Privacy Policy

Last updated: 2026-04-26 · cz-agents.dev

cz-agents (the service) is operated by Martin Havel, IČO 71677763, Košťálkova 1103/2, 182 00 Praha 8, Czech Republic. This policy describes what data the service processes, why, and how long.

What data we process

The service consists of MCP (Model Context Protocol) servers that look up publicly-available data from Czech and EU government registries. We process three categories of data:

Public registry data — IČO, company names, statutory bodies, sanction list entries, insolvency proceedings, FX rates. Sourced in real time or with short cache (≤24 h) from ARES (Ministry of Finance), ČNB, ISIR (Ministry of Justice), EU Financial Sanctions Files, and OFAC SDN. We do not store this data beyond cache TTL except for sanctions snapshots (kept for change-detection) and the ISIR event feed (append-only log).
Request metadata — IP address (for rate limiting), Bearer API tokens (for paid tiers), HTTP headers, request/response timing. Retained for up to 30 days in server logs, then deleted.
Billing data — for paid tiers we use Stripe as a payment processor. Stripe holds card data and customer email; we hold the Stripe customer/subscription IDs linked to an opaque API token (no card data).

Legal basis (GDPR Art. 6)

Public registry data — Art. 6(1)(f) legitimate interest. Czech business registers are public-by-law (zákon č. 304/2013 Sb. on public registers; § 125 zákona č. 120/2001 Sb. for ISIR). Republishing them via API does not change the data's public character.
Request metadata — Art. 6(1)(f) legitimate interest in operating, securing, and rate-limiting the service.
Billing data — Art. 6(1)(b) contract performance.

What we do not do

We do not sell or share data with third parties for marketing.
We do not use data subjects' information for profiling beyond rate limits.
We do not store credit card data — Stripe handles all card processing.
We do not transfer data outside the EU. Servers are hosted in Falkenstein, DE (Hetzner).

Data subject rights

If you are an identifiable individual whose data appears in our service (typically as a statutory body member or sanctioned person from a public registry), you have the rights under GDPR Art. 15–22 (access, rectification, erasure, restriction, portability, objection). For data that originates from a public registry, the appropriate erasure path is to address the original registry (e.g. ARES). We can confirm what we cache about you and refresh from source on request.

Contact: [email protected].

Children

The service is not directed at, and does not knowingly collect data from, children under 16.

Changes to this policy

Material changes will be announced on the project's GitHub repository (github.com/martinhavel/cz-agents-mcp) at least 14 days before they take effect. The current version is always authoritative at cz-agents.dev/privacy.

Supervisory authority

If you believe your rights are being violated, you may lodge a complaint with the Czech Office for Personal Data Protection (Úřad pro ochranu osobních údajů, uoou.gov.cz).

← Back to cz-agents.dev

Zásady ochrany soukromí

Poslední aktualizace: 2026-04-26 · cz-agents.dev

cz-agents (služba) provozuje Martin Havel, IČO 71677763, Košťálkova 1103/2, 182 00 Praha 8, Česká republika. Tyto zásady popisují, jaká data služba zpracovává, proč a jak dlouho.

Jaká data zpracováváme

Služba se skládá z MCP serverů, které vyhledávají veřejně dostupná data z českých a evropských státních rejstříků. Zpracováváme tři kategorie dat:

Data z veřejných rejstříků — IČO, názvy firem, statutární orgány, záznamy v sankčních seznamech, insolvenční řízení, kurzy měn. Čerpána v reálném čase nebo s krátkou cache (≤24 h) z ARES (Ministerstvo financí), ČNB, ISIR (Ministerstvo spravedlnosti), EU Financial Sanctions Files a OFAC SDN. Tato data neuchováváme po dobu přesahující TTL cache, s výjimkou sankčních snapshotů (pro detekci změn) a událostí ISIR (append-only log).
Metadata požadavků — IP adresa (pro rate limiting), Bearer API tokeny (pro placené tiery), HTTP hlavičky, timing požadavků/odpovědí. Uchovávány po dobu až 30 dní v serverových logách, poté smazány.
Fakturační data — pro placené tiery používáme Stripe jako platební procesor. Stripe uchovává údaje o kartě a e-mail zákazníka; my uchováváme ID zákazníka/předplatného Stripe propojené s neprůhledným API tokenem (žádná data o kartě).

Právní základ (GDPR čl. 6)

Data z veřejných rejstříků — čl. 6(1)(f) oprávněný zájem. České obchodní rejstříky jsou ze zákona veřejné (zákon č. 304/2013 Sb. o veřejných rejstřících; § 125 zákona č. 120/2001 Sb. pro ISIR). Jejich zpřístupnění přes API nemění veřejný charakter dat.
Metadata požadavků — čl. 6(1)(f) oprávněný zájem na provozu, zabezpečení a rate limitingu služby.
Fakturační data — čl. 6(1)(b) plnění smlouvy.

Co neděláme

Neprodáváme ani nesdílíme data se třetími stranami pro marketingové účely.
Nepoužíváme osobní údaje k profilování nad rámec rate limitů.
Neuchováváme data platebních karet — veškeré platební zpracování zajišťuje Stripe.
Nepřenášíme data mimo EU. Servery jsou hostovány ve Falkensteinu, DE (Hetzner).

Práva subjektů údajů

Pokud jste identifikovatelná fyzická osoba, jejíž data se ve službě vyskytují (typicky jako člen statutárního orgánu nebo sankcionovaná osoba z veřejného rejstříku), máte práva dle GDPR čl. 15–22 (přístup, oprava, výmaz, omezení, přenositelnost, námitka). Pro data pocházející z veřejného rejstříku je vhodná cesta výmazu obrátit se na zdrojový rejstřík (např. ARES). Na žádost potvrdíme, co o vás cachujeme, a obnovíme ze zdroje. Kontakt: [email protected].

Děti

Služba není určena dětem mladším 16 let a vědomě od nich data nesbírá.

Změny zásad

Podstatné změny budou oznámeny v repozitáři projektu na GitHubu (github.com/martinhavel/cz-agents-mcp) nejméně 14 dní před vstupem v platnost. Aktuální verze je vždy autoritativní na cz-agents.dev/privacy.

Dozorový úřad

Pokud se domníváte, že jsou porušována vaše práva, můžete podat stížnost u Úřadu pro ochranu osobních údajů (uoou.gov.cz).

← Zpět na cz-agents.dev