Zásady ochrany osobních údajů (Privacy Policy)
Platné a účinné od [DOPLŇTE DATUM]
Tyto Zásady ochrany osobních údajů vysvětlují, jak společnost [DOPLŇTE NÁZEV FIRMY/JMÉNO], IČO: [DOPLŇTE IČO], se sídlem [DOPLŇTE ADRESU] (dále jen "My" nebo "Provozovatel"), shromažďuje, zpracovává a chrání osobní údaje uživatelů platformy ClickWise (dále jen "Klient") a třetích stran, vůči kterým jsou směřovány simulované phishingové kampaně (dále jen "Cíle").
Zpracování osobních údajů probíhá v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 (GDPR).
1. Kdy vystupujeme jako Správce a kdy jako Zpracovatel?
Pro správné pochopení ochrany soukromí v naší aplikaci je klíčové rozlišit dvě odlišné role, které plníme:
- Jako Správce: Zpracováváme údaje Vás, našich Klientů (uživatelů, kteří si vytvoří účet, platí předplatné a spravují kampaně). Rozhodujeme o tom, proč a jak tyto údaje zpracováváme (např. abychom Vám mohli poskytnout službu a vystavit fakturu).
- Jako Zpracovatel: Zpracováváme údaje Cílů (Vašich zaměstnanců či partnerů), které do platformy nahrajete za účelem rozeslání cvičné kampaně. U těchto údajů jste Správcem Vy (Klient) a my s nimi nakládáme výhradně podle Vašich pokynů (nastavení kampaně v aplikaci).
2. Osobní údaje Klientů (kde jsme Správce)
Jaké údaje shromažďujeme:
- Identifikační a kontaktní údaje: Jméno, příjmení, e-mailová adresa, název organizace, IČO, DIČ, fakturační adresa.
- Technické údaje: IP adresa, časy přihlášení, logy aktivit v aplikaci, typ prohlížeče.
Účel a právní základ:
Tyto údaje potřebujeme k plnění smlouvy (poskytování platformy ClickWise, správa uživatelských účtů a rolí). Dále je zpracováváme z důvodu plnění našich právních povinností (účetnictví a daně) a z titulu oprávněného zájmu (zajištění bezpečnosti platformy, prevence podvodů).
3. Údaje o platbách (Stripe)
Pro zpracování plateb za předplatné využíváme externího certifikovaného poskytovatele, společnost Stripe, Inc.. Veškeré údaje o platebních kartách jsou zadávány přímo do zabezpečeného rozhraní Stripe. My k celým číslům Vašich kreditních karet ani k CVC kódům nemáme přístup a neukládáme je. Evidujeme pouze informace o zvoleném tarifu, stavu platby, faktuře a bezpečný token (Stripe Customer ID), který nám Stripe po úspěšné platbě zašle.
4. Osobní údaje Cílů kampaní (kde jsme Zpracovatel)
Jaké údaje do platformy nahráváte:
- E-mailové adresy Cílů, případně jejich jména a zařazení do skupin, které vytvoříte.
Co s těmito údaji děláme:
Tyto údaje používáme výhradně k odeslání simulovaných phishingových e-mailů na základě Vašeho nastavení. K vyhodnocení úspěšnosti tréninku zaznamenáváme telemetrická data:
- Zda a kdy byl e-mail doručen a otevřen.
- Zda Cíl klikl na odkaz v e-mailu.
- Zda Cíl odeslal data do cvičného podvodného formuláře.
⚠️ Zásadní bezpečnostní pravidlo pro zachytávání hesel:
Pokud Vaše cvičná kampaň obsahuje falešnou přihlašovací stránku (např. napodobeninu přihlášení do Microsoft 365), naše platforma zaznamená pouze samotný fakt (událost), že Cíl formulář odeslal a nechal se nachytat. Vložená hesla či jiné citlivé přihlašovací údaje NIKDY neukládáme do databáze, okamžitě je zahazujeme a nelogujeme je.
5. Komu údaje předáváme (Zpracovatelé)
Abychom mohli Službu provozovat, využíváme prověřené partnery (tzv. podzpracovatele). Patří mezi ně:
- Poskytovatelé cloudového hostingu a databází (kde aplikace a data fyzicky běží).
- Poskytovatelé transakčních e-mailů (pro doručování pozvánek, faktur a samotných kampaní).
- Stripe (pro zpracování plateb).
Všichni tito partneři splňují přísné bezpečnostní standardy a zavázali se k ochraně osobních údajů podle předpisů EU.
6. Zabezpečení a doba uchování
Vaše data chráníme pomocí standardních oborových technologií, včetně šifrování dat při přenosu (HTTPS) a ukládání hesel Klientů v bezpečné hashované podobě (např. pomocí bcrypt). K databázi má přístup pouze omezený okruh pověřených osob.
Osobní údaje Klientů uchováváme po dobu trvání předplatného/smlouvy a následně po dobu vyžadovanou zákonem (např. faktury 10 let). Údaje o Cílech a statistikách kampaní můžete v aplikaci kdykoliv sami smazat; pokud zrušíte svůj účet (Organizaci), smažeme tato data s Vámi.
7. Vaše práva podle GDPR
Jako subjekt údajů máte právo:
- Požadovat přístup ke svým osobním údajům.
- Požadovat opravu nepřesných údajů nebo doplnění neúplných údajů.
- Požadovat výmaz svých údajů ("právo být zapomenut"), pokud tomu nebrání naše zákonné povinnosti.
- Požadovat omezení zpracování nebo vznést námitku proti zpracování.
- Přenést své údaje k jinému správci.
Svá práva můžete uplatnit nebo se na nás obrátit s dotazem ohledně ochrany soukromí na e-mailové adrese: [DOPLŇTE VÁŠ KONTAKTNÍ E-MAIL].