Účinnost · 2026-04-30
Ochrana osobních údajů
Tento dokument popisuje, jaké osobní údaje shromažďujeme prostřednictvím aplikace a webu Melveo, k jakým účelům, jak dlouho je uchováváme a jaká máte práva. Vychází z Nařízení Evropského parlamentu a Rady (EU) 2016/679 (GDPR), zákona č. 110/2019 Sb. a navazující české legislativy.
1. Provozovatel a správce osobních údajů
Správcem osobních údajů ve smyslu čl. 4 odst. 7 GDPR je společnost:
QUIX Global s.r.o.
IČO: 22466444
Sídlo: Příčná 1892/4, Nové Město, 110 00 Praha 1
Datová schránka: g7v78rx
Spisová značka: C 416432, Městský soud v Praze
Kontakt: hello@melveo.app
Vzhledem k velikosti a povaze zpracování není správce povinen jmenovat pověřence pro ochranu osobních údajů (DPO) ve smyslu čl. 37 GDPR. Veškerá komunikace ohledně osobních údajů probíhá přes uvedený kontaktní e-mail.
2. Definice
- Aplikace — mobilní aplikace Melveo pro iOS/iPadOS.
- Web — webové stránky
melveo.app. - Klub — sportovní organizace, která uzavřela smlouvu o licenci.
- Hráč — fyzická osoba pozvaná klubem do týmu; uživatel aplikace.
- Trenér / staff — fyzická osoba pověřená klubem správou týmu.
- Wellness check-in — denní samohodnocení hráče (energie, spánek, bolestivost, nálada, motivace) na škále 1–5.
3. Jaké osobní údaje zpracováváme
Zpracováváme následující kategorie osobních údajů:
3.1. Identifikační údaje
- Jméno a příjmení
- E-mailová adresa
- Identifikátor uživatele (UUID generovaný systémem)
- Role v klubu (hráč / trenér / manager / klubový administrátor / majitel klubu)
- Volitelně: profilová fotografie, lokalizace (cs/en)
3.2. Údaje o sportovní aktivitě
- Wellness check-iny — pětice číselných hodnot 1–5 s časovým razítkem
- Volitelné poznámky o bolesti, soukromé poznámky hráče
- Účast na tréninkových sessions
- Subjektivní vnímaná zátěž (RPE) na škále 1–10 po skončené session
3.3. Údaje ze zařízení a senzorů (volitelné, pouze se souhlasem)
- Apple Health: pouze hodnoty, které hráč v iOS Health explicitně sdílí s aplikací
- Polar (volitelné): tepová frekvence během tréninku
3.4. Provozní a technické údaje
- Čas přihlášení, IP adresa (zpracována pouze pro detekci podvodu, neukládá se déle než 30 dní)
- Identifikátor zařízení (pro push notifikace)
- Anonymizované informace o pádu aplikace (Crash Logs)
3.5. Údaje pro účely platby (pouze klubů)
- Fakturační údaje klubu (název, IČO, adresa)
- Stripe Customer ID (samotné údaje o kartě nikdy nezpracováváme — vše drží Stripe Inc.)
3.6. Cookies a podobné technologie
- Technické cookies (nezbytné pro funkci webu)
- Analytické cookies — pouze po výslovném souhlasu (Google Analytics)
- Marketingové cookies — pouze po výslovném souhlasu (Meta Pixel)
Detaily v odkazu „Nastavení cookies" v patičce stránky.
4. Účel zpracování a právní základ (čl. 6 GDPR)
Osobní údaje zpracováváme pro tyto účely:
| Účel | Právní základ (čl. 6 GDPR) |
|---|---|
| Poskytování služby aplikace | Plnění smlouvy — odst. 1 písm. b) |
| Komunikace a podpora uživatelů | Oprávněný zájem — odst. 1 písm. f) |
| Plnění zákonných povinností (účetnictví) | Právní povinnost — odst. 1 písm. c) |
| Analytika a vylepšení produktu | Souhlas — odst. 1 písm. a) |
| Marketingová komunikace | Souhlas — odst. 1 písm. a) |
| Apple Health / Polar integrace | Souhlas — odst. 1 písm. a) + čl. 9 odst. 2 písm. a) |
5. Princip agregace dat (privacy by design)
Trenéři a klubové vedení nikdy nevidí syrová wellness data jednotlivých hráčů. Vidí pouze agregát (průměry, počty odeslaných check-inů, přítomné varovné příznaky) za celý tým. Tato pravidla jsou zakotvena v interním dokumentu „doc 174 §3" a vynucována na úrovni databáze (RLS politiky a SECURITY DEFINER RPC funkce).
Hráč má přístup pouze ke svým vlastním datům. Klub má přístup k agregovaným reportům za své týmy.
6. Doba uchování
- Identifikační údaje: po dobu trvání účtu + 1 rok po smazání (pro vyřízení případných sporů)
- Wellness check-iny a sportovní data: po dobu členství v klubu + 1 rok
- Účetní a fakturační údaje: 10 let dle zákona č. 235/2004 Sb. o DPH a zákona č. 563/1991 Sb. o účetnictví
- Provozní údaje (IP, crash logs): nejdéle 30 dní
- Cookies analytics: dle nastavení daného nástroje (Google Analytics: 14 měsíců, Meta Pixel: 90 dní)
7. Příjemci a zpracovatelé
Vaše osobní údaje předáváme následujícím zpracovatelům, výhradně v rozsahu nezbytném pro plnění smlouvy:
| Zpracovatel | Účel | Jurisdikce |
|---|---|---|
| Supabase (self-hosted v EU) | Databáze, autentizace | EU |
| Stripe Payments Europe Ltd. | Zpracování plateb klubů | EU/Irsko |
| Resend, Inc. | Transakční e-maily | USA — Standard Contractual Clauses |
| Cloudflare, Inc. | CDN, ochrana před útoky, analytika webu | EU/USA — DPF |
| Apple Inc. | App Store, push notifikace, App Privacy | USA — DPF |
| Google LLC (po souhlasu) | Analytika návštěvnosti | USA — DPF |
| Meta Platforms, Inc. (po souhlasu) | Reklamní pixel | USA — DPF |
8. Předávání mimo EU/EHP
Některé výše uvedené zpracovatele sídlí mimo EU. V těchto případech je předávání zajištěno:
- Rozhodnutím Komise EU o odpovídající ochraně (Data Privacy Framework — DPF)
- nebo standardními smluvními doložkami (SCCs) podle čl. 46 GDPR
9. Vaše práva (čl. 15-22 GDPR)
Jako subjekt údajů máte právo:
- Na přístup — víte, jaké údaje o vás zpracováváme. V aplikaci v sekci „Účet → Stáhnout moje data" si můžete kdykoli stáhnout JSON s vaší kompletní historií.
- Na opravu — pokud jsou údaje nepřesné, opravíme je.
- Na výmaz („právo být zapomenut") — v aplikaci v sekci „Účet → Smazat účet". Smazání je nevratné a zruší všechny vaše údaje kromě těch, které musíme uchovávat ze zákonných důvodů (účetnictví).
- Na omezení zpracování — písemně na hello@melveo.app.
- Na přenositelnost údajů — JSON export poskytuje strojově čitelný formát.
- Vznést námitku proti zpracování na základě oprávněného zájmu.
- Odvolat souhlas kdykoliv, bez vlivu na zákonnost zpracování provedeného před odvoláním. Pro analytické / marketingové cookies přes patičku „Nastavení cookies".
- Podat stížnost u dozorového úřadu:
Úřad pro ochranu osobních údajů
Pplk. Sochora 27, 170 00 Praha 7
www.uoou.cz
10. Děti pod 15 let
Mnoho mládežnických klubů má hráče mladší 15 let. V souladu s § 11 zákona č. 110/2019 Sb. zpracováváme osobní údaje takových hráčů pouze s výslovným souhlasem zákonného zástupce. Klub odpovídá za získání tohoto souhlasu před pozváním hráče do aplikace.
11. Bezpečnost
Implementujeme přiměřená technická a organizační opatření:
- Šifrování přenosu (TLS 1.3)
- Šifrování dat v klidu (PostgreSQL at-rest encryption)
- Row-Level Security politiky pro per-uživatelskou izolaci
- Pravidelné zálohy s kontrolou integrity
- Logování přístupu k citlivým datům
- Two-factor autentizace pro vývojářský přístup
12. Změny zásad
Tyto zásady můžeme aktualizovat. Při podstatné změně budou existující uživatelé notifikováni e-mailem nejméně 30 dní před účinností. Verze a datum účinnosti jsou uvedeny nahoře.
13. Kontakt
Veškeré dotazy ohledně zpracování osobních údajů, žádosti o uplatnění vašich práv nebo stížnosti zasílejte na:
hello@melveo.app
Datová schránka: g7v78rx
Na žádosti odpovídáme bez zbytečného odkladu, nejpozději do 30 dnů od obdržení.
Tento dokument je vlastní zpracování provozovatele a vychází z platné legislativy. Pro enterprise smlouvy a komplexní zpracování doporučujeme advokátní revizi.