Přeskočit na obsah

Jistybyt · GDPR

Zásady ochrany osobních údajů

Verze 0.3 · účinnost od 11. května 2026 (přibylo: AI Concierge cluster 119/120/121 landing pages). Plný DPIA dokument viz centrum nápovědy.

1. Správce údajů

Správcem osobních údajů je Jistybyt s.r.o., IČO 00000000, se sídlem v Praze, zapsaná v obchodním rejstříku Městského soudu v Praze. Kontakt: hello@jistybyt.cz.

Pověřenec pro ochranu osobních údajů (DPO): dpo@jistybyt.cz.

2. Jaké údaje zpracováváme

KategorieÚčelPrávní základ
E-mail, jménoPřihlášení, notifikaceSmlouva (čl. 6/1/b)
Telefon (volitelně)Komunikace s makléřiSouhlas (čl. 6/1/a)
BankID identifikátorOvěření vlastníka inzerátu, AMLPrávní povinnost (čl. 6/1/c)
List vlastnictví (LV)Důvěryhodnost inzerátuSmlouva + veřejný zájem
Oblíbené, hledáníPersonalizace + alertySmlouva (čl. 6/1/b)
Telemetrie + chybyStabilita aplikaceOprávněný zájem (čl. 6/1/f)
Platební údajeFakturace placených tarifůSmlouva + zákon o účetnictví
Fotky inzerátuZobrazení v inzerátuSmlouva (zveřejnění je dobrovolné)

3. Kde běží naše servery

  • Aplikace + API: Netlify (EU region eu-west-1, Frankfurt).
  • Databáze (PostgreSQL): Neon / Supabase, EU region (Frankfurt).
  • Vyhledávač (Meilisearch): dedikovaný server v EU.
  • Object storage: Cloudflare R2 (EU region) — uložené fotky inzerátů.
  • BankID / ČÚZK: integrace přes oficiální API providerů, žádný transfer údajů do třetích zemí.

Mimo EU/EHP žádné osobní údaje nepřevádíme. Anthropic API (AI vyhledávání + popisy) běží v EU regionech a podléhá Standard Contractual Clauses dle GDPR čl. 46.

4. Doba uchování

  • Účet uživatele: dokud nepožádáte o smazání, max. 5 let nečinnosti pak automatický soft-delete.
  • Aktivní inzerát: po dobu publikace + 30 dní pro statistiky.
  • Cena nemovitosti (immutable log): 10 let (audit, transparentnost historických cen).
  • BankID identifikace: 4 roky podle AML zákona.
  • Telemetrie (PostHog): 90 dní; po té anonymizace.
  • Server logy (Sentry): 30 dní rolling.
  • E-mailové fronty (Resend): 7 dní.

5. Třetí strany — zpracovatelé

Se všemi máme uzavřenou DPA (Data Processing Agreement). Žádný marketing, žádný prodej dat třetím stranám. Jurisdikce serveru je uvedena v závorce — preferujeme EU lokality kde je to možné (GDPR adequacy bez SCC potřeby).

  • Netlify (US, SCC) — hosting + edge funkce + CDN
  • Neon / Supabase (EU Frankfurt) — Postgres databáze inzerátů a účtů
  • Cloudflare (globální, EU IP geo) — R2 storage pro fotky inzerátů, Turnstile CAPTCHA, DDoS protection
  • Anthropic (US, SCC) — AI Concierge konverzace (Claude Haiku 4.5) + AI generování popisů inzerátů + smart home / skryté vady / kulturní památka REST analýzy. Žádný uživatelský e-mail nebo identifikátor neopouští naši doménu — Claude dostane jen anonymní prompt. Inputy z payback/audit kalkulaček (cluster 119-121) běží 100 % v browseru bez network call.
  • Mapy.cz / Seznam.cz (CZ) — mapové dlaždice, geocoding, POI distance. Žádné tracking cookies.
  • ČÚZK (CZ vláda) — INSPIRE WFS open data, cadastral parcely (CC-BY 4.0). Pouze náš server dotazuje, vy se s ČÚZK nesetkáváte.
  • Resend (US, SCC) — transakční e-maily (alerty, kontakty). Queue retention 7 dní, poté smazáno.
  • Plausible.io (EU Hetzner) — cookieless web analytika. Žádné cookies, žádný cross-site tracking, žádný consent banner potřeba.
  • PostHog (EU Frankfurt) — produktová analytika + session replay s masked PII inputs (jen po vašem explicit consent v cookie banneru).
  • Sentry (EU Frankfurt) — sledování chyb v aplikaci. PII scrubber odstraňuje IP + e-mail + telefon před uložením.
  • Stripe / GoPay (Stripe IE / GoPay CZ) — platební brány pro placené tarify. PCI DSS Level 1 zpracovatelé, neukládáme platební údaje.
  • BankID Sign (CZ Bankovní identita a.s.) — ověření vlastníka inzerátu. Předáváme jen vámi schválený scope (rodné číslo, jméno).

6. Automatizované rozhodování (čl. 22 GDPR)

AVM odhad férové ceny a Quality Score inzerátu jsou statistické modely; nepoužíváme je pro automatické rozhodnutí, které by mělo právní účinky. Pokud se cítíte odhadem dotčeni, napište na dpo@jistybyt.cz a požádejte o lidský přezkum.

7. Vaše práva

  • Přístup + kopie: /profile/data-export (JSON + ZIP fotek do 24 hod).
  • Oprava nepřesných údajů: profil v dashboardu nebo dpo@jistybyt.cz.
  • Výmaz („být zapomenut“): soft-delete okamžitě, hard-delete do 30 dnů včetně backupů.
  • Omezení / námitka zpracování: dpo@jistybyt.cz, lhůta odpovědi 30 dní.
  • Přenositelnost: data ve strojově čitelném formátu (JSON).
  • Stížnost: Úřad pro ochranu osobních údajů, uoou.cz.

8. Cookies a sledovací technologie

Standardně používáme jen nezbytné cookies (přihlášení, koncept inzerátu, nastavení theme). Analytické cookies (PostHog) zapínáme pouze po výslovném souhlasu v cookie banneru. Marketingové cookies nepoužíváme.

Naopak pro funkčnost oblíbených, srovnávače a uložených hledání používáme localStorage v prohlížeči — ten zůstává pouze ve vašem zařízení a nepřenáší se nám na server (dokud se nepřihlásíte).

9. Bezpečnost

  • HTTPS všude (HSTS, TLS 1.3).
  • CSP s nonce-based script-src + strict-dynamic.
  • BankID 2FA pro publikování inzerátu.
  • Šifrovaná Postgres záloha (PITR 7 dní).
  • Rate-limiting na všech autentizačních endpointech.
  • EXIF data z fotek strippneme automaticky před uložením.

10. Změny zásad

Na podstatné změny upozorníme e-mailem 14 dní před účinností. Verze a datum vidíte vždy v hlavičce této stránky.

Ochrana osobních údajů · Jistybyt