Zásady ochrany osobních údajů Freio
Datum účinnosti: 18. března 2026
Poslední aktualizace: 18. března 2026
Nahrazuje verzi: 5. února 2026
1. Kdo jsme a jak nás kontaktovat
Správce osobních údajů:
Danila Sergejevič Anikin (provozovatel platformy Freio)
IČO: 24608840
Místo podnikání: Kettnerova 2053/18, Praha 13 – Stodůlky, 155 00, Česká republika
E-mail: business@freio.cz
Web: freio.cz
Freio je vzdělávací platforma pro přípravu na přijímací zkoušky a SCIO testy. Jako správce osobních údajů určujeme, proč a jak zpracováváme vaše osobní údaje.
Pověřenec pro ochranu osobních údajů (DPO) nebyl jmenován; zpracování dat provádíme v rozsahu, který jeho jmenování nevyžaduje. Dotazy k ochraně dat zasílejte na business@freio.cz.
Tyto Zásady jsou vypracovány v souladu s Nařízením GDPR (2016/679) a zákonem č. 110/2019 Sb. o zpracování osobních údajů.
2. Jaké osobní údaje zpracováváme
| Kategorie | Konkrétní údaje | Povinné? |
|---|---|---|
| Identifikační | E-mailová adresa, jméno | Ano – bez nich nelze vytvořit účet |
| Profilové | Přezdívka/uživatelské jméno, profilový obrázek (max. 200 kB) | Ne |
| Autentizační | Google ID a údaje z OAuth přihlášení (je-li použito) | Závisí na způsobu registrace |
| Studijní | Výsledky testů, odpovědi, studijní pokrok, aktivita v aplikaci | Ano – klíčová funkce služby |
| Transakční | Nákupní historie, informace o předplatném, datum nákupu | Ano – pro fakturaci a plnění smlouvy |
| Technické | IP adresa, typ a verze prohlížeče, operační systém, session cookies | Automaticky při použití služby |
| Věkové ověření | Datum narození (nebo věková kategorie) | Ano – pro ověření věku dle zákona |
3. Proč a na jakém základě údaje zpracováváme
| Účel zpracování | Právní základ | Popis |
|---|---|---|
| Vytvoření a správa uživatelského účtu | Plnění smlouvy (čl. 6 odst. 1 písm. b) GDPR) | Bez účtu nelze platformu používat – registrace = uzavření smlouvy o poskytování digitální služby (EDPB Opinion 2/2025) |
| Poskytování a personalizace digitální služby | Plnění smlouvy (čl. 6/1/b GDPR) | Ukládání výsledků, sledování pokroku, adaptivní doporučení |
| Zpracování plateb | Plnění smlouvy (čl. 6/1/b GDPR) | Předání nezbytných dat Stripe pro zpracování platby |
| Zákaznická podpora a komunikace | Oprávněný zájem (čl. 6/1/f GDPR) | Odpovídání na dotazy a reklamace |
| Plnění účetních a daňových povinností | Právní povinnost (čl. 6/1/c GDPR) | Uchovávání faktur a platebních dokladů |
| Bezpečnost, prevence podvodů a zneužití | Oprávněný zájem (čl. 6/1/f GDPR) | Monitorování anomálií, ochrana integrity platformy |
| Zlepšování služby na základě agregovaných dat | Oprávněný zájem (čl. 6/1/f GDPR) | Pouze anonymizovaná a agregovaná statistika |
| Classroom mode – sdílení výsledků s učitelem | Plnění smlouvy / oprávněný zájem (čl. 6/1/b nebo f GDPR) | Student je informován před vstupem do třídy; viz čl. 8 |
4. Zpracování osobních údajů nezletilých
4.1 Věk digitálního souhlasu
Věk digitálního souhlasu v České republice je 15 let (§ 7 zákona č. 110/2019 Sb.). Zpracování osobních údajů dítěte mladšího 15 let na základě jeho souhlasu je zákonem zakázáno bez souhlasu zákonného zástupce.
4.2 Věkové ověření při registraci
Při registraci požadujeme datum narození pro automatické určení věkové kategorie:
- 15 let a více: Registrace probíhá standardně. Uživatel může sám udělit souhlas se zpracováním údajů.
- Méně než 15 let: Aktivován je flow rodičovského souhlasu (viz 4.3).
4.3 Flow rodičovského souhlasu (uživatelé mladší 15 let)
- Student vyplní registrační formulář včetně e-mailové adresy zákonného zástupce.
- Zákonný zástupce obdrží e-mail se: (a) informacemi o zpracování dat, (b) odkazem pro udělení souhlasu (platný 7 dní).
- Zákonný zástupce odkaz otevře, přečte informace a aktivně potvrdí souhlas kliknutím na potvrzovací tlačítko (double opt-in).
- Platforma uloží záznam o souhlasu (datum, čas, IP adresa zákonného zástupce, obsah souhlasu).
- Teprve po potvrzení souhlasu je účet aktivován.
Prostý checkbox „mám souhlas rodiče" vyplněný studentem samotným není platným souhlasem.
4.4 Omezení zpracování pro nezletilé
Pro uživatele mladší 18 let platí tato omezení:
- Zákaz profilování pro marketingové účely
- Nezařazení do veřejných žebříčků bez výslovného souhlasu zákonného zástupce (u pod-15) nebo samotného uživatele (15–17)
- Zkrácená doba uchovávání dat po ukončení účtu
4.5 Posouzení vlivu na ochranu osobních údajů (DPIA)
Zpracování studijních dat dětí v kombinaci se sledováním pokroku a výsledků představuje zpracování osobních údajů zranitelné skupiny ve smyslu čl. 35 odst. 3 GDPR. Provozovatel provedl posouzení vlivu na ochranu osobních údajů (DPIA) a přijal příslušná technická a organizační opatření ke snížení rizik.
5. Komu vaše data předáváme
Vaše osobní údaje neprodáváme ani neposkytujeme třetím stranám pro jejich vlastní marketingové účely.
| Příjemce | Sídlo | Účel zpracování | Právní základ přenosu |
|---|---|---|---|
| Supabase Inc. | USA (EU region: eu-central-1) | Databáze, autentizace, ukládání dat | Standardní smluvní doložky (SCC) + Supabase DPA |
| Stripe, Inc. | USA | Zpracování plateb | EU-US Data Privacy Framework (DPF) + SCC |
| Google LLC | USA | OAuth přihlášení (Google Sign-In) | EU-US Data Privacy Framework (DPF) + SCC |
| Resend | USA | Transakční e-mailová komunikace | Standardní smluvní doložky (SCC) + Resend DPA |
Poznámka k Supabase: Data jsou uložena v EU regionu (eu-central-1 / Frankfurt). Přenos do USA nastává pouze pro technickou podporu a administraci; je zajištěn SCC.
Se všemi příjemci jsou uzavřeny smlouvy o zpracování osobních údajů (DPA) dle čl. 28 GDPR.
Certifikace příjemců pod EU-US DPF lze ověřit na: dataprivacyframework.gov/list
6. Jak dlouho vaše data uchováváme
| Kategorie dat | Doba uchovávání |
|---|---|
| Data uživatelského účtu (jméno, e-mail) | Po dobu trvání účtu + 30 dní po zrušení |
| Studijní data (výsledky, pokrok) | Po dobu trvání účtu; po zrušení anonymizovány pro statistiku |
| Platební data a faktury | 10 let (zákonná povinnost – zákon č. 563/1991 Sb. o účetnictví) |
| Session cookies | Do odhlášení nebo max. 30 dní |
| Bezpečnostní logy | 90 dní |
| Záznamy o rodičovských souhlasech | Po dobu trvání účtu nezletilého + 1 rok |
7. Vaše práva (GDPR)
Máte tato práva v oblasti zpracování osobních údajů:
Právo na přístup (čl. 15 GDPR): Potvrdit, zda zpracováváme vaše osobní údaje, a získat jejich kopii.
Právo na opravu (čl. 16 GDPR): Opravit nepřesné nebo doplnit neúplné osobní údaje.
Právo na výmaz – „právo být zapomenut" (čl. 17 GDPR): Požádat o výmaz vašich osobních údajů za podmínek stanovených zákonem (zejména pokud pominul účel zpracování nebo byl odvolán souhlas).
Právo na omezení zpracování (čl. 18 GDPR): Požádat o dočasné pozastavení zpracování v zákonem stanovených případech.
Právo na přenositelnost dat (čl. 20 GDPR): Obdržet vaše osobní údaje ve strukturovaném, strojově čitelném formátu.
Právo vznést námitku (čl. 21 GDPR): Vznést námitku proti zpracování na základě oprávněného zájmu.
Právo odvolat souhlas: Pokud je zpracování založeno na souhlasu, máte právo ho kdykoli odvolat bez dopadu na zákonnost předchozího zpracování.
Právo podat stížnost: Máte právo podat stížnost u dozorového úřadu:
Úřad pro ochranu osobních údajů (ÚOOÚ)
Pplk. Sochora 27, 170 00 Praha 7
Tel: +420 234 514 111
www.uoou.cz
Pro uplatnění práv kontaktujte: business@freio.cz (odpověď do 30 dnů)
Poskytnutí údajů: Poskytnutí e-mailové adresy je pro registraci smluvním požadavkem – bez ní nelze účet vytvořit. Ostatní údaje jsou volitelné.
8. Classroom mode – specifika
V režimu Classroom má učitel přístup k výsledkům testů a aktivitě studentů ve své třídě. Zpracování v tomto kontextu probíhá takto:
- Freio je zpracovatel, škola/učitel je správce dat studentů ve třídě
- Pro použití Classroom je povinné uzavření smlouvy o zpracování osobních údajů (DPA) dle čl. 28 GDPR – šablonu si vyžádejte na business@freio.cz
- Školy jako veřejnoprávní instituce musí mít jmenovaného DPO; Freio s ním koordinuje implementaci
- Student je před vstupem do třídy informován, jaká data bude učitel vidět
9. Cookies
Freio používá pouze technicky nezbytné cookies. Podrobné informace jsou v samostatném dokumentu Zásady používání cookies na freio.cz/cookies.
Analytické ani marketingové cookies třetích stran nepoužíváme.
10. Automatizované rozhodování
Freio neprovádí automatizované rozhodování s právními účinky nebo podobně závažnými dopady ve smyslu čl. 22 GDPR.
Adaptivní doporučení (zobrazení vhodných testů podle výsledků) jsou personalizační funkcí, nikoli automatizovaným rozhodováním.
11. Zabezpečení osobních údajů
Přijatá technická a organizační opatření (TOM):
- TLS/SSL šifrování komunikace
- Hashování hesel (bcrypt nebo ekvivalent)
- Přístupová kontrola (princip minimálního přístupu)
- Pravidelné zálohy dat
- Monitoring bezpečnosti a logování přístupů
- Certifikované cloudové služby (Supabase, Stripe, Google Cloud)
12. Změny zásad
O podstatných změnách budeme informovat e-mailem na adresu účtu nebo oznámením v aplikaci nejméně 14 dní před jejich účinností.
*Datum poslední aktualizace: 18. března 2026*
*Kontakt: business@freio.cz*