Zásady ochrany osobních údajů
Účinnost od: 22. 6. 2026
Tyto zásady popisují, jak aplikace Plamínek (dále jen „Služba“) zpracovává osobní údaje v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 (GDPR) a se zákonem č. 110/2019 Sb., o zpracování osobních údajů.
1. Správce osobních údajů
Správcem osobních údajů zpracovávaných v souvislosti s provozem Služby a webových stránek je:
- Obchodní firma: WellBe s.r.o.
- Sídlo: Nové sady 988/2, Staré Brno, 602 00 Brno
- IČO: 05830931
- Zápis: zapsaná v obchodním rejstříku vedeném Krajským soudem v Brně, oddíl C, vložka 98394
- Kontaktní e-mail ve věcech ochrany osobních údajů: plaminek@wellbe.cc
Správce nejmenoval pověřence pro ochranu osobních údajů (DPO); jeho jmenování správci právní předpisy neukládají.
Postavení správce a zpracovatele: U dat, která Uživatel sám vkládá do svého pracovního prostoru (workspace), vystupuje zpravidla jako správce Uživatel a Provozovatel jako zpracovatel, který data zpracovává podle pokynů Uživatele za účelem poskytování Služby. Podmínky tohoto zpracování dle čl. 28 GDPR jsou součástí těchto zásad a smluvních podmínek; samostatnou zpracovatelskou smlouvu (DPA) Provozovatel uzavře na vyžádání Uživatele.
2. Jaké údaje zpracováváme a proč
2.1. Uživatelský účet a pracovní prostor
- Údaje: e-mailová adresa, jméno, přihlašovací a bezpečnostní údaje (heslo je uloženo pouze v zašifrované podobě / hash, případně faktor vícefaktorového ověření), identifikátory pracovního prostoru a rolí, případně další profilové údaje zadané Uživatelem.
- Účel: založení a správa účtu, autentizace, poskytování Služby, zabezpečení, komunikace ke Službě.
2.2. Data vložená do pracovního prostoru (obsah Služby)
- Údaje: evidence zařízení, revizí, kontrol, protokolů a souvisejících záznamů, které do Služby vkládá Uživatel. Tato data mohou obsahovat osobní údaje třetích osob (např. kontaktní osoby na objektech, podpisy techniků). Za jejich vložení a oprávněnost odpovídá Uživatel jako správce.
- Účel: poskytování funkcí Služby (evidence, tisk protokolů, export dat) podle pokynů Uživatele.
2.3. Kontaktní formulář („Domluvit schůzku“)
- Údaje: jméno, firma, IČO, e-mail, telefon a text zprávy (včetně preferovaného termínu schůzky), které návštěvník dobrovolně vyplní; dále technické skóre antispamové ochrany (reCAPTCHA) a čas odeslání.
- Účel: zpracování poptávky / žádosti o schůzku, kontaktování zájemce a předsmluvní komunikace; ochrana před zneužitím formuláře (antispam).
- Odeslaná zpráva je nejprve uložena do databáze a poté odeslána e-mailem provozovateli. Právním základem je provedení opatření před uzavřením smlouvy na žádost zájemce a oprávněný zájem Provozovatele na vyřízení poptávky (čl. 6 odst. 1 písm. b) a f) GDPR).
2.4. Provozní a technické údaje (web a aplikace)
- Údaje: IP adresa, typ prohlížeče a zařízení, logy o přístupu a chybách, soubory cookies a obdobné technologie (viz čl. 6).
- Účel: zajištění chodu, bezpečnosti a dostupnosti webu a aplikace; měření návštěvnosti (pouze se souhlasem — viz čl. 6).
3. Právní základy zpracování
| Účel | Právní základ (čl. 6 GDPR) |
|---|---|
| Plnění smlouvy o užívání Služby (účet, workspace, fakturace) | čl. 6 odst. 1 písm. b) — plnění smlouvy |
| Vedení účetnictví a daňové povinnosti | čl. 6 odst. 1 písm. c) — právní povinnost |
| Kontaktní formulář / vyřízení poptávky a předsmluvní jednání | čl. 6 odst. 1 písm. b) — předsmluvní jednání a f) — oprávněný zájem na vyřízení poptávky |
| Zabezpečení webu a antispam (reCAPTCHA) | čl. 6 odst. 1 písm. f) — oprávněný zájem (ochrana před zneužitím) |
| Měření návštěvnosti / analytika (Google Analytics) | čl. 6 odst. 1 písm. a) — souhlas (cookie lišta) |
4. Zpracovatelé a subzpracovatelé
Pro provoz Služby využíváme níže uvedené poskytovatele, kteří v postavení zpracovatelů zpracovávají osobní údaje naším jménem. S každým z nich máme uzavřeny příslušné smluvní záruky (zpracovatelské smlouvy dle čl. 28 GDPR v rámci jejich standardních podmínek).
| Zpracovatel | Účel zpracování | Umístění / předání |
|---|---|---|
| Supabase | databáze a hosting dat aplikace (účty, pracovní prostory, obsah Služby, záznamy kontaktního formuláře) | region EU (Irsko, AWS eu-west-1) — data jsou uložena v EU |
| Vercel | hosting webu a doručování obsahu (CDN), zpracování síťových požadavků | globální infrastruktura (CDN); poskytovatel certifikován v rámci EU–US Data Privacy Framework, pro případná předání mimo EU/EHP platí standardní smluvní doložky |
| Resend | odesílání transakčních a notifikačních e-mailů (potvrzení, notifikace, odeslání zprávy z kontaktního formuláře provozovateli) | USA; předání kryto standardními smluvními doložkami, resp. EU–US Data Privacy Framework dle podmínek poskytovatele |
| Google (Google Tag Manager, Google Analytics) | měření návštěvnosti a správa měřicích značek — pouze se souhlasem uživatele (cookie lišta) | předání do USA — viz níže |
| Google (reCAPTCHA v3) | ochrana kontaktního formuláře před zneužitím (antispam) — nezbytně nutné, viz čl. 6.3 | předání do USA — viz níže |
| SLUTO s.r.o., IČO 25595318, Týnská 1053/21, Staré Město, 110 00 Praha 1, sp. zn. C 216101 vedená u Městského soudu v Praze | vedení účetnictví a zpracování fakturace — vystavení a evidence daňových dokladů; zpracovává fakturační a identifikační údaje (jméno, obchodní firma, IČO, kontaktní údaje). Právní základ: právní povinnost (vedení účetnictví a plnění daňových předpisů, čl. 6 odst. 1 písm. c) GDPR) | Česká republika (EU) — bez předání mimo EU/EHP |
Předání do třetích zemí (USA): Služby Google (Google Analytics / Google Tag Manager a reCAPTCHA) mohou zahrnovat předání osobních údajů do USA. Společnost Google LLC je certifikována v rámci rozhodnutí o odpovídající ochraně EU–US Data Privacy Framework, které tvoří odpovídající záruku pro toto předání. U ostatních zpracovatelů (Vercel, Resend), pokud u nich dochází k předání mimo EU/EHP, je předání zajištěno na základě certifikace v rámci EU–US Data Privacy Framework a/nebo standardních smluvních doložek dle podmínek příslušného poskytovatele. Data aplikace (Supabase) jsou uložena v EU. Účetní zpracovatel SLUTO s.r.o. je usazen v České republice a osobní údaje zpracovává výhradně v rámci EU/EHP — bez předání do třetích zemí.
Kromě výše uvedených zpracovatelů nepředáváme osobní údaje žádným dalším třetím stranám, není-li to nutné k plnění právní povinnosti (např. orgánům veřejné moci na základě zákona).
5. Doba uchování údajů
- Údaje účtu a pracovního prostoru: po dobu trvání smluvního vztahu a následně 30 dní po ukončení smlouvy, poté jsou data smazána (shodně s obchodními podmínkami, čl. 11.4).
- Záznamy z kontaktního formuláře: uchovávány nejdéle 90 dní od odeslání, poté jsou automaticky mazány (probíhá pravidelný výmaz starších záznamů). Vznikne-li z poptávky obchodní vztah, mohou být údaje dále zpracovávány na jiném právním základě (plnění smlouvy, účetní povinnosti) po odpovídající dobu.
- Účetní a daňové doklady: po dobu stanovenou právními předpisy (zpravidla 5 až 10 let).
- Provozní a bezpečnostní logy: zpravidla po dobu 12 měsíců.
Po uplynutí doby uchování jsou údaje vymazány nebo anonymizovány, nestanoví-li právní předpis jinak.
6. Soubory cookies a obdobné technologie
Podrobné prohlášení o cookies (seznam konkrétních souborů cookies, jejich účel a doba platnosti) je dostupné přímo v nastavení souhlasu — pod odkazem „Nastavení cookies“ v patičce webu. Zde uvádíme přehled kategorií:
- Nezbytně nutné (necessary): zajišťují základní fungování a bezpečnost webu a aplikace (přihlášení, udržení relace, ochrana formuláře). Nelze je vypnout a nevyžadují souhlas.
- Analytické (analytics): měření návštěvnosti prostřednictvím Google Analytics / Google Tag Manager (cookies
_gaa_ga_*s platností 2 roky a_gids platností 24 hodin). Načítají se a aktivují až po udělení souhlasu v cookie liště. Souhlas lze kdykoli změnit přes „Nastavení cookies“. - Antispam — reCAPTCHA (nezbytně nutné): ochrana kontaktního formuláře (Google reCAPTCHA v3) je klasifikována jako nezbytně nutná (bezpečnostní / antifraudová funkce) a je jediným ověřovacím mechanismem chránícím odesílání zprávy. Z tohoto důvodu se načítá vždy, bez ohledu na souhlas s analytikou, a není součástí kategorie analytics. Sleduje pouze landing stránku a je popsána v tomto dokumentu i přímo u kontaktního formuláře.
Před udělením souhlasu se nenačítají žádné nepovinné (analytické) technologie — uplatňujeme model opt-in v souladu s ePrivacy a GDPR (technologie Google Consent Mode v2 drží všechny nepovinné signály ve výchozím stavu „denied“ do okamžiku souhlasu). Vaši volbu souhlasu ukládáme do cookie ve vašem prohlížeči (cookie cc_cookie).
7. Google reCAPTCHA v3 — informace dle požadavku poskytovatele
Kontaktní formulář je chráněn službou Google reCAPTCHA v3 (neviditelná, skóre-based). reCAPTCHA shromažďuje informace o zařízení a chování návštěvníka za účelem odlišení člověka od automatizovaného provozu a může nastavit vlastní cookie (_GRECAPTCHA). Na užívání reCAPTCHA se vztahují:
- Zásady ochrany soukromí Google: https://policies.google.com/privacy
- Smluvní podmínky Google: https://policies.google.com/terms
8. Práva subjektu údajů
V souvislosti se zpracováním osobních údajů máte tato práva podle GDPR:
- právo na přístup k údajům (čl. 15);
- právo na opravu nepřesných údajů (čl. 16);
- právo na výmaz („právo být zapomenut“, čl. 17);
- právo na omezení zpracování (čl. 18);
- právo na přenositelnost údajů (čl. 20);
- právo vznést námitku proti zpracování na základě oprávněného zájmu (čl. 21);
- právo odvolat souhlas (např. s analytickými cookies) kdykoli, aniž je dotčena zákonnost zpracování před odvoláním;
- právo podat stížnost u dozorového úřadu, kterým je Úřad pro ochranu osobních údajů (www.uoou.cz).
Jak požádat o výmaz nebo uplatnit jiné právo (manuální cesta)
Žádost o výmaz svých údajů (zejména údajů zadaných do kontaktního formuláře) nebo o uplatnění jiného z výše uvedených práv můžete kdykoli zaslat e-mailem na adresu plaminek@wellbe.cc. Žádost vyřídíme bez zbytečného odkladu, zpravidla do 1 měsíce. Pro ověření totožnosti vás můžeme požádat o doplňující informace. Výmaz provedeme manuálně, není-li dán zákonný důvod pro další uchování (např. účetní povinnosti).
9. Zabezpečení údajů
Přijímáme přiměřená technická a organizační opatření k ochraně osobních údajů, zejména:
- šifrovaný přenos dat (HTTPS/TLS);
- ukládání hesel pouze v podobě bezpečnostního otisku (hash);
- podporu vícefaktorového ověření (MFA);
- izolaci dat mezi jednotlivými pracovními prostory pomocí politik zabezpečení na úrovni databázových řádků (Row Level Security);
- řízení přístupů tak, aby k údajům měly přístup pouze oprávněné osoby.
10. Rozhodné právo a změny zásad
10.1. Tyto zásady a zpracování osobních údajů se řídí právním řádem České republiky a GDPR.
10.2. Tyto zásady můžeme aktualizovat; aktuální znění je vždy dostupné na webu Provozovatele s uvedením data účinnosti. O podstatných změnách budeme informovat e-mailem nebo v aplikaci nejméně 14 dní před nabytím účinnosti změny.
Účinnost od: 22. 6. 2026 · Správce: WellBe s.r.o.