Zásady zpracování osobních údajů
Služba: AI Execution Coach (dále jen „Služba” nebo „Aplikace”) Provozovatel / Správce: WolfPack Invest, s.r.o., se sídlem Ronovská 122, 289 32 Oskořínek, IČO: 08210985, zapsaná v obchodním rejstříku (dále jen „Správce”, „my”, „nás”) Kontaktní e‑mail pro ochranu osobních údajů: support@dailymarcus.ai Účinnost: 11. května 2026 Verze: 1.0
Tyto Zásady popisují, jaké osobní údaje o vás jako uživateli Služby zpracováváme, z jakých důvodů, jak dlouho a komu je předáváme. Zásady jsou připraveny v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 („GDPR”) a zákonem č. 110/2019 Sb., o zpracování osobních údajů.
1. Stručné shrnutí (TL;DR)
- Provozovatelem Služby je česká společnost WolfPack Invest, s.r.o. (IČO 08210985). Jsme správcem vašich osobních údajů.
- Aplikace je AI exekuční kouč — abychom vám mohli pomoci, uchováváme historii vaší komunikace s mentorem a specialisty, strukturovaný profil vašeho podnikání, vaše cíle, úkoly a osobní události, které během kouče zmíníte (např. dovolená, výročí, odměna za splnění cíle).
- Vaše data jsou uložena v Evropské unii (Supabase, region Frankfurt). Pro samotnou inteligenci kouče se obsah vašich konverzací zpracovává v zahraničí (USA) v rámci poskytovatelů LLM modelů (Anthropic, OpenAI, Voyage AI) — vždy na základě standardních smluvních doložek EK.
- Vaše data neprodáváme, nepoužíváme je pro trénování cizích AI modelů (smluvně ošetřeno s API poskytovateli) a nesdílíme s reklamními sítěmi.
- Kdykoli si můžete v Nastavení stáhnout veškerá svá data (JSON export) nebo trvale smazat účet — smazání zahrnuje i vektorové paměti a zákaznický záznam ve Stripe.
- Pro provozní e‑maily používáme Resend, pro platby Stripe, pro produktovou analytiku PostHog (anonymizované eventy bez obsahu konverzací).
Detaily najdete níže.
2. Kdo jsme a jak nás kontaktovat
| Provozovatel / Správce | WolfPack Invest, s.r.o. |
| Sídlo | Ronovská 122, 289 32 Oskořínek, Česká republika |
| IČO | 08210985 |
| DIČ | CZ08210985 |
| Zápis v OR | C 314295 vedená u Městského soudu v Praze |
| Kontaktní e‑mail | support@dailymarcus.ai |
| Pověřenec pro ochranu osobních údajů (DPO) | Nejmenovali jsme pověřence — zpracování nesplňuje podmínky čl. 37 GDPR pro povinné jmenování. Kontaktujte přímo Správce výše uvedeným e‑mailem. |
3. Co je „Služba” a co dělá s vašimi daty
AI Execution Coach je premiový AI exekuční kouč pro česky mluvící solo zakladatele služebních firem. Aby Služba mohla plnit svoji funkci — tedy znát váš byznys, pamatovat si váš život, generovat konkrétní úkoly a tlačit vás k jejich splnění — Aplikace průběžně:
- načítá při každé konverzaci váš byznys profil, aktivní cíle a úkoly, vrchol vaší epizodické paměti (nedávné poznatky) a aktivní osobní události;
- po každé smysluplné konverzaci spouští asynchronní distilační proces (LLM Claude Haiku 4.5), který shrnuje konverzaci do strukturovaných poznatků a aktualizuje paměť;
- v plánovaném čase (např. pondělí 8:00 ve vaší časové zóně) vám posílá personalizovaný check‑in e‑mailem / web push notifikací / v aplikaci.
Tato funkčnost vyžaduje, abychom uchovávali nezbytné kategorie osobních údajů popsané v části 4.
4. Kategorie zpracovávaných osobních údajů
| Kategorie | Konkrétní údaje |
|---|---|
| Identifikační údaje | E‑mailová adresa, jméno (pokud vyplníte), avatar (z Google účtu při OAuth přihlášení), unikátní ID uživatele. |
| Autentizační údaje | Hash hesla / token magic linku (spravuje Supabase Auth), OAuth tokeny od Google (při přihlášení Google sociálním loginem), refresh tokeny pro integrace (Google Calendar, Google Analytics) — uloženy šifrované klíčem INTEGRATIONS_ENCRYPTION_KEY (AES‑256). |
| Byznys profil | Název firmy, odvětví, typ podnikání, fáze, velikost týmu, rozpětí obratu, cílový zákazník, hlavní výzva, kanály akvizice — zadáváte v onboardingu, můžete kdykoli editovat. |
| Nastavení komunikace | Formálnost (tykání / vykání), přímost (1–5), tlak (1–5), preferovaný den a čas check‑inu, nastavení hlasu, motiv vzhledu. |
| Konverzace | Veškerý obsah vašich zpráv mentorovi i specialistům (Marketing), odpovědi modelů, časová razítka, příznak autora, token‑metriky. Zahrnuje i 3‑way konverzace. |
| Cíle, úkoly a rozhodnutí | 90denní plán, milníky, týdenní úkoly, jejich stav (splněno / zmeškáno / vynecháno + důvod), explicitní rozhodnutí, která jste si zalogovali. |
| Epizodická paměť | Strukturované poznatky vydestilované z konverzací, uložené jako text + vektorové embeddingy (1024‑dim) v pgvector. |
| Osobní události (life events) | Osobní informace, které mentorovi zmíníte: dovolená, večeře, narozeniny dítěte, výročí, milníky partnera, kontrolní zdravotní prohlídky a další, pokud je sdělíte. Slouží výhradně k tomu, aby se kouč na ně přirozeně doptal. |
| Hlasové nahrávky | Zvukové soubory dictace, které nahrajete do Aplikace. Ukládají se do privátního Supabase Storage bucketu voice-messages pod cestou <user_id>/, přístupné pouze podepsanou krátkodobou URL. |
| Přepisy hlasu | Textový přepis vašich diktátů (zpracovaný poskytovatelem OpenAI gpt‑4o‑transcribe) — uložený jako tělo zprávy. |
| Stakes & odměny | Vámi zvolená odměna a případný náklad (sázka), kterou si sami ukládáte. |
| Streak & badge | Údaje o sériích týdnů s ≥ 50 % splněnými úkoly a získaných odznacích. |
| Platební údaje | Předplatné / krediové balíčky zpracovává Stripe Payments Europe. Nezpracováváme čísla karet — pouze ID zákazníka, stav předplatného, fakturační e‑mail, údaje o fakturaci, zůstatek kreditů. |
| Provozní metadata | Logy AI volání (model, počet tokenů, cache hits, latence, odhad ceny), IP adresa (krátkodobě v technických logech), user‑agent, časová pásma. |
| Produktová analytika | Anonymizované eventy (např. „uživatel dokončil onboarding”, „uživatel splnil úkol”) — bez obsahu konverzací — zpracováváme přes PostHog (EU region, je‑li potvrzeno) pro účely zlepšování produktu. |
| Cookies a podobné | Viz část 11. |
Citlivé údaje (zvláštní kategorie podle čl. 9 GDPR — zdravotní stav, sexuální orientace, etnický původ, politické názory, biometrie): Služba není určena k jejich shromažďování. Kouč vás může vyzvat, abyste se citlivému tématu vyhnuli nebo přešli k odborníkovi. Pokud takové informace sami v konverzaci zmíníte, ukládají se jako součást textu zprávy a vztahuje se na ně právní základ čl. 9 odst. 2 písm. a) GDPR — váš výslovný souhlas vyjádřený samotným uvedením v rámci konverzace s nástrojem, jejž jste si k tomuto účelu vědomě sjednali. Kdykoli můžete takové údaje smazat exportem + úpravou nebo požádat o jejich výmaz.
5. Účely zpracování a právní základy
Zpracováváme vaše osobní údaje pouze pro konkrétní, jasně definované účely a vždy s odpovídajícím právním základem podle čl. 6 (případně čl. 9) GDPR.
| Účel | Konkrétní zpracovatelské činnosti | Právní základ (čl. 6 GDPR) |
|---|---|---|
| Poskytování Služby | Autentizace, onboarding, chat s mentorem a specialisty, načítání 4 vrstev paměti, generování cílů a úkolů, distilace, check‑iny, gamifikace, ukládání konverzací. | Plnění smlouvy — čl. 6 odst. 1 písm. b) (smluvní vztah na základě podmínek užívání). |
| Personalizace & paměť | Aktualizace byznys profilu, epizodické paměti, life events, follow‑upy, adaptivní tón. | Plnění smlouvy — čl. 6 odst. 1 písm. b) (jádro produktu); oprávněný zájem — čl. 6 odst. 1 písm. f) pro průběžné zlepšování kvality kouče. |
| Hlasová interakce (STT) | Přepis nahrávek poskytovatelem OpenAI, uložení audia v Supabase Storage. | Plnění smlouvy; uchování audia podléhá samostatnému opt‑outu v Nastavení. |
| Platby a fakturace | Vytvoření Stripe customer recordu, zúčtování předplatného, vystavení dokladu. | Plnění smlouvy + plnění právní povinnosti — čl. 6 odst. 1 písm. c) (účetní a daňové předpisy — zákon č. 563/1991 Sb., zákon č. 235/2004 Sb. o DPH). |
| Provozní komunikace | E‑maily o stavu účtu, check‑in připomenutí, fakturační notifikace (přes Resend). | Plnění smlouvy; oprávněný zájem pro provozní notifikace. |
| Marketingová komunikace | E‑maily o nových funkcích, tipy, beta novinky. | Souhlas — čl. 6 odst. 1 písm. a). Můžete kdykoli odhlásit v patičce e‑mailu nebo v Nastavení. |
| Produktová analytika | Anonymizované eventy v PostHog. | Oprávněný zájem — čl. 6 odst. 1 písm. f) na zlepšování produktu; obsah konverzací do PostHog neodesíláme. |
| Bezpečnost a prevence zneužití | Logování přihlášení, rate‑limity, fraud‑prevence Stripe. | Oprávněný zájem — čl. 6 odst. 1 písm. f) na bezpečnost provozu. |
| Splnění právních povinností | Účetní doklady, reakce na žádosti orgánů veřejné moci. | Právní povinnost — čl. 6 odst. 1 písm. c). |
| Obrana právních nároků | Uchování dat nezbytných v případě sporu. | Oprávněný zájem — čl. 6 odst. 1 písm. f). |
Před prvním chatem výslovně potvrzujete disclaimer, že Služba není právním, daňovým ani zdravotním poradcem; tento souhlas (timestamp) ukládáme v profiles.disclaimer_acknowledged_at.
6. Zdroje údajů
Údaje získáváme přímo od vás — při registraci, v onboardingu, v průběhu chatu, při nákupu, při změnách nastavení. Při Google sociálním přihlášení získáváme z vašeho Google účtu základní profilové údaje (e‑mail, jméno, avatar) v rozsahu, který udělíte. Při napojení integrací (Google Calendar, Google Analytics) získáváme refresh token a metadata kalendářních / GA událostí v rozsahu udělených oprávnění; ta jsou uložena šifrovaně.
7. Příjemci osobních údajů (subdodavatelé / zpracovatelé)
Pro provoz Služby využíváme následující zpracovatele. Se všemi máme uzavřeny zpracovatelské smlouvy (DPA) podle čl. 28 GDPR a tam, kde se údaje předávají mimo EU/EHP, využíváme Standardní smluvní doložky (SCC) schválené Evropskou komisí.
| Příjemce | Účel | Lokalita zpracování | Kategorie údajů | Mechanismus předání mimo EU/EHP |
|---|---|---|---|---|
| Supabase, Inc. | Hosting databáze (Postgres + pgvector), Storage pro hlasové nahrávky, autentizace. | Frankfurt, EU (region eu-central-1). |
Veškerá data uživatele. | Není mimo EHP. Mateřská společnost v USA — předání metadat pouze v rámci DPA Supabase + SCC. |
| Anthropic, PBC | LLM API (Claude Sonnet 4.6 + Haiku 4.5) — generování odpovědí mentora, specialistů, distilace, onboarding extrakce. | USA. | Texty zpráv a kontext paměti odeslané do API — nepoužívají se pro trénink modelů Anthropic dle podmínek Anthropic Enterprise/Commercial Terms. | SCC + DPA dle Anthropic. |
| OpenAI, L.L.C. | Přepis řeči (gpt-4o-transcribe); záložní textové embeddingy. |
USA. | Hlasové nahrávky odeslané k přepisu; texty embeddingovaných poznatků (záloha). Nepoužívají se pro trénink dle OpenAI API Data Usage Policy. | SCC + DPA dle OpenAI. |
| Voyage AI Innovations Inc. | Preferovaný poskytovatel embeddingů (voyage-3, multilingual včetně češtiny). |
USA. | Texty epizodických poznatků odeslané k vektorizaci. Voyage uvádí no‑train policy. | SCC + DPA dle Voyage. |
| Google Ireland Limited | OAuth přihlášení; volitelné integrace Google Calendar a Google Analytics. | EU + USA. | E‑mail, jméno, avatar; OAuth tokeny; metadata kalendářních / GA událostí v rozsahu udělených oprávnění. | Google DPA + SCC. |
| Stripe Payments Europe Ltd. + Stripe, Inc. | Zpracování plateb, předplatné, fakturace, fraud‑prevence. | IE + USA. | Stripe customer ID, fakturační e‑mail, platební metoda (tokenizovaná — kartové číslo k nám nikdy nedorazí), historie plateb. | Stripe DPA + SCC. |
| Resend, Inc. | Transakční a check‑in e‑maily. | EU + USA. | E‑mailová adresa, jméno, obsah e‑mailu (digest check‑inu může obsahovat shrnutí vašeho týdne). | Resend DPA + SCC. |
| PostHog Inc. (PostHog Cloud EU) | Produktová analytika — anonymizované eventy bez obsahu konverzací. | EU (region eu.posthog.com), je‑li potvrzeno; jinak USA s SCC. |
Anonymizované uživatelské eventy, IP (anonymizovaná), feature‑flag stav. | EU region — bez předání; v případě USA: SCC. |
| Vercel, Inc. | Hosting webové aplikace, edge funkce, cron joby. | Globální edge síť; konfigurováno na EU regiony. | Provozní logy (IP, user‑agent, status), HTTPS provoz. | Vercel DPA + SCC pro USA. |
| GitHub, Inc. / Microsoft | Verzování kódu a CI. Bez uživatelských dat — pouze zdrojový kód a stavební artefakty. | USA. | Pouze provozní logy CI, nezahrnuje uživatelská data. | SCC v rámci Microsoft DPA. |
| Cloudflare / DNS poskytovatel | DNS, CDN, ochrana proti DDoS. | Globální edge. | IP adresy, user‑agent, hlavičky HTTPS. | DPA + SCC. |
Aktuální seznam zpracovatelů a odkazy na jejich DPA poskytneme na vyžádání na výše uvedeném kontaktním e‑mailu. Vyhrazujeme si právo přidat nového zpracovatele; o významných změnách vás informujeme alespoň 30 dní předem.
8. Předávání údajů mimo EU/EHP
Některé subprocesory (Anthropic, OpenAI, Voyage AI, Stripe Inc., Resend, Vercel) sídlí v USA. Předání se uskutečňuje na základě:
- Standardních smluvních doložek (SCC) schválených Evropskou komisí (rozhodnutí 2021/914);
- u Anthropic, OpenAI a Stripe též EU‑U.S. Data Privacy Frameworku (DPF), kde jsou certifikováni;
- doplňkových technických opatření (TLS 1.2+ at‑transit, šifrování dat v klidu na úrovni poskytovatele).
Posouzení dopadu na ochranu údajů (TIA / transfer impact assessment) je provedeno a aktualizováno. Na vyžádání poskytneme shrnutí.
9. Doba uchování
| Kategorie údajů | Doba uchování |
|---|---|
| Aktivní účet — profil, paměť, konverzace, cíle, life events | Po dobu existence účtu. |
| Účet bez aktivity | Po 12 měsících bez přihlášení vás upozorníme; pokud do 30 dnů nereagujete, účet trvale smažeme. |
| Po žádosti o výmaz / smazání účtu | Trvalé smazání do 30 dnů ze všech tabulek, vektorové paměti, Storage bucketu a u Stripe customer recordu. Záložní snapshoty se přepisují v 30denním cyklu. |
| Hlasové nahrávky | Pokud máte v Nastavení zapnuté „uchovávat audio”, uchováváme po dobu trvání účtu; jinak audio mažeme bezprostředně po vytvoření transkriptu. |
| Účetní a daňové doklady | 10 let od konce účetního období, ve kterém byl doklad vystaven (zákon č. 235/2004 Sb. o DPH § 35, zákon č. 563/1991 Sb. o účetnictví § 31). Toto je zákonem stanovená povinnost — i po smazání účtu uchováváme pouze fakturační doklady. |
AI provozní logy (ai_calls) bez identifikátoru uživatele |
6 měsíců od vytvoření. |
| Webové / provozní logy (Vercel, Cloudflare) | 30 dnů. |
| PostHog produktové eventy | 24 měsíců od vytvoření, poté agregované anonymně. |
| Marketingové databáze | Do odvolání souhlasu, nejdéle však 3 roky od poslední interakce. |
10. Vaše práva
Jako subjekt údajů máte podle GDPR následující práva. Většinu z nich můžete uplatnit přímo v Aplikaci (Nastavení → Data), zbytek na kontaktním e‑mailu.
- Právo na přístup (čl. 15) — můžete si stáhnout kompletní JSON export (profil, konverzace, paměť, life events, cíle, úkoly, fakturace) v Nastavení → Data → Export.
- Právo na opravu (čl. 16) — všechna editovatelná pole upravíte v Nastavení nebo požádáte e‑mailem.
- Právo na výmaz / „být zapomenut” (čl. 17) — Nastavení → Data → Smazat účet. Kaskádově maže profil, byznys data, konverzace, paměť, vektorové embeddingy, life events, badges, streaks, Storage objekty a Stripe customer record. Účetní doklady jsou ze zákona uchovány po dobu podle bodu 9.
- Právo na omezení zpracování (čl. 18).
- Právo na přenositelnost údajů (čl. 20) — JSON export ve strojově čitelném formátu.
- Právo vznést námitku (čl. 21) — proti zpracování na základě oprávněného zájmu (typicky analytika, marketing).
- Právo odvolat souhlas (čl. 7 odst. 3) — kdykoli, bez vlivu na zákonnost dosavadního zpracování.
- Právo nebýt předmětem automatizovaného rozhodování s právními účinky (čl. 22) — Aplikace neprovádí automatizované rozhodování s právním ani podobně významným účinkem (např. neudělujeme úvěr, neuzavíráme smlouvy s třetími stranami). Inteligence kouče je personalizovaná, ale rozhoduje a jedná uživatel.
- Právo podat stížnost u dozorového úřadu — Úřad pro ochranu osobních údajů (ÚOOÚ), Pplk. Sochora 27, 170 00 Praha 7.
Na žádost odpovídáme bez zbytečného odkladu, nejpozději do 1 měsíce (lhůtu lze podle čl. 12 odst. 3 GDPR prodloužit o další 2 měsíce u složitějších případů — pak vás budeme informovat).
11. Cookies a sledovací technologie
Aplikace používá pouze cookies a obdobné technologie nezbytně nutné pro provoz (autentizační session cookie ze Supabase, preference UI, ochrana proti CSRF). Pro produktovou analytiku používáme PostHog v režimu bez sledování přes weby třetích stran a bez reklamních cookies.
Cookie banner se zobrazí při první návštěvě a umožňuje vám detailně nastavit volitelné kategorie. Striktně nutné cookies neukládáme bez vašeho souhlasu pouze v rozsahu, který povoluje § 89 zákona č. 127/2005 Sb., o elektronických komunikacích.
| Kategorie | Příklady | Doba uložení | Vyžaduje souhlas? |
|---|---|---|---|
| Striktně nutné | Auth session, CSRF, jazyková preference | Session / 1 rok | Ne |
| Analytické (PostHog) | Distinct ID, feature flagy | 12 měsíců | Ano |
| Marketingové | Nepoužíváme | — | — |
12. Bezpečnost zpracování
Přijali jsme technická a organizační opatření podle čl. 32 GDPR:
- Šifrování přenosu: veškerá komunikace je vedena přes TLS 1.2+.
- Šifrování v klidu: Supabase šifruje databáze i Storage objekty na úrovni AES‑256. OAuth refresh tokeny šifrujeme aplikační vrstvou klíčem
INTEGRATIONS_ENCRYPTION_KEY. - Row‑Level Security (RLS): zapnuto na všech tabulkách Postgres od prvního dne — uživatel vidí pouze své řádky. Servisní klíč je výhradně serverový, nikdy se nedostane do prohlížeče.
- Princip minima oprávnění: přístup k produkční databázi má pouze provozovatel; obnovitelné role + auditní log.
- Záložní kopie se vytvářejí denně, šifrované, cyklicky se přepisují po 30 dnech.
- Vývoj a CI: žádné produkční tajné klíče v repozitáři; každý commit prochází pre‑commit ESLintem a typovou kontrolou.
- Reakce na incident: v případě porušení zabezpečení vás budeme informovat do 72 hodin, pokud incident představuje vysoké riziko pro vaše práva, a oznámíme jej ÚOOÚ v souladu s čl. 33–34 GDPR.
13. Automatizované rozhodování a profilování
Mentor i specialisté generují personalizované návrhy úkolů, cílů a otázek na základě paměti a konverzace. Toto není rozhodování s právními účinky ani významným dopadem ve smyslu čl. 22 GDPR — výsledek je vždy podnět, který přijímáte nebo odmítáte vy. Aplikace neudělí ani neodepře žádné formální právo, závazek či službu na základě automatizovaného posouzení.
14. Děti a mladiství
Služba je určena podnikatelům starším 18 let. Vědomě nezpracováváme údaje osob mladších 16 let. Pokud zjistíme, že jsme získali údaje od osoby mladší 16 let bez ověřitelného souhlasu zákonného zástupce, takové údaje smažeme.
15. Změny těchto Zásad
Tyto Zásady můžeme aktualizovat — typicky kvůli novým funkcím, nové legislativě nebo novému zpracovateli. O každé podstatné změně vás informujeme alespoň 30 dní předem e‑mailem a in‑app oznámením. Předchozí verze archivujeme s datem účinnosti.
16. Kontakt a stížnost
Pro veškeré dotazy, žádosti o uplatnění práv či stížnosti:
WolfPack Invest, s.r.o. Ronovská 122, 289 32 Oskořínek IČO: 08210985 E‑mail: support@dailymarcus.ai
Máš právo podat stížnost u dozorového úřadu: Úřad pro ochranu osobních údajů (ÚOOÚ), Pplk. Sochora 27, 170 00 Praha 7.
Verze 1.0 · Účinnost: 11. května 2026. Tyto Zásady byly vypracovány jako pracovní podklad reflektující aktuální stav Aplikace. Před produkčním nasazením doporučujeme finální revizi u advokáta specializovaného na IT/GDPR (viz SPEC §19).