Zásady zpracování osobních údajů
Účinné od 1. dubna 2026. Připravené podle nařízení (EU) 2016/679 (GDPR) a zákona č. 110/2019 Sb.
1. Správce údajů
Správcem osobních údajů ve smyslu čl. 4 odst. 7 GDPR je Matěj Dytrych, provozovatel služby AttendPlan (dále jen „Správce"). Kontakt pro otázky ochrany osobních údajů: gdpr@attendplan.com.
Pro firmu, která má v AttendPlanu účet, je správcem údajů jejích zaměstnanců sama firma (zaměstnavatel). AttendPlan vystupuje jako zpracovatel dle čl. 28 GDPR. Smlouva o zpracování osobních údajů je nedílnou součástí Obchodních podmínek.
2. Jaké údaje zpracováváme
- Identifikační údaje: jméno, příjmení, e-mail, telefonní číslo (volitelné), role v týmu.
- Pracovní údaje: hodinová sazba, datum nástupu, týdenní úvazek, naplánované směny, docházka, žádosti o volno, výměny směn.
- Provozní logy: IP adresa, user-agent, čas přihlášení a klíčových akcí (audit log).
- Hardwarové údaje: ID NFC čipu, ID čtečky, firmware verze (jen pokud firma používá hardware modul).
- Komunikační údaje: e-maily, push notifikace, webhook události (Slack, Teams).
Nezpracováváme zvláštní kategorie osobních údajů (zdravotní údaje, etnický původ, …). Důvod absence z práce může uvést sám zaměstnanec dobrovolně v poznámce; AttendPlan tento údaj nepožaduje.
3. Právní základ a účel
| Účel | Právní základ (čl. 6 GDPR) |
|---|---|
| Provoz služby, plánování směn, výplata | Plnění smlouvy (odst. 1 písm. b) |
| Evidence docházky pro mzdy | Právní povinnost (odst. 1 písm. c) — § 96 zákoníku práce |
| Audit log, bezpečnostní logy | Oprávněný zájem (odst. 1 písm. f) |
| Marketingové e-maily | Souhlas (odst. 1 písm. a) — opt-in |
| Účetnictví, faktury | Právní povinnost — zák. 235/2004 Sb. a zák. 563/1991 Sb. |
4. Doba uložení
- Notifikace: 90 dní
- Audit log: 365 dní
- Pípnutí NFC čteček: 730 dní
- Záznamy směn, docházky, mzdové sazby: po celou dobu trvání účtu; po ukončení smlouvy anonymizujeme do 30 dní, pokud zákon neukládá delší archivaci.
- Účetní doklady, faktury: 10 let (zák. 235/2004 Sb.).
5. Komu předáváme údaje
- Hosting: Hetzner Online GmbH / Contabo GmbH (EU, Německo).
- Platební brána: Stripe Payments Europe Ltd. (Irsko) — pouze pokud máš placený plán.
- Doručování e-mailů: Resend B.V. (Nizozemsko) a/nebo SMTP relay v EU.
- Push notifikace: Mozilla / Apple / Google push servery (anonymní endpoint, bez obsahu zprávy).
Nepředáváme data mimo EHP. Pokud bys to požadoval/a (např. integrace s mimoevropským SaaS), předem si to s námi domluv.
6. Tvá práva
- Právo na přístup ke svým údajům (čl. 15)
- Právo na opravu (čl. 16)
- Právo na výmaz / „být zapomenut" (čl. 17)
- Právo na omezení zpracování (čl. 18)
- Právo na přenositelnost údajů (čl. 20) — v aplikaci najdeš v Nastavení → Můj účet → Stáhnout můj export (GDPR) ZIP s tvými daty
- Právo vznést námitku (čl. 21)
- Právo nebýt předmětem automatizovaného rozhodování (čl. 22) — AttendPlan automatizovaně nerozhoduje
Pro uplatnění práv nám napiš na gdpr@attendplan.com. Odpovíme nejpozději do 30 dnů. Pokud nesouhlasíš s naším vyřízením, můžeš podat stížnost u Úřadu pro ochranu osobních údajů (uoou.cz).
7. Cookies
AttendPlan používá pouze technicky nezbytné cookies (přihlašovací session, CSRF token, jazyk). Tyto cookies nevyžadují souhlas dle § 89 zák. 127/2005 Sb. Nepoužíváme analytické ani reklamní cookies třetích stran.
8. Bezpečnost
Spojení je vždy přes HTTPS (TLS 1.2+). Hesla ukládáme jako bcrypt hash. Podporujeme 2FA (TOTP). 2FA QR kód generujeme lokálně — TOTP secret nikdy neopouští náš server. Audit log eviduje přihlášení, klíčové akce a IP adresu pro forenzní účely.
9. Změny
Pokud zásady významně změníme, oznámíme to v aplikaci a e-mailem minimálně 30 dní předem. Aktuální verze je vždy na této stránce.