Zásady ochrany osobních údajů
Naposledy aktualizováno: 11. května 2026 Verze: 1.2
TL;DR
Jsem živnostník. Když mi napíšete přes formulář nebo e-mailem, zpracuju vaše údaje, abych mohl reagovat a případně s vámi uzavřít zakázku. Faktury držím deset let, protože to po mně chce zákon. Žádný retargeting, žádný Facebook Pixel, žádný prodej dat. Podrobnosti níže — psané česky, ne právničtinou.
1. Kdo jsem
Správcem osobních údajů jsem já:
- Jméno: Ondřej Mašek
- IČO: 75945916
- Sídlo: Malířská 609/5, 170 00 Praha
- E-mail pro otázky kolem soukromí: ondrej.masek@gmail.com
- Telefon: +420 602 878 825
Pověřence pro ochranu osobních údajů (DPO) nemám — zákon mi ho neukládá. Když budete cokoliv potřebovat, pište mi přímo na e-mail výše.
2. Jaké údaje zpracovávám
Jen to, co opravdu potřebuju:
- Z kontaktního formuláře: jméno, e-mail, případně telefon a obsah zprávy.
- Z e-mailové komunikace: to, co mi napíšete, plus údaje v hlavičce (odesílatel, čas).
- Při zakázce: fakturační údaje (jméno, adresa, IČO, DIČ), obsah smlouvy a souvisejících dokumentů.
- Z newsletteru (pokud se přihlásíte): e-mailová adresa a záznam o vašem souhlasu.
- Z provozu webu: anonymizovaná návštěvnost přes Plausible — bez cookies, bez identifikátorů. Pouze pokud souhlasíte s analytickými cookies v cookie liště.
- Ze serverových logů: IP adresa, user-agent a čas požadavku — krátkodobě, kvůli bezpečnosti a obraně proti útokům.
Žádné citlivé údaje (zdravotní stav, politické názory atd.) ode mě nezpracovávám a nechci je dostávat ani přes formulář.
3. Proč to dělám a na základě čeho
| Účel | Právní základ | Jednoduše řečeno |
|---|---|---|
| Odpovědět na váš dotaz | čl. 6 odst. 1 písm. b) GDPR — jednání před uzavřením smlouvy | Když mi napíšete, potřebuju vaše údaje, abych mohl reagovat. |
| Plnit zakázku | čl. 6 odst. 1 písm. b) GDPR — smlouva | Bez fakturačních údajů smlouvu neuzavřu ani nevyfakturuju. |
| Vystavit a archivovat účetní/daňové doklady | čl. 6 odst. 1 písm. c) GDPR — právní povinnost | Zákon o účetnictví, zákon o DPH, zákon o daních z příjmů. |
| Bránit případné nároky | čl. 6 odst. 1 písm. f) GDPR — oprávněný zájem | Pokud by se objevila reklamace nebo spor, potřebuju po nezbytnou dobu důkazy. |
| Zasílat newsletter | čl. 6 odst. 1 písm. a) GDPR — souhlas + § 7 zák. č. 480/2004 Sb. | Posílám výhradně s vaším souhlasem; kdykoliv ho můžete vzít zpět odkazem v každém e-mailu. |
| Měřit návštěvnost (Plausible) | čl. 6 odst. 1 písm. a) GDPR — souhlas | Pouze pokud v cookie liště kliknete „Přijmout vše” nebo „Statistika”. |
| Provozní logy a obrana proti útokům | čl. 6 odst. 1 písm. f) GDPR — oprávněný zájem | Bez logů by web nebylo jak ubránit. |
| Doručení webové stránky | čl. 6 odst. 1 písm. b) + f) GDPR | Hosting potřebuje vaši IP, aby vám prohlížeči poslal odpověď. |
4. Jak dlouho data uchovávám
| Co | Jak dlouho | Proč |
|---|---|---|
| Zprávy z formuláře, ze kterých nic dál nevzejde | 6 měsíců od posledního kontaktu | Pak už je nemám důvod držet (zásada minimalizace, čl. 5 odst. 1 písm. e) GDPR). |
| E-mailová korespondence před uzavřením smlouvy | nejdéle 3 roky | Subjektivní promlčecí lhůta, § 629 OZ. |
| Smlouvy a související dokumenty | 10 let od ukončení smlouvy | Objektivní promlčecí lhůta § 636 odst. 2 OZ + překryv s účetnictvím. |
| Faktury a daňové doklady | 10 let od konce zdaňovacího období | § 35 zák. č. 235/2004 Sb. o DPH. |
| Ostatní účetní doklady | 5 let | § 31 zák. č. 563/1991 Sb. o účetnictví. |
| Záznam o přihlášení k newsletteru a souhlasu | do odhlášení + 3 roky pro doklad o souhlasu | Čl. 7 odst. 1 GDPR (povinnost prokázat souhlas). |
| Nepotvrzené přihlášky k newsletteru | 7 dní od přihlášky | Zásada minimalizace, čl. 5 odst. 1 písm. e) GDPR. |
| Statistiky návštěvnosti (Plausible, agregované) | 24 měsíců | Výchozí nastavení Plausible. |
| Serverové a bezpečnostní logy | nejvýše 30 dní | Zásada minimalizace. |
| Záznam o cookie souhlasu | 12 měsíců od poslední interakce | Doporučení EDPB Cookie Banner Task Force. |
5. Komu data předávám
Sám si nic neuvařím — používám standardní nástroje. Moji zpracovatelé:
- Vercel Inc. (USA) — hosting webu, edge funkce, doručení obsahu.
- Supabase Inc. (USA, datový region EU/Frankfurt) — databáze pro zprávy z formuláře a přihlášky k newsletteru.
- n8n GmbH (Berlín, Německo) — automatizace zpracování zpráv z formuláře a e-mailových notifikací.
- Resend, Inc. (USA, datový region EU/Frankfurt) — odesílání transakčních e-mailů (potvrzení odběru newsletteru, odhlášení).
- Plausible Insights OÜ (Estonsko, EU) — anonymizované statistiky návštěvnosti. Servery Hetzner Německo, CDN Bunny Slovinsko. Bez přenosu mimo EHP.
- mailbox.org (Heinlein Support GmbH, Berlín, Německo, EU) — příjem příchozí pošty na doméně omasek.com a její přeposílání do osobního Gmail inboxu.
- Google LLC (USA) — poštovní služba Gmail, kterou používám pro příjem a archivaci e-mailové komunikace.
- Banka — pro platební styk.
- Finanční úřad, Česká správa sociálního zabezpečení, zdravotní pojišťovna — v rozsahu zákonných povinností.
Účetnictví si vedu sám, takže žádný externí účetní vaše údaje nevidí.
Vaše údaje neprodávám, nevyměňuju za reklamní cookies a nepředávám je nikomu, kdo na seznamu výše není.
6. Předávání mimo EU
Někteří zpracovatelé výše sídlí v USA. Je to legální, ale chci, abyste věděli na základě čeho:
- Vercel — certifikován v rámci EU-US Data Privacy Framework (prováděcí rozhodnutí Komise (EU) 2023/1795 ze dne 10. 7. 2023) + standardní smluvní doložky (SCC) dle prováděcího rozhodnutí Komise (EU) 2021/914.
- Supabase — SCC dle Data Processing Addendum. Datová vrstva běží v EU regionu (Frankfurt na AWS), nicméně Supabase Inc. jako poskytovatel sídlí v USA, proto disclosuru zařazuju mezi přenosy do třetí země.
- Resend — SCC dle Data Processing Addendum, případně DPF, pokud je v něm certifikován.
- Google (Gmail) — DPF + SCC dle Google Workspace Data Processing Amendment.
- n8n GmbH — sídlo v Německu, žádný přenos mimo EHP.
- Plausible Insights OÜ — sídlo v Estonsku, servery v Německu, žádný přenos mimo EHP.
- mailbox.org (Heinlein Support GmbH) — sídlo a servery v Berlíně, žádný přenos mimo EHP; uzavřena smlouva o zpracování osobních údajů dle GDPR (Standard plán).
Pro každého amerického zpracovatele mám zpracované jednostránkové posouzení vlivu předání (TIA) s doplňujícími opatřeními (šifrování v přenosu, minimalizace dat, krátká retence).
Pokud by Soudní dvůr EU DPF v budoucnu zneplatnil (probíhá řízení T-553/23), spoléhám na SCC jako záložní mechanismus a tyto zásady aktualizuju.
7. Cookies a podobné technologie
Podrobný seznam je v samostatné stránce Cookies (odkaz najdete i v patičce). Stručně:
- Nezbytné — jazyk webu, vaše volba v cookie liště. Bez souhlasu, bez nich web nefunguje.
- Statistika — Plausible, anonymizovaný, bez cookies. Spustí se jen s vaším souhlasem.
- Marketing — žádné. A neplánuju je přidávat.
Souhlas můžete kdykoliv změnit přes odkaz „Nastavení cookies” v patičce. Souhlas si pamatuju 12 měsíců; pokud odmítnete, neptám se znovu po dobu 6 měsíců.
8. Vaše práva
Podle GDPR máte právo:
- Na přístup k údajům, které o vás mám, a dostat jejich kopii (čl. 15).
- Na opravu čehokoliv nepřesného nebo neúplného (čl. 16).
- Na výmaz, když už údaje nepotřebuju nebo odvoláte souhlas (čl. 17). Má to limity — faktury, které musím držet podle zákona, smazat nemůžu.
- Na omezení zpracování v určitých situacích (čl. 18).
- Na přenositelnost — dostanete údaje, které jste mi předali, ve strojově čitelném formátu (čl. 20).
- Vznést námitku proti zpracování na základě oprávněného zájmu, včetně přímého marketingu (čl. 21). U přímého marketingu přestanu okamžitě a bez ptaní.
- Odvolat souhlas kdykoliv s účinností do budoucna (čl. 7 odst. 3). U newsletteru stačí kliknout „Odhlásit” v kterémkoliv e-mailu; u cookies změňte volbu přes „Nastavení cookies”.
Práva uplatníte e-mailem na ondrej.masek@gmail.com. Odpovím do jednoho měsíce. Pokud bude žádost složitá, můžu lhůtu o dva měsíce prodloužit — dám vám vědět proč.
Pokud máte pocit, že s vašimi daty nezacházím správně, můžete podat stížnost dozorovému úřadu:
Úřad pro ochranu osobních údajů (ÚOOÚ) Pplk. Sochora 727/27, 170 00 Praha 7-Holešovice e-mail: posta@uoou.gov.cz datová schránka: qkbaa2n tel.: +420 234 665 111 web: https://uoou.gov.cz
Stížnost můžete podat i u dozorového úřadu země, kde žijete, pracujete, nebo kde podle vás došlo k porušení (čl. 77 GDPR).
9. Bezpečnost
Co dělám, abych vaše data ochránil:
- HTTPS/TLS všude
- Vícefaktorové ověřování u všech nástrojů, které ho podporují
- Princip nejmenších oprávnění (každý nástroj vidí jen to, co potřebuje)
- Zašifrované zálohy
- Pravidelné aktualizace závislostí a kontrola
Žádný systém není stoprocentní. Pokud by došlo k incidentu se závažným dopadem na vaše práva, oznámím to ÚOOÚ do 72 hodin a vás budu informovat bez zbytečného odkladu (čl. 33–34 GDPR).
10. Děti
Web ani služby nejsou určené dětem do 16 let. Vědomě údaje dětí nezpracovávám.
11. Automatizované rozhodování a profilování
Žádné neprovádím. Žádné scoringové algoritmy, žádné automatické vyhodnocování. O všem rozhoduju já jako člověk.
12. Změny těchto zásad
Když něco upravím, změním datum nahoře a popíšu změnu v seznamu níže. U podstatných změn vás upozorním e-mailem (pokud na vás mám kontakt) nebo bannerem na webu.
Verze a změny:
- v1.0 — 5. 5. 2026 — první vydání.
- v1.1 — 8. 5. 2026 — doplněn zpracovatel Forward Email LLC (catch-all inbound mail), upřesněn region a účel zpracovatele Resend.
- v1.2 — 11. 5. 2026 — zpracovatel pro příjem příchozí pošty změněn z ForwardEmail.net (US) na mailbox.org (Heinlein Support GmbH, Berlín, Německo). Důvod: ForwardEmail free tier nepřijal naši doménu a jejich produkční servery jsou v Denveru, ne v EU. Přechod na EU-resident provider zachovává GDPR pozici beze změny.
Tyto zásady jsou v české jazykové verzi rozhodné v případě sporu. English version is available at /en/privacy.