Zásady ochrany osobních údajů
Účinné od 8. 7. 2026 · Verze 2026-07-08
Společnost NemotiQ s.r.o., IČO: 29729025, se sídlem Jungmannova 2866, 438 01 Žatec(dále jen „Správce“), provozovatel aplikace NemotiQ (dále jen „Aplikace“, dostupná na nemotiq.cz), zpracovává osobní údaje uživatelů v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 – obecné nařízení o ochraně osobních údajů (dále jen „GDPR“) a se zákonem č. 110/2019 Sb., o zpracování osobních údajů.
Tyto zásady popisují, jaké údaje zpracováváme, proč, na jakém právním základě, komu je předáváme, jak dlouho je uchováváme a jaká máte práva.
Aplikace NemotiQ je B2B SaaS platforma pro realitní makléře a kanceláře. Bližší popis viz Všeobecné obchodní podmínky, čl. 1.
A. Subjekty údajů
Rozlišujeme tyto kategorie osob, jejichž údaje zpracováváme:
| Subjekt | Popis | Právní vztah ke Správci |
|---|---|---|
| Uživatel (makléř) | Registrovaný realitní makléř nebo zaměstnanec realitní kanceláře, který užívá Aplikaci | Smlouva o užívání Aplikace; Správce ve vztahu k vlastním údajům |
| Účastník transakce | Třetí osoba (kupující, prodávající, právní zástupce, znalec), která dostala token Klientského portálu | Bez registrace; údaje předané Uživatelem-makléřem (Správce = makléř, Zpracovatel = NemotiQ) |
| Kontakt v CRM | Klient nebo zájemce, jehož údaje vede Uživatel v modulu CRM | Údaje předané Uživatelem-makléřem (Správce = makléř, Zpracovatel = NemotiQ) |
| Návštěvník | Osoba procházející webové rozhraní bez registrace | Bez smluvního vztahu; cookies a měření |
Dvojí postavení Správce: Ve vztahu k údajům Uživatele (registrace, fakturace, audit) je NemotiQ správcem; ve vztahu k údajům klientů a účastníků transakcí, které do Aplikace vkládá Uživatel-makléř, je makléř správcem a NemotiQ zpracovatelem dle čl. 28 GDPR – viz DPA.
Sdílení v rámci kanceláře (Office): Uživatelé v roli agent_office sdílejí přístup k transakcím, dokumentům a CRM kontaktům v rámci jedné realitní kanceláře (model Office). Toto sdílení je vědomě iniciováno správcem dat (vedoucím kanceláře, který pozve další uživatele), a NemotiQ k němu poskytuje pouze technické rozhraní. Granulární RBAC zajistí, že uživatel mimo kancelář k datům nemá přístup (filtr officeId ve všech dotazech).
Administrátoři NemotiQ (role admin a ops): Zaměstnanci Provozovatele mají administrativní přístup k vybraným údajům výhradně za účelem (a) technické podpory, (b) plnění právních povinností (např. žádost o výmaz dle čl. 17 GDPR), a (c) bezpečnostní reakce na incidenty. Veškeré administrativní akce jsou logovány v immutabilním audit logu (DB triggery zabraňují manipulaci) a jejich rozsah je omezen principem minimalizace dat.
B. Kategorie zpracovávaných osobních údajů
B.1 Identifikační a přihlašovací údaje (registrovaní uživatelé)
E-mailová adresa, jméno a příjmení, telefon (nepovinné), název realitní kanceláře / firmy (nepovinné), IČO (nepovinné), preferovaný jazyk, heslo (uloženo výhradně jako kryptografický hash bcrypt s 12 koly; u přihlášení přes Google heslo neukládáme), při přihlášení přes Google identifikátor Google účtu, jedinečný token pro kalendářní feed.
Profilová fotografie (volitelná): můžete si nahrát vlastní fotku pro profesní prezentaci. Zobrazuje se v aplikaci a účastníkům ve vašem klientském portálu. Při nahrání z fotky odstraníme metadata EXIF/GPS (poloha) a zmenšíme ji na jednotný formát. Právní základ je plnění smlouvy a oprávněný zájem na profesní prezentaci; fotku kdykoli odeberete. Nejde o biometrický údaj.
B.2 Bezpečnostní a technická metadata (registrovaní uživatelé)
IP adresa, user-agent prohlížeče, čas posledního přihlášení, počet neúspěšných pokusů o přihlášení, lockout timestamp, refresh tokeny (uložené jako kryptografický hash), token verze (pro invalidaci session), e-mail verifikační a reset password tokeny (s časovou platností).
B.3 Údaje o transakcích (vkládá Uživatel)
Adresa nemovitosti, město, PSČ, typ transakce (prodej / pronájem), kupní cena, popis nemovitosti, očekávané datum uzavření, interní poznámky, stav transakce, časová razítka aktivity. Veškeré údaje o třetích osobách v transakci vkládá Uživatel-makléř a odpovídá za pořízení v souladu s GDPR.
B.4 Účastníci transakce (Klientský portál)
Jméno a e-mail účastníka transakce, role v transakci (kupující / prodávající / právník / makléř / další), token pozvánky (v databázi se neukládá v otevřené podobě — jen jako SHA-256 otisk pro vyhledání a šifrovaně AES-256-GCM pro rekonstrukci odkazu), datum přijetí pozvánky, status, metadata aktivity v portálu.
B.5 Dokumenty transakce a elektronický podpis
Cesta k uloženému souboru dokumentu, kategorie, název, kdo nahrál, poznámka. Pro dokumenty odeslané k podpisu navíc: identifikátor kontraktu u poskytovatele eSign (Signi), poskytovatel, časové razítko odeslání. U dokončeného podpisu: e-mail podepisujícího, IP adresa, user-agent, časová razítka, cesta k podpisovému obrazu.
B.6 CRM kontakty (vkládá Uživatel)
Jméno, příjmení, e-mail, telefon, datum narození / svátek, ulice, město, PSČ, název firmy, IČO, GPS souřadnice (volitelné), poznámky, tagy, segmenty. Citlivá pole telefon, IČO, ulice a e-mail jsou v databázi uložena šifrovaně algoritmem AES-256-GCM na úrovni Prisma Client Extension (klíč v proměnné prostředí ENCRYPTION_KEY).
Marketingový souhlas u CRM kontaktů: samostatné pole boolean s časovým razítkem udělení/odvolání. Po odvolání + 30 dní bez navázané transakce následuje hard delete; s transakcí anonymizace polí (e-mail, telefon, ulice, IČO, poznámka, datum narození).
B.7 CRM kampaně a komunikace
Předmět e-mailu, HTML a textový obsah, přílohy (UUID), seznam příjemců, status (pending/sent/delivered/opened/clicked/bounced), čas otevření a kliknutí, počet otevření a kliknutí. U follow-up queue: typ připomínky, plánované datum odeslání, status. Tracking otevírání lze provozovateli účtu vypnout v nastavení; odhlášení z marketingu je v patičce e-mailu vždy dostupné.
B.8 Due Diligence reporty
Adresa nemovitosti, e-mail Uživatele, výsledky dotazů na ČÚZK / CEE / ISIR (zatím ukázková data – funkce v přípravě), generovaný PDF, sdílecí token s expirací 30 dní.
B.9 Kalendář a synchronizace s Google
OAuth tokeny (access + refresh; uložené šifrovaně algoritmem AES-256-GCM v databázi — vratné šifrování je nutné pro pozdější odvolání tokenů u Googlu při výmazu), ID kalendáře, název a popis událostí, čas, účastníci, status synchronizace. Synchronizace se aktivuje pouze na základě explicitního OAuth souhlasu Uživatele.
B.10 Předplatné a fakturace
Stav předplatného, plán, expirace. Po aktivaci živé fakturace dále: Stripe Customer ID, Stripe Subscription ID, fakturační údaje předané Stripe (jméno, adresa, IČO, DIČ), datum začátku a konce fakturačního období, dunning history. Údaje karty Správce neukládá; jsou zpracovávány výhradně Stripe v souladu s PCI DSS.
B.11 Bezpečnostní audit log
Datum a čas, IP adresa, user-agent, akce (login, logout, register, password reset, transaction.*, document.*, gdpr.*, consent.*, …), cíl akce, identifikace aktéra a metadata.
B.12 Odchozí komunikace (transakční e-maily)
Adresa příjemce, předmět, tělo, vazba na transakci/krok/účastníka, kanál (email), status (queued / sent / failed / permanently_failed), časová razítka, počet pokusů, metadata.
B.13 Souhlasy s právními dokumenty
Záznam o akceptaci VOP a Zásad ochrany osobních údajů při registraci (verze dokumentu, datum, IP adresa, user-agent), audit log akce user.legal_consent. Záznam o cookie souhlasu (verze kategorií, volby uživatele, datum, IP, user-agent) – audit log akce consent.cookies_set.
B.14 Marketingový souhlas Uživatele
Boolean příznak souhlasu, datum udělení (`consentedAt`), datum odvolání (`consentRevokedAt`).
B.15 AML / KYC identifikační údaje (z. č. 253/2008 Sb.)
FO: jméno, příjmení, rodné příjmení, tituly, rodné číslo, datum a místo narození, státní příslušnost, adresa trvalého pobytu, druh a číslo dokladu, vydavatel a platnost dokladu, případně scan kopie dokladu.
PO: obchodní jméno, IČO, DIČ, rejstříkový soud, jméno statutárního orgánu.
AML kontext: účel obchodního vztahu, zdroj finančních prostředků, příznak PEP (politicky exponovaná osoba), úroveň rizika, výsledky screeningu proti sankčním seznamům.
Citlivá pole (rodné číslo, číslo dokladu, adresa, statutární orgán) jsou v databázi šifrovaná AES-256-GCM. Žádný outbound k AI / třetím stranám.
C. Účely a právní základy zpracování
C.1 Provoz Aplikace a správa uživatelských účtů
Účely: vytvoření a správa Uživatelského účtu, ověření identity, odesílání transakčních e-mailů (potvrzení registrace, reset hesla, technické notifikace), zachování bezpečnosti účtu.
Právní základ: plnění smlouvy (čl. 6 odst. 1 písm. b GDPR).
C.2 Správa transakcí a Klientský portál
Účely: ukládání a zobrazování dat o transakcích, generování pozvánek, provoz Klientského portálu pro účastníky transakcí, sledování kroků a dokumentů.
Právní základ: plnění smlouvy s Uživatelem (čl. 6 odst. 1 písm. b GDPR); ve vztahu k účastníkům transakcí Správce = Uživatel-makléř, Zpracovatel = NemotiQ ( DPA).
C.3 CRM, kampaně a follow-upy
Účely: evidence kontaktů, segmentace, odesílání hromadných i automatizovaných e-mailových kampaní (svátek, narozeniny, pravidelné check-iny) a generování dopisních (poštovních) kampaní ve formátu PDF.
Právní základ:
- ve vztahu mezi NemotiQ a Uživatelem-makléřem: plnění smlouvy (čl. 6 odst. 1 písm. b GDPR);
- ve vztahu k samotným kontaktům v CRM: Správcem je Uživatel-makléř, jeho právní základ vůči kontaktům řeší vlastní privacy notice kanceláře (zpravidla oprávněný zájem nebo souhlas);
- marketingový souhlas kontaktů je v Aplikaci evidovaný explicitně (boolean + datum) a Aplikace zabraňuje odeslání elektronické kampaně osobám, které souhlas odvolaly nebo nikdy neudělily;
- u dopisních (poštovních) kampaní je právním základem oprávněný zájem na přímém marketingu (čl. 6 odst. 1 písm. f GDPR); omezení souhlasem dle § 7 zák. č. 480/2004 Sb. se vztahuje jen na elektronická obchodní sdělení, nikoli na poštovní zásilky. I zde má kontakt právo vznést námitku (opt-out).
C.4 Elektronický podpis dokumentů (Signi)
Účely: odeslání dokumentu k podpisu, zachycení výsledku (podepsáno / odmítnuto / zrušeno), uložení podpisového obrazu a metadat.
Právní základ: plnění smlouvy s Uživatelem-makléřem (čl. 6 odst. 1 písm. b GDPR), oprávněný zájem na ochraně právních nároků (čl. 6 odst. 1 písm. f GDPR) ve vztahu k údajům podepisujícího; Signi a.s. je samostatným zpracovatelem (viz Seznam zpracovatelů).
C.5 Synchronizace s Google Calendar
Účely: obousměrná synchronizace událostí mezi kalendářem makléře a Aplikací.
Právní základ: souhlas Uživatele (čl. 6 odst. 1 písm. a GDPR) udělený OAuth flow Google. Souhlas lze kdykoli odvolat odpojením integrace v Aplikaci nebo v nastavení Google účtu; Aplikace v rámci GDPR výmazu volá také Google revoke endpoint.
C.6 Due Diligence reporty
Účely: generování souhrnných reportů o nemovitosti (zatím s ukázkovými daty – funkce v přípravě; produkční integrace ČÚZK / CEE / ISIR v plánu).
Právní základ: plnění smlouvy s Uživatelem (čl. 6 odst. 1 písm. b GDPR). Sdílení reportu veřejným odkazem s tokenem má omezenou platnost 30 dní (následně cron token nullnutí).
C.7 Předplatné a platby
Účely: zpracování plateb Předplatného, automatické obnovení, dunning, fakturace, vystavení daňových dokladů.
Právní základ: plnění smlouvy (čl. 6 odst. 1 písm. b GDPR), plnění právních povinností daňových a účetních (čl. 6 odst. 1 písm. c GDPR – zákon č. 235/2004 Sb. o DPH; zákon č. 563/1991 Sb. o účetnictví).
C.8 Bezpečnost a prevence podvodu
Účely: ukládání audit logu, blokování účtu po opakovaných chybných pokusech (lockout), monitorování chybových hlášení, detekce zneužití.
Právní základ: oprávněný zájem (čl. 6 odst. 1 písm. f GDPR) na bezpečnosti a integritě služby; plnění právních povinností.
C.9 Marketingová komunikace
Účely: zasílání marketingových sdělení o novinkách, tipech a webinářích Uživatelům, kteří udělili samostatný souhlas v registraci nebo v nastavení.
Právní základ: souhlas (čl. 6 odst. 1 písm. a GDPR), volitelný a kdykoli odvolatelný.
C.10 Plnění právních povinností a obrana právních nároků
Účely: uchovávání faktur a účetní evidence, reakce na žádosti orgánů veřejné moci, obrana právních nároků.
Právní základ: plnění právních povinností (čl. 6 odst. 1 písm. c GDPR), oprávněný zájem (čl. 6 odst. 1 písm. f GDPR).
C.11 Souhlasy a důkaz souhlasu
Účely: ukládání záznamů o udělení/odvolání souhlasu (datum, IP, user-agent, verze dokumentu) jako důkaz pro účely čl. 7 odst. 1 GDPR.
Právní základ: plnění právních povinností (čl. 6 odst. 1 písm. c GDPR).
C.12 AML / KYC compliance (z. č. 253/2008 Sb.)
Účely: identifikace klienta dle § 8 AML zákona, kontrola klienta dle § 9 – automatizovaný screening proti 4 agregovaným veřejným sankčním seznamům (EU, UN, OFAC SDN, OpenSanctions PEP přes OpenSanctions agregátor; ČNB sankce jsou pokryty jako mirror EU FSF dle zák. 69/2006 Sb.) + manuální ověření odpovědnou osobou v insolvenčním rejstříku ISIR (isir.justice.cz) a Centrální evidenci exekucí CEE (ceecr.cz); plnění oznamovací povinnosti vůči FAÚ.
Právní základ: plnění právních povinností (čl. 6 odst. 1 písm. c GDPR – z. č. 253/2008 Sb.).
Příjemci: nikdo – všechny operace probíhají interně, žádný outbound k AI ani třetím stranám. Sankční seznamy se stahují z veřejných zdrojů jednosměrně (download), data klienta jsou kontrolována lokálně v NemotiQ.
Retence: 10 let dle § 16 AML zákona, i po ukončení obchodního vztahu. Po této době jsou záznamy automaticky smazány cronem gdpr-cleanup (cascade i screening runs a matches). Při výmazu uživatele dle GDPR čl. 17 se AML data NEMAŽÍ, pouze anonymizují (vazba na agenta se přepíše na NULL), aby byla zachována 10letá zákonná povinnost.
D. Předávání osobních údajů třetím stranám (subprocesoři)
Osobní údaje předáváme pouze v nezbytném rozsahu a pouze ověřeným zpracovatelům. Aktualizovaný seznam subprocesorů je dostupný na nemotiq.cz/zpracovatele.
| Příjemce / Služba | Sídlo | Účel a předávané údaje | Záruky |
|---|---|---|---|
| Vercel, Inc. | USA (region eu-west) | Hosting webové aplikace, edge funkce a plánované úlohy (cron). Web Analytics je připravené, ale zatím nenasazené a bez cookies. | DPA, Standardní smluvní doložky (SCC), EU-US Data Privacy Framework. |
| Resend, Inc. | USA | Transakční e-maily a kampaně z modulu CRM (e-mail, jméno, obsah, metriky doručení). | DPA, SCC. |
| Signi a.s. | Česká republika | Elektronický podpis dokumentů (jméno, e-mail, IP, otisk prohlížeče, podpisový obraz, dokument). | DPA dle čl. 28 GDPR. |
| Google Ireland Limited (Google Calendar API) | Irsko + USA | Synchronizace kalendáře (OAuth tokeny, ID kalendáře, název a popis událostí, účastníci) – pouze na základě explicitního souhlasu uživatele. | SCC, EU-US DPF. |
| Stripe Payments Europe, Limited | Irsko + USA | Zpracování plateb Předplatného kartou (je-li tento způsob aktivní). Údaje karty, fakturační adresu, IČO/DIČ; identifikátor zákazníka a předplatného. | DPA, SCC, EU-US DPF. |
| Supabase Inc. | EU (Frankfurt) / USA (podpora) | Provoz produkční databáze PostgreSQL. | SCC (2021/914) + DPA. |
| Cloudflare, Inc. (R2) | EU / USA | Objektové úložiště souborů aplikace (dokumenty transakcí, podepsané smlouvy, PDF faktur, fotogalerie nemovitostí, osobní knihovna makléře šifrovaná at-rest, profilové fotografie). Nahrané soubory mohou obsahovat osobní údaje smluvních stran. | DPA, SCC; ukládání do EU regionu R2. |
| Upstash, Inc. | EU / USA | Perzistentní rate limiting (krátkodobé čítače dle identifikátoru; bez obsahu zpráv). | DPA, SCC, EU-US DPF. |
| Functional Software, Inc. (Sentry) | USA | Sledování runtime chyb (výchozí vzorkování 0 %; sendDefaultPii vypnuté, tj. IP/cookies/request body se neposílají). Stack trace, identifikátor uživatele (UUID), kontext chyby. | DPA, SCC, EU-US DPF. |
Databáze běží primárně v EU regionu (Frankfurt). Subprocesoři pro objektové úložiště souborů, zasílání e-mailů, platby, kalendář, rate limiting a chybové logy mohou zpracovávat údaje i mimo EU (v USA) – ve všech případech jsou uzavřeny standardní smluvní doložky (SCC) dle čl. 46 odst. 2 písm. c GDPR, u některých doplněné o certifikaci v rámci EU-US Data Privacy Framework. Úplný a závazný seznam včetně mechanismu přenosu u každého článku je na stránce Zpracovatelé.
Předávání orgánům veřejné moci: Údaje předáváme orgánům veřejné moci (Policie ČR, soudy, finanční úřad) výhradně na základě zákonné povinnosti nebo platného procesního úkonu.
E. Doba uchovávání osobních údajů (retenční tabulka)
| Kategorie údajů | Doba uchovávání |
|---|---|
| Uživatelský účet (B.1, B.2) | Po dobu existence účtu. Po smazání: do 30 dnů. Po neaktivitě 12 měsíců je Provozovatel oprávněn účet zrušit (čl. 3.8 VOP). |
| Údaje o transakcích a dokumenty (B.3, B.5) | Po dobu existence transakce. Smluvní a podepsané dokumenty pro účely obrany právních nároků až 10 let (zákon o účetnictví; obecná promlčecí doba). |
| Účastníci transakce – pozvánky (B.4) | Pozvánka ve stavu pending: smazána do 90 dnů po expiraci. |
| CRM kontakty (B.6) | Po dobu existence kontaktu. Po odvolání marketingového souhlasu + 30 dní bez transakce: hard delete; s transakcí anonymizace polí (e-mail, telefon, ulice, IČO, poznámka, datum narození). |
| CRM kampaně, statistiky (B.7) | Po dobu existence účtu Uživatele. |
| DD Reporty a sdílecí tokeny (B.8) | Po dobu existence reportu. Sdílecí token expiruje po 30 dnech a cron jej následně nullnutí. |
| AML / KYC identifikace a screening (B.15) | 10 let dle § 16 z. č. 253/2008 Sb. – i po ukončení obchodního vztahu. Citlivá pole šifrovaná AES-256-GCM. |
| Kalendářní integrace (B.9) | Po dobu propojení. V rámci GDPR výmazu Aplikace vola Google revoke endpoint, aby tokeny zneplatnila i u Googlu. |
| Předplatné, faktury, fakturační údaje (B.10) | Faktury a daňové doklady: 10 let od konce zdaňovacího období (§ 35 z. č. 235/2004 Sb. + § 31 zákona o účetnictví). Při výmazu účtu se PII na faktuře anonymizují, ale doklady samotné musí zůstat archivované. Stav předplatného (`Subscription`) a fakturační profil (`BillingProfile`) se mažou společně s účtem (cascade). |
| Audit log (B.11) | 3 roky od vytvoření záznamu (následně automaticky maže denní cron). |
| Odchozí komunikace (B.12) | Po dobu existence transakce, kterou se týká. Logy o doručení minimálně 3 roky pro obranu nároků. |
| Souhlasy s VOP/Privacy (B.13) | 3 roky po smazání účtu – důkaz pro případný spor (čl. 7 odst. 1 GDPR). Identifikační údaje subjektu se při smazání účtu anonymizují, samotný záznam o souhlasu zůstává. |
| Cookie souhlas (B.13) | 12 měsíců od udělení (po této době Aplikace znovu vyžádá souhlas – EDPB 5/2020). |
| Marketingový souhlas Uživatele (B.14) | Po dobu trvání účtu. Po odvolání: záznam o odvolání zůstává pro důkazní účely 3 roky. |
| Refresh tokeny, e-mail verifikace, password reset | Do použití nebo expirace. Verification a reset tokeny: max 24 hodin. |
Po uplynutí retenční doby Správce údaje smazává nebo anonymizuje. Anonymizace znamená nevratné odstranění identifikátorů tak, aby údaje již nebylo možné spojit s konkrétní fyzickou osobou.
F. Vaše práva
V souvislosti s vašimi osobními údaji máte následující práva podle čl. 15–22 GDPR. Pro uplatnění práva nás kontaktujte na info@nemotiq.cz nebo prostřednictvím nastavení v Aplikaci (Profil → Soukromí).
- Právo na přístup (čl. 15): můžete si vyžádat kopii zpracovávaných osobních údajů včetně informací o účelech, kategoriích, příjemcích a době uchovávání. Uživatel má v Aplikaci k dispozici endpoint
/api/v1/gdpr/exportpro automatizovaný JSON export. Žádost je bezplatná. Odpověď do 1 měsíce, ve složitých případech prodloužení o další 2 měsíce. - Právo na opravu (čl. 16): můžete nás požádat o opravu nepřesných nebo doplnění neúplných údajů. Aplikace má endpoint
/api/v1/gdpr/rectifya uživatel může běžné údaje upravit přímo v profilu. - Právo na výmaz (čl. 17):můžete nás požádat o vymazání údajů, pokud již nejsou potřebné, pokud odvoláte souhlas nebo pokud byly zpracovávány protiprávně. Žádost podáte přímo v Aplikaci (Profil → Soukromí → „Zažádat o smazání účtu“) a potvrdíte ji odkazem, který vám přijde e-mailem. Provozovatel žádost zpracuje (nevratné smazání účtu a operativních dat, přičemž se před smazáním odvolají případné Google OAuth tokeny u Googlu) bez zbytečného odkladu, nejpozději do 30 dní. Toto právo je omezeno právními povinnostmi Správce: údaje pod zákonnou retencí (zejména faktury 10 let dle daňových a účetních předpisů, viz oddíl E) se místo smazání anonymizují; je-li Uživatel vedoucím kanceláře, je nutné kancelář nejdříve převést nebo zrušit.
- Právo na omezení zpracování (čl. 18): můžete nás požádat, abychom dočasně omezili zpracování (např. po dobu posuzování námitky, při zpochybnění přesnosti údajů nebo při protiprávním zpracování). Žádost zašlete na info@nemotiq.cz s uvedením, kterého zpracování se omezení týká.
- Právo vznést námitku (čl. 21): proti zpracování opírajícímu se o oprávněný zájem (zejména bezpečnost, prevence podvodu, profilování v CRM) máte právo vznést námitku. V případě marketingu (přímý marketing, segmentace pro marketingové účely) námitku vyhovíme vždy a okamžitě. Námitku zašlete na info@nemotiq.cz.
- Právo na přenositelnost (čl. 20): můžete si vyžádat své údaje ve strukturované, běžně používané a strojově čitelné podobě (JSON export).
- Právo odvolat souhlas (čl. 7 odst. 3): souhlas s marketingovou komunikací, marketingovými cookies a OAuth kalendářem můžete kdykoli odvolat – nemá to dopad na zákonnost zpracování před odvoláním.
- Právo nebýt předmětem automatizovaného rozhodování (čl. 22): Modul AML/KYC provádí automatizovaný screening klienta proti veřejným sankčním seznamům (EU, UN, OFAC, OpenSanctions PEP) a algoritmické vyhodnocení shody (fuzzy matching nad normalizovaným jménem a datem narození). Výsledek screeningu (`clean`, `review`, `rejected`) je doporučení – finální rozhodnutí o navázání či odmítnutí obchodního vztahu provádí vždy odpovědná osoba (makléř) a může algoritmické doporučení přehodnotit. Klient má právo na lidskou intervenci, na vyjádření svého stanoviska a na napadení rozhodnutí.Pro uplatnění tohoto práva nás kontaktujte na info@nemotiq.cz. K jinému automatizovanému rozhodování s právními účinky pro subjekt údajů nedochází (CRM segmentace a automatické připomínky jsou marketingové profilování bez právních důsledků – viz níže).
- Profilování (čl. 4 odst. 11, čl. 22): v CRM modulu může docházet k automatickému řazení kontaktů do skupin (segmenty), plánování připomínek narozenin/svátků a hodnocení aktivity. Toto profilování slouží výhradně pro marketingové a organizační účely; nevede k automatizovanému rozhodování s právními následky. Souhlas s marketingovou komunikací lze kdykoli odvolat.
- Právo podat stížnost u dozorového úřadu (čl. 77): viz oddíl J.
G. Cookies a obdobné technologie
Informace o používání cookies, jejich kategoriích a způsobu udělení souhlasu jsou obsaženy v samostatných Zásadách používání cookies.
H. Bezpečnost zpracování
Implementujeme technická a organizační opatření odpovídající riziku zpracování (čl. 32 GDPR), zejména:
- Šifrování při přenosu: TLS 1.3 pro veškerou komunikaci, HSTS.
- Šifrování v klidu: AES-256-GCM pro citlivá pole CRM (telefon, IČO, ulice, e-mail) na úrovni Prisma Client Extension, fakturační adresu, citlivé údaje AML (rodné číslo, doklad, adresa) per-field a soubory osobní knihovny at-rest (klíč v env
ENCRYPTION_KEY). - Hashování hesel: bcrypt s 12 koly.
- Bezpečné generování tokenů (pozvánky do portálu, refresh tokens, password reset, e-mail verification, DD share token): kryptograficky bezpečný RNG. Přístupový token portálu se v databázi drží jen jako SHA-256 otisk a AES-256-GCM šifra, nikdy v plaintextu.
- Autorizace na úrovni aplikace s parametrizovanými dotazy (Prisma) a kontrolou oprávnění před každým přístupem k datům (RBAC, granulární per-účastník permissions u dokumentů).
- Validace HMAC u příchozích webhooků (Resend, Signi) – v produkci vrátí 503 bez secretu.
- Automatický lockout účtu po opakovaných chybných pokusech o přihlášení.
- Immutable audit log klíčových akcí (auth, GDPR, consent, transaction, document, …) s automatickou retencí 3 roky.
- Rate limiting citlivých endpointů (login, registrace, reset hesla, GDPR export, consent).
- Content Security Policy (CSP) s nonce per request, ochrana proti XSS.
- httpOnly & sameSite cookies pro session a portal token.
- Pravidelný backup databáze s point-in-time recovery.
V případě bezpečnostního incidentu (data breach) s rizikem pro práva subjektů Správce postupuje dle čl. 33–34 GDPR: oznámení dozorovému úřadu do 72 hodin a informování dotčených subjektů bez zbytečného odkladu.
I. Změny těchto zásad
Tyto zásady jsme oprávněni čas od času aktualizovat. O podstatných změnách budeme uživatele informovat v Aplikaci nebo e-mailem nejméně 15 dnů před jejich účinností. Aktuální verze je vždy dostupná na nemotiq.cz/gdpr.
Při zveřejnění nové verze, která významně mění práva či povinnosti subjektu, vyžádá Aplikace při dalším přihlášení aktivní re-consent; bez odsouhlasení nelze pokračovat v užívání Aplikace.
J. Dozorový úřad
Pokud nejste spokojeni s tím, jak nakládáme s vašimi osobními údaji, máte právo podat stížnost u:
Úřad pro ochranu osobních údajů
Pplk. Sochora 27, 170 00 Praha 7
Telefon: +420 234 665 111
www.uoou.cz
Subjekty údajů ze Slovenské republiky se mohou obrátit na Úrad na ochranu osobných údajov Slovenskej republiky, Hraničná 12, 820 07 Bratislava 27, www.dataprotection.gov.sk. V souladu s čl. 77 GDPR lze stížnost podat u dozorového úřadu členského státu obvyklého bydliště, místa výkonu práce nebo místa údajného porušení.
Doporučujeme však nejprve kontaktovat nás na info@nemotiq.cz – většinu situací umíme vyřešit přímo.
K. Pověřenec pro ochranu osobních údajů
Správce nejmenoval pověřence pro ochranu osobních údajů (DPO) ve smyslu čl. 37 GDPR, neboť hlavní činnost Správce nezahrnuje rozsáhlé pravidelné a systematické monitorování subjektů údajů ani zpracování zvláštních kategorií údajů ve velkém rozsahu. Pro veškeré dotazy ke zpracování osobních údajů se obracejte na info@nemotiq.cz.
L. Kontakt
Správce osobních údajů:
NemotiQ s.r.o., IČO: 29729025
Jungmannova 2866, 438 01 Žatec
E-mail: info@nemotiq.cz
Web: nemotiq.cz
Související dokumenty: VOP · DPA · Seznam zpracovatelů · Cookies · Přístupnost.
Účinné od 8. 7. 2026. © 2026 NemotiQ.cz. Všechna práva vyhrazena.