Zásady ochrany osobních údajů

Nařízení EU 2016/679 (GDPR) · Poslední aktualizace: 1. ledna 2025 · Platnost od: 1. ledna 2025

Tyto zásady popisují, jak VitaPlate s.r.o. (dále jen "VitaPlate", "my", "správce") zpracovává osobní údaje návštěvníků a uživatelů webu vitaplate.com v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 (GDPR) a zákonem č. 110/2019 Sb., o zpracování osobních údajů.
1. Totožnost a kontaktní údaje správce
Obchodní firma:VitaPlate s.r.o.
Sídlo:Náměstí Míru 12, 120 00 Praha 2, Česká republika
IČO:12345678
DIČ:CZ12345678
Kontaktní email:info@vitaplate.com
Pověřenec DPO:gdpr@vitaplate.com
2. Kategorie zpracovávaných osobních údajů

Zpracováváme pouze údaje, které jsou nezbytné pro poskytování služeb:

Identifikační a kontaktní
  • Jméno a příjmení
  • E-mailová adresa
  • Zahashované heslo (SHA-256)
Zdravotní a profilové
  • Výška a váha (nepovinné)
  • Věk a pohlaví (nepovinné)
  • Zdravotní cíl (zhubnout apod.)
Transakční
  • Záznamy o zakoupených plánech
  • Poslední 4 číslice platební karty
  • Datum a čas transakcí
Provozní
  • Uložené recepty a oblíbené
  • Session tokeny (přihlášení)
  • IP adresa (logy serveru)

Zdravotní údaje (výška, váha, věk): Dle čl. 9 GDPR se jedná o citlivé údaje. Zpracováváme je výhradně na základě vašeho výslovného souhlasu (čl. 9 odst. 2 písm. a) GDPR), který udělujete při registraci a může být kdykoli odvolán.

3. Právní základ a účel zpracování
Účel Právní základ (čl. 6 GDPR) Doba uchování
Správa uživatelského účtuPlnění smlouvy (čl. 6/1/b)Po dobu trvání účtu + 3 roky
Personalizovaná doporučení (BMI, cíl)Souhlas (čl. 6/1/a + čl. 9/2/a)Do odvolání souhlasu
Zpracování platebPlnění smlouvy (čl. 6/1/b)10 let (daňová povinnost)
Bezpečnost a prevence podvodůOprávněný zájem (čl. 6/1/f)90 dní (logy)
Zasílání newsletteruSouhlas (čl. 6/1/a)Do odvolání souhlasu
Vyřízení kontaktního formulářeOprávněný zájem (čl. 6/1/f)2 roky
4. Příjemci osobních údajů

Vaše osobní údaje nikdy neprodáváme třetím stranám ani je neposkytujeme k reklamním účelům. Údaje mohou být předány těmto kategoriím zpracovatelů, a to výhradně na základě zpracovatelských smluv dle čl. 28 GDPR:

  • Stripe, Inc. — zpracování plateb (sídlo USA, předání na základě standardních smluvních doložek)
  • Poskytovatel hostingu — provoz serverové infrastruktury (EU)
  • Orgány veřejné moci — pouze na základě zákonné povinnosti
5. Předávání do třetích zemí

Platební data jsou zpracovávána společností Stripe, Inc. (USA). Předání probíhá na základě standardních smluvních doložek dle čl. 46 odst. 2 písm. c) GDPR schválených Evropskou komisí. Stripe je dále certifikován dle PCI DSS Level 1. Ostatní data jsou zpracovávána výhradně na serverech v rámci EU/EHP.

6. Vaše práva jako subjektu údajů

Dle GDPR máte tato práva, která lze uplatnit na adrese gdpr@vitaplate.com nebo přes kontaktní formulář. Reagujeme do 30 dnů.

Právo na přístup (čl. 15)

Máte právo vědět, jaké údaje o vás zpracováváme, proč a jak dlouho.

Právo na opravu (čl. 16)

Nesprávné nebo neúplné údaje máte právo nechat opravit — přes profil nebo na žádost.

Právo na výmaz (čl. 17)

"Právo být zapomenut" — smazání účtu i všech osobních údajů (s výjimkou zákonných povinností).

Právo na omezení (čl. 18)

Můžete požádat o omezení zpracování, například po dobu vyřizování námitky.

Právo na přenositelnost (čl. 20)

Vaše data vám poskytneme ve strojově čitelném formátu (JSON/CSV) pro předání jinému správci.

Právo vznést námitku (čl. 21)

Můžete vznést námitku proti zpracování na základě oprávněného zájmu nebo pro přímý marketing.

Právo odvolat souhlas

Souhlas se zpracováním zdravotních údajů lze kdykoli odvolat bez újmy na dřívějším zpracování.

Právo podat stížnost (čl. 77)

Stížnost lze podat u ÚOOÚ — Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, uoou.cz.

7. Zabezpečení osobních údajů

Zavádíme technická a organizační opatření dle čl. 32 GDPR k zajištění přiměřené úrovně bezpečnosti:

  • Šifrování přenosu dat pomocí TLS/HTTPS
  • Hesla ukládána výhradně ve formě kryptografického hashe (SHA-256, budoucí migrace na bcrypt)
  • Číslo platební karty se nikdy neukládá — pouze poslední 4 číslice pro identifikaci
  • Session tokeny s časově omezenou platností (7 dní)
  • Přístup k databázi omezen pouze na serverové procesy
  • Pravidelné zálohy na šifrovaná úložiště

V případě porušení zabezpečení, které by mohlo ohrozit vaše práva, vás informujeme bez zbytečného odkladu v souladu s čl. 34 GDPR.

8. Cookies a podobné technologie

Používáme výhradně technicky nezbytné cookies pro udržení přihlášení (session cookie s platností 7 dní). Analytické ani reklamní cookies v současné verzi nepoužíváme. Podrobnosti viz Zásady cookies.

9. Automatizované rozhodování a profilování

Web VitaPlate provádí automatizované výpočty (BMI, doporučení jídel) na základě vámi zadaných údajů. Tato funkce nepředstavuje automatizované rozhodování ve smyslu čl. 22 GDPR — výsledky jsou pouze orientační a nemají právní ani obdobně závažné účinky. Všechna doporučení jsou pouze informativního charakteru a nenahrazují lékařskou péči.

10. Zpracování údajů dětí

Služby VitaPlate nejsou určeny osobám mladším 16 let. Pokud zjistíme, že jsme shromáždili údaje dítěte bez prokazatelného souhlasu zákonného zástupce, tyto údaje neprodleně vymažeme. Pokud jste zákonný zástupce a domníváte se, že vaše dítě nám poskytlo údaje, kontaktujte nás na gdpr@vitaplate.com.

11. Změny těchto zásad

Vyhrazujeme si právo tyto zásady aktualizovat v souladu se změnami legislativy nebo našich služeb. O podstatných změnách vás informujeme e-mailem nebo oznámením na webu nejméně 30 dní předem. Datum poslední aktualizace je uvedeno v záhlaví tohoto dokumentu.