Ochrana osobních údajů
Účinné od 31. 5. 2026
Tyto zásady popisují, jak provozovatel služby OwlGuard Score zpracovává osobní údaje v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 (GDPR). Služba je postavena na principu minimalizace dat — test můžete projít plně anonymně, kontaktní údaje jsou volitelné.
Pro lidštější popis toho, co konkrétně neukládáme a jak je systém postavený, viz Bezpečnost a transparentnost.
1. Správce osobních údajů
- Správce:
- Olaf IT Solutions s.r.o.
- IČO:
- 18032443
- DIČ:
- CZ18032443
- Sídlo:
- Mezi Alejemi 304, Mnichovo Hradiště, Česká republika
- Kontakt:
- info@olafit.solutions
Pověřence pro ochranu osobních údajů (DPO) správce nejmenoval — povinnost dle čl. 37 GDPR se na rozsah zpracování nevztahuje. Veškeré dotazy k ochraně osobních údajů směřujte na výše uvedený kontakt.
2. Účely a právní základ zpracování
| Účel | Právní základ (čl. 6 GDPR) | Doba uchování |
|---|---|---|
| Provedení online bezpečnostního testu a zobrazení výsledku | Oprávněný zájem — odst. 1 písm. f) — zájem návštěvníka na získání výsledku | 36 měsíců od odeslání |
| Vyřízení žádosti o konzultaci (lead-capture, e-mailová komunikace) | Plnění smlouvy / opatření před uzavřením smlouvy — odst. 1 písm. b) | 24 měsíců od poslední komunikace, déle jen s vaším souhlasem |
| Vyřízení dotazu nebo zpětné vazby z kontaktního formuláře („napiš nám“) | Oprávněný zájem — odst. 1 písm. f) — zájem na zodpovězení vašeho podnětu | 24 měsíců od poslední komunikace |
| Detekce zneužití a rate-limiting (HMAC otisk IP) | Oprávněný zájem — odst. 1 písm. f) — ochrana služby před zneužitím | 12 měsíců (otisk; původní IP se neukládá) |
| Audit log administrátorských akcí | Splnění právní povinnosti / oprávněný zájem — odst. 1 písm. c) / f) | 24 měsíců |
| Zveřejnění recenze (pokud nám ji zašlete) | Souhlas — odst. 1 písm. a) | Do odvolání souhlasu |
3. Kategorie zpracovávaných údajů
- Odpovědi na dotazník — bez vazby na identitu; slouží pro výpočet skóre a doporučení.
- Volitelné kontaktní údaje — pouze pokud je vyplníte v některém z formulářů (poptávka konzultace nebo kontaktní formulář „napiš nám“): název firmy, jméno, e-mail, telefon, text zprávy. Slouží k navázání konzultace nebo k zodpovězení vašeho dotazu.
- HMAC-SHA256 otisk IP adresy — neukládáme vaši IP adresu, pouze její jednosměrný kryptografický otisk s tajným klíčem (
IP_HASH_SECRET). Bez znalosti klíče nelze otisk obrátit ani brute-force prostorem IPv4/IPv6 zpětně dohledat původní IP. Otisk slouží výhradně k rate-limitingu a detekci zneužití. - Token výsledku (publicResultToken) — 256bitový kryptograficky náhodný řetězec, který umožňuje znovu zobrazit váš výsledek. Není navázán na vaši identitu. Kdo zná token, vidí výsledek — udržujte odkaz v tajnosti.
- Metadata o dotazníku — verze dotazníku, čas odeslání, vypočtené skóre. Pokud je odešle váš prohlížeč, ukládáme volitelně také jazyk prohlížeče (např.
cs-CZ) a referrer (URL stránky, ze které jste přišli) — obojí zkrácené na 200 znaků. Žádné jiné technické otisky neuchováváme.
4. Co se NEukládá
- Žádné citlivé technické detaily o vašich systémech.
- Žádná hesla, žádné přístupové údaje.
- Bez vašeho souhlasu žádné identifikační údaje.
- Žádné údaje zvláštních kategorií podle čl. 9 GDPR.
- Žádný User-Agent (typ a verze prohlížeče / operačního systému) ani jiný fingerprinting prohlížeče. Webový server tuto hlavičku zpracuje pouze pro vyřízení požadavku a do databáze ji nezapisuje.
5. Cookies
Veřejná část webu (test, výsledky, formuláře) nepoužívá žádné cookies — ani analytické, ani marketingové, ani profilovací. Nepoužíváme Google Analytics, Meta Pixel, Hotjar ani jiné nástroje sledování návštěvnosti, které by vyžadovaly souhlas.
Cookies se nastavují pouze v administrátorské sekci (/admin) po přihlášení interního administrátora. Jde výhradně o tzv. nezbytné cookies (session token Auth.js, CSRF token), bez kterých není možné poskytovat administrátorskou službu. Souhlas se podle § 89 odst. 3 zákona č. 127/2005 Sb. nevyžaduje.
6. Příjemci a zpracovatelé
Údaje předáváme pouze následujícím zpracovatelům, kteří poskytují infrastrukturu nebo provozní služby pro běh aplikace:
- Amazon Web Services EMEA SARL (AWS) — hosting aplikace (App Runner), databáze (RDS PostgreSQL), CDN (CloudFront) a transakční e-maily (SES). Servery v regionu eu-central-1 (Frankfurt, SRN) — tedy v rámci EU/EHP.
- Provozovatel (Olaf IT Solutions s.r.o.) jako správce přistupuje k údajům přes administrátorské rozhraní pro vyřízení vaší poptávky.
Údaje neprodáváme, nepronajímáme ani je nepředáváme třetím stranám pro marketingové účely.
7. Předávání do třetích zemí
Veškerá běžná infrastruktura (compute, databáze, CDN edge pro EU, e-mail) je provozována v rámci EU (Frankfurt, SRN). AWS jako globální poskytovatel je nicméně součástí skupiny Amazon.com Inc. (USA), proto:
- CloudFront jako globální CDN může servírovat statický obsah z edge lokace mimo EU/EHP — vždy ale pouze veřejně dostupný obsah (HTML, JS, CSS, obrázky), nikoli osobní údaje uložené v databázi.
- V případě výjimečného přístupu mateřské společnosti AWS (USA) se předávání opírá o EU-US Data Privacy Framework (Amazon je certifikován od 2023) a standardní smluvní doložky podle rozhodnutí Komise (EU) 2021/914.
8. Vaše práva
V rozsahu daném GDPR (čl. 15–22) máte zejména:
- Právo na přístup ke svým údajům (čl. 15).
- Právo na opravu nepřesných údajů (čl. 16).
- Právo na výmaz („právo být zapomenut“, čl. 17).
- Právo na omezení zpracování (čl. 18).
- Právo na přenositelnost ve strojově čitelném formátu (čl. 20).
- Právo vznést námitku proti zpracování opřenému o oprávněný zájem (čl. 21).
- Právo odvolat souhlas — pokud je zpracování postaveno na souhlasu — bez vlivu na dosavadní zpracování (čl. 7 odst. 3).
- Právo podat stížnost u dozorového úřadu — v ČR Úřad pro ochranu osobních údajů (uoou.cz).
Smazání údajů svépomocí. O výmaz svých údajů můžete požádat sami přes formulář na stránce smazání údajů — stačí zadat e-mail, pod kterým vás evidujeme. Žádost ručně posoudíme a údaje vedené pod tímto e-mailem smažeme; smazání neprobíhá automaticky, abychom předešli zneužití (např. žádosti o smazání cizích údajů).
Pro uplatnění kteréhokoli práva nás můžete také kontaktovat na info@olafit.solutions — vyřídíme nejpozději do 30 dnů (čl. 12 odst. 3 GDPR).
Co konkrétně dodáme. Při žádosti o přístup (čl. 15) nebo přenositelnost (čl. 20) vám pošleme strojově čitelný JSON soubor obsahující všechny vaše údaje, které dokážeme spárovat s e-mailem: vyplnění testu (otázky a odpovědi v textové podobě), případné žádosti o konzultaci a záznamy odeslaných transakčních e-mailů (předmět, šablona, čas, status). Při žádosti o výmaz (čl. 17) vaše vyplnění zůstanou v databázi anonymizovaná (kontaktní pole vynulujeme, otisk IP smažeme, odpovědi zachováme bez vazby na vás jako anonymní statistická data); žádosti o konzultaci a záznamy e-mailů smažeme úplně. Akce se zapíše do audit logu s otiskem e-mailu (SHA-256), aby v audit logu nezůstaly osobní údaje.
Pozor — anonymní testy: pokud jste test vyplnili bez kontaktních údajů, nemáme k vám identifikační vazbu a vaši žádost nedokážeme spárovat s konkrétními uloženými odpověďmi. V takovém případě vás požádáme o doplnění informací nezbytných k jednoznačné identifikaci subjektu údajů (čl. 12 odst. 6 GDPR), případně žádost nebudeme moci vyřídit (čl. 11 odst. 2 GDPR).
9. Automatizované rozhodování a profilování
Skóre testu je vypočítáno deterministickým algoritmem na základě vámi zadaných odpovědí. Nejde o automatizované rozhodování ve smyslu čl. 22 GDPR, které by mělo právní účinky nebo se vás obdobně významně dotýkalo — výsledek je informativní doporučení, nikoli závazné rozhodnutí.
10. Zabezpečení údajů
- Veškerá komunikace probíhá výhradně přes HTTPS (TLS 1.2+, HSTS preload).
- Databáze je v privátní síti, bez veřejného endpointu, s šifrováním at-rest (KMS) a vyžadovaným TLS spojením.
- IP adresy jsou ukládány výhradně jako HMAC-SHA256 otisk s tajným klíčem — viz sekci 3.
- Administrátorské účty mají povinnou dvoufaktorovou autentizaci (TOTP + backup kódy).
- Mutující administrátorské akce jsou zapsány do audit logu (kdo, kdy, co, IP) bez PII v payloadu.
- Tajemství aplikace (DB heslo, JWT secret, IP hash secret) jsou uložena v AWS Secrets Manager.
11. Změny zásad
Tyto zásady můžeme upravit — datum účinnosti aktuální verze je uvedeno v záhlaví. U podstatných změn dotčené subjekty informujeme předem (e-mailem těm, koho máme v evidenci konzultací). Historické verze zásad zpřístupníme na vyžádání.