Zásady ochrany osobních údajů (Privacy Policy)

1. Kdo jsme a jaké je naše postavení

Z hlediska GDPR vystupuje naše společnost ve vztahu k osobním údajům ve dvou odlišných rolích, v závislosti na tom, o čí údaje se jedná:

A. AGAMU jako Správce (Data Controller)

V pozici Správce zpracováváme osobní údaje našich B2B klientů (majitelů a provozovatelů autopůjčoven), návštěvníků našich webových stránek a zájemců o naše služby (např. žádosti o demo). Jako správce určujeme účel a prostředky zpracování těchto údajů.

B. AGAMU jako Zpracovatel (Data Processor)

V pozici Zpracovatele zpracováváme osobní údaje koncových uživatelů (zákazníků našich B2B klientů, tj. osob, které si pronajímají vozidla). Tyto údaje zpracováváme výhradně na základě pokynů našich B2B klientů (kteří jsou v tomto případě v pozici Správce), a to za účelem poskytování služeb naší SaaS platformy VanFleet OS.

2. Jaké údaje zpracováváme a proč (Účel a právní základ)

A. Zpracování v pozici Správce (Údaje B2B klientů a návštěvníků)

B. Zpracování v pozici Zpracovatele (Údaje koncových uživatelů)

V rámci naší platformy zpracováváme pro naše klienty (autopůjčovny) osobní údaje jejich zákazníků. Naše zpracování je podloženo zpracovatelskou smlouvou (DPA). Zpracováváme mimo jiné i vysoce citlivá data:

• Údaje o totožnosti a verifikace (KYC): Údaje získané přes BankID, biometrické údaje ze skenování dokladů a tváře (zajišťováno pro uživatele bez BankID přes specializované KYC partnery).
• Telemetrická data vozidel: GPS poloha vozidla, záznamy o chování řidiče (údaje z akcelerometru, rychlost), DTC kódy (chybová hlášení vozidla).
• Digitální podpisy a autorizace: Údaje o digitálním podpisu splňujícím standardy eIDAS (elektronické předání vozidla).
• Platební údaje: Platební tokeny pro účely autorizace plateb a kaucí.

3. Kdo jsou naši subdodavatelé (Příjemci údajů)

Abychom mohli poskytovat naše služby na nejvyšší technologické úrovni, využíváme prověřené subdodavatele (další zpracovatele), kteří splňují nejpřísnější bezpečnostní standardy. Mezi naše klíčové enterprise partnery patří:

• Google Cloud Platform (vč. Firebase/Firestore): Hosting infrastruktury, databází a ukládání dat. Data jsou bezpečně uchovávána na serverech v rámci EU (primárně v regionu europe-west3 ve Frankfurtu).
• Google reCAPTCHA (Invisible): Služba pro ochranu našich formulářů před spamem a zneužitím. Za tímto účelem sbírá nezbytná hardwarová a softwarová data pro analýzu rizik.
• GoPay: Zpracování plateb, správa kaucí a bezpečná tokenizace platebních karet.
• Poskytovatelé identity a KYC: BankID (Bankovní identita a.s.) slouží jako primární poskytovatel ověření totožnosti občanů ČR. V případě zahraničních klientů nebo chybějící Bankovní identity využíváme specializované poskytovatele KYC pro manuální ověření dokladů a biometrie.
• Poskytovatelé telematiky: Integrace pro sběr GPS polohy a telemetrie vozidel.

S každým subdodavatelem máme uzavřenou příslušnou smlouvu o zpracování osobních údajů, která garantuje odpovídající úroveň ochrany.

4. Zabezpečení dat

Bezpečnost dat je základním kamenem platformy VanFleet OS. Implementovali jsme přísná technická a organizační opatření, abychom chránili zpracovávané osobní údaje před neoprávněným přístupem, ztrátou nebo zneužitím:

• Šifrování dat: Všechna data jsou šifrována jak při přenosu (TLS/SSL), tak v klidu (Encryption at rest).
• Pokročilé řízení přístupu k databázím: Využíváme PostgreSQL Row-Level Security (RLS) k zajištění toho, že každý klient (tenant) má striktně oddělený přístup pouze ke svým datům.
• Kryptografické logování: Veškeré citlivé operace a digitální podpisy jsou chráněny a kryptograficky logovány v souladu se standardy eIDAS, což zajišťuje jejich nepopiratelnost a forenzní integritu.
• Řízení přístupu: Striktní správa přístupových práv v rámci naší organizace, využívání dvoufázového ověření (2FA) a principu nejnižších privilegií (Zero Trust).

5. Doba uchování údajů

Osobní údaje uchováváme pouze po dobu nezbytně nutnou k naplnění účelů, pro které byly shromážděny:

• Údaje B2B klientů (Správce): Po dobu trvání smluvního vztahu a následně po dobu vyžadovanou platnými právními předpisy (např. účetní a daňové zákony vyžadují uchování fakturačních dat zpravidla po dobu 10 let).
• Zájemci o demo a komunikace: Kontaktní údaje ze žádostí o demo uchováváme po dobu vyřizování vašeho požadavku a předvedení dema, maximálně však po dobu 1 roku od posledního kontaktu.
• Marketingové údaje: Do doby odvolání souhlasu nebo vznesení námitky proti zpracování, maximálně však po dobu stanovenou našimi interními předpisy od posledního kontaktu.
• Údaje koncových uživatelů (Zpracovatel): Tyto údaje uchováváme v systémech platformy po dobu určenou konkrétním B2B klientem (Správcem). Jakmile je účel zpracování naplněn nebo nás klient o to požádá, údaje jsou v souladu se zpracovatelskou smlouvou bezpečně smazány nebo anonymizovány.

6. Práva subjektů údajů

V souladu s nařízením GDPR máte (jako subjekt údajů) následující práva týkající se vašich osobních údajů:

1. Právo na přístup: Právo získat potvrzení, zda vaše osobní údaje zpracováváme, a získat k nim přístup.
2. Právo na opravu: Právo požadovat opravu nepřesných nebo neúplných údajů.
3. Právo na výmaz ("právo být zapomenut"): Právo požadovat vymazání osobních údajů, pokud již nejsou potřebné pro stanovené účely nebo pokud odvoláte souhlas.
4. Právo na omezení zpracování: V určitých případech máte právo požadovat, abychom omezili zpracování vašich údajů.
5. Právo na přenositelnost údajů: Právo získat své údaje ve strukturovaném, běžně používaném a strojově čitelném formátu a předat je jinému správci.
6. Právo vznést námitku: Právo vznést námitku proti zpracování založenému na oprávněném zájmu (např. proti přímému marketingu).
7. Právo podávat stížnosti: Pokud se domníváte, že zpracováním vašich osobních údajů porušujeme právní předpisy, máte právo podat stížnost u dozorového úřadu, kterým je v České republice Úřad pro ochranu osobních údajů (ÚOOÚ), se sídlem Pplk. Sochora 27, 170 00 Praha 7 (www.uoou.cz).