Privacy Policy
How CVEalert.io collects, uses, and protects your data
Last Updated: 2026-02-22
This Privacy Policy explains how CVEalert.io ("Service") collects and processes personal data.
The data controller is:
Kamil VavraNove sady 988/2
602 00 Brno
Czech Republic
IC: 75345773
Sole trader registered in the Trade Register since 19 July 2022, recorded by the Brno City Hall.
For the purposes of the General Data Protection Regulation (GDPR), we act as the data controller.
If you have questions about this policy, contact: [email protected]
1. Personal Data We Collect
1.1 Account Data
- Email address
- Name and surname (optional)
- Company name (optional)
- Team member email addresses (if invited)
1.2 Service Data
- Software selections and monitoring configuration
- Notification preferences
- Webhook configuration (including webhook URLs)
- Logs related to alert delivery
1.3 Technical Data
- IP address
- Browser type and device information
- Authentication logs
- Usage metadata
Technical data may be collected and processed via our infrastructure providers, security tools, and internal monitoring systems.
1.4 Billing Data
If you subscribe to a paid plan, the following billing information may be processed:
- Billing name
- Billing address
- VAT ID (if provided)
- Payment method details (processed by Stripe)
- Invoice and transaction records
Billing data is processed by our payment provider (Stripe).
We do not store full credit card numbers or sensitive payment credentials on our servers.
2. Legal Basis for Processing (GDPR)
We process personal data under the following legal bases:
- Performance of a contract (Article 6(1)(b)) - to provide the Service.
- Legitimate interests (Article 6(1)(f)) - to secure, maintain, and improve the Service.
- Legal obligations (Article 6(1)(c)) - where required by law.
- Consent (Article 6(1)(a)) - for optional newsletter subscriptions.
3. How We Use Personal Data
We use personal data to:
- Provide and operate the Service (including team collaboration features)
- Deliver vulnerability alerts
- Maintain account security
- Prevent abuse and fraud
- Respond to support requests
- Improve system reliability and performance
- Send service-related communications
- Send newsletters (only if you opt in)
We do not sell personal data.
4. Data Sharing and Processors
We use trusted service providers to operate the Service, including:
- Infrastructure hosting providers (DigitalOcean)
- CDN and security providers (Cloudflare)
- Email delivery provider (Mailgun)
- Payment processor (Stripe)
- Logging and monitoring provider (Datadog)
- IP geolocation provider (IPinfo)
- Internal communication provider (Slack)
These providers process data on our behalf under contractual arrangements.
Where providers are located outside the European Union, appropriate safeguards such as Standard Contractual Clauses (SCCs) are applied.
5. International Transfers
Our primary infrastructure is located in the European Union.
Some service providers may process limited data outside the EU. In such cases, transfers are protected using appropriate safeguards in accordance with GDPR.
6. Data Retention
We retain personal data:
- For as long as your account is active
- For up to 30 days after account deletion (unless legal obligations require longer retention)
- Log data is retained for a limited period (typically 15–30 days depending on the provider)
- Billing data is retained as required by accounting and tax regulations
After retention periods expire, data is deleted or anonymized.
7. Data Security
We implement appropriate technical and organizational measures to protect personal data, including:
- Encrypted transmission (HTTPS/TLS)
- Access controls and authentication
- Role-based access restrictions
- Infrastructure security measures
- Logging and monitoring
No system can guarantee absolute security.
8. Your Rights Under GDPR
You have the right to:
- Access your personal data
- Rectify inaccurate data
- Request deletion of your data
- Restrict or object to processing
- Request data portability
- Withdraw consent at any time (where processing is based on consent)
- Lodge a complaint with a supervisory authority
The competent supervisory authority in the Czech Republic is:
Úřad pro ochranu osobních údajů (ÚOOÚ)
https://www.uoou.cz
9. Children's Data
The Service is not intended for individuals under 18 years of age. We do not knowingly collect personal data from children.
10. Changes to This Policy
We may update this Privacy Policy from time to time.
If changes are material, we will update the "lastUpdated" date and may notify users by email.
11. Contact
For privacy-related inquiries:
Email: [email protected]
Website: https://cvealert.io/contact
Poslední aktualizace: 2026-02-22
Tento dokument Ochrana osobních údajů vysvětluje, jak služba CVEalert.io („Služba“) shromažďuje a zpracovává osobní údaje.
Správcem osobních údajů je:
Kamil VavraNove sady 988/2
602 00 Brno
Česká republika
IČ: 75345773
OSVČ zapsaná v živnostenském rejstříku od 19. 7. 2022, evidovaná Magistrátem města Brna.
Pro účely Nařízení Evropského parlamentu a Rady (EU) 2016/679 (GDPR) vystupujeme jako správce osobních údajů.
V případě dotazů nás můžete kontaktovat na: [email protected]
1. Jaké osobní údaje zpracováváme
1.1 Údaje o účtu
- E-mailová adresa
- Jméno a příjmení (nepovinné)
- Název společnosti (nepovinný)
- E-mailové adresy členů týmu (pokud jsou pozváni)
1.2 Údaje o používání služby
- Výběr sledovaného softwaru a konfigurace monitorování
- Nastavení notifikací
- Konfigurace webhooků (včetně URL adres webhooků)
- Záznamy související s doručováním upozornění
1.3 Technické údaje
- IP adresa
- Typ prohlížeče a informace o zařízení
- Přihlašovací záznamy
- Metadata o používání služby
Technické údaje mohou být zpracovávány prostřednictvím našich poskytovatelů infrastruktury, bezpečnostních nástrojů a interních monitorovacích systémů.
1.4 Fakturační údaje
Pokud využíváte placený tarif, mohou být zpracovávány následující fakturační údaje:
- Fakturační jméno
- Fakturační adresa
- DIČ (pokud je uvedeno)
- Údaje o platební metodě (zpracovávané společností Stripe)
- Faktury a záznamy o transakcích
Fakturační údaje jsou zpracovávány naším poskytovatelem platebních služeb (Stripe).
Úplná čísla platebních karet ani citlivé platební údaje na našich serverech neuchováváme.
2. Právní základy zpracování (GDPR)
Osobní údaje zpracováváme na základě následujících právních titulů:
- Plnění smlouvy (čl. 6 odst. 1 písm. b) GDPR) – za účelem poskytování Služby.
- Oprávněný zájem (čl. 6 odst. 1 písm. f) GDPR) – za účelem zabezpečení, údržby a zlepšování Služby.
- Splnění právní povinnosti (čl. 6 odst. 1 písm. c) GDPR) – pokud to vyžaduje právní předpis.
- Souhlas (čl. 6 odst. 1 písm. a) GDPR) – v případě dobrovolného odběru newsletteru.
3. Jak osobní údaje používáme
Osobní údaje používáme za účelem:
- Poskytování a provozování Služby (včetně funkcí týmové spolupráce)
- Zasílání upozornění na bezpečnostní zranitelnosti
- Zajištění bezpečnosti účtů
- Prevence zneužití a podvodného jednání
- Vyřizování dotazů a podpory
- Zlepšování spolehlivosti a výkonu systému
- Zasílání provozních sdělení souvisejících se Službou
- Zasílání newsletteru (pouze na základě vašeho souhlasu)
Osobní údaje neprodáváme.
4. Předávání údajů a zpracovatelé
Pro provoz Služby využíváme důvěryhodné poskytovatele služeb, zejména:
- Poskytovatele infrastruktury (DigitalOcean)
- CDN a bezpečnostní služby (Cloudflare)
- Poskytovatele e-mailových služeb (Mailgun)
- Poskytovatele platebních služeb (Stripe)
- Poskytovatele logování a monitoringu (Datadog)
- Poskytovatele geolokačních služeb (IPinfo)
- Interní komunikační platformu (Slack)
Tito poskytovatelé zpracovávají osobní údaje naším jménem na základě smluvních ujednání.
Pokud dochází k předávání údajů mimo Evropskou unii, je takové předávání zajištěno odpovídajícími zárukami, například prostřednictvím standardních smluvních doložek (SCC).
5. Předávání do třetích zemí
Naše hlavní infrastruktura je umístěna v Evropské unii.
Někteří poskytovatelé služeb mohou zpracovávat omezené množství údajů mimo EU. V takových případech je předávání chráněno odpovídajícími zárukami v souladu s GDPR.
6. Doba uchovávání údajů
Osobní údaje uchováváme:
- Po dobu trvání vašeho účtu
- Až 30 dnů po zrušení účtu (pokud právní předpis nestanoví jinak)
- Provozní logy jsou uchovávány po omezenou dobu (obvykle 15–30 dnů dle poskytovatele)
- Fakturační údaje jsou uchovávány po dobu stanovenou účetními a daňovými předpisy
Po uplynutí příslušné doby jsou údaje vymazány nebo anonymizovány.
7. Zabezpečení údajů
Přijímáme přiměřená technická a organizační opatření k ochraně osobních údajů, zejména:
- Šifrovaný přenos dat (HTTPS/TLS)
- Řízení přístupů a autentizaci
- Role-based přístupová oprávnění
- Bezpečnostní opatření na úrovni infrastruktury
- Logování a monitoring
Žádný systém však nemůže zaručit absolutní bezpečnost.
8. Vaše práva podle GDPR
Máte právo:
- Požadovat přístup ke svým osobním údajům
- Požadovat opravu nepřesných údajů
- Požadovat výmaz osobních údajů
- Požadovat omezení zpracování nebo vznést námitku proti zpracování
- Požadovat přenositelnost údajů
- Odvolat souhlas (pokud je zpracování založeno na souhlasu)
- Podat stížnost u dozorového úřadu
Dozorovým úřadem v České republice je:
Úřad pro ochranu osobních údajů (ÚOOÚ)
https://www.uoou.cz
9. Ochrana dětí
Služba není určena osobám mladším 18 let. Vědomě nezpracováváme osobní údaje dětí.
10. Změny těchto zásad
Tyto zásady ochrany osobních údajů můžeme čas od času aktualizovat.
V případě podstatných změn aktualizujeme datum „lastUpdated“ a případně vás informujeme e-mailem.
11. Kontakt
V případě dotazů týkajících se ochrany osobních údajů nás kontaktujte:
E-mail: [email protected]
Web: https://cvealert.io/contact
