Ochrana osobních údajů

Provozovatelem služby Kurikula je Webforte Technologies s.r.o., IČO 23364343, se sídlem Korunní 2569/108, Vinohrady, 101 00 Praha 10 (dále jen “Kurikula”). Pro dotazy k ochraně osobních údajů nás kontaktujte na info@kurikula.ai.

Při provozu webu, uživatelských účtů, objednávek, fakturace, komunikace a podpory vystupuje Kurikula jako správce osobních údajů. Při zpracování dokumentů ŠVP nahraných školou vystupuje Kurikula zpravidla jako zpracovatel a škola jako správce; tento vztah upravuje samostatná zpracovatelská smlouva (DPA).

V rámci služby můžeme zpracovávat zejména tyto kategorie údajů:

• Údaje o uživatelích: jméno, příjmení, e-mail, telefon, role v organizaci, údaje potřebné pro přihlášení a správu účtu.
• Údaje o škole a objednávce: název školy, IČO, fakturační a kontaktní údaje, typ licence, stav objednávky, interní poznámky k vyřízení.
• Nahrané dokumenty: ŠVP a související soubory, jejich text, struktura, návrhy změn, historie schvalování a exporty. Dokumenty mohou obsahovat jména a pracovní údaje pedagogů nebo dalších osob, pokud je škola v dokumentu ponechá.
• Komunikace a podpora: zprávy z kontaktních formulářů, e-maily, žádosti o licenci, žádosti o pilotní testování a případná komunikace v chatu podpory.
• Technické a bezpečnostní údaje: IP adresa, typ prohlížeče, identifikátory relace, auditní záznamy, chyby aplikace, logy zpracování a základní údaje o použití služby.
• Volitelné přihlášení přes Google: pokud zvolíte Google přihlášení, zpracujeme identifikátor účtu a e-mail poskytnutý službou Google.

Kurikula není určena pro nahrávání zvláštních kategorií osobních údajů ani detailních údajů o žácích. Pokud je nahraný ŠVP obsahuje, škola zůstává odpovědná za zákonnost jejich vložení a Kurikula je zpracuje pouze v rozsahu nutném pro poskytnutí služby.

Osobní údaje zpracováváme pro tyto účely:

• Poskytování služby a správa účtu na základě plnění smlouvy nebo jednání o smlouvě dle čl. 6 odst. 1 písm. b) GDPR.
• Zpracování ŠVP dokumentů pro školu podle pokynů školy jako správce, na základě zpracovatelské smlouvy dle čl. 28 GDPR.
• Vyřízení objednávek, pilotních žádostí a komunikace na základě jednání o smlouvě nebo oprávněného zájmu dle čl. 6 odst. 1 písm. b) a f) GDPR.
• Bezpečnost, audit, prevence zneužití a provozní stabilita na základě oprávněného zájmu dle čl. 6 odst. 1 písm. f) GDPR.
• Účetní a daňové povinnosti na základě právních povinností dle čl. 6 odst. 1 písm. c) GDPR.
• Marketingová komunikace pouze pokud k ní máme odpovídající právní základ, typicky souhlas nebo oprávněný zájem u existujících zákazníků. Z odběru lze kdykoli odstoupit.

Pro analýzu ŠVP a generování návrhů změn používáme modely Google Gemini prostřednictvím Google AI Studio nebo Google Cloud Vertex AI podle aktuální konfigurace služby. Dokumenty posíláme pouze v rozsahu potřebném pro analýzu, návrhy změn, export a kontrolu vazeb na RVP.

Nahrané dokumenty nepoužíváme k trénování vlastních modelů a podle podmínek API/Cloud služeb Google nejsou zákaznická data používána k trénování modelů Google pro jiné zákazníky.

Aplikační a databázová data ukládáme v evropských regionech, pokud to daný podzpracovatel umožňuje. U služeb, které mohou zahrnovat přenos mimo EHP, používáme smluvní a technické záruky, zejména smlouvy o zpracování osobních údajů a standardní smluvní doložky.

Pro provoz služby využíváme ověřené dodavatele. Údaje nepředáváme třetím stranám pro jejich vlastní marketingové účely.

• Google Cloud / Google Gemini pro analýzu dokumentů, generování návrhů, zpracování DOCX a volitelné přihlášení přes Google.
• Vercel Inc. pro hosting aplikace a serverové funkce.
• Neon pro provoz PostgreSQL databáze.
• Upstash pro Redis cache a dočasné provozní údaje.
• E-mailový poskytovatel přes SMTP pro systémové e-maily, potvrzení účtu, pozvánky, notifikace a vyřízení poptávek.
• Make.com pro předání schválené objednávky do fakturačního a administrativního procesu, pokud je webhook aktivován.
• Sentry pro monitoring chyb a diagnostiku stability aplikace.
• Crisp pro chat podpory, pokud uživatel chat otevře nebo je chat v daném prostředí aktivní.

Údaje uchováváme jen po dobu nezbytnou pro daný účel:

• Účet, organizaci, licenci a objednávky po dobu trvání smluvního vztahu a obvykle 1 rok po jeho ukončení, pokud není nutné delší uchování.
• Účetní a daňové doklady po dobu vyžadovanou právními předpisy, typicky 10 let.
• Nahrané dokumenty, výsledky analýz a exporty po dobu aktivní licence; po ukončení smlouvy je smažeme nebo vrátíme podle DPA, zpravidla do 30 dnů, pokud právní předpis nevyžaduje jinak.
• Cache, provozní logy a diagnostické záznamy po dobu nutnou pro dokončení zpracování, zabezpečení a řešení chyb, zpravidla v řádu dnů až měsíců podle typu záznamu.

Svoje práva můžete uplatnit na info@kurikula.ai. Pokud se žádost týká údajů obsažených v dokumentech školy, můžeme vás odkázat také na příslušnou školu jako správce těchto údajů.

• Právo na přístup k osobním údajům dle čl. 15 GDPR.
• Právo na opravu nepřesných údajů dle čl. 16 GDPR.
• Právo na výmaz za podmínek čl. 17 GDPR.
• Právo na omezení zpracování dle čl. 18 GDPR.
• Právo na přenositelnost údajů dle čl. 20 GDPR.
• Právo vznést námitku dle čl. 21 GDPR.
• Právo odvolat souhlas, pokud je zpracování založeno na souhlasu.
• Právo nebýt předmětem rozhodnutí založeného výhradně na automatizovaném zpracování s právními nebo obdobně významnými účinky. Kurikula takové rozhodování neprovádí; návrhy v aplikaci vždy schvaluje člověk.
• Právo podat stížnost u Úřadu pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, uoou.gov.cz.

Na žádost odpovíme bez zbytečného odkladu, nejpozději do 30 dnů.

Používáme technicky nezbytné cookies a lokální úložiště pro přihlášení, zabezpečení relace, zapamatování nastavení aplikace a fungování demo průvodce. Bez těchto prvků by aplikace nefungovala správně.

Nepoužíváme marketingové cookies třetích stran. Pokud otevřete chat podpory, může dojít k načtení služby Crisp a zpracování údajů nutných pro zobrazení a vyřízení konverzace.

Podrobnější přehled používaných cookies a úložišť najdete na stránce Cookies.

Přijímáme technická a organizační opatření odpovídající riziku zpracování: šifrovaný přenos dat, řízení přístupů podle rolí, izolaci dat škol podle organizace, auditní záznamy klíčových operací, ověřování e-mailu, omezení přístupů k produkčním datům, zálohování a monitoring bezpečnostních a provozních incidentů.

O podstatných změnách těchto zásad vás budeme informovat e-mailem nebo oznámením v aplikaci. Aktuální verze je vždy dostupná na adrese kurikula.ai/privacy.