PRÁVNÍ DOKUMENT

Zásady ochrany osobních údajů

Poslední aktualizace: 13. února 2026

1. Správce údajů

Provozovatelem služby Leesto je:

Jiří Pašek

IČO: 19359781

E-mail: pasekji1@gmail.com

2. Jaké údaje sbíráme

Registrace a používání služby

  • Jméno, e-mailová adresa
  • Heslo (uloženo jako kryptografický hash, nikdy v čitelné podobě)
  • Pozvánkový kód

Projektová a pracovní data

  • Organizace (název, členství, role)
  • Projekty, sekce, úkoly (názvy, popisy, stavy, priority, termíny)
  • Komentáře a diskuze k úkolům
  • Časové záznamy (tracking odpracovaného času)
  • Přílohy a soubory nahrané k úkolům

Tato data jsou oddělena mezi organizacemi — uživatel má přístup pouze k datům organizací, jejichž je členem.

Čekací listina (waitlist)

  • Jméno, e-mailová adresa

AI funkce — data odesílaná externímu poskytovateli

  • Při použití AI funkcí (chat, generování úkolů, shrnutí, odhad času) se vybraný kontext projektu odesílá poskytovateli AI modelu (OpenRouter / Mistral AI)
  • Odesílaná data: názvy úkolů, popisy, statusy, priority, termíny, jména přiřazených uživatelů, členové týmu, komentáře
  • AI funkce vyžadují váš explicitní souhlas — udělujete ho při prvním otevření AI chatu nebo v nastavení účtu
  • Souhlas můžete kdykoli odvolat v nastavení účtu (Můj účet → AI Asistent)
  • Poskytovatel AI nesmí data používat k trénování modelů (dle podmínek OpenRouter API)

AI email přehledy (digest)

  • Volitelný pravidelný email (denní/týdenní) s AI shrnutím vašich projektů
  • Vyžaduje aktivní AI souhlas a explicitní zapnutí v nastavení účtu
  • Pro generování shrnutí se data projektu odesílají poskytovateli AI modelu
  • Digest můžete kdykoli vypnout v nastavení účtu nebo kliknutím na odkaz v emailu

Automaticky sbírané údaje

  • IP adresa, typ prohlížeče, operační systém (technické logy)
  • Údaje o chybách aplikace (Sentry — viz bod 5)

3. Účely zpracování

Poskytování služby

Právní základ: plnění smlouvy (čl. 6 odst. 1 písm. b GDPR)

Správa čekací listiny

Právní základ: souhlas (čl. 6 odst. 1 písm. a GDPR)

Sledování a oprava chyb (Sentry)

Právní základ: oprávněný zájem (čl. 6 odst. 1 písm. f GDPR) — zajištění stability, bezpečnosti a kvality služby

Nahrávky relací (Sentry Replay)

Právní základ: souhlas (čl. 6 odst. 1 písm. a GDPR) — aktivováno pouze po udělení souhlasu

AI funkce (asistent, generování, shrnutí, email digest)

Právní základ: souhlas (čl. 6 odst. 1 písm. a GDPR) — vyžaduje váš explicitní souhlas, který můžete kdykoli odvolat

4. Cookies

Používáme pouze nezbytné (funkční) cookies pro autentizaci uživatelů. Tyto cookies jsou HTTP-only a jsou nezbytné pro fungování služby.

Nepoužíváme žádné reklamní, marketingové ani analytické cookies třetích stran.

Volitelně používáme Sentry Session Replay pro záznam uživatelských relací za účelem ladění chyb — pouze s vaším výslovným souhlasem.

5. Sdílení dat s třetími stranami

Sentry (Functional Software, Inc.)

Sledování chyb a výkonu aplikace. Data zpracovávána na serverech v EU.

Google (OAuth přihlášení)

Pouze pokud zvolíte přihlášení přes Google. Předáváme pouze nezbytné údaje pro autentizaci.

Resend (odesílání e-mailů)

Transakční e-maily (potvrzení registrace, pozvánky, reset hesla).

OpenRouter / Mistral AI (AI funkce)

Při použití AI funkcí se vybraný kontext projektu (názvy úkolů, popisy, komentáře) odesílá poskytovateli AI modelu. Data jsou odesílána pouze na váš výslovný pokyn a poskytovatel je nesmí používat k trénování modelů.

Neon (hostování databáze)

Vaše data jsou uložena v PostgreSQL databázi provozované službou Neon. Data jsou šifrována at rest (AES-256) a při přenosu (TLS).

Render (hostování aplikace)

Aplikační server běží na platformě Render. Komunikace probíhá výhradně přes HTTPS.

Vaše data nikdy neprodáváme třetím stranám.

6. Přenos dat mimo EU/EHP

Některá data mohou být zpracovávána poskytovateli se sídlem mimo Evropský hospodářský prostor (EHP), zejména v USA:

Render (hosting aplikace) — USA

Záruky: EU-US Data Privacy Framework

Resend (e-maily) — USA

Záruky: standardní smluvní doložky (SCC)

OpenRouter (AI funkce) — USA

Záruky: standardní smluvní doložky (SCC), data nejsou ukládána poskytovatelem

Google (OAuth) — USA

Záruky: EU-US Data Privacy Framework

Neon (databáze) — EU region

Data uložena na serverech v EU, nedochází k přenosu mimo EHP

Sentry (monitoring) — EU region

Data zpracovávána na serverech v EU, nedochází k přenosu mimo EHP

7. Doba uchovávání údajů

ÚdajeDoba
Registrační údajePo dobu trvání účtu
Projektová a pracovní dataPo dobu trvání účtu / organizace, smazáno při výmazu účtu
Čekací listinaDo odvolání souhlasu nebo max. 12 měsíců
AI konverzaceNeukládáme — data jsou odeslána poskytovateli a zpracována jednorázově
AI souhlas a preferencePo dobu trvání účtu, smazáno při výmazu účtu nebo odvolání souhlasu
Sentry logy90 dní

8. Bezpečnostní opatření

K ochraně vašich dat používáme následující technická a organizační opatření:

01

Šifrování při přenosu

Veškerá komunikace probíhá přes HTTPS (TLS 1.2+)

02

Šifrování dat v klidu (at rest)

Databáze je šifrována na úrovni úložiště (AES-256, Neon PostgreSQL)

03

Izolace dat mezi organizacemi

Data jsou striktně oddělena na aplikační úrovni — uživatel má přístup pouze k datům svých organizací

04

Bezpečné ukládání hesel

Hesla jsou hashována algoritmem bcrypt, nikdy nejsou uložena v čitelné podobě

05

HTTP-only session cookies

Autentizační cookies nejsou přístupné z JavaScriptu, čímž je minimalizováno riziko XSS útoků

Provozovatel má přístup k databázi za účelem správy a údržby služby. K datům uživatelů přistupuje pouze v nezbytných případech (řešení technických problémů, podpora).

9. Vaše práva

Jako subjekt údajů máte právo na:

  • Přístup k vašim osobním údajům (čl. 15 GDPR)
  • Opravu nepřesných údajů (čl. 16 GDPR)
  • Výmaz osobních údajů (čl. 17 GDPR)
  • Přenositelnost údajů (čl. 20 GDPR)
  • Omezení zpracování za určitých podmínek (čl. 18 GDPR)
  • Vznesení námitky proti zpracování (čl. 21 GDPR)
  • Odvolání souhlasu kdykoli, bez vlivu na zákonnost předchozího zpracování

Poskytnutí údajů: Registrační údaje (jméno, email, heslo) jsou nezbytné pro vytvoření účtu a používání služby. Bez nich službu nelze poskytnout. Údaje na čekací listině jsou dobrovolné.

Automatizované rozhodování: Neprovádíme žádné automatizované rozhodování ani profilování s právními účinky. AI funkce v aplikaci slouží pouze jako asistivní nástroje na váš výslovný pokyn a nečiní žádná rozhodnutí za vás.

10. Kontakt a stížnosti

Pro uplatnění vašich práv nebo s dotazy ohledně ochrany osobních údajů nás kontaktujte na pasekji1@gmail.com.

Máte-li pochybnosti o tom, jak s vašimi údaji nakládáme, máte právo podat stížnost u dozorového úřadu:

Úřad pro ochranu osobních údajů (ÚOOÚ)

Pplk. Sochora 27, 170 00 Praha 7

Web: www.uoou.cz