Zásady ochrany osobních údajů Assetli
Poslední aktualizace: 29. dubna 2026
Verze: 1.0
1. Správce osobních údajů
Ondřej Smutný
IČO: 75343533
Sídlo: Družstevní 511, 294 41 Dobrovice, Česká republika
E-mail: info@assetli.app
Web: https://assetli.app
S ohledem na rozsah zpracování není jmenován pověřenec pro ochranu osobních údajů (DPO). Pro jakékoli dotazy ohledně ochrany osobních údajů kontaktujte info@assetli.app.
2. Jaké údaje zpracováváme
2.1 Registrační a profilové údaje
- Jméno a příjmení
- E-mailová adresa
- Hashované heslo (bcrypt, SALT_ROUNDS=12 — heslo v čitelné podobě nikdy neukládáme)
- Datum registrace, jazyková preference
- Volitelně: telefonní číslo, datum narození
- 2FA konfigurace (TOTP seed, hashované zálohovací kódy)
2.2 Finanční údaje
Toto jsou nejcitlivější údaje, které zpracováváme:
Bankovní účty: název, typ (běžný, spořicí, investiční, kreditní karta, půjčka, hotovost), měna, zůstatek, stav (aktivní/archivovaný).
Transakce: datum, částka, popis/příjemce, kategorie, tagy, typ (příjem/výdaj/převod), poznámky. Při importu z CSV/PDF jsou soubory zpracovány serverem — extrahovaná data jsou uložena v databázi, původní soubory nejsou trvale uchovávány.
Rozpočty: název, kategorie, limity, období, stav čerpání.
Spořicí obálky: název, cílová částka, aktuální stav, historie přispění.
Předplatná: název služby, částka, frekvence, kategorie, datum obnovení.
2.3 Investiční údaje
Akcie a ETF: brokerské účty, obchody (datum, symbol, množství, cena, poplatky), dividendy (částka, srážková daň, ex-date, pay date), živé ceny (z IEX Cloud).
Kryptoměny: burzovní účty, obchody (12+ typů včetně nákup, prodej, swap, staking), holdingové pozice, živé ceny (z CoinGecko/CoinMarketCap).
Alternativní investice: P2P půjčky, crowdfunding, komodity, penzijní produkty — původní hodnota, aktuální hodnota, výnosy, události.
2.4 Údaje o majetku
Nemovitosti: typ, účel, adresa, plocha, pořizovací cena, aktuální hodnota, příjmy z pronájmu, výdaje, odečty energií (elektřina, plyn, voda), spotřebiče s příkonem, fotovoltaické panely s produkcí.
Vozidla: typ, značka, model, rok, RZ, VIN, kilometry, náklady (palivo, pojištění, údržba), servisní události, valuace.
Cennosti: kategorie (16 typů), pořizovací cena, aktuální hodnota, depreciace, záruka, stav.
Hypotéky a úvěry: jistina, úroková sazba, splátky, propojení s nemovitostí.
2.5 Údaje o sdílených výdajích (Bill Splitting)
Název skupiny, členové (jméno, volitelně e-mail), sdílené výdaje, vyrovnání, komentáře, aktivitní log. Při sdílení skupiny přes veřejný odkaz mohou data vidět osoby bez účtu Assetli.
2.6 Údaje Family Legacy
Kontakty důvěryhodných osob (jméno, e-mail, vztah), přístupové podmínky, šifrované poznámky (AES-256-GCM), log přístupů. Poznámky pro dědice jsou šifrovány na úrovni databáze — ani Provozovatel k nim nemá přístup v čitelné podobě.
2.7 Platební údaje
Platby zpracovává výhradně Stripe, Inc. Na serverech Assetli ukládáme pouze: Stripe Customer ID, poslední 4 cifry karty, typ karty, datum expirace. Čísla karet, CVV ani kompletní platební údaje nikdy neukládáme.
2.8 Technické a analytické údaje
- IP adresy a přibližná geolokace
- Typ prohlížeče a zařízení (User-Agent)
- Časové razítko přihlášení
- Logy chyb a výkonu aplikace
2.9 AI konverzace
Konverzace s AI asistentem jsou ukládány v databázi pod účtem Uživatele. Obsah konverzací je odesílán AI poskytovateli (Anthropic, OpenAI nebo Google Gemini dle volby Uživatele) pro generování odpovědí. Uživatel může konverzace kdykoli smazat.
2.10 Nahrané soubory
Dokumenty, účtenky a fotografie nahrané do Správce souborů jsou uloženy na Cloudflare R2. Soubory jsou přiřazeny k účtu Uživatele a přístupné pouze přes autentizované API. Soubory jsou trvale smazány při smazání účtu.
3. Cookies a sledovací technologie
3.1 Přehled cookies
| Cookie | Poskytovatel | Účel | Typ | Doba platnosti |
|---|---|---|---|---|
authjs.session-token |
Assetli | Autentizace přihlášeného uživatele | Nezbytné | 30 dní |
authjs.csrf-token |
Assetli | Ochrana proti CSRF útokům | Nezbytné | Session |
authjs.callback-url |
Assetli | Přesměrování po přihlášení | Nezbytné | Session |
lang |
Assetli | Jazyková preference | Funkční | 1 rok |
cookie-consent |
Assetli | Uložení volby souhlasu s cookies | Nezbytné | 1 rok |
_ga, _ga_* |
Google Analytics | Anonymizovaná analýza návštěvnosti | Analytické | 2 roky |
_clck, _clsk |
Microsoft Clarity | Analýza chování uživatelů (heatmapy) | Analytické | 1 rok / Session |
3.2 Kategorie cookies
Nezbytné cookies — nutné pro fungování aplikace (přihlášení, bezpečnost). Nelze je odmítnout.
Analytické cookies — pomáhají nám pochopit, jak uživatelé používají aplikaci. Jsou aktivovány pouze s vaším souhlasem. Můžete je kdykoli odmítnout v nastavení cookie banneru.
3.3 Správa cookies
Cookies můžete spravovat:
- Prostřednictvím cookie banneru při první návštěvě
- V nastavení prohlížeče
- Smazáním cookies v prohlížeči
4. Účely zpracování a právní základ
| Účel zpracování | Právní základ (GDPR) | Zpracovávané údaje |
|---|---|---|
| Poskytování Služby (účty, transakce, rozpočty) | Plnění smlouvy (čl. 6/1/b) | Registrační, finanční, investiční, majetkové údaje |
| AI kategorizace transakcí | Plnění smlouvy (čl. 6/1/b) | Texty transakcí (popis, částka) |
| AI chat asistent | Plnění smlouvy (čl. 6/1/b) | Konverzace, finanční snapshot |
| Zpracování plateb | Plnění smlouvy (čl. 6/1/b) | Platební údaje (přes Stripe) |
| Bezpečnost účtu (2FA, rate limiting, brute-force ochrana) | Oprávněný zájem (čl. 6/1/f) | IP adresy, logy přihlášení |
| E-mailové notifikace (rozpočty, předplatná, bezpečnost) | Souhlas (čl. 6/1/a) | E-mailová adresa |
| Analytika a zlepšování služby | Oprávněný zájem (čl. 6/1/f) | Anonymizované analytické údaje |
| Zákonné povinnosti (daňové záznamy) | Právní povinnost (čl. 6/1/c) | Platební záznamy |
5. Příjemci osobních údajů (zpracovatelé)
5.1 Přehled zpracovatelů
| Zpracovatel | Účel | Umístění dat | Přenos mimo EU |
|---|---|---|---|
| MongoDB Atlas (MongoDB, Inc.) | Databáze | EU (Frankfurt, AWS eu-central-1) | Ne |
| Cloudflare, Inc. | Soubory (R2), CDN, ochrana | Globální | Ano — standardní smluvní doložky |
| Vercel, Inc. | Hosting aplikace | Globální | Ano — standardní smluvní doložky |
| Stripe, Inc. | Zpracování plateb | EU | Ne (primárně) |
| Resend, Inc. | Odesílání e-mailů | USA | Ano — standardní smluvní doložky |
| Anthropic, PBC | AI kategorizace, AI chat | USA | Ano — standardní smluvní doložky |
| Google LLC | Google Analytics, Google OAuth | USA | Ano — standardní smluvní doložky |
| Microsoft Corp. | Clarity (analytika) | USA | Ano — standardní smluvní doložky |
5.2 Co sdílíme s AI poskytovateli
Při AI kategorizaci: texty transakcí (popis, částka, datum). Při AI chatu: konverzaci a finanční snapshot (souhrnná data o účtech, investicích, rozpočtech). Nikdy nesdílíme přihlašovací údaje, hesla ani platební informace.
Uživatel může v nastavení zadat vlastní API klíč pro Anthropic, OpenAI nebo Google Gemini — v takovém případě jsou data odesílána přímo poskytovateli bez přirážky ze strany Assetli.
5.3 Tržní data
Živé ceny: IEX Cloud (akcie), CoinGecko/CoinMarketCap (krypto), ECB/frankfurter.app (směnné kurzy). Těmto poskytovatelům neodesíláme žádné osobní údaje — pouze obecné dotazy na tržní data (symbol akcie, kód měny).
5.4 Wallet by BudgetBakers
Při synchronizaci přes WBB jsou transakce přenášeny z WBB do Assetli. WBB je nezávislý správce dat s vlastní licencí pro přístup k bankovním datům přes Open Banking. Podmínky zpracování dat se řídí podmínkami BudgetBakers s.r.o.
5.5 Prohlášení o neprodávání dat
Vaše osobní a finanční údaje nikdy neprodáváme, nesdílíme ani neposkytujeme třetím stranám pro marketingové, reklamní nebo obchodní účely.
6. Přenos dat mimo EU
Některá zpracování zahrnují přenos dat do USA (Anthropic, Resend, Cloudflare, Vercel, Google, Microsoft). Pro tyto přenosy využíváme standardní smluvní doložky (SCC) schválené Evropskou komisí dle čl. 46/2/c GDPR. Kopie SCC jsou dostupné na vyžádání.
7. Uchovávání údajů
| Typ údajů | Doba uchovávání |
|---|---|
| Registrační údaje | Po dobu trvání účtu |
| Finanční údaje (transakce, účty, investice) | Po dobu trvání účtu |
| AI konverzace | Po dobu trvání účtu (uživatel může smazat kdykoli) |
| Nahrané soubory | Po dobu trvání účtu |
| Platební záznamy | 5 let po provedení platby (daňové předpisy ČR) |
| Po smazání účtu — osobní údaje | Smazány do 30 dnů |
| Po smazání účtu — anonymizované finanční údaje | Mohou být uchovány až 5 let (zákonné povinnosti) |
| Neaktivní účet (12 měsíců bez přihlášení) | E-mail upozornění → 30 dní → automatické smazání |
| Importované soubory (CSV/PDF) | Zpracovány a smazány — neuchovávány trvale |
| Logy přihlášení a chyb | 12 měsíců |
8. Automatizované rozhodování a profilování
8.1 AI kategorizace transakcí
Assetli používá AI model Claude Sonnet 4 (Anthropic) k automatické kategorizaci transakcí na základě jejich popisu. Toto zpracování nemá přímé právní důsledky pro Uživatele, může být kdykoli ručně opraveno a je transparentní — Uživatel vidí přiřazenou kategorii.
8.2 Finanční skóre (0–850)
Assetli automaticky vypočítává finanční zdraví skóre na základě 7 komponent. Toto skóre je pouze informativní, neovlivňuje přístup k úvěrům ani jiným finančním produktům a není sdíleno s třetími stranami.
8.3 Predikce a analytika
Cash flow predikce, latte factor analýza, lifestyle inflation check a další analytické funkce jsou automatizované výpočty výhradně informativního charakteru.
8.4 Právo na lidský přezkum
V souladu s čl. 22 GDPR má Uživatel právo na lidský přezkum jakéhokoli automatizovaného výstupu. Kontaktujte info@assetli.app.
9. Vaše práva (GDPR čl. 15–22)
| Právo | Jak ho uplatnit |
|---|---|
| Právo na přístup (čl. 15) | Nastavení → Export dat (GDPR export v JSON) |
| Právo na opravu (čl. 16) | Editací údajů v nastavení účtu |
| Právo na výmaz (čl. 17) | Nastavení → Danger Zone → Smazat účet |
| Právo na přenositelnost (čl. 20) | GDPR export (JSON), CSV export transakcí |
| Právo na omezení zpracování (čl. 18) | Kontaktujte info@assetli.app |
| Právo na námitku (čl. 21) | Nastavení → Soukromí, nebo info@assetli.app |
| Právo odvolat souhlas | Nastavení → Notifikace, cookie banner |
Lhůta odpovědi: 30 dnů. V případě složitých žádostí může být prodloužena o dalších 60 dnů s oznámením.
Dozorový úřad: Úřad pro ochranu osobních údajů (ÚOOÚ), Pplk. Sochora 27, 170 00 Praha 7, posta@uoou.cz, www.uoou.cz
10. Ochrana dětí
Služba není určena dětem mladším 15 let (v souladu s § 7 zákona č. 110/2019 Sb.). Vědomě neshromažďujeme osobní údaje dětí mladších 15 let. Pokud zjistíme, že jsme shromáždili údaje od osoby mladší 15 let bez souhlasu zákonného zástupce, tyto údaje neprodleně smažeme.
11. Zabezpečení
11.1 Technická opatření
- Šifrovaná spojení (HTTPS/TLS)
- Hashování hesel (bcrypt, SALT_ROUNDS=12)
- Dvoufaktorové ověření (TOTP)
- Ochrana proti brute-force útokům s automatickým uzamčením účtu
- Ochrana formulářů reCAPTCHA v3
- Šifrování citlivých dat: Family Legacy poznámky (AES-256-GCM), API klíče (SHA-256 hash)
- Databáze hostována v EU (MongoDB Atlas, Frankfurt, AWS eu-central-1)
11.2 Oznámení o narušení bezpečnosti
V souladu s čl. 33 a 34 GDPR oznámíme narušení bezpečnosti dozorovému úřadu (ÚOOÚ) do 72 hodin od zjištění. Dotčené uživatele informujeme bez zbytečného odkladu, pokud narušení představuje vysoké riziko.
11.3 Disclaimer
Přestože implementujeme přiměřená opatření, žádná metoda přenosu nebo ukládání dat není 100% bezpečná. V případě zjištění neoprávněného přístupu ke svému účtu nás neprodleně kontaktujte na info@assetli.app.
11.4 Hlášení zranitelností
Pokud objevíte bezpečnostní zranitelnost, kontaktujte info@assetli.app. Zodpovědné hlášení zranitelností oceňujeme a nebudeme podnikat právní kroky vůči osobám, které zranitelnosti nahlásí v dobré víře.
12. Práva uživatelů mimo EU
12.1 Spojené království (UK GDPR)
Zpracování údajů uživatelů ve Spojeném království se řídí UK GDPR a Data Protection Act 2018. Vaše práva jsou obdobná právům dle EU GDPR. Dozorový úřad: Information Commissioner's Office (ICO), www.ico.org.uk.
12.2 Kalifornie (CCPA/CPRA)
Pokud jste rezidentem Kalifornie, máte práva dle CCPA/CPRA:
- Právo na informace o shromažďovaných údajích
- Právo na výmaz osobních údajů
- Právo na opravu nepřesných údajů
- Právo odhlásit se z prodeje/sdílení — vaše údaje neprodáváme ani nesdílíme pro reklamu
- Právo na nediskriminaci
Kontaktujte info@assetli.app. Odpovíme do 45 dnů.
12.3 Další státy USA
Rezidenti Colorado, Connecticut, Virginia a dalších států s privacy zákony mohou mít obdobná práva. Kontaktujte info@assetli.app.
13. Agregace a anonymizace
Vyhrazujeme si právo vytvářet agregovaná a anonymizovaná data za účelem zlepšování Služby a trénování AI modelů. Agregovaná data nesmí umožnit identifikaci jednotlivého Uživatele a nepodléhají GDPR.
14. Změny těchto zásad
- Drobné změny: oznámeny na webových stránkách
- Podstatné změny: oznámeny e-mailem minimálně 30 dní předem
- Při změnách vyžadujících souhlas si vyžádáme nový aktivní souhlas
- Starší verze jsou archivovány a dostupné na vyžádání
15. Kontakt
Ondřej Smutný
E-mail: info@assetli.app
Web: https://assetli.app
Adresa: Družstevní 511, 294 41 Dobrovice, Česká republika
Datum účinnosti: 29. dubna 2026
© 2026 Assetli. Všechna práva vyhrazena.