## Zásady zpracování osobních údajů pro integrace prostřednictvím API a MCP ## 1. Totožnost a kontaktní údaje správce Správcem osobních údajů je: Mergado technologies, s. r. o. se sídlem Pavlovská 12, 623 00 Brno, Česká republika IČ: 03570061 zapsaná v obchodním rejstříku vedeném Krajským soudem v Brně, oddíl C, vložka 85012 e‑mail: telefon: +420 608 44 00 67 (dále jen „správce”) Správce nejmenoval pověřence pro ochranu osobních údajů. ## 2. Rozsah a účel tohoto dokumentu Tyto zásady upravují zpracování osobních údajů v souvislosti s propojením služby Mergado s externími nástroji třetích stran prostřednictvím rozhraní API nebo technologií typu MCP (Model Context Protocol) či obdobných integračních mechanismů. Jedná se zejména o propojení s: - nástroji umělé inteligence (např. Claude společnosti Anthropic, ChatGPT společnosti OpenAI), - automatizačními a integračními platformami (např. Gumloop, Make.com, Zapier a obdobné), - jinými externími službami, které přistupují ke službě Mergado jménem Uživatele na základě jeho autorizace. Tyto zásady **doplňují** obecné informace o zpracování osobních údajů uvedené v [Podmínkách užívání služby Mergado](https://www.mergado.cz/podminky-uzivani) a v případě rozporu se pro oblast integrací prostřednictvím API a MCP přednostně uplatní ustanovení těchto zásad. ## 3. Jaké údaje jsou zpracovávány v rámci integrací ### 3.1 Údaje přijímané od externích nástrojů Při využití integrace může správce zpracovávat zejména: - parametry požadavků zasílaných externím nástrojem (např. identifikátory projektů, eshopů, pravidel, dotazy, filtry), - autentizační údaje (např. OAuth tokeny nebo jiné přístupové údaje). ### 3.2 Údaje poskytované externím nástrojům V rámci odpovědi na požadavky může správce poskytovat zejména: - produktová data (např. názvy, ceny, dostupnost), - data produktových feedů, - výsledky analýz, diagnostiky a auditů, - konfiguraci a stav pravidel, - informace o projektech a účtech Uživatele. ### 3.3 Údaje, které nejsou zpracovávány Správce v rámci těchto integrací nezpracovává: - obsah konverzace mezi Uživatelem a externím AI nástrojem, - historii chatů, jejich souhrny ani paměť AI nástroje, - soubory nahrané Uživatelem do externího nástroje, - jakákoliv data, která nejsou výslovně předána v rámci konkrétního požadavku. Správce nevyžaduje ani aktivně nezískává žádné údaje z prostředí externího AI nástroje nad rámec parametrů jednotlivých požadavků. ## 4. Účel a právní základ zpracování Osobní údaje jsou zpracovávány výhradně za účelem zajištění funkčnosti integrace a poskytování služeb Mergado prostřednictvím externích nástrojů. Právním základem zpracování je: - **plnění smlouvy** mezi Uživatelem a správcem ve smyslu čl. 6 odst. 1 písm. b) GDPR, - **oprávněný zájem** správce ve smyslu čl. 6 odst. 1 písm. f) GDPR, zejména zajištění bezpečnosti, provozu, technické stability a ochrany služby před zneužitím, - **souhlas Uživatele** ve smyslu čl. 6 odst. 1 písm. a) GDPR vyjádřený prostřednictvím autorizace integrace (např. OAuth), a to v rozsahu, ve kterém Uživatel aktivně povolil připojení konkrétního externího nástroje. Ze strany správce nedochází v rámci integrací k automatickému individuálnímu rozhodování ve smyslu čl. 22 GDPR. ## 5. Princip minimalizace dat Správce zpracovává pouze takové údaje, které jsou nezbytné pro provedení konkrétní operace požadované Uživatelem prostřednictvím externího nástroje. Nedochází ke shromažďování nadbytečných údajů ani k získávání informací nad rámec parametrů konkrétního požadavku. Správce nepřistupuje k datům externího AI nástroje nad rámec těch, která jsou předána jako součást konkrétního požadavku. ## 6. Předávání údajů třetím stranám ### 6.1 Příjemce v rámci integrace Údaje zpracovávané v rámci integrací jsou předávány výhradně externímu nástroji, který požadavek inicioval a ke kterému Uživatel udělil autorizaci. ### 6.2 Obecná omezení Správce: - neprodává osobní údaje, - nepronajímá osobní údaje, - nepoužívá údaje získané z API/MCP komunikace pro cílení reklamy ani profilování, - nepoužívá údaje získané z API/MCP komunikace pro trénování vlastních modelů umělé inteligence, - nepředává data z API/MCP komunikace poskytovatelům jazykových modelů (např. OpenAI, Anthropic) pro účely trénování jejich modelů. ### 6.3 Zpracovatelé Údaje mohou být dále zpracovávány zpracovateli uvedenými v [Podmínkách užívání](https://www.mergado.cz/podminky-uzivani), a to v rozsahu nezbytném pro zajištění provozu služby (zejména poskytovatelé infrastruktury, hostingu a technické podpory). ### 6.4 Interní využití jazykových modelů v rámci integrace V současnosti správce v rámci zpracování požadavků přicházejících přes API/MCP integrace **nezpřístupňuje** obsah těchto požadavků žádným poskytovatelům jazykových modelů. Pokud by v budoucnu došlo k zavedení funkcionality, která takové zpracování vyžaduje (např. generování doporučení pomocí LLM na straně serveru), budou tyto zásady aktualizovány a Uživatel bude o změně informován způsobem uvedeným v článku 12. ## 7. Doba uchovávání údajů - **Záznamy o požadavcích (logy API/MCP komunikace):** uchovávány po dobu **90 dní** od provedení požadavku, a to výhradně pro účely zabezpečení, auditu, řešení technických problémů a ochrany práv správce. Pro účely provozních a výkonnostních statistik (např. počty volání, využití jednotlivých funkcí, výkonnostní metriky) mohou být tyto záznamy agregovány v rámci uvedené doby uchovávání. - **Autentizační údaje (OAuth tokeny a obdobné):** uchovávány po dobu jejich platnosti. Po odvolání přístupu Uživatelem nebo expiraci jsou odstraněny bez zbytečného odkladu. Po uplynutí uvedených lhůt jsou údaje odstraněny nebo anonymizovány. ## 8. Zabezpečení údajů Správce přijal odpovídající technická a organizační opatření k ochraně osobních údajů zpracovávaných v rámci integrací, zejména: - šifrovanou komunikaci prostřednictvím HTTPS / TLS, - autentizaci prostřednictvím protokolu **OAuth 2.1** s využitím mechanismu **PKCE** (Proof Key for Code Exchange), - zabezpečené ukládání přístupových údajů a tokenů (šifrování at rest), - řízení přístupů na principu minimálních oprávnění, - omezení četnosti požadavků (rate limiting) jako ochranu před zneužitím, - monitorování, auditní logování a detekci anomálií. ## 9. Práva subjektu údajů Za podmínek stanovených v nařízení GDPR má Uživatel zejména právo: - na přístup k osobním údajům, - na opravu nepřesných osobních údajů, - na výmaz osobních údajů („právo být zapomenut”), - na omezení zpracování, - na přenositelnost údajů, - vznést námitku proti zpracování, - kdykoliv odvolat udělený souhlas (např. odpojením integrace — viz článek 10). Uživatel má rovněž právo podat stížnost u dozorového úřadu, kterým je v České republice Úřad pro ochranu osobních údajů ([www.uoou.cz](https://www.uoou.cz)). Podrobnější informace o právech subjektu údajů jsou uvedeny v [Podmínkách užívání](https://www.mergado.cz/podminky-uzivani), oddíle „Informace o zpracování osobních údajů”. ## 10. Možnost odvolání přístupu Uživatel může propojení s externím nástrojem kdykoliv ukončit: - v rozhraní služby Mergado (sekce integrací / připojených aplikací), - v rozhraní externího nástroje (pokud to daný nástroj umožňuje), - v nastavení svého účtu u poskytovatele autorizace (např. Google apod., je-li relevantní). Po odvolání přístupu dochází k okamžitému ukončení dalšího zpracování údajů v rámci dané integrace. Historické záznamy požadavků jsou uchovávány po dobu uvedenou v článku 7. ## 11. Bezpečnostní kontakt a hlášení zranitelností V případě bezpečnostních dotazů nebo hlášení zranitelností může Uživatel kontaktovat správce na adrese: Hlášení zranitelností jsou vyšetřována s patřičnou péčí. Správce se zavazuje na hlášení reagovat v přiměřené lhůtě, zpravidla do 5 pracovních dnů od jeho přijetí. Pro běžnou uživatelskou podporu je určena adresa: ## 12. Změny těchto zásad Tyto zásady mohou být průběžně aktualizovány zejména v důsledku změn právní úpravy, technických podmínek integrací nebo rozsahu poskytovaných služeb. Aktuální verze je vždy dostupná na webových stránkách správce. O podstatných změnách bude Uživatel informován způsobem uvedeným v Podmínkách užívání. ## 13. Soulad s podmínkami poskytovatelů AI a integračních platforem Správce se zavazuje poskytovat integrace v souladu s podmínkami jednotlivých poskytovatelů, zejména: - Anthropic Usage Policy (pro integraci se službou Claude), - OpenAI Usage Policies (pro integraci se službou ChatGPT), - podmínkami dalších integračních platforem (např. Gumloop, Make.com), pokud jsou relevantní. ## 14. Účinnost Tyto zásady nabývají účinnosti dne: 1. 5. 2026 V PDF verzi ke stažení zde: [Zásady zpracování osobních údajů pro integrace prostřednictvím API a MCP platné od 1. 5. 2026 (pdf, 107 kb)](https://www.mergado.cz/sites/default/files/perm/document/zasady-zpracovani-osobnich-udaju-api-mcp-20260501.pdf)