Zásady ochrany osobních údajů aplikace
Status: březen 2026
Důležité upozornění – Překlad
Tento text je strojový překlad poskytovaný pro vaši informaci. Není právně závazný.
Právně závazné verze těchto Zásad ochrany osobních údajů jsou dostupné na:
Němčina – pro uživatele, jejichž jazyk aplikace je nastaven na němčinu: alma-app.eu/datenschutz
Angličtina – pro všechny ostatní uživatele: alma-app.eu/privacy
Pokud se tento překlad liší od německé nebo anglické verze, platí příslušná závazná verze. Pokud si nejste jisti, která verze se na vás vztahuje, platí anglická verze.
Základní fakta na první pohled
Kdo jsem: Bastian Matzen / Alma Softwareentwicklung (Samostatná činnost), Kienitzer Str. 113, 12049 Berlín, Německo. Kontakt: privacy@alma-app.eu | www.alma-app.eu
Vaše data u mě:
✅ Bezpečná: Šifrované úložiště výhradně v EU (Frankfurt nad Mohanem).
✅ Soukromá: Žádný přenos dat třetím stranám (s výjimkou vašich kontaktů pro nouzové případy v nouzové situaci).
✅ Dobrovolná: Zdravotní data a mnoho dalších údajů jsou zcela volitelné.
✅ Kontrolovaná: Můžete kdykoli zobrazit, upravit nebo smazat všechno.
✅ Transparentní: Žádné skryté používání dat, prodej vašich dat není.
Vaše práva: Přístup, oprava, smazání, přenositelnost, námitka, odvolání souhlasu – vše je možné kdykoli.
Stížnosti lze podat u: Berlínského pověřence pro ochranu údajů a svobodu informací (datenschutz-berlin.de). Uživatelé v EHP se mohou obrátit také na dozorný orgán v zemi jejich obvyklého pobytu. Uživatelé ve Spojeném království se mohou obrátit na Úřad pro informace (ico.org.uk). Uživatelé ve Švýcarsku se mohou obrátit na Federálního komisaře pro ochranu údajů a informace (FDPIC).
1. Správce údajů a kontakt
Jsem správcem odpovědným za zpracování údajů v kontextu aplikace Alma, ve smyslu Obecného nařízení o ochraně osobních údajů (GDPR), Britského obecného nařízení o ochraně osobních údajů (UK GDPR), Švýcarského federálního zákona o ochraně dat (FADP/DSG) a dalších příslušných zákonů o ochraně údajů:
Bastian Matzen Alma Softwareentwicklung (Samostatná činnost) Kienitzer Str. 113 12049 Berlín Německo
Možnosti kontaktu Pro otázky týkající se ochrany (preferováno): privacy@alma-app.eu
Pro technickou podporu: support@alma-app.eu
Webové stránky: www.alma-app.eu
1a. Zástupce ve Spojeném království
V souladu s čl. 27 UK GDPR jsme určili následujícího zástupce ve Spojeném království pro otázky ochrany údajů:
Aron Harris Flat 7 324 Lewisham High Street SE13 6JZ London Spojené království
E-mail: privacy@alma-app.eu
2. Přehled aplikace a její funkce
Alma je aplikace pro osobní bezpečnost a komunikaci se dvěma hlavními funkcemi:
2.1 Alma Safety Net (Pouze s Connect+ předplatným)
Automatické bezpečnostní kontroly v definovaných časových oknech.
Automatické upozornění vašim kontaktům pro nouzové případy, pokud vynecháte kontrolu.
Volitelný přenos informací o poloze a zdraví v nouzové situaci.
2.2 Alma Moments (Zdarma)
Sociální síť pro sdílení momentů s až 30 spojeniami.
Automatické příspěvek do sociálního kanálu, pokud vynecháte kontrolu (pokud je povoleno).
Vzájemné potvrzení přátelství je povinné.
2.3 Minimální věk
Používání aplikace Alma je povoleno pro osoby ve věku 16 let a starší. Osoby mladší 16 let nemohou aplikaci používat. Registrací potvrzujete, že jste starší 16 let.
3. Jaké údaje se zpracovávají?
3.1 Povinné údaje při registraci
Abych mohl aplikaci používat, potřebuji následující údaje (Právní důvod: čl. 6(1)(b) GDPR – Plnění smlouvy):
E-mailová adresa – pro vytvoření účtu, komunikaci a obnovení hesla.
Heslo – uloženo v šifrované podobě a používáno pro zabezpečení účtu.
Jméno – pro personalizaci a zobrazení vašim kontaktům.
Příjmení – pro úplnou identifikaci.
3.2 Volitelné údaje v profilu
Můžete dobrovolně poskytnout následující údaje (Právní důvod: čl. 6(1)(a) GDPR – Souhlas):
Profilová fotografie – pro personalizaci a sociální funkce.
Datum narození – pro ověření věku.
Telefonní číslo – jako alternativní způsob kontaktu.
Adresa – pro informace v nouzové situaci.
Bio – pro sociální funkce.
Město – pro sociální funkce a vyhledávání.
3.3 Zdravotní data (Pouze Connect+, zcela volitelná)
Tyto zvláštní kategorie údajů podle čl. 9 GDPR jsou zpracovávány pouze s vaším výslovným souhlasem.
Shromážděná data: Krevní skupina, alergie, léky, zdravotní stav, domácí mazlíčci, informace o klíči domu, další informace v nouzové situaci.
Právní důvod: čl. 9(2)(a) GDPR (Výslovný souhlas).
Bezpečnost: Tato data jsou uložena s šifrováním AES-256 a jsou přenášena pouze vašim potvrzeným kontaktům v nouzové situaci.
3.4 Údaje o poloze (volitelné)
Sledování polohy je zcela volitelné a lze je provozovat ve třech režimech (Právní důvod: čl. 6(1)(a) GDPR – Souhlas):
Uložit při kontrole – Poloha je zachycena ručně pouze při kontrole.
Vždy odeslat – Poloha se aktualizuje na pozadí. Technicky se ukládá pouze poslední známá poloha; předchozí se přepíše.
Zakázáno – Žádná poloha se nezachycuje ani nesdílí.
Poznámka: Údaje o poloze se automaticky odstraňují po 30 dnech nečinnosti.
3.5 Údaje o kontrole
Během kontrol se zachycují následující údaje:
Čas kontroly – pro sledování bezpečnosti (Zadržení: 90 dní pro Connect+).
Informace o zařízení – pro analýzu chyb (Zadržení: 90 dní).
Poslední známá poloha – pro oznámení v nouzové situaci (zadržení: max. 30 dní, přepsáno).
3.6 Sociální data (Alma Moments)
Při používání sociálních funkcí se zpracovávají následující údaje: Příspěvky (text, obrázky, videa), komentáře, lajky, spojení a emoji nálady.
Právní důvod: čl. 6(1)(b) GDPR (Plnění smlouvy pro poskytování sociálních funkcí) a čl. 6(1)(a) GDPR (pro dobrovolný obsah).
3.7 Technické údaje
Pro provoz aplikace se zpracovávají následující technické údaje:
Typ zařízení a OS – pro optimalizaci aplikace a analýzu chyb (Právní důvod: čl. 6(1)(f) GDPR).
Verze aplikace – pro podporu a aktualizace (Právní důvod: čl. 6(1)(f) GDPR).
FCM token – pro push notifikace (Právní důvod: čl. 6(1)(b) GDPR).
Časová zóna – pro správné časy kontrol (Právní důvod: čl. 6(1)(b) GDPR).
Serverové soubory protokolů – pro bezpečnost infrastruktury a obranu proti útokům (Právní důvod: čl. 6(1)(f) GDPR).
3.8 Marketingová komunikace (volitelná)
Pouze pokud jste souhlasili během registrace nebo později v nastavení zaškrtnutím políčka, budu zpracovávat vaši e-mailovou adresu a jméno pro zasílání tipů, novin aplikace a aktualizací (Zpravodaj).
Právní důvod: čl. 6(1)(a) GDPR (Souhlas).
Odhlášení: Můžete se odhlásit kdykoli pomocí odkazu na odhlášení v každém e-mailu nebo v nastavení upozornění aplikace. Odvolání souhlasu nemá vliv na zákonnost zpracování na základě souhlasu před jeho odvoláním.
4. Účely zpracování údajů
Zpracovávám vaše údaje pro následující účely:
Plnění smlouvy (čl. 6(1)(b) GDPR): Poskytování aplikace, kontroly, výstrahy, správa předplatného.
Souhlas (čl. 6(1)(a) GDPR): Zdravotní data, sdílení polohy, volitelné informace profilu, marketing.
Oprávněné zájmy (čl. 6(1)(f) GDPR): Prevence podvodů, technická bezpečnost, řešení problémů.
Právní povinnosti (čl. 6(1)(c) GDPR): Povinnosti uchovávání, žádosti od orgánů.
Poznámka k automatizovanému rozhodování: Žádné automatizované rozhodování nebo profilování podle čl. 22 GDPR se neuskutečňuje, které by vytvářelo právní účinky týkající se vás. Aktivace alarmů je založena výhradně na časových oknech a pravidlech (If-Then logika) definovaných vámi osobně.
5. Příjemci údajů a zpracovatelé
5.1 Poskytovatelé služeb
Pracuji s následujícími poskytovateli služeb pro provoz aplikace:
Google Firebase (Google Ireland Ltd.) – pro hosting, databázi a ověřování. Umístění: Frankfurt nad Mohanem (europe-west3). Záruka ochrany údajů: Rámec na ochranu údajů USA-EU (DPF), Google Cloud DPA.
RevenueCat – pro správu předplatného (zpracovávané údaje: stav předplatného, čas nákupu, pseudonymní App User ID, metadata transakce). Umístění: USA (AWS). Záruka ochrany údajů: Standardní smluvní doložky EU (SCCs), DPA. Pro přenosy ze Spojeného království: Smlouva o přenosu dat Spojeného království (IDTA) nebo Příloha k EU SCCs Spojeného království. Pro přenosy ze Švýcarska: soulad s požadavky FADP/DSG.
Mailgun (Sinch) – pro doručování e-mailů. Umístění: EU. Záruka ochrany údajů: DPA, soulad s GDPR.
Algolia – pro vyhledávání uživatelů. Umístění: EU. Záruka ochrany údajů: DPA, soulad s GDPR.
5.2 Podmíněný přenos údajů (kanály upozornění)
Přenos do těchto služeb probíhá pouze v případě, že váš kontakt v nouzové situaci výslovně zvolí tyto kanály:
Meta (WhatsApp Cloud API) – pouze pokud je WhatsApp vybrán kontaktem. Meta je certifikován v rámci USA-EU Data Privacy Framework. Pro přenosy ze Spojeného království se dále vztahuje rozšíření Spojeného království na DPF USA-EU.
Telegram – Použití Telegramu probíhá pouze v případě, že váš kontakt aktivně zvolí tento kanál sám. V tomto případě váš kontakt přímo souhlasí se zpracováním údajů společností Telegram (potenciálně na serverech mimo EU).
5.3 Žádný přenos údajů třetím stranám
Vaše údaje se neprodávají.
Žádný přenos pro účely reklamy třetích stran.
Žádný přenos makléřům údajů.
Výjimka: Vaši kontakti pro nouzové případy obdrží informace, které jste v nouzové situaci zveřejnili.
6. Úložiště a mazání údajů
6.1 Umístění úložiště
Všechny údaje jsou primárně uloženy v Evropské unii (Frankfurt nad Mohanem, oblast Google Cloud europe-west3).
6.2 Doba uložení a automatické mazání
Historie kontrol: Automaticky odstraněno po 90 dnech.
Údaje o poloze: Automaticky odstraněno po 30 dnech nečinnosti (nebo nepřetržitě přepsáno).
Serverové soubory protokolů: Automaticky odstraněno po 90 dnech (pro analýzu chyb/obranu proti útokům).
Odkazy na pozvánky: Automaticky odstraněno po 7 dnech.
Zdravotní údaje: Smazání po 12 měsících nečinnosti.
Údaje účtu: Smazání po 24 měsících nečinnosti.
Připomenutí před smazáním kvůli nečinnosti:
Po 12 měsících bez přihlášení: Automatické smazání zdravotních údajů; odeslání připomínajícího e-mailu.
Po 13 měsících bez odpovědi: Další připomenutí.
Po 23 měsících nečinnosti: Poslední e-mail s výstrahou.
Po 24 měsících bez odpovědi: Úplné smazání účtu.
Výjimka pro aktivní předplatná: Dokud je aktivní placené Connect+ předplatné, nedochází k automatickému mazání kvůli nečinnosti.
Fakturační údaje: Fakturační údaje (jméno, adresa, informace o transakci) jsou uchovávány po dobu 10 let v souladu s povinnostmi uchovávání daňových údajů (§ 147 AO). Tyto údaje jsou uchovávány odděleně od údajů o použití.
Odstraněné účty jsou trvale a nezvratně odstraněny po lhůtě milosti 30 dní.
Důležité: Po žádosti o smazání účtu se používání okamžitě ukončí. Od tohoto okamžiku nebudou aktivovány žádné připomenutí kontroly, alarmy nebo jiná upozornění – ani pro vás, ani pro vaše kontakty v nouzové situaci. Navíc váš profil v Alma Moments již nebude viditelný. Konečné fyzické smazání všech údajů nastane po lhůtě milosti 30 dní.
7. Bezpečnost údajů
Používám moderní bezpečnostní standardy:
Šifrování: TLS 1.2+ pro přenos dat (Transit) a úložiště na serverech šifrovaných AES-256 (At Rest) pro citlivá data.
Kontrola přístupu: Pravidla bezpečnosti Firebase, přísné ověřování.
Bezpečnost aplikace: Firebase App Check, volitelná biometrická ochrana (Connect+), samostatný zámek nastavení.
8. Vaše práva
V každém čase máte následující práva (podle čl. 15-21 GDPR):
Přístup a export údajů: V aplikaci v části Nastavení → Soukromí.
Oprava: Můžete sami upravit všechny údaje profilu a zdravotní údaje v aplikaci.
Smazání: Můžete smazat jednotlivé údaje nebo celý účet přímo v aplikaci.
Omezení zpracování (čl. 18 GDPR): Můžete požádat o omezení zpracování, například pokud zpochybňujete správnost svých údajů nebo pokud je zpracování nezákonné.
Odvolání souhlasu: Souhlas (např. poloha, zdravotní údaje, marketing) můžete kdykoli odvolat v nastavení. Odvolání nemá vliv na zákonnost zpracování provedeného před odvoláním.
Právo na námitku (čl. 21 GDPR): Pokud je zpracování údajů založeno na oprávněných zájmech (čl. 6(1)(f) GDPR), máte právo podat námitku kdykoli z důvodů vyplývajících z vaší konkrétní situace.
Právo podat stížnost: Můžete se obrátit na příslušný orgán dohledu. Pro uživatele v Německu je to Berlínský pověřenec pro ochranu údajů a svobodu informací (datenschutz-berlin.de). Uživatelé v Evropském hospodářském prostoru (EHP) se mohou obrátit na orgán dohledu v zemi jejich obvyklého pobytu, místa práce nebo místa údajného porušení. Seznam orgánů dohledu je dostupný na edpb.europa.eu. Uživatelé ve Spojeném království se mohou obrátit na Úřad pro informace (ICO): ico.org.uk. Uživatelé ve Švýcarsku se mohou obrátit na Federálního komisaře pro ochranu údajů a informace (FDPIC): edoeb.admin.ch.
9. Zvláštní situace zpracování
9.1 Oznámení v nouzové situaci (Pouze Connect+)
V případě zmeškané kontroly budou upozorněni vaši kontakti v nouzové situaci. Budou předány pouze údaje, které máte uloženy ve svém profilu a schválili jste pro zveřejnění (např. poloha, zdravotní informace). Právní důvod:
čl. 6(1)(b) GDPR (Plnění smlouvy)
čl. 9(2)(a) GDPR (Výslovný souhlas s bezpečnostními údaji)
Dodatečně čl. 9(2)(c) GDPR (Ochrana zásadních zájmů), aby se zajistila fyzická celistvost v nouzové situaci.
9.2 Pozvání kontaktů v nouzové situaci
Chcete-li chránit soukromí třetích osob, nezadávejte přímo do aplikace kontaktní údaje jiných osob.
Vytvoření odkazu: Vygenerujete osobní odkaz pozvánky v aplikaci.
Odeslání: Odešlete tento odkaz vaší důvěryhodné osobě prostřednictvím kanálu podle vašeho výběru (např. WhatsApp, E-mail).
Registrace: Vaše důvěryhodná osoba otevře odkaz a nezávisle zadá své kontaktní údaje a požadovaný kanál upozornění. Dokud se odkaz nepoužívá, nejsou uloženy žádné údaje o vašich kontaktech. Nepoužívané odkazy zastanou po 7 dnech.
9.3 Vy jako kontakt v nouzové situaci
Pokud přijmete pozvánku, souhlasíte s tím, že vaše poskytnuté kontaktní údaje (Jméno, E-mail/Telefon/Profil) budou uloženy pro účely oznámení v nouzové situaci. Můžete se kdykoli odhlásit prostřednictvím odkazu pro odhlášení ve zprávách.
9.4 Vzdálené nastavení (Connect+)
Můžete dočasně udělit důvěryhodné osobě přístup (prostřednictvím generovaného kódu) k nastavení aplikace pro vás a správě nastavení. Po úspěšném připojení zůstane tento přístup, dokud jej v aplikaci neodvoláte. Pro vaši bezpečnost jsou všechny změny provedené důvěryhodnou osobou zaznamenány (Audit Log).
Právní důvod: čl. 6(1)(b) GDPR (Plnění smlouvy, funkce iniciované uživatelem).
10. Ověřování třetích stran
Google Sign-In: Přenášené údaje zahrnují e-mail, jméno, profilovou fotku. (Soukromí: policies.google.com/privacy)
Apple Sign-In: Přenášené údaje zahrnují e-mail (nebo adresu přenosu) a jméno. (Soukromí: apple.com/legal/privacy)
11. Push notifikace
Používám push notifikace pro připomenutí kontroly, alarmy a sociální interakce.
Právní důvod: čl. 6(1)(b) GDPR (pro smluvní funkce jako alarmy) a čl. 6(1)(f) GDPR (pro sociální oznámení).
Ovládání: Můžete spravovat většinu typů upozornění v nastavení aplikace. Kritická bezpečnostní oznámení jsou součástí základní služby.
12. Analýza a řešení problémů
12.1 Firebase Analytics
Používám Firebase Analytics v konfiguraci minimalizující data, aby se zajistila stabilita aplikace a oprava chyb.
Opatření ochrany soukromí: Nejsou shromažďovány žádné ID reklam (IDFA/AAID). Je povolena anonymizace IP.
Účel: Anonymizované statistiky pádů a použití pro technickou optimalizaci.
Právní důvod: čl. 6(1)(f) GDPR (Oprávněný zájem na bezchybném provozu a bezpečnosti aplikace).
12.2 Firebase Crashlytics
V případě pádu aplikace jsou odeslány technické podrobnosti (trasování zásobníku, informace o zařízení) pro opravu chyby. V hlášení o pádu nejsou uložena žádná přímo identifikující data.
12.3 ePrivacy a elektronické komunikace
Přístup k určitým funkcím zařízení a ukládání technických informací na zařízení (např. FCM tokeny) mohou podléhat národním zákonům implementujícím směrnici ePrivacy (2002/58/ES). Ve Spojeném království se vztahují předpisy o ochraně soukromí a elektronických komunikacích 2003 (PECR). Ve Švýcarsku se vztahují ustanovení zákona o telekomunikacích (TCA/FMG). Pokud je v příslušném zákoně vyžadován souhlas, je získán před příslušným přístupem.
13. Změny těchto zásad ochrany osobních údajů
Vyhrazuji si právo měnit tyto zásady ochrany osobních údajů. V případě podstatných změn budete informováni prostřednictvím aplikace nebo e-mailu. Aktuální verze je vždy dostupná v aplikaci a na webu.
14. Přenosy údajů do zahraničí
Primární uložení údajů probíhá v Evropské unii (Frankfurt nad Mohanem). Pokud jsou údaje převáděny poskytovatelům služeb mimo EHP (viz Oddíl 5), spoléhám se na následující záruky:
Rámec na ochranu údajů USA-EU (DPF): Pro přenosy do společností se sídlem v USA certifikovaných v rámci DPF (např. Google, Meta).
Standardní smluvní doložky EU (SCCs): Pro přenosy do společností, které nejsou certifikovány v rámci DPF (např. RevenueCat).
Pro přenosy ze Spojeného království: Používám Smlouvu o přenosu dat Spojeného království (IDTA) nebo Přílohu k EU SCCs Spojeného království, stejně jako rozšíření Spojeného království na DPF USA-EU, kde je to vhodné.
Pro přenosy týkající se Švýcarska: Soulad s požadavky švýcarského federálního zákona o ochraně dat (FADP/DSG), včetně uznání rozhodnutí o přiměřenosti Federální radou a používání standardních smluvních doložek tam, kde je to požadováno.
Další podrobnosti o jednotlivých poskytovatelích služeb najdete v Oddílu 5.
15. Uživatelé mimo EU/EHP, Spojené království a Švýcarsko
Pro uživatele v zemích, které nejsou pokryty GDPR, UK GDPR nebo švýcarským FADP, poskytovatel používá stejná technická a organizační opatření jako pro uživatele v rozsahu GDPR. Povinná ustanovení zákona o ochraně údajů v zemi vašeho obvyklého pobytu zůstávají nedotčena.
16. Kontakt
Bastian Matzen Alma Softwareentwicklung Kienitzer Str. 113 12049 Berlín
E-mail: privacy@alma-app.eu
Webové stránky: www.alma-app.eu