Právní informace

Zásady ochrany
osobních údajů.

Zásady zpracování osobních údajů – ClickSite

1. Správce osobních údajů

Správcem osobních údajů ve smyslu čl. 4 odst. 7 Nařízení Evropského parlamentu a Rady (EU) 2016/679 (dále jen „GDPR“) je:

DREAMIND s.r.o.
se sídlem: Hrdinů 122/11, 460 01 Liberec, Česká republika
IČO: 17461677
zapsaná v obchodním rejstříku vedeném Krajským soudem v Ústí nad Labem, oddíl C, vložka 49289
e-mail: rethy@dreamind.cz
telefon: +420 723660572

(dále jen „Správce“)

Správce zpracovává osobní údaje v souladu s GDPR, zákonem č. 110/2019 Sb., o zpracování osobních údajů, zákonem č. 480/2004 Sb., o některých službách informační společnosti, a zákonem č. 127/2005 Sb., o elektronických komunikacích.

2. Rozsah zpracovávaných osobních údajů

Správce zpracovává osobní údaje zejména v souvislosti s provozem webové aplikace ClickSite (dále jen „Služba“), zejména při vyplnění poptávkového procesu (wizard), při komunikaci prostřednictvím klientského portálu a při registraci zájmu (lead capture).

2.1 Údaje poskytnuté při vyplnění poptávkového procesu (wizard)

  • jméno a příjmení,
  • e-mailová adresa,
  • telefonní číslo,
  • město,
  • název společnosti a případně IČO,
  • obsahové a projektové informace poskytnuté Subjektem údajů (např. popis podnikání, cíle, preferovaný styl, odkazy, texty, poznámky a jiné volně vyplňované údaje),
  • informace o rozsahu a volbách Služby (např. vybrané varianty, funkce, rozsah stránek, cenová kalkulace),
  • údaje o udělení souhlasu a marketingových preferencích (např. potvrzení seznámení se zásadami, volitelný newsletter opt-in).

2.2 Údaje z klientského portálu a komunikace

  • obsah vložený do portálu (např. texty stránek, sekce, assety),
  • zprávy a komunikace (obsah zpráv, případně přílohy/odkazy),
  • údaje o stavu zakázky (např. rozhodnutí o návrhu: schválení/revize a případné poznámky).

2.3 Nahrané soubory

V rámci Služby může Subjekt údajů nahrávat soubory (typicky obrázky, např. logo či fotografie). V souvislosti s nahráním může Správce zpracovávat také související metadata (např. název souboru, typ, velikost, čas nahrání a URL odkaz na uložený soubor).

2.4 Registrace zájmu (lead capture) a související metadata

  • e-mailová adresa,
  • údaje o udělení souhlasu se zpracováním a případně s newsletterem,
  • zdroj registrace a stránka (source/page),
  • metadata pro atribuci a vyhodnocení kampaní (např. UTM parametry, případně fbclid/gclid),
  • technické informace poskytnuté prohlížečem (např. user agent) v rozsahu, v jakém je Správce eviduje.

2.5 Technické, bezpečnostní a analytické údaje

Při návštěvě webových stránek a užívání Služby může docházet ke zpracování technických a analytických údajů, zejména:

  • IP adresa (zejména pro zajištění bezpečnosti a ochranu proti zneužití; může být použita též pro rate-limit),
  • informace o zařízení a prohlížeči, operační systém a jazykové nastavení,
  • údaje o užívání webu a Služby (např. navštívené stránky, interakce, události, kroky ve formuláři),
  • marketingové parametry a atribuce návštěvy (utm_source, utm_medium, utm_campaign, utm_content, utm_term, fbclid, gclid apod.),
  • identifikátory ukládané do cookies a/nebo obdobných úložišť v prohlížeči (např. localStorage/sessionStorage) – zejména identifikátory analytiky a uložení rozpracovaného formuláře.

Upozornění: Volně vyplňované údaje (textová pole, zprávy) mohou obsahovat i další osobní údaje poskytnuté Subjektem údajů. Správce nedoporučuje vkládat do Služby zvláštní kategorie osobních údajů (čl. 9 GDPR) či jinak nadbytečné osobní údaje; pokud k tomu dojde, Správce je bude zpracovávat pouze v rozsahu nezbytném k naplnění účelu komunikace a poskytnutí Služby.

3. Účel a právní základ zpracování

Osobní údaje jsou zpracovávány zejména za účelem:

  • vyřízení poptávky a provedení opatření před uzavřením smlouvy,
  • uzavření a plnění smlouvy, poskytování Služby a klientské podpory (včetně klientského portálu),
  • ověření e-mailu a zabezpečení přístupu do klientského portálu (verifikace a tokenizované odkazy),
  • vedení komunikace mezi Správcem a klientem a administrace zakázky,
  • zasílání servisních sdělení souvisejících se zakázkou (např. změny stavu zakázky, upozornění, „nudge“),
  • zasílání newsletteru a marketingové komunikace (pouze v rozsahu právních předpisů),
  • analýzy návštěvnosti, vyhodnocení výkonu kampaní, zlepšování Služby a prevence chyb,
  • zajištění bezpečnosti, prevence zneužití a ochrany právních nároků.

Právním základem zpracování je zejména:

  • čl. 6 odst. 1 písm. b) GDPR – plnění smlouvy nebo opatření před jejím uzavřením (poptávka, poskytování Služby, klientský portál, komunikace),
  • čl. 6 odst. 1 písm. c) GDPR – splnění právní povinnosti (zejména účetní a daňové povinnosti),
  • čl. 6 odst. 1 písm. f) GDPR – oprávněný zájem Správce na zabezpečení Služby, ochraně proti zneužití, evidenci a obraně právních nároků, interním vyhodnocování kvality a výkonu Služby,
  • čl. 6 odst. 1 písm. a) GDPR – souhlas (zejména newsletter/marketing a analytické/marketingové cookies, pokud jsou vyžadovány),
  • čl. 6 odst. 1 písm. a) GDPR ve spojení s § 89 odst. 3 zákona č. 127/2005 Sb., o elektronických komunikacích – souhlas s ukládáním a čtením analytických a marketingových cookies a obdobných identifikátorů, pokud nejsou nezbytné.

4. Newsletter

Newsletter a obchodní sdělení jsou zasílána na základě souhlasu subjektu údajů, případně v režimu umožněném právními předpisy vůči stávajícím zákazníkům, pokud jsou splněny podmínky § 7 zákona č. 480/2004 Sb.

Souhlas lze kdykoli odvolat prostřednictvím odkazu v každém e-mailu nebo kontaktováním Správce. Odvoláním souhlasu není dotčena zákonnost zpracování před jeho odvoláním.

5. Cookies a analytické nástroje (PostHog, Vercel Analytics)

Webové stránky a Služba mohou používat analytické a výkonové nástroje za účelem měření návštěvnosti, vyhodnocování chování uživatelů, diagnostiky chyb a zlepšování Služby, zejména:

  • PostHog (client-side i server-side analytika událostí, včetně měření průchodu poptávkovým procesem),
  • Vercel Analytics (webová analytika a výkonové metriky).

Tyto nástroje mohou ukládat cookies a/nebo využívat obdobné identifikátory (např. localStorage/sessionStorage) a zpracovávat technické údaje o zařízení a chování na webu a ve Službě. Dále mohou být zpracovávány údaje pro atribuci návštěvy (UTM parametry a obdobné identifikátory).

Analytické a marketingové cookies (a obdobné identifikátory), které nejsou nezbytné pro fungování webu, mohou být používány pouze tehdy, pokud jsou splněny požadavky právních předpisů. V případech, kdy právní předpisy vyžadují souhlas uživatele, Správce si tento souhlas vyžádá (např. prostřednictvím cookies lišty) a umožní jeho kdykoli odvolat prostřednictvím nastavení cookies nebo nastavení prohlížeče. Souhlas je dobrovolný; odvoláním souhlasu není dotčena zákonnost zpracování před jeho odvoláním.

Správce upozorňuje, že analytické nástroje mohou v určitých konfiguracích podporovat rozšířené funkcionality (např. automatizovaný sběr událostí – autocapture, případně funkcionalitu záznamu relace / session replay). Správce provádí přiměřená nastavení s cílem minimalizovat rozsah zpracování osobních údajů a chránit soukromí uživatelů (např. maskování citlivých polí, omezení ukládaných vlastností a selektivní aktivace funkcionalit).

6. Doba uchování údajů

Správce uchovává osobní údaje pouze po dobu nezbytně nutnou k naplnění účelu, pro který jsou zpracovávány, zejména:

  • Údaje z poptávkového procesu a klientského portálu – po dobu trvání smluvního vztahu, a dále po dobu nezbytnou k ochraně právních nároků (typicky po dobu běhu promlčecích lhůt), případně po dobu trvání sporu či jiného řízení, je-li vedeno.
  • Údaje z komunikace – po přiměřenou dobu nezbytnou pro vyřízení požadavků a vedení historie zakázky; následně mohou být anonymizovány nebo odstraněny, pokud nejsou nezbytné pro právní nároky nebo plnění právních povinností.
  • Leady – maximálně 3 roky od poslední interakce, není-li dříve odvolán souhlas či nevznikne smluvní vztah; poté výmaz/anonymizace.
  • Newsletter – po dobu trvání souhlasu, resp. do odhlášení.
  • Analytická data – po dobu nezbytně nutnou k dosažení účelu analýzy, nejdéle však 26 měsíců, pokud není stanoveno jinak v nastavení nástroje či interní retenční politice.

Správce může po uplynutí uvedených dob osobní údaje anonymizovat pro statistické účely, pokud je to přiměřené a v souladu s právními předpisy.

7. Příjemci údajů

Osobní údaje mohou být zpřístupněny pouze oprávněným osobám Správce a dále zpracovatelům, kteří pro Správce zajišťují dílčí činnosti, zejména poskytovatelům následujících kategorií služeb:

  • poskytovatelé hostingu a infrastruktury (např. Vercel),
  • poskytovatelé databázových služeb a úložišť (PostgreSQL hosting, cloudová úložiště),
  • poskytovatelé e-mailových služeb pro transakční komunikaci (např. Resend),
  • poskytovatelé analytických nástrojů (např. PostHog, Vercel Analytics),
  • případně další subdodavatelé Správce v rozsahu nezbytném pro plnění smlouvy.

Se všemi zpracovateli jsou uzavřeny odpovídající smlouvy dle čl. 28 GDPR. Správce nepředává osobní údaje třetím osobám pro jejich vlastní marketingové účely, pokud k tomu Subjekt údajů neudělí výslovný souhlas.

8. Práva subjektů údajů

Subjekt údajů má právo na přístup, opravu, výmaz, omezení zpracování, námitku, přenositelnost a podání stížnosti u Úřadu pro ochranu osobních údajů (www.uoou.cz), a to v rozsahu a za podmínek stanovených GDPR.

9. Zabezpečení

Správce přijal přiměřená technická a organizační opatření k zabezpečení osobních údajů odpovídající riziku, zejména:

  • šifrování přenosu dat (HTTPS/TLS),
  • řízení přístupových oprávnění a autentizaci,
  • bezpečné nakládání s ověřovacími prvky a tokeny (např. hashování ověřovacích údajů),
  • validaci vstupů a opatření proti zneužití (např. rate-limit),
  • monitoring a auditní záznamy v přiměřeném rozsahu.

Subjekt údajů bere na vědomí, že přístup do klientského portálu je umožněn prostřednictvím unikátního tokenu v URL, který je považován za autentizační prvek. Subjekt údajů je povinen nakládat s přístupovým odkazem důvěrně a zabránit jeho zpřístupnění třetím osobám. Úkony provedené prostřednictvím Portálu a/nebo s použitím tohoto tokenu mohou být považovány za úkony Subjektu údajů (resp. klienta), pokud právní předpisy nestanoví jinak. V případě podezření na zneužití je Subjekt údajů povinen bezodkladně kontaktovat Správce.

10. Automatizované zpracování, profilování a rozhodování

Správce primárně neprovádí automatizované individuální rozhodování ve smyslu čl. 22 GDPR, které by pro Subjekt údajů mělo právní účinky nebo se jej obdobným způsobem významně dotýkalo.

Správce může využívat analytické nástroje a atribuci (např. marketingové parametry, identifikátory relací a událostí) k automatizovanému vyhodnocování využívání Služby, měření konverzí, diagnostice chyb, prevenci zneužití a optimalizaci zákaznické cesty. Takové vyhodnocování má zpravidla podobu agregovaných statistik, segmentace a interních reportů a neslouží k rozhodnutím s právními či obdobně významnými účinky vůči Subjektům údajů.

V rozsahu, v jakém by v budoucnu Správce zaváděl automatizované rozhodování dle čl. 22 GDPR, Správce poskytne Subjektům údajů samostatné informace, včetně významu a předpokládaných důsledků takového zpracování, a zajistí realizaci práv Subjektu údajů (zejména právo na lidský zásah, vyjádření stanoviska a napadení rozhodnutí), pokud to bude relevantní.

11. Předávání osobních údajů mimo EU/EHP a záruky ochrany

V rámci využívání některých technologií a dodavatelů může docházet k předávání osobních údajů mimo Evropskou unii / Evropský hospodářský prostor (EU/EHP) (tj. do tzv. třetích zemí), případně k tomu, že se k údajům mohou z těchto zemí přistupovat.

K takovému předání (či zpřístupnění) dochází pouze tehdy, je-li zajištěna odpovídající úroveň ochrany osobních údajů ve smyslu kapitoly V GDPR, zejména:

  • na základě rozhodnutí Evropské komise o odpovídající ochraně dle čl. 45 GDPR, nebo
  • na základě vhodných záruk dle čl. 46 GDPR, typicky prostřednictvím standardních smluvních doložek (SCC) a případných doplňkových opatření, nebo
  • na základě výjimek dle čl. 49 GDPR, je-li to relevantní.

Správce v přiměřeném rozsahu posuzuje rizika spojená s předáváním do třetích zemí a přijímá opatření k minimalizaci dopadů na soukromí Subjektů údajů (např. konfigurace nástrojů, minimalizace rozsahu údajů, omezení dob uchování, maskování a pseudonymizace tam, kde je to vhodné).

12. Závěrečná ustanovení

Tento dokument může být Správcem aktualizován, zejména v návaznosti na změny právních předpisů, rozsahu Služby či použitých technologií. Aktuální verze je vždy dostupná na webových stránkách.

Tento dokument je účinný od: 1. 1. 2026