Ochrana osobních údajů
Správce osobních údajů: Hrdina a dcera s.r.o.
IČO: 17950317 | DIČ: CZ17950317
Sídlo: Na Vyhlídce 355, 691 64 Nosislav
E-mail: info@hrdinaadcera.cz
Web: www.hrdinaadcera.cz
Poslední aktualizace: 23. 4. 2026 (verze 1.0)
1. Úvod
Tyto zásady ochrany osobních údajů (dále jen „Zásady“) informují o tom, jakým způsobem společnost Hrdina a dcera s.r.o. (dále jen „Správce“ nebo „my“) zpracovává osobní údaje v souvislosti s provozem e-shopu na adrese www.hrdinaadcera.cz a souvisejících služeb.
Zpracování osobních údajů probíhá v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů (dále jen „GDPR“) a se zákonem č. 110/2019 Sb., o zpracování osobních údajů.
2. Jaké osobní údaje zpracováváme
2.1 Identifikační údaje
- Jméno a příjmení
- Uživatelské jméno (e-mail)
- Heslo (pouze v zašifrované podobě, hash)
2.2 Kontaktní údaje
- E-mailová adresa
- Telefonní číslo
- Doručovací adresa (ulice, město, PSČ, stát)
- Fakturační adresa
- GPS souřadnice doručovací adresy (pro optimalizaci doručení vlastním rozvozem)
2.3 Obchodní a fakturační údaje
- IČO, DIČ (u firem a OSVČ)
- Název společnosti
- Historie objednávek a nákupů
- Čísla faktur a objednávek
- Způsob platby a doručení
- Poznámky k objednávkám
2.4 Marketingové údaje
- Souhlas s odběrem newsletteru
- Preference e-mailové komunikace
- Historie otevřených a prokliknutých e-mailů
- Reakce na marketingové kampaně
2.5 Technické a analytické údaje
- IP adresa (anonymizovaná)
- Údaje z cookies a souhlasu s cookies
- Informace o chování na webu (navštívené stránky, konverze)
- Přihlašovací historie a bezpečnostní události
2.6 Údaje ze zákaznických hodnocení
- Hodnocení objednávek (hvězdičky, textové recenze)
- Zpětná vazba k produktům
3. Účely zpracování a právní základy
3.1 Plnění smlouvy (čl. 6 odst. 1 písm. b) GDPR)
| Účel | Popis |
|---|---|
| Zpracování objednávek | Přijetí, potvrzení, expedice a doručení objednávek |
| Fakturace a platby | Vystavení daňových dokladů, zpracování plateb |
| Zákaznický účet | Správa uživatelského účtu, historie objednávek |
| Komunikace k objednávkám | Potvrzení, informace o doručení, výzva k hodnocení |
| Doručení zboží | Předání doručovacích údajů přepravci |
3.2 Plnění právní povinnosti (čl. 6 odst. 1 písm. c) GDPR)
| Účel | Popis |
|---|---|
| Účetnictví a daně | Uchování daňových dokladů po zákonem stanovenou dobu |
| Správa cookie souhlasu | Evidence souhlasu v souladu se směrnicí ePrivacy |
3.3 Oprávněný zájem (čl. 6 odst. 1 písm. f) GDPR)
| Účel | Popis |
|---|---|
| Bezpečnost webu | Ochrana před podvody, DDoS útoky, monitoring bezpečnosti |
| Zlepšování služeb | Analýza fungování e-shopu, optimalizace uživatelského prostředí |
| CRM správa | Správa zákaznických vztahů a efektivní komunikace |
| AI asistence při vývoji | Využití AI nástrojů pro vývoj a správu e-shopu (viz sekce 9) |
3.4 Souhlas (čl. 6 odst. 1 písm. a) GDPR)
| Účel | Popis |
|---|---|
| Marketingová komunikace | Zasílání newsletteru, akcí a nabídek |
| Analytické cookies | Měření návštěvnosti a chování na webu (GA4) |
| Marketingové cookies | Cílení reklamy na základě chování |
Svůj souhlas můžete kdykoliv odvolat — viz sekce 7.
4. Příjemci osobních údajů (sub-zpracovatelé)
Vaše osobní údaje mohou být předány následujícím zpracovatelům, se kterými máme uzavřené smlouvy o zpracování osobních údajů (DPA):
| Zpracovatel | Účel | Umístění dat |
|---|---|---|
| Google Cloud (Google LLC) | Backend (Cloud Run), databáze (Cloud SQL PostgreSQL) | EU (Frankfurt) |
| Cloudflare, Inc. | Hosting frontendu (Pages), CDN, DDoS ochrana, úložiště médií (R2) | Globální CDN (R2 auto-region EU) |
| HubSpot, Inc. | CRM, správa kontaktů a obchodních případů | EU (Frankfurt) |
| Postmark (ActiveCampaign, Inc.) | Transakční e-maily a newsletter | US (se SCC) |
| Comgate, a.s. | Platební brána | ČR |
| Fio banka, a.s. | Bankovní převody, párování plateb | ČR |
| TopTrans EU, a.s. | Doručení zásilek, tracking | ČR |
| Google LLC (GA4) | Webová analytika (pouze se souhlasem) | EU / globální |
| Usercentrics A/S (Cookiebot) | Správa souhlasu s cookies | EU (Dánsko) |
| Anthropic, PBC (Claude) | AI asistence při vývoji (interní použití, nikoliv produkce) | US (se SCC) |
Anthropic Claude je používán výhradně pro interní vývoj backendu a správu e-shopu. AI nástroj nemá přístup k produkčním zákaznickým datům a neslouží k automatizovanému rozhodování o zákaznících — viz sekce 9.
5. Předání osobních údajů do třetích zemí
Někteří naši zpracovatelé sídlí v USA. Pro zajištění odpovídající úrovně ochrany osobních údajů při předání mimo Evropský hospodářský prostor (EHP) používáme následující záruky:
- Standardní smluvní doložky (SCC) schválené Evropskou komisí (čl. 46 odst. 2 písm. c) GDPR) — uzavřené se všemi zpracovateli v USA (Postmark, Anthropic).
- Smlouvy o zpracování osobních údajů (DPA) se všemi zpracovateli.
- Technická opatření — šifrování dat při přenosu (TLS 1.3) i v klidu (AES-256).
Zpracovatelé v rámci EU/EHP: Google Cloud (Frankfurt), HubSpot (Frankfurt), Cookiebot (Dánsko), Comgate (ČR), Fio banka (ČR), TopTrans (ČR).
6. Doba uchování osobních údajů
| Kategorie údajů | Doba uchování | Důvod |
|---|---|---|
| Účetní a daňové doklady (faktury, objednávky) | 10 let | Zákon o účetnictví, zákon o DPH |
| Zákaznický účet a profil | 7 let po poslední aktivitě | Oprávněný zájem (správa vztahu) |
| Doručovací adresy | 6 let | Obchodní záznamy |
| Data o leadech (nezákaznících) | 2 roky bez aktivity | Marketingový účel |
| Marketingové souhlasy a preference | Do odvolání souhlasu + 1 rok (evidence) | Prokazatelnost souhlasu |
| Bezpečnostní a systémové logy | 1 rok | Oprávněný zájem (bezpečnost) |
| CRM integrační logy | 2 roky | Audit trail |
| Logistické záznamy (doručení) | 3 roky | Obchodní záznamy |
| Analytická data (GA4) | 14 měsíců | Nastavení GA4 property |
| Cookie consent záznamy | Dle nastavení Cookiebot | Prokazatelnost souhlasu |
| AI prompty (Anthropic) | Max 30 dní | Bezpečnostní monitoring |
Po uplynutí doby uchování jsou data automaticky smazána nebo anonymizována.
7. Práva subjektu údajů
Podle GDPR máte následující práva:
7.1 Právo na přístup (čl. 15 GDPR)
Máte právo získat potvrzení, zda jsou vaše osobní údaje zpracovávány, a pokud ano, získat k nim přístup a další informace o zpracování. Můžete požádat o export všech svých údajů.
7.2 Právo na opravu (čl. 16 GDPR)
Máte právo na opravu nepřesných osobních údajů a na doplnění neúplných osobních údajů.
7.3 Právo na výmaz („právo být zapomenut“) (čl. 17 GDPR)
Máte právo na vymazání svých osobních údajů, pokud:
- údaje již nejsou potřebné pro účely, pro které byly shromážděny,
- odvoláte souhlas a neexistuje jiný právní důvod pro zpracování,
- vznesete námitku proti zpracování a neexistují převažující oprávněné důvody,
- údaje byly zpracovány protiprávně.
Omezení: Nemůžeme vymazat údaje, které jsme povinni uchovávat ze zákona (např. daňové doklady po dobu 10 let).
7.4 Právo na omezení zpracování (čl. 18 GDPR)
Máte právo požadovat omezení zpracování v určitých případech (např. při ověřování přesnosti údajů).
7.5 Právo na přenositelnost údajů (čl. 20 GDPR)
Máte právo obdržet své osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu (JSON) a předat je jinému správci.
7.6 Právo vznést námitku (čl. 21 GDPR)
Máte právo vznést námitku proti zpracování založenému na oprávněném zájmu. V takovém případě osobní údaje dále nebudeme zpracovávat, pokud neprokážeme závažné oprávněné důvody.
7.7 Právo odvolat souhlas (čl. 7 odst. 3 GDPR)
Souhlas se zpracováním osobních údajů můžete kdykoliv odvolat. Odvolání souhlasu nemá vliv na zákonnost zpracování před jeho odvoláním.
Jak odvolat souhlas s marketingovými e-maily:
- Kliknutím na odkaz „Odhlásit se“ v každém e-mailu
- V nastavení svého zákaznického účtu
- E-mailem na info@hrdinaadcera.cz
7.8 Právo podat stížnost
Máte právo podat stížnost u dozorového úřadu:
Úřad pro ochranu osobních údajů (ÚOOÚ)
Pplk. Sochora 27, 170 00 Praha 7
Web: www.uoou.cz
E-mail: posta@uoou.cz
8. Automatizované rozhodování a profilování
Na základě vašich osobních údajů neprovádíme žádné automatizované rozhodování s právními nebo obdobně závažnými účinky ve smyslu čl. 22 GDPR.
Pro účely marketingové segmentace můžeme využívat základní profilování (např. rozřazení zákazníků podle frekvence nákupu), které však nemá právní účinky a slouží pouze k relevantnější komunikaci.
9. Využití umělé inteligence při vývoji
Pro interní vývoj a správu e-shopu využíváme AI nástroj Anthropic Claude (Claude Code). Transparentně informujeme:
- AI se používá výhradně pro interní vývoj (tvorba backendu, ladění kódu, správa infrastruktury).
- AI nezpracovává zákaznická data v produkci a nemá přístup k produkční databázi.
- AI nerozhoduje o zákaznících, objednávkách ani marketingových akcích.
- Při ladění může AI nástroj přijít do kontaktu s minimalizovanými údaji (např. UUID objednávky, jméno, e-mail) — tyto údaje jsou dočasné a mažou se do 30 dní.
- Data zaslaná do AI se nepoužívají k trénování modelů (zajištěno smluvně přes DPA a Team plan Anthropic).
- Technická opatření: šifrování, zablokování přístupu k tokenům a heslům, minimalizace osobních údajů.
10. Cookies
Náš web používá cookies. Pro správu vašich preferencí cookies používáme službu Cookiebot s integrací Google Consent Mode v2.
Cookies dělíme na:
- Nezbytné — nutné pro fungování webu (není třeba souhlas)
- Analytické — měření návštěvnosti (GA4, vyžadují souhlas)
- Marketingové — cílení reklamy (vyžadují souhlas)
- Preferenční — zapamatování vašich nastavení
Svůj souhlas můžete kdykoliv změnit kliknutím na „Nastavení cookies“ v patičce webu.
11. Bezpečnost osobních údajů
Pro ochranu vašich osobních údajů používáme následující technická a organizační opatření:
- Šifrování dat při přenosu (TLS 1.3) i v klidu (AES-256)
- Přístupová práva na základě rolí (RBAC)
- DDoS ochrana prostřednictvím Cloudflare
- Automatické zálohování databáze
- Auditní logy všech operací s osobními údaji
- Bezpečnostní monitoring a detekce incidentů
- Pravidelná kontrola bezpečnostních opatření
12. Kontakt
V případě dotazů k ochraně osobních údajů nás kontaktujte:
Hrdina a dcera s.r.o.
Na Vyhlídce 355, 691 64 Nosislav
E-mail: info@hrdinaadcera.cz
Na vaši žádost odpovíme bez zbytečného odkladu, nejpozději do 30 dnů od obdržení žádosti (čl. 12 odst. 3 GDPR).
13. Změny zásad
Tyto Zásady můžeme příležitostně aktualizovat. O významných změnách vás budeme informovat prostřednictvím e-mailu nebo oznámením na webu. Aktuální verze je vždy dostupná na adrese www.hrdinaadcera.cz/ochrana-osobnich-udaju.
Poslední aktualizace: 23. 4. 2026 (verze 1.0)