Zásady ochrany osobních údajů

Muscle Diary („my", „nás", „naše") je služba pro sledování kondice sestávající z mobilní aplikace a webové platformy. Tyto Zásady ochrany osobních údajů vysvětlují, jaké osobní údaje shromažďujeme, proč je shromažďujeme, jak je používáme a jaká máte práva.

Správce osobních údajů: Muscle Diary
Contact: privacy@musclediary.app

2.1 Údaje o účtu a identitě

Při vytvoření účtu shromažďujeme:

• E-mailová adresa — slouží k autentizaci a správě účtu
• Zobrazované jméno — nepovinné, slouží k personalizaci
• Šifrované heslo — uložené přes Supabase Auth; plain-text hodnotu nikdy nevidíme

2.2 Tréninková data

Veškerá tréninková data, která zadáte, jsou nejprve uložena lokálně ve vašem zařízení a poté synchronizována na naše servery. Zahrnuje to:

• Zaznamenané cvičení s datem a časem každého tréninku
• Série a jejich parametry: opakování, váha (kg), doba trvání (s), vzdálenost (m), rychlost (km/h), úroveň odporu, sklon (%) a intenzita úsilí (RPE 1–10)
• Který QR kód byl naskenován pro zahájení tréninku (odkaz na posilovací zařízení)
• Volitelné textové poznámky ke cvičení

2.3 Nastavení a preference

Vaše preference v aplikaci ukládáme, aby se synchronizovaly napříč zařízeními:

• Jazyk, jednotková soustava (metrická / imperiální), motiv a první den týdne
• Stav dokončení úvodního nastavení
• Nastavení aplikace uložené jako JSON (přepínače funkcí a nekritické preference)

2.4 Technická data a data o zařízení

Shromažďována automaticky pro provoz a údržbu Služby:

• Model zařízení a verze operačního systému
• Verze aplikace
• Rozměry obrazovky
• Platforma (iOS / Android)
• Autentizační tokeny uložené v zabezpečeném lokálním úložišti vašeho zařízení
• Typ síťového připojení (Wi-Fi nebo mobilní data) a název mobilního operátora

2.5 Hlášení pádu

Když dojde k chybě Aplikace, automaticky shromažďujeme hlášení o pádu. Zpracování probíhá na základě oprávněného zájmu na udržení funkční Služby. Hlášení o pádu obsahuje:

• Chybová zpráva a trasování zásobníku
• Verze aplikace, platforma a verze OS
• Model zařízení a velikost obrazovky
• Obrazovka, na které jste se nacházeli, a akce, která chybu způsobila
• Vaše ID uživatele (pokud jste byli přihlášeni)

Hlášení o pádu jsou uchovávána 90 dní a poté smazána.

2.6 Zpětná vazba zadaná dobrovolně

Pokud použijete formulář zpětné vazby v aplikaci, shromažďujeme:

• Typ, název a popis zpětné vazby
• Prioritu, kterou přiřadíte položce
• Kontaktní e-mailovou adresu, pokud ji poskytnete
• Kontext zařízení přidaný automaticky: verze aplikace, platforma, verze OS, model zařízení a velikost obrazovky
• Obrazovka, ze které jste zpětnou vazbu odeslali

2.7 Analytická data (podmíněna souhlasem)

S vaším výslovným souhlasem odesíláme události o používání do Mixpanel (sídlo dat v EU, api-eu.mixpanel.com). Pokud souhlas odepřete nebo odvoláte, žádné události se neodesílají. Sledování analytiky je ve výchozím nastavení vypnuto. Shromažďujeme:

• Akce v aplikaci — např. záznam série, dokončení tréninku, skenování QR kódu, změna nastavení, zobrazení obrazovek
• Verze aplikace, platforma, verze OS a jazyk UI přiložené ke každé události
• Vaše Supabase ID uživatele (náhodné UUID) pro propojení událostí s jedním uživatelem — jméno ani e-mail se nikdy neodesílají
• Přibližné město a země odvozené z vaší IP adresy službou Mixpanel — samotná IP adresa u nás není uložena

Konkrétní datové body odesílané s tréninkovými událostmi jsou omezeny na počty a booleovské příznaky (například: „3 cvičení, 12 sérií, vstup přes QR sken") — skutečné hodnoty vah ani počty opakování se neodesílají.

2.8 Záznamy o souhlasu

Po přijetí Podmínek nebo Zásad zaznamenáváme:

• Kterou verzi dokumentu jste přijali
• Datum a čas přijetí
• Použitá platforma (iOS / Android / web)
• IP adresa a user agent — uchováváno pro účely auditu souladu s GDPR

2.9 Data, která neshromažďujeme

• GPS ani přesná poloha
• Seznamy kontaktů ani protokoly hovorů
• Zdravotní data z HealthKit, Google Fit ani jiných zdravotních platforem
• Finanční ani platební informace
• Fotografie ani obsah z fotoaparátu (kromě volitelných snímků obrazovky přiložených ke zpětné vazbě)
• Biometrická data

• Poskytování Služby: Ukládání a synchronizace tréninků napříč zařízeními
• Udržování spolehlivosti: Diagnostika a oprava pádů a chyb na základě hlášení (oprávněný zájem)
• Vylepšování aplikace: Analýza agregovaných vzorců používání při uděleném souhlasu s analytikou
• Komunikace o účtu: Zasílání nezbytných oznámení, jako jsou e-maily pro reset hesla
• Analytika posilovny: Poskytování partnerským posilovnám anonymizovaných agregovaných statistik využívání zařízení — například kolikrát bylo zařízení naskenováno za měsíc. Osobní tréninkové záznamy nejsou s posilovnami nikdy sdíleny.
• Zákonná shoda: Uchovávání záznamů o souhlasu a odpovídání na zákonné žádosti o data

• Smlouva: Údaje o účtu a tréninková data jsou zpracovávána za účelem poskytování Služby, k níž jste se přihlásili
• Oprávněný zájem: Hlášení o pádu jsou zpracovávána za účelem udržení funkční a bezpečné Služby
• Souhlas: Sledování analytiky a marketingová komunikace vyžadují váš výslovný souhlas
• Zákonná povinnost: Záznamy o souhlasu jsou uchovávány za účelem prokázání souladu s GDPR

5.1 Kde jsou vaše data uložena

• Ve vašem zařízení: Tréninková data jsou uložena lokálně pomocí šifrovaného SQLite (WatermelonDB) a synchronizována do cloudu, jakmile jste online
• V cloudu: Servery Supabase (PostgreSQL) hostované v Evropské unii
• Autentizační tokeny: Uloženy pouze v zabezpečeném lokálním úložišti vašeho zařízení — nikdy se neodesílají poskytovatelům analytiky

5.2 Bezpečnostní opatření

• Veškerá přenášená data jsou šifrována pomocí TLS 1.3
• Data v klidu jsou šifrována pomocí AES-256
• Přístup k databázi je řízen pomocí Row-Level Security — každý uživatel může přistupovat pouze ke svým vlastním datům
• Přístup zaměstnanců k uživatelským datům je omezen na to, co je nezbytné, a je protokolován

Vaše osobní data neprodáváme. Data sdílíme pouze v těchto případech:

• Poskytovatelé infrastruktury: Supabase (cloudová databáze a autentizace, hostováno v EU); tito poskytovatelé zpracovávají data naším jménem na základě smluv o zpracování dat
• Poskytovatel analytiky: Mixpanel (endpoint EU) — pouze pokud jste udělili souhlas s analytikou a pouze s anonymizovanými identifikátory
• Partnerské posilovny: Pouze agregované, anonymizované statistiky využívání zařízení; nikdy osobní tréninkové záznamy
• Zákonné požadavky: Pokud to vyžaduje zákon nebo soudní příkaz
• Poskytovatel hlášení chyb: Sentry (endpoint EU, ingest.de.sentry.io) — pouze chybová zpráva, trasování zásobníku a kontext zařízení; zpracovává se na základě oprávněného zájmu

Podle GDPR máte následující práva. Pro jejich uplatnění nás kontaktujte na privacy@musclediary.app.

• Přístup: Požádat o kopii všech osobních údajů, které o vás uchováváme
• Oprava: Opravit nepřesné nebo neúplné údaje
• Výmaz: Požádat o smazání účtu a všech přidružených osobních údajů
• Přenositelnost: Obdržet svá tréninková data ve strojově čitelném formátu
• Omezení: Požádat o omezení zpracování vašich dat po dobu řešení sporu
• Námitka: Vznést námitku proti zpracování na základě oprávněného zájmu
• Odvolání souhlasu: Kdykoli odhlásit sledování analytiky v nastavení aplikace; odvolat souhlas s právními dokumenty smazáním účtu

Na žádosti odpovíme do 30 dnů. Máte také právo podat stížnost u místního dozorového úřadu. V České republice: UOOU (uoou.gov.cz).

• Aktivní účet: Data jsou uchovávána po dobu aktivního účtu
• Smazaný účet: Veškerá osobní data jsou trvale smazána do 30 dnů
• Hlášení o pádu: Smazána po 90 dnech
• Záznamy o souhlasu: Uchovávány až 7 let v souladu s právem EU
• Agregovaná analytická data: Uchovávána donekonečna — tato data neobsahují osobní identifikátory

Svůj účet můžete kdykoli smazat:

• Pomocí možnosti Smazat účet v aplikaci (Nastavení → Smazat účet)
• Emailing support@musclediary.app

Po smazání jsou veškerá tréninková data a osobní informace trvale odstraněny. Záznamy o souhlasu jsou uchovávány pro zákonné účely, jak je popsáno výše. Tuto akci nelze vrátit zpět.

10.1 Mobilní aplikace

Mobilní aplikace cookies nepoužívá. Autentizační tokeny jsou uloženy v zabezpečeném lokálním úložišti zařízení a nejsou přístupné třetím stranám.

10.2 Webová stránka

Naše webová stránka používá:

• Nezbytné cookies: Vyžadované pro autentizaci a správné fungování webu
• Analytické cookies: Umísťovány pouze s vaším výslovným souhlasem; kdykoli se můžete odhlásit

Služba není určena osobám mladším 16 let. Vědomě neshromažďujeme osobní údaje dětí. Pokud se domníváte, že dítě vytvořilo účet, kontaktujte nás na privacy@musclediary.app a účet neprodleně smažeme.

Vaše data jsou uložena na serverech v Evropské unii. Osobní data pravidelně nepřenášíme mimo EU. Pokud by přenos mimo EU byl někdy nezbytný, zajistíme jeho ochranu prostřednictvím standardních smluvních doložek nebo jiného mechanismu schváleného Evropskou komisí.

Tyto Zásady ochrany osobních údajů můžeme čas od času aktualizovat. V případě podstatných změn — jako shromažďování nových kategorií dat nebo změn způsobu sdílení — vás upozorníme prostřednictvím aplikace a budeme vyžadovat přijetí aktualizovaných Zásad před dalším používáním Služby. Číslo verze a datum účinnosti na začátku stránky vždy odrážejí aktuální verzi.

Pro otázky o ochraně osobních údajů nebo žádosti o data:

• Privacy: privacy@musclediary.app
• Support: support@musclediary.app
• Website: musclediary.app