Zásady ochrany osobních údajů | NaTermin.cz

1. Správce osobních údajů

Správcem osobních údajů je provozovatel platformy NaTermin.cz (dále jen "NaTermin", "my" nebo "nás"):

Provozovatel: Kateřina Sokolová
IČO: 22443991
Sídlo: Pražská třída 916/65, 500 04 Hradec Králové
Zápis: Fyzická osoba podnikající dle živnostenského zákona, zapsaná v živnostenském rejstříku
Kontaktní telefon: +420 605 459 346
Kontaktní e-mail: podpora@natermin.cz

S ohledem na rozsah a povahu zpracování osobních údajů nebyl jmenován pověřenec pro ochranu osobních údajů (DPO), neboť nám tato povinnost nevyplývá z čl. 37 GDPR. Pro veškeré dotazy týkající se ochrany osobních údajů nás kontaktujte na podpora@natermin.cz.

2. Role NaTermin při zpracování

NaTermin vystupuje v závislosti na kategorii subjektů údajů ve dvojí roli:

Role	Ve vztahu k	Popis
Správce	Uživatelé (provozovatelé salónů), zaměstnanci salónů, návštěvníci webu	NaTermin určuje účely a prostředky zpracování osobních údajů
Zpracovatel	Klienti salónů (koncoví zákazníci)	NaTermin zpracovává údaje na základě pokynů Uživatele (provozovatele salónu), viz čl. 12 těchto zásad

3. Kategorie zpracovávaných osobních údajů

3.1 Provozovatelé salónů (B2B - "Uživatelé")

Kategorie	Konkrétní údaje	Účel	Právní základ
Identifikační	Jméno, příjmení, název provozovny	Registrace a správa účtu	Plnění smlouvy
Kontaktní	E-mail, telefon (E.164)	Komunikace, OTP ověření	Plnění smlouvy
Podnikatelské	IČO, fakturační adresa, DIČ	Fakturace	Zákonná povinnost
Přístupové	Heslo (bcrypt hash), JWT tokeny	Přihlášení a autentizace	Plnění smlouvy
Fakturační	Historie plateb, faktury, Stripe Customer ID	Správa předplatného	Plnění smlouvy, zákonná povinnost
Provozní	Nastavení salónu, slug, otevírací doba, ceník	Poskytování služby	Plnění smlouvy
Údaje o zařízení	Prohlížeč, operační systém, IP adresa	Zabezpečení, diagnostika	Oprávněný zájem

3.2 Zaměstnanci salónů

Kategorie	Konkrétní údaje	Účel	Právní základ
Identifikační	Jméno, příjmení	Identifikace v systému	Plnění smlouvy
Kontaktní	E-mail, telefon	Komunikace, přihlášení	Plnění smlouvy
Profilové	Fotografie, specializace	Prezentace na veřejném profilu	Plnění smlouvy
Pracovní	Pracovní doba, nabízené služby, role	Organizace práce	Plnění smlouvy
Přístupové	Heslo (bcrypt hash), JWT tokeny	Přihlášení a autentizace	Plnění smlouvy
Statistické	Počet klientů, tržby	Provozní přehledy	Oprávněný zájem

3.3 Klienti salónů (koncoví zákazníci)

Kategorie	Konkrétní údaje	Účel	Právní základ
Identifikační	Jméno, příjmení	Identifikace při rezervaci	Plnění smlouvy
Kontaktní	Telefon (E.164), e-mail	Potvrzení, připomínky	Plnění smlouvy
Rezervace	Historie rezervací, datum, čas, služba, cena	Poskytování služby	Plnění smlouvy
Platební	Záloha, dárkové poukazy, slevové kódy	Zpracování plateb	Plnění smlouvy
Doplňkové	Poznámky, VIP označení, počet návštěv, celková útrata	Personalizace služeb	Oprávněný zájem
Hodnocení	Recenze a hodnocení	Zpětná vazba	Oprávněný zájem
Marketing	Souhlas se zasíláním SMS/e-mailů	Marketingová komunikace	Souhlas

3.4 Návštěvníci webu

Kategorie	Konkrétní údaje	Účel	Právní základ
Technické	IP adresa, prohlížeč, operační systém	Zabezpečení, diagnostika	Oprávněný zájem
Aktivita	Přístupy, navštívené stránky, referrer	Zlepšování služeb	Oprávněný zájem
Analytické	PostHog anonymizovaná data, session recordings (pouze admin rozhraní)	Analytika, monitoring	Oprávněný zájem

4. Účely zpracování - souhrn

#	Účel	Subjekty údajů	Právní základ
1	Provoz rezervačního systému	Uživatelé, zaměstnanci, klienti	Plnění smlouvy
2	Správa uživatelských účtů	Uživatelé, zaměstnanci	Plnění smlouvy
3	Komunikace (SMS/e-mail notifikace)	Klienti	Plnění smlouvy, souhlas (marketing)
4	Zpracování plateb (předplatné)	Uživatelé	Plnění smlouvy
5	Zprostředkování plateb (Stripe Connect)	Uživatelé, klienti	Plnění smlouvy
6	POS / Tap to Pay platby	Uživatelé, klienti	Plnění smlouvy
7	Dárkové poukazy	Uživatelé, klienti	Plnění smlouvy
8	SMS a e-mailové kampaně	Klienti	Souhlas
9	Statistiky a přehledy	Agregovaně	Oprávněný zájem
10	Zabezpečení a ochrana systému	Všichni	Oprávněný zájem
11	Zákonné povinnosti (účetnictví, daně)	Uživatelé	Zákonná povinnost
12	Zlepšování služeb	Agregovaně / anonymně	Oprávněný zájem
13	Analytika a monitoring (PostHog)	Uživatelé admin rozhraní	Oprávněný zájem

5. Příjemci osobních údajů (sub-zpracovatelé)

Osobní údaje sdílíme pouze s důvěryhodnými partnery nezbytnými pro provoz služby:

Příjemce	Sídlo	Účel	Umístění dat	Záruky
Supabase, Inc. (na Hetzner)	Hetzner Industriestr. 25, Gunzenhausen, DE	Databáze	EU (Německo)	GDPR, ISO 27001
Hetzner Online GmbH	Industriestr. 25, Gunzenhausen, DE	Infrastruktura	EU (Německo)	GDPR, ISO 27001
Vercel, Inc.	Walnut, CA, USA	Hosting, CDN	USA + EU edge	EU-US DPF, SCC
Stripe, Inc.	South San Francisco, CA, USA	Zpracování plateb	USA + EU	EU-US DPF, SCC, PCI DSS
Join API s.r.o.	Česká republika	SMS zasílání	ČR / EU	Zpracovatelská smlouva
Wedos a.s.	Hluboká nad Vltavou, ČR	SMTP e-mailové služby	ČR	Zpracovatelská smlouva
PostHog, Inc.	EU cloud (Frankfurt)	Analytika, monitoring	EU (Frankfurt)	Zpracovatelská smlouva, GDPR

O změně sub-zpracovatelů informujeme e-mailem s předstihem minimálně 14 dní. Námitky lze zaslat na podpora@natermin.cz.

Osobní údaje neprodáváme a nikdy neprodáme třetím stranám.

6. Předání do třetích zemí

USA (Stripe, Vercel): Předání je zajištěno na základě rozhodnutí o přiměřenosti - EU-US Data Privacy Framework (DPF) - a doplňkově standardními smluvními doložkami (SCC).
Hlavní databáze: Uložena výhradně v EU (Hetzner, Německo).
Serverless funkce (Vercel): Primární region fra1 (Frankfurt, Německo).
PostHog: EU cloud (Frankfurt, Německo).
Jiné třetí země: Osobní údaje nepředáváme do žádných jiných třetích zemí mimo EHP.

7. Doba uchovávání

Kategorie údajů	Doba uchovávání
Účet Uživatele (provozovatele)	Po dobu trvání účtu + 30 dní po zrušení
Zaměstnanci salónu	Po dobu trvání smluvního vztahu
Klienti salónu	Po dobu trvání účtu Uživatele
Historie rezervací	2 roky, poté anonymizace
Fakturační údaje	10 let (zákon č. 563/1991 Sb., o účetnictví)
SMS/e-mail logy	12 měsíců
Technické logy	30 dní
Aktivita v aplikaci	90 dní
Audit logy	24 měsíců
Dárkové poukazy	12 měsíců po expiraci + účetní lhůta
Analytická data (PostHog)	12 měsíců
Anonymizované statistiky	Bez časového omezení

8. Práva subjektů údajů

Podle nařízení GDPR máte následující práva:

8.1 Právo na přístup (čl. 15 GDPR)

Máte právo získat potvrzení, zda vaše osobní údaje zpracováváme, a pokud ano, získat k nim přístup spolu s informacemi o účelech zpracování, kategoriích údajů, příjemcích a plánované době uchovávání.

8.2 Právo na opravu (čl. 16 GDPR)

Máte právo na opravu nepřesných osobních údajů a na doplnění neúplných osobních údajů.

8.3 Právo na výmaz - právo být zapomenut (čl. 17 GDPR)

Máte právo požádat o výmaz svých osobních údajů. Toto právo není absolutní - nevztahuje se na případy, kdy je zpracování nezbytné pro splnění právní povinnosti, pro určení, výkon nebo obhajobu právních nároků, nebo z důvodů veřejného zájmu.

8.4 Právo na omezení zpracování (čl. 18 GDPR)

Máte právo požádat o omezení zpracování osobních údajů, například pokud popíráte přesnost údajů, zpracování je protiprávní, nebo údaje již nepotřebujeme, ale vy je potřebujete pro právní nároky.

8.5 Právo na přenositelnost údajů (čl. 20 GDPR)

Máte právo obdržet své osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu. Na vyžádání exportujeme vaše data ve formátu CSV nebo JSON. Export zahrnuje:

Klienti a jejich kontaktní údaje
Historie rezervací
Nabízené služby a kategorie
Zaměstnanci
Dárkové poukazy
Finanční přehledy

Export bude zpracován do 14 dní od doručení žádosti.

8.6 Právo vznést námitku (čl. 21 GDPR)

Máte právo kdykoli vznést námitku proti zpracování osobních údajů, které je založeno na oprávněném zájmu. V případě námitky přestaneme údaje zpracovávat, pokud neprokážeme závažné oprávněné důvody.

8.7 Právo odvolat souhlas

Pokud zpracování vychází z vašeho souhlasu, máte právo jej kdykoli odvolat. Odvoláním souhlasu není dotčena zákonnost zpracování založeného na souhlasu před jeho odvoláním.

8.8 Právo podat stížnost u dozorového úřadu

Máte právo podat stížnost u Úřadu pro ochranu osobních údajů (ÚOOÚ):

Adresa: Pplk. Sochora 27, 170 00 Praha 7
Web: www.uoou.cz
E-mail: posta@uoou.cz

8.9 Jak uplatnit svá práva

Pro uplatnění kteréhokoli z výše uvedených práv nás kontaktujte na podpora@natermin.cz. Vaši žádost vyřídíme do 30 dní. V případě složitosti nebo většího počtu žádostí může být lhůta prodloužena o dalších 60 dní, o čemž vás budeme informovat.

9. Profilování a automatizované rozhodování

NaTermin neprovádí profilování ve smyslu čl. 22 GDPR.
Neprovádíme automatizované rozhodování, které by mělo právní účinky nebo se vás obdobně významně dotýkalo.
Statistické přehledy (tržby, počty klientů, obsazenost) jsou čistě provozním nástrojem pro Uživatele.
VIP označení klientů je nastavováno manuálně provozovatelem salónu, nikoli automaticky.

10. Cookies a sledovací technologie

Nezbytné technické cookies: Používáme pouze cookies nezbytné pro fungování aplikace - autentizační tokeny a session cookies. Tyto cookies nelze odmítnout, neboť bez nich by aplikace nefungovala.
Analytické cookies (PostHog): Pro zlepšování služeb používáme analytický nástroj PostHog s daty uloženými v EU (Frankfurt). Zpracování je založeno na oprávněném zájmu. Opt-out je možný.
Marketingové cookies třetích stran: Nepoužíváme žádné marketingové cookies třetích stran (žádný Facebook Pixel, Google Ads, ani podobné sledovací nástroje).

Podrobné informace o souborech cookie naleznete na stránce Cookies.

11. Zabezpečení

Přijali jsme technická a organizační opatření k ochraně osobních údajů odpovídající míře rizika.

Technická opatření

Opatření	Popis
HTTPS / TLS 1.2+	Veškerá komunikace je šifrována
bcrypt hash (faktor 12)	Hesla jsou bezpečně hashována, nikdy uložena v čitelné podobě
JWT s kryptografickým podpisem	Autentizační tokeny s ověřeným podpisem
OTP ověření telefonu	Jednorázové kódy pro ověření identity klientů
Tenant izolace (RLS)	Row Level Security zajišťuje izolaci dat mezi salóny
Rate limiting	Ochrana proti zneužití API a brute-force útokům
AES-256 šifrování v klidu	Data na discích jsou šifrována
Audit logging	Zaznamenávání bezpečnostně relevantních událostí
Pravidelné aktualizace	Průběžné aktualizace závislostí a bezpečnostních záplat
CORS	Omezení cross-origin požadavků na povolené domény

Organizační opatření

Princip minimálních oprávnění (least privilege): Přístup pouze k údajům nezbytným pro danou roli.
Oddělení rolí: Administrátor vs. zaměstnanec s odlišnými oprávněními.
Code review: Veškeré změny kódu procházejí kontrolou před nasazením.
Pravidelný přezkum oprávnění: Periodická kontrola přístupových práv.

12. Zpracovatelská smlouva (DPA)

12.1 Role při zpracování

Ve vztahu k osobním údajům klientů salónů vystupuje NaTermin jako zpracovatel a provozovatel salónu (Uživatel) jako správce. Ve vztahu k údajům samotných Uživatelů a jejich zaměstnanců vystupuje NaTermin jako správce.

12.2 Rámcová zpracovatelská smlouva

Tyto zásady obsahují rámcovou úpravu zpracovatelské smlouvy ve smyslu čl. 28 GDPR. Podrobná zpracovatelská smlouva (DPA) je k dispozici na vyžádání na podpora@natermin.cz.

12.3 Povinnosti NaTermin jako zpracovatele

NaTermin se jako zpracovatel zavazuje zejména (dle čl. 28 GDPR):

Zpracovávat osobní údaje pouze na základě doložených pokynů správce (Uživatele).
Zajistit, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti.
Přijmout veškerá opatření požadovaná dle čl. 32 GDPR (zabezpečení zpracování).
Dodržovat podmínky pro zapojení dalšího zpracovatele dle čl. 28 odst. 2 a 4 GDPR.
Být správci nápomocen při zajišťování povinností podle čl. 32 až 36 GDPR.
Po ukončení poskytování služeb všechny osobní údaje vymazat nebo vrátit dle volby správce.
Poskytnout správci veškeré informace potřebné k doložení splnění povinností dle čl. 28 GDPR.
Umožnit audity a inspekce prováděné správcem nebo jím pověřeným auditorem.

12.4 Povinnosti Uživatele jako správce

Uživatel (provozovatel salónu) se jako správce zavazuje zejména:

Zajistit zákonný důvod pro zpracování osobních údajů svých klientů.
Informovat své klienty o zpracování jejich osobních údajů v souladu s čl. 13 a 14 GDPR.
Vyřizovat žádosti subjektů údajů (svých klientů) o uplatnění jejich práv.
Neukládat do systému zvláštní kategorie osobních údajů (čl. 9 GDPR), pokud k tomu není výslovný souhlas a právní základ.

13. Porušení zabezpečení osobních údajů (Data Breach)

Definice: Porušením zabezpečení osobních údajů se rozumí porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně, neoprávněnému poskytnutí nebo zpřístupnění osobních údajů (dle čl. 4 odst. 12 GDPR).

V případě porušení zabezpečení postupujeme následovně:

Detekce a vyhodnocení: Bezodkladné vyhodnocení rozsahu a závažnosti incidentu, identifikace postižených údajů a subjektů.
Oznámení Uživateli: V případě, že se porušení týká údajů klientů salónu, informujeme dotčeného Uživatele (provozovatele salónu) do 48 hodin od zjištění incidentu.
Oznámení ÚOOÚ: Pokud je pravděpodobné, že porušení bude mít za následek riziko pro práva a svobody fyzických osob, ohlásíme porušení Úřadu pro ochranu osobních údajů do 72 hodin (čl. 33 GDPR).
Oznámení subjektům údajů: Pokud je pravděpodobné, že porušení bude mít za následek vysoké riziko pro práva a svobody fyzických osob, informujeme bez zbytečného odkladu přímo dotčené subjekty údajů (čl. 34 GDPR).
Dokumentace: Veškeré incidenty dokumentujeme včetně jejich povahy, důsledků a přijatých nápravných opatření.
Nápravná opatření: Přijmeme okamžitá technická a organizační opatření k zamezení dalšího porušení a minimalizaci dopadů.

14. Změny těchto zásad

O změnách těchto zásad informujeme e-mailem nebo oznámením v aplikaci s předstihem minimálně 30 dní před jejich účinností.
Aktuální znění zásad je vždy k dispozici na webu NaTermin.cz.
Pokračování v používání služby po účinnosti změn se považuje za souhlas s aktualizovaným zněním.
Za podstatnou změnu se považuje zejména: zavedení nového účelu zpracování, nová kategorie zpracovávaných údajů, změna právního základu, nebo zapojení sub-zpracovatele mimo Evropský hospodářský prostor.

15. Kontakt

Pokud máte jakékoli dotazy ohledně zpracování osobních údajů nebo chcete uplatnit svá práva, kontaktujte nás:

E-mail: podpora@natermin.cz
Web: natermin.cz

Dozorový úřad: Úřad pro ochranu osobních údajů (ÚOOÚ), Pplk. Sochora 27, 170 00 Praha 7, www.uoou.cz, posta@uoou.cz.