OneFlow s.r.o. — Legal & Compliance

Privacy Policy
OneFlow Publisher

Meta App ID: 1239370548302204 Application Name: OneFlow Publisher Effective Date: 28 April 2026 Last Updated: 28 April 2026 Version: 1.0

Languages: English Čeština

Section 1 / ENAbout this Privacy Policy

English

This Privacy Policy describes how OneFlow s.r.o. ("OneFlow", "we", "us", or "our") collects, uses, stores, processes, transfers, and discloses personal data in connection with the application OneFlow Publisher (Meta App ID 1239370548302204, the "Application"), which integrates with services provided by Meta Platforms, Inc. ("Meta") through the Meta Platform Terms, Facebook Login, Graph API, and Instagram Graph API.

This Privacy Policy is published in compliance with:

Regulation (EU) 2016/679 ("GDPR") — General Data Protection Regulation
Czech Act No. 110/2019 Coll., on the Processing of Personal Data
Meta Platform Terms (specifically the Privacy Policy and Data Use requirements)
Facebook Login Permissions Reference and Instagram Graph API Reference
Czech Act No. 480/2004 Coll., on Certain Information Society Services (where applicable)

1.1 Data Controller

The Data Controller of personal data processed in connection with the Application is:

Entity	OneFlow s.r.o.
Registration No. (IČO)	23121726
Registered office	Školská 660/3, Nové Město, 110 00 Praha 1, Czech Republic
Court Register	Municipal Court in Prague, file no. C 421776
Date of Incorporation	28 March 2025
Legal form	Limited liability company (s.r.o.)
Privacy contact	dopita@oneflow.cz
Phone	+420 607 445 004
Website	https://oneflow.cz

Because the Application does not regularly and systematically monitor data subjects on a large scale and does not process special categories of data on a large scale, OneFlow is not statutorily required to designate a Data Protection Officer (DPO) under GDPR Article 37. All privacy-related communications shall be directed to the privacy contact above.

1.2 Scope

This Privacy Policy applies exclusively to personal data processed in connection with the Application. It does not govern any other product, website, or service operated by OneFlow s.r.o. unless that service explicitly references this Policy. The general OneFlow website privacy notice may be found at oneflow.cz and applies separately to website visitors.

Section 2 / ENCategories of Personal Data Processed

English

Through the Application and the Meta Platform, we may process the following categories of personal data, depending on the permissions you grant during the Facebook Login flow:

Category	Source / Permission	Purpose
Public profile (name, Meta user ID, profile picture, age range, gender, locale)	Facebook Login — `public_profile`	Account identification, authentication
Email address	Facebook Login — `email`	Communication, account recovery, transactional notices
List of Facebook Pages you administer	Graph API — `pages_show_list`	Allow you to select which Pages the Application manages
Page access tokens, Page metadata (Page name, ID, category)	Graph API — `pages_read_engagement`, `pages_manage_metadata`	Publishing on your behalf, retrieving Page configuration
Posts published via the Application, post media (images, videos, captions)	Graph API — `pages_manage_posts`, `pages_read_user_content`	Content scheduling, publication, audit log
Instagram Business Account ID, Instagram media, captions, comments (read)	Instagram Graph API — `instagram_basic`, `instagram_content_publish`, `instagram_manage_comments`	Cross-posting to Instagram, comment moderation
Page insights, post-level engagement metrics	Graph API — `read_insights`, `pages_read_engagement`	Performance analytics displayed in your dashboard
Technical metadata (IP address, browser user agent, timestamps, request IDs)	Application web server logs	Security, abuse prevention, debugging

We do not request, store, or process any special categories of personal data within the meaning of GDPR Article 9 (e.g. data concerning health, biometric data, or political opinions). The Application does not collect data from users under the age of 13. Where the Application is used in the European Economic Area, users must be at least 16 years old, in line with national implementations of GDPR Article 8.

Section 3 / ENPurposes and Legal Bases

English

We process personal data only when at least one of the legal bases set out in Article 6(1) GDPR applies. The following table maps each processing purpose to its legal basis:

Purpose	Legal basis (GDPR Art. 6)	Retention
Authentication and account management	Performance of contract — Art. 6(1)(b)	Until account deletion + 30 days
Publishing content to your Facebook Pages or Instagram Business Account on your instruction	Performance of contract — Art. 6(1)(b)	Until account deletion + 30 days
Performance analytics displayed in your dashboard	Performance of contract — Art. 6(1)(b); legitimate interest in improving the service — Art. 6(1)(f)	24 months from collection
Service security, fraud and abuse prevention	Legitimate interest — Art. 6(1)(f)	90 days (web logs)
Compliance with statutory obligations (tax, accounting, AML where applicable)	Legal obligation — Art. 6(1)(c)	Periods set by Czech law (e.g. 10 years for accounting documents)
Optional marketing communications about the Application	Consent — Art. 6(1)(a)	Until consent is withdrawn

You may withdraw consent for any consent-based processing at any time by writing to dopita@oneflow.cz. Withdrawal does not affect the lawfulness of processing carried out before the withdrawal.

Section 4 / ENRecipients and Sub-Processors

English

OneFlow does not sell or rent personal data to third parties. We may share personal data with the following recipients, who act as independent controllers, joint controllers, or processors as indicated:

Recipient	Role	Country	Safeguards
Meta Platforms, Inc. and its affiliates	Source platform / independent controller	USA, Ireland (Meta Platforms Ireland Ltd.)	Meta Platform Terms, EU-US Data Privacy Framework, Standard Contractual Clauses where applicable
Vercel Inc.	Application hosting (processor)	USA	Standard Contractual Clauses, EU-US Data Privacy Framework certification
Cloudflare, Inc.	DNS, CDN, security (processor)	USA	Standard Contractual Clauses, EU-US Data Privacy Framework certification
Google LLC (Workspace, transactional email)	Email and document storage (processor)	USA	Standard Contractual Clauses, EU-US Data Privacy Framework certification
Czech tax administration, courts, law enforcement	Independent controllers (statutory disclosures)	Czech Republic / EU	Statutory legal basis

4.1 International transfers

Where personal data is transferred outside the European Economic Area (EEA), we rely on the European Commission's adequacy decision regarding the EU-US Data Privacy Framework (DPF) for transfers to US recipients self-certified under the DPF, or on Standard Contractual Clauses (Commission Implementing Decision (EU) 2021/914). On request, we will provide a copy of the relevant safeguards, with confidential commercial terms redacted.

Section 5 / ENData Retention and Deletion

English

We retain personal data only for as long as necessary to fulfil the purposes for which it was collected, including any related legal, accounting, or reporting requirements. Specific retention periods are listed in Section 3 above.

When you remove the Application from your Meta account, request account deletion, or are inactive for 24 consecutive months, we will:

Mark your account for deletion within 7 days of receiving the request or trigger event.
Permanently delete or fully anonymise personal data within 30 days, except for data we are legally required to retain (e.g. accounting records under Act No. 563/1991 Coll.).
Honour and forward any deletion request received via Meta's Data Deletion Callback to internal systems.

For step-by-step instructions on requesting deletion, see the dedicated User Data Deletion Instructions.

Section 6 / ENYour Rights as a Data Subject

English

Under the GDPR and the Czech Act No. 110/2019 Coll., you have the following rights with respect to your personal data:

Right of access (Art. 15) — to obtain confirmation as to whether or not personal data concerning you is being processed, and to obtain a copy of that data.
Right to rectification (Art. 16) — to have inaccurate personal data corrected without undue delay.
Right to erasure / "right to be forgotten" (Art. 17) — to have personal data erased where one of the grounds in Art. 17(1) applies.
Right to restriction of processing (Art. 18) — to obtain restriction of processing where one of the grounds in Art. 18(1) applies.
Right to data portability (Art. 20) — to receive personal data in a structured, commonly used, machine-readable format and to transmit it to another controller.
Right to object (Art. 21) — to object at any time to processing based on legitimate interests, including profiling.
Rights in relation to automated decision-making (Art. 22) — the Application does not subject users to decisions based solely on automated processing that produce legal or similarly significant effects.
Right to withdraw consent — where processing is based on consent.
Right to lodge a complaint with a supervisory authority, in particular the Czech supervisory authority Úřad pro ochranu osobních údajů (ÚOOÚ), Pplk. Sochora 27, 170 00 Praha 7, www.uoou.cz.

To exercise any of these rights, write to dopita@oneflow.cz with the subject line "GDPR request — OneFlow Publisher". We will respond within one (1) month of receipt, and may extend this period by a further two (2) months for complex requests, in which case we will inform you within the first month.

Section 7 / ENSecurity, Cookies, Children, Updates

English

7.1 Security

We implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, including but not limited to: TLS 1.2+ encryption in transit, encrypted storage at rest, access controls based on the principle of least privilege, security audit logging, periodic credential rotation, and incident response procedures aligned with GDPR Articles 33 and 34.

7.2 Cookies and similar technologies

The Application itself does not set marketing or analytics cookies on third-party websites. The dashboard interface uses strictly necessary first-party cookies for authentication and session management only. Where Meta widgets, login dialogs, or pixels are integrated into the Application, those technologies are governed by Meta's own Privacy Policy (facebook.com/privacy/policy).

7.3 Children's privacy

The Application is not directed to children under the age of 13 in any jurisdiction, and not under the age of 16 in the European Economic Area or the United Kingdom. We do not knowingly collect personal data from such users. If you become aware that a minor has provided us with personal data without verifiable parental consent, please contact us so we can delete the data.

7.4 Data breach notification

In the event of a personal data breach likely to result in a risk to the rights and freedoms of natural persons, we will notify ÚOOÚ without undue delay and, where feasible, within 72 hours of becoming aware of it (GDPR Art. 33). Where the breach is likely to result in a high risk, we will also notify affected data subjects without undue delay (GDPR Art. 34).

7.5 Updates to this Privacy Policy

We may update this Privacy Policy from time to time to reflect changes in our processing activities, applicable law, or Meta Platform Terms. The "Last Updated" date at the top reflects the most recent version. Material changes will be communicated to users via in-app notice or email at least 30 days before they take effect, where feasible. Continued use of the Application after the effective date of an update constitutes acceptance of the revised Policy, subject to mandatory rights you may exercise as described above.

Need to delete your data?

Step-by-step instructions for requesting deletion of your personal data are available on the dedicated User Data Deletion Instructions page. Deletion requests are typically completed within 7 to 30 days.

Sekce 1 / CSO těchto Zásadách ochrany osobních údajů

Čeština

Tyto Zásady ochrany osobních údajů popisují, jak společnost OneFlow s.r.o. („OneFlow", „my" nebo „naše") shromažďuje, používá, ukládá, zpracovává, předává a zpřístupňuje osobní údaje v souvislosti s aplikací OneFlow Publisher (Meta App ID 1239370548302204, dále jen „Aplikace"), která se integruje se službami poskytovanými společností Meta Platforms, Inc. („Meta") prostřednictvím Meta Platform Terms, Facebook Login, Graph API a Instagram Graph API.

Tyto Zásady jsou vydány v souladu s:

Nařízení (EU) 2016/679 („GDPR") — obecné nařízení o ochraně osobních údajů
Zákon č. 110/2019 Sb., o zpracování osobních údajů
Meta Platform Terms (zejména požadavky Privacy Policy a Data Use)
Reference oprávnění Facebook Login a Instagram Graph API
Zákon č. 480/2004 Sb., o některých službách informační společnosti (kde se uplatní)

1.1 Správce osobních údajů

Správcem osobních údajů zpracovávaných v souvislosti s Aplikací je:

Subjekt	OneFlow s.r.o.
IČO	23121726
Sídlo	Školská 660/3, Nové Město, 110 00 Praha 1, Česká republika
Obchodní rejstřík	Městský soud v Praze, sp. zn. C 421776
Datum vzniku	28. března 2025
Právní forma	Společnost s ručením omezeným (s.r.o.)
Kontakt — ochrana údajů	dopita@oneflow.cz
Telefon	+420 607 445 004
Web	https://oneflow.cz

Vzhledem k tomu, že Aplikace pravidelně a systematicky nesleduje subjekty údajů ve velkém rozsahu a nezpracovává zvláštní kategorie údajů ve velkém rozsahu, není OneFlow s.r.o. ze zákona povinen jmenovat Pověřence pro ochranu osobních údajů (DPO) podle čl. 37 GDPR. Veškerá komunikace ohledně ochrany údajů směřuje na výše uvedený kontakt.

1.2 Rozsah

Tyto Zásady se vztahují výlučně na osobní údaje zpracovávané v souvislosti s Aplikací. Neupravují žádný jiný produkt, web nebo službu provozovanou společností OneFlow s.r.o., pokud daná služba na tyto Zásady výslovně neodkazuje. Obecné zásady ochrany osobních údajů webu OneFlow naleznete na oneflow.cz a vztahují se samostatně na návštěvníky webu.

Sekce 2 / CSKategorie zpracovávaných osobních údajů

Čeština

Prostřednictvím Aplikace a platformy Meta můžeme zpracovávat následující kategorie osobních údajů, v závislosti na oprávněních, která udělíte v rámci Facebook Login:

Kategorie	Zdroj / oprávnění	Účel
Veřejný profil (jméno, Meta user ID, profilová fotografie, věkové rozmezí, pohlaví, locale)	Facebook Login — `public_profile`	Identifikace účtu, autentizace
E-mailová adresa	Facebook Login — `email`	Komunikace, obnova účtu, transakční oznámení
Seznam Facebook stránek, které spravujete	Graph API — `pages_show_list`	Umožnění výběru stránek, které bude Aplikace spravovat
Page access tokens, metadata stránky (název, ID, kategorie)	Graph API — `pages_read_engagement`, `pages_manage_metadata`	Publikování vaším jménem, načítání konfigurace stránky
Příspěvky publikované přes Aplikaci, mediální obsah příspěvků (obrázky, videa, popisky)	Graph API — `pages_manage_posts`, `pages_read_user_content`	Plánování obsahu, publikace, audit log
Instagram Business Account ID, Instagram média, popisky, komentáře (čtení)	Instagram Graph API — `instagram_basic`, `instagram_content_publish`, `instagram_manage_comments`	Cross-posting na Instagram, moderace komentářů
Insights stránky, metriky engagementu na úrovni příspěvků	Graph API — `read_insights`, `pages_read_engagement`	Analytika výkonu zobrazená ve vašem dashboardu
Technická metadata (IP adresa, user agent prohlížeče, časové razítko, request ID)	Logy webového serveru Aplikace	Bezpečnost, prevence zneužití, debugging

Nepožadujeme, neukládáme ani nezpracováváme žádné zvláštní kategorie osobních údajů ve smyslu čl. 9 GDPR (např. údaje o zdravotním stavu, biometrické údaje nebo politické názory). Aplikace nesbírá údaje od uživatelů mladších 13 let. Při použití v Evropském hospodářském prostoru musí být uživatelé starší 16 let v souladu s vnitrostátní implementací čl. 8 GDPR.

Sekce 3 / CSÚčely a právní základ zpracování

Čeština

Osobní údaje zpracováváme pouze tehdy, pokud platí alespoň jeden z právních základů uvedených v čl. 6 odst. 1 GDPR. Následující tabulka přiřazuje každý účel zpracování k jeho právnímu základu:

Účel	Právní základ (čl. 6 GDPR)	Doba uchování
Autentizace a správa účtu	Plnění smlouvy — čl. 6 odst. 1 písm. b)	Do smazání účtu + 30 dní
Publikování obsahu na vaše Facebook stránky nebo Instagram Business Account na váš pokyn	Plnění smlouvy — čl. 6 odst. 1 písm. b)	Do smazání účtu + 30 dní
Analytika výkonu zobrazená ve vašem dashboardu	Plnění smlouvy — čl. 6 odst. 1 písm. b); oprávněný zájem na zlepšení služby — čl. 6 odst. 1 písm. f)	24 měsíců od shromáždění
Bezpečnost služby, prevence podvodů a zneužití	Oprávněný zájem — čl. 6 odst. 1 písm. f)	90 dní (web logy)
Plnění zákonných povinností (daně, účetnictví, AML kde se uplatní)	Právní povinnost — čl. 6 odst. 1 písm. c)	Lhůty stanovené českým právem (např. 10 let pro účetní doklady)
Volitelná marketingová sdělení o Aplikaci	Souhlas — čl. 6 odst. 1 písm. a)	Do odvolání souhlasu

Souhlas s jakýmkoli zpracováním na základě souhlasu můžete kdykoli odvolat zasláním e-mailu na dopita@oneflow.cz. Odvoláním souhlasu není dotčena zákonnost zpracování provedeného před odvoláním.

Sekce 4 / CSPříjemci a zpracovatelé

Čeština

OneFlow neprodává ani nepronajímá osobní údaje třetím stranám. Osobní údaje můžeme sdílet s následujícími příjemci, kteří vystupují jako samostatní správci, společní správci nebo zpracovatelé, jak je uvedeno níže:

Příjemce	Role	Země	Záruky
Meta Platforms, Inc. a její pobočky	Zdrojová platforma / samostatný správce	USA, Irsko (Meta Platforms Ireland Ltd.)	Meta Platform Terms, EU-US Data Privacy Framework, standardní smluvní doložky kde se uplatní
Vercel Inc.	Hosting Aplikace (zpracovatel)	USA	Standardní smluvní doložky, certifikace EU-US Data Privacy Framework
Cloudflare, Inc.	DNS, CDN, bezpečnost (zpracovatel)	USA	Standardní smluvní doložky, certifikace EU-US Data Privacy Framework
Google LLC (Workspace, transakční email)	Email a úložiště dokumentů (zpracovatel)	USA	Standardní smluvní doložky, certifikace EU-US Data Privacy Framework
České orgány finanční správy, soudy, orgány činné v trestním řízení	Samostatní správci (zákonné předávání)	Česká republika / EU	Zákonný právní základ

4.1 Mezinárodní předávání

Pokud jsou osobní údaje předávány mimo Evropský hospodářský prostor (EHP), spoléháme na rozhodnutí Evropské komise o přiměřenosti ohledně EU-US Data Privacy Framework (DPF) pro předávání příjemcům v USA self-certifikovaným podle DPF, případně na standardní smluvní doložky (prováděcí rozhodnutí Komise (EU) 2021/914). Na vyžádání poskytneme kopii relevantních záruk s utajenými obchodními podmínkami.

Sekce 5 / CSDoba uchování a smazání údajů

Čeština

Osobní údaje uchováváme pouze po dobu nezbytně nutnou ke splnění účelů, pro které byly shromážděny, včetně souvisejících právních, účetních nebo reportingových požadavků. Konkrétní doby uchování jsou uvedeny v Sekci 3 výše.

Pokud Aplikaci odstraníte ze svého Meta účtu, požádáte o smazání účtu, nebo jste neaktivní 24 po sobě jdoucích měsíců:

Označíme váš účet ke smazání do 7 dnů od přijetí žádosti nebo spouštěcí události.
Trvale smažeme nebo plně anonymizujeme osobní údaje do 30 dnů, s výjimkou údajů, které jsme povinni zákonně uchovávat (např. účetní záznamy podle zákona č. 563/1991 Sb.).
Splníme a předáme do interních systémů jakoukoli žádost o smazání obdrženou přes Meta Data Deletion Callback.

Krok-za-krokem instrukce pro vyžádání smazání naleznete na samostatné stránce Pokyny pro smazání uživatelských údajů.

Sekce 6 / CSVaše práva jako subjektu údajů

Čeština

Podle GDPR a zákona č. 110/2019 Sb. máte ve vztahu ke svým osobním údajům následující práva:

Právo na přístup (čl. 15) — získat potvrzení, zda jsou nebo nejsou zpracovávány osobní údaje, které se vás týkají, a získat kopii takových údajů.
Právo na opravu (čl. 16) — nechat bez zbytečného odkladu opravit nepřesné osobní údaje.
Právo na výmaz / „právo být zapomenut" (čl. 17) — nechat smazat osobní údaje, pokud platí jeden z důvodů uvedených v čl. 17 odst. 1.
Právo na omezení zpracování (čl. 18) — získat omezení zpracování, pokud platí jeden z důvodů uvedených v čl. 18 odst. 1.
Právo na přenositelnost údajů (čl. 20) — získat osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu a předat je jinému správci.
Právo vznést námitku (čl. 21) — kdykoli vznést námitku proti zpracování založenému na oprávněných zájmech, včetně profilování.
Práva v souvislosti s automatizovaným rozhodováním (čl. 22) — Aplikace nepodrobuje uživatele rozhodnutím založeným výhradně na automatizovaném zpracování, která mají právní účinky nebo se jich obdobně významně dotýkají.
Právo odvolat souhlas — pokud je zpracování založeno na souhlasu.
Právo podat stížnost u dozorového úřadu, zejména u českého Úřadu pro ochranu osobních údajů (ÚOOÚ), Pplk. Sochora 27, 170 00 Praha 7, www.uoou.cz.

K uplatnění kteréhokoli z těchto práv napište na dopita@oneflow.cz s předmětem „GDPR žádost — OneFlow Publisher". Odpovíme do jednoho (1) měsíce od přijetí; tuto lhůtu můžeme prodloužit o další dva (2) měsíce u složitých žádostí, v takovém případě vás v prvním měsíci informujeme.

Sekce 7 / CSBezpečnost, cookies, děti, aktualizace

Čeština

7.1 Bezpečnost

Zavádíme vhodná technická a organizační opatření k zajištění úrovně bezpečnosti odpovídající riziku, mimo jiné: TLS 1.2+ šifrování při přenosu, šifrované úložiště v klidu, řízení přístupu na principu least privilege, audit logování bezpečnosti, pravidelnou rotaci přihlašovacích údajů a postupy reakce na incidenty v souladu s čl. 33 a 34 GDPR.

7.2 Cookies a podobné technologie

Samotná Aplikace nenastavuje marketingové ani analytické cookies na webech třetích stran. Rozhraní dashboardu používá pouze striktně nezbytné first-party cookies pro autentizaci a správu session. Pokud jsou do Aplikace integrovány Meta widgety, dialogy přihlášení nebo pixely, řídí se tyto technologie vlastními zásadami ochrany osobních údajů Meta (facebook.com/privacy/policy).

7.3 Ochrana soukromí dětí

Aplikace není určena dětem mladším 13 let v žádné jurisdikci a mladším 16 let v Evropském hospodářském prostoru nebo Spojeném království. Vědomě neshromažďujeme osobní údaje od takových uživatelů. Pokud zjistíte, že nezletilá osoba nám poskytla osobní údaje bez ověřitelného souhlasu rodiče, kontaktujte nás, abychom údaje smazali.

7.4 Oznamování porušení zabezpečení

V případě porušení zabezpečení osobních údajů, které pravděpodobně bude mít za následek riziko pro práva a svobody fyzických osob, oznámíme tuto skutečnost ÚOOÚ bez zbytečného odkladu, pokud možno do 72 hodin od okamžiku, kdy se o ní dozvíme (čl. 33 GDPR). Pokud by porušení zabezpečení pravděpodobně mělo za následek vysoké riziko, oznámíme jej bez zbytečného odkladu i dotčeným subjektům údajů (čl. 34 GDPR).

7.5 Aktualizace těchto Zásad

Tyto Zásady můžeme čas od času aktualizovat, aby odrážely změny v naší zpracovatelské činnosti, platných zákonech nebo Meta Platform Terms. Datum „Last Updated" v záhlaví odráží nejnovější verzi. Podstatné změny budou uživatelům sděleny prostřednictvím oznámení v aplikaci nebo e-mailem alespoň 30 dní před nabytím účinnosti, pokud je to proveditelné. Pokračující používání Aplikace po datu účinnosti aktualizace představuje přijetí revidovaných Zásad, s výhradou povinných práv, která můžete uplatnit, jak je popsáno výše.

Potřebujete smazat své údaje?

Krok-za-krokem instrukce pro vyžádání smazání osobních údajů jsou k dispozici na samostatné stránce Pokyny pro smazání uživatelských údajů. Žádosti o smazání jsou obvykle zpracovány do 7 až 30 dnů.