Zásady ochrany osobních údajů

Verze 1 Účinné od 06.05.2026 Vytisknout

1. Úvod a totožnost správce

Tyto Zásady popisují, jakým způsobem zpracovává osobní údaje provozovatel webové aplikace dostupné na adrese https://mojemyti.cz (dále jen „Aplikace") v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 (GDPR) a zákonem č. 110/2019 Sb., o zpracování osobních údajů.

Správcem osobních údajů je:

  • {provozovatel.nazev}
  • se sídlem {provozovatel.sidlo}
  • IČO: {provozovatel.ico}
  • DIČ: {provozovatel.dic}
  • {provozovatel.rejstrik}
  • kontaktní e-mail pro GDPR: info@mojemyti.cz
  • kontakt pro běžnou podporu: info@mojemyti.cz

(dále jen „Provozovatel").

Provozovatel nemá zákonnou povinnost jmenovat pověřence pro ochranu osobních údajů (DPO) podle čl. 37 GDPR, neboť hlavní činností není rozsáhlé pravidelné a systematické monitorování subjektů údajů ani rozsáhlé zpracování zvláštních kategorií údajů. Pokud Uživatel požaduje DPO smluvně, lze sjednat individuálně.

2. Dvojí role Provozovatele

Provozovatel vystupuje ve dvou různých rolích:

  • Jako správce u údajů uživatelů Aplikace (osob, které si zřídily účet) — Provozovatel sám určuje účely a prostředky zpracování (provoz služby, fakturace, bezpečnost, podpora).
  • Jako zpracovatel u údajů, které do Aplikace vkládá uživatel sám o třetích osobách (kontaktní osoby zákazníků, držitelé karet, vlastní zaměstnanci pozvaní do Firmy). V tomto případě je správcem těchto údajů uživatel Aplikace; Provozovatel je zpracovává pouze podle pokynů uživatele a podmínek smlouvy o zpracování (Obchodní podmínky, čl. 13).

3. Kategorie zpracovávaných údajů — Provozovatel jako správce

Pokud jste uživatelem Aplikace, Provozovatel o vás zpracovává následující kategorie údajů:

Identifikační a kontaktní údaje

  • jméno, příjmení, e-mailová adresa, telefonní číslo;
  • fakturační údaje (obchodní firma, IČO, DIČ, fakturační adresa).

Přihlašovací a bezpečnostní údaje

  • e-mail jako přihlašovací jméno;
  • hash hesla (algoritmus bcrypt s pracovním faktorem 12 — surové heslo Provozovatel nezná a nemůže obnovit);
  • tajemství dvoufaktorového ověření (TOTP) uložené šifrovaně AES-256-GCM, je-li 2FA aktivováno;
  • tokeny pro ověření e-mailu, reset hesla a remember-me funkci, vždy s omezenou platností.

Údaje o používání služby

  • IP adresa a hlavička User-Agent při přihlášení a u citlivých akcí (audit log, sessions log);
  • časy přihlášení a poslední aktivity;
  • záznamy o souhlasech (verze podmínek a Zásad, kterou jste odsouhlasili, datum a čas);
  • obsah zpráv s podporou (modul Zprávy);
  • obsah a stav notifikací zaslaných uživateli;
  • e-mail log — záznamy o odeslaných systémových e-mailech.

Volitelné profilové soubory

  • logo, razítko, podpis, branding portálu (pokud je nahrajete) — uloženy jako soubory v adresáři uploads s náhodně generovaným názvem.

4. Účely a právní tituly zpracování

4.1 Plnění smlouvy (čl. 6 odst. 1 písm. b) GDPR)

Hlavním účelem je poskytování Aplikace: registrace, přihlášení, spravování Firem, ukládání obsahu, zasílání systémových e-mailů (ověření, schválení, reset hesla, žádost o smazání, oznámení o platbách), poskytování podpory, vystavování daňových dokladů.

4.2 Plnění právních povinností (čl. 6 odst. 1 písm. c) GDPR)

Vedení účetnictví podle zákona č. 563/1991 Sb. — daňové doklady a podklady k nim po dobu 10 let od konce účetního období. Uchování vybraných záznamů z auditního logu pro účely doložení odpovědnosti podle čl. 5 odst. 2 GDPR.

4.3 Oprávněný zájem (čl. 6 odst. 1 písm. f) GDPR)

Provozovatel zpracovává některé údaje z titulu oprávněného zájmu na zajištění bezpečnosti Aplikace, obraně proti zneužití a zlepšování služby:

  • záznamy o pokusech o přihlášení (rate-limiting brute-force);
  • audit log citlivých akcí;
  • error log pro detekci a opravu chyb;
  • IP a User-Agent u sessions pro detekci podezřelé aktivity;
  • agregovaná a anonymizovaná statistika používání pro vývoj funkcí.

Před zpracováním z titulu oprávněného zájmu Provozovatel vyhodnotil, že jeho zájem převažuje nad zájmy a právy subjektů údajů. Proti tomuto zpracování máte právo vznést námitku (viz čl. 8).

4.4 Souhlas (čl. 6 odst. 1 písm. a) GDPR)

Pouze pro odběr volitelných marketingových e-mailů, pokud je tato funkce v Aplikaci aktivní a Uživatel souhlas udělil. Souhlas lze kdykoli odvolat odhlašovacím odkazem v každém marketingovém e-mailu nebo v profilu uživatele.

5. Příjemci údajů a subzpracovatelé

Provozovatel může předávat osobní údaje následujícím kategoriím příjemců:

  • Poskytovatel hostingu a infrastruktury — fyzické a virtuální uložení dat, provoz serverů.
  • Poskytovatel SMTP a IMAP služeb — odesílání systémových e-mailů a přijímání odpovědí.
  • Nayax Ltd. (Izrael) — pouze v rozsahu, v jakém uživatel sám v Aplikaci propojí svůj Nayax účet a iniciuje synchronizaci dat. Předání mimo EHP probíhá na základě rozhodnutí Komise EU o odpovídající ochraně, případně standardních smluvních doložek (čl. 46 GDPR). Detail: nayax.com/privacy.
  • Provozovatel registru ARES — Ministerstvo financí ČR — Aplikace dotazuje veřejně dostupný registr ekonomických subjektů (ares.gov.cz) podle vámi zadaného IČO; do registru se nepředávají žádné osobní údaje uživatele.
  • Účetní a poskytovatelé právních služeb — pouze v rozsahu nezbytném pro vedení účetnictví a obhajobu právních nároků.
  • Poskytovatelé platebních a komunikačních služeb využívaní v Aplikaci — pouze v rozsahu, v jakém Uživatel sám tyto integrace aktivuje (např. platební brána pro dobíjení kreditu).
  • Orgány veřejné moci — pouze na základě platného právního požadavku (orgány činné v trestním řízení, Úřad pro ochranu osobních údajů, finanční úřad).

Provozovatel nepoužívá reklamní sítě, analytické nástroje typu Google Analytics, Meta Pixel ani podobné služby. Aplikace nenačítá žádný externí skript, písmo ani CDN za běhu — vše je hostováno self-hosted.

Aktualizovaný seznam jmenovitých subzpracovatelů Provozovatel poskytne Uživateli na vyžádání e-mailem na info@mojemyti.cz.

6. Doba uchování

  • Aktivní účet — po celou dobu existence účtu.
  • Po žádosti o smazání účtu — 14 dnů ochranné lhůty (možnost vrátit zpět), poté nevratné smazání všech osobních údajů kromě těch, které je Provozovatel povinen uchovat ze zákona.
  • Účetní doklady — 10 let od konce účetního období (zákonná povinnost).
  • Audit log — 12 měsíců od poslední akce, poté anonymizace nebo smazání.
  • Error log — 6 měsíců, poté smazání.
  • Pokusy o přihlášení — 30 dnů, poté smazání.
  • Zálohy databáze — výchozí retence 30 dnů (konfigurovatelné). Po této době se smažou i kopie smazaných údajů obsažených v zálohách.
  • E-mail log — 12 měsíců, poté smazání.

7. Předávání mimo EHP

Servery a zálohy Aplikace jsou umístěny v Evropské unii. Jediné předání mimo EHP nastává při synchronizaci s platformou Nayax (Izrael), a to pouze pokud uživatel tuto integraci sám aktivuje. Předávání probíhá na základě rozhodnutí Komise EU o odpovídající ochraně udělené Izraeli, případně na základě standardních smluvních doložek (Standard Contractual Clauses) schválených Komisí.

8. Vaše práva

Jako subjekt údajů máte právo:

  • na přístup ke svým údajům (čl. 15 GDPR) — kompletní strojově čitelný export naleznete v sekci Profil → Export dat;
  • na opravu nepřesných údajů (čl. 16) — většinu lze upravit v sekci Profil;
  • na výmaz („právo být zapomenut", čl. 17) — provedete přes Profil → Smazat účet;
  • na omezení zpracování (čl. 18) — písemně na info@mojemyti.cz;
  • na přenositelnost (čl. 20) — exportní funkce v Profilu vrací JSON s vašimi daty;
  • vznést námitku proti zpracování z titulu oprávněného zájmu (čl. 21);
  • odvolat souhlas, byl-li poskytnut (čl. 7 odst. 3) — odhlašovací odkaz v každém marketingovém e-mailu;
  • nebýt předmětem automatizovaného rozhodování s právními účinky (čl. 22) — Aplikace žádné takové rozhodování neprovádí;
  • podat stížnost u dozorového úřadu — Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, web: uoou.gov.cz.

Práva uplatníte e-mailem na adrese info@mojemyti.cz z e-mailové adresy spojené s vaším účtem; v zájmu ověření identity jsme oprávněni požádat o doplňující údaje. Provozovatel odpoví bez zbytečného odkladu, nejpozději do 30 dnů od obdržení žádosti; ve složitých případech lze lhůtu prodloužit o další 60 dnů s informací o důvodu.

Žádosti zjevně nedůvodné nebo nepřiměřené, zejména opakované, můžeme odmítnout nebo požadovat přiměřený poplatek pokrývající administrativní náklady.

9. Cookies a podobné technologie

Aplikace používá výhradně technicky nezbytné cookies, bez kterých by nemohla fungovat. Tyto cookies nepodléhají souhlasu podle § 89 zákona č. 127/2005 Sb., o elektronických komunikacích.

Seznam cookies

  • app_session — session cookie, identifikuje vaši přihlášenou relaci. HttpOnly, SameSite=Lax, Secure (na HTTPS). Platnost: do zavření prohlížeče nebo do 1 hodiny neaktivity.
  • remember_token (volitelně) — pamatuje si přihlášení mezi zavřením prohlížeče. Vytváří se pouze pokud zaškrtnete „Pamatovat si mě" při přihlášení. Platnost: 30 dnů.
  • _csrf — uloženo v session, slouží k ochraně formulářů před útokem CSRF. Není trvalá.

Aplikace nepoužívá reklamní cookies, analytické cookies třetích stran, fingerprinting, pixely ani jiné sledovací technologie. Z toho důvodu Aplikace nezobrazuje cookies banner — není vyžadován.

10. Zabezpečení

Provozovatel přijal technická a organizační opatření odpovídající stavu techniky a povaze zpracovávaných údajů, zejména:

  • vynucené HTTPS s HSTS;
  • Content Security Policy s per-request nonce, ochrana XSS;
  • ochrana CSRF u všech POST formulářů;
  • rate-limiting přihlášení (5 pokusů za 15 minut na e-mail, 15 na IP), fail-closed;
  • hashování hesel bcrypt s pracovním faktorem 12;
  • šifrování citlivých provozních tokenů (Nayax API, SMTP heslo, TOTP secret) algoritmem AES-256-GCM;
  • volitelné dvoufaktorové ověření (TOTP);
  • oddělení dat jednotlivých Firem na úrovni databáze (multi-tenant izolace, owner verify);
  • audit log citlivých akcí, deduplikovaný error log;
  • kontrola velikosti a typu nahrávaných souborů, ochrana proti DoS přes velké obrázky;
  • pravidelné zálohy a aktualizace knihoven třetích stran;
  • princip nejmenších oprávnění u zaměstnanců a smluvních partnerů Provozovatele.

Provozovatel je oprávněn jednostranně tato opatření aktualizovat a nahradit jinými, která zajistí přinejmenším stejnou úroveň zabezpečení.

11. Změny Zásad

Provozovatel je oprávněn tyto Zásady aktualizovat. Při podstatné změně bude uživatel informován e-mailem nebo in-app upozorněním nejméně 14 dnů předem; Aplikace si při dalším přihlášení vyžádá potvrzení nového znění. Drobné změny (oprava překlepů, upřesnění bez dopadu na práva, aktualizace seznamu příjemců) lze provést bez re-consentu.

Tyto Zásady jsou platné a účinné od {provozovatel.datum_ucinnosti}.