Zásady ochrany osobních údajů
Aplikace: bikested (mobilní aplikace pro iOS a Android) Provozovatel: Tomáš Ross, samostatně podnikající fyzická osoba, se sídlem Hanácká 62/63, 751 24 Přerov, Česká republika, IČO: 87884020, DIČ: CZ9112194487 (identifikovaná osoba dle § 6g zákona č. 235/2004 Sb., o DPH), evidovaný v živnostenském rejstříku vedeném Magistrátem města Přerov (dále jen „Provozovatel" nebo „my") Kontakt: [PRIVACY_EMAIL] Verze dokumentu: 1.0 Účinnost od: [EFFECTIVE_DATE] Poslední aktualizace: [LAST_UPDATED]
1. Úvod
Tyto zásady ochrany osobních údajů (dále jen „Zásady") popisují, jaké osobní údaje shromažďujeme, k jakým účelům je používáme a jaká máte práva, když používáte mobilní aplikaci bikested (dále jen „Aplikace" nebo „Služba").
Provozovatel je správcem osobních údajů ve smyslu Nařízení Evropského parlamentu a Rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů (dále jen „GDPR"), a zákona č. 110/2019 Sb., o zpracování osobních údajů.
Pokud máte k těmto Zásadám jakékoli otázky, kontaktujte nás na e-mailu [PRIVACY_EMAIL].
2. Definice pojmů
- Osobní údaj — jakákoli informace o identifikované nebo identifikovatelné fyzické osobě.
- Zpracování — jakákoli operace s osobními údaji (sběr, uchování, úprava, použití, sdílení, výmaz).
- Subjekt údajů (uživatel) — fyzická osoba, jejíž údaje zpracováváme; v kontextu Aplikace osoba, která si vytvořila účet.
- Správce — Provozovatel, který určuje účely a prostředky zpracování.
- Zpracovatel — třetí strana, která zpracovává údaje jménem Správce na základě smlouvy (DPA).
- Anonymizovaný údaj — údaj, který nelze přiřadit konkrétní osobě a nepodléhá GDPR.
3. Jaké údaje zpracováváme
3.1 Údaje, které nám sdělíte přímo
Registrace a účet:
- e-mailová adresa
- heslo (uchováváno výhradně jako bcrypt hash, nikdy v plaintextu)
- volitelně: zobrazované jméno, biografie (max. 280 znaků), uživatelské jméno (
username), profilová fotografie
Profil cyklisty (volitelné):
- výška (cm), váha (kg), FTP (W), úroveň pokročilosti
Garáž a kola:
- značka, model, rok, velikost, typ (MTB / silnice / gravel / urban / BMX / e-bike), barva, datum a cena pořízení, fotografie kola, vlastní poznámky
Komponenty kol:
- značka, model, rok, váha, datum a cena pořízení, poznámky
Servisní deník:
- typ úkonu, popis, datum, najeté kilometry, cena, kdo úkon provedl (svépomocí / servis), případně název servisu, fotografie
AI asistent:
- obsah zpráv, které do chatu vepíšete
Předplatné Premium:
- údaje o předplatném (typ, délka, datum začátku a konce, status)
Poznámka: Platební údaje (číslo karty atd.) nezpracováváme přímo — platby zpracovává výhradně Apple App Store nebo Google Play dle jejich vlastních zásad.
3.2 Údaje generované při užívání Aplikace
- identifikátor uživatele (UUID) přidělený systémem Supabase
- časové razítko vytvoření účtu, posledního přihlášení, posledních aktivit
- preferenční nastavení (styl AI odpovědí, oznamovací preference, jazyk, motiv)
- denní agregát využití AI (počet zpráv, počet tokenů — pro účely cost guardu)
- žurnál servisních úkonů, milníky najetých kilometrů, výročí kola
- agregovaná statistika: celkový počet kilometrů na kole
3.3 Údaje z propojených služeb
Strava (volitelné propojení): Pokud propojíte svůj účet Strava, zpracováváme:
- OAuth access token a refresh token (uchováváme zašifrovaně v Supabase Vault)
- Strava ID, jméno a profilové údaje vašeho Strava účtu (jen pro zobrazení v UI)
- seznam vašich kol ze Stravy a jejich
gear_id - vaše aktivity (jízdy): vzdálenost, datum a čas, sport, přiřazený
gear_id, ID aktivity - Nezpracováváme GPS souřadnice, segmenty, výškový profil, ani jiná detailní data jízdy
Strava integrace probíhá podle Strava API Agreement. Strava data zůstávají i po smazání účtu bikested předmětem politiky Stravy.
99Spokes (databáze kol — server-side): Když vyhledáváte značku/model kola při přidávání do garáže, dotaz odesíláme přes náš server na službu 99Spokes. Neposíláme žádné vaše osobní údaje — pouze textový dotaz typu „Trek Fuel EX 8".
3.4 Technické a diagnostické údaje
Chybové hlášky a pády (Sentry, regio EU): Při neočekávané chybě nebo pádu Aplikace se anonymizovaná diagnostika odesílá službě Sentry (server v Německu):
- typ a verze operačního systému, model zařízení, jazyk
- verze Aplikace, stack trace chyby, breadcrumbs
- náš identifikátor uživatele (UUID) — pro spárování více chyb téhož uživatele při debugu
- NESBÍRÁME IP adresu, přesnou geolokaci, obsah obrazovek, vstupy uživatele
Sentry je nakonfigurován s tracesSampleRate = 0.2 (sample 20 % transakcí v produkci) a bez výchozího PII (sendDefaultPii = false).
Push notifikace:
- Expo push token zařízení (uchováváme v tabulce
user_push_tokens) - platforma (iOS / Android), identifikátor zařízení (volitelně)
4. Účely a právní základ zpracování
| Účel zpracování | Kategorie údajů | Právní základ |
|---|---|---|
| Vytvoření a správa účtu, autentizace | E-mail, heslo, identifikátor uživatele | Smlouva (čl. 6 odst. 1 písm. b) GDPR) |
| Poskytování funkcí garáže (kola, komponenty, servisní deník) | Údaje o kolech, komponentech, servisu | Smlouva (čl. 6 odst. 1 písm. b)) |
| AI asistent (chat) | Obsah zpráv, kontext garáže, denní agregát využití | Smlouva (čl. 6 odst. 1 písm. b)) |
| Synchronizace najetých kilometrů ze Stravy | Strava OAuth tokeny, aktivity | Souhlas (čl. 6 odst. 1 písm. a)) — propojení je dobrovolné |
| Push notifikace o servisních intervalech a milnících | Push token, oznamovací preference | Souhlas (čl. 6 odst. 1 písm. a)) — system permission iOS / Android |
| Zpracování chybových hlášek (Sentry) | Anonymní diagnostika + identifikátor uživatele | Oprávněný zájem (čl. 6 odst. 1 písm. f)) — provozní stabilita |
Veřejný profil garáže (/u/<username>) | Veřejné údaje profilu a kol dle Vašeho výběru | Souhlas (čl. 6 odst. 1 písm. a)) — viditelnost je private ve výchozím stavu |
| Předplatné Premium a fakturační údaje | Status předplatného, identifikátor předplatného | Smlouva (čl. 6 odst. 1 písm. b)); právní povinnost (čl. 6 odst. 1 písm. c)) — evidence pro daňové účely |
| Ochrana před zneužitím a podvody | Údaje o účtu, IP adresa při registraci (Supabase) | Oprávněný zájem (čl. 6 odst. 1 písm. f)) |
| Analýza využití pro zlepšení Aplikace | Anonymizované agregáty | Oprávněný zájem (čl. 6 odst. 1 písm. f)) |
5. Příjemci osobních údajů (zpracovatelé)
S následujícími poskytovateli máme uzavřenou smlouvu o zpracování osobních údajů (DPA) ve smyslu čl. 28 GDPR:
| Zpracovatel | Účel | Lokalita zpracování | Záruky pro přenos |
|---|---|---|---|
| Supabase, Inc. (USA) | Backend (autentizace, databáze, úložiště souborů, edge functions, realtime) | EU (region [SUPABASE_REGION]) | DPA + Standardní smluvní doložky (SCC) Komise EU 2021/914 |
| Anthropic, PBC (USA) | Provoz AI asistenta (Claude API) | USA | DPA + SCC; data nejsou používána k trénování modelu (zero-retention API) |
| Sentry (Functional Software, Inc.) (USA) | Sledování pádů a chyb | EU (Frankfurt, de.sentry.io) | DPA + SCC; bez PII |
| Strava, Inc. (USA) | Synchronizace najetých kilometrů — pouze při Vašem propojení | USA | OAuth, dle Strava API Agreement |
| 99Spokes, Inc. (USA) | Databáze specifikací kol — pouze textové dotazy bez PII | USA | Server-to-server, bez Vašich osobních údajů |
| RevenueCat, Inc. (USA) | Ověřování stavu předplatného | USA | DPA + SCC; přenášíme pouze identifikátor uživatele a metadata transakce |
| Voyage AI (USA) | Vektorové embeddings znalostní báze (server-side, bez uživatelských dat) | USA | Bez Vašich osobních údajů |
| Apple Inc. | Distribuce Aplikace, push notifikace (APNs), zpracování plateb | Globálně | Apple Privacy Policy |
| Google LLC | Distribuce Aplikace, push notifikace (FCM), zpracování plateb | Globálně | Google Privacy Policy |
| Expo Application Services | Servis push notifikací, OTA aktualizace | USA | DPA + SCC |
Vaše osobní údaje neprodáváme žádné třetí straně. Údaje sdílíme pouze s výše uvedenými zpracovateli a v rozsahu nezbytném pro provoz Aplikace.
6. Předávání údajů mimo EHP
Některé naše zpracovatele sídlí mimo Evropský hospodářský prostor (EHP), zejména v USA. Pro tyto přenosy uplatňujeme:
- Standardní smluvní doložky (SCC) ve znění prováděcího rozhodnutí Komise (EU) 2021/914
- EU-US Data Privacy Framework (DPF), pokud daný zpracovatel je certifikován
- doplňková technická opatření (šifrování přenosu TLS, šifrování v klidu)
Kopii těchto záruk poskytneme na vyžádání na [PRIVACY_EMAIL].
7. Doba uchování údajů
| Kategorie | Doba uchování |
|---|---|
| Údaje účtu (e-mail, profil, heslo) | Po dobu existence účtu + 30 dní po smazání (technický úklid) |
| Garáž, komponenty, servisní deník | Po dobu existence účtu; zaniká okamžikem smazání účtu |
| Strava OAuth tokeny | Do odpojení Stravy nebo smazání účtu |
| AI konverzace a zprávy | Po dobu existence účtu (uživatel může jednotlivé konverzace mazat sám) |
| Logy AI denního využití | 90 dní pro účely cost guardu, poté agregace |
| Sentry chybové hlášky | 30 dní (default), 90 dní pro produkci s replay |
Záznam o smazání účtu (account_deletion_log) | 7 let (důkazní povinnost dle GDPR čl. 5 odst. 2 — accountability) |
| Daňové doklady o platbách Apple/Google → Provozovateli (royalty) | 10 let dle § 35 zákona č. 235/2004 Sb., o DPH |
| Push tokeny | Do odhlášení nebo deaktivace zařízení |
Po uplynutí těchto lhůt jsou údaje automaticky a nenávratně smazány nebo plně anonymizovány.
8. Veřejný profil a sdílení obsahu
Aplikace umožňuje volitelně zveřejnit Váš cyklistický profil a kola na adrese bikested.com/u/<username> (viditelnost je ve výchozím stavu private). Pokud aktivujete viditelnost public nebo unlisted:
public— profil je dohledatelný v sekci „Najít jezdce" a indexovatelný vyhledávačiunlisted— profil je dostupný jen přes přímý odkaz, není veřejně dohledatelnýprivate(výchozí) — profil vidíte pouze Vy
Pro každé kolo zvlášť určujete, zda má být veřejné (is_public) a jaké jeho části jsou viditelné (komponenty, servisní deník, najeté km, cena pořízení, příběh kola). Tato volba je kdykoli odvolatelná v nastavení profilu.
Sdílení odkazů na milníky a příběh kola (Premium funkce): Když sdílíte vygenerovanou kartu nebo odkaz na kolo, jsou metadata kola (název, foto, najeté km) viditelná v náhledu odkazu na třetích platformách (Instagram, WhatsApp, Facebook). Tato volba je dobrovolná a vyžaduje, aby kolo bylo veřejné.
9. AI asistent — speciální upozornění
Při použití AI asistenta:
- Obsah Vašich zpráv se odesílá službě Anthropic (Claude API) přes náš zabezpečený server (Supabase Edge Function
ai-chat) - Spolu se zprávami odesíláme kontext Vaší garáže (značky a modely kol, komponenty, posledních 5 servisních záznamů) — bez něj by AI nemohla dávat užitečné odpovědi
- NeOdesíláme Vaši e-mailovou adresu, jméno, fotografie, přesné datum narození ani jiné identifikátory mimo to, co je nutné pro odpověď
- Anthropic uchovává obsah dotazů max. 30 dní pro účely zneužití (abuse monitoring), nepoužívá je k trénování modelů
- Konverzace je rovněž uložena v naší databázi — můžete ji kdykoli smazat sami ze seznamu konverzací
AI asistent není odborný poradenský nástroj. Jeho odpovědi jsou informativní; pro kritické zásahy do brzd, řízení a pohonu vždy konzultujte certifikovaného mechanika. Viz Smluvní podmínky, čl. 7.
10. Strava integrace — speciální upozornění
Pokud propojíte Strava účet:
- propojení je plně dobrovolné a kdykoli odvolatelné v nastavení Aplikace
- můžeme číst pouze seznam Vašich kol a aktivit; nemůžeme do Strava účtu nic zapisovat ani na nic reagovat
- po odpojení smažeme všechny tokeny ze Supabase Vault a aktivity ze Strava ID asociace s Vaším účtem bikested
- aktivita synchronizovaná do bikested zůstává v naší databázi i po odpojení Stravy (jako součást Vašich servisních dat); můžete ji smazat individuálně nebo zánikem účtu
Strava data jsou předmětem Strava Privacy Policy a API Agreement. Provozovatel není odpovědný za zpracování dat ve Strava službě.
11. Push notifikace
Aplikace Vám může zasílat push notifikace o:
- milnících najetých kilometrů
- nadcházejících servisních intervalech
- volitelných týdenních souhrnech aktivity
Notifikace lze granulárně zapnout/vypnout v Nastavení → Notifications a zcela odebrat v systémovém nastavení iOS / Android.
K odesílání používáme Expo Push Notifications, které relayují notifikaci přes APNs (Apple) nebo FCM (Google).
12. Děti
Aplikace není určena dětem mladším 16 let. Pokud zjistíme, že jsme zpracovávali údaje dítěte mladšího 16 let bez souhlasu zákonného zástupce, údaje neprodleně smažeme.
Pokud jste rodič nebo zákonný zástupce a domníváte se, že Vaše dítě poskytlo Aplikaci své údaje, kontaktujte nás na [PRIVACY_EMAIL].
13. Zabezpečení
Pro ochranu Vašich osobních údajů uplatňujeme:
Technická opatření:
- šifrování přenosu (TLS 1.2+) mezi Aplikací a všemi zpracovateli
- šifrování úložiště (Supabase Postgres at-rest encryption, AES-256)
- bcrypt hashování hesel
- šifrování Strava OAuth tokenů v Supabase Vault
- Row-Level Security (RLS) v PostgreSQL — uživatel vidí pouze svá data
- separace klíče Anthropic API na serveru (Aplikace klíč nezná)
Organizační opatření:
- princip nejnižších oprávnění
- pravidelné aktualizace závislostí (npm audit, Dependabot)
- monitoring pádů a anomálií (Sentry)
- DPA se všemi zpracovateli
- evidence o smazání účtu pro účely accountability dle GDPR
Důvěrnost a integrita: Přijímáme přiměřená opatření k zajištění důvěrnosti, integrity a dostupnosti Vašich údajů. Žádný systém však nemůže být 100% zabezpečený. V případě bezpečnostního incidentu, který by představoval vysoké riziko pro Vaše práva, Vás budeme informovat ve lhůtě 72 hodin v souladu s čl. 33 a 34 GDPR.
14. Vaše práva
V souvislosti s Vašimi osobními údaji máte následující práva podle GDPR:
| Právo | Jak ho uplatnit |
|---|---|
| Přístup k údajům (čl. 15) | Většinu údajů vidíte přímo v Aplikaci. Plný export na vyžádání e-mailem na [PRIVACY_EMAIL]. |
| Oprava (čl. 16) | Přímo v Aplikaci (Profil → Cyklistický profil; Kolo → Upravit) nebo e-mailem |
| Výmaz („právo být zapomenut", čl. 17) | Aplikace → Nastavení → Account & Security → Smazat účet (smazání proběhne okamžitě a nevratně) |
| Omezení zpracování (čl. 18) | E-mailem na [PRIVACY_EMAIL] |
| Přenositelnost (čl. 20) | E-mailem na [PRIVACY_EMAIL] (export ve strojově čitelném formátu JSON) |
| Námitka (čl. 21) | E-mailem na [PRIVACY_EMAIL]; vůči zpracování na základě oprávněného zájmu (Sentry, analýzy) |
| Odvolání souhlasu (čl. 7 odst. 3) | Odpojení Stravy / vypnutí notifikací / nastavení viditelnosti profilu na private v Aplikaci, případně e-mailem |
| Stížnost u dozorového úřadu (čl. 77) | Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, posta@uoou.cz, www.uoou.cz |
Na žádost odpovíme nejpozději do 30 dnů od jejího přijetí (lhůta může být ve zvlášť složitých případech prodloužena o další 60 dnů).
15. Cookies a podobné technologie
Aplikace nepoužívá cookies (jde o nativní mobilní aplikaci, nikoli web). Používáme:
- MMKV — lokální key-value úložiště na zařízení pro cache offline dat a uživatelské preference; nedochází k odesílání mimo zařízení
- Expo SecureStore — šifrované úložiště pro session token Supabase
- AsyncStorage — nešifrované úložiště pro nekritické cache (TanStack Query persister)
Žádné z těchto úložišť není sdíleno s třetími stranami a je smazáno spolu s Aplikací.
Webová verze profilu (bikested.com/u/<username>) může používat funkční cookies nezbytné pro správné zobrazení (volba motivu) a anonymní analytiku (počet zobrazení stránky). Detaily v Web Cookies Policy (vznikne s nasazením webu).
16. Změny zásad
Tyto Zásady můžeme čas od času aktualizovat (např. při přidání nové funkce nebo zpracovatele). O podstatných změnách Vás budeme informovat:
- in-app banner při příštím spuštění Aplikace
- e-mailem na adresu uvedenou v účtu
- aktualizací data „Poslední aktualizace" v záhlaví dokumentu
Pokračování v užívání Aplikace po vstupu změn v platnost představuje akceptaci nových Zásad.
17. Kontakt a dozorový orgán
Provozovatel / Správce: Tomáš Ross Hanácká 62/63, 751 24 Přerov, Česká republika IČO: 87884020 DIČ: CZ9112194487 (identifikovaná osoba) E-mail: [PRIVACY_EMAIL]
Dozorový orgán: Úřad pro ochranu osobních údajů Pplk. Sochora 27, 170 00 Praha 7 Telefon: +420 234 665 111 E-mail: posta@uoou.cz Web: www.uoou.cz
Máte právo podat stížnost u Úřadu pro ochranu osobních údajů, pokud se domníváte, že zpracováním Vašich osobních údajů dochází k porušení GDPR.
Tento dokument byl vyhotoven v souladu s nařízením (EU) 2016/679 (GDPR), zákonem č. 110/2019 Sb., o zpracování osobních údajů, a App Store Review Guidelines (5.1.1) i Google Play Developer Program Policies (User Data).