Zásady ochrany osobních údajů
Účinné od 13. 4. 2026
1. Správce osobních údajů
Správcem osobních údajů je:
- Bohdan Kulčyckyj
- Jirská 2751/16, 702 00 Ostrava
- E-mail: info@airsoftconnect.cz
- Web: airsoftconnect.cz
Správce není osobou samostatně výdělečně činnou (OSVČ) a nemá přiděleno IČO. Platformu provozuje jako fyzická osoba.
Tyto zásady popisují, jakým způsobem zpracováváme osobní údaje uživatelů platformy Airsoft Connect (dále jen „platforma“) v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 (GDPR) a zákonem č. 110/2019 Sb., o zpracování osobních údajů.
2. Jaké údaje zpracováváme
2.1 Registrace a správa účtu
- E-mailová adresa
- Uživatelské jméno
- Heslo (ukládáno výhradně jako PBKDF2 hash, nikdy v čitelné podobě)
- Datum registrace
- Stav ověření e-mailu
2.2 Profilové údaje (volitelné)
- Jméno a příjmení
- Město
- Popis profilu (bio)
- Profilový obrázek (avatar)
Tyto údaje vyplňujete dobrovolně a jsou veřejně zobrazovány v rámci platformy.
2.3 Přihlášení přes Google (OAuth)
- E-mailová adresa získaná z Google účtu (slouží k propojení nebo vytvoření účtu)
- Google ID token a OAuth state token (dočasně v sessionStorage prohlížeče, smazány ihned po použití)
Z Google nezískáváme žádné další údaje (jméno, avatar apod.). Uživatelské jméno si volíte sami.
2.4 Akce a přihlášení na akce
Organizátor při vytváření akce zadává:
- Název, popis, datum, místo konání (textový i GPS souřadnice), region, cena, maximální kapacita, deadline registrace, hlavní obrázek
- Vlastní otázky pro účastníky (text, výběr, checkbox)
Účastník při přihlášení na akci poskytuje:
- ID uživatele, uživatelské jméno a profilový obrázek (zobrazeny veřejně v seznamu účastníků)
- Odpovědi na otázky organizátora (viditelné pouze organizátorovi)
Organizátor může prostřednictvím vlastních otázek sbírat další údaje (např. jméno, telefon, zdravotní omezení). Za obsah těchto otázek a nakládání se získanými odpověďmi odpovídá organizátor jako samostatný správce.
2.5 Příspěvky a komentáře
- Text příspěvku nebo komentáře
- Přiložené obrázky
- Autor (uživatelské jméno a avatar)
- Datum vytvoření a úpravy
- Reakce (like/dislike)
2.6 Kontaktní formulář
- E-mailová adresa odesílatele
- Text zprávy
- Uživatelské jméno (pokud je odesílatel přihlášen)
2.7 Reset hesla
- E-mailová adresa (k identifikaci účtu)
- Jednorázový resetovací token
2.8 Technické údaje (automaticky sbírané)
- IP adresa (serverové logy, rate limiting, Sentry)
- Informace o prohlížeči (user-agent) v serverových logach
- Datum a čas přístupu
Tyto údaje jsou zpracovávány na základě oprávněného zájmu (bezpečnost a stabilita platformy) dle čl. 6 odst. 1 písm. f) GDPR a uchovávány maximálně 90 dnů.
3. Účely a právní základy zpracování
| Účel | Právní základ | Čl. GDPR |
|---|---|---|
| Vytvoření a správa uživatelského účtu, přihlášení, ověření e-mailu | Plnění smlouvy | čl. 6 odst. 1 písm. b) |
| Zobrazení a úprava profilových údajů | Plnění smlouvy | čl. 6 odst. 1 písm. b) |
| Publikování příspěvků, komentářů a reakcí | Plnění smlouvy | čl. 6 odst. 1 písm. b) |
| Vytváření akcí, přihlašování účastníků, zasílání zpráv účastníkům | Plnění smlouvy | čl. 6 odst. 1 písm. b) |
| Přihlášení prostřednictvím Google OAuth | Plnění smlouvy | čl. 6 odst. 1 písm. b) |
| Reset hesla a související e-mailová komunikace | Plnění smlouvy | čl. 6 odst. 1 písm. b) |
| Zpracování kontaktního formuláře | Oprávněný zájem | čl. 6 odst. 1 písm. f) |
| Ochrana proti brute force útokům, rate limiting, logování bezpečnostních událostí | Oprávněný zájem | čl. 6 odst. 1 písm. f) |
| Monitoring a diagnostika chyb (Sentry) | Oprávněný zájem | čl. 6 odst. 1 písm. f) |
| Plnění právních povinností (spolupráce s dozorovým úřadem, archivační povinnosti) | Plnění právní povinnosti | čl. 6 odst. 1 písm. c) |
Oprávněným zájmem je zajištění bezpečnosti, stability a řádného provozu platformy a komunikace s uživateli prostřednictvím kontaktního formuláře.
4. Příjemci a zpracovatelé
Osobní údaje mohou být v nezbytném rozsahu předávány následujícím příjemcům:
| Služba | Zpracovatel | Typ zpracovávaných dat |
|---|---|---|
| Azure Blob Storage | Microsoft (Azure) | Obrázky (avatary, obrázky akcí a příspěvků) |
| Azure Communication Services | Microsoft (Azure) | E-mailové zprávy (adresa příjemce, předmět, tělo zprávy) |
| SMTP server | Dle konfigurace | E-mailové zprávy (záložní kanál pro odesílání e-mailů) |
| PostgreSQL hosting | Dle nasazení | Veškerá databázová data |
| Sentry | Functional Software, Inc. | ID uživatele, uživatelské jméno, e-mail, chybové události |
| Google OAuth | Google LLC | E-mail, autorizační kód (pouze při přihlášení přes Google) |
Se všemi zpracovateli uvedenými v tabulce výše jsou uzavřeny zpracovatelské smlouvy (DPA) zajišťující ochranu osobních údajů v souladu s čl. 28 GDPR.
Orgány veřejné moci: V případech stanovených zákonem mohou být osobní údaje předány orgánům veřejné moci, zejména Úřadu pro ochranu osobních údajů (ÚOOÚ), soudům nebo orgánům činným v trestním řízení. Tyto subjekty nejsou zpracovateli osobních údajů, ale přijímají údaje vyžádané na základě zákona.
Google LLC vystupuje při přihlašování přes Google jako samostatný správce osobních údajů. Zpracování vašich údajů ze strany Google se řídí Zásadami ochrany soukromí Google.
5. Předávání údajů mimo EU/EHP
Některé služby, které využíváme, mohou zpracovávat údaje mimo Evropský hospodářský prostor:
- Google LLC (OAuth)– USA. Přenos je pokryt rámcem EU-U.S. Data Privacy Framework, v němž je Google certifikován.
- Sentry (Functional Software, Inc.)– USA/EU. Přenos je zajištěn prostřednictvím EU-U.S. Data Privacy Framework, případně standardních smluvních doložek (SCC).
- Microsoft Azure– služby jsou konfigurovány přednostně v regionu West Europe (EU).
6. Doba uchovávání údajů
| Kategorie dat | Doba uchovávání |
|---|---|
| Údaje účtu (e-mail, uživatelské jméno, hash hesla) | Po dobu existence účtu |
| Profilové údaje | Do smazání uživatelem nebo do zrušení účtu |
| Příspěvky a komentáře | Po dobu existence účtu (archivovaný obsah je trvale smazán po uplynutí stanovené doby) |
| Akce | Po dobu existence účtu organizátora (ukončené akce jsou archivovány) |
| Přihlášení na akce a odpovědi na otázky | Po dobu konání akce a následně do 1 roku po jejím ukončení |
| Obrázky (avatar, příspěvky, akce) | Do smazání uživatelem; po označení ke smazání jsou fyzicky odstraněny do 1 dne |
| E-mailové zprávy (outbox) | 90 dnů od odeslání |
| Použité refresh tokeny | 1 den po použití |
| Provozní logy | Maximálně 90 dnů |
| Chybové záznamy (Sentry) | Maximálně 90 dnů |
Při zrušení účtu jsou smazány všechny osobní údaje s výjimkou dat, jejichž uchování vyžaduje zákon nebo oprávněný zájem správce (např. bezpečnostní logy).
7. Vaše práva
Jako subjekt údajů máte podle GDPR následující práva:
- Právo na přístup(čl. 15) – máte právo získat potvrzení, zda zpracováváme vaše osobní údaje, a pokud ano, získat k nim přístup a informace o zpracování.
- Právo na opravu(čl. 16) – máte právo na opravu nepřesných údajů a doplnění neúplných údajů. Profilové údaje můžete upravit přímo v nastavení účtu.
- Právo na výmaz(čl. 17) – máte právo požadovat smazání svých osobních údajů, pokud pominul účel zpracování nebo vznesete námitku. Účet si můžete smazat přímo v nastavení profilu.
- Právo na omezení zpracování(čl. 18) – máte právo požadovat omezení zpracování, například pokud popíráte přesnost údajů nebo namítáte proti zpracování.
- Právo na přenositelnost údajů(čl. 20) – máte právo získat své údaje ve strukturovaném, běžně používaném a strojově čitelném formátu. Export svých dat si můžete vyžádat prostřednictvím nastavení účtu nebo e-mailem.
- Právo vznést námitku(čl. 21) – máte právo vznést námitku proti zpracování založenému na oprávněném zájmu. Po vznesení námitky údaje nebudeme dále zpracovávat, pokud neprokážeme závažné oprávněné důvody.
- Právo podat stížnost– máte právo podat stížnost u dozorového úřadu (viz bod 13).
- Právo na odvolání souhlasu(čl. 7 odst. 3) – pokud by zpracování osobních údajů bylo založeno na vašem souhlasu, máte právo tento souhlas kdykoli odvolat, aniž by tím byla dotčena zákonnost zpracování před jeho odvoláním. V současnosti neprovádíme žádné zpracování na základě souhlasu, toto právo uvádíme pro úplnost.
8. Jak práva uplatnit
Svá práva můžete uplatnit:
- E-mailem na adresu info@airsoftconnect.cz
- Přímo v nastavení svého účtu (úprava profilu, smazání účtu, export dat)
Na vaši žádost odpovíme bez zbytečného odkladu, nejpozději do 1 měsíce od jejího obdržení. V odůvodněných případech (složitost nebo počet žádostí) může být lhůta prodloužena o další 2 měsíce, o čemž vás budeme informovat.
9. Cookies
Platforma používá výhradně technické cookies nezbytné pro její fungování. Nepoužíváme žádné analytické, marketingové ani sledovací cookies.
| Název | Účel | Vlastnosti | Platnost |
|---|---|---|---|
| refreshToken | Obnova přihlášení (refresh JWT tokenu) | HttpOnly, Secure, SameSite=Strict | 7 dnů |
| NextAuth session | Správa přihlašovací relace | HttpOnly | Do zavření relace |
Dále jsou dočasně využívány následující položky v sessionStorage prohlížeče (nejsou cookies, nepřežívají zavření karty):
- google_oauth_state – ochrana proti CSRF při přihlášení přes Google
- google_id_token, google_register_email – dočasné uložení při registraci přes Google (smazány ihned po dokončení)
Vzhledem k tomu, že používáme pouze technicky nezbytné cookies, není vyžadován váš předchozí souhlas a není zobrazována cookie lišta.
10. Zabezpečení
K ochraně vašich osobních údajů uplatňujeme přiměřená technická a organizační opatření, zejména:
- Hashování hesel algoritmem PBKDF2 (heslo nikdy neukládáme v čitelné podobě)
- Šifrovaná komunikace prostřednictvím HTTPS
- JWT access tokeny s krátkou platností (25 minut), refresh tokeny s rotací a detekcí zneužití
- Refresh token uložen jako HttpOnly cookie s příznaky Secure a SameSite=Strict
- Rate limiting (omezení počtu požadavků) pro autentizační a zápisové endpointy
- CORS politika omezená výhradně na doménu platformy
- Validace vstupů a sanitizace HTML obsahu (ochrana proti XSS)
- Ochrana proti brute force útokům (uzamčení účtu po opakovaných neúspěšných pokusech o přihlášení)
11. Minimální věk
Platforma je určena uživatelům starším 18 let. Osoby mladší 18 let nesmí vytvářet účet ani používat služby platformy. Tato hranice odpovídá ustanovení § 7 zákona č. 110/2019 Sb., o zpracování osobních údajů, které stanoví minimální věk pro udělení souhlasu se zpracováním osobních údajů v souvislosti se službami informační společnosti.
12. Změny těchto zásad
Tyto zásady můžeme příležitostně aktualizovat, například při změně funkcionality platformy, změně zpracovatelů nebo právních předpisů. O podstatných změnách vás budeme informovat prostřednictvím oznámení na platformě nebo e-mailem. Aktuální znění je vždy dostupné na této stránce s uvedeným datem účinnosti.
13. Dozorový úřad
Pokud se domníváte, že zpracováním vašich osobních údajů dochází k porušení GDPR, máte právo podat stížnost u dozorového úřadu:
- Úřad pro ochranu osobních údajů (ÚOOÚ)
- Pplk. Sochora 27, 170 00 Praha 7
- E-mail: posta@uoou.gov.cz
- Web: www.uoou.gov.cz