🔐 Zásady ochrany osobních údajů
Poslední aktualizace: 12. října 2025
Stručně: Přistupujeme k vašim datům Gmail, Google Kalendář, Google Tasks a Google Sheets pouze když to explicitně požadujete.
Všechny tokeny šifrujeme pomocí AES-256-GCM. Vaše data nikdy neprodáváme ani nepoužíváme pro jiné účely než poskytování služby.
Přístup můžete kdykoliv zrušit přes nastavení Google účtu.
2. Úvod
MCP1 Gmail & Calendar OAuth Server ("služba", "my", "naše") je OAuth proxy server, který
umožňuje ChatGPT Custom GPT Actions přistupovat k vašemu Google Workspace (Gmail, Kalendář, Tasks, Sheets, Drive) vaším jménem.
Tyto zásady vysvětlují, jak shromažďujeme, používáme, ukládáme a chráníme vaše informace v souladu s GDPR
(nařízení EU 2016/679) a českým zákonem č. 110/2019 Sb. o zpracování osobních údajů.
3. Právní základ zpracování (GDPR Article 6)
Vaše osobní údaje zpracováváme na základě:
- Souhlas (Article 6(1)(a)): Udělujete nám výslovný souhlas přes Google OAuth flow při první autentizaci
- Plnění smlouvy (Article 6(1)(b)): Zpracování je nezbytné pro poskytování služby, kterou jste si objednali
- Oprávněný zájem (Article 6(1)(f)): Zabezpečení služby, prevence zneužití, technické logování
Můžete kdykoli odvolat svůj souhlas prostřednictvím Google Account Permissions.
Odvolání souhlasu nemá vliv na zákonnost zpracování před jeho odvoláním.
4. Jaké informace sbíráme
4.1 OAuth Autentizační údaje (povinné)
Při autentizaci s Google OAuth 2.0 šifrovaně ukládáme:
- Google OAuth Access Token - Dočasný token (1 hodina) pro přístup k vašim datům
- Google OAuth Refresh Token - Dlouhodobý token pro obnovení přístupu
- Google User ID (sub) - Váš unikátní identifikátor Google účtu
- E-mailová adresa - Primární e-mail vašeho Google účtu
- Token Expiry Date - Datum expirace access tokenu
4.2 Technická a provozní data
- API Request Logs (časové razítko, endpoint, user ID)
- Token Usage Logs (časová razítka použití a obnovení tokenů)
- Error Logs (pro debugging, neobsahují citlivý obsah)
- Last Used Timestamp (pro automatické čištění neaktivních účtů)
- Authorization Code (dočasný kód, 10 minut)
- Proxy Tokens (dočasné tokeny, 30 dní)
4.3 Google API Scopes (oprávnění)
Aplikace požaduje následující oprávnění:
- https://mail.google.com/ - Plný přístup k Gmail
- https://www.googleapis.com/auth/calendar - Plný přístup ke Kalendáři
- https://www.googleapis.com/auth/tasks - Plný přístup k Tasks
- https://www.googleapis.com/auth/spreadsheets - Přístup k Google Sheets
- https://www.googleapis.com/auth/drive.file - Omezený přístup k Drive (jen pro Sheets s kontakty)
- openid, email, profile - Základní informace o profilu
4.4 Funkce které zpracováváme na váš požadavek
📧 Gmail operace:
- Odesílání emailů (to, cc, bcc, subject, body)
- Čtení emailů (obsah, hlavičky, metadata)
- Vyhledávání emailů (podle dotazu)
- Odpovídání na emaily (reply, reply-all)
- Vytváření konceptů emailů (drafts)
- Mazání emailů (přesun do koše)
- Označování emailů hvězdičkou (star/unstar)
- Označování jako přečtené/nepřečtené (read/unread)
📅 Kalendář operace:
- Vytváření událostí (summary, start, end, description, location, attendees, reminders)
- Čtení jednotlivých událostí (všechna pole)
- Výpis událostí (s filtry podle času, dotazu)
- Aktualizace událostí (změna času, popisu, účastníků)
- Mazání událostí
✅ Google Tasks operace:
- Výpis všech úkolů ze všech seznamů
- Vytváření nových úkolů (title, notes, due date)
- Aktualizace úkolů (změna titulku, poznámek, data, stavu)
- Označování úkolů jako dokončených/nedokončených
- Mazání úkolů
👥 Kontakty (Google Sheets) operace:
- Vyhledávání kontaktů v Google Sheets (podle jména, emailu)
- Výpis všech kontaktů ze Sheets
- Přidávání nových kontaktů (jméno, email, poznámky)
- Aktualizace kontaktů (změna poznámek)
- Vyhledávání Sheets s názvem "MCP1 Contacts" v Google Drive
- Vytváření nového Sheets "MCP1 Contacts" pokud neexistuje
4.5 Co NIKDY nesbíráme
- ❌ Obsah emailů bez vašeho explicitního požadavku
- ❌ Přílohy emailů bez vašeho explicitního požadavku
- ❌ Detaily kalendářových událostí bez vašeho explicitního požadavku
- ❌ Obsah úkolů bez vašeho explicitního požadavku
- ❌ Obsah Google Sheets bez vašeho explicitního požadavku
- ❌ Soubory z Google Drive (kromě Sheets pro kontakty)
- ❌ Historii prohlížení nebo cookies
- ❌ Citlivé údaje podle GDPR Article 9 (zdravotní stav, náboženství atd.)
5. Jak používáme vaše informace
Vaše informace používáme výhradně k poskytování služby:
5.1 Primární účel
- ✅ Autentizace vašich požadavků přes ChatGPT Custom GPT
- ✅ Provádění Gmail operací které explicitně požadujete
- ✅ Provádění Kalendář operací které explicitně požadujete
- ✅ Správa úkolů v Google Tasks na váš požadavek
- ✅ Správa kontaktů ve vašich Google Sheets na váš požadavek
- ✅ Udržování vaší session a automatické obnovování tokenů
5.2 Technické účely
- ✅ Debugging problémů pro zlepšování služby
- ✅ Vynucování rate limitů (max. 100 požadavků/hodinu)
- ✅ Zabezpečení proti neautorizovanému přístupu
Důležité - NIKDY NEpoužíváme vaše data pro:
- ❌ Čtení emailů, kalendáře nebo úkolů bez vašeho explicitního příkazu
- ❌ Sdílení s třetími stranami (kromě nezbytných poskytovatelů infrastruktury)
- ❌ Reklamu, marketing nebo profilování
- ❌ Prodej nebo pronájem informací
- ❌ Trénování AI modelů
6. Ukládání a zabezpečení dat
6.1 Šifrování a bezpečnost
- Data at Rest: Všechny OAuth tokeny jsou šifrovány pomocí AES-256-GCM encryption
- Data in Transit: Veškerá komunikace používá TLS 1.3
- Key Management: Šifrovací klíče uloženy odděleně od databáze
- Access Control: Vícevrstvá autentizace (OAuth 2.0 + proxy token validation)
- Rate Limiting: Max. 100 požadavků/hodinu/uživatel
6.2 Místo uložení
- Databáze: MongoDB Atlas (USA, certifikace SOC 2, ISO 27001)
- Server: Render.com (USA, certifikace SOC 2)
- Backup: Automatické zálohy každých 24 hodin, uchovávané 30 dní
Důležité: Vaše skutečná Gmail/Calendar data nikdy neopouštějí Google servery.
Ukládáme pouze autentizační tokeny, nikoli samotný obsah.
6.3 Kontrola přístupu
- ✅ Pouze autentizovaní uživatelé mají přístup ke svým vlastním datům
- ✅ Žádný manuální přístup administrátorů k šifrovaným tokenům
- ✅ Logging všech přístupů k databázi pro audit
- ✅ Automatické čištění expirovaných tokenů
7. Mezinárodní přenosy dat (GDPR Chapter V)
Vaše data jsou ukládána na serverech v USA (MongoDB Atlas, Render.com), což představuje mezinárodní přenos
mimo Evropský hospodářský prostor (EEA).
7.1 Právní základ pro přenos
Přenosy jsou prováděny v souladu s GDPR Article 46 na základě:
- EU-US Data Privacy Framework (DPF): MongoDB Atlas a Render.com jsou certifikovaní účastníci DPF
- Standard Contractual Clauses (SCCs): Dodatečná smluvní ochrana podle rozhodnutí Komise EU
- Technické záruky: Šifrování end-to-end a minimalizace dat
8. Doba uchovávání dat (GDPR Article 5(1)(e))
| Typ dat |
Doba uchovávání |
Důvod |
| OAuth Access Token |
1 hodina |
Google API bezpečnostní standard |
| OAuth Refresh Token |
Dokud nezrušíte přístup nebo 180 dní neaktivity |
Udržení přístupu bez opětovného přihlášení |
| Authorization Code |
10 minut |
OAuth flow bezpečnost |
| Proxy Token |
30 dní |
ChatGPT session management |
| API Request Logs |
90 dní |
Debugging a bezpečnostní audit |
Automatické čištění: Pokud se nepřihlásíte 180 dní, váš účet a všechna data
budou automaticky smazána. O blížící se expiraci vás upozorníme emailem 30 dní předem.
9. Vaše práva podle GDPR
9.1 Přístup a kontrola nad daty (GDPR Articles 15-22)
- ✅ Právo na přístup (Article 15): Vyžádat kopii všech osobních údajů
- ✅ Právo na opravu (Article 16): Opravit nesprávné nebo neúplné údaje
- ✅ Právo na výmaz (Article 17): Požádat o okamžité smazání všech dat ("právo být zapomenut")
- ✅ Právo na omezení (Article 18): Dočasně pozastavit zpracování
- ✅ Právo na přenositelnost (Article 20): Získat data ve strukturovaném formátu (JSON)
- ✅ Právo vznést námitku (Article 21): Vznést námitku proti zpracování
- ✅ Právo odvolat souhlas: Kdykoliv odvolat souhlas bez udání důvodu
9.2 Jak uplatnit svá práva
Odvolání souhlasu a zrušení přístupu:
- Navštivte Google Account → Zabezpečení → Aplikace třetích stran
- Najděte "MCP1 OAuth Server"
- Klikněte na "Odebrat přístup"
- Vaše tokeny budou okamžitě zneplatněny
Úplné smazání dat: Kontaktujte nás na GitHub s požadavkem na smazání. Data smažeme do 30 dnů.
9.3 Právo podat stížnost (GDPR Article 77)
Doba odpovědi: Na všechny vaše požadavky odpovíme do 30 dnů.
10. Automatizované rozhodování (GDPR Article 22)
Nepoužíváme automatizované rozhodování ani profilování. Všechny akce jsou prováděny
výhradně na základě vašich explicitních příkazů prostřednictvím ChatGPT.
11. Google API Services User Data Policy
Použití a přenos informací získaných z Google APIs striktně dodržuje
Google API Services User Data Policy
, včetně požadavků Limited Use.
Limited Use Disclosure:
- ✅ Přístup k datům pouze když explicitně požadujete akci
- ✅ Data výhradně pro poskytování služby
- ✅ Bez sdílení s třetími stranami (kromě Google, MongoDB, Render)
- ✅ Bez reklam
- ✅ Bez marketingu
12. Služby třetích stran (GDPR Article 28)
| Služba |
Účel |
Místo |
Záruky |
| Google LLC |
OAuth, Gmail/Calendar/Tasks/Sheets/Drive API |
USA, EU |
DPF, SCCs, ISO 27001 |
| MongoDB Atlas |
Šifrované uložení tokenů |
USA |
DPF, SCCs, SOC 2, ISO 27001 |
| Render.com |
Hosting serveru |
USA |
DPF, SCCs, SOC 2 |
| OpenAI ChatGPT |
Uživatelské rozhraní |
USA |
DPF, enterprise policies |
13. Ochrana dětí (GDPR Article 8)
Služba není určena pro uživatele mladší 18 let. Vědomě neshromažďujeme
informace od dětí. Pokud jste rodič a zjistíte, že vaše dítě poskytlo údaje, kontaktujte nás.
Data smažeme do 48 hodin.
14. Změny těchto zásad
Tyto zásady můžeme aktualizovat. O změnách vás budeme informovat:
- 📧 Email notifikace na vaši Google adresu
- 📅 Aktualizace data "Poslední aktualizace"
- ⏳ Zveřejnění nové verze minimálně 30 dní před nabytím účinnosti
15. Oznámení o narušení zabezpečení (GDPR Articles 33-34)
V případě data breach:
- Oznámíme ÚOOÚ do 72 hodin
- Oznámíme dotčeným uživatelům bezodkladně
- Popíšeme povahu narušení
- Poskytneme doporučení pro ochranu účtu
🔐 Privacy Policy
Last Updated: October 12, 2025
TL;DR: We only access your Gmail, Calendar, Tasks, and Sheets data when you explicitly request it.
We encrypt all tokens with AES-256-GCM. We never sell your data. You can revoke access anytime.
2. Introduction
MCP1 is an OAuth proxy server enabling ChatGPT Custom GPT Actions to interact with your Google Workspace
(Gmail, Calendar, Tasks, Sheets, Drive) on your behalf, in compliance with GDPR (EU 2016/679)
and Czech Act No. 110/2019 Coll.
3. Legal Basis (GDPR Article 6)
- Consent (6(1)(a)): You provide explicit consent via Google OAuth
- Contract (6(1)(b)): Processing necessary to provide the service
- Legitimate Interest (6(1)(f)): Security, abuse prevention, technical logging
You can withdraw consent anytime via Google Account Permissions.
4. Information We Collect
4.1 OAuth Authentication Data
- Access Tokens - Temporary (1 hour)
- Refresh Tokens - Long-lived
- Google User ID - Your unique identifier
- Email Address - Your Google account email
4.2 Technical Data
- API Request Logs (timestamp, endpoint, user ID)
- Token usage timestamps
- Error logs (for debugging)
- Last used timestamp
4.3 API Scopes (Permissions)
- https://mail.google.com/ - Full Gmail access
- https://www.googleapis.com/auth/calendar - Full Calendar access
- https://www.googleapis.com/auth/tasks - Full Tasks access
- https://www.googleapis.com/auth/spreadsheets - Sheets access
- https://www.googleapis.com/auth/drive.file - Limited Drive access
- openid, email, profile - Basic profile info
4.4 Features We Process On Your Request
📧 Gmail Operations:
- Send emails (to, cc, bcc, subject, body)
- Read emails (content, headers, metadata)
- Search emails
- Reply to emails
- Create drafts
- Delete emails
- Star/unstar emails
- Mark as read/unread
📅 Calendar Operations:
- Create events (summary, start, end, description, location, attendees, reminders)
- Read events
- List events (with time/query filters)
- Update events
- Delete events
✅ Tasks Operations:
- List all tasks from all lists
- Create new tasks (title, notes, due date)
- Update tasks (title, notes, date, status)
- Mark tasks as completed/uncompleted
- Delete tasks
👥 Contacts (Google Sheets) Operations:
- Search contacts in Google Sheets (by name, email)
- List all contacts from Sheets
- Add new contacts (name, email, notes)
- Update contacts (notes)
- Search for "MCP1 Contacts" Sheets in Drive
- Create new "MCP1 Contacts" Sheets if it doesn't exist
4.5 What We NEVER Collect
- ❌ Email content without your explicit request
- ❌ Email attachments without your explicit request
- ❌ Calendar event details without your explicit request
- ❌ Task content without your explicit request
- ❌ Sheets content without your explicit request
- ❌ Files from Drive (except contact Sheets)
- ❌ Browsing history or cookies
- ❌ Special categories of data per GDPR Article 9
5. How We Use Your Information
We use your information exclusively to provide the Service:
5.1 Primary Purpose
- ✅ Authenticate your requests via ChatGPT
- ✅ Execute Gmail operations you request
- ✅ Execute Calendar operations you request
- ✅ Manage tasks in Google Tasks
- ✅ Manage contacts in your Google Sheets
- ✅ Maintain sessions and auto-refresh tokens
5.2 Technical Purposes
- ✅ Debug issues and improve reliability
- ✅ Enforce rate limits (max. 100 requests/hour)
- ✅ Security against unauthorized access
We NEVER Use Your Data For:
- ❌ Reading data without your explicit command
- ❌ Sharing with third parties (except necessary infrastructure providers)
- ❌ Advertising, marketing, or profiling
- ❌ Selling or renting information
- ❌ Training AI models
6. Data Storage and Security
6.1 Encryption and Security
- Data at Rest: All OAuth tokens encrypted with AES-256-GCM
- Data in Transit: All communication uses TLS 1.3
- Key Management: Encryption keys stored separately from database
- Access Control: Multi-layered authentication
- Rate Limiting: Max. 100 requests/hour/user
6.2 Storage Location
- Database: MongoDB Atlas (USA, SOC 2, ISO 27001 certified)
- Server: Render.com (USA, SOC 2 certified)
- Backup: Automatic backups every 24 hours, retained 30 days
Important: Your actual Gmail/Calendar data never leaves Google servers.
We only store authentication tokens, not the actual content.
7. International Data Transfers (GDPR Chapter V)
Your data is stored on servers in the USA (MongoDB Atlas, Render.com), constituting international
transfer outside the European Economic Area (EEA).
7.1 Legal Basis for Transfer
Transfers comply with GDPR Article 46 based on:
- EU-US Data Privacy Framework (DPF): MongoDB Atlas and Render.com are certified DPF participants
- Standard Contractual Clauses (SCCs): Additional contractual protection per EU Commission Decision
- Technical Safeguards: End-to-end encryption and data minimization
8. Data Retention Period (GDPR Article 5(1)(e))
| Data Type |
Retention Period |
Reason |
| OAuth Access Token |
1 hour |
Google API security standard |
| OAuth Refresh Token |
Until revoked or 180 days inactive |
Maintain access without re-authentication |
| Authorization Code |
10 minutes |
OAuth flow security |
| Proxy Token |
30 days |
ChatGPT session management |
| API Logs |
90 days |
Debugging and security audit |
Automatic Cleanup: If you don't log in for 180 days, your account and all data
will be automatically deleted. We'll notify you via email 30 days before expiration.
9. Your Rights Under GDPR
9.1 Access and Control (GDPR Articles 15-22)
- ✅ Right of Access (Article 15): Request a copy of all personal data
- ✅ Right to Rectification (Article 16): Correct inaccurate or incomplete data
- ✅ Right to Erasure (Article 17): Request immediate deletion ("right to be forgotten")
- ✅ Right to Restriction (Article 18): Temporarily suspend processing
- ✅ Right to Portability (Article 20): Receive data in structured format (JSON)
- ✅ Right to Object (Article 21): Object to processing
- ✅ Right to Withdraw Consent: Withdraw consent at any time
9.2 How to Exercise Your Rights
Revoke Access:
- Visit Google Account → Security → Third-party apps
- Find "MCP1 OAuth Server"
- Click "Remove Access"
- Your tokens will be immediately invalidated
Complete Data Deletion: Contact us on GitHub with a deletion request. We'll delete within 30 days.
9.3 Right to Lodge a Complaint (GDPR Article 77)
Response Time: We will respond to all requests within 30 days.
10. Automated Decision-Making (GDPR Article 22)
We do not use automated decision-making or profiling. All actions are performed
exclusively based on your explicit commands through ChatGPT.
11. Google API Services User Data Policy
This application strictly adheres to
Google API Services User Data Policy
, including Limited Use requirements.
Limited Use Disclosure:
- ✅ Access data only when you explicitly request an action
- ✅ Data used exclusively to provide the Service
- ✅ No sharing with third parties (except Google, MongoDB, Render)
- ✅ No advertising
- ✅ No marketing
12. Third-Party Services (GDPR Article 28)
| Service |
Purpose |
Location |
Safeguards |
| Google LLC |
OAuth, Gmail/Calendar/Tasks/Sheets/Drive API |
USA, EU |
DPF, SCCs, ISO 27001 |
| MongoDB Atlas |
Encrypted token storage |
USA |
DPF, SCCs, SOC 2, ISO 27001 |
| Render.com |
Server hosting |
USA |
DPF, SCCs, SOC 2 |
| OpenAI ChatGPT |
User interface |
USA |
DPF, enterprise policies |
13. Children's Privacy (GDPR Article 8)
Our Service is not intended for users under 18 years of age. We do not knowingly collect
information from children. If you're a parent and discover your child provided data, contact us.
We'll delete it within 48 hours.
14. Changes to This Policy
We may update this policy. We'll inform you via:
- 📧 Email notification to your Google address
- 📅 Update of "Last Updated" date
- ⏳ Publication at least 30 days before taking effect
15. Data Breach Notification (GDPR Articles 33-34)
In case of data breach:
- We'll notify ÚOOÚ within 72 hours
- We'll notify affected users without undue delay
- We'll describe the nature of the breach
- We'll provide recommendations for account protection