Zásady ochrany osobních údajů

Správcem osobních údajů je provozovatel služby Ardet, fyzická osoba podnikající. Kontaktní e-mail pro dotazy, žádosti, námitky, odvolání souhlasu a hlášení incidentů je [email protected]. Pověřenec pro ochranu osobních údajů nebyl jmenován.

Cílem tohoto dokumentu je splnit informační povinnost vůči subjektům údajů a srozumitelně popsat, jaké údaje služba zpracovává, proč je zpracovává, z jakého právního důvodu, komu je zpřístupňuje, jak dlouho je uchovává a jaká práva máte.

• GDPR: Nařízení Evropského parlamentu a Rady (EU) 2016/679, zejména čl. 5 (zásady zpracování), čl. 6 (právní důvody), čl. 7 (souhlas), čl. 9 (zvláštní kategorie údajů), čl. 12 až 14 (transparentnost a informační povinnost), čl. 15 až 22 (práva subjektu údajů), čl. 28 (zpracovatelé), čl. 32 (zabezpečení), čl. 44 až 49 (předávání do třetích zemí).
• Česká úprava: Zákon č. 110/2019 Sb., o zpracování osobních údajů, adaptuje GDPR v českém právním řádu. Dozorovým úřadem je Úřad pro ochranu osobních údajů podle čl. 51 GDPR a § 50 zákona č. 110/2019 Sb.
• Cookies a koncová zařízení: Ukládání nebo čtení údajů z koncového zařízení se řídí § 89 odst. 3 zákona č. 127/2005 Sb., o elektronických komunikacích. Netechnické cookies vyžadují předchozí prokazatelný souhlas.
• Elektronická komunikace: Pro newsletter a obdobná sdělení může být relevantní zákon č. 480/2004 Sb., o některých službách informační společnosti, zejména pravidla pro obchodní sdělení.
• Slovenský přesah: U uživatelů a akcí na Slovensku může být relevantní také zákon č. 18/2018 Z. z., o ochrane osobných údajov, vedle přímo použitelného GDPR.

Osobní údaje zpracováváme podle zásad čl. 5 GDPR: zákonnost, korektnost, transparentnost, účelové omezení, minimalizace údajů, přesnost, omezení uložení, integrita, důvěrnost a odpovědnost správce.

Prakticky to znamená, že údaje sbíráme jen pro konkrétní funkce služby, omezujeme přístupy podle rolí, uchováváme bezpečnostní logy, používáme technická opatření a snažíme se nevyžadovat údaje, které pro sportovní nebo provozní účel nepotřebujeme.

• Účet a identita: e-mail, jméno, přezdívka, přihlašovací jméno, hash hesla, preferovaný jazyk, ověření e-mailu, role, stav zákazu, datum vytvoření účtu, tokeny pro ověření, reset hesla a změnu e-mailu.
• Profil a sportovní údaje: sportovní role, členství v týmech, role a stav členství, žádosti o manažerskou roli, oblíbené týmy, popisy, motto, odkazy na Instagram, video nebo další dobrovolně vložené údaje.
• Organizace a týmy: názvy organizací, okres, kraj, země, týmová kategorie, název týmu, slug, stav schválení, otevřenost náboru, historie členství, úpravy týmu a související žádosti.
• Tratě: název, poloha, adresa, souřadnice, popis, povrch a štítky, fotografie, stav schválení, autor a historie verzí.
• Soutěže a ligy: název, datum, trať, typ soutěže, kategorie, popis, kontakty pořadatele, kapacity, pravidla, dokumenty, startovní listiny, rezervace, výsledky, odpovědi ve formulářích, stav úhrady startovného, zprávy lig, bodování a pořadí.
• Obsah a média: fotografie, loga, dokumenty, videa, Instagram odkazy, externí odkazy, popisky, náborové inzeráty, odpovědi ve formulářích, zprávy, komentované organizační texty a nahrané soubory.
• Technické údaje: IP adresa, user-agent, typ zařízení, prohlížeč, operační systém, navštívená cesta, metoda požadavku, referer, čas přístupu, relace, cookies, localStorage, kalendářové tokeny, API klíče ve formě hashe/prefixu a záznam o posledním použití.
• Bezpečnostní a auditní údaje: přihlášení, odhlášení, neúspěšné přihlášení, změny dat, akce administrátorů a správců, změny výsledků, rezervací, týmů, soutěží, API klíčů, kalendářů a dalších entit.
• Dobrovolné a citlivější funkce: newsletterový e-mail, S.O.S. nastavení včetně polohy a dosahu, pokud jej zapnete. Zvláštní kategorie osobních údajů podle čl. 9 GDPR záměrně nevyžadujeme; pokud je sami vložíte do volného textu, můžeme je odstranit.

• Registrace, přihlášení a správa účtu: účel: vytvoření účtu, přihlášení, ověření e-mailu, reset hesla, změna e-mailu, správa relací; právní důvod: čl. 6 odst. 1 písm. b) GDPR (plnění smlouvy) a písm. f) GDPR (bezpečnost).
• Provoz týmů, organizací, tratí, soutěží a lig: účel: poskytování hlavních funkcí služby, správa rolí, schvalování, veřejné zobrazení, evidence sportovní historie; právní důvod: čl. 6 odst. 1 písm. b) GDPR a písm. f) GDPR.
• Rezervace, startovní listiny, výsledky a formuláře: účel: přihlášení týmů do soutěží, organizace startů, losování, kapacity, výsledky, odpovědi pořadatelských formulářů, stav úhrady startovného; právní důvod: čl. 6 odst. 1 písm. b) GDPR, písm. f) GDPR a u pořadatelů případně vlastní právní důvod pořadatele.
• Veřejný sportovní archiv: účel: zachování výsledků, historie soutěží, lig a týmů; právní důvod: čl. 6 odst. 1 písm. f) GDPR (oprávněný zájem provozovatele, pořadatelů a sportovní komunity).
• Komunikace: účel: provozní e-maily, ověření, pozvánky, notifikace, odpovědi na dotazy, řešení incidentů; právní důvod: čl. 6 odst. 1 písm. b) GDPR a písm. f) GDPR.
• Newsletter: účel: zasílání novinek; právní důvod: čl. 6 odst. 1 písm. a) GDPR (souhlas) a pravidla zákona č. 480/2004 Sb. Souhlas můžete kdykoli odvolat odhlášením.
• S.O.S. člen: účel: dobrovolné zobrazení dostupnosti pomocníků podle polohy a dosahu; právní důvod: čl. 6 odst. 1 písm. a) GDPR (souhlas) nebo čl. 6 odst. 1 písm. b) GDPR, pokud funkci výslovně používáte jako součást služby. Funkci můžete vypnout.
• Bezpečnost, logy, audit a prevence zneužití: účel: ochrana účtů, služeb, dat, API a infrastruktury, vyšetření incidentů, rate limiting, správa oprávnění; právní důvod: čl. 6 odst. 1 písm. f) GDPR a případně čl. 6 odst. 1 písm. c) GDPR.
• Právní povinnosti a nároky: účel: splnění zákonných povinností, komunikace s úřady, obhajoba právních nároků; právní důvod: čl. 6 odst. 1 písm. c) GDPR a písm. f) GDPR.
• Volitelné analytické cookies: účel: měření návštěvnosti a zlepšování služby; právní důvod: čl. 6 odst. 1 písm. a) GDPR a § 89 odst. 3 zákona č. 127/2005 Sb., pokud nejde o technicky nezbytné uložení.

• Zobrazení veřejnosti: veřejně zobrazujeme údaje, které dávají sportovní a organizační smysl: týmy, organizace, ligy, tratě, soutěže, termíny, výsledky, startovní listiny, body, dokumenty, fotky, videa, odkazy a nábory.
• Role a oprávnění: přístup k neveřejným akcím a administraci omezujeme podle role uživatele, členství v týmu, vlastnictví ligy, správy soutěže, správy trati nebo administrátorského oprávnění.
• Nahrané soubory: fotografie, dokumenty a loga ukládáme do souborového úložiště a propojujeme s příslušnou soutěží, ligou, týmem nebo tratí. U nahraného obsahu může být evidován uživatel, který jej vložil.
• Kalendáře: kalendářový export používá neveřejný token v odkazu. Token je určen k tomu, aby externí kalendář mohl načíst události; kdo token zná, může export číst.
• API: API klíče ukládáme bezpečnostně jako hash a prefix. Přístup přes API může být auditován a omezen podle oprávnění.
• Logování: přístupové logy, přihlašovací logy a auditní logy nám pomáhají řešit bezpečnost, zneužití, spory o změny dat a provozní chyby.
• Automatizace: některé úlohy běží automaticky, například úklid starých logů, expirace náborů, finalizace rezervací nebo plánované údržbové úlohy. Neprovádíme automatizované individuální rozhodování s právními nebo obdobně významnými účinky podle čl. 22 GDPR.

Údaje získáváme přímo od vás, z vašeho používání služby, z cookies a logů, od uživatelů s oprávněním spravovat týmy, soutěže, ligy nebo tratě, případně z veřejně dostupných sportovních zdrojů či podkladů dodaných pořadateli.

Pokud údaje nezískáme přímo od vás, plníme informační povinnost podle čl. 14 GDPR přiměřeně povaze služby; typicky jde o údaje vkládané pořadatelem, manažerem týmu nebo správcem ligy.

Údaje zpřístupňujeme pouze v rozsahu potřebném pro provoz služby: poskytovatelům hostingu, databáze, úložiště, e-mailových služeb, bezpečnostních nástrojů, analytiky, zálohování, administrace a osobám, které nám s provozem pomáhají.

Veřejné údaje z profilů, soutěží, tratí, výsledků, lig, médií a náborů jsou dostupné návštěvníkům webu a mohou být indexovány vyhledávači, pokud stránka není technicky vyloučena z indexace.

Služba může obsahovat odkazy nebo vložený obsah třetích stran, například YouTube, Instagram, mapové služby nebo externí kalendářové aplikace. Po otevření takového obsahu se může uplatnit zpracování dané třetí strany.

Pořadatel soutěže, správce ligy nebo manažer týmu může být pro část údajů samostatným správcem nebo společným správcem, zejména pokud určuje, jaké údaje ve formuláři sbírá, jak používá kontakty účastníků, jak nakládá s platbami startovného, fotografiemi, výsledky nebo dokumenty.

V takovém případě odpovídá za vlastní právní důvod, informační povinnost, přesnost a přiměřenost údajů také tento pořadatel nebo správce. Ardet poskytuje technické prostředí a může být vůči němu v některých situacích zpracovatelem nebo samostatným správcem podle konkrétního kontextu.

Pokud některý poskytovatel infrastruktury, e-mailu, analytiky, bezpečnostních nástrojů nebo vloženého obsahu zpracovává údaje mimo Evropskou unii nebo Evropský hospodářský prostor, používáme vhodné záruky podle čl. 44 až 49 GDPR, zejména rozhodnutí o odpovídající ochraně nebo standardní smluvní doložky, pokud jsou použitelné.

U externích služeb, které otevřete vlastním kliknutím, může být předání řízeno také podmínkami a zásadami dané třetí strany.

• Hesla ukládáme jako hash, nikoli v čitelné podobě.
• Relace, bezpečnostní tokeny, API klíče a kalendářové tokeny navrhujeme tak, aby omezily dopady úniku; uživatel je ale musí chránit před zveřejněním.
• Přístupy k administraci a citlivějším funkcím jsou omezeny rolemi.
• Používáme logování, audit změn, rate limiting a bezpečnostní hlavičky tam, kde je to vhodné.
• Žádné technické opatření není absolutní. Při podezření na únik nebo zneužití nás kontaktujte na [email protected].

• Účet: po dobu existence účtu a následně v nezbytném rozsahu pro právní nároky, bezpečnost, audit a zachování sportovní historie.
• Veřejné sportovní záznamy: výsledky, soutěže, ligy, tratě a týmová historie mohou být uchovány dlouhodobě jako sportovní archiv, pokud nepřevažují práva subjektu údajů nebo zákonný důvod pro výmaz.
• Rezervace a formuláře: po dobu potřebnou pro organizaci soutěže, řešení sporů, výsledkový archiv a oprávněné zájmy pořadatele nebo provozovatele.
• Přístupové logy: standardně 90 dnů, pokud není potřeba delší uchování kvůli incidentu nebo právnímu nároku.
• Přihlašovací a auditní logy: standardně 365 dnů, pokud není potřeba delší uchování kvůli bezpečnosti, sporu nebo právnímu nároku.
• Newsletter: do odhlášení nebo zániku účelu; záznam o odhlášení můžeme držet pro doložení, že další sdělení nemáme posílat.
• Cookies souhlas: obvykle až 365 dnů, pokud jej dříve neodvoláte nebo nesmažete.
• S.O.S. poloha: po dobu zapnutí funkce nebo do změny/odstranění nastavení.
• API klíče a kalendářové tokeny: po dobu jejich existence; po zrušení může zůstat auditní záznam o použití nebo změně.

Účet můžete odstranit v nastavení profilu. Při výmazu se odstraní účet a členství v týmech; některé vazby, které musí zůstat kvůli integritě soutěží, výsledků a auditní historie, mohou být anonymizovány, převedeny na technického zástupného uživatele nebo zachovány bez přímé identifikace původního uživatele.

Výmaz účtu nemusí odstranit veřejné sportovní výsledky, historické startovní listiny, ligová pořadí, dokumenty nebo obsah, který je nezbytný pro oprávněný archivní a organizační účel. Každou žádost o odstranění konkrétního obsahu posuzujeme individuálně.

• Přístup: čl. 15 GDPR: můžete chtít potvrzení, zda zpracováváme vaše údaje, a kopii údajů.
• Oprava: čl. 16 GDPR: můžete požadovat opravu nepřesných nebo doplnění neúplných údajů.
• Výmaz: čl. 17 GDPR: můžete požadovat výmaz, pokud jsou splněny podmínky; právo není absolutní, zejména u právních nároků, bezpečnosti a sportovního archivu.
• Omezení: čl. 18 GDPR: můžete požadovat omezení zpracování v zákonem stanovených situacích.
• Přenositelnost: čl. 20 GDPR: u údajů zpracovaných na základě souhlasu nebo smlouvy a automatizovaně můžete chtít strojově čitelný výstup, pokud je to technicky možné.
• Námitka: čl. 21 GDPR: můžete vznést námitku proti zpracování na základě oprávněného zájmu.
• Souhlas: čl. 7 GDPR: souhlas můžete kdykoli odvolat; odvolání nemá vliv na zákonnost zpracování před odvoláním.
• Automatizované rozhodování: čl. 22 GDPR: máte práva ve vztahu k automatizovanému individuálnímu rozhodování; takové rozhodování s právními nebo obdobně významnými účinky neprovádíme.

Napište na [email protected]. Kvůli ochraně účtu můžeme požádat o ověření totožnosti nebo doplňující informace. Žádosti vyřizujeme bez zbytečného odkladu, zpravidla do jednoho měsíce podle čl. 12 GDPR; ve složitých případech lze lhůtu prodloužit podle GDPR.

Pokud se žádost týká údajů vložených pořadatelem, správcem ligy nebo manažerem týmu, můžeme vás odkázat také na tuto osobu nebo žádost řešit společně podle konkrétní role správce.

Máte právo podat stížnost u Úřadu pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, web: https://uoou.gov.cz. Pokud se věc týká Slovenska, můžete se obrátit také na Úrad na ochranu osobných údajov Slovenskej republiky, web: https://dataprotection.gov.sk.

Technické cookies a podobné technologie používáme pro přihlášení, zabezpečení, jazyk, souhlas a základní funkce. Volitelné analytické cookies používáme pouze se souhlasem, pokud jsou v aplikaci zapojené. Podrobnosti jsou v samostatných zásadách používání cookies.