Zásady ochrany osobních údajů

Tyto zásady popisují, jak služba VimiaCRM zpracovává osobní údaje svých uživatelů v souladu s nařízením EU 2016/679 (GDPR) a zákonem č. 110/2019 Sb. o zpracování osobních údajů.

1. Správce osobních údajů

Správcem osobních údajů je:

Kalendo a.s.
IČO: 23231122
Sídlo: K Sekance 552, 252 09 Hradištko
zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 29674
Kontaktní e-mail: [email protected]

2. Jaké údaje zpracováváme

V rámci provozu služby VimiaCRM zpracováváme následující kategorie údajů:

Údaje uživatele (registrace a profil)

E-mailová adresa
Jméno a příjmení
Fakturační údaje (IČO, DIČ, adresa, bankovní účet)
Heslo (uložené v hashované podobě, nemáme k němu přístup)

Údaje vložené uživatelem

Kontakty na klienty (jméno, e-mail, telefon, adresa, IČO/DIČ)
Údaje o projektech, úkolech, fakturách, nabídkách a evidenci času
Obsah e-mailových oznámení o bankovních platbách (pokud uživatel tuto funkci aktivuje)

Technické údaje

IP adresa, identifikátor relace, typ prohlížeče (logy serveru)
Cookies — viz Zásady používání cookies

3. Účel a právní základ zpracování

Plnění smlouvy (čl. 6 odst. 1 písm. b) GDPR) — provoz služby, poskytnutí funkcionalit CRM, fakturace, time trackingu a souvisejících nástrojů.
Plnění právní povinnosti (čl. 6 odst. 1 písm. c) GDPR) — uchovávání účetních a daňových dokladů po dobu stanovenou zákonem (typicky 10 let).
Oprávněný zájem (čl. 6 odst. 1 písm. f) GDPR) — bezpečnost služby, prevence zneužití, technické logy.
Souhlas (čl. 6 odst. 1 písm. a) GDPR) — pro nepovinné cookies a marketingovou komunikaci.

4. Příjemci údajů (zpracovatelé)

Údaje zpřístupňujeme následujícím zpracovatelům, kteří se podílí na provozu služby:

Supabase Inc. — databáze a autentizace (servery v EU)
Vercel Inc. — hosting aplikace
Stripe Payments Europe, Ltd. — zpracování plateb za předplatné (e-mail, fakturační údaje, ID platebního prostředku)
Mailgun Technologies Inc. (USA) — odesílání transakčních e-mailů a příjem notifikací o platbách (volitelné)
OpenRouter, Inc. (USA) a poskytovatel modelu Google — strojové vytěžení obsahu e-mailu od banky (částka, variabilní symbol, jméno plátce) pro spárování platby s fakturou (volitelná funkce). Do modelu se předává relevantní text notifikace, který může obsahovat osobní údaje plátce.
Sentry (Functional Software, Inc.) (USA) — sledování chyb aplikace (bez ukládání osobních údajů z požadavků; jen pseudonymní identifikátor uživatele)
Google (Analytics, Ads), Microsoft (Clarity), Meta (Pixel) (USA) — analytika a marketing, pouze po udělení souhlasu s cookies
SMTP poskytovatel uživatele — pro odesílání faktur (uživatel si konfiguruje sám)

Se zpracovateli máme (resp. uzavíráme) zpracovatelské smlouvy (DPA). Někteří zpracovatelé sídlí mimo EU (USA) — předání se opírá o standardní smluvní doložky (SCC) a/nebo certifikaci EU‑US Data Privacy Framework. Marketingové a analytické nástroje se aktivují až po vašem souhlasu s cookies.

5. Doba uchování

Údaje uživatele a obsah CRM — po dobu existence účtu, max. 30 dní po jeho zrušení (zálohy).
Účetní doklady (faktury, nabídky) — 10 let dle zákona č. 235/2004 Sb.
E-maily o příchozích platbách (vč. surového obsahu pro audit párování) — max. 24 měsíců.
Záznamy o platbách předplatného (Stripe události) — max. 90 dní.
Technické logy — max. 12 měsíců.

6. Vaše práva

V souladu s GDPR máte právo na:

Přístup k osobním údajům (čl. 15)
Opravu nepřesných údajů (čl. 16)
Výmaz osobních údajů (čl. 17)
Omezení zpracování (čl. 18)
Přenositelnost údajů (čl. 20)
Vznést námitku proti zpracování (čl. 21)
Odvolat udělený souhlas
Podat stížnost u Úřadu pro ochranu osobních údajů

Pro uplatnění práv nás kontaktujte na [email protected].

7. Zabezpečení

Údaje jsou chráněny šifrováním v přenosu (TLS) i v klidu, vícefaktorovou autentizací infrastruktury a politikou minimálních oprávnění. Databáze využívá row-level security, která zaručuje, že každý uživatel vidí pouze vlastní data.

8. Změny zásad

Tyto zásady můžeme aktualizovat. O podstatných změnách informujeme uživatele e-mailem nebo upozorněním v aplikaci.