Tyto zásady popisují, jak zpracováváme osobní údaje v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 (dále jen „GDPR“) a se zákonem č. 110/2019 Sb., o zpracování osobních údajů.

1. Správce osobních údajů

Jan Malatinský
IČO: 19152361
Sídlo: Jasmínová 2241/12, Mizerov, 733 01 Karviná, Česká republika
Kontakt pro ochranu údajů: [email protected]
Obecný kontakt: [email protected]

Pověřence pro ochranu osobních údajů (DPO) jsme nejmenovali, neboť hlavní činností nejsou rozsáhlé pravidelné monitorování subjektů údajů ani zpracování zvláštních kategorií údajů ve velkém rozsahu (čl. 37 GDPR).

2. Dvě role v rámci DataNostro

V rámci provozu Služby zpracováváme osobní údaje ve dvou odlišných rolích:

Jako správce — pro účely uzavření a plnění smlouvy s vámi (Klientem). Týká se vašich kontaktních a fakturačních údajů, údajů o vašem účtu, komunikace s podporou. Tento dokument upravuje primárně tuto roli.
Jako zpracovatel — pro osobní údaje koncových uživatelů vašich webových stránek, které procházejí přes náš sGTM Kontejner. V této relaci jste vy správce a my zpracovatel. Smluvní vztah upravuje samostatná Smlouva o zpracování osobních údajů (DPA).

3. Jaké osobní údaje zpracováváme (jako správce)

Kategorie	Konkrétní údaje	Zdroj
Identifikační	Jméno, příjmení, IČO/DIČ, sídlo (u podnikatelů)	Registrační formulář
Kontaktní	E-mail, telefon (volitelně)	Registrace, kontaktní formulář
Účet a přístup	Heslo (hash), TOTP secret pro 2FA, API klíče (hashe)	Vytvoříte při registraci
Provozní	IP adresa, User-Agent, časy přihlášení, akce v dashboardu (audit log)	Automaticky při užívání
Fakturační	Záznamy plateb, faktury, identifikátory transakcí	Vystavujeme my, platební brána Comgate
Komunikace	E-maily, support tickety, kontaktní formuláře	Vy nám zasíláte

Nezpracováváme zvláštní kategorie osobních údajů (citlivé údaje dle čl. 9 GDPR — zdravotní data, údaje o sexuální orientaci, biometrické údaje, údaje o trestných činech).

4. Účely zpracování a právní základ

Účel	Právní základ (čl. 6 GDPR)	Doba uchování
Uzavření a plnění smlouvy	Plnění smlouvy (čl. 6 odst. 1 písm. b)	Po dobu trvání smlouvy + 30 dnů
Vystavování faktur, vedení účetnictví	Plnění právní povinnosti — zákon č. 563/1991 Sb.	10 let
Audit log akcí, řešení sporů, anti-fraud	Oprávněný zájem (čl. 6 odst. 1 písm. f)	7 let
Bezpečnostní logy (přístupy, neúspěšná přihlášení)	Oprávněný zájem (bezpečnost)	90 dnů
Komunikace, support	Plnění smlouvy + oprávněný zájem	5 let
Marketingové novinky, obchodní sdělení	Souhlas (čl. 6 odst. 1 písm. a)	Do odvolání souhlasu
Onboarding e-maily	Oprávněný zájem (UX)	30 dnů od registrace

5. Příjemci osobních údajů

Vaše osobní údaje předáváme dále pouze v nezbytném rozsahu těmto kategoriím příjemců:

Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Německo) — provozovatel datového centra. Hetzner je certifikován ISO 27001.
Cloudflare, Inc. (101 Townsend St, San Francisco, USA) — CDN, ochrana proti DDoS, TLS terminace na hraně sítě. Předávání mimo EU pokryto Standardními smluvními doložkami EU (SCC) a Cloudflare DPA.
ComGate Payments, a.s. (IČO 27924505, Hradec Králové) — zpracování plateb. Comgate je samostatný správce ve vztahu k údajům platby.
Fakturoid s.r.o. (IČO 04122660, Praha) — vystavování faktur a evidence plateb.
SeznamEmail / SMTP poskytovatel (Seznam.cz a.s., IČO 26168685) — odesílání transakčních a notifikačních e-mailů.
Sentry / Better Stack / Healthchecks.io (po aktivaci) — agregace chybových hlášení a uptime monitoring.
Daňový poradce / účetní — pouze v nezbytném rozsahu pro vedení účetnictví.
Orgány veřejné moci, je-li to vyžadováno právním předpisem (finanční úřad, soud, policie).

Aktuální seznam subdodavatelů (subprocesorů) je veden v DPA, čl. 7 a aktualizován při každé změně.

6. Předávání mimo EU

Hlavní infrastruktura (servery, databáze, zálohy) je provozována v Německu. Vaše hlavní data nikdy neopustí EU.

Cloudflare jako CDN/proxy operuje globálně a hraniční zpracování může proběhnout v PoP nejbližším koncovému uživateli (např. Praha, Frankfurt, Vídeň). Předávání do třetích zemí je zajištěno Standardními smluvními doložkami (SCC) přijatými Komisí EU dne 4. 6. 2021.

7. Cookies a podobné technologie

Web datanostro.com používá pouze technicky nezbytné a analytické cookies. Detaily — názvy, doba platnosti, právní základ — najdete v Zásadách používání cookies.

8. Vaše práva podle GDPR

Jako subjekt údajů máte následující práva, která můžete bezplatně uplatnit zasláním e-mailu na [email protected]:

Právo na přístup (čl. 15 GDPR): Můžete získat informaci, zda zpracováváme vaše údaje, a kopii těchto údajů. Odpovídáme nejpozději do 30 dnů.
Právo na opravu (čl. 16): Pokud jsou vaše údaje nepřesné, můžete žádat opravu. Většinu fakturačních a kontaktních údajů můžete navíc upravit přímo v dashboardu.
Právo na výmaz (čl. 17, „právo být zapomenut“): Můžete žádat smazání svých údajů, pokud již nejsou potřebné pro účel zpracování, odvolali jste souhlas nebo nám to ukládá zákon. Výjimka: údaje, jejichž uchovávání nám ukládá zákon (zejména faktury — 10 let), nelze smazat dříve než po uplynutí zákonné lhůty.
Právo na omezení zpracování (čl. 18): V určitých situacích (např. když popíráte přesnost údajů) můžete žádat dočasné omezení zpracování — údaje pak pouze uložíme bez dalšího zpracování.
Právo na přenositelnost (čl. 20): Údaje, které jste nám poskytli, vám předáme ve strojově čitelném formátu (JSON nebo CSV). Můžeme je rovněž zaslat přímo jinému správci, je-li to technicky proveditelné.
Právo vznést námitku (čl. 21): Pokud zpracováváme údaje na základě oprávněného zájmu, můžete proti tomu vznést námitku. Buď ji shledáme oprávněnou a zpracování ukončíme, nebo prokážeme, že náš zájem převažuje (např. v případě audit logu pro forenzní účely).
Právo odvolat souhlas (čl. 7 odst. 3): Tam, kde je zpracování založeno na souhlasu (typicky marketingové zprávy), můžete souhlas kdykoli odvolat. Odvolání nemá vliv na zákonnost dosavadního zpracování.
Právo nebýt předmětem automatizovaného rozhodování (čl. 22): DataNostro nepoužívá rozhodování založené výhradně na automatizovaném zpracování s právními nebo podobnými dopady na fyzickou osobu.

9. Stížnost u dozorového úřadu

Pokud se domníváte, že zpracováváme vaše údaje v rozporu s GDPR, máte právo podat stížnost u Úřadu pro ochranu osobních údajů (ÚOOÚ):

Úřad pro ochranu osobních údajů
Pplk. Sochora 27, 170 00 Praha 7
tel: +420 234 665 111
web: www.uoou.cz
e-mail: [email protected]

10. Bezpečnost zpracování

K ochraně osobních údajů uplatňujeme následující technická a organizační opatření (čl. 32 GDPR):

Šifrování dat při přenosu (TLS 1.2+ / 1.3)
Šifrování citlivých polí v databázi (Fernet, AES-128 v CBC módu)
Hashování hesel (Argon2 / PBKDF2 dle Django default)
Dvoufázové ověření (2FA / TOTP) volitelné pro každý účet
Rate limiting per IP a per tenant proti brute-force a credential stuffing
Pravidelné security update operačního systému a závislostí (Dependabot)
Network segmentace mezi projekty (Docker network namespaces, iptables)
Append-only audit log Comgate callbacků a aplikačních akcí (důkazní stopa)
Pravidelné denní zálohování databáze (pg_dump) ukládané v rámci infrastruktury Hetzner do druhého regionu, retention 30 dní, restore měsíčně testován
Plán reakce na bezpečnostní incident dle čl. 33 GDPR (oznámení ÚOOÚ do 72 h od zjištění)

11. Oznámení porušení zabezpečení

V případě, že dojde k porušení zabezpečení osobních údajů s pravděpodobnou škodou pro vaše práva a svobody, oznámíme to:

Úřadu pro ochranu osobních údajů — bez zbytečného odkladu, nejpozději do 72 hodin od okamžiku, kdy se o porušení dozvíme (čl. 33 GDPR).
Vám jako subjektu údajů — pokud porušení pravděpodobně bude mít za následek vysoké riziko pro vaše práva (čl. 34 GDPR), bez zbytečného odkladu e-mailem na adresu vedenou v Účtu.

12. Změny zásad

Tyto zásady můžeme čas od času aktualizovat. Zásadní změny vám oznámíme e-mailem nejpozději 30 dnů před nabytím účinnosti. Datum poslední aktualizace najdete v záhlaví tohoto dokumentu.

Účinné od 2. května 2026 · Verze 2.0

Zásady ochrany osobních údajů