Zásady ochrany a zpracování osobních údajů
Poslední aktualizace: 1. března 2025 · Verze 1.0
1. Úvod
Tyto Zásady ochrany a zpracování osobních údajů popisují, jakým způsobem platforma PREDUKA provozovaná společností Html 77 s.r.o. shromažďuje, zpracovává, uchovává a chrání osobní údaje svých uživatelů v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů (dále jen „GDPR") a zákonem č. 110/2019 Sb., o zpracování osobních údajů.
Platforma PREDUKA slouží jako digitální nástroj pro implementaci programu Triple P (Positive Parenting Program) v České republice a zpracovává údaje dvou hlavních skupin uživatelů: lektorů programu Triple P a rodičů (účastníků programu).
2. Kategorie zpracovávaných osobních údajů
2.1 Lektoři (certifikovaní odborníci Triple P)
| Kategorie údajů | Konkrétní údaje | Účel zpracování |
|---|---|---|
| Identifikační údaje | Jméno, příjmení, tituly, lektorský kód | Identifikace a autorizace v systému |
| Kontaktní údaje | E-mail, telefon | Komunikace, notifikace |
| Přihlašovací údaje | Uživatelské jméno, hashované heslo (Keycloak SSO) | Autentizace a bezpečný přístup |
| Profesní údaje | Certifikace Triple P, pracoviště | Ověření oprávnění k vedení programu |
| Údaje o aktivitě | Přihlášení, úkony v systému, IP adresa | Bezpečnost, audit, monitoring |
2.2 Rodiče (účastníci programu)
| Kategorie údajů | Konkrétní údaje | Účel zpracování |
|---|---|---|
| Identifikační údaje | Token (anonymizovaný identifikátor), volitelně jméno | Párování dotazníků, sledování pokroku |
| Kontaktní údaje | E-mail (volitelně) | Zasílání odkazů na dotazníky |
| Údaje z dotazníků | Odpovědi na klinické dotazníky (RQI, FBQ, SDQ, DASS, PPC, PTL, PSC) | Hodnocení efektivity programu, klinický scoring |
| Demografické údaje | Pohlaví dítěte, věk dítěte | Klinicky validní scoring (např. SDQ gender-specifické normy) |
| Měření v čase | Časový bod měření (TPOINT — pre/post) | Porovnání před a po intervenci |
3. Právní základ zpracování
Osobní údaje zpracováváme na základě následujících právních titulů dle čl. 6 odst. 1 GDPR:
| Právní základ | Aplikace |
|---|---|
| Plnění smlouvy (čl. 6 odst. 1 písm. b) | Zpracování údajů lektorů nezbytné pro poskytování služeb platformy na základě smluvního vztahu |
| Souhlas (čl. 6 odst. 1 písm. a) | Zpracování údajů rodičů z klinických dotazníků, zejména údajů o zdravotním a psychickém stavu |
| Oprávněný zájem (čl. 6 odst. 1 písm. f) | Bezpečnostní monitoring, analytika provozu platformy, ochrana před zneužitím |
| Zákonná povinnost (čl. 6 odst. 1 písm. c) | Uchovávání fakturačních a účetních údajů dle daňových předpisů |
3.1 Zvláštní kategorie údajů (čl. 9 GDPR)
Odpovědi rodičů na klinické dotazníky (zejména DASS — Depression Anxiety Stress Scale, SDQ — Strengths and Difficulties Questionnaire) mohou představovat údaje o zdravotním stavu, které spadají pod zvláštní kategorie osobních údajů. Tyto údaje zpracováváme výhradně na základě výslovného souhlasu subjektu údajů (čl. 9 odst. 2 písm. a) GDPR) uděleného před vyplněním dotazníku.
4. Účely zpracování
- Poskytování služeb platformy — autentizace uživatelů, správa účtů, přístup ke službám (LimeSurvey, HumHub, Nextcloud, Metabase)
- Klinické hodnocení — automatický scoring dotazníků, generování pre/post porovnání, sledování efektivity intervence
- Analytika a reporting — agregované statistiky pro lektory a správce programu, dashboardy v Metabase
- Bezpečnost — audit přístupů, ochrana před neoprávněným přístupem, monitoring dostupnosti služeb
- Komunikace — notifikace o systémových událostech, e-mailové upozornění na nové dotazníky
- Zlepšování služeb — anonymizovaná webová analytika (Matomo), sledování výkonu platformy
5. Příjemci osobních údajů
Osobní údaje neprodáváme ani neposkytujeme třetím stranám pro marketingové účely. Údaje mohou být sdíleny s následujícími příjemci:
| Příjemce | Účel | Právní základ |
|---|---|---|
| Lektoři Triple P | Přístup k anonymizovaným výsledkům svých účastníků prostřednictvím lektorského kódu | Souhlas rodiče, plnění smlouvy |
| Poskytovatel hostingu | Technický provoz serverové infrastruktury (Proxmox/LXC) | Zpracovatelská smlouva |
| Web4U Internet s.r.o. | Správa domén a DNS, e-mailové služby | Zpracovatelská smlouva |
| Orgány veřejné moci | Na základě zákonné povinnosti (např. soudní příkaz) | Zákonná povinnost |
6. Zabezpečení údajů
Přijali jsme technická a organizační opatření k ochraně osobních údajů:
- Šifrování přenosu — veškerá komunikace je šifrována prostřednictvím SSL/TLS certifikátů (Let's Encrypt) spravovaných přes Traefik reverse proxy
- Centralizovaná autentizace — jednotné přihlášení (SSO) prostřednictvím Keycloak s podporou dvoufaktorové autentizace
- Izolace služeb — každá služba běží v samostatném LXC kontejneru s minimálními oprávněními
- Zálohování — pravidelné zálohy databází (PostgreSQL, MariaDB) s šifrovaným úložištěm
- Monitoring — nepřetržitý monitoring dostupnosti služeb (Uptime Kuma), logování přístupů
- Přístupová práva — rolový model oprávnění (RBAC) v Keycloak, princip nejmenších oprávnění
- Anonymizace — rodičovské údaje jsou primárně identifikovány tokeny, nikoli přímo identifikujícími údaji
7. Doba uchovávání údajů
| Typ údajů | Doba uchovávání | Důvod |
|---|---|---|
| Údaje lektorů (aktivní účet) | Po dobu trvání smluvního vztahu + 3 roky | Plnění smlouvy, oprávněný zájem |
| Odpovědi rodičů z dotazníků | 5 let od vyplnění | Klinické hodnocení efektivity programu |
| Anonymizovaná analytická data | Bez omezení | Agregovaná data bez možnosti identifikace |
| Logy přístupů a bezpečnostní záznamy | 12 měsíců | Bezpečnost a audit |
| Účetní a fakturační údaje | 10 let | Zákonná povinnost (zákon o účetnictví) |
Po uplynutí doby uchovávání budou údaje bezpečně smazány nebo nevratně anonymizovány.
8. Práva subjektů údajů
V souladu s GDPR máte následující práva:
- Právo na přístup (čl. 15) — získat potvrzení, zda jsou vaše údaje zpracovávány, a kopii těchto údajů
- Právo na opravu (čl. 16) — požadovat opravu nepřesných nebo neúplných údajů
- Právo na výmaz (čl. 17) — požadovat smazání údajů, pokud pominul účel zpracování
- Právo na omezení zpracování (čl. 18) — požadovat dočasné omezení zpracování
- Právo na přenositelnost (čl. 20) — získat své údaje ve strojově čitelném formátu
- Právo vznést námitku (čl. 21) — vznést námitku proti zpracování založenému na oprávněném zájmu
- Právo odvolat souhlas (čl. 7 odst. 3) — kdykoli odvolat udělený souhlas se zpracováním
- Právo podat stížnost — u Úřadu pro ochranu osobních údajů (ÚOOÚ), Pplk. Sochora 27, 170 00 Praha 7, www.uoou.cz
9. Cookies a webová analytika
Platforma PREDUKA využívá nástroj Matomo pro webovou analytiku. Matomo je provozován na vlastní infrastruktuře Správce (self-hosted), takže žádná analytická data nejsou předávána třetím stranám.
| Typ | Účel | Doba platnosti |
|---|---|---|
| Nezbytné (session) | Autentizace přes Keycloak SSO, CSRF ochrana | Relace / 24 hodin |
| Analytické (Matomo) | Anonymizovaná statistika návštěvnosti | 13 měsíců |
| Funkční | Uživatelské preference (jazyk, zobrazení) | 1 rok |
Analytické cookies zpracováváme s anonymizací IP adres. Můžete je odmítnout bez dopadu na funkčnost platformy.
10. Předávání údajů mimo EU/EHP
Veškeré osobní údaje jsou uchovávány a zpracovávány výhradně na serverech umístěných v České republice, resp. v Evropské unii. Údaje nejsou předávány do třetích zemí mimo EU/EHP.
11. Automatizované rozhodování a profilování
Platforma provádí automatický scoring klinických dotazníků (výpočet skóre na základě odpovědí dle publikovaných klinických metodik). Toto zpracování nepředstavuje automatizované rozhodování ve smyslu čl. 22 GDPR, neboť výsledky slouží výhradně jako podklad pro odborné posouzení lektorem a nemají právní ani jiné obdobné účinky na subjekt údajů.
12. Kontakt
Pro veškeré dotazy týkající se ochrany osobních údajů se obracejte na:
E-mail: gdpr@preduka.cz
Adresa: Html 77 s.r.o., [DOPLNIT ADRESU]
13. Změny těchto zásad
Tyto Zásady mohou být průběžně aktualizovány. O podstatných změnách budeme uživatele informovat prostřednictvím platformy nebo e-mailem. Aktuální verze je vždy dostupná na této stránce.