Zásady ochrany osobních údajů

Dronewell s.r.o. · IČO: 19381301 · Verze 1.0 · Účinnost od: 20. května 2026

1. Správce osobních údajů

Správcem osobních údajů ve smyslu čl. 4 odst. 7 GDPR je:

Dronewell s.r.o.
IČO: 19381301
Sídlo: Vršovců 2120/1a, Mariánské Hory, 709 00 Ostrava
Datová schránka: gjthna7
E-mail GDPR: gdpr@reportmaster.cz
Obecný kontakt: info@reportmaster.cz

2. Kategorie zpracovávaných osobních údajů

Kategorie	Konkrétní údaje	Zdroj
Identifikační	Jméno, příjmení	Registrace / poptávkový formulář
Kontaktní	E-mail, telefon (volitelně)	Registrace / poptávka
Firemní	Název organizace, role v týmu	Registrace
Přihlašovací	E-mail, hashované heslo (bcrypt), session tokeny	Registrace, přihlášení
Obsah dokumentů	Technické zprávy, výkresy, generované TePř	Použití služby
Metadata stavby	Lokalizace, kontakty stavbyvedoucího, dodavatelé	Použití služby
Provozní	IP adresa, čas přihlášení, log aktivit, spotřeba API	Automaticky

Citlivé osobní údaje nezpracováváme. Hesla jsou uložena výhradně v hashované podobě (bcrypt cost 10), nikdy v čitelné formě.

3. Účely zpracování a právní základy

Účel	Právní základ (čl. 6 GDPR)	Retenční doba
Poskytování služby ReportMaster (přihlášení, generování dokumentů, správa staveb)	Plnění smlouvy (čl. 6/1/b)	Po dobu trvání smlouvy + 3 roky
Vedení účetní a daňové evidence	Právní povinnost (čl. 6/1/c)	10 let dle zákona o účetnictví
Zpracování poptávek z kontaktního formuláře	Předsmluvní vztah / oprávněný zájem (čl. 6/1/b, 6/1/f)	12 měsíců
Zajištění bezpečnosti a prevence podvodů (audit logy, IP)	Oprávněný zájem (čl. 6/1/f)	90 dní
Zasílání obchodních sdělení o vlastních produktech	Oprávněný zájem (čl. 6/1/f)	Do odhlášení nebo ukončení smlouvy

4. Zpracovatelé a třetí strany

Zpracovatel	Účel	Sídlo / přenos
Anthropic, PBC	Generování obsahu dokumentů (Claude API). Zpracovávány části nahraných podkladů.	USA — standardní smluvní doložky (SCC); dle smluvních podmínek Anthropic API se data nepoužívají pro trénování modelů
Hostinger International Ltd.	Hosting serveru (VPS)	EU — server v EU
Google Ireland Limited	OAuth přihlášení (volitelné). Zpracovává se pouze e-mail a jméno z Google účtu.	EU/USA — standardní smluvní doložky (SCC)

V současné době neodesíláme transakční e-maily přes externího poskytovatele. Pokud bude služba doplněna o e-mailového poskytovatele (např. Resend, SendGrid), bude tento dokument aktualizován.

5. AI zpracování — Anthropic Claude API

Pro generování výstupů využívá služba umělou inteligenci od společnosti Anthropic, PBC (model Claude).

Co se odesílá do Anthropic: extrahovaný text z technických zpráv a výkresů, metadata stavby, generovací prompt
Co se neodesílá: přihlašovací údaje, hesla, kompletní původní soubory
Uchování u Anthropic: dle Anthropic API Terms se vstupy uchovávají po dobu zpracování a maximálně 30 dnů pro účely bezpečnostního auditu; Anthropic je nepoužívá k trénování svých modelů
Přenos do USA: probíhá na základě standardních smluvních doložek (SCC) schválených Evropskou komisí

Doporučujeme uživatelům, aby do podkladů nahrávali pouze údaje nezbytné pro generování dokumentace — bez utajovaných informací, nadbytečných osobních údajů nebo dokumentů, ke kterým nemají oprávnění.

5b. Použití dat pro vylepšování služby (znalostní báze)

Pozor — to NENÍ totéž jako trénování AI modelu. Provozovatel (Dronewell s.r.o.) je samostatný subjekt od Anthropic a může — pouze s vaším výslovným souhlasem — používat anonymizovaná data vaší organizace pro svou znalostní bázi (RAG) za účelem zlepšování věcné kvality výstupů služby.

Default je OPT-OUT: bez vašeho souhlasu zůstávají vaše data výhradně ve vaší firemní KB a nikdo jiný k nim nemá přístup
S opt-in souhlasem: provozovatel může vybrané vaše TePř anonymizovat (odstranit IČO, názvy firem, jména osob, lokality) a přesunout textové výňatky do globální KB, kde slouží jako odborný kontext pro generování pro ostatní organizace
Co provozovatel anonymizuje: názvy firem, IČO, adresy, jména osob, konkrétní evidenční čísla staveb, finanční částky
Co provozovatel NIKDY nesdílí: finanční údaje, cenové kalkulace, obchodní know-how
Souhlas lze kdykoli odvolat (čl. 7 odst. 3 GDPR) v nastavení účtu. Na žádost lze i historicky propsaná data z globální KB odstranit
Právní základ: čl. 6 odst. 1 písm. a) GDPR (souhlas subjektu údajů)

Detailní podmínky najdete v AI Policy, sekce 8 a v Obchodních podmínkách, čl. 8.

6. Cookies a technické soubory

Používáme výhradně technicky nezbytné cookies pro fungování přihlášení a bezpečnosti. Nepoužíváme analytické, marketingové ani sledovací cookies. Detaily viz Cookie politika.

7. Vaše práva

Jako subjekt údajů máte právo:

Přístupu (čl. 15 GDPR) — získat potvrzení a kopii zpracovávaných údajů
Opravy (čl. 16) — požádat o opravu nepřesných údajů
Výmazu / „být zapomenut" (čl. 17) — v aplikaci dostupné přes Nastavení → GDPR & Data → Smazat účet
Omezení zpracování (čl. 18)
Přenositelnosti (čl. 20) — v aplikaci dostupné přes Nastavení → GDPR & Data → Stáhnout export
Námitky (čl. 21) — proti zpracování na základě oprávněného zájmu
Odvolání souhlasu — kdykoli, bez dopadu na zákonnost dřívějšího zpracování

Žádost lze uplatnit na e-mailu gdpr@reportmaster.cz, písemně na adresu sídla nebo prostřednictvím datové schránky. Odpovíme do 30 dnů.

Máte také právo podat stížnost u dozorového úřadu — Úřad pro ochranu osobních údajů (ÚOOÚ), Pplk. Sochora 27, 170 00 Praha 7.

8. Výmaz účtu — co se maže a co se uchovává

Při výmazu účtu prostřednictvím aplikace nebo na žádost dochází k:

Anonymizace osobních údajů uživatele: e-mail, jméno, telefon → nahrazeno hash hodnotami
Invalidace všech aktivních sessions
Smazání nahraných osobních podkladů uživatele, pokud nejsou sdílené v rámci organizace

Z důvodu plnění zákonných povinností a auditní stopy se uchovávají:

Účetní doklady (faktury) po dobu 10 let dle zákona č. 563/1991 Sb.
Audit log o výmazu (datum, hash uživatele) po dobu 3 let
Data organizace zůstávají dostupná zbývajícím uživatelům organizace

9. Zabezpečení dat

HTTPS / TLS 1.3 šifrování veškeré komunikace
Hesla hashovaná algoritmem bcrypt (cost factor 10)
Role-based access control (RBAC), oddělení dat mezi organizacemi (multi-tenant)
Rate limiting a ochrana proti brute-force útokům
Bezpečnostní HTTP hlavičky (Helmet, CSP, HSTS, Permissions-Policy)
Firewall — přístup pouze na porty 80, 443, SSH
Pravidelné zálohování serverových dat

10. Předávání dat mimo EU/EHP

Jak je uvedeno v sekci 4 a 5, část obsahu dokumentů je předávána do USA pro účely AI generování (Anthropic API). Tento přenos probíhá výhradně na základě standardních smluvních doložek (SCC) schválených Evropskou komisí, a v souladu s podmínkami uchování dat dle Anthropic API Terms of Service.

11. Pravidla pro B2B klienty (DPA)

Pro klienty zpracovávající prostřednictvím služby osobní údaje třetích osob (např. jména stavbyvedoucích, dodavatelů) je k dispozici Zpracovatelská smlouva (Data Processing Agreement) na vyžádání na gdpr@reportmaster.cz.

12. Změny zásad

Tyto zásady můžeme aktualizovat. O podstatných změnách informujeme e-mailem nebo oznámením v aplikaci minimálně 30 dní předem.

13. Kontakt

Pro veškeré dotazy a žádosti týkající se osobních údajů:
E-mail: gdpr@reportmaster.cz
Adresa: Dronewell s.r.o., Vršovců 2120/1a, Mariánské Hory, 709 00 Ostrava
Datová schránka: gjthna7