1. Kdo je správce údajů

Správcem osobních údajů je Victoria Sopčáková (provozovatelka Hideout Villa, IČO 17940729, Hazlov 394, 351 32 Hazlov).

Kontakt pro otázky GDPR: vickysopcak@seznam.cz, +420 602 411 599.

2. Jaké údaje zpracováváme

• Identifikační údaje hosta — jméno, příjmení, datum narození, číslo dokladu (pokud naskenuješ pas/OP), země původu.
• Kontaktní údaje — e-mail, telefon.
• Údaje o pobytu — termíny, cena, počet hostů, poznámky.
• Platební údaje — informace zpracovává Stripe (PCI DSS Level 1), my máme pouze referenci na platbu, nikdy číslo karty.
• Komunikace — e-maily, zprávy z chatu, poptávky z webu.
• Cookies a logy — viz část 7.

3. Proč a na jakém základě (právní titul)

• Plnění smlouvy (čl. 6 odst. 1 písm. b GDPR) — abychom mohli rezervovat, vystavit fakturu a poskytnout pobyt.
• Plnění zákonné povinnosti (čl. 6 odst. 1 písm. c GDPR) — evidenci hostů ze zahraničí dle zákona č. 326/1999 Sb. (cizinecký), účetní doklady dle zákona č. 563/1991 Sb. (účetnictví) — minimální doba uchování 5 let.
• Oprávněný zájem (čl. 6 odst. 1 písm. f GDPR) — rozpoznání opakovaného hosta pro automatickou slevu pro stálé klienty. Jde o minimální zásah do soukromí (porovnání e-mailu/telefonu) ve prospěch hosta. Můžeš proti tomu vznést námitku — viz část 6.
• Souhlas (čl. 6 odst. 1 písm. a GDPR) — pouze pro marketingové e-maily, které ti pošleme jen pokud o ně výslovně projevíš zájem.

4. Komu údaje předáváme (zpracovatelé)

Tvé údaje nepředáváme třetím stranám pro jejich vlastní účely. Využíváme však tyto zpracovatele (každý má s námi smlouvu o zpracování dle čl. 28 GDPR):

• Supabase (databáze, Frankfurt, EU) — uložení rezervací a komunikace.
• Stripe (platby, EU/UK) — zpracování plateb kartou.
• Resend (transakční e-maily, EU) — odesílání potvrzovacích e-mailů.
• Anthropic (USA, Standard Contractual Clauses) — pouze obsah chatu s AI agentem, anonymizovaný; jméno a e-mail se nikdy do AI nepředávají.
• Cizinecká policie — domovní kniha cizinců (zákonná povinnost, jen u zahraničních hostů).
• Statistický úřad ČR — agregovaná data pro hlášení Cest 1-12.

Údaje neopouštějí EU s výjimkou Anthropic (USA) — tam pouze anonymizovaný obsah chatu, žádný PII.

5. Jak dlouho údaje uchováváme

• Účetní doklady (faktury, evidence pobytu) — 5 let od konce zdaňovacího období (zákonná povinnost).
• Údaje o hostech v rezervačním systému — 5 let od posledního pobytu, pak automaticky mažeme.
• Komunikace (e-maily, chat) — 2 roky, pak mažeme.
• Cookies funkční — 1 rok.

6. Tvá práva

Podle GDPR máš tato práva. Stačí napsat na vickysopcak@seznam.cz a do 30 dnů ti vyhovíme:

• Právo na přístup (čl. 15) — kopii všech svých údajů co o tobě máme.
• Právo na opravu (čl. 16) — pokud něco není přesné.
• Právo na výmaz (čl. 17) — všechno smažeme. Výjimka: účetní doklady musíme držet 5 let dle zákona.
• Právo na omezení zpracování (čl. 18).
• Právo na přenositelnost (čl. 20) — tvoje data ti pošleme ve strukturovaném formátu (JSON/CSV).
• Právo vznést námitku (čl. 21) — proti zpracování na základě oprávněného zájmu (např. detekce stálého hosta) — okamžitě zastavíme.
• Právo podat stížnost — u Úřadu pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, www.uoou.cz.

7. Cookies

Web používá pouze nezbytně nutné cookies pro fungování (zachování jazykové volby, košíku) a anonymní statistiky návštěvnosti. Žádné reklamní ani trackující cookies, žádný Google Analytics, žádný Meta Pixel.

8. Bezpečnost

• Veškerá komunikace přes HTTPS (TLS 1.3).
• Databáze za firewally, přístup pouze přes service-role klíč.
• Platby přes Stripe (PCI DSS Level 1), nikdy neukládáme číslo karty.
• Zálohy databáze 7 dní, šifrované.
• Pravidelné bezpečnostní audity infrastruktury (Supabase, Stripe).

9. Změny zásad

Pokud se zásady významně změní, oznámíme to e-mailem všem hostům s aktivní rezervací nebo poslední rezervací do 12 měsíců nazpět.