Assoluto

Zásady ochrany osobních údajů

Verze 1.0 · účinnost od 1. května 2026

1. Kdo je správce osobních údajů

Správcem osobních údajů zpracovávaných při návštěvě assoluto.eu a při provozu účtu na hostované službě je Václav Mudra, IČO 09989978, se sídlem Lidická 2020/2, 405 02 Děčín. Kontakt: team@assoluto.eu.

Pro osobní údaje, které vy (zákazník) nahrajete do portálu o svých vlastních koncových klientech — data zakázek, kontakty, výkresy — vystupuje provozovatel jako zpracovatel podle čl. 28 GDPR; správcem zůstáváte vy. Vzorovou smlouvu o zpracování (DPA) na vyžádání zašleme na stejnou adresu.

Provozovatel nejmenoval pověřence pro ochranu osobních údajů (DPO), protože rozsah a povaha zpracování nedosahuje prahu podle čl. 37 GDPR. Ve všech věcech ochrany osobních údajů nás prosím kontaktujte přímo na výše uvedeném e-mailu.

2. Jaké osobní údaje zpracováváme a na jakém právním základě

Zpracováváme následující kategorie osobních údajů, vždy na právním základě uvedeném u dané kategorie:

  • Identifikace účtu (jméno a příjmení, pracovní e-mail, role, název firmy, IČO, DIČ pokud jste ho uvedli) — čl. 6 odst. 1 písm. b) GDPR, plnění smlouvy.
  • Přihlašovací údaje (heslo ukládáme pouze jako Argon2id hash; vaše heslo v čitelné podobě nikdy nevidíme) — čl. 6 odst. 1 písm. b) GDPR.
  • Obsah, který v portálu vytvoříte (zakázky, přílohy, komentáře, záznamy o klientech, produkty) — čl. 6 odst. 1 písm. b) GDPR. Pro osobní údaje vašich koncových klientů uvnitř tohoto obsahu vystupujeme jako zpracovatel podle vašich pokynů.
  • Fakturační údaje (povinné údaje českého daňového dokladu, stav plateb, historie faktur) — čl. 6 odst. 1 písm. b) GDPR pro plnění smlouvy; čl. 6 odst. 1 písm. c) GDPR pro zákonnou povinnost uchovávat účetní záznamy.
  • Technické a bezpečnostní logy (IP adresa, User-Agent, cesta požadavku, úspěšná/neúspěšná přihlášení, aktivita CSRF tokenu) — čl. 6 odst. 1 písm. f) GDPR, oprávněný zájem na bezpečném provozu služby.
  • Auditní záznamy administrativních akcí uvnitř vašeho tenantu — čl. 6 odst. 1 písm. b) a f) GDPR.

Nezpracováváme žádné zvláštní kategorie (citlivé) osobních údajů a žádáme vás, abyste takové údaje do portálu nenahrávali.

3. Proč osobní údaje zpracováváme (účely)

  • Provoz služby, kterou jste si objednali — abyste se mohli přihlásit, vidět své zakázky, dostávat notifikace, generovat faktury.
  • Vystavování daňových dokladů a plnění českých účetních a daňových povinností.
  • Detekce a reakce na zneužívání — pokusy o uhádnutí hesla, spam, pokusy o přístup k datům jiných tenantů.
  • Odesílání provozních e-mailů (uvítání, reset hesla, doručení faktur, notifikace ohledně předplatného).
  • Zlepšování služby na základě agregovaných statistik využití; neprovádíme automatizované rozhodování s právními účinky (žádný profiling, žádná algoritmická rozhodování o způsobilosti).

4. Kde se data uchovávají a naši dílčí zpracovatelé

Spoléháme se na následující dílčí zpracovatele. Každý dostane jen data, která potřebuje pro svou roli ve službě; žádný nemá oprávnění používat vaše data pro marketing ani je dál sdílet.

Zpracovatel Účel Kategorie dat Lokalita
Hetzner Online GmbH Hosting aplikace + databáze (VPS) + S3-kompatibilní úložiště Veškerá data zákazníka (šifrovaná v klidu) DE (EU)
Brevo (Sendinblue SAS) Doručování transakčních e-mailů E-mail příjemce, jméno, tělo zprávy FR (EU)
Stripe Payments Europe Ltd. Účtování předplatného, zpracování karet, vymáhání plateb Fakturační e-mail, název firmy, daňová ID, data karty (drží Stripe, my nikdy) IE (EU); část zpracování v USA pod SCC
Porkbun LLC DNS hosting a registrátor domény Pouze veřejné DNS záznamy — žádné osobní údaje US

Stripe převádí část zpracování na své americké přidružené společnosti na základě standardních smluvních doložek (SCC) schválených Evropskou komisí. Spoléháme na zveřejněné posouzení dopadu převodu od Stripe.

Změny dílčích zpracovatelů zveřejňujeme minimálně 30 dní předem aktualizací této stránky a e-mailem aktivním administrátorům tenantu. Zákazník může proti novému dílčímu zpracovateli vznést námitku zrušením předplatného před účinností změny.

5. Jak dlouho údaje uchováváme

  • Data aktivního účtu — po dobu trvání aktivního předplatného.
  • Po zrušení předplatného — plný přístup pokračuje do konce zaplaceného období plus 3 dny grace na export dat; poté je účet deaktivován.
  • Ruční obnova na vyžádání — po deaktivaci jsou data ještě 30 dní obnovitelná na základě písemné žádosti. Poté jsou nevratně smazána.
  • Zálohy databáze — 14 dní rotace, pak automaticky mazány.
  • Autentizační a bezpečnostní logy (čas posledního přihlášení, neúspěšné pokusy o přihlášení, IP) — 90 dní.
  • Auditní stopa administrativních akcí uvnitř tenantu — po dobu existence tenantu; po smazání uchováváme až 3 roky pro důkazní účely v případě sporu.
  • Fakturační záznamy a daňové doklady — 10 let od konce účetního období, jak vyžaduje zákon č. 563/1991 Sb. o účetnictví.
  • Logy aplikačních požadavků a chyb — 14 dní.

Pokud zákon vyžaduje delší uchovávání (jako u účetních záznamů), uchováváme pouze to, co zákon vyžaduje, a pokud je to možné, oddělíme to od provozních dat.

6. Příjemci osobních údajů a sdílení

Vaše osobní údaje neprodáváme ani nepronajímáme. Sdílíme je pouze:

  • s dílčími zpracovateli uvedenými v sekci 4, výhradně pro tam uvedené účely;
  • s orgány veřejné moci, pokud to vyžaduje zákon nebo vykonatelné rozhodnutí;
  • s našimi profesními poradci (účetní, daňový poradce) za podmínky mlčenlivosti, výhradně pro fakturační a účetní účely.

7. Vaše práva

Podle čl. 15–22 GDPR máte právo: na přístup ke svým osobním údajům, na opravu nepřesných údajů, na výmaz, na omezení zpracování, na přenositelnost (CSV / ZIP přes export v aplikaci) a vznést námitku proti zpracování na základě oprávněného zájmu. Akce export dat a smazání účtu jsou dostupné samoobslužně v sekci admin profilu.

Pro uplatnění jakéhokoli dalšího práva napište na team@assoluto.eu. Odpovíme do 30 dní od ověření vaší totožnosti. Odpověď je zdarma, pokud žádost není zjevně nedůvodná nebo nepřiměřená (čl. 12 odst. 5 GDPR).

Pokud se domníváte, že vaše práva byla porušena, můžete podat stížnost u Úřadu pro ochranu osobních údajů (uoou.gov.cz), Pplk. Sochora 27, 170 00 Praha 7, Česká republika.

8. Cookies a podobné technologie

Portál používá pouze striktně nezbytné cookies (přihlašovací session, CSRF ochrana, jazyk a téma). Neukládáme analytické ani marketingové cookies a nesledujeme vás napříč weby. Úplný seznam: Zásady cookies.

9. Bezpečnost dat

Aplikujeme technická a organizační opatření odpovídající riziku: TLS 1.2+ pro veškerý provoz, hashování hesel Argon2id, izolace databáze per-tenant na úrovni řádků (Postgres RLS), šifrované zálohy, přístup provozovatele podle principu nejmenších privilegií, žádné ukládání hesel ani platebních karet v čitelné podobě. Bezpečnostní incidenty týkající se vašich dat vám oznámíme a (pokud je to požadováno) do 72 hodin oznámíme dozorovému úřadu podle čl. 33 GDPR.

10. Změny těchto zásad ochrany osobních údajů

Podstatné změny — noví dílčí zpracovatelé, rozšířené kategorie údajů, delší doba uchovávání — oznamujeme minimálně 30 dní předem aktualizací této stránky a e-mailem aktivním administrátorům tenantu. Aktuální verze je identifikována číslem verze a datem účinnosti v záhlaví stránky.