Zásady ochrany osobních údajů

1. Provozovatel / Data Controller

Hotel Říčky s.r.o. (dále „Provozovatel“ nebo „Správce“) je správcem osobních údajů ve smyslu Nařízení (EU) 2016/679 (GDPR) a zákona č. 110/2019 Sb. o zpracování osobních údajů.

2. Jaké údaje shromažďujeme

Pro fungování platformy MarketingAgency (dále „Služba“) shromažďujeme tyto kategorie osobních údajů:

• Autentizační údaje z Meta / Google / e-mailu — jméno, e-mailová adresa, profilová fotografie získaná během OAuth přihlášení (Meta Login, Google Sign In, Clerk Authentication).
• Facebook Page IDs a OAuth access tokens — IDs Facebook stránek a přístupových tokenů potřebných pro přístup k Page Insights, publikování postů a správu Page metadata.
• Instagram Business account data — IDs propojených Instagram Business účtů, metadata (jméno, kategorie, počet sledujících), Insights metriky.
• Page Insights metrics — agregované metriky výkonu (impressions, reach, engagement, post performance, follower demographics).
• Google OAuth scopes — tokeny ke Google Ads, GA4, Search Console, Tag Manager, Google Business Profile pro analýzu reklamních a SEO dat.
• Údaje o organizaci a projektech — název firmy, doména, branding informace, měsíční rozpočet, struktura týmu.
• AI interakce — dotazy a odpovědi AI agentů, znalostní báze projektu, generované návrhy.
• Provozní data — IP adresa, prohlížeč, časová razítka přihlášení, log akcí pro bezpečnost a debugging.

OAuth access tokens jsou ukládány šifrovaně (AES-256-GCM) v naší databázi. Nikdy je nesdílíme s žádnou třetí stranou mimo nezbytné API volání na Meta / Google jménem uživatele.

3. Účel zpracování

• Analýza výkonu marketingu — agregace dat z Google Ads, Meta Ads, GA4, Search Console, Page Insights pro reporty a doporučení.
• Generování doporučení AI agenty — AI agent vyhodnocuje data, navrhuje optimalizace kampaní, content kalendáře, klíčová slova.
• Automatizace publikování contentu — po schválení uživatelem může agent publikovat příspěvky na Facebook Page nebo Instagram Business účet.
• Fakturace a vyúčtování — zpracování plateb přes Stripe, vystavení daňových dokladů.
• Bezpečnost Služby — detekce zneužití, fraud prevention, audit logy.

4. Právní základ

Hlavním právním základem zpracování je smluvní plnění (čl. 6 odst. 1 písm. b) GDPR) — uživatel se explicitně připojí k Meta / Google OAuth a vyjadřuje tím jednoznačnou vůli, aby Provozovatel zpracovával jeho údaje pro účely poskytování Služby.

Dále zpracováváme na základě:

• Oprávněný zájem (čl. 6 odst. 1 písm. f)) — zlepšování Služby, bezpečnostní telemetrie, fraud prevention.
• Právní povinnost (čl. 6 odst. 1 písm. c)) — daňové a účetní předpisy, archivace dokladů.
• Souhlas (čl. 6 odst. 1 písm. a)) — pouze pro non-essential telemetrii (PostHog product analytics), odvolatelný kdykoliv.

5. Komu předáváme údaje

Údaje předáváme následujícím zpracovatelům (sub-processors). Se všemi máme uzavřené DPA a Standard Contractual Clauses (SCC) pro přenosy mimo EU.

6. Doba uchování

• Aktivní účty — po dobu trvání smlouvy.
• Archivní data po ukončení smlouvy — 3 roky pro účely případných právních nároků a audit.
• Účetní doklady — 10 let dle zákona č. 563/1991 Sb. o účetnictví.
• OAuth tokeny — okamžitě smazány při odpojení integrace nebo zrušení účtu.
• AI interakce — 90 dní pro debugging, poté anonymizace.

Uživatel může kdykoliv požádat o trvalé smazání všech svých dat (viz sekce 8).

7. Práva subjektu údajů

V souladu s GDPR máte následující práva, která můžete uplatnit u Provozovatele:

• Právo na přístup — obdržet kopii vašich osobních údajů.
• Právo na opravu — opravit nesprávné nebo neúplné údaje.
• Právo na výmaz(„právo být zapomenut“) — odstranit všechna vaše data.
• Právo na omezení zpracování — pozastavit zpracování v určitých případech.
• Právo vznést námitku — proti zpracování na základě oprávněného zájmu.
• Právo na přenositelnost — obdržet data ve strojově čitelném formátu (JSON / CSV).
• Právo podat stížnost — u Úřadu pro ochranu osobních údajů (uoou.cz).

Žádosti zasílejte na info@hotelricky.cz. Odpovídáme do 30 dnů od přijetí žádosti.

8. Smazání dat (Data Deletion)

Uživatel může požádat o smazání svých osobních údajů následujícími způsoby:

1. Odpojením aplikace v Meta / Google nastavení — Meta nás notifikuje přes data-deletion callback. Naše aplikace automaticky deaktivuje vaše OAuth tokeny a označí synchronizovaná data ke smazání.
2. Smazáním účtu v aplikaci— v nastavení účtu kliknutím na „Smazat účet“.
3. E-mailovou žádostí na info@hotelricky.cz.

Trvalé smazání proběhne do 30 dnů od přijetí žádosti. Status žádosti ověříte na /data-deletion-status.

Data Deletion Callback URL (pro Meta App Review): https://app.marketingagency.cz/api/webhooks/meta/data-deletion

9. Cookies

Používáme následující kategorie cookies:

• Strictly necessary (nezbytné) — autentizační session, CSRF ochrana. Bez nich Služba nemůže fungovat. Nevyžadují souhlas.
• Analytics — PostHog s anonymized IP, bez cross-site trackingu. Můžete odmítnout v cookie liště.

Nepoužíváme žádné marketingové cookies třetích stran (Google Analytics / Ads pixel, Facebook Pixel, atd.). Konverzní tracking probíhá výhradně server-to-server.

10. Změny zásad

Tyto zásady můžeme aktualizovat. O podstatných změnách vás vyrozumíme e-mailem nejméně 30 dní předem. Datum poslední aktualizace je vždy uvedeno v záhlaví tohoto dokumentu.

Last updated: 23. května 2026 (verze 2.0)

11. Kontakt / DPO

Provozovatel nemá povinnost jmenovat pověřence pro ochranu osobních údajů (DPO) dle čl. 37 GDPR. Odpovědnou osobou pro GDPR komunikaci je: