Zásady ochrany osobních údajů

1. Správce osobních údajů

Správcem osobních údajů je společnost:

MirandaMedia Group, s.r.o.
Sídlo: Jankovcova 1595/14a, 170 00 Praha 7
IČ: 08272930
DIČ: CZ08272930
Zapsaná v obchodním rejstříku vedeném Městským soudem v Praze
E-mail: app@mirandamedia.cz
Web: www.margly.io

(dále jen „Správce" nebo „Poskytovatel")

Margly (dále jen „Aplikace") je SaaS analytická platforma, která pomáhá provozovatelům e-shopů porozumět jejich prodejům, maržím, reklamě a chování zákazníků.

Margly čte vaše e-shopová a reklamní data, aby vám ukázalo analytiku. Vaše data nikdy neprodáváme ani nepoužíváme k reklamním účelům. S třetími stranami je sdílíme pouze v rozsahu nezbytném pro provoz služby (např. AI analýzy) — podrobnosti v sekci 4.

2. Rozsah zpracovávaných údajů

2.1 Údaje o účtu

Při registraci zpracováváme:

• E-mailovou adresu (pro přihlášení a komunikaci)
• Název společnosti a fakturační adresu (pro fakturaci)

2.2 Data z e-shopové platformy

Při propojení vaší e-shopové platformy (Shoptet, Shopify a Upgates) čteme:

• Objednávky — kódy, data, částky, stavy plateb a doručení
• Položky objednávek — názvy produktů, množství, ceny, nákupní ceny
• Zákazníky — e-mail, jméno, telefon, fakturační adresa (ulice, město, PSČ, země), doručovací adresa, IČO a DIČ (pouze pro analytickou agregaci, nikoliv pro marketingové účely)
• Produkty — názvy, kódy, nákupní ceny

2.3 Data z Google Ads

Při propojení vašeho Google Ads účtu přes OAuth čteme:

• Výkon kampaní (útrata, kliky, zobrazení, konverze, tržby)
• Výkon reklamních skupin
• Výkon Shopping produktů (reklamní metriky na úrovni produktu)

Čteme pouze výkonnostní data reklam. Nikdy nevytváříme, neupravujeme, nepozastavujeme ani nemažeme vaše kampaně nebo reklamy.

2.4 Data z Google Analytics 4

Při propojení vaší Google Analytics 4 property přes OAuth čteme:

• Zdroje návštěvnosti a výkon kanálů
• Metriky návštěv a uživatelů (agregované — bez identifikace jednotlivců)
• E-commerce události (přidání do košíku, pokladna, nákup — agregované počty)
• Rozložení podle zařízení a demografické údaje (věkové skupiny — agregované)
• Výkon vstupních stránek

2.5 Data z Google Search Console

Při propojení vaší Google Search Console property přes OAuth čteme:

• Vyhledávací dotazy, které přivádějí uživatele na váš web
• Počty kliknutí a zobrazení per dotaz a stránka
• Průměrnou pozici ve vyhledávání
• Rozložení podle zařízení

2.6 Data z Meta (Facebook a Instagram) Ads

Při propojení vašeho Meta Ads účtu přes Facebook Login čteme:

• Výkon kampaní, reklamních sestav a reklam (útrata, kliky, zobrazení, konverze, tržby)
• Rozložení podle umístění (Facebook Feed, Instagram Stories, Reels atd.)
• Demografické rozložení (věk, pohlaví — agregované)
• Metriky Facebook stránky (počty zobrazení obsahu a zapojení)

Čteme pouze výkonnostní data reklam. Nikdy nevytváříme, neupravujeme ani nespravujeme vaše Meta reklamy nebo kampaně.

2.7 Data ze Skliku (Seznam.cz)

Při propojení vašeho účtu Sklik čteme:

• Výkon kampaní (útrata, kliky, zobrazení, konverze)

Čteme pouze výkonnostní data reklam. Nikdy nevytváříme, neupravujeme ani nespravujeme vaše kampaně na Skliku.

2.8 Data z Heureka.cz a Heureka.sk

Při propojení vašeho účtu Heureka (cz a sk) čteme:

• Výkon srovnávače a reklamních produktů (útrata, kliky, zobrazení, konverze)
• Pozice produktů ve výpisech a metriky produktové inzerce
• Statistiky hodnocení e-shopu (souhrnné metriky, bez obsahu individuálních recenzí)

Čteme pouze výkonnostní data reklam a srovnávače. Nikdy nevytváříme, neupravujeme ani nespravujeme vaše kampaně, produktové feedy ani jakoukoli inzerci na Heureka.cz / Heureka.sk.

2.9 Nahrané soubory

Do Aplikace můžete nahrávat soubory pro sledování nákladů:

• Logistické náklady (XLSX tabulky)
• Faktury ve formátu PDF (zpracované umělou inteligencí pro extrakci nákladových položek)

Nahrané soubory jsou zpracovány a extrahovaná data uložena. Původní soubory nejsou po zpracování trvale uchovávány.

2.10 Technická data

• IP adresa (pouze pro bezpečnost a omezení frekvence požadavků — neukládáme dlouhodobě)
• Informace o prohlížeči a zařízení (pro účely ladění)

3. Účely a právní základ zpracování

4. Sdílení dat s třetími stranami

Vaše obchodní data neprodáváme, nepronajímáme ani nesdílíme s žádnými třetími stranami pro jejich vlastní účely.

Pro provoz Aplikace využíváme následující zpracovatele, kteří data zpracovávají výhradně na základě našich pokynů:

Se všemi zpracovateli máme uzavřeny smlouvy o zpracování osobních údajů dle čl. 28 GDPR.

Uzavřením Obchodních podmínek Margly uzavírá Uživatel současně smlouvu o zpracování osobních údajů dle čl. 28 GDPR (sekce 16 Obchodních podmínek). Poskytovatel je zpracovatelem osobních údajů zákazníků Uživatele; Uživatel je jejich správcem a výhradně odpovídá za zákonný právní základ jejich zpracování a za splnění informační povinnosti vůči subjektům údajů.

5. Specifická ustanovení pro data z Google API

Používání a přenos informací získaných z Google API je v souladu s Google API Services User Data Policy, včetně požadavků Limited Use. Konkrétně:

• Data z Google používáme výhradně k poskytování a zlepšování analytických funkcí Margly
• Data z Google nepředáváme třetím stranám s výjimkou případů nutných pro provoz služby
• Data z Google nepoužíváme k reklamním účelům
• Data z Google nečtou lidé, pokud k tomu nedáte výslovný souhlas, nevyžaduje to bezpečnost služby nebo zákon

6. Specifická ustanovení pro data z Meta Platform

Data získaná prostřednictvím Meta Marketing API jsou používána výhradně k zobrazení reklamní analytiky v rámci Aplikace. Dodržujeme Meta Platform Terms a Developer Policies. Konkrétně:

• Čteme pouze výkonnostní data reklam — nikdy nespravujeme ani neupravujeme vaše reklamy
• Data z Meta neprodáváme ani nesdílíme s třetími stranami
• Data z Meta nepoužíváme k vytváření uživatelských profilů pro reklamu
• Veškerá data z Meta smažeme, když odpojíte svůj účet nebo zrušíte účet v Margly

7. Doba uchování dat

• Aktivní účet: Data uchováváme po celou dobu trvání vašeho účtu
• Po ukončení předplatného: Data uchováváme v režimu pouze pro čtení po dobu 30 dnů, poté jsou nevratně smazána
• Žádost o smazání účtu: Veškerá data jsou nevratně smazána do 30 dnů od vaší žádosti
• OAuth tokeny: Šifrovány pomocí AES-256. Smazány okamžitě při odpojení služby
• IP adresy: Uchovávány maximálně 30 dní pro účely bezpečnosti
• Zákonem vyžadovaná archivace: Účetní a daňové doklady (faktury, doklady o platbách) uchováváme po dobu stanovenou zákonem č. 563/1991 Sb. o účetnictví (zpravidla 5 let, u dokladů dle zákona č. 235/2004 Sb. o DPH až 10 let). Tyto doklady jsou uchovávány izolovaně mimo aplikační databázi a nejsou používány k poskytování Aplikace.
• Zálohy: Data mohou krátkodobě (typicky do 30 dnů) přetrvávat v zálohovacích systémech, než dojde k jejich automatické rotaci. Přístup k zálohám má pouze omezený okruh administrátorů.
• Logy bezpečnostních událostí: Záznamy nezbytné k prokázání souladu s povinnostmi Poskytovatele (autorizace, pokusy o přihlášení, bezpečnostní incidenty) uchováváme po dobu nezbytnou pro plnění zákonných povinností a obhajobu před nároky.

8. Zabezpečení dat

Implementujeme následující bezpečnostní opatření:

• Veškerá data šifrována při přenosu (TLS/HTTPS) a citlivá data šifrována i v klidu (AES-256)
• OAuth tokeny uloženy výhradně v šifrované podobě (AES-256-GCM) — nikdy v otevřeném textu. Platí pro tokeny Shopify, Google, Meta, Sklik, Heureka i Upgates.
• Bezheslové přihlášení pomocí jednorázových kódů (OTP) zasílaných e-mailem
• Omezení frekvence požadavků a blokace IP při opakovaných neúspěšných pokusech o přihlášení
• Striktní izolace dat jednotlivých zákazníků — data každého e-shopu jsou zcela oddělena
• Bezpečnostní HTTP hlavičky (CSP, HSTS, X-Frame-Options) na všech odpovědích
• Pravidelné bezpečnostní audity (provedeno 16 kol auditů)

9. Práva subjektu údajů

V souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 (GDPR) máte právo na:

• Přístup — požádat o kopii svých osobních údajů
• Opravu — požádat o opravu nepřesných údajů
• Výmaz— požádat o smazání svých údajů („právo být zapomenut")
• Přenositelnost — získat své údaje ve strojově čitelném formátu
• Omezení zpracování — požádat o omezení zpracování za určitých okolností
• Námitku — vznést námitku proti zpracování na základě oprávněného zájmu
• Odvolání souhlasu — pokud je zpracování založeno na souhlasu, můžete jej kdykoli odvolat

Pro uplatnění svých práv nás kontaktujte na app@mirandamedia.cz. Na vaši žádost odpovíme do 30 dnů.

Pokud se domníváte, že vaše osobní údaje zpracováváme v rozporu s GDPR, máte právo podat stížnost u dozorového úřadu:

Úřad pro ochranu osobních údajů
Pplk. Sochora 27, 170 00 Praha 7
Web: www.uoou.cz

10. Cookies

Margly používá pouze nezbytné cookies potřebné pro přihlášení a správu relace. Nepoužíváme sledovací cookies, reklamní cookies ani cookies třetích stran pro analytiku.

11. Předávání dat mimo EU/EEA

Někteří naši zpracovatelé (Stripe, Resend, OpenRouter) sídlí v USA. Předávání dat do USA probíhá na základě rozhodnutí Evropské komise o přiměřenosti (EU-US Data Privacy Framework) nebo standardních smluvních doložek dle čl. 46 odst. 2 písm. c) GDPR.

12. Automatizované rozhodování

Aplikace nepoužívá automatizované rozhodování ani profilování ve smyslu čl. 22 GDPR. Poradce poskytuje doporučení na základě agregovaných obchodních dat, ale veškerá rozhodnutí činí uživatel sám.

13. Ochrana údajů dětí

Margly je B2B nástroj určený výhradně pro podnikající fyzické a právnické osoby. Aplikace není určena nezletilým osobám a vědomě se neobrací na uživatele mladší 15 let (hranice věku pro samostatný souhlas se zpracováním osobních údajů dle § 7 zákona č. 110/2019 Sb. o zpracování osobních údajů). Pokud se domníváte, že byly nedopatřením shromážděny údaje osoby mladší 15 let, kontaktujte nás na app@mirandamedia.cz a údaje neprodleně smažeme.

14. Změny těchto zásad

Tyto zásady můžeme příležitostně aktualizovat. O podstatných změnách budeme Uživatele informovat e-mailem nebo oznámením v Aplikaci v přiměřeném předstihu, zpravidla 14 dní předem. Datum „Poslední aktualizace" v záhlaví dokumentu vždy odráží aktuální verzi. Pokračováním v užívání Aplikace po účinnosti změn vyjadřuje Uživatel souhlas s aktualizovaným zněním.

15. Vyloučení odpovědnosti za zpracování

15.1. Poskytovatel zpracovává osobní údaje výhradně na základě pokynů Uživatele jakožto správce. Uživatel výhradně odpovídá za to, že má pro předání osobních údajů do Margly platný právní základ dle čl. 6, případně čl. 9 GDPR, že splnil informační povinnost vůči subjektům údajů a že údaje jsou přesné, úplné a aktuální.

15.2. Poskytovatel nenese odpovědnost za:

• nepřesnost, neúplnost, nezákonnost nebo neaktuálnost osobních údajů poskytnutých Uživatelem nebo platformami třetích stran (Shoptet, Shopify, Upgates, Google, Meta, Sklik, Heureka);
• nároky subjektů údajů, jejichž příčinou je porušení povinností správce na straně Uživatele (zejména absence právního základu, nesplnění informační povinnosti, nedostatečné zabezpečení na straně Uživatele);
• zpoždění nebo neúspěch při výkonu práv subjektů údajů způsobené třetími stranami, pokud výmaz nebo přenos dat probíhá v jejich systémech (zejména Google, Meta);
• škody vzniklé v důsledku porušení podmínek platforem třetích stran ze strany Uživatele;
• škody způsobené zneužitím přístupových údajů Uživatele třetími osobami v důsledku nedbalostního zacházení.

15.3. V rozsahu povoleném právními předpisy se omezení odpovědnosti uvedené v Obchodních podmínkách (sekce 13) vztahuje obdobně i na zpracování osobních údajů dle těchto Zásad. Tímto není dotčena odpovědnost dle čl. 82 GDPR v rozsahu, v němž ji nelze smluvně vyloučit.

16. Kontakt

V případě jakýchkoli dotazů týkajících se ochrany osobních údajů se na nás obraťte:

MirandaMedia Group, s.r.o.
Jankovcova 1595/14a, 170 00 Praha 7
IČ: 08272930 | DIČ: CZ08272930
E-mail: app@mirandamedia.cz
Web: www.margly.io