← Zpět na přihlášení

Ochrana osobních údajů

Platnost od: 19. 4. 2026 · Verze 2.0

Tento dokument popisuje zpracování osobních údajů při použití aplikace Gym Access a služeb na performancearena.cz. Dokument naplňuje informační povinnost dle článku 13 Nařízení Evropského parlamentu a Rady (EU) 2016/679 („GDPR") a zákona č. 110/2019 Sb.

1. Správce osobních údajů

Michal Novák
Sídlo: U Červených domků 3902, 695 01 Hodonín
Provozovna: Kateřinská 4411/9, 695 01 Hodonín
IČO: 23692723
E-mail: mn27arena@gmail.com
Telefon: +420 733 277 461

Správce nejmenoval pověřence pro ochranu osobních údajů (DPO), protože k tomu není povinen dle čl. 37 GDPR.

2. Jaké údaje zpracováváme

  • Identifikační a kontaktní: jméno, příjmení, e-mail, telefon, datum narození (volitelně);
  • Autentizační: hash hesla (Argon2), 2FA TOTP secret (šifrovaný), přihlašovací logy;
  • Členské: typ permanentky, zbývající vstupy, platnost, historie čerpání;
  • Vstupní logy: čas vstupu/odchodu, typ vstupu (QR/PIN), čtečka/IP;
  • Rezervační: datum a čas rezervace, vybraný trenér/služba, notes;
  • Platební: identifikátor transakce (ze Stripe/Comgate), částka, stav — nikdy čísla platebních karet;
  • Kalendářové integrace: OAuth token pro Google Kalendář, CalDAV credentials pro Apple (šifrované klíčem Fernet);
  • Avatar: volitelný profilový obrázek;
  • Technické: IP adresa, user-agent, rate-limit counter — nezbytné pro bezpečnost a zamezení zneužití.

3. Účely a právní základ zpracování (čl. 6/1 GDPR)

ÚčelPrávní základDoba uchování
Plnění smlouvy o poskytování členských služebčl. 6/1/b — plnění smlouvypo dobu členství + 3 roky (promlčecí lhůty)
Účetní doklady k platbám, DPH (pokud vznikne)čl. 6/1/c — právní povinnost10 let (§ 35 zákona č. 235/2004 Sb.)
Bezpečnostní logy vstupů, audit přístupůčl. 6/1/f — oprávněný zájem (ochrana majetku, prevence zneužití)12 měsíců
Rate-limiting, detekce brute-force útokůčl. 6/1/f — oprávněný zájemmax. 30 dní
Kalendářové integrace (Google, Apple)čl. 6/1/a — souhlas (udělen při připojení účtu)do odvolání souhlasu nebo odpojení kalendáře
Marketingové e-maily (newsletter, nabídky)čl. 6/1/a — souhlas, z. 480/2004 Sb.do odvolání souhlasu (odkaz v každém e-mailu)

4. Příjemci údajů a zpracovatelé

Osobní údaje sdílíme pouze s nezbytnými zpracovateli a poskytovateli služeb. S každým máme uzavřenou smlouvu dle čl. 28 GDPR a zpracovávají údaje pouze pro účely uvedené níže:

  • Stripe Payments Europe, Ltd. (Irsko) a Stripe, Inc. (USA — transfer zajištěn Standard Contractual Clauses + EU-US Data Privacy Framework) — zpracování online plateb za permanentky a tréninky. Privacy policy.
  • Comgate Payments, a.s. (Česká republika) — alternativní platební brána pro tuzemské platby (karta, bankovní převod). Privacy policy.
  • Google, LLC (USA, DPF) — Google Calendar API pro synchronizaci dostupnosti trenérů (jen pokud uživatel připojí svůj účet). Privacy policy.
  • Apple, Inc. (USA, SCC) — Apple iCloud Calendar CalDAV pro alternativní kalendářovou integraci (jen pokud uživatel připojí svůj účet). Privacy policy.
  • Privátní infrastruktura v EU — hosting aplikace, databáze a záloh. Data se nacházejí fyzicky v Evropské unii.
  • Webglobe a.s. (ČR) — odchozí SMTP server pro systémové e-maily (potvrzení rezervací, reset hesla).

Údaje neprodáváme žádné třetí straně a nepoužíváme je pro cílenou reklamu.

5. Předávání údajů mimo EU

Platební (Stripe) a kalendářové (Google, Apple) integrace mohou zahrnovat přenos údajů do USA. Transfery jsou zajištěny mechanismy dle čl. 46 GDPR:

  • Standard Contractual Clauses (SCC) Evropské komise,
  • certifikace v rámci EU-US Data Privacy Framework (pro přijímajícího zpracovatele).

6. Cookies a obdobné technologie

Aplikace používá pouze technicky nezbytné cookies (session, refresh token pro přihlášení, CSRF token, preferovaný jazyk). Tyto cookies nevyžadují souhlas uživatele dle § 89 zákona č. 127/2005 Sb.

Nepoužíváme žádné analytické, reklamní ani trackingové nástroje (Google Analytics, Facebook Pixel, atd.). Pokud budou v budoucnu nasazeny, zobrazí se cookie banner s možností opt-in.

7. Automatizované rozhodování

Neprovádíme automatizované rozhodování ani profilování ve smyslu článku 22 GDPR. Všechna rozhodnutí o přiznání/odepření členských vstupů činí personál gymu.

8. Vaše práva

Jako subjekt údajů máte právo:

  • na přístup ke svým údajům a kopii (čl. 15);
  • na opravu nepřesných údajů (čl. 16);
  • na výmaz („právo být zapomenut") v případech dle čl. 17;
  • na omezení zpracování (čl. 18);
  • na přenositelnost údajů k jinému správci (čl. 20);
  • vznést námitku proti zpracování prováděnému na základě oprávněného zájmu (čl. 21);
  • odvolat souhlas tam, kde je právním základem (kalendáře, marketing) — odvolání neovlivňuje zákonnost zpracování před odvoláním;
  • podat stížnost u dozorového úřadu:
    Úřad pro ochranu osobních údajů
    Pplk. Sochora 27, 170 00 Praha 7
    www.uoou.cz

Uplatnění práv je bezplatné. Žádost lze zaslat e-mailem na mn27arena@gmail.com. Správce odpoví nejpozději do 1 měsíce.

9. Bezpečnost údajů

Hesla jsou hashována algoritmem Argon2id. TOTP tajemství pro 2FA a credentials pro kalendářové integrace jsou šifrovány klíčem Fernet v klidu. Přenos dat probíhá přes TLS 1.2+ (HTTPS). Přístup k administraci je chráněn dvoufaktorovým ověřením.

Zálohy databáze jsou šifrované a uložené na EU serverech. V případě bezpečnostního incidentu bude správce postupovat dle čl. 33 GDPR a dotčené subjekty informovat do 72 hodin od zjištění.

10. Změny tohoto dokumentu

Tento dokument může být průběžně aktualizován. Významné změny budou oznámeny e-mailem nejméně 14 dní před nabytím účinnosti. Aktuální verze je vždy dostupná na /privacy.

© 2026 Michal Novák, IČO 23692723.

Ochrana osobních údajů · Performance Arena