Zásady ochrany osobních údajů

Provozovatelem služby Tallago (dále jen „služba“) je Highmont, s.r.o., IČ 05925509, DIČ CZ05925509, se sídlem Stroužníky 748, 561 64 Jablonné nad Orlicí, Česká republika. Kontaktní e-mail správce osobních údajů: highmont@highmont.cz.

Tallago zpracovává údaje ve třech rolích:

• Admin agentury — jméno, e-mail, šifrovaný hash hesla, název agentury, kontaktní e-mail organizace, platební status, případně historii her v rámci tvého účtu.
• Instruktor — jméno (pokud zadáš), magic-link token (jednorázový, expiruje), přiřazené stanoviště a zápisy výsledků v rámci konkrétní hry.
• Hráč / divák — žádné identifikační údaje. Veřejná URL výsledků (/r/<code>) je anonymní, žádné cookies kromě nezbytných k provozu.

• Provoz služby (přihlášení, ukládání her, skórování) — právní základ: plnění smlouvy (čl. 6 odst. 1 písm. b GDPR).
• Platby a fakturace (Stripe Checkout, Customer Portal) — právní základ: plnění smlouvy + právní povinnost (účetnictví, čl. 6 odst. 1 písm. b a c GDPR). Stripe je samostatný zpracovatel; jeho zásady viz stripe.com/cz/privacy.
• Provozní e-maily (export dat, oznámení o změnách plánu) — právní základ: plnění smlouvy. E-maily odesíláme přes Resend (zpracovatel se sídlem v EU/US).
• Logging (Pino na backendu) — IP adresa, čas requestu, status code. Právní základ: oprávněný zájem (zabezpečení, debugging). Doba uchování max. 30 dní.

Třetí strany, které mají k údajům přístup jako naši zpracovatelé:

• Neon (Postgres hosting) — databáze, EU region.
• Stripe — zpracování plateb, údaje karet se k nám nikdy nedostanou (Stripe Checkout je hosted).
• Resend — odesílání transakčních e-mailů.
• Hosting provider — server na kterém Tallago běží. [konkretizovat při deploy: Vercel / Fly.io / ...]

Žádné údaje neprodáváme. Žádné údaje nepředáváme do třetích zemí mimo zpracovatelské řetězce uvedené výše.

• Aktivní účet — dokud existuje. Data hry, výsledky, magic-link tokeny vč. exspirovaných.
• Smazaný účet — všechna data jsou nevratně smazána z databáze nejpozději do 24 hodin od potvrzení smazání. GDPR-export ti pošleme e-mailem před smazáním.
• Účetní doklady (faktury ze Stripe) — uchovávány 10 let dle českého zákona o účetnictví. Tyto doklady neobsahují data tvých her, jen identifikaci faktury.
• Logy — 30 dní.

Jako subjekt údajů máš podle GDPR tato práva:

• Právo na přístup — kdykoli si v /dashboard/settings stáhneš strukturovaný JSON export všech svých dat.
• Právo na opravu — měň jméno, e-mail, název agentury přímo v nastavení.
• Právo na výmaz — v /dashboard/settings je tlačítko „Zrušit účet“, smaže všechno bezprostředně.
• Právo na přenositelnost — JSON export je v otevřeném formátu, přeneseš ho kamkoliv.
• Právo vznést námitku / podat stížnost — můžeš kdykoliv kontaktovat highmont@highmont.cz nebo se obrátit na Úřad pro ochranu osobních údajů (uoou.cz).

Tallago používá pouze nezbytné cookies: session cookie po přihlášení (NextAuth, jméno authjs.session-token) a cookie pro volbu jazyka (lang). Žádné analytické nebo marketingové cookies. Žádný tracking pixel.

Pokud podstatně změníme rozsah zpracování, oznámíme to e-mailem adminům všech aktivních organizací a aktualizujeme datum účinnosti nahoře.