Co Daxlyze ukládá a co ne

Detailní seznam všech informací, které Daxlyze sbírá, a všech, které vědomě neukládáme.

Co Daxlyze ukládá

Daxlyze ukládá pouze to, co je nezbytně nutné pro analytiku Vašeho webu. Vše je anonymní — nelze z toho identifikovat konkrétního člověka.

Návštěvy a interakce

  • URL navštívené stránky (bez citlivých parametrů)
  • Čas otevření a délka pobytu
  • Hloubka rolování (scroll depth)
  • Zdroj návštěvy (referrer, UTM parametry)
  • Kliky a vyplněná pole formulářů (jen pokud máte zapnuté Click/Form tracking)

Typ zařízení (z User-Agent hlavičky)

Každý prohlížeč při návštěvě posílá serveru hlavičku User-Agent (= identifikace prohlížeče a OS — posílá se s každým HTTP requestem automaticky, nezávisí na cookies). Daxlyze z této hlavičky ukládá jediný údaj:

  • Typ zařízení — počítač, tablet nebo mobil.

Konkrétní rodinu prohlížeče, jeho verzi ani operační systém samostatně neukládáme ani nezobrazujeme v přehledech. User-Agent se v Daxlyze používá ještě pro detekci robotů (= je-li User-Agent známého robota, návštěvu nezapočítáme), ale samotný User-Agent řetězec do databáze nezapisujeme.

Důležité: zpracování User-Agent hlavičky nevyžaduje cookie lištu podle ePrivacy směrnice — ta se týká jen ukládání informací do zařízení návštěvníka (cookies, localStorage), což Daxlyze nedělá.

Rozlišení obrazovky, jazyk prohlížeče a časová zóna

Daxlyze ukládá:

  • Rozlišení obrazovky (= pomáhá pochopit, na jakých displejích Váš web nejvíce navštěvují)
  • Jazyk prohlížeče (= odhad očekávaného jazyka obsahu)
  • Časovou zónu (= součást anonymního hash, viz níže)

Fingerprint signaly (kombinace, která by mohla jednoznačně identifikovat zařízení) minimalizujeme podle doporučení EDPB Guidelines 2/2023.

Geografická lokace

  • Země a přibližné město (odvozeno z IP adresy — IP samotná se ihned zahodí, viz níže)

Anonymní hash návštěvníka

Pro rozlišení nových a opakovaných návštěvníků v rámci jednoho dne vytváříme anonymní hash kombinací:

  • Rozlišení obrazovky
  • Jazyk prohlížeče
  • Časová zóna
  • Aktuální datum
  • Tajný klíč Vašeho webu

Tento hash:

  • Nelze převést zpět na žádnou konkrétní osobu.
  • Mění se každý den (po půlnoci je každý návštěvník „nový").
  • Je unikátní pro každý web (nelze ho použít k cross-site sledování).

Co Daxlyze NEUKLÁDÁ

IP adresa

IP adresa návštěvníka se na server pošle (jinak by web nemohl fungovat), ale ihned ji zahodíme. Použijeme ji pouze pro:

  1. Geolokaci (zjištění země a přibližného města).
  2. Detekci robotů a útoků.
  3. Rate limiting (proti zahlcení).

Do databáze se IP nikdy neuloží — ani v zašifrované, ani v zahashované podobě.

Cookies

Daxlyze do prohlížeče návštěvníka neukládá žádné cookies. To znamená:

  • Na Vašem webu kvůli Daxlyze nemusíte mít cookie lištu.
  • Nemusíte řešit „Souhlasím / Nesouhlasím" tlačítka.
  • Nemusíte se bát ePrivacy směrnice ani GDPR cookie problémů.

Výjimka: pokud používáte persistentní A/B testy (kdy návštěvník má vidět stejnou variantu při opakovaných návštěvách), pak je nutné si vyžádat souhlas. To je ale Vaše rozhodnutí, ne výchozí chování.

LocalStorage

Ve výchozím režimu Daxlyze nezapisuje do localStorage ani sessionStorage prohlížeče.

Konkrétní prohlížeč a operační systém

Daxlyze v žádné databázi ani v UI přehledech nedrží údaj o tom, jaký prohlížeč (Chrome / Safari / Firefox / Edge / atd.) nebo operační systém (Windows / macOS / Linux / Android / iOS / atd.) návštěvník použil. Nic takového v přehledech ani neuvidíte. Jediný údaj odvozený z User-Agent, který si pamatujeme, je typ zařízení (počítač / tablet / mobil) — tu zobrazujeme v koláčovém grafu „Zařízení".

Plný User-Agent řetězec

Plný User-Agent (= dlouhý technický řetězec popisující prohlížeč a systém) do databáze nezapisujeme. Při příchodu requestu z něj jen rozhodneme, zda jde o robota a o jaký typ zařízení.

Obsah formulářů

Když návštěvník vyplňuje formulář, Daxlyze NIKDY nečte obsah polí. Měříme pouze:

  • Které pole bylo otevřené.
  • Jak dlouho ho vyplňoval.
  • Zda formulář odeslal nebo opustil.

Váš e-mail, telefon, heslo, zpráva — nic z toho do Daxlyze nedorazí.

Citlivé údaje v URL

Pokud Vaše stránky obsahují parametry typu ?password=..., ?token=..., ?api_key=..., Daxlyze tyto parametry automaticky odfiltruje, aby se nedostaly do databáze.

Návštěvníky s Do Not Track

Pokud má návštěvník v prohlížeči zapnutou hlavičku Do Not Track (DNT), sledovací skript se vůbec neaktivuje. Návštěva se nezapočítá do statistik. To je úmyslné — chráníme tím soukromí návštěvníků nad rámec zákona.

Jak dlouho data uchováváme

Retenční doby (= jak dlouho data zůstávají v databázi) jsou nastaveny tak, aby splňovaly požadavek GDPR na minimalizaci dat (článek 5 odst. 1 písm. c).

Co Jak dlouho uchováváme
Surová návštěvnická data (hits) 30 dní
Surové kliky 14 dní
Surová formulářová data 30 dní
Surové custom events 30 dní
Bezpečnostní logy 30 dní
Detekce robotů 30 dní
Agregovaná data (denní statistiky) podle plánu — 7 dní (Free), 6 měsíců (Starter), 2 roky (Pro), 25 měsíců (Agency)

Agregovaná data (denní/týdenní statistiky) jsou anonymní — neobsahují žádné identifikátory návštěvníků.

Šifrování

Všechna data jsou v databázi šifrována standardem AES-256. Komunikace mezi Vaším webem a Daxlyze probíhá výhradně přes HTTPS.

Kde se data zpracovávají

Hlavní hosting — EU (Česká republika)

Všechna analytická data, Vaše uživatelská data a databáze jsou uložena na serverech poskytovatele WEDOS Internet, a.s. v České republice. Pro tyto údaje nedochází k žádnému přenosu mimo EU.

AI Audit — používá AI a SEO partnery (jen pokud modul aktivujete)

Pokud aktivně používáte modul AI Audit (Starter+ plán), omezený rozsah dat se zpracovává u dvou partnerů:

  • Anthropic, PBC (San Francisco, USA — EU subjekt: Anthropic Ireland Limited, Dublin) — pro generování AI auditu a doplňujících odpovědí (Claude API). Datové centrum v USA. Mezinárodní přenos kryt Standardními smluvními doložkami EU (SCC) podle čl. 46 GDPR.
  • DataForSEO OÜ (registrované sídlo Tallinn, Estonsko — Evropská unie) — pro stahování klíčových slov, pozic ve vyhledávačích a sledování AI viditelnosti napříč hlavními AI vyhledávači. DataForSEO sám sídlí v EU, ale jeho infrastruktura je hybrid (vlastní EU servery + infra v USA přes Google Cloud a Microsoft Azure). Mezinárodní přenos do USA přes infra providery je krytý SCC + rozhodnutími o odpovídající úrovni ochrany.

Co se posílá k těmto partnerům:

  • Veřejně dostupný textový obsah Vašich stránek (nadpisy, meta tagy, popisy).
  • Agregované statistiky výkonnosti (počet návštěv, top stránky, konverze) — anonymní.
  • Vámi zadané typické dotazy zákazníků a domény konkurentů.

Co se NEPOSÍLÁ:

  • Žádné osobní údaje návštěvníků.
  • Žádná surová tracking data.
  • Žádný obsah formulářů.
  • Žádné e-maily ani jiné identifikátory.

Právní rámec: přenos do USA je krytý Standardními smluvními doložkami EU (SCC) podle čl. 46 GDPR a/nebo rozhodnutími o odpovídající úrovni ochrany. Anthropic má v Commercial Terms závazek netrénovat AI modely na API datech a uchovávat data pouze po dobu nezbytnou pro detekci zneužití.

Pokud modul AI Audit nepoužíváte, žádná data Vás ani Vašich návštěvníků se k těmto partnerům neposílají.

Plný seznam sub-zpracovatelů včetně právních základů najdete na stránce Sub-zpracovatelé.