Právní dokumenty

Zásady ochrany osobních údajů

Co o tobě sbíráme, proč, s kým to sdílíme a jak dlouho to držíme. Napsáno podle GDPR srozumitelně, bez právnické vaty.

Verze: 1.2

Aktualizováno:

§ 1

Kdo je správcem tvých údajů

Správcem osobních údajů ve smyslu článku 4 odst. 7 GDPR je společnost Braincode s.r.o., IČO 23484942, DIČ CZ23484942, se sídlem Kurzova 2222/16, Stodůlky, 155 00 Praha 5, datová schránka s8iq3ay, která provozuje platformu RideSnap.

Pro kontakt ve věcech ochrany osobních údajů použij e-mail support@ridesnap.cz s předmětem „GDPR“. Vzhledem k velikosti a charakteru zpracování nemáme jmenovaného pověřence pro ochranu osobních údajů (DPO) - kontakt zajišťuje přímo provozovatel.

§ 2

Jaké údaje zpracováváme

Sbíráme jen údaje, které jsou nutné k tomu, aby platforma fungovala - nic víc:

Registrační údaje

  • jméno a příjmení
  • e-mailová adresa
  • uživatelské jméno (username pro veřejnou URL profilu)
  • heslo (uchované jen jako bcrypt hash, nikdy ne v čitelné podobě)
  • volitelně OAuth identifikátor (Google, pokud se přihlásíš přes SSO)

Volitelné profilové údaje

  • profilové bio, odkaz na Instagram nebo vlastní web
  • obálka profilu, profilová fotka
  • údaje o motorkách v garáži (značka, model, ročník, barva, SPZ částečně maskovaná, přezdívka)

Obsah, který nahraješ

  • fotky, které vystavuješ jako fotograf
  • metadata fotek (čas, lokace, watermark - bez EXIF GPS, ten odstraňujeme)
  • tvoje aktivita: uložené fotky, košík, tagování motorek

Technické údaje

  • IP adresa (pro bezpečnost - rate limiting, detekce útoků)
  • user agent prohlížeče, typ zařízení, operační systém a URL požadavku
  • záznamy chyb a výkonu aplikace (Sentry) - stack trace, release, prostředí, technické breadcrumby a kontext chyby; výchozí odesílání osobních údajů je vypnuté
  • anonymizované návštěvnické a UX metriky (GA4, Microsoft Clarity) pouze po souhlasu
  • agregované informace o viditelnosti ve vyhledávání z Google Search Console
  • obsah a doručovací metadata transakčních e-mailů přes Resend (příjemce, stav doručení, bounce)

§ 3

Účel a právní základ zpracování

Každý kus dat zpracováváme z jasně definovaného důvodu. Podle čl. 6 GDPR existuje šest možných právních základů - my používáme čtyři:

Účel Právní základ (čl. 6 GDPR)
Provozování platformy, správa účtu Plnění smlouvy (odst. 1 písm. b)
Bezpečnost (rate limiting, audit log, detekce útoků) Oprávněný zájem (odst. 1 písm. f)
Analytika a UX (GA4, Clarity) - jen po souhlasu Souhlas (odst. 1 písm. a)
SEO viditelnost (Google Search Console meta tag + agregovaná data vyhledávání) Oprávněný zájem (odst. 1 písm. f)
Diagnostika chyb, stabilita a výkon aplikace (Sentry) Oprávněný zájem (odst. 1 písm. f)
Doručování transakčních e-mailů (Resend) Plnění smlouvy (odst. 1 písm. b) / oprávněný zájem (odst. 1 písm. f)
Zákonná povinnost (účetnictví, daně, žádosti orgánů) Právní povinnost (odst. 1 písm. c)

Souhlas s analytikou můžeš kdykoli změnit přes odkaz „Nastavení cookies“ v patičce webu, případně přes kontaktní e-mail. Odvolání souhlasu nemá zpětný účinek na zpracování, které proběhlo do té doby. Sentry, Search Console a Resend nejsou analytické cookies; používáme je pro provoz, bezpečnost, doručování e-mailů a opravy chyb.

§ 4

Komu údaje předáváme

Tvoje údaje nikomu neprodáváme. Používáme pouze zpracovatele a technické dodavatele, bez nichž by platforma nemohla fungovat. Tam, kde dodavatel zpracovává osobní údaje, máme nebo budeme mít uzavřenou smlouvu o zpracování osobních údajů (DPA) podle čl. 28 GDPR. Dodavatelé sídlí v EU nebo v zemích s odpovídající úrovní ochrany.

  • Google LLC (USA) - Google Analytics 4 (anonymizovaná návštěvnost po souhlasu), Google Search Console (ověření vlastnictví webu přes meta tag a agregovaná data vyhledávání, žádné cookies na RideSnapu), případně Google Sign-In (OAuth identifikátor). Datový transfer podle Standardních smluvních doložek (SCC) + EU-US Data Privacy Framework.
  • Microsoft Clarity - heatmapy a session replays po souhlasu, anonymizované (Clarity automaticky maskuje text a vstupy).
  • Sentry / Functional Software Inc. - sledování chyb a výkonu aplikace na backendu i frontendu. Výchozí odesílání osobních údajů je vypnuté; posíláme technický kontext jako URL, stack trace, release, prostředí a breadcrumby nutné pro opravu chyb.
  • Resend - doručování transakčních e-mailů (registrace, reset hesla, systémová oznámení, ZIP balíček v budoucnu). Zpracovává e-mailovou adresu příjemce, obsah zprávy a doručovací metadata typu delivered, bounced nebo complaint.
  • Green-hosting s.r.o. - housing a konektivita pro vlastní/pronajatý server provozovaný Braincode s.r.o. Braincode server administruje; Green-hosting zajišťuje fyzické umístění, napájení a připojení.

Údaje můžeme předat orgánům veřejné moci (Policie ČR, soudy, ÚOOÚ) pouze v rozsahu odpovídajícímu jejich zákonné žádosti.

§ 5

Jak dlouho údaje uchováváme

  • Aktivní účet: po dobu, kdy účet trvá. Když smažeš účet, údaje a tvůj obsah trvale odstraníme ihned.
  • Logy bezpečnosti (IP, audit): 90 dnů, pak automaticky mazány.
  • Faktury a účetní doklady: 10 let od konce daňového období (povinnost podle zákona o účetnictví a daňového řádu).
  • Analytické agregáty (GA4, Clarity): podle nastavení daného nástroje, max. 26 měsíců.
  • Sentry chyby a performance traces: po dobu nezbytnou pro triage a opravu problému, typicky nejdéle 90 dnů podle nastavení projektu.
  • Doručovací metadata e-mailů: po dobu potřebnou pro řešení doručitelnosti a podpory, nejdéle 12 měsíců, pokud právní povinnost nevyžaduje delší uchování.

§ 6

Jaká máš práva

Jako subjekt údajů máš podle GDPR sadu konkrétních práv. Můžeš:

  • požadovat přístup ke svým údajům (čl. 15 GDPR) - odpovíme do 30 dnů,
  • požadovat opravu nesprávných údajů (čl. 16) - nebo si je sám/sama uprav v Nastavení profilu,
  • požadovat výmaz („právo být zapomenut“, čl. 17) - smazání účtu funguje jako jednorázový výmaz veškerých dat,
  • omezit zpracování (čl. 18),
  • získat přenositelnou kopii svých údajů (čl. 20) - pošleme JSON / CSV export,
  • vznést námitku proti zpracování založenému na oprávněném zájmu (čl. 21),
  • odvolat souhlas s analytikou (čl. 7 odst. 3) bez sankce.

Pokud máš pocit, že zpracováváme tvé údaje nesprávně, máš právo podat stížnost u Úřadu pro ochranu osobních údajů ( uoou.cz).

§ 7

Cookies a podobné technologie

Používáme dvě skupiny cookies:

  • Funkční cookies (přihlášení, košík, CSRF token) - nutné pro běh platformy. Souhlas není vyžadován, bez nich by aplikace nefungovala.
  • Analytické cookies (GA4, Clarity) - spouštíme až po tvém aktivním souhlasu v cookie banneru. Když odmítneš, nepřijdou.

Google Search Console, Sentry a Resend nepoužíváme jako reklamní nebo analytické cookies: Search Console je ověřovací meta tag a agregovaná SEO data, Sentry řeší chyby aplikace a Resend doručuje transakční e-maily. Reklamní cookies (Facebook Pixel, Google Ads atd.) nepoužíváme.

Kompletní seznam každé cookie (název, účel, doba uchování) najdeš v dedikovaném dokumentu Zásady používání cookies →

§ 8

Uživatelé mladší 16 let

Platforma je určena uživatelům od 16 let. Registrací prohlašuješ, že je ti alespoň 16 let. Pokud zjistíme, že účet patří dítěti mladšímu 16 let, bez zbytečného odkladu jej smažeme.

§ 9

Změny těchto zásad

Tyto zásady občas aktualizujeme - buď když se změní právní úprava, přidáme novou službu nebo přepneme dodavatele. O zásadních změnách (nový zpracovatel, rozšíření účelů) tě budeme informovat e-mailem nebo přes platformu.