Zásady ochrany osobních údajů

2.1 Správce osobních údajů

Správcem osobních údajů je:

Roman Grigar
IČO: 04943660
Sídlo: Švermova 399, Brodek u Přerova, 751 03
Kontakt: [email protected]

(dále jen „Správce")

2.2 Kategorie subjektů údajů

Správce zpracovává osobní údaje následujících kategorií osob:

Zákazníci — podnikající fyzické osoby a kontaktní osoby / zástupci právnických osob, které si vytvořily účet ve Službě Woody's Fetch.
Zájemci o registraci — fyzické osoby, které vyplnily e-mailovou adresu v registračním formuláři na woodysfetch.com (úvodní stránka, případové studie) a zahájily tím proces vedoucí k uzavření smluvního vztahu se Správcem, ale dosud nedokončily plnou registraci (tzv. „předregistrace").
Návštěvníci e-shopů — koncoví uživatelé e-shopů Zákazníků, kteří interagují s vyhledávacím widgetem (zpracování v roli zpracovatele — viz čl. 2.8).

2.3 Jaké údaje zpracováváme (Zákazníci)

a) Údaje pro vedení účtu

Údaj	Účel
Jméno	Identifikace uživatele
E-mailová adresa	Přihlášení, komunikace, zasílání faktur
Heslo (hashované)	Zabezpečení účtu

b) Fakturační údaje

Údaj	Účel
Fakturační jméno/název firmy	Fakturace
IČO, DIČ	Fakturace
Adresa (ulice, město, PSČ, stát)	Fakturace
Fakturační telefon	Kontakt pro fakturaci
Fakturační e-mail	Doručování faktur

c) Platební údaje

Údaj	Účel
Stripe customer ID	Identifikace u platební brány
Typ platební metody	Zobrazení v administraci
Poslední 4 číslice karty	Zobrazení v administraci

Úplné údaje o platebních kartách zpracovává výhradně Stripe Payments Europe Limited (Dublin, Irsko), regulovaná platební instituce pod dohledem Central Bank of Ireland. Správce k nim nemá přístup.

d) Údaje o e-shopu

Údaj	Účel
Název a doména e-shopu	Konfigurace služby
URL XML feedu	Import produktů
Nastavení widgetu	Konfigurace a přizpůsobení zobrazení Služby

e) Provozní údaje

Údaj	Účel
IP adresa	Zabezpečení, ochrana proti zneužití
Datum a čas přihlášení	Audit, zabezpečení
Aktivita v administraci	Audit log

2.3a Jaké údaje zpracováváme (Zájemci o registraci — předregistrace)

Když Zájemce vyplní e-mail v registračním formuláři na woodysfetch.com (úvodní stránka nebo případové studie) a odešle jej s cílem zahájit registraci, ukládáme následující údaje:

Údaj	Účel
E-mailová adresa	Předvyplnění registračního formuláře v navazujícím kroku
Zdroj zachycení (např. úvodní stránka, případová studie)	Interní statistika konverzního trychtýře
Datum a čas odeslání předregistračního formuláře	Auditní záznam o zahájení registračního procesu
Verze obchodních podmínek a zásad ochrany osobních údajů platná v okamžiku zahájení registrace	Auditní záznam o tom, jaká verze dokumentů byla Zájemci v daný okamžik dostupná
Pseudonymizovaná IP adresa (HKDF hash, nelze ji zpětně rozluštit)	Ochrana proti zneužití formuláře (rate-limit, audit)
User-Agent prohlížeče	Ochrana proti zneužití formuláře, audit
Krátkodobý bezpečnostní token	Propojení předregistrace s dokončeným registračním formulářem

Po dokončení registrace se údaje Zájemce automaticky propojí s nově vytvořeným Zákaznickým účtem a další zpracování pokračuje v režimu uvedeném v čl. 2.3.

Správce nepoužívá e-mailové adresy zachycené v rámci předregistrace k rozesílání newsletterů ani jiných marketingových sdělení, pokud subjekt údajů neudělí samostatný souhlas.

2.4 Právní základ zpracování

Účel	Právní základ (čl. GDPR)
Vedení účtu, poskytování Služby	Čl. 6 odst. 1 písm. b) — plnění smlouvy
Předregistrace a navázání registračního procesu	Čl. 6 odst. 1 písm. b) — provedení kroků na žádost subjektu údajů před uzavřením smlouvy
Bezpečnostní logování, ochrana proti zneužití formulářů, rate limiting a prevence bot útoků	Čl. 6 odst. 1 písm. f) — oprávněný zájem na zabezpečení Služby
Uchování minimalizovaného auditního záznamu po výmazu osobních údajů Zájemce	Čl. 6 odst. 1 písm. f) — oprávněný zájem na právní obhajobě a doložení souladu
Fakturace, daňové povinnosti	Čl. 6 odst. 1 písm. c) — splnění právní povinnosti
Zabezpečení, ochrana proti zneužití	Čl. 6 odst. 1 písm. f) — oprávněný zájem
Zlepšování služby (agregované statistiky)	Čl. 6 odst. 1 písm. f) — oprávněný zájem
Marketingová komunikace	Čl. 6 odst. 1 písm. a) — souhlas (pokud bude implementován)

2.5 Doba uchovávání

Kategorie údajů	Doba uchovávání
Údaje o účtu	Po dobu trvání účtu + 30 dnů po zrušení
Předregistrace (nedokončená registrace — e-mail, IP, User-Agent, token)	Nejdéle 30 dnů od zachycení. Pokud Zájemce v této době registraci nedokončí, jsou veškeré jeho osobní údaje automatickou úlohou ze systému trvale vymazány. Po dokončení registrace se údaje přenesou do účtu Zákazníka a uplatní se retence „Údaje o účtu".
Minimalizovaný auditní záznam o zahájení registrace (datum, verze podmínek, zdroj zachycení — bez e-mailu, IP adresy, User-Agentu a tokenu)	Po dobu trvání aplikovatelných promlčecích lhůt (zpravidla 3 roky) pro účely právní obhajoby a doložení souladu; následně trvalý výmaz.
Fakturační údaje	10 let od vystavení dokladu (zákonná povinnost)
Provozní logy (přihlášení, audit)	12 měsíců
Vyhledávací a guide analytika (pseudonymizovaná)	90 dnů v produkčních systémech; poté archivace do šifrovaného cloud storage a výmaz z produkce
Konverzní data (objednávky, atribuce)	180 dnů v produkčních systémech (pro LTV analýzu, atribuci a týdenní reporty); poté archivace do šifrovaného cloud storage a výmaz z produkce
Rate-limit a bezpečnostní logy	30 dnů
CSP violation logy (URL stránky, pseudonymizovaná IP, user-agent)	30 dnů
Šifrované zálohy databáze	Maximálně 60 dnů (rotace dle plánu záloh)

Archivovaná data v cloud storage zůstávají v pseudonymizované podobě (hash IP, technické session ID) a slouží výhradně pro účely auditu, řešení sporů a interní statistiky. Archiv není používán pro běžný provoz Služby.

Archivovaná analytická a konverzní data jsou uchovávána nejdéle 24 měsíců od okamžiku archivace, pokud delší uchování není nezbytné pro řešení konkrétního sporu, vyšetřování bezpečnostního incidentu nebo obhajobu právních nároků (v takovém případě po dobu nezbytně nutnou, nejdéle však po dobu zákonných promlčecích lhůt). Po uplynutí této doby jsou archivované soubory nenávratně smazány.

Uchování logů pro vyšetření bezpečnostních incidentů. V případě podezření na bezpečnostní incident, pokus o průnik, zneužití účtu nebo jiné porušení zabezpečení je Správce oprávněn uchovat relevantní provozní a bezpečnostní logy (vč. rate-limit záznamů, audit logu administrace, error logů a sítových metadat) po dobu nezbytně nutnou pro řádné vyšetření incidentu nad rámec běžné retence. Po dokončení vyšetření (a případného právního / regulatorního řízení, k němuž se logy vztahují) jsou tato data vymazána. Uchování probíhá v souladu s čl. 6 odst. 1 písm. f) GDPR (oprávněný zájem na zajištění bezpečnosti Služby) a čl. 32 GDPR.

2.6 Příjemci osobních údajů (sub-zpracovatelé)

Příjemce	Účel	Země
Stripe Technology Europe Limited	Platforma platebních služeb	Irsko (EU)
Stripe Payments Europe Limited	Zpracování plateb (regulovaná platební instituce)	Irsko (EU)
Hetzner Online GmbH	Provoz serverů (aplikace, databáze, vyhledávací engine, zálohy)	Německo (EU)
Cloudflare, Inc.	WAF / CDN / DNS (bezpečnostní vrstva)	USA (standardní smluvní doložky EU, vlastní DPA)
Twilio Ireland Limited	SMS verifikace telefonu při registraci	Irsko (EU)
Anthropic, PBC	Claude API — generování týdenních AI souhrnů z pseudonymizovaných analytických dat (volitelná funkce)	USA (standardní smluvní doložky EU, vlastní DPA)
Google Ireland Limited	Google Drive — úložiště pro šifrované zálohy databáze a archivované analytické CSV exporty	Irsko (EU)
Zoho Corporation B.V.	Zoho Mail SMTP — odesílání transakčních e-mailů (faktury, reset hesla, notifikace, AI souhrny)	Nizozemsko (EU)

Další příjemci údajů (samostatní správci)

Následující subjekty nevystupují jako sub-zpracovatelé Správce, ale jako samostatní správci, kteří přijaté údaje zpracovávají pro vlastní účely (zejména měření efektivity reklamních kampaní a optimalizaci reklamních systémů). Pravidla zpracování těchto subjektů se řídí jejich vlastními zásadami ochrany osobních údajů.

Příjemce	Účel přenosu	Země
Meta Platforms Ireland Limited	Conversions API — měření a atribuce konverzí marketingových kampaní, výhradně z marketingových stránek na woodysfetch.com (NIKOLI ze vyhledávacího widgetu integrovaného na e-shopech Zákazníků). Přenos probíhá pouze v případě, že návštěvník udělil souhlas s marketingovými cookies. E-mailové adresy jsou před odesláním kryptograficky hashovány algoritmem SHA-256.	Irsko (EU)

Další informace o zpracování údajů společností Meta naleznete v zásadách ochrany osobních údajů společnosti Meta.

Aktuální seznam sub-zpracovatelů včetně přesných adres a mechanismů pro případný transfer mimo EU najdete na woodysfetch.com/subprocessors. O každé změně (přidání nebo nahrazení sub-zpracovatele) informuje Správce své Zákazníky e-mailem nejméně 14 dnů předem.

Self-hosted komponenty (Meilisearch, MariaDB, Redis) provozované na infrastruktuře Hetzner nejsou samostatnými sub-zpracovateli; data jsou pokryta sub-zpracovatelskou rolí Hetzner Online GmbH.

Správce nepředává údaje žádným dalším třetím stranám pro marketingové účely.

2.7 Práva subjektu údajů

Jako subjekt údajů máte právo:

Právo na přístup (čl. 15 GDPR) — získat potvrzení, zda jsou vaše údaje zpracovávány, a přístup k nim.
Právo na opravu (čl. 16 GDPR) — požádat o opravu nepřesných údajů.
Právo na výmaz (čl. 17 GDPR) — požádat o smazání údajů, pokud nejsou nadále potřebné.
Právo na omezení zpracování (čl. 18 GDPR) — požádat o omezení zpracování za určitých podmínek.
Právo na přenositelnost (čl. 20 GDPR) — získat své údaje ve strojově čitelném formátu.
Právo vznést námitku (čl. 21 GDPR) — proti zpracování založenému na oprávněném zájmu.
Právo podat stížnost — u dozorového úřadu: Úřad pro ochranu osobních údajů (www.uoou.cz), Pplk. Sochora 27, 170 00 Praha 7.

Pro uplatnění svých práv kontaktujte Správce na [email protected]. Správce vyřídí žádost bez zbytečného odkladu, nejpozději do 30 dnů.

Samoobslužné nástroje — pro práva podle čl. 15, 17 a 20 GDPR jsou v aplikaci dostupné dva samoobslužné nástroje, které lze využít bez nutnosti kontaktovat Správce e-mailem:

Export osobních údajů — v sekci Profil → „Stáhnout export (ZIP)". Vygeneruje ZIP s JSON (profil, fakturační údaje, seznam e-shopů a jejich konfigurace) a CSV vrstvami (vyhledávací logy 90 dní, konverzní data 180 dní) ve strojově čitelném formátu vhodném pro přenositelnost.
Smazání účtu — v sekci Profil → „Smazat účet". Pokud má účet aktivní placené předplatné, samoobslužné smazání je blokováno — Zákazník musí nejprve zrušit předplatné v sekci Předplatné (oddělení záměrů + ochrana proti silent failure při zrušení Stripe subscription). Po zrušení (nebo v grace period) lze účet smazat: potvrzení heslem → smazání všech e-shopů, jejich konfigurace, vyhledávacích a konverzních logů z produkčních systémů; ze záloh data zmizí do 60 dnů v rámci běžné rotace.

Zájemci o registraci (předregistrace) — pokud registraci nedokončíte, Vaše osobní údaje budou automaticky vymazány nejpozději do 30 dnů od jejich zachycení. O dřívější výmaz můžete kdykoli požádat na adrese [email protected]. Po výmazu může Správce po omezenou dobu uchovávat pouze minimalizovaný auditní záznam bez přímých identifikátorů, a to výhradně za účelem právní obhajoby a doložení souladu s právními povinnostmi.

2.8 Zpracování údajů návštěvníků e-shopů (role zpracovatele)

Při poskytování Služby dochází ke zpracování údajů návštěvníků e-shopů Zákazníka (koncových uživatelů). V tomto vztahu je:
- Správce údajů: Zákazník (provozovatel e-shopu)
- Zpracovatel: Woody's Fetch (Roman Grigar)

Zpracovávaná data návštěvníků:

Údaj	Popis
Vyhledávací dotazy	Text zadaný do vyhledávače
Kliknutí na výsledky	ID produktu, pozice ve výsledcích
Hash IP adresy	Pseudonymizovaná (hashovaná) IP adresa pro rozlišení unikátních návštěvníků a zabezpečení
User-Agent	Typ prohlížeče (pro analytiku)
Referer	URL stránky, ze které přišel dotaz
Session ID	Technický identifikátor relace generovaný klientsky a ukládaný v `sessionStorage` prohlížeče návštěvníka (zmizí při zavření tabu); slouží pro atribuci konverzí v rámci jedné návštěvy a neobsahuje přímo identifikační údaje, jako je jméno nebo e-mailová adresa
Journey ID	Náhodně generované UUID, ukládané v `sessionStorage` prohlížeče, které seskupuje analytické události jednoho vyhledávacího záměru (psaní → upřesnění → kliknutí nebo 30 sekund nečinnosti). Bez tohoto identifikátoru nelze přesně vyhodnotit chování ve vyhledávání (kolik dotazů vede ke kliku, jak se vyhledávání upřesňuje). Neobsahuje identifikační údaje, je platný pouze v rámci jednoho tabu prohlížeče a zmizí při jeho zavření
Konverzní data	ID objednávky, hodnota (pokud Zákazník aktivuje tracking)

Woody's Fetch zpracovává omezený rozsah technických a analytických údajů návštěvníků e-shopu. IP adresa je před uložením kryptograficky hashována (HKDF-SHA-256 s tajným klíčem a samostatným odvozeným pepperem pro každý e-shop) za účelem minimalizace identifikace a zvýšení bezpečnosti. Tyto údaje jsou zpracovávány v pseudonymizované podobě a nejsou využívány k přímé identifikaci konkrétních osob. Woody's Fetch standardně nezpracovává identifikační údaje koncových zákazníků, jako jsou jméno, e-mail nebo doručovací adresa.
Welcome widget (uvítací doporučení) generuje výsledky kontextově — na základě URL parametrů aktuální stránky, obecných trendů obchodu a pravidel definovaných Zákazníkem. Welcome widget není personalizován podle historie chování konkrétního návštěvníka. Woody's Fetch nesestavuje profily jednotlivých návštěvníků e-shopu.
Podrobnosti zpracování upravuje Zpracovatelská smlouva (viz DPA).

2.9 Zabezpečení údajů

Správce přijal následující technická a organizační opatření:

Šifrovaná komunikace (HTTPS/TLS) pro veškerý přenos dat.
Hashování hesel pomocí bcrypt.
Pseudonymizace IP adres (HKDF-SHA-256 s tajným klíčem aplikace a per-shop odvozeným pepperem) v analytických a bezpečnostních datech — případný únik klíče nedovolí postavit jedinou „rainbow table" napříč všemi e-shopy.
Izolace dat mezi zákazníky (multi-tenant architektura s automatickou filtrací).
Šifrované zálohy databáze (AES-256, password-protected ZIP) s krátkou retencí (max. 60 dnů).
Aplikační šifrování fakturačních údajů (jméno, společnost, IČO, DIČ, adresa, město, PSČ, fakturační telefon a fakturační e-mail) na úrovni Eloquent ORM — hodnoty jsou v databázi uchovávány jako šifrovaný AES-256-GCM payload s tajným klíčem aplikace; samotný únik databáze (např. zálohy bez hesla) bez znalosti klíče aplikace neumožňuje obnovit plaintext.
Šifrování databáze na úrovni storage (encryption-at-rest) — všechny InnoDB tablespaces, redo log a dočasné tabulky MariaDB jsou na disku šifrovány AES (file_key_management plugin, master key uložen mimo databázový proces). Útočník s přístupem k surovým souborům databáze (např. ukradený disk, nezašifrovaný backup) bez master key nemá k datům přístup.
Omezení přístupu k produkčním serverům — výhradně SSH klíčová autentizace (heslová autentizace zakázána), fail2ban proti brute force.
Cloudflare WAF a rate limiting před aplikací; origin server přijímá provoz pouze z Cloudflare IP rozsahů (defense-in-depth).
Dvoufaktorové ověření (2FA) pomocí TOTP standardu (Google Authenticator, Authy, 1Password, Bitwarden):
- Administrátorské účty Správce: 2FA povinné, nelze deaktivovat.
- Účty Zákazníků (provozovatelů e-shopů): 2FA volitelné, aktivace v profilu uživatele; Správce zapnutí výslovně doporučuje jako standardní bezpečnostní opatření.
- Pokud Zákazník 2FA neaktivuje a dojde ke kompromitaci jeho přihlašovacích údajů cestou, které by 2FA zabránilo, Správce za takový incident nenese odpovědnost.
DNSSEC, SPF/DKIM/DMARC pro ochranu doménové identity a odesílaných e-mailů.
Content-Security-Policy (CSP) header omezující v prohlížeči načítání skriptů, stylů a rámců na předem schválený seznam zdrojů (defense-in-depth proti XSS a injekci cizího kódu). Porušení politiky jsou hlášena na interní endpoint Správce; report obsahuje URL stránky, pseudonymizovanou IP a user-agent. Logy se uchovávají 30 dnů a slouží výhradně k ladění politiky a detekci pokusů o útok.
Pravidelný interní bezpečnostní audit a plán reakce na incident.

2.9b Automatizované rozhodování

Služba používá automatizované algoritmy pro řazení a doporučování produktů (ranking, CTR boost, welcome widget rules). Tyto procesy neslouží k automatizovanému rozhodování ve smyslu čl. 22 GDPR a nemají právní ani obdobně významné účinky pro subjekty údajů — jejich jediným výstupem je pořadí produktů ve výsledcích vyhledávání nebo v doporučení.

2.9c Výstupy AI (Claude API)

Týdenní souhrny generované službou Anthropic Claude jsou výsledkem automatizovaného zpracování pseudonymizovaných agregovaných dat. Mohou obsahovat nepřesnosti, zjednodušení nebo nesprávné interpretace. Zákazník je povinen výsledky před jakýmkoli rozhodnutím samostatně vyhodnotit. Správce neodpovídá za rozhodnutí Zákazníka učiněná na základě AI výstupů.

2.10 Předávání údajů mimo EU

Většina sub-zpracovatelů zpracovává údaje v rámci EU (Irsko, Německo, Nizozemsko, Česká republika). Mimo EU mohou být údaje předávány pouze následujícím sub-zpracovatelům:

Cloudflare, Inc. (USA) — WAF/CDN/DNS, provoz primárně v EU edge nodech. Transfer zajištěn na základě standardních smluvních doložek EU a vlastního DPA Cloudflare.
Anthropic, PBC (USA) — Claude API pro generování týdenních AI souhrnů. Vstupem do API jsou pseudonymizovaná analytická data Zákazníka (top dotazy, počty vyhledávání, CTR, conversion rate) bez vazby na konkrétního návštěvníka e-shopu. Transfer zajištěn na základě standardních smluvních doložek EU a vlastního DPA Anthropic.

Platby zpracovává Stripe Payments Europe Limited (Irsko, EU), regulovaná platební instituce pod dohledem Central Bank of Ireland — k transferu platebních údajů mimo EU nedochází ze strany Správce.

Aplikace, databáze, vyhledávací engine (self-hosted Meilisearch) a zálohy běží na serverech v Německu (EU).

2.11 Použití rozhraní AI Buddy (MCP)

Zákazník může v administraci Služby aktivovat volitelné rozhraní AI Buddy (MCP — Model Context Protocol), které propojuje aplikaci Woody's Fetch s aplikacemi třetích stran využívajícími umělou inteligenci (zejména Claude.ai od Anthropic PBC). Pravidla použití této funkce upravuje samostatná Příloha — AI Buddy / MCP Obchodních podmínek; tento článek upravuje pouze zpracování osobních údajů.

a) Postavení stran

Pokud Zákazník aktivuje rozhraní MCP a propojí svůj účet s aplikací třetí strany, data odesílaná z aplikace Woody's Fetch této třetí straně jsou předávána z podnětu Zákazníka, nikoli Správce. Poskytovatel třetí strany (zejména Anthropic PBC) zpravidla vystupuje vůči Zákazníkovi jako samostatný správce údajů, neboť určuje účel a prostředky zpracování v rámci svých vlastních služeb (provoz modelu, retence, případné využití pro trénování). V určitých případech může být právní postavení jednotlivých stran posuzováno odlišně podle konkrétního způsobu využití služby. Správce v tomto vztahu vystupuje jako zpracovatel údajů pro Zákazníka a poskytuje technické rozhraní pro propojení.

b) Kategorie přenášených dat

Data, která mohou být v rámci rozhraní MCP přenášena, zahrnují zejména: analytické statistiky vyhledávání, vyhledávané dotazy, konfiguraci synonym, konfiguraci preferencí produktů (boost / pin / skrytí), metadata e-shopu, obsah průvodců (guides) a Welcome Widgetu. Vyhledávané dotazy mohou v ojedinělých případech obsahovat osobní údaje (např. jméno hledaného zákazníka, název firmy). Zákazník je povinen toto riziko vyhodnotit ve vztahu k subjektům údajů svých zákazníků a v případě potřeby data před aktivací rozhraní MCP odstranit, pseudonymizovat nebo jejich přenos omezit prostřednictvím nastavení (scope) přístupového tokenu.

c) Doporučení ohledně podmínek třetí strany

Správce doporučuje Zákazníkovi seznámit se s Privacy Policy společnosti Anthropic PBC (anthropic.com/legal/privacy) a zejména s rozsahem, ve kterém Anthropic zpracovává data pro účely trénování modelů. V případě placených plánů Anthropic (Claude Pro, Claude Team, Claude Enterprise) je trénování modelů standardně vypnuto (opt-out).

d) Auditní záznam MCP

Správce uchovává po dobu 90 dnů auditní záznam (audit log) všech operací provedených prostřednictvím rozhraní MCP. Záznam obsahuje: čas operace, identifikátor tokenu, název volané operace, vstupní argumenty, výsledek operace, IP adresu a User-Agent. Správce neukládá texty dialogů Zákazníka s modelem třetí strany ani odpovědi modelu třetí strany — ty zůstávají u poskytovatele třetí strany a Správce k nim nemá technický přístup. Zákazník má právo na export auditního záznamu ve strojově čitelném formátu. Delší uchování záznamu je možné pouze pokud je nezbytné pro řešení bezpečnostního incidentu, sporu nebo obranu právních nároků.

e) Změna podmínek třetí strany

Pokud poskytovatel třetí strany podstatným způsobem změní své podmínky nebo postupy zpracování osobních údajů způsobem, který může mít významný dopad na Zákazníka, Správce o takové změně Zákazníka informuje v administraci a Zákazník může bez sankce deaktivovat rozhraní MCP.