Zásady ochrany osobních údajů
Správce a aplikace: Správce osobních údajů je Štěpán Dolejší, IČO 09912959, Na Pláništích 732, 373 44 Zliv, e-mail: stepandolejsi@gmail.com. Tyto Zásady upravují zpracování osobních údajů uživatelů aplikace Šprtík (sprtik.cz) provozované Správcem. Aplikace je určena výhradně osobám, které dosáhly věku 16 let.
1. Účel a rozsah zpracování
Zásady popisují, jaké osobní údaje Správce zpracovává, za jakým účelem, na jakém právním základě, komu se údaje předávají, na jak dlouho se uchovávají, jaká práva mají uživatelé a jak je zajištěna bezpečnost údajů. Aplikace slouží k digitálnímu studiu pro studenty; její funkce zahrnují tvorbu kartiček, jazykové kurzy, interaktivní studijní sezení, přírodovědné lekce, extrakce textu z fotografií a další výukové moduly. Všechny tyto funkce jsou nadále v současné verzi aplikace k dispozici a odpovídající údaje se zpracovávají v rozsahu zde popsaném.
2. Definice
· Uživatel: fyzická osoba starší 16 let, která používá aplikaci Šprtík a přihlašuje se pomocí Google OAuth (uvede e‑mail a jméno). Při registraci uživatel potvrdí souhlas s obchodními podmínkami a věkovou hranicí.
· Osobní údaj: jakákoli informace o fyzické osobě, která ji identifikuje nebo může identifikovat.
· Zpracování: jakákoli operace s osobními údaji (shromažďování, ukládání, přenos, třídění, mazání apod.).
· Zpracovatel: externí subjekt, který zpracovává osobní údaje pro Správce (např. OpenAI, Supabase, Stripe, Vercel, Google).
· Kredity: virtuální body bez peněžní hodnoty sloužící k aktivaci AI funkcí v aplikaci.
· Záznam souhlasu: technický záznam o udělení souhlasu uživatele s podmínkami a věkovým prohlášením při registraci (obsahuje e-mail, datum a čas registrace, potvrzení podmínek a věku).
3. Věkové omezení
Aplikaci mohou používat výhradně osoby, které dosáhly věku 16 let. Osobám mladším 16 let je používání aplikace zakázáno bez výjimky. Uživatel potvrzením souhlasu při registraci prohlašuje, že tento věk dosáhl. Správce věk technicky neověřuje, avšak spoléhá na pravdivost tohoto prohlášení. Pokud Správce zjistí nebo bude mít důvodné podezření, že uživatel nedosáhl věku 16 let, je oprávněn jeho účet okamžitě zrušit a vymazat veškerá jeho data.
4. Způsob vzniku uživatelského účtu
Účet se vytváří automaticky při přihlášení do aplikace prostřednictvím Google OAuth. Bez přihlášení pomocí Google není možné aplikaci používat. Při tomto procesu Správce získává z Google údaje:
- e-mailová adresa,
- display name (jméno uživatele),
- avatar (URL profilového obrázku),
- čas vytvoření účtu.
Tyto údaje jsou uloženy v databázi Supabase (EU/USA) a slouží k identifikaci a správě účtu.
Při registraci je zároveň vytvořen záznam o souhlasu uživatele (user_consent_records), který obsahuje e-mailovou adresu, datum a čas registrace, potvrzení souhlasu s obchodními podmínkami a potvrzení věkové hranice. Tento záznam slouží jako doklad o splnění zákonných povinností Správce a je uchováván i po smazání účtu po dobu 3 let od smazání účtu.
5. Druhy zpracovávaných údajů
1. Identifikační údaje: e-mail, uživatelské jméno a profilový obrázek z Google, datum vytvoření účtu.
2. Uživatelský obsah: text poznámek nahraných uživatelem (včetně názvů poznámek a složek, zvýrazněného textu), AI-generovaná shrnutí, obsah a otázky vygenerovaných kvízů, odpovědi uživatele v kvízech, generované kartičky a výsledky jejich procvičování, obsah interaktivních studijních sezení (včetně chatů a dialogů se systémem), data z jazykových kurzů (slovíčka, gramatika, překlady, konverzační moduly) a přepisy rozhovorů s AI. Uživatel plně odpovídá za obsah, který do aplikace vloží, zejména za zákonnost sdílení osobních údajů třetích osob v nahraných textech, dokumentech či fotografiích.
3. Záznamy souhlasů: e-mailová adresa, datum a čas registrace, technický záznam o potvrzení obchodních podmínek a věkové hranice. Tyto záznamy slouží výhradně k prokázání splnění zákonných povinností Správce a jsou uchovávány anonymizovaně i po smazání účtu.
4. Dočasné soubory a metadata: nahrané dokumenty (.docx, .txt), fotografie textu (učebnice, ručně psané poznámky), nahrané audio a video soubory určené pro převod řeči na text, a technická metadata těchto souborů (např. čas pořízení snímku). Tato data jsou dočasně uložena pouze pro správné zpracování (např. seřazení stránek dokumentu či převod řeči) a po zpracování jsou ihned smazána. Žádná technická metadata (čas nahrání, GPS u fotografie apod.) nejsou analyzována z obsahového hlediska, dlouhodobě ukládána ani použita k identifikaci osob.
5. Aktivity a statistiky: časové razítko vytvoření a úprav obsahu, statistiky používání aplikace (počet přihlášení, využití funkcí), statistiky nahrávání souborů. Tyto údaje slouží pro analýzu a zlepšení výkonu aplikace a jsou uchovávány krátkodobě (obvykle do 30 dnů) podle [11] a interních logů.
6. Finanční údaje: identifikátory z platebního systému Stripe (Stripe Customer ID, Subscription ID), historie kreditních transakcí a použité referral kódy. Přímé platební údaje (číslo karty) Správce nikdy nevidí ani neukládá. Platební operace probíhají přes Stripe Payments Europe (EU/USA). Zpracování úloh na pozadí (synchronizace předplatného) zajišťuje Trigger.dev (USA/EU). Tyto údaje se uchovávají z důvodu právních daňových a účetních povinností po dobu 7 let.
7. Technické údaje: IP adresa uživatele, informace o zařízení, operačním systému, prohlížeči, případně zeměpisné oblasti (stát/region, nikoli přesná GPS), časy návštěv stránek, logy serverových požadavků. Tyto údaje jsou nezbytné pro zajištění provozu, bezpečnosti (detekce útoků, rate limiting) a výkonu služby. IP adresy a jiné přechodné logy jsou uchovávány krátkodobě (u IP standardně 30 dnů, v analýzách anonymizovaně).
6. Účely zpracování a právní základy
1. Poskytování služby (plnění smlouvy, čl. 6 odst. 1 písm. b GDPR): zahrnuje zřízení a správu uživatelského účtu, ukládání poznámek, generování AI shrnutí, kvízů, kartiček a lekcí, zpřístupnění prémiových funkcí po zaplacení předplatného, sledování historie kreditů, a také automatické seřazení nahraných fotografií či stránek dokumentů podle data (pro správný tok textu při jeho extrakci). Tyto operace jsou nezbytné pro technické poskytování služby, uživatel se do aplikace přihlásil, aby je mohl využívat.
2. Zpracování plateb (plnění smlouvy): správa a evidenci předplatného prostřednictvím platební brány Stripe (EU/USA). Systém provádí opakované platby podle zvolené varianty (měsíční, čtvrtletní, roční), eviduje platby a umožňuje vystavení daňových dokladů. Tyto operace jsou dány smlouvou o poskytování služby a zákonnými povinnostmi Správce (DPH, účetnictví).
3. Analytika a zlepšování služby (oprávněný zájem, čl. 6 odst. 1 písm. f GDPR): sledování výkonu aplikace (monitoring chyb, rychlosti), shromažďování souhrnných anonymizovaných statistik využití funkcí, návštěvnosti a chování uživatelů (např. prostřednictvím Google Analytics a Vercel Analytics). Cílem je optimalizovat a rozvíjet služby, opravovat chyby a zvyšovat uživatelský komfort.
4. Bezpečnost (oprávněný zájem): zpracovávání IP adres a bezpečnostních logů pro prevenci útoků (DDoS, hrubá síla), filtrování škodlivých požadavků (firewall), a detekci anomálií či podvodů. Tyto technická opatření chrání uživatele i server před zneužitím.
5. Zpracování nahraného obsahu třetích osob: Uživatel může nahrávat do aplikace dokumenty či fotografie obsahující osobní údaje třetích osob (např. rodinných příslušníků, spolužáků). Toto zpracování se uskutečňuje také na základě plnění smlouvy (bez nahrání obsahu by nebylo možné generovat shrnutí, kvízy či překlady) a je omezováno na čistě technické operace potřebné pro službu. Aplikace neprovádí žádné vlastní vyhodnocení osobních údajů třetích osob, jen je automatizovaně předává do AI servisu (OpenAI) a vrací potřebný výstup (shrnutí, testy apod.). Správce ani AI neprovádějí profilování či rozhodování o osobách na základě těchto údajů. Uživatel nese plnou odpovědnost za to, že má k takovému zpracování obsahového práva a souhlasy (např. souhlas rodiče za dítě).
6. Oprávněné zájmy Správce (čl. 6 odst. 1 písm. f GDPR): ochrana a zajištění spolehlivého a výkonného provozu aplikace, kompatibilita se standardy webových technologií, technická údržba a diagnostika provozu, oprava chyb, údržba serverů. Pokud by k tomu docházelo zpracováním osobních dat, je to prováděno pouze v nejnutnějším rozsahu pro zajištění bezpečného provozu.
7. Komunikace s uživatelem (plnění smlouvy): Správce je oprávněn uživatele kontaktovat prostřednictvím e-mailové adresy uvedené při registraci za účelem oznámení změn služby či podmínek, změn ceny předplatného, technických oznámení (výpadek, údržba), novinek či jiných informací souvisejících s plněním smlouvy, včetně informací o změnách funkcionality aplikace, bezpečnostních upozornění a změnách kreditního systému. Tyto zprávy se považují za reakcí na smluvní vztah a plnění požadavků uživatele, nikoli za obchodní sdělení v užším smyslu (nařízení GDPR i zákon č. 480/2004 Sb. rozlišují běžnou komunikaci při poskytování služby od nevyžádaného marketingu). Podle ÚOOÚ nejsou zprávy odpovídající odpovědi na konkrétní uživatelský požadavek či plnění služby považovány za reklamní[2]. Proto není k zasílání těchto informací potřeba další souhlas uživatele.
7. Omezení a doporučení k nahrávanému obsahu
Aplikace není určena k zpracování zvláštních citlivých osobních údajů (zdravotní stav, biometrie, náboženství, politické názory, údaje o sexuálním životě apod.). Pokud uživatel takové údaje nahrne, postupuje v rozporu se Zásadami a činí tak na vlastní odpovědnost. Správce nebude tyto údaje specificky analyzovat nebo ukládat.
Dále aplikace není určena pro zpracování fotografií obsahujících jasně identifikovatelné obličeje třetích osob, osobních dokladů, citlivých dokumentů třetích osob či jiného obsahu chráněného zákonem (autorská práva atd.). Uživatel je povinen dodržovat zákony a respektovat práva třetích stran – za jakoukoli protizákonnou aktivitu vkládaného obsahu nese plnou odpovědnost on sám.
Uživatel bere na vědomí, že nahráváním fotografií, audio nebo video souborů do aplikace může nevědomky zpracovávat osobní údaje nebo citlivé osobní údaje třetích osob (např. biometrické údaje – rozpoznatelné obličeje na fotografiích, hlasové záznamy). Veškerá odpovědnost za obsah takto nahraných souborů leží výhradně na uživateli. Správce obsah těchto souborů analyzuje pouze automatizovaně v rozsahu nezbytném pro poskytnutí požadované funkce (extrakce textu, přepis audia) a po zpracování jej ihned maže. Správce nenese žádnou odpovědnost za to, jaké osobní údaje třetích osob uživatel do aplikace nahraje.
8. Předávání osobních údajů
Správce předává osobní údaje výhradně vyjmenovaným zpracovatelům potřebným pro provoz aplikace:
- OpenAI, Inc. (USA) – zpracovatel AI operací (generování shrnutí, kvízů, kartiček, překlady, dialogy, převod řeči na text). Předávaný obsah: text poznámek, nahrané fotografie, texty dokumentů, obsah chatů, audio soubory k transkripci. OpenAI dle svých zásad (API terms) nevyužívá data pro trénink svých modelů. Po odeslání výsledku jsou data ihned z bufferu odstraněna.
- Supabase, Inc. (USA/EU) – poskytovatel databázového úložiště, autentizačních služeb a objektového úložiště. Zde jsou uloženy uživatelské záznamy, poznámky, soubory a metadata.
- Vercel, Inc. (USA/EU) – hosting a front-end server aplikace, shromažďuje anonymizované logy výkonu a návštěvnosti (Vercel Analytics).
- Stripe Payments Europe & Stripe, Inc. (EU/USA) – platby a správa předplatných. Zpracovávají se ID zákazníka a informace o platbách (platební údaje jsou uloženy u Stripe, Správce je nevidí).
- Google Ireland Ltd. / Google LLC (USA/EU) – poskytovatel autentizační služby Google OAuth. Při přihlášení jsou Google předány pouze technické parametry OAuth procesu; Google poskytuje Správci e-mail, jméno a profilový obrázek uživatele. Google má vlastní zásady ochrany osobních údajů dostupné na policies.google.com.
- Trigger.dev (USA/EU) – platforma pro zpracování úloh na pozadí (např. synchronizace dat).
Žádná osobní data nejsou prodávána třetím stranám. Přenos do zemí mimo EU (USA) je kryt Standardními smluvními doložkami (SCC) podle čl. 46 GDPR a dalšími bezpečnostními opatřeními poskytovatelů služeb. Správce dbá na adekvátní technická a organizační opatření pro ochranu dat (šifrování, omezený přístup, monitoring, aktualizace).
9. Doba uchování údajů
· Uživatelský účet a identifikační údaje: po celou dobu existence účtu. Při smazání účtu na žádost uživatele se účet a jeho uživatelská data ihned odstraní (s výjimkou zákonem povinně uchovávaných záznamů).
· Uživatelský obsah (poznámky, kvízy, chaty atd.): po celou dobu existence příslušné poznámky či účtu, do smazání uživatelem.
· Dočasné soubory: okamžitě po zpracování (odeslání do AI nebo extrakci textu).
· Finanční údaje: 7 let z důvodu daňových a účetních předpisů.
· Technické logy: IP adresy – 30 dní; Vercel analytické logy – 30 dní; Supabase logy – 7 dní; výstupy AI – 30 dní (OpenAI umožňuje přístup k logům max. 30 dnů); Stripe transakční záznamy – 7 let (platební brány). Statistické údaje o používání – 30 dní.
· Neaktivní účty: Účet neaktívní (bez přihlášení) 24 měsíců může Správce odstranit.
Záznamy o udělených souhlasech a potvrzení podmínek (časová razítka registrace) jsou uchovávány anonymizovaně po dobu 3 let od smazání účtu, a to z důvodu možného správního řízení ze strany dozorového úřadu a prokázání splnění zákonných povinností Správce.
10. Bezpečnost zpracování
Správce používá přiměřená technická opatření: zabezpečené připojení (HTTPS), šifrování databází, omezený přístup k serverům a datům, pravidelné aktualizace, logování bezpečnostních událostí a monitorování systému. I přes veškerou péči nelze zaručit absolutní bezpečnost, ale jsou uplatňovány běžné průmyslové standardy.
10.1 Automatizované rozhodování a profilování
Aplikace neprovádí žádné automatizované individuální rozhodování ani profilování osob s právním dopadem (čl. 22 GDPR). Technologie AI může generovat nepřesné nebo neúplné výsledky (shrnutí, testy, překlady či odpovědi v konverzacích). Výstupy AI jsou určeny pouze jako studijní pomůcka a asistenční nástroj; Správce jejich úplnost, aktuálnost ani bezchybnost nezaručuje. Uživatel nezískává žádné právní nebo jiné závazné rozhodnutí ani garanci úspěchu u zkoušky díky AI obsahu.
10.2 Postup při porušení zabezpečení osobních údajů
V případě bezpečnostního incidentu (únik, neoprávněný přístup nebo zničení osobních údajů) postupuje Správce v souladu s čl. 33 a 34 GDPR. Pokud incident pravděpodobně představuje riziko pro práva a svobody fyzických osob, oznámí Správce incident Úřadu pro ochranu osobních údajů do 72 hodin od jeho zjištění. Pokud incident pravděpodobně představuje vysoké riziko pro dotčené osoby, informuje Správce bez zbytečného odkladu také přímo dotčené uživatele prostřednictvím e-mailu na adresu uvedenou při registraci, s popisem povahy incidentu a doporučenými opatřeními.
11. Práva uživatele
Uživatel má práva dle GDPR: na přístup k osobním údajům, opravu, vymazání, omezení zpracování, přenositelnost a vznést námitku proti zpracování. Žádosti o výkon práv (zejména přístup k datům, jejich opravu, vymazání nebo přenositelnost) uplatňuje uživatel e-mailem na stepandolejsi@gmail.com. Pro účely práva na přenositelnost Správce poskytne data v běžně používaném strojově čitelném formátu (JSON nebo CSV) do 30 dnů od doručení žádosti. Nemá-li Správce právní důvod data dále zpracovávat (požadavek, zákonná povinnost), odstraní je. Uživatel má také právo podat stížnost u dozorového úřadu (Úřad pro ochranu osobních údajů, Pplk. Sochora 27, Praha 7). Správce odpoví na žádost o informace do 30 dnů (v opodstatněných případech do 3 měsíců). Uživatel může kdykoli odvolat svůj souhlas (pokud je nějaké zpracování založeno na souhlasu) – odvolání však neovlivní zpracování provedené před odvoláním. Pro zpracování na základě oprávněného zájmu má uživatel právo kdykoli vznést námitku a Správce toto zpracování ukončí, pokud nemá vážné oprávněné důvody pro jeho pokračování.
Webové stránky dozorového úřadu: www.uoou.cz.
12. Zdroj údajů
Veškeré údaje spravuje Správce přímo od uživatele (prostřednictvím registrace a používání aplikace). Správce nevyhledává údaje od třetích osob, ani je nečerpá z veřejně dostupných zdrojů.
13. Smazání účtu
Uživatel může účet smazat kdykoli v nastavení aplikace („Smazat účet“). Proces vyžaduje zadání potvrzovacího textu („SMAZAT ÚČET"), po jehož stisku jsou data okamžitě a trvale vymazána. Zároveň získá potvrzení o smazání e-mailem. Po smazání účtu se již uživatel nemůže přihlásit. Osobní údaje jsou tedy vymazány v souladu se Zásadami (s výjimkou finančních záznamů uchovávaných 7 let).
14. Předání třetí osobě
Správce neposkytuje a neprodává osobní údaje žádným dalším subjektům mimo výše uvedené zpracovatele. V případě prodeje nebo převodu provozu aplikace budou uživatelská data předána novému správci, o čemž budou uživatelé informováni nejméně 15 dní předem (e-mailem nebo oznámením v aplikaci).
15. Cookies
Aplikace používá následující kategorie cookies a podobných technologií:
- Technické cookies (nezbytné): pro fungování aplikace, přihlášení a provoz (session tokeny, autentizační tokeny Google/Supabase, bezpečnostní značky). Umožňují uživateli přihlášení, správu relace, navigaci v aplikaci a detekci útoků. Bez těchto cookies by aplikace nefungovala. Příkladem jsou cookies pro relaci (Supabase session) či uložení stavu UI (např. cookie sidebar_state pro stav bočního panelu po dobu 7 dnů) či nastavení vzhledu (localStorage theme pro světlý/tmavý režim, trvalá). Právním základem je nezbytnost pro poskytnutí služby. Uživatel nemůže tyto cookies odmítnout bez ztráty funkčnosti.
- Analytické cookies (na základě souhlasu): Google Analytics 4 a Vercel Analytics. Sběr anonymizovaných údajů o používání aplikace (anonymizovaná IP, jazyk, typ zařízení a prohlížeče, události užití, doba na stránce, výkon serveru apod.) za účelem zlepšování služby. Bez souhlasu uživatele se tyto skripty nespustí (při vstupu do aplikace se zobrazí banner pro souhlas). Právním základem je udělený souhlas.
- Marketingové cookies (na základě souhlasu): pro cílenou reklamu mimo aplikaci. V současnosti se používají:
- Meta Pixel (Facebook Pixel): sleduje interakce v aplikaci pro účely remarketingu (př. návštěva stránek, kliky), zaznamenává anonymizovaná data o zařízení a chování. Meta tyto údaje může zkombinovat s dalšími informacemi přiřazenými k uživatelskému účtu Meta.
- TikTok Pixel: sbírá informace o návštěvách a interakcích v aplikaci za účelem měření konverzí a remarketingu. Zaznamenává anonymizovanou IP, údaje o zařízení, aktivitu uživatele v aplikaci a může data kombinovat s uživatelským účtem TikTok.
Použití analytických a marketingových cookies vyžaduje souhlas uživatele. Bez souhlasu nebudou žádné další externí skripty nahrány.
Podrobné informace o všech používaných cookies, jejich poskytovateli, době uchování a způsobu udělení a odvolání souhlasu jsou k dispozici v samostatných Zásadách cookies na sprtik.cz/cookies.
16. Pověřenec pro ochranu osobních údajů
Správce pověřence (DPO) nejmenoval, protože podle GDPR se tato povinnost vztahuje jen na organizace, které provádějí rozsáhlé systematické sledování nebo rozsáhlé zpracování citlivých údajů. Jelikož aplikace Šprtík zpracovává pouze nezbytný rozsah uživatelských dat pro běžný provoz digitální služby a neobsahuje zvláštní kategorie údajů ve velkém měřítku, povinnost DPO nevznikla.
17. Kontakt na správce
Věci týkající se ochrany osobních údajů je možné konzultovat se Správcem na e-mailu stepandolejsi@gmail.com nebo písemně na adrese Správce uvedené výše.
18. Závěrečná ustanovení
Správce si vyhrazuje právo aktualizovat tyto Zásady (např. při změnách funkčnosti aplikace nebo právních předpisů). Aktuální znění vždy nalezne uživatel na webu sprtik.cz/zasady-ochrany-osobnich-udaju. Tyto Zásady nabývají účinnosti dnem jejich zveřejnění v aplikaci.
Zpracování osobních údajů se řídí nařízením (EU) 2016/679 (GDPR) a zákonem č. 110/2019 Sb., o zpracování osobních údajů, ve znění pozdějších předpisů. Tyto Zásady byly naposledy aktualizovány dne 29.3.2026.
