Ochrana osobních údajů

Účinnost od: 19. dubna 2026 · Verze dokumentu: 2026-04-19

1. Správce osobních údajů

Správcem osobních údajů ve smyslu nařízení Evropského parlamentu a Rady (EU) 2016/679 (dále jen „GDPR") je:

Aero Academy s.r.o.
IČO: 22195700, DIČ: CZ22195700
Sídlo: Hostivařská 538/56, 102 00 Praha-Hostivař
Zapsaná v obchodním rejstříku vedeném Městským soudem v Praze.
Email: info@aero-academy.cz
Telefon: +420 607 077 373

Správce nejmenoval pověřence pro ochranu osobních údajů (DPO); veškeré dotazy k ochraně údajů směřujte na uvedený email.

2. Jaké osobní údaje zpracováváme

V souvislosti s provozem portálu zpracováváme tyto kategorie údajů:

• Identifikační a kontaktní údaje: jméno, příjmení, email, telefon.
• Přihlašovací údaje: emailová adresa, heslo (uložené ve formě nevratného hashe), ověření emailu.
• Fakturační údaje: jméno/název, ulice, město, PSČ, země; u podnikatelů IČO a DIČ (pokud je přiděleno).
• Údaje o objednávkách a platbách: registrace na přednášky, částky, identifikátory plateb ze služby Stripe, identifikátory vrácených plateb, „snímek" fakturačních údajů v okamžiku platby (uchovávaný pro daňové účely).
• Údaje o účasti: přítomnost/nepřítomnost na jednotlivých přednáškách, typ studenta (interní/externí, student/pilot/instruktor), přiřazený předplacený tarif.
• Provozní údaje: datum vytvoření účtu, datum posledního přihlášení, preference emailových notifikací.
• Technické údaje: údaje zpracovávané ukládanými cookies — viz Zásady používání cookies.

Nezpracováváme žádné zvláštní kategorie osobních údajů (tzv. citlivé údaje) ani rodná čísla.

3. Účel a právní základ zpracování

Marketingovou komunikaci (newslettery) aktuálně nezasíláme. Pokud to v budoucnu začneme dělat, bude zasílání založeno na vašem výslovném souhlasu a budete mít možnost se kdykoli odhlásit.

4. Zpracovatelé a příjemci údajů

Vaše údaje zpřístupňujeme v nezbytném rozsahu těmto zpracovatelům:

• Vedos (poskytovatel VPS, ČR) — hosting aplikace a databáze. Zpracovává všechny uložené údaje na úložišti.
• Stripe Payments Europe, Ltd. (Irsko) — zpracování plateb platební kartou. Předáváme: email, jméno, částku, identifikátor objednávky. Stripe samostatně zpracovává údaje o platební kartě. Stripe je certifikovaným PCI-DSS Level 1 zpracovatelem. Stripe může v rámci skupiny předávat údaje své mateřské společnosti Stripe, Inc. (USA) pro účely prevence podvodů a provozních účelů; tento přenos probíhá na základě Standardních smluvních doložek (SCC) schválených Evropskou komisí. Více viz stripe.com/privacy.
• Solitea Česká republika, a.s. (iDoklad) — vystavování a archivace daňových dokladů (faktur a dobropisů). Předáváme: jméno/název, fakturační adresu, IČO, DIČ, emailovou adresu a údaje o plnění. Zpracování probíhá v ČR.
• Resend, Inc. (USA) — odesílání transakčních emailů. Předáváme: emailovou adresu příjemce, jméno a obsah zprávy. Zpracování probíhá ve Spojených státech amerických. Přenos je zajištěn kombinací (i) certifikace Resend, Inc. v rámci EU–US Data Privacy Framework (DPF) a (ii) Standardních smluvních doložek (SCC) podle čl. 46 odst. 2 písm. c) GDPR, uzavřených v rámci zpracovatelské smlouvy.
• Generální finanční ředitelství – registr ARES (veřejný rejstřík)— při ověřování IČO předáváme pouze IČO; z rejstříku získáváme název a adresu podnikatelského subjektu. U právnických osob (s.r.o., a.s.) není IČO osobním údajem ve smyslu GDPR; u osob samostatně výdělečně činných (OSVČ) je IČO součástí identifikačních údajů, které zpracováváme na základě plnění smlouvy.

Se všemi zpracovateli máme uzavřenou zpracovatelskou smlouvu podle čl. 28 GDPR. Nepředáváme údaje žádným jiným třetím stranám, s výjimkou případů, kdy nám to ukládá zákon (např. orgánům činným v trestním řízení na základě jejich žádosti).

5. Doba uchování údajů

Údaje uchováváme pouze po dobu nezbytně nutnou k naplnění účelu zpracování (viz bod 3). Po uplynutí této doby údaje buď mažeme, nebo je nevratně anonymizujeme.

Důležité: Podle § 35 zákona o DPH a § 31 zákona o účetnictví jsme povinni uchovávat daňové doklady po dobu 10 let od konce účetního období, ve kterém se plnění uskutečnilo. Tato povinnost má přednost před právem na výmaz podle GDPR; v takovém případě provádíme tzv. omezenou anonymizaci — smažeme identifikační údaje (jméno, email, telefon) ze všech míst kromě vystavených faktur, které jsou v anonymizované podobě ponechány v daňové evidenci.

6. Vaše práva

Jako subjekt údajů máte podle GDPR tato práva:

• Právo na přístup (čl. 15) — můžete si vyžádat kopii zpracovávaných údajů.
• Právo na opravu (čl. 16) — nepřesné údaje můžete sami opravit v profilu, případně nás požádat o opravu.
• Právo na výmaz (čl. 17) — můžete nás požádat o smazání údajů. Tam, kde nám to ukládá zákon (daňové doklady), provádíme omezenou anonymizaci (viz bod 5).
• Právo na omezení zpracování (čl. 18).
• Právo na přenositelnost (čl. 20) — na žádost vám poskytneme údaje, které jste nám sami předali, ve strukturovaném a běžně používaném strojově čitelném formátu.
• Právo vznést námitku (čl. 21) — proti zpracování založenému na oprávněném zájmu.
• Právo odvolat souhlas (čl. 7 odst. 3) — tam, kde je zpracování založeno na souhlasu, můžete jej kdykoli odvolat.
• Právo podat stížnost u dozorového úřadu — Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, uoou.gov.cz.

Žádost můžete uplatnit emailem na info@aero-academy.cz. Na žádost odpovíme nejpozději do 30 dnů. Pro ověření totožnosti můžeme požadovat doplňující údaje.

7. Nezletilí uživatelé

Služba je určena osobám starším 15 let v souladu s § 7 zákona č. 110/2019 Sb., o zpracování osobních údajů (česká adaptace čl. 8 GDPR). Při registraci je uživatel vyzván k potvrzení věku. Pokud zjistíme, že účet byl založen osobou mladší 15 let bez souhlasu zákonného zástupce, účet bez zbytečného odkladu zrušíme a související údaje smažeme. Rodiče, kteří chtějí využívat služby pro dítě mladší 15 let, si mohou vytvořit účet na své jméno. Takové užití v rámci rodiny spadá pod tzv. výjimku pro domácnost podle čl. 2 odst. 2 písm. c) GDPR.

8. Automatizované rozhodování

Při zpracování nedochází k žádnému automatizovanému rozhodování ani profilování ve smyslu čl. 22 GDPR.

9. Zabezpečení údajů

Přijali jsme přiměřená technická a organizační opatření k zabezpečení údajů: šifrovaná komunikace (HTTPS/TLS), hashování hesel (bcrypt), oddělení rolí a přístupových práv, pravidelné zálohování, omezený přístup k databázi přes SSH spojení s autentizací veřejným klíčem.

V případě porušení zabezpečení osobních údajů, které by mohlo představovat vysoké riziko pro práva a svobody dotčených osob, vás bez zbytečného odkladu informujeme v souladu s čl. 34 GDPR. Porušení zabezpečení zároveň ohlašujeme Úřadu pro ochranu osobních údajů do 72 hodin od okamžiku, kdy se o něm dozvíme (čl. 33 GDPR), vyjma případů, kdy je nepravděpodobné, že by mělo za následek riziko pro práva a svobody dotčených osob.

10. Změny těchto zásad

Tyto zásady můžeme v budoucnu aktualizovat. O podstatných změnách vás budeme informovat emailem nebo upozorněním v aplikaci a v případě, kdy je zpracování založeno na souhlasu, vás požádáme o nový souhlas. Aktuální verze je vždy dostupná na této stránce a obsahuje datum účinnosti v úvodu.