Ochrana soukromí

Správce osobních údajů

David Bárta, fyzická osoba, ČR. Kontakt: hey@jarvis.kids. Pověřence pro ochranu osobních údajů (DPO) JARVIS nemá — provoz neprobíhá v rozsahu, který by ho podle čl. 37 GDPR vyžadoval.

Co o tobě zpracováváme

• Identifikace: e-mail, jméno (volitelné), uživatelské jméno (volitelné), avatar (volitelné), Apple Account identifikátor pokud používáš Apple Sign-In.
• Autentizace: hash hesla (Better Auth), tokeny magic-link a přihlašovacích klíčů, IP adresa a User-Agent přihlašovací relace (Better Auth session tabulka).
• Provozní: záznam přijetí podmínek (verze + časové razítko), záznam dokončení onboardingu, append-only audit log mutací (kdo schválil report, kdy proběhla denní obnova).
• Citlivý obsah — názvy spouštěčů odměn, popisky odměn a povinností, poznámky k reportům, popisky zařízení — je šifrovaný klíčem rodiny a na admin plochách ho nedešifrujeme.
• Push subscription endpointy uživatelů, kteří povolili notifikace (Apple/Google push servery — bez plaintextu).
• Šifrovací artefakty — zabalený DEK rodiny + jeho recovery payload (čistě binární, server nečte). Slouží k tomu, abys mohl/a obnovit přístup k šifrovanému obsahu po výměně zařízení.

Právní základ a účely zpracování

Plnění smlouvy (čl. 6 odst. 1 písm. b GDPR): poskytnutí služby JARVIS (rodinný hub, schvalování, ledger coinů, správa zařízení).

Souhlas (čl. 6 odst. 1 písm. a GDPR): přijetí podmínek a zásad soukromí při registraci. Souhlas je dobrovolný a kdykoliv odvolatelný v Nastavení → Soukromí („Smazat účet“). Odvoláním souhlasu zaniká právní základ a my tvá data smažeme.

Oprávněný zájem (čl. 6 odst. 1 písm. f GDPR): audit log a anti-fraud mitigace přihlašování (rate limiting, IP rate budgets). Účel: zajištění integrity a bezpečnosti služby; rozsah: minimální nezbytný.

Děti do 15 let (čl. 8 GDPR + § 7 z. č. 110/2019 Sb.): dětský účet zakládá rodič jako zákonný zástupce. Souhlas se zpracováním dat dítěte uděluje rodič v zaškrtávacím poli při registraci. Aplikace neoslovuje děti přímo marketingovým ani jiným kontaktem mimo rodinný kontext.

Příjemci a sub-zpracovatelé

• Vercel Inc. (USA) — hosting Next.js aplikace. Region fra1 (Frankfurt, EU). Zpracovává metadata HTTP požadavků a logy; nemá přístup k plaintext citlivého obsahu (šifrováno klíčem rodiny). Smluvní vztah: Vercel DPA + SCCs.
• Neon Inc. (USA) — hostovaný serverless Postgres. Region EU (Frankfurt). Zpracovává všechna data uložená v DB; citlivý obsah je šifrovaný klíčem rodiny, který Neon nezná. Smluvní vztah: Neon DPA + SCCs.
• Resend Inc. (USA) — odesílání transakčních e-mailů (přihlášení, obnova hesla). Doména jarvis.kids ověřená. Smluvní vztah: Resend DPA + SCCs.
• Apple Inc. (USA) — pokud používáš „Sign in with Apple“, Apple zpracovává proces autentizace. Když máš zapnutý Hide-My-Email, e-mail tě smí kontaktovat jen přes Apple relay. Smluvní vztah: Apple Sign-In Terms + Apple DPA.
• Apple Push Notification service (APNs) + Google Firebase Cloud Messaging (FCM) — pokud používáš nativního iOS / Android klienta, push notifikace prochází APNs / FCM. Webová PWA jde přes přímé Web Push (browserový push server bez plaintextu).
• Vercel Edge Network — statické assety (CSS, fonty, ikony) distribuujeme přes globální Edge Network (POPy mimo EU), ale veškerá uživatelská data + DB zůstávají v EU regionu.

Žádná data nepředáváme inzerentům, datovým brokerům ani na analytické platformy. JARVIS nepoužívá tracking pixely, fingerprint tracking, ani třetí-stranou cookies.

Bezpečnostní incidenty

Při zjištění vysokorizikového úniku osobních údajů informujeme dotčené uživatele e-mailem do 72 hodin a podáme oznámení Úřadu pro ochranu osobních údajů ČR podle čl. 33 GDPR. Nízkorizikové incidenty bez dopadu na práva a svobody subjektů údajů loggujeme interně podle čl. 33 odst. 5 GDPR bez nutnosti ohlášení.

Doba uchování

• Profil + ledger: po dobu existence účtu. Smazáním účtu odstraníme řádek z users včetně FK cascade (transakce, reporty, recovery key, push subscriptions).
• Šifrovaná data: po smazání rodinného klíče jsou nečitelná i s administrátorským přístupem. Mažeme spolu s posledním parentem rodiny.
• Audit log: 24 měsíců (oprávněný zájem na doložitelnosti administrativních akcí). actor_user_id má ON DELETE SET NULL, takže smazáním uživatele zůstává záznam akce, ale bez napojení na konkrétní osobu.
• Backup snapshoty: Neon uchovává automatické point-in-time recovery snapshoty po dobu 7 dní. Mazání z živé DB se v tomto okně nepropíše okamžitě, ale dat se po týdnu zbavujeme i z backupů.

Tvoje práva

Podle GDPR máš následující práva, která můžeš uplatnit buď v aplikaci (Nastavení → Soukromí), nebo e-mailem na hey@jarvis.kids:

• Právo na přístup (čl. 15): stáhnout svá uživatelská data (profil, členství v rodině, audit log, záznamy o souhlasu) jako JSON („Stáhnout mé data“ v Nastavení). Šifrovaný obsah rodiny (názvy spouštěčů, popisky odměn, poznámky reportů) přidáme do exportu po dokončení client-side dešifrování.
• Právo na opravu (čl. 16): úprava jména, avataru a profilu rovnou v Nastavení.
• Právo na výmaz (čl. 17): smazání účtu („Smazat účet“ v Nastavení) — okamžité a nevratné. Šifrovaný obsah rodiny se po smazání rodinného klíče stane nečitelný.
• Právo na omezení zpracování (čl. 18): požádej e-mailem o pozastavení.
• Právo na přenositelnost (čl. 20): stejný JSON export jako u práva na přístup, ve strojově čitelném formátu.
• Právo vznést námitku (čl. 21): aktuálně relevantní jen pro audit log (oprávněný zájem). E-mailem.
• Odvolat souhlas: viz „Smazat účet“. Odvolání nemá zpětnou účinnost — zákonnost zpracování v období před odvoláním zůstává zachována.

Pokud máš pocit, že porušujeme GDPR, můžeš podat stížnost u Úřadu pro ochranu osobních údajů ČR nebo s jiným dozorovým úřadem v EU/EHP, kde žiješ, pracuješ nebo kde podle tebe k porušení došlo (čl. 77 GDPR).

Bezpečnost

Šifrování citlivého obsahu klíčem rodiny (libsodium XChaCha20-Poly1305, klíč rodiny chráněný heslem nebo přihlašovacím klíčem). HttpOnly cookies + rate-limiting na auth endpointech. Audit log mutací. Detaily v docs/tenancy-and-privacy.md.

Změny zásad

Při materiální změně zásad navýšíme verzi nahoře a poprosíme tě při dalším přihlášení o nové potvrzení. Nemateriální úpravy (oprava překlepů, doplnění odkazů) se neoznamují.