TODOčko
🇬🇧

Zásady ochrany osobních údajů

Poslední aktualizace: 24. března 2026

1. Úvod

Služba TODOčko je navržena s důrazem na ochranu soukromí. Díky architektuře local-first a end-to-end šifrování máme minimální přístup k vašim datům.

Správcem osobních údajů je Ing. Michal Bernát, IČO: 88341178, se sídlem Habrová 1542/11, 693 01 Hustopeče (dále jen „Správce").

2. Jaké údaje zpracováváme

2.1 Data v aplikaci (šifrovaná)

Vaše úkoly, projekty a veškerý obsah v aplikaci jsou šifrované vaší zálohovací frází. To znamená, že:

  • Data jsou čitelná pouze pro vás a osoby, kterým sdělíte zálohovací frázi
  • Provozovatel nemůže data přečíst ani v případě soudního příkazu
  • Při synchronizaci jsou přenášena pouze šifrovaná data

2.2 Technické údaje při synchronizaci

Pokud využíváte synchronizaci mezi zařízeními, zpracováváme:

  • IP adresu (pro zajištění komunikace)
  • Časové značky synchronizace
  • Technické identifikátory zařízení (anonymizované)

Tyto údaje jsou zpracovávány na základě oprávněného zájmu pro poskytování služby a jsou uchovávány pouze po nezbytně nutnou dobu.

2.3 Platební údaje

Při zakoupení placeného tarifu zpracováváme:

  • E-mailovou adresu (pro komunikaci a faktury)
  • Fakturační údaje (jméno, adresa, IČO pro firmy)
  • Historii plateb

Údaje o platebních kartách neukládáme – platby jsou zpracovávány prostřednictvím zabezpečených platebních bran (Stripe).

3. Účely zpracování

  • Poskytování služby: Synchronizace dat mezi zařízeními
  • Plnění smlouvy: Zpracování plateb a správa předplatného
  • Oprávněný zájem: Zajištění bezpečnosti a prevence zneužití
  • Plnění právních povinností: Účetní a daňová evidence

4. Cookies a lokální úložiště

Aplikace TODOčko využívá

  • Lokální úložiště (Local Storage, IndexedDB): Pro ukládání vašich šifrovaných dat a nastavení aplikace. Toto je nezbytné pro fungování local-first architektury.
  • Technické cookies: Pro zajištění funkčnosti webu (např. preference tématu)

Nepoužíváme sledovací cookies, analytické nástroje třetích stran ani reklamní systémy.

5. Gmail integrace (Pro/Enterprise)

Uživatelé s tarifem Pro nebo Enterprise mohou volitelně připojit svůj Gmail účet pro automatické vytváření úkolů z e-mailů.

Jaké údaje zpracováváme

  • OAuth2 refresh token: Šifrovaný (AES-256-GCM) a uložený na synchronizačním serveru. Slouží k přístupu do Gmailu uživatele pro čtení e-mailů s určeným štítkem.
  • E-mailová metadata: Předmět, odesílatel, datum – pouze z e-mailů s uživatelem zvoleným štítkem. Tyto údaje se převedou na úkol a uloží šifrovaně v Evolu databázi uživatele.
  • Tělo e-mailu: HTML obsah e-mailu se použije jako popis úkolu. Prochází sanitizací (odstranění skriptů a nebezpečného obsahu).

Jaká oprávnění využíváme

  • gmail.readonly: Čtení e-mailů s určeným štítkem
  • gmail.modify: Přeznačení zpracovaného e-mailu (odebrání štítku, přidání štítku „Zpracováno")

Nepoužíváme: Přístup k odesílání e-mailů, mazání e-mailů ani ke kontaktům.

Odpojení

Uživatel může Gmail integraci kdykoli odpojit v profilu uživatele. Při odpojení se refresh token okamžitě smaže ze serveru. Uživatel může také zrušit přístup přímo v nastavení Google účtu.

6. Sdílení údajů třetím stranám

Výjimky sdílení údajů

  • Platební brány (Stripe): Pro zpracování plateb
  • Poskytovatelé infrastruktury: Servery pro synchronizaci (pouze šifrovaná data)
  • Google (Gmail API): Při aktivní Gmail integraci – přístup pouze ke čtení a přeznačení e-mailů s uživatelem zvoleným štítkem
  • Státní orgány: Pouze v případě zákonné povinnosti

Vaše data nikdy neprodáváme ani neposkytujeme k marketingovým účelům.

7. Doba uchování údajů

  • Šifrovaná data: Dokud je aktivně používáte nebo do vymazání
  • Technické logy: Maximálně 30 dnů
  • Fakturační údaje: 10 let (zákonná povinnost)
  • E-mailová komunikace: 3 roky od posledního kontaktu

8. Vaše práva (GDPR)

Podle obecného nařízení o ochraně osobních údajů (GDPR) máte tato práva.

Vaše práva podle GDPR

  • Právo na přístup: Můžete si vyžádat informace o zpracovávaných údajích
  • Právo na opravu: Můžete opravit nepřesné údaje
  • Právo na výmaz: Můžete požádat o smazání údajů
  • Právo na přenositelnost: Můžete exportovat svá data (funkce v aplikaci)
  • Právo na omezení zpracování: V určitých případech
  • Právo vznést námitku: Proti zpracování na základě oprávněného zájmu

Důležité: Vzhledem k E2E šifrování máte plnou kontrolu nad svými daty přímo v aplikaci. Můžete je kdykoli exportovat nebo smazat bez nutnosti nás kontaktovat.

9. Zabezpečení údajů

Používaná bezpečnostní opatření

  • End-to-end šifrování: Vaše data jsou šifrována na vašem zařízení
  • HTTPS: Veškerá komunikace je šifrována
  • Zálohovací fráze: 24 slov jako kryptografický klíč (BIP-39)
  • Minimalizace dat: Zpracováváme pouze nezbytné údaje

10. Děti

Služba není určena dětem mladším 16 let. Vědomě neshromažďujeme osobní údaje od dětí. Pokud zjistíme, že jsme shromáždili údaje od dítěte, neprodleně je smažeme.

11. Změny těchto zásad

Tyto zásady můžeme příležitostně aktualizovat. O významných změnách vás budeme informovat e-mailem (pokud jej máme) nebo oznámením v aplikaci.

12. Kontakt

Pro uplatnění vašich práv nebo s dotazy ohledně ochrany osobních údajů nás kontaktujte:

Máte také právo podat stížnost u dozorového úřadu – Úřad pro ochranu osobních údajů (www.uoou.cz).