Privacy Policy
Tyto zásady popisují, jaké osobní údaje shromažďujeme při poskytování služby ProfiBrew.com, k čemu je používáme, komu je předáváme a jaká máte v souvislosti se zpracováním práva. Zásady jsou zpracovány v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 (GDPR) a zákonem č. 110/2019 Sb., o zpracování osobních údajů.
1. Správce osobních údajů
Správcem osobních údajů je společnost ProfiBrew s.r.o., společnost s ručením omezeným:
- IČO: 29562724
- Sídlo: U Zlatého potoka 253, 251 63 Kunice
- Zápis v OR: obchodní rejstřík Městského soudu v Praze, spisová značka C 448526/MSPH
- E-mail: info@profibrew.com
- Kontakt pro ochranu osobních údajů: info@profibrew.com
(dále jen „Správce")
Správce nemá ustanoveného pověřence pro ochranu osobních údajů, neboť jeho činnost nespadá pod povinnosti dle čl. 37 odst. 1 GDPR. Pro veškerou komunikaci ve věci osobních údajů použijte adresu info@profibrew.com.
2. Definice rolí — kdy jsme správcem a kdy zpracovatelem
ProfiBrew vystupuje ve dvou různých rolích podle typu zpracovávaných údajů:
Jako správce zpracováváme:
- osobní údaje uživatelů — fyzických osob, které si u nás zřídily účet (jméno, e-mail, telefon, role v pivovaru),
- fakturační údaje právnické osoby pivovaru,
- záznamy o přihlášení, aktivitě v systému a komunikaci s podporou.
Jako zpracovatel zpracováváme jménem tenanta jeho provozní data, mezi nimiž mohou být osobní údaje třetích osob (zaměstnanci tenanta, dodavatelé, odběratelé, koncoví zákazníci POS). Pro tato data je tenant správcem a ProfiBrew zpracovatelem dle čl. 28 GDPR. Vztah upravuje samostatná Zpracovatelská smlouva (DPA), kterou s tenantem uzavíráme — viz /zpracovatelska-smlouva.
3. Účely zpracování a právní základy
| Účel | Právní základ (čl. 6 GDPR) | Kategorie údajů |
|---|---|---|
| Vytvoření a správa účtu, poskytování Služby | Plnění smlouvy (1b) | Identifikační, kontaktní, přihlašovací |
| Fakturace a vedení účetnictví | Plnění právní povinnosti (1c) | Identifikační, fakturační |
| Zákaznická podpora | Plnění smlouvy (1b) + oprávněný zájem (1f) | Identifikační, kontaktní, obsah komunikace |
| Zajištění bezpečnosti, prevence zneužití | Oprávněný zájem (1f) | Logy, IP adresa, user agent |
| Vývoj a zlepšování Služby (anonymizovaná data) | Oprávněný zájem (1f) | Agregované provozní metriky |
| Zasílání obchodních sdělení existujícím zákazníkům | Oprávněný zájem (1f) — opt-out kdykoli | E-mail, jméno |
| Marketing novým zájemcům, kteří vyplnili formulář | Souhlas (1a) | E-mail, jméno, název firmy |
| Analytika provozu webu (Google Analytics) | Souhlas (1a) | Pseudonymizované cookies |
| Vyřizování požadavků dle GDPR | Plnění právní povinnosti (1c) | Identifikační údaje, obsah žádosti |
4. Kategorie zpracovávaných osobních údajů
- Identifikační údaje: jméno, příjmení
- Kontaktní údaje: e-mail, telefon, název pivovaru
- Fakturační údaje: IČO, DIČ, sídlo, bankovní spojení
- Přihlašovací údaje: e-mail, hash hesla (nikdy nevidíme heslo v původní podobě), tokeny pro autentizaci
- Provozní data: záznamy o přihlášení (čas, IP, user agent), historie akcí v aplikaci, IP adresa při volání API
- Komunikace: obsah e-mailů a zpráv, které nám pošlete
- Marketingové údaje: preference, zda souhlasíte s odběrem obchodních sdělení
5. Příjemci osobních údajů — subdodavatelé
Pro provoz Služby využíváme následující subdodavatele (subprocessory). Všichni jsou smluvně vázáni mlčenlivostí a zpracovávají údaje pouze podle našich pokynů.
| Subdodavatel | Účel | Lokalita |
|---|---|---|
| Supabase Inc. | Hosting databáze a autentizace | EU (Irsko) |
| Vercel Inc. | Hosting aplikace, CDN | EU (Frankfurt) — edge globálně |
| Anthropic, PBC | AI funkce (Watchers, Voice, Insights) | EU (Frankfurt) |
| Resend, Inc. | Doručování transakčních e-mailů | EU (Irsko) |
| Cloudflare, Inc. | Ochrana před boty (Turnstile captcha) | EU (Frankfurt) |
| Upstash Inc. | Rate limiting (Redis cache) | EU (Irsko) |
| Mapbox, Inc. | Mapové podklady pro plánování doprav | EU |
| Functional Software, Inc. (Sentry) | Sledování chyb aplikace pro rychlé řešení incidentů | EU (Frankfurt) |
| Google Ireland Ltd. | Webová analytika (Google Analytics 4) — pouze se souhlasem | EU (Irsko) |
Aktuální seznam subdodavatelů je dostupný kdykoli na vyžádání zasláním e-mailu na info@profibrew.com.
6. Předávání do třetích zemí
Veškeré osobní údaje jsou uloženy v datových centrech v Evropské unii (primárně Irsko a Německo). Žádný subdodavatel údaje aktivně nepředává mimo EU/EHP.
V případě, že by k takovému předání mělo dojít (například při technické podpoře od subdodavatele z USA), proběhne výhradně na základě:
- standardních smluvních doložek schválených Evropskou komisí (čl. 46 odst. 2 písm. c) GDPR),
- nebo přiměřených záruk v souladu s rámcem EU-US Data Privacy Framework.
7. Doba uchovávání
| Kategorie údajů | Doba uchovávání |
|---|---|
| Aktivní účet — provozní data, identifikační údaje | Po dobu trvání smluvního vztahu |
| Účetní a daňové doklady | 10 let (§ 35 zákona č. 235/2004 Sb. o DPH, § 31 zákona o účetnictví) |
| Údaje po zrušení účtu | 30 dní ochranná lhůta (možnost obnovy nebo exportu), poté uzamčení a trvalý výmaz |
| Kontaktní poptávky z webu a aplikace (kontaktní formulář, žádost o konzultaci, poptávka služeb, žádost o režim SPD, …) | Bez auto-mazání; identifikační údaje doporučeno anonymizovat po 180 dnech od přijetí |
| Evidence bezpečnostních incidentů (čl. 33 GDPR) | Po dobu existence Správce + 5 let od vyřešení incidentu pro účely auditu |
| Logy bezpečnostních událostí | Maximálně 12 měsíců |
| Marketingové údaje (pokud zpracováváme na základě souhlasu) | Do odvolání souhlasu, max. 3 roky bez aktivity |
| Obsah komunikace s podporou | 3 roky od posledního kontaktu |
| Údaje k uplatňování práv ze smlouvy | Po dobu promlčecí lhůty (max. 10 let) |
Na výslovnou žádost můžeme údaje smazat dříve, pokud tomu nebrání zákonná povinnost (zejména účetní a daňová evidence).
8. Vaše práva
V souvislosti se zpracováním osobních údajů máte následující práva:
- Právo na přístup k osobním údajům (čl. 15 GDPR) — můžete si vyžádat kopii údajů, které o vás zpracováváme
- Právo na opravu nepřesných nebo neúplných údajů (čl. 16 GDPR) — většinu údajů můžete opravit přímo v nastavení účtu
- Právo na výmaz („být zapomenut") (čl. 17 GDPR) — s výjimkou údajů, které musíme uchovávat ze zákona
- Právo na omezení zpracování (čl. 18 GDPR) — v případech, kdy je správnost údajů sporná nebo zpracování protiprávní
- Právo na přenositelnost (čl. 20 GDPR) — kompletní export svých dat ve strojově čitelném formátu (CSV/JSON) najdete v nastavení účtu
- Právo vznést námitku proti zpracování na základě oprávněného zájmu (čl. 21 GDPR)
- Právo odvolat souhlas (kdykoli, bez vlivu na zpracování před odvoláním)
- Právo nebýt předmětem automatizovaného rozhodování (čl. 22 GDPR) — žádné takové rozhodování neprovádíme
- Právo podat stížnost u dozorového úřadu — Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, www.uoou.cz
Jak práva uplatnit
Samoobslužně přímo v aplikaci (majitel a administrátor účtu — sekce Nastavení → Soukromí a data):
- Stáhnout všechna data (JSON) — strojově čitelný export celého účtu pro vlastní zálohu, přenos do jiného systému nebo přípravu podkladů pro žádost subjektu údajů. Akce je dostupná 1× za 24 hodin.
- Zrušit účet — spustí 30denní ochrannou lhůtu, během níž lze účet jediným klikem obnovit; po jejím uplynutí dochází k uzamčení a trvalému výmazu (s výjimkou údajů uchovávaných ze zákona).
Pro žádosti jednotlivých kontaktních osob (zákazníků, dodavatelů) má majitel/administrátor v detailu partnera tlačítka „GDPR: Stáhnout údaje (JSON)" a „GDPR: Anonymizovat (právo na výmaz)".
E-mailem na info@profibrew.com — pro vše ostatní (přístup k údajům, které nejsou v partnerských záznamech, posouzení vlivu na ochranu osobních údajů, námitky proti zpracování). Pro ověření totožnosti můžeme požádat o dodatečné údaje. Odpovíme nejpozději do 30 dní od přijetí žádosti; v odůvodněných případech lze lhůtu prodloužit o 2 měsíce s předchozím informováním.
Vyřízení žádosti je bezplatné. V případě zjevně neopodstatněných nebo opakovaných žádostí můžeme účtovat přiměřený poplatek nebo žádost odmítnout.
9. Cookies a sledovací technologie
Webová prezentace ProfiBrew.com používá tři kategorie cookies:
- Nezbytné — pro fungování aplikace (přihlášení, jazyk, bezpečnost). Bez nich služba nefunguje. Právní základ: oprávněný zájem.
- Analytické — Google Analytics 4 s anonymizací IP. Pomáhají pochopit, jak se web používá. Právní základ: souhlas.
- Marketingové — měření efektivity reklamních kampaní. Právní základ: souhlas.
Souhlas s analytickými a marketingovými cookies můžete kdykoli odvolat nebo upravit prostřednictvím cookie lišty (vyvolat ji lze vymazáním klíče profibrew.cookieConsent.v1 v localStorage prohlížeče).
10. Zabezpečení dat
Zavedli jsme technická a organizační opatření přiměřená rizikům:
- Šifrování přenosu přes HTTPS/TLS
- Šifrování dat v klidu (at-rest encryption na úrovni databáze a záloh)
- Izolace dat na úrovni databáze (PostgreSQL Row Level Security) — žádný tenant nemůže vidět data jiného tenanta
- Vícefaktorová autentizace (2FA) pro administrátory i běžné uživatele (volitelně)
- Auditní stopa všech významných operací s daty (dostupná zákazníkovi v nastavení účtu)
- Pravidelné zálohování dat se schopností obnovy do bodu v čase
- Pravidelné bezpečnostní aktualizace infrastruktury
Více v dokumentu Technický popis pro IT.
11. Bezpečnostní incidenty
V případě porušení zabezpečení osobních údajů, které by mohlo vést k riziku pro práva a svobody subjektů údajů, oznámíme incident Úřadu pro ochranu osobních údajů do 72 hodin od jeho zjištění (čl. 33 GDPR) a v relevantních případech bez zbytečného odkladu i dotčeným subjektům údajů (čl. 34 GDPR).
Vedeme interní registr bezpečnostních incidentů s časovou stopou (kdy zjištěno, kdy hlášeno, kdy notifikováni dotčení, jaká opatření byla přijata) a máme připravené šablony hlášení, abychom 72hodinovou lhůtu bezpečně dodrželi.
Podezření na neoprávněný přístup nahlaste na info@profibrew.com (nebo support@profibrew.com).
12. Automatizované rozhodování a profilování
Neprovádíme automatizované rozhodování ani profilování ve smyslu čl. 22 GDPR, které by mělo právní nebo obdobně významné účinky na subjekt údajů. AI funkce ve Službě (Watchers, Voice, Insights) slouží jako pomocný nástroj pro uživatele a neprovádí samostatná rozhodnutí s právními následky.
13. Změny zásad
Tyto Zásady ochrany osobních údajů můžeme aktualizovat. O podstatných změnách Vás budeme informovat e-mailem nebo oznámením v aplikaci nejméně 30 dní před účinností. Aktuální verze je vždy dostupná na adrese profibrew.com/privacy.
Verze 1.0 — Platnost od: 1. 6. 2026