Zásady ochrany osobních údajů

Verze 1.0 · účinná od 1. srpna 2026

1. Správce a kontakt pro soukromí

Správcem osobních údajů je Skullkeep Labs s.r.o., IČO 23948493, se sídlem Školská 660/3, Nové Město, 110 00 Praha 1, Česká republika.

Žádosti, dotazy a námitky týkající se osobních údajů posílejte na admin@skullkeeplabs.com. Pověřenec pro ochranu osobních údajů (DPO) nebyl jmenován; tato adresa je kontaktem správce pro otázky soukromí.

2. Rozsah a zdroje údajů

Tyto zásady se vztahují na webovou a mobilní vzdělávací službu Buduridit.cz, uživatelské účty, studijní funkce a související předplatné.

Osobní údaje získáváme pouze:

  • přímo od vás při registraci, správě účtu, komunikaci a udělení souhlasu;
  • z vašeho zařízení a používání služby;
  • od AWS Cognito a vámi zvoleného přihlášení přes Google nebo Microsoft;
  • od Stripe, Stripe Tax, Apple App Store nebo Google Play, pokud použijete odpovídající platební cestu.

Údaje nezískáváme od datových brokerů, z koupených seznamů kontaktů ani od marketingových partnerů.

3. Kategorie zpracovávaných údajů

  • Účet a identita: interní ID, uživatelské jméno, zobrazované jméno, e-mail, jazyk, datum vytvoření a posledního přihlášení, stav účtu a identifikátor autentizačního účtu.
  • Souhlasy: typ a stav souhlasu, verze zásad, čas udělení či odvolání a související auditní údaje, například IP adresa a user-agent.
  • Přihlášení třetí stranou: poskytovatel, jeho identifikátor účtu, e-mail, zobrazované jméno, avatar a časy propojení nebo použití.
  • Studijní činnost: zobrazené otázky, zvolené odpovědi, správnost, skóre, pokrok, obtížné otázky, záložky, míra nejasnosti, čas studia a historie zkušebních testů.
  • Předplatné a transakce: plán, stav, období, platforma, částka, měna a bezpečné identifikátory objednávky, zákazníka, předplatného nebo transakce. Neukládáme celé údaje platební karty.
  • Technické a bezpečnostní údaje: IP adresa, typ prohlížeče nebo zařízení, čas požadavku, korelační identifikátory, bezpečnostní události a omezená provozní diagnostika.
  • Komunikace o soukromí: žádost, nezbytná korespondence, způsob a výsledek ověření totožnosti, rozhodnutí a potvrzení o doručení odpovědi.

4. Účely a právní základy

ÚčelPrávní základ
Účet, přihlášení, výuka, testy a synchronizace pokrokuPlnění smlouvy (čl. 6 odst. 1 písm. b GDPR)
Předplatné, platby, refundace a poskytování přístupuPlnění smlouvy
Účetnictví, DPH/OSS a jiné zákonné evidencePlnění právní povinnosti (čl. 6 odst. 1 písm. c)
Bezpečnost, prevence podvodů a vázání nákupu na účetOprávněný zájem (čl. 6 odst. 1 písm. f)
Nutná provozní diagnostika a zlepšování spolehlivostiOprávněný zájem
Volitelná analytika nebo marketingSouhlas (čl. 6 odst. 1 písm. a)
Vyřízení žádostí a prokázání souladuPrávní povinnost a oprávněný zájem na obraně právních nároků

5. Příjemci a poskytovatelé služeb

  • Amazon Web Services: hosting, databáze, úložiště, AWS Cognito, e-mailová infrastruktura, provozní logy a související cloudové služby.
  • Stripe a Stripe Tax: webové platby, předplatné, prevence podvodů a daňové výpočty. Stripe je u některých regulovaných činností samostatným správcem.
  • Google: volitelné přihlášení a nákupy Google Play, pokud je tato cesta zapnutá a použijete ji.
  • Microsoft: volitelné přihlášení účtem Microsoft.
  • Apple: nákupy App Store, pokud je tato cesta zapnutá a použijete ji.

Expo Push Service nepoužíváme pro vzdálená oznámení; studijní připomínky zůstávají v zařízení. Sentry není při počátečním spuštění aktivní. Před zapnutím nového příjemce tyto zásady aktualizujeme.

6. Mezinárodní předávání

Produkční infrastruktura AWS je navržena primárně pro region eu-central-1 ve Frankfurtu. Někteří poskytovatelé však mohou údaje zpřístupnit nebo zpracovat také mimo Evropský hospodářský prostor.

  • AWS používá svou smlouvu o zpracování údajů a standardní smluvní doložky EU (SCC), pokud jsou potřeba.
  • Stripe může zpracovávat údaje v Irsku, USA a dalších lokalitách; používá rámec EU–USA Data Privacy Framework, kde se uplatní, a SCC.
  • Google a Microsoft mohou zpracovávat údaje v USA a dalších zemích a uvádějí Data Privacy Framework a SCC jako příslušné záruky.
  • Apple může zpracovávat údaje v Irsku a USA a pro relevantní předávání používá SCC.

Podrobnosti najdete v podmínkách AWS, Stripe, Google, Microsoft a Apple.

7. Doba uchování

  • Účet, profil a studijní údaje uchováváme po dobu aktivního účtu.
  • Po 180 po sobě jdoucích dnech bez přihlášení může být účet bez aktivního předplatného označen jako neaktivní. Pošleme 30denní upozornění; pokud se nepřihlásíte, účet a související studijní údaje trvale smažeme. Zůstat mohou pouze nevratně anonymní souhrny.
  • Smazání vyžádané přihlášeným uživatelem je okamžité. U tohoto úkonu není 30denní lhůta na rozmyšlenou ani možnost obnovení účtu.
  • Běžné bezpečnostní a provozní logy uchováváme 90 dní.
  • Konkrétní záznam incidentu můžeme držet déle pouze po dobu dokumentovaného šetření nebo uplatnění či obrany právního nároku.
  • Dočasné studijní kurzory ve Valkey mají dobu života nejvýše 30 dní.
  • Produkční zálohy mají 30denní klouzavé období a používají se jen pro obnovu po havárii.
  • Běžné české účetní záznamy uchováváme 5 let od konce příslušného účetního období; záznamy DPH/OSS 10 let od konce kalendářního roku transakce.
  • Minimální záznam o vyřízení žádosti a nezbytnou korespondenci uchováváme 3 roky od uzavření případu. Kopie dokladů totožnosti mažeme po ověření.

Po smazání účtu oddělíme a omezíme případné transakční, účetní nebo daňové údaje, které musíme dále uchovávat. Nepoužíváme je k pokračování běžné služby a smažeme je po uplynutí příslušné lhůty.

8. Personalizace a automatizované rozhodování

Historie odpovědí a míra nejasnosti slouží k přizpůsobení výběru studijních otázek. Neovlivňuje cenu, přístup k účtu ani vaše práva a nemá právní nebo obdobně významný účinek. Neprovádíme automatizované rozhodování podle článku 22 GDPR.

9. Vaše práva a kopie údajů

Za podmínek GDPR můžete požadovat:

  • přístup k osobním údajům a jejich kopii;
  • opravu nepřesných nebo neúplných údajů;
  • výmaz nebo omezení zpracování;
  • vznést námitku proti zpracování založenému na oprávněném zájmu;
  • přenositelnost údajů, pokud se uplatní článek 20;
  • odvolat souhlas bez vlivu na dřívější zákonné zpracování.

Po přihlášení otevřete Nastavení → Soukromí a stáhněte si standardní kopii účtu a studijních údajů jako formátovaný soubor JSON. Soubor vzniká pouze během požadavku a ukládá se ve vašem zařízení; kopii exportu na serveru neuchováváme.

Standardní soubor neobsahuje všechny provozní nebo bezpečnostní záznamy, které mohou vyžadovat individuální posouzení a odstranění údajů jiných osob. O úplnou nebo jinou žádost napište na admin@skullkeeplabs.com.

Odpovíme bez zbytečného odkladu, zpravidla nejpozději do jednoho měsíce. U složitého případu nebo většího počtu žádostí lze lhůtu prodloužit o další dva měsíce; o prodloužení a důvodech informujeme během prvního měsíce. Při důvodných pochybnostech můžeme požádat o přiměřené doplňující ověření totožnosti. Zástupce musí doložit také své oprávnění.

Přímý přenos jinému správci posuzujeme podle vámi určeného příjemce a technické proveditelnosti. Vyhrazenou automatickou integraci pro tento účel neprovozujeme.

10. Smazání účtu

Smazání účtu spuštěné přihlášeným uživatelem je okamžité a nevratné. Před smazáním si proto nejprve stáhněte data, která chcete zachovat. Po dokončení smazání již účetní a studijní data nelze exportovat ani účet obnovit.

Třicetidenní upozornění uvedené v části 7 se týká pouze automatického úklidu neaktivních účtů. Netýká se smazání, které sami potvrdíte v nastavení. Úzce vymezené účetní, daňové, bezpečnostní nebo záložní záznamy mohou zůstat po dobu uvedenou výše.

11. Cookies a místní úložiště

Používáme nezbytné cookies a místní úložiště pro přihlášení, bezpečnost, volbu jazyka a fungování studijní relace. Volitelná analytika se spouští pouze po odpovídajícím souhlasu, který lze odvolat v nastavení soukromí prohlížeče nebo aplikace.

12. Zabezpečení

Používáme přiměřená organizační a technická opatření, například řízení přístupu, šifrování citlivých polí, zabezpečené přenosy, oddělení prostředí, protokolování bezpečnostních událostí a pravidelné mazání záznamů podle stanovených lhůt. Žádná metoda však nemůže zaručit absolutní bezpečnost.

13. Stížnost u dozorového úřadu

Pokud se domníváte, že zpracování porušuje GDPR, můžete podat stížnost u Úřadu pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, e-mail posta@uoou.gov.cz, nebo použít aktuální pokyny na uoou.gov.cz. Můžete se obrátit také na jiný příslušný dozorový úřad v EU.

14. Změny těchto zásad

Zásady aktualizujeme při podstatné změně zpracování, příjemců, účelů nebo retenčních pravidel. Na této stránce vždy uvedeme číslo verze a datum účinnosti; o významné změně můžeme informovat také v aplikaci.