Ochrana súkromia
Aktualizované počas MVP obdobia.
Soukromí Klientů a jejich zákazníků (Dlužníků) bereme vážně. Tato zásada vysvětluje, jaké osobní údaje zpracováváme, proč, jak dlouho a jaká máte v souvislosti s tím práva. Vždy volíme variantu, která je k vám i k vašim zákazníkům přívětivější.
1. Správce a kontakt
Správcem osobních údajů je ReturnFlow s.r.o., e-mail: info@returnflow.cz. Pověřence pro ochranu osobních údajů nemáme zákonnou povinnost jmenovat — všechny dotazy směřujte na uvedený e-mail, odpovíme nejpozději do 30 dnů. Ve vztahu k osobním údajům Dlužníků, které do Služby vkládá Klient, vystupuje Klient jako správce a Provozovatel jako zpracovatel ve smyslu čl. 28 GDPR. Příslušná zpracovatelská smlouva je součástí těchto zásad.
2. Jaké údaje zpracováváme
O Klientech: e-mail, jméno, název firmy, IČO/DIČ, fakturační adresa, IP adresa (maskovaná), údaje o aktivních integracích, log přihlášení a aktivity v aplikaci, platební údaje (zpracovává GoPay, my je nikdy nevidíme). O Dlužnících (vkládá Klient): jméno, e-mail, telefon, IČO (volitelně), adresa, údaje o pohledávce, historie komunikace, status úhrady. Citlivé údaje (rodné číslo, zdravotní stav, atd.) do Služby nepřijímáme — pokud je Klient nahraje, budou smazány.
3. Účel a právní titul zpracování
Klientská data zpracováváme: • pro plnění smlouvy (poskytování Služby) — čl. 6 odst. 1 písm. b) GDPR, • pro zákonné povinnosti (účetnictví, daně) — čl. 6 odst. 1 písm. c) GDPR, • pro oprávněný zájem (bezpečnost, prevence podvodů, anonymní statistiky) — čl. 6 odst. 1 písm. f) GDPR. Data Dlužníků zpracováváme z pověření Klienta výhradně pro účely, ke kterým má Klient sám právní titul (typicky čl. 6 odst. 1 písm. b) — plnění smlouvy mezi Klientem a Dlužníkem, nebo písm. f) — oprávněný zájem na vymožení pohledávky).
4. Komu data předáváme
Data sdílíme jen s nezbytnými zpracovateli: • Hosting a infrastruktura: provozovatel cloudových služeb v EU, • E-mail: Mailgun (USA, smluvní doložky EU), • SMS: BulkGate (ČR), • Platby: GoPay (ČR), • Účetnictví: ABRA Flexi (ČR, volitelná integrace na straně Klienta), • AI extrakce faktur: OpenAI (USA, smluvní doložky EU) — pouze pokud Klient povolí AI extrakci. Data nikdy neprodáváme ani je nepoužíváme pro reklamu třetích stran.
5. Doba uchování
Účetní doklady uchováváme 10 let dle zákona č. 235/2004 Sb., o DPH. Logy přístupů 12 měsíců. Anonymizované statistiky neomezeně. Osobní údaje Dlužníků jsou uchovávány po dobu trvání pohledávky a následně 3 roky od jejího vyřešení (promlčecí lhůta podle § 629 OZ). Po ukončení smlouvy s Klientem uchováme všechna data ještě 90 dní pro případnou obnovu, poté následuje automatická anonymizace nebo smazání.
6. Vaše práva
Máte právo: • na přístup k údajům (čl. 15 GDPR) — výpis vám zašleme do 30 dnů, • na opravu nesprávných údajů (čl. 16), • na výmaz „práva být zapomenut" (čl. 17), • na omezení zpracování (čl. 18), • na přenositelnost údajů (čl. 20) — předáme vám data ve strojově čitelném formátu, • vznést námitku proti zpracování z titulu oprávněného zájmu (čl. 21), • podat stížnost u Úřadu pro ochranu osobních údajů (uoou.cz).
7. Cookies a sledování
Používáme pouze technicky nezbytné cookies (přihlášení, jazyk, CSRF). Žádné marketingové, analytické ani profilovací cookies. Neměříme vás přes Google Analytics, Facebook Pixel ani jiné nástroje třetích stran. Pokud v budoucnu přidáme analytiku, bude to formou opt-in cookie banneru s jasným odsouhlasením — žádný „dark pattern".
8. Zabezpečení
Veškerá komunikace probíhá přes HTTPS. Hesla ukládáme jako bcrypt hash (nikdy v plaintextu). MFA (TOTP) je povinné pro super-adminy a doporučené pro klientské administrátory. Databáze je šifrovaná v klidu (at-rest) i v přenosu (in-transit). V případě bezpečnostního incidentu vás informujeme nejpozději do 72 hodin od jeho zjištění a oznámíme jej ÚOOÚ dle čl. 33 GDPR.
9. Změny zásad
Tyto zásady můžeme aktualizovat. O každé podstatné změně vás informujeme e-mailem a oznámením v aplikaci nejméně 30 dnů před účinností. Drobné stylistické úpravy publikujeme okamžitě s uvedením data poslední aktualizace.