Zásady zpracování osobních údajů pro integrace prostřednictvím API a MCP

1. Totožnost a kontaktní údaje správce

Správcem osobních údajů je:

Mergado technologies, s. r. o. se sídlem Pavlovská 12, 623 00 Brno, Česká republika IČ: 03570061 zapsaná v obchodním rejstříku vedeném Krajským soudem v Brně, oddíl C, vložka 85012 e‑mail: mergado@mergado.com telefon: +420 608 44 00 67

(dále jen „správce”)

Správce nejmenoval pověřence pro ochranu osobních údajů.

2. Rozsah a účel tohoto dokumentu

Tyto zásady upravují zpracování osobních údajů v souvislosti s propojením služby Mergado s externími nástroji třetích stran prostřednictvím rozhraní API nebo technologií typu MCP (Model Context Protocol) či obdobných integračních mechanismů.

Jedná se zejména o propojení s:

nástroji umělé inteligence (např. Claude společnosti Anthropic, ChatGPT společnosti OpenAI),
automatizačními a integračními platformami (např. Gumloop, Make.com, Zapier a obdobné),
jinými externími službami, které přistupují ke službě Mergado jménem Uživatele na základě jeho autorizace.

Tyto zásady doplňují obecné informace o zpracování osobních údajů uvedené v Podmínkách užívání služby Mergado a v případě rozporu se pro oblast integrací prostřednictvím API a MCP přednostně uplatní ustanovení těchto zásad.

3. Jaké údaje jsou zpracovávány v rámci integrací

3.1 Údaje přijímané od externích nástrojů

Při využití integrace může správce zpracovávat zejména:

parametry požadavků zasílaných externím nástrojem (např. identifikátory projektů, eshopů, pravidel, dotazy, filtry),
autentizační údaje (např. OAuth tokeny nebo jiné přístupové údaje).

3.2 Údaje poskytované externím nástrojům

V rámci odpovědi na požadavky může správce poskytovat zejména:

produktová data (např. názvy, ceny, dostupnost),
data produktových feedů,
výsledky analýz, diagnostiky a auditů,
konfiguraci a stav pravidel,
informace o projektech a účtech Uživatele.

3.3 Údaje, které nejsou zpracovávány

Správce v rámci těchto integrací nezpracovává:

obsah konverzace mezi Uživatelem a externím AI nástrojem,
historii chatů, jejich souhrny ani paměť AI nástroje,
soubory nahrané Uživatelem do externího nástroje,
jakákoliv data, která nejsou výslovně předána v rámci konkrétního požadavku.

Správce nevyžaduje ani aktivně nezískává žádné údaje z prostředí externího AI nástroje nad rámec parametrů jednotlivých požadavků.

4. Účel a právní základ zpracování

Osobní údaje jsou zpracovávány výhradně za účelem zajištění funkčnosti integrace a poskytování služeb Mergado prostřednictvím externích nástrojů.

Právním základem zpracování je:

plnění smlouvy mezi Uživatelem a správcem ve smyslu čl. 6 odst. 1 písm. b) GDPR,
oprávněný zájem správce ve smyslu čl. 6 odst. 1 písm. f) GDPR, zejména zajištění bezpečnosti, provozu, technické stability a ochrany služby před zneužitím,
souhlas Uživatele ve smyslu čl. 6 odst. 1 písm. a) GDPR vyjádřený prostřednictvím autorizace integrace (např. OAuth), a to v rozsahu, ve kterém Uživatel aktivně povolil připojení konkrétního externího nástroje.

Ze strany správce nedochází v rámci integrací k automatickému individuálnímu rozhodování ve smyslu čl. 22 GDPR.

5. Princip minimalizace dat

Správce zpracovává pouze takové údaje, které jsou nezbytné pro provedení konkrétní operace požadované Uživatelem prostřednictvím externího nástroje.

Nedochází ke shromažďování nadbytečných údajů ani k získávání informací nad rámec parametrů konkrétního požadavku. Správce nepřistupuje k datům externího AI nástroje nad rámec těch, která jsou předána jako součást konkrétního požadavku.

6. Předávání údajů třetím stranám

6.1 Příjemce v rámci integrace

Údaje zpracovávané v rámci integrací jsou předávány výhradně externímu nástroji, který požadavek inicioval a ke kterému Uživatel udělil autorizaci.

6.2 Obecná omezení

Správce:

neprodává osobní údaje,
nepronajímá osobní údaje,
nepoužívá údaje získané z API/MCP komunikace pro cílení reklamy ani profilování,
nepoužívá údaje získané z API/MCP komunikace pro trénování vlastních modelů umělé inteligence,
nepředává data z API/MCP komunikace poskytovatelům jazykových modelů (např. OpenAI, Anthropic) pro účely trénování jejich modelů.

6.3 Zpracovatelé

Údaje mohou být dále zpracovávány zpracovateli uvedenými v Podmínkách užívání, a to v rozsahu nezbytném pro zajištění provozu služby (zejména poskytovatelé infrastruktury, hostingu a technické podpory).

6.4 Interní využití jazykových modelů v rámci integrace

V současnosti správce v rámci zpracování požadavků přicházejících přes API/MCP integrace nezpřístupňuje obsah těchto požadavků žádným poskytovatelům jazykových modelů. Pokud by v budoucnu došlo k zavedení funkcionality, která takové zpracování vyžaduje (např. generování doporučení pomocí LLM na straně serveru), budou tyto zásady aktualizovány a Uživatel bude o změně informován způsobem uvedeným v článku 12.

7. Doba uchovávání údajů

Záznamy o požadavcích (logy API/MCP komunikace): uchovávány po dobu 90 dní od provedení požadavku, a to výhradně pro účely zabezpečení, auditu, řešení technických problémů a ochrany práv správce. Pro účely provozních a výkonnostních statistik (např. počty volání, využití jednotlivých funkcí, výkonnostní metriky) mohou být tyto záznamy agregovány v rámci uvedené doby uchovávání.
Autentizační údaje (OAuth tokeny a obdobné): uchovávány po dobu jejich platnosti. Po odvolání přístupu Uživatelem nebo expiraci jsou odstraněny bez zbytečného odkladu.

Po uplynutí uvedených lhůt jsou údaje odstraněny nebo anonymizovány.

8. Zabezpečení údajů

Správce přijal odpovídající technická a organizační opatření k ochraně osobních údajů zpracovávaných v rámci integrací, zejména:

šifrovanou komunikaci prostřednictvím HTTPS / TLS,
autentizaci prostřednictvím protokolu OAuth 2.1 s využitím mechanismu PKCE (Proof Key for Code Exchange),
zabezpečené ukládání přístupových údajů a tokenů (šifrování at rest),
řízení přístupů na principu minimálních oprávnění,
omezení četnosti požadavků (rate limiting) jako ochranu před zneužitím,
monitorování, auditní logování a detekci anomálií.

9. Práva subjektu údajů

Za podmínek stanovených v nařízení GDPR má Uživatel zejména právo:

na přístup k osobním údajům,
na opravu nepřesných osobních údajů,
na výmaz osobních údajů („právo být zapomenut”),
na omezení zpracování,
na přenositelnost údajů,
vznést námitku proti zpracování,
kdykoliv odvolat udělený souhlas (např. odpojením integrace — viz článek 10).

Uživatel má rovněž právo podat stížnost u dozorového úřadu, kterým je v České republice Úřad pro ochranu osobních údajů (www.uoou.cz).

Podrobnější informace o právech subjektu údajů jsou uvedeny v Podmínkách užívání, oddíle „Informace o zpracování osobních údajů”.

10. Možnost odvolání přístupu

Uživatel může propojení s externím nástrojem kdykoliv ukončit:

v rozhraní služby Mergado (sekce integrací / připojených aplikací),
v rozhraní externího nástroje (pokud to daný nástroj umožňuje),
v nastavení svého účtu u poskytovatele autorizace (např. Google apod., je-li relevantní).

Po odvolání přístupu dochází k okamžitému ukončení dalšího zpracování údajů v rámci dané integrace. Historické záznamy požadavků jsou uchovávány po dobu uvedenou v článku 7.

11. Bezpečnostní kontakt a hlášení zranitelností

V případě bezpečnostních dotazů nebo hlášení zranitelností může Uživatel kontaktovat správce na adrese: security@mergado.com

Hlášení zranitelností jsou vyšetřována s patřičnou péčí. Správce se zavazuje na hlášení reagovat v přiměřené lhůtě, zpravidla do 5 pracovních dnů od jeho přijetí.

Pro běžnou uživatelskou podporu je určena adresa: mergado@mergado.com

12. Změny těchto zásad

Tyto zásady mohou být průběžně aktualizovány zejména v důsledku změn právní úpravy, technických podmínek integrací nebo rozsahu poskytovaných služeb.

Aktuální verze je vždy dostupná na webových stránkách správce. O podstatných změnách bude Uživatel informován způsobem uvedeným v Podmínkách užívání.

13. Soulad s podmínkami poskytovatelů AI a integračních platforem

Správce se zavazuje poskytovat integrace v souladu s podmínkami jednotlivých poskytovatelů, zejména:

Anthropic Usage Policy (pro integraci se službou Claude),
OpenAI Usage Policies (pro integraci se službou ChatGPT),
podmínkami dalších integračních platforem (např. Gumloop, Make.com), pokud jsou relevantní.

14. Účinnost

Tyto zásady nabývají účinnosti dne: 1. 5. 2026

V PDF verzi ke stažení zde:

Zásady zpracování osobních údajů pro integrace prostřednictvím API a MCP platné od 1. 5. 2020 (pdf, 107 kb)

Vyhledávání

Co se nejčastěji hledá?

Blog

Vybrat jazyk

Systém

Mergado Editor

Mergado Audit

Mergado Pack

Automatická cenotvorba

AI boost produktových obrázků

Rozšíření

Mergado Translate

Mergado Marketplaces

Mergado Store

Integrace

Facebook

Heureka

Google

Všechny integrace

Academy

Jak začít

Případové studie

Blog

Úvod do Mergada zdarma

Školení

Nápověda/​FAQ

Fórum

Doporučujeme

Partners

Co nabízíme partnerům

Certifikovaní partneři

Certifikační školení

Pro tvůrce e‑shopů

Pro vývojáře rozšíření

Pro reklamní portály

O nás

Kontakty

Mergado Research Group

Kariéra

Reference

Náš příběh

Press Kit

Vyhledávání

Co se nejčastěji hledá?

Blog