Právní dokumenty · GDPR

Zásady ochrany osobních údajů

Datum účinnosti: 1. 8. 2026  ·  Verze: 1.0
Tyto zásady vysvětlují, jaké osobní údaje shromažďuje a zpracovává provozovatel služby SkinGraph, k jakým účelům, na jakém právním základě a jaká máte práva jako subjekt údajů.

Obsah

  1. Totožnost a kontaktní údaje správce
  2. Jaké osobní údaje zpracováváme
  3. Zvláštní kategorie osobních údajů
  4. Účely a právní základy zpracování
  5. Příjemci a zpracovatelé osobních údajů
  6. Předávání osobních údajů do třetích zemí
  7. Doba uchovávání osobních údajů
  8. Automatizované zpracování a profilování
  9. Vaše práva jako subjektu údajů
  10. Bezpečnost osobních údajů
  11. Soubory cookie a sledovací technologie
  12. Změny těchto zásad
  13. Jak nás kontaktovat
Čl. I

Totožnost a kontaktní údaje správce

Správcem osobních údajů ve smyslu čl. 4 odst. 7 nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů (dále jen „GDPR") je:

Správce nejmenoval pověřence pro ochranu osobních údajů (DPO), neboť tato povinnost nevzniká na základě čl. 37 GDPR. Pro veškeré záležitosti ochrany osobních údajů kontaktujte správce přímo na výše uvedeném e-mailu.

Čl. II

Jaké osobní údaje zpracováváme

V závislosti na způsobu využití služby zpracováváme následující kategorie osobních údajů:

A) Identifikační a kontaktní údaje

B) Fotografie obličeje

C) Údaje z dotazníku o pleti a životním stylu

D) Technické a provozní údaje

Čl. III

Zvláštní kategorie osobních údajů

Upozornění: Dotazník služby SkinGraph obsahuje otázky, jejichž odpovědi mohou představovat zvláštní kategorii osobních údajů dle čl. 9 odst. 1 GDPR — konkrétně údaje o zdravotním stavu.

  1. Dotazník zahrnuje otázky týkající se: dermatologické léčby, hormonálních obtíží a těhotenství nebo kojení. Tyto informace jsou ve smyslu čl. 9 odst. 1 GDPR zdravotními údaji, tedy zvláštní kategorií osobních údajů.

  2. Právním základem pro zpracování těchto údajů je výslovný souhlas subjektu údajů dle čl. 9 odst. 2 písm. a) GDPR, který uživatel uděluje zaškrtnutím příslušného políčka v průběhu objednávkového procesu před dokončením analýzy.

  3. Tyto otázky jsou v rozhraní zřetelně označeny a uživatel může zvolit odpověď „Ne" nebo „Nevím" — poskytnutí informace o konkrétním zdravotním stavu není podmínkou využití služby, ovlivňuje však přesnost a relevanci kosmetického doporučení.

  4. Zdravotní údaje jsou zpracovávány výhradně za účelem vytvoření personalizovaného kosmetického reportu a jsou předávány poskytovateli AI technologie (viz Čl. V) jako nezbytná součást analýzy. Nejsou dále sdíleny s třetími stranami ani využívány k jiným účelům.

  5. Souhlas se zpracováním zdravotních údajů lze kdykoli odvolat e-mailem na privacy@skingraph.cz. Odvolání souhlasu nemá vliv na zákonnost zpracování provedeného před jeho odvoláním, ale může mít za následek nemožnost opětovného vyhotovení reportu ze stejných podkladů.

Čl. IV

Účely a právní základy zpracování

Účel zpracování Kategorie údajů Právní základ (GDPR)
Vytvoření a doručení personalizovaného kosmetického reportu E-mail, fotografie, dotazník (vč. zdravotních údajů) Čl. 6 odst. 1 písm. b) — plnění smlouvy

Pro zdravotní údaje: čl. 9 odst. 2 písm. a) — výslovný souhlas
Zpracování platby a ověření transakce E-mail, reference platby Čl. 6 odst. 1 písm. b) — plnění smlouvy
Plnění zákonných účetních a daňových povinností E-mail, transakční záznamy Čl. 6 odst. 1 písm. c) — právní povinnost
Technický provoz, bezpečnost a ochrana systému před zneužitím IP adresa, technické logy Čl. 6 odst. 1 písm. f) — oprávněný zájem správce
Vyřizování reklamací a uplatnění nebo obrana právních nároků E-mail, objednávkové záznamy Čl. 6 odst. 1 písm. f) — oprávněný zájem správce
Zasílání provozních a transakčních e-mailů (potvrzení objednávky, doručení reportu) E-mail Čl. 6 odst. 1 písm. b) — plnění smlouvy

Správce nezpracovává osobní údaje za účelem přímého marketingu bez předchozího výslovného souhlasu uživatele.

Čl. V

Příjemci a zpracovatelé osobních údajů

Osobní údaje uživatelů jsou předávány pouze důvěryhodným třetím stranám, se kterými má správce uzavřenu smlouvu o zpracování osobních údajů (DPA) v souladu s čl. 28 GDPR:

Zpracovatel Sídlo Účel předání Předávané údaje
Cloudflare, Inc.
cloudflare.com
USA / Irsko (EU) Hosting webové stránky, CDN, provoz serverless výpočetní infrastruktury (Cloudflare Pages a Workers) Veškerá data procházející webovým rozhraním (IP, technické logy)
Anthropic, PBC
anthropic.com
USA Poskytovatel AI technologie — zpracování fotografií a dotazníkových dat za účelem vytvoření kosmetické analýzy prostřednictvím vlastního analytického systému SkinGraph Optimalizované fotografie obličeje, odpovědi z dotazníku (vč. zdravotních údajů)
Stripe Payments Europe, Limited / Stripe, Inc.
stripe.com
Irsko / USA Zpracování plateb, ověření transakcí E-mailová adresa, transakční údaje (platební údaje kartou zpracovává výhradně Stripe — správce k nim nemá přístup)

Správce neprodává, nepronajímá ani jiným způsobem nezpřístupňuje osobní údaje uživatelů třetím stranám za komerčním účelem.

V odůvodněných případech mohou být osobní údaje předány orgánům veřejné moci (orgány činné v trestním řízení, soudy, správní orgány), pokud to vyžadují právní předpisy nebo rozhodnutí příslušného orgánu. V takovém případě bude správce postupovat v souladu s GDPR a příslušnými vnitrostátními předpisy.

Čl. VI

Předávání osobních údajů do třetích zemí

Dva ze zpracovatelů (Anthropic a Stripe) sídlí ve Spojených státech amerických (USA), které jsou z pohledu GDPR třetí zemí bez rozhodnutí o přiměřenosti. Přenos je zajištěn standardními smluvními doložkami (SCC) schválenými Evropskou komisí.

  1. Anthropic, PBC: Fotografie a dotazníková data (včetně zdravotních údajů) jsou předávána poskytovateli AI technologie se sídlem v USA. Přenos je realizován na základě standardních smluvních doložek (SCC) dle prováděcího rozhodnutí Komise (EU) 2021/914. Anthropic je vázán smlouvou o zpracování osobních údajů zahrnující technická a organizační opatření ochrany dat. Po zpracování analýzy Anthropic uchovává data v souladu s vlastními podmínkami zpracování; jejich aktuální znění je dostupné na anthropic.com/legal/privacy.

  2. Stripe: Platební transakce jsou zpracovávány primárně prostřednictvím Stripe Payments Europe, Limited (Irsko, tedy v rámci EHP). Určité operace mohou zahrnovat přenos dat do Stripe, Inc. (USA) na základě SCC nebo rámce EU-US Data Privacy Framework, jehož je Stripe certifikovaným účastníkem.

  3. Cloudflare: Data jsou primárně zpracovávána v datových centrech na území EHP. Cloudflare je certifikovaným účastníkem rámce EU-US Data Privacy Framework a pro přenosy dat do USA využívá SCC. Bližší informace: cloudflare.com/gdpr.

  4. Uživatel má právo požádat o kopii příslušných záruk (SCC) nebo bližší informace o přenosech do třetích zemí na e-mailu privacy@skingraph.cz.

Čl. VII

Doba uchovávání osobních údajů

Kategorie údajů Doba uchovávání Důvod
Fotografie obličeje 90 dní od vyhotovení reportu Technická dostupnost reportu, možnost opravit/regenerovat výstup při reklamaci
Dotazníkové odpovědi (vč. zdravotních údajů) 90 dní od vyhotovení reportu Totéž; zdravotní údaje jsou mazány jako první při uplatnění práva na výmaz
Personalizovaný report (výstup) 90 dní od vyhotovení (poté může být smazán) Dostupnost pro uživatele; doporučujeme stáhnout PDF
E-mailová adresa a transakční záznamy 5 let od uzavření smlouvy Zákonná povinnost — uchovávání účetních dokladů (zákon č. 563/1991 Sb.)
Technické logy (IP, přístupy) 90 dní Bezpečnost systému, odhalení zneužití (oprávněný zájem)
Záznamy o udělených souhlasech Po dobu zpracování + 3 roky poté Prokazatelnost zákonnosti zpracování (čl. 7 odst. 1 GDPR)

Po uplynutí doby uchovávání jsou osobní údaje bezpečně smazány nebo anonymizovány tak, aby je nebylo možné přiřadit konkrétní fyzické osobě.

Čl. VIII

Automatizované zpracování a profilování

  1. Služba SkinGraph je ze své podstaty automatizovanou službou — report je vytvořen automatizovaným analytickým systémem bez přímého lidského zásahu do tvorby konkrétního doporučení.

  2. Toto automatizované zpracování nepředstavuje rozhodnutí ve smyslu čl. 22 GDPR, neboť výstupy nemají právní účinky ani srovnatelně závažné dopady na uživatele. Jde o kosmetické doporučení, nikoli o rozhodnutí s právní závazností.

  3. Správce neprovádí profilování uživatelů pro marketingové účely, segmentaci zákazníků ani scoring, který by byl použit k odlišnému zacházení s uživateli.

  4. Uživatel je nicméně oprávněn požádat o lidský přezkum výstupů reportu nebo vznést námitku proti automatizovanému zpracování prostřednictvím e-mailu privacy@skingraph.cz. V takovém případě správce posoudí případ individuálně a odpoví do 30 dnů.

Čl. IX

Vaše práva jako subjektu údajů

Jako subjekt údajů máte ve vztahu ke svým osobním údajům zpracovávaným správcem následující práva:

1Právo na přístup (čl. 15)

Máte právo získat potvrzení, zda jsou vaše osobní údaje zpracovávány, a pokud ano, přístup k nim včetně informace o účelech, kategoriích, příjemcích a době uchovávání.

2Právo na opravu (čl. 16)

Máte právo na opravu nepřesných nebo doplnění neúplných osobních údajů, které se vás týkají.

3Právo na výmaz — „být zapomenut" (čl. 17)

Máte právo na výmaz svých osobních údajů, pokud pominul účel zpracování, odvoláte souhlas nebo vznesete námitku a neexistuje jiný zákonný důvod pro zpracování. Právo se neuplatní, pokud je zpracování nezbytné pro splnění zákonné povinnosti.

4Právo na omezení zpracování (čl. 18)

Máte právo na omezení zpracování v případech stanovených GDPR, například po dobu ověřování přesnosti údajů nebo existence oprávněných důvodů pro zpracování.

5Právo na přenositelnost (čl. 20)

Máte právo obdržet své osobní údaje, které jste poskytli, ve strukturovaném, běžně používaném a strojově čitelném formátu (JSON / CSV) a předat je jinému správci — pokud je zpracování založeno na souhlasu nebo smlouvě a probíhá automatizovaně.

6Právo vznést námitku (čl. 21)

Máte právo vznést námitku proti zpracování osobních údajů na základě oprávněného zájmu správce (čl. 6 odst. 1 písm. f). Správce zpracování ukončí, pokud neprokáže závažné oprávněné důvody převažující nad vašimi zájmy.

7Právo odvolat souhlas (čl. 7 odst. 3)

Pokud je zpracování (včetně zdravotních údajů) založeno na souhlasu, máte právo jej kdykoli odvolat bez dopadu na zákonnost předchozího zpracování.

8Právo podat stížnost (čl. 77)

Máte právo podat stížnost u dozorového úřadu — Úřadu pro ochranu osobních údajů (ÚOOÚ), Pplk. Sochora 27, 170 00 Praha 7, uoou.cz.

Pro uplatnění jakéhokoli práva nás kontaktujte e-mailem na privacy@skingraph.cz. Na vaši žádost odpovíme bez zbytečného odkladu, nejpozději do 30 dnů od jejího obdržení. V odůvodněných případech může být tato lhůta prodloužena o další dva měsíce, o čemž vás budeme informovat.

Uplatnění práv je zásadně bezplatné. Pokud by žádost byla zjevně nedůvodná nebo nepřiměřená (zejména opakující se), vyhrazuje si správce právo účtovat přiměřený poplatek nebo odmítnout žádosti vyhovět.

Čl. X

Bezpečnost osobních údajů

  1. Správce přijal technická a organizační opatření k zajištění bezpečnosti osobních údajů přiměřená povaze, rozsahu a účelům zpracování v souladu s čl. 32 GDPR. Opatření zahrnují zejména:

    1. šifrování přenosu dat protokolem TLS (HTTPS) mezi prohlížečem uživatele a servery;
    2. optimalizaci a komprimaci fotografií na straně klienta (v prohlížeči uživatele) před jejich odesláním — originální fotografie se na server neodesílají;
    3. ukládání citlivých konfiguračních hodnot (API klíče) výhradně v prostředí serverless infrastruktury jako šifrované tajné proměnné (secrets), nikoli v kódu aplikace;
    4. omezení přístupu k osobním údajům uživatelů na nezbytné minimum;
    5. využití infrastruktury zpracovatelů s odpovídajícími certifikacemi bezpečnosti (ISO 27001, SOC 2).
  2. V případě porušení zabezpečení osobních údajů (data breach), které pravděpodobně povede k vysokému riziku pro práva a svobody fyzických osob, bude správce postupovat v souladu s čl. 33 a 34 GDPR — ohlásí porušení dozorovému úřadu do 72 hodin a bez zbytečného odkladu informuje dotčené uživatele.

  3. Žádný systém přenosu a ukládání dat není stoprocentně bezpečný. Správce vynakládá veškeré přiměřené úsilí k ochraně vašich dat, avšak nemůže zaručit absolutní bezpečnost.

Čl. XI

Soubory cookie a sledovací technologie

  1. Webová stránka skingraph.cz může využívat soubory cookie a obdobné technologie (např. localStorage) za účelem technického provozu aplikace.

  2. Technicky nezbytné cookie: Slouží k fungování webové stránky (např. zachování stavu přihlášení nebo rozpracované objednávky v průběhu relace). Tyto cookie nevyžadují souhlas uživatele.

  3. Analytické a marketingové cookie: V současné verzi služby nejsou využívány analytické nástroje třetích stran (Google Analytics apod.) ani remarketingové pixely. Pokud by byly v budoucnosti zavedeny, bude o tom uživatel informován a souhlas bude vyžádán v souladu s § 89 zákona č. 127/2005 Sb., o elektronických komunikacích.

  4. Uživatel může správu souborů cookie provést prostřednictvím nastavení svého prohlížeče. Zablokování technicky nezbytných cookie může mít za následek nefunkčnost části nebo celé služby.

Čl. XII

Změny těchto zásad

  1. Správce je oprávněn tyto zásady kdykoli aktualizovat. Aktuální verze je vždy dostupná na webovém rozhraní na adrese skingraph.cz/gdpr.html.

  2. V případě podstatných změn (nové účely zpracování, noví zpracovatelé, přenosy do nových třetích zemí) bude správce uživatele informovat e-mailem nebo zřetelným oznámením na webovém rozhraní nejméně 14 dní před nabytím účinnosti změny.

  3. Datum poslední aktualizace je uvedeno v záhlaví tohoto dokumentu.

Čl. XIII

Jak nás kontaktovat

Pro veškeré dotazy, žádosti o uplatnění práv nebo podání stížnosti týkající se ochrany osobních údajů nás kontaktujte:

Pokud nejste spokojeni s naší odpovědí nebo způsobem, jakým zpracováváme vaše osobní údaje, máte právo podat stížnost u dozorového úřadu: