Dokument

Zásady zpracování osobních údajů

(dále jen „Zásady")
podle nařízení (EU) 2016/679 (GDPR)

Správce osobních údajů: BOEXBR s.r.o.
se sídlem: Kubánská 2398/1, Žabovřesky, 616 00 Brno
IČO: 21998132
zapsaná v obchodním rejstříku vedeném Krajským soudem v Brně, oddíl C, vložka 140992
kontaktní e-mail: pulseupmaster@gmail.com
(dále jen „Správce" nebo „my")

Správce provozuje EMS studia pod obchodním označením PulseUp na adresách:
Brno Královo Pole — Kosmova 6, 612 00 Brno
Opava — nám. Republiky 17, 746 01 Opava

I. Úvodní informace

  1. Tyto Zásady popisují, jak Správce zpracovává osobní údaje fyzických osob (dále jen „Vás" nebo „Subjekt údajů") v postavení klientů, zájemců o služby, uchazečů o zaměstnání a návštěvníků webových stránek pulseup.cz a souvisejících provozoven.
  2. Zpracování probíhá v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů (dále jen „GDPR"), se zákonem č. 110/2019 Sb., o zpracování osobních údajů, a dalšími platnými právními předpisy.
  3. Tyto Zásady se vztahují na zpracování, které provádí přímo Správce. Pro zpracování odkazovanými třetími stranami (např. platební brány, benefitní programy) se uplatní jejich vlastní zásady, o nichž Vás tyto stránky informují nebo na ně odkazují.

II. Kontaktní údaje Správce

  1. Ve všech záležitostech týkajících se ochrany osobních údajů nás můžete kontaktovat:
    BOEXBR s.r.o.
    Kubánská 2398/1, Žabovřesky, 616 00 Brno
    e-mail: pulseupmaster@gmail.com
  2. Osobní kontakt s obsluhou je možný v otevírací době na kteroukoli z výše uvedených provozoven.

III. Pověřenec pro ochranu osobních údajů

  1. Správce nejmenoval pověřence pro ochranu osobních údajů, neboť jeho činnost nenaplňuje podmínky čl. 37 odst. 1 GDPR (správce není orgánem veřejné moci, hlavní činnost nespočívá v rozsáhlém systematickém monitorování subjektů údajů ani v rozsáhlém zpracování zvláštních kategorií osobních údajů ve smyslu tohoto ustanovení).
  2. Veškeré dotazy a žádosti týkající se ochrany osobních údajů vyřizuje Správce na kontaktních údajích uvedených v čl. II.

IV. Rozsah zpracovávaných osobních údajů

  1. V závislosti na povaze vztahu s Vámi zpracováváme zejména tyto kategorie osobních údajů:
    • Identifikační údaje: jméno, příjmení, datum narození, pohlaví (je-li potřebné pro nastavení tréninku);
    • Kontaktní údaje: e-mailová adresa, telefonní číslo, korespondenční adresa;
    • Fakturační údaje: IČO, DIČ, obchodní firma a sídlo (u klientů-podnikatelů), bankovní spojení;
    • Údaje o využívání služeb: rezervované a odcvičené lekce, zakoupené permanentky, storna a přesuny, poznámky trenéra k průběhu tréninku;
    • Údaje o platbách: částky, způsob platby, variabilní symbol, datum úhrady, stav platby, čísla vystavených dokladů;
    • Uživatelské údaje: přihlašovací e-mail, zašifrované heslo (v systému Supabase), ID relace, záznamy o přihlášení a akcích v administraci (audit log);
    • Zvláštní kategorie osobních údajů — údaje o zdravotním stavu: informace uvedené ve vstupním zdravotním dotazníku, odpovědi na otázky o kontraindikacích, případné zdravotní poznámky nezbytné pro bezpečné vedení EMS tréninku (např. informace o stavech po operacích, lécích, těhotenství, alergiích).
  2. Údaje získáváme zpravidla přímo od Vás — při registraci, rezervaci, v provozovně při vyplnění zdravotního dotazníku, při platbě, při komunikaci s obsluhou. V případě plateb bankovním převodem získáváme omezené údaje i od Vaší banky v rozsahu nezbytném pro identifikaci platby.

V. Účely a právní základy zpracování

  1. Uzavření a plnění smlouvy (čl. 6 odst. 1 písm. b) GDPR)
    Pro založení klientského účtu, správu rezervací, vedení tréninkové historie, účtování permanentek, komunikaci ohledně rezervací, vydávání dokladů a vyřizování reklamací.
    Rozsah: identifikační, kontaktní, fakturační a uživatelské údaje; údaje o využívání služeb a platbách.
    Doba: po dobu trvání smlouvy a 3 roky poté (obecná promlčecí lhůta).
  2. Plnění právních povinností (čl. 6 odst. 1 písm. c) GDPR)
    Vedení účetnictví a daňové evidence, archivace účetních dokladů, plnění povinností vůči finančním a kontrolním orgánům.
    Rozsah: identifikační, fakturační a platební údaje.
    Doba: 10 let od konce účetního období podle zákona č. 563/1991 Sb., o účetnictví, a zákona č. 235/2004 Sb., o DPH.
  3. Výslovný souhlas — zdravotní údaje (čl. 9 odst. 2 písm. a) GDPR)
    Zpracování údajů o zdravotním stavu uvedených ve vstupním zdravotním dotazníku je nezbytné pro bezpečné poskytování EMS tréninku. Bez udělení souhlasu Vám nemůžeme Službu poskytnout, neboť bychom nemohli ověřit případné kontraindikace.
    Rozsah: údaje ze zdravotního dotazníku a navazující poznámky.
    Doba: po dobu trvání smlouvy a 3 roky poté; souhlas můžete kdykoli odvolat, to ovšem nemá vliv na zpracování provedené před odvoláním a může znamenat ukončení možnosti dále čerpat Služby.
  4. Oprávněný zájem Správce (čl. 6 odst. 1 písm. f) GDPR)
    Ochrana našich práv a zájmů (zejména obhajoba právních nároků), zajištění bezpečnosti a provozu informačních systémů, záznamy o provedených změnách v administraci (audit log), prevence podvodů, vymáhání pohledávek, anonymizované statistiky využívání Služeb.
    Rozsah: uživatelské údaje, údaje o využívání služeb, platbách a provedených akcích.
    Doba: 3 roky od vzniku záznamu; proti zpracování na základě oprávněného zájmu máte právo kdykoli podat námitku (viz čl. X těchto Zásad).
  5. Souhlas — marketing (čl. 6 odst. 1 písm. a) GDPR)
    Zasílání obchodních sdělení, newsletteru, informací o akcích a slevách elektronickou cestou (e-mail, SMS). Souhlas udělujete dobrovolně, samostatně a můžete ho kdykoli odvolat (např. kliknutím na odkaz v e-mailu nebo zasláním žádosti na e-mail uvedený výše).
    Rozsah: kontaktní údaje, historie odběru.
    Doba: do odvolání souhlasu, maximálně však 5 let od posledního projeveného zájmu.
  6. Poskytnutí údajů pro účely dle odst. 1 až 3 tohoto článku je smluvním a (v části týkající se zdravotních údajů) fakticky nezbytným požadavkem pro uzavření Smlouvy a poskytnutí Služby. Poskytnutí údajů pro účel marketingu (odst. 5) je zcela dobrovolné.

VI. Doba uchovávání osobních údajů

  1. Osobní údaje uchováváme pouze po dobu nezbytnou pro daný účel, jak je uvedeno v čl. V těchto Zásad. Po uplynutí této doby údaje zlikvidujeme, nebo je anonymizujeme tak, aby nebylo možné identifikovat konkrétní osobu.
  2. Souhrnně platí tato základní doba uchování:
    • klientský účet a údaje o využívání služeb — po dobu trvání smlouvy a 3 roky poté;
    • zdravotní dotazník a poznámky — po dobu trvání smlouvy a 3 roky poté;
    • účetní a daňové doklady — 10 let od konce účetního období;
    • marketingové souhlasy a historie rozesílek — do odvolání, maximálně 5 let;
    • audit log interních akcí v systému — 3 roky od vzniku záznamu;
    • logy webového serveru a serverů zpracovatelů — 30–90 dnů;
    • zálohy databáze — 30 dnů, jako součást běžného záložního cyklu.
  3. Pokud uplatníte právo na výmaz (viz čl. X), provedeme likvidaci těch údajů, u nichž pro to nebrání zákonná povinnost nebo oprávněný zájem Správce (zejména účetní povinnosti a obhajoba právních nároků po dobu promlčecí lhůty).

VII. Příjemci a zpracovatelé osobních údajů

  1. Vaše osobní údaje předáváme pouze v nezbytném rozsahu prověřeným zpracovatelům, kteří nám poskytují technické, účetní nebo provozní služby. Se všemi zpracovateli máme uzavřenu smlouvu o zpracování osobních údajů podle čl. 28 GDPR nebo jsou uplatněna odpovídající smluvní opatření.
  2. Aktuální kategorie příjemců:
    • Supabase Inc. (USA / Irsko) — databáze, autentizace a ukládání aplikačních dat. Standardní smluvní doložky EU.
    • Vercel Inc. (USA) — hosting webové aplikace a serverové infrastruktury. Standardní smluvní doložky EU.
    • Resend (USA / EU) — rozesílání transakčních e-mailů (potvrzení rezervace, připomínky, upozornění). Standardní smluvní doložky EU.
    • BulkGate s.r.o. (ČR) — rozesílání SMS zpráv (připomínky, upozornění).
    • Fio banka, a.s. (ČR) — zpracování příchozích plateb a bankovních operací; předávána jsou data nezbytná pro identifikaci platby (zpravidla variabilní symbol, částka, protistrana).
    • Meta Platforms Ireland Ltd. (Irsko) — měření účinnosti reklamních kampaní na Facebooku a Instagramu prostřednictvím tzv. Meta Pixelu. Pixel se spouští pouze na konverzní stránce potvrzující rezervaci bezplatné úvodní lekce („EMS Start"). Podrobnosti ke konkrétním cookies viz Zásady používání cookies.
    • Externí účetní a daňový poradce — zpracování účetní a daňové agendy. Údaje předáváme v rozsahu nezbytném pro plnění zákonných povinností.
    • Orgány veřejné moci — v případech stanovených zákonem (finanční úřad, Policie ČR, soudy, ČOI, ÚOOÚ atd.).
  3. Okruh zpracovatelů se může v čase měnit (např. výměna poskytovatele služby). Aktuální přehled Vám na Vaši žádost na kontaktní adrese vždy poskytneme.
  4. Osobní údaje nepředáváme jiným třetím stranám k jejich vlastním marketingovým účelům.

VIII. Předávání osobních údajů do třetích zemí

  1. Někteří z našich zpracovatelů (Supabase, Vercel, Resend) mají sídlo mimo Evropský hospodářský prostor, typicky ve Spojených státech amerických. Infrastruktura může být umístěna na datových centrech v EU i mimo EU.
  2. Pro taková předání jsou uplatněny odpovídající záruky ve smyslu čl. 46 GDPR, zejména standardní smluvní doložky schválené Evropskou komisí (SCC), případně certifikační mechanismy zpracovatelů.
  3. Máte právo získat na Vaši žádost kopii příslušných záruk pro předání do třetí země.

IX. Automatizované rozhodování a profilování

  1. Při zpracování Vašich osobních údajů nedochází k automatizovanému rozhodování ani k profilování, které by mělo pro Vás právní účinky nebo se Vás obdobně významně dotýkalo ve smyslu čl. 22 GDPR.
  2. Technické logování akcí v administraci (audit log) a automatizované rozesílání transakčních notifikací neřadíme pod automatizované rozhodování.

X. Práva subjektu údajů

  1. V souvislosti se zpracováním Vašich osobních údajů máte následující práva:
    • Právo na přístup (čl. 15 GDPR) — získat potvrzení, že o Vás zpracováváme osobní údaje, a kopii těchto údajů.
    • Právo na opravu (čl. 16 GDPR) — požadovat opravu nepřesných nebo neúplných osobních údajů.
    • Právo na výmaz („právo být zapomenut", čl. 17 GDPR) — požadovat vymazání osobních údajů, pokud již nejsou potřebné pro původní účel, odvoláte souhlas, uplatníte úspěšně námitku nebo pokud by bylo zpracování protiprávní. Právo se neuplatní v rozsahu, v němž jsme povinni údaje dále uchovávat (zejména účetní povinnosti nebo obhajoba právních nároků).
    • Právo na omezení zpracování (čl. 18 GDPR) — v zákonem vymezených případech.
    • Právo na přenositelnost údajů (čl. 20 GDPR) — získat údaje, které jste nám poskytl/a, ve strukturovaném, strojově čitelném formátu, a případně je předat jinému správci.
    • Právo vznést námitku (čl. 21 GDPR) — proti zpracování založenému na oprávněném zájmu; u přímého marketingu námitce vždy vyhovíme bez dalšího.
    • Právo odvolat souhlas — tam, kde je zpracování založeno na souhlasu (zejména marketing a zvláštní kategorie údajů). Odvoláním souhlasu není dotčena zákonnost zpracování do odvolání.
    • Právo podat stížnost u dozorového úřadu — zejména u:
      Úřad pro ochranu osobních údajů
      Pplk. Sochora 27, 170 00 Praha 7
      web: www.uoou.cz
      e-mail: posta@uoou.cz
  2. Svá práva můžete uplatnit zasláním žádosti na e-mail pulseupmaster@gmail.com nebo písemně na adresu sídla Správce. Pro ochranu Vašich údajů si v odůvodněných případech vyhrazujeme právo ověřit Vaši totožnost (např. v provozovně nebo potvrzením z e-mailu vedeného u klientského účtu).
  3. Žádosti vyřizujeme bez zbytečného odkladu, nejpozději do 1 měsíce od doručení. Ve složitějších případech může být lhůta prodloužena až o další 2 měsíce; o takovém prodloužení Vás budeme informovat.
  4. Vyřízení Vaší žádosti je zpravidla bezplatné. Za zjevně nedůvodné nebo nepřiměřené žádosti (zejména opakované) si vyhrazujeme právo účtovat přiměřený poplatek nebo žádost odmítnout.

XI. Zabezpečení osobních údajů

  1. K ochraně Vašich osobních údajů přijímáme technická a organizační opatření přiměřená povaze zpracování a souvisejícím rizikům, zejména:
    • šifrovaný přenos dat mezi prohlížečem a serverem (HTTPS / TLS);
    • šifrované uložení hesel (hashování);
    • přístup k osobním údajům pouze pověřenými osobami s jednoznačnou identifikací (oddělené role — admin, manažer, recepce, trenér);
    • řízení přístupu na úrovni databáze (row-level security) tak, aby zaměstnanec pobočky neviděl údaje jiné pobočky;
    • audit log akcí v administraci — každá změna v citlivých datech je zaznamenávána;
    • pravidelné automatické zálohy databáze;
    • smluvní závazky mlčenlivosti zaměstnanců.
  2. V případě, že dojde k porušení zabezpečení osobních údajů, které bude pravděpodobně představovat riziko pro Vaše práva a svobody, bez zbytečného odkladu to oznámíme Úřadu pro ochranu osobních údajů, případně Vám; to vše v souladu s čl. 33 a 34 GDPR.

XII. Cookies a sledovací technologie

  1. Naše webové stránky používají cookies — malé textové soubory ukládané ve Vašem prohlížeči. Technicky nezbytné cookies (např. pro fungování přihlášení nebo rezervačního systému) používáme na základě oprávněného zájmu, aby stránky vůbec fungovaly.
  2. Analytické nebo marketingové cookies používáme pouze na základě Vašeho souhlasu vyjádřeného v cookie banneru, který se zobrazuje při první návštěvě stránek. Souhlas můžete kdykoli změnit nebo odvolat v nastavení cookies na webových stránkách.
  3. Podrobné informace o konkrétních cookies, jejich účelu a době platnosti naleznete v samostatném dokumentu „Zásady používání cookies" (bude zveřejněn), případně si je vyžádejte u Správce.

XIII. Zpracování údajů nezletilých osob

  1. Naše Služby jsou určeny osobám starším 18 let. Klient mladší 18 let může Služby využít pouze s předchozím písemným souhlasem zákonného zástupce a po konzultaci s ošetřujícím lékařem.
  2. Pro účely marketingu a zakládání online klientského účtu zpracováváme osobní údaje pouze u osob starších 16 let (čl. 8 GDPR), a to se souhlasem zákonného zástupce, je-li vyžadován.

XIV. Změny těchto Zásad

  1. Tyto Zásady mohou být v přiměřeném rozsahu měněny zejména v reakci na změny právních předpisů, nové technologie nebo změny v okruhu zpracovatelů. Aktuální znění je vždy dostupné na webových stránkách pulseup.cz/gdpr a na vyžádání v provozovnách.
  2. O podstatných změnách Zásad Vás budeme informovat přiměřeným způsobem, zpravidla elektronickou poštou nebo oznámením na webových stránkách, nejméně 14 dnů před nabytím jejich účinnosti.

XV. Závěrečná ustanovení

  1. Tyto Zásady jsou vyhotoveny v českém jazyce a řídí se právním řádem České republiky.
  2. Tyto Zásady nabývají platnosti a účinnosti dne 24. dubna 2026.
  3. Tyto Zásady doplňují Obchodní podmínky Správce; v případě rozporu mají ustanovení Zásad přednost v otázkách ochrany osobních údajů.

V Brně, dne 24. dubna 2026

BOEXBR s.r.o.
Michal Janoušek, jednatel