Zásady ochrany osobních údajů

Verze 1.0 · Účinné od 9. května 2026

1. Úvod a správce údajů

Tyto zásady ochrany osobních údajů popisují, jak Lemur VSA s.r.o. (provozovatel značky Lemur Academy, IČO 02068354, se sídlem Masarykova 413/34, 602 00 Brno; dále jen „provozovatel“) shromažďuje, používá a chrání osobní údaje uživatelů aplikace prijimacky.lemur.cz a jejích subdomén (dále jen „služba“). Provozovatel je správcem osobních údajů ve smyslu Nařízení (EU) 2016/679 (GDPR).

Pro otázky k těmto zásadám, uplatnění práv subjektu údajů nebo jakákoli další sdělení v oblasti ochrany osobních údajů nás kontaktujte na adrese privacy@lemur.cz.

2. Jaké údaje shromažďujeme

Provozovatel zpracovává následující kategorie osobních údajů:

• Údaje o účtu rodiče: e-mailová adresa, jméno a příjmení, telefonní číslo (volitelné), fakturační adresa, hash hesla (Argon2id; samotné heslo nikdy neukládáme) a údaj o ověření e-mailu.
• Údaje o dětech: křestní jméno, ročník (9. třída ZŠ), výsledky úloh a koncentrační metriky. Údaje o dětech vkládá rodič jako zákonný zástupce. Záměrně NESHROMAŽĎUJEME příjmení dítěte, datum narození, adresu, telefon, e-mail dítěte, fotku tváře dítěte ani GPS.
• Údaje o použití (audit log): IP adresa, identifikátor prohlížeče (User-Agent), časová razítka přihlášení, registrace a změn souhlasů.
• Komunikace: obsah transakčních e-mailů odeslaných přes Resend (ověření účtu, reset hesla, oznámení o smazání).
• Anonymizovaná statistika návštěvnosti: souhrnné údaje přes službu Plausible Analytics — bez cookies, bez identifikace jednotlivých uživatelů, bez sdílení s třetími stranami.

3. Účely zpracování a právní základy (GDPR čl. 6)

• Poskytování služby (registrace, autentizace, učení, evidence předplatného) — plnění smlouvy, čl. 6 odst. 1 písm. b) GDPR.
• Bezpečnost a ochrana proti zneužití (rate limiting, audit logy, detekce podvodných pokusů) — oprávněný zájem provozovatele, čl. 6 odst. 1 písm. f) GDPR.
• Transakční e-maily (ověření účtu, reset hesla, oznámení o stavu předplatného) — plnění smlouvy, čl. 6 odst. 1 písm. b) GDPR.
• Účetnictví a fakturace — plnění právních povinností, čl. 6 odst. 1 písm. c) GDPR (zákon č. 563/1991 Sb., o účetnictví).
• Marketingová komunikace (newsletter, nabídky souvisejících produktů Lemur VSA) — pouze na základě souhlasu, čl. 6 odst. 1 písm. a) GDPR. Souhlas lze kdykoli odvolat v Nastavení / Soukromí nebo odhlašovacím odkazem v patičce e-mailu.
• Anonymizovaná statistika — provoz a optimalizace služby jako oprávněný zájem (čl. 6 odst. 1 písm. f) GDPR), neboť Plausible nepoužívá cookies a nesleduje individuální uživatele.

4. Doba uchování

• Údaje účtu a profilů dětí: po dobu existence účtu; po žádosti o smazání následuje 30denní cooling období, během kterého lze smazání zrušit.
• Audit logy (přihlášení, změny souhlasů, akce nad účtem): 12 měsíců.
• Záložní kopie: rotace 30 dnů.
• Účetní doklady (faktury): archivace 10 let dle zákona č. 563/1991 Sb. po anonymizaci osobních údajů, které již nejsou potřebné pro účetní účely.
• Anonymizovaná statistika: souhrnné údaje bez vazby na osobu, bez časového omezení.

5. Vaše práva (GDPR čl. 15–22)

V souvislosti se zpracováním osobních údajů máte následující práva:

• Právo na přístup ke svým osobním údajům (čl. 15) — JSON export
• Právo na opravu nesprávných nebo neúplných údajů (čl. 16) — editace v Nastavení
• Právo na výmaz („právo být zapomenut“, čl. 17) — fyzické smazání do 30 dnů
• Právo na omezení zpracování (čl. 18)
• Právo na přenositelnost údajů (čl. 20) — strojově čitelný JSON export
• Právo vznést námitku proti zpracování na základě oprávněného zájmu (čl. 21)
• Právo odvolat souhlas kdykoli, aniž by tím byla dotčena zákonnost zpracování před odvoláním (čl. 7 odst. 3)
• Právo podat stížnost u Úřadu pro ochranu osobních údajů (uoou.cz), pokud se domníváte, že zpracování porušuje GDPR.

Pro uplatnění práv pište na privacy@lemur.cz nebo využijte funkce export dat a smazání účtu v sekci Nastavení / Soukromí. Vaši totožnost ověříme přes přihlášený účet, abychom zabránili neoprávněnému přístupu k údajům.

6. Příjemci údajů (zpracovatelé)

Pro provoz služby využíváme následující smluvní zpracovatele. Se všemi máme uzavřenu zpracovatelskou smlouvu (DPA) ve smyslu čl. 28 GDPR.

• Hetzner Online GmbH (Německo) — cloudový hosting serverů a Object Storage. Lokalita zpracování: EU/EHP.
• Resend, Inc. (USA) — odesílání transakčních e-mailů. Přenos do USA je krytý standardními smluvními doložkami (SCC) podle čl. 46 GDPR.
• Plausible Insights OÜ (Estonsko, EU) — anonymizovaná statistika návštěvnosti, bez cookies, bez PII.
• Sentry (Functional Software, Inc., USA) — error tracking v běžícím kódu; SCC pro přenosy.
• Active 24, s.r.o. (ČR) — DNS pro doménu lemur.cz.

Nepoužíváme reklamní sítě, retargetingové cookies ani sdílení dat s třetími stranami pro marketingové účely.

7. Mezinárodní přenosy

Většina zpracování probíhá v Evropském hospodářském prostoru (EHP). U zpracovatelů se sídlem v USA (Resend, Sentry) jsou přenosy chráněny standardními smluvními doložkami EU dle čl. 46 odst. 2 GDPR. Žádné osobní údaje nezasíláme do zemí bez odpovídající úrovně ochrany.

8. Zabezpečení

Provozovatel přijímá organizační a technická opatření odpovídající rizikům dle čl. 32 GDPR:

• Šifrování v klidu (LUKS na produkčních diskových oddílech).
• Šifrování při přenosu (TLS 1.3 přes Caddy reverse proxy).
• Hashování hesel algoritmem Argon2id s aktuálními parametry OWASP.
• Audit logy s identifikací aktéra (uživatele) v každé operaci nad osobními daty.
• Pravidelné zálohy (rotace 30 dní), oddělené od produkční infrastruktury.
• Restrikce přístupu k produkční databázi (přístup pouze přes WireGuard VPN, pouze pro vyhrazené role).

9. Cookies

Aplikace používá pouze nezbytně nutné cookies pro fungování přihlášení a CSRF ochrany. Žádné tracking cookies, žádné reklamní cookies. Detail v zásadách cookies.

10. Změny zásad

Tyto zásady jsou verzované polem terms_version. Aktuální verze je 1.0. O zásadních změnách informujeme přihlášené uživatele e-mailem nejméně 30 dnů před účinností; jako uživatel máte právo nesouhlasit a smazat účet.

11. Kontakt

Lemur VSA s.r.o., Masarykova 413/34, 602 00 Brno, IČO 02068354.
E-mail: privacy@lemur.cz

Pověřenec pro ochranu osobních údajů (DPO) zatím není formálně jmenován — povinnost dle čl. 37 GDPR provozovatele nezakládá. Rozhodnutí o případném jmenování DPO je ve fázi přípravy a bude zveřejněno před ostrým spuštěním komerčního provozu.

12. Účinnost

Tyto zásady jsou účinné od 9. května 2026. Verze 1.0.