Zásady zpracování osobních údajů

Verze 1.0 • účinnost od 15. 5. 2026

Tento dokument popisuje, jak služba AdvisorOS zpracovává osobní údaje v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 (dále jen „GDPR") a zákonem č. 110/2019 Sb., o zpracování osobních údajů.

Správce osobních údajů

AdvisorOS s.r.o.

se sídlem Kotojedy 56, 767 01 Kroměříž

IČO: 295 03 311

zapsaná v obchodním rejstříku vedeném Krajským soudem v Brně, oddíl C, vložka 151654

kontakt pro otázky ochrany osobních údajů: support@advisoros.cz

(dále jen „Správce" nebo „AdvisorOS")

1. Klíčové ujednání: dvojí role AdvisorOS

Důležité

AdvisorOS vystupuje současně ve dvou různých rolích dle toho, čí osobní údaje jsou zpracovávány.

AdvisorOS jako správce — vůči osobním údajům Uživatele (finanční poradce, asistent, manažer), které jsou nezbytné pro registraci, fakturaci, podporu a provoz aplikace. Tyto údaje zpracovává AdvisorOS na základě smlouvy s Uživatelem a souvisejících právních povinností.
AdvisorOS jako zpracovatel — vůči osobním údajům klientů Uživatele (klienti finančního poradce), které Uživatel ukládá do aplikace v rámci své vlastní podnikatelské činnosti. Správcem těchto údajů je Uživatel; AdvisorOS je pouze zpracovatelem ve smyslu čl. 28 GDPR a zpracovává údaje výhradně podle pokynů Uživatele a v rozsahu nezbytném pro poskytování Služby. Podmínky tohoto pověření jsou uvedeny v Příloze A — DPA.
AdvisorOS jako správce — vůči osobním údajům návštěvníků veřejných stránek (cookies, marketingové trackery, formulář kontaktování) a vůči klientovi, který si rezervuje schůzku přes vizitku poradce — v rozsahu nezbytném pro zabezpečené doručení rezervace poradci.

2. Kategorie subjektů údajů

AdvisorOS zpracovává osobní údaje následujících kategorií osob:

Uživatelé — finanční poradci, asistenti finančních poradců, manažeři poradenských sítí.
Klienti Uživatelů — fyzické osoby, jejichž údaje Uživatel ukládá do CRM, kalkulaček a finančních plánů.
Affiliate partneři — Uživatelé přihlášení do affiliate programu, u kterých AdvisorOS zpracovává navíc údaje pro výplatu provizí (IČO, číslo bankovního účtu, status plátce DPH).
Návštěvníci webu — osoby, které navštíví advisoros.cz a jeho subdomény, ať už registrované či neregistrované.
Veřejně rezervující klienti — osoby, které si přes sdílenou vizitku poradce rezervují schůzku, aniž by se registrovaly.

3. Kategorie zpracovávaných údajů

3.1 Údaje Uživatele (AdvisorOS = správce)

Identifikační: jméno, příjmení, obchodní firma, IČO, DIČ.
Kontaktní: e-mail, telefon, adresa sídla / fakturační adresa.
Autentizační: hash hesla (spravuje Firebase Auth), TOTP secret pro 2FA, záložní kódy 2FA, oobCode tokeny při obnově hesla.
Provozní a technické: IP adresa, user-agent, časové razítko přihlášení, FCM token pro push notifikace, audit logy.
Fakturační: historie plateb, ID Stripe Customer, číslo a kopie vystavených faktur (archivace 10 let dle zákona o účetnictví).
Profil a obsah: profilová fotografie, biografie na vizitce, kalendář dostupnosti, sociální sítě, vlastní marketingové texty.
Affiliate (pouze přihlášení do programu): kód partnera, číslo bankovního účtu, status plátce DPH, historie provizí a výplatních faktur.

3.2 Údaje klientů Uživatele (AdvisorOS = zpracovatel)

Identifikační: jméno, příjmení, akademický titul.
Kontaktní: e-mail, telefon, korespondenční adresa.
Zvláštní kategorie — rodné číslo v kalkulačce IOLDP a finančním plánu (slouží k výpočtu osobního vyměřovacího základu z dokladů ČSSZ).
Finanční: příjmy, výdaje, závazky, aktiva, údaje ze smluv (pojišťovna, banka, fond, výše pojistného), bankovní spojení uváděné klientem v žádostech.
Rodinné: stav, počet dětí, věk partnera/dětí — pokud je klient sdělí v rámci zpracovávaného plánu.
Zdravotní: klient může v rámci žádosti o pojištění uvést omezené zdravotní údaje (rizikové sporty, kuřáctví); AdvisorOS tato data ukládá pouze jako součást nahraných dokumentů a sám je dále nezpracovává.
Obsah komunikace: e-maily, poznámky, přepisy hlasových zpráv, AI-generované analýzy z poznámek poradce.

Kategorie a rozsah údajů určuje výhradně Uživatel jako správce.

3.3 Údaje veřejně rezervujícího klienta

Jméno, e-mail, telefon, případně poznámka k rezervaci.
Časový slot rezervace, kryptografický token rezervace.
IP adresa a user-agent (pro rate-limit a prevenci spamu).

3.4 Údaje návštěvníků webu

Cookies a obdobné identifikátory dle čl. 12.
Anonymizovaná IP, referrer, attribution parametry (utm, ref).

4. Účely zpracování a právní základy

Účel	Právní základ (čl. 6 GDPR)
Poskytování Služby Uživateli (provoz účtu, autentizace, ukládání obsahu)	Plnění smlouvy — čl. 6 odst. 1 písm. b)
Fakturace, daňová evidence, archivace dokladů	Plnění právní povinnosti — čl. 6 odst. 1 písm. c) (zákon o DPH, o účetnictví)
Dvoufaktorové ověření, audit logy, zabezpečení	Oprávněný zájem na bezpečnosti — čl. 6 odst. 1 písm. f)
Zpracování dat klientů Uživatele v aplikaci	Pověření zpracovatele — čl. 28 GDPR (správcem je Uživatel)
Affiliate program — výplata provizí, self-billing fakturace	Plnění smlouvy — čl. 6 odst. 1 písm. b) a plnění právních povinností
Provozní e-maily Uživateli (potvrzení registrace, faktury, bezpečnostní upozornění)	Plnění smlouvy + oprávněný zájem — čl. 6 odst. 1 písm. b) a f)
Marketingová sdělení vlastním zákazníkům (newsletter, novinky)	Oprávněný zájem s opt-out — § 7 zák. č. 480/2004 Sb.
Webová analytika, marketingové trackery (cookies kategorie B a C)	Souhlas subjektu — čl. 6 odst. 1 písm. a)
Veřejná rezervace schůzky přes vizitku poradce	Provedení opatření přijatých před uzavřením smlouvy mezi klientem a poradcem — čl. 6 odst. 1 písm. b)

5. Doba uchování

Kategorie	Doba
Provozní data účtu Uživatele	po dobu trvání Smlouvy
Účetní doklady a faktury	10 let od konce zdaňovacího období (zákon č. 235/2004 Sb., zákon o účetnictví)
Audit logy přihlášení a citlivých operací	12 měsíců
Údaje klientů Uživatele	po dobu, kterou určí Uživatel jako správce — AdvisorOS data smaže nejpozději do 30 dnů po skončení Smlouvy s Uživatelem (mimo zákonné výjimky)
Žádost o smazání účtu	okamžité smazání aktivních dat; účetní záznamy v anonymizované podobě (10 let), audit smazání 24 měsíců
Affiliate provize a faktury	10 let (účetní povinnost)
Nezbytné cookies	do 180 dnů (typicky session nebo do odhlášení)
Analytické a marketingové cookies	dle nastavení trackeru (zpravidla 14 měsíců GA4, 90 dnů Meta) nebo do odvolání souhlasu

Po uplynutí retenční doby jsou data nevratně smazána, případně anonymizována tak, že nelze identifikovat subjekt údajů.

6. Příjemci a zpracovatelé

AdvisorOS využívá při poskytování Služby následující subdodavatele (subzpracovatele), s nimiž má uzavřenou zpracovatelskou smlouvu nebo standardní podmínky DPA:

Subdodavatel	Účel	Umístění
Google Ireland Ltd. (Firebase)	Autentizace, databáze Firestore, úložiště souborů, hosting, push notifikace (FCM)	EU (region europe-west3, Frankfurt)
Stripe Payments Europe, Ltd.	Zpracování plateb, fakturace, předplatné	EU (Irsko), předávání do USA na základě DPF
Resend Inc.	Transakční a provozní e-maily	USA (DPF)
Google LLC (Gemini / Vertex AI)	AI funkce — parsování PDF dokumentů, AI asistent „Buddy", generování textů, hlasové přepisy	USA (Gemini) / EU (Vertex AI, kde to služba podporuje)
Meta Platforms Ireland Ltd.	Marketingové trackery (Meta Pixel + CAPI) — pouze se souhlasem návštěvníka webu	EU/USA (DPF)
Google Ireland Ltd. (Analytics, Tag Manager, Calendar API)	Webová analytika a synchronizace kalendáře poradce	EU/USA (DPF)

Mimo subdodavatele mohou být údaje předány: orgánům veřejné moci na základě právního předpisu, právnímu zástupci či auditorovi AdvisorOS v rozsahu nezbytném pro výkon jejich činnosti, případně nabyvateli závodu při převodu společnosti (s povinností zachovat úroveň ochrany).

Upozornění — AI a osobní údaje

Funkce postavené na Google Gemini mohou v současné podobě zpracovávat data v datových centrech v USA. AdvisorOS pracuje na postupné migraci AI funkcí na Vertex AI v EU regionu pro zpracování citlivějších údajů. Pokud si nepřejete, aby data byla zpracovávána přes AI, vyhněte se použití AI funkcí (AI asistent, parsování PDF, hlasové přepisy, generování textů).

6.1 Přístup k datům z Vašeho účtu Google (Google Calendar)

Propojení účtu Google je zcela dobrovolné. Pokud jej Uživatel aktivuje, AdvisorOS přistupuje k jeho kalendáři prostřednictvím Google Calendar API výhradně za účelem obousměrné synchronizace schůzek mezi aplikací AdvisorOS a kalendářem Uživatele. Uživatel může přístup kdykoli odebrat — přímo v aplikaci nebo na myaccount.google.com/permissions.

AdvisorOS žádá tato oprávnění (scopes) a využívá je takto:

Oprávnění (scope)	K čemu se používá	Rozsah přístupu
`.../auth/calendar.events`	Vytváření, úprava a mazání schůzek poradce naplánovaných v AdvisorOS, generování odkazu na Google Meet u online schůzek a čtení událostí pro obousměrnou synchronizaci.	Zápis i čtení událostí v kalendářích přihlášeného Uživatele.
`.../auth/calendar.readonly`	Čtení seznamu kalendářů Uživatele (název, barva) pro výběr kalendáře k synchronizaci a čtení existujících událostí pro obousměrnou synchronizaci se diářem AdvisorOS.	Pouze čtení kalendářů a událostí přihlášeného Uživatele — bez možnosti zápisu nebo úprav.

AdvisorOS přistupuje výhradně ke kalendáři přihlášeného Uživatele (jeho vlastní data), nikdy ke kalendářům třetích osob.
Přístupové (refresh) tokeny jsou uloženy zabezpečeně na straně serveru (Google Secret Manager / Firestore v EU regionu) a slouží jen k zajištění funkce synchronizace kalendáře.
Data získaná z Google API se nepoužívají k trénování AI modelů, k reklamě, ani se neprodávají či nepředávají třetím stranám nad rámec poskytnutí samotné funkce.
Po odebrání přístupu se synchronizace zastaví a uložený token je zneplatněn.

Omezené použití (Google API — Limited Use)

Použití informací získaných z rozhraní Google API ze strany aplikace AdvisorOS a jejich případné předání jiné aplikaci je v souladu s Google API Services User Data Policy, včetně požadavků na omezené použití (Limited Use).

AdvisorOS's use and transfer of information received from Google APIs to any other app will adhere to the Google API Services User Data Policy, including the Limited Use requirements.

7. Předávání do zemí mimo EU

K předávání osobních údajů mimo EU/EHP dochází pouze v rozsahu nezbytném pro provoz Služby, a to k některým subzpracovatelům uvedeným v čl. 6.
Předávání je vždy zajištěno některou z následujících záruk dle čl. 44 a násl. GDPR:
1. Rozhodnutí o odpovídající úrovni ochrany — pro USA na základě EU-US Data Privacy Framework, kde je daný příjemce certifikován;
2. Standardní smluvní doložky (Standard Contractual Clauses, SCC) ve znění prováděcího rozhodnutí Komise (EU) 2021/914;
3. doplňková technická opatření (šifrování v klidu i při přenosu).
Aktuální seznam subzpracovatelů a jejich umístění je uveden v čl. 6 a je průběžně aktualizován.

8. Zpracování pomocí umělé inteligence

Služba obsahuje funkce postavené na velkých jazykových modelech (Google Gemini, Vertex AI), zejména:
1. AI asistent „Buddy" — konverzační pomocník;
2. parsování PDF dokumentů ČSSZ a smluvních dokumentů;
3. přepis hlasových zpráv;
4. generování marketingových textů a doporučení.
AdvisorOS má se svým AI dodavatelem (Google) sjednáno, že data odeslaná do AI rozhraní nejsou používána k trénování modelů nad rámec zpracování konkrétního požadavku, a po vyhodnocení požadavku jsou v krátkém časovém horizontu smazána.
Uživatel je povinen neposílat do AI funkcí citlivé osobní údaje, které k vyřízení požadavku nejsou nezbytné, a před použitím AI výstupu vůči klientovi je vždy zkontrolovat (viz též čl. 3 VOP — disclaimer).
Generování textů a obrázků v Marketing OS pracuje s podklady Uživatele a tyto výstupy se ukládají do jeho účtu. Vygenerované obrázky a texty nelze považovat za výlučně lidsky autorský obsah a Uživatel je oprávněn je použít v rámci své činnosti.

9. Automatizované rozhodování a profilování

AdvisorOS neprovádí automatizované individuální rozhodování ani profilování ve smyslu čl. 22 GDPR, které by mělo právní účinky nebo se obdobně významně dotklo subjektu údajů.
AI funkce uvedené v čl. 8 generují pouze doporučující výstupy určené Uživateli (poradci) jako pomůcku — finální rozhodnutí ve vztahu ke klientovi vždy činí Uživatel.

10. Práva subjektů údajů

Subjekt údajů má v souladu s GDPR následující práva:

Právo na přístup (čl. 15) — zjistit, zda a jak jsou údaje zpracovávány, a získat jejich kopii.
Právo na opravu (čl. 16) — nepřesné údaje opravit nebo doplnit.
Právo na výmaz / „být zapomenut" (čl. 17) — Uživatel má v aplikaci k dispozici samoobslužnou žádost o smazání účtu (sekce „Profil → Smazat účet"), která spustí dvoufázový proces zahrnující zrušení předplatného, smazání datových subkolekcí a souborů ve Storage a zánik účtu Firebase Auth. Účetní záznamy zůstávají v anonymizované podobě po zákonnou dobu.
Právo na omezení zpracování (čl. 18).
Právo na přenositelnost údajů (čl. 20) — získat strukturovaný export svých dat. Uživatel může požádat o export e-mailem na support@advisoros.cz.
Právo vznést námitku (čl. 21) — zejména proti zpracování na základě oprávněného zájmu a proti přímému marketingu.
Právo odvolat souhlas — kdykoliv s účinky do budoucna. Odvolání souhlasu s cookies provedete kliknutím na odkaz Nastavení cookies v patičce webu, odhlášení z newsletteru přes odkaz v zápatí každého marketingového e-mailu.
Právo nebýt předmětem automatizovaného rozhodování (čl. 22) — vzhledem k čl. 9 těchto zásad se neuplatní.

Žádost o uplatnění práva lze podat e-mailem na support@advisoros.cz. AdvisorOS na ni odpoví bez zbytečného odkladu, nejpozději do 30 dnů (čl. 12 odst. 3 GDPR).

Klient Uživatele uplatňuje svá práva primárně u svého poradce (Uživatele), který je správcem; AdvisorOS jakožto zpracovatel takovou žádost přepošle Uživateli a poskytne mu nezbytnou součinnost.

11. Zabezpečení zpracování

AdvisorOS přijímá v souladu s čl. 32 GDPR přiměřená technická a organizační opatření, zejména:

šifrování dat v klidu (Firestore, Storage) i při přenosu (HTTPS/TLS 1.2+);
dvoufaktorové ověření (2FA) u všech rolí, povinně u citlivých operací (změny profilu, finanční operace, mazání dat);
izolace nájemců (tenant isolation) — pravidla na úrovni Firestore a Storage zabraňují přístupu Uživatele k datům jiného Uživatele;
granulární přístupová pravidla podle rolí (admin, manager, advisor, assistant);
auditovatelné logy přihlášení a citlivých operací s monitoringem rychlosti útoků (rate-limit);
oddělení produkčního a testovacího prostředí, secrets management přes Google Secret Manager;
pravidelné aktualizace závislostí a bezpečnostní revize.

V případě porušení zabezpečení s pravděpodobným rizikem pro práva a svobody fyzických osob splní AdvisorOS oznamovací povinnost vůči dozorovému úřadu (čl. 33 GDPR) a v případě vysokého rizika také vůči dotčeným subjektům (čl. 34 GDPR).

12. Cookies a obdobné technologie

Web www.advisoros.cz používá cookies a obdobné technologie. Před jejich nasazením kromě nezbytných získáváme váš výslovný souhlas v tzv. cookie liště. Souhlas můžete kdykoliv změnit kliknutím na Nastavení cookies v patičce webu.

A) Nezbytné (vždy aktivní)

Slouží k bezpečnému přihlášení, ochraně před útoky (CSRF, XSS) a základnímu fungování aplikace. Bez nich web nefunguje. Právní základ: oprávněný zájem (čl. 6 odst. 1 písm. f GDPR, výjimka dle § 89 odst. 3 zákona o elektronických komunikacích).

advisoros_consent — uchovává vaši volbu cookies (180 dní)
Firebase Auth session cookies — přihlášení (jen na app subdoméně)

B) Analytické (volitelné)

Anonymně měříme návštěvnost a chování na webu, abychom ho mohli vylepšovat. Právní základ: souhlas (čl. 6 odst. 1 písm. a GDPR).

Google Analytics 4 (Google Ireland Ltd.) — anonymizovaná IP, doba uchování 14 měsíců
Google Tag Manager (Google Ireland Ltd.) — kontejner pro správu měřicích kódů

C) Marketingové (volitelné)

Umožňují cílit reklamy na Facebooku/Instagramu a měřit jejich úspěšnost. Data se mohou přenášet do USA na základě standardních smluvních doložek (SCC) a EU-US Data Privacy Framework. Právní základ: souhlas (čl. 6 odst. 1 písm. a GDPR).

Meta Pixel (Meta Platforms Ireland Ltd.) — cookies _fbp, _fbc, doba uchování 90 dní
Meta Conversion API — server-side události o konverzích (registrace, předplatné)

Odvolání souhlasu

Souhlas s analytikou a marketingem můžete kdykoliv odvolat — v tom případě se trackery deaktivují (Google Consent Mode v2 + Meta consent revoke).

13. Stížnost u dozorového úřadu

Pokud se subjekt údajů domnívá, že jeho údaje jsou zpracovávány v rozporu s GDPR, má právo podat stížnost u dozorového úřadu, kterým je v České republice:

Úřad pro ochranu osobních údajů

Pplk. Sochora 27, 170 00 Praha 7

web: www.uoou.cz

14. Změny zásad

AdvisorOS je oprávněn tyto zásady aktualizovat. O podstatných změnách informuje Uživatele v aplikaci nebo e-mailem nejméně 30 dnů před nabytím účinnosti. Aktuální znění je vždy dostupné na této URL.

Příloha A — Pověření ke zpracování osobních údajů (DPA)

Standardní zpracovatelská smlouva dle čl. 28 GDPR mezi Uživatelem (správce) a AdvisorOS s.r.o. (zpracovatel)

Tato Příloha tvoří nedílnou součást Zásad zpracování osobních údajů a uzavírá se v okamžiku, kdy Uživatel akceptuje VOP a začne ukládat do Služby osobní údaje svých klientů.

Strany. Správcem je Uživatel, jak je definován ve VOP. Zpracovatelem je AdvisorOS s.r.o., IČO 295 03 311.
Předmět a doba zpracování. Zpracovatel zpracovává osobní údaje výhradně po dobu trvání Smlouvy o poskytování Služby, a to v rozsahu nezbytném pro plnění Služby vůči Správci.
Povaha a účel zpracování. Ukládání, organizace, strukturování, prohlížení, generování výstupů (PDF, e-maily), exportování a mazání osobních údajů klientů Správce v rámci aplikace AdvisorOS.
Kategorie subjektů údajů a typ údajů. Klienti Správce; údaje v rozsahu uvedeném v čl. 3.2 těchto zásad.
Pokyny Správce. Zpracovatel zpracovává údaje pouze na základě doložených pokynů Správce; pokynem se rozumí i provedení operace v aplikaci ze strany Správce (vložení záznamu, generování PDF, smazání). Pokud má Zpracovatel za to, že pokyn porušuje GDPR nebo jiné předpisy, Správce na to upozorní.
Mlčenlivost. Zpracovatel zajistí, aby osoby oprávněné zpracovávat údaje (zaměstnanci, dodavatelé) byly vázány mlčenlivostí.
Zabezpečení. Zpracovatel zajišťuje technická a organizační opatření podle čl. 32 GDPR — viz čl. 11 těchto zásad.
Subzpracovatelé. Správce uděluje Zpracovateli obecné povolení k zapojení dalších zpracovatelů uvedených v čl. 6 těchto zásad. Při změně subzpracovatele bude Správce informován v aplikaci nebo e-mailem alespoň 30 dnů předem, a má právo proti změně vznést námitku; v takovém případě může Zpracovatel od Smlouvy odstoupit.
Práva subjektů údajů. Zpracovatel poskytne Správci přiměřenou součinnost při vyřizování žádostí subjektů údajů. Pokud subjekt podá žádost přímo Zpracovateli, Zpracovatel ji bez zbytečného odkladu předá Správci.
Povinnosti podle čl. 32–36 GDPR. Zpracovatel je nápomocen Správci při zajišťování zabezpečení, oznamování porušení dozorovému úřadu a subjektům údajů, posouzení vlivu na ochranu osobních údajů (DPIA) a předchozí konzultaci.
Porušení zabezpečení. Zpracovatel oznámí Správci porušení zabezpečení osobních údajů bez zbytečného odkladu po jeho zjištění, nejpozději do 48 hodin.
Po skončení zpracování. Po ukončení Smlouvy o poskytování Služby Zpracovatel — dle volby Správce — všechny osobní údaje smaže nebo Správci vrátí (export). Smazání je provedeno nejpozději do 30 dnů od ukončení Smlouvy, s výjimkou údajů, jejichž uchování ukládá právní předpis.
Audit. Zpracovatel poskytne Správci na vyžádání informace nezbytné k prokázání plnění povinností podle čl. 28 GDPR, případně umožní provedení auditu — buď formou poskytnutí auditní zprávy třetí strany (např. SOC 2, ISO 27001 od jeho subzpracovatelů), nebo, není-li to dostačující, formou auditu provedeného Správcem nebo jím pověřeným auditorem za přiměřených podmínek (předchozí dohoda, mlčenlivost, úhrada nákladů Zpracovatele).
Odpovědnost. Strany odpovídají za škodu způsobenou porušením GDPR v rozsahu, v jakém k němu přispěly. Limitace odpovědnosti podle čl. 12 VOP se nepoužije, pokud jde o nárok subjektu údajů na náhradu škody ve smyslu čl. 82 GDPR.

← Zpět na hlavní stránku

Všeobecné obchodní podmínky Affiliate podmínky