Zásady ochrany osobních údajů
Verze 1.0 · účinné od 26. dubna 2026
Obsah
1. Kdo jsme
Provozovatelem služby Thank You App (dále „Služba") je:
- Tomáš Střída
- Sudoměřská 650/48, Praha 3, 130 00
- Fyzická osoba
- Kontaktní e-mail: tomas.strida@gmail.com
Ve smyslu nařízení (EU) 2016/679 (GDPR) jsme správcem osobních údajů. Pověřence pro ochranu osobních údajů (DPO) jmenovat nemusíme — nezpracováváme zvláštní kategorie údajů ve velkém rozsahu.
2. Jaké údaje shromažďujeme
2.1 Údaje o tobě (uživateli)
- E-mailová adresa, jméno
- Heslo v podobě bcrypt hashe (pokud používáš lokální registraci)
- Při přihlášení přes Google: jméno a e-mail z Google profilu
- IP adresa a hlavička user-agent při přihlášení (audit a bezpečnost)
- Datum a verze přijatých Zásad a Podmínek
2.2 Údaje o tvých zprávách
- Obsah zpráv (oslovení, vyjádření vděčnosti, závěr, podpis)
- Jméno a e-mailová adresa příjemce
- Naplánovaný čas odeslání, status doručení, jazyk zprávy
2.3 Údaje o příjemcích z adresáře
Pokud si uložíš příjemce do adresáře, ukládáme jeho jméno, e-mail a vztah (např. „rodič", „kolega"). Ty jsi za přidání příjemce zodpovědný a měl bys mít legitimní důvod (osobní vztah).
2.4 Co nezaznamenáváme
- Žádné cookies třetích stran
- Žádný marketingový tracking, žádné reklamní pixely
- Plausible Analytics: pouze anonymní souhrnné statistiky (žádné cookies, žádné IP, žádné identifikátory)
- Obsah tvých zpráv nečteme, nesdílíme, neposíláme do AI k analýze
3. Proč a na jakém právním základě
| Údaje | Účel | Právní základ |
|---|---|---|
| E-mail, jméno, heslo | Provoz účtu | Plnění smlouvy (čl. 6 odst. 1 písm. b GDPR) |
| Obsah zpráv | Doručení v naplánovaný čas | Plnění smlouvy |
| E-mail příjemce | Doručení zprávy | Oprávněný zájem odesílatele (čl. 6 odst. 1 písm. f) |
| Login logy (IP, user-agent) | Bezpečnost, fraud prevention, audit | Oprávněný zájem |
| Verifikace e-mailu | Anti-spam, ochrana příjemců | Oprávněný zájem |
| Souhlas s podmínkami | Důkaz souhlasu pro úřad | Právní povinnost |
4. Jak dlouho údaje uchováváme
- Účet a obsah zpráv: dokud máš účet. Po smazání účtu odstraníme všechna data do 30 dnů (audit lhůta na řešení sporů).
- Login logy s IP: 90 dnů, poté automaticky mazány.
- Verifikační a reset tokeny: tokeny pro reset hesla expirují za 1 hodinu. Verifikační tokeny zůstávají do ověření.
- Zálohy DB: denní záloha posílaná správci e-mailem, retenční doba 30 dnů.
- Anonymizovaná statistika: agregovaná čísla bez vazby na konkrétní osobu uchováváme bez časového omezení.
5. Komu data předáváme (zpracovatelé)
Data nikdy neprodáváme. K plnění smlouvy využíváme tyto zpracovatele, kteří jsou smluvně zavázáni k ochraně tvých údajů:
| Zpracovatel | Co dělá | Sídlo |
|---|---|---|
| Brevo (Sendinblue) | Odesílání e-mailů (vděčnost, verifikace, reset) | Francie (EU) |
| Přihlášení přes Google OAuth | USA | |
| Railway | Hosting aplikace a databáze | USA |
| Plausible Analytics | Anonymní návštěvnost (bez cookies a IP) | Německo (EU) |
6. Přenosy mimo EU
Část zpracovatelů (Google, Railway) sídlí v USA. Přenos tvých údajů je chráněn standardními smluvními doložkami (Standard Contractual Clauses) podle čl. 46 GDPR a podle rozhodnutí EU-US Data Privacy Framework (kde to je relevantní). Brevo a Plausible jsou v EU — žádný mimoevropský přenos zde neprobíhá.
7. Tvá práva
Podle GDPR máš následující práva:
- Přístup k údajům (čl. 15) — můžeš si vyžádat kompletní výpis tvých dat. V appce: Nastavení účtu → Stáhnout moje data.
- Oprava (čl. 16) — pokud jsou údaje nepřesné, oprav je v účtu nebo nám napiš.
- Výmaz (čl. 17, „právo být zapomenut") — v appce: Nastavení účtu → Smazat účet. Smaže všechna data do 30 dnů.
- Omezení zpracování (čl. 18) — můžeš požádat, abychom dočasně přestali tvá data zpracovávat.
- Přenositelnost (čl. 20) — vyexportujeme ti data ve strojově čitelném JSON.
- Námitka (čl. 21) — proti zpracování na základě oprávněného zájmu (např. login logy).
- Stížnost u úřadu — Úřad pro ochranu osobních údajů, uoou.gov.cz, Pplk. Sochora 27, 170 00 Praha 7.
Pro výkon práv napiš na tomas.strida@gmail.com. Reakci dostaneš nejpozději do 30 dnů.
8. Příjemci zpráv (osoby, které u nás nemají účet)
Když ti uživatel pošle zprávu poděkování, zpracováváme tvoji e-mailovou adresu. Ty jsi subjekt údajů a máš stejná práva podle GDPR jako registrovaní uživatelé.
- Účel: doručení zprávy a evidence statusu.
- Právní základ: oprávněný zájem odesílatele vyjádřit ti vděčnost.
- Doba uchování: dokud má odesílatel účet (může smazat dříve).
- Tvoje práva: v každém doručeném e-mailu je odkaz „Nahlásit nevhodnou zprávu". Pokud chceš, abychom kompletně smazali všechny zprávy s tvojí adresou napříč všemi odesílateli, napiš na tomas.strida@gmail.com.
9. Cookies
Používáme jediný cookie:
connect.sid— technický session cookie nezbytný pro přihlášení. Je tzv. „strictly necessary" a podle ePrivacy směrnice nepodléhá souhlasu.
Třetí strany:
- Plausible Analytics nepoužívá žádné cookies a neukládá IP adresy návštěvníků.
- Google fonts — fonty se načítají z CDN Googlu, který může logovat IP. Pokud ti to vadí, použij prohlížeč s blokátorem.
10. Bezpečnost
- Veškerá komunikace probíhá přes HTTPS/TLS.
- Hesla nikdy neukládáme v plaintextu — používáme bcrypt hash.
- Přístup k databázi má pouze provozovatel.
- Pravidelné automatické zálohy.
- Rate limiting proti hrubým útokům na přihlašování a registraci.
V případě úniku dat informujeme dotčené uživatele a Úřad pro ochranu osobních údajů do 72 hodin podle čl. 33 GDPR.
11. Děti
Služba není určena osobám mladším 16 let. Pokud zjistíme, že máme údaje od mladší osoby bez souhlasu zákonného zástupce, ihned je smažeme.
12. Kalifornští rezidenti (CCPA / CPRA)
Pokud jsi rezidentem Kalifornie, máš podle CCPA tato práva:
- Vědět, jaké osobní údaje shromažďujeme a proč (vše uvedeno výše).
- Požadovat smazání tvých údajů.
- Požadovat výpis tvých dat.
- Nebýt diskriminován za výkon těchto práv.
Neprodáváme ani nesdílíme osobní údaje pro účely cílené reklamy. „Do Not Sell or Share My Personal Information" link tedy nezobrazujeme — není potřeba, protože nic neprodáváme.
13. Změny zásad
Tyto zásady můžeme čas od času upravit. O zásadních změnách informujeme e-mailem a při dalším přihlášení uvidíš dialog s novou verzí. Drobné textové úpravy (gramatika, opravy překlepů) provádíme bez upozornění.
Verze 1.0 · 26. dubna 2026 · Podmínky používání