Zásady ochrany osobních údajů
Tyto zásady popisují, jak aplikace Diary of the Day zpracovává osobní údaje uživatelů. Naše filozofie: váš deník je váš — žádný marketing, žádné prodávání dat, kdykoliv si můžete stáhnout nebo smazat všechno.
1. Provozovatel
- Diary of the Day
- IČO: 05336287, neplátce DPH
- Kontakt: info@diaryoftheday.com
2. Jaké údaje zpracováváme
Vaše fotografie jsou striktně soukromé — viditelné výhradně vám. Úložiště je privátní, neexistuje žádný veřejný odkaz, fotografie lze otevřít jen přes podepsaný URL odkaz platný 1 hodinu, vázaný na váš přihlašovací token. Provozovatel fotografie ani jejich obsah neprohlíží, neanalyzuje, neindexuje ani nepředává třetím stranám.
Údaje, které zadáte
- Fotografie nahrané do deníku (komprimované do WebP a uložené v šifrovaném úložišti)
- Místa, lidé, nálady, příběhy, vděčnost, citáty, knihy, písně, filmy, lety, životní události
- E-mailová adresa a heslo při registraci (heslo se ukládá pouze hashované, nikdy v čitelné podobě)
Údaje získané automaticky z fotek (EXIF metadata)
- Datum a čas pořízení fotky
- GPS souřadnice, pokud fotka obsahuje (pro automatické určení místa přes OpenStreetMap Nominatim)
- Při uploadu se EXIF přečte v prohlížeči, server dostane jen metadata, která potřebuje (datum, GPS) — zbytek odstraňujeme
Odstranění GPS / místa z konkrétního dne: v editoru dne stačí přepsat nebo smazat text místa pod fotkou — GPS souřadnice i název místa se odstraní spolu s textem (z mapy ve statistikách den zmizí).
Údaje ze synchronizace s externími službami (jen po vašem souhlasu)
- Oura Ring: aktivita, spánek
- Apple Health (XML import): aktivita, spánek, váha
- Strava: tréninky, kilometry
- Open-Meteo: počasí pro datum + GPS lokaci vaší fotky (anonymně, žádný účet)
Technické údaje
- IP adresa (pro bezpečnost a anti-spam, anonymizovaná v Google Analytics)
- Typ prohlížeče a OS (User-Agent)
- Cookies a localStorage (autentizace, jazyková preference, lokální cache fotek)
3. Účel zpracování
- Poskytování služby fotografického deníku — výhradně vám
- Zobrazování, tisk a export vašeho obsahu — vidíte ho jen vy, nikdo jiný
- Zabezpečení účtu (rate-limiting, ochrana před útoky)
- Anonymní agregovaná statistika provozu (kolik lidí přišlo, na co kliklo, co konvertovalo k registraci)
- Komunikace o službě (potvrzovací e-maily, reset hesla, důležitá oznámení — žádný marketing)
4. Cookies a sledování
Při první návštěvě se zobrazí cookie lišta se třemi kategoriemi: Nezbytné (vždy zapnuto), Analytika (Google Analytics) a Marketing (Meta Pixel). Volbou „Jen nezbytné" odmítnete analytiku i marketing — aplikace funguje stejně. Svou volbu můžete kdykoliv změnit kliknutím na „Cookies" v patičce stránky.
- Funkční cookies (Supabase Auth): přihlášení, refresh token. Nutné pro fungování aplikace.
- localStorage: lokální úložiště v prohlížeči (jazyk, dočasná cache signed URL fotek pro rychlejší zobrazení).
- Google Analytics 4 (ID
G-8P2BHYEZMC): anonymní agregovaná data o návštěvě (page view, signup, login). IP je anonymizovaná, žádný cross-site tracking. Můžete zablokovat ad-blockerem nebo Privacy Badger — aplikace funguje stejně. - Meta Pixel (FB Pixel): anonymní data o návštěvnosti landing stránky pro reklamní účely. Stejně blokovatelný, neovlivní to deník.
5. Kde jsou data uložena
Vaše data zůstávají v EU. Databáze a autentizace běží na infrastruktuře Supabase Inc., region EU (Frankfurt, Německo) — datacentrum AWS eu-central-1. Fotografie jsou uložené v objektovém úložišti Cloudflare R2 v EU jurisdikčním regionu (EEA).
- Databáze (PostgreSQL, Supabase): vaše deníkové záznamy, lidé, nastavení. Šifrované at-rest. Denní automatický backup, 7 dní retence.
- Cloudflare R2 (S3-kompatibilní úložiště, EU jurisdikce): fotografie a jejich miniatury. Privátní bucket — fotky lze otevřít jen přes signed URL platnou 1 hodinu.
- Spojení je vždy šifrované přes HTTPS (TLS 1.3, certifikát Let's Encrypt).
- Webové stránky (landing, kalendář, statistiky) hostují servery WEDOS Internet, a.s., Hluboká nad Vltavou, Česká republika.
6. Předávání třetím stranám (data processoři)
Vaše data neprodáváme ani nepředáváme marketérům. Spolupracujeme pouze s těmito zpracovateli:
- Supabase Inc. (USA, data v EU regionu) — hosting databáze a autentizace. supabase.com/privacy
- Cloudflare, Inc. (USA, data v EU jurisdikci R2) — objektové úložiště pro fotografie. cloudflare.com/privacypolicy
- WEDOS Internet, a.s. (ČR) — hosting statických stránek a doménového e-mailu
- Google LLC (Google Analytics 4) — anonymní statistiky návštěvnosti
- Meta Platforms (FB Pixel) — anonymní data o návštěvě landing stránky pro reklamu
- OpenStreetMap Foundation (Nominatim) — reverse geocoding GPS souřadnic z fotek
- Open-Meteo — historické počasí pro vaše fotky
- Provozovatelé externích služeb, které sám/sama zapnete: Oura, Apple, Strava — výhradně pro stažení vašich dat
- Stripe Payments Europe — zpracování plateb za placený plán; platební údaje (čísla karet) zůstávají u Stripe, my je nevidíme. stripe.com/privacy
7. Vaše práva (GDPR čl. 15–22)
- Přístup k údajům, které o vás uchováváme
- Oprava nesprávných údajů — přímo v aplikaci kdykoliv
- Vymazání všech vašich dat („právo být zapomenut") — můžete sami v Nastavení → Smazat účet (potvrzení napsáním vašeho e-mailu, smazání proběhne ihned); nebo nám napište a vyřídíme do 30 dnů
- Přenositelnost — můžete si stáhnout všechna svá data kdykoliv z Nastavení → Vaše data → „Stáhnout všechna moje data" (ZIP s JSON tabulkami + všemi fotkami)
- Odvolání souhlasu kdykoliv — odhlásit se a smazat účet
Žádost pošlete na info@diaryoftheday.com. Vyřídíme ji do 30 dnů.
8. Bezpečnost
- HTTPS všude (TLS 1.3, Let's Encrypt)
- Hashování hesel: bcrypt (Supabase Auth) — heslo nikdy neukládáme v čitelné podobě
- Row-Level Security (RLS) na DB úrovni — každý uživatel vidí pouze svá data, technicky není možné, aby viděl cizí
- Privátní photo storage — fotky jsou dostupné jen přes signed URL platnou 1 hodinu, vázanou na váš přihlašovací token
- Denní automatické backupy + point-in-time recovery (7 dní retence) na úrovni Supabase Pro
9. Doba uchovávání
Vaše data uchováváme po dobu, kdy máte aktivní účet. Po smazání účtu data odstraníme do 30 dnů (s výjimkou nezbytných auditních záznamů — fakturace, IP logy 90 dní pro bezpečnost).
10. Změny zásad
Pokud zásady změníme, oznámíme to přímo v aplikaci s minimálně 14denním předstihem a aktualizujeme datum účinnosti nahoře. Pokud změna omezuje vaše práva, vyžádáme si znovu souhlas.
11. Stížnosti
Pokud si myslíte, že jsme vaše data zpracovali nesprávně, máte právo podat stížnost u Úřadu pro ochranu osobních údajů: uoou.cz.
Napiš na info@diaryoftheday.com. Odpovídáme nejpozději do 3 pracovních dnů.
Privacy Policy
This policy describes how Diary of the Day processes user personal data. Our philosophy: your diary is yours — no marketing, no data selling, you can download or delete everything anytime.
1. Provider
- Diary of the Day
- Business ID (IČO): 05336287, not a VAT payer
- Contact: info@diaryoftheday.com
2. Data we process
Your photographs are strictly private — visible only to you. The storage bucket is private, there is no public link, and photos can only be opened via a signed URL valid for 1 hour, tied to your authentication token. The operator does not view, analyze, index, or share your photographs or their content with any third party.
Data you enter yourself
- Photos uploaded to the diary (compressed to WebP and stored in encrypted storage)
- Places, people, moods, stories, gratitude, quotes, books, songs, films, flights, life events
- Email and password upon registration (password is stored hashed only — never readable)
Data extracted from photos (EXIF metadata)
- Date and time the photo was taken
- GPS coordinates, if the photo includes them (for automatic place lookup via OpenStreetMap Nominatim)
- EXIF is read in your browser; the server only receives metadata it needs (date, GPS) — the rest is stripped
Removing GPS / place from a specific day: simply overwrite or clear the place text under the photo in the day editor — the GPS coordinates and place name are removed together with the text (the day disappears from the map in stats).
Data from external service syncs (only with your consent)
- Oura Ring: activity, sleep
- Apple Health (XML import): activity, sleep, weight
- Strava: workouts, distance
- Open-Meteo: historical weather for the date + GPS of your photos (anonymous, no account)
Technical data
- IP address (for security and anti-spam, anonymized in Google Analytics)
- Browser and OS type (User-Agent)
- Cookies and localStorage (auth, language preferences, local photo cache)
3. Purpose of processing
- Providing the photo diary service — only to you
- Displaying, printing, and exporting your content — only you can see it, no one else
- Account security (rate-limiting, abuse protection)
- Anonymous aggregated traffic statistics (visits, clicks, signup conversion)
- Service-related communication (confirmation emails, password reset, important notices — no marketing)
4. Cookies & tracking
On your first visit a cookie banner appears with three categories: Essential (always on), Analytics (Google Analytics), and Marketing (Meta Pixel). Choosing "Essential only" rejects analytics and marketing — the app works the same. You can change your choice anytime by clicking "Cookies" in the page footer.
- Functional cookies (Supabase Auth): sign-in, refresh token. Required for the app to work.
- localStorage: local browser storage (language, temporary photo URL cache for faster display).
- Google Analytics 4 (ID
G-8P2BHYEZMC): anonymous aggregated traffic data (page view, signup, login). IP anonymized, no cross-site tracking. You can block with an ad-blocker or Privacy Badger — the app works the same. - Meta Pixel (FB Pixel): anonymous landing-page traffic data for advertising. Equally blockable, won't affect your diary.
5. Where data is stored
Your data stays within the EU. The database and authentication run on Supabase Inc. infrastructure, region EU (Frankfurt, Germany) — AWS eu-central-1 datacenter. Photographs are stored in Cloudflare R2 object storage in the EU jurisdictional region (EEA).
- Database (PostgreSQL, Supabase): your diary entries, people, settings. Encrypted at rest. Daily automatic backups, 7-day retention.
- Cloudflare R2 (S3-compatible storage, EU jurisdiction): photographs and their thumbnails. Private bucket — photos can only be opened via signed URL valid for 1 hour.
- Connections are always encrypted via HTTPS (TLS 1.3, Let's Encrypt certificate).
- Web pages (landing, calendar, stats) are hosted by WEDOS Internet, a.s., Hluboká nad Vltavou, Czech Republic.
6. Sharing with third parties (data processors)
We do not sell or share your data with marketers. We work with these processors:
- Supabase Inc. (USA, data in EU region) — database hosting and authentication. supabase.com/privacy
- Cloudflare, Inc. (USA, data in R2 EU jurisdiction) — object storage for photographs. cloudflare.com/privacypolicy
- WEDOS Internet, a.s. (CZ) — static page hosting and domain email
- Google LLC (Google Analytics 4) — anonymous traffic statistics
- Meta Platforms (FB Pixel) — anonymous landing-page traffic data for advertising
- OpenStreetMap Foundation (Nominatim) — reverse geocoding of GPS coordinates from photos
- Open-Meteo — historical weather for your photos
- External service providers you opt into: Oura, Apple, Strava — solely to fetch your data
- Stripe Payments Europe — payment processing for the paid plan; card details remain with Stripe and we never see them. stripe.com/privacy
7. Your rights (GDPR Art. 15–22)
- Access to data we hold about you
- Rectification of incorrect data — directly in the app anytime
- Erasure of all your data ("right to be forgotten") — do it yourself in Settings → Delete account (confirmed by typing your email, deletion is immediate); or contact us and we'll process within 30 days
- Portability — you can download all your data anytime from Settings → Your data → "Download all my data" (ZIP with JSON tables + all photos)
- Withdrawal of consent at any time — sign out and delete account
Send your request to info@diaryoftheday.com. We'll respond within 30 days.
8. Security
- HTTPS everywhere (TLS 1.3, Let's Encrypt)
- Password hashing: bcrypt (Supabase Auth) — passwords never stored in readable form
- Row-Level Security (RLS) at the DB level — each user only sees their own data; technically impossible to see another's
- Private photo storage — photos are only accessible via signed URLs valid for 1 hour, tied to your auth token
- Daily automatic backups + point-in-time recovery (7-day retention) at Supabase Pro level
9. Retention period
We retain your data while you have an active account. After account deletion, we remove data within 30 days (except for necessary audit logs — billing, IP logs for 90 days for security).
10. Changes to this policy
If we change these terms, we'll notify you in the app at least 14 days in advance and update the effective date above. If a change limits your rights, we'll request consent again.
11. Complaints
If you believe we've processed your data improperly, you have the right to file a complaint with the Czech Data Protection Authority: uoou.cz/en.
Email info@diaryoftheday.com. We respond within 3 business days.