Zásady ochrany soukromí

1. Úvod a právní základ

1.1 Správce údajů

• –E-mail: privacy@domuhq.cz
• –Stránka práv GDPR: domuhq.cz/gdpr
• –Poštovní adresa: DomuHq s.r.o., Poličanská 1487, 190 16 Praha - Újezd nad Lesy, Česká republika
• –Kontakt pro ochranu údajů: privacy@domuhq.cz

1.2 Použitelné zákony

• –Nařízení (EU) 2016/679 (GDPR)
• –Zákon č. 110/2019 Sb., o zpracování osobních údajů (česká implementace GDPR)
• –Zákon č. 127/2005 Sb., o elektronických komunikacích (ePrivacy)
• –Zákon EU o AI (Nařízení (EU) 2024/1689) – účinné od roku 2026
• –Akt o digitálních službách (nařízení (EU) 2022/2065)
• –Další použitelné české a EU zákony o ochraně osobních údajů

1.3 Rozsah těchto Zásad

• –Všechny uživatele platformy DomuHQ (webové stránky, mobilní aplikace)
• –Návštěvníky našich webových stránek (i bez vytvoření účtu)
• –Kohokoli, kdo s námi komunikuje prostřednictvím e-mailu, formulářů nebo zákaznické podpory
• –Nevztahuje se na weby/služby třetích stran odkazované z Platformy ani na zpracování jinými uživateli (např. sdílené zprávy).

1.4 Ochrana soukromí dětí

• –Služba není určena dětem mladším 16 let.
• –Vědomě neshromažďujeme osobní údaje od dětí mladších 16 let bez souhlasu rodičů/zákonného zástupce.
• –Pokud jste mladší 16 let, musíte získat souhlas rodiče/zákonného zástupce; můžeme požádat o doklad souhlasu.
• –Pokud zjistíme údaje dítěte bez ověřeného souhlasu, údaje okamžitě odstraníme.

2. Osobní údaje, které shromažďujeme

2.1 Informace, které poskytujete přímo

• Registrace účtu
  • –E-mailová adresa nebo telefonní číslo (jedno povinné pro registraci)
  • –Heslo (šifrované a hashované; nemůžeme vidět vaše heslo)
  • –Nebo sociální přihlášení přes Google, Facebook nebo Apple (jméno a e-mail získány od poskytovatele)
• Profil spolubydlícího (onboarding)
  • –Jméno, příjmení, datum narození, pohlaví, oslovení (povinné při vytváření profilu)
  • –Povolání (volný text)
  • –Aktuální město, preferované město, preferované oblasti/městské části
  • –Preference viditelnosti lokace (zobrazit přesnou oblast nebo obecnou oblast)
  • –Preferované pohlaví spolubydlícího, časový rámec stěhování, flexibilita
  • –O mně (volný text, až 500 znaků)
  • –Rozpočtový rozsah (posuvník, CZK měsíčně)
  • –Fotografie (až 5 obrázků, jpg/png, max 10 MB každý)
• Životní styl a kompatibilita (onboarding)
  • –Posuvníky životního stylu (úroveň čistoty, tolerance hluku, spánkový režim, frekvence hostů)
  • –Kouření, pití alkoholu, preference mazlíčků (rozbalovací nabídky)
  • –Neslučitelné vlastnosti / deal breakers (výběr z předdefinovaných možností)
  • –Zájmy a koníčky (výběr z kategorií plus vlastní položky)
  • –Odpovědi na psychometrický test osobnosti (volitelné, 20 otázek z banky 110 otázek, pro skórování kompatibility)
• Nastavení soukromí a viditelnosti (onboarding)
  • –Viditelnost profilu (Veřejný nebo Pouze ověření uživatelé)
  • –Skrýt příjmení (přepínač)
  • –Skrýt přesnou polohu (přepínač)
• Profil nájemce (pokud aktivován)
  • –Jméno, příjmení, telefonní číslo, datum narození, pohlaví
  • –Povolání, místo práce/studia
  • –Profilová fotografie
• Profil hostitele (pokud aktivován)
  • –Jméno, příjmení, e-mail, telefonní číslo
  • –O mně (volný text, až 500 znaků)
  • –Typ role hostitele (spolubydlící s volným pokojem, pronajímatel nebo realitní makléř)
  • –IČO a DIČ pro profesionální hostitele
  • –Profilová fotografie
• Inzeráty nemovitostí (pro hostitele)
  • –Typ nemovitosti, konfigurace pokojů, stav
  • –Popis nemovitosti (volný text nebo generovaný AI, až 500 znaků)
  • –Velikost (užitná plocha, celková plocha), informace o patře, výtah
  • –Detaily budovy (typ, rok výstavby, rekonstrukce, energetická třída, nahrání energetického certifikátu)
  • –Adresa (automaticky vyplněno přes Mapy.cz), město, oblast, PSČ, číslo bytu/jednotky
  • –Nastavení soukromí lokace (přesná adresa, pouze oblast nebo přibližná poloha na mapě)
  • –Nejbližší občanská vybavenost (automaticky vyplněno z polohy nemovitosti)
  • –Cena nájmu, poplatky za služby, kauce, platební podmínky
  • –Domovní řád, podmínky, data dostupnosti
  • –Fotografie po místnostech (exteriér, obývací pokoj, kuchyň, ložnice, koupelna, balkon; min 3, max 100 na prostor; skóre kvality)
  • –Doklady o vlastnictví (výpis z katastru nemovitostí, kupní smlouva nebo list vlastnictví)
  • –Souhlas s ověřením ČÚZK (explicitní souhlas s ověřením nemovitosti proti Českému katastru nemovitostí)
• Zprávy a komunikace
  • –Zprávy odeslané jiným uživatelům přes Platformu
  • –Recenze a hodnocení
  • –Dotazy na zákaznickou podporu a korespondence
  • –Zpětná vazba a odpovědi na průzkumy
• Platební informace
  • –Údaje o kartě (zpracovává Stripe; neukládáme úplná čísla karet)
  • –Historie plateb a transakční záznamy
  • –Stav předplatného a typ plánu
• Ověřovací dokumenty
  • –Průkaz totožnosti vydaný státem (zpracovává Didit)
  • –Selfie/biometrická fotografie (zpracovává Didit pro detekci živosti)
  • –Doklady o vlastnictví nemovitosti (Hostitelé, ověřeno přes ČÚZK)
  • –Registrace firmy (IČO/DIČ pro profesionální Hostitele)
  • –Další dokumenty na žádost pronajímatele (např. ověření příjmu, reference)
• Informace o Týmu (Squad)
  • –Název a popis Týmu
  • –Seznam členů
  • –Sdílené vyhledávání a oblíbené
  • –Skupinová komunikace

2.2 Informace, které shromažďujeme automaticky

• Data o zařízení a používání
  • –IP adresa
  • –Typ/model/OS zařízení
  • –Typ a verze prohlížeče
  • –Identifikátory zařízení (UDID, ID reklamy)
  • –Rozlišení a nastavení obrazovky
  • –Verze aplikace
  • –Preference jazyka
• Aktivita na platformě
  • –Zobrazené stránky a používané funkce
  • –Vyhledávací dotazy
  • –Zobrazené nemovitosti a profily
  • –Čas strávený, kliknutí/ťuknutí, navigační vzory
  • –Hloubka rolování a události interakce
  • –Chyby a pády (pro ladění)
• Data o poloze
  • –Přibližná poloha z IP (město/region)
  • –Přesná poloha GPS (pouze se souhlasem)
  • –Použití: blízké výsledky, lokalizace obsahu, detekce podvodů
• Cookies a sledovací technologie
  • –Cookies, webové majáky, pixely a podobné technologie
  • –Analytické cookies (Google Analytics 4)
  • –Reklamní cookies (pokud relevantní)
  • –Nezbytné cookies (přihlášení, bezpečnost, preference)
  • –Podrobnosti: domuhq.cz/cookies

2.3 Informace od třetích stran

• Poskytovatel ověření identity (Didit)
  • –Výsledky ověření (schváleno/zamítnuto)
  • –Kontroly pravosti dokumentů
  • –Data biometrického ověření
  • –Výsledky AML/KYC prověrek
• Platební procesory (Stripe a Apple StoreKit)
  • –Stripe (web): stav platby, ID transakcí, skóre rizika podvodu
  • –Apple StoreKit (iOS): validace příjmu předplatného, stav transakce
• Poskytovatelé sociálního přihlášení
  • –Google OAuth: jméno, e-mailová adresa, profilová fotografie (při přihlášení přes Google)
  • –Google Calendar: data kalendářních událostí (pouze datum, čas, název, pro plánování prohlídek nemovitostí, vyžaduje samostatný souhlas)
  • –Facebook Login: jméno, e-mailová adresa (při přihlášení přes Facebook, plánovaná funkce)
  • –Apple Sign-In: jméno, e-mailová adresa (při přihlášení přes Apple na iOS)
• Údaje uživatelů Google — Prohlášení o omezeném použití
  • –Používání informací získaných z Google API společností DomuHQ je v souladu se Zásadami uživatelských dat služeb Google API, včetně požadavků na omezené použití.
  • –Údaje uživatelů Google (jméno, e-mail, profilová fotografie z Google přihlášení a data kalendářních událostí z Google Calendar) se používají POUZE k: (1) ověření vašeho účtu a zobrazení vaší identity v aplikaci a (2) plánování prohlídek nemovitostí ve vašem kalendáři.
  • –Údaje uživatelů Google se NEPOUŽÍVAJÍ pro: trénování AI/ML modelů, reklamu, marketing, analytiku, profilování ani žádný jiný účel než poskytování nebo zlepšování uživatelských funkcí platformy DomuHQ.
  • –Údaje uživatelů Google se NEPRODÁVAJÍ, nepředávají třetím stranám ani nepoužívají k zobrazování reklam.
  • –Údaje uživatelů Google se NESDÍLÍ s žádnými poskytovateli AI/ML třetích stran.
• Obohacení dat třetích stran (volitelné, se souhlasem)
  • –Veřejně dostupné informace (LinkedIn apod.) pro ověření povolání/kvalifikace

2.4 Citlivé osobní údaje

• –Biometrické údaje: data rozpoznávání obličeje ze selfie (pouze ověření; zpracovává poskytovatel ověření; uchování dle AML/KYC).
• –Zdravotní údaje (volitelné): potřeby v oblasti postižení/přístupnosti – pouze pokud dobrovolně poskytnuto pro párování.
• –Rasový/etnický původ, náboženství, sexuální orientace: nevyžadujeme; pokud dobrovolně uvedete v profilu/zprávách, zpracovává se jako Uživatelský obsah; nepoužíváme pro automatizované rozhodování/profilování.

3. Jak používáme vaše osobní údaje

3.1 Účely zpracování

• Poskytování a provozování Služby (plnění smlouvy – čl. 6(1)(b))
  • –Vytvoření a správa účtu
  • –Párování osobností a hodnocení kompatibility
  • –Zobrazení inzerátů a usnadnění spojení
  • –Zpracování zpráv/žádostí/přihlášek
  • –Týmy a skupinové hledání
  • –Platby a předplatné
  • –Zákaznická podpora
• Ověření totožnosti a prevence podvodů (oprávněné zájmy – čl. 6(1)(f))
  • –Ověření totožnosti
  • –Potvrzení vlastnictví nemovitosti
  • –Detekce/prevence podvodů a zneužití
  • –Monitorování porušení pravidel
  • –Bezpečnost uživatelů a platformy
  • –Soulad s AML/KYC
• Zlepšení a personalizace (oprávněné zájmy – čl. 6(1)(f))
  • –Analýza používání pro zlepšení funkcí
  • –A/B testování a produktový výzkum
  • –Vývoj a trénování AI/ML modelů pro párování a doporučení (nezahrnuje údaje uživatelů Google; viz Prohlášení o omezeném použití údajů Google v sekci 2.3)
  • –Optimalizace výkonu a oprava chyb
  • –Personalizace obsahu, doporučení a vyhledávání
• Komunikace (plnění smlouvy / oprávněné zájmy / souhlas)
  • –Transakční e-maily (ověření, reset hesla, potvrzení platby)
  • –Upozornění na shody, zprávy a aktivitu
  • –Aktualizace služby, změny pravidel, důležitá oznámení
  • –Průzkumy a zpětná vazba (se souhlasem)
  • –Marketingové komunikace (se souhlasem; možnost odhlášení)
• Zákonné povinnosti (právní povinnost – čl. 6(1)(c))
  • –Reakce na právní požadavky
  • –Daňové/účetní/finanční povinnosti
  • –Hlášení podezřelé nezákonné činnosti
  • –Uchovávání záznamů dle práva
• Vymáhání podmínek a ochrana práv (oprávněné zájmy – čl. 6(1)(f))
  • –Vyšetřování a vymáhání porušení
  • –Obrana proti právním nárokům
  • –Ochrana duševního vlastnictví
  • –Prevence zneužití platformy

3.2 AI a automatizované rozhodování

• –Párování osobností a hodnocení kompatibility
• –Moderování obsahu (detekce zakázaného obsahu)
• –Detekce podvodů a spamu
• –Doporučení optimalizace inzerátů
• –DomuBot konverzační AI (chatbot podpory)

3.3 Marketingové a propagační komunikace

• –Marketingové e-maily zasíláme pouze se souhlasem.
• –Odhlášení kdykoli: odkaz „Odhlásit odběr“, nastavení účtu, nebo privacy@domuhq.cz.
• –Transakční e-maily nelze odhlásit (nezbytné pro Službu).

4. Právní základ pro zpracování

4.1 Plnění smlouvy (čl. 6(1)(b))

• –Poskytování platformy a funkcí
• –Zpracování plateb a předplatného
• –Usnadnění komunikace a párování

4.2 Oprávněné zájmy (čl. 6(1)(f))

• –Prevence podvodů a bezpečnost
• –Zlepšení platformy (analýza používání, opravy chyb)
• –Zákaznická podpora
• –Vymáhání podmínek a obrana nároků
• –Interní správa a business intelligence

4.3 Souhlas (čl. 6(1)(a))

• –Marketingové a propagační e-maily
• –Volitelné shromažďování údajů (např. zdravotní údaje)
• –Nezbytné cookies a sledování (dle režimu souhlasu)
• –Používání dat o poloze nad rámec IP geolokace
• –Sdílení dat s třetími stranami pro nezbytné účely

4.4 Právní povinnost (čl. 6(1)(c))

• –Daňové a účetní povinnosti (uchování finančních záznamů)
• –AML/KYC povinnosti
• –Reakce na orgány činné v trestním řízení a soudy
• –Oznámení porušení ochrany údajů (čl. 33 GDPR)

4.5 Životně důležité zájmy (čl. 6(1)(d))

• –Sdílení s pohotovostními službami v naléhavých bezpečnostních situacích
• –Prevence bezprostředního ohrožení nebo nebezpečí

4.6 Veřejný zájem (čl. 6(1)(e))

5. Jak sdílíme vaše osobní údaje

5.1 Sdílení s jinými uživateli

• Veřejný profil (viditelné pro ostatní)
  • –Jméno, věk, pohlaví (pokud poskytnuto)
  • –Profilová fotografie
  • –Biografie a zájmy
  • –Skóre kompatibility
  • –Stav ověření (odznak)
  • –Inzeráty nemovitostí (pro poskytovatele ubytování)
  • –Recenze a hodnocení
• Soukromé informace NESDÍLENÉ (pokud se nerozhodnete jinak)
  • –E-mailová adresa a telefonní číslo
  • –Úplné datum narození (zobrazuje se pouze věk)
  • –Platební informace
  • –Ověřovací dokumenty
• Zprávy a komunikace
  • –Zprávy jsou viditelné příjemcům.
  • –Soukromé zprávy nečteme, kromě: AI moderování; hlášení zneužití (lidské přezkoumání); zákonné povinnosti.

5.2 Sdílení s poskytovateli služeb třetích stran

• Poskytovatel ověření identity (Didit)
  • –Sdílené údaje: doklady totožnosti, biometrické fotografie, jméno, datum narození
  • –Účel: ověření, autentizace dokumentů, AML/KYC
  • –Uchovávání poskytovatelem: obvykle 5 let
  • –Poskytovatel: Didit Identity Spain SL (AWS Irsko, EHP)
  • –Zásady ochrany osobních údajů poskytovatele jsou k dispozici na vyžádání na privacy@domuhq.cz
• Platební procesory
  • –Poskytovatel: Stripe (webové platby)
  • –Sdílené údaje: údaje o kartě a částka platby (pouze karta, fakturační adresa se neshromažďuje)
  • –Neukládáme úplná čísla karet (soulad s PCI DSS zajišťuje Stripe)
• Cloudový hosting a infrastruktura (AWS EU)
  • –Poskytovatel: Amazon Web Services (AWS), regiony EU-Frankfurt a EU-Irsko
  • –Služby: Cognito (autentizace), RDS (databáze), S3 (ukládání souborů), Lambda (serverless), ElastiCache (cache), CloudFront (CDN)
  • –Veškerá data jsou uložena a zpracovávána v rámci EHP. Žádné přenosy dat mimo EHP.
  • –Šifrování při přenosu (TLS 1.2+) i v klidu (AES-256)
• CDN a zabezpečení (Cloudflare)
  • –Poskytovatel: Cloudflare, Inc.
  • –Zpracovávané údaje: IP adresy, metadata HTTP požadavků (pro ochranu před DDoS, DNS a doručování obsahu)
  • –Cloudflare provozuje datová centra v EU; provoz je směrován na nejbližší uzel
• Analytika a monitorování
  • –Google Analytics 4 (anonymizované IP; souhlas vyžadován pro neesenciální cookies; Measurement ID: G-1MWDC6Q4CR)
  • –DataDog (monitoring výkonu aplikace, sledování chyb, anonymizované protokoly)
• E-mail a SMS poskytovatelé
  • –Mailgun (Sinch): doručování transakčních e-mailů přes notify.domuhq.cz (EU API endpoint)
  • –MessageBird/Bird: SMS OTP ověřovací kódy zasílané na vaše telefonní číslo
• Překlad a mapy
  • –DeepL SE: překlad chatových zpráv v reálném čase mezi češtinou a angličtinou (text zprávy je odeslán do DeepL API k překladu; žádné osobní identifikátory nejsou zahrnuty)
  • –Mapy.cz (Seznam.cz): české našeptávání adres pro inzeráty nemovitostí a vyhledávání lokací (pouze textové řetězce adres, žádné osobní údaje)
• Ověření nemovitostí
  • –ČÚZK (Český úřad zeměměřický a katastrální): ověření vlastnictví nemovitostí přes REST API (pouze data o nemovitostech, žádné osobní údaje uživatelů)
• Push notifikace
  • –Apple Push Notification Service (APNS): tokeny zařízení pro iOS push notifikace
• Poskytovatelé AI a strojového učení
  • –AWS Bedrock (EU-Frankfurt): kompatibilní párování spolubydlících, optimalizace inzerátů a DomuBot AI asistent. Sdílená data: pseudonymizovaná skóre hodnocení, vzory používání. Žádná surová osobní data.
  • –AWS Rekognition (EU-Frankfurt): moderování obsahu obrázků pro profilové fotky a fotky inzerátů. Sdílená data: nahrané obrázky jsou skenovány a výsledky vráceny; obrázky nejsou Rekognition uchovávány.
  • –Anthropic (Claude API): pohání DomuBot AI asistenta pro produktovou podporu (aktuálně interní; plánováno pro uživatelskou podporu). Při uživatelském nasazení: text konverzace je zpracován; žádné osobní identifikátory nejsou zahrnuty v dotazech.
• Platební procesory (iOS)
  • –Apple StoreKit: zpracovává nákupy předplatného v iOS aplikaci. Apple zpracovává veškeré platební údaje dle svých zásad ochrany soukromí. DomuHQ přijímá pouze potvrzení transakcí a stav předplatného.

5.3 Sdílení s právními orgány

• –Pokud to vyžaduje zákon (předvolání, soudní příkaz, právní proces)
• –Ochrana práv a bezpečnosti (podvody, zneužití, prevence škody)
• –Národní bezpečnost (kde je právně nařízeno)
• –Vymáhání (obrana nároků nebo vymáhání podmínek)

5.4 Obchodní převody

• –Fúze/akvizice/reorganizace/prodej aktiv/bankrot: údaje mohou přejít na nástupce
• –Nástupce bude vázán těmito zásadami nebo oznámí změny
• –Oznámíme e-mailem a na platformě

5.5 Sdílení s vaším souhlasem

• –Integrace se službami třetích stran, které autorizujete
• –Marketingová partnerství (pouze opt-in)
• –Výzkumné/akademické studie (pouze anonymizovaná data)

5.6 Neprodáváme vaše osobní údaje

6. Mezinárodní přenosy údajů

6.1 Umístění úložiště dat

• –Veškerá osobní data jsou uložena a zpracovávána v Evropském hospodářském prostoru (EHP). Primární infrastruktura: AWS EU-Frankfurt (Německo) a AWS EU-Irsko. DomuHQ nepoužívá Google Cloud.

6.2 Přenosy mimo EHP

• –Používáme záruky dle kapitoly V GDPR: Standardní smluvní doložky (SCC), rozhodnutí o přiměřenosti nebo výslovný souhlas.
• –Rozhodnutí o přiměřenosti – příklady: Velká Británie, Švýcarsko, Kanada (komerční organizace), Japonsko.
• –Příklady přenosů: platební procesory, analytika (Google), ověřování.

6.3 Vaše práva ohledně přenosů

• –Získat informace o přenosech (země, záruky)
• –Vznést námitku, pokud se domníváte, že přenos porušuje GDPR
• –Požádat o kopii záruk (např. SCC) pro konkrétní přenos

7. Vaše práva k ochraně osobních údajů

7.1 Právo na přístup (čl. 15)

• –Profil > Data a zabezpečení > Stáhnout má data
• –Žádost přes privacy@domuhq.cz nebo domuhq.cz/gdpr
• –Formát: PDF nebo JSON
• –Doba odezvy: do 30 dnů (možno prodloužit o 60 dnů u složitých žádostí)

7.2 Právo na opravu (čl. 16)

• –Většinu údajů upravíte v Profil > Spravovat profil
• –U údajů, které nelze upravit (např. stav ověření), kontaktujte privacy@domuhq.cz a přiložte podklady
• –Opravy zpracujeme do 30 dnů

7.3 Právo na výmaz (čl. 17)

• –Smazání přes Profil > Předvolby > Nebezpečná zóna > Smazat účet (viz 9.3)
• –Nebo žádost přes privacy@domuhq.cz / domuhq.cz/gdpr
• –Doba odezvy: do 30 dnů
• –Výjimky: zákonné uchovávání (finanční záznamy, AML/KYC), právní nároky/obrana, svoboda projevu (např. recenze), legitimní zájmy jiných uživatelů (např. zprávy)

7.4 Právo na omezení zpracování (čl. 18)

• –Případy: spor o přesnost; protiprávní zpracování (preferujete omezení); údaje potřebujete pro nároky; námitka čeká na vyhodnocení
• –Jak uplatnit: privacy@domuhq.cz + důvod
• –Účinek: údaje ukládáme, ale nezpracováváme (kromě souhlasu/nároků/ochrany třetích stran)
• –Doba odezvy: do 30 dnů

7.5 Právo na přenositelnost údajů (čl. 20)

• –Profil > Data a zabezpečení > Stáhnout má data (JSON/CSV) nebo žádost přes privacy@domuhq.cz
• –Vztahuje se na údaje, které jste poskytli (nikoli odvozené – např. skóre kompatibility)
• –Zahrnuje: účet/profil, odpovědi hodnocení, vaše kopie zpráv, inzeráty, historie transakcí
• –Doba odezvy: do 30 dnů

7.6 Právo vznést námitku (čl. 21)

• –Námitka proti zpracování založenému na oprávněných zájmech nebo veřejném zájmu
• –Jak uplatnit: privacy@domuhq.cz + konkrétní zpracování
• –Účinek: přestaneme zpracovávat, pokud neprokážeme přesvědčivé oprávněné důvody
• –Absolutní námitka proti přímému marketingu: musíme okamžitě přestat

7.7 Právo odvolat souhlas (čl. 7(3))

• –Profil > Předvolby > Oznámení (vypněte Marketingovou komunikaci), nebo napište na privacy@domuhq.cz pro ostatní souhlasy
• –Nebo privacy@domuhq.cz
• –Účinek: přestaneme zpracovávat pro daný účel od data odvolání; odvolání neovlivní zákonnost před odvoláním
• –Může omezit některé funkce vyžadující souhlas

7.8 Právo podat stížnost

• –Úřad pro ochranu osobních údajů (ÚOOÚ)
• –Web: uoou.cz
• –Adresa: Pplk. Sochora 27, 170 00 Praha 7, Česká republika
• –Telefon: +420 234 665 111
• –E-mail: posta@uoou.cz
• –Obyvatelé EU: můžete podat stížnost i u dozorového úřadu ve vaší zemi

7.9 Automatizované rozhodování a profilování (čl. 22)

• –Právo nebýt předmětem výlučně automatizovaných rozhodnutí s právními nebo obdobně významnými účinky
• –Právo napadnout rozhodnutí AI
• –Právo požádat o lidské přezkoumání
• –Právo porozumět logice AI

8. Umělá inteligence a automatizované rozhodování

8.1 AI systémy, které používáme

• Párování a doporučení
  • –Hodnocení kompatibility (pětifaktorový model)
  • –Doporučení spolubydlících a nemovitostí
  • –Analýza kompatibility Týmu
• Moderování obsahu
  • –Detekce zakázaného obsahu (nenávistné projevy, nahota, podvody)
  • –Detekce spamu a podvodů
• Optimalizace platformy
  • –Doporučení kvality inzerátů
  • –Personalizace uživatelské zkušenosti
• Zákaznická podpora
  • –DomuBot AI asistent (poháněn Anthropic Claude)
  • –Aktuálně používán interně pro produktovou podporu; plánováno pro uživatelskou zákaznickou podporu
  • –Při uživatelském nasazení: zpracovává text konverzace pro poskytování podpory v oblasti bydlení a platformy

8.2 Právní základ pro zpracování AI

• –Oprávněné zájmy (čl. 6(1)(f)) – bezpečnost, prevence podvodů, zlepšení UX
• –Plnění smlouvy (čl. 6(1)(b)) – poskytování služeb párování a platformy
• –Souhlas (čl. 6(1)(a)) – volitelné AI funkce (např. pokročilá analytika, optimalizace inzerátů)

8.3 Vaše práva podle článku 22 GDPR

• –Lidský dohled pro rozhodnutí s vysokým dopadem (zákazy účtů, selhání ověření)
• –Právo napadnout rozhodnutí AI
• –Právo na vysvětlení (logika AI a význam rozhodnutí)

8.4 Uchovávání a bezpečnost dat AI

• –Tréninková data: anonymizovaná/agregovaná; individuální data pseudonymizována; přístup omezen
• –Protokoly rozhodnutí AI: uchovávání 12 měsíců (pokud není nutné pro nároky/soulad); šifrování a řízení přístupu

8.5 Soulad se zákonem EU o AI

• –Soulad s Nařízením (EU) 2024/1689 (účinné od 2026)
• –Vysoce riziková AI (párování): řízení rizik, transparentnost, lidský dohled, správa dat, dokumentace, posouzení shody (kde vyžaduje zákon)
• –Omezené riziko (DomuBot/moderování): transparentnost, testování přesnosti, lidská eskalace
• –Práva uživatelů: napadnout rozhodnutí, lidské přezkoumání, odhlášení z nezbytných funkcí AI, stížnost u ÚOOÚ

8.6 Spravedlnost AI a nediskriminace

• –Různorodá tréninková data
• –Testování předpojatosti a audity diskriminačních vzorců
• –Metriky spravedlnosti (monitoring nerovnoměrných dopadů)
• –Lidské přezkoumání rozhodnutí s vysokým dopadem

8.7 Poskytovatelé AI třetích stran

• –AI ověření identity: Didit Identity Spain SL (biometrická detekce živosti, ověření dokumentů, hostováno na AWS Irsko)
• –AI moderování obsahu: interní systém DomuHq využívající AWS Bedrock (moderování textu) a AWS Rekognition (moderování obrázků), oba EU-Frankfurt
• –AI párování spolubydlících: interní systém DomuHq využívající AWS Bedrock (skórování kompatibility z psychometrických hodnocení), EU-Frankfurt
• –DomuBot AI asistent: poháněn Anthropic Claude API (aktuálně interní; plánováno pro uživatelskou podporu)
• –Analytika: Google Analytics 4 (anonymizovaná behaviorální data)

9. Uchovávání údajů

9.1 Zásady uchovávání

• –Uchováváme pouze tak dlouho, jak je nezbytné pro účely nebo dle zákona
• –Řídíme se: účelem, právní povinností, oprávněnými zájmy, souhlasem

9.2 Doby uchovávání podle typu údajů

• Data účtu
  • –Aktivní: dokud je účet aktivní
  • –Smazané: do 30 dnů po smazání (s výjimkami)
  • –Neaktivní: po 2 letech bez přihlášení můžeme smazat po oznámení
• Ověřovací data
  • –5 let od data ověření
  • –Důvod: AML/KYC (zákon č. 253/2008 Sb.)
  • –DomuHq: stav ověření; poskytovatel: dokumenty/biometrie
• Transakční a platební data
  • –10 let od transakce
  • –Důvod: účetní a daňové právo (zákon č. 563/1991 Sb.; zákon č. 280/2009 Sb.)
  • –Zahrnuje: faktury, příjmy, záznamy, historie předplatného
• Zprávy a komunikace
  • –Do smazání účtu nebo dle potřeby (spory/nároky až 3 roky, vymáhání pravidel, právní povinnosti)
  • –Můžete smazat zprávy ze své schránky; příjemce může mít svou kopii
• Recenze a hodnocení
  • –Zůstávají viditelné, pokud je neodstraníte
  • –Po smazání účtu mohou být anonymizovány (jméno odstraněno, obsah zachován)
  • –Důvod: oprávněné zájmy (transparentnost, prevence manipulace)
• Tikety podpory
  • –3 roky od uzavření
  • –Důvod: kvalita servisu, právní obrana, soulad
• Analytická a používaná data
  • –24 měsíců (individuální data)
  • –Anonymizovaná analytika: na dobu neurčitou
• Tréninková data AI
  • –Anonymizovaná/pseudonymizovaná: na dobu neurčitou
  • –Deidentifikovaná a agregovaná – nelze vysledovat zpět k vám
• Zálohy
  • –Až 90 dnů (obnova po havárii)
  • –Smazaná data mohou přetrvat do rotace záloh

9.3 Smazání účtu a výmaz údajů

• Okamžitě (do 7 dnů)
  • –Ukončení přístupu
  • –Profil skryt
  • –Aktivní inzeráty odstraněny
• Do 30 dnů
  • –Smazání z produkčních systémů
  • –Anonymizace tam, kde je vyžadováno uchování (transakce, recenze)
• Výjimky (uchováno i po smazání)
  • –Finanční záznamy (10 let), ověřovací data (5 let)
  • –Probíhající spory/soudní řízení/vyšetřování
  • –Zprávy v inboxech příjemců, recenze (anonymizace)
  • –Zálohy až 90 dnů
• Jak odstranit účet
  • –Profil > Předvolby > Nebezpečná zóna > Smazat účet > Potvrdit
  • –Nebo kontaktovat privacy@domuhq.cz

10. Zabezpečení údajů

10.1 Bezpečnostní opatření

• Technické záruky
  • –Šifrování při přenosu (TLS 1.2+ / SSL)
  • –Šifrování v klidu (AES-256)
  • –Hesla hashována bcrypt se solí
  • –RBAC, MFA, IP whitelisting pro citlivé systémy
  • –Firewally, IDS/IPS, opravy a aktualizace, DDoS ochrana, rate limiting
  • –Bezpečný vývoj: code review, testování, roční penetrační testy, skenování zranitelností
• Organizační záruky
  • –Školení zaměstnanců
  • –NDA pro zaměstnance/dodavatele
  • –Kontroly pozadí pro citlivý přístup
  • –Minimalizace údajů
  • –Plán reakce na incidenty
• Bezpečnost třetích stran
  • –DPA smlouvy
  • –Bezpečnostní opatření ověřovaná audity/certifikacemi
  • –Oznámení porušení do 24 hodin

10.2 Oznámení o porušení ochrany údajů

• –Oznámíme ÚOOÚ do 72 hodin (čl. 33 GDPR), pokud je to vyžadováno
• –U vysokého rizika oznámíme uživatelům bez zbytečného odkladu (čl. 34 GDPR)
• –Poskytneme: povahu porušení, dotčené údaje, důsledky, zmírňující opatření, doporučené kroky

10.3 Vaše odpovědnost

• –Chraňte heslo (silné, jedinečné; nesdílet)
• –Zabezpečte zařízení a aktualizujte software
• –Hlašte podezřelou činnost (privacy@domuhq.cz)
• –Pozor na phishing a social engineering

11. Cookies a sledovací technologie

11.1 Co jsou cookies?

11.2 Typy cookies, které používáme

• –Nezbytné cookies: vyžadovány pro funkčnost Platformy; přihlášení, bezpečnost, správa relace; ukládání preferencí jazyka a voleb souhlasu; nelze vypnout.
• –Analytické cookies (výkon): anonymizovaná data o používání (zobrazené stránky, čas, kliknutí); používáno Google Analytics 4; vyžaduje souhlas (kromě anonymizovaných a neinvazivních).
• –Marketingové cookies (cílení/reklama): sledování pro zobrazování relevantních reklam (pokud relevantní); Google Ads, Facebook Pixel (pokud povoleno); vyžaduje výslovný souhlas.
• –Preferenční cookies (funkčnost): pamatují si nastavení (jazyk, časové pásmo, preference zobrazení); zlepšují UX; obvykle nízké riziko.

11.3 Správa cookies

• –Přijmout vše – Povolit všechny cookies
• –Odmítnout nezbytné – Povolit pouze nezbytné cookies
• –Přizpůsobit – Vybrat konkrétní kategorie cookies
• –Změna preferencí kdykoli: vymažte cookies prohlížeče pro reset vyskakovacího okna souhlasu, nebo navštivte domuhq.cz/cookies.
• –Vypnutí nezbytných cookies může ovlivnit funkčnost Platformy
• –Cookies můžete ovládat i v nastavení prohlížeče; vypnutí všech cookies může zabránit používání Platformy

11.4 Cookies třetích stran

12. Ochrana soukromí dětí

12.1 Požadavek minimálního věku

• –Služba není určena dětem mladším 16 let.
• –Vědomě neshromažďujeme osobní údaje od dětí mladších 16 let bez ověřeného rodičovského souhlasu.
• –Pokud jste mladší 16 let: musíte získat souhlas rodiče nebo zákonného zástupce; můžeme požádat o doklad souhlasu.
• –Pokud jste rodič/zákonný zástupce: nesete odpovědnost za monitorování online aktivity dítěte; kontaktujte privacy@domuhq.cz, pokud se domníváte, že dítě poskytlo údaje bez souhlasu.

12.2 Zjištění a smazání

• –Pokud zjistíme, že jsme shromáždili údaje dítěte mladšího 16 let bez ověřeného souhlasu:
• –Okamžitě údaje odstraníme (do 7 dnů)
• –Účet dítěte ukončíme
• –Upozorníme rodiče/zákonného zástupce, pokud jsou kontaktní informace k dispozici

12.3 Práva rodičů

• –Rodiče/zákonní zástupci mají právo:
• –Přistupovat k osobním údajům dítěte
• –Požádat o opravu nebo smazání
• –Odvolat souhlas se zpracováním
• –Vznést námitku proti zpracování nebo profilování
• –Podat stížnost u dozorového úřadu (ÚOOÚ)

13. Změny těchto Zásad ochrany osobních údajů

13.1 Změny

• –Změny v postupech zpracování údajů
• –Nové funkce nebo služby
• –Změny v platných zákonech nebo předpisech
• –Zpětnou vazbu od uživatelů nebo regulátorů

Oznámení o změnách

• –Podstatné změny budou sděleny prostřednictvím:
• –E-mailu na vaši registrovanou adresu
• –Výrazného oznámení na Platformě (banner, vyskakovací okno)
• –Oznámení v aplikaci
• –Lhůta: nejméně 30 dnů před nabytím účinnosti (delší, pokud vyžaduje zákon)

13.2 Historie verzí

• –Verze 1.0 — Účinné 1. dubna 2026 (Spouštěcí verze)
• –Předchozí verze dostupné na vyžádání: privacy@domuhq.cz

14. Kontaktní informace

Tým ochrany soukromí / GDPR žádosti

• –E-mail: privacy@domuhq.cz
• –Stránka práv GDPR: domuhq.cz/gdpr
• –Poštovní adresa: DomuHq s.r.o., Poličanská 1487, 190 16 Praha - Újezd nad Lesy, Česká republika
• –Kontakt pro ochranu údajů: privacy@domuhq.cz
• –IČO: 23641550

Obecné dotazy

• –E-mail: support@domuhq.cz
• –Webové stránky: domuhq.cz

Dozorový úřad (pro stížnosti)

• –Úřad pro ochranu osobních údajů (ÚOOÚ)
• –Webové stránky: uoou.cz
• –Adresa: Pplk. Sochora 27, 170 00 Praha 7, Česká republika
• –Telefon: +420 234 665 111
• –E-mail: posta@uoou.cz