VibecodingAkademie

Zásady ochrany osobních údajů

I. Úvodní ustanovení

  1. Tyto zásady ochrany osobních údajů (dále jen „zásady“) informují o způsobu shromažďování, zpracování a ochrany osobních údajů uživatelů platformy Vibecoding Akademie.
  2. Správcem osobních údajů je společnost:

    ForClassmates s.r.o.
    se sídlem Evropská 516/10, Dejvice, 160 00 Praha 6
    IČO: 05625351
    zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl C, vložka 297922
    kontaktní e-mail: info@vibecoding-akademie.cz
    (dále jen „správce“)
  3. Správce zpracovává osobní údaje v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů (dále jen „GDPR“) a zákonem č. 110/2019 Sb., o zpracování osobních údajů, v platném znění.
  4. Tyto zásady se vztahují na všechny osoby, které navštíví webové stránky vibecoding-akademie.cz (dále jen „návštěvník“), zaregistrují se na platformě nebo zakoupí kurz (dále jen „uživatel“).
  5. Správce si vyhrazuje právo tyto zásady aktualizovat. O každé změně bude uživatel informován prostřednictvím e-mailu nebo oznámením na platformě alespoň 14 dnů před účinností změny.

II. Rozsah zpracovávaných osobních údajů

  1. Správce zpracovává následující kategorie osobních údajů:

a) Registrační a identifikační údaje

  • jméno a příjmení;
  • e-mailová adresa;
  • heslo (uloženo výhradně v hashované podobě);
  • údaje z účtu Google (při registraci přes Google OAuth): jméno, e-mail, profilový obrázek.

b) Profilové údaje

  • přezdívka (nickname);
  • avatar (výběr z předdefinovaných variant);
  • bio a další údaje, které uživatel dobrovolně vyplní ve svém profilu.

c) Údaje o studiu a aktivitě

  • pokrok v kurzech a dokončené lekce;
  • výsledky kvízů;
  • získané body, úroveň a streak (série po sobě jdoucích aktivních dnů);
  • vydané certifikáty;
  • záložky;
  • příspěvky v komunitě (projekty, komentáře).

d) Údaje o aktivitě na platformě

  • datum a čas přihlášení;
  • doba strávená na platformě (heartbeat);
  • IP adresa a informace o prohlížeči (user-agent).

e) Platební údaje

  • platební údaje (číslo karty, bankovní účet) jsou zpracovávány výhradně třetí stranou – platebním systémem FAPI – a správce k nim nemá přístup;
  • správce eviduje pouze informaci o uskutečněné platbě (datum, částka, identifikátor transakce).

f) Údaje z formulářů

  • údaje vyplněné v kontaktních formulářích, formuláři pro onboarding nebo při poptávce workshopů a spolupráce (jméno, e-mail, zpráva, název firmy apod.).

III. Účely a právní základy zpracování

  1. Správce zpracovává osobní údaje pro následující účely:
    • plnění smlouvy (čl. 6 odst. 1 písm. b) GDPR) – poskytování přístupu ke kurzům, správa uživatelského účtu, vydávání certifikátů, gamifikace (body, úrovně, streak), zpracování objednávek;
    • oprávněný zájem správce (čl. 6 odst. 1 písm. f) GDPR) – zlepšování služeb a obsahu kurzů, analýza návštěvnosti a chování uživatelů, prevence zneužití účtů a ochrany platformy, zajištění bezpečnosti;
    • souhlas (čl. 6 odst. 1 písm. a) GDPR) – zasílání marketingových sdělení, newsletteru a informací o nových kurzech (souhlas lze kdykoliv odvolat);
    • plnění právních povinností (čl. 6 odst. 1 písm. c) GDPR) – vedení účetní a daňové evidence, archivace daňových dokladů.

IV. Doba uchování osobních údajů

  1. Osobní údaje jsou uchovávány po dobu nezbytně nutnou k naplnění účelu zpracování:
    • údaje spojené s účtem – po celou dobu existence uživatelského účtu a 1 rok po jeho zrušení (z důvodu promlčecích lhůt);
    • účetní a daňové doklady – po dobu stanovenou zákonem (až 10 let dle zákona o účetnictví a daňových předpisů);
    • marketingová komunikace – do odvolání souhlasu uživatelem;
    • logy a technické údaje – maximálně 12 měsíců.
  2. Po uplynutí doby uchování jsou osobní údaje bezpečně vymazány nebo anonymizovány.

V. Příjemci a zpracovatelé osobních údajů

  1. Správce může předávat osobní údaje třetím stranám (zpracovatelům), které zajišťují služby nezbytné pro provoz platformy. Zpracovatelé jsou vázáni smluvní povinností mlčenlivosti a zpracovávají údaje pouze dle pokynů správce.
  2. Kategorie zpracovatelů:
    • FAPI – zpracování plateb a objednávek;
    • Google – autentizace (Google OAuth), analytika (Google Analytics), správa tagů (Google Tag Manager);
    • Microsoft – analytika chování uživatelů, heatmapy a záznamy relací (Microsoft Clarity);
    • UploadThing – nahrávání souborů (profilové obrázky, přílohy);
    • Vimeo – hostování video obsahu kurzů;
    • Amazon Web Services (AWS) – odesílání e-mailů (AWS SES);
    • Railway – hosting platformy a databáze;
    • Sentry – monitorování chyb aplikace;
    • SmartEmailing – správa kontaktů a rozesílka e-mailových sdělení (newsletter, informace o kurzech);
    • Meta (Facebook) – marketingový pixel pro měření účinnosti reklam a cílení (Meta Pixel).
  3. Některé z výše uvedených služeb mohou zpracovávat údaje mimo území Evropské unie. V takovém případě je přenos zajištěn na základě standardních smluvních doložek nebo jiných vhodných záruk v souladu s GDPR.
  4. Správce neprodává ani jinak nekomerčně neposkytuje osobní údaje třetím stranám.

VI. Soubory cookies

  1. Platforma používá soubory cookies pro zajištění svého fungování a zlepšování služeb.
  2. Typy používaných cookies:
    • nezbytné cookies – zajišťují základní funkce platformy (přihlášení, relace, zabezpečení). Bez těchto cookies nelze platformu používat;
    • analytické cookies – Google Analytics a Google Tag Manager pro analýzu návštěvnosti, Microsoft Clarity pro analýzu chování uživatelů (heatmapy, záznamy relací). Slouží ke zlepšování obsahu a služeb;
    • marketingové cookies – Meta Pixel pro měření účinnosti reklamních kampaní a cílení reklam na sociálních sítích. Vyžadují výslovný souhlas uživatele;
    • funkční cookies – uchovávají uživatelské preference (nastavení cookie banneru, jazyk apod.).
  3. Souhlas s analytickými cookies může uživatel udělit nebo odvolat prostřednictvím cookie banneru, který se zobrazí při první návštěvě platformy. Nastavení lze kdykoliv změnit.
  4. Uživatel může cookies také spravovat v nastavení svého webového prohlížeče. Odmítnutí nezbytných cookies však může omezit funkčnost platformy.

VII. Práva subjektů údajů

  1. V souvislosti se zpracováním osobních údajů má uživatel následující práva:
    • právo na přístup (čl. 15 GDPR) – právo získat potvrzení o tom, zda jsou osobní údaje zpracovávány, a pokud ano, získat k nim přístup a informace o zpracování;
    • právo na opravu (čl. 16 GDPR) – právo požadovat opravu nepřesných nebo doplnění neúplných osobních údajů;
    • právo na výmaz (čl. 17 GDPR) – právo požadovat vymazání osobních údajů, pokud pominul účel zpracování, byl odvolán souhlas, nebo údaje jsou zpracovávány protiprávně;
    • právo na omezení zpracování (čl. 18 GDPR) – právo požadovat dočasné omezení zpracování, například pokud uživatel popírá přesnost údajů nebo namítá proti zpracování;
    • právo na přenositelnost údajů (čl. 20 GDPR) – právo získat osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu a předat je jinému správci;
    • právo vznést námitku (čl. 21 GDPR) – právo kdykoliv vznést námitku proti zpracování založenému na oprávněném zájmu správce;
    • právo odvolat souhlas – pokud je zpracování založeno na souhlasu, má uživatel právo tento souhlas kdykoliv odvolat, aniž by tím byla dotčena zákonnost zpracování před odvoláním.
  2. Pro uplatnění svých práv může uživatel kontaktovat správce na e-mailové adrese info@vibecoding-akademie.cz. Správce vyřídí žádost bez zbytečného odkladu, nejpozději do 1 měsíce od jejího obdržení. V odůvodněných případech může být lhůta prodloužena o další 2 měsíce.
  3. Uživatel má právo podat stížnost u dozorového úřadu, kterým je:

    Úřad pro ochranu osobních údajů (ÚOOÚ)
    Pplk. Sochora 27, 170 00 Praha 7
    web: www.uoou.cz
    e-mail: posta@uoou.cz

VIII. Chrome doplněk „Vibe coding kontrola bezpečnosti“

  1. Správce poskytuje volitelný prohlížečový doplněk pro Google Chrome, který uživateli umožňuje provést audit bezpečnosti, SEO a marketingu vlastního webu. Doplněk je k dispozici v Chrome Web Store a jeho instalace je dobrovolná.
  2. Po instalaci a kliknutí na tlačítko „Audit webu“ doplněk:
    • v prohlížeči uživatele přečte veřejně dostupný HTML obsah, HTTP hlavičky, JavaScript / CSS / obrázky a soubory v doméně, na které se uživatel nachází (např. /robots.txt,/sitemap.xml, /.well-known/security.txt);
    • odešle URL auditované stránky a relevantní HTTP hlavičky na server správce za účelem provedení server-side kontrol (Lighthouse výkon, bezpečnostní hlavičky, SSL/TLS, DNS, ochrana proti hádání hesel, reputace domény, real-user data);
    • vyzývá Google PageSpeed Insights API, Google Chrome UX Report API, Google Safe Browsing API, Google Knowledge Graph API, Mozilla Observatory a SSL Labs z infrastruktury správce (nikoli přímo z prohlížeče uživatele).
  3. Konkrétní data odesílaná na server správce:
    • URL aktuální stránky uživatele;
    • HTTP hlavičky odpovědi serveru (Content-Type, Cache-Control, X-Frame-Options, Strict-Transport-Security a další technické hlavičky);
    • výsledky auditních kontrol provedených v prohlížeči (skóre, seznam nálezů, metadata stránky);
    • identifikace uživatelského účtu na platformě (e-mail, ID), je-li přihlášen.
  4. Doplněk NEZPRACOVÁVÁ a neposílá na server:
    • obsah formulářových polí, hesla, ani citlivá data zadaná uživatelem;
    • cookies třetích stran navštívených webů;
    • obsah jiných otevřených karet prohlížeče;
    • historii prohlížení, záložky, ani jakékoli osobní soubory.
  5. Účely zpracování:
    • poskytnutí auditní služby uživateli (oprávněný zájem dle čl. 6 odst. 1 písm. f) GDPR);
    • cachování výsledků kontrol pro zrychlení opakovaných auditů (oprávněný zájem);
    • plnění smlouvy o poskytování služby pro Premium uživatele (čl. 6 odst. 1 písm. b) GDPR).
  6. Doba uchování:
    • výsledky kontrol jednotlivých sond v cache: 1-24 hodin podle typu (např. SSL Labs 24 h, DNS 1 h, Lighthouse 6 h);
    • historie auditů uživatele v databázi: po dobu trvání uživatelského účtu, případně 24 měsíců po posledním přihlášení;
    • logy přístupů k API: 30 dní (pro účely diagnostiky a bezpečnosti).
  7. Příjemci údajů z doplňku (mimo příjemce uvedené v článku V):
    • Google LLC (PageSpeed Insights API, Chrome UX Report API, Safe Browsing API, Knowledge Graph API) - správce předává URL a User-Agent string;
    • Mozilla Foundation (Observatory API) - správce předává URL;
    • Qualys, Inc. (SSL Labs API) - správce předává hostname auditované domény.
    Zpracování těmito subjekty se řídí jejich vlastními zásadami ochrany osobních údajů.
  8. Uživatel může doplněk kdykoli odinstalovat v chrome://extensions. Po odinstalaci žádná další data odesílána nebudou. Historie již provedených auditů zůstává v účtu uživatele do doby, než požádá o jejich smazání podle článku VII těchto zásad.
  9. Oprávnění doplňku v prohlížeči:
    • activeTab - přístup k aktuálně otevřené záložce po kliknutí na ikonu doplňku;
    • storage - lokální ukládání nastavení a posledního výsledku (data zůstávají v prohlížeči uživatele);
    • scripting - injekce auditního skriptu do aktivní záložky;
    • tabs - správa záložky během site auditu (procházení sitemapy);
    • notifications - oznámení o dokončení auditu;
    • identity - přihlášení přes Google OAuth (volitelné);
    • přístup k webovým stránkám (<all_urls>) - pouze pro provedení auditu na uživatelem vybrané doméně, nikoli pro pasivní sledování.

IX. Zabezpečení osobních údajů

  1. Správce přijímá vhodná technická a organizační opatření k zajištění ochrany osobních údajů před neoprávněným přístupem, změnou, zveřejněním, zničením nebo ztrátou.
  2. Mezi přijatá opatření patří zejména:
    • šifrování komunikace (HTTPS/TLS);
    • hashování hesel (bcrypt);
    • omezení přístupu k osobním údajům pouze na oprávněné osoby;
    • pravidelné aktualizace a zabezpečení serverové infrastruktury;
    • autentizace pomocí JWT tokenů s omezenou platností.

X. Závěrečná ustanovení

  1. Tyto zásady se řídí právním řádem České republiky, zejména nařízením GDPR a zákonem č. 110/2019 Sb., o zpracování osobních údajů.
  2. Pokud by některé ustanovení těchto zásad bylo shledáno neplatným nebo nevymahatelným, zůstávají ostatní ustanovení v platnosti.
  3. Pro řešení všech sporů z těchto zásad jsou příslušné soudy České republiky.
  4. Tyto zásady nabývají účinnosti dnem 9. 3. 2026. Aktualizace o článek VIII (Chrome doplněk) nabývá účinnosti dnem 10. 5. 2026.

Kontakt

ForClassmates s.r.o.
Evropská 516/10, Dejvice, 160 00 Praha 6
IČO: 05625351
E-mail: info@vibecoding-akademie.cz