Zásady ochrany osobních údajů
1. Správce
Správcem vašich osobních údajů je R2S, s.r.o., IČO 28130936, Vrbenská 2044/6, České Budějovice 5, 370 01 České Budějovice, zapsaná v obchodním rejstříku vedeném Krajským soudem v Českých Budějovicích, oddíl C, vložka 19084.
Kontakt pro ochranu údajů: privacy@taimesheet.com. Pověřence pro ochranu osobních údajů (DPO) jsme nejmenovali; kontakt je odpovědnou osobou pro jakýkoli požadavek.
2. Jaké údaje sbíráme
| Kategorie | Příklady | Zdroj |
|---|---|---|
| Údaje o účtu | E-mail, jméno, hashované heslo, autentizační tokeny | Vy |
| Profil / nastavení | Hodinová sazba, měna, jazyk, nastavení protokolu | Vy |
| Nahraný obsah | Řádky timesheetu: data, časy, popisy, volitelně projektové tagy | Vy |
| Použití API | Aktivita API klíčů, objem požadavků, chybovost | Systém |
| Provozní metriky | Počty tokenů, úspěšnost optimalizací | Systém |
| Technické logy | IP adresa, user-agent, cesty požadavků, kódy odpovědí (až 30 dní) | Systém |
| Fakturační údaje | Fakturační detaily, transakční záznamy (po spuštění placených plánů) | Vy / platební brána |
Zvláštní kategorie osobních údajů (zdraví, vyznání, biometrika atd.) nepožadujeme ani neukládáme; tyto údaje do popisů timesheetů neuvádějte.
3. Účely zpracování a právní základ
| Účel | Právní základ (GDPR čl. 6) |
|---|---|
| Poskytování optimalizační služby | Plnění smlouvy — čl. 6 odst. 1 písm. b) |
| Vytvoření účtu, autentizace, zabezpečení | Plnění smlouvy — čl. 6 odst. 1 písm. b) |
| Fakturace, účetnictví, zákonná evidence | Právní povinnost — čl. 6 odst. 1 písm. c) |
| Zlepšování služby, detekce zneužití, debugging | Oprávněný zájem — čl. 6 odst. 1 písm. f) |
| Produktová analytika (agregovaná, pseudonymní) | Oprávněný zájem — čl. 6 odst. 1 písm. f) |
| Marketingové e-maily stávajícím zákazníkům | Oprávněný zájem — čl. 6 odst. 1 písm. f), s opt-outem v každém e-mailu |
| Cookies a perzistentní úložiště nad rámec nezbytných | Souhlas — čl. 6 odst. 1 písm. a) |
4. AI zpracování vašich timesheetů
Při optimalizaci jsou data řádků posílána do API společnosti OpenAI. Používáme API service tier OpenAI, podle kterého:
- Vaše vstupy ani výstupy nejsou používány k trénování modelů OpenAI.
- OpenAI uchovává data nejdéle 30 dní pro detekci zneužití, pak je maže (dle datové politiky API OpenAI).
- Zpracování probíhá zpravidla v infrastruktuře OpenAI v USA. Předání pokrývají Standardní smluvní doložky (SCC) podle čl. 46 GDPR.
Žádný model na vašich soukromých datech vědomě nedotrénováváme. Pokud někdy spustíme funkce zlepšování modelu vyžadující vaše data, vyžádáme si k tomu samostatný výslovný souhlas.
5. Zpracovatelé (subprocessors)
Spoléháme na následující zpracovatele. Tam, kde fungují mimo EU, je předávání chráněno Standardními smluvními doložkami nebo rovnocennými zárukami podle kapitoly V GDPR.
| Zpracovatel | Účel | Region |
|---|---|---|
| Supabase | Databáze, autentizace, úložiště souborů | EU (Frankfurt) |
| Vercel | Hosting webu, CDN, edge funkce | Globální edge / EU primární |
| OpenAI | Inference velkého jazykového modelu | USA (chráněno SCC) |
| Inngest | Orchestrace background jobů | USA (chráněno SCC) |
| Resend | Doručování transakčních e-mailů | EU / USA (chráněno SCC) |
| Sentry | Error monitoring, session replay | EU (Frankfurt) |
| PostHog | Produktová analytika (EU instance) | EU (Frankfurt) |
5.1 Volitelné integrace s nástroji pro měření času
Pokud se rozhodnete propojit nástroj pro měření času třetí strany (Toggl Track, Clockify nebo Harvest) za účelem importu časových záznamů, stává se daný poskytovatel dodatečným zpracovatelem výhradně po dobu, kdy je propojení aktivní. Pro data načtená od něj platí jeho podmínky zpracování dat. My ukládáme pouze šifrovaný přístupový token; nikdy nevidíme, neukládáme ani nepřenášíme heslo k vašemu účtu u poskytovatele.
| Volitelný zpracovatel | Účel | Region |
|---|---|---|
| Toggl Track | Načítání vašich časových záznamů na vyžádání | EU (Estonsko) |
| Clockify | Načítání vašich časových záznamů na vyžádání | USA (chráněno SCC) |
| Harvest | Načítání vašich časových záznamů na vyžádání | USA (chráněno SCC) |
Odpojení integrace v Nastavení → Připojení odstraní uložený token z naší databáze. Zrušení tokenu na straně poskytovatele je samostatnou odpovědností uživatele.
Podstatné změny tohoto seznamu oznámíme nejméně 14 dní před nabytím účinnosti.
6. Doba uchovávání
- Účet a profilová data: po dobu trvání účtu, dále 90 dní pro obnovu / spory, pak smazání.
- Nahrané timesheety: po dobu existence záznamu "upload" ve vašem dashboardu. Smazáno do 7 dnů od smazání uploadu, nebo do 90 dnů po zrušení účtu.
- Logy API: 12 měsíců pro bezpečnostní šetření, pak agregace.
- Technické logy požadavků: 30 dní.
- Účetní záznamy: 10 let (povinnost dle českého zákona o účetnictví).
- Zálohy: rolovací 30denní okno, po jeho uplynutí se smazané záznamy nevracejí ani ze záloh.
7. Sdílení údajů
Vaše osobní údaje neprodáváme. Předáváme je pouze (a) výše uvedeným zpracovatelům, (b) je-li to vyžadováno zákonem a (c) v souvislosti s firemní transakcí (fúze, akvizice), kdy o tom budete informováni před jakýmkoli předáním.
8. Mezinárodní předávání
Data mohou být předávána do zemí mimo Evropský hospodářský prostor a tam zpracovávána, primárně do USA přes OpenAI a Inngest. Tato předání spoléhají na Standardní smluvní doložky Evropské komise (Rozhodnutí 2021/914) a, kde se uplatní, na Rámec EU-USA pro ochranu osobních údajů (Data Privacy Framework). Kopii příslušných záruk si můžete vyžádat na privacy@taimesheet.com.
9. Zabezpečení
- TLS 1.2+ pro všechna data v přenosu.
- Šifrování v klidu na úrovni databáze i objektového úložiště.
- Row-level security politiky v databázi pro izolaci dat mezi uživateli.
- API přístup přes krátkodobé session nebo hashované bearer klíče; tajné údaje neukládáme v plaintextu.
- Princip minimálních oprávnění pro servisní účty i lidské operátory.
- Pravidelné skenování zranitelností závislostí a bezpečnostní review změn kódu.
Žádný systém není dokonalý. Pokud zjistíme porušení zabezpečení osobních údajů s rizikem pro vás, oznámíme to Úřadu pro ochranu osobních údajů do 72 hodin a vám bez zbytečného odkladu.
10. Vaše práva podle GDPR
Máte právo:
- Na přístup k osobním údajům, které o vás zpracováváme (čl. 15).
- Na opravu nepřesných nebo neúplných údajů (čl. 16).
- Na výmaz údajů, s výhradou retenčních povinností (čl. 17).
- Na omezení zpracování za určitých okolností (čl. 18).
- Na přenositelnost — obdržet údaje ve strukturovaném, strojově čitelném formátu (čl. 20).
- Vznést námitku proti zpracování na základě oprávněných zájmů (čl. 21).
- Odvolat souhlas kdykoli, je-li souhlas právním základem (čl. 7 odst. 3).
- Podat stížnost u Úřadu pro ochranu osobních údajů (Pplk. Sochora 27, 170 00 Praha 7, www.uoou.cz).
Práva uplatníte zasláním e-mailu na privacy@taimesheet.com. Reagujeme do 30 dnů.
11. Cookies a podobné technologie
Používáme minimální sadu cookies a úložiště:
- Nezbytné — autentizační session, CSRF tokeny. Souhlas nevyžadují.
- Funkční — UI preference (téma, jazyk), uložené na klientovi.
- Analytické — PostHog (EU instance, IP anonymizované). Načítáno až po souhlasu, kde je vyžadován.
- Error monitoring — Sentry. Striktně omezeno na debugging; bez cross-site sledování.
Cookies, které nejsou nezbytné, můžete spravovat přes panel preferencí v aplikaci nebo přes nastavení prohlížeče.
12. Děti
Služba není určena uživatelům mladším 18 let. Údaje od dětí vědomě nesbíráme. Pokud máte za to, že se tak stalo, kontaktujte nás.
13. Automatizované rozhodování
Optimalizační výstup je generován AI, ale není používán k přijetí právního ani obdobně významného rozhodnutí o vás. Vždy si zachováváte kontrolu nad tím, zda výstup použijete, upravíte nebo zahodíte.
14. Změny zásad
Tyto Zásady můžeme aktualizovat. Podstatné změny oznámíme 14 dní předem e-mailem nebo v aplikaci. Starší verze poskytneme na vyžádání.
15. Kontakt
E-mail: privacy@taimesheet.com · Poštovní adresa: viz bod 1.