Zásady ochrany osobních údajů

Verze 2 Účinné od 14.06.2026 Vytisknout

1. Úvod a totožnost správce

Tyto Zásady popisují, jakým způsobem zpracovává osobní údaje provozovatel webové aplikace dostupné na adrese https://mojemyti.cz (dále jen „Aplikace") v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 (GDPR) a zákonem č. 110/2019 Sb., o zpracování osobních údajů.

Správcem osobních údajů je:

  • ECOCLEAN+ spol. s r.o.
  • se sídlem 140, 76311 Lípa
  • IČO: 60721952
  • DIČ: CZ60721952
  • kontaktní e-mail pro GDPR: info@mojemyti.cz
  • kontakt pro běžnou podporu: info@mojemyti.cz

(dále jen „Provozovatel").

Provozovatel nemá zákonnou povinnost jmenovat pověřence pro ochranu osobních údajů (DPO) podle čl. 37 GDPR, neboť hlavní činností není rozsáhlé pravidelné a systematické monitorování subjektů údajů ani rozsáhlé zpracování zvláštních kategorií údajů. Pokud Uživatel požaduje DPO smluvně, lze sjednat individuálně.

2. Dvojí role Provozovatele

Provozovatel vystupuje ve dvou různých rolích:

  • Jako správce u údajů uživatelů Aplikace (osob, které si zřídily účet) — Provozovatel sám určuje účely a prostředky zpracování (provoz služby, fakturace, bezpečnost, podpora).
  • Jako zpracovatel u údajů, které do Aplikace vkládá uživatel sám o třetích osobách (kontaktní osoby zákazníků, držitelé karet, Koncoví zákazníci Zákaznického portálu, vlastní zaměstnanci pozvaní do Firmy). V tomto případě je správcem těchto údajů uživatel Aplikace; Provozovatel je zpracovává pouze podle pokynů uživatele a podmínek smlouvy o zpracování (Obchodní podmínky, čl. 13).

Jste-li Koncovým zákazníkem, který se přihlašuje do Zákaznického portálu, je správcem vašich údajů provozovatel myčky / služby, který vám portál zpřístupnil (uživatel Aplikace). Ve věci svých práv se obracejte primárně na něj; Provozovatel mu jako zpracovatel poskytne součinnost.

3. Kategorie zpracovávaných údajů — Provozovatel jako správce

Pokud jste uživatelem Aplikace (máte zřízený účet), Provozovatel o vás zpracovává následující kategorie údajů:

Identifikační a kontaktní údaje

  • jméno, příjmení, e-mailová adresa, telefonní číslo;
  • fakturační údaje (obchodní firma, IČO, DIČ, fakturační adresa).

Přihlašovací a bezpečnostní údaje

  • e-mail jako přihlašovací jméno;
  • hash hesla (algoritmus bcrypt s pracovním faktorem 12 — surové heslo Provozovatel nezná a nemůže obnovit);
  • přístupové klíče (passkey / WebAuthn) — ukládá se pouze veřejný klíč a identifikátor pověření, nikoli biometrie; tu zpracovává výhradně vaše zařízení;
  • tajemství dvoufaktorového ověření (TOTP) uložené šifrovaně AES-256-GCM, je-li 2FA aktivováno;
  • tokeny pro ověření e-mailu, reset hesla a remember-me funkci, vždy s omezenou platností.

Údaje o používání služby

  • IP adresa a hlavička User-Agent při přihlášení a u citlivých akcí (audit log, sessions log);
  • časy přihlášení a poslední aktivity;
  • záznamy o souhlasech (verze podmínek a Zásad, kterou jste odsouhlasili, datum a čas);
  • obsah zpráv s podporou (modul Zprávy) včetně příloh;
  • obsah a stav notifikací zaslaných uživateli; údaje o odběru push notifikací (technický identifikátor prohlížeče / zařízení pro doručení push zprávy);
  • e-mail log — záznamy o odeslaných systémových e-mailech.

Volitelné profilové soubory

  • logo, razítko, podpis, branding portálu (pokud je nahrajete) — uloženy jako soubory v adresáři uploads s náhodně generovaným názvem.

3a. Údaje Koncových zákazníků portálu a dalších třetích osob — Provozovatel jako zpracovatel

Pokud do Aplikace vstupujete jako Koncový zákazník portálu, nebo jste kontaktní osobou či držitelem karty zavedeným uživatelem Aplikace, zpracovává Provozovatel jako zpracovatel zejména: jméno, příjmení, e-mail, telefon, přihlašovací údaje k portálu (hash hesla), čísla a stav karet, zůstatky, historii transakcí a dobíjení, případně obsah zpětné vazby. Správcem těchto údajů je uživatel Aplikace, který je do ní vložil; účely a dobu uchování určuje on.

4. Účely a právní tituly zpracování

4.1 Plnění smlouvy (čl. 6 odst. 1 písm. b) GDPR)

Hlavním účelem je poskytování Aplikace: registrace, přihlášení, spravování Firem, ukládání obsahu, provoz Zákaznického portálu, online dobíjení kreditu, zasílání systémových e-mailů a push notifikací (ověření, schválení, reset hesla, žádost o smazání, oznámení o platbách a nízkém zůstatku), poskytování podpory, vystavování daňových dokladů.

4.2 Plnění právních povinností (čl. 6 odst. 1 písm. c) GDPR)

Vedení účetnictví podle zákona č. 563/1991 Sb. — daňové doklady a podklady k nim po dobu 10 let od konce účetního období. Uchování vybraných záznamů z auditního logu pro účely doložení odpovědnosti podle čl. 5 odst. 2 GDPR.

4.3 Oprávněný zájem (čl. 6 odst. 1 písm. f) GDPR)

Provozovatel zpracovává některé údaje z titulu oprávněného zájmu na zajištění bezpečnosti Aplikace, obraně proti zneužití a zlepšování služby:

  • záznamy o pokusech o přihlášení (rate-limiting brute-force);
  • audit log citlivých akcí;
  • error log pro detekci a opravu chyb;
  • IP a User-Agent u sessions pro detekci podezřelé aktivity;
  • anti-spam ochrana veřejných formulářů zpětné vazby (Cloudflare Turnstile), je-li aktivní;
  • agregovaná a anonymizovaná statistika používání pro vývoj funkcí.

Před zpracováním z titulu oprávněného zájmu Provozovatel vyhodnotil, že jeho zájem převažuje nad zájmy a právy subjektů údajů. Proti tomuto zpracování máte právo vznést námitku (viz čl. 8).

4.4 AI funkce (volitelné)

Aktivuje-li Firma volitelné AI funkce (týdenní souhrn, návrhy textů), předává Aplikace poskytovateli AI (Anthropic, USA) provozní a obchodní údaje nezbytné pro vygenerování výstupu (např. agregované údaje o tržbách a provozu, případně text zprávy, kterou si necháváte navrhnout). Poskytovatel AI tyto údaje podle svých podmínek nepoužívá k trénování modelů. Bez aktivace AI funkcí se k poskytovateli AI nepředává nic.

4.5 Souhlas (čl. 6 odst. 1 písm. a) GDPR)

Pouze pro odběr volitelných marketingových e-mailů, pokud je tato funkce v Aplikaci aktivní a Uživatel souhlas udělil. Souhlas lze kdykoli odvolat odhlašovacím odkazem v každém marketingovém e-mailu nebo v profilu uživatele.

5. Příjemci údajů a subzpracovatelé

Provozovatel může předávat osobní údaje následujícím kategoriím příjemců. Subzpracovatelé označení jako „volitelný" se zapojí pouze tehdy, když uživatel příslušnou funkci v Aplikaci aktivuje:

  • Poskytovatel hostingu a infrastruktury — fyzické a virtuální uložení dat, provoz serverů (EU).
  • Poskytovatel SMTP a IMAP služeb — odesílání systémových e-mailů a přijímání odpovědí.
  • Nayax Ltd. (Izrael) — volitelný, pouze v rozsahu, v jakém uživatel propojí svůj Nayax účet a iniciuje synchronizaci karet a transakcí. Detail: nayax.com/privacy.
  • Provozovatel platební brány (např. Pays.cz, Comgate nebo Stripe) — volitelný, zpracuje platbu při online dobití kreditu podle svých vlastních podmínek; Provozovatel platební údaje (číslo karty apod.) neukládá.
  • Anthropic, PBC (USA) — volitelný, poskytovatel AI modelu pro týdenní souhrn a návrhy textů; zapojen jen u Firem, které AI funkce zapnuly. Detail: anthropic.com/legal/privacy.
  • Cloudflare, Inc. (USA) — volitelný, služba Turnstile pro ochranu veřejného formuláře zpětné vazby proti spamu; zapojena jen je-li nakonfigurována.
  • OpenStreetMap Foundation (služba Nominatim) — geokódování zadané adresy provozovny na GPS souřadnice; předává se pouze adresa, nikoli údaje o uživateli.
  • Open-Meteo — předpověď a historie počasí podle GPS souřadnic provozovny pro funkci „Tržby vs. počasí"; nepředávají se žádné osobní údaje.
  • Provozovatel registru ARES — Ministerstvo financí ČR — Aplikace dotazuje veřejně dostupný registr ekonomických subjektů (ares.gov.cz) podle vámi zadaného IČO; do registru se nepředávají žádné osobní údaje uživatele.
  • Účetní a poskytovatelé právních služeb — pouze v rozsahu nezbytném pro vedení účetnictví a obhajobu právních nároků.
  • Orgány veřejné moci — pouze na základě platného právního požadavku (orgány činné v trestním řízení, Úřad pro ochranu osobních údajů, finanční úřad).

Provozovatel nepoužívá reklamní sítě, analytické nástroje typu Google Analytics, Meta Pixel ani podobné služby. Aplikace nenačítá žádný externí skript, písmo ani CDN za běhu (s výjimkou skriptu Cloudflare Turnstile na stránce veřejné zpětné vazby, je-li aktivní) — ostatní zdroje jsou hostovány self-hosted.

Aktualizovaný seznam jmenovitých subzpracovatelů Provozovatel poskytne Uživateli na vyžádání e-mailem na info@mojemyti.cz.

6. Doba uchování

  • Aktivní účet — po celou dobu existence účtu.
  • Po žádosti o smazání účtu (uživatel i Koncový zákazník portálu) — 14 dnů ochranné lhůty (možnost vrátit zpět), poté nevratné smazání všech osobních údajů kromě těch, které je Provozovatel povinen uchovat ze zákona. Po této lhůtě se PII odstraní i z provozních logů.
  • Přístupové klíče (passkey) a odběr push notifikací — do jejich odebrání uživatelem nebo do smazání účtu.
  • Účetní doklady — 10 let od konce účetního období (zákonná povinnost).
  • Audit log — zpravidla 12 měsíců od poslední akce (konfigurovatelné v Aplikaci), poté anonymizace nebo smazání.
  • Error log — 6 měsíců, poté smazání.
  • Pokusy o přihlášení — 30 dnů, poté smazání.
  • Telemetrie zařízení (Modbus) — výchozí retence vzorků 90 dnů (konfigurovatelné); neobsahuje osobní údaje.
  • Zálohy databáze — výchozí retence 30 dnů (konfigurovatelné). Po této době se smažou i kopie smazaných údajů obsažených v zálohách.
  • E-mail log — 12 měsíců, poté smazání.

7. Předávání mimo EHP

Servery a zálohy Aplikace jsou umístěny v Evropské unii. K předání mimo EHP dochází pouze u volitelných integrací, které si uživatel sám aktivuje:

  • Nayax (Izrael) — synchronizace karet a transakcí. Izrael má rozhodnutí Komise EU o odpovídající ochraně.
  • Anthropic (USA) — AI souhrny a návrhy textů. Předání na základě standardních smluvních doložek (SCC) podle čl. 46 GDPR.
  • Cloudflare (USA) — anti-spam ochrana formuláře zpětné vazby. Předání na základě standardních smluvních doložek (SCC).

Bez aktivace těchto funkcí se mimo EHP nepředává nic.

8. Vaše práva

Jako subjekt údajů máte právo:

  • na přístup ke svým údajům (čl. 15 GDPR) — kompletní strojově čitelný export (soubor JSON) získáte v sekci Profil → Stáhnout moje data; jste-li Koncovým zákazníkem portálu, použijte Zákaznický portál → Profil → Stáhnout moje data;
  • na opravu nepřesných údajů (čl. 16) — většinu lze upravit v sekci Profil;
  • na výmaz („právo být zapomenut", čl. 17) — uživatel přes Profil → Smazat účet, Koncový zákazník přes Zákaznický portál → Profil → Smazat účet; žádost spustí 14denní lhůtu, po níž dojde k nevratnému výmazu;
  • na omezení zpracování (čl. 18) — písemně na info@mojemyti.cz;
  • na přenositelnost (čl. 20) — exportní funkce vrací JSON s vašimi daty;
  • vznést námitku proti zpracování z titulu oprávněného zájmu (čl. 21);
  • odvolat souhlas, byl-li poskytnut (čl. 7 odst. 3) — odhlašovací odkaz v každém marketingovém e-mailu;
  • nebýt předmětem automatizovaného rozhodování s právními účinky (čl. 22) — Aplikace žádné takové rozhodování neprovádí; AI souhrny mají pouze informativní a doporučující povahu;
  • podat stížnost u dozorového úřadu — Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, web: uoou.gov.cz.

Jste-li Koncovým zákazníkem portálu, uplatněte svá práva primárně u provozovatele myčky / služby, který vám portál zpřístupnil (správce vašich údajů); většinu z nich obsloužíte přímo v portálu. Ostatní subjekty uplatní práva e-mailem na adrese info@mojemyti.cz z e-mailové adresy spojené s účtem; v zájmu ověření identity jsme oprávněni požádat o doplňující údaje. Provozovatel odpoví bez zbytečného odkladu, nejpozději do 30 dnů od obdržení žádosti; ve složitých případech lze lhůtu prodloužit o dalších 60 dnů s informací o důvodu.

Žádosti zjevně nedůvodné nebo nepřiměřené, zejména opakované, můžeme odmítnout nebo požadovat přiměřený poplatek pokrývající administrativní náklady.

9. Cookies a podobné technologie

Aplikace používá výhradně technicky nezbytné cookies, bez kterých by nemohla fungovat. Tyto cookies nepodléhají souhlasu podle § 89 zákona č. 127/2005 Sb., o elektronických komunikacích.

Seznam cookies

  • app_session — session cookie, identifikuje vaši přihlášenou relaci (administrace i Zákaznický portál). HttpOnly, SameSite=Lax, Secure (na HTTPS). Platnost: do zavření prohlížeče nebo do 1 hodiny neaktivity.
  • remember_token (volitelně) — pamatuje si přihlášení mezi zavřením prohlížeče. Vytváří se pouze pokud zaškrtnete „Pamatovat si mě" při přihlášení. Platnost: 30 dnů.
  • _csrf — uloženo v session, slouží k ochraně formulářů před útokem CSRF. Není trvalá.
  • Cloudflare Turnstile (volitelně) — pouze na stránce veřejné zpětné vazby, je-li anti-spam aktivní; slouží k odlišení člověka od robota.

Aplikace nepoužívá reklamní cookies, analytické cookies třetích stran, fingerprinting, pixely ani jiné sledovací technologie. Z toho důvodu Aplikace nezobrazuje cookies banner — není vyžadován.

10. Zabezpečení

Provozovatel přijal technická a organizační opatření odpovídající stavu techniky a povaze zpracovávaných údajů, zejména:

  • vynucené HTTPS s HSTS;
  • Content Security Policy s per-request nonce, ochrana XSS;
  • ochrana CSRF u všech POST formulářů;
  • rate-limiting přihlášení (5 pokusů za 15 minut na e-mail, 15 na IP), fail-closed;
  • hashování hesel bcrypt s pracovním faktorem 12;
  • přihlášení přístupovým klíčem (passkey / WebAuthn) a volitelné dvoufaktorové ověření (TOTP);
  • šifrování citlivých provozních tokenů (Nayax API, SMTP heslo, TOTP secret, klíče platební brány) algoritmem AES-256-GCM;
  • oddělení dat jednotlivých Firem na úrovni databáze (multi-tenant izolace, owner verify) a oddělení Zákaznického portálu;
  • audit log citlivých akcí, deduplikovaný error log;
  • kontrola velikosti a typu nahrávaných souborů, ochrana proti DoS přes velké obrázky;
  • pravidelné zálohy a aktualizace knihoven třetích stran;
  • princip nejmenších oprávnění u zaměstnanců a smluvních partnerů Provozovatele.

Provozovatel je oprávněn jednostranně tato opatření aktualizovat a nahradit jinými, která zajistí přinejmenším stejnou úroveň zabezpečení.

11. Změny Zásad

Provozovatel je oprávněn tyto Zásady aktualizovat. Při podstatné změně bude uživatel informován e-mailem nebo in-app upozorněním nejméně 14 dnů předem; Aplikace si při dalším přihlášení vyžádá potvrzení nového znění. Drobné změny (oprava překlepů, upřesnění bez dopadu na práva, aktualizace seznamu příjemců) lze provést bez re-consentu.

Tyto Zásady jsou platné a účinné od .

Tato aplikace používá pouze technicky nezbytné cookies (přihlášení, ochrana proti CSRF, předvolby). Více v zásadách ochrany osobních údajů.