1. Definice a rozsah použití
Pro účely tohoto dokumentu:
- „osobní údaj" znamená jakoukoliv informaci, která se týká identifikované či identifikovatelné fyzické osoby (čl. 4 bod 1 GDPR). Za identifikovatelnou osobu se považuje osoba, kterou lze přímo či nepřímo identifikovat pomocí identifikátoru nebo specifických znaků.
- „zpracování" znamená jakoukoli operaci s osobními údaji nebo soubory osobních údajů, např. shromažďování, zaznamenávání, uspořádání, strukturování, uložení, změnu, vyhledávání, nahlédnutí, použití, zpřístupnění, přenos, šíření, vymazání či zničení (čl. 4 bod 2 GDPR).
- „správce" určuje účely a prostředky zpracování osobních údajů; „zpracovatel" zpracovává osobní údaje jménem správce (čl. 4 bod 7, 8 GDPR).
- „subjekt údajů" je identifikovaná či identifikovatelná fyzická osoba, které se osobní údaje týkají (čl. 4 bod 1 GDPR).
Tento dokument se vztahuje na veškeré zpracování osobních údajů v rámci služeb poskytovaných prostřednictvím webové stránky Tren.cz, včetně všech souvisejících subdomén a API rozhraní.
2. Identifikace správce a kontaktní údaje
Správce osobních údajů:
ATSP GmbH
Icon Tower, Wiedner Gürtel 13
1100 Vídeň, Rakousko
IČO: FN 123456a
E-mail: [email protected]
Pověřenec pro ochranu osobních údajů (DPO) pro Českou republiku:
Marek Polášek
E-mail: [email protected]
Zastoupení v České republice:
Pro účely komunikace s českými uživateli a orgány je určena kontaktní osoba uvedená výše, která je oprávněna jednat za správce ve věcech ochrany osobních údajů.
3. Základní principy a zásady zpracování
Při zpracování Vašich osobních údajů se řídíme následujícími principy dle čl. 5 GDPR:
- Zákonnost, korektnost a transparentnost – osobní údaje zpracováváme pouze na základě platného právního základu a informujeme Vás o tom transparentním způsobem.
- Účelové omezení – údaje shromažďujeme pouze pro konkrétní, výslovně vyjádřené a legitimní účely a dále je nezpracováváme způsobem neslučitelným s těmito účely.
- Minimalizace údajů – shromažďujeme pouze takové údaje, které jsou přiměřené, relevantní a nezbytné ve vztahu k účelům zpracování.
- Přesnost údajů – dbáme na to, aby osobní údaje byly přesné a v případě potřeby aktualizované. Nepřesné údaje bez zbytečného odkladu opravujeme nebo vymazáváme.
- Omezení uložení – uchováváme osobní údaje pouze po dobu nezbytnou pro dosažení účelů zpracování.
- Integrita a důvěrnost – zajišťujeme odpovídající bezpečnost osobních údajů pomocí vhodných technických a organizačních opatření.
- Odpovědnost – jsme schopni prokázat dodržování všech výše uvedených zásad.
4. Jaké osobní údaje zpracováváme
| Kategorie údajů | Konkrétní příklady | Zdroj získání | Povinnost poskytnutí |
|---|---|---|---|
| Technické a provozní údaje | IP adresa, User-Agent, datum a čas požadavku, URL navštívené stránky, referrer | Automaticky z Vašeho zařízení | Nezbytné pro fungování služby |
| Bezpečnostní údaje (Cloudflare) | IP adresa, geografická poloha na úrovni země, bezpečnostní skóre, bot-detection údaje[1] | Cloudflare, Inc. | Nezbytné pro bezpečnost |
| CDN logy (Bunny) | ID serveru, response kódy, velikost přenesených dat, cache statistiky[2] | BunnyWay d.o.o. | Technicky nutné pro výkon |
| Reklamní přesměrování (Sklik) | URL parametry kampaně, čas kliknutí, pseudonymní ID, hash IP adresy[3] | Přesměrování z mereni.tren.cz | Dobrovolné (marketingový souhlas) |
| Komunikační údaje | E-mailová adresa, obsah zpráv, časová razítka, IP adresa odesílatele | Vaše aktivní komunikace | Dobrovolné |
| Cookies a lokální úložiště | Session ID, bezpečnostní tokeny, jazykové preference | Váš prohlížeč | Technicky nutné/volitelné |
Vysvětlivky k technickým postupům:
[1] Bezpečnostní údaje Cloudflare: IP adresy jsou automaticky pseudonymizovány pomocí SHA-256 hashování s rotujícím solí (salt). Geografická data jsou omezena na úroveň země bez přesnější lokalizace.
[2] CDN logy Bunny: Veškeré identifikující údaje jsou pseudonymizovány a agregovány. Původní IP adresy jsou hashovány a nejsou rekonstruovatelné.
[3] Sklik tracking: IP adresy jsou ihned po zpracování převedeny na nevratný hash pomocí SHA-256. Přesnost měření je zachována bez možnosti re-identifikace uživatele.
5. Účely zpracování a právní základy
| Účel zpracování | Podrobný popis | Právní základ (čl. 6 GDPR) | Doba uchování |
|---|---|---|---|
| Provoz a zabezpečení webu | Zobrazení obsahu, load balancing, prevence DDoS útoků, detekce škodlivého provozu, spam filtrace | Oprávněný zájem – čl. 6 odst. 1 písm. f) | 30 dní |
| Bezpečnostní ochrana (Cloudflare) | WAF (Web Application Firewall), bot management, rate limiting, SSL/TLS terminace | Oprávněný zájem – čl. 6 odst. 1 písm. f) | 30 dní |
| Optimalizace výkonu (CDN) | Caching statických zdrojů, geo-routing, komprese dat, optimalizace obrázků | Oprávněný zájem – čl. 6 odst. 1 písm. f) | 30 dní |
| Měření účinnosti kampaní | Tracking konverzí, ROI analýza, A/B testování, optimalizace reklamního obsahu | Souhlas – čl. 6 odst. 1 písm. a) / Oprávněný zájem | 14 dní |
| Komunikace s uživateli | Odpovědi na dotazy, technická podpora, vyřízení práv subjektů údajů, stížností | Plnění smlouvy/předsmluvní jednání – čl. 6 odst. 1 písm. b) | 3 roky |
| Plnění právních povinností | Archivace pro účetní a daňové účely, hlášení bezpečnostních incidentů, compliance | Právní povinnost – čl. 6 odst. 1 písm. c) | Dle právních předpisů |
Posouzení oprávněných zájmů
Při zpracování na základě oprávněných zájmů jsme provedli test vyvážení zájmů a dospěli k závěru, že naše oprávněné zájmy převažují nad riziky pro Vaše základní práva a svobody, zejména s ohledem na:
- Minimalizaci zpracovávaných údajů
- Použití pokročilých pseudonymizačních technik
- Krátkodobé uchovávání údajů
- Vysokou úroveň zabezpečení
- Možnost uplatnění námitky
6. Doby uchování osobních údajů
| Kategorie údajů | Standardní doba uchování | Výjimky/prodloužení | Způsob likvidace |
|---|---|---|---|
| Reklamní přesměrování (Sklik) | 14 kalendářních dní | Žádné | Automatické nevratné smazání + overwrite |
| CDN logy (Bunny) | 30 kalendářních dní | Bezpečnostní incident: +60 dní | Automatické smazání + secure wipe |
| Bezpečnostní logy (Cloudflare) | 30 kalendářních dní | Aktivní vyšetřování: +90 dní | Kryptografické smazání klíčů |
| Serverové provozní logy | 30 kalendářních dní | Kritický incident: +180 dní | Multi-pass secure delete |
| E-mailová komunikace | 3 roky od vyřízení požadavku | Právní spor: do ukončení + 1 rok | Definitivní smazání včetně záloh |
| Záznamy o bezpečnostních incidentech | 5 let | Závažné incidenty: až 10 let | Archivace, pak secure delete |
| Záznamy o výkonu práv subjektů | 5 let od vyřízení | Žádné | Kompletní likvidace |
Automatické smazání: Implementovali jsme automatizované procesy pro smazání údajů po uplynutí stanových lhůt. Systém denně kontroluje a odstraňuje expirované záznamy.
7. Příjemci a kategorie příjemců údajů
| Příjemce / Zpracovatel | Sídlo / Země | Účel předání | Zabezpečení a záruky |
|---|---|---|---|
| Cloudflare, Inc. | USA (adekvátní rozhodnutí) | CDN, DDoS ochrana, WAF, SSL/TLS | Zpracovatelská smlouva dle čl. 28 GDPR, certifikace SOC 2 Type II |
| BunnyWay d.o.o. (Bunny CDN) | Slovinsko (EU) | Doručení obsahu, cache management | Zpracovatelská smlouva, pseudonymizace, ISO 27001 |
| Seznam.cz, a.s. (Sklik) | Česká republika (EU) | Měření konverzí, reklamní reporty | Zpracovatelská smlouva, hash IP adres, minimalizace dat |
| Hosting provider (Hetzner) | Německo (EU) | Poskytování serverové infrastruktury | Zpracovatelská smlouva, šifrování at-rest, ISO 27001 |
Zásady předávání údajů
- Minimalizace: Předáváme pouze údaje nezbytné pro konkrétní účel
- Pseudonymizace: Kde je to technicky možné, používáme pseudonymizované identifikátory
- Šifrování: Veškerá data jsou přenášena a ukládána v šifrované podobě
- Smluvní ochrana: Se všemi zpracovateli máme uzavřeny smlouvy dle čl. 28 GDPR
- Monitoring: Pravidelně auditujeme dodržování smluvních podmínek
Zásadní upozornění: Osobní údaje nikdy neprodáváme, nepronajímáme ani jinak nezpřístupňujeme třetím osobám pro komerční účely. Předání údajů mimo EU/EHP probíhá pouze na základě adekvátního rozhodnutí Komise nebo s odpovídajícími zárukámi.
8. Mezinárodní přenosy osobních údajů
Převážná část zpracování probíhá v rámci EU/EHP. Výjimku tvoří:
Cloudflare, Inc. (USA)
- Právní základ přenosu: Adekvátní rozhodnutí Evropské komise pro USA (DPF - Data Privacy Framework)
- Dodatečné záruky: Standardní smluvní doložky (SCC) dle Rozhodnutí Komise 2021/914
- Technická ochrana: End-to-end šifrování, pseudonymizace, minimalizace dat
- Možnost lokalizace: Na požádání lze aktivovat EU-only routing
Posouzení a opatření
Před každým mezinárodním přenosem provádíme:
- Posouzení právního řádu cílové země (Transfer Impact Assessment)
- Implementaci dodatečných technických a organizačních opatření
- Pravidelný monitoring změn v právních předpisech
- Přípravu nouzových scénářů pro okamžité zastavení přenosů
9. Technická a organizační bezpečnostní opatření
Technická opatření
- Šifrování v přenosu: TLS 1.3 s Perfect Forward Secrecy, HSTS, certificate pinning
- Šifrování v klidu: AES-256 pro disky, šifrované databáze s rotací klíčů
- Pseudonymizace: SHA-256 hashování s aplikačně specifickými soly
- Network security: WAF, rate limiting, geoblocking, DDoS mitigation
- Access control: Multi-factor authentication, principle of least privilege, RBAC
- Monitoring: 24/7 SOC, automated threat detection, SIEM systém
- Backup a recovery: Šifrované zálohy, tested disaster recovery, RTO/RPO definovány
Organizační opatření
- Bezpečnostní politiky: Aktualizovány minimálně ročně, schváleny vedením
- Školení zaměstnanců: Povinné GDPR školení každých 6 měsíců
- Incident Response: Definované postupy, 72h reportovací lhůta, komunikační plán
- Auditing: Pravidelné penetration testy, compliance audity, code reviews
- Vendor management: Due diligence všech dodavatelů, pravidelné hodnocení
- Data governance: Klasifikace dat, data retention polícy, secure disposal
Certifikace a standardy
Naše bezpečnostní opatření jsou v souladu s:
- ISO 27001:2013 (Information Security Management)
- ISO 27017:2015 (Cloud Security)
- SOC 2 Type II (kontroly bezpečnosti a dostupnosti)
- NIST Cybersecurity Framework
10. Vaše práva podle GDPR
Jako subjekt údajů máte následující práva:
Základní práva
- Právo na informace (čl. 13-14 GDPR): Být informován o zpracování Vašich údajů
- Právo na přístup (čl. 15 GDPR): Získat kopii zpracovávaných údajů a informace o zpracování
- Právo na opravu (čl. 16 GDPR): Oprava nepřesných nebo doplnění neúplných údajů
- Právo na výmaz (čl. 17 GDPR): „Právo být zapomenut" za určitých podmínek
- Právo na omezení zpracování (čl. 18 GDPR): Dočasné pozastavení zpracování
- Právo na přenositelnost (čl. 20 GDPR): Získat údaje ve strukturovaném formátu
Právo na námitku (čl. 21 GDPR)
Máte právo kdykoli podat námitku proti zpracování na základě oprávněných zájmů. Zpracování ukončíme, pokud neprokážeme převažující oprávněné důvody.
Práva spojená se souhlasem (čl. 7 GDPR)
- Souhlas můžete kdykoli odvolat
- Odvolání nemá vliv na zákonnost předchozího zpracování
- Po odvolání souhlasu zpracování ukončíme
Právo na stížnost (čl. 77 GDPR)
Můžete podat stížnost u dozorového úřadu:
- Rakousko: Österreichische Datenschutzbehörde ([email protected])
- Česká republika: Úřad pro ochranu osobních údajů ([email protected])
Omezení práv
Některá práva mohou být omezena v případech stanovených zákonem, například:
- Ochrana práv a svobod jiných osob
- Důležité cíle obecného veřejného zájmu EU nebo členského státu
- Zajištění vymáhání občanskoprávních nároků
11. Jak uplatnit Vaše práva
Kontakt:
Doba vyřízení: Odpovíme nejpozději do 7 pracovních dnů, kompletní vyřízení do 1 měsíce (výjimečně 3 měsíce u složitých případů).
Ověření totožnosti: Pro ochranu Vašeho soukromí můžeme požádat o prokázání totožnosti.
[email protected]Doba vyřízení: Odpovíme nejpozději do 7 pracovních dnů, kompletní vyřízení do 1 měsíce (výjimečně 3 měsíce u složitých případů).
Ověření totožnosti: Pro ochranu Vašeho soukromí můžeme požádat o prokázání totožnosti.
Postup při uplatňování práv
- Podejte žádost e-mailem s jasným uvedením, jaké právo chcete uplatnit
- Identifikace: Uveďte údaje nutné pro Vaši identifikaci (email, IP adresa v době návštěvy)
- Specifikace: Popište konkrétně, co požadujete (opravu, výmaz, kopii údajů)
- Potvrzení: Zašleme potvrzení o přijetí žádosti do 3 pracovních dnů
- Vyřízení: Poskytneme odpověď v zákonné lhůtě s vysvětlením postupu
Bezplatnost
Vyřízení žádostí je zásadně bezplatné. Poplatek můžeme požádat pouze v případě zjevně nedůvodných nebo excesivních žádostí (čl. 12 odst. 5 GDPR).
12. Zpracování osobních údajů dětí
Věkové omezení: Služby Tren.cz nejsou primárně určeny osobám mladším 16 let. Pokud jste mladší 16 let, potřebujete souhlas zákonného zástupce.
Ochranná opatření
- Aktivní detekce: Nesbíráme vědomě údaje od dětí bez souhlasu
- Okamžitá reakce: Pokud zjistíme neplatný souhlas, údaje ihned smažeme
- Rodičovská kontrola: Zákonní zástupci mohou kdykoli požádat o informace nebo výmaz
- Zvláštní ochrana: Údaje dětí zpracováváme s vyšší mírou ochrany
Pokyny pro rodiče
Pokud zjistíte, že Vaše dítě poskytlo osobní údaje bez Vašeho souhlasu, okamžitě nás kontaktujte na [email protected]. Údaje neprodleně odstraníme.
13. Automatizované rozhodování a profilování
Žádné automatizované rozhodování: Nepoužíváme automatizované rozhodování včetně profilování, které by mělo právní účinky nebo které by Vás obdobně významně ovlivňovalo (čl. 22 GDPR).
Technické systémy bez právních dopadů
Používáme pouze technické systémy pro:
- Spam filtering: Automatická detekce nevyžádaných zpráv
- Bot detection: Rozpoznání automatizovaného provozu
- Load balancing: Optimální distribuce zátěže
- Cache optimalizace: Zlepšení rychlosti načítání
Tyto systémy nemají vliv na Vaše práva nebo povinnosti a nedělají žádná rozhodnutí o Vaší osobě.
14. Narušení bezpečnosti osobních údajů
V případě narušení bezpečnosti osobních údajů máme zavedený Incident Response Plán:
Naše povinnosti
- Detekce a obsahování: Okamžitá reakce na bezpečnostní incident
- Hlášení úřadu: Oznámení ÚOOÚ/Datenschutzbehörde do 72 hodin
- Informování subjektů: Bez zbytečného odkladu při vysokém riziku
- Dokumentace: Kompletní záznam o incidentu a nápravných opatřeních
Kdy Vás budeme informovat
O narušení bezpečnosti Vás informujeme, pokud:
- Incident představuje vysoké riziko pro Vaše práva a svobody
- Mohlo dojít k neoprávněnému přístupu k citlivým údajům
- Je potřeba preventivní opatření z Vaší strany
Způsob informování: E-mail na poslední známou adresu + banner na webu
15. Změny tohoto dokumentu
Typy změn a postupy
| Typ změny | Příklady | Předstihem | Způsob oznámení |
|---|---|---|---|
| Podstatné změny | Nové účely, delší doba uchování, noví zpracovatelé mimo EU | 30 dní | E-mail + výrazný banner + opt-out možnost |
| Technické změny | Nové zabezpečení, lepší pseudonymizace | 7 dní | Banner na webu + v patičce |
| Legislativní změny | Změny v GDPR, národní předpisy | Při účinnosti | Automatická aktualizace + oznámení |
| Redakční změny | Oprava překlepů, zpřesnění formulací | Žádný | Aktualizace verze |
Vaše možnosti při změnách
- Námitka: Můžete vznést námitku proti podstatným změnám
- Opt-out: Možnost ukončení používání služby před účinností změn
- Výmaz: Právo na smazání údajů při nesouhlasu se změnami
16. Kontaktní informace
Primární kontakt pro ochranu osobních údajů
E-mail:
[email protected]Ostatní kontakty
- Obecné dotazy:
[email protected] - Bezpečnostní incidenty:
[email protected]
Doba odezvy
- GDPR žádosti: Potvrzení do 3 dnů, vyřízení do 7 dnů
- Obecné dotazy: Do 2 pracovních dnů
- Bezpečnostní incidenty: Do 4 hodin
17. Dodatečné informace
Právní předpisy
Zpracování osobních údajů se řídí:
- Nařízením (EU) 2016/679 (GDPR)
- Zákonem č. 110/2019 Sb. o zpracování osobních údajů
- Rakouským Datenschutz-Grundverordnung-Durchführungsgesetz (DSGVO-DG)
- Směrnicí 2002/58/ES o soukromí a elektronických komunikacích