Ochrana osobních údajů
Účinné od: 11. června 2026
1. Správce osobních údajů
Správcem osobních údajů ve smyslu čl. 4 odst. 7 GDPR je:
Obchodní firma: Cacciatore SR s.r.o.
Sídlo: Hrabová 2731/3, 040 22 Košice — mestská časť Vyšné Opátske
IČO: 47608412
DIČ: DIČ 2023997547 · IČ DPH SK2023997547
Zápis: Obchodný register Mestského súdu Košice, oddiel: Sro, vložka č. 58416/V
Provoz služby: WebsiteAudit
E-mail:websiteaudit@cacciatore.sk
Telefon:+421 915 170 050
Pověřenec pro ochranu osobních údajů (DPO) ve smyslu čl. 37 GDPR nebyl jmenován, neboť charakter a rozsah zpracování osobních údajů nespadá pod povinnost jeho ustanovení dle čl. 37 odst. 1 GDPR. Kontaktní osobou ve věcech ochrany osobních údajů je jednatel společnosti dostupný na výše uvedeném e-mailu.
2. Právní základ zpracování
Osobní údaje zpracováváme na základě následujících právních základů dle čl. 6 GDPR:
Plnění smlouvy — čl. 6 odst. 1 písm. b) GDPR
Zpracování je nezbytné k poskytnutí Služby, ke které jste přistoupili registrací nebo spuštěním auditu. Zahrnuje správu účtu, doručení reportů a komunikaci související se Službou.
Oprávněný zájem — čl. 6 odst. 1 písm. f) GDPR
Zpracováváme IP adresy a technické logy pro účely bezpečnosti (ochrana před zneužitím, rate limiting), provozní stability a monitorování chyb (Sentry). Oprávněný zájem Správce převažuje nad zájmy subjektu údajů, neboť zpracování je nezbytné pro ochranu Služby a jejích uživatelů.
Zákonná povinnost — čl. 6 odst. 1 písm. c) GDPR
Fakturační a platební záznamy uchováváme v souladu se zákonem č. 431/2002 Z.z. o účetnictví (povinná archivace 10 let) a zákonem č. 222/2004 Z.z. o dani z přidané hodnoty.
Služba v současnosti neposílá marketingové e-maily bez přímého vztahu k Vaší objednávce nebo auditu. Pokud bychom v budoucnu takovou komunikaci zavedli, vyžádáme si k tomu Váš výslovný souhlas (čl. 6 odst. 1 písm. a) GDPR).
3. Kategorie zpracovávaných osobních údajů
V závislosti na tom, jak Službu používáte, zpracováváme následující kategorie osobních údajů:
3.1 Údaje poskytnuté přímo
- E-mailová adresa — při registraci, přihlášení nebo kontaktování podpory
- Jméno a příjmení — volitelné, při registraci přes Google nebo GitHub OAuth
- Heslo — ukládáno výhradně v hashové podobě (bcrypt); Správce nemá přístup k původnímu heslu
- Agency profil — obchodní firma, webová adresa, e-mail, telefon, URL loga; pouze pro plán Agency, dobrovolně
3.2 Provozní a auditní data
- URL adresy zadané k auditování — včetně výsledků auditů, skóre a nálezů
- Sledované URL — URL adresy přidané do seznamu sledování (plán Pro a Agency)
- Historie auditů — datum, čas, URL, výsledky; rozsah závisí na plánu (15 dní / 45 dní / 1 rok)
- API klíč — vygenerovaný identifikátor pro programový přístup (plán Agency)
- Stav předplatného — aktuální plán, datum expirace trialu, datum posledního předplacení
3.3 Technické a provozní záznamy
- IP adresa — zaznamenávaná při každém požadavku pro účely rate limitingu a bezpečnosti
- Session token — ukládaný v HttpOnly cookie pro autentizaci; platnost 30 dní
- Záznamy o chybách — technické záznamy o výjimkách (stack traces) zasílané do Sentry; neobsahují hesla ani platební údaje
- Časy požadavků — timestamp každého auditu pro účely rate limitingu a historie
3.4 Platební údaje
Platební transakce zpracovává výhradně společnost Stripe, Inc. (viz bod 5). Správce neukládá čísla platebních karet, CVV kódy ani bankovní spojení. Ze Stripe uchováváme pouze identifikátor zákazníka (Stripe Customer ID) a stav předplatného.
3.5 Zvláštní kategorie osobních údajů
Služba nezbírá a nezpracovává zvláštní kategorie osobních údajů ve smyslu čl. 9 GDPR (zdravotní údaje, biometrické údaje, rasový původ, náboženské přesvědčení apod.).
4. Účely zpracování
| Účel | Údaje | Právní základ |
|---|---|---|
| Poskytování Služby (audity, reporty) | E-mail, URL, výsledky auditů | Smlouva (čl. 6b) |
| Správa účtu a autentizace | E-mail, hashované heslo, session token | Smlouva (čl. 6b) |
| Platby a fakturace | E-mail, Stripe Customer ID, stav plánu | Smlouva + zákon (čl. 6b, 6c) |
| E-mailová komunikace (audity, reset hesla, verifikace) | E-mail, jméno | Smlouva (čl. 6b) |
| Rate limiting a ochrana před zneužitím | IP adresa, časové značky | Oprávněný zájem (čl. 6f) |
| Monitorování chyb a stabilita Služby | IP adresa, stack traces (bez PII) | Oprávněný zájem (čl. 6f) |
| Účetní archivace | Fakturační záznamy | Zákon (čl. 6c) |
5. Příjemci a zpracovatelé osobních údajů
Osobní údaje neprodáváme třetím stranám pro marketingové ani jiné komerční účely. K provozu Služby využíváme následující zpracovatele (čl. 28 GDPR), se kterými máme uzavřené smlouvy o zpracování údajů (DPA):
Stripe, Inc.
USA (San Francisco, CA)Účel: Zpracování plateb a správa předplatného
Zpracovávané údaje: E-mail, fakturační záznamy, Stripe Customer ID
Záruka (čl. 46 GDPR): Standardní smluvní doložky EK (SCC) + certifikace EU–US Data Privacy Framework (DPF, rozhodnutí EK C(2023) 4745)
Google LLC
USA (Mountain View, CA)Účel: OAuth přihlášení, Google PageSpeed Insights API, Google Safe Browsing API, Chrome UX Report (CrUX) API — tato API přijímají URL auditovaných stránek, nikoli osobní údaje Uživatele
Zpracovávané údaje: OAuth: e-mail, jméno (jen při přihlášení přes Google). Ostatní API: auditovaná URL (veřejná adresa webové stránky)
Záruka (čl. 46 GDPR): SCC + certifikace EU–US Data Privacy Framework (DPF)
GitHub, Inc. (Microsoft)
USAÚčel: OAuth přihlášení přes GitHub účet
Zpracovávané údaje: E-mail, GitHub uživatelské jméno (jen při přihlášení přes GitHub)
Záruka (čl. 46 GDPR): SCC + certifikace EU–US Data Privacy Framework (DPF)
Functional Software, Inc. dba Sentry
USA (San Francisco, CA)Účel: Automatizované zaznamenávání chyb a výjimek aplikace pro účely ladění a stability
Zpracovávané údaje: IP adresa, stack traces. Hesla, platební údaje a obsah auditů jsou z reportování vyloučeny.
Záruka (čl. 46 GDPR): Standardní smluvní doložky EK (SCC)
Hostingový poskytovatel
EU / dle smlouvyÚčel: Provoz serverů, databáze (PostgreSQL), Redis a kontejnerového prostředí
Zpracovávané údaje: Veškerá data uložená v databázi a Redis (session tokeny, výsledky auditů)
Záruka (čl. 46 GDPR): Zpracování v rámci EU/EHP; smlouva o zpracování údajů (DPA)
6. Mezinárodní přenosy osobních údajů
Někteří zpracovatelé sídlí mimo Evropský hospodářský prostor (EHP), především v USA. Přenosy do třetích zemí jsou zabezpečeny jedním nebo kombinací následujících nástrojů ve smyslu kapitoly V GDPR:
- EU–US Data Privacy Framework (DPF) — rozhodnutí Evropské komise o přiměřenosti ochrany č. C(2023) 4745 ze dne 10. července 2023, vztahuje se na Google, GitHub (Microsoft) a Stripe.
- Standardní smluvní doložky (SCC) — vzorové doložky přijaté Komisí rozhodnutím (EU) 2021/914 ze dne 4. června 2021, využívané zejména pro Sentry.
Správce je usazen na území Slovenské republiky (EU) a zpracování primárně probíhá v EU. Přenosy do USA jsou minimalizovány a nezbytné pro provoz Služby.
7. Doba uchovávání osobních údajů
| Kategorie údajů | Doba | Důvod |
|---|---|---|
| Účtové údaje (e-mail, jméno) | Po dobu trvání účtu + 30 dní po smazání | Smlouva; obnova při omylu |
| Historie auditů — plán Free | 15 dní od vytvoření auditu | Limitace plánu |
| Historie auditů — plán Pro | 45 dní od vytvoření auditu | Limitace plánu |
| Historie auditů — plán Agency | 1 rok od vytvoření auditu | Limitace plánu |
| Session tokeny (cookies) | 30 dní od posledního přihlášení | Autentizace |
| Fakturační záznamy | 10 let | Zákon č. 431/2002 Z.z. |
| IP adresy (rate limiting) | 24 hodin v Redis; žádné dlouhodobé uchovávání | Bezpečnost |
| Záznamy chyb (Sentry) | 90 dní (Sentry výchozí nastavení) | Ladění a stabilita |
| API klíče | Po dobu trvání účtu nebo do odvolání | API přístup |
Po uplynutí doby uchovávání jsou osobní údaje automaticky vymazány nebo anonymizovány, pokud jejich další uchovávání nevyžaduje zákon.
8. Cookies a lokální úložiště
Služba používá výhradně funkční cookies nezbytné k provozu:
| Název / typ | Účel | Platnost | Typ |
|---|---|---|---|
| better-auth.session_token | Udržování přihlášené relace (HttpOnly, Secure, SameSite=Lax) | 30 dní | Nezbytný |
| better-auth.session_data | Cache session dat ke snížení zátěže DB (HttpOnly) | 5 minut | Nezbytný |
Funkční cookies mají právní základ čl. 6 odst. 1 písm. b) GDPR (nezbytné k plnění smlouvy) a nevyžadují zvláštní souhlas dle § 55 odst. 5 zákona č. 452/2021 Z. z. o elektronických komunikacích. Ukládání cookies můžete omezit v nastavení prohlížeče, avšak přihlášení do Služby bez session cookie není možné.
9. Automatizované rozhodování a profilování
Služba neprovádí automatizované rozhodování ve smyslu čl. 22 GDPR, které by mělo právní účinky nebo by se Vás podobně závažně dotýkalo. Auditní výsledky jsou deterministickým technickým výstupem — nikoli hodnocením Uživatele ani profilováním.
Tier (plán) Uživatele se určuje automaticky na základě stavu předplatného v databázi (Free / Pro / Agency / Trial). Toto automatické přiřazení plánu je nezbytné k plnění smlouvy a není profilováním ve smyslu GDPR.
10. Vaše práva jako subjektu údajů
V souladu s kapitolou III GDPR (čl. 15–22) a zákonem č. 18/2018 Z. z. máte vůči Správci následující práva:
Právo na přístup
Máte právo získat potvrzení, zda zpracováváme Vaše osobní údaje, a pokud ano, přístup k nim a informace o zpracování.
Právo na opravu
Máte právo na opravu nesprávných nebo doplnění neúplných osobních údajů. E-mail a jméno můžete změnit přímo v nastavení účtu.
Právo na výmaz („zapomenutí“)
Máte právo požádat o výmaz Vašich osobních údajů, pokud pominul účel, ke kterému byly sbírány, nebo jste odvolali souhlas. Právo se neuplatní na údaje, které jsme povinni uchovávat ze zákona (např. fakturační záznamy).
Právo na omezení zpracování
Máte právo požadovat omezení zpracování, například dokud neověříme správnost Vašich údajů nebo oprávněnost Vaší námitky.
Právo na přenositelnost údajů
Máte právo získat osobní údaje, které jste nám poskytli, ve strukturovaném, běžně používaném a strojově čitelném formátu (např. JSON export dostupný pro plán Agency), a přenést je k jinému správci.
Právo vznést námitku
Máte právo vznést námitku proti zpracování Vašich osobních údajů prováděnému na základě oprávněného zájmu (čl. 6f). Správce zpracování ukončí, pokud neprokáže závažné oprávněné důvody.
Právo odvolat souhlas
Pokud je zpracování založeno na souhlasu, máte právo jej kdykoli odvolat, aniž by to mělo vliv na zákonnost zpracování před odvoláním.
Jak uplatnit práva
Žádost zašlete e-mailem na websiteaudit@cacciatore.sk. Na žádost odpovíme bez zbytečného odkladu, nejpozději do 30 dní od doručení (čl. 12 odst. 3 GDPR). Lhůtu můžeme výjimečně prodloužit o další 2 měsíce, o čemž Vás informujeme.
Pro ověření Vaší totožnosti si vyžádáme potvrzení z e-mailové adresy Vašeho účtu. Službu Vám poskytujeme bezplatně; poplatek můžeme účtovat pouze za zjevně neopodstatněné nebo opakující se žádosti (čl. 12 odst. 5 GDPR).
11. Právo podat stížnost dozorovému úřadu
Pokud se domníváte, že zpracování Vašich osobních údajů je v rozporu s GDPR nebo zákonem č. 18/2018 Z. z., máte právo podat stížnost dozorovému úřadu. Příslušným úřadem pro Slovensko je:
Úřad na ochranu osobních údajů Slovenské republiky
Hraničná 12, 820 07 Bratislava 27
Tel.: +421 2 3231 3214
Před podáním stížnosti doporučujeme kontaktovat nás přímo — většinu záležitostí vyřešíme rychleji a bez formálního řízení.
12. Bezpečnost osobních údajů
Správce implementuje přiměřená technická a organizační opatření k ochraně osobních údajů v souladu s čl. 32 GDPR:
- Šifrování přenosů přes protokol TLS 1.2+ (HTTPS)
- Hašování hesel algoritmem bcrypt (jednosměrná funkce; heslo není obnovitelné)
- Session cookies s atributy HttpOnly, Secure a SameSite=Lax
- Rate limiting (omezení počtu požadavků) k ochraně před brute-force útoky
- E-mailová verifikace účtu při registraci
- Automatizované monitorování chyb a bezpečnostních incidentů
- Přístup k databázi výhradně přes interní síťové rozhraní (nikoli veřejně dostupné)
V případě bezpečnostního incidentu, který ohrožuje práva a svobody fyzických osob, to Správce oznámí dozorovému úřadu do 72 hodin od jeho zjištění a dotčeným osobám bez zbytečného odkladu, pokud by incident mohl mít na ně vliv (čl. 33–34 GDPR).
13. Změny těchto Zásad
Správce si vyhrazuje právo tyto Zásady aktualizovat, zejména v případě změn ve zpracování údajů, legislativních změn nebo zavedení nových funkcí Služby.
O podstatných změnách (např. nový účel zpracování, noví zpracovatelé, nový právní základ) budete informováni e-mailem nejméně 14 dní předem. Méně podstatné změny (opravy textu, aktualizace kontaktních údajů) nabývají účinnosti zveřejněním na této stránce s aktualizací data „Účinné od“.
Archiv předchozích verzí Zásad je dostupný na vyžádání e-mailem.
14. Kontakt ve věcech ochrany osobních údajů
Veškeré žádosti, dotazy a stížnosti týkající se ochrany osobních údajů zasílejte na:
Obchodní firma: Cacciatore SR s.r.o.
Sídlo: Hrabová 2731/3, 040 22 Košice — mestská časť Vyšné Opátske
IČO: 47608412
DIČ: DIČ 2023997547 · IČ DPH SK2023997547
Zápis: Obchodný register Mestského súdu Košice, oddiel: Sro, vložka č. 58416/V
Provoz služby: WebsiteAudit
E-mail:websiteaudit@cacciatore.sk
Telefon:+421 915 170 050
Tyto Zásady ochrany osobních údajů nabývají účinnosti dne 11. června 2026.
Vypracováno v souladu s GDPR (EU) 2016/679 a zákonem č. 18/2018 Z. z. o ochraně osobních údajů.