Zásady ochrany osobných údajov

Správcom osobných údajov je prevádzkovateľ služby Ardet, fyzická osoba podnikajúca. Kontaktný e-mail pre otázky, žiadosti, námietky, odvolanie súhlasu a hlásenie incidentov je [email protected]. Zodpovedná osoba pre ochranu osobných údajov nebola vymenovaná.

Cieľom tohto dokumentu je splniť informačnú povinnosť voči dotknutým osobám a zrozumiteľne popísať, aké údaje služba spracúva, prečo ich spracúva, z akého právneho dôvodu, komu ich sprístupňuje, ako dlho ich uchováva a aké práva máte.

• GDPR: Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679, najmä čl. 5 (zásady spracúvania), čl. 6 (právne dôvody), čl. 7 (súhlas), čl. 9 (osobitné kategórie údajov), čl. 12 až 14 (transparentnosť a informačná povinnosť), čl. 15 až 22 (práva dotknutej osoby), čl. 28 (sprostredkovatelia), čl. 32 (bezpečnosť), čl. 44 až 49 (prenosy do tretích krajín).
• Česká úprava: Zákon č. 110/2019 Sb., o spracúvaní osobných údajov, adaptuje GDPR v českom právnom poriadku. Dozorným úradom je Úřad pro ochranu osobních údajů podľa čl. 51 GDPR a § 50 zákona č. 110/2019 Sb.
• Slovenská úprava: Pri slovenskom presahu môže byť relevantný zákon č. 18/2018 Z. z., o ochrane osobných údajov, popri priamo použiteľnom GDPR.
• Cookies a koncové zariadenia: Ukladanie alebo čítanie údajov z koncového zariadenia sa riadi najmä § 89 ods. 3 zákona č. 127/2005 Sb., o elektronických komunikáciách. Netechnické cookies vyžadujú predchádzajúci preukázateľný súhlas.
• Elektronická komunikácia: Pre newsletter a obdobné oznámenia môže byť relevantný zákon č. 480/2004 Sb., o niektorých službách informačnej spoločnosti, najmä pravidlá pre obchodné oznámenia.

Osobné údaje spracúvame podľa zásad čl. 5 GDPR: zákonnosť, korektnosť, transparentnosť, obmedzenie účelu, minimalizácia údajov, presnosť, obmedzenie uchovávania, integrita, dôvernosť a zodpovednosť správcu.

Prakticky to znamená, že údaje zbierame len pre konkrétne funkcie služby, obmedzujeme prístupy podľa rolí, uchovávame bezpečnostné logy, používame technické opatrenia a snažíme sa nevyžadovať údaje, ktoré pre športový alebo prevádzkový účel nepotrebujeme.

• Účet a identita: e-mail, meno, prezývka, prihlasovacie meno, hash hesla, preferovaný jazyk, overenie e-mailu, rola, stav zákazu, dátum vytvorenia účtu, tokeny pre overenie, reset hesla a zmenu e-mailu.
• Profil a športové údaje: športové roly, členstvo v tímoch, rola a stav členstva, žiadosti o manažérsku rolu, obľúbené tímy, popisy, motto, odkazy na Instagram, video alebo ďalšie dobrovoľne vložené údaje.
• Organizácie a tímy: názvy organizácií, okres, kraj, krajina, tímová kategória, názov tímu, slug, stav schválenia, otvorenosť náboru, história členstva, úpravy tímu a súvisiace žiadosti.
• Trate: názov, poloha, adresa, súradnice, popis, povrch a štítky, fotografie, stav schválenia, autor a história verzií.
• Súťaže a ligy: názov, dátum, trať, typ súťaže, kategórie, popis, kontakty organizátora, kapacity, pravidlá, dokumenty, štartové listiny, rezervácie, výsledky, odpovede vo formulároch, stav úhrady štartovného, správy líg, bodovanie a poradie.
• Obsah a médiá: fotografie, logá, dokumenty, videá, Instagram odkazy, externé odkazy, popisky, náborové inzeráty, odpovede vo formulároch, správy, organizačné texty a nahrané súbory.
• Technické údaje: IP adresa, user-agent, typ zariadenia, prehliadač, operačný systém, navštívená cesta, metóda požiadavky, referer, čas prístupu, relácia, cookies, localStorage, kalendárové tokeny, API kľúče vo forme hashu/prefixu a záznam o poslednom použití.
• Bezpečnostné a auditné údaje: prihlásenie, odhlásenie, neúspešné prihlásenie, zmeny dát, akcie administrátorov a správcov, zmeny výsledkov, rezervácií, tímov, súťaží, API kľúčov, kalendárov a ďalších entít.
• Dobrovoľné a citlivejšie funkcie: newsletterový e-mail, S.O.S. nastavenie vrátane polohy a dosahu, ak ho zapnete. Osobitné kategórie osobných údajov podľa čl. 9 GDPR zámerne nevyžadujeme; ak ich sami vložíte do voľného textu, môžeme ich odstrániť.

• Registrácia, prihlásenie a správa účtu: účel: vytvorenie účtu, prihlásenie, overenie e-mailu, reset hesla, zmena e-mailu, správa relácií; právny dôvod: čl. 6 ods. 1 písm. b) GDPR (plnenie zmluvy) a písm. f) GDPR (bezpečnosť).
• Prevádzka tímov, organizácií, tratí, súťaží a líg: účel: poskytovanie hlavných funkcií služby, správa rolí, schvaľovanie, verejné zobrazenie, evidencia športovej histórie; právny dôvod: čl. 6 ods. 1 písm. b) GDPR a písm. f) GDPR.
• Rezervácie, štartové listiny, výsledky a formuláre: účel: prihlásenie tímov do súťaží, organizácia štartov, losovanie, kapacity, výsledky, odpovede organizátorských formulárov, stav úhrady štartovného; právny dôvod: čl. 6 ods. 1 písm. b) GDPR, písm. f) GDPR a u organizátorov prípadne vlastný právny dôvod organizátora.
• Verejný športový archív: účel: zachovanie výsledkov, histórie súťaží, líg a tímov; právny dôvod: čl. 6 ods. 1 písm. f) GDPR (oprávnený záujem prevádzkovateľa, organizátorov a športovej komunity).
• Komunikácia: účel: prevádzkové e-maily, overenie, pozvánky, notifikácie, odpovede na otázky, riešenie incidentov; právny dôvod: čl. 6 ods. 1 písm. b) GDPR a písm. f) GDPR.
• Newsletter: účel: zasielanie noviniek; právny dôvod: čl. 6 ods. 1 písm. a) GDPR (súhlas) a pravidlá zákona č. 480/2004 Sb. Súhlas môžete kedykoľvek odvolať odhlásením.
• S.O.S. člen: účel: dobrovoľné zobrazenie dostupnosti pomocníkov podľa polohy a dosahu; právny dôvod: čl. 6 ods. 1 písm. a) GDPR (súhlas) alebo čl. 6 ods. 1 písm. b) GDPR, ak funkciu výslovne používate ako súčasť služby. Funkciu môžete vypnúť.
• Bezpečnosť, logy, audit a prevencia zneužitia: účel: ochrana účtov, služieb, dát, API a infraštruktúry, vyšetrovanie incidentov, rate limiting, správa oprávnení; právny dôvod: čl. 6 ods. 1 písm. f) GDPR a prípadne čl. 6 ods. 1 písm. c) GDPR.
• Právne povinnosti a nároky: účel: splnenie zákonných povinností, komunikácia s úradmi, obhajoba právnych nárokov; právny dôvod: čl. 6 ods. 1 písm. c) GDPR a písm. f) GDPR.
• Voliteľné analytické cookies: účel: meranie návštevnosti a zlepšovanie služby; právny dôvod: čl. 6 ods. 1 písm. a) GDPR a § 89 ods. 3 zákona č. 127/2005 Sb., ak nejde o technicky nevyhnutné uloženie.

• Zobrazenie verejnosti: verejne zobrazujeme údaje, ktoré dávajú športový a organizačný zmysel: tímy, organizácie, ligy, trate, súťaže, termíny, výsledky, štartové listiny, body, dokumenty, fotky, videá, odkazy a nábory.
• Roly a oprávnenia: prístup k neverejným akciám a administrácii obmedzujeme podľa roly používateľa, členstva v tíme, vlastníctva ligy, správy súťaže, správy trate alebo administrátorského oprávnenia.
• Nahrané súbory: fotografie, dokumenty a logá ukladáme do súborového úložiska a prepájame s príslušnou súťažou, ligou, tímom alebo traťou. Pri nahranom obsahu môže byť evidovaný používateľ, ktorý ho vložil.
• Kalendáre: kalendárový export používa neverejný token v odkaze. Token je určený na to, aby externý kalendár mohol načítať udalosti; kto token pozná, môže export čítať.
• API: API kľúče ukladáme bezpečnostne ako hash a prefix. Prístup cez API môže byť auditovaný a obmedzený podľa oprávnení.
• Logovanie: prístupové logy, prihlasovacie logy a auditné logy nám pomáhajú riešiť bezpečnosť, zneužitie, spory o zmeny dát a prevádzkové chyby.
• Automatizácia: niektoré úlohy bežia automaticky, napríklad čistenie starých logov, expirácia náborov, finalizácia rezervácií alebo plánovaná údržba. Nevykonávame automatizované individuálne rozhodovanie s právnymi alebo obdobne významnými účinkami podľa čl. 22 GDPR.

Údaje získavame priamo od vás, z vášho používania služby, z cookies a logov, od používateľov s oprávnením spravovať tímy, súťaže, ligy alebo trate, prípadne z verejne dostupných športových zdrojov či podkladov dodaných organizátormi.

Ak údaje nezískame priamo od vás, plníme informačnú povinnosť podľa čl. 14 GDPR primerane povahe služby; typicky ide o údaje vkladané organizátorom, manažérom tímu alebo správcom ligy.

Údaje sprístupňujeme iba v rozsahu potrebnom na prevádzku služby: poskytovateľom hostingu, databázy, úložiska, e-mailových služieb, bezpečnostných nástrojov, analytiky, zálohovania, administrácie a osobám, ktoré nám s prevádzkou pomáhajú.

Verejné údaje z profilov, súťaží, tratí, výsledkov, líg, médií a náborov sú dostupné návštevníkom webu a môžu byť indexované vyhľadávačmi, ak stránka nie je technicky vylúčená z indexácie.

Služba môže obsahovať odkazy alebo vložený obsah tretích strán, napríklad YouTube, Instagram, mapové služby alebo externé kalendárové aplikácie. Po otvorení takého obsahu sa môže uplatniť spracúvanie danej tretej strany.

Organizátor súťaže, správca ligy alebo manažér tímu môže byť pre časť údajov samostatným správcom alebo spoločným správcom, najmä ak určuje, aké údaje vo formulári zbiera, ako používa kontakty účastníkov, ako nakladá s platbami štartovného, fotografiami, výsledkami alebo dokumentmi.

V takom prípade zodpovedá za vlastný právny dôvod, informačnú povinnosť, presnosť a primeranosť údajov aj tento organizátor alebo správca. Ardet poskytuje technické prostredie a môže byť voči nemu v niektorých situáciách sprostredkovateľom alebo samostatným správcom podľa konkrétneho kontextu.

Ak niektorý poskytovateľ infraštruktúry, e-mailu, analytiky, bezpečnostných nástrojov alebo vloženého obsahu spracúva údaje mimo Európskej únie alebo Európskeho hospodárskeho priestoru, používame vhodné záruky podľa čl. 44 až 49 GDPR, najmä rozhodnutie o primeranej ochrane alebo štandardné zmluvné doložky, ak sú použiteľné.

Pri externých službách, ktoré otvoríte vlastným kliknutím, môže byť prenos riadený aj podmienkami a zásadami danej tretej strany.

• Heslá ukladáme ako hash, nie v čitateľnej podobe.
• Relácie, bezpečnostné tokeny, API kľúče a kalendárové tokeny navrhujeme tak, aby obmedzili dopady úniku; používateľ ich však musí chrániť pred zverejnením.
• Prístupy k administrácii a citlivejším funkciám sú obmedzené rolami.
• Používame logovanie, audit zmien, rate limiting a bezpečnostné hlavičky tam, kde je to vhodné.
• Žiadne technické opatrenie nie je absolútne. Pri podozrení na únik alebo zneužitie nás kontaktujte na [email protected].

• Účet: po dobu existencie účtu a následne v nevyhnutnom rozsahu pre právne nároky, bezpečnosť, audit a zachovanie športovej histórie.
• Verejné športové záznamy: výsledky, súťaže, ligy, trate a tímová história môžu byť uchované dlhodobo ako športový archív, ak neprevažujú práva dotknutej osoby alebo zákonný dôvod na výmaz.
• Rezervácie a formuláre: po dobu potrebnú na organizáciu súťaže, riešenie sporov, výsledkový archív a oprávnené záujmy organizátora alebo prevádzkovateľa.
• Prístupové logy: štandardne 90 dní, ak nie je potrebné dlhšie uchovanie kvôli incidentu alebo právnemu nároku.
• Prihlasovacie a auditné logy: štandardne 365 dní, ak nie je potrebné dlhšie uchovanie kvôli bezpečnosti, sporu alebo právnemu nároku.
• Newsletter: do odhlásenia alebo zániku účelu; záznam o odhlásení môžeme držať na doloženie, že ďalšie oznámenia nemáme posielať.
• Cookies súhlas: zvyčajne až 365 dní, ak ho skôr neodvoláte alebo nezmažete.
• S.O.S. poloha: po dobu zapnutia funkcie alebo do zmeny/odstránenia nastavenia.
• API kľúče a kalendárové tokeny: po dobu ich existencie; po zrušení môže zostať auditný záznam o použití alebo zmene.

Účet môžete odstrániť v nastaveniach profilu. Pri výmaze sa odstráni účet a členstvo v tímoch; niektoré väzby, ktoré musia zostať kvôli integrite súťaží, výsledkov a auditnej histórie, môžu byť anonymizované, prevedené na technického zástupného používateľa alebo zachované bez priamej identifikácie pôvodného používateľa.

Výmaz účtu nemusí odstrániť verejné športové výsledky, historické štartové listiny, ligové poradia, dokumenty alebo obsah, ktorý je nevyhnutný pre oprávnený archívny a organizačný účel. Každú žiadosť o odstránenie konkrétneho obsahu posudzujeme individuálne.

• Prístup: čl. 15 GDPR: môžete chcieť potvrdenie, či spracúvame vaše údaje, a kópiu údajov.
• Oprava: čl. 16 GDPR: môžete požadovať opravu nepresných alebo doplnenie neúplných údajov.
• Výmaz: čl. 17 GDPR: môžete požadovať výmaz, ak sú splnené podmienky; právo nie je absolútne, najmä pri právnych nárokoch, bezpečnosti a športovom archíve.
• Obmedzenie: čl. 18 GDPR: môžete požadovať obmedzenie spracúvania v zákonom stanovených situáciách.
• Prenosnosť: čl. 20 GDPR: pri údajoch spracúvaných na základe súhlasu alebo zmluvy a automatizovane môžete chcieť strojovo čitateľný výstup, ak je to technicky možné.
• Námietka: čl. 21 GDPR: môžete namietať proti spracúvaniu na základe oprávneného záujmu.
• Súhlas: čl. 7 GDPR: súhlas môžete kedykoľvek odvolať; odvolanie nemá vplyv na zákonnosť spracúvania pred odvolaním.
• Automatizované rozhodovanie: čl. 22 GDPR: máte práva vo vzťahu k automatizovanému individuálnemu rozhodovaniu; také rozhodovanie s právnymi alebo obdobne významnými účinkami nevykonávame.

Napíšte na [email protected]. Kvôli ochrane účtu môžeme požiadať o overenie totožnosti alebo doplňujúce informácie. Žiadosti vybavujeme bez zbytočného odkladu, spravidla do jedného mesiaca podľa čl. 12 GDPR; v zložitých prípadoch možno lehotu predĺžiť podľa GDPR.

Ak sa žiadosť týka údajov vložených organizátorom, správcom ligy alebo manažérom tímu, môžeme vás odkázať aj na túto osobu alebo žiadosť riešiť spoločne podľa konkrétnej roly správcu.

Máte právo podať sťažnosť na Úrade na ochranu osobných údajov Slovenskej republiky, web: https://dataprotection.gov.sk. Ak sa vec týka Českej republiky, môžete sa obrátiť aj na Úřad pro ochranu osobních údajů, web: https://uoou.gov.cz.

Technické cookies a podobné technológie používame pre prihlásenie, zabezpečenie, jazyk, súhlas a základné funkcie. Voliteľné analytické cookies používame iba so súhlasom, ak sú v aplikácii zapojené. Podrobnosti sú v samostatných zásadách používania cookies.