Zásady ochrany osobních údajů

Poslední aktualizace: 2026-05-14 · Datum účinnosti: bude doplněno (po schválení právním zástupcem)

Pracovní verze — zatím neúčinné

Tento dokument je pracovní verze čekající na revizi (externí právní zástupce). Není vymahatelný, dokud se níže uvedené datum účinnosti nenahradí konkrétním datem. U obchodních závazků se řiďte podepsanou smlouvou, kterou zasíláme spolu s objednávkou. Datum účinnosti: Bude doplněno — přijme se po schválení právníkem.

Tyto zásady vysvětlují, jak služba platform („platform“, „my“, „nás“) shromažďuje a využívá osobní údaje. Jsou zpracovány v souladu s obecným nařízením EU o ochraně osobních údajů (GDPR) a českým zákonem č. 110/2019 Sb.; pokud se nacházíte jinde, uplatní se odpovídající místní práva.

1. Kdo jsme

Službu platform provozuje společnost Advisio s.r.o., česká společnost s ručením omezeným se sídlem v Praze (kancelář v Ostravě), IČO/identifikační číslo bude potvrzeno v uzavřené objednávce. Jsme správcem údajů, které nám sdělujete za účelem registrace a provozu vašeho účtu, a zpracovatelem analytických a reklamních údajů, které prostřednictvím služby připojujete jménem svých vlastních zákazníků. Toto rozdělení je podrobně popsáno v našem Dodatku o zpracování osobních údajů (DPA).

Kontakt pro ochranu osobních údajů: privacy@advisio.cz. Na jakoukoli žádost reagujeme do 30 dnů.

2. Co shromažďujeme

Zpracováváme čtyři úzce vymezené kategorie osobních údajů:

  • Údaje účtu — váš pracovní e-mail, celé jméno, jazyk a časové pásmo, hash hesla (Argon2id), stav nastavení dvoufaktorového ověření (2FA) a seed TOTP (pouze na straně serveru) a vaši roli v organizaci zákazníka.
  • Přihlašovací údaje — obnovovací tokeny OAuth a API klíče třetích stran, které připojujete za účelem načítání dat z reklamních platforem. Šifrovány v klidu pomocí datového šifrovacího klíče pro každý záznam (obálkové šifrování) zabaleného hlavním klíčem platformy.
  • Auditní záznam — přírůstkový (append-only) záznam významných akcí (přihlášení, změny konfigurace, životní cyklus přihlašovacích údajů, vystupování interních zaměstnanců pod identitou uživatele). Slouží k forenznímu šetření a k historii změn dostupné zákazníkům.
  • Metadata připojeného účtu + agregované metriky — reklamní a analytický výkon načtený z platforem, které připojíte (Google Ads, GA4, Meta, Sklik, Heureka, …). Načítáme agregované denní metriky podle kampaní; osobní údaje o vašich koncových uživatelích nenačítáme.

3. Právní základ (článek 6 GDPR)

  • Plnění smlouvy — provoz služby, kterou jste si předplatili (čl. 6 odst. 1 písm. b)).
  • Oprávněné zájmy — bezpečnost, prevence podvodů, auditní záznamy, základní produktová analytika interních administrátorských akcí (čl. 6 odst. 1 písm. f)).
  • Právní povinnost — fakturace, daňové záznamy a zákonná archivace (čl. 6 odst. 1 písm. c)).
  • Souhlas — pouze pro volitelné marketingové e-maily. Souhlas můžete kdykoli odvolat, aniž by to ovlivnilo přístup ke službě (čl. 6 odst. 1 písm. a)).

4. Doba uchovávání

Údaje uchováváme pouze po dobu, po kterou mají vymezený účel:

  • Údaje účtu — po dobu trvání vašeho předplatného plus 6 měsíců ochranné lhůty pro opětovnou aktivaci, poté jsou smazány.
  • Přihlašovací údaje — odvolány v okamžiku, kdy smažete připojený účet, nebo když je token třetí strany zneplatněn poskytovatelem.
  • Auditní záznam — 90 dní „hot“ v Postgresu, poté archivován do šifrovaného „cold“ úložiště; celková doba uchovávání 7 let z daňových a zákonných důvodů.
  • Denní reklamní metriky — 5 let (TTL date + INTERVAL 5 YEAR), poté je oddíl automaticky zrušen.
  • Zálohy — denní dumpy Postgresu uchovávané 7 dní, týdenní 4 týdny, měsíční 6 měsíců, poté přepsány.

5. Kde jsou data hostována

Veškerá produkční data jsou hostována v rámci Evropské unie (Hetzner Online GmbH, Falkenstein / Helsinki). Denní metriky jsou uloženy v ClickHouse ve stejném fyzickém regionu; nic není přenášeno do míst mimo EU, pokud to výslovně nevyžaduje subzpracovatel, a v takovém případě používáme standardní smluvní doložky (SCC) a Rámec EU-USA pro ochranu osobních údajů (Data Privacy Framework), kde je to relevantní.

6. Subzpracovatelé

K poskytování služby využíváme krátký seznam dodavatelů (hosting, CDN/DNS, monitoring chyb, fakturace). Úplný seznam, účel, sdílená data a umístění jsou veřejně dostupné na naší stránce subzpracovatelů. O přidání nebo nahrazení jakéhokoli subzpracovatele vás informujeme 30 dní předem; můžete vznést námitku v souladu s vaším DPA.

7. Vaše práva

V souladu s GDPR máte právo na:

  • Přístup ke kopii svých údajů (čl. 15) — samoobslužně prostřednictvím GET /api/v1/auth/me/export/ po přihlášení, nebo zasláním e-mailu na privacy@advisio.cz.
  • Opravu nepřesných údajů (čl. 16) — upravte na stránce svého profilu.
  • Výmaz svého účtu a všech propojených osobních údajů (čl. 17) — smažte svůj účet v Nastavení nebo nám napište.
  • Omezení zpracování po dobu sporu (čl. 18).
  • Přenositelnost svých údajů ve strojově čitelném formátu (čl. 20).
  • Vznesení námitky proti zpracování založenému na oprávněných zájmech (čl. 21).
  • To, abyste nebyli předmětem automatizovaného rozhodování s právními účinky (čl. 22) — toto neprovádíme.
  • Podání stížnosti u Úřadu pro ochranu osobních údajů (uoou.cz).

8. Soubory cookie

Používáme pouze nezbytné soubory cookie (relace, CSRF, jazyk). Žádné sledovací cookies, žádné reklamní pixely na našem marketingovém webu. Pokud později přidáme analytický nebo marketingový soubor cookie, vyžádáme si souhlas prostřednictvím lišty splňující standardy dříve, než bude nastaven jakýkoli nezbytný soubor cookie nad rámec nezbytných.

9. Zabezpečení

Konkrétní opatření, která dnes uplatňujeme:

  • TLS 1.3 při přenosu, šifrování v klidu pomocí DEK pro každý záznam zabalených hlavním klíčem.
  • Hashování hesel Argon2id; povinné 2FA pro interní zaměstnance.
  • Zabezpečení na úrovni řádků (row-level security) v Postgresu u každé tabulky vázané na tenanta.
  • Přírůstkový (append-only) auditní záznam se spouštěči na úrovni databáze blokujícími UPDATE/DELETE.
  • Denní šifrované zálohy; čtvrtletní zkoušky obnovy.

Více podrobností je v Příloze 2 DPA.

10. Děti

Služba je prodávána v režimu B2B a není určena pro osoby mladší 16 let. Vědomě nezpracováváme údaje nezletilých. Pokud zjistíme, že se tak stalo, údaje smažeme.

11. Změny těchto zásad

O podstatných změnách vás informujeme e-mailem a vnitroaplikační lištou nejméně 14 dní před nabytím jejich účinnosti. Historie změn je zaznamenána ve veřejném repozitáři, takže si může kdokoli prohlédnout rozdíly.