Zpět na hlavní stránku

Zásady ochrany osobních údajů (GDPR)

Vaše soukromí je pro nás prioritou. Tento web je navržen s ohledem na bezpečnost a minimalizaci zpracovávaných dat (Privacy by Design). Veškeré procesy probíhají v souladu s nařízením GDPR.

Územní určení a působnost: Tento web je určen výhradně pro občany a obyvatele České republiky. Jeho obsah a veškeré stavební služby jsou určeny výhradně pro Českou republiku. Správce nevyvíjí činnost, necílí své aktivity a neposkytuje služby osobám nacházejícím se mimo území České republiky.

1. Kdo spravuje vaše údaje?

Fyzický správce zakázek (hlavní správce)

Serhiy Lutak
IČO: 88765741

lutak@post.cz

Odpovídá za přijetí a vyřízení zakázek, komunikaci s klienty ohledně realizace prací (cena, termíny, výjezd, provedení omítek, sádrokartonů apod.) a fyzickou realizaci.

Technický správce webu

Maksim Lutak
E-mail: maksimlutak12@gmail.com
Odpovídá za bezpečné technické zpracování osobních údajů a za komunikaci v oblasti GDPR. Vyřizuje žádosti o přístup, opravu a výmaz osobních údajů a odpovídá na dotazy subjektů údajů i ÚOOÚ.

Bezpečnost: Vaše osobní údaje (e-mail, telefon) jsou uloženy v silně šifrované podobě podle aktuálních bezpečnostních standardů. Přístup k datům je technicky omezen a monitorován.

🛡️ Bezpečnost a Zero-Logging: Pro běžné návštěvníky uplatňujeme politiku nulového protokolování (Zero-Logging). Vaše IP adresa ani identifikátor prohlížeče nejsou ukládány do naší databáze. Pouze v případě detekce bezpečnostního incidentu (útoku, skenování) jsou technické údaje logovány po dobu 90 dnů pro účely forenzní analýzy a blokace útočníka.

2. Rozsah a účel zpracování

Zpracováváme pouze údaje nezbytné pro vyřízení poptávky na základě čl. 6 odst. 1 písm. b) GDPR:

Nakládání s údaji: Osobní údaje nejsou prodávány, pronajímány ani jinak poskytovány třetím stranám a nejsou využívány k marketingovým, reklamním ani analytickým účelům.

A. Údaje o klientovi (pro vyřízení zakázky):

Tyto údaje poskytujete dobrovolně ve formuláři a jsou uloženy v šifrované podobě:

Identifikace: Jméno, e-mail a telefon pro komunikaci o nabídce.
Specifikace: Typ služby a popis zakázky pro nacenění.
Přílohy: Fotodokumentace slouží pouze k technickému posouzení (neponechává se v databázi webu; dočasně může být uchován pouze název souboru a jeho velikost před odesláním e-mailem správci).

B. Technické údaje (výhradně pro kybernetickou bezpečnost):

Tato data jsou zpracovávána v reálném čase za účelem detekce pokročilých hrozeb a nejsou spojována s identitou běžných uživatelů:

Digitální otisky a Persistent Identity: K identifikaci botů a opakovaných útoků využíváme technologii „Pseudo-JA3“ (otisk parametrů prohlížeče, např. Canvas, rozlišení, systémové vlastnosti). Pro rozpoznání útočníka v rámci jedné relace generujeme unikátní identifikátor (Persistent Session ID), který je dočasně uložen ve vašem prohlížeči (localStorage).
Analýza sítě: Zpracováváme údaje o ASN (poskytovatel), zemi původu a hloubce proxy řetězců pro odhalení anonymizačních sítí. V případě nedostupnosti síťových dat využíváme externí Geo-IP služby pro určení regionu útočníka.
DLP Monitoring: Obsah požadavků a odpovědí je automaticky skenován na výskyt anomálií a úniků citlivých dat (Data Leak Prevention).
Doba uchovávání: V případě incidentu jsou tyto forenzní údaje uchovávány po dobu 90 dnů (oprávněný zájem dle čl. 6 odst. 1 písm. f GDPR).

3. Technologie a partneři

Pro zajištění funkčnosti, bezpečnosti a měření efektivity webu využíváme následující technologie a partnery, kteří mohou mít přístup k vybraným údajům (vždy v souladu s účelem zpracování):

Cloudflare Inc. (Turnstile & WAF): Zajišťuje technickou ochranu webu proti DDoS útokům a spamu. Služba Turnstile funguje na základě analýzy chování, která nevyžaduje interakci uživatele a chrání integritu formulářů.
Resend Inc.: Poskytovatel infrastruktury pro odesílání e-mailů. Skrze tuto službu jsou bezpečně přenášeny detaily vaší poptávky na e-mail správce.
Telegram Messenger LLP (Telegram Bot API): Používáme výhradně k okamžitému doručování systémových oznámení o bezpečnostních incidentech a útocích (WAF alerts) správci. V rámci těchto bezpečnostních upozornění jsou přes Telegram odesílány technické údaje o podezřelé aktivitě (např. IP adresa, otisk prohlížeče, typ pokusu o útok) na základě oprávněného zájmu (čl. 6 odst. 1 písm. f GDPR) za účelem okamžité reakce na hrozbu. Běžná osobní data klientů z poptávkových formulářů (jména, e-maily, telefony) nejsou skrze toto API nikdy odesílána, analyzována ani ukládána.
Google Ireland Ltd. (Google Ads): Nástroj pro měření konverzí a analýzu efektivity reklamních kampaní. Google může zpracovávat anonymizovaná data o tom, že uživatel navštívil web po kliknutí na reklamu.
OpenStreetMap Foundation (Nominatim & OSRM): Pro orientační výpočet vzdálenosti z naší provozovny (Praha-Hostivař) k místu realizace využíváme bezplatné služby Nominatim (nominatim.openstreetmap.org) pro převod názvu města na zeměpisné souřadnice a OSRM (router.project-osrm.org) pro výpočet trasy po silnicích. Těmto službám je předán pouze název města/obce zadaný v poptávkovém formuláři. Nejsou předávány žádné osobní údaje klienta (jméno, e-mail, telefon). Zadaný název města není ukládán do databáze na serveru — slouží výhradně k jednorázovému výpočtu vzdálenosti, která je uvedena v e-mailu správci pro logistické účely. Provozovatelem je OpenStreetMap Foundation, 132 Maney Hill Road, Sutton Coldfield, Spojené království.

Google Ads a soubory Cookie

Náš web používá nástroje Google Ads pro sledování konverzí. Tyto nástroje ukládají soubory cookie ve vašem prohlížeči, které nám pomáhají pochopit, jak uživatelé s webem interagují po kliknutí na reklamu.

Účel: Měření úspěšnosti reklam a optimalizace nákladů na propagaci.
Správa: Cookies od Google Ads můžete odmítnout v nastavení svého prohlížeče nebo přímo v nastavení personalizace Google.
Ochrana: Data jsou pro nás anonymizovaná; vidíme pouze statistické souhrny, nikoliv konkrétní identitu uživatele.

Předávání údajů do třetích zemí (mimo EU/EHP)

Někteří naši technologičtí partneři (např. Cloudflare, Resend, Telegram) mohou zpracovávat část provozních dat mimo Evropský hospodářský prostor (EHP). V takových případech je přenos dat vždy legislativně ošetřen:

Přenos je zajištěn pomocí Standardních smluvních doložek (SCC) schválených Evropskou komisí, nebo
Partneři jsou certifikováni v rámci programu Data Privacy Framework (DPF) mezi EU a USA, což zaručuje úroveň ochrany odpovídající evropským standardům.

4. Doba uchovávání (TTL)

Poptávky a související údaje (jméno, e-mail, telefon, popis projektu, fotky v e-mailu): 365 dnů (1 rok)
Tato doba je stanovena s ohledem na typ služeb (stavební / štukatérské / rekonstrukční zakázky): projekty často trvají měsíce, mohou vzniknout dodatečné otázky, úpravy nabídky, reklamace, záruka nebo potřeba doložit komunikaci (např. pro daňové účely, spor nebo záruku). 1 rok je běžná a přiměřená doba uchovávání pro tento typ zpracování s nízkým rizikem v ČR. Data nejsou využívána k marketingovým účelům a jejich uchovávání není dlouhodobé Po uplynutí 365 dnů jsou údaje automaticky vymazány, pokud nedojde k zakázce nebo sporu.

Právo na výmaz (čl. 17 GDPR): Pokud požádáte o výmaz údajů, posoudíme žádost individuálně do 1 měsíce. Údaje nelze vymazat, pokud je to nezbytné pro:
• Plnění smluvních / předsmluvních povinností (čl. 17 odst. 3 písm. b) GDPR),
• Oprávněný zájem správce (čl. 6 odst. 1 písm. f) GDPR) – např. ochrana před podvody, neplacením a neoprávněnými reklamacemi v oboru stavebních zakázek (běžné riziko v tomto sektoru).

V takovém případě Vás o důvodech odmítnutí informujeme.
Bezpečnostní logy (IP při útocích): 90 dnů

5. Práva subjektu údajů

V souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 (GDPR) máte jako subjekt údajů následující práva:

Právo na přístup k osobním údajům (čl. 15 GDPR)
Máte právo získat potvrzení, zda zpracováváme Vaše osobní údaje, a pokud ano, získat k nim přístup a informace o jejich zpracování.
Právo na opravu údajů (čl. 16 GDPR)
Máte právo požadovat opravu nepřesných nebo doplnění neúplných osobních údajů.
Právo na výmaz („právo být zapomenut“) (čl. 17 GDPR)
Máte právo požadovat výmaz svých osobních údajů, pokud již nejsou potřebné pro účely, pro které byly zpracovány, nebo pokud je zpracování protiprávní.
Právo na omezení zpracování (čl. 18 GDPR)
Můžete požadovat, aby zpracování Vašich osobních údajů bylo dočasně omezeno, např. pokud popíráte jejich přesnost nebo namítáte proti zpracování.
Právo vznést námitku (čl. 21 GDPR)
Máte právo kdykoli vznést námitku proti zpracování osobních údajů prováděnému na základě oprávněného zájmu správce.
Právo podat stížnost u dozorového úřadu
Pokud se domníváte, že zpracováním Vašich osobních údajů dochází k porušení GDPR, máte právo podat stížnost u Úřadu pro ochranu osobních údajů (ÚOOÚ).
Právo na soudní ochranu
Máte právo domáhat se soudní ochrany a případně požadovat náhradu újmy, pokud byla Vaše práva v oblasti ochrany osobních údajů porušena.

Postup při uplatňování práv:
Pro uplatnění svých práv využijte e-mail technického správce. Abychom předešli neoprávněnému přístupu k vašim datům ze strany třetích osob, vyhrazujeme si právo vás před vyřízením žádosti přiměřeným způsobem identifikovat. Žádosti vyřizujeme bezplatně a bez zbytečného odkladu, zpravidla dříve než ve stanovené lhůtě 30 dnů (čl. 12 GDPR).

FAQ pro vaše soukromí

Jaké soubory cookie web používá?

Používáme nezbytné technické cookies pro bezpečnost (Turnstile) a analytické cookies pro Google Ads. Tyto cookies se aktivují pouze s vaším výslovným souhlasem prostřednictvím cookie lišty.

Jsou mé fotografie ukládány na serveru?

Ne, všechny zaslané fotografie nejsou ukládány na serveru. Pro technické účely může být dočasně uchován pouze název souboru a jeho velikost (neobsahují samotný obsah fotografie) před odesláním e-mailem správci zakázek.

Proč není na webu DPO?

Tento web nezpracovává osobní údaje ve velkém měřítku a nepodléhá povinnosti jmenovat pověřence pro ochranu osobních údajů (DPO) dle čl. 37 GDPR. Vaše údaje jsou stále bezpečně uchovávány a šifrovány.

Kdo má přístup k mým údajům?

K vašim údajům přistupujeme podle principu "nejnižších oprávnění", což zajišťuje maximální bezpečnost a soukromí:

Technický správce (Maksim Lutak): Má přístup k zašifrované databázi objednávek pro účely údržby, zálohování a řešení technických problémů. Nemá přímý přístup k obsahu e-mailové komunikace.
Realizátor zakázek (Serhiy Lutak): Dostává e-mail s detaily vaší poptávky, aby vás mohl kontaktovat a připravit kalkulaci. Nemá přístup k centrální databázi na serveru.

Vaše údaje nikdy nepředáváme třetím stranám a používáme je výhradně pro vyřízení vaší poptávky.

Jak jsou chráněna data při přenosu?

Všechna data z formulářů jsou přenášena šifrovaně pomocí SMTP s TLS. Detaily ochranných metod nejsou zveřejňovány pro bezpečnost.

Co když se pokusí někdo napadnout web?

Náš systém v reálném čase vyhodnotí technické parametry (Pseudo-JA3, rozlišení, systémový profil). Pokud je detekována hrozba, vytvoříme unikátní technický profil útočníka, který nám umožní jej rozpoznat i v případě, že změní IP adresu nebo prohlížeč. Pro běžné uživatele se žádné takové záznamy nevytvářejí.

Neprovádíme automatizované rozhodování ani profilování ve smyslu čl. 22 GDPR.

Správce nejmenoval pověřence pro ochranu osobních údajů (DPO), protože mu tato povinnost dle čl. 37 GDPR nevzniká.

Poslední aktualizace: 28. dubna 2026

Máte právo podat stížnost u dozorového úřadu, kterým je Úřad pro ochranu osobních údajů (ÚOOÚ), pokud se domníváte, že zpracováním Vašich osobních údajů došlo k porušení GDPR.