1. Přehled

Tyto Zásady ochrany osobních údajů popisují, jak společnost Dragnex LLC ("my" nebo "nás") shromažďuje, používá, sdílí a chrání osobní údaje, když používáte aplikaci VelixAI (dále jen "Aplikace"). Řídíme se obecným nařízením o ochraně osobních údajů EU (GDPR), britským GDPR a dalšími platnými předpisy na ochranu soukromí v jurisdikcích, kde působíme.

• Správce údajů: Dragnex LLC, 32 N Gould St., Sheridan, WY 82801, USA
• Kontakt pro záležitosti ochrany soukromí: info@velixai.com
• Pověřenec pro ochranu osobních údajů (DPO): Nejmenován.
• Zástupce v EU (čl. 27 GDPR): Radim Kopp, info@velixai.com, +420 602 760 891

Pokud jste subjektem údajů v EU/EHP, kontaktujte nás prosím přímo na info@velixai.com nebo prostřednictvím zabezpečeného formuláře na adrese https://velixai.com/privacy-request. Váš požadavek potvrdíme, navážeme na něj dalšími kroky a můžete se také obrátit na našeho zástupce v EU prostřednictvím výše uvedených údajů.

2. Jaké údaje shromažďujeme

Shromažďujeme pouze údaje nezbytné k poskytování funkcí Aplikace stávajícím klientům VelixAI. V Aplikaci neshromažďujeme platební údaje a nezobrazujeme reklamu.

2.1 Kategorie údajů

3. Jak osobní údaje používáme

• Poskytování, provoz, údržba a zlepšování Aplikace a funkcí klientského portálu.
• Ověřování a zabezpečení účtů; prevence podvodů a zneužití.
• Komunikace provozních oznámení a odpovědi na požadavky podpory.
• Odesílání push notifikací pouze v případě, že s tím souhlasíte (souhlas můžete kdykoli odvolat v nastavení zařízení nebo v Aplikaci, pokud je tato možnost dostupná).
• Plnění zákonných povinností a prosazování našich Podmínek.

4. Právní základy podle GDPR/UK GDPR

• Smlouva (čl. 6 odst. 1 písm. b)): poskytování Aplikace a služeb klientského portálu.
• Oprávněné zájmy (čl. 6 odst. 1 písm. f)): zabezpečení našich služeb, prevence zneužití, základní měření používání, zlepšování kvality a řešení podpory.
• Souhlas (čl. 6 odst. 1 písm. a)): pro push notifikace a všechny volitelné funkce, které jej vyžadují. Souhlas můžete kdykoli odvolat.
• Právní povinnost (čl. 6 odst. 1 písm. c)): plnění zákonných povinností, soudních rozhodnutí nebo požadavků dozorových orgánů.

5. Sdílení údajů a zpracovatelé

Osobní údaje sdílíme pouze s poskytovateli služeb, kteří nám pomáhají Aplikaci provozovat. Jednají jako zpracovatelé na základě našich pokynů a smluvně se zavazují chránit vaše údaje:

5.1 Infrastrukturní poskytovatelé

• Vercel Inc. – Cloudová platforma pro hosting webové aplikace VelixAI. Zpracovává aplikační data, zobrazení stránek a výkonnostní metriky. Data jsou ukládána ve Frankfurtu nad Mohanem, Německo (region EU). Zásady ochrany osobních údajů | DPA
• Supabase – Spravovaná služba PostgreSQL databáze, autentizace a úložiště. Zpracovává veškerá aplikační data. Zásady ochrany osobních údajů | DPA
• Contabo – Hosting virtuálních privátních serverů pro infrastrukturu našeho hlasového asistenta. Zpracovává konfigurace asistentů a data směrování hovorů. Servery jsou umístěny v Německu. Zásady ochrany osobních údajů | DPA

5.2 Komunikační služby

• OneSignal – Spravuje tokeny zařízení pro push notifikace a doručuje oznámení uživatelům, kteří s tím souhlasili. Zásady ochrany osobních údajů | DPA
• Twilio – Poskytuje přidělování telefonních čísel, směrování hovorů a SMS služby. Zásady ochrany osobních údajů | DPA
• Resend – Doručuje transakční e-maily (upozornění k účtu, reset hesla apod.). Zásady ochrany osobních údajů | DPA
• Tawk.to – Poskytuje živý chat a zpracování ticketů podpory. Zásady ochrany osobních údajů | DPA

5.3 Analytické služby

• Vercel Analytics – Shromažďuje anonymizovaná data o používání, která nám pomáhají pochopit, jak uživatelé s aplikací pracují, a identifikovat oblasti ke zlepšení. Zahrnuje:
  • Vercel Analytics: Zobrazení stránek, délka relace, vzorce navigace
  • Vercel Speed Insights: Časy načítání stránek, výkonnostní metriky
  • Vercel Web Vitals: Core Web Vitals (LCP, FID, CLS)

  Právní základ: Souhlas (čl. 6 odst. 1 písm. a) GDPR). Svůj souhlas můžete kdykoli odvolat v nastavení soukromí.

  Uložení dat: Frankfurt nad Mohanem, Německo (EU)

  Doba uchování: 12 měsíců

  Zásady ochrany osobních údajů | DPA

5.4 Zpracování plateb

• Stripe – Zpracovává fakturaci a platební informace. Stripe je certifikován na úrovni PCI-DSS Level 1 a udržuje nejvyšší standardy bezpečnosti plateb. Zásady ochrany osobních údajů | DPA

5.5 Povinnosti zpracovatelů

Všichni zpracovatelé jsou povinni:

• Zpracovávat osobní údaje pouze na základě našich zdokumentovaných pokynů
• Provádět vhodná technická a organizační bezpečnostní opatření
• Pomáhat nám při plnění žádostí subjektů údajů o výkon jejich práv
• Oznámit nám bez zbytečného odkladu jakékoli porušení zabezpečení osobních údajů
• Po ukončení zpracování osobní údaje vymazat nebo vrátit
• Umožnit audity a poskytovat informace o svých zpracovatelských činnostech

5.6 Smlouvy o zpracování údajů

Se všemi zpracovateli uzavíráme smlouvy o zpracování osobních údajů (Data Processing Agreements, DPA), které stanoví jejich povinnosti podle GDPR. Pokud jsou zpracovatelé umístěni mimo EU/EHP, uzavíráme rovněž standardní smluvní doložky EU (Standard Contractual Clauses, SCC) k zajištění odpovídajících záruk pro mezinárodní předávání údajů.

Osobní údaje neprodáváme. Osobní údaje nesdílíme s třetími stranami za účelem jejich vlastního marketingu.

6. Uložení údajů a mezinárodní předávání

6.1 Kde jsou vaše údaje ukládány

VelixAI zpracovává osobní údaje pomocí kombinace infrastrukturních poskytovatelů a služeb třetích stran. Geografické umístění uložených údajů se liší podle konkrétní služby:

Primární infrastruktura

• Vercel (hosting webové aplikace): Naše webová aplikace je hostována na cloudové platformě Vercel ve Frankfurtu nad Mohanem, Německo (Evropská unie). To zajišťuje, že data webové aplikace zůstávají v EU.
• Supabase (databáze): Naše primární databáze je hostována službou Supabase. Konkrétní region (EU nebo USA) závisí na naší konfiguraci. Přednostně volíme datová centra v EU, pokud je to možné, abychom minimalizovali mezinárodní předávání údajů.
• Contabo (server asistenta): Infrastruktura našeho hlasového asistenta je hostována na serverech Contabo umístěných v Německu (Evropská unie).

Poskytovatelé služeb třetích stran

Používáme následující služby třetích stran, které mohou vaše údaje zpracovávat:

• Vercel Analytics (analýza používání): Frankfurt nad Mohanem, Německo (EU) – shromažďuje anonymizovaná data o používání na základě vašeho souhlasu, aby nám pomohla zlepšovat aplikaci.
• OneSignal (push notifikace): Spojené státy – spravuje tokeny zařízení pro push notifikace a doručuje oznámení uživatelům, kteří s tím souhlasili.
• Twilio (telefonie): Spojené státy (s dostupnými regionálními datovými centry) – poskytuje přidělování telefonních čísel a směrování hovorů.
• Stripe (zpracování plateb): Spojené státy a EU (regionálně) – zpracovává fakturaci a platební informace.
• Resend (doručování e-mailů): Spojené státy – doručuje transakční e-maily.
• Tawk.to (podpora a chat): Spojené státy – poskytuje živý chat a správu ticketů podpory.

6.2 Mezinárodní předávání osobních údajů

Osobní údaje mohou být zpracovávány v zemích mimo vaši zemi, včetně Spojených států. Pokud předáváme osobní údaje z EU/EHP/UK do zemí, pro které nebylo vydáno rozhodnutí o odpovídající ochraně, zavádíme vhodná opatření k ochraně vašich údajů:

Zajištění přenosu

• Standardní smluvní doložky (SCC): Se všemi zpracovateli, kteří předávají údaje mimo EU/EHP, máme uzavřeny standardní smluvní doložky EU (verze 2021). Jedná se o smluvní závazky schválené Evropskou komisí, které poskytují odpovídající záruky pro vaše osobní údaje.
• UK International Data Transfer Addendum: Pro předávání z UK používáme doplněk UK IDTA společně se SCC nebo místo nich, pokud je to vhodné.
• Smlouvy o zpracování údajů (DPA): Udržujeme podepsané DPA se všemi zpracovateli, která specifikují jejich povinnosti při zpracování údajů, bezpečnostní opatření a pomoc s uplatňováním práv subjektů údajů.

Doplňková technická opatření

Kromě smluvních záruk zavádíme technická a organizační opatření k ochraně údajů předávaných do zahraničí:

• Šifrování: Všechna data jsou šifrována při přenosu (TLS 1.2+) i v klidu (AES-256 nebo ekvivalent).
• Řízení přístupu: Přísné řízení přístupových oprávnění omezuje, kdo může k osobním údajům přistupovat.
• Autentizace: Tam, kde je to možné, vyžadujeme vícefaktorové ověřování.
• Minimalizace údajů: Předáváme pouze takové údaje, které jsou nezbytné pro konkrétní účel.
• Bezpečnostní certifikace: Naši zpracovatelé udržují průmyslové standardy certifikací (např. SOC 2, ISO 27001, PCI-DSS, pokud je relevantní).
• Pravidelné audity: Pravidelně přezkoumáváme bezpečnostní opatření a soulad zpracovatelů.

6.3 Vaše práva v souvislosti s mezinárodními přenosy

Máte právo získat informace o zárukách, které používáme pro mezinárodní předávání osobních údajů. Můžete požadovat:

• Kopii standardních smluvních doložek, které jsme uzavřeli se zpracovateli
• Informace o doplňkových opatřeních, která jsme zavedli
• Podrobnosti o konkrétních zpracovatelích a místech uložení jejich dat

Pro získání těchto informací nás kontaktujte na info@velixai.com. Požadované informace poskytneme do 30 dnů, s ohledem na případné povinnosti mlčenlivosti.

6.4 Možnosti uložení dat v EU

Pokud je to technicky možné, konfigurujeme naše služby tak, aby využívaly datová centra v EU a minimalizovalo se tak mezinárodní předávání údajů. U služeb, které nabízejí regionální volby pro uložení dat (například Twilio a Stripe), vyhodnocujeme a zavádíme uložení dat v EU tam, kde to přináší smysluplné přínosy z hlediska ochrany soukromí a současně to neohrožuje kvalitu služby.

7. Bezpečnostní opatření

Uplatňujeme přiměřená a vhodná bezpečnostní opatření, včetně šifrování při přenosu a v klidu (pokud je podporováno), řízení přístupu, monitoringu, záloh a správy zranitelností. Žádný způsob přenosu nebo uložení dat není 100% bezpečný; pokud by porušení zabezpečení představovalo riziko pro vaše práva, budeme vás i příslušné dozorové orgány informovat v souladu s právními požadavky.

7.1 Komplexní auditní logy

Pro zajištění odpovědnosti a transparentnosti našich činností zpracování udržujeme komplexní auditní záznamy o veškerém přístupu k osobním údajům a zpracování osobních údajů. Tyto auditní logy zaznamenávají:

• Přístupy k údajům: Vždy, když jsou osobní údaje zobrazeny, zpřístupněny nebo načteny
• Změny údajů: Všechny aktualizace, změny nebo úpravy osobních údajů
• Vymazání údajů: Kdy jsou osobní údaje smazány nebo anonymizovány
• Exporty údajů: Kdy jsou osobní údaje exportovány nebo staženy
• Administrativní akce: Úkony provedené administrátory na uživatelských účtech
• Změny souhlasu: Kdy aktualizujete své preference ochrany soukromí nebo nastavení souhlasu

Každý záznam v auditním logu obsahuje: časové razítko akce, uživatele, jehož údaje byly přístupné, osobu nebo proces, který akci provedl (u administrativních akcí), typ akce, dotčenou kategorii dat, IP adresu a informace o zařízení. Auditní logy uchováváme po dobu 12 měsíců a používáme je k:

• Prokazování souladu s článkem 30 GDPR (záznamy o činnostech zpracování)
• Vyšetřování bezpečnostních incidentů a možných porušení zabezpečení osobních údajů
• Reakci na žádosti subjektů údajů o přístup
• Monitorování neoprávněného přístupu nebo podezřelé aktivity
• Zajištění transparentnosti v tom, jak jsou vaše údaje zpracovávány

Máte právo požádat o kopii auditních záznamů vztahujících se k vašim osobním údajům kontaktováním info@velixai.com.

7.2 Monitorování neúspěšných přihlášení

Abychom chránili váš účet před neoprávněným přístupem a útoky hrubou silou, zaznamenáváme všechna přihlášení, včetně neúspěšných pokusů. Logy neúspěšných přihlášení obsahují:

• E-mailovou adresu použitou při pokusu o přihlášení (hashovanou pro zvýšení ochrany soukromí)
• Časové razítko pokusu
• Důvod neúspěchu (např. nesprávné heslo, účet nenalezen)
• IP adresu a informace o zařízení, ze kterého byl pokus proveden

Logy neúspěšných přihlášení používáme k:

• Detekci a prevenci útoků hrubou silou na uživatelské účty
• Identifikaci kompromitovaných účtů nebo pokusů o zneužití přihlašovacích údajů
• Spouštění automatických bezpečnostních upozornění při zjištění podezřelých vzorců
• Plnění požadavků článku 32 GDPR (bezpečnost zpracování)

Pokud zjistíme více než 10 neúspěšných pokusů o přihlášení v průběhu 1 hodiny pro jakýkoli účet, automaticky vytvoříme bezpečnostní upozornění a můžeme dočasně omezit pokusy o přihlášení z podezřelé IP adresy. Logy neúspěšných přihlášení uchováváme po dobu 12 měsíců.

7.3 Automatizovaná detekce narušení bezpečnosti

Provozujeme automatizovaný systém detekce narušení bezpečnosti, který nepřetržitě monitoruje podezřelou aktivitu, jež může naznačovat únik dat nebo bezpečnostní incident. Náš systém sleduje zejména:

• Útoky hrubou silou: Více neúspěšných pokusů o přihlášení z jedné IP adresy
• Odčerpávání dat: Neobvyklé vzorce hromadného exportu nebo stahování dat
• Neoprávněný přístup: Přístup k velkému množství záznamů v krátkém časovém období
• Eskalaci oprávnění: Pokusy o přístup k datům nebo funkcím nad rámec udělených oprávnění

Pokud systém zjistí podezřelou aktivitu, provede:

• Okamžité upozornění našeho bezpečnostního týmu a administrátorů
• Vytvoření podrobného bezpečnostního hlášení s počtem dotčených uživatelů a doporučenými kroky
• Sledování 72hodinové lhůty pro oznámení porušení podle článku 33 GDPR
• Logování všech kroků vyšetřování a reakce

Pokud je porušení zabezpečení potvrzeno a představuje riziko pro vaše práva a svobody, vyrozumíme vás i příslušný dozorový úřad do 72 hodin, jak požaduje článek 33 GDPR.

8. Sběr údajů v mobilní aplikaci

8.1 Specifická data z mobilní aplikace

Při používání mobilní aplikace VelixAI (dostupné pro iOS a Android) shromažďujeme dodatečné údaje specifické pro mobilní zařízení, abychom mohli poskytovat funkce aplikace a zlepšovat vaše uživatelské prostředí. Veškerý sběr údajů v mobilní aplikaci podléhá vašemu výslovnému souhlasu prostřednictvím našeho systému správy souhlasu.

8.2 Tokeny pro push notifikace

Pokud v mobilní aplikaci udělíte souhlas s push notifikacemi, shromažďujeme a ukládáme:

• Token pro push notifikace zařízení: Jedinečný identifikátor poskytovaný Applem (iOS) nebo Googlem (Android), který nám umožňuje odesílat push notifikace na vaše zařízení
• Platformu: Zda používáte iOS nebo Android
• Preferenci notifikací: Vaše volby ohledně typů oznámení, která chcete dostávat
• Stav tokenu: Zda je token aktivní, expirovaný nebo odhlášený

Právní základ: Souhlas (čl. 6 odst. 1 písm. a) GDPR). Souhlas můžete kdykoli odvolat vypnutím push notifikací v nastavení aplikace nebo v nastavení vašeho zařízení.

Doba uchování: Tokeny uchováváme do doby, než se odhlásíte, nebo po dobu 24 měsíců neaktivity – podle toho, co nastane dříve.

Zpracování třetí stranou: Tokeny pro push notifikace zpracovává OneSignal, náš poskytovatel služby push notifikací. OneSignal vystupuje jako zpracovatel údajů, jedná na základě našich pokynů a je vázán smlouvou o zpracování údajů (DPA). Další informace o OneSignal najdete v části 5.

8.3 Informace o zařízení

Při používání mobilní aplikace automaticky shromažďujeme informace o zařízení, abychom zajistili kompatibilitu, řešili problémy a zlepšovali výkon aplikace:

• Model zařízení: Výrobce a model vašeho zařízení (např. „iPhone 14 Pro“, „Samsung Galaxy S23“)
• Operační systém: Systém a jeho verze (např. „iOS 17.2“, „Android 14“)
• Verze aplikace: Verze aplikace VelixAI, kterou používáte
• ID zařízení: Jedinečný identifikátor vašeho zařízení (anonymizovaný a nepropojovaný s vaší osobní identitou)
• Rozlišení obrazovky: Velikost a rozlišení obrazovky vašeho zařízení
• Jazykové nastavení: Jazykové preference vašeho zařízení
• Typ sítě: Zda používáte WiFi nebo mobilní data

Právní základ: Oprávněné zájmy (čl. 6 odst. 1 písm. f) GDPR). Máme oprávněný zájem zajistit, aby aplikace na vašem zařízení fungovala správně, a řešit technické problémy.

Doba uchování: Informace o zařízení uchováváme po dobu 12 měsíců od jejich shromáždění.

8.4 Správa souhlasu v mobilní aplikaci

Při prvním otevření mobilní aplikace se zobrazí banner se souhlasem, který vysvětluje naše aktivity zpracování údajů a žádá vás o souhlas. Můžete zvolit:

• Přijmout: Udělit souhlas se všemi aktivitami zpracování (analytika a push notifikace)
• Odmítnout: Odmítnout souhlas s volitelným zpracováním (aplikace bude fungovat s jádrovými funkcemi)
• Přizpůsobit: Vybrat konkrétní aktivity zpracování, se kterými souhlasíte, v obrazovce Nastavení soukromí

Vaše volby souhlasu jsou uloženy lokálně ve vašem zařízení a synchronizovány s našimi servery. Nastavení souhlasu můžete kdykoli změnit v obrazovce Nastavení soukromí v aplikaci.

Co se stane, když souhlas udělíte:

• Souhlas s analytikou: Shromažďujeme údaje o používání aplikace za účelem zlepšování uživatelské zkušenosti
• Souhlas s notifikacemi: Inicializujeme OneSignal a můžeme vám zasílat push notifikace

Co se stane, když souhlas odmítnete:

• OneSignal není inicializován a žádné tokeny pro push notifikace se neshromažďují
• Neshromažďujeme volitelná analytická data
• Zůstává dostupná základní funkcionalita aplikace
• K dispozici jsou všechny funkce kromě push notifikací

8.5 Provozní logy mobilní aplikace

Pokud udělíte souhlas s analytikou, shromažďujeme údaje o používání mobilní aplikace, včetně:

• Zobrazení obrazovek: Jaké obrazovky v aplikaci navštěvujete
• Využívání funkcí: Jaké funkce a jak často používáte
• Délka relace: Jak dlouho aplikaci v rámci jedné relace používáte
• Interakce: Kliknutí na tlačítka, odeslané formuláře apod.
• Chybové události: Pády aplikace nebo chyby, na které narazíte

Právní základ: Souhlas (čl. 6 odst. 1 písm. a) GDPR) pro volitelnou analytiku. Oprávněné zájmy (čl. 6 odst. 1 písm. f) GDPR) pro logování chyb nezbytné k udržení stability aplikace.

Doba uchování: Logy používání mobilní aplikace uchováváme po dobu 12 měsíců.

8.6 Služby třetích stran specifické pro mobilní aplikaci

Kromě služeb uvedených v části 5 používá mobilní aplikace následující služby specifické pro mobilní prostředí:

• OneSignal: Doručování push notifikací (pouze pokud udělíte souhlas)
• Expo: Vývojový framework mobilní aplikace, který poskytuje základní funkce aplikace
• Apple Push Notification Service (APNs): Doručování push notifikací na iOS (pouze pokud udělíte souhlas)
• Firebase Cloud Messaging (FCM): Doručování push notifikací na Android (pouze pokud udělíte souhlas)

Každá z těchto služeb zpracovává osobní údaje pouze v rozsahu nezbytném k poskytování své konkrétní funkce. Se všemi zpracovateli třetích stran máme uzavřeny smlouvy o zpracování údajů (DPA). Odkazy na jejich zásady ochrany soukromí a DPA najdete v části 5.

8.7 Mobilní data v exportech údajů

Pokud požádáte o export údajů (viz část 9), export bude zahrnovat všechna data specifická pro mobilní aplikaci:

• Všechny tokeny pro push notifikace spojené s vaším účtem
• Veškeré informace o zařízení, které jsme shromáždili
• Všechny logy používání mobilní aplikace
• Všechny logy souhlasů v mobilní aplikaci ukazující, kdy a jak jste souhlas udělili nebo odvolali
• Časová razítka veškerého sběru mobilních dat

Mobilní data jsou v exportu jednoznačně označena, abyste je mohli snadno identifikovat.

8.8 Vymazání dat z mobilní aplikace

Pokud svůj účet smažete (viz část 10), smažou se také veškerá data specifická pro mobilní aplikaci:

• Tokeny pro push notifikace jsou odstraněny z naší databáze i z OneSignal
• Informace o zařízení jsou trvale smazány
• Logy používání mobilní aplikace jsou trvale smazány
• Logy souhlasů v mobilní aplikaci jsou trvale smazány
• Lokální úložiště na vašem zařízení je vymazáno (může být nutné ručně aplikaci odinstalovat)

Mobilní data můžete smazat také bez smazání celého účtu tím, že:

• Odhlásíte push notifikace (smažou se tokeny pro push notifikace)
• Odvoláte souhlas s analytikou (zastaví se sběr nových dat o používání)
• Odinstalujete aplikaci (vymaže se lokální úložiště)

9. Ověření věku a údaje dětí

9.1 Minimální věk

V souladu s článkem 8 GDPR (Podmínky platnosti souhlasu dítěte) vyžaduje VelixAI, aby všichni uživatelé byli alespoň 15 let staří. Při registraci musíte uvést datum narození, abychom ověřili, že tuto věkovou podmínku splňujete.

Pokud je vám méně než 15 let, nesmíte si účet vytvořit ani Aplikaci používat. Pokud zjistíme, že některý uživatel je mladší 15 let, okamžitě jeho účet deaktivujeme a osobní údaje vymažeme v souladu s požadavky GDPR.

9.2 Proč datum narození shromažďujeme

Datum narození shromažďujeme z následujících důvodů:

• Ověření věku: Abychom ověřili, že splňujete minimální věkovou hranici 15 let
• Soulad s GDPR: Abychom splnili požadavky článku 8 GDPR pro zpracování osobních údajů dětí
• Právní ochrana: Abychom chránili vás i VelixAI před možnými právními riziky spojenými se zpracováním údajů nezletilých

Datum narození používáme pouze pro účely ověření věku. Vypočítáváme váš věk, ale datum narození nepoužíváme k žádnému jinému účelu, včetně marketingu, profilování nebo automatizovaného rozhodování.

9.3 Jak chráníme údaje o věku

Datum narození považujeme za citlivý osobní údaj a chráníme ho zvýšenými bezpečnostními opatřeními:

• Šifrované uložení: Datum narození je uloženo v šifrovaném poli databáze
• Omezený přístup: K datu narození mají přístup pouze autorizované systémové procesy
• Auditní logy: Veškerý přístup k údajům o věku je logován (bez ukládání samotného data narození v logu)
• Žádné sdílení: Vaše datum narození nesdílíme s třetími stranami
• Doba uchování: Datum narození uchováváme pouze po dobu existence vašeho účtu a při smazání účtu jej odstraníme

9.4 Stávající uživatelé

Pokud jste si účet vytvořili před zavedením povinného ověření věku, budete při příštím přihlášení vyzváni k uvedení data narození. Jedná se o jednorázové ověření nutné pro soulad s GDPR. Dokud ověření věku neprovedete, nebudete mít k Aplikaci přístup.

Pokud je vám méně než 15 let, váš účet bude deaktivován a údaje budou vymazány v souladu s požadavky GDPR. Omlouváme se za případné komplikace, ale toto opatření je nezbytné pro dodržení předpisů na ochranu osobních údajů.

9.5 Děti mladší 16 let

Ačkoli umožňujeme používání aplikace osobám ve věku 15 a více let, chápeme, že některé jurisdikce vyžadují souhlas rodičů pro uživatele mladší 16 let. Pokud je vám 15 let a místní právní předpisy vyžadují souhlas rodičů, jste odpovědní za to, že tento souhlas před používáním Aplikace zajistíte.

Aplikace je určena pro firemní klientelu a není zaměřena na děti. Údaje dětí mladších 15 let vědomě neshromažďujeme. Pokud se domníváte, že nám dítě mladší 15 let poskytlo své údaje, kontaktujte nás na info@velixai.com.

10. Vaše práva (EU/EHP/UK)

Za podmínek stanovených zákonem máte právo:

• získat přístup ke svým osobním údajům a obdržet jejich kopii,
• opravit nepřesné nebo neúplné údaje,
• požadovat vymazání svých údajů (právo být zapomenut),
• omezit zpracování za určitých okolností,
• vznést námitku proti zpracování založenému na oprávněných zájmech,
• obdržet své údaje v přenositelném formátu (právo na přenositelnost),
• odvolat souhlas, pokud je zpracování založeno na souhlasu.

Pro uplatnění těchto práv nás kontaktujte na info@velixai.com. Můžeme po vás požadovat ověření totožnosti. Máte také právo podat stížnost u svého místně příslušného dozorového úřadu pro ochranu osobních údajů.

11. Smazání účtu

Účty pro Aplikaci jsou zřizovány mimo samotnou Aplikaci. Pro smazání svého účtu nebo osobních údajů otevřete v Aplikaci Nastavení účtu a použijte tlačítko Delete Account (Smazat účet). Smazání potvrdíme v rámci aplikace (a tam, kde je to vyžadováno, také e-mailem), s ohledem na zákonné požadavky na uchovávání údajů. Pokud se do Aplikace nemůžete přihlásit, napište nám z e-mailové adresy spojené s účtem na info@velixai.com.

12. Cookies a sledovací technologie

12.1 Nezbytné cookies

Používáme nezbytné cookies, které jsou striktně nutné pro fungování aplikace VelixAI. Tyto soubory cookie umožňují základní funkce, jako jsou:

• Správa relací: Udržování vašeho přihlášení a stavu autentizace
• Bezpečnost: Ochrana proti útokům typu cross-site request forgery (CSRF) a dalším bezpečnostním hrozbám
• Preference: Zapamatování jazykových a zobrazovacích preferencí

Právní základ: Oprávněné zájmy (čl. 6 odst. 1 písm. f) GDPR). Tyto cookies jsou nezbytné pro fungování aplikace a nelze je deaktivovat.

12.2 Funkční cookies

S vaším souhlasem používáme funkční cookies k aktivaci doplňkových funkcí:

• Push notifikace (OneSignal): Tokeny zařízení pro doručování push notifikací o důležitých aktualizacích
• Live chat (Tawk.to): Správa chatovacích relací pro poskytování zákaznické podpory

Právní základ: Souhlas (čl. 6 odst. 1 písm. a) GDPR). Souhlas můžete kdykoli odvolat v nastavení soukromí.

12.3 Analytické cookies

S vaším výslovným souhlasem používáme Vercel Analytics ke sběru anonymizovaných údajů o používání:

• Vercel Analytics: Zobrazení stránek, délka relace, vzorce navigace
• Vercel Speed Insights: Časy načítání stránek, výkonnostní metriky, načítání zdrojů
• Vercel Web Vitals: Metriky Core Web Vitals (Largest Contentful Paint, First Input Delay, Cumulative Layout Shift)

Tyto analytické nástroje nám pomáhají pochopit, jak uživatelé aplikaci používají, a identifikovat oblasti, které lze zlepšit. Všechna data jsou shromažďována anonymně a zpracovávána ve Frankfurtu nad Mohanem (EU).

Právní základ: Souhlas (čl. 6 odst. 1 písm. a) GDPR). Souhlas můžete kdykoli odvolat v nastavení soukromí.

Doba uchování: Analytická data uchováváme 12 měsíců, poté jsou automaticky smazána.

12.4 Jak spravovat cookies

Nastavení cookies můžete spravovat několika způsoby:

• Cookie banner: Při první návštěvě aplikace můžete přijmout nebo odmítnout volitelné cookies
• Nastavení soukromí: Kdykoli můžete změnit své preference v části Nastavení > Soukromí
• Nastavení prohlížeče: V prohlížeči můžete blokovat nebo mazat cookies, což však může ovlivnit funkčnost aplikace

Pokud odvoláte souhlas s analytickými cookies, okamžitě přestaneme shromažďovat nová data a existující analytické cookies z vašeho prohlížeče odstraníme.

12.5 Do Not Track

Respektujeme signály Do Not Track (DNT). Pokud váš prohlížeč odešle signál DNT, nebudeme Vercel Analytics inicializovat, a to ani v případě, že jste dříve udělili souhlas. Funkci DNT můžete povolit v nastavení prohlížeče.

13. Doba uchování údajů a automatizované mazání

Osobní údaje uchováváme pouze po dobu nezbytně nutnou pro účely popsané v těchto Zásadách, poté je smažeme nebo anonymizujeme. Standardní doby uchování jsou uvedeny v části 2.1 výše. Některé údaje můžeme uchovávat déle, pokud to vyžaduje zákon nebo je to nezbytné pro obranu právních nároků.

13.1 Automatizované vynucování retenčních lhůt

Abychom splnili zásadu omezení uložení podle článku 5 odst. 1 písm. e) GDPR, implementovali jsme automatizovaný systém vynucování retenčních lhůt, který denně identifikuje a maže osobní údaje po překročení doby uchování.

Náš automatizovaný retenční systém:

• Běží denně: Každý den v 2:00 UTC automaticky kontroluje data s překročenou dobou uchování
• Kontroluje všechny kategorie: Přezkoumává všechny datové kategorie (logy používání aplikace, metadata hovorů, logy zařízení, tokeny pro notifikace, komunikaci podpory) na záznamy po uplynutí doby uchování
• Automaticky maže: Bez zásahu člověka trvale maže nebo anonymizuje údaje, jejichž doba uchování již uplynula
• Loguje mazání: Každou operaci mazání zaznamenává v auditních logách pro účely prokazování souladu
• Odesílá upozornění: Upozorní administrátory, pokud se odstraní velké množství dat (> 1 000 záznamů), aby byla zachována kontrola
• Respektuje výjimky: Zachová údaje, které musí být uchovány déle z důvodu právních povinností, probíhajících šetření nebo soudních sporů

Tento automatizovaný systém zajišťuje, že vaše osobní údaje nejsou uchovávány déle, než je nezbytné, a že konzistentně dodržujeme naše dokumentované retenční politiky. Informace o našich postupech uchovávání a harmonogramu mazání si můžete vyžádat na info@velixai.com.

13.2 Monitorování retenčních lhůt a upozornění

Naši administrátoři automaticky každý týden dostávají upozornění, pokud některé osobní údaje překročily dobu uchování a dosud nebyly smazány. To poskytuje další vrstvu kontroly pro včasné mazání expirovaných údajů.

Udržujeme dashboard pro správu retenčních lhůt, který zobrazuje:

• celkový počet záznamů v každé datové kategorii,
• počet záznamů, kterým uplynula doba uchování a čekají na smazání,
• datum nejstaršího záznamu v každé kategorii,
• stav automatizovaného systému vynucování retenčních lhůt.

Tato transparentnost zajišťuje odpovědnost a umožňuje nám rychle identifikovat a napravovat případné problémy s vynucováním retenčních lhůt.

14. Uchovávání záloh

Pokud smažete svůj účet nebo pokud vaše osobní údaje smažeme v souladu s našimi retenčními zásadami, jsou vaše údaje okamžitě odstraněny z aktivních databází. Smazaná data však mohou přetrvávat v šifrovaných zálohách až 90 dní pro účely obnovy po havárii.

Po 90 dnech jsou smazaná data odstraněna i ze všech záloh. Zálohy nepoužíváme k obnově dat uživatelům, kteří uplatnili právo na výmaz. Pokud je nutná obnova databáze z důvodu havárie, uplatňujeme následné postupy, abychom zajistili, že data z již smazaných účtů zůstanou smazána.

Tato doba uchování záloh vyvažuje naši potřebu udržovat integritu systému a schopnost obnovy po havárii se zásadou minimalizace údajů podle GDPR. Doba 90 dní odpovídá běžné praxi v oboru a umožňuje obnovu po závažných incidentech, aniž by byla smazaná data uchovávána neomezeně dlouho.

15. Změny těchto Zásad

Tyto Zásady ochrany osobních údajů můžeme čas od času aktualizovat. Podstatné změny vám sdělíme v Aplikaci a/nebo e-mailem, a datum „Poslední aktualizace“ bude upraveno.

Kontakt

V případě dotazů týkajících se ochrany soukromí nás kontaktujte na info@velixai.com.