DAYZERO.CZ
Zásady ochrany osobních údajů
Zásady ochrany osobních údajů služby DAYZERO Portál
(dále jen „Zásady")
Verze: v2026.1

1. Úvodní ustanovení

Tyto Zásady ochrany osobních údajů popisují, jakým způsobem jsou zpracovávány osobní údaje uživatelů služby DAYZERO Portál (dále jen „Portál").

Provozovatel Portálu zpracovává osobní údaje v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů (dále jen „GDPR") a souvisejícími právními předpisy České republiky, zejména zákonem č. 110/2019 Sb., o zpracování osobních údajů.

Tyto Zásady jsou nedílnou součástí Podmínek užívání Portálu.

2. Správce osobních údajů

  • Správcem osobních údajů je provozovatel služby DAYZERO Portál (dále jen „Správce").
  • Kontaktní údaje Správce jsou uvedeny na stránce Kontakt.
  • Správce nejmenoval pověřence pro ochranu osobních údajů, jelikož to povaha a rozsah zpracování nevyžadují.

3. Zpracovávané osobní údaje

Portál zpracovává následující kategorie osobních údajů:

3.1 Registrační údaje

  • uživatelské jméno
  • e-mailová adresa
  • heslo (uložené výhradně v hašované podobě pomocí algoritmu bcrypt; původní heslo není nikde uloženo a nelze jej zpětně získat)
  • IP adresa v okamžiku registrace

3.2 Profilové a komunitní údaje

  • profilový obrázek (avatar), banner a profilová hymna
  • nastavení rozložení a viditelnosti profilu
  • herní postavy a jejich lore, deníky
  • galerie (nahrané screenshoty)
  • členství ve frakcích a reputace
  • sledování jiných uživatelů
  • žádosti o whitelist
  • získané achievementy

3.3 Údaje z volitelně propojených externích služeb

  • Steam (propojení přes OpenID 2.0): Steam ID, zobrazované jméno, URL avataru
  • Discord (propojení přes OAuth 2.0): Discord ID, uživatelské jméno, e-mail (pokud jej Discord poskytne), URL avataru

Propojení s těmito službami je zcela dobrovolné a iniciované uživatelem. Údaje jsou získány přímo od příslušné služby na základě autorizace uživatele.

3.4 Technické a bezpečnostní údaje

  • IP adresa při přihlášení a během používání
  • identifikátor relace (session, v hašované podobě)
  • údaje o zařízení: typ zařízení, název a verze prohlížeče, název a verze operačního systému, řetězec User-Agent
  • čas posledního přístupu
  • záznamy aplikačních logů (IP adresa, User-Agent, požadované URL, chybové stavy)

3.5 Komunikační preference

  • preference přijímání systémových oznámení
  • preference přijímání oznámení o novinkách

3.6 Údaje o udělených souhlasech

  • typ souhlasu (Podmínky užívání, Zásady ochrany osobních údajů)
  • verze dokumentu a jeho otisk (SHA-256)
  • IP adresa a identifikace prohlížeče v okamžiku udělení souhlasu
  • datum a čas udělení souhlasu

3.7 Bezpečnostní údaje

  • stav a tajemství dvoufázového ověření (2FA), je-li aktivováno
  • údaje pro omezování četnosti požadavků (rate limiting): identifikátor klienta, počty požadavků

4. Účely a právní základ zpracování

Osobní údaje jsou zpracovávány pro následující účely:

  • Vytvoření a správa uživatelského účtu — právní základ: plnění smlouvy (čl. 6 odst. 1 písm. b) GDPR). Zahrnuje registraci, ověření e-mailu, přihlášení, správu profilu a nastavení.
  • Poskytování funkcí Portálu — právní základ: plnění smlouvy. Zahrnuje komunitní funkce, publikaci obsahu, správu postav, galerii, frakce a další interakce.
  • Zajištění bezpečnosti a prevence zneužití — právní základ: oprávněný zájem Správce (čl. 6 odst. 1 písm. f) GDPR). Zahrnuje sledování zařízení a relací, omezování četnosti požadavků, aplikační logování, dvoufázové ověření a ochranu před neoprávněným přístupem.
  • Zasílání transakčních e-mailů — právní základ: plnění smlouvy. Zahrnuje aktivační e-maily, obnovu hesla, ověřovací kódy 2FA, potvrzení změny e-mailu a oznámení o whitelistu.
  • Zasílání provozních sdělení — právní základ: oprávněný zájem Správce. Zahrnuje oznámení o důležitých změnách služby, bezpečnostních událostech nebo migraci účtů.
  • Propojení s externími službami — právní základ: souhlas uživatele (čl. 6 odst. 1 písm. a) GDPR). Uživatel propojení aktivně iniciuje.
  • Plnění zákonných povinností — právní základ: čl. 6 odst. 1 písm. c) GDPR, pokud to vyžaduje zákon.

5. Soubory cookies a relace

Portál používá výhradně technicky nezbytné relační cookies (session cookies) pro zajištění fungování přihlášení a ochrany formulářů (CSRF).

  • Žádné analytické, reklamní ani sledovací cookies nejsou používány.
  • Relační cookie je nastaveno s atributy: HttpOnly, Secure (pouze HTTPS), SameSite=Lax.
  • Cookie je automaticky odstraněno po zavření prohlížeče nebo odhlášení.

Vzhledem k tomu, že se jedná výhradně o technicky nezbytné cookies, není k jejich použití vyžadován souhlas.

6. Služby třetích stran

6.1 Google Fonts

Portál načítá písma ze služby Google Fonts (fonts.googleapis.com, fonts.gstatic.com). Při načtení stránky je navázáno připojení k serverům společnosti Google LLC (USA), které obdrží IP adresu uživatele. Zpracování se řídí zásadami ochrany osobních údajů společnosti Google.

6.2 Steam (Valve Corporation)

Při dobrovolném propojení účtu se službou Steam je využit protokol OpenID 2.0. Portál získá Steam ID, zobrazované jméno a URL profilového obrázku. Přihlášení probíhá na stránkách Valve; Portál nikdy nezíská přístup k heslu uživatele na platformě Steam.

6.3 Discord (Discord Inc.)

Při dobrovolném propojení účtu se službou Discord je využit protokol OAuth 2.0. Portál získá Discord ID, uživatelské jméno, e-mail (pokud jej Discord poskytne) a URL avataru. Autorizace probíhá na stránkách Discordu.

6.4 Webhooky

Správce může nakonfigurovat webhookové notifikace, které při určitých událostech (např. registrace uživatele, vytvoření postavy) odesílají omezené údaje (uživatelské jméno, časové razítko) na předem nastavené URL adresy. Tyto adresy jsou pod kontrolou Správce.

7. E-mailová komunikace

Portál zasílá e-mailové zprávy výhradně prostřednictvím vlastního poštovního serveru. Není využívána žádná externí služba pro rozesílání e-mailů.

Typy zasílaných e-mailů:

  • Transakční e-maily: aktivace účtu, obnova hesla, ověřovací kódy 2FA, potvrzení změny e-mailu, potvrzení propojení účtů, oznámení o stavu whitelistu.
  • Provozní sdělení: důležité informace o změnách služby, bezpečnostních událostech nebo migraci účtů. Tato sdělení jsou zasílána na základě oprávněného zájmu Správce a jsou omezena na nezbytné provozní záležitosti.

Portál nezasílá marketingové ani reklamní e-maily.

8. Uchovávání a mazání osobních údajů

  • Osobní údaje jsou uchovávány po dobu existence uživatelského účtu.
  • Po žádosti o zrušení účtu nastává 30denní ochranná lhůta, během které lze požadavek zrušit opětovným přihlášením. Po uplynutí této lhůty jsou veškerá data uživatele včetně závislých záznamů (zařízení, skupiny, achievementy, nahrané soubory, souhlasy, oznámení) nevratně smazána.
  • Správce může v odůvodněných případech (porušení pravidel, právní požadavky) namísto úplného smazání provést anonymizaci účtu — osobní údaje jsou přepsány, ale uživatelský obsah (postavy, příběhy) může zůstat přiřazen k anonymnímu záznamu.
  • Aplikační logy jsou uchovávány v souborech s denní rotací po dobu nezbytnou k zajištění bezpečnosti a odstraňování chyb.
  • Bezpečnostní tokeny (aktivační, obnovovací, ověřovací) mají omezenou platnost (15 minut až 7 dní dle typu) a jsou automaticky mazány po expiraci nebo použití.

9. Příjemci osobních údajů

  • Osobní údaje nejsou prodávány ani sdíleny s třetími stranami za účelem marketingu.
  • K přenosu údajů dochází pouze v rozsahu popsaném v čl. 6 (služby třetích stran).
  • Údaje mohou být předány orgánům veřejné moci, pokud to vyžaduje zákon.
  • Přístup k osobním údajům v rámci administrace Portálu mají pouze oprávněné osoby Správce.

10. Zabezpečení osobních údajů

Správce přijímá následující technická a organizační opatření k ochraně osobních údajů:

  • Hesla jsou ukládána výhradně v hašované podobě pomocí algoritmu bcrypt. Původní heslo není nikde uloženo a nelze jej zpětně získat.
  • Veškerá komunikace s Portálem probíhá přes šifrované spojení (HTTPS).
  • Relační cookies jsou chráněny atributy HttpOnly, Secure a SameSite.
  • Formuláře jsou chráněny proti CSRF útokům pomocí jednorázových tokenů.
  • Identifikátor relace je regenerován při každém přihlášení.
  • Přihlašovací pokusy jsou chráněny proti časovým útokům (timing attacks).
  • Portál podporuje dvoufázové ověření (2FA) prostřednictvím jednorázových kódů zasílaných e-mailem.
  • Přístup k API je omezen systémem rate limiting.
  • Přístup k administračním funkcím a osobním údajům je omezen na oprávněné role.

11. Práva subjektu údajů

V souladu s GDPR má uživatel následující práva:

  • Právo na přístup (čl. 15 GDPR) — uživatel může kdykoliv exportovat svá data prostřednictvím funkce „Získat data" v nastavení účtu. Export obsahuje profil, registrovaná zařízení, oznámení, sledované uživatele a přiřazené skupiny ve formátu JSON.
  • Právo na opravu (čl. 16 GDPR) — uživatel může opravit své údaje v nastavení profilu (e-mail, profil, propojené služby).
  • Právo na výmaz (čl. 17 GDPR) — uživatel může požádat o smazání účtu prostřednictvím funkce „Ukončit účet" v nastavení. Po 30denní ochranné lhůtě jsou veškerá data nevratně smazána.
  • Právo na omezení zpracování (čl. 18 GDPR) — uživatel může požádat Správce o omezení zpracování za podmínek stanovených GDPR.
  • Právo na přenositelnost údajů (čl. 20 GDPR) — uživatel může exportovat svá data ve strojově čitelném formátu (JSON) prostřednictvím funkce v nastavení.
  • Právo vznést námitku (čl. 21 GDPR) — uživatel může vznést námitku proti zpracování založenému na oprávněném zájmu Správce.
  • Právo podat stížnost — uživatel má právo podat stížnost u dozorového úřadu, kterým je Úřad pro ochranu osobních údajů (ÚOOÚ), Pplk. Sochora 27, 170 00 Praha 7, www.uoou.cz.

Pro uplatnění práv, která nejsou dostupná samoobslužně, kontaktujte Správce prostřednictvím údajů uvedených na stránce Kontakt.

12. Nezletilé osoby

  • Portál je určen výhradně osobám starším 13 let.
  • Osobní údaje osob mladších 13 let nejsou vědomě zpracovávány.
  • Pokud Správce zjistí, že účet patří osobě mladší 13 let, může jej bez náhrady odstranit.

13. Změny zásad

  • Správce si vyhrazuje právo tyto Zásady kdykoli aktualizovat.
  • Aktuální verze Zásad je vždy dostupná na Portálu.
  • O podstatných změnách budou uživatelé informováni prostřednictvím Portálu.
  • Změny nabývají účinnosti jejich zveřejněním, není-li uvedeno jinak.

14. Závěrečná ustanovení

  • Tyto Zásady se řídí právním řádem České republiky.
  • Jsou nedílnou součástí Podmínek užívání Portálu.
  • V případě rozporu mezi českou verzí Zásad a případným překladem má přednost česká verze.