Ochrana soukromí

1. Úvod

Služba mamdukaz.cz (dále jen "Služba") respektuje vaše soukromí a zavazuje se chránit vaše osobní údaje v souladu s nařízením GDPR a zákonem o ochraně osobních údajů. Tato zásada popisuje, jaké údaje sbíráme, jak je používáme a jaká máte práva.

2. Správce osobních údajů

Správcem osobních údajů je provozovatel služby mamdukaz.cz.

Pro dotazy týkající se zpracování osobních údajů nás můžete kontaktovat na výše uvedeném e-mailu.

3. Jaké údaje sbíráme

V rámci poskytování služby zpracováváme následující osobní údaje:

• Identifikační údaje (jméno, příjmení, IČO, DIČ)
• Kontaktní údaje (e-mailová adresa, telefon)
• Údaje o doručení (čas odeslání, doručení, otevření, potvrzení, IP adresa, zařízení, user agent)
• Auditní záznamy (logy přihlášení, IP adresy, zařízení, akce)
• Autentizační údaje (hash hesla, 2FA klíče, záložní kódy)
• Platní údaje (pro fakturaci, neukládáme údaje o platních kartách)
• Metadata dokumentů (názvy souborů, velikosti, typy, nikoliv obsah)

Důležité: Obsah vašich PDF dokumentů (dobropisů a výzev) neukládáme. Dokumenty jsou pouze přeposílány příjemci a po doručení nejsou na našich serverech uchovávány.

4. Účel zpracování

Vaše osobní údaje zpracováváme pro následující účely:

• Poskytování služby prokazatelného doručení dobropisů a výzev k úhradě
• Elektronické podepisování PDF dokumentů
• Sledování doručení, otevření a potvrzení dokumentů
• Vytváření detailních auditních logů a protokolů
• Zabezpečení účtu (2FA, session management)
• Vystavování faktur a vedení účetnictví
• Komunikace s uživateli (podpora, notifikace)
• Odesílání automatických připomínek
• Plnění právních povinností

5. Právní základ zpracování

Osobní údaje zpracováváme na základě:

• Plnění smlouvy (čl. 6 odst. 1 písm. b) GDPR) – poskytování služby prokazatelného doručení
• Právní povinnost (čl. 6 odst. 1 písm. c) GDPR) – archivace účetních dokladů, daňové povinnosti
• Oprávněný zájem (čl. 6 odst. 1 písm. f) GDPR) – zabezpečení služby, prevence podvodů, ochrana před zneužitím
• Souhlas (čl. 6 odst. 1 písm. a) GDPR) – pro marketingovou komunikaci (newsletter)

6. Jak dlouho data uchováváme

Osobní údaje uchováváme pouze po nezbytně nutnou dobu. Konkrétní lhůty jsou:

• Aktivní účet: Po dobu trvání služby a využívání účtu
• Auditní záznamy emailů: 5 let od vytvoření záznamu (záruční lhůta 24 měsíců + promlčecí lhůta 3 roky podle § 629 občanského zákoníku)
• Fakturační údaje: 10 let (dle zákona č. 563/1991 Sb., o účetnictví)
• Neaktivní účty: Automatický výmaz po 2 letech nečinnosti (po předchozím upozornění)
• Session logy: 90 dní od vytvoření
• Newsletter: Do odvolání souhlasu (odhlášení)

Po uplynutí příslušné lhůty jsou údaje bezpečně a nevratně vymazány z našich systémů včetně všech záloh.

7. Zabezpečení údajů

Bezpečnost vašich údajů je pro nás prioritou. Přijali jsme následující technická a organizační opatření:

• Šifrování: Veškerá data jsou šifrována při přenosu (TLS/SSL 1.3) i v úložišti (at-rest encryption)
• Dvoufaktorová autentizace (2FA): Povinné pro všechny uživatele pomocí TOTP (Google Authenticator, Authy)
• Audit log: Kompletní záznam všech přístupů k datům a provedených akcí s časovými značkami a IP adresami
• Bezpečnostní zálohy: Pravidelné automatické zálohy s šifrováním, uchovávané geograficky odděleně
• Hashování hesel: Hesla jsou uložena pomocí moderního hashing algoritmu (bcrypt) a nejsou zpětně dešifrovatelná
• Monitoring: Nepřetržité monitorování podezřelé aktivity a automatická detekce bezpečnostních hrozeb
• Ochrana dokumentů: PDF dokumenty nejsou trvale uchovávány na serverech, pouze přeposílány příjemcům
• Omezený přístup: Přístup k osobním údajům mají pouze oprávněné osoby na základě principu "need to know"

8. Zpracovatelé (subdodavatelé)

Pro poskytování naší služby spolupracujeme s následujícími zpracovateli osobních údajů:

S každým zpracovatelem máme uzavřenou smlouvu o zpracování osobních údajů (DPA – Data Processing Agreement) podle čl. 28 GDPR, která zajišťuje stejnou úroveň ochrany vašich osobních údajů jako my sami. Všichni zpracovatelé jsou povinni dodržovat GDPR a implementovat vhodná technická a organizační opatření.

9. Mezinárodní přenosy údajů

Veškerá vaše data jsou uložena výhradně v Evropské unii v certifikovaných datacenterech našich zpracovatelů. Nepoužíváme služby mimo Evropskou unii a nedochází k žádným přenosům osobních údajů do třetích zemí mimo EU/EHP.

Tímto je zajištěna maximální úroveň ochrany podle GDPR bez nutnosti dodatečných záruk pro mezinárodní přenosy.

10. Vaše práva

V souvislosti se zpracováním osobních údajů máte následující práva podle GDPR:

• Právo na přístup k údajům (čl. 15) – můžete požádat o kopii všech vašich osobních údajů
• Právo na opravu (čl. 16) – můžete opravit nesprávné nebo neúplné údaje
• Právo na výmaz (čl. 17) – "právo být zapomenut" (s výjimkami uvedenými níže)
• Právo na omezení zpracování (čl. 18) – můžete požádat o dočasné pozastavení zpracování
• Právo na přenositelnost údajů (čl. 20) – můžete získat strukturovaný export dat ve strojově čitelném formátu
• Právo vznést námitku (čl. 21) – zejména proti zpracování pro marketingové účely
• Právo podat stížnost (čl. 77) – u Úřadu pro ochranu osobních údajů (www.uoou.cz)

Jak uplatnit svá práva:
Pro uplatnění kteréhokoliv z výše uvedených práv nás kontaktujte na e-mailu hello@mamdukaz.cz. Vaši žádost vyřídíme bez zbytečného odkladu, nejpozději do 30 dnů od obdržení.

11. Cookies

Informace o používání cookies najdete v našich zásadách používání cookies.

12. Změny zásad

Tyto zásady ochrany soukromí můžeme čas od času aktualizovat v souladu se změnami právních předpisů nebo našich služeb. O významných změnách vás budeme informovat e-mailem nebo prostřednictvím výrazného upozornění na webu minimálně 30 dní před nabytím účinnosti změn. Datum poslední aktualizace je vždy uvedeno v záhlaví tohoto dokumentu.

13. Kontakt

Pro uplatnění svých práv nebo dotazy týkající se ochrany osobních údajů nás kontaktujte: