1. Správce osobních údajů
Správcem osobních údajů je Banbosh Studio — Petr Knobloch, fyzická osoba podnikající v České republice. Kontaktní e-mail pro veškeré dotazy ohledně ochrany osobních údajů: podpora@banbosh.cz.
Vzhledem k povaze a rozsahu zpracování nemáme zákonnou povinnost jmenovat pověřence pro ochranu osobních údajů (DPO). Kontaktní bod pro všechna podání týkající se osobních údajů je výše uvedený e-mail.
2. Jaká data zpracováváme
Pro rychlou orientaci zde najdete přehled všech kategorií dat, kam směřují a jak dlouho je uchováváme. Podrobnosti k jednotlivým kategoriím následují níže.
E-mail a heslo
Kam
Supabase Auth (region EU, Curych)
Doba
Do smazání účtu (max. 30 dní na fyzický výmaz)
Profil — jméno, adresa, telefon
Kam
Supabase Database (EU). Dobrovolné, vyplňuje se jen pro generování PDF reklamace.
Doba
Do smazání účtu nebo do ručního vymazání v aplikaci
Fotografie účtenek
Kam
Supabase Storage (EU). Při skenování real-time předáno Google Cloud Vision pro OCR — fotka u Google nezůstává.
Doba
Do smazání účtenky uživatelem nebo do smazání účtu
OCR data (prodejce, datum, položky, cena)
Kam
Supabase Database (EU). Při vyžádané AI analýze reklamace anonymizovaný popis předán Anthropic Claude API.
Doba
Do smazání účtenky / účtu
FCM push token
Kam
Firebase Cloud Messaging (Google)
Doba
Do odinstalace aplikace, odhlášení nebo vypnutí push v nastavení
IČO firmy (lookup)
Kam
Veřejný registr ARES (Ministerstvo financí ČR). Neukládá se mimo aktuální reklamaci.
Doba
Pouze za běhu dotazu, do databáze se uloží jen výsledek
Platební údaje (předplatné Pro)
Kam
Google Play Billing / Apple App Store. Banbosh Studio k těmto údajům nemá přístup.
Doba
Dle pravidel platformy. K nám se dostane pouze status předplatného.
Anonymizované statistiky používání
Kam
Supabase Database (EU). Bez vazby na osobu — agregované eventy.
Doba
Sběr lze vypnout v Profil → Soukromí
2.1 Údaje při registraci a přihlášení
- E-mailová adresa a heslo — uloženo v Supabase Auth (region EU, Curych). Heslo je uloženo pouze jako bezpečný hash, nikoli v čitelné podobě.
- Volitelné dvoufaktorové přihlášení (2FA) — jednorázové kódy zasílané e-mailem (Resend); kódy v databázi zůstávají maximálně 10 minut.
- Identifikátor důvěryhodného zařízení — náhodný podpis vašeho zařízení, pokud si zvolíte „zapamatovat na 30 dní" u 2FA.
2.2 Profilové údaje (dobrovolné)
- Jméno a příjmení, korespondenční adresa, telefon — vyplňujete je pouze tehdy, chcete-li, aby aplikace předgenerovala reklamační dopis ve vašem jméně.
2.3 Data o účtenkách a reklamacích
- Fotografie účtenek — ukládají se do Supabase Storage v regionu EU.
- Strukturovaná data z OCR — název prodejce, IČO, DIČ, datum nákupu, položky, ceny. Extrakce probíhá přes Google Cloud Vision API (server-side, fotka se k Google odesílá pouze pro účel extrakce textu).
- IČO a údaje o firmách — doplňujeme z veřejného registru ARES. Nejde o osobní údaje.
- Reklamace — popis vady, datum vzniku, status, volitelně AI analýza (viz níže).
2.4 AI analýza reklamace
Pokud si vyžádáte právní posouzení, odesíláme anonymizovaný popis situace (bez vašich osobních údajů) službě Anthropic Claude API. Anthropic data nepoužívá k tréninku modelů (smluvní závazek API customers).
2.5 Push notifikace
- FCM push token — vydává Firebase Cloud Messaging při udělení oprávnění k notifikacím. Slouží pouze k doručení upozornění na končící záruky a deadliny reklamací. Token můžete kdykoli zneplatnit odhlášením z aplikace.
2.6 Technické a diagnostické údaje
- IP adresa při API požadavcích (běžné serverové logy Vercel) — slouží k ochraně před zneužitím, uchováváme maximálně 30 dní.
- Žádné reklamní identifikátory (AAID/IDFA) nezpracováváme. Aplikace neobsahuje analytické SDK třetích stran ani reklamy.
3. K čemu data používáme
- Poskytování služby — uložení účtenek, výpočet záruční doby, generování reklamace, AI doporučení.
- Push upozornění na končící záruky (30 / 7 / 1 den předem) a deadliny reklamací podle § 19 zák. č. 634/1992 Sb. (30denní lhůta pro vyřízení).
- Komunikace — odpovědi na vaše dotazy zaslané na podpora@banbosh.cz, případné notifikace o zásadních změnách aplikace.
- Bezpečnost — 2FA, audit přihlášení, ochrana před zneužitím účtu.
Co s daty neděláme: neprodáváme je třetím stranám, nevyužíváme je k cílené reklamě, neprofilujeme uživatele pro marketingové účely.
4. Právní základ zpracování
- Plnění smlouvy (čl. 6 odst. 1 písm. b GDPR) — poskytování samotné služby.
- Souhlas (čl. 6 odst. 1 písm. a GDPR) — push notifikace, AI analýza reklamace. Souhlas můžete kdykoli odvolat.
- Oprávněný zájem (čl. 6 odst. 1 písm. f GDPR) — ochrana před zneužitím, serverové logy.
5. Příjemci dat (zpracovatelé)
Pro fungování služby využíváme následující zpracovatele. Se všemi máme uzavřeny smlouvy o zpracování osobních údajů odpovídající čl. 28 GDPR.
- Supabase (Supabase Inc., USA / EU region) — databáze, autentizace, úložiště fotek. Region zpracování: Curych, EU.
- Vercel (Vercel Inc., USA) — hostování backendu a tohoto webu. Funkce běží v EU (Frankfurt).
- Google Cloud Vision (Google LLC) — OCR extrakce textu z fotky účtenky.
- Anthropic (Anthropic PBC, USA) — AI právní posouzení reklamace.
- Firebase Cloud Messaging (Google LLC) — doručování push notifikací.
- Resend (Resend Inc., USA) — odesílání transakčních e-mailů (verifikační kódy 2FA, oznámení).
Předávání mimo EU/EHP probíhá pouze ke zpracovatelům v USA na základě standardních smluvních doložek (SCC) podle čl. 46 GDPR a v souladu s rámcem EU-US Data Privacy Framework.
6. Doba uchování
- Aktivní účet — data uchováváme po celou dobu používání služby.
- Po smazání účtu — všechna osobní data včetně fotek, účtenek a reklamací jsou smazána do 30 dní. Anonymizované agregované statistiky bez vazby na osobu si můžeme ponechat.
- Serverové logy — maximálně 30 dní.
- 2FA kódy — maximálně 10 minut, poté se mažou automaticky.
7. Vaše práva (GDPR)
- Právo na přístup — vyžádat si kopii vašich dat.
- Právo na opravu — kdykoli v aplikaci v sekci Profil.
- Právo na výmaz („být zapomenut") — viz Smazání účtu.
- Právo na omezení zpracování a právo vznést námitku.
- Právo na přenositelnost — export vašich dat ve strukturovaném formátu (na vyžádání).
- Právo odvolat souhlas — push notifikace lze vypnout v aplikaci nebo v nastavení Androidu.
- Právo podat stížnost u Úřadu pro ochranu osobních údajů (ÚOOÚ), www.uoou.cz.
Pro uplatnění jakéhokoli práva nás kontaktujte na podpora@banbosh.cz. Odpovídáme do 30 dní.
8. Bezpečnost
- Veškerá komunikace mezi aplikací a serverem probíhá přes HTTPS s TLS 1.2+ .
- Data v databázi jsou šifrována v klidu (AES-256, Supabase managed).
- Hesla nikdy neukládáme v čitelné podobě — pouze bcrypt hash.
- Biometrické přihlášení (otisk / obličej) probíhá výhradně v telefonu (Android Keystore / iOS Secure Enclave) — biometrika zařízení nikdy neopouští.
- Row Level Security na úrovni databáze zajišťuje, že každý uživatel vidí jen svá data.
9. Děti
Aplikace je určena pro osoby starší 13 let. Pokud jste rodič nebo zákonný zástupce a domníváte se, že vaše dítě nám poskytlo osobní údaje bez souhlasu, kontaktujte nás — data ihned smažeme.
10. Změny zásad
O změnách těchto zásad vás budeme informovat v aplikaci a aktualizací tohoto dokumentu. Datum poslední aktualizace najdete v hlavičce.