Zásady ochrany soukromí

Provozovatelem aplikace Wondelio dostupné na adrese wondelio.com je obvision [TBD: právní forma + IČO + sídlo].

Kontakt: info@obvision.cz

Osobní údaj je každá informace, podle které tě lze identifikovat. V Wondelio zpracováváme tyto údaje:

Pokud jsi organizátor (přihlášený uživatel)

• E-mail (pro přihlášení magic linkem)
• Jméno, které jsi zadal/a v profilu
• Časy přihlášení, IP adresa
• Eventy, které jsi vytvořil/a, včetně všech dat (jména páru, místo, hosté…)
• Záznam akcí v administraci (audit log) — kdo co kdy provedl

Pokud jsi host (skenuješ QR kód)

• Přezdívka, kterou si zvolíš
• Fotky, písničky, kvízové odpovědi a další obsah, který nahraješ
• Dočasné session ID v cookie (umožňuje rozpoznat tě v rámci jednoho eventu)
• IP adresa (jen pro bezpečnostní účely a audit)

Jako host se neregistruješ a nezadáváš e-mail (pokud o to organizátor explicitně nepožádá v rámci RSVP).

• Plnění smlouvy — abys mohl/a aplikaci používat (čl. 6 odst. 1 písm. b GDPR)
• Oprávněný zájem — bezpečnost, audit log, prevence zneužití (čl. 6 odst. 1 písm. f GDPR)
• Souhlas — pokud jsi nám ho udělil/a explicitně (např. marketingové e-maily, pokud takovou službu zavedeme)

• Účet organizátora — dokud ho nezrušíš nebo nebudeš dlouhodobě neaktivní (24+ měsíců neaktivity → upozornění + zrušení)
• Eventy a jejich obsah — dokud je organizátor nesmaže nebo nezruší účet
• Hostovská session a přezdívka — 12 měsíců od posledního přístupu, nebo do explicitního smazání
• Audit log akcí — 12 měsíců (oprávněný zájem na bezpečnosti)
• Fakturační údaje [TBD: až bude placená verze] — 10 let dle zákona

Wondelio běží na cloudových službách v EU. Data zpracovávají tito zpracovatelé v našem zastoupení:

• Vercel Inc. — hosting aplikace (region Frankfurt, EU)
• Neon Inc. — databáze (region EU)
• Cloudflare — CDN, ochrana proti útokům, později úložiště fotek (R2)
• Resend — odesílání transakčních e-mailů (magic link)
• Sentry — sledování chyb a výkonu aplikace (anonymizovaná data)

Žádný z těchto subjektů data nepoužívá pro vlastní marketingové účely. S každým máme/budeme mít uzavřenou smlouvu o zpracování osobních údajů (DPA).

Používáme jen nezbytně nutné cookies:

• Auth session — udržuje tvoje přihlášení (organizátor)
• Guest session — pamatuje si tvou přezdívku v rámci jednoho eventu (host)

Žádné tracking ani reklamní cookies nepoužíváme. Pokud někdy zavedeme analytiku (např. anonymizované Plausible nebo PostHog), předem tě o tom informujeme a vyžádáme si souhlas.

Podle GDPR máš tato práva:

• Právo na přístup — víš, co o tobě uchováváme
• Právo na opravu — když je něco špatně
• Právo na výmaz („zapomenutí“)
• Právo na přenositelnost — stáhneš si svá data v JSON formátu
• Právo vznést námitku proti zpracování z oprávněného zájmu
• Právo odvolat souhlas kdykoliv
• Právo podat stížnost u Úřadu pro ochranu osobních údajů

Jak práva uplatnit

Většinu práv můžeš uplatnit sám/sama přímo v aplikaci:

• Organizátor: admin/profil — stažení dat i smazání účtu
• Host: na stránce eventu otevři menu → „Moje data“ — stažení i smazání tvých příspěvků

Pokud něco nefunguje nebo potřebuješ něco speciálního, napiš nám na info@obvision.cz — odpovídáme do 30 dnů.

• Veškerá komunikace je šifrovaná HTTPS (TLS 1.3)
• Hesla nikam nepíšeš — používáme magic link (jednorázový e-mail odkaz)
• Session cookies jsou httpOnly + Secure + SameSite
• Citlivé údaje v databázi šifrované at-rest (Neon)
• Pravidelný backup, monitorování chyb (Sentry)

Wondelio není určen dětem mladším 16 let. Pokud zjistíme, že jsme získali data dítěte mladšího 16 let bez souhlasu rodiče, smažeme je.

Pokud zásady upravíme, novou verzi zveřejníme zde a označíme datum vydání. O významných změnách informujeme registrované organizátory e-mailem.

Otázky ohledně soukromí? Napiš na info@obvision.cz.