Zásady ochrany osobních údajů

Provozovatelem služby Daxlyze (dostupné na adrese https://daxlyze.com, dále jen „Služba" nebo „Daxlyze") je:

(dále jen „my", „nás" nebo „provozovatel")

Tyto Zásady popisují, jaké osobní údaje zpracováváme, proč je zpracováváme, jak dlouho je uchováváme a jaká máte práva. Stavíme privacy-first analytický nástroj s důrazem na minimalizaci zpracování osobních údajů — sbíráme jen to nezbytně nutné a dobře to chráníme.

Daxlyze funguje ve dvou odlišných vztazích, a proto v těchto Zásadách rozlišujeme:

2.1 Jste-li návštěvník webu daxlyze.com nebo klient Daxlyze

Pokud navštívíte náš web nebo si u nás založíte účet, jsme správcem vašich osobních údajů podle čl. 4 odst. 7 GDPR. Určujeme účely a prostředky zpracování a neseme plnou odpovědnost podle GDPR. Tato zpracování popisujeme v kapitolách 3 a 4.

2.2 Jste-li návštěvník webu, na kterém běží náš tracking skript

Pokud váš web navštíví uživatel, na jehož stránce je instalován náš tracking skript, vystupujeme jako zpracovatel podle čl. 4 odst. 8 GDPR. Správcem zůstává náš klient (majitel webu), který určuje účel zpracování a uzavírá s námi smlouvu o zpracování (DPA). Podrobnosti v kapitole 5.

Když navštívíte stránky daxlyze.com bez registrace (landing, pricing, dokumentace):

V tuto chvíli marketingové a reklamní cookies (Google Ads, Meta Pixel, TikTok Pixel) aktivně nepoužíváme. Zapojení těchto nástrojů je technicky připraveno a před jejich aktivací si vyžádáme váš souhlas. Detail plánovaných cookies, jejich doba platnosti a způsob, jak souhlas spravovat, najdete v kapitole 11.

Když si u nás založíte účet, platíte za službu a používáte dashboard, zpracováváme:

4.1 Registrace a přihlašování

4.2 Fakturace a platby

Pozor: Údaje platebních karet nezpracováváme ani neukládáme. Celé zpracování karet probíhá výhradně u Stripe, Inc. (PCI DSS Level 1 certifikovaná společnost).

Po smazání účtu zůstávají pouze faktury s pseudonymním identifikátorem místo osobního účtu — dokud neuplyne 10letá zákonná lhůta. Po jejím uplynutí jsou smazány. Toto pravidlo platí pro všechny uživatele, kteří měli placený plán, bez ohledu na způsob ukončení účtu (vaše žádost, naše ukončení nebo neaktivita).

4.3 Konfigurace a používání Služby

4.4 Žádost o smazání účtu

Pokud požádáte o smazání účtu v Nastavení, zpracováváme dočasně i:

• Datum žádosti, naplánované datum smazání (14denní grace period)
• Hash jednorázového cancel tokenu (pro zrušení smazání přes email)
• Volitelný důvod odchodu (nepovinné)

Tyto údaje jsou po vykonání nebo zrušení smazání odstraněny. Audit záznam o provedeném smazání zůstává v bezpečnostním logu 30 dní bez přímého propojení s vámi.

4.5 Ukončení účtu ze strany provozovatele

Pokud váš účet ukončíme my, postupujeme obdobně jako při vaší žádosti o smazání podle kap. 4.4 — aplikujeme ochrannou lhůtu s oznámením na vaši registrovanou emailovou adresu, během které máte možnost účet obnovit přihlášením. Po uplynutí jsou data smazána s výjimkou fakturačních údajů (10 let zákonné uchování dle kap. 4.2).

K ukončení účtu ze strany provozovatele může dojít v těchto případech:

• Dlouhodobá neuhrazená faktura u placeného plánu — po neuhrazení přepneme váš účet na Free plán. Pokud se následně dostane do stavu dlouhodobé neaktivity, aplikuje se pravidlo níže.
• Porušení Obchodních podmínek — pokus o zneužití, bot tracking, phishing, automatizované útoky. V takovém případě může být ukončení okamžité.
• Dlouhodobá neaktivita u Free plánu — pokud se do svého Free účtu nepřihlásíte po dobu 365 dní, zašleme vám 30 dní před ukončením upozornění emailem. Stačí se přihlásit a účet zůstane aktivní. Pokud se ani po upozornění nepřihlásíte, váš účet přejde do 30denní ochranné lhůty (soft delete), během které ho lze stále obnovit. Po jejím uplynutí jsou data trvale smazána.

Když náš klient nasadí na svůj web tracking skript, on je správcem a my jsme zpracovatelem podle čl. 28 GDPR. Zpracování probíhá na základě Smlouvy o zpracování osobních údajů (DPA), kterou klient přijímá při založení účtu.

5.1 Co z návštěvníků klientova webu zpracováváme

Základní analytický režim (výchozí, bez cookies):

• Navštívená stránka (URL cesta, bez query stringu s citlivými údaji)
• Titulek stránky, referrer (doména, ne plná URL)
• UTM parametry (utm_source, utm_medium, utm_campaign) — automaticky filtrované od osobních údajů (emaily, telefony, čísla karet se nahrazují anonymním placeholder textem)
• Typ zařízení (desktop/mobil/tablet), prohlížeč, OS
• Rozlišení obrazovky, jazyk prohlížeče, timezone offset
• IP adresu zpracováváme krátkodobě pro geolokaci a rate limiting (ochrana před zneužitím) — do databáze se ukládá pouze odvozená země a město, IP adresa samotná se neuchovává
• Denně rotující anonymní hash návštěvníka (rozlišení + jazyk + timezone + datum, solený per-site)
• Kliky na prvky (CSS selektor + text tlačítka, bez obsahu formulářů)
• U externích odkazů ukládáme pouze doménu a cestu (např. partner.com/landing) — nikdy parametry za otazníkem ani kotvu za křížkem. U odkazů typu mailto: a tel: ukládáme pouze informaci o typu odkazu, nikoli konkrétní emailovou adresu či telefonní číslo.
• Formulářová metadata (který formulář, kdy, jak dlouho se vyplňoval — nikdy ne obsah polí)
• Scroll depth, čas na stránce

A/B testy a personalizace:

• Anonymní režim (výchozí): žádná persistence v prohlížeči — varianta se počítá deterministicky z denně rotujícího hashe návštěvníka. Žádné cookies, žádné localStorage. Cookie banner není vyžadován.
• Persistentní režim (opt-in): přiřazená varianta uložena v localStorage klíčem _dax_abv_* po dobu 30 dní. Pokud test cílí na „nové" nebo „vracející se" návštěvníky, ukládá se navíc technický flag _dax_ret_* (pouze příznak první návštěvy, rovněž 30 dní). Oba klíče vyžadují souhlas návštěvníka s kategorií „Statistiky" nebo „Marketing" skrze cookie banner klienta. Bez souhlasu návštěvník vidí vždy výchozí variantu a do prohlížeče se nic neuloží.
• Maximální doba běhu A/B testu: 90 dní. Během této doby se test automaticky dokončí, jakmile Bayesian pravděpodobnost dosáhne 95 % u jedné varianty a současně jsou splněny peeking guardy (min. 7 dní běhu, min. 500 návštěvníků v každé variantě a cca 50 konverzí v nejlepší variantě). Pokud test do 90 dnů neposbírá průkazný výsledek, dokončí se bez vítěze — data minimization dle čl. 5 odst. 1 písm. c GDPR.

5.2 Co nezpracováváme

• Obsah formulářových polí — sbíráme pouze metadata (který formulář byl odeslán, jak dlouho trvalo vyplnění)
• Citlivá pole jsou na úrovni trackeru blacklistována: password, passwd, secret, token, card, credit, cvv, cvc, expiry, ssn, social, sin
• Query parametry a fragmenty v URL externích odkazů — před uložením odstraněné na úrovni trackeru i serveru (např. ?email=…, ?token=…, #section-5)
• Osobní údaje v UTM parametrech — před uložením se emaily, telefonní čísla a čísla karet automaticky nahrazují anonymními placeholder hodnotami ([email], [phone], [card])
• Obsah vlastních událostí (Daxlyze.event()) — stejný regex scrubber jako u UTM chrání hodnoty předávané klientskou aplikací
• Návštěvníky s aktivním Do Not Track (DNT) signálem — pokud má návštěvník v prohlížeči aktivní DNT=1, tracker se vůbec neaktivuje a neodešle žádná data
• Cross-site tracking — denní rotace hashe + per-site salt znemožňují sledování návštěvníka mezi weby nebo napříč dny
• Click IDs (gclid, fbclid, ttclid) — slouží výhradně k odvození utm_source a neukládáme je
• Jména, emaily ani jiné přímo identifikující údaje návštěvníků

5.3 Právní základ pro návštěvníky

Pro zpracování návštěvníků klientova webu určuje právní základ klient jako správce. V praxi je to obvykle:

• Oprávněný zájem správce (čl. 6 odst. 1 písm. f) GDPR) — pro základní analytiku bez cookies a bez persistentního trackingu
• Souhlas (čl. 6 odst. 1 písm. a) GDPR) + ePrivacy čl. 5(3) / § 89 zák. č. 127/2005 Sb. — pro A/B testy v persistentním režimu (localStorage) nebo personalizaci

Každý náš klient je povinen zajistit vlastní Zásady ochrany osobních údajů na svém webu a případný cookie banner (pokud aktivuje persistentní A/B testy). Poskytujeme jim k tomu šablony a návody v sekci GDPR integrace v dashboardu.

Poznámka k 25měsíčnímu limitu analytik: Podle doktríny francouzského dozorového úřadu CNIL (následované ostatními evropskými dozorovými úřady) mohou být analytická data uchovávána bez souhlasu subjektu údajů (tj. bez cookie lišty) maximálně 25 měsíců. Tento limit aplikujeme jako hard cap na všechny agregované statistiky — i pro klienty na plánu Business, kde původní nabídka byla 5 let. Pro delší archivaci historických dat nabízíme volitelný datový export (ZIP archiv s JSON + CSV), který si klient může stáhnout a uchovávat u sebe.

Pro provoz Služby využíváme následující sub-zpracovatele:

Aktuální seznam sub-zpracovatelů vedeme na stránce daxlyze.com/subprocessors.

O každé zamýšlené změně (přidání nebo nahrazení sub-zpracovatele) informujeme klienty nejméně 30 dní předem prostřednictvím:

• Emailu odeslaného na registrovaný email klienta
• Banneru v dashboardu Služby
• Aktualizace stránky daxlyze.com/subprocessors

V této 30denní lhůtě mohou klienti vznést vůči změně námitku a v případě, že námitku shledáme oprávněnou a nevyřešíme ji jinak, má klient právo ukončit smlouvu bez výpovědní doby. Podrobnosti upravuje Smlouva o zpracování osobních údajů (DPA).

Vaše osobní údaje zpracováváme primárně v Evropské unii (servery WEDOS v České republice).

K omezenému přenosu dat do Spojených států amerických dochází pouze u následujících zpracování:

• Platby (Stripe) — pouze pokud si koupíte placený plán (v aktuálním testovacím režimu deaktivováno)
• OAuth přihlášení (Google) — pouze pokud se přihlašujete přes Google
• AI analýza obsahu stránek (Anthropic) — pouze pokud používáte modul AI Audit
• SEO data a sledování AI viditelnosti (DataForSEO) — pouze pokud používáte modul AI Audit. DataForSEO je estonská společnost (EU), ale provozuje hybridní infrastrukturu — vlastní EU servery + US infrastrukturní provideři (Google Cloud, Microsoft Azure). Přenos do USA přes tyto infra providery je kryt SCC.
• Marketingové a reklamní platformy (Google Ads, Meta, TikTok) — pouze pokud udělíte souhlas v cookie liště

Každý z těchto přenosů je kryt Standardními smluvními doložkami Evropské komise podle rozhodnutí C(2021)3972 ze dne 4. června 2021 a dodatečnými bezpečnostními opatřeními podle rozsudku Schrems II (C-311/18). U Google LLC navíc využíváme certifikaci podle EU-US Data Privacy Framework.

Podle GDPR máte následující práva, která můžete uplatnit zdarma a bez odůvodnění:

9.1 Právo na přístup (čl. 15 GDPR)

V dashboardu Nastavení → Export mých dat si můžete kdykoli stáhnout ZIP archiv se všemi svými daty ve formátech JSON (strojové zpracování) a CSV (Excel). Odkaz je platný 24 hodin, maximálně 3 stažení.

9.2 Právo na opravu (čl. 16 GDPR)

V dashboardu Nastavení můžete upravit email, heslo, jazyk, 2FA a fakturační údaje. Pokud potřebujete opravit údaj, který nelze změnit v UI, napište na hello@daxlyze.com.

9.3 Právo na výmaz — „být zapomenut" (čl. 17 GDPR)

V dashboardu Nastavení → Smazání účtu můžete svůj účet zrušit. Smazání se provede po 14denní ochranné lhůtě (grace period), během které můžete smazání zrušit kliknutím v dashboardu nebo v emailu, který vám pošleme. Po uplynutí se vymažou všechna analytická data, weby, A/B testy, funnely a cíle.

Výjimky z výmazu (zákonné uchování):

• Faktury a účetní záznamy zůstávají 10 let podle zákona o DPH § 35 a zákona o účetnictví § 31 — uchováváme je s pseudonymním identifikátorem, bez přímého propojení s vaším profilem. Platí pro všechny uživatele, kteří měli placený plán.

9.4 Právo na omezení zpracování (čl. 18 GDPR)

Napište na hello@daxlyze.com. Zpracování pozastavíme po dobu, než vyřešíme váš požadavek (například během sporu o správnost údajů).

9.5 Právo na přenositelnost (čl. 20 GDPR)

Export v Nastavení → Export mých dat poskytuje data v otevřených strojově čitelných formátech (JSON a CSV) — můžete je přenést k jinému poskytovateli.

9.6 Právo vznést námitku (čl. 21 GDPR)

Pokud zpracováváme vaše údaje na základě oprávněného zájmu, můžete vznést námitku na hello@daxlyze.com. Pokud neprokážeme závažné oprávněné důvody pro další zpracování, které převažují nad vašimi zájmy, právy a svobodami, zpracování ukončíme.

Pokud vznesete námitku proti zpracování pro účely přímého marketingu, zpracování pro tyto účely ukončíme bezodkladně a bez dalšího posuzování (čl. 21 odst. 2 GDPR).

9.7 Právo odvolat souhlas (čl. 7 odst. 3 GDPR)

Pokud je zpracování založeno na vašem souhlasu (například marketingové cookies), můžete souhlas kdykoli odvolat — jednoduše kliknutím na odkaz „Cookies" v patičce webu nebo nastavením v cookie liště. Odvolání souhlasu nemá zpětný účinek.

9.8 Právo nebýt předmětem automatizovaného rozhodování (čl. 22 GDPR)

Pro účely registrace, přihlášení ani poskytování Služby neprovádíme automatizované rozhodování s právními účinky pro vás ani profilování ve významu čl. 22 GDPR. Bot detekce a rate limiting jsou technická bezpečnostní opatření, nikoli rozhodnutí o jednotlivci.

9.9 Právo podat stížnost u dozorového úřadu

Můžete podat stížnost u Úřadu pro ochranu osobních údajů:
Pplk. Sochora 27, 170 00 Praha 7
Email: posta@uoou.cz
Web: www.uoou.cz

Technická opatření:

• Šifrování emailů v databázi: AES-256-GCM s rotovatelným klíčem
• Hashování hesel: bcrypt s cost faktorem dle aktuálního OWASP doporučení
• HTTPS všude: HSTS zapnutý, Strict-Transport-Security, TLS 1.2+
• CSRF ochrana: token-based na všech POST endpointech
• Rate limiting: per-user (10/h) + per-IP (60/h) na citlivé akce
• SQL injection: výhradně prepared statements (PDO)
• XSS ochrana: Content-Security-Policy header, escape všech výstupů
• Session security: HttpOnly, Secure, SameSite=Lax (Lax je výchozí standard moderních prohlížečů od r. 2020 a je nezbytný pro správnou funkčnost OAuth přihlášení, např. Sign in with Google)
• 2FA: TOTP s možností šifrovaného backup kódu
• Partitioning: automatické DROP PARTITION pro rychlé mazání retenčních dat
• Respekt Do Not Track hlavičky: pokud má návštěvník v prohlížeči DNT=1, tracker se vůbec neaktivuje
• Data minimization v URL: u externích odkazů (outbound_url) i UTM parametrů se před uložením automaticky odstraňují query stringy, fragmenty a PII patterny (emaily, telefony, čísla karet)
• Audit log: změny účtu, přihlášení, admin přístupy (30 dní retence)

Organizační opatření:

• Princip minimalizace: sbíráme nejméně dat, kolik služba potřebuje
• Princip privacy by design: cookies a localStorage default vypnuté, A/B testy s consent signal integrací (Google Consent Mode v2, Cookiebot, Usercentrics, OneTrust)
• Princip retence: data se mažou automaticky podle předem definovaných pravidel
• Šifrované zálohy: denně, retence 30 dní, hostované v EU

Oznámení porušení zabezpečení (Data Breach):

V případě porušení zabezpečení s pravděpodobným rizikem pro vaše práva vás informujeme bez zbytečného odkladu, nejpozději však do 72 hodin od okamžiku, kdy se o porušení dozvíme, v souladu s čl. 33 a 34 GDPR. Zároveň oznámíme ÚOOÚ.

11.1 Kategorie cookies na daxlyze.com

Na našem webu používáme cookies ve dvou kategoriích: nezbytné (vždy aktivní, bez souhlasu dle § 89 odst. 3 zákona č. 127/2005 Sb.) a marketingové (volitelné, výchozí vypnuto). Kategorie analytické a preferenční na daxlyze.com nepoužíváme — vlastní analytika běží v anonymním režimu bez cookies a rozhraní nemá tmavý motiv ani uživatelská časová pásma (sjednoceno v Cookie Policy v1.21.2).

Svou volbu udělujete v cookie liště, která se zobrazí při první návštěvě, nebo kdykoli později kliknutím na „Nastavení cookies" v patičce stránky. Podrobný popis všech cookies, kategorií, společného správcovství s Meta/Google/TikTok a Google Consent Mode v2 najdete v samostatné Cookie Policy.

11.2 Nezbytné cookies (bez souhlasu)

11.3 Kategorie, které nepoužíváme

Analytické cookies: na daxlyze.com používáme vlastní analytický nástroj Daxlyze v privacy-first režimu bez cookies. Nepoužíváme Google Analytics ani jiné externí analytické cookies.

Preferenční cookies: rozhraní Daxlyze nemá tmavý motiv ani uživatelské časové pásmo, takže neukládáme žádné preferenční cookies. Kategorie byla odstraněna v Cookie Policy v1.21.2 (prázdný toggle v cookie liště by byl dark pattern).

Pokud v budoucnu do rozhraní přibude feature, která by takové cookies vyžadovala, vrátíme odpovídající kategorii do cookie lišty a požádáme o nový souhlas.

11.4 Marketingové a reklamní cookies (pouze se souhlasem)

V tuto chvíli marketingové cookies na Daxlyze aktivně nepoužíváme. Technicky připravujeme zapojení následujících služeb:

Jakmile kteroukoli z uvedených služeb zapojíme, vyžádáme si nový souhlas — váš dosavadní výběr v kategorii Marketingové se resetuje a zobrazí se vám nová informace o konkrétních aktivovaných službách. Tento mechanismus je popsán v Cookie Policy v kap. 4 a 5.3.

V rámci cookies třetích stran je Daxlyze společným správcem (čl. 26 GDPR) s jejich poskytovateli v souladu s judikaturou CJEU C-210/16 (Fashion ID). Rozdělení rolí a kontaktní údaje jednotlivých partnerů najdete v Cookie Policy kap. 7.

11.5 Google Consent Mode v2

Daxlyze používá Google Consent Mode v2 — od března 2024 povinný pro provoz Google Ads v EU. Vaše volba v cookie liště se předává do služeb Google přes 7 standardních parametrů (ad_storage, ad_user_data, ad_personalization, analytics_storage, functionality_storage, personalization_storage, security_storage). Podrobnosti v Cookie Policy kap. 8.

11.6 Správa vašeho souhlasu

Svůj souhlas můžete kdykoli:

• Udělit nebo změnit kliknutím na „Nastavení cookies" v patičce webu;
• Odvolat tamtéž — po odvolání budou tracking cookies v dotčené kategorii smazány a nebudou aktivní při dalších návštěvách;
• Upravit v účtu v nastavení účtu v kartě „Soukromí a cookies" (pouze pro přihlášené);
• Blokovat v prohlížeči — nastavení většiny prohlížečů umožňuje blokovat cookies globálně nebo podle domény.

Odvolání souhlasu je stejně snadné jako jeho udělení (čl. 7 odst. 3 GDPR). Odvolání nemá zpětné účinky.

11.7 Na webech našich klientů (pokud klient použije náš tracking skript)

Ve výchozím režimu tracking skript Daxlyze nepoužívá cookies ani localStorage. Návštěvníci klientova webu v základním režimu nepotřebují cookie banner kvůli našemu trackingu.

Pouze pokud klient aktivuje A/B testy v persistentním režimu, tracker ukládá do localStorage identifikátor přiřazené varianty (klíč _dax_abv_*, životnost 30 dní). Pokud takový test navíc cílí na „nové" nebo „vracející se" návštěvníky, ukládá se také technický flag _dax_ret_* (pouze příznak první návštěvy, rovněž 30 dní). V obou případech klient musí mít na svém webu cookie banner, který od návštěvníka získá souhlas, než se cokoli uloží. Jinak tracker zůstane v anonymním režimu bez localStorage.

Služba Daxlyze je určena výhradně pro podnikatele a firmy (B2B), nikoli pro děti nebo mladistvé jako koncové uživatele.

Pro Službu samotnou: Nezpracováváme vědomě osobní údaje osob mladších 16 let bez souhlasu zákonného zástupce. (Věk 16 let je horní hranice podle čl. 8 GDPR; jednotlivé členské státy EU mohou stanovit nižší věk, minimálně však 13 let. V České republice je hranice stanovena na 15 let.)

Pro klienty provozující webové stránky s dětským obsahem: Pokud váš web cílí na děti a Daxlyze je na něm instalován, jste jako správce odpovědní za zajištění souhlasu zákonných zástupců podle příslušných národních předpisů státu, kde se návštěvník nachází.

Pokud zjistíte, že nám dítě mladší stanoveného věku poskytlo své osobní údaje bez souhlasu rodičů, kontaktujte nás na hello@daxlyze.com a my tyto údaje neprodleně odstraníme.

Tyto Zásady můžeme čas od času upravit (například při přidání nové funkce nebo nového sub-zpracovatele). O každé podstatné změně vás budeme informovat:

• Emailem (pro registrované klienty) nejméně 30 dní před účinností změny
• Oznámením v dashboardu (banner na hlavní stránce)
• Aktualizovaným datem „Platnost od" v záhlaví těchto Zásad

Pokud budete se změnou nesouhlasit, máte právo účet zrušit (viz kap. 9.3).

Po posouzení kritérií podle čl. 37 odst. 1 GDPR jsme dospěli k závěru, že nejsme povinni jmenovat pověřence pro ochranu osobních údajů:

• nejsme orgánem veřejné moci ani veřejným subjektem;
• naše hlavní činnost nespočívá v operacích zpracování, které by vzhledem ke své povaze, rozsahu nebo účelům vyžadovaly rozsáhlé pravidelné a systematické monitorování subjektů údajů;
• nezpracováváme rozsáhle zvláštní kategorie osobních údajů podle čl. 9 GDPR ani osobní údaje týkající se rozsudků v trestních věcech a trestných činů podle čl. 10 GDPR.

Bez ohledu na to bereme ochranu osobních údajů vážně. Všechny dotazy ohledně ochrany osobních údajů vyřizuje přímo provozovatel:

Odpověď zpravidla do 3 pracovních dnů, v případě uplatnění vašich práv podle kap. 9 nejpozději do 30 dní od obdržení žádosti.

• Tyto Zásady se řídí právem České republiky a Nařízením Evropského parlamentu a Rady (EU) 2016/679 (GDPR).
• Doplňkově se uplatní zákon č. 110/2019 Sb., o zpracování osobních údajů, a zákon č. 127/2005 Sb., o elektronických komunikacích (ePrivacy).
• Pokud by některé ustanovení bylo neplatné nebo neúčinné, ostatní zůstávají v platnosti.
• Tyto Zásady tvoří společně s Obchodními podmínkami a Smlouvou o zpracování osobních údajů (DPA pro klienty) kompletní rámec pro vztah mezi vámi a provozovatelem.

Platnost od: 1.1.2026
Poslední aktualizace: 1.1.2026