Příloha k Annex 9 (IKT systémy) - technická bezpečnostní opatření
Příloha k žádosti o povolení poskytovatele služeb souvisejících s kryptoaktivy
V souladu s nařízením (EU) 2016/679 (GDPR) a článkem 94 nařízení MiCA
Správcem osobních údajů je Bullrun s.r.o.
Identifikační údaje:
• IČO: 09322591
• Sídlo: Lidická 700/19, Veveří, 602 00 Brno, Česká republika
• Kontaktní e-mail: [email protected]
• Web: www.freecoin.cz
Společnost Bullrun s.r.o. poskytuje službu směny kryptoaktiv (CASP1) na webu FreeCoin.cz v souladu s nařízením Evropského parlamentu a Rady (EU) 2023/1114 o trzích kryptoaktiv (MiCA).
Osobní údaje jsou zpracovávány za následujícími účely a na základě těchto právních základů:
Účel: Plnění povinností stanovených právními předpisy
Právní základ: Článek 6 odst. 1 písm. c) GDPR (plnění právní povinnosti)
Konkrétní právní předpisy:
• Zákon č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu (AML zákon)
• Nařízení Evropského parlamentu a Rady (EU) 2023/1114 o trzích kryptoaktiv (MiCA)
• Nařízení Evropského parlamentu a Rady (EU) 2022/2554 o digitální operační odolnosti finančního sektoru (DORA)
• Zákon č. 563/1991 Sb., o účetnictví
• Zákon č. 586/1992 Sb., o daních z příjmů
Zpracovávané údaje:
• Identifikační údaje (jméno, příjmení, datum narození, rodné číslo, státní občanství)
• Kontaktní údaje (e-mail, telefon, adresa)
• Údaje z dokladů totožnosti (číslo průkazu, datum vydání, platnost)
• Transakční údaje (objem, frekvence, účel, datum a čas)
• Bankovní spojení a adresa kryptoaktivové peněženky
• Údaje z KYC dotazníků (zdroj prostředků, účel směny)
Účel: Poskytování služby směny kryptoaktiv
Právní základ: Článek 6 odst. 1 písm. b) GDPR (plnění smlouvy)
Zpracovávané údaje:
• Registrační údaje (e-mail, heslo)
• Transakční údaje (objednávky, platby, adresy peněženek)
• Komunikace s klientem (e-maily, zprávy)
Účel: Ochrana před podvody, kybernetickými útoky a zneužitím služby
Právní základ: Článek 6 odst. 1 písm. f) GDPR (oprávněný zájem správce)
Zpracovávané údaje:
• IP adresa
• Údaje z cookies (v rozsahu stanoveném správcem)
• Logy přístupů k platformě
• Údaje o chování klienta na platformě
Vyvážení zájmů: Ochrana před podvody a kybernetickými útoky je v zájmu jak správce, tak klientů. Zpracování těchto údajů nepředstavuje nepřiměřený zásah do práv subjektů údajů.
Správce zpracovává následující kategorie osobních údajů:
• Jméno a příjmení
• Datum narození
• Rodné číslo (pokud je uvedeno na dokladu totožnosti)
• Státní občanství
• Číslo průkazu totožnosti (občanský průkaz, pas)
• Datum vydání a platnosti dokladu
• Fotografie z dokladu totožnosti
• Selfie s dokladem totožnosti
• E-mailová adresa
• Telefonní číslo
• Trvalé bydliště (ulice, číslo popisné, město, PSČ, stát)
• Objem transakce (částka v CZK nebo množství kryptoaktiva)
• Typ transakce (nákup nebo prodej)
• Datum a čas transakce
• Kurz kryptoaktiva
• Poplatek
• Stav transakce (čekající, dokončená, zrušená)
• Číslo bankovního účtu (pro příjem nebo odeslání CZK)
• Adresa kryptoaktivové peněženky (pro příjem nebo odeslání kryptoaktiva)
• Zdroj prostředků (zaměstnání, podnikání, úspory, dědictví, atd.)
• Účel směny (investice, platba, jiné)
• Očekávaný objem transakcí
• Politicky exponovaná osoba (PEP) - ano/ne
• IP adresa
• Údaje z cookies (identifikátor session, preference)
• Logy přístupů (datum, čas, akce)
• Informace o zařízení (typ prohlížeče, operační systém)
Osobní údaje jsou získávány:
Přímo od subjektů údajů:
• Prostřednictvím online registračního formuláře na FreeCoin.cz
• Prostřednictvím KYC procesu (nahrání dokladů totožnosti)
• Prostřednictvím komunikace (e-mail, telefon)
• Prostřednictvím zadávání objednávek na platformě
Z veřejně dostupných zdrojů:
• Sankční seznamy (EU, OSN, USA) - pro screening klientů
• Obchodní rejstřík (pro právnické osoby)
Osobní údaje mohou být zpřístupněny následujícím příjemcům:
Finanční analytický úřad (FAÚ):
• Hlášení podezřelých transakcí podle AML zákona
• Poskytování informací na vyžádání
Česká národní banka (ČNB):
• Dohled nad činností poskytovatele služeb souvisejících s kryptoaktivy
• Poskytování informací na vyžádání
Policie České republiky:
• Poskytování informací v rámci trestního řízení (na základě příkazu soudu)
Finanční správa:
• Poskytování informací pro daňové účely (na vyžádání)
Hosting:
• Forpsi s.r.o. - poskytovatel hostingu pro platformu FreeCoin.cz
• Umístění serverů: Česká republika
IT partner:
• Poskytovatel technické podpory a údržby platformy
• Přístup k údajům pouze v rozsahu nezbytném pro poskytování služeb
Advokát:
• Právní poradenství v oblasti AML, MiCA, GDPR
• Přístup k údajům pouze v rozsahu nezbytném pro poskytování služeb
AML partner:
• Poskytovatel služeb AML monitoringu a screeningu
• Přístup k údajům pouze v rozsahu nezbytném pro poskytování služeb
Auditor:
• Provádění auditů AML, GDPR, kybernetické bezpečnosti
• Přístup k údajům pouze v rozsahu nezbytném pro audit
Správce zajišťuje bezpečnost osobních údajů prostřednictvím následujících technických a organizačních opatření:
Šifrování dat:
• Všechna osobní údaje jsou šifrována na serverech (AES-256)
• Komunikace mezi klientem a serverem je šifrována (HTTPS, TLS 1.3)
• Hesla jsou hashována (bcrypt)
Přístupový systém:
• Přístup k databázi je chráněn heslem a 2FA (dvoufaktorová autentizace)
• Přístup mají pouze oprávněné osoby (jednatel, IT partner)
• Logy přístupů jsou zaznamenávány a pravidelně kontrolovány
Pravidelné zálohování:
• Denní zálohy databáze
• Týdenní zálohy celého systému
• Ukládání záloh na externím úložišti (mimo hosting)
• Testování obnovy ze záloh (čtvrtletně)
Firewall a antivirus:
• Firewall chrání server před neoprávněným přístupem
• Antivirus skenuje všechny nahrané soubory
• Intrusion Detection System (IDS) detekuje podezřelé aktivity
Systém řízení kybernetických rizik:
• Implementován v souladu s nařízením DORA (EU) 2022/2554
• Pravidelné hodnocení rizik (ročně)
• Plán zachování kontinuity činností (Business Continuity Plan)
• Plán reakce na incidenty
Postupy pro hlášení bezpečnostních incidentů:
• Okamžité hlášení incidentů jednateli
• Hlášení Úřadu pro ochranu osobních údajů (do 72 hodin u závažných incidentů)
• Hlášení subjektům údajů (pokud incident představuje vysoké riziko pro jejich práva)
Pravidelné testování opatření:
• Penetrační testy (ročně)
• Testování obnovy ze záloh (čtvrtletně)
• Testování plánu reakce na incidenty (ročně)
Školení zaměstnanců:
• Školení o GDPR a ochraně osobních údajů (ročně)
• Školení o kybernetické bezpečnosti (ročně)
Osobní údaje jsou uchovávány po následující dobu:
Doba uchování: 10 let od ukončení obchodního vztahu nebo provedení transakce
Právní základ: § 16 zákona č. 253/2008 Sb. (AML zákon)
Zahrnuje:
• Identifikační údaje
• Údaje z dokladů totožnosti
• Transakční údaje
• Údaje z KYC dotazníků
Doba uchování: 10 let od konce účetního období
Právní základ: § 31 zákona č. 563/1991 Sb. (zákon o účetnictví)
Zahrnuje:
• Transakční údaje
• Bankovní spojení
Doba uchování: 1 rok od zaznamenání
Právní základ: Oprávněný zájem správce (ochrana před podvody)
Zahrnuje:
• IP adresa
• Logy přístupů
• Údaje z cookies
Doba uchování: 5 let od ukončení obchodního vztahu
Právní základ: Oprávněný zájem správce (důkazní účely)
Zahrnuje:
• E-maily
• Zprávy
• Telefonické hovory (pokud jsou zaznamenávány)
Subjekt údajů má následující práva podle GDPR:
Subjekt údajů má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud tomu tak je, má právo získat přístup k těmto osobním údajům a následujícím informacím:
• Účely zpracování
• Kategorie dotčených osobních údajů
• Příjemci osobních údajů
• Plánovaná doba uchování
• Práva subjektu údajů
Postup: Subjekt údajů podá žádost e-mailem na [email protected]. Správce odpoví do 30 dnů.
Subjekt údajů má právo na to, aby správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají.
Postup: Subjekt údajů podá žádost e-mailem na [email protected]. Správce opraví údaje do 5 pracovních dnů.
Subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají.
OMEZENÍ: Toto právo se neuplatní, pokud je zpracování nezbytné pro:
• Plnění právní povinnosti (AML zákon vyžaduje uchování údajů po dobu 10 let)
• Určení, výkon nebo obhajobu právních nároků
Postup: Subjekt údajů podá žádost e-mailem na [email protected]. Správce posoudí žádost a odpoví do 30 dnů.
Subjekt údajů má právo na to, aby správce omezil zpracování osobních údajů v následujících případech:
• Subjekt údajů popírá přesnost osobních údajů
• Zpracování je protiprávní a subjekt údajů odmítá výmaz
• Správce již osobní údaje nepotřebuje, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků
Postup: Subjekt údajů podá žádost e-mailem na [email protected]. Správce posoudí žádost a odpoví do 30 dnů.
Subjekt údajů má právo získat osobní údaje, které se ho týkají, jež poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci.
Postup: Subjekt údajů podá žádost e-mailem na [email protected]. Správce poskytne údaje ve formátu JSON nebo CSV do 30 dnů.
Subjekt údajů má právo vznést námitku proti zpracování osobních údajů, které je prováděno na základě oprávněného zájmu správce.
Postup: Subjekt údajů podá námitku e-mailem na [email protected]. Správce posoudí námitku a odpoví do 30 dnů.
Subjekt údajů má právo podat stížnost u dozorového úřadu, zejména v členském státě svého obvyklého pobytu, svého pracoviště nebo místa údajného porušení.
Dozorový úřad v České republice:
Úřad pro ochranu osobních údajů
• Adresa: Pplk. Sochora 27, 170 00 Praha 7
• Web: www.uoou.cz
• E-mail: [email protected]
• Telefon: +420 234 665 111
V rámci AML opatření může docházet k automatizovanému vyhodnocování osobních údajů za účelem:
• Detekce podezřelých transakcí
• Hodnocení rizika praní peněz nebo financování terorismu
• Screeningu proti sankčním seznamům
Právní základ: Plnění právní povinnosti (AML zákon)
Způsob vyhodnocování:
• Automatický systém analyzuje transakční údaje (objem, frekvence, vzorce)
• Systém přiřazuje rizikové skóre každé transakci
• Transakce s vysokým rizikovým skóre jsou označeny k manuálnímu přezkoumání
DŮLEŽITÉ: Automatizované vyhodnocování slouží pouze k podpoře rozhodovacího procesu. Finální rozhodnutí o podezřelé transakci vždy provádí compliance officer (Petr Nepraš).
Správce provádí profilování klientů za účelem:
• Kategorizace klientů podle rizika (nízké, střední, vysoké riziko)
• Určení frekvence a rozsahu AML kontrol
• Personalizace komunikace
Právní základ: Oprávněný zájem správce (ochrana před praním peněz)
Způsob profilování:
• Systém analyzuje údaje z KYC dotazníků, transakční historii a chování klienta
• Systém přiřazuje klienta do rizikové kategorie
• Rizikové kategorie určují frekvenci kontrol a limity transakcí
Právo subjektu údajů: Subjekt údajů má právo požádat o lidský přezkum automatizovaného rozhodnutí a vyjádřit své stanovisko.
Postup: Subjekt údajů podá žádost e-mailem na [email protected]. Compliance officer provede lidský přezkum a odpoví do 15 pracovních dnů.
Cookies jsou malé textové soubory, které jsou ukládány do prohlížeče uživatele při návštěvě webové stránky. Cookies umožňují webové stránce zapamatovat si informace o návštěvě uživatele.
Web FreeCoin.cz používá následující typy cookies:
Nezbytné cookies:
• Účel: Zajištění funkčnosti webové stránky (přihlášení, session)
• Právní základ: Oprávněný zájem správce
• Doba uchování: Do konce session (uzavření prohlížeče)
• Souhlas není vyžadován (nezbytné pro poskytování služby)
Analytické cookies:
• Účel: Analýza návštěvnosti webové stránky (počet návštěvníků, nejnavštěvovanější stránky)
• Právní základ: Souhlas subjektu údajů
• Doba uchování: 1 rok
• Souhlas je vyžadován
Bezpečnostní cookies:
• Účel: Ochrana před podvody a kybernetickými útoky (detekce podezřelých přístupů)
• Právní základ: Oprávněný zájem správce
• Doba uchování: 1 rok
• Souhlas není vyžadován (nezbytné pro ochranu před podvody)
Používání cookies podléhá souhlasu uživatele, který je spravován přes cookie lištu na webové stránce FreeCoin.cz. Uživatel může:
• Přijmout všechny cookies
• Přijmout pouze nezbytné cookies
• Odmítnout všechny cookies (kromě nezbytných)
Uživatel může kdykoliv změnit své preference cookies v nastavení prohlížeče nebo prostřednictvím cookie lišty na FreeCoin.cz.
Správce NEPŘEDÁVÁ osobní údaje do třetích zemí (mimo Evropskou unii). Všechny osobní údaje jsou uchovávány na serverech v České republice.
Pokud by v budoucnu došlo k předávání údajů do třetích zemí, správce zajistí přiměřené záruky podle článku 46 GDPR (standardní smluvní doložky, certifikace, atd.).
Tyto zásady zpracování osobních údajů jsou pravidelně aktualizovány v souladu se změnami právních předpisů a činnosti správce. O významných změnách budou subjekty údajů informovány e-mailem nebo prostřednictvím oznámení na webové stránce FreeCoin.cz.
Pokud máte jakékoli dotazy ohledně zpracování osobních údajů, kontaktujte nás:
E-mail: [email protected]
Telefon: +420 721 827 631
Adresa: Bullrun s.r.o., Lidická 700/19, Veveří, 602 00 Brno
Poslední aktualizace: Listopad 2025
Účinnost od: 10. listopadu 2025
Místo: Brno, Česká republika
Schváleno:
Datum: 10. listopadu 2025
Místo: Jihlava, Česká republika
Podpis: Petr Nepraš
Jednatel
Bullrun s.r.o.
Zaujala Vás naše nabídka a rádi byste investovali do kryptoměn a nebo již kryptoměny vlastníte a rozhodli jste se je prodat a získat tak finanční prostředky? Neváhejte nás kontaktovat na níže uvedené kontakty a nebo využijte formuláře výše.