Ochrana osobních údajů (Privacy Policy)

1. Správce osobních údajů

Správcem osobních údajů je:

• Webilio
• Vážany 64
• 68737 Vážany
• Česká republika
• Tel.: +420 775 257 643
• E-mail: info@webilio.cz
• IČO: 23612819

2. Jaké údaje zpracováváme

Rozsah zpracovávaných údajů závisí na tom, co vyplníte do rezervačního formuláře a jaké služby si rezervujete.

3. Účely zpracování a právní základy

4. Komu mohou být údaje předány

Osobní údaje mohou být zpřístupněny pouze osobám, které je potřebují pro zajištění provozu a poskytování služeb, zejména:

• poskytovatelům IT a hostingu,
• provozovateli rezervačního systému,
• poskytovatelům e-mailových nebo SMS služeb,
• účetnímu / daňovému poradci (je-li relevantní),
• orgánům veřejné moci, pokud to vyžaduje zákon.

Se zpracovateli máme uzavřené odpovídající smlouvy o zpracování osobních údajů, pokud to právní předpisy vyžadují.

5. Doba uchování

• Údaje k rezervaci uchováváme po dobu nezbytnou pro poskytnutí služby a řešení případných reklamací.
• Účetní a daňové doklady uchováváme po dobu stanovenou právními předpisy.
• Údaje pro marketing uchováváme po dobu trvání souhlasu nebo do podání námitky / odhlášení.

Konkrétní lhůty si doplňte interně (např. 12 měsíců pro rezervace, 10 let pro účetní doklady apod.).

6. Cookies a podobné technologie

Pokud web používá cookies, uveďte jejich přehled a účel (nezbytné, analytické, marketingové) a způsob správy souhlasu. Pokud cookies nepoužíváte, tuto sekci můžete odstranit.

7. Vaše práva

Máte právo:

• na přístup ke svým osobním údajům,
• na opravu nepřesných údajů,
• na výmaz (v případech stanovených GDPR),
• na omezení zpracování,
• na přenositelnost údajů,
• vznést námitku proti zpracování,
• odvolat souhlas kdykoli (pokud je zpracování založeno na souhlasu).

8. Jak práva uplatnit a kam podat stížnost

Své požadavky můžete zaslat na e-mail info@webilio.cz. Odpovíme bez zbytečného odkladu, nejpozději ve lhůtě stanovené právními předpisy.

Pokud se domníváte, že se zpracováním osobních údajů nakládáme v rozporu s právními předpisy, můžete podat stížnost u dozorového úřadu: Úřad pro ochranu osobních údajů (ÚOOÚ).

9. Předávání údajů mimo EU/EHP

Pokud využíváme služby dodavatelů mimo EU/EHP, činíme tak pouze při zajištění odpovídající úrovně ochrany (např. standardní smluvní doložky). Pokud takové předávání neprobíhá, uveďte to výslovně.

10. Zabezpečení údajů a ochrana citlivých dat

Přijímáme technická a organizační opatření odpovídající rizikům, aby byly osobní údaje – včetně citlivých dat (např. přihlašovací údaje, OAuth tokeny třetích stran, kontaktní údaje zákazníků, údaje o rezervacích) – chráněny proti neoprávněnému přístupu, ztrátě, změně nebo zveřejnění.

Konkrétně aplikujeme zejména následující mechanismy:

• Šifrování při přenosu (in transit): veškerá komunikace mezi prohlížečem zákazníka, naším serverem a třetími stranami probíhá výhradně přes HTTPS / TLS 1.2+.
• Šifrování v klidu (at rest): databáze a souborové úložiště u našich poskytovatelů (Supabase / PostgreSQL, Google Cloud Storage) jsou šifrované na úrovni úložiště (AES-256).
• Hashování hesel: hesla uživatelů jsou ukládána výhradně jako jednosměrné hashe se solí (bcrypt / scrypt). Otevřené heslo se nikam neukládá ani nelogguje.
• OAuth tokeny třetích stran (Google, e-mailové brány apod.) jsou ukládány v zabezpečené databázi s kontrolou přístupu, používány výhradně serverovou stranou aplikace a nejsou předávány prohlížeči zákazníka.
• Řízení přístupu: přístup do administrace je chráněn relacemi (HTTP-only, Secure, SameSite cookies), rolemi a oprávněními uvnitř firmy. Přístup k produkčním datům má pouze úzký okruh oprávněných osob.
• Segregace dat: data každého zákazníka (firmy) jsou logicky oddělena pomocí identifikátoru nájemce (tenant ID), aby k nim nemohly přistupovat jiné firmy.
• Validace a sanitace vstupů: všechny vstupy jsou validovány na serveru, aby se předešlo SQL injection, XSS a podobným útokům.
• Omezení rozsahu dat (data minimization): zpracováváme pouze údaje nezbytné pro daný účel a citlivé údaje (např. obsah platebních karet) sami neuchováváme – ty zpracovávají certifikovaní poskytovatelé platebních služeb.
• Logování a monitoring: přístupy a chybové stavy jsou logovány v rozsahu nezbytném pro provoz a bezpečnostní audit; logy neobsahují hesla ani tokeny v otevřené podobě.
• Zálohování: pravidelné automatické zálohy databáze umožňující obnovu v případě incidentu.
• Aktualizace a hardening: průběžné bezpečnostní aktualizace serverového software a knihoven, sledování bezpečnostních upozornění závislostí.
• Reakce na incidenty: v případě podezření na bezpečnostní incident postupujeme dle interního postupu a v zákonem stanovených případech informujeme dozorový úřad i dotčené subjekty údajů.

Pokud uživatel zjistí jakoukoli zranitelnost nebo má podezření na zneužití svých údajů, žádáme o nahlášení na e-mail info@webilio.cz.

11. Integrace umělé inteligence (AI)

Pro funkci interní nápovědy / chatu („help chat") využíváme službu třetí strany OpenAI (OpenAI, L.L.C., USA), konkrétně model rodiny GPT dostupný přes API api.openai.com. Nevyvíjíme ani neprovozujeme vlastní AI model.

• Jaká data jsou předávána: pouze obsah zprávy, kterou uživatel sám zadá do help chatu, a nezbytný kontext potřebný pro odpověď (např. název aktuální stránky v aplikaci). Údaje zákazníků z rezervací, hesla, platební údaje ani OAuth tokeny do AI služby neposíláme.
• Účel: generování odpovědí na dotazy uživatele týkající se používání aplikace.
• Právní základ: oprávněný zájem na poskytnutí podpory, případně plnění smlouvy o užívání aplikace.
• Zpracování OpenAI: v souladu s pravidly OpenAI nejsou data odeslaná přes API standardně používána pro trénink modelů. Více v zásadách OpenAI: openai.com/policies/privacy-policy.
• Předání mimo EU/EHP: OpenAI je se sídlem v USA – předání probíhá na základě standardních smluvních doložek (SCC).
• Souhlas: pokud si nepřejete využívat AI help chat, jednoduše ho nepoužívejte – aplikace je plně funkční i bez něj.

12. Integrace s Google API (Google Calendar)

Aplikace volitelně integruje Google Calendar API pro vytváření, úpravu a mazání kalendářových událostí odpovídajících rezervacím v účtu Google uživatele, který tuto integraci aktivuje.

• Požadovaný rozsah (scope): https://www.googleapis.com/auth/calendar.events – výhradně pro správu událostí vytvářených naší aplikací.
• Použití dat z Google účtu: přístup používáme jen k tomu, aby v kalendáři uživatele vznikla / byla aktualizovaná / smazaná událost odpovídající konkrétní rezervaci. Žádná další data z Google účtu nečteme.
• Uchování OAuth tokenů: přístupový a obnovovací token Google jsou uloženy v naší zabezpečené databázi (šifrované úložiště, řízený přístup, viz čl. 10) a používány pouze serverovou stranou aplikace.
• Odvolání souhlasu: integraci lze kdykoli odpojit v nastavení aplikace nebo přímo v Google účtu na adrese myaccount.google.com/permissions. Po odpojení tokeny smažeme.
• Limited Use / Google API Services User Data Policy: používání dat získaných přes Google API odpovídá zásadám Google API Services User Data Policy včetně požadavků na Limited Use. Data z Google účtu nepředáváme třetím stranám, nepoužíváme je pro reklamu, neumožňujeme jejich čtení lidskými operátory s výjimkou případů, kdy je to nezbytné pro zabezpečení, vyžaduje to zákon nebo k tomu uživatel udělil výslovný souhlas, a nezpracováváme je pomocí AI modelů.

13. Změny těchto zásad

Tyto zásady můžeme průběžně aktualizovat. Aktuální verze je vždy dostupná na této stránce. Datum účinnosti: [doplňte datum].

14. Související dokument

Podmínky používání rezervačního formuláře najdete zde: Podmínky a pravidla použití.