WE|LEADZásady ochrany osobních údajů

Zásady ochrany osobních údajů

Účinnost: 30. 4. 2026

1. Správce

Provozovatelem aplikace WL Dashboards (dále jen „Aplikace") a správcem osobních údajů je společnost Send and Grow s.r.o., IČO podle obchodního rejstříku, se sídlem v České republice (dále jen „Welead"). Kontakt: adam@welead.cz.

2. Účel a rozsah zpracování

Aplikace slouží jako interní nástroj agentury Welead pro analýzu marketingových dat klientů (inzerentů). Pro tento účel zpracováváme následující kategorie údajů:

  • Údaje uživatelů Aplikace — e-mail, jméno, šifrované heslo (bcrypt), IP adresa při přihlášení, audit log akcí.
  • Marketingová data klientů — agregace z Meta Ads, Google Ads, Google Analytics 4 (GA4) a Shoptetu (objednávky, kampaně, výkonové metriky).
  • Údaje koncových zákazníků klientů — pouze ty, které jsou v exportu Shoptetu: e-mail, telefon (pokud uveden), historie objednávek. Tyto údaje slouží výhradně k segmentaci „nový vs. vracející se zákazník" a top-zákaznickým reportům pro daného klienta. Welead je v této roli zpracovatelem; správcem zůstává klient.

3. Právní základ

  • U uživatelů Aplikace: oprávněný zájem (čl. 6 odst. 1 písm. f GDPR) — provoz interního nástroje a bezpečnostní audit.
  • U marketingových dat klientů: smluvní vztah s klientem (čl. 6 odst. 1 písm. b) a samostatná smlouva o zpracování osobních údajů (DPA) podle čl. 28 GDPR.

4. Bezpečnost

  • HTTPS (TLS 1.2+) na celé Aplikaci, HSTS hlavičky.
  • Hesla uživatelů: bcrypt s individuální solí. Žádný plaintext.
  • API tokeny třetích stran (Meta, Google) ukládáme v DB v šifrované formě (Fernet/AES-128).
  • Per-klient izolace dat na úrovni DB (CTE filtry podle client_id).
  • Audit log přihlášení a klíčových admin akcí (smazání klienta, AI změny dashboardů).
  • Automatické bezpečnostní aktualizace OS, firewall, fail2ban proti brute-force útokům.
  • Integrace s AI (Google Gemini) je read-only — model nemá přístup k osobním údajům koncových zákazníků nad rámec agregací.

5. Doba uchovávání

  • Marketingová data klienta — po dobu trvání smlouvy s klientem. Při ukončení smlouvy se data klienta odstraní do 30 dnů.
  • Audit log — 12 měsíců, poté automaticky mazán.
  • Účty uživatelů — po dobu aktivního pracovního vztahu, deaktivace okamžitě po ukončení.

6. Třetí strany

Pro fungování Aplikace voláme následující API třetích stran (jen čtení):

  • Meta Graph API (Facebook/Instagram Ads insights)
  • Google Ads API a Google Analytics Data API
  • Shoptet permalink export (CSV/XLSX objednávek)
  • Google Gemini API (AI asistent — pouze agregované metriky a SQL prompty, žádné PII)
  • Slack Incoming Webhook (volitelné — notifikace o ETL transferech)

Welead je provozovatelem Aplikace na vlastním serveru hostovaném u WEDOS Internet, a.s. (Česká republika).

7. Práva subjektů údajů

Jako subjekt údajů máš právo na přístup, opravu, výmaz, omezení zpracování, přenositelnost a podání stížnosti u Úřadu pro ochranu osobních údajů (uoou.cz). U dat koncových zákazníků klienta uplatňuj práva primárně u toho klienta (správce); Welead jako zpracovatel je z titulu DPA povinen klientovi součinit.

Žádosti zasílej na adam@welead.cz. Lhůta pro reakci je 30 dnů.

8. Změny

Tento dokument může být aktualizován. Aktuální verze je vždy dostupná na /privacy. Datum účinnosti je uvedeno na začátku dokumentu.

← Zpět na přihlášení