Zásady ochrany osobních údajů

Správcem osobních údajů je:

• Jiří Joneš
• IČO: 10785922
• Adresa: Rostovská 698/6, 101 00 Praha 10, Česká republika
• Zapsán v živnostenském rejstříku vedeném příslušným živnostenským úřadem
• Email: jonesjiri@gmail.com

Pověřenec pro ochranu osobních údajů (DPO) není jmenován — provozovatel nesplňuje kritéria čl. 37 GDPR pro povinné jmenování DPO.

V rámci provozu aplikace zpracováváme tyto kategorie osobních údajů:

• Identifikační údaje: jméno, příjmení, IČO, DIČ
• Kontaktní údaje: emailová adresa, telefon
• Adresní údaje: ulice, město, PSČ, stát
• Finanční údaje: číslo bankovního účtu, fakturované částky, záznamy příjmů a výdajů
• Přihlašovací údaje: email a šifrované heslo (spravuje Supabase Auth)
• Provozní data: záznamy o přihlášeních, logy chyb, anonymizovaná analytika chování v aplikaci (PostHog v cookieless režimu)

Zpracováváme výhradně údaje, které nám sami poskytnete. Nezpracováváme zvláštní kategorie osobních údajů (citlivé údaje) ve smyslu čl. 9 GDPR.

Vaše údaje zpracováváme za těmito účely a na těchto právních základech:

• Plnění smlouvy (čl. 6 odst. 1 písm. b) GDPR) — provoz uživatelského účtu, vystavování a správa faktur, vedení CRM klientů, evidence příjmů a výdajů
• Plnění právní povinnosti (čl. 6 odst. 1 písm. c) GDPR) — uchovávání daňových dokladů dle § 35 zákona č. 235/2004 Sb. (zákon o DPH) a § 31 zákona č. 563/1991 Sb. (zákon o účetnictví)
• Oprávněný zájem (čl. 6 odst. 1 písm. f) GDPR) — konkrétně: (a) zajištění bezpečnosti a integrity aplikace a prevence zneužití, (b) anonymizovaná analytika pro zlepšování funkcionality služby, (c) uplatňování a obhajoba právních nároků provozovatele. Pro každý z těchto účelů byl proveden test proporcionality — zájem provozovatele nepřevažuje nad zájmy ani základními právy a svobodami subjektů údajů.
• Souhlas (čl. 6 odst. 1 písm. a) GDPR) — zasílání marketingových oznámení o změnách a novinkách služby (souhlas lze kdykoli odvolat)

V rámci aplikace může docházet k automatizovanému zpracování osobních údajů prostřednictvím AI asistenta (technologie Anthropic, Inc.). Konkrétně jde o:

• orientační kategorizaci výdajů a příjmů
• návrhy daňových odpočtů a upozornění na daňové povinnosti
• analýzu obsahu nahraných dokladů (OCR)

Toto zpracování neslouží jako podklad pro rozhodnutí s právními účinky vůči uživateli ani jej výrazně neovlivňuje — veškeré výstupy mají pouze informativní charakter a podléhají plnému přezkoumání uživatelem. Neprovádíme profilování ani automatizované individuální rozhodování ve smyslu čl. 22 GDPR.

Uživatel má právo na lidský zásah, právo vyjádřit svůj názor a právo napadnout výstup automatizovaného zpracování. V takovém případě kontaktujte jonesjiri@gmail.com.

Upozornění: Do AI asistenta nesmí být zadávána rodná čísla, čísla dokladů totožnosti ani jiné zvláštní kategorie osobních údajů.

Vaše údaje sdílíme pouze s těmito zpracovateli, kteří jsou vázáni smluvními zárukami dle čl. 28 GDPR. Přenosy osobních údajů do USA jsou u příslušných zpracovatelů zajištěny standardními smluvními doložkami (SCCs) dle prováděcího rozhodnutí Komise 2021/914, modul 2 (správce–zpracovatel). Supabase provozujeme v EU regionu (Frankfurt) — data neopouštějí EHP:

• Supabase Inc. (EU — Frankfurt, Německo) — databáze a autentizace; data uložena výhradně v EU (Frankfurt, Německo); zásady ochrany údajů
• Anthropic PBC (USA) — zpracování dotazů AI asistenta; zásady ochrany údajů
• Resend Inc. (EU — Irsko, eu-west-1) — odesílání transakčních e-mailů; data zpracovávána výhradně v EU; zásady ochrany údajů
• Vercel Inc. (USA) — hosting aplikace; zásady ochrany údajů
• PostHog Inc. (EU region) — anonymizovaná produktová analytika bez cookies; zpracování probíhá výhradně na serverech v EU; zásady ochrany údajů
• Upstash Inc. — dvě služby: (1) QStash (USA) — plánování automatických upomínek; (2) Redis (EU — Frankfurt, Německo) — rate limiting a krátkodobá cache session dat; zásady ochrany údajů
• Stripe Payments Europe, Limited (Irsko, EU) — zpracování plateb a správa předplatného; data zpracovávána v EHP; zásady ochrany údajů
• Google LLC (USA) — přihlášení přes Google OAuth; přenosy do USA zajištěny SCCs; zásady ochrany údajů

Žádné údaje neprodáváme třetím stranám ani je nevyužíváme k reklamním účelům.

Vaše údaje uchováváme po dobu nezbytně nutnou pro daný účel:

• Údaje uživatelského účtu — po dobu trvání účtu a 3 roky po jeho zrušení (z důvodu případných právních nároků)
• Daňové doklady a faktury — 10 let od konce zdaňovacího období, ve kterém bylo plnění uskutečněno (§ 35 zákona o DPH)
• Účetní záznamy — 5 let od konce účetního období (§ 31 zákona o účetnictví)
• Bezpečnostní logy a záznamy přihlášení — 12 měsíců
• Anonymizovaná analytická data — po dobu provozu služby; tato data nelze přiřadit konkrétnímu uživateli

Po zrušení uživatelského účtu budou veškerá data smazána s výjimkou těch, u nichž existuje zákonná povinnost uchovávání. Tato data budou v maximální možné míře anonymizována.

Podle GDPR máte tato práva, která můžete uplatnit na adrese jonesjiri@gmail.com:

• Právo na přístup (čl. 15) — kdykoli si můžete vyžádat kopii vašich osobních údajů
• Právo na opravu (čl. 16) — nesprávné údaje opravíte v Nastavení aplikace nebo na vyžádání
• Právo na výmaz (čl. 17) — zrušení účtu a smazání dat na vyžádání; právo na výmaz se nevztahuje na data uchovávaná na základě zákonné povinnosti (viz sekce 6)
• Právo na přenositelnost (čl. 20) — export dat ve strojově čitelném formátu (CSV/JSON)
• Právo vznést námitku (čl. 21) — proti zpracování na základě oprávněného zájmu
• Právo na omezení zpracování (čl. 18) — v zákonem stanovených případech
• Právo odvolat souhlas — kdykoli, aniž by tím byla dotčena zákonnost zpracování před odvoláním

Na vaši žádost odpovíme do 30 dnů.

Máte také právo podat stížnost k Úřadu pro ochranu osobních údajů: uoou.cz, Pplk. Sochora 27, 170 00 Praha 7.

Data jsou uložena v zabezpečené databázi Supabase s šifrováním v klidu i při přenosu (TLS 1.3). Přístup k datům je chráněn Row-Level Security (RLS) — každý uživatel vidí výhradně svá vlastní data. Hesla jsou hashována pomocí bcrypt a nikdy nejsou uložena v čitelné podobě. Pravidelně provádíme bezpečnostní audity přístupových práv.

Informace o používání cookies naleznete v samostatném dokumentu Zásady cookies.

Uživatel aplikace vystupuje jako správce osobních údajů svých klientů, dodavatelů a dalších třetích osob, jejichž údaje do aplikace vkládá. Provozovatel tyto údaje zpracovává v pozici zpracovatele ve smyslu čl. 28 GDPR. Podmínky tohoto zpracování jsou upraveny v samostatném dokumentu Zpracovatelská smlouva.

O podstatných změnách vás budeme informovat e-mailem nejméně 14 dní před jejich účinností. Aktuální verze je vždy dostupná na této stránce s datem poslední aktualizace.