Zásady ochrany osobních údajů

Účinné od 7. července 2026

1. Správce údajů

Správcem osobních údajů ve smyslu Nařízení (EU) 2016/679 (GDPR) je Anna Červinková, IČO: 02275449, e-mail: hello@flowwr.app (dále jen „Správce").

2. Role při zpracování

Ve vztahu k údajům uživatelů Služby (registrovaných zákazníků flowwr) vystupuje Správce jako správce osobních údajů. Ve vztahu k údajům o klientech uživatele, které uživatel vkládá do Služby při vystavování faktur a nabídek, vystupuje Správce jako zpracovatel jednající na základě pokynů uživatele; správcem těchto údajů zůstává uživatel.

3. Jaké údaje zpracováváme

  • Údaje o účtu: e-mail, zobrazované jméno, přihlašovací údaje (hash hesla), preference.
  • Fakturační profil uživatele: jméno / obchodní firma, IČO, DIČ, adresa, bankovní údaje, kontaktní e-mail.
  • Obchodní data: obsah faktur, nabídek, evidence klientů, historie plateb, poznámky.
  • Údaje o klientech uživatele: vkládané uživatelem (jméno, firemní údaje, kontakt).
  • Technická telemetrie: IP adresa, user-agent, logy činnosti, chybové hlášky.
  • Platební metadata: identifikátor zákazníka a předplatného od Paddle, stav platby. Údaje o platebních kartách nezpracováváme — zpracovává je výhradně Paddle.

4. Účely a právní základ zpracování

  • Plnění smlouvy (čl. 6 odst. 1 písm. b GDPR) — poskytování Služby, správa účtu, zákaznická podpora.
  • Právní povinnost (čl. 6 odst. 1 písm. c GDPR) — vedení účetnictví, plnění daňových povinností.
  • Oprávněný zájem (čl. 6 odst. 1 písm. f GDPR) — bezpečnost Služby, prevence podvodů a zneužití, ochrana práv Správce.
  • Souhlas (čl. 6 odst. 1 písm. a GDPR) — pouze v případech, kdy je souhlas výslovně vyžádán (např. zasílání novinek).

5. Příjemci a zpracovatelé

Osobní údaje jsou zpřístupňovány pouze prověřeným zpracovatelům, kteří jsou vázáni smlouvou o zpracování osobních údajů (DPA):

  • Supabase, Inc. (USA / EU) — hostování databáze, autentizace, souborové úložiště.
  • Cloudflare, Inc. (USA / EU) — hosting aplikace, CDN, ochrana proti útokům.
  • Paddle.com Market Limited (Spojené království) — Merchant of Record, zpracování plateb, fakturace předplatného, výběr a odvod daní.
  • Resend, Inc. (USA) — doručování transakčních e-mailů.
  • Google LLC (USA) — přihlášení přes Google OAuth, pokud tuto možnost uživatel využije.
  • Lovable — poskytovatel provozní infrastruktury a nástrojů pro provoz aplikace.

Osobní údaje mohou být dále předány orgánům veřejné moci, pokud tak stanoví právní předpis nebo je-li to nezbytné pro ochranu práv Správce nebo třetích osob.

6. Předávání mimo EU/EHP

Někteří zpracovatelé mají sídlo mimo Evropský hospodářský prostor (zejména USA). Předávání do těchto zemí probíhá na základě standardních smluvních doložek schválených Evropskou komisí (SCC), případně na základě rozhodnutí o odpovídající úrovni ochrany (např. EU–US Data Privacy Framework), s cílem zajistit odpovídající úroveň ochrany osobních údajů.

7. Doba uchování

  • Údaje o účtu — po dobu existence účtu.
  • Účetní a daňové doklady — po zákonem stanovenou dobu, zpravidla 10 let.
  • Technické a bezpečnostní logy — zpravidla do 90 dnů.
  • Suppression list e-mailových adres (po odhlášení z odběru) — po dobu nezbytnou pro zajištění, že již nebudou obesílány.
  • Údaje spojené s podezřením ze zneužití — po dobu nezbytnou k prošetření a případnému uplatnění práv Správce.

Po uplynutí doby uchování jsou údaje trvale smazány nebo anonymizovány.

8. Práva subjektu údajů

V souvislosti se zpracováním osobních údajů máte právo:

  • na přístup ke svým údajům,
  • na opravu nepřesných údajů,
  • na výmaz („právo být zapomenut"),
  • na omezení zpracování,
  • na přenositelnost údajů,
  • vznést námitku proti zpracování založenému na oprávněném zájmu,
  • odvolat udělený souhlas kdykoli v budoucnu,
  • podat stížnost u Úřadu pro ochranu osobních údajů.

Svá práva můžete uplatnit e-mailem na hello@flowwr.app. Odpovíme zpravidla do jednoho měsíce.

9. Zabezpečení

Přijímáme přiměřená technická a organizační opatření k ochraně osobních údajů: šifrovaný přenos (TLS/HTTPS), šifrování dat v úložišti na úrovni cloud poskytovatele, hashování hesel, přístup omezený rolemi (RLS na úrovni databáze), sledování bezpečnostních událostí a průběžnou aktualizaci zabezpečení.

10. Cookies

Používáme pouze technicky nezbytné cookies (session, ochrana proti CSRF, uchování přihlášení). Nepoužíváme reklamní ani sledovací cookies třetích stran a nevyužíváme sledování napříč weby.

11. Automatizované rozhodování

Neprovádíme automatizované rozhodování ani profilování s právními účinky pro subjekt údajů.

12. Kontakt

S jakýmikoli dotazy ohledně zpracování osobních údajů se obracejte na hello@flowwr.app.