Zpět

Smlouva o zpracování osobních údajů

Pro základní školy používající EduLocky

Verze 1.0 · platnost od 29. dubna 2026 · v souladu s čl. 28 nařízení (EU) 2016/679 (GDPR)

I. Smluvní strany

Správce (dále „Škola"): základní škola identifikovaná IČO uvedeným při registraci na edulocky.cz/skoly/registrace, zastoupená osobou určenou v poli „Kontaktní osoba".

Zpracovatel (dále „EduLocky"): Michal Kučinka — fyzická osoba podnikající dle § 420 NOZ, IČO bude doplněno k veřejnému launchi, sídlo: Praha 3, Vinohradská. Kontakt: podpora@edulocky.cz.

II. Předmět smlouvy

Tato smlouva upravuje zpracování osobních údajů žáků, učitelů a zákonných zástupců, ke kterému dochází v rámci poskytování služby EduLocky pro Školu. Účel zpracování: rodičovská kontrola digitálních zařízení žáků v rámci školního prostředí, sledování plnění úkolů, zasílání pedagogických insightů.

III. Kategorie osobních údajů a subjektů údajů

  • Žáci: jméno, příjmení, datum narození (volitelně), ID zařízení, vzorce použití aplikací (souhrnné minuty, pokusy o obejití), výsledky úkolů
  • Učitelé: e-mail, jméno, role (učitel/admin), přidělené třídy
  • Zákonní zástupci: jméno, e-mail (pokud Škola sdílí přístup k rodičovskému dashboardu)

IV. Trvání zpracování

Po dobu trvání předplatného + 30 dní pro export. Po uplynutí těchto 30 dní jsou veškeré osobní údaje Školy nevratně smazány z produkčních systémů. Šifrované zálohy starší 90 dní se rotují automaticky.

V. Povinnosti zpracovatele

  1. Zpracovávat údaje pouze na základě doložených pokynů Školy
  2. Zajistit, aby osoby pověřené zpracováním byly vázány povinností mlčenlivosti
  3. Přijmout odpovídající technicko-organizační opatření (šifrování at-rest a in-transit, RLS na úrovni databáze, audit log přístupů, MFA pro adminy)
  4. Bez zbytečného odkladu informovat Školu o porušení zabezpečení (max do 24 hodin od zjištění)
  5. Být nápomocen Škole při plnění její povinnosti reagovat na žádosti subjektů údajů
  6. Po skončení smlouvy vymazat nebo vrátit veškeré osobní údaje dle volby Školy

VI. Subprocessoři

EduLocky využívá tyto schválené subprocessory (čl. 28 odst. 4 GDPR):

  • Supabase Inc. (USA, certifikováno EU-US Data Privacy Framework) — databázové úložiště v regionu eu-central-1 (Frankfurt), RLS, autentizace
  • Vercel Inc. (USA, EU-US DPF) — hosting webové aplikace, edge functions v regionu eu-west-1
  • Stripe Payments Europe Ltd (Irsko) — fakturace předplatného
  • Resend, Inc. (USA, EU-US DPF) — transakční e-maily
  • Anthropic PBC (USA, EU-US DPF) — pro Premium plán zpracovává model Claude Haiku 4.5: text dětských úkolů (otázka + odpověď), jméno dítěte (oslovení v promptu), věk dítěte (kalibrace obtížnosti), AI tutor konverzace. Retence API logu max 30 dní; data se nepoužívají k trénování modelů (no-train default pro API zákazníky). Standard plán bez AI funkcí — žádná data se do Anthropic neodesílají.
  • hCaptcha (USA) — anti-spam ochrana registračních formulářů

Při změně nebo přidání subprocessora bude Škola informována e-mailem na kontaktní adresu min 30 dní předem s právem vznést námitku.

VII. Místo zpracování

Hlavní datové úložiště je v EU: Supabase Frankfurt (eu-central-1), Vercel edge eu-west-1. Pro AI funkce v plánu Premium se text úkolu, jméno a věk dítěte odesílá do Anthropic (USA) v rámci EU-US Data Privacy Framework — text úkolu obsahuje pravopisné jevy z výuky, ne identifikační data o dítěti samotném. E-maily rodičů zpracovává Resend (USA, EU-US DPF). Stripe (Irsko) zpracovává platby. Dětské e-maily a hesla v systému neexistují (děti se neregistrují) — pouze pseudonymní jméno + věk + datum narození dítěte spravuje rodič.

VIII. Práva subjektů údajů

Škola jako správce zajišťuje výkon práv subjektů údajů (právo na přístup, opravu, výmaz, omezení, přenositelnost, námitku). EduLocky poskytuje technickou podporu prostřednictvím:

  • Self-service exportu dat z dashboardu (formát JSON + CSV)
  • Self-service smazání profilu
  • Reakce na žádosti správce do 5 pracovních dní na podpora@edulocky.cz

IX. Audit

Škola má právo (max 1× ročně, s 14denním předstihem) provést audit souladu zpracování s touto smlouvou, a to buď vlastními silami, nebo prostřednictvím nezávislého auditora. EduLocky poskytne přiměřenou součinnost. Audit log na úrovni databáze je trvale dostupný v adminu Školy v sekci „Audit log".

X. Závěrečná ustanovení

Tato smlouva se uzavírá elektronicky kliknutím na souhlas v registračním formuláři. Vzájemně podepsaná verze v PDF k vyžádání. Smlouva se řídí právním řádem České republiky. Případné spory: Obvodní soud pro Prahu 3.

⚠️ Toto je vzor. Před prvním placeným provozem doporučujeme nechat smlouvu zkontrolovat advokátem se specializací na GDPR. EduLocky si vyhrazuje právo aktualizovat smluvní podmínky; školy budou informovány e-mailem 30 dní předem.

Smlouva o zpracování osobních údajů (DPA) — pro školy