Zásady ochrany osobních údajů (GDPR)

Účinné od: 26. června 2026

Tento dokument popisuje, jak služba veritra.io zpracovává osobní údaje svých uživatelů. Zásady jsou v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 (GDPR) a se zákonem č. 110/2019 Sb. o zpracování osobních údajů.

1. Správce osobních údajů

Správcem osobních údajů ve smyslu čl. 4 odst. 7 GDPR je:

  • RWX, s.r.o., IČO: 14235111
  • Sídlo: Sadová 1646, 560 02 Česká Třebová
  • Zapsán v obchodním rejstříku vedeném u Krajského soudu v Hradci Králové, oddíl C, vložka 49019
  • Kontaktní e-mail: [email protected]
  • Telefon: +420 608 379 273

Vzhledem k rozsahu zpracování poskytovatel nemá povinnost jmenovat pověřence pro ochranu osobních údajů (DPO) ve smyslu čl. 37 GDPR. Pro všechny záležitosti ochrany osobních údajů slouží výše uvedený kontaktní e-mail.

2. Jaké údaje zpracováváme

Při registraci a používání služby zpracováváme tyto kategorie osobních údajů:

KategorieKonkrétní údajeÚčel
RegistračníE-mail, jméno, název firmy, IČO, telefonVytvoření a správa účtu, komunikace
FakturačníFakturační adresa, plátce DPH, číslo bankovního účtuVystavení faktur, účetní povinnosti
ProvozníIP adresa, User-Agent, lokalita podle IP, časové známkyBezpečnost, prevence zneužití, statistiky
AutentizačníHeslo (hashované), tokeny, API klíče (hashované)Přihlášení, autorizace API
ObsahovéKonfigurace filtrů sledování, historie hlášení, dotazy do APIPlnění služby
AI analýza (volitelně)Dotazník o firmě, profil firmy, dokumenty zakázky odeslané k analýzeAI hodnocení vhodnosti zakázky (na vyžádání uživatele)
KomunikačníE-mailová komunikace, obsah formulářů zpětné vazbyZákaznická podpora
Marketingové (volitelně)Tracking otevření e-mailových newsletterůZlepšování komunikace

Hesla jsou ukládána v podobě jednosměrného hashe (bcrypt); poskytovatel hesla v plain textu nevidí. API klíče jsou ukládány jako SHA-256 hash; po vygenerování je klíč zobrazen uživateli jednou a poskytovatel jej v plain textu nezachová.

3. Účel a právní základ zpracování

Zpracování každé kategorie údajů má svůj právní základ podle čl. 6 GDPR:

  • Plnění smlouvy (čl. 6 odst. 1 písm. b) — registrační, fakturační, autentizační a obsahové údaje. Bez nich nelze službu poskytovat.
  • Plnění právní povinnosti (čl. 6 odst. 1 písm. c) — uchování účetních dokladů (10 let dle zákona č. 563/1991 Sb. o účetnictví), daňových dokladů.
  • Oprávněný zájem (čl. 6 odst. 1 písm. f) — provozní údaje pro bezpečnost a prevenci zneužití (rate limit, ochrana proti útokům, fraud detection). Náš oprávněný zájem převažuje nad zájmem uživatele na nesledování těchto údajů z důvodu zajištění stabilního a bezpečného provozu služby.
  • Souhlas (čl. 6 odst. 1 písm. a) — marketingová komunikace nad rámec smluvního vztahu (např. newsletter o nových funkcích), kterou lze kdykoli odvolat v nastavení účtu.

4. Doba uchování

KategorieDoba uchování
Registrační a obsahovéPo dobu trvání smlouvy + 30 dnů po jejím ukončení (export window)
Fakturační doklady10 let od konce daného účetního období
Provozní logy (IP, User-Agent, časy)90 dnů
Komunikační historie3 roky od posledního kontaktu
Autentizační (hesla, API klíče)Po dobu trvání účtu, pak smazání

Po uplynutí lhůty jsou údaje trvale smazány nebo anonymizovány.

5. Příjemci osobních údajů (Subprocesoři)

Vaše osobní údaje předáváme následujícím zpracovatelům, kteří poskytují infrastrukturní a podpůrné služby. Všichni subprocesoři jsou vázáni smlouvou o zpracování osobních údajů (DPA) a poskytují záruky odpovídající úrovně ochrany dle GDPR.

ZpracovatelÚčelLokalita zpracování
Vercel Inc. (USA)Hosting webové aplikace, edge runtimeEU (Frankfurt) primárně, US fallback (SCCs)
DigitalOcean LLC (USA)MySQL databáze, objektové úložištěEU (Frankfurt)
Cloudflare Inc. (USA)CDN, DDoS protection, DNS, WAFGlobal edge (EU node default)
Upstash Inc. (USA)Redis pro rate limitEU (Frankfurt)
Stripe Payments Europe Ltd. (Irsko)Zpracování plateb kartouEU
Resend Inc. (USA)Odesílání transakčních a marketingových e-mailůEU (Frankfurt) + US fallback (SCCs)
AWS SES (Amazon Web Services EMEA)Odesílání některých systémových e-mailů, inbound mailEU (eu-west-1)
Anthropic PBC (USA)AI generování obsahu blogu; AI analýza zakázek (na vyžádání uživatele) — zpracování dotazníku o firmě, profilu firmy a dokumentů zakázky, kterou uživatel analyzuje, vč. zaslání těchto dokumentů k vyhodnocení. Režim zero data retention (vstupy se nepoužívají k tréninku a neukládají po zpracování).US (SCCs)
WEDOS Internet, a.s. (ČR)Registrace domény veritra.ioČR

Subprocesoři v USA jsou kryti Standard Contractual Clauses (SCCs) podle rozhodnutí Komise (EU) 2021/914 a Data Privacy Framework, kde to aplikuje.

Údaje neposkytujeme:

  • inzerentům či reklamním sítím (Google Ads, Facebook Pixel atd. v současnosti nepoužíváme),
  • prodejcům dat ani brokerům.

6. Vaše práva

Jako subjekt údajů máte následující práva podle čl. 15 až 22 GDPR:

  • Právo na přístup (čl. 15) — můžete si vyžádat kopii všech osobních údajů, které o vás zpracováváme.
  • Právo na opravu (čl. 16) — můžete žádat opravu nesprávných nebo neaktuálních údajů. Většinu lze upravit přímo v dashboardu (sekce Settings).
  • Právo na výmaz (čl. 17, „právo být zapomenut") — můžete žádat smazání svých osobních údajů. Údaje, které musíme uchovávat dle zákona (účetní, daňové), smazat nelze.
  • Právo na omezení zpracování (čl. 18) — můžete žádat dočasné omezení zpracování v případě sporu o jeho zákonnost.
  • Právo na přenositelnost (čl. 20) — můžete si vyžádat své údaje ve strojově čitelném formátu (JSON nebo CSV) pro přenos k jinému poskytovateli. Tuto funkci nabízíme i automaticky po ukončení smlouvy v rámci 30denního export window.
  • Právo vznést námitku (čl. 21) — proti zpracování na základě oprávněného zájmu (provozní logy, marketing).
  • Právo odvolat souhlas (čl. 7 odst. 3) — souhlas s marketingovou komunikací lze kdykoli odvolat odhlášením ze každého e-mailu nebo v nastavení účtu. Odvolání nemá zpětný účinek.
  • Právo nepodléhat automatizovanému rozhodování (čl. 22) — neaplikujeme.

Pro uplatnění práv nás kontaktujte na [email protected]. Odpovídáme bez zbytečného odkladu, nejpozději do 1 měsíce od přijetí žádosti (čl. 12 odst. 3 GDPR).

7. Cookies a podobné technologie

Webové stránky veritra.io používají pouze technicky nezbytné cookies (session cookies pro přihlášení, CSRF tokeny, preferovaný jazyk). Tyto cookies nepodléhají souhlasu dle § 89 odst. 3 zákona č. 127/2005 Sb. o elektronických komunikacích.

Analytické a marketingové cookies třetích stran (Google Analytics, Facebook Pixel apod.) v současnosti nepoužíváme. Pokud bude jejich nasazení v budoucnu zvažováno, bude implementován cookie banner se souhlasem dle ePrivacy směrnice.

8. Bezpečnost údajů

Poskytovatel přijímá technická a organizační opatření k zajištění bezpečnosti údajů odpovídající rizikům zpracování:

  • TLS 1.2+ šifrování pro všechnu komunikaci klient–server,
  • bcrypt hash pro hesla, SHA-256 hash pro API klíče,
  • rate limiting a Cloudflare WAF proti zneužití,
  • principu nejnižších oprávnění pro přístup zaměstnanců a subprocesorů,
  • pravidelné zálohování databáze (denní inkrementální, týdenní plné),
  • šifrování dat v klidu (storage encryption u Vercel, DigitalOcean, Stripe).

Žádné opatření neposkytuje 100% záruku. V případě porušení zabezpečení osobních údajů, které pravděpodobně bude mít za následek vysoké riziko pro práva a svobody uživatelů, vás budeme informovat bez zbytečného odkladu (čl. 34 GDPR) a oznámíme událost Úřadu pro ochranu osobních údajů do 72 hodin (čl. 33 GDPR).

9. Předávání do třetích zemí

Některé subprocesory mají sídlo v USA. Předávání osobních údajů do třetích zemí mimo EU/EHP je založeno na:

  • Standard Contractual Clauses (SCCs) dle rozhodnutí Komise (EU) 2021/914,
  • Data Privacy Framework pro certifikované subjekty (Vercel, Cloudflare),
  • Adekvátnosti rozhodnutí Komise, kde existuje.

Můžete si vyžádat kopii SCCs uzavřených s konkrétním zpracovatelem.

10. Stížnost u dozorového úřadu

Pokud se domníváte, že zpracováním vašich osobních údajů dochází k porušení GDPR, máte právo podat stížnost u dozorového úřadu:

11. Změny zásad

Tyto Zásady ochrany osobních údajů mohou být aktualizovány. Aktuální verze je vždy zveřejněna na https://veritra.io/gdpr. Změny s podstatným vlivem na uživatele oznámíme 30 dní předem e-mailem.


Verze 1.1, účinná od 26. června 2026. Správce: RWX, s.r.o., IČO 14235111. Kontakt: [email protected].