Marketarium · Zásady ochrany osobních údajů

● Obsah

Kdo jsme
Jaké údaje sbíráme
Proč to děláme
Právní základ
S kým sdílíme
Jak dlouho uchováváme
Tvoje práva
Cookies & úložiště
Bezpečnost
Mezinárodní přenos
Změny dokumentu
Kontakt

● 01 / Kdo jsme

Provozovatel a správce údajů

Tyto zásady popisují, jak Marketarium (dále jen „my", „nás", „Provozovatel") nakládá s osobními údaji uživatelů platformy marketarium.cz a souvisejících aplikací.

Správcem osobních údajů ve smyslu Nařízení (EU) 2016/679 (GDPR) je:

Název: [DOPLNIT: jméno / firma]
Sídlo: [DOPLNIT: adresa sídla]
IČO: [DOPLNIT: IČ]
DIČ: [DOPLNIT: DIČ pokud plátce DPH]
Zápis: [DOPLNIT: zápis v OR / živnostenský rejstřík]
Kontakt: radka@marketarium.cz

Marketarium není vázáno povinností jmenovat pověřence pro ochranu osobních údajů (DPO) dle čl. 37 GDPR. Veškeré dotazy ohledně ochrany údajů směřuj na výše uvedený email.

● 02 / Jaké údaje sbíráme

Kategorie zpracovávaných údajů

A. Údaje, které nám poskytneš při registraci

Když si u nás založíš účet — ať jako expert nebo firma — vyplňuješ formulář s těmito údaji:

Identifikační: jméno a příjmení (expert) / kontaktní osoba a název firmy (firma)
Kontaktní: e-mailová adresa
Profesní (expert): specializace, dovednosti, sektory zkušeností, sazba, lokace, LinkedIn URL, krátký popis (bio/pitch)
Firemní (firma): název firmy, web, velikost, sektor, rozpočet, popis poptávky
Přístupové: hash hesla (SHA-256, plain heslo nikdy neukládáme)

B. Údaje, které sbíráme automaticky

Technické: IP adresa (zpracovává hosting Netlify), typ prohlížeče, OS, rozlišení obrazovky
Analytické: agregované statistiky návštěvnosti — bez identifikace konkrétní osoby
Lokální úložiště: data uložená přímo v tvém prohlížeči (viz sekce 8 — Cookies & úložiště)

C. Údaje od třetích stran

Pokud se přihlásíš přes Google, LinkedIn nebo jiného poskytovatele OAuth (po spuštění této funkce), získáme od něj e-mail, jméno a profilový obrázek. Rozsah si můžeš kontrolovat v nastavení daného účtu.

● Citlivé údaje: Marketarium nezpracovává zvláštní kategorie údajů dle čl. 9 GDPR (zdravotní stav, biometrika, politické názory atp.). Pokud bys takový údaj napsal do veřejného profilu (např. „specializace na zdravotnictví"), nepovažujeme to za zpracování citlivého údaje o tobě.

● 03 / Proč to děláme

Účely zpracování

Tvoje údaje zpracováváme jenom pro tyto účely:

Poskytování služby — vytvoření a vedení účtu, zobrazení tvého profilu firmám, propojování experta s firmou (matching), zasílání poptávek
Komunikace — odpovědi na dotazy, technické notifikace o účtu, fakturace, smluvní záležitosti
Newsletter — pouze pokud sis ho vyžádal/a; můžeš ho kdykoliv odhlásit jedním klikem
Vylepšování platformy — analýza chování (anonymně, agregovaně) pro zlepšení UX
Plnění zákonných povinností — daňové, účetní, archivační
Ochrana platformy — prevence podvodů, spamu, zneužití

Tvoje údaje neprodáváme a nepoužíváme pro marketing třetích stran. Reklama na Marketariu funguje pouze interně (firma vidí experta, expert vidí brief — to je vše).

● 04 / Právní základ

Z čeho odvozujeme oprávnění

Každé zpracování má svůj právní titul podle čl. 6 GDPR:

Plnění smlouvy (čl. 6 odst. 1 písm. b) — pro vedení účtu, zpřístupnění funkcí platformy, fakturaci
Souhlas (čl. 6 odst. 1 písm. a) — pro newsletter a marketingovou komunikaci
Oprávněný zájem (čl. 6 odst. 1 písm. f) — pro analýzu UX, prevenci podvodů, zlepšování služby
Zákonná povinnost (čl. 6 odst. 1 písm. c) — pro daňovou a účetní agendu

Pokud zpracování závisí na souhlasu, máš právo jej kdykoliv odvolat bez vlivu na zákonnost zpracování před odvoláním. Stačí napsat na radka@marketarium.cz.

● 05 / S kým sdílíme

Příjemci a zpracovatelé

Pro provoz platformy spolupracujeme s externími zpracovateli údajů. Všichni mají smluvně zajištěnou důvěrnost a soulad s GDPR.

Hosting a infrastruktura

Netlify, Inc. — hosting webu, server-side formuláře (waitlist, registrace). USA společnost, ale dat uchovává v rámci infrastruktury s EU compliance. netlify.com/privacy
Supabase — databáze a autentizace (plánováno od fáze 3, EU region Frankfurt). supabase.com/privacy

Platby (po spuštění placených tarifů)

Stripe / Paddle — zpracování plateb a fakturace. Údaje o platebních metodách nikdy neukládáme — vše drží přímo platební brána.

Komunikace

Beehiiv (plánováno) — newsletter platform pro pravidelné rozesílky. Odeslání pouze pokud sis odebíral newsletter.
Google Workspace — e-mailová komunikace (radka@marketarium.cz)

Veřejně zobrazené profily expertů

Pokud máš jako expert tarif Pro nebo Top, tvůj profil se zobrazuje veřejně v marketplace — vidí jej registrované firmy i návštěvníci. Sazba je standardně zobrazená; můžeš ji v profilu skrýt. Tarif Discover (free) zobrazuje profil jen tobě, není v marketplace.

Marketarium nepředává osobní údaje žádné třetí straně pro marketing nebo prodej. Veškeré sdílení je v rámci výše uvedeného účelu nebo na základě zákonné povinnosti (např. žádost orgánu činného v trestním řízení).

● 06 / Jak dlouho uchováváme

Doba uchování

Aktivní účet: po celou dobu trvání účtu
Po smazání účtu: bezprostředně odstraníme všechny tvoje údaje z aktivních systémů
Zálohy: mohou obsahovat tvé údaje až 30 dní po smazání
Účetní a daňové doklady: 10 let (zákonná povinnost zákona o účetnictví a o DPH)
E-mailová komunikace: 2 roky pro účely doložení obchodního vztahu
Waitlist (před spuštěním): do spuštění platformy nebo odhlášení
Newsletter odhlášení: tvůj e-mail uchováme v „unsubscribe listu" pro respektování tvého rozhodnutí

● 07 / Tvoje práva

Co všechno můžeš jako uživatel

Podle GDPR máš následující práva, která můžeš uplatnit kdykoliv:

Právo na přístup (čl. 15) — chceš vědět, jaké údaje o tobě máme? Napiš nám.
Právo na opravu (čl. 16) — chybný údaj v profilu? Oprav přímo nebo napiš.
Právo na výmaz / „právo být zapomenut" (čl. 17) — chceš účet smazat? Stačí požádat.
Právo na omezení zpracování (čl. 18) — chceš na čas „pauznout" zpracování.
Právo na přenositelnost (čl. 20) — chceš si vzít svá data v strojově čitelném formátu (JSON/CSV)? Dáme.
Právo vznést námitku (čl. 21) — proti zpracování pro oprávněný zájem nebo přímý marketing.
Právo odvolat souhlas (čl. 7) — kdykoliv, bez dopadu na předchozí zpracování.
Právo nebýt předmětem automatizovaného rozhodování (čl. 22) — Marketarium taková rozhodnutí nedělá.

Jak práva uplatnit

Napiš na radka@marketarium.cz s předmětem „GDPR žádost". Vyřídíme do 30 dní (případné prodloužení dle čl. 12 odst. 3 GDPR ti oznámíme).

● Stížnost u dozorového úřadu: Pokud nejsi spokojen s naším postupem, máš právo podat stížnost u Úřadu pro ochranu osobních údajů (ÚOOÚ, uoou.cz) — Pplk. Sochora 27, 170 00 Praha 7.

● 08 / Cookies & úložiště

Co ukládáme do tvého prohlížeče

Marketarium nepoužívá marketingové ani trackingové cookies. Místo toho používáme:

localStorage (technicky nezbytné)

V tvém prohlížeči ukládáme data potřebná pro chod platformy. Tyto údaje nikdy neopouštějí tvé zařízení (vyjma případů, kdy je sám odešleš formulářem).

mk_session — informace o přihlášení, vyprší podle volby (8 h / 30 dní s „pamatuj si mě")
mk_application_* — registrace experta (pre-launch fáze; po spuštění Supabase migrováno na server)
mk_request_* — registrace firmy a poptávky
mk_lang — preferovaný jazyk
mk_beta_dismissed — zda jsi zavřel/a beta banner

Tyto údaje se ukládají jenom v tvém prohlížeči a ty je můžeš kdykoliv smazat: Nastavení prohlížeče → Data webů → marketarium.cz → Smazat.

sessionStorage

mk_admin_sig — interní marker pro admin přihlášení (jen pro tým Marketaria, vyprší za 8 h)

Cookies (do budoucna)

Pokud v budoucnu nasadíme cookies (např. pro session management po Supabase migraci), zobrazíme cookie banner s možností odsouhlasit / odmítnout. Aktuálně používáme jen technicky nezbytný localStorage, ke kterému není potřeba souhlas.

● 09 / Bezpečnost

Jak chráníme tvoje data

HTTPS — veškerá komunikace s platformou je šifrována TLS 1.2+
Hash hesel — hesla nikdy neukládáme v plain textu. Používáme SHA-256 hash (pre-launch fáze; po Supabase migraci přejdeme na bcrypt/Argon2)
Validace vstupů — proti XSS a injekci útokům
CSP a security headers — Content Security Policy, X-Frame-Options, X-Content-Type-Options
Limitované přístupy — k administraci má přístup pouze zakladatelka platformy
EU data residency — primární úložiště v Evropské unii (Supabase Frankfurt po migraci)

Co dělat při bezpečnostním incidentu

Pokud zjistíš podezřelou aktivitu na svém účtu nebo bezpečnostní zranitelnost platformy, dej nám hned vědět: radka@marketarium.cz s předmětem „Security Issue". Odměna za zodpovědné nahlášení („responsible disclosure") je vyjednatelná.

● 10 / Mezinárodní přenos

Přenos údajů mimo EU

Většinu zpracování provádíme v rámci EU. Některé technické služby (např. Netlify) jsou poskytovány společnostmi se sídlem v USA. Tyto přenosy jsou kryty:

EU-U.S. Data Privacy Framework — pokud je daný zpracovatel certifikován
Standardní smluvní doložky (SCC) dle rozhodnutí Komise EU 2021/914
Dodatečná opatření — pseudonymizace, šifrování v klidu i přenosu

Po dokončení migrace na Supabase (region Frankfurt) bude veškerá databáze a autentizace probíhat výhradně v EU.

● 11 / Změny dokumentu

Jak ti dáme vědět o změnách

Marketarium je živý projekt a tyto zásady se mohou v čase měnit (nové funkce, noví zpracovatelé, právní aktualizace). Postupujeme takto:

Méně závažné změny (formulační, zpřesnění): aktualizujeme dokument a změníme datum účinnosti
Závažné změny (nový zpracovatel, rozšíření účelu): pošleme ti e-mail nejméně 30 dní před účinností, abys mohl/a reagovat

Vždy si můžeš stáhnout aktuální i archivní verze — napiš si o ně na radka@marketarium.cz.

● 12 / Kontakt

Máš dotaz nebo žádost?

Napiš na: radka@marketarium.cz

Pro rychlou orientaci uveď v předmětu:

„GDPR žádost" — uplatnění tvých práv (přístup, výmaz, ...)
„Reset hesla" — pokud potřebuješ resetovat heslo
„Security Issue" — nahlášení bezpečnostní zranitelnosti
„Dotaz" — vše ostatní

Tento dokument se řídí právem České republiky. Případné spory jsou rozhodovány věcně a místně příslušnými soudy ČR.