Zásady ochrany osobních údajů

Účinné od 10. května 2026

Tyto zásady popisují, jak aplikace Diary of the Day zpracovává osobní údaje uživatelů. Naše filozofie: váš deník je váš — žádný marketing, žádné prodávání dat, kdykoliv si můžete stáhnout nebo smazat všechno.

1. Provozovatel

Diary of the Day (provozovatel: OSVČ pod značkou)
IČO: 05336287, neplátce DPH
Kontakt: info@diaryoftheday.com

2. Jaké údaje zpracováváme

Údaje, které zadáte

Fotografie nahrané do deníku (komprimované do WebP a uložené v šifrovaném úložišti)
Místa, lidé, nálady, příběhy, vděčnost, citáty, knihy, písně, filmy, lety, životní události
E-mailová adresa a heslo při registraci (heslo se ukládá pouze hashované, nikdy v čitelné podobě)

Údaje získané automaticky z fotek (EXIF metadata)

Datum a čas pořízení fotky
GPS souřadnice, pokud fotka obsahuje (pro automatické určení místa přes OpenStreetMap Nominatim)
Při uploadu se EXIF přečte v prohlížeči, server dostane jen metadata, která potřebuje (datum, GPS) — zbytek odstraňujeme

Údaje ze synchronizace s externími službami (jen po vašem souhlasu)

Oura Ring: aktivita, spánek
Apple Health (XML import): aktivita, spánek, váha
Strava: tréninky, kilometry
Open-Meteo: počasí pro datum + GPS lokaci vaší fotky (anonymně, žádný účet)

Technické údaje

IP adresa (pro bezpečnost a anti-spam, anonymizovaná v Google Analytics)
Typ prohlížeče a OS (User-Agent)
Cookies a localStorage (autentizace, jazyková preference, lokální cache fotek)

3. Účel zpracování

Poskytování služby fotografického deníku — výhradně vám
Zobrazování, tisk a export vašeho obsahu — vidíte ho jen vy, nikdo jiný
Zabezpečení účtu (rate-limiting, ochrana před útoky)
Anonymní agregovaná statistika provozu (kolik lidí přišlo, na co kliklo, co konvertovalo k registraci)
Komunikace o službě (potvrzovací e-maily, reset hesla, důležitá oznámení — žádný marketing)

4. Cookies a sledování

Funkční cookies (Supabase Auth): přihlášení, refresh token. Nutné pro fungování aplikace.
localStorage: lokální úložiště v prohlížeči (jazyk, dočasná cache signed URL fotek pro rychlejší zobrazení).
Google Analytics 4 (ID G-8P2BHYEZMC): anonymní agregovaná data o návštěvě (page view, signup, login). IP je anonymizovaná, žádný cross-site tracking. Můžete zablokovat ad-blockerem nebo Privacy Badger — aplikace funguje stejně.
Meta Pixel (FB Pixel): anonymní data o návštěvnosti landing stránky pro reklamní účely. Stejně blokovatelný, neovlivní to deník.

5. Kde jsou data uložena

Aplikace běží na infrastruktuře Supabase Inc., region EU (Frankfurt, Německo) — datacentrum AWS eu-central-1. Veškerý obsah (databáze, fotografie) zůstává v EU.

Databáze (PostgreSQL): vaše deníkové záznamy, lidé, nastavení. Šifrované at-rest. Denní automatický backup, 7 dní retence.
Storage (S3-kompatibilní): fotografie. Privátní bucket — fotky lze otevřít jen přes signed URL platnou 1 hodinu.
Spojení je vždy šifrované přes HTTPS (TLS 1.3, certifikát Let's Encrypt).
Webové stránky (landing, kalendář, statistiky) hostují servery WEDOS Internet, a.s., Hluboká nad Vltavou, Česká republika.

6. Předávání třetím stranám (data processoři)

Vaše data neprodáváme ani nepředáváme marketérům. Spolupracujeme pouze s těmito zpracovateli:

Supabase Inc. (USA, ale data v EU regionu) — hosting databáze, autentizace, storage. supabase.com/privacy
WEDOS Internet, a.s. (ČR) — hosting statických stránek a doménového e-mailu
Google LLC (Google Analytics 4) — anonymní statistiky návštěvnosti
Meta Platforms (FB Pixel) — anonymní data o návštěvě landing stránky pro reklamu
OpenStreetMap Foundation (Nominatim) — reverse geocoding GPS souřadnic z fotek
Open-Meteo — historické počasí pro vaše fotky
Provozovatelé externích služeb, které sám/sama zapnete: Oura, Apple, Strava — výhradně pro stažení vašich dat
Stripe (až bude zaveden placený plán) — platební údaje pro zpracování plateb

7. Vaše práva (GDPR čl. 15–22)

Přístup k údajům, které o vás uchováváme
Oprava nesprávných údajů — přímo v aplikaci kdykoliv
Vymazání všech vašich dat („právo být zapomenut") — kontaktujte nás, vyřídíme do 30 dnů
Přenositelnost — můžete si stáhnout všechna svá data kdykoliv z Nastavení → Vaše data → „Stáhnout všechna moje data" (ZIP s JSON tabulkami + všemi fotkami)
Odvolání souhlasu kdykoliv — odhlásit se a smazat účet

Žádost pošlete na info@diaryoftheday.com. Vyřídíme ji do 30 dnů.

8. Bezpečnost

HTTPS všude (TLS 1.3, Let's Encrypt)
Hashování hesel: bcrypt (Supabase Auth) — heslo nikdy neukládáme v čitelné podobě
Row-Level Security (RLS) na DB úrovni — každý uživatel vidí pouze svá data, technicky není možné, aby viděl cizí
Privátní photo storage — fotky jsou dostupné jen přes signed URL platnou 1 hodinu, vázanou na váš přihlašovací token
Denní auto-backupy + point-in-time recovery (7 dní retence) na úrovni Supabase Pro
Týdenní offsite backupy dělané manuálně, šifrované, mimo Supabase

9. Doba uchovávání

Vaše data uchováváme po dobu, kdy máte aktivní účet. Po smazání účtu data odstraníme do 30 dnů (s výjimkou nezbytných auditních záznamů — fakturace, IP logy 90 dní pro bezpečnost).

10. Změny zásad

Pokud zásady změníme, oznámíme to přímo v aplikaci s minimálně 14denním předstihem a aktualizujeme datum účinnosti nahoře. Pokud změna omezuje vaše práva, vyžádáme si znovu souhlas.

11. Stížnosti

Pokud si myslíte, že jsme vaše data zpracovali nesprávně, máte právo podat stížnost u Úřadu pro ochranu osobních údajů: uoou.cz.

Máš dotaz?
Napiš na info@diaryoftheday.com. Odpovídáme nejpozději do 3 pracovních dnů.

Privacy Policy

Effective May 10, 2026

This policy describes how Diary of the Day processes user personal data. Our philosophy: your diary is yours — no marketing, no data selling, you can download or delete everything anytime.

1. Provider

Diary of the Day (operated by sole proprietor under the brand)
Business ID (IČO): 05336287, not a VAT payer
Contact: info@diaryoftheday.com

2. Data we process

Data you enter yourself

Photos uploaded to the diary (compressed to WebP and stored in encrypted storage)
Places, people, moods, stories, gratitude, quotes, books, songs, films, flights, life events
Email and password upon registration (password is stored hashed only — never readable)

Data extracted from photos (EXIF metadata)

Date and time the photo was taken
GPS coordinates, if the photo includes them (for automatic place lookup via OpenStreetMap Nominatim)
EXIF is read in your browser; the server only receives metadata it needs (date, GPS) — the rest is stripped

Data from external service syncs (only with your consent)

Oura Ring: activity, sleep
Apple Health (XML import): activity, sleep, weight
Strava: workouts, distance
Open-Meteo: historical weather for the date + GPS of your photos (anonymous, no account)

Technical data

IP address (for security and anti-spam, anonymized in Google Analytics)
Browser and OS type (User-Agent)
Cookies and localStorage (auth, language preferences, local photo cache)

3. Purpose of processing

Providing the photo diary service — only to you
Displaying, printing, and exporting your content — only you can see it, no one else
Account security (rate-limiting, abuse protection)
Anonymous aggregated traffic statistics (visits, clicks, signup conversion)
Service-related communication (confirmation emails, password reset, important notices — no marketing)

4. Cookies & tracking

Functional cookies (Supabase Auth): sign-in, refresh token. Required for the app to work.
localStorage: local browser storage (language, temporary photo URL cache for faster display).
Google Analytics 4 (ID G-8P2BHYEZMC): anonymous aggregated traffic data (page view, signup, login). IP anonymized, no cross-site tracking. You can block with an ad-blocker or Privacy Badger — the app works the same.
Meta Pixel (FB Pixel): anonymous landing-page traffic data for advertising. Equally blockable, won't affect your diary.

5. Where data is stored

The application runs on Supabase Inc. infrastructure, region EU (Frankfurt, Germany) — AWS eu-central-1 datacenter. All content (database, photos) stays within the EU.

Database (PostgreSQL): your diary entries, people, settings. Encrypted at rest. Daily automatic backups, 7-day retention.
Storage (S3-compatible): photographs. Private bucket — photos can only be opened via signed URL valid for 1 hour.
Connections are always encrypted via HTTPS (TLS 1.3, Let's Encrypt certificate).
Web pages (landing, calendar, stats) are hosted by WEDOS Internet, a.s., Hluboká nad Vltavou, Czech Republic.

6. Sharing with third parties (data processors)

We do not sell or share your data with marketers. We work with these processors:

Supabase Inc. (USA, but data in EU region) — database hosting, authentication, storage. supabase.com/privacy
WEDOS Internet, a.s. (CZ) — static page hosting and domain email
Google LLC (Google Analytics 4) — anonymous traffic statistics
Meta Platforms (FB Pixel) — anonymous landing-page traffic data for advertising
OpenStreetMap Foundation (Nominatim) — reverse geocoding of GPS coordinates from photos
Open-Meteo — historical weather for your photos
External service providers you opt into: Oura, Apple, Strava — solely to fetch your data
Stripe (when a paid plan is introduced) — payment data for processing

7. Your rights (GDPR Art. 15–22)

Access to data we hold about you
Rectification of incorrect data — directly in the app anytime
Erasure of all your data ("right to be forgotten") — contact us, processed within 30 days
Portability — you can download all your data anytime from Settings → Your data → "Download all my data" (ZIP with JSON tables + all photos)
Withdrawal of consent at any time — sign out and delete account

Send your request to info@diaryoftheday.com. We'll respond within 30 days.

8. Security

HTTPS everywhere (TLS 1.3, Let's Encrypt)
Password hashing: bcrypt (Supabase Auth) — passwords never stored in readable form
Row-Level Security (RLS) at the DB level — each user only sees their own data; technically impossible to see another's
Private photo storage — photos are only accessible via signed URLs valid for 1 hour, tied to your auth token
Daily auto-backups + point-in-time recovery (7-day retention) at Supabase Pro level
Weekly offsite backups done manually, encrypted, outside Supabase

9. Retention period

We retain your data while you have an active account. After account deletion, we remove data within 30 days (except for necessary audit logs — billing, IP logs for 90 days for security).

10. Changes to this policy

If we change these terms, we'll notify you in the app at least 14 days in advance and update the effective date above. If a change limits your rights, we'll request consent again.

11. Complaints

If you believe we've processed your data improperly, you have the right to file a complaint with the Czech Data Protection Authority: uoou.cz/en.

Questions?
Email info@diaryoftheday.com. We respond within 3 business days.