Ochrana osobních údajů

1. Co o tobě sbírám

Sbírám pouze data, která opravdu potřebuju. Konkrétně:

Když mi napíšeš přes kontaktní formulář

• Jméno — abych ti mohla odpovědět osobně
• E-mail — abych ti mohla odpovědět
• Telefon (volitelné) — pokud chceš, abych ti zavolala
• Firma (volitelné) — abych pochopila kontext
• Tvoje zpráva — co mi chceš sdělit
• IP adresa a čas odeslání — pro ochranu před spamem (logy se mažou po 30 dnech)

Když si u mě otevřeš účet (pro kurzy)

• Jméno, e-mail, heslo (zašifrované — ani já k němu nemám přístup)
• Údaje k objednanému kurzu (datum, tarif)
• Pokud platíš — fakturační údaje (jméno, adresa, IČ pokud jsi OSVČ)

Když přijdeš na web (cookies)

• Nutné cookies — abys mohla být přihlášená, mít cookie nastavení uložené
• Analytické cookies (Google Analytics) — JEN s tvým souhlasem (cookie banner)

Pokud nesouhlasíš s analytikou, web ti funguje stejně — jen nevidím statistiky návštěvnosti. Souhlas můžeš kdykoli odvolat v patičce („Změnit nastavení cookies").

2. Fotografie klientek — biometrické údaje (zvláštní pravidla)

Jako fotografka zpracovávám fotografie obličejů klientek. Podle čl. 9 GDPR se jedná o biometrické údaje (zvláštní kategorie), které vyžadují silnější ochranu než běžné údaje.

Co konkrétně dělám s fotkami

• Originály ukládám lokálně — na svém počítači a na externím disku. Přístup mám jen já, nepřenáším je do veřejných cloudových služeb.
• Retušuji je v lokálních nástrojích (Lightroom, Evoto, Photoshop) — fotky nikdy neopouštějí můj počítač do cloudových AI služeb.
• Klientskou galerii ti předávám přes PIXIN (česká služba s GDPR) — dostaneš unikátní link na svojí galerii, která není veřejně dohledatelná.
• Zveřejňuji jen s tvým výslovným souhlasem (papírový nebo elektronický formulář při focení).

Tvůj souhlas se zveřejněním fotografií

Pokud chci tvé fotky použít na webu nebo Instagramu, dávám ti k podpisu samostatný formulář „Souhlas se zveřejněním fotografií". Bez tvého souhlasu nezveřejním nic — ani detail očí, ani siluetu.

Souhlas můžeš kdykoli odvolat — napiš mi e-mail a do 14 dnů fotky stáhnu. Výjimka: tisk (kalendář, kniha) — to už nestáhneš zpětně.

Doba uchování fotografií

• Originály na mém disku — 3 měsíce po předání zakázky
• Klientská galerie v PIXIN — 12 měsíců, pak ji smažu
• Fotky se souhlasem zveřejnění v portfoliu — do odvolání souhlasu

Po těchto lhůtách fotky trvale mažu. Pokud bys po lhůtě chtěla galerii vrátit nebo dotisk, originály už nemám — ráda nafotím znovu.

3. Proč tvá data zpracovávám (právní základ)

📨 Pro odpověď na tvoji zprávu — souhlas

Když mi napíšeš formulářem, zaškrtáváš souhlas. Tvoje jméno, e-mail a zprávu používám jenom k tomu, abych ti odpověděla. Nikoho jiného tě bez tvého souhlasu nepřidám do newsletteru.

🛒 Pro objednávku kurzu — plnění smlouvy

Pokud si u mě objednáš kurz nebo členství, potřebuju tvé fakturační údaje, abych mohla vystavit fakturu a odeslat ti přístup. Bez nich by smlouva nešla uzavřít.

📊 Pro fakturaci — zákonná povinnost

Faktury musím archivovat 10 let podle zákona o účetnictví. To platí i kdybys mě požádala o výmaz — fakturu anonymizuji, ale samotný doklad zůstává.

📰 Pro newsletter (pokud souhlasíš) — souhlas

Pokud zaškrtneš „chci dostávat novinky", přidám tě do mého newsletteru (přes službu SmartEmailing). Z newsletteru se kdykoli odhlásíš jedním klikem v e-mailu.

🔒 Pro ochranu webu — oprávněný zájem

IP adresy v logech, ochrana před spamem (rate limit), monitoring chyb (Sentry — anonymně, bez tvých osobních dat). Bez toho bych nedokázala chránit web ani sebe.

4. Jak dlouho data držím

• Kontaktní zprávy — 12 měsíců po vyřízení (pak mažu)
• Účet a kurzy — po dobu aktivního používání + 3 roky po posledním přihlášení
• Fakturační údaje — 10 let (zákonná povinnost)
• Newsletter — dokud se neodhlásíš
• IP logy a cookies — 30 dní
• Cookies analytické — podle nastavení Google Analytics (typicky 14 měsíců)

5. Komu data předávám (zpracovatelé)

Sama nezvládnu vše — používám služby, které mi pomáhají. Každý zpracovatel má vlastní GDPR-compliant podmínky podle čl. 28 GDPR, které jsem akceptovala při zřízení služby. Tvá data smí používat jen k tomu, na co je posílám, a nesmí je dál prodávat ani používat pro vlastní marketing.

Zpracovatelé v EU (žádné komplikace)

• SmartEmailing s.r.o. (Česká republika) — odesílání newsletteru, pokud jsi dala souhlas
• WEDOS Internet, a.s. (Česká republika) — registrace domény a část hostingu
• Stripe Payments Europe, Limited (Irsko, EU) — platební brána pro karetní platby. Tvá data karty NIKDY nevidím — zpracovává je přímo Stripe.
• PIXIN (Česká republika) — klientské galerie pro fotky. Galerie je chráněná unikátním linkem, není veřejně dohledatelná.

Účetnictví si spravuji sama (paušální plátce), tvoje fakturační údaje nepředávám žádné externí účetní.

Zpracovatelé v USA (s EU-US Data Privacy Framework + SCC)

Některé technické služby provozují americké firmy. Pro přenos dat do USA mám právní záruky podle EU-US Data Privacy Framework(přijatého Evropskou komisí v červenci 2023) a Standardních smluvních doložek (SCC) přijatých Komisí v roce 2021.

• Amazon Web Services (AWS SES) — odesílání transakčních e-mailů (potvrzení objednávky, reset hesla). Certifikováno DPF.
• Sentry — monitoring chyb aplikace. Tvoje osobní data se NIKDY nepředávají — Sentry má vypnutý session recording a aktivní PII scrubbing (filtruje e-maily, jména, IP adresy). Vidí jen technické chybové stopy.
• Google Analytics — měření návštěvnosti JEN pokud souhlasíš s analytickými cookies. Anonymizovaná IP adresa, žádné cross-site tracking.

Co tě jako klientku zajímá

Po Schrems II rozhodnutí Soudního dvora EU (2020) je přenos dat do USA možný JEN pokud má provider certifikaci DPF nebo SCC. Všechny mé US zpracovatele to splňují. Pokud by se cokoli změnilo, aktualizuji tuto stránku a oznámím e-mailem.

Tvá data NIKDY neprodávám ani je nepředávám třetím stranám k jejich vlastnímu marketingu. Zpracovatelé výše mají smluvní povinnost mlčenlivosti a smí data použít JEN pro služby, které mi poskytují.

6. Používání umělé inteligence (AI Act 2026)

Od února 2025 platí v EU AI Act — nařízení o umělé inteligenci. Jeho součástí je povinnost transparentnosti: musím ti jasně říct, kdy a jak používám AI. Tady to máš.

K čemu AI používám

• Tvorba textů — blog články, e-mailové šablony, marketingové texty (Everbot, Claude). Vždy je kontroluji a finalizuji ručně. AI je můj pomocník, ne autor.
• AI vizualizace — pro klienty, kteří si je objednají (zahrady, interiéry, brand pozadí). Vždy s jejich souhlasem.
• Marketingové návrhy — nápady na příspěvky, hashtagy, struktury kampaní.

Co NIKDY nezadávám do AI

Toto je můj nezbytný pevný princip — bez ohledu na to, jak by AI byla užitečná:

• ❌ Plná jména klientek (vždy anonymizuji jako „klientka X")
• ❌ E-maily, telefony, adresy
• ❌ Fotografie obličejů klientek (do cloudových AI služeb)
• ❌ Finanční částky spojené s konkrétním klientem
• ❌ Zdravotní informace nebo cokoliv osobně citlivého
• ❌ Přihlašovací údaje, hesla, klíče
• ❌ Smlouvy a důvěrné dokumenty

Které AI nástroje používám a kde sídlí

• Everbot (Česká republika, GDPR friendly) — můj primární nástroj pro většinu úkolů
• Claude (Anthropic, USA s EU-US DPF) — pro pokročilé programátorské úkoly (vibe coding mého webu)
• Lokální AI nástroje (Evoto, Photoshop AI) — pro práci s fotkami, fotky neopouštějí můj počítač

Tvá práva ohledně AI

Máš právo požádat, abych s tebou pracovala bez AI.Stačí napsat — nebudu ti účtovat víc, jen to bude pomalejší. Také máš právo vědět, který konkrétní obsah byl tvořen s AI.

Žádné automatizované rozhodování (čl. 22 GDPR) na tomto webu nedělám. AI navrhuje, já rozhoduji. Žádný algoritmus za tebe nerozhodne, jestli ti dám slevu, kurz nebo službu.

7. Tvá práva (kdykoli, zdarma)

• Právo na informace — vědět, co o tobě mám (čteš to právě teď)
• Právo na přístup — můžeš si vyžádat kopii všech tvých dat (do 30 dnů ti je pošlu)
• Právo na opravu — pokud je něco špatně, opravím
• Právo na výmaz („být zapomenut") — smažu vše, co o tobě mám (kromě faktur — viz výše zákonná povinnost)
• Právo na omezení zpracování — můžeš požádat, abych data dočasně nezpracovávala
• Právo na přenositelnost — pošlu ti tvá data ve strojově čitelném formátu (JSON), aby sis je mohla přenést jinam
• Právo vznést námitku — pokud zpracovávám na základě oprávněného zájmu, můžeš říct ne
• Právo odvolat souhlas — kdykoli, jednoduše (newsletter = jeden klik v e-mailu, cookies = patička webu)
• Právo podat stížnost u dozorového orgánu — viz dál

Jak práva uplatnit: Stačí mi napsat e-mail na marcela@fotoatelier-brno.cz. Odpovím do 30 dnů (typicky do týdne).

8. Cookies — kompletní seznam

Cookies jsou malé textové soubory, které web ukládá ve tvém prohlížeči. Některé jsou nutné, některé volitelné. Všechny vyžadující souhlas máš pod kontrolou v cookie banneru(zobrazí se při první návštěvě) a v patičce „Nastavení cookies".

🟢 Nutné cookies (bez souhlasu)

Bez těchto web nemůže fungovat. Podle GDPR (čl. 6 odst. 1 písm. f) se souhlas nevyžaduje.

🟡 Analytické cookies (jen se souhlasem)

Měří návštěvnost, abych viděla, které články jsou populární. Aktivují se JEN po tvém souhlasu (klik „Přijímám" v banneru).

🔴 Marketingové cookies — žádné nepoužívám

Žádný Facebook Pixel, žádný TikTok Pixel, žádné retargeting reklamy. Tvůj profil nikde nenásleduji ani neprodávám.

Jak změnit nastavení cookies

Kdykoli klikni na „Nastavení cookies" v patičce webu. Můžeš odvolat souhlas s analytickými cookies a nastavení se okamžitě zresetuje. Žádné komplikace.

Cookies můžeš taky vymazat přímo v prohlížeči (Chrome: Nastavení → Soukromí → Cookies; Firefox / Safari mají podobné menu).

9. Děti do 15 let — speciální pravidla

Pokud fotím nezletilé dítě (do 15 let), platí přísnější pravidla podle čl. 8 GDPR a § 31 zákona č. 89/2012 Sb. (občanský zákoník).

Jak řeším souhlasy u focení dětí

Souhlas s focením je dán tím, že dítě přivede k focení zákonný zástupce (typicky rodič) — přivedení dítěte k objednané fotografické službě je projev jeho souhlasu se zpracováním fotek v rámci té služby.

Souhlas se zveřejněním fotek (web, Instagram, portfolio) je samostatná věc. U focení s rodiči podepisuji písemný formulář o souhlasu / nesouhlasu se zveřejněním. Bez podepsaného souhlasu se zveřejněním fotku dítěte nikde nezveřejním — ani v ukázkách, ani na sociálních sítích.

Co s fotkami dětí dělám

• Předám rodičům v klientské galerii PIXIN přes unikátní link
• Zveřejňuji JEN s podepsaným souhlasem rodičů (formulář u focení). Dokud souhlas nemám, fotka se na webu ani Instagramu neobjeví.
• Retušuji minimálně — žádné nadměrné úpravy (děti zaslouží přirozenost)
• Nikdy neposkytuji do AI — fotky dětí nikdy nezadávám do žádného cloudového AI systému

Účet na webu pro nezletilé

Účet na webu BabičkaHackuje smí mít JEN osoba 16+ let.Pokud zjistím, že účet má dítě mladší, okamžitě ho zruším a data smažu. Rodiče dětí 13-15 let mohou mít účet pouze se souhlasem dítěte i sebe.

10. Bezpečnost dat

Co dělám pro to, aby tvá data byla v bezpečí:

• HTTPS všude — komunikace mezi tebou a webem je šifrovaná
• Hesla šifrovaná (bcrypt) — ani já nevidím tvoje heslo, jen jeho šifrovaný otisk
• 2FA (dvoufaktorové ověření) — můžeš si zapnout pro extra ochranu
• Pravidelné zálohy databáze
• Monitoring — Sentry hlásí chyby v reálném čase (s vypnutým session recording, žádné PII)
• Pravidelné aktualizace všech komponent webu

11. Co dělat, když se něco stane (incident)

Pokud by někdy došlo k úniku tvých dat, do 72 hodin ti dám e-mailem vědět, co se stalo, jakých dat se to týká, a co s tím dělat. Současně oznámím incident ÚOOÚ.

12. Změny tohoto dokumentu

Pokud se něco zásadního změní (přidám novou službu, změním zpracovatele, přijde nový zákon), aktualizuji tuto stránku a nahoře uvidíš nové datum. U registrovaných uživatelek tě navíc upozorním e-mailem.

13. Otázky?

Klidně mi napiš e-mail na marcela@fotoatelier-brno.cz nebo přes kontaktní formulář. Odpovím lidsky a do 1-2 pracovních dní.

Aktualizováno: 6. května 2026
Účinnost: Tento dokument platí od 6. května 2026 a nahrazuje všechny předchozí verze.