Zásady ochrany osobních údajů
DŮLEŽITÉ UPOZORNĚNÍ
Společnost ProdejUP, s.r.o. se zavazuje k ochraně vašich osobních údajů a respektování vašeho soukromí. Tento dokument vysvětluje, jakým způsobem shromažďujeme, zpracováváme a chráníme vaše osobní údaje v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 (GDPR).
1. Identifikace správce osobních údajů
Správcem osobních údajů ve smyslu článku 4 bod 7 GDPR je:
2. Kategorie zpracovávaných osobních údajů
2.1 Údaje zákazníků služby
Pro zákazníky využívající naši platformu zpracováváme následující kategorie osobních údajů:
| Kategorie údajů | Účel zpracování | Právní základ | Doba uchování |
|---|---|---|---|
| Email, heslo | Vytvoření a správa účtu | Plnění smlouvy | Po dobu trvání účtu + 3 roky |
| Název firmy, IČO | Identifikace zákazníka | Plnění smlouvy | Po dobu trvání účtu + 10 let |
| Fakturační údaje | Vystavení faktur, účetnictví | Právní povinnost | 10 let (dle zákona o účetnictví) |
| Platební údaje | Zpracování plateb | Plnění smlouvy | Zpracovává Stripe, my neukládáme |
| IP adresa, logy | Bezpečnost, řešení incidentů | Oprávněný zájem | 90 dnů |
| Komunikace | Zákaznická podpora | Oprávněný zájem | 3 roky od vyřešení |
2.2 Údaje návštěvníků webových stránek s implementovaným widgetem
PRÁVNÍ POSTAVENÍ: V kontextu zpracování údajů návštěvníků webových stránek našich zákazníků vystupujeme jako zpracovatel údajů dle článku 4 bod 8 GDPR. Správcem údajů je provozovatel příslušné webové stránky. Zpracování probíhá na základě zpracovatelské smlouvy uzavřené dle článku 28 GDPR.
| Typ údajů | Účel | Podmínka |
|---|---|---|
| Session ID | Udržení konverzace | Vždy (technicky nutné) |
| Obsah chatu | Poskytování odpovědí | Vždy (účel služby) |
| Visitor ID (cookie) | Rozpoznání návštěvníka | Pouze se souhlasem |
| Navštívené stránky | Kontext pro odpovědi | Pouze se souhlasem |
| Kontaktní údaje | Follow-up komunikace | Pokud je návštěvník poskytne |
3. Cookies a sledovací technologie
3.1 Dashboard (pro zákazníky)
Na našem dashboardu používáme pouze nezbytné cookies:
- •auth_token: Udržení přihlášení (session/30 dnů)
- •csrf_token: Ochrana proti CSRF útokům (session)
- •preferences: Uživatelské nastavení (1 rok)
3.2 Widget (na webech zákazníků)
Widget používá cookies pouze po udělení souhlasu návštěvníkem:
- •dvojka_visitor_id: Identifikace návštěvníka (1 rok)
- •dvojka_session: Session konverzace (24 hodin)
- •dvojka_consent: Záznam souhlasu (1 rok)
Detaily najdete v . Zásady cookies.
4. Sdílení údajů s třetími stranami
4.1 Zpracovatelé
Pro provoz služby využíváme následující důvěryhodné partnery. Můžete vznést námitku proti novému zpracovateli do 14 dnů od oznámení.
| Partner | Účel | Umístění | Záruky |
|---|---|---|---|
| MongoDB Atlas | Databáze | EU (Irsko) | DPA, SOC2 |
| Railway/Vercel | Hosting | EU | DPA, ISO 27001 |
| Stripe | Platby | EU/USA | SCCs pro USA přenosy |
| OpenRouter | AI služby | USA | SCCs pro non-EU (např. OpenRouter USA) |
| Brevo | EU (Francie) | DPA, GDPR |
4.2 Další příjemci
Údaje můžeme dále sdělit:
- •Orgánům státní správy: Na základě zákonné povinnosti
- •Právním zástupcům: Pro ochranu našich práv
- •Auditorům: Pro ověření souladu
- •Potenciálním nabyvatelům: Při prodeji společnosti (s vaším souhlasem)
5. Mezinárodní přenosy údajů
Některé údaje mohou být přenášeny mimo EU/EHP. V takových případech zajišťujeme odpovídající úroveň ochrany prostřednictvím:
- •Rozhodnutí Evropské komise o odpovídající ochraně (vč. EU-U.S. Data Privacy Framework)
- •Standardních smluvních doložek (SCCs) 2021 s doplňkovými technickými opatřeními
- •Certifikace EU-U.S. Data Privacy Framework (Stripe je účastníkem od 17. července 2023)
- •Závazných firemních pravidel (BCR)
Každý rok ověřujeme, zda naši poskytovatelé (zejména Stripe) nadále splňují podmínky Data Privacy Frameworku a zda nedošlo k jeho zneplatnění. Pokud by EU rámec nebyl dostupný, okamžitě přepínáme na SCCs doplněné o šifrování, pseudonymizaci a pravidelné penetrační testy dle doporučení EDPB.
6. Zabezpečení údajů
Implementovali jsme rozsáhlá technická a organizační opatření:
Technická opatření
- ✓Šifrování dat při přenosu (TLS 1.3)
- ✓Šifrování dat v klidu (AES-256)
- ✓Pravidelné bezpečnostní audity
- ✓Firewall a IDS/IPS systémy
- ✓Automatické zálohování
- ✓Testování obnovy dat
Organizační opatření
- ✓Přístup na principu need-to-know
- ✓Pravidelná školení zaměstnanců
- ✓NDA a mlčenlivost
- ✓Incident response plán
- ✓Pravidelné kontroly přístupů
- ✓Clean desk policy
7. Práva subjektů údajů
V souladu s GDPR máte jako subjekt údajů následující práva, která můžete uplatnit vůči správci:
7.1 Právo na přístup k osobním údajům (článek 15 GDPR)
Máte právo získat od správce potvrzení, zda jsou či nejsou zpracovávány vaše osobní údaje, a pokud tomu tak je, máte právo získat přístup k těmto údajům a souvisejícím informacím.
7.2 Právo na opravu (článek 16 GDPR)
Máte právo na opravu nepřesných osobních údajů, které se vás týkají, bez zbytečného odkladu. S přihlédnutím k účelům zpracování máte právo na doplnění neúplných osobních údajů.
7.3 Právo na výmaz - "právo být zapomenut" (článek 17 GDPR)
Máte právo na výmaz osobních údajů, které se vás týkají, pokud je splněn jeden z důvodů stanovených v článku 17 GDPR a zpracování není nezbytné z důvodů uvedených v tomto článku.
7.4 Právo na omezení zpracování (článek 18 GDPR)
Máte právo na omezení zpracování v případech stanovených článkem 18 GDPR, například pokud popíráte přesnost osobních údajů nebo pokud bylo zpracování protiprávní.
7.5 Právo na přenositelnost údajů (článek 20 GDPR)
Máte právo získat osobní údaje, které se vás týkají a které jste poskytli správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci.
7.6 Právo vznést námitku (článek 21 GDPR)
Máte právo kdykoliv vznést námitku proti zpracování osobních údajů, které se vás týkají, pokud je zpracování založeno na oprávněném zájmu správce nebo třetí strany.
7.7 Právo nebýt předmětem automatizovaného rozhodování
Máte právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro vás právní účinky nebo se vás obdobným způsobem významně dotýká.
7.8 Právo odvolat souhlas
Pokud je zpracování založeno na vašem souhlasu, máte právo tento souhlas kdykoliv odvolat, aniž by tím byla dotčena zákonnost zpracování založeného na souhlasu před jeho odvoláním.
7.9 Postup pro uplatnění vašich práv
Pro uplatnění kteréhokoliv z výše uvedených práv:
- 1. Zašlete písemnou žádost na email: info@dvojkavit.com
- 2. V žádosti uveďte::
- •Které právo uplatňujete
- •Rozsah vašeho požadavku
- •Kontaktní údaje pro zaslání odpovědi
- 3. K žádosti přiložte kopii dokladu totožnosti pro ověření vaší identity
- 4. Žádost vyřídíme bez zbytečného odkladu, nejpozději do jednoho měsíce od obdržení
- 5. V odůvodněných případech můžeme lhůtu prodloužit o další dva měsíce
8. Automatizované rozhodování a profilování
Nepoužíváme automatizované rozhodování ani profilování, které by mělo právní účinky nebo se vás obdobně významně dotýkalo. AI chat poskytuje pouze informační odpovědi, které nemají právní závaznost.
AI zpracování chat dat: AI zpracování chat dat: AI zpracování chat dat je anonymizováno kde možné; žádné automatizované rozhodování s právními účinky.
9. Děti
Naše služby nejsou určeny osobám mladším 13 let (dle českého práva). Vědomě neshromažďujeme údaje od dětí. Pokud zjistíme, že jsme neúmyslně získali údaje dítěte, okamžitě je smažeme.
10. Doba uchování údajů
Údaje uchováváme pouze po nezbytnou dobu:
- Účetní doklady: 10 let (zákonná povinnost)
- Uživatelské účty: Po dobu aktivního účtu + 3 roky
- Chat konverzace: 6 měsíců (nebo dle nastavení zákazníka)
- Logy a bezpečnostní záznamy: 90 dnů
- Marketingové souhlasy: Do odvolání, max. 5 let
- Cookies: Dle typu, max. 1 rok
11. Porušení zabezpečení údajů
V případě porušení zabezpečení osobních údajů:
- •Do 72 hodin oznámíme incident ÚOOÚ (pokud je to vyžadováno)
- •Dotčené subjekty údajů budou informovány bez zbytečného odkladu, pokud incident představuje vysoké riziko pro jejich práva
- •Přijmeme okamžitá opatření k minimalizaci škod
- •Provedeme forenzní analýzu a zlepšíme bezpečnost
12. Právo podat stížnost u dozorového úřadu
Pokud se domníváte, že zpracováním vašich osobních údajů dochází k porušení GDPR, máte právo podat stížnost u dozorového úřadu, zejména v členském státě svého obvyklého bydliště, místa výkonu zaměstnání nebo místa, kde došlo k údajnému porušení.
Dozorovým úřadem pro Českou republiku je:
13. Změny těchto zásad
Tyto zásady můžeme příležitostně aktualizovat. O významných změnách vás budeme informovat:
- •Emailem (u registrovaných uživatelů)
- •Oznámením v dashboardu
- •Aktualizací data "Poslední aktualizace" v hlavičce dokumentu
14. Kontaktní údaje
Pro veškeré dotazy týkající se zpracování osobních údajů nebo uplatnění vašich práv nás můžete kontaktovat následujícími způsoby:
Při komunikaci týkající se ochrany osobních údajů prosím vždy uveďte v předmětu zprávy "GDPR".
ZÁVAZEK SPRÁVCE
Společnost ProdejUP, s.r.o. se zavazuje k důsledné ochraně vašich osobních údajů a dodržování všech povinností vyplývajících z GDPR a souvisejících právních předpisů. Transparentnost, bezpečnost a respekt k vašemu soukromí jsou základními principy našeho přístupu k ochraně osobních údajů.