Privacy Policy — ginibooster

Version 1.1 — Last updated: 6 May 2026

This Privacy Policy describes how we collect, use, and protect personal data when you use ginibooster (the "Service"), accessible at ginibooster.cz and api.ginibooster.cz.

1. Data Controller

Private Entrepreneur Kyrylenko Oleksii
Registered in Ukraine, registration number 10000002344058 (21 July 2022)
Contact: ginibooster@gmail.com

1a. Representative in the European Union (Art. 27 GDPR)

As the Data Controller is established outside the European Union but offers services to individuals in the EU, a representative in the Union has been designated pursuant to Article 27 GDPR. Data subjects and supervisory authorities may contact the representative in addition to the Data Controller on all matters related to the processing of their personal data.

[EU Representative — to be appointed]
[Registered address in an EU Member State]
Contact: [e-mail / phone]

2. Personal Data We Process

Account data (collected during registration)

E-mail address, password (stored only as an Argon2id hash, never in plaintext)
Optional: first name, surname, middle name, date of birth, phone number, company

Document data (when you use the parsing service)

Bank statement PDFs and their contents: account numbers, IBAN, BIC, account owner, transactions (date, amount, counterparty name and account, payment symbols VS/KS/SS, description, balance).
Czech ID card images and their contents: document number, full name, date of birth, sex, place of birth, nationality, dates of issue and expiry, address, personal number (rodné číslo), marital status, issuing authority, MRZ zone. ID images are processed entirely on our own servers using on-device OCR (Tesseract and RapidOCR). They are not transmitted to any third-party AI provider for extraction.

Request metadata

IP address, timestamps, HTTP status codes, request and response payloads, request IDs (UUID).
User-submitted bug reports (text description and reference to the associated upload).

3. Purposes of Processing

Delivering the parsing service you request.
Managing your account: registration, authentication, password changes.
Security: rate limiting, account lockout after failed login attempts, fraud prevention.
Quality improvement: analysing parsing errors and improving parser accuracy across bank formats. This processing is based on legitimate interest (Art. 6(1)(f) GDPR); you have the right to object at any time — see Section 8.
Technical support: resolving bug reports submitted through the service.
Billing and accounting where legally required.

4. Legal Basis (Art. 6 GDPR)

Performance of a contract (Art. 6(1)(b)) — for providing the Service you signed up for.
Legitimate interest (Art. 6(1)(f)) — security and parser-accuracy improvement.
Legal obligation (Art. 6(1)(c)) — accounting, tax, and anti-money-laundering duties where applicable.

5. Recipients and Processors

OVH SAS (France, EEA) — infrastructure provider hosting our servers and database. All uploaded documents and parsing operations stay within this infrastructure.
Google Ireland Ltd. (Ireland, EEA) — e-mail correspondence (controller's contact mailbox and outbound transactional / support replies). User-uploaded documents are never sent through e-mail.

All bank statement parsing and ID card OCR is performed on our own servers under the standard production configuration. Where a business customer (B2B Controller) has provided explicit written authorisation under our Data Processing Agreement (specifically, the AI Processing Addendum), limited maintenance and security tasks may involve the transmission of redacted document content to enterprise-grade AI assistants operated under no-training and zero-retention (or short-period retention) configurations. Czech ID-card images, the rodné číslo, cardholder photographs, and signature images are excluded from any such transmission under all circumstances. We do not sell or share your personal data with third parties for advertising.

6. Retention Period

Uploaded bank-statement PDFs — 90 days from upload, or until you request deletion in writing, whichever is earlier.
Uploaded ID-card images — 30 days from upload, or until you request deletion, whichever is earlier (shorter retention reflects the heightened sensitivity of the rodné číslo under Art. 87 GDPR and §60 of Czech Act No. 110/2019 Coll.).
Parsed JSON results and API request metadata — 12 months from request.
Documents accessed for maintenance and security purposes (parser-defect diagnosis, regression-test corpus, incident response) — up to 12 months from upload, bank statements only; ID-card images and rodné číslo are excluded from any such use.
Bug reports and processed-bug records — 24 months.
Security audit logs — 24 months.
Encrypted backups — up to 30 days (rolling).
Account data — duration of your account + 30 days after deletion.
Billing and accounting records — retained for the period required by Czech accounting and tax law (typically up to 10 years).

For business customers (B2B Controllers) operating under a signed Data Processing Agreement, the retention periods specified in Annex I §D of that DPA apply and override the defaults above to the extent the DPA provides shorter periods or additional categories.

You can request deletion of any of the above at any time (see Section 8).

7. International Data Transfers

The Data Controller is established in Ukraine. All processing of uploaded documents takes place on our server in France (OVH, EEA). The only transfer outside the EEA is administrative access by the Data Controller from Ukraine; this transfer relies on Standard Contractual Clauses (SCCs) adopted by the European Commission and on equivalent safeguards.

8. Your Rights

Under GDPR you have the right to:

Access your personal data (Art. 15)
Rectify inaccurate data (Art. 16)
Erase your data — "right to be forgotten" (Art. 17)
Restrict processing (Art. 18)
Data portability — receive your data in a machine-readable format (Art. 20)
Object to processing based on legitimate interest (Art. 21)
Withdraw consent at any time (Art. 7(3))
Lodge a complaint with a supervisory authority

To exercise any right, contact us at ginibooster@gmail.com. We will respond within 30 days.

9. Cookies and localStorage

We do not use third-party tracking cookies. The Service uses browser localStorage to store JWT access and refresh tokens, your language preference, and minimal user-profile data. These are essential for the Service to function — logging out clears them.

10. Security

Passwords are hashed with Argon2id.
All traffic is encrypted using TLS 1.2 or higher.
Rate limiting and account lockout protect against brute-force attacks.
Database access is limited to the minimum necessary roles.

No online service can guarantee absolute security. We take reasonable steps, but you should also use a unique, strong password and keep your API keys secret.

11. Supervisory Authority

You have the right to file a complaint with the Czech data protection authority:

Úřad pro ochranu osobních údajů (ÚOOÚ)
Pplk. Sochora 27, 170 00 Praha 7
uoou.cz

12. Changes to This Policy

We may update this Privacy Policy. The "last updated" date at the top will change. Material changes will be announced by e-mail to registered users.

13. Contact

Questions about this Privacy Policy or about your personal data: ginibooster@gmail.com.

Zásady ochrany osobních údajů

Verze 1.1 — Naposledy aktualizováno: 6. května 2026

Tyto Zásady ochrany osobních údajů popisují, jak shromažďujeme, používáme a chráníme osobní údaje při používání služby ginibooster ("Služba"), dostupné na adresách ginibooster.cz a api.ginibooster.cz.

1. Správce osobních údajů

Private Entrepreneur Kyrylenko Oleksii (fyzická osoba podnikající)
Registrován na Ukrajině, registrační číslo 10000002344058 (21. července 2022)
Kontakt: ginibooster@gmail.com

1a. Zástupce v Evropské unii (čl. 27 GDPR)

Protože správce údajů má sídlo mimo Evropskou unii, avšak nabízí služby osobám nacházejícím se v EU, byl v souladu s čl. 27 GDPR jmenován zástupce v Unii. Subjekty údajů a dozorové úřady se mohou ve všech záležitostech týkajících se zpracování osobních údajů obracet na zástupce souběžně se správcem.

[Zástupce v EU — bude jmenován]
[Adresa sídla v členském státě EU]
Kontakt: [e-mail / telefon]

2. Jaké osobní údaje zpracováváme

Údaje o účtu (při registraci)

E-mailová adresa, heslo (uloženo pouze jako Argon2id hash, nikdy v otevřené podobě)
Volitelně: jméno, příjmení, prostřední jméno, datum narození, telefonní číslo, firma

Údaje dokumentů (při používání parsovací služby)

PDF výpisů z bankovních účtů a jejich obsah: čísla účtů, IBAN, BIC, majitel účtu, transakce (datum, částka, jméno a účet protistrany, platební symboly VS/KS/SS, popis, zůstatek).
Obrazy českých občanských průkazů a jejich obsah: číslo dokladu, celé jméno, datum narození, pohlaví, místo narození, státní příslušnost, datum vydání a platnosti, adresa, rodné číslo, rodinný stav, vydávající úřad, MRZ zóna. Obrazy občanských průkazů jsou zpracovávány výhradně na našich vlastních serverech pomocí lokálního OCR (Tesseract a RapidOCR). Nejsou předávány žádnému poskytovateli AI třetí strany za účelem extrakce.

Metadata požadavků

IP adresa, časové značky, HTTP stavové kódy, obsah požadavků a odpovědí, ID požadavků (UUID).
Hlášení chyb zaslaná uživatelem (textový popis a odkaz na související upload).

3. Účely zpracování

Poskytování parsovací služby, kterou si objednáte.
Správa vašeho účtu: registrace, autentizace, změna hesla.
Bezpečnost: rate limiting, uzamčení účtu po neúspěšných přihlášeních, prevence podvodů.
Zlepšování kvality: analýza chyb parsování, zlepšování přesnosti napříč bankovními formáty. Toto zpracování se opírá o oprávněný zájem (čl. 6 odst. 1 písm. f) GDPR); kdykoli máte právo vznést námitku — viz bod 8.
Technická podpora: řešení hlášení chyb zaslaných skrze službu.
Fakturace a účetnictví tam, kde je to zákonem vyžadováno.

4. Právní základ (čl. 6 GDPR)

Plnění smlouvy (čl. 6 odst. 1 písm. b) — pro poskytování Služby, kterou jste si objednali.
Oprávněný zájem (čl. 6 odst. 1 písm. f) — bezpečnost a zlepšování přesnosti parserů.
Právní povinnost (čl. 6 odst. 1 písm. c) — účetní, daňové a AML povinnosti tam, kde se uplatní.

5. Příjemci a zpracovatelé

OVH SAS (Francie, EHP) — poskytovatel infrastruktury hostující naše servery a databázi. Veškeré nahrané dokumenty a operace parsování zůstávají v rámci této infrastruktury.
Google Ireland Ltd. (Irsko, EHP) — e-mailová korespondence (kontaktní schránka správce a odchozí transakční / podpůrné odpovědi). Nahrané dokumenty uživatelů nikdy neodesíláme e-mailem.

Veškeré parsování bankovních výpisů a OCR občanských průkazů probíhá na našich vlastních serverech ve standardní produkční konfiguraci. Pokud podnikatelský zákazník (B2B správce) poskytl výslovné písemné pověření v rámci naší Smlouvy o zpracování osobních údajů (zejména Dodatku o zpracování pomocí AI), mohou být v rámci omezených úloh údržby a bezpečnosti přenášeny redigované úryvky obsahu dokumentů AI asistentům podnikatelské úrovně, kteří jsou provozováni v konfiguraci bez tréninku a s nulovým (nebo krátkodobým) uchováním dat. Obrazy českých občanských průkazů, rodné číslo, fotografie držitele a obrazy podpisu jsou z takového přenosu vyloučeny za všech okolností. Vaše osobní údaje neprodáváme ani je nesdílíme s třetími stranami za účelem reklamy.

6. Doba uchovávání

Nahrané PDF výpisů z bankovních účtů — 90 dnů od nahrání, nebo do okamžiku, kdy písemně požádáte o smazání, podle toho, co nastane dříve.
Nahrané obrazy občanských průkazů — 30 dnů od nahrání, nebo do okamžiku, kdy písemně požádáte o smazání (kratší doba odráží zvýšenou citlivost rodného čísla podle čl. 87 GDPR a §60 zákona č. 110/2019 Sb.).
Parsované JSON výsledky a metadata API požadavků — 12 měsíců od vytvoření požadavku.
Dokumenty zpřístupněné pro účely údržby a bezpečnosti (diagnostika chyb parseru, regresní testovací sada, řešení incidentů) — až 12 měsíců od nahrání, pouze bankovní výpisy; obrazy občanských průkazů a rodné číslo jsou z takového použití vyloučeny.
Hlášení chyb a záznamy o vyřízení — 24 měsíců.
Bezpečnostní auditní logy — 24 měsíců.
Šifrované zálohy — až 30 dnů (klouzavě).
Údaje o účtu — po dobu existence účtu + 30 dnů po smazání.
Účetní a fakturační záznamy — uchováváme po dobu vyžadovanou českým účetním a daňovým právem (obvykle až 10 let).

Pro podnikatelské zákazníky (B2B správce) provozující službu na základě podepsané Smlouvy o zpracování osobních údajů platí doby uchovávání uvedené v Příloze I §D této Smlouvy a mají přednost před výchozími hodnotami uvedenými výše, pokud Smlouva stanoví kratší doby nebo další kategorie.

Smazání kteréhokoli z výše uvedených můžete požadovat kdykoli (viz bod 8).

7. Mezinárodní předávání dat

Správce údajů má sídlo na Ukrajině. Veškeré zpracování nahraných dokumentů probíhá na našem serveru ve Francii (OVH, EHP). Jediné předání mimo EHP představuje administrativní přístup správce z Ukrajiny; toto předání se opírá o Standardní smluvní doložky (SCC) přijaté Evropskou komisí a o rovnocenné záruky.

8. Vaše práva

Podle GDPR máte právo na:

Přístup k vašim osobním údajům (čl. 15)
Opravu nepřesných údajů (čl. 16)
Výmaz údajů — "právo být zapomenut" (čl. 17)
Omezení zpracování (čl. 18)
Přenositelnost údajů — obdržení ve strojově čitelném formátu (čl. 20)
Vznést námitku proti zpracování na základě oprávněného zájmu (čl. 21)
Odvolat souhlas kdykoli (čl. 7 odst. 3)
Podat stížnost u dozorového úřadu

Pro uplatnění kteréhokoli práva nás kontaktujte na ginibooster@gmail.com. Odpovíme do 30 dnů.

9. Cookies a localStorage

Nepoužíváme sledovací cookies třetích stran. Služba používá prohlížečové localStorage k uložení JWT access a refresh tokenů, jazykové preference a minimálních údajů o uživatelském profilu. Jsou nezbytné pro fungování Služby — odhlášení je smaže.

10. Zabezpečení

Hesla jsou hašována pomocí Argon2id.
Veškerý provoz je šifrován pomocí TLS 1.2 nebo novějšího.
Rate limiting a uzamčení účtu chrání proti útokům hrubou silou.
Přístup k databázi je omezen na minimální nezbytné role.

Žádná online služba nemůže zaručit absolutní bezpečnost. Přijímáme přiměřená opatření, ale doporučujeme používat jedinečné silné heslo a udržovat své API klíče v tajnosti.

11. Dozorový úřad

Máte právo podat stížnost u českého úřadu na ochranu osobních údajů:

Úřad pro ochranu osobních údajů (ÚOOÚ)
Pplk. Sochora 27, 170 00 Praha 7
uoou.cz

12. Změny těchto zásad

Tyto Zásady můžeme aktualizovat. Datum "naposledy aktualizováno" v horní části se změní. O podstatných změnách budeme registrované uživatele informovat e-mailem.

13. Kontakt

Dotazy k těmto Zásadám nebo k vašim osobním údajům: ginibooster@gmail.com.