Zásady ochrany osobních údajů

Datum účinnosti: 3. května 2026 Verze: 1.0 Správce: AVANTERRO SYSTEMS s.r.o.

Co musí dokument obsahovat

  • Identifikaci správce a kontaktní údaje
  • Účely zpracování a právní základy podle čl. 6 GDPR
  • Kategorie zpracovávaných osobních údajů
  • Příjemce a kategorie příjemců (sub-processors)
  • Dobu uchování pro každou kategorii údajů
  • Informaci o předávání mimo EU/EHP a záruky (SCC)
  • Práva subjektu údajů a způsob jejich uplatnění
  • Právo podat stížnost u dozorového úřadu (ÚOOÚ)
  • Informaci o automatizovaném rozhodování a profilování
  • Krátké shrnutí cookies + odkaz na Cookie Policy
  • Technická a organizační bezpečnostní opatření
  • Pravidla pro změnu dokumentu a verzování

1. Kdo jsme a jak nás kontaktovat

Tyto Zásady ochrany osobních údajů popisují, jakým způsobem společnost AVANTERRO SYSTEMS s.r.o. (dále jen „Avanterro" nebo „my") zpracovává Vaše osobní údaje při poskytování služby Avanterro – cloudového informačního systému pro provozovny služeb (dále jen „Služba").

Identifikace správce:

  • Název: AVANTERRO SYSTEMS s.r.o.
  • IČO: 24568082
  • Sídlo: Příčná 1892/4, Nové Město, 110 00 Praha 1
  • Spisová značka: C 442318 vedená u Městského soudu v Praze
  • E-mail pro otázky k ochraně údajů: info@avanterro.com
  • Web: https://avanterro.com

Avanterro nejmenoval pověřence pro ochranu osobních údajů (DPO), neboť k tomu není podle čl. 37 GDPR povinen. Veškeré dotazy k ochraně osobních údajů směřujte na e‑mail uvedený výše.

2. Kdy jsme správce a kdy zpracovatel

Při poskytování Služby vystupujeme ve dvou různých rolích:

a) Jako správce – pokud zpracováváme údaje, které se týkají Vás osobně jako zákazníka Avanterro (např. registrace, fakturace, marketingová komunikace, podpora). Této role se týkají tyto Zásady.

b) Jako zpracovatel – pokud na našich serverech ukládáte data svých vlastních zákazníků (rezervace, kontakty, faktury, fotografie zakázek apod.). V tomto případě zůstáváte správcem těchto dat a Avanterro je zpracovává jen na základě Vašich pokynů. Vztah upravuje Zpracovatelská smlouva (DPA), která tvoří součást Vašeho předplatného.

3. Jaké údaje a proč zpracováváme

3.1 Registrace a správa uživatelského účtu

  • Údaje: jméno a příjmení, e‑mail, hash hesla, jazyk, časové pásmo, IP adresa při registraci, ID firmy (tenantu), role.
  • Účel: vytvoření a vedení účtu, autentizace, oddělení dat mezi tenanty.
  • Právní základ: plnění smlouvy (čl. 6 odst. 1 písm. b GDPR).
  • Doba uchování: po dobu trvání předplatného a 60 dní po jeho ukončení (export window). Účetní a daňové doklady spojené s účtem uchováváme po dobu stanovenou zákonem (10 let dle § 35 zákona č. 235/2004 Sb. o DPH a § 31 zákona č. 563/1991 Sb. o účetnictví).

3.2 Předplatné a platby

  • Údaje: fakturační jméno, adresa, IČO, DIČ, e‑mail, historie objednávek a faktur, ID transakce v platební bráně.
  • Účel: uzavření a plnění smlouvy o předplatném, vystavování dokladů, vedení účetnictví.
  • Právní základ: plnění smlouvy (čl. 6 odst. 1 písm. b GDPR), plnění právní povinnosti (čl. 6 odst. 1 písm. c GDPR – účetní a daňové předpisy).
  • Doba uchování: 10 let od konce zdaňovacího období.
  • Poznámka k platbám: veškeré platební transakce zpracovává společnost Paddle.com Market Limited jako prodejce zboží podle modelu „Merchant of Record". Avanterro nepřijímá ani nezpracovává údaje o platebních kartách – ty zadáváte přímo do prostředí Paddle, které je certifikováno PCI‑DSS Level 1.

3.3 Provoz a podpora Služby

  • Údaje: přihlašovací logy, IP adresa, identifikátor prohlížeče (User‑Agent), záznamy o akcích uživatele v aplikaci (audit log), obsah komunikace s podporou.
  • Účel: zajištění bezpečnosti, řešení incidentů, technická podpora, prevence zneužití.
  • Právní základ: oprávněný zájem (čl. 6 odst. 1 písm. f GDPR) – zájem na bezpečném a spolehlivém provozu Služby; u podpory plnění smlouvy.
  • Doba uchování: bezpečnostní logy 12 měsíců, audit logy 24 měsíců, tikety podpory 36 měsíců od uzavření.

3.4 Diagnostika chyb (error monitoring a Sentry Replay)

  • Údaje: technické informace o chybě (stack trace), URL, anonymizovaný identifikátor uživatele, verze prohlížeče; při udělení souhlasu také anonymní záznam akcí v uživatelském rozhraní po dobu 60 sekund zpět od okamžiku chyby (Sentry Session Replay — veškerý text maskován, média blokována).
  • Účel: odhalování a oprava chyb v aplikaci.
  • Právní základ: oprávněný zájem (čl. 6 odst. 1 písm. f GDPR) pro základní error monitoring (stack trace, URL). Sentry Session Replay: souhlas (čl. 6 odst. 1 písm. a GDPR) — udělujete jej prostřednictvím cookie banneru na webu avanterro.com.
  • Sub-processor: Functional Software, Inc. (Sentry.io), San Francisco, USA. Přenos zajištěn standardními smluvními doložkami (SCC), modul Controller-to-Processor.
  • Doba uchování: 90 dní.

3.5 Marketingová komunikace

  • Údaje: e‑mail, jméno, segment (např. typ provozovny), historie otevření a kliknutí.
  • Účel: zasílání novinek o Službě, tipů a obchodních sdělení.
  • Právní základ: oprávněný zájem zasílat obchodní sdělení existujícím zákazníkům ohledně obdobných služeb (§ 7 odst. 3 zákona č. 480/2004 Sb.); u nezákazníků souhlas (čl. 6 odst. 1 písm. a GDPR).
  • Doba uchování: do odvolání souhlasu nebo vznesení námitky, nejdéle 5 let od posledního kontaktu.
  • Z odběru se lze kdykoliv odhlásit jedním kliknutím v každém e‑mailu nebo na adrese info@avanterro.com.

3.6 Návštěva webu avanterro.com

  • Údaje: IP adresa, přibližná lokalita (země), prohlížeč, navštívené stránky, referrer.
  • Účel: zajištění bezpečnosti webu, ochrana proti DoS útokům.
  • Právní základ: oprávněný zájem (čl. 6 odst. 1 písm. f GDPR).
  • Doba uchování: 30 dní v server logu.

4. Příjemci osobních údajů (sub-processors)

K zajištění Služby využíváme následující prověřené poskytovatele. Všichni jsou vázáni smluvními povinnostmi mlčenlivosti a zpracování v souladu s GDPR:

PříjemceSídloÚčelZáruka při transferu
Hetzner Online GmbHNorimberk, Německo (EU)Hosting aplikačních serverů a databázíNení potřeba (EU/EHP)
Paddle.com Market LimitedDublin, Irsko (EU)Prodejce z pohledu fakturace, zpracování platebNení potřeba (EU/EHP)
Make.com (Celonis SE / Integromat s.r.o.)Praha, Česká republika (EU)Webhook automatizaceNení potřeba (EU/EHP)
Functional Software, Inc. (Sentry.io)San Francisco, USAError monitoringStandardní smluvní doložky (SCC), modul Controller-to-Processor
Amazon Web Services EMEA SARL nebo Backblaze, Inc.Frankfurt (DE) / USAObject storage (přílohy, fotografie)EU region jako default; pro USA region SCC, modul Controller-to-Processor
Google LLC (Google Gemini API)Mountain View, USAStrojový překlad UI textů (anonymizované řetězce)SCC; do API nejsou předávány osobní údaje
Provozovatel SMTP relay (Google Workspace, Postmark nebo obdobný)EU / USA dle volbyOdesílání transakčních e‑mailůSCC, modul Controller-to-Processor; relay zpracovává pouze e‑mailovou adresu a obsah zprávy

Dále můžeme předat osobní údaje:

  • orgánům veřejné moci v rozsahu, v jakém nám to ukládá zákon (Policie ČR, soudy, finanční úřad apod.),
  • právním a daňovým poradcům, auditorům vázaným profesní mlčenlivostí,
  • nabyvateli podniku v případě prodeje nebo fúze Avanterro – v takovém případě budete předem informováni a budou zachovány stejné záruky.

Avanterro neprodává osobní údaje třetím stranám.

5. Předávání mimo EU/EHP

Některé sub-processory (Sentry, případně AWS US region, Google Gemini, SMTP relay) mohou zpracovávat data ve Spojených státech amerických nebo jiných zemích mimo EU/EHP. V takovém případě je předání zajištěno standardními smluvními doložkami přijatými Evropskou komisí (Implementing Decision (EU) 2021/914) v relevantním modulu, případně doplněnými o technická opatření (šifrování, pseudonymizace).

Aktualizovaný seznam sub-processorů a kopie SCC poskytneme na vyžádání na info@avanterro.com.

6. Vaše práva

V souvislosti se zpracováním osobních údajů máte následující práva:

  • Právo na přístup (čl. 15 GDPR) – získat potvrzení, zda zpracováváme Vaše údaje, a jejich kopii.
  • Právo na opravu (čl. 16 GDPR) – nechat opravit nepřesné nebo doplnit neúplné údaje.
  • Právo na výmaz (čl. 17 GDPR) – „právo být zapomenut", pokud již údaje nejsou potřebné, odvoláte souhlas, vznesete úspěšnou námitku nebo údaje zpracováváme protiprávně.
  • Právo na omezení zpracování (čl. 18 GDPR) – v určitých případech nechat zpracování pouze uchovávat.
  • Právo na přenositelnost (čl. 20 GDPR) – obdržet údaje ve strukturovaném strojově čitelném formátu (JSON/CSV).
  • Právo vznést námitku (čl. 21 GDPR) – proti zpracování na základě oprávněného zájmu, zejména proti přímému marketingu.
  • Právo odvolat souhlas (čl. 7 odst. 3 GDPR) – kdykoliv, bez vlivu na zákonnost zpracování před odvoláním.
  • Právo nebýt předmětem automatizovaného rozhodnutí (čl. 22 GDPR) – viz čl. 7 níže.

Práva uplatníte e‑mailem na info@avanterro.com. Odpovídáme bez zbytečného odkladu, nejpozději do 30 dní; ve složitějších případech lze lhůtu prodloužit o další 2 měsíce, o čemž Vás vyrozumíme. Pro ověření totožnosti můžeme požádat o doplňující údaje.

Pokud máte za to, že je zpracováním porušeno GDPR, můžete podat stížnost u dozorového úřadu:

Úřad pro ochranu osobních údajů Pplk. Sochora 27, 170 00 Praha 7 www.uoou.cz, posta@uoou.gov.cz

7. Automatizované rozhodování a profilování

Avanterro neprovádí automatizované individuální rozhodování ve smyslu čl. 22 GDPR a neprovádí profilování s právním nebo obdobně významným účinkem na subjekt údajů. Algoritmické funkce ve Službě (např. řazení, návrhy plánování) jsou pouhé pomůcky a finální rozhodnutí činí vždy obsluha aplikace.

8. Cookies a podobné technologie

Web Avanterro (avanterro.com) zobrazuje cookie banner se dvěma volbami: „Přijmout vše" (povoluje technicky nezbytné cookies i službu Sentry Replay pro diagnostiku chyb) a „Pouze nezbytné" (jen cookies nezbytné pro fungování webu — přihlášení, jazyk). Svůj výběr můžete kdykoliv změnit odstraněním klíče avanterro_cookies_v2 z localStorage a obnovením stránky. Podrobnosti naleznete v samostatných Zásadách používání cookies dostupných na https://avanterro.com/cs/cookies.

9. Bezpečnost zpracování

S ohledem na rizika a stav techniky uplatňujeme zejména tato technická a organizační opatření:

  • šifrování přenosu dat (TLS 1.2+) a šifrování záloh i dat v klidu (AES‑256) na úrovni cloudového úložiště,
  • oddělení dat mezi tenanty na úrovni aplikace (multi‑tenant izolace) a databázových oprávnění,
  • vícefaktorové ověření (MFA) pro přístup administrátorů Avanterro,
  • princip nejmenších oprávnění (least privilege) a logování přístupů (audit log),
  • pravidelné zálohy s definovaným RPO/RTO a testy obnovy,
  • skenování zranitelností a aktualizace závislostí, statická bezpečnostní analýza CI/CD,
  • penetrační testy podle významu změn,
  • smluvní povinnosti mlčenlivosti a školení pro osoby, které mají k údajům přístup,
  • procesy pro vyřízení žádostí subjektů údajů a pro hlášení incidentů (Incident Response Plan).

10. Incidenty (data breach)

V případě porušení zabezpečení osobních údajů, které představuje riziko pro práva a svobody fyzických osob, ohlásíme incident dozorovému úřadu (ÚOOÚ) bez zbytečného odkladu, nejpozději do 72 hodin od jeho zjištění (čl. 33 GDPR). Pokud by incident představoval vysoké riziko, vyrozumíme bez zbytečného odkladu i dotčené subjekty údajů (čl. 34 GDPR).

11. Změny těchto Zásad

Tyto Zásady můžeme čas od času aktualizovat, např. při změně právní úpravy nebo rozšíření Služby. O podstatných změnách Vás vyrozumíme nejméně 30 dní předem e‑mailem nebo oznámením v aplikaci. Drobné jazykové úpravy zveřejňujeme bez zvláštního oznámení.

Aktuální verze je vždy dostupná na https://avanterro.com/cs/privacy. Historie verzí je vedena interně a její kopii poskytneme na vyžádání.

Tento dokument nabývá účinnosti dne 2026-05-03. Verze 1.0.