Zásady ochrany osobních údajů (GDPR)
Účinné od: 12. května 2026
Tento dokument popisuje, jak služba veritra.io zpracovává osobní údaje svých uživatelů. Zásady jsou v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 (GDPR) a se zákonem č. 110/2019 Sb. o zpracování osobních údajů.
1. Správce osobních údajů
Správcem osobních údajů ve smyslu čl. 4 odst. 7 GDPR je:
- RWX, s.r.o., IČO: 14235111
- Sídlo: Sadová 1646, 560 02 Česká Třebová
- Zapsán v obchodním rejstříku vedeném u Krajského soudu v Hradci Králové, oddíl C, vložka 49019
- Kontaktní e-mail: michal@veritra.io
- Telefon: +420 608 379 273
Vzhledem k rozsahu zpracování poskytovatel nemá povinnost jmenovat pověřence pro ochranu osobních údajů (DPO) ve smyslu čl. 37 GDPR. Pro všechny záležitosti ochrany osobních údajů slouží výše uvedený kontaktní e-mail.
2. Jaké údaje zpracováváme
Při registraci a používání služby zpracováváme tyto kategorie osobních údajů:
| Kategorie | Konkrétní údaje | Účel |
|---|---|---|
| Registrační | E-mail, jméno, název firmy, IČO, telefon | Vytvoření a správa účtu, komunikace |
| Fakturační | Fakturační adresa, plátce DPH, číslo bankovního účtu | Vystavení faktur, účetní povinnosti |
| Provozní | IP adresa, User-Agent, lokalita podle IP, časové známky | Bezpečnost, prevence zneužití, statistiky |
| Autentizační | Heslo (hashované), tokeny, API klíče (hashované) | Přihlášení, autorizace API |
| Obsahové | Konfigurace filtrů sledování, historie hlášení, dotazy do API | Plnění služby |
| Komunikační | E-mailová komunikace, obsah formulářů zpětné vazby | Zákaznická podpora |
| Marketingové (volitelně) | Tracking otevření e-mailových newsletterů | Zlepšování komunikace |
Hesla jsou ukládána v podobě jednosměrného hashe (bcrypt); poskytovatel hesla v plain textu nevidí. API klíče jsou ukládány jako SHA-256 hash; po vygenerování je klíč zobrazen uživateli jednou a poskytovatel jej v plain textu nezachová.
3. Účel a právní základ zpracování
Zpracování každé kategorie údajů má svůj právní základ podle čl. 6 GDPR:
- Plnění smlouvy (čl. 6 odst. 1 písm. b) — registrační, fakturační, autentizační a obsahové údaje. Bez nich nelze službu poskytovat.
- Plnění právní povinnosti (čl. 6 odst. 1 písm. c) — uchování účetních dokladů (10 let dle zákona č. 563/1991 Sb. o účetnictví), daňových dokladů.
- Oprávněný zájem (čl. 6 odst. 1 písm. f) — provozní údaje pro bezpečnost a prevenci zneužití (rate limit, ochrana proti útokům, fraud detection). Náš oprávněný zájem převažuje nad zájmem uživatele na nesledování těchto údajů z důvodu zajištění stabilního a bezpečného provozu služby.
- Souhlas (čl. 6 odst. 1 písm. a) — marketingová komunikace nad rámec smluvního vztahu (např. newsletter o nových funkcích), kterou lze kdykoli odvolat v nastavení účtu.
4. Doba uchování
| Kategorie | Doba uchování |
|---|---|
| Registrační a obsahové | Po dobu trvání smlouvy + 30 dnů po jejím ukončení (export window) |
| Fakturační doklady | 10 let od konce daného účetního období |
| Provozní logy (IP, User-Agent, časy) | 90 dnů |
| Komunikační historie | 3 roky od posledního kontaktu |
| Autentizační (hesla, API klíče) | Po dobu trvání účtu, pak smazání |
Po uplynutí lhůty jsou údaje trvale smazány nebo anonymizovány.
5. Příjemci osobních údajů (Subprocesoři)
Vaše osobní údaje předáváme následujícím zpracovatelům, kteří poskytují infrastrukturní a podpůrné služby. Všichni subprocesoři jsou vázáni smlouvou o zpracování osobních údajů (DPA) a poskytují záruky odpovídající úrovně ochrany dle GDPR.
| Zpracovatel | Účel | Lokalita zpracování |
|---|---|---|
| Vercel Inc. (USA) | Hosting webové aplikace, edge runtime | EU (Frankfurt) primárně, US fallback (SCCs) |
| DigitalOcean LLC (USA) | MySQL databáze, objektové úložiště | EU (Frankfurt) |
| Cloudflare Inc. (USA) | CDN, DDoS protection, DNS, WAF | Global edge (EU node default) |
| Upstash Inc. (USA) | Redis pro rate limit | EU (Frankfurt) |
| Stripe Payments Europe Ltd. (Irsko) | Zpracování plateb kartou | EU |
| Resend Inc. (USA) | Odesílání transakčních a marketingových e-mailů | EU (Frankfurt) + US fallback (SCCs) |
| AWS SES (Amazon Web Services EMEA) | Odesílání některých systémových e-mailů, inbound mail | EU (eu-west-1) |
| Anthropic PBC (USA) | AI generování obsahu blogu (žádné údaje uživatelů); generace fakturací nepoužívá AI | US (SCCs) |
| WEDOS Internet, a.s. (ČR) | Registrace domény veritra.io | ČR |
Subprocesoři v USA jsou kryti Standard Contractual Clauses (SCCs) podle rozhodnutí Komise (EU) 2021/914 a Data Privacy Framework, kde to aplikuje.
Údaje neposkytujeme:
- inzerentům či reklamním sítím (Google Ads, Facebook Pixel atd. v současnosti nepoužíváme),
- prodejcům dat ani brokerům.
6. Vaše práva
Jako subjekt údajů máte následující práva podle čl. 15 až 22 GDPR:
- Právo na přístup (čl. 15) — můžete si vyžádat kopii všech osobních údajů, které o vás zpracováváme.
- Právo na opravu (čl. 16) — můžete žádat opravu nesprávných nebo neaktuálních údajů. Většinu lze upravit přímo v dashboardu (sekce Settings).
- Právo na výmaz (čl. 17, „právo být zapomenut") — můžete žádat smazání svých osobních údajů. Údaje, které musíme uchovávat dle zákona (účetní, daňové), smazat nelze.
- Právo na omezení zpracování (čl. 18) — můžete žádat dočasné omezení zpracování v případě sporu o jeho zákonnost.
- Právo na přenositelnost (čl. 20) — můžete si vyžádat své údaje ve strojově čitelném formátu (JSON nebo CSV) pro přenos k jinému poskytovateli. Tuto funkci nabízíme i automaticky po ukončení smlouvy v rámci 30denního export window.
- Právo vznést námitku (čl. 21) — proti zpracování na základě oprávněného zájmu (provozní logy, marketing).
- Právo odvolat souhlas (čl. 7 odst. 3) — souhlas s marketingovou komunikací lze kdykoli odvolat odhlášením ze každého e-mailu nebo v nastavení účtu. Odvolání nemá zpětný účinek.
- Právo nepodléhat automatizovanému rozhodování (čl. 22) — neaplikujeme.
Pro uplatnění práv nás kontaktujte na michal@veritra.io. Odpovídáme bez zbytečného odkladu, nejpozději do 1 měsíce od přijetí žádosti (čl. 12 odst. 3 GDPR).
7. Cookies a podobné technologie
Webové stránky veritra.io používají pouze technicky nezbytné cookies (session cookies pro přihlášení, CSRF tokeny, preferovaný jazyk). Tyto cookies nepodléhají souhlasu dle § 89 odst. 3 zákona č. 127/2005 Sb. o elektronických komunikacích.
Analytické a marketingové cookies třetích stran (Google Analytics, Facebook Pixel apod.) v současnosti nepoužíváme. Pokud bude jejich nasazení v budoucnu zvažováno, bude implementován cookie banner se souhlasem dle ePrivacy směrnice.
8. Bezpečnost údajů
Poskytovatel přijímá technická a organizační opatření k zajištění bezpečnosti údajů odpovídající rizikům zpracování:
- TLS 1.2+ šifrování pro všechnu komunikaci klient–server,
- bcrypt hash pro hesla, SHA-256 hash pro API klíče,
- rate limiting a Cloudflare WAF proti zneužití,
- principu nejnižších oprávnění pro přístup zaměstnanců a subprocesorů,
- pravidelné zálohování databáze (denní inkrementální, týdenní plné),
- šifrování dat v klidu (storage encryption u Vercel, DigitalOcean, Stripe).
Žádné opatření neposkytuje 100% záruku. V případě porušení zabezpečení osobních údajů, které pravděpodobně bude mít za následek vysoké riziko pro práva a svobody uživatelů, vás budeme informovat bez zbytečného odkladu (čl. 34 GDPR) a oznámíme událost Úřadu pro ochranu osobních údajů do 72 hodin (čl. 33 GDPR).
9. Předávání do třetích zemí
Některé subprocesory mají sídlo v USA. Předávání osobních údajů do třetích zemí mimo EU/EHP je založeno na:
- Standard Contractual Clauses (SCCs) dle rozhodnutí Komise (EU) 2021/914,
- Data Privacy Framework pro certifikované subjekty (Vercel, Cloudflare),
- Adekvátnosti rozhodnutí Komise, kde existuje.
Můžete si vyžádat kopii SCCs uzavřených s konkrétním zpracovatelem.
10. Stížnost u dozorového úřadu
Pokud se domníváte, že zpracováním vašich osobních údajů dochází k porušení GDPR, máte právo podat stížnost u dozorového úřadu:
- Úřad pro ochranu osobních údajů
- Pplk. Sochora 27, 170 00 Praha 7
- Web: https://www.uoou.cz
- E-mail: posta@uoou.cz
11. Změny zásad
Tyto Zásady ochrany osobních údajů mohou být aktualizovány. Aktuální verze je vždy zveřejněna na https://veritra.io/gdpr. Změny s podstatným vlivem na uživatele oznámíme 30 dní předem e-mailem.
Verze 1.0, účinná od 12. května 2026. Správce: RWX, s.r.o., IČO 14235111. Kontakt: michal@veritra.io.