Zásady ochrany soukromí

Službu ExifSweep provozuje projekt ExifSweep („my"). Služba umožňuje zobrazit, odstranit a přidat metadata k obrázkům, videím, PDF a archivům. Web a aplikace jsou na adrese https://exifsweep.com.

S jakýmkoli dotazem ohledně soukromí nebo pro uplatnění práva k údajům napište na [email protected].

Nejdůležitější závazek těchto zásad. Nikdy neshromažďujeme, neuchováváme, nelogujeme ani nepřenášíme:

• — Obsah souborů (bajty obrázku, videa, PDF, archivu)
• — Extrahované hodnoty metadat EXIF / XMP / IPTC / kontejneru
• — Vaši holou IP adresu (jen hashovaný prefix /24 pro IPv4 nebo /64 pro IPv6)
• — Váš holý otisk prohlížeče (jen jeho HMAC hash)
• — Cookies pro sledování mezi weby, reklamní ID nebo trvalost otisku nad 30 dnů
• — Behaviorální analytiku, která by vás mohla znovu identifikovat (žádný Mixpanel, Segment ani Hotjar)

To je vynucené architekturou, ne slibem: kód pro zpracování souborů běží ve vašem prohlížeči a nemá síťový přístup. Podrobnosti najdete v návodech pro jednotlivé formáty.

DPIA (posouzení vlivu na ochranu osobních údajů) pokrývající systém otisku a reputace je k dispozici na vyžádání. Test vyváženosti dospěl k závěru, že právní základ oprávněného zájmu je přiměřený, protože (a) hashujeme před uložením, (b) skóre se po 30 dnech rozpadá, (c) nabízíme měkké výzvy před tvrdým zablokováním a (d) alternativa (povinný účet) by vyřadila anonymní tok, který tvoří hlavní část nálevky.

Pro provoz ExifSweep používáme tyto služby. Každá je smluvně v souladu s GDPR pomocí SCC / DPA.

• · Vercel — hosting a edge doručování. Funkce běží standardně ve Frankfurtu (fra1). Soukromí
• · Supabase — autentizace, Postgres databáze, webhooky pro zpracování souborů. Instance v EU. Soukromí
• · Stripe — platby. Dceřiná společnost v EU. Soukromí
• · Upstash — Redis cache pro rate-limiting a krátkodobé úložiště nonce. Region EU. Soukromí
• · Cloudflare — DNS, WAF, ochrana proti DDoS. Pouze síťová vrstva, žádná data aplikace. Soukromí

Nepoužíváme analytiku třetích stran, reklamní sítě, A/B testovací platformy, nástroje pro nahrávání relací ani chat widgety, které by mohly vyzradit uživatelská data. Pro výkonnostní monitoring může být zapnutá Vercel Analytics (anonymní, first-party).

Podle EU/UK GDPR máte právo na:

• · Přístup — vyžádat si kopii všech údajů spojených s vaším účtem (JSON export)
• · Opravu — opravit nepřesnosti (většinou pole profilu v Supabase Auth)
• · Výmaz — smazat účet a všechny související záznamy (zákazník ve Stripe zůstává jen pro daňovou archivaci)
• · Omezení — pozastavit zpracování po dobu sporu
• · Přenositelnost — obdržet vaše údaje ve strukturovaném, strojově čitelném formátu
• · Námitku — odhlásit se ze sledování reputace přes otisk (přejdete na kvótu jen podle e-mailu)

Obyvatelé Kalifornie mají rovnocenná práva podle CCPA + CPRA. Obyvatelé Spojeného království podle UK GDPR. Všechny žádosti řešíme podle nejpřísnějšího platného standardu.

Pro uplatnění jakéhokoli práva podejte žádost na /data-requests nebo napište na [email protected]. Odpovídáme do 7 dnů a vyřizujeme do 30 dnů (maximum podle GDPR čl. 12(3) je 30 dnů s možností prodloužení na 60 — my neprodlužujeme).

Používáme jen nezbytné minimum:

• · sb-* — cookie relace Supabase Auth (HttpOnly, SameSite=Lax, Secure)
• · nonce ochrany proti zneužití — jednorázový token čištění (HttpOnly, SameSite=Strict, Secure, TTL 15 min)

Žádné z nich vás nesledují mezi weby. Žádné analytické cookies. Žádné reklamní cookies. Žádné cookies pro trvalost otisku.

Otisk prohlížeče (Canvas, WebGL, audio, obrazovka, časové pásmo) se používá v paměti pro vrstvu ochrany proti zneužití, ale na náš server se dostane pouze hash, nikdy ne podkladové signály.

ExifSweep není určen dětem do 16 let. Vědomě neshromažďujeme údaje od nikoho mladšího 16 let. Pokud jste rodič nebo zákonný zástupce a domníváte se, že dítě poskytlo údaje, napište na [email protected] a účet smažeme.

Naše zpracování je primárně v EU (Frankfurt). Pokud používáme subprocesory v USA (Stripe US pro globální zpracování karet, globální edge Cloudflare), přenosy se opírají o standardní smluvní doložky (SCC) a doplňující opatření podle rozsudku Schrems II.

Pokud zjistíme narušení týkající se vašich údajů, oznámíme to e-mailem do 72 hodin od zjištění (podle GDPR čl. 33), informujeme dozorový úřad a zveřejníme oznámení o incidentu na /security-notice/<datum>. Náš runbook reakce na incidenty je zdokumentován v interním bezpečnostním modelu.

Podstatné změny ohlásíme e-mailem aktivním účtům a bannerem na úvodní stránce 14 dnů před účinností. Datum „Naposledy aktualizováno" nahoře odráží poslední revizi.

Historické verze těchto zásad uchováváme v git historii na adrese github.com/exifsweep/exifsweep (odkaz doplníme po veřejném spuštění).

Otázky k soukromí, stížnosti a žádosti o údaje: [email protected].

Našeho pověřence pro ochranu osobních údajů (DPO) zastihnete na stejné adrese. Pokud máte za to, že jsme s vašimi údaji zacházeli nesprávně, máte právo podat stížnost u místního dozorového úřadu — pro občany EU je to úřad pro ochranu osobních údajů v zemi vašeho bydliště.