůj prohlížeč tak, aby:
12.2.1. odmítl všechny cookies, které nejsou nezbytné pro provoz Webu,
12.2.2. povolil jen některé,
12.2.3. nebo byl upozorněn při každém jejich použití.
i. Uživatel bere na vědomí, že některé cookies jsou technicky nezbytné pro správné fungování Webu a nelze je v prohlížeči deaktivovat, aniž by došlo k omezení funkčnosti některých částí Webu (např. přihlášení, ukládání preferencí nebo nákupní košík).
12.3. Je třeba upozornit, že při úplném odmítnutí cookies nemusí některé části Webu správně fungovat nebo se mohou stát nedostupnými. Podrobnosti o používaných souborech cookies a možnostech jejich správy jsou uvedeny v samostatných Zásadách Cookies.
13. Změna účelu zpracování
13.1. Osobní údaje jsou vždy zpracovávány pouze pro účely, pro které byly původně shromážděny. Pokud by Společnost měla v budoucnu potřebu využít údaje k jinému účelu, je to možné pouze za podmínky, že tento účel je slučitelný s původním právním základem.
13.2. Pokud by nový účel nebyl slučitelný, Společnost Subjekt Údajů o této skutečnosti včas informuje a vysvětlí právní důvod zpracování. V případě, že zákon vyžaduje souhlas Subjektu Údajů, bude vyžádán před zahájením takového nového zpracování.
14. Sdílení údajů s třetími stranami
14.1. Osobní údaje může Společnost zpřístupnit pouze v nezbytných případech a vždy v souladu s právními předpisy. Jedná se zejména o:
14.1.1. poskytovatele služeb – např. IT dodavatele, právní a účetní poradce, poskytovatele telekomunikačních služeb, tiskových a logistických řešení nebo marketingových nástrojů,
14.1.2. orgány veřejné správy – pokud je to vyžadováno zákonem nebo regulačními povinnostmi (např. daňové úřady, soudy, orgány činné v trestním řízení),
14.1.3. obchodní partnery a zprostředkovatele – v rámci smluvní spolupráce, pokud se podílejí na poskytování Služeb Společnosti,
14.1.4. ostatní příjemce – pouze na základě souhlasu Subjektu Údajů nebo pokud to odpovídá oprávněnému zájmu Společnosti.
14.2. Každá třetí strana, se kterou Společnost sdílí údaje, je povinna zachovávat mlčenlivost a respektovat pravidla ochrany osobních údajů stanovená Společností.
15. Zabezpečení údajů
15.1. Společnost přijímá technická a organizační opatření, aby zajistila ochranu osobních údajů před neoprávněným přístupem, ztrátou, změnou či zničením. Přístup k údajům mají pouze oprávněné osoby, které jsou vázány povinností mlčenlivosti.
15.2. Pokud by Společnost zaznamenala bezpečnostní incident nebo podezření na jeho vznik, postupuje podle interních předpisů a přijme okamžitá nápravná opatření.
15.3. Pokud zpracování Společnosti zahrnuje poskytovatele se sídlem mimo Evropský hospodářský prostor (EHP), zejména v USA, Společnost přenáší osobní údaje pouze tehdy, pokud je zajištěna odpovídající úroveň ochrany.
16. Doba uchovávání údajů
16.1. Společnost uchovává osobní údaje jen po dobu nezbytnou pro naplnění účelu, pro který byly shromážděny, a v souladu s právními a účetními požadavky.
16.2. Údaje vztahující se ke smluvnímu vztahu společnost uchovává po dobu jeho trvání a následně obvykle ještě 5 let po jeho ukončení, pokud není stanoveno jinak.
16.3. Účetní a daňové doklady (včetně dokladů k DPH) společnost uchovává dle právních předpisů, tj. po dobu 10 let od konce zdaňovacího období, v němž vznikla povinnost vést nebo uchovávat takové doklady.
16.4. Bezpečnostní a provozní logy společnost uchovává obvykle po dobu 12 až 24 měsíců od jejich vzniku, není-li potřeba uchování delší (např. pro obranu právních nároků).
16.5. Pokud je zpracování založeno na souhlasu (např. marketing, cookies), společnost uchovává údaje do okamžiku jeho odvolání, nebo nejdéle 2 roky od poslední interakce.
16.6. Po uplynutí stanovených dob uchování společnost údaje buď bezpečně vymaže, nebo je anonymizuje a dále využívá výhradně pro statistické či analytické účely.
17. Stížnost
17.1. Pokud se Subjekt Údajů domnívá, že společnost zpracovává jeho osobní údaje v rozporu s příslušnými právními předpisy, může podat stížnost u příslušného dozorového orgánu. Příslušným dozorovým orgánem podle adresy hlavního sídla společnosti je Úřad pro ochranu osobních údajů, se sídlem Pplk. Sochora 27, Praha 7, PSČ 170 00, Česká republika, email posta@uoou.cz. Bližší informace o úřadu jsou dostupné na webových stránkách www.uoou.cz.
18. Závěrečná ustanovení
18.1. Rozhodné znění těchto Zásad GDPR je české jazykové znění. V případě rozporu mezi českým zněním a překladem do jiného jazyka má přednost česká verze.
18.2. Tyto Zásad GDPR nabývají účinnosti dne XX. XX. 2025. O významných změnách způsobu zpracování osobních údajů bude společnost informovat Subjekty Údajů přiměřeným způsobem, například prostřednictvím e-mailu nebo oznámením v rámci své platformy na Webu.
