Ochrana soukromí

V rámci poskytování Služby shromažďujeme následující kategorie osobních údajů: a) Identifikační a kontaktní údaje: • E-mailová adresa (pro registraci a komunikaci) • Zobrazované jméno (volitelné) • Profilový obrázek (volitelné) b) Přihlašovací údaje: • Heslo (ukládáno výhradně v hashované podobě pomocí bcrypt) • Refresh tokeny pro autentizaci c) Údaje o využívání Služby: • Historie konverzací s AI • Záznamy v osobním deníku • Statistiky pokroku a výsledky hodnocení • Nastavení a preference uživatele (včetně souhlasu s notifikacemi) • Údaje o gamifikaci (body, úspěchy, úrovně) d) Technické a provozní údaje: • IP adresa • Typ a verze prohlížeče • Operační systém a typ zařízení • Časová zóna a jazykové nastavení • Datum a čas přístupu • Údaje o interakci s aplikací • Push notifikační token zařízení (při povolení push notifikací, zpracováváno přes OneSignal, Inc.) e) Platební údaje: • Zpracovávány výhradně prostřednictvím Stripe, Inc. • Správce nemá přístup k údajům o platebních kartách

Osobní údaje zpracováváme pro následující účely: a) Plnění smlouvy (čl. 6 odst. 1 písm. b) GDPR): • Poskytování a provoz Služby • Správa uživatelského účtu • Zpracování plateb a správa předplatného • Technická podpora a řešení problémů b) Oprávněný zájem (čl. 6 odst. 1 písm. f) GDPR): • Zlepšování a vývoj Služby • Analýza používání a optimalizace výkonu • Ochrana před podvody a zneužitím • Zajištění bezpečnosti Služby c) Plnění právních povinností (čl. 6 odst. 1 písm. c) GDPR): • Vedení účetní evidence • Plnění daňových povinností • Součinnost s orgány veřejné moci d) Souhlas (čl. 6 odst. 1 písm. a) GDPR): • Zasílání marketingových sdělení (pouze s výslovným souhlasem) • Preferenční cookies • Zasílání push notifikací na vaše zařízení (souhlas udělujete v nastavení profilu a kdykoli ho lze odvolat)

Osobní údaje uchováváme pouze po dobu nezbytnou pro účely, pro které byly shromážděny: a) Údaje o účtu: • Po dobu trvání účtu a 30 dnů po jeho smazání • Zálohy jsou mazány do 90 dnů b) Údaje o konverzacích a deníku: • Po dobu trvání účtu • Smazány do 30 dnů po smazání účtu c) Fakturační a platební údaje: • 10 let od provedení transakce (zákonná povinnost dle daňových předpisů) d) Technické logy: • IP adresy a přístupové logy: 90 dnů • Bezpečnostní logy: 1 rok e) Komunikace s podporou: • 3 roky od posledního kontaktu f) Cookies: • Nezbytné: po dobu relace • Preferenční: 1 rok Po uplynutí doby uchovávání jsou údaje nevratně smazány nebo anonymizovány.

Implementujeme komplexní technická a organizační opatření k ochraně vašich údajů: a) Technická opatření: • Šifrování veškeré komunikace pomocí TLS 1.3 • Hashování hesel algoritmem bcrypt s náhodnou solí • Šifrování citlivých dat v databázi (AES-256) • Pravidelné bezpečnostní zálohy • Firewall a ochrana proti DDoS útokům • Automatická detekce podezřelé aktivity b) Organizační opatření: • Přístup k údajům pouze na principu need-to-know • Pravidelná školení o ochraně údajů • Dokumentované bezpečnostní postupy • Plán reakce na bezpečnostní incidenty c) Infrastruktura: • Hosting v datových centrech certifikovaných dle ISO 27001 • Servery umístěné výhradně v EU (Německo, Nizozemsko) • Pravidelné penetrační testy a bezpečnostní audity

Používáme následující kategorie cookies: a) Nezbytné cookies (bez souhlasu): • Autentizační cookies pro přihlášení • Cookies pro zabezpečení (CSRF ochrana) • Cookies pro jazykové preference • Cookies pro správu relací b) Preferenční cookies (vyžadují souhlas): • Uložení uživatelských preferencí • Zapamatování nastavení zobrazení • Nastavení vzhledu a jazyka V současné době nepoužíváme analytické ani marketingové cookies třetích stran. Svůj souhlas můžete kdykoliv odvolat prostřednictvím nastavení cookies v aplikaci nebo v nastavení vašeho prohlížeče. Odmítnutí nezbytných cookies může omezit funkcionalitu Služby.

Osobní údaje můžeme sdílet s následujícími kategoriemi příjemců: a) Zpracovatelé (na základě smlouvy o zpracování): • Stripe, Inc. – zpracování plateb (USA) • Vercel, Inc. – hosting aplikace (EU region) • OpenAI, Inc. – zpracování AI konverzací (data jsou anonymizována) • OneSignal, Inc. – doručování push notifikací (USA); zpracování probíhá pouze tehdy, pokud jste push notifikace povolili v nastavení profilu b) Předávání do třetích zemí: • Stripe, OpenAI a OneSignal jsou společnosti se sídlem v USA • Předávání probíhá na základě standardních smluvních doložek (SCC) schválených Evropskou komisí • Implementována dodatečná ochranná opatření dle rozhodnutí Schrems II • Pravidelně posuzujeme adekvátnost ochrany údajů v přijímajících zemích c) Státní orgány: • Pouze na základě právního předpisu nebo rozhodnutí soudu • O každém požadavku vás budeme informovat, pokud to zákon nezakazuje Osobní údaje nikdy neprodáváme třetím stranám.

V rámci Služby využíváme umělou inteligenci (AI) následujícím způsobem: a) AI konverzace: • Vaše zprávy jsou zpracovávány AI modely třetích stran (OpenAI) • AI generuje odpovědi na základě vašich vstupů • Žádná rozhodnutí AI nemají právní účinky ani vás významně neovlivňují b) Zpětná vazba a hodnocení: • AI analyzuje vaše konverzace a poskytuje zpětnou vazbu • Skóre a hodnocení jsou pouze orientační a vzdělávací • Nepoužíváme AI k rozhodování o přístupu ke Službě c) Profilování: • Nepoužíváme automatizované rozhodování dle čl. 22 GDPR • Nepoužíváme profilování k marketingovým účelům • Statistiky a gamifikace slouží pouze k motivaci uživatele d) Vaše práva: • Máte právo na lidský přezkum jakéhokoliv hodnocení • Můžete požádat o vysvětlení, jak AI dospěla k určitému závěru • Kontaktujte nás na [email protected] DŮLEŽITÉ: AI odpovědi jsou generovány automaticky a mohou obsahovat nepřesnosti. Nespoléhejte na ně jako na odborné rady.

V případě narušení bezpečnosti osobních údajů postupujeme dle GDPR: a) Interní reakce: • Okamžitá identifikace a omezení incidentu • Vyhodnocení rozsahu a závažnosti narušení • Dokumentace incidentu b) Oznámení dozorovému úřadu (čl. 33 GDPR): • Do 72 hodin od zjištění narušení • Úřadu pro ochranu osobních údajů (ÚOOÚ) • Pokud narušení pravděpodobně povede k riziku pro práva subjektů údajů c) Oznámení subjektům údajů (čl. 34 GDPR): • Bez zbytečného odkladu • Pokud narušení pravděpodobně povede k vysokému riziku • E-mailem na adresu spojenou s účtem • Informace o povaze narušení a doporučených opatřeních d) Obsah oznámení: • Popis povahy narušení • Kontaktní údaje pověřence/kontaktní osoby • Pravděpodobné důsledky narušení • Opatření přijatá k řešení narušení • Doporučení pro zmírnění možných nepříznivých dopadů Vedeme evidenci všech narušení bezpečnosti osobních údajů.

Podle GDPR máte následující práva: a) Právo na přístup (čl. 15 GDPR): • Získat potvrzení o zpracování vašich údajů • Získat kopii zpracovávaných údajů • Informace o účelech, příjemcích a době uchování b) Právo na opravu (čl. 16 GDPR): • Opravit nepřesné údaje • Doplnit neúplné údaje c) Právo na výmaz (čl. 17 GDPR): • Požádat o smazání všech vašich údajů • Realizace do 30 dnů od žádosti • Možnost exportu dat před výmazem d) Právo na omezení zpracování (čl. 18 GDPR) e) Právo na přenositelnost (čl. 20 GDPR): • Export dat ve strojově čitelném formátu (JSON) • Dostupné v nastavení profilu f) Právo vznést námitku (čl. 21 GDPR) g) Právo podat stížnost: • U Úřadu pro ochranu osobních údajů (www.uoou.cz) • Pplk. Sochora 27, 170 00 Praha 7 Pro uplatnění práv kontaktujte: [email protected] Odpovíme do 30 dnů od obdržení žádosti.

Služba není určena osobám mladším 16 let. Vědomě neshromažďujeme osobní údaje od dětí mladších 16 let. Pokud zjistíte, že dítě mladší 16 let nám poskytlo osobní údaje bez souhlasu zákonného zástupce: • Okamžitě nás kontaktujte na [email protected] • Údaje budou neprodleně a nevratně smazány • Účet bude deaktivován Zákonní zástupci mohou kdykoliv požádat o informace o zpracování údajů jejich dětí nebo o jejich výmaz.

Tyto Zásady můžeme příležitostně aktualizovat. O změnách vás budeme informovat: • E-mailem na adresu spojenou s vaším účtem (u významných změn) • Oznámením v aplikaci • Aktualizací data "Poslední aktualizace" na této stránce Pokračováním v používání Služby po zveřejnění změn vyjadřujete souhlas s aktualizovanými Zásadami. Pokud se změnami nesouhlasíte, přestaňte Službu používat a požádejte o smazání účtu. Doporučujeme pravidelně kontrolovat tuto stránku.

Správce osobních údajů: Tomáš Budina IČO: 17905974 DIČ: CZ17905974 Kontakt pro záležitosti ochrany osobních údajů: E-mail: [email protected] Na vaše dotazy odpovíme nejpozději do 30 dnů.