1. Úvod
1.1 Co je Consentio?
Consentio je SaaS služba pro správu souhlasů s cookies (Consent Management Platform - CMP). Pomáhá provozovatelům webových stránek zajistit soulad s GDPR a ePrivacy směrnicí prostřednictvím:
- Přizpůsobitelného cookie banneru pro sběr souhlasů
- Automatického skenování a kategorizace cookies
- Ukládání a správy consent záznamů (proof of consent)
- Integrace s Google Consent Mode v2
- Analytiky a reportingu souhlasů
1.2 Pro koho je tento dokument
Tento dokument je určen pro zákazníky Consentio (provozovatele webů), kteří potřebují porozumět:
- Jakou roli má Consentio při zpracování osobních údajů
- Jaké povinnosti vyplývají ze zpracovatelské smlouvy
- Jak jsou chráněna data jejich návštěvníků
- Jaké mají povinnosti vůči svým návštěvníkům
2. Role Consentio ve zpracování dat
2.1 Consentio jako správce
Pro data zákazníků Consentio (vaše účetní údaje, přihlašovací údaje, fakturační data) vystupujeme jako správce osobních údajů.
- Určujeme účely a prostředky zpracování
- Neseme odpovědnost za zpracování dle GDPR
- Podrobnosti viz Zásady ochrany osobních údajů
2.2 Consentio jako zpracovatel
Pro consent data návštěvníků vašich webů vystupujeme jako zpracovatel osobních údajů.
- Vy (zákazník) jste správcem těchto dat
- Consentio zpracovává data pouze podle vašich pokynů
- Vztah je upraven zpracovatelskou smlouvou (DPA)
| Typ dat | Správce | Zpracovatel |
|---|---|---|
| Účet zákazníka (email, heslo, fakturační údaje) | Consentio | - |
| Consent záznamy návštěvníků vašeho webu | Vy (zákazník) | Consentio |
3. Zpracovatelská smlouva (DPA)
3.1 Automatické uzavření
Zpracovatelská smlouva (Data Processing Agreement - DPA) je automaticky uzavřena při registraci a akceptaci obchodních podmínek. Nemusíte podepisovat žádné další dokumenty.
3.2 Předmět zpracování
Na základě DPA zpracováváme consent data návštěvníků vašich webových stránek za účelem:
- Ukládání a správy consent záznamů
- Poskytování proof of consent pro účely compliance
- Zobrazování analytiky a statistik souhlasů
- Integrace s Google Consent Mode
3.3 Závazky Consentio jako zpracovatele
Jako zpracovatel se zavazujeme:
- Zpracovávat data pouze podle dokumentovaných pokynů správce
- Zajistit, že osoby oprávněné zpracovávat data jsou vázány mlčenlivostí
- Přijmout veškerá technická a organizační opatření k zabezpečení dat
- Využívat sub-zpracovatele pouze s vaším souhlasem
- Pomáhat správci při plnění jeho povinností (práva subjektů údajů, DPIA)
- Po ukončení služby smazat nebo vrátit všechna data
- Umožnit audity a kontroly
3.4 Vaše povinnosti jako správce
Jako správce consent dat jste povinni:
- Informovat návštěvníky o zpracování jejich dat (privacy policy)
- Zajistit právní základ pro zpracování
- Reagovat na žádosti subjektů údajů (přístup, výmaz, atd.)
- Oznámit narušení bezpečnosti dozorovému úřadu (pokud je relevantní)
4. Jaká data zpracováváme jménem zákazníka
Při interakci návštěvníka s cookie widgetem na vašem webu zpracováváme následující data:
| Údaj | Popis | Je to osobní údaj? |
|---|---|---|
| visitorId | Anonymní identifikátor generovaný náhodně | Pseudonymizovaný. Sám o sobě není osobním údajem, avšak v kombinaci s dalšími údaji (např. IP adresou) může představovat osobní údaj ve smyslu GDPR. |
| Consent volby | Rozhodnutí pro jednotlivé kategorie (necessary, analytics, marketing, preferences) | Ano (v kombinaci s visitorId) |
| Časové razítko | Datum a čas udělení/změny souhlasu | Ne |
| Země | Odvozeno z IP pomocí geolokace (IP se neukládá) | Ne |
| User Agent | Typ prohlížeče a zařízení | Ne (obecná informace) |
| UTM parametry | Marketingové parametry z URL (pokud jsou přítomny) | Ne |
4.1 Co NEzpracováváme
- IP adresy návštěvníků
- Jména nebo emaily návštěvníků
- Cookies třetích stran
- Obsah webových stránek
- Údaje o chování návštěvníků na webu (mimo consent interakce)
5. Zabezpečení dat
5.1 Technická opatření
- Šifrování přenosu: Veškerá komunikace je šifrována pomocí HTTPS (TLS 1.3)
- Šifrování v klidu: Data jsou šifrována na úrovni databáze
- Izolace dat: Data jednotlivých zákazníků jsou striktně oddělena
- Automatické zálohování: Denní zálohy s 30denní retencí
- DDoS ochrana: Cloudflare pro ochranu před útoky
5.2 Lokace dat
Primární databáze: EU (Frankfurt, Německo) - Supabase
CDN a edge: EU - Cloudflare
Hosting: EU - Cloudflare Pages
Všechna consent data jsou ukládána a zpracovávána výhradně v rámci Evropské unie.
5.3 Přístupová práva
- Přístup k datům mají pouze oprávnění zaměstnanci/administrátoři
- Všechny přístupy jsou logovány
- Uplatňujeme princip nejnižších oprávnění (least privilege)
7. Sub-zpracovatelé
Pro poskytování služby využíváme následující sub-zpracovatele. Registrací souhlasíte s jejich zapojením:
| Služba | Poskytovatel | Účel | Lokace | Záruky |
|---|---|---|---|---|
| Supabase | Supabase Inc. | Databáze, ukládání consent záznamů | EU (Frankfurt) | DPA, SCC |
| Cloudflare | Cloudflare Inc. | CDN, geolokace, ochrana | EU | DPA, SCC |
| Cloudflare Pages | Cloudflare Inc. | Hosting aplikace | EU | DPA, SCC |
7.1 Změny sub-zpracovatelů
O změnách v seznamu sub-zpracovatelů vás budeme informovat emailem minimálně 14 dní předem. Pokud s novým sub-zpracovatelem nesouhlasíte, máte právo do 14 dní od oznámení podat námitku. V případě nevyřešené námitky máte právo smlouvu vypovědět bez sankce s účinností ke dni, kdy má nový sub-zpracovatel začít zpracování.
7.2 Sub-zpracovatelé mimo EU
Následující služby mají sídlo v USA, ale consent data v nich přímo nezpracováváme:
- Stripe - pouze pro platby zákazníků (ne consent data)
- Resend - pouze pro transakční emaily zákazníkům (ne consent data)
8. Incident management
8.1 Postup při narušení bezpečnosti
V případě narušení bezpečnosti osobních údajů (data breach):
- Detekce a analýza - Identifikace rozsahu a dopadu incidentu
- Oznámení zákazníkům - Do 48 hodin od zjištění
- Nápravná opatření - Okamžité kroky k zamezení dalšímu úniku
- Dokumentace - Záznam incidentu pro účely compliance
8.2 Co oznámení obsahuje
- Popis povahy narušení
- Kategorie a přibližný počet dotčených subjektů údajů
- Pravděpodobné důsledky
- Přijatá nebo navrhovaná opatření
- Kontakt pro další informace
8.3 Vaše povinnosti
Jako správce máte povinnost:
- Oznámit narušení dozorovému úřadu (ÚOOÚ) do 72 hodin, pokud je pravděpodobné, že povede k riziku pro práva subjektů údajů
- Oznámit narušení dotčeným subjektům údajů, pokud je pravděpodobné vysoké riziko
9. Audit a compliance
9.1 Právo na audit
Jako správce máte právo provést audit zpracování dat. Audit lze provést:
- Prostřednictvím dotazníku, který vám zašleme na vyžádání
- Kontrolou certifikací a bezpečnostních opatření
- Na místě po předchozí dohodě (na náklady správce)
Fyzický audit je možný maximálně 1× ročně po předchozí dohodě. Primární formou auditu je vyplnění bezpečnostního dotazníku.
9.2 Dostupná dokumentace
Na vyžádání poskytneme:
- Popis technických a organizačních opatření
- Seznam sub-zpracovatelů s kontakty
- Záznamy o činnostech zpracování (čl. 30 GDPR)
- Výsledky bezpečnostních auditů (v anonymizované podobě)
9.3 Compliance certifikace
Certifikace SOC 2 Type II a ISO 27001 jsou plánovány. Aktuální bezpečnostní opatření jsou popsána v sekci 5 a dostupná k posouzení na vyžádání.
- SOC 2 Type II (plánováno)
- ISO 27001 (plánováno)
10. Kontakt pro GDPR dotazy
Pro veškeré dotazy ohledně GDPR, zpracovatelské smlouvy nebo ochrany osobních údajů nás kontaktujte:
David Azarian
Email: info@consentio.cz
Telefon: +420 774 147 594
Na dotazy odpovídáme do 5 pracovních dnů.
10.1 Související dokumenty
Verze 1.0 — Tento dokument nabývá účinnosti dnem 2. 2. 2026.