CraftIO

Zásady ochrany osobních údajů

Platné od 16. dubna 2026

1. Správce osobních údajů

Správcem osobních údajů je Julius Joska, podnikající jako fyzická osoba pod obchodní značkou ajtak.it, IČO: 24409979, se sídlem č.p. 98, 262 11 Rosovice.

Kontaktní e-mail pro záležitosti ochrany osobních údajů: [email protected]

Správce neustanovil pověřence pro ochranu osobních údajů (DPO), neboť neprovádí rozsáhlé systematické monitorování subjektů údajů ani rozsáhlé zpracování zvláštních kategorií údajů dle čl. 37 GDPR.

2. Role při zpracování osobních údajů

Při využívání služby CraftIO vystupuje poskytovatel ve dvou odlišných rolích dle čl. 4 odst. 7 a čl. 4 odst. 8 GDPR. Je důležité rozlišit, kdo je v daném kontextu správcem a kdo zpracovatelem:

A) Julius Joska jako SPRÁVCE

Pro údaje, které přímo zpracovává jako provozovatel služby: registrační a přihlašovací údaje uživatelů, fakturační údaje, platební metadata, technické logy, marketingová komunikace. V této roli určuje účely a prostředky zpracování a uplatňují se vůči němu všechny povinnosti správce dle GDPR.

B) Julius Joska jako ZPRACOVATEL

Pro údaje třetích osob, které uživatel sám vkládá do CRM systému (kontakty svých zákazníků, firem, obchodních případů, fakturační údaje třetích osob apod.). V této roli je správcem sám uživatel — tedy OSVČ, firma nebo organizace, která CraftIO používá pro svou obchodní činnost. Poskytovatel tato data zpracovává výhradně na základě pokynů uživatele a v souladu se Smlouvou o zpracování osobních údajů (DPA, viz bod 12).

Praktický dopad: za ochranu osobních údajů zákazníků vložených do CRM odpovídá primárně uživatel jako správce (plní vůči subjektům údajů informační povinnost dle čl. 13/14 GDPR). Poskytovatel jako zpracovatel zajišťuje technické a organizační zabezpečení a jedná dle dokumentovaných pokynů uživatele.

3. Účely zpracování

Vaše osobní údaje zpracováváme pro tyto účely:

  • Poskytování služby — provoz CRM systému, správa uživatelského účtu, organizací a dat.
  • Fakturace a účetnictví — vystavování faktur, evidence plateb, plnění daňových a účetních povinností.
  • Transakční komunikace — zasílání e-mailů (potvrzení registrace, plateb, změn účtu, provozních oznámení).
  • Bezpečnost — ochrana služby před neoprávněným přístupem, detekce podezřelé aktivity, audit log přístupů.
  • Zlepšování služby — anonymizovaná analýza využívání funkcí pro rozvoj produktu.
  • Marketingová komunikace — zasílání newsletteru a informací o novinkách pouze na základě výslovného souhlasu (double opt-in), který lze kdykoli odvolat odkazem v e-mailu nebo na [email protected].
  • Zodpovídání dotazů — vyřízení dotazů zaslaných přes kontaktní formulář nebo e-mail.

4. Právní základ zpracování

Zpracování osobních údajů provádíme na základě následujících právních titulů dle čl. 6 odst. 1 Nařízení Evropského parlamentu a Rady (EU) 2016/679 (GDPR):

Právní základÚčel
Plnění smlouvy (čl. 6/1/b)Poskytování služby, správa účtu, technická podpora
Právní povinnost (čl. 6/1/c)Fakturace, daňová a účetní evidence
Oprávněný zájem (čl. 6/1/f)Bezpečnost, prevence podvodů, zlepšování služby, komunikace o důležitých změnách
Souhlas (čl. 6/1/a)Marketingová komunikace (pouze s výslovným souhlasem, který lze kdykoli odvolat)

5. Kategorie zpracovávaných údajů

  • Identifikační údaje: jméno, příjmení, e-mailová adresa.
  • Přihlašovací údaje: e-mail, heslo (uloženo výhradně v hashované podobě algoritmem bcrypt).
  • Fakturační údaje: název firmy/organizace, IČO, DIČ, fakturační adresa.
  • Údaje vložené uživatelem: kontakty, firmy, obchody, faktury, produkty, poznámky a další data vložená do CRM systému.
  • Technické údaje: IP adresa, typ a verze prohlížeče, operační systém, čas přístupu, identifikátor zařízení.
  • Platební údaje: typ platební karty a poslední 4 číslice (plné údaje karty zpracovává výhradně Stripe).

6. Příjemci (zpracovatelé) osobních údajů

Pro provoz služby využíváme pečlivě vybrané dodavatele (zpracovatele dle čl. 28 GDPR). S každým z nich máme uzavřenou smlouvu o zpracování osobních údajů (DPA) nebo využíváme jejich standardní DPA dostupnou v jejich veřejné dokumentaci:

ZpracovatelÚčelUmístění
Julius Joska (ajtak.it)Hosting databáze a aplikace (self-hosted Supabase, Next.js)ČR
Stripe Payments Europe, Ltd.Zpracování plateb kartou (PCI DSS Level 1). PrivacyIrsko / USA
Cloudflare, Inc.CDN, ochrana proti DDoS, SSL/TLS, DNS, tunelováníUSA (edge EU)
Resend, Inc.Odesílání transakčních e-mailů (potvrzení, fakturace, obnova hesla). PrivacyUSA
Migadu S.à r.l.Poštovní služba domény craftio.cz (příchozí a odchozí e-mail)Lucembursko

Vaše data neprodáváme, nepůjčujeme ani jinak nepředáváme třetím stranám za účelem reklamy nebo profilování. Seznam zpracovatelů průběžně aktualizujeme; o podstatné změně předem informujeme.

7. Předání údajů do třetích zemí

Primární databáze a soubory CraftIO jsou uloženy a zpracovávány na infrastruktuře poskytovatele v České republice. Některé podpůrné služby však probíhají mimo EU:

  • Stripe Payments Europe, Ltd. (Irsko) a její americká mateřská společnost Stripe, Inc. — platební operace. Předání do USA je zajištěno na základě standardních smluvních doložek (SCC) dle čl. 46 odst. 2 písm. c) GDPR a certifikace dle EU-U.S. Data Privacy Framework (DPF).
  • Cloudflare, Inc. (USA) — edge nodes primárně v EU, předání do USA kryto SCC a DPF certifikací.
  • Resend, Inc. (USA) — odesílání transakčních e-mailů, předání kryto SCC a DPF certifikací.

Kopie standardních smluvních doložek a podklady o certifikaci DPF poskytneme na vyžádání na [email protected].

8. Doba uchování údajů

Typ údajůDoba uchování
Účetní a fakturační doklady10 let (zákonná povinnost)
Data uživatelského účtuPo dobu trvání smlouvy + 3 roky
CRM data (kontakty, obchody atd.)Po dobu trvání smlouvy, smazáno do 30 dní po zrušení
Technické logy90 dní
ZálohyOdstraněny do 90 dní po smazání zdrojových dat

9. Vaše práva

Podle GDPR máte následující práva:

  • Právo na přístup (čl. 15 GDPR) — získat informace o tom, zda a jaké vaše údaje zpracováváme, a vyžádat si jejich kopii.
  • Právo na opravu (čl. 16 GDPR) — požádat o opravu nepřesných nebo neúplných údajů.
  • Právo na výmaz (čl. 17 GDPR) — požádat o smazání údajů ("právo být zapomenut"), pokud pominul účel zpracování.
  • Právo na omezení zpracování (čl. 18 GDPR) — požádat o dočasné pozastavení zpracování v určitých případech.
  • Právo na přenositelnost (čl. 20 GDPR) — získat svá data ve strojově čitelném formátu (JSON nebo CSV) a předat je jinému správci.
  • Právo vznést námitku (čl. 21 GDPR) — namítat proti zpracování na základě oprávněného zájmu.
  • Právo odvolat souhlas — kdykoli odvolat udělený souhlas se zpracováním, aniž by byla dotčena zákonnost zpracování před odvoláním.
  • Právo podat stížnost (čl. 77 GDPR) — obrátit se na dozorový úřad (ÚOOÚ), viz bod 15.

Pro uplatnění svých práv nás kontaktujte na [email protected]. Na vaši žádost odpovíme bez zbytečného odkladu, nejpozději do 30 dnů od obdržení. V odůvodněných případech lze lhůtu prodloužit o další 2 měsíce.

10. Automatizované rozhodování

V rámci Služby neprovádíme žádné automatizované rozhodování ani profilování ve smyslu čl. 22 GDPR, které by mělo právní účinky nebo by se vás obdobně významně dotýkalo.

11. Zabezpečení údajů

Pro ochranu vašich osobních údajů používáme přiměřená technická a organizační opatření:

  • Šifrování veškeré komunikace pomocí TLS 1.3.
  • Hashování hesel algoritmem bcrypt s dostatečnou náročností.
  • Row Level Security (RLS) na databázové úrovni pro izolaci dat mezi organizacemi.
  • Pravidelné šifrované zálohy dat.
  • Audit log zaznamenávající přístupy a změny.
  • Pravidelné bezpečnostní aktualizace celé infrastruktury.
  • Přístup k produkčním datům omezený pouze na oprávněné osoby.

12. Zpracování dat zákazníků uživatele (DPA dle čl. 28 GDPR)

Pokud uživatel (OSVČ, firma, organizace) vkládá do CraftIO osobní údaje svých kontaktů, zákazníků nebo obchodních partnerů, vystupuje jako správce těchto údajů. Poskytovatel je v tomto vztahu zpracovatelem dle čl. 28 GDPR. Tyto zásady zároveň tvoří základní Smlouvu o zpracování osobních údajů (Data Processing Agreement, DPA).

Předmět a doba zpracování

Předmětem zpracování jsou identifikační, kontaktní a obchodní údaje fyzických osob (zákazníků uživatele). Doba zpracování odpovídá době trvání smlouvy mezi uživatelem a poskytovatelem, prodloužená o 30 dní pro export dat a max. 90 dní pro odstranění ze záloh.

Kategorie subjektů a údajů

Kategorie subjektů: zákazníci, kontakty a obchodní partneři uživatele. Kategorie údajů: jméno, e-mail, telefon, adresa, fakturační údaje, obchodní historie, poznámky a další data, která uživatel do systému dobrovolně vložil.

Povinnosti zpracovatele

  • Zpracovávat údaje výhradně na základě doložených pokynů správce (uživatele).
  • Zajistit mlčenlivost osob pověřených zpracováním.
  • Přijmout vhodná technická a organizační opatření (čl. 32 GDPR) — viz bod 11.
  • Poskytovat součinnost při výkonu práv subjektů údajů (čl. 15–22 GDPR).
  • Oznámit porušení zabezpečení bez zbytečného odkladu (čl. 33).
  • Po ukončení smlouvy data vrátit nebo smazat dle pokynu správce.

Další (dílčí) zpracovatelé

Uživatel souhlasí s využitím dalších zpracovatelů uvedených v bodě 6 (Stripe, Cloudflare, Resend, Migadu). O změně subdodavatele bude uživatel informován e-mailem minimálně 30 dní předem s možností vznést námitku.

Audit a kontrola

Uživatel má právo na přiměřeném základě ověřit dodržování povinností zpracovatele. Primárně formou vyžádání informací na [email protected]; v odůvodněných případech lze dohodnout auditní prohlášení nebo nezávislý audit na náklady uživatele.

Uživatel jako správce zůstává primárně odpovědný za plnění informační povinnosti vůči svým zákazníkům (čl. 13/14 GDPR) a za zákonnost vkládaných údajů. Samostatnou písemnou DPA s rozšířenými ustanoveními poskytneme na vyžádání.

13. Soubory cookies

Informace o používání souborů cookies naleznete v samostatném dokumentu Zásady používání cookies.

14. Kontakt

S dotazy ohledně zpracování osobních údajů se můžete obrátit na:

  • E-mail: [email protected]
  • Korespondenční adresa: Julius Joska, č.p. 98, 262 11 Rosovice

15. Právo podat stížnost

Pokud se domníváte, že zpracováním vašich osobních údajů dochází k porušení GDPR, máte právo podat stížnost u dozorového úřadu:

Úřad pro ochranu osobních údajů (ÚOOÚ)

Pplk. Sochora 27, 170 00 Praha 7

Web: www.uoou.cz

E-mail: [email protected]

16. Změny těchto zásad

O změnách těchto zásad budeme informovat prostřednictvím e-mailu a oznámení v aplikaci minimálně 30 dní před jejich účinností. Aktuální verze bude vždy dostupná na této stránce.

← Zpět na hlavní stránku|Obchodní podmínkyCookiesPodmínky předplatného