1. Správce osobních údajů
Správcem osobních údajů ve smyslu čl. 4 bodu 7 GDPR je:
- CVF Group, s.r.o.
- IČO: 06681506, DIČ: CZ06681506
- Sídlo: Rybná 716/24, 110 00 Praha 1
- Zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, sp. zn. C 286931
- Kontaktní e-mail pro otázky ochrany údajů: info@bildix.cz
Pro data, která Uživatel vkládá do svého Tenantu (zejména údaje jeho zákazníků, dodavatelů a kontaktů), je správcem Uživatel; Bildix zde vystupuje v postavení zpracovatele ve smyslu čl. 28 GDPR.
2. Rozsah zpracovávaných údajů
V postavení správce zpracováváme tyto kategorie údajů:
- Identifikační a kontaktní údaje: jméno, příjmení, obchodní firma, IČO, DIČ, sídlo/adresa, e-mail, telefon, pracovní pozice;
- Fakturační údaje: historie plateb, číslo předplatného, daňové doklady (Stripe);
- Technické a provozní údaje: IP adresa, identifikátor relace, user-agent, časová razítka akcí (audit log), informace o zařízení;
- Údaje z komunikace: obsah e-mailové komunikace s podporou.
3. Účely a právní tituly zpracování
- Plnění smlouvy (čl. 6 odst. 1 písm. b GDPR) — poskytování Služby, správa uživatelského účtu, podpora;
- Plnění právních povinností (čl. 6 odst. 1 písm. c GDPR) — vedení účetnictví dle zákona č. 563/1991 Sb., archivace daňových dokladů dle zákona č. 235/2004 Sb. o DPH;
- Oprávněný zájem (čl. 6 odst. 1 písm. f GDPR) — zabezpečení Služby, prevence zneužití, audit log, přímý marketing vlastních obdobných služeb stávajícím zákazníkům;
- Souhlas (čl. 6 odst. 1 písm. a GDPR) — analytické a marketingové cookies (pokud budou nasazeny), zasílání newsletteru.
4. Doba uchování
- Smluvní a provozní údaje: po dobu trvání smlouvy a následně 4 roky pro účely případných reklamací a soudních sporů;
- Účetní doklady: 10 let dle zákona č. 235/2004 Sb.;
- Provozní logy a audit: zpravidla 12 měsíců;
- Data v Tenantu po ukončení smlouvy: dostupná pro export 30 dnů, ze záloh definitivně odstraněna do 90 dnů;
- Souhlas — do odvolání souhlasu nebo dosažení účelu.
5. Příjemci a subprocesoři
Při poskytování Služby využíváme následující zpracovatele a poskytovatele cloudových služeb. Se všemi máme uzavřenou zpracovatelskou smlouvu (DPA), případně se zpracování řídí standardními smluvními doložkami (SCC) schválenými EU Komisí.
| Zpracovatel | Role | Místo zpracování |
|---|---|---|
| Supabase, Inc. | Hosting databáze, autentizace, úložiště souborů | EU (Frankfurt, DE) |
| Cloudflare, Inc. | CDN, ochrana proti DDoS, hosting aplikační vrstvy (Workers) | Globální edge síť USA — Standardní smluvní doložky (SCC) EU Komise |
| Stripe Payments Europe, Ltd. | Zpracování plateb předplatného a jednorázových nákupů | Irsko (EU) |
| Resend, Inc. | Doručování transakčních e-mailů (potvrzení, oznámení) | USA Standardní smluvní doložky (SCC) EU Komise |
| Google Ireland, Ltd. / OpenAI Ireland, Ltd. | AI funkce přes Lovable AI Gateway (zpracování textu promptů); data nejsou používána k tréninku modelů | Irsko (EU) |
| Solitea Česká republika, a.s. | iDoklad — fakturace, pokud Uživatel propojí svůj účet | Česká republika |
| STORMWARE s.r.o. | Pohoda — účetnictví, pokud Uživatel propojí svůj účet | Česká republika |
| Fio banka, a.s. | Bankovní výpisy a párování plateb, pokud Uživatel propojí svůj účet | Česká republika |
Aktuální seznam subprocesorů poskytneme na vyžádání. O změně klíčových subprocesorů Uživatele předem informujeme.
6. Předávání mimo EU/EHP
Část subprocesorů (Cloudflare, Resend) může osobní údaje zpracovávat na infrastruktuře umístěné mimo EU/EHP, zejména v USA. Toto předávání se děje výhradně na základě standardních smluvních doložek (SCC) schválených EU Komisí (Implementing Decision 2021/914), které zajišťují odpovídající úroveň ochrany osobních údajů srovnatelnou s GDPR.
7. Práva subjektu údajů
V souvislosti se zpracováním osobních údajů máte tato práva:
- právo na přístup k osobním údajům (čl. 15 GDPR);
- právo na opravu nepřesných údajů (čl. 16 GDPR);
- právo na výmaz („právo být zapomenut", čl. 17 GDPR) — pokud nebrání jiný právní titul (zejména účetnictví);
- právo na omezení zpracování (čl. 18 GDPR);
- právo na přenositelnost údajů (čl. 20 GDPR);
- právo vznést námitku proti zpracování založenému na oprávněném zájmu (čl. 21 GDPR);
- právo kdykoliv odvolat udělený souhlas (čl. 7 odst. 3 GDPR);
- právo podat stížnost u dozorového úřadu (Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, www.uoou.cz).
8. Uplatnění práv
Svá práva můžete uplatnit písemně na e-mailu info@bildix.cz. Vaši žádost vyřídíme bez zbytečného odkladu, nejpozději do 30 dnů od jejího přijetí (lhůtu lze ve zvláště složitých případech prodloužit až o 2 měsíce). Pro ověření totožnosti můžeme požadovat doplňující údaje.
9. Automatizované rozhodování a profilování
Při poskytování Služby neprovádíme automatizované rozhodování s právními účinky vůči subjektu údajů ve smyslu čl. 22 GDPR ani profilování.
10. Zabezpečení
Přijímáme přiměřená technická a organizační opatření k zabezpečení osobních údajů, zejména:
- šifrování přenosu (TLS 1.2+) i dat v klidu (at-rest);
- izolaci dat jednotlivých tenantů prostřednictvím Row-Level Security (RLS) na úrovni databáze;
- ověření hesel proti databázi prolomených hesel (HIBP), automatické odhlášení po 2 hodinách neaktivity;
- provozní audit log všech podstatných operací;
- pravidelné zálohy s šifrováním a omezeným přístupem;
- řízený přístup zaměstnanců a smluvních partnerů na základě principu nejnižšího nutného oprávnění.
11. Zpracovatelská role pro data Uživatele
Pro osobní údaje, které Uživatel sám vkládá do svého Tenantu (zejména kontakty zákazníků a dodavatelů), vystupujeme jako zpracovatel. Samostatnou zpracovatelskou smlouvu (DPA) podle čl. 28 GDPR poskytneme na vyžádání na e-mailu info@bildix.cz.
12. Změny zásad
Tyto zásady můžeme čas od času aktualizovat. O podstatných změnách informujeme prostřednictvím aplikace nebo e-mailem nejméně 14 dnů před jejich účinností. Tyto zásady jsou účinné od 24. 5. 2026.