Zásady ochrany osobních údajů
Účinné od 7. července 2026
1. Správce údajů
Správcem osobních údajů ve smyslu Nařízení (EU) 2016/679 (GDPR) je Anna Červinková, IČO: 02275449, e-mail: hello@flowwr.app (dále jen „Správce").
2. Role při zpracování
Ve vztahu k údajům uživatelů Služby (registrovaných zákazníků flowwr) vystupuje Správce jako správce osobních údajů. Ve vztahu k údajům o klientech uživatele, které uživatel vkládá do Služby při vystavování faktur a nabídek, vystupuje Správce jako zpracovatel jednající na základě pokynů uživatele; správcem těchto údajů zůstává uživatel.
3. Jaké údaje zpracováváme
- Údaje o účtu: e-mail, zobrazované jméno, přihlašovací údaje (hash hesla), preference.
- Fakturační profil uživatele: jméno / obchodní firma, IČO, DIČ, adresa, bankovní údaje, kontaktní e-mail.
- Obchodní data: obsah faktur, nabídek, evidence klientů, historie plateb, poznámky.
- Údaje o klientech uživatele: vkládané uživatelem (jméno, firemní údaje, kontakt).
- Technická telemetrie: IP adresa, user-agent, logy činnosti, chybové hlášky.
- Platební metadata: identifikátor zákazníka a předplatného od Paddle, stav platby. Údaje o platebních kartách nezpracováváme — zpracovává je výhradně Paddle.
4. Účely a právní základ zpracování
- Plnění smlouvy (čl. 6 odst. 1 písm. b GDPR) — poskytování Služby, správa účtu, zákaznická podpora.
- Právní povinnost (čl. 6 odst. 1 písm. c GDPR) — vedení účetnictví, plnění daňových povinností.
- Oprávněný zájem (čl. 6 odst. 1 písm. f GDPR) — bezpečnost Služby, prevence podvodů a zneužití, ochrana práv Správce.
- Souhlas (čl. 6 odst. 1 písm. a GDPR) — pouze v případech, kdy je souhlas výslovně vyžádán (např. zasílání novinek).
5. Příjemci a zpracovatelé
Osobní údaje jsou zpřístupňovány pouze prověřeným zpracovatelům, kteří jsou vázáni smlouvou o zpracování osobních údajů (DPA):
- Supabase, Inc. (USA / EU) — hostování databáze, autentizace, souborové úložiště.
- Cloudflare, Inc. (USA / EU) — hosting aplikace, CDN, ochrana proti útokům.
- Paddle.com Market Limited (Spojené království) — Merchant of Record, zpracování plateb, fakturace předplatného, výběr a odvod daní.
- Resend, Inc. (USA) — doručování transakčních e-mailů.
- Google LLC (USA) — přihlášení přes Google OAuth, pokud tuto možnost uživatel využije.
- Lovable — poskytovatel provozní infrastruktury a nástrojů pro provoz aplikace.
Osobní údaje mohou být dále předány orgánům veřejné moci, pokud tak stanoví právní předpis nebo je-li to nezbytné pro ochranu práv Správce nebo třetích osob.
6. Předávání mimo EU/EHP
Někteří zpracovatelé mají sídlo mimo Evropský hospodářský prostor (zejména USA). Předávání do těchto zemí probíhá na základě standardních smluvních doložek schválených Evropskou komisí (SCC), případně na základě rozhodnutí o odpovídající úrovni ochrany (např. EU–US Data Privacy Framework), s cílem zajistit odpovídající úroveň ochrany osobních údajů.
7. Doba uchování
- Údaje o účtu — po dobu existence účtu.
- Účetní a daňové doklady — po zákonem stanovenou dobu, zpravidla 10 let.
- Technické a bezpečnostní logy — zpravidla do 90 dnů.
- Suppression list e-mailových adres (po odhlášení z odběru) — po dobu nezbytnou pro zajištění, že již nebudou obesílány.
- Údaje spojené s podezřením ze zneužití — po dobu nezbytnou k prošetření a případnému uplatnění práv Správce.
Po uplynutí doby uchování jsou údaje trvale smazány nebo anonymizovány.
8. Práva subjektu údajů
V souvislosti se zpracováním osobních údajů máte právo:
- na přístup ke svým údajům,
- na opravu nepřesných údajů,
- na výmaz („právo být zapomenut"),
- na omezení zpracování,
- na přenositelnost údajů,
- vznést námitku proti zpracování založenému na oprávněném zájmu,
- odvolat udělený souhlas kdykoli v budoucnu,
- podat stížnost u Úřadu pro ochranu osobních údajů.
Svá práva můžete uplatnit e-mailem na hello@flowwr.app. Odpovíme zpravidla do jednoho měsíce.
9. Zabezpečení
Přijímáme přiměřená technická a organizační opatření k ochraně osobních údajů: šifrovaný přenos (TLS/HTTPS), šifrování dat v úložišti na úrovni cloud poskytovatele, hashování hesel, přístup omezený rolemi (RLS na úrovni databáze), sledování bezpečnostních událostí a průběžnou aktualizaci zabezpečení.
10. Cookies
Používáme pouze technicky nezbytné cookies (session, ochrana proti CSRF, uchování přihlášení). Nepoužíváme reklamní ani sledovací cookies třetích stran a nevyužíváme sledování napříč weby.
11. Automatizované rozhodování
Neprovádíme automatizované rozhodování ani profilování s právními účinky pro subjekt údajů.
12. Kontakt
S jakýmikoli dotazy ohledně zpracování osobních údajů se obracejte na hello@flowwr.app.