Zásady ochrany osobních údajů

Účinnost: 29. dubna 2026 · Verze 1.0

Tyto zásady popisují, jak BookFlow (provozovatel: Vladimír Janeba, OSVČ, IČO 11743247, T. G. Masaryka 789, 57001 Litomyšl, e-mail info@bookflow.cz) zpracovává osobní údaje v souladu s Nařízením EU 2016/679 (GDPR) a zákonem č. 110/2019 Sb. o zpracování osobních údajů.

Obsah

Kdo jsme a koho se zásady týkají
Jaké údaje zpracováváme
Účely a právní základ zpracování
Sdílení údajů s třetími stranami
Google API a Google Calendar integrace
Doba uchovávání
Vaše práva
Bezpečnost
Cookies
Změny zásad
Kontakt

1. Kdo jsme a koho se zásady týkají

BookFlow je SaaS platforma pro terapeuty, psychology a kouče (dále jen „uživatelé" nebo „tenanti"), která jim umožňuje spravovat rezervace, fakturaci a komunikaci s jejich klienty.

Tyto zásady se vztahují na dvě skupiny subjektů:

Uživatelé BookFlow — terapeuti, psychologové a kouči, kteří si u nás založili účet
Klienti uživatelů — osoby, které si rezervují sezení přes rezervační stránku uživatele BookFlow

Důležité rozlišení rolí: Pro údaje koncových klientů (jméno, e-mail, čas sezení, poznámky) je správcem uživatel BookFlow (terapeut). BookFlow je v této roli zpracovatelem jeho jménem na základě zpracovatelské smlouvy (DPA).

2. Jaké údaje zpracováváme

O uživatelích BookFlow (tenantech)

Identifikační údaje: jméno, e-mail, telefon
Fakturační údaje: IČO, DIČ, adresa, IBAN
Přihlašovací údaje (e-mail + hash hesla, OAuth tokeny od Googlu)
Data o používání služby (IP adresa, prohlížeč, čas přihlášení) — pro zabezpečení účtu
Platební údaje (zpracovává Stripe nebo Fio banka; BookFlow vidí jen číslo objednávky a stav platby)

O klientech uživatelů

Údaje, které klient vyplní při rezervaci (jméno, e-mail, telefon, případné poznámky)
Datum a čas sezení, typ služby, cena
Poznámky ze sezení (zadávané uživatelem) — pokud jsou to citlivé údaje, jsou v databázi šifrované
Komunikace přes systém (e-maily, připomínky, follow-upy)
Platební informace (variabilní symbol, stav platby) — bez čísel karet

3. Účely a právní základ zpracování

Účel	Právní základ (GDPR)
Poskytování služby (rezervace, fakturace)	Plnění smlouvy (čl. 6 odst. 1 písm. b)
Vystavení daňových dokladů	Právní povinnost (čl. 6 odst. 1 písm. c)
Bezpečnost účtu a prevence zneužití	Oprávněný zájem (čl. 6 odst. 1 písm. f)
E-mailové připomínky a follow-up	Plnění smlouvy
Marketingové kampaně tenantů jejich klientům	Souhlas klienta (čl. 6 odst. 1 písm. a) — uděluje se při rezervaci

4. Sdílení údajů s třetími stranami

BookFlow sdílí osobní údaje pouze s následujícími důvěryhodnými zpracovateli, kteří poskytují infrastrukturu nutnou k provozu služby:

CloudPanel / Hostinger VPS (EU, Praha) — hosting databáze a aplikace
Stripe Inc. (Irsko/USA, GDPR-compliant) — platby kartou
Google LLC (USA, Standard Contractual Clauses) — Google Calendar API, pokud uživatel propojí
AWS SES (Frankfurt, EU) — rozesílání transakčních e-mailů
Fio banka, a.s. (Česká republika) — bankovní převody

Žádné údaje nikdy neprodáváme třetím stranám pro reklamní účely.

5. Google API a Google Calendar integrace

Limited Use Disclosure BookFlow používá Google API a přístup k informacím získaný z Google API výhradně pro funkce popsané v tomto dokumentu. Konkrétně pro:

Čtení časů událostí ve vašem kalendáři (pouze začátek a konec — ne názvy, účastníci ani popisky), abychom určili volné termíny pro vaše klienty
Vytváření nových událostí ve vašem kalendáři, když si klient rezervuje sezení
Generování Google Meet odkazů pro online sezení (parametr conferenceDataVersion=1)
Mazání událostí vytvořených BookFlow při zrušení nebo přeplánování rezervace

OAuth scope, který BookFlow vyžaduje:

https://www.googleapis.com/auth/calendar.events — vytváření, čtení časů a mazání rezervačních událostí

BookFlow NIKDY:

Nečte, neupravuje ani nemaže události vytvořené jinými aplikacemi nebo uživateli — pracujeme výhradně s vlastním rozsahem dat potřebným pro rezervace
Nepřenáší Google user data třetím stranám, vyjma případů nutných pro poskytování služby (např. Stripe pro fakturaci) — a vždy s vaším souhlasem
Nepoužívá Google user data pro reklamní účely (vlastní ani třetích stran)
Nepoužívá Google user data pro účely, které nejsou explicitně popsané v této politice
Neumožňuje lidem (kromě zákonem vyžadovaných případů) číst vaše kalendářová data

Google data ukládáme šifrovaně. Refresh tokeny lze kdykoli odvolat odpojením v Nastavení BookFlow nebo přímo v Google Account → Připojené aplikace.

Google API Services — Limited Use commitment

BookFlow's use and transfer of information received from Google APIs adhere to the Google API Services User Data Policy, including the Limited Use requirements.

6. Doba uchovávání

Účet aktivní: údaje uchováváme po dobu trvání smlouvy
Účet zrušen: osobní údaje smažeme do 30 dní; daňové doklady archivujeme 10 let dle zákona
Klient si zruší rezervaci: údaje zůstávají u tenanta, dokud je nesmaže
Logy a metadata: 12 měsíců (pro bezpečnost a debugging)

7. Vaše práva

Dle GDPR máte právo:

Přístup k údajům — kdykoli si můžete stáhnout všechna svá data v Nastavení účtu
Oprava nepřesných údajů
Výmaz („právo být zapomenut") — kromě údajů, které máme zákonnou povinnost archivovat
Omezení zpracování
Přenositelnost — export ve strojově čitelném formátu (JSON, CSV)
Námitka proti zpracování
Stížnost u dozorového úřadu — Úřad pro ochranu osobních údajů, uoou.gov.cz

Žádost zašlete na info@bookflow.cz z e-mailu spojeného s vaším účtem. Vyřídíme ji do 30 dnů.

8. Bezpečnost

Veškerá komunikace je šifrovaná HTTPS (TLS 1.2+)
Hesla v databázi jsou ukládaná pouze jako bcrypt hashe
OAuth tokeny (Google, Stripe) jsou šifrované AES-256
Citlivé poznámky ze sezení jsou šifrované
Servery jsou v EU (Praha) s pravidelnými zálohami
Audit log přístupů — všechny operace jsou logované pro forenzní účely

9. Cookies

BookFlow používá pouze technické cookies nezbytné pro provoz (session, CSRF token). Žádné marketingové ani analytické cookies bez výslovného souhlasu.

10. Změny zásad

Tyto zásady můžeme čas od času aktualizovat. O podstatných změnách vás vyrozumíme e-mailem nejméně 14 dní předem.

11. Kontakt

Vladimír Janeba
OSVČ, IČO 11743247
T. G. Masaryka 789, 57001 Litomyšl
E-mail: info@bookflow.cz

Pokud je zpracování v rozporu s vašimi právy, máte právo se obrátit na Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, uoou.gov.cz.