Portal IoT

Zásady ochrany osobních údajů a zpracovatelská doložka Portálu IoT

Verze: 1.0

Účinnost od:6.6.2026

Tento dokument je pracovní návrh zásad ochrany osobních údajů a zpracovatelské doložky pro službu Portál IoT. Před zveřejněním doporučujeme dokument zkontrolovat právníkem, zejména pokud bude služba poskytována za úplatu nebo pokud budou uživatelé prostřednictvím služby zpracovávat osobní údaje dalších osob.

1. Kdo jsme

Provozovatelem služby Portál IoT, dostupné na adrese iot.strunc.net, je:

Miloslav Štrunc
IČ: 74397796
Sídlo / adresa: Střimelická 2503/22, 14100 Praha 4
E-mail pro ochranu osobních údajů: gdpr@portal-iot.cz

Dále jen „Poskytovatel“.

Tyto zásady popisují, jak Poskytovatel zpracovává osobní údaje uživatelů Portálu IoT a jaká práva uživatelům podle GDPR náleží.

2. Základní vymezení rolí

Poskytovatel vystupuje jako správce osobních údajů u údajů, které potřebuje pro provoz uživatelského účtu, poskytování služby, zabezpečení, komunikaci s uživatelem a plnění zákonných povinností.

U dat, která uživatel do Portálu IoT posílá ze svých zařízení, senzorů nebo přes MQTT/HTTP API, může Poskytovatel vystupovat také jako zpracovatel osobních údajů, pokud tato data obsahují osobní údaje třetích osob nebo osobní údaje zpracovávané uživatelem. V takovém případě je uživatel správcem těchto údajů a odpovídá za to, že má pro jejich sběr, odesílání a zpracování právní důvod.

3. Jaké osobní údaje zpracováváme

Poskytovatel může zpracovávat zejména tyto údaje:

  1. Údaje uživatelského účtu
    e-mailová adresa, heslo uložené v zabezpečené podobě, jazyk, téma rozhraní, datum registrace, datum posledního přihlášení, stav účtu.
  2. Provozní a bezpečnostní údaje
    IP adresa, čas přístupu, údaje o požadavcích na server, technické logy, informace o chybách, pokusech o přihlášení a bezpečnostních událostech.
  3. Údaje o senzorech a zařízeních
    název senzoru, token senzoru, názvy měřených hodnot, jednotky, uživatelské popisy, nastavení dashboardů, veřejné nebo sdílené odkazy, konfigurace alarmů.
  4. Naměřená data ze zařízení
    hodnoty odeslané zařízeními uživatele, například teplota, vlhkost, napětí, stav relé, tlak, hladina nebo jiné technické údaje podle nastavení uživatele.
  5. Komunikační údaje
    obsah zpráv zaslaných Poskytovateli e-mailem nebo přes kontaktní formulář, pokud bude použit.
  6. Platební a fakturační údaje
    pouze pokud bude služba zpoplatněna: jméno, adresa, IČO, DIČ, údaje nutné pro vystavení dokladu a evidenci plateb.

4. Účely a právní základy zpracování

Osobní údaje zpracováváme pro tyto účely:

  1. Zřízení a vedení uživatelského účtu
    Právní základ: plnění smlouvy.
  2. Provoz služby Portál IoT
    Právní základ: plnění smlouvy. To zahrnuje registraci senzorů, příjem dat, ukládání dat, zobrazování dashboardů, alarmy, sdílení dashboardů a další funkce služby.
  3. Zabezpečení služby a prevence zneužití
    Právní základ: oprávněný zájem Poskytovatele na ochraně služby, uživatelů a dat.
  4. Technická podpora a komunikace s uživatelem
    Právní základ: plnění smlouvy nebo oprávněný zájem.
  5. Plnění zákonných povinností
    Právní základ: právní povinnost. Typicky půjde o účetní, daňové nebo archivační povinnosti, pokud bude služba zpoplatněna.
  6. Zlepšování a údržba služby
    Právní základ: oprávněný zájem. Poskytovatel může analyzovat provozní a technické údaje za účelem opravy chyb, optimalizace výkonu a zlepšování bezpečnosti.

5. Data odesílaná ze zařízení uživatele

Uživatel bere na vědomí, že obsah dat odesílaných jeho zařízeními určuje výhradně uživatel.

Uživatel se zavazuje neposílat do Portálu IoT osobní údaje třetích osob, citlivé údaje, údaje o zdraví, přesné lokalizační údaje osob, biometrické údaje, kamerové záznamy ani jiné údaje vyžadující zvláštní režim ochrany, pokud k tomu nemá platný právní důvod a pokud tím neporušuje GDPR ani jiné právní předpisy.

Pokud uživatel do Portálu IoT posílá data, která jsou osobními údaji, odpovídá za to, že:

  1. má pro jejich zpracování právní základ,
  2. informoval dotčené osoby,
  3. zajistil přiměřenou ochranu zařízení a tokenů,
  4. neposkytuje Poskytovateli údaje v rozsahu nepřiměřeném účelu,
  5. nevyužívá Portál IoT ke skrytému sledování osob.

6. Veřejné a sdílené dashboardy

Portál IoT může umožňovat vytvoření veřejného dashboardu nebo dashboardu dostupného přes pozvánku či odkaz.

Uživatel odpovídá za to, že na veřejném nebo sdíleném dashboardu nezveřejní osobní údaje, důvěrná data, bezpečnostně citlivé informace, tokeny zařízení nebo údaje, jejichž zveřejnění by mohlo poškodit jeho samotného, třetí osoby nebo Poskytovatele.

Poskytovatel neodpovídá za obsah, který uživatel na veřejném nebo sdíleném dashboardu zpřístupní.

7. Cookies a lokální úložiště

Portál IoT používá technické cookies nebo obdobné technické mechanismy nutné pro přihlášení, udržení relace, zabezpečení formulářů a správné fungování služby.

Předpoklad pro tento návrh: Portál IoT nepoužívá marketingové cookies ani reklamní sledování. Pokud budou později přidány analytické nebo marketingové nástroje, je potřeba tuto část upravit a doplnit příslušný souhlasový mechanismus.

8. Komu mohou být údaje zpřístupněny

Osobní údaje mohou být zpřístupněny pouze v nezbytném rozsahu:

  1. Poskytovateli a osobám podílejícím se na provozu služby,
  2. poskytovateli serverové infrastruktury nebo hostingu,
  3. poskytovateli e-mailových služeb,
  4. poskytovateli platebních nebo účetních služeb, pokud bude služba zpoplatněna,
  5. orgánům veřejné moci, pokud to vyžaduje zákon.

Poskytovatel neprodává osobní údaje uživatelů třetím osobám.

9. Předávání údajů mimo EU

Předpoklad pro tento návrh: služba je provozována na serverech v České republice nebo v Evropské unii a osobní údaje nejsou předávány mimo Evropskou unii ani Evropský hospodářský prostor.

Pokud by mělo dojít k předávání osobních údajů mimo EU/EHP, bude Poskytovatel postupovat pouze způsobem dovoleným GDPR, například na základě rozhodnutí o odpovídající ochraně nebo standardních smluvních doložek.

10. Doba uchování údajů

Osobní údaje uchováváme pouze po dobu nezbytnou pro daný účel.

Orientační doby uchování:

  1. Účet uživatele – po dobu existence účtu.
  2. Naměřená data ze senzorů – po dobu nastavenou službou nebo uživatelem; není-li nastavena zvláštní doba, po dobu existence účtu.
  3. Provozní a bezpečnostní logy – obvykle po dobu nezbytnou k zabezpečení a diagnostice služby.
  4. E-mailová komunikace – po dobu potřebnou k vyřízení požadavku a ochraně práv Poskytovatele.
  5. Účetní a daňové doklady – po dobu stanovenou právními předpisy.

Po zrušení účtu mohou být některé údaje dočasně uchovány, pokud je to nezbytné pro ochranu práv Poskytovatele, splnění zákonných povinností nebo řešení bezpečnostních incidentů.

11. Zabezpečení údajů

Poskytovatel přijímá přiměřená technická a organizační opatření k ochraně osobních údajů, zejména:

  1. přístup k účtu chráněný heslem,
  2. ukládání hesel v zabezpečené podobě,
  3. oddělení uživatelských dat podle účtů,
  4. kontrolu oprávnění při přístupu k senzorům a dashboardům,
  5. používání tokenů pro zařízení,
  6. ochranu proti CSRF u formulářů,
  7. parametrizované databázové dotazy,
  8. provozní logování,
  9. pravidelné aktualizace serverového prostředí,
  10. omezení přístupu k produkčním datům.

Uživatel odpovídá za zabezpečení svých zařízení, e-mailové schránky, hesel, tokenů senzorů a koncových systémů, které do Portálu IoT data odesílají.

12. Práva uživatele

Uživatel má podle GDPR zejména právo:

  1. požadovat informaci, zda jsou jeho osobní údaje zpracovávány,
  2. požadovat přístup ke svým osobním údajům,
  3. požadovat opravu nepřesných údajů,
  4. požadovat výmaz údajů,
  5. požadovat omezení zpracování,
  6. vznést námitku proti zpracování založenému na oprávněném zájmu,
  7. požadovat přenositelnost údajů, pokud je to technicky možné a právně použitelné,
  8. podat stížnost u Úřadu pro ochranu osobních údajů.

Žádosti lze zasílat na e-mail: gdpr@portal-iot.cz.

Poskytovatel může před vyřízením žádosti ověřit totožnost žadatele, aby zabránil neoprávněnému zpřístupnění údajů.

13. Výmaz účtu

Uživatel může požádat o zrušení účtu a výmaz osobních údajů.

Po zrušení účtu budou odstraněna nebo anonymizována data, která již Poskytovatel nepotřebuje. Některé údaje mohou být dále uchovány, pokud je to nezbytné pro splnění zákonných povinností, ochranu práv Poskytovatele nebo řešení bezpečnostních incidentů.

14. Bezpečnostní incidenty

Pokud dojde k porušení zabezpečení osobních údajů, Poskytovatel posoudí riziko pro práva a svobody osob a přijme přiměřená opatření.

Je-li to podle GDPR nutné, Poskytovatel oznámí incident příslušnému dozorovému úřadu a/nebo dotčeným osobám. U zpracování, kde Poskytovatel vystupuje jako zpracovatel, oznámí incident uživateli jako správci bez zbytečného odkladu.

15. Zpracovatelská doložka podle čl. 28 GDPR

Tato část se použije, pokud uživatel prostřednictvím Portálu IoT zpracovává osobní údaje a Poskytovatel vůči těmto údajům vystupuje jako zpracovatel.

15.1 Správce a zpracovatel

Uživatel je správcem osobních údajů, které do Portálu IoT vkládá, odesílá nebo nechává odesílat svými zařízeními, pokud tyto údaje mají povahu osobních údajů.

Poskytovatel je zpracovatelem těchto údajů a zpracovává je pouze za účelem provozu služby Portál IoT.

15.2 Předmět zpracování

Předmětem zpracování je příjem, uložení, zobrazení, správa, sdílení a případné mazání dat odeslaných uživatelem nebo jeho zařízeními do Portálu IoT.

15.3 Doba zpracování

Zpracování trvá po dobu existence uživatelského účtu nebo po dobu, po kterou uživatel využívá danou funkci služby.

15.4 Povaha a účel zpracování

Povahou zpracování je automatizované technické zpracování dat v cloudové/webové aplikaci.

Účelem zpracování je umožnit uživateli evidenci zařízení, příjem dat, zobrazování hodnot, vytváření dashboardů, sdílení dashboardů, nastavování alarmů a další související funkce Portálu IoT.

15.5 Typ osobních údajů

Zpracovávané údaje mohou zahrnovat zejména:

  1. technická data ze zařízení,
  2. popisy měřených hodnot,
  3. časové řady měření,
  4. identifikátory zařízení,
  5. případné údaje vložené uživatelem do názvů senzorů, hodnot nebo dashboardů.

Poskytovatel nepředpokládá, že služba bude používána ke zpracování zvláštních kategorií osobních údajů podle GDPR.

15.6 Kategorie subjektů údajů

Podle povahy použití služby může jít zejména o:

  1. uživatele Portálu IoT,
  2. osoby, jejichž údaje uživatel do služby vložil,
  3. osoby, které mohou být nepřímo identifikovány z dat odesílaných zařízeními uživatele.

15.7 Pokyny správce

Poskytovatel zpracovává osobní údaje pouze podle pokynů uživatele, které jsou vyjádřeny používáním služby a jejím nastavením.

Poskytovatel není povinen plnit pokyn, který je zjevně protiprávní nebo technicky nepřiměřený.

15.8 Mlčenlivost

Poskytovatel zajistí, aby osoby, které mají přístup k osobním údajům, byly vázány mlčenlivostí nebo obdobnou zákonnou povinností důvěrnosti.

15.9 Další zpracovatelé

Uživatel souhlasí s tím, že Poskytovatel může zapojit další zpracovatele nezbytné pro provoz služby, zejména poskytovatele hostingu, serverové infrastruktury, e-mailových služeb nebo zálohování.

Aktuální seznam dalších zpracovatelů:

  1. WEDOS Internet a.s., Masarykova 1230, 373 41 Hluboká nad Vltavou, IČ: 28115708

Poskytovatel odpovídá za to, že další zpracovatelé budou vázáni povinnostmi ochrany osobních údajů v rozsahu odpovídajícím GDPR.

15.10 Pomoc správci

Poskytovatel poskytne uživateli přiměřenou součinnost při vyřizování žádostí subjektů údajů, při řešení bezpečnostních incidentů a při plnění dalších povinností podle GDPR, pokud je tato součinnost vzhledem k povaze služby možná.

Pokud bude požadovaná součinnost nad rámec běžného provozu služby, může být poskytnuta za přiměřenou úhradu, bude-li to předem dohodnuto.

15.11 Výmaz nebo vrácení údajů

Po ukončení poskytování služby Poskytovatel osobní údaje odstraní nebo anonymizuje, pokud jejich další uchování nevyžaduje právní předpis nebo oprávněný zájem na ochraně práv Poskytovatele.

15.12 Kontrola a audit

Poskytovatel poskytne uživateli informace nezbytné k doložení splnění povinností podle této zpracovatelské doložky.

Audit na místě je možný pouze po předchozí písemné dohodě, v přiměřeném rozsahu, bez narušení bezpečnosti služby, práv ostatních uživatelů a obchodního tajemství Poskytovatele.

16. Povinnosti uživatele

Uživatel se zavazuje:

  1. uvádět pravdivé registrační údaje,
  2. chránit své přihlašovací údaje,
  3. chránit tokeny svých senzorů,
  4. neposkytovat přístup neoprávněným osobám,
  5. neposílat do služby protiprávní obsah,
  6. neposílat do služby osobní údaje bez právního důvodu,
  7. nevyužívat službu ke sledování osob bez jejich vědomí nebo bez jiného právního základu,
  8. nastavit veřejné a sdílené dashboardy tak, aby nedošlo k neoprávněnému zveřejnění údajů.

17. Děti

Portál IoT není určen dětem. Uživatel potvrzuje, že je osobou oprávněnou uzavřít smlouvu o užívání služby.

18. Změny těchto zásad

Poskytovatel může tyto zásady změnit, zejména při změně služby, právních předpisů nebo způsobu zpracování údajů.

Aktuální znění bude vždy dostupné na webu Portálu IoT. U významných změn může Poskytovatel uživatele informovat také e-mailem nebo oznámením v uživatelském rozhraní.

19. Kontakt

Dotazy k ochraně osobních údajů lze zasílat na:

gdpr@portal-iot.cz

Dozorovým úřadem je:

Úřad pro ochranu osobních údajů
Pplk. Sochora 27
170 00 Praha 7
Web: uoou.gov.cz