Zásady ochrany osobních údajů
Jak služba Vulscan nakládá s osobními údaji — co zpracováváme, proč, jak dlouho a jaká máte práva.
1. Kdo jsme
Správcem osobních údajů a provozovatelem služby Vulscan je HRUBY Software s.r.o., se sídlem Navrátilova 666/7, Nové Město, 110 00 Praha 1, IČO 05131375, DIČ CZ05131375, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze.
Kontakt ve věcech ochrany osobních údajů: hello@vulscan.app.
Nejmenovali jsme pověřence pro ochranu osobních údajů — zákon nám tuto povinnost neukládá. Dotazy vyřizuje přímo provozovatel na uvedené adrese.
2. Bezplatný skener — co zpracováváme
Když na vulscan.cz spustíte sken domény, zpracujeme:
- název zadané domény (např.
mojefirma.cz), - datum a čas prvního a posledního skenu,
- souhrnnou závažnost zjištění,
- technické označení zdroje záznamu.
Tyto údaje slouží k provozu služby a k veřejnému agregovanému počítadlu na úvodní stránce. Jednotlivé záznamy o doménách nezveřejňujeme — zobrazujeme pouze souhrnné počty. Záznam (doména + čas + závažnost) nelze přiřadit ke konkrétní osobě.
Sken je pasivní — čte pouze informace, které web sám veřejně poskytuje každému návštěvníkovi. Neprovádíme žádné přihlašování ani invazivní testování.
Právní základ: oprávněný zájem (čl. 6 odst. 1 písm. f) GDPR) — provoz a propagace bezplatné služby.
3. Žádost o PDF report a newsletter
Po skenu si můžete dobrovolně nechat zaslat PDF report na e-mail. V takovém případě zpracujeme vaši e-mailovou adresu, doklad o souhlasu (zaškrtnuté políčko) a dotčenou doménu a čas.
E-mail použijeme k zaslání reportu a k občasnému newsletteru s tipy k zabezpečení webu a souvisejícími nabídkami. Souhlas je dobrovolný, není podmínkou skenu a můžete jej kdykoli odvolat — odkazem v patičce každého e-mailu nebo zprávou na hello@vulscan.app. Odvolání souhlasu se nedotýká reportu, který jste si již vyžádali. Kontakty nikomu neprodáváme ani nepředáváme k marketingu třetích stran.
Právní základ: souhlas (čl. 6 odst. 1 písm. a) GDPR).
4. Trezor — bezpečné předání přístupů
Pokud používáte nástroj Vulscan Trezor k předání přístupových údajů, je jejich obsah šifrován přímo ve vašem prohlížeči ještě před odesláním. Na našem serveru se ukládá pouze zašifrovaná zásilka, kterou na serveru nelze přečíst. Zásilku mažeme po jejím vyzvednutí, nejpozději do 30 dnů.
Právní základ: plnění smlouvy, případně oprávněný zájem na bezpečném způsobu předání (čl. 6 odst. 1 písm. b) a f) GDPR).
5. Watch — placené monitorování
Služba průběžného monitorování (pokud ji využíváte) zpracovává váš e-mail, monitorovanou doménu a identifikátory předplatného. Platby zpracovává poskytovatel platební brány; údaje o platební kartě se k nám nedostávají. Podrobnosti upravují obchodní podmínky této služby.
Právní základ: plnění smlouvy (čl. 6 odst. 1 písm. b) GDPR) a plnění zákonných povinností u účetních a daňových dokladů (čl. 6 odst. 1 písm. c) GDPR).
6. Pokud jsme vás oslovili e-mailem
Tento oddíl je poučením podle čl. 14 GDPR pro případ, že jsme vás kontaktovali s upozorněním na bezpečnostní nastavení vašeho webu, aniž jste nám údaje poskytli sami.
Odkud máme váš kontakt
E-mailovou adresu jsme získali z veřejně dostupných zdrojů
— zpravidla přímo z webu vaší firmy (kontaktní stránka, odkaz
mailto:), případně z veřejného obchodního rejstříku nebo
registru WHOIS. Nepoužíváme nakoupené databáze kontaktů.
Jaké údaje zpracováváme
Název domény, kontaktní e-mail, identifikační údaje firmy z veřejného rejstříku ARES (název, IČO, sídlo, právní forma, obor činnosti) a výsledky pasivního bezpečnostního skenu vašeho webu.
Proč
Abychom vás jednorázově upozornili na konkrétní, veřejně zjistitelné bezpečnostní slabiny vašeho webu. E-mail neobsahuje žádnou nabídku služeb.
Právní základ
Oprávněný zájem (čl. 6 odst. 1 písm. f) GDPR) — informování provozovatelů webů o bezpečnostních rizicích jejich webové prezentace. Posoudili jsme, že tento zájem převažuje a zásah do vašeho soukromí je minimální: pracujeme jen s firemními a veřejnými údaji, oslovujeme jednorázově a nabízíme okamžité odhlášení.
Náš sken je pasivní
Načítáme jen to, co váš web sám veřejně poskytuje. Neověřujeme nic nad rámec běžně viditelné konfigurace, nezkoušíme hesla a neprovádíme žádné invazivní testování.
Jak se odhlásíte
Kdykoli — odkazem v e-mailu, tlačítkem pro odhlášení v záhlaví zprávy nebo odpovědí na e-mail. Proti zpracování pro účely přímého marketingu máte právo kdykoli vznést námitku; po jejím uplatnění vás zařadíme na seznam odhlášených a dále vás nekontaktujeme.
7. Co nezpracováváme
U bezplatného skeneru zásadně neukládáme:
- IP adresy návštěvníků (mimo krátkodobé provozní logy — viz oddíl 9),
- cookies, sledovací pixely ani prohlížečové otisky,
- hlavičky prohlížeče, odkazující stránky,
- jakékoli propojení mezi konkrétním skenem a konkrétní osobou.
8. Cookies a úložiště prohlížeče
Vulscan nepoužívá cookies vyžadující souhlas. Pro měření návštěvnosti používáme nástroj Umami, který provozujeme na vlastní self-hostované instanci v EU. Pracuje bez cookies a bez ukládání IP adres či osobních identifikátorů.
Web ukládá do paměti vašeho prohlížeče (localStorage) pouze drobné funkční údaje — předvolbu jazyka a, pokud jste si vyžádali report, vaši e-mailovou adresu, aby se na ni příště nemuselo ptát. Tyto údaje zůstávají jen ve vašem prohlížeči, na server se neodesílají a můžete je smazat v nastavení prohlížeče.
9. Jak dlouho údaje uchováváme
| Údaj | Doba uchování |
|---|---|
| Agregované počítadlo na úvodní stránce | bez časového omezení (neosobní data) |
| Záznam o skenu domény | nejdéle 24 měsíců, poté výmaz |
| E-mail z žádosti o report / newsletteru | do odvolání souhlasu, nejdéle 12 měsíců neaktivity |
| Zásilka Trezoru | do vyzvednutí, nejdéle 30 dnů |
| Provozní logy infrastruktury (AWS) | nejdéle 14 dnů |
| Údaje z oslovovací činnosti — neoslovené | nejdéle 12 měsíců |
| Údaje z oslovovací činnosti — oslovené bez reakce | nejdéle 12 měsíců od odeslání |
| Seznam odhlášených kontaktů | bez omezení — nutný k trvalému respektování odhlášení |
| Účetní a daňové doklady (placené služby) | po dobu stanovenou zákonem |
10. Zpracovatelé a předání údajů
Údaje neprodáváme a nepředáváme k marketingu třetích stran. Na zpracování se podílejí pouze tito poskytovatelé jako zpracovatelé:
- Amazon Web Services EMEA SARL (Lucembursko) — provoz serverové infrastruktury (Lambda, DynamoDB, SES, S3, CloudFront) v regionu EU (Frankfurt, Německo).
- Poskytovatel platební brány — zpracování plateb u placených služeb.
Měření návštěvnosti zajišťuje Umami provozované na naší vlastní self-hostované instanci v EU — data o návštěvnosti tedy nepředáváme žádné třetí straně.
Zpracování probíhá v rámci EU. K předání mimo EU nedochází.
11. Vaše práva
Ve vztahu ke svým osobním údajům máte právo:
- na přístup k údajům a informaci, co o vás zpracováváme,
- na opravu nepřesných údajů,
- na výmaz („právo být zapomenut"),
- na omezení zpracování,
- vznést námitku proti zpracování na základě oprávněného zájmu, vč. přímého marketingu (námitce proti marketingu vždy vyhovíme),
- na přenositelnost údajů,
- odvolat souhlas tam, kde je zpracování na souhlasu založeno.
Žádost uplatníte na hello@vulscan.app; vyřídíme ji nejpozději do jednoho měsíce. Pokud máte za to, že zpracováváme údaje v rozporu s předpisy, máte právo podat stížnost u Úřadu pro ochranu osobních údajů (Pplk. Sochora 27, 170 00 Praha 7, uoou.gov.cz). Budeme rádi, když se nejprve obrátíte na nás — většinu věcí vyřešíme obratem.
12. Zabezpečení
Veškerá komunikace probíhá šifrovaně přes HTTPS. Uložená data jsou šifrována. Přístup provozovatele je chráněn vícefaktorovým ověřením a omezen na nezbytné role.
13. Změny
Tyto zásady můžeme aktualizovat. Datum účinnosti v záhlaví vždy odpovídá poslední verzi. O podstatných změnách budeme informovat viditelným upozorněním na webu.