Zásady ochrany osobních údajů

1. Správce dat

Signal Core s.r.o., Rybná 716/24, 110 00 Praha 1, Česká republika · IČO: 24460354 · DIČ: CZ24460354

Zápis: Městský soud v Praze, oddíl C, vložka 198765

Kontakt pro otázky GDPR: [email protected] · obecný support: [email protected]

2. Pověřenec pro ochranu osobních údajů (DPO)

Jmenovali jsme Data Protection Officera odpovědného za GDPR compliance. DPO je nezávislý a má přímou linku na management.

Kontakt: [email protected] · poštou: Signal Core s.r.o., k rukám DPO, Rybná 716/24, Praha 1

3. Jaká data zpracováváme

Podle typu uživatele a účelu zpracováváme následující kategorie dat:

Identifikační a kontaktní

• Jméno, příjmení (creator) / název firmy (brand)
• E-mailová adresa, telefon (volitelně)
• Adresa (fakturační, sídlo)
• IČO, DIČ, číslo bankovního účtu (IBAN, BIC)
• Daňové identifikační číslo (TIN) pro DAC7

Profilová data

• Avatar, bio, sociální profily (IG, TikTok, YouTube), počty sledujících
• Kategorie obsahu (lifestyle, gaming, fashion atd.)
• Reference, předchozí výsledky

Transakční data

• Historie kampaní, konverzí, výplat
• Faktury, daňové doklady
• Logy přihlášení, IP adresa, user agent

Tracking a měření

• Cookies (jen funkční ze základu, viz Cookies)
• Click ID, Conversion ID, fraud score
• IP geolokace (země, region) — pro reporting a anti-fraud, neukládáme přesnou polohu

KYC a daňová data

• ID dokument (občanka / pas) — přes Stripe Identity, neuchováváme image, jen status verifikace
• Selfie biometrika — uložená u Stripe / Sumsub, ne u nás
• VAT VIES check log

4. Účely a právní základ (GDPR čl. 6)

Pro každou kategorii dat jasně víme proč ji zpracováváme a podle kterého ustanovení GDPR čl. 6:

Souhlas můžete kdykoli odvolat (e-mail, in-app nastavení) bez vlivu na zpracování před odvoláním.

5. Příjemci a zpracovatelé

Data sdílíme s pečlivě vybranými zpracovateli, všichni mají DPA podle GDPR čl. 28:

• Stripe (Irsko/USA) — platby, KYC; SCC + adekvátnost pro USA
• Polygon.io (USA) — tržní data; SCC
• Cloudflare (USA) — CDN, anti-DDoS; SCC + ENISA
• DigitalOcean (USA/EU regiony) — hosting; SCC, EU servery v Frankfurtu
• Sumsub (UK) — KYC fallback; UK adequacy decision
• Twilio / SendGrid (USA) — transakční e-maily; SCC
• Anthropic (USA) — Claude AI pro analýzu obsahu (volitelně, pouze metadata, ne osobní data)
• Účetní firma (CZ) — fakturace, daně; smluvní vztah

Seznam je veřejný a aktualizovaný v Nastavení → Soukromí → Subprocessors.

6. Mezinárodní transfery

Některá data putují mimo EU/EHP (USA — Stripe, Cloudflare, Polygon, atd.). Pro každý transfer máme:

• Standard Contractual Clauses (SCC) — verze 2021/914
• Data Privacy Framework (DPF) — pro certifikované partnery (Stripe, Cloudflare)
• Doplňková opatření — šifrování v klidu i v přenosu (TLS 1.3, AES-256)
• TIA (Transfer Impact Assessment) — provedená pro každý transfer mimo EU

7. Doby uchovávání

8. Vaše práva (GDPR čl. 15–22)

Máte právo na:

• Přístup (čl. 15) — kopii svých dat zdarma; export přes Nastavení → Soukromí → Stáhnout data
• Opravu (čl. 16) — opravit nepřesné údaje
• Výmaz / Right to be forgotten (čl. 17) — smazání dat (s výjimkou zákonných archivačních povinností)
• Omezení zpracování (čl. 18) — pozastavit zpracování při sporu
• Přenositelnost (čl. 20) — exportovat data ve strukturovaném strojově čitelném formátu (JSON / CSV)
• Námitku (čl. 21) — proti zpracování na základě oprávněného zájmu
• Stížnost u dozorového úřadu — ÚOOÚ ČR, uoou.gov.cz

Reagujeme do 30 dní od podání žádosti. Při komplexních případech můžeme prodloužit o dalších 60 dní s oznámením.

9. Automatizované rozhodování a profilování

Používáme automatizované rozhodování pouze v omezeném rozsahu:

• Anti-fraud scoring — algoritmus přiřazuje fraud score 0–100. Score ≥ 80 znamená automatickou neautorizaci konverze. Můžete požádat o lidský přezkum přes support
• Doporučování kampaní — algoritmus matchuje creators s kampaněmi podle audience, niche, anti-fraud score. Nemá právní důsledky, můžete ignorovat

Nepoužíváme automatizované rozhodování s právními důsledky podle čl. 22 GDPR.

10. Děti a nezletilí

Tandemio není určeno pro děti pod 18 let. Při registraci ověřujeme věk přes KYC (creator) nebo IČO (brand).

Pokud zjistíme registraci nezletilého, účet okamžitě zrušíme a data smažeme. Pokud jste rodič a zjistíte, že vaše dítě používá Tandemio, kontaktujte [email protected].

11. Bezpečnost

Implementujeme technická a organizační opatření podle GDPR čl. 32:

• Šifrování v klidu — AES-256 na databázích a zálohách
• Šifrování v přenosu — TLS 1.3 + HSTS, no fallback
• Hashing hesel — Argon2id (memory-hard)
• 2FA — volitelné pro uživatele, povinné pro admin
• Rate limiting + WAF — Cloudflare
• Penetration testing — externí audit ročně
• ISO 27001 alignment — bez certifikace, ale procesy v souladu
• Background checks — pro zaměstnance s přístupem k produkčním datům

12. Oznámení o porušení (Breach notification)

V případě úniku dat:

• Dozorovému úřadu (ÚOOÚ ČR) do 72 hodin od zjištění (čl. 33 GDPR)
• Dotčeným uživatelům bez zbytečného odkladu, pokud vzniká vysoké riziko (čl. 34 GDPR)
• Oznámení obsahuje: povahu úniku, kategorie a počet dotčených, pravděpodobné následky, opatření

Veřejný status: tandemio.app/security (chystáme).

13. Změny zásad

Tyto zásady můžeme měnit. Při významných změnách (nové kategorie dat, nové přijemce) vás notifikujeme minimálně 30 dní předem přes e-mail.

Aktuální verze je vždy na této stránce s datem účinnosti. Historické verze archivujeme.

14. Kontakt a stížnosti

DPO: [email protected] · General: [email protected]

Poštou: Signal Core s.r.o., k rukám DPO, Rybná 716/24, 110 00 Praha 1

Stížnost u úřadu: Úřad pro ochranu osobních údajů (ÚOOÚ), Pplk. Sochora 27, 170 00 Praha 7, uoou.gov.cz