Zásady ochrany osobních údajů
Jak shromažďujeme, používáme, uchováváme a chráníme osobní údaje v souvislosti s naší platformou a marketingovými webovými stránkami
1. Správce osobních údajů
SNYFT s.r.o.
ICO: 24383732
Sídlo: Brno, Česká republika
Email:
Pověřenec pro ochranu osobních údajů:
Společnost SNYFT s.r.o. (dále jen "SNYFT", "my", "nás") provozuje platformu SNYFT Security Platform, cloudový systém pro správu bezpečnostních informací a událostí (SIEM). Tyto Zásady ochrany osobních údajů popisují, jakým způsobem shromažďujeme, používáme, uchováváme a chráníme osobní údaje v souvislosti s naší platformou a marketingovými webovými stránkami (snyft.cz).
2. Kategorie shromažďovaných údajů
2.1 Údaje o účtu
Při registraci nebo používání platformy SNYFT shromažďujeme:
- Jméno a příjmení
- E-mailovou adresu
- Název společnosti a obchodní údaje
- Roli a pracovní pozici (pokud jsou poskytnuty)
- Heslo (ukládáno jako kryptografický hash; hesla v otevřené podobě nikdy neukládáme)
2.2 Bezpečnostní data z logů
Hlavní funkcí platformy SNYFT je příjem, analýza a korelace bezpečnostních událostí z Vaší cloudové infrastruktury. V závislosti na konfigurovaných integracích mohou být zpracovávány následující kategorie dat z logů:
- Události AWS CloudTrail (správa a datové události)
- VPC Flow Logs (metadata síťového provozu)
- Záznamy DNS dotazů
- Nálezy Amazon GuardDuty
- Autentizační události (pokusy o přihlášení, události MFA, data relací)
- IP adresy (zdrojové a cílové)
- AWS ARN identifikátory (Amazon Resource Names) identifikující prostředky a principály
- Uživatelská jména a identifikátory uživatelů
- Názvy hostitelů a doménová jména
- Identifikační řetězce prohlížeče (user agent)
- Časové značky a metadata událostí
2.3 Analytická data o používání
Shromažďujeme anonymizovaná data o používání za účelem zlepšení platformy:
- Zobrazení stránek a navigační vzory
- Frekvence používání funkcí
- Délka relací
- Typ prohlížeče a rozlišení obrazovky
Tato data jsou agregována a nelze je použít k identifikaci jednotlivých uživatelů.
2.4 Platební údaje
Zpracování plateb je plně zajišťováno společností Stripe, Inc. SNYFT neukládá, nezpracovává ani nemá přístup k číslům Vašich platebních karet, údajům o bankovních účtech či jiným platebním nástrojům. Přijímáme pouze:
- Potvrzení o stavu platby
- Informace o předplatném a fakturačním období
- Historii faktur a částky
3. Právní základ zpracování
Osobní údaje zpracováváme na následujících právních základech podle Obecného nařízení o ochraně osobních údajů (GDPR):
| Plnění smlouvy (čl. 6 odst. 1 písm. b) GDPR) | Vytvoření účtu, přístup k platformě, služby bezpečnostního monitoringu, fakturace |
| Oprávněný zájem (čl. 6 odst. 1 písm. f) GDPR) | Zlepšování bezpečnosti platformy, prevence podvodů, monitoring chyb aplikace, vyšetřování bezpečnostních incidentů |
| Plnění právní povinnosti (čl. 6 odst. 1 písm. c) GDPR) | Vedení daňové evidence, regulatorní reporting, plnění soudních příkazů nebo zákonných žádostí orgánů |
| Souhlas (čl. 6 odst. 1 písm. a) GDPR) | Volitelné integrace informací o hrozbách (HIBP, AbuseIPDB, Shodan), marketingová komunikace |
Pokud je zpracování založeno na souhlasu, můžete souhlas kdykoliv odvolat, aniž by byla dotčena zákonnost zpracování prováděného před odvoláním.
4. Informace o zpracování pomocí umělé inteligence
Platforma SNYFT využívá umělou inteligenci ke zlepšení bezpečnostní analýzy. Rozlišujeme dva režimy zpracování pomocí AI:
4.1 AI spravovaná platformou
SNYFT využívá službu Amazon Bedrock (provozovanou v regionu EU) pro následující automatizované zpracování:
- Analýza hrozeb — Automatizované třídění a hodnocení závažnosti bezpečnostních výstrah
- Narativy ve zprávách — Generování čitelných souhrnných zpráv a zpráv o souladu pro vedení
- Asistence při vyšetřování — Analýza vedená umělou inteligencí během vyšetřování bezpečnostních incidentů
Veškeré zpracování AI spravované platformou probíhá v rámci EU. Data zasílaná do Amazon Bedrock podléhají smlouvě o zpracování dat s AWS a nejsou společností AWS využívána k tréninku či zlepšování modelů AI.
4.2 AI konfigurovaná zákazníkem (BYOK)
Zákazníci mohou volitelně nakonfigurovat vlastního poskytovatele AI pro rozšířenou analýzu poskytnutím vlastního API klíče:
- OpenAI (pokud je nakonfigurováno zákazníkem)
- Anthropic (pokud je nakonfigurováno zákazníkem)
Pokud zákazník aktivuje BYOK AI, vybraná data (například souhrny výstrah nebo úryvky z logů) jsou zasílána poskytovateli zvolenému zákazníkem. SNYFT nekontroluje postupy zpracování dat těchto poskytovatelů třetích stran. Zákazníci jsou odpovědni za posouzení zásad ochrany osobních údajů a podmínek zpracování dat zvoleného BYOK poskytovatele.
4.3 Žádné automatizované rozhodování
Výstupy AI v rámci platformy SNYFT mají pouze poradní charakter. Na základě zpracování umělou inteligencí nejsou přijímána žádná automatizovaná rozhodnutí s právními nebo obdobně závažnými účinky ve smyslu článku 22 GDPR. Všechna kritická bezpečnostní rozhodnutí (eskalace výstrah, reakce na incidenty, odebrání přístupu) vyžadují lidské potvrzení.
5. Další zpracovatelé
SNYFT využívá následující další zpracovatele pro poskytování svých služeb:
| Další zpracovatel | Účel | Umístění |
|---|---|---|
| Amazon Web Services, Inc. | Cloudová infrastruktura (výpočetní výkon, úložiště, databáze, sítě, šifrování) | EU (Německo) |
| Amazon Web Services, Inc. | Doručování emailů (SES) | EU (Německo) |
| Amazon Web Services, Inc. | Inference modelů AI (Bedrock, spravováno platformou) | EU |
| Cloudflare, Inc. | CDN, ochrana před boty, objektové úložiště | EU |
| Functional Software, Inc. (Sentry) | Monitoring chyb aplikace | EU (Německo) |
| Stripe, Inc. | Zpracování plateb | EU/USA (v souladu s PCI DSS) |
| HaveIBeenPwned (Troy Hunt) | Monitoring úniků e-mailových adres (volitelné, aktivováno zákazníkem) | Velká Británie |
| AbuseIPDB (Marathon Studios) | Databáze reputace IP adres (volitelné) | USA |
| Shodan (Shodan.io) | Informace o IP adresách (volitelné) | USA |
HIBP Passwords API využívá model k-anonymity, při němž je službě odeslán pouze částečný hash prefix. Žádné osobní údaje (hesla ani emailové adresy) nejsou přenášeny. Jedná se o technické bezpečnostní opatření, nikoli o zpracování osobních údajů.
MaxMind GeoLite2 je lokálně nainstalovaná databáze geolokace IP adres. Za běhu nejsou společnosti MaxMind zasílána žádná data. Jedná se o technologickou komponentu, nikoli o dalšího zpracovatele.
Integrace konfigurované zákazníkem (například Jira, Slack, OpenAI nebo Anthropic v režimu BYOK) jsou iniciovány a kontrolovány zákazníkem. Tyto služby jsou vlastními zpracovateli zákazníka a nejsou dalšími zpracovateli SNYFT. Zákazníci jsou odpovědni za své vlastní smlouvy o zpracování dat s těmito poskytovateli.
6. Doba uchovávání dat
Doba uchovávání dat závisí na úrovni předplatného zákazníka:
| Úroveň | Horké úložiště (prohledávatelné) | Studený archiv | Maximální celková doba uchovávání |
|---|---|---|---|
| Trial | 14 dní | Žádný | 14 dní |
| Start | 90 dní | 18 měsíců | 18 měsíců |
| Professional | 180 dní | 18 měsíců | 18 měsíců |
| Enterprise | Individuálně (dle smlouvy) | Minimálně 18 měsíců | Dle smlouvy |
Studený archiv zajišťuje dlouhodobé uchovávání dat pro účely souladu s předpisy (například směrnice NIS2, český Zákon o kybernetické bezpečnosti). Archivovaná data mohou být na požádání obnovena do prohledávatelného úložiště.
Údaje o účtu jsou uchovávány po dobu trvání smluvního vztahu se zákazníkem a následně po dobu 3 let pro oprávněné obchodní a právní účely, pokud není požadována kratší doba.
Zkušební účty, které nebyly převedeny na placený plán, jsou po 14 dnech zmrazeny a po 45 dnech trvale vymazány včetně všech souvisejících dat.
7. Mezinárodní přenosy dat
7.1 Výchozí stav: Zpracování výhradně v EU
Ve výchozím nastavení jsou všechna zákaznická data zpracovávána a ukládána výhradně v rámci Evropské unie, konkrétně v regionu AWS eu-central-1 (Frankfurt, Německo). To zahrnuje výpočetní kapacity, databáze, úložiště i AI inference.
7.2 Zpracovatelé mimo EU (volitelné)
Určité volitelné integrace informací o hrozbách zahrnují přenosy dat do zemí mimo EU:
- HaveIBeenPwned (Velká Británie): Po Brexitu je Velká Británie pokryta rozhodnutím EU o přiměřenosti.
- AbuseIPDB (USA) a Shodan (USA): Přenosy jsou chráněny Standardními smluvními doložkami (SCC) a/nebo rámcem EU-USA pro ochranu soukromí (Data Privacy Framework), dle uplatnitelnosti.
Tyto integrace jsou volitelné a jsou aktivovány pouze tehdy, pokud je zákazník výslovně povolí.
7.3 Přenosy konfigurované zákazníkem
Pokud zákazník nakonfiguruje BYOK AI integrace (OpenAI, Anthropic) nebo nástroje třetích stran (Jira, Slack), mohou být data přenášena na místa určená konfigurací zákazníka. Tyto přenosy jsou iniciovány zákazníkem a spadají pod odpovědnost zákazníka jako správce údajů.
8. Bezpečnostní opatření
SNYFT uplatňuje komplexní technická a organizační opatření k ochraně osobních údajů, mimo jiné:
- Šifrování dat v klidu a při přenosu s využitím standardních kryptografických algoritmů (AES-256, TLS 1.2+)
- Logická izolace nájemců na úrovni databáze zajišťující striktní oddělení dat zákazníků
- Řízení přístupu na základě rolí (RBAC) s vícefaktorovou autentizací (MFA) dostupnou na všech úrovních předplatného
- Komplexní auditní protokolování všech administrativních úkonů a přístupů k datům
- Pravidelná bezpečnostní hodnocení včetně skenování zranitelností a revize kódu
- Postupy pro reakci na incidenty s definovanými eskalačními cestami a lhůtami pro oznámení
- Zásady minimalizace dat aplikované na všechny činnosti zpracování
- Bezpečný životní cyklus vývoje softwaru s automatizovaným bezpečnostním testováním
9. Práva subjektů údajů
Podle GDPR (články 15–22) máte následující práva týkající se Vašich osobních údajů:
| Právo na přístup (čl. 15) | Požádat o kopii Vašich osobních údajů a informace o jejich zpracování |
| Právo na opravu (čl. 16) | Požádat o opravu nepřesných nebo neúplných osobních údajů |
| Právo na výmaz (čl. 17) | Požádat o vymazání Vašich osobních údajů ("právo být zapomenut") |
| Právo na omezení zpracování (čl. 18) | Požádat o omezení zpracování Vašich osobních údajů |
| Právo na přenositelnost (čl. 20) | Obdržet Vaše osobní údaje ve strukturovaném, strojově čitelném formátu |
| Právo námitky (čl. 21) | Namítat proti zpracování založenému na oprávněném zájmu |
Pro uplatnění kteréhokoliv z těchto práv kontaktujte našeho Pověřence pro ochranu osobních údajů na adrese .
Na Váš požadavek odpovíme do 30 dnů. Pokud budeme potřebovat více času (až dalších 60 dnů u složitých požadavků), budeme Vás o prodloužení a důvodech informovat během počáteční 30denní lhůty.
10. Soubory cookie
Platforma SNYFT používá pouze nezbytné soubory cookie vyžadované pro svůj provoz:
| Soubor cookie | Účel | Typ |
|---|---|---|
| Relační cookie | Autentizace uživatele a správa relací | httpOnly, Secure, SameSite |
| CSRF token | Ochrana před útoky typu cross-site request forgery | httpOnly, Secure, SameSite |
Nepoužíváme analytické soubory cookie, marketingové soubory cookie ani sledovací soubory cookie třetích stran. Souhlas se soubory cookie není vyžadován, protože používáme pouze nezbytné technické soubory cookie ve smyslu článku 5 odst. 3 směrnice o soukromí v elektronických komunikacích (2002/58/ES).
11. Změny těchto zásad
Tyto Zásady ochrany osobních údajů můžeme čas od času aktualizovat, aby odrážely změny v našich postupech, technologiích, právních požadavcích či jiných faktorech.
- Podstatné změny: O podstatných změnách vás budeme informovat s alespoň 30denním předstihem emailem na registrovanou emailovou adresu vlastníka účtu.
- Nepodstatné změny: Drobná upřesnění nebo formátovací změny mohou být provedeny bez předchozího upozornění.
- Historie verzí: Historie verzí těchto zásad je udržována a dostupná na požádání.
Doporučujeme vám tyto Zásady ochrany osobních údajů pravidelně kontrolovat. Pokračování v používání platformy SNYFT po datu účinnosti revidovaných zásad představuje souhlas se změnami.
12. Kontaktní údaje
V případě dotazů ohledně těchto Zásad ochrany osobních údajů nebo našich postupů zpracování dat:
SNYFT s.r.o.
Email:
Pověřenec pro ochranu osobních údajů:
Dozorový úřad:
Pokud se domníváte, že byla porušena Vaše práva na ochranu osobních údajů, máte právo podat stížnost u Úřadu pro ochranu osobních údajů:
Úřad pro ochranu osobních údajů (ÚOOÚ)
Pplk. Sochora 27 170 00 Praha 7 Česká republika
Web: www.uoou.cz
Email: posta@uoou.cz
Tyto Zásady ochrany osobních údajů jsou účinné od 21. března 2026.