Verze 1.1 | Poslední aktualizace: 13. prosince 2025
1. Správce osobních údajů
Správcem osobních údajů je Edu online s.r.o., jednatel: Michal Krutiš
- IČO: 24263559
- DIČ: CZ24263559
- Sídlo: Žitná 3994, Mělník
- Kontakt pro otázky GDPR: privacy@booknuto.krutis.cz
1.1 Dozorový úřad
Úřad pro ochranu osobních údajů (ÚOOÚ)
Pplk. Sochora 27, 170 00 Praha 7
www.uoou.cz
2. Jaká data sbíráme
2.1 Data konzultantů (uživatelů)
- Google User ID (pro autentizaci)
- E-mailová adresa
- Jméno a příjmení
- Avatar (volitelně)
- Uživatelské jméno (pro veřejný profil)
- Kalendářová data (časy, dostupnost)
- Nastavení pricing strategie
2.2 Data klientů (koncových zákazníků)
- Jméno a příjmení
- E-mailová adresa
- Poznámka k rezervaci (volitelně)
- Čas a trvání rezervace
- Cena rezervace
- Verze souhlasu s obchodními podmínkami a ochranou osobních údajů
2.3 Data návštěvníků
- UUID cookie (pro tracking unikátních návštěvníků)
- Session data (zobrazené sloty, konverze)
- IP adresa (pro bezpečnost a prevenci zneužití)
- Žádná osobní data, pokud návštěvník nerezervuje termín
3. Jak data používáme
- Správa rezervací: Zpracování a správa rezervací konzultačních termínů
- E-mailová notifikace: Odesílání potvrzovacích e-mailů a připomínek
- Analytika: Sledování konverzních poměrů, výnosů a dalších metrik pro zlepšení služby
- Zlepšování aplikace: Analýza používání služby pro vývoj nových funkcí
- Bezpečnost: Prevence zneužití a ochrana před neoprávněným přístupem
4. Právní základ zpracování
- Plnění smlouvy (čl. 6/1/b GDPR): Zpracování dat nezbytných pro poskytování služby (rezervace, notifikace)
- Oprávněný zájem (čl. 6/1/f GDPR): Analytika, bezpečnost, prevence zneužití
- Souhlas (čl. 6/1/a GDPR): Marketing cookies (volitelné, lze odmítnout)
- Právní povinnost (čl. 6/1/c GDPR): Uchovávání faktur (10 let), daňová evidence
5. Sdílení dat
5.1 Příjemci údajů
Vaše data sdílíme pouze s následujícími službami:
- Google Calendar API: Pro synchronizaci kalendářových dat
- Resend: Pro doručování e-mailových notifikací
- Stripe: Pro zpracování plateb (pouze pro placené plány)
- Vercel: Pro hosting aplikace
- Neon: Pro databázové uložení (EU servery)
- Sentry: Pro sledování chyb a výkonu aplikace
5.2 Mezinárodní přenosy dat
Některé služby zpracovávají data mimo EU/EEA. Pro tyto přenosy používáme následující záruky:
| Služba | Země | Záruky |
|---|---|---|
| Stripe | USA | EU-US Data Privacy Framework, SCCs |
| USA | EU-US Data Privacy Framework, SCCs | |
| Resend | USA | Standard Contractual Clauses (SCCs) |
| Vercel | USA/EU | SCCs, šifrování |
| Neon | EU | - |
Více informací o EU-US Data Privacy Framework: dataprivacyframework.gov
5.3 Neprodáváme vaše údaje
ŽÁDNÍ třetí strany pro marketing: Vaše data neprodáváme ani nesdílíme s marketingovými společnostmi.
6. Vaše práva (GDPR)
Máte následující práva podle GDPR:
- Právo na přístup (čl. 15): Můžete požádat o kopii všech vašich osobních údajů (export dat v nastavení účtu)
- Právo na opravu (čl. 16): Můžete upravit své údaje v nastavení profilu
- Právo na výmaz (čl. 17): Můžete požádat o smazání účtu a všech osobních údajů (funkce smazání účtu v nastavení)
- Právo na přenositelnost (čl. 20): Můžete získat svá data ve strukturovaném formátu (JSON export)
- Právo vznést námitku (čl. 21): Můžete vznést námitku proti zpracování vašich údajů
- Právo podat stížnost: Můžete podat stížnost u Úřadu pro ochranu osobních údajů (ÚOOÚ)
Pro uplatnění vašich práv nás kontaktujte na privacy@booknuto.krutis.cz. Požadavky zpracováváme do 30 dnů od obdržení.
7. Uchovávání dat
- Rezervace: 3 roky (z daňových důvodů)
- Visitor sessions: 90 dní (automatické mazání po expiraci)
- Účet: Dokud není smazán uživatelem
- Logy: 12 měsíců
- Faktury: 10 let (zákonná povinnost)
8. Automatizované rozhodování a profilování
8.1 Dynamic Pricing
Booknuto používá algoritmy pro dynamické cenotvorbu. Důležité informace:
- Ceny určuje algoritmus na základě pravidel konzultanta (vytížení kalendáře, den v týdnu, lead time)
- Nejedná se o profilování subjektů údajů – cena se nemění podle toho, kdo jste nebo jaké máte osobní údaje
- Klient vidí výslednou cenu před rezervací
8.2 Vaše práva dle čl. 22 GDPR
V souvislosti s automatizovaným rozhodováním máte právo:
- Na lidský přezkum rozhodnutí
- Vyjádřit svůj názor
- Napadnout rozhodnutí
Pro uplatnění těchto práv kontaktujte privacy@booknuto.krutis.cz.
9. Cookies
9.1 Typy cookies
Používáme následující typy cookies:
| Typ | Účel | Nutný souhlas |
|---|---|---|
| Nezbytné | Session management, autentizace | Ne (vždy aktivní) |
| Funkční | Preference, nastavení | Ne |
| Analytické | Sledování konverzí, návštěvnosti | Ano |
| Marketingové | Remarketing, reklamy | Ano |
9.2 Cookie banner
Při první návštěvě zobrazíme cookie banner s možnostmi:
- Přijmout vše (nezbytné + volitelné)
- Odmítnout vše (pouze nezbytné)
- Vlastní nastavení (granulární kontrola)
9.3 Správa cookies
Cookies můžete spravovat:
- V nastavení prohlížeče
- Na stránce: booknuto.com/legal/cookies
- Kontaktem na privacy@booknuto.krutis.cz
10. Bezpečnost údajů
10.1 Technická opatření
Pro ochranu vašich dat používáme:
- Šifrování: TLS 1.3 pro přenos, AES-256-GCM pro uložení OAuth tokenů
- Autentizace: Google OAuth, HTTP-only cookies
- Přístup: Omezený přístup pouze pro oprávněné osoby
- Hosting: EU data center (Neon), certifikované služby (SOC 2)
- Zálohování: Šifrované zálohy, geografická redundance
10.2 Organizační opatření
- Minimalizace přístupu (need-to-know)
- Pravidelné bezpečnostní audity
- Školení zaměstnanců
- Incident response plán
10.3 Bezpečnostní incident
V případě úniku osobních údajů:
- Oznámíme Úřadu pro ochranu osobních údajů (ÚOOÚ) do 72 hodin(pokud incident představuje riziko)
- Informujeme postižené subjekty údajů
- Přijmeme nápravná opatření a posílíme bezpečnost
11. Role ve zpracování údajů
11.1 Booknuto jako správce
Jsme správcem pro:
- Data našich uživatelů (konzultantů)
- Analytická data (visitor sessions)
- Marketing data (pokud souhlasíte)
11.2 Booknuto jako zpracovatel
Jsme zpracovatelem pro:
- Data klientů našich uživatelů (koncových zákazníků)
- Booking data zpracovávaná jménem uživatele
V tomto případě je konzultant (uživatel) správcem dat svých klientů a Booknuto zpracovává data jeho jménem.
11.3 Data Processing Agreement (DPA)
Pro enterprise klienty poskytujeme Data Processing Agreement (smlouvu o zpracování osobních údajů) dle čl. 28 GDPR.
Kontaktujte nás na support@booknuto.krutis.cz pro získání DPA.
12. Děti
Služba Booknuto není určena osobám mladším 18 let. Vědomě neshromažďujeme údaje dětí.
Pokud zjistíte, že dítě poskytlo údaje, kontaktujte nás na privacy@booknuto.krutis.cz.
13. Kontakt
V případě dotazů týkajících se ochrany osobních údajů nebo pro uplatnění vašich práv nás kontaktujte na privacy@booknuto.krutis.cz.
GDPR požadavky zpracováváme do 30 dnů od obdržení.
Změny této politiky
Tuto politiku ochrany osobních údajů můžeme čas od času aktualizovat. O významných změnách vás budeme informovat e-mailem nebo oznámením v aplikaci minimálně 30 dní předem.