Zásady ochrany osobních údajů

Správcem osobních údajů ve smyslu čl. 4 odst. 7 GDPR je provozovatel služby DentalLocal, e-mail: danila.s.anikin@gmail.com. Pověřence pro ochranu osobních údajů (DPO) jmenovaný nemáme; veškeré dotazy směřujte na uvedený e-mail.

Pokud Zákazník přes Službu zpracovává osobní údaje svých pacientů (např. v textu recenzí), vystupuje vůči nim jako samostatný správce a Poskytovatel je v této roli zpracovatelem dle Zpracovatelské smlouvy (čl. 28 GDPR).

Zpracováváme tyto kategorie osobních údajů:

a) Identifikační a kontaktní údaje uživatele: jméno, e-mail, role v organizaci. b) Autentizační údaje: hash hesla (přes Supabase Auth) nebo OAuth tokeny (Google), audit log přihlášení. c) Údaje o Google Business profilu Zákazníka: identifikátory poboček, fotografie, otevírací doba, kategorie. V důsledku toho i jména a obsah recenzí zveřejněných pacienty na Googlu. d) Fakturační údaje: název firmy, IČO, DIČ, adresa, e-mail, údaj o použité platební metodě (tokenizován Stripe, kartu neukládáme). e) Technické údaje: IP adresa, User-Agent prohlížeče, log dat o použití (přihlášení, klíčové akce), telemetrie chyb v Sentry. f) Analytická data: anonymizované události užívání v PostHog (po udělení souhlasu na cookie liště).

Údaje zpracováváme za těmito účely:

• Poskytování Služby a plnění smlouvy — kategorie a)-d). Právní základ: čl. 6 odst. 1 písm. b) GDPR (plnění smlouvy). • Fakturace, vedení účetnictví a daňových povinností — kategorie d). Právní základ: čl. 6 odst. 1 písm. c) GDPR (plnění právní povinnosti, zejm. zák. č. 563/1991 Sb. o účetnictví). • Bezpečnost a prevence zneužití — kategorie a)-c) a e). Právní základ: čl. 6 odst. 1 písm. f) GDPR (oprávněný zájem na zabezpečení Služby). • Komunikace se Zákazníkem — kategorie a) a d). Právní základ: čl. 6 odst. 1 písm. b) GDPR. • Analytika a vylepšování produktu — kategorie f). Právní základ: čl. 6 odst. 1 písm. a) GDPR (souhlas udělený na cookie liště). • Marketingová komunikace o produktu Poskytovatele — pouze pro stávající Zákazníky a v rozsahu zák. č. 480/2004 Sb., s možností odhlášení v každém e-mailu.

Pro provoz Služby spolupracujeme s těmito subzpracovateli. Se všemi máme uzavřené příslušné smlouvy o zpracování osobních údajů (DPA) a každý z nich zpracovává data v souladu s GDPR (případně Standard Contractual Clauses pro přenos do USA).

• Supabase, Inc. (USA, datová lokace Frankfurt EU) — databáze, autentizace. • Vercel, Inc. (USA, edge v EU) — hosting aplikace. • Stripe Payments Europe, Ltd. (IE) — zpracování plateb. Stripe je samostatný správce ohledně transakčních dat. • Anthropic, PBC (USA) — generativní AI modely. Vstupní data nejsou používána pro trénink modelu (Anthropic Zero Data Retention). • Resend, Inc. (USA) — doručování transakčních e-mailů. • Inngest, Inc. (USA) — orchestrace background jobů. • DataForSEO LLC (USA) — kontrola pozic ve vyhledávání Google. • Google LLC / Google Ireland Ltd. (IE) — Google Business Profile API, Places API. Pouze data zpřístupněná na základě OAuth souhlasu Zákazníka. • Sentry GmbH (DE) — sledování chyb v produkční aplikaci. • PostHog Inc. (USA, EU instance) — produktová analytika; aktivní jen po souhlasu na cookie liště.

Aktualizovaný seznam s odkazy na DPA jednotlivých dodavatelů poskytneme na vyžádání na danila.s.anikin@gmail.com.

Většina dat je zpracovávána v rámci EU. U subzpracovatelů se sídlem v USA (Supabase, Vercel, Anthropic, Resend, Inngest, DataForSEO, PostHog) probíhá přenos dat na základě Standardních smluvních doložek (SCC) přijatých Evropskou komisí 2021/914, případně na základě adekvátnostního rozhodnutí EU-US Data Privacy Framework, pokud je daný subzpracovatel certifikován. Záruky a kopie SCC poskytneme na vyžádání.

Údaje uchováváme po nezbytně nutnou dobu:

• Provozní data (recenze, odpovědi, posty, ranking snapshots) — po dobu trvání smluvního vztahu a dále 30 dní po jeho ukončení pro export. • Účetní a fakturační doklady — 10 let dle zák. č. 235/2004 Sb. • Bezpečnostní log (audit_log) — 24 měsíců, poté pseudonymizace. • Analytická data v PostHog — 12 měsíců nebo do odvolání souhlasu. • Sentry error reports — 90 dní (Developer plán).

Jako subjekt údajů máte podle GDPR právo:

• na přístup k vašim údajům (čl. 15), • na opravu nepřesných údajů (čl. 16), • na výmaz (čl. 17, „právo být zapomenut"), • na omezení zpracování (čl. 18), • na přenositelnost údajů (čl. 20) — strojově čitelný export poskytujeme v JSON a CSV, • vznést námitku proti zpracování založenému na oprávněném zájmu (čl. 21), • odvolat udělený souhlas (čl. 7), zejména souhlas s analytickými cookies, • podat stížnost u dozorového úřadu (čl. 77) — Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, www.uoou.cz.

Pro uplatnění práv nás kontaktujte na danila.s.anikin@gmail.com. Odpovíme nejpozději do 30 dní (s možností prodloužení o 60 dní u složitých žádostí).

Detailní popis cookies, které používáme, naleznete na dentallocal.cz/cs/cookies. Stručně:

• Nezbytné cookies (přihlášení, jazyková preference, ochrana před CSRF) — bez nich Služba nefunguje, souhlas se nevyžaduje. • Analytické cookies (PostHog) — aktivují se výhradně po vašem souhlasu na cookie liště. Odvolat souhlas můžete kdykoli.

Služba je určena výhradně pro podnikatele a osoby starší 18 let. Vědomě nezpracováváme údaje osob mladších 16 let. Pokud zjistíme, že jsme získali údaje od osoby mladší 16 let bez souhlasu zákonného zástupce, neprodleně je vymažeme.

Přijali jsme technická a organizační opatření odpovídající rizikům, zejména:

• Šifrování dat při přenosu (TLS 1.2+), • šifrování OAuth tokenů a citlivých polí v klidu na úrovni databáze, • Row-Level Security politiky v PostgreSQL pro izolaci dat mezi organizacemi, • omezený přístup zaměstnanců s logováním a 2FA, • pravidelné zálohy a testy obnovy, • plán reakce na bezpečnostní incident s 72hodinovou lhůtou pro hlášení dle čl. 33 GDPR.

Tyto zásady můžeme aktualizovat. O podstatných změnách budete informováni e-mailem nebo upozorněním v aplikaci min. 30 dní před účinností. Datum poslední aktualizace je uvedeno v záhlaví.