Ochrana údajů · poslední aktualizace 28. 4. 2026

Co o vás víme — a co ne.

VulScan je pasivní bezpečnostní skener, který provozujeme zdarma. Tato stránka popisuje, jaké údaje uchováváme, proč, jak dlouho, a co s tím můžete jako uživatel udělat.

Souhrn ve třech větách Když naskenujete doménu, uložíme její název, čas a souhrnnou závažnost — slouží to k veřejnému počítadlu na hlavní stránce („Sledovaných domén"). Pokud si necháte poslat PDF report, uložíme váš e-mail a souhlas. Neukládáme IP adresy, nepoužíváme cookies ani tracking, jednotlivé scany nepřiřazujeme ke konkrétním uživatelům.

1. Kdo jsme

Provozovatelem služby VulScan.cz je HRUBY Software s.r.o., se sídlem Navrátilova 666/7, Nové Město, 110 00 Praha 1, Česká republika. IČO 05131375, DIČ CZ05131375. Datum vzniku: 1. 6. 2016. Web provozovatele: hruby.software. Pro otázky k ochraně údajů: podpora@vulscan.cz.

2. Co o vás zpracováváme

Při použití scanneru (POST /scan)

Zadanou doménu (např. mojefirma.cz)
Datum a čas skenu (první výskyt + poslední výskyt)
Souhrnnou závažnost nálezu (např. „high" / „medium" / „low")
Zdroj záznamu („public" pro veřejný scan, „pipeline" pro naše proaktivní mapování)

Tyto záznamy ukládáme do AWS DynamoDB v EU regionu. Slouží výhradně k veřejné statistice na hlavní stránce („Sledovaných domén", „Pasivně naskenováno", „Webů s kritickým nálezem"). Konkrétní záznam o jedné doméně nikomu nezveřejňujeme a databázi nepředáváme dále — vidíte z ní jen agregované počty.

Provozní logy AWS Lambda a API Gateway mohou krátkodobě obsahovat metadata requestu (časový údaj, source IP, user agent) — slouží jen k diagnostice problémů a po 14 dnech je AWS automaticky maže.

Při zaslání PDF reportu (POST /lead)

E-mailovou adresu, kterou jste vyplnili
Souhlas s kontaktem (zaškrtnutý checkbox)
Doménu, ke které se report vztahuje, a čas

Tyto údaje použijeme k odeslání reportu a k občasnému newsletteru s tipy k zabezpečení webu a nabídkám souvisejících služeb. Z odběru se kdykoliv odhlásíte odkazem v patičce každého e-mailu nebo zprávou na podpora@vulscan.cz. Žádné prodávání kontaktů třetím stranám.

3. Co neukládáme

IP adresy uživatelů (mimo krátkodobé AWS provozní logy)
Cookies, fingerprinting, žádné tracking pixely
Hlavičky prohlížeče, referrer, jakýkoliv otisk klienta
Žádné spojení mezi konkrétním scanem a konkrétní osobou

Výjimka — localStorage prohlížeče. Stránka si pamatuje vaše jazykové nastavení (klíč vulscan.lang) a — pokud jste jednou požádali o PDF report — i ten e-mail (klíč vulscan.lead), aby ho příště nemusela zase chtít. Tyto údaje zůstávají výhradně ve vašem prohlížeči, nikam se neodesílají. Smazat je můžete kdykoliv přes nastavení prohlížeče.

4. Právní základ zpracování

Doménový log — oprávněný zájem (čl. 6 odst. 1 písm. f GDPR): provozovat a propagovat bezplatnou službu, mít přehled o jejím využití. Záznam (název domény + čas + závažnost) nelze přiřadit ke konkrétní osobě a riziko zásahu do soukromí je minimální.
E-mail v lead capture — souhlas (čl. 6 odst. 1 písm. a GDPR). Souhlas je dobrovolný a kdykoli odvolatelný; odvoláním nezaniká právo na již doručený report.

5. Jak dlouho údaje držíme

Agregované počty (vystavované na hlavní stránce): bez časového omezení
Záznam o naskenované doméně: max. 24 měsíců, poté smazáno
E-mailové kontakty: do odvolání souhlasu, max. 12 měsíců nečinnosti od vašeho posledního kontaktu s námi
Provozní logy AWS (Lambda / API Gateway): max. 14 dnů (defaultní AWS retention)

6. Komu údaje předáváme

Pouze provozovateli infrastruktury — Amazon Web Services EMEA SARL (Lucembursko) jako zpracovateli osobních údajů. AWS provozuje serverové komponenty (Lambda, DynamoDB, SES) v regionu eu-central-1 (Frankfurt). Žádné jiné třetí strany — žádný Google Analytics, žádný Facebook Pixel, žádné CRM, žádné prodávání dat.

7. Vaše práva

Podle GDPR máte právo:

vědět, co o vás máme uloženo (právo na přístup)
nechat to opravit nebo smazat (právo na opravu / výmaz)
omezit zpracování nebo proti němu vznést námitku
převést své údaje k jinému správci (přenositelnost)
kdykoli odvolat souhlas (u lead capture)
podat stížnost u Úřadu pro ochranu osobních údajů (uoou.cz)

Pro uplatnění práv stačí napsat na podpora@vulscan.cz. Reagujeme do 30 dnů.

8. Bezpečnost

Veškerá komunikace běží přes HTTPS. Údaje v DynamoDB jsou šifrované v klidovém stavu (AWS-managed šifrování). Přístup k databázi má pouze provozovatel přes IAM s vícefaktorovým ověřením.

9. Změny tohoto dokumentu

Tento dokument můžeme aktualizovat. Datum poslední aktualizace je uvedeno v záhlaví. Významné změny (např. nový druh zpracování) ohlásíme viditelným upozorněním na hlavní stránce.

← Zpět na úvod

VulScan.cz · provozuje HRUBYsoftware · podpora@vulscan.cz · +420 737 777 937

Privacy · last updated 2026-04-28

What we know about you — and what we don't.

VulScan is a passive security scanner we operate for free. This page describes what we collect, why, how long we keep it, and what you can do about it.

Three-sentence summary When you scan a domain we record its name, the timestamp, and a summary severity — used to feed the public counter on the home page ("Domains tracked"). If you ask us to email you the PDF report, we store your email and consent. We don't store IP addresses, we don't use cookies, we don't link individual scans to specific users.

1. Who we are

VulScan.cz is operated by HRUBY Software s.r.o., registered office at Navrátilova 666/7, Nové Město, 110 00 Praha 1, Czech Republic. Company ID (IČO): 05131375. VAT ID (DIČ): CZ05131375. Incorporated 1 June 2016. Operator's website: hruby.software. Privacy questions: podpora@vulscan.cz.

2. What we process

When you use the scanner (POST /scan)

The domain you entered (e.g. example.cz)
The timestamps of the scan (first seen + last seen)
The summary severity (e.g. "high" / "medium" / "low")
The record source ("public" for a user scan, "pipeline" for our proactive mapping)

These records live in AWS DynamoDB (EU region). They feed the aggregate counters on the home page ("Domains tracked", "Passively scanned", "Sites with critical findings"). We never publish the individual record about any one domain and we don't share the database — externally you only see the aggregate counts.

AWS Lambda and API Gateway operational logs may briefly contain request metadata (timestamp, source IP, user agent) for diagnostics. AWS auto-deletes these after 14 days.

When you request the PDF report (POST /lead)

The email address you provided
Your contact consent (the checkbox you ticked)
The domain the report covers, plus the timestamp

We use this to deliver the report and an occasional newsletter with web-security tips and related offers. You can unsubscribe at any time via the link in every email's footer or by writing to podpora@vulscan.cz. No contact reselling.

3. What we don't store

User IP addresses (beyond short-lived AWS operational logs)
Cookies, fingerprinting, tracking pixels
Browser headers, referrers, any client fingerprint
Any link between a specific scan and a specific person

Exception — browser localStorage. The site remembers your language preference (key vulscan.lang) and — if you once asked for a PDF report — your email (key vulscan.lead) so it doesn't have to ask again. This data lives only in your browser, never reaches our server, and you can clear it any time via your browser settings.

4. Legal basis

Domain log — legitimate interest (Art. 6(1)(f) GDPR): running and promoting a free service and understanding its usage. The record (domain name + timestamp + severity) cannot be linked to a specific individual; the privacy impact is minimal.
Lead-capture email — consent (Art. 6(1)(a) GDPR). Consent is voluntary and can be withdrawn any time; withdrawal doesn't affect the report you've already received.

5. How long we keep it

Aggregated counters (shown on the home page): indefinitely
Per-domain scan record: max. 24 months, then deleted
Email contact: until you withdraw consent, max. 12 months of inactivity
AWS operational logs (Lambda / API Gateway): max. 14 days (AWS default retention)

6. Sub-processors

Only the infrastructure provider — Amazon Web Services EMEA SARL (Luxembourg) as a data processor. AWS runs our server components (Lambda, DynamoDB, SES) in the eu-central-1 (Frankfurt) region. No other third parties — no Google Analytics, no Facebook Pixel, no CRM, no data resale.

7. Your rights

Under GDPR you have the right to:

know what we have on you (right of access)
have it corrected or erased (rectification / erasure)
restrict or object to processing
port your data to another controller
withdraw consent at any time (for lead capture)
file a complaint with the Czech DPA (uoou.cz)

Just write to podpora@vulscan.cz. We respond within 30 days.

8. Security

All traffic runs over HTTPS. Database records in DynamoDB are encrypted at rest (AWS-managed encryption). Operator access is IAM-gated with multi-factor authentication.

9. Changes to this document

We may update this document. The "last updated" date in the header reflects any change. Material changes (e.g. a new processing type) are announced with a visible notice on the home page.

← Back to home

VulScan.cz · operated by HRUBYsoftware · podpora@vulscan.cz · +420 737 777 937