Zásady ochrany osobních údajů

1. Správce osobních údajů

Správcem vašich osobních údajů ve smyslu nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů (dále jen "GDPR") a zákona č. 110/2019 Sb., o zpracování osobních údajů, je:

Provozujeme platformu Ultraluminary Games a hru Causa Mortis dostupnou na adrese ultraluminary.games (dále jen "Služba").

2. Prohlášení

Prohlašujeme, že jako správce vašich osobních údajů:

• zpracováváme osobní údaje pouze na základě platného právního důvodu — zejména plnění smlouvy, oprávněného zájmu, zákonné povinnosti či uděleného souhlasu (čl. 6 odst. 1 GDPR);
• plníme informační povinnost dle čl. 13 GDPR ještě před zahájením zpracování;
• umožňujeme vám uplatňovat vaše práva podle GDPR a zákona č. 110/2019 Sb.

3. Rozsah shromažďovaných údajů

3.1 Údaje poskytované vámi

• E-mailová adresa (při registraci pomocí magic link)
• Zobrazované jméno a avatar (volitelné, nastavení profilu)
• Údaje z Google účtu při přihlášení přes Google (jméno, e-mail, profilová fotka)

3.2 Údaje generované použitím Služby

• Herní data: skóre, čas řešení, odpovědi, série (streak), statistiky, historie vyřešených případů
• Hlášení chyb a zpětná vazba k případům
• Push notification subscription (endpoint URL, šifrovací klíče)

3.3 Automaticky sbíraná data

• Technické údaje: IP adresa, typ a verze prohlížeče, operační systém
• Analytika používání (PostHog) — pouze s vaším souhlasem
• Chybová hlášení a diagnostika výkonnosti (Sentry) — technické stack trace

4. Účely zpracování a právní základ

5. Příjemci a zpracovatelé údajů

Vaše osobní údaje sdílíme výhradně s důvěryhodnými zpracovateli, kteří splňují požadavky GDPR. Všichni zpracovatelé operují v rámci Evropské unie:

• Supabase (databáze, autentizace) — region EU, Frankfurt
• Vercel (hosting aplikace) — edge síť, region EU
• Resend (odesílání e-mailů) — region EU
• Sentry (monitoring chyb) — region EU
• PostHog (analytika) — region EU, anonymizovaná data

Vaše údaje nikdy neprodáváme třetím stranám, nepoužíváme je k cílené reklamě a nepředáváme do třetích zemí mimo EU/EHP.

6. Doba uchovávání údajů

Vaše osobní údaje uchováváme pouze po dobu nezbytně nutnou k naplnění účelu zpracování:

• Účetní a registrační údaje: po dobu existence účtu + 30 dnů po jeho smazání
• Herní data: po dobu existence účtu; po smazání jsou anonymizována nebo odstraněna
• Analytická data (PostHog): max. 12 měsíců, anonymizovaná
• Chybové logy (Sentry): max. 90 dnů
• Push subscription: do odvolání souhlasu nebo smazání účtu

Po smazání účtu jsou veškeré osobní údaje odstraněny do 30 dnů. Anonymizované herní statistiky (bez vazby na osobu) mohou být uchovány pro historické žebříčky.

7. Vaše práva

Podle GDPR (kapitola III) a zákona č. 110/2019 Sb. máte právo na:

• Přístup (čl. 15) — získat potvrzení o zpracování a kopii vašich údajů
• Opravu (čl. 16) — opravit nepřesné nebo neúplné údaje
• Výmaz (čl. 17, „právo být zapomenut") — požádat o smazání účtu a všech dat
• Omezení zpracování (čl. 18) — dočasně omezit zpracování vašich údajů
• Přenositelnost (čl. 20) — exportovat vaše data ve strojově čitelném formátu (JSON)
• Námitku (čl. 21) — vznést námitku proti zpracování na základě oprávněného zájmu
• Odvolání souhlasu (čl. 7/3) — kdykoliv odvolat souhlas s push notifikacemi, e-maily či analytickým zpracováním

Pro uplatnění vašich práv nás kontaktujte na privacy@ultraluminary.games. Na vaši žádost odpovíme bez zbytečného odkladu, nejpozději do 1 měsíce.

8. Cookies a analytika

Používáme následující kategorie cookies:

Nezbytné cookies (vždy aktivní)

• Supabase session cookie (autentizace)
• CSRF ochrana

Tyto cookies nelze odmítnout — jsou nutné pro fungování Služby. Právní základ: oprávněný zájem dle čl. 6 odst. 1 písm. f) GDPR.

Analytické cookies (vyžadují váš souhlas)

• PostHog — analytika používání
• Google Analytics — analýza návštěvnosti (Google Consent Mode v2)

Analytické cookies se nastavují pouze po vašem výslovném souhlasu. Souhlas můžete kdykoliv odvolat kliknutím na "Nastavení cookies" v patičce stránky. Právní základ: souhlas dle čl. 6 odst. 1 písm. a) GDPR.

Nepoužíváme reklamní cookies, tracking cookies třetích stran ani remarketing.

9. Zabezpečení údajů

Přijali jsme veškerá vhodná technická a organizační opatření k ochraně vašich osobních údajů:

• Šifrování při přenosu (TLS 1.3)
• Šifrování dat v klidu (AES-256, Supabase)
• Row Level Security (RLS) — přístup k datům pouze vlastníkem záznamu
• Hašování hesel (bcrypt, Supabase Auth)
• Přísné oddělení řešení případů od herních dat (prevence úniku spoilerů)
• Přístup k osobním údajům mají pouze oprávněné osoby vázané mlčenlivostí

10. Zpracování údajů dětí

Služba není určena osobám mladším 15 let. Vědomě neshromažďujeme osobní údaje dětí mladších 15 let. Pokud zjistíme, že jsme shromáždili údaje dítěte, neprodleně je smažeme.

11. Změny těchto zásad

Tyto zásady můžeme příležitostně aktualizovat. O významných změnách vás budeme informovat e-mailem nebo oznámením v aplikaci nejméně 14 dnů před nabytím účinnosti. Aktuální verze je vždy dostupná na této stránce.

12. Kontakt a dozorový úřad

Pokud máte dotazy k ochraně osobních údajů nebo chcete uplatnit svá práva:

Máte rovněž právo podat stížnost u dozorového úřadu:

Budeme rádi, pokud nás nejprve kontaktujete přímo — umožní nám to případné pochybení co nejrychleji napravit.