KlikVýuka.cz KlikVýuka.cz ← Zpět na hlavní stránku

Zásady ochrany osobních údajů

Účinné od: 3. května 2026 · Verze 2.2

Ve zkratce: Platforma KlikVýuka.cz neukládá žádné osobní údaje žáků. Jediné údaje, které zpracováváme, jsou přihlašovací údaje sdíleného školního účtu a technické provozní záznamy.

1. Správce

Správcem osobních údajů je:

ASTRA BUILDING s.r.o., IČO: 01759582, Tmáň 55, 273 71 Zlonice. Kontakt: marfipp.business@gmail.com.

Pověřenec pro ochranu osobních údajů (DPO): nebyl jmenován — povinnost podle čl. 37 odst. 1 GDPR Provozovateli nevzniká (zpracování není v hlavní činnosti rozsáhlým monitorováním ani zpracováním zvláštních kategorií). Kontaktní osobou pro ochranu osobních údajů je jednatel na výše uvedené e-mailové adrese.

2. Architektura bez osobních údajů žáků

Platforma je záměrně navržena tak, aby na serveru neukládala žádné osobní údaje žáků — žáci se do Platformy nepřihlašují, nevytvářejí si v ní účty a jejich odpovědi se na server v identifikovatelné podobě nepředávají. Pracovní listy se vyhodnocují výhradně v prohlížeči žáka.

Provozovatel je samostatným správcem údajů uvedených v čl. 3. Nevystupuje jako zpracovatel podle čl. 28 GDPR — žádná žákovská data mu škola nepředává, a proto není mezi školou a Provozovatelem nutné uzavírat smlouvu o zpracování osobních údajů (DPA). Standardní obchodní smlouva o poskytování služby tím není dotčena.

Pozn.: Po dobu trvání jedné relace si prohlížeč žáka ukládá lokálně technické údaje o probíhající relaci (viz čl. 10). Tato data nikdy neopouštějí zařízení žáka a nejsou Provozovateli dostupná.

3. Jaké údaje zpracováváme

  • Školní účet: uživatelské jméno účtu, role, identifikátor školy, časová razítka přihlášení a přijetí podmínek.
  • Heslo: ukládáno výhradně jako bcrypt-hash. Provozovatel nemá přístup k heslu v čitelné podobě.
  • Kontakt na školu: e-mail a jméno kontaktní osoby (zpravidla statutárního zástupce), se kterou je uzavřena smlouva.
  • Provozní záznamy: IP adresa, typ prohlížeče, HTTP cesty a časová razítka v serverových logách.

4. Účel a právní základ

Údaje zpracováváme pro provoz školního účtu, komunikaci se školou, zajištění bezpečnosti Platformy a plnění zákonných (zejména účetních) povinností. Právními základy jsou plnění smlouvy (čl. 6 odst. 1 písm. b) GDPR), plnění právní povinnosti (čl. 6 odst. 1 písm. c) GDPR) a oprávněný zájem na bezpečnosti Platformy (čl. 6 odst. 1 písm. f) GDPR).

5. Doba uchování

  • Údaje školního účtu uchováváme po dobu trvání smlouvy a poté je do 30 dnů mažeme.
  • Účetní doklady uchováváme 10 let dle zákona č. 563/1991 Sb.
  • Provozní logy uchováváme nejdéle 12 měsíců.
  • Krátkodobé sdílené kódy zadání a relací (cesta /s/<CODE>) jsou aktivní pouze do uplynutí platnosti nastavené pedagogem při jejich vytvoření. Anonymní záznamy o odevzdání (server-přidělené zvířátko + skóre) jsou nejpozději 7 dnů po vypršení automaticky mazány; detailní rozbor odpovědí (po jednotlivých otázkách, bez identity žáka) je mazán 24 hodin po ukončení relace.

6. Umístění dat a poddodavatelé

Aplikace a databáze jsou hostovány u poskytovatele Railway Corp. v regionu EU West (Amsterdam, Nizozemsko). Údaje nejsou předávány mimo EHP.

7. Vaše práva

Ve vztahu ke zpracovávaným údajům máte práva podle čl. 15–21 GDPR (přístup, oprava, výmaz, omezení zpracování, přenositelnost, námitka) a dále právo podat stížnost u dozorového úřadu, kterým je Úřad pro ochranu osobních údajů. Žádosti uplatňujte na marfipp.business@gmail.com.

8. Zabezpečení

Hesla jsou ukládána jako bcrypt-hash, komunikace probíhá přes HTTPS, API používá krátkodobé podepsané tokeny. Žádný systém však není zcela bezpečný.

9. Bezpečnostní incidenty

V případě porušení zabezpečení osobních údajů Provozovatel postupuje v souladu s čl. 33 a 34 GDPR.

10. Cookies a úložiště prohlížeče

Platforma používá pouze technicky nezbytné cookies a místní úložiště prohlížeče (localStorage/sessionStorage) pro fungování přihlášení, uživatelské preference a běh relací. Sledovací, reklamní ani analytické cookies nepoužíváme. Žádné cookies třetích stran. Žádné trackery.

Cookies

  • skola_authHttpOnly, Secure, SameSite=Strict. Podepsaný JWT pro udržení přihlášení pedagoga. Vyprší při odhlášení nebo po vypršení platnosti tokenu.
  • skola_csrfSecure, SameSite=Strict. Náhodný token pro ochranu před CSRF útoky (double-submit pattern). Sdílí životní cyklus se skola_auth.

Úložiště prohlížeče (localStorage)

Následující data se ukládají výhradně v prohlížeči uživatele a na server se nikdy nepředávají. Jsou kdykoli odstranitelná smazáním dat stránky v prohlížeči.

  • skola_theme — volba světlého/tmavého režimu (light / dark / system).
  • skola_cookie_notice_dismissed — informace, že uživatel zavřel oznámení o cookies (aby se znovu nezobrazovalo).
  • skola_tutorial_completed_<user_id>, skola_tutorial_declined_<user_id> — stav průvodce (tutoriálu) pro daného přihlášeného pedagoga.
  • skola_last_session — obnova posledně rozpracovaného zadání po znovuotevření karty (pedagog).
  • klik_student_<CODE> — pouze v prohlížeči žáka po dobu jedné relace: server-přidělené pseudonymní zvířátko (např. „Liška 🦊"), pořadové ID odevzdání a příznak, zda už byl pracovní list odevzdán. Slouží k tomu, aby při náhodném zavření karty na sdíleném školním tabletu žák neztratil své místo v právě probíhající relaci. Tyto údaje neopouští zařízení žáka, server je nezpracovává jako součást profilu a nelze je s konkrétní fyzickou osobou propojit.

11. Změny zásad

Provozovatel je oprávněn tyto zásady kdykoli aktualizovat. Aktuální znění je vždy dostupné na této stránce spolu s datem účinnosti.