Zásady ochrany osobních údajů

Správcem osobních údajů ve smyslu čl. 4 odst. 7 nařízení Evropského parlamentu a Rady (EU) 2016/679 (dále jen GDPR) a zákona č. 110/2019 Sb., o zpracování osobních údajů, je:

(dále jen Správce). Správce nejmenoval pověřence pro ochranu osobních údajů, neboť toto jmenování není dle čl. 37 GDPR povinné. Pro veškeré dotazy a žádosti týkající se zpracování osobních údajů použijte výše uvedený e-mail.

Správce zpracovává následující kategorie osobních údajů:

• Identifikační a kontaktní údaje: e-mailová adresa, jméno a příjmení (volitelně), zobrazované jméno (volitelně).
• Přihlašovací a bezpečnostní údaje: heslo (uložené v podobě bezpečné kryptografické funkce, nikoli v čitelné podobě), identifikátor relace (session token), IP adresa, údaj o prohlížeči (User-Agent).
• Platební údaje: údaje o platebních kartách jsou zpracovávány výhradně provozovatelem platební brány Stripe; Správce přijímá pouze identifikátor zákazníka u Stripe (stripe_customer_id) a stav platby. Platební karta není ukládána u Správce.
• Fakturační údaje: jméno (případně název firmy), adresa, IČO a DIČ (u plátců DPH a podnikatelů).
• Údaje o užívání služby: přehrané lekce, postup v kurzech, časy posledního přístupu, záložky (bookmarks), poznámky k lekcím.
• Komunikace: e-mailová a další korespondence se Správcem.
• Údaje o předplatném: typ tarifu, datum aktivace, datum zrušení, status.
• Volitelné profilové údaje: rok narození, město, pohlaví (jen pokud Uživatel sám vyplní).

Správce nezpracovává zvláštní kategorie osobních údajů (citlivé údaje dle čl. 9 GDPR) ani osobní údaje dětí mladších 16 let — služba je určena dospělým uživatelům.

Vaše osobní údaje zpracováváme pro následující účely a na následujících právních titulech:

• Plnění smlouvy dle čl. 6 odst. 1 písm. b) GDPR — zřízení a správa uživatelského účtu, poskytování přístupu k zaplacenému digitálnímu obsahu, zpracování plateb, zákaznická podpora, vyřizování reklamací.
• Plnění právních povinností dle čl. 6 odst. 1 písm. c) GDPR — vedení účetnictví a daňové evidence, archivace daňových dokladů (zákon č. 235/2004 Sb., o DPH; zákon č. 563/1991 Sb., o účetnictví), plnění povinností v oblasti AML a ochrany spotřebitele.
• Oprávněný zájem Správce dle čl. 6 odst. 1 písm. f) GDPR — zabezpečení Platformy a prevence podvodu (logování přístupů, IP adres), ochrana právních nároků, anonymní analytika návštěvnosti, zlepšování kvality služby. Tomuto zpracování může Uživatel kdykoli vznést námitku.
• Souhlas dle čl. 6 odst. 1 písm. a) GDPR — zasílání newsletteru a marketingové komunikace, případně analytické a marketingové cookies (pokud budou zavedeny). Souhlas lze kdykoli odvolat.

Správce zpřístupňuje vaše osobní údaje pouze prověřeným zpracovatelům, se kterými má uzavřenou zpracovatelskou smlouvu dle čl. 28 GDPR. Aktuální seznam:

Předávání do třetích zemí: Někteří zpracovatelé sídlí v USA. Předávání je zajištěno na základě Standardních smluvních doložek schválených Evropskou komisí (čl. 46 odst. 2 písm. c) GDPR), případně rozhodnutí o odpovídající úrovni ochrany podle EU-U.S. Data Privacy Framework.

Údaje nejsou předávány třetím stranám pro marketingové účely a nejsou prodávány. Údaje mohou být zpřístupněny orgánům veřejné moci (soudy, finanční úřad, Policie ČR), a to pouze v rozsahu vyžadovaném zákonem.

• Údaje o uživatelském účtu: po dobu trvání účtu a 3 roky po jeho zrušení (z důvodu ochrany právních nároků).
• Fakturační údaje a daňové doklady: 10 let od konce zdaňovacího období (zákon č. 235/2004 Sb., § 35).
• Údaje pro účetnictví: 5 let od konce účetního období (zákon č. 563/1991 Sb., § 31).
• Bezpečnostní logy a IP adresy: 12 měsíců.
• Údaje o studijním postupu (watch_progress, bookmarky): po dobu trvání účtu, mažou se při výmazu účtu.
• Údaje pro marketing (newsletter): do odvolání souhlasu, nejdéle 5 let od posledního kontaktu.
• Reklamační dokumentace: 4 roky od vyřízení (čl. § 629 OZ).

Po uplynutí příslušné doby Správce údaje vymaže nebo anonymizuje (zachová pouze statistické údaje nemožné spojit s konkrétní osobou).

Ve vztahu ke svým osobním údajům máte následující práva podle čl. 15 až 22 GDPR:

• Právo na přístup (čl. 15) — dozvědět se, jaké údaje o vás zpracováváme, a získat jejich kopii.
• Právo na opravu (čl. 16) — opravit nepřesné údaje. Velkou část lze upravit přímo v sekci „Účet“.
• Právo na výmaz „být zapomenut“ (čl. 17) — vymazat vaše údaje, pokud nejsou potřebné pro plnění smlouvy nebo zákonné povinnosti (např. archivace daňových dokladů).
• Právo na omezení zpracování (čl. 18).
• Právo na přenositelnost (čl. 20) — získat své údaje ve strukturovaném strojově čitelném formátu (JSON / CSV).
• Právo vznést námitku (čl. 21) — proti zpracování na základě oprávněného zájmu nebo pro účely přímého marketingu.
• Právo nebýt předmětem automatizovaného rozhodování (čl. 22) — Správce neprovádí automatizované rozhodování s právními účinky.
• Právo odvolat souhlas — kdykoli, bez vlivu na zákonnost zpracování před odvoláním.

Žádosti zasílejte na duch@spiritacademy.online. Správce odpovídá zpravidla do 30 dnů od doručení (lhůta lze v odůvodněných případech prodloužit o 60 dnů; o prodloužení Vás informujeme).

Právo podat stížnost dozorovému úřadu: máte právo podat stížnost přímo dozorovému úřadu, kterým je Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, www.uoou.cz, tel. +420 234 665 111.

Správce přijímá vhodná technická a organizační opatření k zajištění důvěrnosti, integrity a dostupnosti osobních údajů, zejména:

• šifrované spojení (HTTPS / TLS 1.2+) na celém webu, HSTS preload,
• kryptografické hašování hesel (bcrypt, salt na uživatele),
• oddělení rolí a omezený přístup zaměstnanců k osobním údajům (princip nutného přístupu),
• logování bezpečnostně relevantních událostí, monitorování,
• pravidelné bezpečnostní aktualizace softwaru, audit závislostí,
• Content Security Policy, X-Frame-Options, ochrana proti XSS, CSRF a brute-force,
• pravidelné šifrované zálohy databáze,
• smluvní zajištění zpracovatelů (DPA) a jejich pravidelná revize.

V případě porušení zabezpečení osobních údajů s rizikem pro práva a svobody fyzických osob Správce postupuje podle čl. 33 a 34 GDPR — incident ohlásí ÚOOÚ do 72 hodin a, je-li to nutné, vyrozumí dotčené subjekty.

Užívání cookies a podobných technologií je popsáno v samostatném dokumentu Cookies.

Tyto Zásady mohou být průběžně aktualizovány. O podstatných změnách budete informováni e-mailem. Aktuální verze je vždy dostupná na této stránce s uvedeným datem účinnosti. Drobné jazykové úpravy a opravy zveřejňujeme bez zvláštního oznámení.