Ochrana osobních údajů

Správcem osobních údajů ve smyslu čl. 4 odst. 7 nařízení (EU) 2016/679 (GDPR) je:

• Allier Studio — Vratislav Šrám, IČO: 17995701
• Sídlo: Špičák 125, 381 01 Český Krumlov
• IČO: 17995701
• E-mail pro GDPR dotazy: info@allier.studio
• Web: https://allier.studio

Nejmenovali jsme pověřence pro ochranu osobních údajů (DPO), protože nám to zákon neukládá (nesplňujeme podmínky čl. 37 GDPR). Ve věcech ochrany údajů nás kontaktujte na výše uvedeném e-mailu.

Kontaktní formulář (/kontakt)

• Jméno (nepovinné)
• E-mail (povinný)
• Firma nebo projekt (povinný)
• Zpráva (nepovinná)

AI audit formulář

• Jméno a příjmení (povinné)
• Název firmy (povinný)
• E-mail (povinný)
• Telefon (nepovinný)
• Odvětví, URL webu (nepovinné), popis podnikání (povinný)
• Údaje jsou uloženy v databázi pro zpracování poptávky a zaslání výsledků

Nabídky a smlouvy (klientská zóna)

• Jméno a příjmení, e-mail, název firmy, IČO
• Obsah nabídky (vybrané položky, poznámky, celková cena)
• IP adresa a User-Agent při potvrzení nabídky
• Zpětná vazba k nabídce (poznámky, IP adresa, User-Agent)
• Fakturační údaje (jméno, e-mail, firma, IČO)

Elektronický podpis smlouvy

• IP adresa a User-Agent v okamžiku podpisu
• Časové razítko podpisu
• Ověřovací kód (pro integritu podpisu)
• Tyto údaje jsou uchovávány 10 let jako důkaz o uzavření smlouvy (§ 562 občanského zákoníku, čl. 25 nařízení eIDAS)

Automaticky sbírané údaje

• IP adresa (serverové logy, rate limiting, audit log)
• User-Agent (typ prohlížeče a zařízení)

• Kontaktní formulář: oprávněný zájem — odpověď na vaši poptávku (čl. 6 odst. 1 písm. f) GDPR)
• AI audit: souhlas — zpracování dat pro AI analýzu a zaslání výsledků (čl. 6 odst. 1 písm. a) GDPR)
• Plnění smlouvy: zpracováváme údaje nezbytné pro přípravu nabídky, uzavření a plnění smlouvy (čl. 6 odst. 1 písm. b) GDPR)
• Zákonná povinnost: účetní a daňové doklady uchováváme po dobu stanovenou zákonem o účetnictví (§ 31) a daňovým řádem (čl. 6 odst. 1 písm. c) GDPR)
• Serverové logy a bezpečnost: oprávněný zájem — ochrana před zneužitím, bezpečnost systému, prokazování elektronického podpisu (čl. 6 odst. 1 písm. f) GDPR)

Vaše údaje předáváme pouze těmto zpracovatelům, se kterými máme uzavřené zpracovatelské smlouvy (DPA):

• Resend (Plus Five Five, Inc.) — doručování e-mailů. Sídlo: USA. DPA: resend.com/legal/dpa
• Anthropic (Anthropic PBC) — AI analýza v rámci auditu. Sídlo: USA. DPA: anthropic.com/legal/data-processing-addendum. Anthropic nepoužívá komerční data k trénování modelů.
• Vercel Inc. — hosting webových stránek a serverless funkcí (region Frankfurt, EU). Sídlo: USA. DPA: vercel.com/legal/dpa
• Neon Inc. — hosting PostgreSQL databáze (region EU). Sídlo: USA. DPA: neon.tech/legal/dpa
• Upstash Inc. — rate limiting a ochrana proti zneužití. Sídlo: USA. DPA: upstash.com/trust/dpa.pdf
• Sentry (Functional Software, Inc.) — monitoring chyb aplikace. Sídlo: USA. DPA: sentry.io/legal/dpa/

Přenos dat do USA probíhá na základě standardních smluvních doložek (SCCs) schválených Evropskou komisí a/nebo EU-US Data Privacy Framework. Serverless funkce běží v regionu Frankfurt (fra1) pro minimalizaci přenosu dat mimo EU.

AI audit využívá automatizovanou analýzu vašich odpovědí pomocí jazykového modelu Claude (Anthropic). Na základě vašeho popisu podnikání a (volitelně) analýzy veřejně dostupného webu AI generuje personalizovaná doporučení. Výsledky jsou orientační a nepředstavují závazné poradenství. Nemají právní účinky ani vás výrazně neovlivňují ve smyslu čl. 22 GDPR.

Bezpečnostní opatření: Před odesláním dat do AI modelu jsou automaticky odstraněny identifikátory osob (e-maily, telefonní čísla, adresy). Anthropic data z komerčních API nepoužívá k trénování svých modelů. Máte právo na lidský přezkum výsledků — kontaktujte nás na info@allier.studio.

Osobní údaje uchováváme jen po dobu nezbytnou pro daný účel:

• Kontaktní formulář: maximálně 3 roky od posledního kontaktu
• AI audit (poptávky): po dobu trvání obchodního vztahu, poté maximálně 3 roky; na žádost kdykoli smazáno
• Nabídky: po dobu platnosti nabídky a následně maximálně 3 roky; na žádost anonymizováno
• Podepsané smlouvy: 10 let od ukončení smlouvy (§ 31 zákona č. 563/1991 Sb., o účetnictví; § 630 občanského zákoníku — promlčecí lhůta)
• Faktury a platební údaje: 10 let (§ 31 zákona o účetnictví, § 148 daňového řádu)
• Data elektronického podpisu (IP, User-Agent, timestamp): 10 let (důkaz o uzavření smlouvy dle § 562 občanského zákoníku)
• Serverové logy: maximálně 90 dní

Po uplynutí doby uchování jsou údaje trvale smazány nebo anonymizovány (jméno nahrazeno textem [smazáno], e-mail nahrazen adresou anonymized@deleted.invalid, IP adresa a další identifikátory odstraněny). Anonymizovaná data nelze zpětně přiřadit ke konkrétní osobě.

Podle GDPR máte tato práva:

• Právo na přístup k údajům (čl. 15 GDPR) — můžete požádat o kopii svých údajů ve strojově čitelném formátu
• Právo na opravu (čl. 16 GDPR) — můžete požádat o opravu nepřesných údajů
• Právo na výmaz (čl. 17 GDPR) — můžete požádat o smazání svých údajů, pokud neexistuje zákonný důvod pro jejich další uchovávání
• Právo na omezení zpracování (čl. 18 GDPR) — můžete požádat o dočasné omezení zpracování, např. po dobu ověřování přesnosti údajů
• Právo na přenositelnost údajů (čl. 20 GDPR) — údaje zpracovávané na základě souhlasu nebo smlouvy vám poskytneme ve strukturovaném formátu (JSON)
• Právo vznést námitku (čl. 21 GDPR) — zejména proti zpracování na základě oprávněného zájmu
• Právo odvolat souhlas (čl. 7 GDPR) — kdykoli, bez dopadu na zákonnost předchozího zpracování

Pro uplatnění svých práv nás kontaktujte na info@allier.studio. Pro ověření vaší totožnosti můžeme požádat o zaslání žádosti z e-mailové adresy, kterou jste u nás zadali. Na vaši žádost odpovíme bez zbytečného odkladu, nejpozději do 30 dnů (čl. 12 odst. 3 GDPR).

Pokud se domníváte, že vaše údaje zpracováváme v rozporu s právními předpisy, máte právo podat stížnost u Úřadu pro ochranu osobních údajů (ÚOOÚ), Pplk. Sochora 27, 170 00 Praha 7, https://uoou.gov.cz.

Tyto webové stránky nepoužívají žádné marketingové ani analytické cookies. Pro měření návštěvnosti používáme Plausible Analytics v self-hosted verzi, která nesbírá osobní údaje, neukládá cookies a je plně v souladu s GDPR. Cookie banner proto není potřeba.

Administrační rozhraní používá jeden technický HTTP-only cookie (admin_session) pro ověření přihlášení správce. Tento cookie je nezbytný pro fungování administrace (čl. 5 odst. 3 směrnice ePrivacy) a expiruje po 24 hodinách. Běžní návštěvníci webu s tímto cookie nepřijdou do styku.

Používáme přiměřená technická a organizační opatření k ochraně vašich údajů: šifrování přenosu (HTTPS/TLS), validaci vstupů na serverové straně (zod schémata), rate limiting formulářů, honeypot ochranu proti botům, timing-safe porovnání autentizačních tokenů, bezpečnostní HTTP hlavičky (X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy) a hosting serverless funkcí v regionu EU (Frankfurt). Přístup do administrace je chráněn HMAC-based session autentizací s omezeným počtem pokusů o přihlášení.

Naše služby nejsou určeny osobám mladším 16 let. Vědomě neshromažďujeme osobní údaje dětí. Pokud zjistíte, že nám dítě poskytlo své osobní údaje, kontaktujte nás na info@allier.studio a údaje neprodleně smažeme.

Tyto zásady můžeme čas od času aktualizovat, zejména při změně zpracovatelů, účelů zpracování nebo právních předpisů. Aktuální verze je vždy dostupná na této stránce s uvedeným datem poslední aktualizace. Při podstatné změně vás budeme informovat e-mailem (pokud máme váš e-mail) nebo výrazným oznámením na webu.

S dotazy ohledně ochrany osobních údajů se obracejte na info@allier.studio. Odpovíme nejpozději do 30 dnů.