Zásady ochrany osobních údajů (Privacy Policy)
Verze: 2026-05-17 Poslední aktualizace: 17. 5. 2026 Účinnost od: 17. 5. 2026
1. Správce osobních údajů
Digifox s.r.o. Provozovatel služby Reputive (reputive.cz, app.reputive.cz) Sídlo: Kostice, Česká republika IČO: 23894865 Datová schránka: pq4uk35 E-mail: info@reputive.app
(dále jen „Reputive", „my" nebo „správce")
2. Jaká data zpracováváme a proč
2.1 Data klientů Reputive (firem)
| Kategorie | Konkrétní údaje | Účel | Právní základ | Doba uchování |
|---|---|---|---|---|
| Registrační údaje | Jméno, e-mail, heslo (hash) | Provoz účtu, přihlášení | Plnění smlouvy — čl. 6 odst. 1 písm. b) GDPR | Po dobu trvání Smlouvy; po zrušení účtu cascade smazání |
| Firemní údaje | Název firmy, IČO, adresa, odvětví | Personalizace, fakturace | Plnění smlouvy | Po dobu trvání Smlouvy |
| Platební údaje | Fakturační adresa, číslo faktury | Fakturace, účetnictví | Plnění smlouvy + zákonná povinnost | 10 let (§ 35 zák. č. 235/2004 Sb.) |
| Google účet | OAuth token, Google Place ID, pobočky | Synchronizace recenzí z Google | Plnění smlouvy | Po dobu trvání Smlouvy nebo do odvolání oprávnění v Google účtu |
| Nastavení | Tón, sekvence zpráv, šablony | Personalizace automatizace | Plnění smlouvy | Po dobu trvání Smlouvy |
| Poptávky z webu | E-mail, telefon (nepovinný), obsah zprávy, URL stránky | Zodpovězení dotazu zaslaného přes kontaktní (chat) widget na webu; doručeno e-mailem přes Resend | Jednání o smlouvě / oprávněný zájem — čl. 6 odst. 1 písm. b), f) GDPR | Po dobu vyřízení dotazu, nejdéle 2 roky |
| Technické a auditní logy | IP adresa, prohlížeč, časy přihlášení, akce administrátora | Bezpečnost, ladění, audit | Oprávněný zájem — čl. 6 odst. 1 písm. f) GDPR | Po dobu trvání Smlouvy; v případě bezpečnostního incidentu déle pro účely vyšetřování |
2.2 Data zákazníků klientů (subjekty třetích stran)
Klienti Reputive nám předávají kontaktní údaje svých zákazníků za účelem zasílání žádostí o recenzi. V tomto vztahu jsme zpravidla zpracovatelem dat — klient je správcem. Pro odesílání žádostí o recenzi z naší vlastní domény (recenze@reputive.app) přitom vystupujeme zároveň jako spolusprávce ve smyslu čl. 26 GDPR — podrobnosti viz DPA, sekce 6.
| Kategorie | Konkrétní údaje | Účel | Právní základ správce | Doba uchování |
|---|---|---|---|---|
| Kontaktní údaje | Jméno, příjmení, e-mail, telefon | Zasílání žádostí o recenzi | Oprávněný zájem klienta — čl. 6 odst. 1 písm. f) GDPR | Po dobu trvání Smlouvy klienta s Reputive; po zrušení účtu klienta jsou kontaktní údaje cascade smazány |
| Stav komunikace | Datum odeslání, doručení, kliknutí, stav sekvence | Sledování účinnosti | Oprávněný zájem klienta | Po dobu trvání Smlouvy; po zrušení účtu klienta smazány |
| Suppression list | SHA-256 hash e-mailu, důvod (odhlášení / bounce / žádost o výmaz) | Zabránění opětovnému oslovení po odhlášení nebo žádosti o výmaz | Oprávněný zájem správce a zpracovatele na souladu s GDPR | Trvale (jde o hash, nikoli o čistý e-mail) |
Zákazníci klientů mohou kdykoli odhlásit zasílání e-mailových zpráv kliknutím na odkaz „Odhlásit se z odběru" v patičce každého e-mailu (k dispozici je i hlavička List-Unsubscribe pro jednoklikové odhlášení v poštovním klientu). Po odhlášení se kontaktní údaj propíše do suppression listu (jako SHA-256 hash), aby na něj nešlo opětovně rozeslat zprávu.
2.3 Data z recenzí
Synchronizujeme veřejně dostupná data z recenzních platforem klientů — z Google Business Profile a dále z Heureka a Zboží.cz:
- Jména recenzentů, texty recenzí, hodnocení, datum recenze
Tato data jsou veřejně přístupná na příslušných platformách (Google Maps, Heureka, Zboží.cz). Zpracováváme je na základě oprávněného zájmu klienta (správa jeho online reputace).
Pro generování AI návrhů odpovědí (Google Gemini jako primární model, Anthropic Claude jako fallback) předáváme pouze text recenze, hvězdičkové hodnocení, název provozovny a obor podnikání. Jméno recenzenta ani jiné osobní údaje zákazníků klienta poskytovatelům AI nepředáváme.
2.4 Cookies a podobné technologie v aplikaci
Aplikace app.reputive.cz používá pouze technicky nezbytné cookies (autentizační session, ochrana proti CSRF) — bez nich se nelze přihlásit. Pro analytiku používá v aplikaci Vercel Analytics (bez cookies, anonymizovaný session identifier rotující do 24 hodin) a Google Tag Manager (kontejner s Google Analytics 4). Tyto analytické skripty se v aplikaci načítají pro účely zlepšování produktu a měření jeho používání.
Webová prezentace reputive.cz používá rozšířenější sadu cookies a podobných technologií; jejich podrobný popis najdete v Zásadách cookies. Na webu jsou analytické skripty načítány až po vašem souhlasu.
3. Příjemci a zpracovatelé
Vaše data sdílíme pouze s důvěryhodnými zpracovateli, s nimiž máme uzavřeny Smlouvy o zpracování dat (DPA) dle čl. 28 GDPR. Aktuální seznam je vždy v DPA, sekce 3.4:
| Zpracovatel | Sídlo | Co zpracovává | Záruka přenosu |
|---|---|---|---|
| Supabase Inc. | USA (databáze: Frankfurt, EU) | Databáze, autentizace, úložiště, PITR zálohy | SCCs, EU region |
| Vercel Inc. | USA | Hosting aplikace i webu, edge logy, Vercel Analytics | SCCs |
| Resend Inc. | USA / EU | Odesílání transakčních i kampaňových e-mailů | SCCs |
| Google LLC (Gemini AI) | USA | Analýza textů recenzí pro AI návrhy odpovědí | SCCs |
| Anthropic, PBC | USA | Záložní LLM provider pro AI návrhy odpovědí | SCCs |
| Google LLC (Google Tag Manager + Google Analytics 4) | USA / Irsko | Měření používání aplikace a webu | SCCs + EU‑U.S. Data Privacy Framework |
| Upstash, Inc. | USA / EU | Rate limiting a deduplikace eventů (Redis) | SCCs |
| ThePay.cz s.r.o. | ČR | Zpracování plateb a předplatného | Území EU |
| SMS manager.cz s.r.o. | ČR | Odesílání SMS žádostí o recenzi | Území EU |
| Sentry (Functional Software Inc.) | USA | Chybové logy aplikace | SCCs |
| Google LLC (Business Profile API) | USA | Synchronizace recenzí klienta | SCCs |
Data nepředáváme třetím stranám pro marketingové účely. Data neprodáváme.
4. Předávání dat mimo EU/EHP
Někteří zpracovatelé sídlí v USA. Přenos je zajištěn Standardními smluvními doložkami (SCCs) dle rozhodnutí Komise 2021/914 a v relevantních případech rámcem EU‑U.S. Data Privacy Framework. Hlavní databáze Supabase je fyzicky umístěna v regionu EU (Frankfurt) — data zákazníků neopouštějí EU mimo nezbytné případy (např. AI zpracování v Google Gemini nebo Anthropic Claude, ke kterým dochází ad hoc a pouze pro generování návrhu odpovědi).
5. Vaše práva
Jako subjekt údajů máte tato práva dle GDPR:
Přístup (čl. 15) — Kopie vašich osobních údajů.
Oprava (čl. 16) — Oprava nepřesných údajů.
Výmaz (čl. 17) — Smazání dat pokud: nejsou potřebná pro původní účel / odvoláte souhlas / vznesete námitku bez převažujícího oprávněného zájmu.
Omezení zpracování (čl. 18) — Dočasné pozastavení zpracování.
Přenositelnost (čl. 20) — Export dat ve strojově čitelném formátu (JSON/CSV).
Námitka (čl. 21) — Námitka proti zpracování na základě oprávněného zájmu.
Odvolání souhlasu — Kdykoli, bez vlivu na zákonnost předchozího zpracování.
Jak uplatnit práva:
- Klienti Reputive (firmy): v aplikaci na
/dashboard/compliancenajdete sekci „GDPR & Compliance" s auditním logem compliance akcí, odsouhlasenou verzí DPA a vzorovou doložkou pro zpracování dat vašich zákazníků. Jednotlivé zákazníky můžete smazat v/dashboard/customers. Hromadný export celého účtu a hromadné mazání kontaktů vyřídíme na vyžádání e-mailem. - Koncoví zákazníci (subjekty údajů): napište nám na info@reputive.app (předmět: „GDPR žádost") nebo přímo provozovateli, který Vám žádost o recenzi zaslal.
- Lhůta vyřízení: do 30 dnů od obdržení žádosti dle čl. 12 odst. 3 GDPR. Ve výjimečných případech (složitost, počet žádostí) lze lhůtu prodloužit až o dva další měsíce — o prodloužení vás vždy informujeme do 30 dnů od obdržení žádosti.
Stížnost u dozorového úřadu: Úřad pro ochranu osobních údajů (ÚOOÚ) Pplk. Sochora 27, 170 00 Praha 7 | www.uoou.cz (otevře se v novém okně)
6. Zabezpečení
Implementujeme tato technická a organizační opatření:
- Šifrování přenosu dat (TLS 1.3)
- Hashování hesel (bcrypt/scrypt v rámci Supabase Auth)
- Row Level Security (RLS) — každý klient vidí pouze svá data
- Přístup k datům na principu nejmenšího privilegia
- Monitoring a alerting bezpečnostních incidentů (Sentry)
- Pravidelné bezpečnostní audity kódu
- Rate limiting a deduplikace eventů (Upstash Redis)
- Zálohování s Point-in-Time Recovery (Supabase PITR) s retencí max. 30 dní
V případě bezpečnostního incidentu s vysokým rizikem pro vaše práva vás informujeme dle čl. 34 GDPR do 72 hodin od zjištění. Klientům (správcům) hlásíme incident ve stejné lhůtě dle čl. 33 odst. 2 GDPR — viz DPA, sekce 3.6.
7. Automatizované rozhodování
Reputive používá AI (Google Gemini, Anthropic Claude jako fallback) pro:
- Návrhy odpovědí na recenze
- Skloňování jmen zákazníků v e-mailech (česká gramatika)
Toto nezahrnuje automatizované rozhodování s právními účinky ani podobně významným dopadem dle čl. 22 GDPR. Veškeré odpovědi na recenze jsou pouze návrhy — klient je ručně přečte, upraví podle potřeby a teprve potom je publikuje. Žádný obsah negeneruje a neodesílá AI bez vědomé akce a kontroly ze strany klienta.
8. Věk uživatelů
Služba není určena osobám mladším 18 let. Vědomě neshromažďujeme data dětí.
9. Přístup k vašemu účtu ze strany podpory Reputive (impersonace)
Pro účely technické podpory a diagnostiky chyb může pověřený administrátor Reputive dočasně přepnout pohled do účtu klienta (tzv. impersonace). Tento přístup:
- vyžaduje výslovné technické oprávnění (admin role v databázi) a je auditovaný,
- má maximální platnost 60 minut od poslední aktivity a poté automaticky vyprchá; po vypršení je nutné session znovu obnovit s důvodem,
- má standardně zakázány změnové akce (mazání, hromadné odesílání, změna platebních údajů); povolené jsou jen čtecí operace nutné pro diagnózu. Změnové akce vyžadují dodatečné potvrzení administrátorem v UI,
- je zaznamenán v interním auditním logu Reputive (admin ID, target ID, IP, User-Agent, čas, důvod). Souhrn aktivit klientovi rádi předáme na vyžádání e-mailem.
Tuto funkci využíváme zpravidla po žádosti klienta o pomoc se support ticketem nebo při diagnostice problému, který klient nahlásil.
10. Změny zásad
O podstatných změnách vás informujeme e-mailem a oznámením v aplikaci. Datum poslední aktualizace je vždy v záhlaví dokumentu.
11. Kontakt
Digifox s.r.o. — provozovatel Reputive E-mail: info@reputive.app Datová schránka: pq4uk35 Web: reputive.cz
Pověřence pro ochranu osobních údajů (DPO) nemáme jmenovaného — povinnost dle čl. 37 GDPR se na nás v současnosti nevztahuje.