1.Kdo jsme — správce osobních údajů
Správcem tvých osobních údajů je Alexandr Gindriouk, IČO 21705381, se sídlem Chvalská 718/10, Hloubětín, 198 00 Praha 9, Česká republika, podnikající fyzická osoba zapsaná v živnostenském rejstříku (dále jen „Správce" nebo „my").
Pro jakýkoli dotaz ohledně ochrany osobních údajů nás kontaktuj na info.dokumentomat@gmail.com. Odpovídáme bez zbytečného odkladu, nejpozději do 1 měsíce od přijetí žádosti. U složitých žádostí můžeme lhůtu prodloužit o další 2 měsíce; v takovém případě tě o důvodech prodloužení informujeme do 1 měsíce (čl. 12 odst. 3 GDPR).
Pověřence pro ochranu osobních údajů (DPO) jsme nejmenovali — povinnost dle čl. 37 odst. 1 GDPR se na nás nevztahuje (nezpracováváme údaje ve velkém rozsahu ani zvláštní kategorie údajů). Pro všechny dotazy k ochraně osobních údajů použij e-mail výše.
💡 Lidsky řečeno
Dvě role najednou: Pro tvé vlastní účetní údaje (jméno, e-mail, IČO Uživatele) jsme správcem dat. Pro údaje o tvých klientech, které vložíš do CRM modulu, jsme jen zpracovatelem — správcem jsi tam ty. To je upraveno v samostatné Zpracovatelské smlouvě.
2.Jaké údaje o tobě zpracováváme
2.1Údaje, které nám sám předáš
- Identifikační údaje: jméno, příjmení, e-mailová adresa,
- Údaje o firmě (pokud je vyplníš): název, IČO, DIČ, sídlo,
- Heslo (uchováváno bezpečně, hashované — nikdy ho neuvidíme v čitelné podobě),
- Údaje o tvých klientech, které vkládáš do CRM modulu (jméno, IČO, adresa, kontakt). K nim přistupujeme jako zpracovatel, ne jako správce — viz Zpracovatelská smlouva.
- Šablony dokumentů, které do Aplikace nahraješ.
2.2Údaje, které sbíráme automaticky
- IP adresa (pro bezpečnostní účely a analýzu návštěvnosti),
- User agent prohlížeče (typ, verze, operační systém),
- Logy aktivity v Aplikaci (kdy ses přihlásil, co jsi vytvořil nebo smazal),
- Cookies nezbytné pro fungování (relace, vzhled). Detail v Cookie politice.
2.3Co NEsbíráme
- Vygenerované dokumenty ukládáme do tvého soukromého úložiště v Aplikaci (databáze Supabase v EU Frankfurt) — abys je mohl stáhnout znovu ze sekce „Dokumenty" bez nutnosti vyplňovat formulář znovu. Vyhovuje to i zákonné povinnosti uchovávat účetně relevantní podklady. Po smazání účtu jsou všechny tvé soubory vymazány do 24 hodin (viz VOP čl. 4.3).
- Platební údaje (čísla karet) k nám nepřicházejí. Platby zpracovává Stripe; my dostaneme jen metadata (úspěch/neúspěch, identifikátor zákazníka).
- Biometrické, zdravotní ani jiné zvláštní kategorie údajů dle čl. 9 GDPR nezpracováváme.
- Tvé údaje ani obsah šablon neposíláme do žádných AI systémů pro trénink. Slouží výhradně pro tvé generování dokumentů.
2.4Údaje z veřejných rejstříků (čl. 14 GDPR)
Pokud do Aplikace zadáš IČO klienta, automaticky doplníme jeho veřejně dostupné údaje z registru ARES(Ministerstvo financí ČR) — jméno/název, sídlo, právní formu, případně DIČ. Zdrojem je výhradně veřejný rejstřík dle zákona č. 304/2013 Sb. a zákona č. 455/1991 Sb. K těmto údajům přistupujeme jako zpracovatel pro tebe (Správce); informace o zdroji subjektům poskytuješ ty.
3.Proč tvé údaje zpracováváme
Zpracováváme jen údaje, které opravdu potřebujeme — pro tyto účely:
| Účel | Právní základ (GDPR čl. 6) | Doba uchování |
|---|---|---|
| Poskytování Aplikace (login, generování, ukládání) | Plnění smlouvy (čl. 6 odst. 1 písm. b) | Po dobu trvání účtu; neaktivní účet (bez přihlášení 12+ měsíců) můžeme zrušit s 30denní výpovědí |
| Údaje klientů Uživatele v CRM (jako zpracovatel) | Plnění smlouvy s Uživatelem (čl. 6 odst. 1 písm. b) — viz DPA | Po dobu trvání účtu Uživatele; po smazání 24 hodin / 30 dnů ze záloh |
| Fakturace a účetnictví | Zákonná povinnost (čl. 6 odst. 1 písm. c) | 5 let (zákon o účetnictví) |
| Bezpečnost (logy, blokování útoků) | Oprávněný zájem (čl. 6 odst. 1 písm. f) | 12 měsíců, poté anonymizace |
| Marketing existujícím zákazníkům (novinky o produktu) | Oprávněný zájem (čl. 6 odst. 1 písm. f) v souladu s § 7 odst. 3 zákona č. 480/2004 Sb. | Do odhlášení |
| Newsletter pro neregistrované | Souhlas (čl. 6 odst. 1 písm. a) | Do odvolání souhlasu |
3.1Povinnost poskytnout údaje
Údaje uvedené při registraci (jméno, e-mail) jsou nutné pro uzavření a plnění smlouvy. Bez jejich poskytnutí ti nemůžeme Aplikaci poskytovat. Údaje pro fakturaci (IČO, sídlo) jsou nutné pro splnění zákonné povinnosti vystavit účetní doklad. Marketingové údaje a souhlas s newsletterem jsou dobrovolné a jejich neposkytnutí nemá žádný vliv na poskytování Aplikace. Souhlas lze kdykoli odvolat v sekci Nastavení.
4.Komu tvé údaje předáváme
Spolupracujeme s několika důvěryhodnými zpracovateli (subprocesory), kteří nám pomáhají Aplikaci provozovat. Se všemi máme uzavřenou smlouvu o zpracování osobních údajů a poskytují odpovídající úroveň ochrany.
| Poskytovatel | Účel | Lokalita |
|---|---|---|
| Supabase Inc. | Databáze, autentizace, storage | EU (Frankfurt) — zpracovatel sídlí v USA, předání na bázi SCC + DPF |
| Hetzner Online GmbH | Hosting aplikace (VPS) | EU (Německo) |
| Cloudflare, Inc. | CDN, DDoS ochrana, WAF | EU/Global (DPF) |
| Stripe Payments Europe Ltd. | Zpracování plateb (vystupuje jako samostatný správce pro fraud prevention) | EU (Irsko); některé sub-zpracovatele Stripe v USA na bázi SCC + DPF |
| Sendinblue SAS (Brevo) | Transakční emaily (potvrzení registrace, reset hesla) | EU (Francie) |
| Google LLC (volitelné) | OAuth přihlášení — pouze pokud zvolíš „Přihlásit přes Google" | USA (SCC + DPF) |
Pokud zpracovatel sídlí nebo zpracovává údaje mimo EU/EHP (Stripe sub-zpracovatele v USA, Google), předání probíhá na základě Standardních smluvních doložek (Prováděcí rozhodnutí Komise (EU) 2021/914) nebo certifikace dle EU–U.S. Data Privacy Framework (rozhodnutí Komise z 10. 7. 2023, č. 2023/1795). Tyto nástroje garantují stejnou úroveň ochrany jako v EU.
Tvé údaje nikdy neprodáváme a nepředáváme třetím stranám pro marketingové účely.
Mimo subprocesory výše čteme veřejné údaje o firmách z registru ARES (Ministerstvo financí ČR) podle IČO, které zadáš. ARES není zpracovatelem osobních údajů — jde o veřejný registr.
5.Tvá práva podle GDPR
Jako subjekt údajů máš tato práva:
- Právo na přístup — vyžádat si kopii všech údajů, které o tobě máme (čl. 15 GDPR). Můžeš si je stáhnout v sekci Nastavení → Profil → „Stáhnout JSON", nebo nám napiš a pošleme ti je do 30 dnů.
- Právo na opravu — opravit nepřesné nebo neúplné údaje (čl. 16 GDPR). Většinu opravíš sám v Nastavení.
- Právo na výmaz („být zapomenut") — požádat o smazání všech tvých údajů (čl. 17 GDPR). Stačí smazat účet v sekci Nastavení → Nebezpečná zóna, nebo nám napsat.
- Právo na omezení zpracování — požádat, abychom tvé údaje pouze uchovávali, ale dále s nimi nepracovali (čl. 18 GDPR).
- Právo na přenositelnost — dostat své údaje v běžném formátu (např. JSON), abys je mohl přenést jinam (čl. 20 GDPR).
- Právo vznést námitku — proti zpracování na základě oprávněného zájmu, zejména proti marketingovým sdělením (čl. 21 GDPR).
- Právo odvolat souhlas — kdykoli, bez vlivu na zpracování provedené před odvoláním (čl. 7 GDPR).
- Právo podat stížnost u dozorového úřadu — Úřad pro ochranu osobních údajů (ÚOOÚ), Pplk. Sochora 27, 170 00 Praha 7, tel. +420 234 665 111, uoou.gov.cz.
💡 Lidsky řečeno
Než se obrátíš na ÚOOÚ, dej nám prosím šanci to vyřešit — napiš nám na info.dokumentomat@gmail.com. Odpovídáme do 30 dnů a žádost neúčtujeme.
6.Bezpečnostní opatření
Tvoje údaje chráníme technicky i organizačně:
- HTTPS šifrování všech přenosů (TLS 1.3),
- Hesla uložená jako bcrypt hash, nikdy v otevřeném textu,
- Přístup k databázi omezen na minimálně nutné systémové role a chráněn vícevrstevnou autorizací na úrovni řádků,
- Pravidelné zálohy databáze,
- Logování a monitoring podezřelých aktivit (omezení počtu požadavků, blokace nežádoucích IP adres).
V případě úniku osobních údajů, který by mohl představovat vysoké riziko, oznámíme tuto skutečnost ÚOOÚ do 72 hodin a dotčeným uživatelům neprodleně.
7.Automatizované rozhodování
Žádné automatizované rozhodování ani profilování ve smyslu čl. 22 GDPR neprovádíme.
8.Děti
Aplikace je určena výhradně podnikatelům, tedy osobám s plnou svéprávností. Aplikaci nesmí používat osoby mladší 18 let. Pokud zjistíme, že jsme zpracovali údaje dítěte mladšího 15 let, údaje neprodleně vymažeme (čl. 8 GDPR, § 7 zákona č. 110/2019 Sb.).
9.Změny těchto zásad
Tyto zásady můžeme čas od času aktualizovat (např. když přidáme nového zpracovatele). Aktuální verze je vždy na této stránce s datem účinnosti. O zásadních změnách tě informujeme e-mailem.
Účinnost: 2026-05-16.