Zpět na hlavní stránku

Zásady ochrany osobních údajů

21. března 2026

1. Správce údajů

Bartosz Różycki, neevidovaná samostatná výdělečná činnost (działalność nierejestrowana), Polsko.

Kontakt: team@albumqr.io — odpověď do 30 dnů.

2. Údaje, které zpracováváme

Organizátoři

e-mailová adresa a profil Google (OAuth), název a konfigurace akce, platební údaje (zpracovávány výhradně společností Stripe — neukládáme údaje o kartě), technické údaje (IP, logy).

Hosté

fotografie a náhledy (nahrané přímo do S3 přes presigned URL), volitelné jméno a zpráva, metadata fotografií (datum, velikost, EXIF), technické údaje. Lajky jsou uloženy pouze lokálně v prohlížeči.

Analytika

Google Analytics 4 — data o návštěvnosti a interakcích (GA4 události), se souhlasem uživatele (Consent Mode v2). Data přenášena společnosti Google LLC (USA).

3. Účely a právní základy

Údaje zpracováváme za účelem poskytování služby a zpracování plateb (plnění smlouvy), zajištění bezpečnosti a analytiky (oprávněné zájmy), volitelné integrace s Google Drive (souhlas) a plnění právních povinností.

4. Odpovědnost organizátora za práva k zobrazení

⚠️ Důležité

AlbumQR je technický nástroj. Správce služby nemoderuje obsah ani neověřuje souhlasy s použitím podobizny. Organizátor je odpovědný za informování účastníků a získání veškerých požadovaných souhlasů (příslušné právo na ochranu podobizny, GDPR).

5. Zpracovatelé údajů

ZpracovatelÚčel
Vercel Inc.USA — hosting; standardní smluvní doložky (SCC)
Amazon Web ServicesS3 eu-central-1 Frankfurt, CloudFront — fotografie; SCC
Stripe Inc.USA — platby; nezávislý správce údajů
Google LLCUSA — OAuth, Google Analytics 4, volitelně Google Drive; SCC
Neon Inc.databáze PostgreSQL (AWS eu-central-1, EHP)

6. Zabezpečení

  • Šifrovaný přenos HTTPS/TLS
  • Fotografie nahrávány přímo do S3 přes presigned URL (platnost 15 min)
  • Přístup do soukromé galerie chráněn podepsanými cookies CloudFront (24 h)
  • Omezení četnosti požadavků na koncových bodech pro nahrávání

7. Doby uchovávání

  • Fotografie a metadata — do smazání organizátorem nebo vypršení tarifu
  • Údaje účtu Google — po dobu existence účtu, smazány na požádání
  • Platební údaje — v souladu s politikou Stripe (až 5 let, právní požadavky)
  • Technické logy — až 90 dní

8. Vaše práva

Podle GDPR máte právo na přístup, opravu, výmaz, omezení zpracování, přenositelnost údajů, námitku a odvolání souhlasu. Kontaktujte nás: team@albumqr.io.

Můžete také podat stížnost u polského Úřadu pro ochranu osobních údajů (UODO), ul. Stawki 2, Varšava — uodo.gov.pl.

Práva na soukromí v Kalifornii (CCPA/CPRA)

Pokud jste obyvatelem Kalifornie, máte další práva podle kalifornského zákona o ochraně spotřebitelů (CCPA) ve znění kalifornského zákona o právech na soukromí (CPRA).

1. Právo na informace

Máte právo vědět, jaké osobní údaje shromažďujeme. Shromažďujeme následující kategorie:

  • Identifikátory (e-mailová adresa, údaje profilu OAuth od Googlu)
  • Konfigurační údaje akcí (název akce, termíny, nastavení)
  • Metadata nahraných fotografií (velikost souboru, rozměry, datum EXIF, orientace)
  • Protokoly o využití a technické údaje (IP adresa, informace o prohlížeči)
  • Platební záznamy — zpracovávány výhradně společností Stripe Inc. (neukládáme čísla karet)

2. Právo na výmaz

Můžete požádat o smazání svých osobních údajů. Organizátoři mohou smazat svůj účet a všechna přidružená data prostřednictvím funkce samoobslužného smazání účtu na /settings (Danger Zone → Delete Account), nebo nás kontaktujte na team@albumqr.io.

3. Právo na odhlášení z prodeje nebo sdílení

AlbumQR neprodává ani nesdílí osobní údaje za peněžní ani jinou hodnotnou protihodnotu. Vaše údaje neprodáváme třetím stranám a nesdílíme je za účelem behaviorální reklamy napříč kontexty.

4. Právo na nediskriminaci

AlbumQR vás nebude diskriminovat za uplatnění jakéhokoliv z vašich práv podle CCPA. Nebudou vám odepřeny služby, účtovány jiné ceny ani poskytována jiná úroveň služeb kvůli uplatnění vašich práv na ochranu soukromí.

5. Jak podat žádost

Pro podání žádosti o uplatnění práv na ochranu soukromí nás kontaktujte na: team@albumqr.io. Odpovíme do 45 dnů od obdržení ověřitelné žádosti spotřebitele.

9. Cookies a localStorage

Používáme session cookies NextAuth (nezbytné pro přihlášení) a podepsané cookies CloudFront (přístup do galerie, 24 h). localStorage ukládá lajky a jazykové preference lokálně.

S vaším souhlasem nastavujeme také cookies Google Analytics 4 (_ga, _ga_*) — uloženy až 2 roky. Souhlas můžete kdykoliv odvolat kliknutím na 'Odmítnout' v banneru se souhlasem nebo vymazáním dat prohlížeče. Používáme Consent Mode v2 — žádné analytické cookies nejsou nastaveny před udělením souhlasu.

Google Consent Mode v2 může využívat techniky behaviorálního modelování, včetně modelování konverzí a Google Signals, i když uživatel neposkytl plný souhlas s analytikou. To znamená, že Google může odhadovat vzorce návštěvnosti z agregovaných, anonymizovaných dat. Podrobnosti naleznete zde: Google Consent Mode v2.

10. Změny těchto zásad

Aktuální verze je dostupná na www.albumqr.io/privacy. O podstatných změnách budou organizátoři informováni e-mailem.

11. Minimální věkový požadavek (COPPA / GDPR)

Tato služba je určena uživatelům ve věku 16 let a více. Tento požadavek vychází z čl. 8 GDPR a amerického zákona o ochraně soukromí dětí na internetu (COPPA).

AlbumQR vědomě neshromažďuje osobní údaje dětí mladších 16 let. Pokud zjistíme, že takové údaje byly shromážděny, budou okamžitě smazány.

Organizátoři jsou odpovědní za zajištění toho, aby hosté účastnící se jejich akcí splňovali minimální věkový požadavek.

12. Oznámení o porušení zabezpečení údajů

V případě porušení zabezpečení osobních údajů AlbumQR oznámí polskému Úřadu pro ochranu osobních údajů (UODO, ul. Stawki 2, 00-193 Varšava, uodo.gov.pl) do 72 hodin od zjištění porušení, v souladu s čl. 33 GDPR.

Pokud je pravděpodobné, že porušení bude mít za následek vysoké riziko pro práva a svobody dotčených osob, oznámíme to těmto osobám přímo bez zbytečného odkladu (čl. 34 GDPR).

Pro nahlášení podezření na bezpečnostní incident kontaktujte: team@albumqr.io.