Zásady ochrany osobních údajů
1 ÚVODNÍ INFORMACE
1.1 Správce osobních údajů
DRAGON solutions s.r.o.
IČ: 09625836
DIČ: CZ09625836
Se sídlem: Hálkova 1287/37, Hodolany, 779 00 Olomouc, Česká republika
Zapsaná v obchodním rejstříku vedeném Krajským soudem v Ostravě, oddíl C, vložka 83635
E-mail: privacy@dragonchat.cz
(dále jen „Správce“ nebo „DragonChat™“)
1.2 Účel dokumentu
Tento dokument informuje o zpracování osobních údajů v souvislosti s užíváním webových stránek, aplikací, subdomén a online služeb provozovaných v rámci ekosystému DragonChat™ (zejména na doméně dragonchat.cz a jejích subdoménách), a to v souladu s:
- Nařízením GDPR (EU) 2016/679
- Zákonem č. 110/2019 Sb., o zpracování osobních údajů
1.3 Kontakt pro otázky ochrany osobních údajů
S dotazy, žádostmi nebo stížnostmi týkajícími se zpracování osobních údajů se můžete obrátit na:
Email: privacy@dragonchat.cz
Korespondenční adresa: DRAGON solutions s.r.o., Hálkova 1287/37, Hodolany, 779 00 Olomouc
2 JAKÉ OSOBNÍ ÚDAJE ZPRACOVÁVÁME
2.1 Údaje poskytnuté při registraci
| Údaj | Účel | Právní základ |
|---|---|---|
| Emailová adresa | Identifikace, komunikace, přihlášení | Plnění smlouvy (Čl. 6 odst. 1 písm. b GDPR) |
| Jméno a příjmení | Personalizace, fakturace | Plnění smlouvy |
| Heslo (hash) | Autentizace | Plnění smlouvy |
| Název organizace | Týmová spolupráce, fakturace | Plnění smlouvy |
| IČO/DIČ (dobrovolné) | Fakturace | Plnění smlouvy |
| Telefonní číslo (dobrovolné) | Podpora, autentizace | Souhlas (Čl. 6 odst. 1 písm. a GDPR) |
2.2 Údaje generované užíváním služby
| Údaj | Účel | Právní základ |
|---|---|---|
| IP adresa (hashovaná) | Bezpečnost, prevence zneužití | Oprávněný zájem (Čl. 6 odst. 1 písm. f GDPR) |
| Logy přihlášení | Bezpečnost, prevence podvodů | Oprávněný zájem |
| Session ID | Technické fungování | Plnění smlouvy |
| Auditní logy | Compliance, bezpečnost | Oprávněný zájem / Právní povinnost |
| Statistiky užívání (tokeny, kredity) | Účtování, optimalizace | Plnění smlouvy |
| Browser fingerprint (anonymizovaný) | Prevence zneužití | Oprávněný zájem |
| Analytické a statistické údaje sbírané s cookies (zobrazení stránek, interakce, zdroje návštěvnosti – Google Analytics 4) | Analýza návštěvnosti a optimalizace uživatelského prostředí | Souhlas (Čl. 6 odst. 1 písm. a GDPR) |
| Agregované statistiky návštěvnosti bez cookies (počty zobrazení stránek, zdroje návštěvnosti, typ zařízení, země – Ahrefs Web Analytics) | Analýza návštěvnosti webu bez zpracování osobních údajů | Oprávněný zájem (Čl. 6 odst. 1 písm. f GDPR) |
2.3 Obsah vytvořený uživatelem
| Údaj | Účel | Právní základ |
|---|---|---|
| Prompty a dotazy | Poskytování AI odpovědí | Plnění smlouvy |
| Nahrané dokumenty | Znalostní báze, RAG vyhledávání | Plnění smlouvy |
| Konverzační historie | Kontinuita chatu, export | Plnění smlouvy |
| Záložky a složky | Organizace konverzací | Plnění smlouvy |
| Sdílené odkazy | Sdílení konverzací | Plnění smlouvy |
Důležité: Obsah konverzací a nahraných dokumentů není používán k trénování AI modelů DragonChat™. Tento obsah však může být předán poskytovatelům AI modelů (OpenAI, Anthropic, Google) v rámci API volání – zpracování podléhá jejich podmínkám (viz § 5).
2.4 Platební údaje
| Údaj | Účel | Zpracovatel | Právní základ |
|---|---|---|---|
| Kreditní karta | Platby za kredity | Stripe, Inc. | Plnění smlouvy |
| Fakturační adresa | Vystavení faktur | Interní | Právní povinnost |
| Historie transakcí | Účetnictví, daňové doklady | Interní | Právní povinnost |
DragonChat™ neukládá čísla kreditních karet – platební údaje zpracovává výhradně certifikovaný zpracovatel Stripe (PCI DSS Level 1).
2.5 Údaje od třetích stran
- Google OAuth: Pokud se přihlásíte přes Google, obdržíme jméno, email a profilový obrázek
- OIDC/SSO: Pokud vaše organizace používá SSO, obdržíme atributy dle konfigurace
- Vlastník týmu / Správce organizace: Pokud vás do DragonChat™ pozve vlastník týmu, zpracováváme vaši emailovou adresu a případně jméno poskytnuté vlastníkem týmu za účelem vytvoření účtu. V tomto případě jsme informace o zpracování povinni poskytnout dle čl. 14 GDPR, a to nejpozději do jednoho měsíce od získání údajů nebo při první komunikaci s vámi.
2.6 Údaje zpracovávané při propojení s Telegramem
Pokud propojíte svůj účet DragonChat™ s komunikační platformou Telegram, zpracováváme následující údaje:
| Údaj | Účel | Právní základ |
|---|---|---|
| Telegram User ID | Identifikace propojeného účtu | Plnění smlouvy (Čl. 6 odst. 1 písm. b GDPR) |
| Telegram uživatelské jméno | Zobrazení v nastavení, audit | Plnění smlouvy |
| Telegram křestní jméno | Personalizace odpovědí | Plnění smlouvy |
| Datum propojení (linked_at) | Evidence, bezpečnost | Oprávněný zájem |
| Datum posledního použití (last_message_at) | Bezpečnostní inactivity timeout | Oprávněný zájem |
| Obsah zpráv zaslaných přes Telegram | Poskytování AI odpovědí | Plnění smlouvy |
Důležité informace o Telegram integraci:
- Propojení je dobrovolné – aktivujete jej vygenerováním kódu v nastavení účtu DragonChat™ a jeho odesláním Telegram botovi
- Telegram slouží výhradně jako chatovací rozhraní – přes Telegram nelze přistupovat ke znalostním bázím, dokumentům ani dalším citlivým datům
- Zprávy jsou ukládány ve stejné databázi jako webové konverzace a jsou označeny atributem
source: "telegram" - Zprávy procházejí přes servery Telegramu – obsah je přenášen prostřednictvím Telegram Bot API (provozovatel: Telegram FZ-LLC, Dubaj, SAE)
- Automatické odpojení: Pokud nevyužíváte Telegram integraci po dobu 90 dní, bude propojení automaticky zrušeno z bezpečnostních důvodů
- Odpojení je kdykoli možné příkazem
/unlinkv Telegram chatu nebo v nastavení účtu na webu - GDPR export a výmaz zahrnuje veškerá data Telegram propojení (viz § 7)
Zpracovatel – Telegram
| Zpracovatel | Účel | Lokalita | Záruky |
|---|---|---|---|
| Telegram FZ-LLC | Doručování zpráv (Bot API) | SAE (Dubaj) | Šifrování, Telegram Privacy Policy |
Poznámka k přenosu do třetích zemí: Zprávy odeslané přes Telegram procházejí servery Telegramu mimo EU/EHP. Tento přenos probíhá na základě výslovného souhlasu uživatele s propojením účtu (Čl. 49 odst. 1 písm. a GDPR) a je minimalizován na obsah jednotlivých chatových zpráv.
2.7 Údaje zpracovávané při propojení s Matrixem
Pokud propojíte svůj účet DragonChat™ s komunikační platformou Matrix, zpracováváme následující údaje:
| Údaj | Účel | Právní základ |
|---|---|---|
| Matrix User ID (např. @user:server.cz) | Identifikace propojeného účtu | Plnění smlouvy (Čl. 6 odst. 1 písm. b GDPR) |
| Matrix zobrazované jméno | Personalizace, zobrazení v nastavení | Plnění smlouvy |
| Matrix Room ID | Směrování odpovědí do správné místnosti | Plnění smlouvy |
| Datum propojení (linked_at) | Evidence, bezpečnost | Oprávněný zájem |
| Datum posledního použití (last_message_at) | Bezpečnostní inactivity timeout | Oprávněný zájem |
| Obsah zpráv zaslaných přes Matrix | Poskytování AI odpovědí | Plnění smlouvy |
| Vybraná znalostní báze (volitelné) | RAG vyhledávání v dokumentech | Plnění smlouvy |
Důležité informace o Matrix integraci:
- Propojení je dobrovolné – aktivujete jej vygenerováním kódu v nastavení účtu DragonChat™ a jeho odesláním Matrix botovi příkazem
!start KÓD - Matrix je self-hosted řešení – homeserver provozuje DRAGON solutions s.r.o. na vlastní infrastruktuře v EU
- Data neopouštějí EU – na rozdíl od Telegramu veškerá komunikace probíhá výhradně na serverech v EU (Frankfurt, Německo), bez přenosu do třetích zemí
- Přístup ke znalostním bázím je povolen – díky self-hosted architektuře lze přes Matrix bezpečně přistupovat k osobním znalostním bázím uživatele
- Zprávy jsou ukládány ve stejné databázi jako webové konverzace a jsou označeny atributem
source: "matrix" - Automatické odpojení: Pokud nevyužíváte Matrix integraci po dobu 90 dní, bude propojení automaticky zrušeno z bezpečnostních důvodů
- Odpojení je kdykoli možné příkazem
!unlinkv Matrix chatu nebo v nastavení účtu na webu - GDPR export a výmaz zahrnuje veškerá data Matrix propojení (viz § 7)
Zpracovatel – Matrix (self-hosted)
| Zpracovatel | Účel | Lokalita | Záruky |
|---|---|---|---|
| DRAGON solutions s.r.o. (vlastní provoz) | Homeserver, doručování zpráv | EU (Frankfurt, DE) | Šifrování TLS 1.3, AES-256 |
Poznámka: Matrix homeserver je provozován výhradně na infrastruktuře správce v EU. Nedochází k žádnému přenosu osobních údajů do třetích zemí v rámci Matrix komunikace.
2.8 Údaje zpracovávané přes DragonBot™ widget
Pokud uživatel vytvoří DragonBota™ a vloží jej na externí web, DragonChat™ zpracovává následující údaje anonymních návštěvníků tohoto webu:
| Údaj | Účel | Právní základ |
|---|---|---|
| Obsah chatových zpráv | Poskytování AI odpovědí | Oprávněný zájem (čl. 6 odst. 1 písm. f GDPR) |
| Session ID (anonymní UUID) | Kontinuita konverzace v rámci jedné relace | Oprávněný zájem |
| IP adresa (hashovaná) | Bezpečnost, rate limiting, prevence zneužití | Oprávněný zájem |
| User Agent | Bezpečnost, statistiky | Oprávněný zájem |
Důležité informace o DragonBot™ widgetu:
- DragonChat™ vystupuje jako zpracovatel (processor) – správcem osobních údajů návštěvníků je vlastník bota (uživatel DragonChatu™)
- Vztah mezi vlastníkem bota a DragonChatem™ se řídí Smlouvou o zpracování osobních údajů (DPA)
- Widget používá sessionStorage pro uchování anonymního session ID v rámci jedné relace prohlížeče – tato data nejsou cookies, nevyžadují souhlas a neobsahují osobní údaje
- Data jsou uchovávána po dobu 90 dní od poslední aktivity, poté automaticky anonymizována
- Obsah konverzací je předáván poskytovatelům AI modelů stejně jako běžný chat (viz § 5.1)
2.9 Údaje zpracovávané přes DragonForms™
Pokud uživatel vytvoří a zveřejní formulář prostřednictvím modulu DragonForms™, DragonChat™ zpracovává následující údaje anonymních respondentů formuláře:
| Údaj | Účel | Právní základ |
|---|---|---|
| Odpovědi na otázky formuláře | Sběr dat dle účelu formuláře | Oprávněný zájem vlastníka formuláře (čl. 6 odst. 1 písm. f GDPR) |
| IP adresa (hashovaná, s denním saltem) | Detekce duplicit, rate limiting, prevence zneužití | Oprávněný zájem |
| User Agent | Bezpečnost, detekce botů | Oprávněný zájem |
| Doba vyplňování formuláře | Detekce botů (automatické odeslání < 2 s) | Oprávněný zájem |
Důležité informace o DragonForms™:
- DragonChat™ vystupuje jako zpracovatel (processor) – správcem osobních údajů respondentů je vlastník formuláře (uživatel DragonChatu™)
- Vztah mezi vlastníkem formuláře a DragonChatem™ se řídí Smlouvou o zpracování osobních údajů (DPA)
- Formuláře jsou přístupné na veřejných URL (forms.dragonchat.cz/{slug}) bez nutnosti registrace nebo přihlášení respondenta
- Na stránkách veřejných formulářů nejsou používány cookies – neukládají se žádné cookies do prohlížeče respondenta
- IP adresy nejsou ukládány v čitelné podobě – ukládá se pouze SHA-256 hash s denním saltem, který neumožňuje zpětnou identifikaci
- Honeypot pole (
__hp) slouží výhradně k detekci botů – je automaticky zahozeno a není ukládáno - Odpovědi respondentů mohou být předány poskytovateli AI modelu (OpenAI) za účelem AI analýzy odpovědí, pokud vlastník formuláře tuto funkci aktivuje
- Vlastník formuláře může odpovědi jednotlivě smazat; po smazání formuláře jsou smazána i všechna související data
3 ÚČEL A PRÁVNÍ ZÁKLAD ZPRACOVÁNÍ
3.1 Plnění smlouvy (Čl. 6 odst. 1 písm. b GDPR)
Zpracováváme osobní údaje nezbytné pro:
- Registraci a správu účtu
- Poskytování AI chatovacích funkcí (web, Telegram i Matrix)
- Správu znalostních bází
- Fakturaci a kreditový systém
- Týmovou spolupráci
- Export a sdílení konverzací
- Propojení s komunikačními platformami (Telegram, Matrix)
- Provoz formulářů (DragonForms™) a sběr odpovědí respondentů
3.2 Právní povinnost (Čl. 6 odst. 1 písm. c GDPR)
Zpracováváme údaje pro:
- Účetnictví a daňové povinnosti (uchování 10 let)
- Vystavení faktur a daňových dokladů
- Ochrana před praním špinavých peněz (AML)
3.3 Oprávněný zájem (Čl. 6 odst. 1 písm. f GDPR)
Zpracováváme údaje pro:
- Bezpečnost platformy: Prevence kybernetických útoků, DDoS, brute-force
- Prevence podvodů: Detekce zneužití kreditů, fake účtů
- Technická optimalizace: Výkon, load balancing
- Zákaznická podpora: Řešení technických problémů
3.4 Souhlas (Čl. 6 odst. 1 písm. a GDPR)
Zpracováváme na základě souhlasu:
- Marketingové komunikace (newslettery)
- Telefonní číslo pro 2FA (volitelné)
- Analytické cookies (lze odmítnout)
Souhlas můžete kdykoli odvolat prostřednictvím nastavení účtu nebo e‑mailem na privacy@dragonchat.cz.
4 DOBA UCHOVÁNÍ OSOBNÍCH ÚDAJŮ
| Kategorie údajů | Doba uchování | Důvod |
|---|---|---|
| Účet a profil | Po dobu trvání účtu + 30 dní | Plnění smlouvy |
| Konverzace a dokumenty | Po dobu trvání účtu + 30 dní | Plnění smlouvy |
| Fakturační údaje | 10 let od vystavení faktury | Daňové předpisy |
| Auditní logy | 12 měsíců | Bezpečnost, compliance |
| Logy přihlášení | 90 dní | Bezpečnost |
| IP adresy (hashované) | 30 dní | GDPR compliance |
| Telegram propojení | Po dobu trvání propojení, max. 90 dní neaktivity | Plnění smlouvy / Bezpečnost |
| Matrix propojení | Po dobu trvání propojení, max. 90 dní neaktivity | Plnění smlouvy / Bezpečnost |
| Marketing (při souhlasu) | Do odvolání souhlasu | Souhlas |
| Smazaný účet | Plná anonymizace do 30 dní | GDPR |
| Archivy kvízových sessions | Po dobu existence kvízu | Plnění smlouvy |
4.1 Zálohy a archivace
Zálohovací systémy mohou uchovávat údaje až 90 dní po smazání z produkčního prostředí. Tyto zálohy jsou šifrované a nejsou využívány.
4.2 Automatická suspenze neaktivních pracovních prostorů
Pracovní prostory (workspaces) starší 7 dní, u nichž nejsou žádní aktivní členové (např. po smazání všech uživatelů na základě GDPR žádosti), jsou automaticky suspendovány. Nově vytvořené pracovní prostory (mladší 7 dní) jsou z automatické suspenze vyňaty. Suspendované pracovní prostory zůstávají zachovány pro případ obnovy, ale nejsou aktivně zpracovávány.
5 PŘEDÁVÁNÍ OSOBNÍCH ÚDAJŮ TŘETÍM STRANÁM
5.1 Zpracovatelé (Processors)
DragonChat™ využívá následující zpracovatele osobních údajů:
Poskytovatelé AI modelů
| Zpracovatel | Účel | Lokalita serverů | Záruky |
|---|---|---|---|
| OpenAI, LLC | GPT modely, DALL-E, Whisper | USA | Standard Contractual Clauses (SCC) |
| Anthropic PBC | Claude modely | USA | Standard Contractual Clauses (SCC) |
| Google LLC | Gemini, Imagen modely | EU/USA | Standard Contractual Clauses (SCC) |
Analytické a marketingové nástroje
| Zpracovatel | Účel | Lokalita serverů | Záruky |
|---|---|---|---|
| Google Ireland Limited | Google Analytics 4 a Google Tag Manager | EU / USA | SCC, EU-U.S. Data Privacy Framework |
| Ahrefs Pte. Ltd. | Ahrefs Web Analytics – měření návštěvnosti webu bez cookies a bez osobních údajů | Singapur | Standard Contractual Clauses (SCC) |
Důležité upozornění:
- Prompty a konverzace jsou předávány poskytovatelům AI v reálném čase
- OpenAI, Anthropic a Google nepoužívají data z API k trénování modelů (dle jejich API Terms)
- Zpracování podléhá jejich Privacy Policy – viz odkazy níže
Odkazy:
- OpenAI: https://openai.com/policies/privacy-policy
- Anthropic: https://www.anthropic.com/privacy
- Google: https://policies.google.com/privacy
Platební služby
| Zpracovatel | Účel | Lokalita | Certifikace |
|---|---|---|---|
| Stripe, Inc. | Platební brána | USA/EU | PCI DSS Level 1 |
Cloudová infrastruktura
| Zpracovatel | Účel | Lokalita | Záruky |
|---|---|---|---|
| Amazon Web Services (AWS) | Hosting, úložiště (S3) | EU (Frankfurt) | GDPR compliant, SCC |
| Redis Cloud | Cache, session management | EU | GDPR compliant |
Text-to-Speech (převod textu na řeč)
| Zpracovatel | Účel | Lokalita | Záruky |
|---|---|---|---|
| ElevenLabs, Inc. | Generování řeči z textu | USA | SCC |
Poznámka: Při použití funkce Text-to-Speech je text předán poskytovateli ke zpracování a vygenerování audio výstupu.
Webové vyhledávání
| Zpracovatel | Účel | Lokalita | Záruky |
|---|---|---|---|
| Brave Search | Webové vyhledávání | EU/USA | Privacy-focused |
| Tavily AI | Webové vyhledávání | USA | SCC |
Poznámka: Webové vyhledávání je volitelné a vyžaduje explicitní aktivaci uživatelem.
Komunikační platformy (volitelné)
| Zpracovatel | Účel | Lokalita | Záruky |
|---|---|---|---|
| Telegram FZ-LLC | Doručování zpráv (Bot API) | SAE (Dubaj) | Šifrování, Privacy Policy |
| DRAGON solutions s.r.o. (Matrix homeserver) | Self-hosted Matrix komunikace | EU (Frankfurt, DE) | TLS 1.3, AES-256, plná kontrola dat |
Poznámka k Telegramu: Telegram integrace je volitelná. Aktivací propojení souhlasíte s přenosem obsahu chatových zpráv přes servery Telegramu. Přes Telegram nelze přistupovat ke znalostním bázím ani dokumentům.
Poznámka k Matrixu: Matrix integrace je volitelná. Matrix homeserver je provozován výhradně správcem na infrastruktuře v EU. Data neopouštějí EU/EHP. Přes Matrix lze přistupovat k osobním znalostním bázím.
5.2 Přenos mimo EU/EHP
Někteří zpracovatelé (OpenAI, Anthropic, Google, Stripe, ElevenLabs) sídlí v USA, Telegram FZ-LLC sídlí v SAE (Dubaj) a Ahrefs Pte. Ltd. sídlí v Singapuru. Matrix integrace nepodléhá přenosu do třetích zemí – homeserver je provozován v EU. Přenos do USA/SAE je zajištěn:
- Standard Contractual Clauses (SCC) schválené Evropskou komisí
- Adequacy decisions (pro některé státy)
- Dodatečná technická opatření (šifrování, minimalizace dat)
5.3 Příjemci osobních údajů (mimo zpracovatele)
Osobní údaje mohou být předány následujícím příjemcům na základě právní povinnosti nebo oprávněného zájmu:
- Orgány činné v trestním řízení (Policie ČR) – při podezření na trestnou činnost dle § 8 trestního řádu
- Úřad pro ochranu osobních údajů (ÚOOÚ) – v rámci dozorové činnosti
- Česká obchodní inspekce (ČOI) – v rámci dozorové činnosti v oblasti ochrany spotřebitele
- Finanční správa ČR – fakturační údaje v rámci daňové kontroly
- Soudy – na základě soudního rozhodnutí nebo příkazu
Poskytovatel nepředává osobní údaje nad rámec zákonných povinností a v maximální míře chrání práva subjektů údajů.
5.4 Nepředáváme údaje pro marketing třetích stran
DragonChat™ nikdy neprodává ani nepronajímá osobní údaje třetím stranám pro účely jejich marketingu.
6 ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ
6.1 Technická opatření
- Šifrování v přenosu: TLS 1.3
- Šifrování v klidu: AES-256 (databáze, soubory) s podporou verzovaných klíčů pro bezprostřední rotaci bez výpadku (zero-downtime key rotation)
- Hashování hesel: bcrypt (cost factor 12)
- Hashování IP adres: SHA-256 s pepper
- Antivirové skenování: ClamAV pro nahrané soubory
- WAF (Web Application Firewall): Ochrana před OWASP Top 10
- Rate limiting: Ochrana před brute-force útoky (včetně distribuovaného Redis-backed limiteru pro clusterové prostředí)
- 2FA/MFA: Volitelné dvoufaktorové ověřování
- Upload hardening: Omezení počtu souborů (max 10 na požadavek), velikosti polí (1 MB) a velikosti souboru (10 MB)
- Automatický bezpečnostní audit: Průběžné skenování závislostí v CI/CD pipeline (npm audit)
- Monitoring: HTTP metriky a metriky front zpracování pro detekci anomálií
6.2 Organizační opatření
- Přístup podle principu „need-to-know“: Pouze oprávněné osoby
- Auditní logy: Sledování přístupů administrátorů
- Školení zaměstnanců: Bezpečnost a GDPR
- Incident response plán: Postup při narušení bezpečnosti
- Pravidelné bezpečnostní audity
- Penetration testing
6.3 Ohláška úniku dat (Data Breach)
V případě úniku osobních údajů:
- Úřad pro ochranu osobních údajů bude informován do 72 hodin
- Dotčené osoby budou informovány bez zbytečného odkladu, pokud existuje vysoké riziko
7. VAŠE PRÁVA JAKO SUBJEKTU ÚDAJŮ
7.1 Právo na přístup (Čl. 15 GDPR)
Máte právo získat:
- Potvrzení, zda zpracováváme vaše osobní údaje
- Kopii vašich osobních údajů
- Informace o účelu zpracování
Jak uplatnit: Nastavení účtu > Export dat, nebo email na privacy@dragonchat.cz
7.2 Právo na opravu (Čl. 16 GDPR)
Máte právo požadovat opravu nepřesných nebo doplnění neúplných údajů.
Jak uplatnit: Nastavení účtu > Upravit profil
7.3 Právo na výmaz – „právo být zapomenut“ (Čl. 17 GDPR)
Máte právo požadovat výmaz osobních údajů, pokud:
- Již nejsou potřebné pro původní účel
- Odvoláte souhlas a neexistuje jiný právní základ
- Údaje byly zpracovávány protiprávně
Výjimky: Údaje potřebné pro účetnictví a daňové povinnosti (10 let)
Jak uplatnit: Nastavení účtu > Smazat účet, nebo email na privacy@dragonchat.cz
7.4 Právo na omezení zpracování (Čl. 18 GDPR)
Máte právo požadovat omezení zpracování (dočasné „zmrazení“), pokud:
- Popíráte přesnost údajů
- Zpracování je protiprávní, ale nechcete výmaz
- Potřebujete údaje pro právní nárok
Technická implementace: Pokud aktivujete omezení zpracování v nastavení svého účtu, DragonChat™ automaticky zablokuje přístup ke všem funkcím, které odesílají data externím poskytovatelům AI modelů. Konkrétně se jedná o:
- AI chat (textové odpovědi)
- Generování obrázků
- Hloubkový výzkum (Deep Research)
- PowerPoint generátor
- Plány výuky
- SEO auditor
Omezení lze kdykoli zrušit v Nastavení účtu > Ochrana osobních údajů.
7.5 Právo na přenositelnost (Čl. 20 GDPR)
Máte právo získat vaše údaje ve strukturovaném, běžně používaném formátu (JSON, CSV) a předat je jinému správci.
Jak uplatnit: Nastavení účtu > Export dat (JSON)
7.6 Právo vznést námitku (Čl. 21 GDPR)
Máte právo vznést námitku proti zpracování založenému na oprávněném zájmu (např. marketingové komunikace).
7.7 Právo nebýt předmětem automatizovaného rozhodování (Čl. 22 GDPR)
DragonChat™ nepoužívá automatizované rozhodování s právními nebo podobně významnými důsledky. DragonChat™ rovněž neprovádí profilování ve smyslu čl. 4 odst. 4 GDPR – osobní údaje nejsou automatizovaně analyzovány za účelem hodnocení osobních aspektů Uživatele (výkonnost, ekonomická situace, zdravotní stav, preference, zájmy, spolehlivost, chování, poloha nebo pohyb).
7.8 Právo odvolat souhlas
Pokud je zpracování založeno na souhlasu, můžete jej kdykoli odvolat prostřednictvím:
- Nastavení účtu > Souhlas s marketingem
- Odkazu „Odhlásit“ v emailech
- Emailu na privacy@dragonchat.cz
7.9 Právo podat stížnost
Máte právo podat stížnost u dozorového úřadu:
Úřad pro ochranu osobních údajů
Pplk. Sochora 27
170 00 Praha 7
Web: https://www.uoou.cz
Email: posta@uoou.cz
Telefon: +420 234 665 111
8 COOKIES A SLEDOVACÍ TECHNOLOGIE
8.1 Jaké cookies používáme
Podrobné informace naleznete v dokumentu Zásady používání cookies.
Nezbytné cookies (nelze odmítnout)
- Session cookie – přihlášení, technické fungování
- CSRF token – ochrana před CSRF útoky
- Consent cookie – uchování vašeho rozhodnutí o cookies
Funkční cookies (volitelné)
- Preference – jazyk rozhraní, téma (dark/light mode)
- Chat state – rozpracované zprávy (auto-save drafts)
Analytické cookies (volitelné, vyžadují souhlas)
- Google Analytics 4 – měření návštěvnosti, interakcí a chování uživatelů (cookies
_ga,_ga_*). Data jsou anonymizována a využívána pouze při udělení souhlasu prostřednictvím Consent Mode v2. - Performance monitoring – rychlost načítání
Jak spravovat cookies: Nastavení účtu > Cookies & Privacy, nebo nastavení prohlížeče
9 ZVLÁŠTNÍ KATEGORIE OSOBNÍCH ÚDAJŮ
DragonChat™ aktivně nevyžaduje citlivé osobní údaje (zdravotní stav, rasový/etnický původ, politické názory apod.).
9.1 Posouzení rizik zpracování
Správce průběžně vyhodnocuje rizika spojená se zpracováním osobních údajů, zejména s ohledem na přenos údajů k poskytovatelům AI modelů mimo EU/EHP a automatizované zpracování uživatelských vstupů. Na základě tohoto vyhodnocení jsou přijímána přiměřená technická a organizační opatření ke snížení rizik, včetně minimalizace dat, šifrování a smluvních záruk (SCC).
9.2 Nahráváte-li citlivé údaje do znalostních bází
Pokud dobrovolně nahrajete dokumenty obsahující citlivé údaje (lékařské zprávy, soudní spisy apod.):
- Je to plně na vaši odpovědnost
- Musíte mít právní základ pro takové zpracování
- Doporučujeme použít anonymizaci před nahráním
- Pro mimořádně citlivé údaje zvažte on-premise nasazení
10 DĚTI A MLADISTVÍ
Službu mohou užívat osoby starší 16 let.
Pokud má uživatel 16–18 let, vyžadujeme souhlas zákonného zástupce.
Pokud zjistíme, že jsme neúmyslně shromáždili údaje dítěte mladšího 16 let bez souhlasu, tyto údaje neprodleně smažeme.
11 ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ V TÝMECH
11.1 Postavení při týmové spolupráci
Když vytvoříte Organizaci/Tým:
- Vlastník týmu je správcem osobních údajů členů týmu
- DragonChat™ je zpracovatelem podle pokynů vlastníka týmu
- Vztah upravuje Smlouva o zpracování osobních údajů (DPA) – viz samostatný dokument
11.2 Odpovědnost vlastníka týmu
Vlastník týmu je odpovědný za:
- Informování členů týmu o zpracování jejich údajů
- Zajištění právního základu pro zpracování
- Dodržení GDPR při správě týmu
11.3 Přístup k datům v rámci týmu
- Sdílené znalostní báze: Všichni členové týmu s oprávněním mají přístup
- Osobní konverzace: Přístupné pouze uživateli (pokud nejsou explicitně sdílené)
- Auditní logy: Přístupné administrátorům týmu
12 ON-PREMISE NASAZENÍ (ENTERPRISE)
Pro organizace s nejvyššími nároky na soukromí nabízíme on-premise nasazení DragonChat™ na vaší infrastruktuře.
V tomto případě:
- Vy jste správcem všech údajů
- DragonChat™ poskytuje pouze software (licence)
- Údaje neopouští vaše servery (kromě API volání k poskytovatelům AI)
Kontakt: support@dragonchat.cz
13 MEZINÁRODNÍ PŘENOS ÚDAJŮ
13.1 Primární umístění dat
Produkční databáze a soubory jsou umístěny v EU (Frankfurt, Německo).
13.2 Přenos do třetích zemí
Jak uvedeno v § 5.2, některá API volání směřují do USA (OpenAI, Anthropic, Google). Tento přenos je zajištěn Standard Contractual Clauses (SCC).
14 ZMĚNY TĚCHTO ZÁSAD
14.1 Právo na změnu
DragonChat™ si vyhrazuje právo tyto Zásady aktualizovat. Změny budou oznámeny:
- Emailem (min. 30 dní předem pro podstatné změny)
- Notifikací v uživatelském rozhraní
- Publikováním nové verze na webu
14.2 Datum účinnosti
Aktuální verze je platná od data uvedeného v záhlaví dokumentu.
15 KONTAKT A ŽÁDOSTI
15.1 Kontaktní údaje
Obecné dotazy:
Email: support@dragonchat.cz
Ochrana osobních údajů:
Email: privacy@dragonchat.cz
Korespondenční adresa:
DRAGON solutions s.r.o.
Hálkova 1287/37, Hodolany
779 00 Olomouc
15.2 Lhůta pro odpověď
Na vaše žádosti odpovíme do 30 dnů. V komplexních případech můžeme lhůtu prodloužit o dalších 60 dnů s odůvodněním.
15.3 Forma žádosti
Žádost můžete podat:
- Prostřednictvím uživatelského rozhraní (preferováno)
- Emailem na privacy@dragonchat.cz
- Dopisem na výše uvedenou adresu
Ověření identity: Pro bezpečnost můžeme vyžadovat ověření vaší identity před vyřízením žádosti.
16 TRANSPARENCE AI A NAŘÍZENÍ O UMĚLÉ INTELIGENCI
16.1 Informace o zpracování prostřednictvím AI
Služba DragonChat™ využívá systémy umělé inteligence třetích stran (OpenAI, Anthropic, Google) pro zpracování uživatelských dotazů. V souladu s Nařízením (EU) 2024/1689 o umělé inteligenci (AI Act) informujeme:
- Prompty a konverzace jsou v reálném čase předávány AI modelům k vygenerování odpovědi
- AI modely mohou zpracovávat osobní údaje obsažené v uživatelských vstupech
- Poskytovatelé AI modelů zpracovávají data v souladu s jejich vlastními podmínkami (viz § 5)
- DragonChat™ neprovádí automatizované rozhodování s právními účinky pro Uživatele
16.2 Označování AI obsahu
V souladu s čl. 50 AI Act Poskytovatel zajišťuje, aby obsah generovaný AI byl jasně odlišen od uživatelského obsahu v rámci uživatelského rozhraní a aby generované obrázky obsahovaly metadata ve strojově čitelném formátu.
17 PRÁVNÍ ZÁKLAD A ODKAZY
Tyto Zásady jsou v souladu s:
- GDPR – Nařízení (EU) 2016/679
- Zákon č. 110/2019 Sb. – O zpracování osobních údajů
- Zákon č. 480/2004 Sb. – O některých službách informační společnosti
- Nařízení (EU) 2024/1689 – O umělé inteligenci (AI Act)
- Nařízení (EU) 2022/2065 – O digitálních službách (DSA)
Úplné znění:
- GDPR: https://eur-lex.europa.eu/eli/reg/2016/679/oj
- Zákon 110/2019: https://www.zakonyprolidi.cz/cs/2019-110
- AI Act: https://eur-lex.europa.eu/eli/reg/2024/1689/oj
PŘÍLOHY
Příloha A – Seznam zpracovatelů (aktualizováno průběžně)
Viz sekce 5.1 – Zpracovatelé tohoto dokumentu.
Příloha B – Smlouva o zpracování osobních údajů (DPA)
Pro firemní zákazníky, u nichž DragonChat™ vystupuje jako zpracovatel osobních údajů, je DPA k dispozici na vyžádání prostřednictvím privacy@dragonchat.cz.
Příloha C – Zásady používání cookies