Vážíme si vašeho soukromí a zavazujeme se chránit vaše osobní údaje v souladu s nařízením GDPR (EU) 2016/679 a zákonem č. 110/2019 Sb., o zpracování osobních údajů. Tento dokument Vás informuje o tom, jaké údaje shromažďujeme, proč je zpracováváme a jaká máte práva.
I. Správce osobních údajů
Správce: Milan Roušavý
IČO: 192 852 81
DIČ: Neplátce DPH
Sídlo: Na Láni 1408, 516 01 Rychnov nad Kněžnou
Email: podpora@czech-gpt.cz
Web: czechgpt.cz
📧 Kontakt pro GDPR dotazy: podpora@czech-gpt.cz
(Pro výkon práv subjektu údajů - přístup, oprava, výmaz, přenositelnost)
II. Jaké osobní údaje zpracováváme
2.1 Registrace a účet
- Email: Identifikace uživatele, komunikace, obnova hesla
- Jméno a příjmení: Personalizace, fakturace (volitelné)
- Heslo: Hashováno Supabase Auth pomocí bcrypt (nečitelné, neprochausí našimi servery)
- Profilový obrázek: Volitelný (z Google OAuth nebo upload)
- OAuth údaje: Google ID, avatar URL (při použití Google přihlášení)
2.2 Platební údaje
- Platební karta: Zpracovává POUZE Stripe (PCI DSS compliant), my NEUKLÁDÁME čísla karet
- Fakturační adresa: Jméno, firma, IČO, DIČ, adresa (pro vystavení faktur)
- Stripe Customer ID: Pro propojení účtu se Stripe předplatným
- Faktury: Číslo faktury, částka, datum, status (pro účetnictví)
🔒 Bezpečnost plateb: Všechny platby zpracovává Stripe Payments Europe Ltd. (Irsko), certifikováno PCI DSS Level 1. Čísla karet NIKDY neprocházejí našimi servery.
2.3 Personalizační a údaje z úvodního průvodce (volitelné)
- Jméno a příjmení: Pro personalizaci obsahu v konverzacích
- Pracovní pozice: Pro kontextově relevantní odpovědi
- Firma: Pro generování firemního obsahu (emaily, texty)
- Telefon: Pro kontaktní kontext v generovaném obsahu
- Webové stránky: Pro relevantní odkazy v odpovědích
- Vlastní instrukce: Preference stylu odpovědí, tónu komunikace
- Odpovědi z úvodního průvodce: Role, cíl použití, zkušenost s AI, doporučené moduly a shrnutí průvodce
- Produktové preference: Volba person, stav úvodního průvodce, některé UI preference a navigační volby
🎯 Účel personalizace: Tyto údaje umožňují AI vytvářet relevantnější obsah přizpůsobený vašemu oboru, pozici a preferencím. Například při generování obchodních emailů, marketingových textů nebo odpovědí specifických pro váš obor.
🔒 Bezpečnost: Personalizační profil a údaje z úvodního průvodce ukládáme v databázi služby a používáme je pro personalizaci, úvodní průvodce a zlepšení UX uvnitř aplikace. Pro marketingové cookies a reklamní měření vždy vyžadujeme samostatný souhlas.
2.4 Používání služby
- Konverzace s AI: Dotazy, odpovědi, kontext (pro poskytování služby)
- Nahrané soubory: PDF, Word, Excel, obrázky a další přílohy (pro analýzu, navázané funkce a historii, pokud je zapnutá)
- Vygenerovaný obsah: Text, obrázky, videa (uloženo v historii)
- Spotřeba kreditů: Počet slov, vizuálů, videí, hlasu (pro billing)
- Preference: Jazyk rozhraní (čeština/slovenština), nastavení
- Anonymní režim: U anonymních konverzací se obsah neukládá do účtové historie v databázi, ale část lokálního stavu může být dočasně držena v prohlížeči
2.5 Technické údaje
- IP adresa: Bezpečnost, prevence zneužití, geolokace
- User Agent: Prohlížeč, operační systém (pro kompatibilitu)
- Cookies a local storage: Session ID, autentizace, cookie consent, některé preference a stav úvodního průvodce/UI
- Logy: Čas přístupu, API volání, chyby (pro debugging)
- Device fingerprint: Pro FREE tier limit (2 ukázkové dotazy denně bez registrace na zařízení)
2.6 Produktová analytika, úvodní průvodce a marketingové měření
- Produktová analytika: Používání modulů, kroky v úvodním průvodci, interní funnel a technické eventy pro UX optimalizaci
- Logy úvodního průvodce: Session ID, user ID, event, IP, user-agent a event payload pro měření průchodu průvodcem a ochranu proti zneužití
- Web analytics: Statistiky návštěvnosti a zdrojů návštěvnosti pouze po udělení souhlasu
- Marketing attribution: UTM parametry, Meta Pixel a konverzní eventy pouze po udělení souhlasu
🍪 Cookies a tracking: Nezbytné cookies a technické úložiště používáme pro přihlášení a funkčnost služby. Analytické a marketingové měření aktivujeme až po vašem souhlasu v cookie banneru.
III. Proč zpracováváme vaše údaje
| Účel | Právní základ | Jaké údaje |
|---|---|---|
| Poskytování služby CzechGPT | Smlouva (čl. 6 odst. 1 písm. b) | Email, jméno, konverzace, soubory |
| Zpracování plateb a fakturace | Smlouva + právní povinnost | Platební údaje, fakturační adresa |
| Autentizace a zabezpečení účtu | Smlouva + oprávněný zájem | Email, heslo, IP, cookies |
| Prevence zneužití (fraud detection) | Oprávněný zájem (čl. 6 odst. 1 písm. f) | IP, device fingerprint, usage patterns |
| Zákaznická podpora | Smlouva + oprávněný zájem | Email, historie účtu, logy |
| Personalizace a úvodní průvodce | Smlouva + oprávněný zájem | Profilové údaje, odpovědi z úvodního průvodce, preference |
| Interní produktová analytika a bezpečnostní monitoring | Oprávněný zájem | Usage data, eventy úvodního průvodce, logy, IP, user-agent |
| Webová analytika a marketing attribution | Souhlas (čl. 6 odst. 1 písm. a) | Cookies, UTM parametry, konverzní eventy |
| Marketing (newsletter) | Souhlas (čl. 6 odst. 1 písm. a) | Email (volitelný opt-in) |
| Účetnictví a daně | Právní povinnost (čl. 6 odst. 1 písm. c) | Faktury, platební historie (5-10 let) |
IV. Komu předáváme vaše údaje
⚠️ Vaše osobní údaje NEPRODÁVÁME třetím stranám! Předáváme je pouze těmto kategoriím poskytovatelů:
🔐 Platební služby (EU)
Účel: Zpracování plateb kartou, správa předplatného, vystavení faktur
Údaje: Email, jméno, fakturační adresa
Právní základ: Smlouva (čl. 6 odst. 1 písm. b GDPR) | Certifikace: PCI DSS Level 1
✓ Čísla kreditních karet nevidíme ani neukládáme
🤖 Poskytovatelé AI služeb
Účel: Zpracování textových dotazů, odpovědí, hlasových funkcí a části multimodálních funkcí
Konkrétní služby: Podle použité funkce zejména Google (Gemini, Imagen, TTS), OpenAI (např. realtime / vybrané hlasové funkce) a další partneři aktivovaní pro konkrétní modul
Údaje: Vaše dotazy, části konverzace, přiložené soubory nebo reference potřebné k dokončení požadované funkce
Právní základ: Smlouva (čl. 6 odst. 1 písm. b GDPR) | Umístění: EU a třetí země
⚠️ Konkrétní zpracovatel se může lišit podle modulu a aktuálně nasazené infrastruktury; při přenosech mimo EU používáme smluvní a technická opatření dle GDPR.
🎨 Poskytovatelé generativních mediálních služeb
Účel: Vytváření obrázků, videí, odstranění pozadí, upscale a dalších mediálních funkcí
Konkrétní služby: Podle funkce Google a u některých obrazových či video workflow také partneři jako Replicate nebo fal
Údaje: Text prompty, referenční obrázky, nahrané soubory a vygenerované výstupy
Právní základ: Smlouva (čl. 6 odst. 1 písm. b GDPR) | Umístění: EU a třetí země
☁️ Poskytovatelé hostingu a databází (EU)
Účel: Ukládání všech dat aplikace (účty, konverzace, nahrané soubory)
Konkrétní služby: Supabase (databáze, autentizace) — EU hosting; Vercel Inc. (USA) — hosting aplikace, chráněno SCC
Údaje: Všechna data aplikace včetně osobních údajů
Právní základ: Smlouva (čl. 6 odst. 1 písm. b GDPR) | Hosting: Datová centra v EU (Supabase) / globální edge síť (Vercel)
✓ Šifrování v klidu (AES-256) + šifrování v přenosu (TLS 1.3)
📊 Analytické nástroje (volitelné — vyžadují souhlas)
Účel: Statistiky návštěvnosti, optimalizace uživatelského zážitku
Konkrétní služby: Google Analytics 4 (Google Ireland Ltd., Irsko) a navazující server-side měření konverzí tam, kde je zapnuto po souhlasu
Údaje: Anonymizovaná IP adresa, navštívené stránky, čas na stránce, zdroj návštěvy
Právní základ: Souhlas (čl. 6 odst. 1 písm. a GDPR) | IP anonymizace: Zapnuta
ℹ️ Lze kdykoli vypnout v nastavení cookies
📱 Marketingové nástroje (volitelné — vyžadují souhlas)
Účel: Měření účinnosti reklamy — přiřazení konverzí (nákup, registrace) ke kampaním na Facebooku / Instagramu
Konkrétní služba: Meta Pixel (Meta Platforms Ireland Limited, Irsko; mateřská společnost Meta Platforms Inc., USA)
Údaje: Úkoní udržované v prohlížeči (cookies _fbp, _fbc) a události konverzí; řetězce konverzací ani zadávaný obsah se nepředávají
Právní základ: Souhlas (čl. 6 odst. 1 písm. a GDPR) | Přenos do USA: Chráněno SCC dle čl. 46 GDPR
⚠️ Aktivováno výhradně po udělení souhlasu v cookie banneru
🇪🇺 Přenos dat mimo EU (třetí země)
Někteří poskytovatelé AI a marketingových služeb sídlí mimo EU (zejména USA). Přenos osobních údajů je chráněn Standardními smluvními doložkami (SCC) schválenými Evropskou komisí podle čl. 46 GDPR. Přenos omezujeme na údaje nezbytné pro konkrétní funkci a průběžně vyhodnocujeme, zda je pro danou službu potřebný.
V. Jak dlouho uchováváme vaše údaje
| Kategorie údajů | Doba uchování | Důvod |
|---|---|---|
| Účet (email, jméno, heslo) | Do smazání účtu | Poskytování služby |
| Konverzace a historie | Do smazání účtu | Funkčnost služby (historie chatu) |
| Nahrané soubory (PDF, obrázky) | Po dobu potřebnou pro danou funkci nebo do smazání účtu / obsahu | Analýza souborů, přílohy, navázané funkce a uživatelská historie |
| Vygenerované obrázky/videa | Do smazání účtu | Historie generování |
| Faktury a platby | 10 let | Zákonná povinnost (účetnictví, daně) |
| Logy (IP, API volání) | Typicky 30-90 dní podle typu logu | Bezpečnost, debugging |
| Úvodní průvodce a produktová analytika | Po dobu nezbytnou pro vyhodnocení funnelu a UX, průběžně přehodnocováno | Úvodní průvodce, personalizace a vylepšování produktu |
| Analytické cookies | 14 měsíců | Automatické mazání |
| Cookies (session) | 7 dní (automaticky) | Udržení přihlášení |
✅ Po smazání účtu: Všechna osobní data (email, jméno, konverzace, soubory) jsou smazána do 30 dnů. Faktury jsou uchovány 10 let z důvodu účetnictví (zákon).
VI. Vaše práva podle GDPR
Jako subjekt údajů máte následující práva:
🔍 Právo na přístup (čl. 15)
Máte právo získat kopii všech vašich osobních údajů, které zpracováváme. Požadavek odešlete na: podpora@czech-gpt.cz
✏️ Právo na opravu (čl. 16)
Můžete opravit nepřesné údaje v Nastavení → Profil, nebo kontaktujte support.
🗑️ Právo na výmaz (čl. 17)
„Právo být zapomenut" - můžete požádat o smazání účtu a všech dat. Nastavení → Smazat účet, nebo email na podpora@czech-gpt.cz
📦 Právo na přenositelnost (čl. 20)
Můžete získat vaše data v strojově čitelném formátu (JSON) pro přenos k jinému poskytovateli.
🚫 Právo na omezení (čl. 18)
Můžete požádat o omezení zpracování v určitých případech (např. sporná přesnost údajů).
⛔ Právo vznést námitku (čl. 21)
Můžete vznést námitku proti zpracování založenému na oprávněném zájmu (např. marketing).
🔕 Právo odvolat souhlas
Pokud jste dali souhlas (newsletter, analytics), můžete ho kdykoli odvolat.
⚖️ Právo podat stížnost
Můžete podat stížnost u Úřadu pro ochranu osobních údajů (ÚOOÚ): uoou.cz
📧 Jak uplatnit svá práva?
- Zašlete email na: podpora@czech-gpt.cz
- Uveďte: jméno, email účtu, jaké právo uplatňujete
- Odpovíme do 30 dnů (GDPR limit)
- Ověříme vaši identitu (z bezpečnostních důvodů)
VII. Jak chráníme vaše údaje
Používáme následující bezpečnostní opatření:
🔐 Šifrování
- HTTPS/TLS 1.3 pro všechny přenosy
- Hesla hashována bcrypt (irreversible)
- Data at rest encryption (Supabase)
🔒 Přístupová kontrola
- Row Level Security (RLS) v databázi
- JWT autentizace s expirací
- Omezený přístup zaměstnanců (need-to-know)
🛡️ Prevence útoků
- Rate limiting (DDoS ochrana)
- SQL injection prevence (prepared statements)
- XSS protection (sanitizace inputů)
📋 Monitoring a logy
- Bezpečnostní logy (přihlášení, API volání)
- Alerting při podezřelé aktivitě
- Pravidelné bezpečnostní audity
⚠️ Data breach notifikace: V případě úniku osobních údajů Vás informujeme do 72 hodinv rozsahu, v jakém to vyžaduje GDPR, a současně splníme případné oznamovací povinnosti vůči ÚOOÚ.
VIII. Cookies a tracking
8.1 Jaké cookies používáme
| Typ | Název | Účel | Platnost | Nutné |
|---|---|---|---|---|
| Funkční | next-auth.session-token / __Secure-next-auth.session-token | Autentizace, udržení přihlášení | 7 dní | ✓ Ano |
| Funkční | cookie_consent | Uložení volby analytických a marketingových cookies | 1 rok | ✓ Ano |
| Analytické | _ga, _ga_* | Statistiky návštěvnosti a používání webu | 14 měsíců | ✗ Ne |
| Marketingové | _fbp, _fbc | Měření účinnosti reklamních kampaní Meta | Až 90 dní | ✗ Ne |
| Bezpečnostní | __Secure-csrf | CSRF ochrana | Session | ✓ Ano |
8.2 Jak odmítnout cookies
- Nastavení prohlížeče: Chrome, Firefox, Safari mají možnost blokovat third-party cookies
- Analytické a marketingové cookies: Lze vypnout v cookie banneru nebo později změnit vaše rozhodnutí
- Funkční cookies NELZE odmítnout (služba by nefungovala)
- Některé UI preference ukládáme do localStorage v prohlížeči; nejde o reklamní tracking, ale o technické uložení stavu aplikace
IX. Ochrana dětí
⚠️ Minimální věk: Služba je určena pro osoby starší 16 let. Pokud jste mladší 16 let, potřebujete souhlas rodičů nebo zákonného zástupce.
Pokud zjistíme, že zpracováváme údaje dítěte mladšího 16 let bez souhlasu rodičů, účet okamžitě zablokujeme a údaje smažeme.
X. Změny těchto zásad
Tyto zásady můžeme aktualizovat (např. při přidání nových funkcí). Změny budou zveřejněny na této stránce a u podstatných změn se vás pokusíme informovat přiměřeným způsobem (např. emailem nebo v aplikaci).
Pokud bude změna vyžadovat nový souhlas podle GDPR nebo pravidel pro cookies, vyžádáme si ho samostatně.
Aktuální verze: 1.2
Datum účinnosti: 27. března 2026
Poslední změna: 27. března 2026 (zpřesnění AI poskytovatelů, analytiky úvodního průvodce, retention a cookies)
XI. Kontakt pro GDPR dotazy
Pro uplatnění práv nebo dotazy ohledně zpracování osobních údajů kontaktujte:
Email: podpora@czech-gpt.cz
Předmět emailu: „GDPR – [vaše právo]" (např. „GDPR – Přístup k údajům")
Odpověď do: 30 dnů
Pokud nejste spokojeni s našimi odpověďmi, máte právo podat stížnost u dozorového úřadu:
Úřad pro ochranu osobních údajů
Pplk. Sochora 27, 170 00 Praha 7
Email: posta@uoou.cz
Tel.: +420 234 665 111
Web: www.uoou.cz