Zásady ochrany osobních údajů

Správcem osobních údajů ve smyslu čl. 4 odst. 7 Nařízení Evropského parlamentu a Rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů (dále jen „GDPR“), je:

Správce nejmenoval pověřence pro ochranu osobních údajů, neboť mu tato povinnost nevzniká dle čl. 37 GDPR. Pro veškeré dotazy týkající se ochrany osobních údajů využijte výše uvedený e-mail.

Osobní údaje zpracováváme pouze pro následující účely a na základě uvedených právních základů:

Šepot je navržen s principem minimalizace dat (čl. 5 odst. 1 písm. c) GDPR) a zero-knowledge architekturou. Zpracováváme pouze absolutní minimum údajů nezbytných pro fungování služby.

Díky E2E šifrování a zero-knowledge architektuře je rozsah zpracovávaných osobních údajů výrazně menší než u běžných komunikačních služeb. Ani v případě kompromitace serveru nemáme přístup k obsahu vaší komunikace.

Veškerá komunikace v Šepotu je chráněna end-to-end šifrováním založeným na moderních kryptografických standardech:

• X25519 — výměna klíčů (Diffie-Hellman na eliptické křivce Curve25519)
• XSalsa20-Poly1305 — symetrické šifrování zpráv s autentizací
• Ed25519 — digitální podpisy pro ověření identity
• Argon2id — hashování hesel (odolné vůči GPU a ASIC útokům)

To v praxi znamená:

• Zprávy jsou šifrovány na vašem zařízení před odesláním
• Dešifrovat je může pouze zamýšlený příjemce
• Ani provozovatel nemá technickou možnost zprávy číst
• Šifrovací klíče nikdy neopouštějí vaše zařízení

Celý zdrojový kód je open source (licence MIT) a kdokoliv si může implementaci šifrování nezávisle ověřit.

Vaše osobní údaje nepředáváme třetím stranám za účelem marketingu, profilování ani jiného komerčního využití.

K údajům mohou mít přístup pouze následující kategorie příjemců, a to výhradně v rozsahu nezbytném pro provoz služby:

• Poskytovatel hostingu — serverová infrastruktura (self-hosted v Česku, bez třetích stran)
• Orgány veřejné moci — pouze na základě platného soudního příkazu nebo zákonné povinnosti. Vzhledem k zero-knowledge architektuře nemáme přístup k obsahu komunikace, a proto nemůžeme vyhovět žádostem o jeho předání.

V případě jakékoliv žádosti orgánů veřejné moci o předání údajů posoudíme její zákonnost a rozsah. O takovém předání budeme informovat dotčené uživatele, pokud nám v tom zákon výslovně nebrání.

Serverová infrastruktura Šepotu je provozována výhradně na území České republiky (Evropský hospodářský prostor).

Vaše osobní údaje nepředáváme do třetích zemí mimo EHP. V případě, že by v budoucnu bylo nezbytné využít služby poskytovatelů se sídlem mimo EHP, zajistíme odpovídající záruky dle kapitoly V GDPR (standardní smluvní doložky, rozhodnutí o přiměřenosti apod.) a budeme vás o tom informovat aktualizací tohoto dokumentu.

Osobní údaje uchováváme pouze po dobu nezbytnou k naplnění účelu zpracování:

Po uplynutí doby uchování jsou údaje nenávratně smazány nebo anonymizovány.

Vaše zprávy jsou uloženy výhradně na vašem zařízení v šifrované lokální databázi. Šepot neuchovává zprávy na serverech déle, než je nutné pro jejich doručení.

• Nedoručené zprávy jsou na serveru uloženy v zašifrované podobě maximálně 30 dní
• Po doručení jsou ze serveru okamžitě smazány
• Zálohy zpráv vytváříte a spravujete výhradně vy na svém zařízení

V souladu s GDPR a zákonem č. 110/2019 Sb. máte následující práva:

• Právo na přístup (čl. 15 GDPR) — můžete si vyžádat informace o údajích, které o vás zpracováváme, a získat jejich kopii
• Právo na opravu (čl. 16 GDPR) — můžete požádat o opravu nepřesných nebo neúplných údajů
• Právo na výmaz (čl. 17 GDPR) — můžete požádat o smazání svého účtu a všech souvisejících dat („právo být zapomenut“)
• Právo na omezení zpracování (čl. 18 GDPR) — můžete požádat o dočasné omezení zpracování vašich údajů
• Právo na přenositelnost (čl. 20 GDPR) — můžete si vyexportovat svá data ve strojově čitelném formátu
• Právo vznést námitku (čl. 21 GDPR) — můžete vznést námitku proti zpracování založenému na oprávněném zájmu
• Právo odvolat souhlas (čl. 7 odst. 3 GDPR) — souhlas (např. s waitlistem) můžete kdykoli odvolat, aniž by tím byla dotčena zákonnost dřívějšího zpracování
• Právo podat stížnost — u dozorového úřadu, kterým je Úřad pro ochranu osobních údajů (ÚOOÚ)

Pro uplatnění svých práv nás kontaktujte na [email protected]. Na vaši žádost odpovíme bez zbytečného odkladu, nejpozději do 30 dnů. V odůvodněných případech lze lhůtu prodloužit o další 2 měsíce dle čl. 12 odst. 3 GDPR.

Při zpracování osobních údajů neprovádíme automatizované rozhodování ani profilování ve smyslu čl. 22 GDPR. Žádné rozhodnutí s právními účinky pro uživatele není přijímáno výlučně na základě automatizovaného zpracování.

Na webu sepot.cz používáme pouze nezbytné technické cookies. Nepoužíváme žádné analytické, marketingové ani sledovací cookies. Podrobné informace naleznete v našich Zásadách používání cookies.

Přijímáme přiměřená technická a organizační opatření k ochraně osobních údajů dle čl. 32 GDPR, zejména:

• End-to-end šifrování veškeré komunikace
• Zero-knowledge architektura serveru
• Hashování hesel algoritmem Argon2id
• Šifrování dat při přenosu (TLS 1.3)
• Pravidelné bezpečnostní audity a penetrační testy
• Řízení přístupu k serverové infrastruktuře
• Open source kód umožňující nezávislý audit

Podrobnosti o bezpečnostních opatřeních naleznete v naší Bezpečnostní politice.

Tyto zásady můžeme příležitostně aktualizovat v reakci na změny legislativy, naší služby nebo technologií. O podstatných změnách budeme informovat prostřednictvím webu, aplikace nebo e-mailu alespoň 30 dní předem.

Aktuální verze těchto zásad je vždy dostupná na této stránce.

S dotazy ohledně ochrany osobních údajů se na nás můžete obrátit: