Zásady zpracování osobních údajů

Poslední aktualizace: 24. února 2026

1. Úvod

Společnost Veluvanto s.r.o. ("my", "nás" nebo "naše") se zavazuje chránit vaše soukromí. Tyto Zásady zpracování osobních údajů vysvětlují, jak shromažďujeme, používáme, zpřístupňujeme a chráníme vaše osobní údaje při používání služeb Veluvanto, v souladu s nařízením o ochraně osobních údajů (GDPR, Nařízení (EU) 2016/679) a zákonem č. 110/2019 Sb. o zpracování osobních údajů.

2. Správce osobních údajů

Správcem vašich osobních údajů je společnost:

Veluvanto s.r.o.
Sídlo: Korunní 2569/108, Vinohrady, 101 00 Praha 10
IČO: 249 15 122
E-mail: privacy@veluvanto.com

Pověřenec pro ochranu osobních údajů (DPO): Určili jsme, že jmenování pověřence pro ochranu osobních údajů není povinné dle čl. 37 GDPR s ohledem na povahu a rozsah našich zpracovatelských činností (nezpracováváme zvláštní kategorie údajů ve velkém měřítku, nejsme orgánem veřejné moci a neprovádíme rozsáhlé systematické monitorování). V záležitostech ochrany soukromí nás kontaktujte na privacy@veluvanto.com.

3. Osobní údaje, které shromažďujeme

Shromažďujeme následující kategorie osobních údajů:

3.1 Identifikační a kontaktní údaje

  • E-mailová adresa, jméno a profilový obrázek (z vašeho účtu Google při přihlášení prostřednictvím Google OAuth nebo z vašeho účtu Microsoft při přihlášení prostřednictvím Microsoft OAuth)
  • Nastavení účtu a preference

3.2 Data dokumentů

  • Soubory, které nahráváte do služby (dokumenty, faktury, smlouvy apod.)
  • Metadata extrahovaná z dokumentů (data, entity, částky, štítky)
  • Shrnutí, překlady a kategorizace vašich dokumentů generované AI

3.3 Údaje o používání

  • Použité funkce, provedené akce a interakce se službou
  • Spotřebované AI kredity a stav předplatného

3.4 Technické údaje

  • IP adresa, typ a verze prohlížeče, typ zařízení a operační systém
  • Identifikátory relací a přístupové protokoly
  • Záznamy o čase provedených operací pro účely bezpečnosti a auditu

3.5 Platební údaje

  • Fakturační adresa a záznamy o transakcích (platební údaje karet jsou zpracovávány přímo společností Paddle.com Market Limiteda my je neuchováváme)

Povinnost poskytnout údaje (čl. 13(2)(e) GDPR): Poskytnutí e-mailové adresy a údajů o účtu je smluvním požadavkem — bez nich nelze vytvořit účet ani používat službu. Poskytnutí platebních údajů je vyžadováno pro přístup k placeným plánům. Poskytnutí obsahu dokumentů je dobrovolné; sami rozhodujete, co nahráváte. Nejste ze zákona povinni poskytnout žádné z výše uvedených údajů, ale bez požadovaných údajů vám nemůžeme službu poskytnout.

4. Právní základy zpracování

Vaše osobní údaje zpracováváme na základě následujících právních titulů dle čl. 6 GDPR:

Účel Právní základ Článek GDPR
Poskytování a provoz služby Plnění smlouvy čl. 6(1)(b)
Ověřování uživatele (Google OAuth) Plnění smlouvy čl. 6(1)(b)
Ověřování uživatele (Microsoft OAuth) Plnění smlouvy čl. 6(1)(b)
Zpracování plateb a fakturace Plnění smlouvy čl. 6(1)(b)
Zasílání komunikace související se službou Plnění smlouvy čl. 6(1)(b)
Bezpečnost, prevence podvodů, přístupové protokoly Oprávněné zájmy čl. 6(1)(f)
Zlepšování služeb a analytika Oprávněné zájmy čl. 6(1)(f)
Zákonné povinnosti (daňové záznamy apod.) Právní povinnost čl. 6(1)(c)
Marketingová komunikace (při souhlasu) Souhlas čl. 6(1)(a)

5. Zpracování vašich dokumentů pomocí AI

Vaše dokumenty jsou zpracovávány pomocí technologie AI za účelem poskytování funkcí, jako je automatická kategorizace, fulltextové vyhledávání, extrakce metadat, shrnutí, překlad a AI chat asistent.

Vaše dokumenty nikdy nejsou použity k trénování AI modelů. Zpracování AI probíhá výhradně za účelem poskytování služby vám. Náš poskytovatel AI (Google LLC prostřednictvím Vertex AI) jedná jako náš zpracovatel osobních údajů na základě Google Cloud Addenda o zpracování dat a je mu smluvně zakázáno používat vaše data k trénování nebo zlepšování svých AI modelů.

Datová rezidence v EU pro zpracování AI: Zpracování AI modelem (inference) pro analýzu dokumentů, sémantické vyhledávání, překlad, shrnutí a AI chat probíhá prostřednictvím Google Cloud Vertex AI nakonfigurovaného pro regiony datových center EU (europe-west). Obsah dokumentů odeslaný ke zpracování AI neopouští Evropský hospodářský prostor.

Zpracování AI představuje automatizované zpracování osobních údajů. Pro spotřebitele používající Veluvanto pro osobní účely je Veluvanto s.r.o. správcem vašich dokumentů. Pro firemní zákazníky, kteří nahrávají dokumenty obsahující osobní údaje třetích stran (např. zaměstnanecká data, zákaznické faktury), Veluvanto s.r.o. vystupuje jako zpracovatel jménem správce. Podrobnosti viz naše Smlouva o zpracování osobních údajů.

Další informace o našich AI systémech naleznete v našem Oznámení o transparentnosti AI.

6. Ukládání a bezpečnost dat

Bezpečnost vašich dat bereme vážně:

  • Veškeré dokumenty a data jsou uloženy v objektovém úložišti Backblaze B2 v datových centrech v EU (Amsterdam, Nizozemsko); Backblaze je držitelem certifikace SOC 2 Type II
  • Aplikační servery běží na infrastruktuře Hetzner Online GmbH v datových centrech v EU (Německo/Finsko); Hetzner vlastní certifikaci ISO/IEC 27001:2022 (platná 2025–2028)
  • Data jsou šifrována při přenosu (TLS 1.2+) a v klidu (AES-256)
  • Implementujeme přísné kontroly přístupu a auditní protokoly
  • Pravidelná bezpečnostní hodnocení a aktualizace
  • Přístup k osobním údajům je omezen pouze na pověřené pracovníky v nezbytně nutném rozsahu

Oznamování porušení zabezpečení osobních údajů (čl. 33 a 34 GDPR)

a) Oznámení dozorovému úřadu (čl. 33 GDPR)
V případě porušení zabezpečení osobních údajů oznámíme událost příslušnému dozorovému úřadu bez zbytečného odkladu a, je-li to možné, do 72 hodin od okamžiku, kdy se o porušení dozvíme, ledaže je nepravděpodobné, že by porušení mělo za následek riziko pro práva a svobody fyzických osob.

b) Oznámení subjektům údajů (čl. 34 GDPR)
Pokud je pravděpodobné, že porušení zabezpečení osobních údajů povede k vysokému riziku pro práva a svobody fyzických osob, oznámíme porušení dotčeným osobám bez zbytečného odkladu. Oznámení bude popsáno jasným a jednoduchým jazykem a bude obsahovat alespoň informace o povaze porušení, pravděpodobných důsledcích a přijatých či navrhovaných opatřeních ke zmírnění dopadů. Pokud by individuální oznámení vyžadovalo nepřiměřené úsilí, zajistíme informování stejně účinným způsobem prostřednictvím veřejného oznámení nebo obdobného opatření.

7. Sdílení dat a další zpracovatelé

Vaše osobní údaje neprodáváme. Vaše informace můžeme sdílet pouze v následujících případech:

7.1 Další zpracovatelé

Využíváme následující poskytovatele služeb třetích stran, kteří mohou zpracovávat vaše osobní údaje:

  • Google LLC — Poskytovatel identity (přihlášení přes Google OAuth); přenosy dat do USA jsou kryty Standardními smluvními doložkami (SCC)
  • Microsoft Corporation — Poskytovatel identity (přihlášení přes Microsoft OAuth); zpracování dat se řídí Smlouvou o ochraně dat Microsoft
  • Paddle.com Market Limited — Zpracování plateb a fakturace (Merchant of Record); přenosy dat do Spojeného království jsou kryty Rozhodnutím o přiměřenosti pro UK
  • Google LLC (Vertex AI) — Inference AI modelu (modely Gemini) pro zpracování dokumentů, sémantické vyhledávání, AI chat, překlad a shrnutí; zpracování nakonfigurováno tak, aby zůstalo v EU regionech Google Cloud (europe-west); podléhá Google Cloud DPA; data API nejsou standardně používána pro trénování modelu
  • Backblaze, Inc. (B2 Cloud Storage) — Primární objektové úložiště pro dokumenty a zálohy; data uložena výhradně v EU (Amsterdam, Nizozemsko); certifikace SOC 2 Type II; Zásady ochrany soukromí Backblaze
  • IDrive, Inc. (e2 Cloud Storage) — Objektové úložiště pro disaster recovery zálohování dokumentů a dat; data uložena výhradně v EU (Frankfurt, Německo); certifikace SOC 2; žádná minimální doba uložení
  • Hetzner Online GmbH — Cloudová infrastruktura a aplikační servery; data uložena výhradně v EU (Německo/Finsko); certifikace ISO/IEC 27001:2022
  • Collabora Online — Software pro prohlížení a renderování dokumentů nasazený na naší vlastní infrastruktuře (protokol WOPI); obsah dokumentů je zpracováván výhradně na našich serverech a nikdy neopouští naši infrastrukturu; Collabora Productivity Ltd. nemá přístup k vašim datům; nedochází k žádnému mezinárodnímu přenosu dat
  • Cloudflare, Inc. — Síť pro doručování obsahu (CDN) a bezpečnostní služby (ochrana před DDoS, optimalizace výkonu); zpracovává metadata HTTP požadavků (IP adresa, user-agent, časové značky); přenosy dat do USA jsou kryty Standardními smluvními doložkami (SCC)

7.2 Zákonné požadavky

Vaše údaje můžeme zpřístupnit, pokud nám to ukládají právní předpisy, soudní rozhodnutí nebo závazný pokyn orgánu veřejné moci, nebo pokud se domníváme, že zpřístupnění je nezbytné k ochraně našich práv nebo bezpečnosti ostatních.

7.3 Obchodní převody

V případě fúze, akvizice nebo převodu obchodního závodu mohou být vaše osobní údaje převedeny. Před převedením a podřízením jiným zásadám ochrany soukromí vás upozorníme.

8. Mezinárodní předávání dat

Vaše data ukládáme a zpracováváme primárně v rámci Evropské unie. Níže je popsána datová rezidence pro každého dalšího zpracovatele:

  • Backblaze, Inc. (B2 Cloud Storage — primární úložiště): Veškeré dokumenty, uživatelská data a zálohy jsou uloženy na Backblaze B2 v EU (Amsterdam, Nizozemsko). Žádný mezinárodní přenos.
  • IDrive, Inc. (e2 Cloud Storage — disaster recovery úložiště): Záložní kopie dokumentů a dat jsou uloženy na IDrive e2 v EU (Frankfurt, Německo). IDrive, Inc. je americká společnost; přenosy dat jsou pokryty Standardními smluvními doložkami (SCCs).
  • Hetzner Online GmbH (infrastruktura): Aplikační servery a výpočetní infrastruktura jsou provozovány výhradně v Německu/Finsku. Žádný mezinárodní přenos.
  • Google LLC (Vertex AI — zpracování AI): Obsah dokumentů je zpracováván prostřednictvím Google Cloud Vertex AI nakonfigurovaného pro EU regiony (europe-west). Pro inference AI nedochází k přenosu mimo EEA.
  • Google LLC (OAuth ověřování): Váš e-mail a profil Google jsou sdíleny s Googlem při přihlášení. Přenos do USA je kryt Standardními smluvními doložkami (SCC, Prováděcí rozhodnutí Komise (EU) 2021/914).
  • Paddle.com Market Limited (platby): Fakturační adresa a data transakcí jsou sdíleny s Paddle pro zpracování plateb. Přenos do Spojeného království je kryt Rozhodnutím o přiměřenosti pro UK.
  • Cloudflare, Inc. (CDN / bezpečnost): Metadata HTTP požadavků (IP adresa, user-agent, časové značky) jsou zpracovávána Cloudflare. Přenos do USA je kryt SCC.
  • Collabora Online (renderování dokumentů): Collabora Online je nasazený a provozovaný výhradně na naší vlastní infrastruktuře v EU. Obsah dokumentů je zpracováván lokálně pro zobrazení v prohlížeči a nikdy neopouští naše servery. Collabora Productivity Ltd. nemá přístup k vašim datům. Nedochází k žádnému mezinárodnímu přenosu dat.

Kopii příslušných záruk pro přenos můžete vyžádat na privacy@veluvanto.com.

9. Vaše práva dle GDPR

Podle GDPR (Kapitola III) máte následující práva:

  • Právo na přístup (čl. 15): Vyžádat si kopii osobních údajů, které o vás uchováváme
  • Právo na opravu (čl. 16): Požádat o opravu nepřesných nebo neúplných údajů
  • Právo na výmaz / právo být zapomenut (čl. 17): Požádat o smazání vašich dat
  • Právo na přenositelnost dat (čl. 20): Obdržet vaše data ve strukturovaném, běžně používaném a strojově čitelném formátu (JSON nebo ZIP archiv obsahující vaše dokumenty a metadata). Požádejte nás o export na privacy@veluvanto.com.
  • Právo vznést námitku proti zpracování na základě oprávněných zájmů (čl. 21(1)): Vznést námitku proti zpracování na základě našich oprávněných zájmů (např. bezpečnost, analytika). Přestaneme zpracovávat, pokud neprokážeme závažné oprávněné důvody.
  • Právo vznést námitku proti přímému marketingu (čl. 21(2)): Máte absolutní právo vznést námitku proti zpracování vašich osobních údajů pro účely přímého marketingu kdykoli, bez jakýchkoli výjimek. Zpracování okamžitě ukončíme.
  • Právo na omezení zpracování (čl. 18): Požádat o omezení zpracování za určitých okolností
  • Právo odvolat souhlas (čl. 7(3)): Odvolat souhlas kdykoli, aniž by to ovlivnilo zákonnost zpracování před odvoláním
  • Právo nebýt předmětem automatizovaného individuálního rozhodování (čl. 22): Viz oddíl 10 níže

Pro uplatnění těchto práv nás kontaktujte na privacy@veluvanto.com. Odpovíme do 1 měsíce. Před splněním vaší žádosti může být nutné ověřit vaši totožnost.

Vaše právo vznést námitku proti zpracování na základě oprávněných zájmů (čl. 21(4) GDPR): Zpracováváme-li vaše data na základě oprávněných zájmů (čl. 6(1)(f) GDPR — zahrnuje bezpečnost, prevenci podvodů a servisní analytiku), máte právo vznést námitku kdykoli. Po podání námitky přestaneme takové zpracování provádět, ledaže prokážeme závažné oprávněné důvody, které převáží nad vašimi zájmy, právy a svobodami, nebo je zpracování nezbytné pro určení, výkon nebo obhajobu právních nároků. Kontaktujte nás na privacy@veluvanto.com.

Právo podat stížnost: Máte právo podat stížnost u dozorového úřadu. V České republice jím je:

Úřad pro ochranu osobních údajů (ÚOOÚ)
Pplk. Sochora 27, 170 00 Praha 7
Web: www.uoou.cz
E-mail: posta@uoou.cz

10. Automatizované zpracování a profilování

Veluvanto používá automatizované zpracování AI k analýze vašich dokumentů a extrakci metadat (data, entity, kategorie, částky). Toto automatizované zpracování:

  • Slouží výhradně k poskytování služby vám
  • Does Nevytváří právní účinky ani vás jinak podobně závažně neovlivňuje
  • Does Nepředstavuje profilování pro marketingové nebo rozhodovací účely

Jakákoli nepřesná AI metadata lze kdykoli opravit v zobrazení detailů dokumentu. Další informace o našich AI systémech a jejich omezeních naleznete v našem Oznámení o transparentnosti AI.

11. Uchovávání dat

Vaše osobní údaje uchováváme po dobu aktivního účtu nebo po dobu nezbytnou k poskytování služeb. Konkrétní doby uchovávání:

  • Údaje o účtu a dokumenty: Uchovávány do smazání účtu. Po smazání účtu jsou data trvalě odstraněna do 30 dnů.
  • Fakturační záznamy: Uchovávány 10 let dle zákona č. 563/1991 Sb. o účetnictví.
  • Bezpečnostní a přístupové protokoly: Uchovávány 12 měsíců.
  • Údaje o používání (použité funkce, spotřebované AI kredity, interakce): Uchovávány 24 měsíců, poté agregovány nebo smazány.
  • Metadata generovaná AI (shrnutí, štítky, extrahované entity): Uchovávána po dobu uložení příslušného dokumentu. Smazána spolu s dokumentem.
  • Marketingový souhlas: Do odvolání souhlasu.
  • Účty ukončené z důvodu překročení úložiště: Účty ukončené z důvodu dlouhodobého překročení úložiště (dle článku 19 Podmínek služby) — veškeré osobní údaje a dokumenty jsou trvale smazány do 30 dnů od ukončení, v souladu s článkem 17 nařízení GDPR.

Dokumenty přesunuté do koše jsou uchovávány 30 dní před trvalým smazáním.

12. Cookies

Používáme pouze nezbytné a funkční cookies požadované pro provoz služby (správa relací, ověřování, jazykové a vzhledové preference). Nepoužíváme sledovací ani reklamní cookies třetích stran. Podrobné informace naleznete v naší Zásadě používání cookies.

13. Ochrana osobních údajů dětí

Naše služba není určena osobám mladším 18 let. Vědomě neshromažďujeme osobní údaje dětí. Pokud se domníváte, že jsme neúmyslně shromáždili data dítěte, kontaktujte nás a my je neprodleně smažeme.

14. Změny těchto zásad

Tyto Zásady zpracování osobních údajů můžeme čas od času aktualizovat. O jakýchkoli podstatných změnách vás budeme informovat e-mailem a zveřejněním nových zásad na této stránce s aktualizovaným datem „Poslední aktualizace", nejméně 30 dní před nabytím účinnosti. Pro podstatné změny způsobu zpracování si vyžádáme váš opětovný souhlas, pokud to vyžadují právní předpisy.

15. Kontaktujte nás

Pro jakékoli dotazy ohledně těchto Zásad ochrany soukromí, k uplatnění vašich práv nebo jakékoli obavy v oblasti ochrany dat:

Veluvanto s.r.o.
Korunní 2569/108, Vinohrady, 101 00 Praha 10
E-mail: privacy@veluvanto.com