ZÁSADY OCHRANY SOUKROMÍ SLUŽBY PARUJU.CZ

Poskytovatel: SenSec LLC, 30 N Gould St Ste N, Sheridan, Wyoming 82801, USA
Kontaktní e-mail: privacy@paruju.cz
(Dále jen „Poskytovatel“, „my“, „nás“ nebo „Služba“)

Platné od: 01.06.2025

Účel dokumentu

Tento dokument vysvětluje jaké osobní údaje zpracováváme při používání cloudové aplikace Paruju.cz (dále jen „Aplikace“), proč, jak dlouho a jak je chráníme, aby bylo zřejmé, že plníme Nařízení EU 2016/679 (GDPR) a související předpisy.

Kategorie údajů, které zpracováváme

  1. Údaje o účtu – jméno, příjmení, firemní e-mail, telefon (volitelně), název společnosti, IČ, fakturační adresa a heslo uložené výhradně jako kryptografický hash.

  2. Dokumenty – faktury, bankovní výpisy a související přílohy nahrané uživatelem nebo automaticky stažené z připojeného mailboxu.

  3. Platební údaje – tokenizované údaje o platební kartě, jméno držitele a fakturační data; k plnému číslu karty nikdy nepřistupujeme (zpracovává Stripe).

  4. Technická a bezpečnostní metadata – IP adresa, typ a verze prohlížeče, zařízení, časové razítko, logy firewallu, přihlašovací údaje z Firebase Authentication.

  5. Analytická data – události uživatelského rozhraní v Google Analytics 4 se zkrácenou IP adresou.

  6. Komunikační metadata – záznam o odeslání systémových e-mailů (Postmark) a jejich doručení či odskoku.

Právní základy zpracování

  • Plnění smlouvy (čl. 6 (1)(b) GDPR) – provoz základních funkcí Aplikace.

  • Právní povinnost (čl. 6 (1)(c)) – účetní a daňová legislativa.

  • Oprávněný zájem (čl. 6 (1)(f)) – bezpečnost, prevence podvodů, anonymní vylepšování funkcí.

  • Souhlas (čl. 6 (1)(a)) – analytické a marketingové cookies; lze kdykoli odvolat.

Sub-procesory (smluvní zpracovatelé)

Pro fungování Aplikace využíváme omezený okruh partnerů. Všichni jsou smluvně vázáni mlčenlivostí, jednají výhradně dle našich pokynů a uplatňují přiměřená bezpečnostní opatření.

  • Amazon Web Services – hosting a šifrované úložiště (EU-Central, Frankfurt).

  • Supabase – relační databáze a šifrované zálohy (EU-West, Dublin).

  • Stripe Payments Europe Ltd. – platební brána (PCI-DSS Level 1).

  • Google LLC – Firebase Authentication a GA4 (IP anonymizace zapnuta).

  • ActiveCampaign LLC / Postmark – transakční e-maily.

    Aktuální seznam je udržován na paruju.cz/subprocessors. Jakoukoliv změnu oznámíme minimálně 30 dnů předem; zákazník může do 15 dnů vznést námitku.

Přenosy osobních údajů mimo EHP

5.1 Primární uložení v EU Veškeré uživatelské dokumenty, databáze a zálohy uchováváme výhradně na serverech v EU (Frankfurt nebo Dublin).

5.2 Nezbytné přenosy do USA Někteří sub-procesoři (např. Stripe, Google, Postmark) sídlí v USA. Pokud je pro poskytování Služby nutné, aby část zpracování proběhla na území USA, přenosy se řídí Standardními smluvními doložkami Evropské komise 2021/914 (SCC) doplněnými o technická a organizační doplňující bezpečnostní opatření v souladu s doporučením EDPB 01/2020.

5.3 Doplňující opatření zahrnují zejména

  • Šifrování dat při přenosu a v klidu (TLS 1.3, AES-256); dešifrovací klíče zůstávají na serverech v EU.

  • Pseudonymizaci nebo anonymizaci identifikátorů při odesílání dat do GA4.

  • Minimalizaci rozsahu exportovaných dat (do Stripe a Postmark posíláme pouze nezbytná transakční metadata).

  • Pravidelný Transfer Impact Assessment (TIA) alespoň jednou ročně a po každé významné legislativní změně v USA.

5.4 Budoucí certifikace Jakmile se SenSec LLC nebo některý sub-procesor stane účastníkem EU–US Data Privacy Framework, § 5 aktualizujeme a zákazníky o tom vyrozumíme nejméně 30 dnů předem.

5.5 Námitka zákazníka Pokud zákazník s přenosem do USA nesouhlasí, může požádat o deaktivaci příslušných integrací (např. GA4) nebo smlouvu ukončit s 30denní výpovědní dobou.

Cookies a podobné technologie

  • Nutné cookies – relace, CSRF token, Stripe fraud token; bez nich Aplikace nefunguje.

  • Preferenční cookies – výběr jazyka, platnost 12 měsíců.

  • Analytické cookies – GA4; aktivujeme je až po udělení souhlasu v cookie liště (Cookiebot). IP adresa je zkrácena a přenos probíhá na základě SCC.

Souhlas lze kdykoli upravit odkazem „Nastavení cookies“ v zápatí.

Doba uchování

  • Dokumenty v Aplikaci – po dobu trvání smlouvy + 30 dnů na export.

  • Fakturační údaje – 10 let (právní povinnost).

  • Auditní logy – 12 měsíců, déle pouze při řešení bezpečnostního incidentu.

  • GA4 události – 26 měsíců, poté anonymizace nebo výmaz.

Po uplynutí lhůt data nevratně anonymizujeme nebo bezpečně smažeme. Za ztrátu dat po uplynutí exportního okna neneseme odpovědnost.

Bezpečnostní opatření

Aplikujeme přiměřená technická a organizační opatření (čl. 32 GDPR): TLS 1.3, AES-256, RBAC, povinné 2FA pro interní přístupy, denní šifrované zálohy, pen-test jednou ročně, 24/7 monitoring, DDoS mitigace.

Upozornění: Žádný systém nemůže garantovat absolutní bezpečnost. Při nezaviněném externím útoku či vyšší moci odpovídáme pouze v rozsahu stanoveném ve VOP.

Práva subjektů údajů

Subjekty údajů mají právo na přístup, opravu, výmaz, omezení zpracování, přenositelnost, námitku a odvolání souhlasu. Žádosti vyřizujeme bez zbytečného odkladu, nejpozději do 30 dnů. Stížnost lze podat u ÚOOÚ v Praze nebo u jiného příslušného dozorového úřadu.

Automatizované rozhodování a AI

Neprovádíme automatizované rozhodování s právními či obdobně významnými účinky. AI modely pouze extrahují údaje z dokumentů; výsledek může uživatel ručně ověřit a změnit.

Omezení odpovědnosti za porušení ochrany dat

V souladu s čl. 82 GDPR a našimi VOP odpovídáme maximálně do výše (i) celkových ročních poplatků uhrazených Zákazníkem nebo (ii) 50 000 USD, podle toho, která částka je nižší. Omezení se neuplatní při úmyslném porušení nebo hrubé nedbalosti z naší strany.

Změny Zásad

Jakoukoli podstatnou změnu oznámíme e-mailem nebo bannerem nejméně 30 dnů před účinností. Pokračováním v používání Aplikace po účinnosti změn udělujete souhlas s aktualizovaným zněním. Pokud nesouhlasíte, můžete účet zrušit a požádat o výmaz.

Kontaktní údaje

  • Obecné dotazy: privacy@paruju.cz

  • Pověřenec pro ochranu osobních údajů (DPO):
    Sentinel Security s.r.o., Jičínská 226/17, Žižkov, 130 00 Praha 3, IČ: 19997604 – dpo@paruju.cz

  • Zástupce v EU (čl. 27 GDPR):
    Sentinel Security s.r.o., Jičínská 226/17, Žižkov, 130 00 Praha 3, IČ: 19997604