KorbisZásady ochrany osobních údajů
Korbis je vzdělávací aplikace pro děti od 6 do 11 let zaměřená na procvičování matematiky a češtiny a přípravu na přijímací zkoušky. Soukromí dětí bereme jako základní vlastnost produktu, ne jako formalitu: nesbíráme skutečná jména dětí, nezobrazujeme reklamu, neprodáváme data a neměříme nic, co pro výuku nepotřebujeme.
1. Kdo je správce osobních údajů
Správcem osobních údajů je Martin Tříska, fyzická osoba, Všerubská 1268/5d, 155 00 Praha 5, Česká republika. Kontakt pro ochranu osobních údajů: podpora@korbis.cz.
Pověřenec pro ochranu osobních údajů (DPO) není jmenován – po posouzení jsme dospěli k závěru, že nám tato povinnost podle čl. 37 GDPR v současném nastavení nevzniká. Posouzení pravidelně revidujeme.
2. Jaké údaje zpracováváme a proč
Údaje získáváme přímo od rodiče nebo zákonného zástupce při založení či propojení účtu, z používání aplikace dítětem a v případě přihlášení přes Apple také od společnosti Apple (v rozsahu technického identifikátoru a případně skrytého e-mailu).
2.1 Účet a přihlášení
Aplikaci lze začít používat bez registrace – vytvoříme anonymní účet, který neobsahuje žádný kontaktní údaj. Rodič může účet později propojit s e-mailem nebo Apple ID, aby se pokrok neztratil při výměně zařízení.
| Údaj | Účel | Právní základ |
|---|---|---|
| Přezdívka dítěte (display name) | Oslovení v aplikaci. Žádáme výslovně přezdívku, ne skutečné jméno. | plnění smlouvy (čl. 6 odst. 1 písm. b) |
| Ročník (třída) dítěte | Výběr učiva odpovídajícího věku | plnění smlouvy |
| E-mail rodiče (jen u propojeného účtu) | Přihlášení, obnova účtu, komunikace | plnění smlouvy |
| Apple ID identifikátor (jen při Sign in with Apple) | Přihlášení | plnění smlouvy |
| Záznam o udělení/odvolání rodičovského souhlasu (datum a čas, IP adresa, user-agent) | Prokázání, že souhlas udělil rodič či zákonný zástupce, evidence jeho odvolání a obrana právních nároků | splnění právní povinnosti být schopen prokázat souhlas (čl. 7 odst. 1 GDPR) a náš oprávněný zájem na doložení souladu a obraně práv |
Pokud rodič zvolí přihlášení přes Sign in with Apple, získáme od společnosti Apple pouze technický identifikátor potřebný pro přihlášení a případně e-mailovou adresu, kterou Apple pro tento účel zpřístupní (včetně skrytého relay e-mailu, pokud jej rodič zvolí). Nezískáváme přístup k žádným dalším údajům z Apple účtu.
2.2 Učení a personalizace
| Údaj | Účel | Právní základ |
|---|---|---|
| Odpovědi na cvičení (správnost, čas) | Sledování pokroku, opakování učiva | plnění smlouvy |
| Stav zvládnutí dovedností (mastery, obtížnostní rating) | Adaptivní volba obtížnosti – aby úlohy nebyly ani příliš těžké, ani příliš lehké | plnění smlouvy |
| Údaje o lekcích (délka, dokončení, série dní) | Pokrok a motivační prvky | plnění smlouvy |
Adaptivní personalizace je profilování ve smyslu GDPR – slouží výhradně k volbě obtížnosti učiva a nemá pro dítě ani rodiče žádné právní či obdobně významné účinky. Podrobnosti: Jak Korbis používá AI.
2.3 Hlas a mikrofon
- Předčítání (text-to-speech): texty cvičení (nikdy údaje o dítěti) se převádějí na hlas službou ElevenLabs. Vygenerované audio dočasně ukládáme (cache ~30 dní).
- Cvičení výslovnosti (speech-to-text): jde o volitelnou funkci. Pokud rodič v zařízení povolí aplikaci přístup k mikrofonu a dítě tuto funkci použije, je dočasně zpracována zvuková nahrávka za účelem převodu na text službou ElevenLabs. Po převodu nahrávku trvale neukládáme a nepoužíváme ji k žádnému jinému účelu. Právním základem je plnění smlouvy ve vztahu k této konkrétně zvolené funkci; bez povolení mikrofonu lze ostatní části aplikace používat dál (povolení mikrofonu v iOS je technické oprávnění, ne souhlas ve smyslu GDPR).
2.4 Technický provoz
| Údaj | Účel | Právní základ |
|---|---|---|
| Minimalizovaná technická chybová hlášení (typ chyby, verze aplikace a iOS) – konfigurovaná tak, aby neobsahovala jméno ani přímý identifikátor účtu | Oprava pádů a chyb | oprávněný zájem: zajištění bezpečnosti, stability a opravitelnosti aplikace |
| Kontrola neobvyklých vzorců odpovědí (zpracováváno výhradně na serveru) | Ochrana přesnosti adaptivního učení před zkreslením; údaje nikdy neopouštějí server a nikdy se nezobrazují | oprávněný zájem: ochrana validity adaptivního učebního modelu |
| Volitelná analytika | Zlepšování produktu; výchozí stav vypnuto | souhlas |
Kontrola neobvyklých vzorců odpovědí neslouží k udělování sankcí dítěti a sama o sobě nevede k omezení účtu ani k jinému rozhodnutí s právními či obdobně významnými účinky – pouze pomáhá adaptivnímu algoritmu správně odhadovat obtížnost. Protože toto zpracování vychází z našeho oprávněného zájmu, může proti němu rodič za dítě vznést námitku podle čl. 21 GDPR; posoudíme ji s ohledem na to, zda máme pro pokračování zpracování závažné oprávněné důvody.
Volitelná analytika slouží pouze k internímu zlepšování produktu. Je ve výchozím stavu vypnutá a zapíná ji rodič. Zpracováváme jen souhrnné údaje o používání aplikace (např. počet relací, dokončení lekcí a souhrnné míry dokončení) – nikdy obsah odpovědí ani reklamní identifikátory; nepoužíváme je pro reklamu, marketing třetích stran ani sledování napříč aplikacemi a weby.
2.5 Web korbis.cz a pořadník
Web korbis.cz používá volitelné anonymní měření návštěvnosti nástrojem Google Analytics 4. Měření se spustí pouze s vaším souhlasem (lišta při první návštěvě); svou volbu můžete kdykoli změnit přes odkaz „Nastavení cookies" v patičce webu. Bez souhlasu se žádné analytické cookies neukládají a žádný měřicí kód se nenačítá.
- Co měříme: souhrnné údaje o návštěvě webu (zobrazené stránky, přibližný zdroj návštěvy, typ zařízení). Měření se týká výhradně tohoto webu; v aplikaci pro děti žádné takové měření neprobíhá.
- Cookies: _ga a _ga_* (rozlišení opakované návštěvy), platnost nejvýše 13 měsíců.
- Právní základ: souhlas dle čl. 6 odst. 1 písm. a) GDPR; odvoláte ho kdykoli přes „Nastavení cookies" v patičce.
- Příjemce: Google Ireland Ltd. jako zpracovatel; data mohou být předána do USA za podmínek kapitoly V GDPR (EU–US Data Privacy Framework). Reklamní funkce Google Analytics máme vypnuté a data nepoužíváme pro reklamu.
- Doba uchování: přehledy v Google Analytics nejvýše 14 měsíců.
Běžné technické logy hostingu mohou vznikat v rozsahu nutném pro provoz a bezpečnost webu.
Pokud nám na webu necháte e-mail do pořadníku, použijeme ho výhradně k informování o testování a spuštění aplikace (právní základ: souhlas, který potvrzujete kliknutím na odkaz v ověřovacím e-mailu). E-mail ukládáme u našeho zpracovatele Supabase v EU a uchováváme ho do odvolání souhlasu nebo do ukončení pořadníku. Odhlásit se můžete jedním kliknutím v každém e-mailu; smazání můžete kdykoli žádat na podpora@korbis.cz.
2.6 Co NEzpracováváme
- skutečné jméno dítěte, fotografie, geolokaci, kontakty, biometrické či zdravotní údaje,
- žádná data pro reklamu – aplikace neobsahuje reklamu ani technologie pro reklamní sledování napříč aplikacemi a weby,
- kresby dítěte se vyhodnocují přímo v zařízení a nikam se neodesílají.
3. Děti a rodičovský souhlas
Aplikace je určena dětem od 6 do 11 let. U dítěte v tomto věku vůči nám jedná rodič nebo zákonný zástupce, který schvaluje používání aplikace a případná volitelná zpracování.
U údajů nezbytných pro poskytování základních funkcí aplikace vycházíme z právního základu plnění smlouvy. Protože je však aplikace službou informační společnosti určenou dětem a dítě v ČR mladší 15 let nemůže příslušné schválení udělit samo (§ 7 zákona č. 110/2019 Sb., čl. 8 GDPR), vyžadujeme před zpřístupněním těchto funkcí schválení rodičem nebo zákonným zástupcem (obrazovka za rodičovskou bránou). Toto rodičovské schválení neoznačuje samostatný právní základ všech zpracování – právní základy jednotlivých účelů uvádíme v tabulkách výše. Schválení evidujeme tak, abychom byli schopni prokázat, kdy a jak bylo uděleno nebo odvoláno; odvolat ho lze kdykoli na podpora@korbis.cz nebo smazáním účtu.
Volitelné zpracování, které pro fungování aplikace nutné není (např. volitelná analytika), je oddělené, stojí na skutečném souhlasu dle čl. 6 odst. 1 písm. a) GDPR a jeho neudělení nemá žádný vliv na možnost používat základní funkce aplikace.
Rodičovská brána odděluje rodičovské úkony (souhlas, správa účtu, propojení účtu a případné budoucí nákupy) od dětské části aplikace.
4. Komu údaje předáváme
Data nikdy neprodáváme ani nepředáváme třetím stranám pro jejich vlastní marketingové účely. Využíváme tyto příjemce:
| Příjemce | Role | Jaká data může obdržet | Umístění / předání | Záruky |
|---|---|---|---|---|
| Supabase | zpracovatel (čl. 28) – databáze, přihlašování, úložiště | účet, pokrok, souhlasy, technická data, e-maily pořadníku | EU (AWS Dublin, Irsko) | data zůstávají v EU |
| ElevenLabs | zpracovatel – převod textu na řeč a řeči na text | text úloh pro předčítání; u cvičení výslovnosti dočasně zvuková nahrávka a její přepis | USA (zpracování může probíhat i mimo EU/EHP) | DPA se standardními smluvními doložkami EU (součást smluvních podmínek ElevenLabs) |
| Sentry | zpracovatel – chybová hlášení | minimalizované technické údaje o pádech a chybách (bez přímých identifikátorů účtu) | USA | DPA – EU–US Data Privacy Framework se standardními smluvními doložkami jako záložním mechanismem |
| Google Ireland Ltd. | zpracovatel – anonymní měření návštěvnosti webu korbis.cz (Google Analytics 4), pouze se souhlasem | souhrnné údaje o návštěvě webu (zobrazené stránky, zdroj návštěvy, typ zařízení); nikdy data z aplikace | EU; předání do USA možné | DPA – EU–US Data Privacy Framework se standardními smluvními doložkami jako záložním mechanismem |
| Apple | samostatný správce / příjemce dle vlastních podmínek | údaje nutné pro distribuci aplikace, Sign in with Apple a případné nákupy v App Store | dle infrastruktury Apple (může zahrnovat EU i další země) | podmínky a informace o ochraně soukromí společnosti Apple; případné mezinárodní přenosy se řídí mechanismy použitými společností Apple |
Společnost OpenAI používáme pouze při interní kontrole kvality obsahu úloh – mimo uživatelská data; do této služby neposíláme žádné osobní údaje uživatelů.
Předávání mimo EU/EHP: pokud naši dodavatelé zpracovávají data mimo Evropský hospodářský prostor, děje se tak pouze při splnění podmínek kapitoly V GDPR – zejména na základě standardních smluvních doložek Evropské komise, případně rozhodnutí o odpovídající ochraně (u certifikovaných příjemců v USA EU–US Data Privacy Framework). Kopii informací o použitých zárukách vám poskytneme na vyžádání na podpora@korbis.cz.
5. Jak dlouho údaje uchováváme
| Údaj | Doba |
|---|---|
| Účet a profil | po dobu existence účtu; po žádosti o smazání odstraníme bez zbytečného odkladu, s výjimkou údajů, které musíme dočasně ponechat pro splnění právních povinností nebo prokazatelnost |
| Detailní odpovědi na cvičení | jen po dobu potřebnou k agregaci do souhrnných učebních statistik; poté detail automaticky mazán retenční pipeline podle aktuální systémové konfigurace |
| Souhrnné učební statistiky | po dobu potřebnou pro fungování adaptivního učení, nejdéle do smazání účtu |
| Záznamy rodičovského souhlasu | 3 roky od udělení (doložení souladu) |
| Chybová hlášení | 90 dní |
| Audio cache předčítání | 30 dní |
| Volitelná analytika (souhrnné údaje o používání) | nejdéle 24 měsíců od zaznamenání, případně kratší dobu podle aktuální retenční konfigurace |
| E-mail v pořadníku (web) | do odvolání souhlasu nebo do ukončení pořadníku |
Po smazání mohou data krátkodobě přetrvat v zálohách poskytovatele databáze (7–30 dní); poté zanikají i tam.
6. Vaše práva
- právo na přístup (čl. 15) – kopii údajů,
- právo na opravu (čl. 16),
- právo na výmaz (čl. 17) – smazání účtu a údajů, které již nemusíme dále uchovávat; některé údaje mohou po omezenou dobu zůstat v zálohách nebo v evidenci nutné pro splnění právních povinností,
- právo na omezení zpracování (čl. 18),
- právo na přenositelnost (čl. 20) – export ve strojově čitelném formátu,
- právo vznést námitku (čl. 21) proti zpracování z oprávněného zájmu,
- právo odvolat souhlas kdykoli, s účinky do budoucna.
V aplikaci neprobíhá žádné rozhodování založené výlučně na automatizovaném zpracování, které by mělo pro dítě či rodiče právní nebo obdobně významné účinky ve smyslu čl. 22 GDPR. Pokud by se to v budoucnu změnilo, informovali bychom vás zvlášť o souvisejících právech.
Vzhledem k věku cílové skupiny aplikace tato práva typicky vykonává rodič nebo zákonný zástupce jménem dítěte.
Jak na to: napište na podpora@korbis.cz z e-mailu propojeného s účtem (nebo s údaji, podle kterých účet dohledáme). Abychom chránili účet dítěte před neoprávněným přístupem, můžeme před vyřízením žádosti přiměřeně ověřit, že ji podává rodič nebo zákonný zástupce oprávněný účet spravovat. U anonymního účtu bez propojeného e-mailu nebo Apple přihlášení může být dohledání konkrétního účtu omezené, pokud nám rodič neposkytne dostatek údajů k jeho identifikaci; v takovém případě nemusíme být schopni některé žádosti vyřídit v plném rozsahu, dokud účet spolehlivě neztotožníme. Odpovíme bez zbytečného odkladu, nejpozději do 1 měsíce; ve složitých případech můžeme lhůtu v souladu s GDPR prodloužit (o tom bychom vás informovali). Export a smazání účtu postupně zpřístupníme i přímo v rodičovské sekci aplikace.
Máte také právo podat stížnost u dozorového úřadu: Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, uoou.gov.cz. Tím není dotčeno vaše právo domáhat se ochrany soudní cestou.
7. Zabezpečení
Používáme šifrování při přenosu (TLS) a u hlavních úložišť také šifrování dat v klidu podle nastavení našich poskytovatelů infrastruktury. Přístup k datům je řízen na úrovni databázových řádků (každý účet vidí jen svá data); správné odpovědi cvičení a interní příznaky nejsou klientské aplikaci vůbec dostupné. Postupy pro případ incidentu máme dokumentované; porušení zabezpečení osobních údajů bychom posoudili podle GDPR a v případě oznamovací povinnosti je oznámili ÚOOÚ do 72 hodin a v případech stanovených čl. 34 GDPR také dotčeným rodičům bez zbytečného odkladu.
8. Změny těchto zásad
O podstatných změnách informujeme v aplikaci a na této stránce. Verzi a datum poslední změny uvádíme v záhlaví.
Kontakt: podpora@korbis.cz
← Zpět na hlavní stránku