Ochrana osobních údajů
Zásady ochrany osobních údajů
Verze: v1 (draft) Účinnost od: [DOPLŇ DATUM] Poslední aktualizace: [DOPLŇ DATUM]
⚠️ Tento dokument je pracovní draft pro účely private bety a interního přezkoumání. Před veřejným spuštěním musí být ověřen právníkem specializujícím se na ochranu osobních údajů. Placeholdery v hranatých závorkách je třeba vyplnit.
1. Kdo jsme
Správcem osobních údajů ve smyslu čl. 4 odst. 7 nařízení GDPR je:
- Jméno a příjmení: Tobiáš Štancel, fyzická osoba podnikající
- IČO: [DOPLŇ]
- Místo podnikání: Plzeňská 2298/170, 150 00 Praha 5
- Zapsaný v živnostenském rejstříku: Veřejný rejstřík živnostenského podnikání (www.rzp.cz)
- E-mail: privacy@hobbyo.cz
(dále jen „my”, „nám”, „Hobbyo”)
Nejmenovali jsme pověřence pro ochranu osobních údajů (DPO) — naše zpracování nespadá pod povinné případy dle čl. 37 GDPR.
2. Jaké údaje zpracováváme a proč
2.1 Údaje při registraci a správě účtu
| Údaj | Účel | Právní základ |
|---|---|---|
| Autentizace, zasílání transakčních zpráv | Plnění smlouvy (čl. 6/1/b) | |
| Heslo (hashované) | Autentizace | Plnění smlouvy |
| Přezdívka / jméno | Zobrazení v rozhraní | Plnění smlouvy |
| Profilový obrázek (volitelný) | Zobrazení v rozhraní | Souhlas |
| Datum narození / věková deklarace | Ověření věkové způsobilosti (15+) | Zákonná povinnost (čl. 6/1/c) |
| Preferovaný jazyk (jeden ze 7 podporovaných: čeština, angličtina, slovenština, ukrajinština, němčina, španělština, italština) | Nastavení rozhraní; výchozí hodnota je odvozena z hlavičky
Accept-Language ještě před přihlášením |
Plnění smlouvy |
| Souhlasy a jejich verze | Prokázání souhlasů | Zákonná povinnost |
2.2 Údaje o aktivitě ve Službě
| Údaj | Účel | Právní základ |
|---|---|---|
| Vytvořené události | Zobrazení ostatním uživatelům, plnění Služby | Plnění smlouvy |
| Účast na událostech | Koordinace s ostatními účastníky | Plnění smlouvy |
| Potvrzení účasti přes QR (token a čas check-in) | Pokud pořadatel u dané akce zapne QR check-in: organizátor naskenuje
váš osobní token a potvrdí, že jste fyzicky přítomni; ukládá se okamžik
potvrzení (checked_in_at) |
Plnění smlouvy |
| Hodnocení účastníků a organizátora po skončení akce (skóre −1 / 0 / +1; volnotextový důvod pouze u negativního hodnocení, max. 2 000 znaků) | Tvorba reputace, ochrana komunity před opakovaně problematickými uživateli | Oprávněný zájem (čl. 6/1/f); proti zpracování lze vznést námitku |
| Zprávy v chatu (text, autor, čas; chat je vázán na konkrétní akci a vidí ho její účastníci) | Komunikace s účastníky | Plnění smlouvy |
| Poloha (GPS při vyhledávání) | Zobrazení relevantních událostí v okolí | Souhlas (geolokace) |
| Interakce a chování v aplikaci | Zlepšování Služby, detekce zneužívání | Oprávněný zájem |
2.3 Technické údaje
| Údaj | Účel | Právní základ |
|---|---|---|
| IP adresa | Zabezpečení, detekce zneužívání, lokalizace | Oprávněný zájem |
| User-Agent (prohlížeč, OS) | Kompatibilita, ladění | Oprávněný zájem |
| Access logy (HTTP requesty) | Provoz, zabezpečení, ladění | Oprávněný zájem |
| Audit logy (citlivé akce) | Bezpečnostní audit | Oprávněný zájem |
Push notifikační token zařízení (FCM / APNs / Web Push), typ
platformy (Android / iOS / web) a čas poslední aktivity zařízení
(last_seen_at) |
Odesílání notifikací; last_seen_at slouží k mazání
tokenů neaktivních zařízení |
Souhlas |
Stavy doručení a čtení notifikací (delivered_in_app_at,
push_sent_at, read_at) |
Aby si uživatel viděl, co už si přečetl, a aby šlo měřit doručitelnost | Plnění smlouvy / oprávněný zájem |
2.4 Marketingová komunikace
Pokud k tomu udělíte samostatný souhlas, zpracováváme váš e-mail pro zasílání marketingových zpráv (novinky, tipy na události). Souhlas můžete kdykoli odvolat.
2.5 Oblíbená a naposledy použitá místa
Pro pohodlnější používání mapy a vyhledávání ukládáme:
| Údaj | Účel | Právní základ |
|---|---|---|
| Oblíbená místa — seznam míst (POI), která jste si ručně označili jako oblíbená, včetně pořadí | Rychlejší přístup k vámi často používaným lokalitám; viditelné jen vám | Plnění smlouvy |
Naposledy použitá místa — posledních
maximálně 10 míst, která jste ručně vybrali při
vyhledávání, spolu s časem výběru (visited_at) |
Návrhy v autocomplete; starší záznamy se automaticky mažou (FIFO) | Oprávněný zájem (čl. 6/1/f) — usnadnění opakované práce s mapou; proti zpracování lze vznést námitku |
Tato data nesdílíme s ostatními uživateli ani s třetími stranami. Vztahují se výhradně k vašemu účtu a slouží jako lokální pomocník při práci s mapou. Při zrušení účtu se mažou společně se zbytkem profilu.
3. Poloha a její využití
3.1 Vaše přesná poloha (GPS souřadnice) je zpracovávána pouze pro účely vyhledávání relevantních událostí ve vašem okolí. Souřadnice se ukládají geospatialně indexované (technologie H3) pro efektivní vyhledávání.
3.2 Vaši přesnou polohu nesdílíme s ostatními uživateli.
3.3 Pozor však: pokud se účastníte veřejné události, vaše účast je viditelná ostatním uživatelům, kteří se též účastní nebo kteří si událost prohlížejí v režimu hledání účastníků. Z této informace lze odvodit, kde a kdy se pravděpodobně budete nacházet. Po potvrzení nebo zrušení události již účast není veřejně viditelná.
3.4 V budoucnu plánujeme umožnit anonymní účast na událostech.
4. Jak dlouho data uchováváme
| Kategorie dat | Doba uchování |
|---|---|
| Aktivní uživatelský účet | Po dobu existence účtu |
| Po zrušení účtu — osobní údaje (e-mail, jméno) | Odstraněny / anonymizovány neprodleně |
| Po zrušení účtu — technické ID a historické účasti | Zůstávají (anonymizované) pro integritu dat ostatních uživatelů |
| Vytvořené události | Po dobu aktivity; po zrušení účtu anonymizovány |
| Chat zprávy | Po dobu existence akce; po zrušení účtu autora se autor anonymizuje (zobrazí se jako „smazaný uživatel”), obsah zprávy zůstává pro integritu konverzace |
| Hodnocení účastníků a organizátora (skóre + důvod) | Po dobu existence akce a uživatelského účtu hodnoceného; po zrušení účtu hodnoceného se anonymizuje |
| QR check-in tokeny a časy potvrzení účasti | Po dobu existence akce; po archivaci akce se mažou společně s rosterem |
| Oblíbená místa | Po dobu trvání účtu; smazat lze ručně v nastavení |
| Naposledy použitá místa | Maximálně 10 položek (FIFO); starší se průběžně mažou automaticky |
| Push notifikační tokeny | Mazány po 90 dnech od last_seen_at (neaktivita
zařízení) |
| Notifikace | 90 dní |
| Access logy | 30 dní |
| Audit logy | 1 rok |
| Auth logy (přihlášení) | 90 dní |
| Zálohy databáze | 14 dní rolling |
| Záznamy o souhlasech | Po dobu trvání + 3 roky po odvolání |
| Záznamy o přijetí podmínek | Po dobu trvání + 3 roky po zrušení účtu |
| Neaktivní účet (bez přihlášení) | Upozornění po 22 měsících, smazání po 24 měsících |
5. Komu data předáváme (sub-processoři)
Pro provoz Služby využíváme následující zpracovatele:
| Zpracovatel | Role | Sídlo / umístění dat |
|---|---|---|
| Hetzner Online GmbH | Hosting (servery, databáze) | Německo / Finsko (EU) |
| Cloudflare, Inc. | DNS, CDN, ochrana proti útokům | Globální síť, smluvní záruky EU |
| Resend, Inc. | Odesílání transakčních e-mailů | [OVĚŘ A DOPLŇ region — EU preferované] |
| Google LLC (Firebase Cloud Messaging) | Push notifikace na zařízení Android / iOS | USA — viz článek 6 |
Aktuální seznam zpracovatelů je dostupný na [odkaz na subprocessors stránku].
6. Předávání dat mimo EU
6.1 Některé služby, které využíváme, zpracovávají data mimo EU — konkrétně Firebase Cloud Messaging (USA) pro push notifikace.
6.2 Předávání do USA se uskutečňuje na základě: - Standardních smluvních doložek (SCC) schválených Evropskou komisí dle čl. 46 odst. 2 písm. c) GDPR; - případně EU-U.S. Data Privacy Framework (pokud je daný zpracovatel certifikován).
6.3 Pro push notifikace předáváme pouze zařízení-specifické tokeny a minimální obsah zprávy — nikoli vaši identitu ani kontakt.
6.4 Pokud si nepřejete, aby byly vaše údaje zpracovávány přes Firebase, můžete push notifikace vypnout v nastavení zařízení nebo aplikace.
7. Vaše práva
Jako subjekt údajů máte následující práva (čl. 15–22 GDPR):
- Právo na přístup — získat potvrzení, zda o vás zpracováváme údaje, a kopii těchto údajů.
- Právo na opravu — opravit nepřesné nebo neúplné údaje.
- Právo na výmaz („právo být zapomenut”) — požadovat smazání údajů, pokud již nejsou potřebné.
- Právo na omezení zpracování — požadovat dočasné zastavení zpracování.
- Právo na přenositelnost — získat údaje ve strukturovaném strojově čitelném formátu (JSON).
- Právo vznést námitku — proti zpracování na základě oprávněného zájmu.
- Právo odvolat souhlas — u zpracování založeného na souhlasu, a to kdykoli, s účinností do budoucna.
- Právo podat stížnost u dozorového úřadu — Úřad pro ochranu osobních údajů (uoou.cz) nebo úřadu podle vašeho bydliště v EU.
Žádosti směřujte na privacy@hobbyo.cz. Reagujeme nejpozději do 30 dnů od doručení žádosti. V odůvodněných případech (složitost, množství žádostí) může být lhůta prodloužena o další dva měsíce s předchozím informováním žadatele.
8. Děti a mladiství
8.1 Služba je určena osobám starším 15 let. Toto je hranice podle § 7 zákona č. 110/2019 Sb. pro samostatný souhlas dítěte v kontextu služeb informační společnosti.
8.2 Nevědomky nezpracováváme údaje osob mladších 15 let. Pokud zjistíme, že jsme získali údaje takové osoby bez řádného souhlasu zákonného zástupce, údaje neprodleně smažeme.
8.3 Pokud se domníváte, že dítě mladší 15 let používá naši Službu, kontaktujte nás na privacy@hobbyo.cz.
9. Zabezpečení
9.1 Zavedli jsme přiměřená technická a organizační opatření k ochraně osobních údajů — zejména: - šifrované spojení (TLS / HTTPS) pro veškerou komunikaci; - šifrování hesel jednosměrnou hashovací funkcí; - řízení přístupových oprávnění pro administrátory; - pravidelné zálohování a monitorování logů; - oddělenou infrastrukturu pro produkci a testování.
9.2 V případě porušení zabezpečení osobních údajů (data breach), které představuje riziko pro vaše práva, vás budeme informovat bez zbytečného odkladu, pokud nám to bude prakticky možné.
10. Cookies a podobné technologie
Podrobné informace o používání cookies naleznete v samostatné Cookie politice [odkaz].
11. Analýzy a statistiky
11.1 Data o používání Služby můžeme agregovat a anonymizovat a používat pro zlepšení Služby a pro tvorbu statistických přehledů (např. nejoblíbenější typy aktivit v jednotlivých lokalitách).
11.2 Tyto agregované statistiky mohou být poskytovány třetím stranám (např. obcím, provozovatelům veřejných prostor) — vždy výhradně ve formě, která neumožňuje zpětnou identifikaci jednotlivých uživatelů.
11.3 Právním základem je oprávněný zájem (čl. 6 odst. 1 písm. f GDPR). Proti tomuto zpracování můžete vznést námitku.
12. Změny těchto Zásad
12.1 Tyto Zásady můžeme čas od času aktualizovat. O významných změnách vás budeme informovat e-mailem nebo prostřednictvím oznámení ve Službě nejméně 30 dní před účinností.
12.2 Aktuální verze je vždy dostupná na [odkaz na privacy policy].
12.3 Historické verze jsou dostupné na vyžádání na privacy@hobbyo.cz.
13. Kontakt
Pro dotazy, stížnosti nebo uplatnění práv:
- E-mail: privacy@hobbyo.cz
- Poštou: Tobiáš Štancel, Plzeňská 2298/170, 150 00 Praha 5
Nebo u dozorového úřadu: - Úřad pro ochranu osobních údajů - Pplk. Sochora 27, 170 00 Praha 7 - www.uoou.cz