Ochrana údajů

Zásady ochrany osobních údajů

Vaše osobní údaje zpracováváme transparentně, bezpečně a výhradně v rozsahu nezbytném pro poskytování služby Bildix. Tyto zásady vysvětlují co, proč, jak dlouho a komu předáváme.

Účinnost od 24. 5. 2026

1. Správce osobních údajů

Správcem osobních údajů ve smyslu čl. 4 bodu 7 GDPR je:

  • CVF Group, s.r.o.
  • IČO: 06681506, DIČ: CZ06681506
  • Sídlo: Rybná 716/24, 110 00 Praha 1
  • Zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, sp. zn. C 286931
  • Kontaktní e-mail pro otázky ochrany údajů: info@bildix.cz

Pro data, která Uživatel vkládá do svého Tenantu (zejména údaje jeho zákazníků, dodavatelů a kontaktů), je správcem Uživatel; Bildix zde vystupuje v postavení zpracovatele ve smyslu čl. 28 GDPR.

2. Rozsah zpracovávaných údajů

V postavení správce zpracováváme tyto kategorie údajů:

  • Identifikační a kontaktní údaje: jméno, příjmení, obchodní firma, IČO, DIČ, sídlo/adresa, e-mail, telefon, pracovní pozice;
  • Fakturační údaje: historie plateb, číslo předplatného, daňové doklady (Stripe);
  • Technické a provozní údaje: IP adresa, identifikátor relace, user-agent, časová razítka akcí (audit log), informace o zařízení;
  • Údaje z komunikace: obsah e-mailové komunikace s podporou.

3. Účely a právní tituly zpracování

  • Plnění smlouvy (čl. 6 odst. 1 písm. b GDPR) — poskytování Služby, správa uživatelského účtu, podpora;
  • Plnění právních povinností (čl. 6 odst. 1 písm. c GDPR) — vedení účetnictví dle zákona č. 563/1991 Sb., archivace daňových dokladů dle zákona č. 235/2004 Sb. o DPH;
  • Oprávněný zájem (čl. 6 odst. 1 písm. f GDPR) — zabezpečení Služby, prevence zneužití, audit log, přímý marketing vlastních obdobných služeb stávajícím zákazníkům;
  • Souhlas (čl. 6 odst. 1 písm. a GDPR) — analytické a marketingové cookies (pokud budou nasazeny), zasílání newsletteru.

4. Doba uchování

  • Smluvní a provozní údaje: po dobu trvání smlouvy a následně 4 roky pro účely případných reklamací a soudních sporů;
  • Účetní doklady: 10 let dle zákona č. 235/2004 Sb.;
  • Provozní logy a audit: zpravidla 12 měsíců;
  • Data v Tenantu po ukončení smlouvy: dostupná pro export 30 dnů, ze záloh definitivně odstraněna do 90 dnů;
  • Souhlas — do odvolání souhlasu nebo dosažení účelu.

5. Příjemci a subprocesoři

Při poskytování Služby využíváme následující zpracovatele a poskytovatele cloudových služeb. Se všemi máme uzavřenou zpracovatelskou smlouvu (DPA), případně se zpracování řídí standardními smluvními doložkami (SCC) schválenými EU Komisí.

ZpracovatelRoleMísto zpracování
Supabase, Inc.Hosting databáze, autentizace, úložiště souborůEU (Frankfurt, DE)
Cloudflare, Inc.CDN, ochrana proti DDoS, hosting aplikační vrstvy (Workers)Globální edge síť
USA — Standardní smluvní doložky (SCC) EU Komise
Stripe Payments Europe, Ltd.Zpracování plateb předplatného a jednorázových nákupůIrsko (EU)
Resend, Inc.Doručování transakčních e-mailů (potvrzení, oznámení)USA
Standardní smluvní doložky (SCC) EU Komise
Google Ireland, Ltd. / OpenAI Ireland, Ltd.AI funkce přes Lovable AI Gateway (zpracování textu promptů); data nejsou používána k tréninku modelůIrsko (EU)
Solitea Česká republika, a.s.iDoklad — fakturace, pokud Uživatel propojí svůj účetČeská republika
STORMWARE s.r.o.Pohoda — účetnictví, pokud Uživatel propojí svůj účetČeská republika
Fio banka, a.s.Bankovní výpisy a párování plateb, pokud Uživatel propojí svůj účetČeská republika

Aktuální seznam subprocesorů poskytneme na vyžádání. O změně klíčových subprocesorů Uživatele předem informujeme.

6. Předávání mimo EU/EHP

Část subprocesorů (Cloudflare, Resend) může osobní údaje zpracovávat na infrastruktuře umístěné mimo EU/EHP, zejména v USA. Toto předávání se děje výhradně na základě standardních smluvních doložek (SCC) schválených EU Komisí (Implementing Decision 2021/914), které zajišťují odpovídající úroveň ochrany osobních údajů srovnatelnou s GDPR.

7. Práva subjektu údajů

V souvislosti se zpracováním osobních údajů máte tato práva:

  • právo na přístup k osobním údajům (čl. 15 GDPR);
  • právo na opravu nepřesných údajů (čl. 16 GDPR);
  • právo na výmaz („právo být zapomenut", čl. 17 GDPR) — pokud nebrání jiný právní titul (zejména účetnictví);
  • právo na omezení zpracování (čl. 18 GDPR);
  • právo na přenositelnost údajů (čl. 20 GDPR);
  • právo vznést námitku proti zpracování založenému na oprávněném zájmu (čl. 21 GDPR);
  • právo kdykoliv odvolat udělený souhlas (čl. 7 odst. 3 GDPR);
  • právo podat stížnost u dozorového úřadu (Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, www.uoou.cz).

8. Uplatnění práv

Svá práva můžete uplatnit písemně na e-mailu info@bildix.cz. Vaši žádost vyřídíme bez zbytečného odkladu, nejpozději do 30 dnů od jejího přijetí (lhůtu lze ve zvláště složitých případech prodloužit až o 2 měsíce). Pro ověření totožnosti můžeme požadovat doplňující údaje.

9. Automatizované rozhodování a profilování

Při poskytování Služby neprovádíme automatizované rozhodování s právními účinky vůči subjektu údajů ve smyslu čl. 22 GDPR ani profilování.

10. Zabezpečení

Přijímáme přiměřená technická a organizační opatření k zabezpečení osobních údajů, zejména:

  • šifrování přenosu (TLS 1.2+) i dat v klidu (at-rest);
  • izolaci dat jednotlivých tenantů prostřednictvím Row-Level Security (RLS) na úrovni databáze;
  • ověření hesel proti databázi prolomených hesel (HIBP), automatické odhlášení po 2 hodinách neaktivity;
  • provozní audit log všech podstatných operací;
  • pravidelné zálohy s šifrováním a omezeným přístupem;
  • řízený přístup zaměstnanců a smluvních partnerů na základě principu nejnižšího nutného oprávnění.

11. Zpracovatelská role pro data Uživatele

Pro osobní údaje, které Uživatel sám vkládá do svého Tenantu (zejména kontakty zákazníků a dodavatelů), vystupujeme jako zpracovatel. Samostatnou zpracovatelskou smlouvu (DPA) podle čl. 28 GDPR poskytneme na vyžádání na e-mailu info@bildix.cz.

12. Změny zásad

Tyto zásady můžeme čas od času aktualizovat. O podstatných změnách informujeme prostřednictvím aplikace nebo e-mailem nejméně 14 dnů před jejich účinností. Tyto zásady jsou účinné od 24. 5. 2026.