EuroPrisma

Zásady ochrany osobních údajů

Tyto Zásady ochrany osobních údajů vás informují podle Art. 13 a 14 DSGVO o tom, jaké osobní údaje na EuroPrisma zpracováváme, k jakým účelům, na jakém právním základě a jaká práva vám náležejí.

1. Správce

Správcem zpracování údajů na této platformě ve smyslu DSGVO je:

Latuke UG (haftungsbeschränkt) i. Gr. Roonstraße 23a 76137 Karlsruhe Deutschland

E-mail: info@latuke.com

Jednatel: Lorenz Meierhofer

Pověřence pro ochranu osobních údajů nejmenujeme; zákonná povinnost k tomu pro nás v současnosti neexistuje (Art. 37 DSGVO ve spojení s § 38 BDSG).

2. Hosting a serverové logové soubory

Naše platforma je provozována u následujícího zpracovatele v prostoru EU:

Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland. Servery se nacházejí v Evropské unii. Zásady ochrany osobních údajů hostera: https://www.hetzner.com/de/legal/privacy-policy/

S hosterem existuje smlouva o zpracování podle Art. 28 DSGVO.

Při každém vyvolání platformy zaznamenává webový server hostera technicky nezbytné spojovací údaje do logových souborů. K nim typicky patří:

  • IP adresa dotazujícího zařízení
  • datum a čas přístupu
  • vyvolaná URL a HTTP stavový kód
  • identifikace prohlížeče (User-Agent)
  • Referrer (pokud je předán)

Právní základ: Art. 6 odst. 1 písm. f DSGVO. Oprávněným zájmem je bezpečný a stabilní provoz platformy, jakož i obrana a objasňování technických útoků.

Doba uložení: Tyto serverové logové soubory jsou nejpozději po 14 dnech automaticky smazány. Ke sloučení těchto logů s údaji účtu nedochází.

3. Cookies a podobné technologie

Používáme malý počet technicky nezbytných cookies a mechanismů úložiště prohlížeče. Souhlas prostřednictvím banneru k tomu není nutný (§ 25 odst. 2 č. 2 TTDSG); přesto vás o tomto uložení informujeme.

NázevTypÚčelDoba uloženíPrávní základ
ep_tokenlocalStoragePřihlašovací token (Access Token), udržuje relaci1 hodinaArt. 6 odst. 1 písm. b DSGVO (plnění smlouvy)
ep_refresh_tokenlocalStorageRefresh token k prodloužení relace30 dníArt. 6 odst. 1 písm. b DSGVO
Volba jazyka/zemělocalStorageUložení vaší preference jazyka a zemětrvale, dokud sami nesmažeteArt. 6 odst. 1 písm. f DSGVO

Marketingové, sledovací nebo analytické cookies třetích stran nepoužíváme.

4. Při vyvolání platformy (pasivní zpracování údajů)

Pokud navštívíte EuroPrisma, aniž byste se přihlásili, hlasovali nebo komentovali, zpracováváme pouze serverové logové údaje uvedené v bodě 2 a technické mechanismy úložiště uvedené v bodě 3.

Zejména se v tomto případě neshromažďuje žádný otisk zařízení, žádné profily založené na chování a žádné trvalé sledovací identifikátory.

5. Registrace a účet

Na EuroPrisma si můžete založit účet, abyste mohli hlasovat, komentovat a přiřazovat svou aktivitu. Přihlášení probíhá výhradně přes Google Single Sign-On (viz bod 5.1). Klasickou registraci s e-mailem a heslem nenabízíme; odpovídajícím způsobem neukládáme žádné heslo.

Zpracovávané údaje při založení účtu:

  • ID účtu Google (google_id) a e-mailová adresa uložená u Googlu (předaná Googlem, srov. bod 5.1)
  • potvrzení minimálního věku (16 let, aktivní zaškrtávací políčko; viz bod 11)

Nepovinné údaje:

  • zobrazované jméno (Username)
  • přiřazení k zemi (země, kterou na platformě reprezentujete)
  • jazyk zobrazení

Právní základ: Art. 6 odst. 1 písm. b DSGVO (plnění smlouvy o užívání).

Doba uložení: po dobu trvání existujícího uživatelského účtu. Po smazání vašeho účtu: viz bod 13.

5.1 Přihlášení přes Google (Single Sign-On)

Registrace a přihlášení na EuroPrisma probíhá výhradně přes účet Google. Přitom nám Google předává následující údaje, pokud v dialogu Google souhlasíte:

  • vaše ID účtu Google (google_id)
  • vaši e-mailovou adresu uloženou u Googlu
  • volitelně: zobrazované jméno a profilový obrázek

Poskytovatelem je Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Google kromě toho zpracovává vlastní údaje v rámci přihlašovacího procesu (např. k prevenci podvodů na straně Googlu). V tomto rozsahu je Google samostatným správcem; vezměte prosím na vědomí zásady ochrany osobních údajů Googlu: https://policies.google.com/privacy

Právní základ: Art. 6 odst. 1 písm. a DSGVO (souhlas, který udělujete potvrzením v dialogu Google), jakož i Art. 6 odst. 1 písm. b DSGVO (plnění smlouvy).

Předání do třetí země: Zpracování může probíhat také v USA. Viz bod 12.

S Googlem jsme neuzavřeli smlouvu o zpracování; Google jedná v rámci SSO jako samostatný správce a poskytuje vlastní zásady ochrany osobních údajů, které jsou propojeny v přihlašovacím dialogu Google.

6. IP adresa, User-Agent a otisk zařízení při zapisovacích akcích

Tento oddíl je ústřední pro náš koncept ochrany osobních údajů. Přečtěte si jej prosím pozorně.

6.1 Které údaje

Pokud na EuroPrisma provedete zapisovací akci, tedy hlasujete nebo komentujete, zpracováváme navíc k vlastním obsahovým údajům:

  • vaši IP adresu
  • váš řetězec User-Agent (identifikace prohlížeče a zařízení, jak je předávána prohlížečem)
  • hash otisku zařízení: kryptografický hash (SHA-256) z několika technických znaků vašeho prohlížeče/zařízení (konkrétně: identifikace prohlížeče/OS z User-Agentu, preferovaný jazyk, velikost obrazovky a barevná hloubka, časové pásmo, počet procesorových jader, identifikace platformy). Na straně serveru ukládáme výhradně hash, nikoli jednotlivé znaky. Výčet konkrétně načítaných vlastností prohlížeče je k nahlédnutí ve zdrojovém kódu v frontend/src/lib/fingerprint.ts.

6.2 Při pouhém vyvolání platformy nezpracováváme žádný otisk

Tyto tři údaje se shromažďují pouze při zapisovacích akcích (hlas, komentář), nikoli při pouhém zobrazování obsahu a nikoli při pouhém přihlášení.

6.3 Účel

Zpracování slouží výhradně k rozpoznání a obraně koordinované manipulace, automatizovaných vícenásobných hlasů a srovnatelného zneužití. EuroPrisma zobrazuje vizualizované většinové poměry podle zemí; bez technických ochranných znaků by byla vypovídací hodnota těchto údajů a tím účel platformy ohrožena.

Navíc při každé zapisovací akci ověřujeme krátkodobý akční token (X-EP-Action-Token, životnost 30 minut, vázaný na IP adresu v okamžiku vydání). Tento token je přenášen výhradně v HTTP hlavičkách, na straně serveru se neukládá a slouží k ztížení automatizovaných skriptů a pokusů o replay z cizího síťového prostředí.

6.4 Právní základ (DSGVO a TTDSG)

Art. 6 odst. 1 písm. f DSGVO. Naším oprávněným zájmem je integrita námi zobrazovaného rozložení názorů a ochrana platformy před automatizovaným nebo koordinovaným zkreslením.

Zpracování probíhá v souladu se zásadami účelového omezení a minimalizace údajů (Art. 5 odst. 1 písm. b, c DSGVO):

  • shromažďování probíhá pouze při aktivních zapisovacích akcích, nikoli pasivně
  • nevzniká žádný profil chování ani reklamní profil
  • otisk se používá pouze jako hash a nikoli v kombinaci se sledováním třetích stran
  • údaje se mažou účelově vázaně a v krátké lhůtě
  • neuskutečňuje se žádné automatické zablokování; viz bod 7

Pokud se pro vytvoření otisku zařízení načítají technické vlastnosti vašeho koncového zařízení, může v tom spočívat přístup k informacím ve vašem koncovém zařízení ve smyslu § 25 TTDSG. Tento přístup je podle § 25 odst. 2 č. 2 TTDSG přípustný bez souhlasu, protože je nezbytně nutný k tomu, abychom vám mohli výslovně požadovanou službu, hlasování a komentování, poskytnout způsobem odolným vůči manipulaci. Bez tohoto ochranného znaku by nebylo možné účinně rozpoznat automatizované vícenásobné hlasy a koordinované kampaně, čímž by byla ohrožena vypovídací hodnota zobrazovaných výsledků a tím jádro služby. Otisk se vytváří výhradně při těchto zapisovacích akcích a nikoli při pouhém vyvolání nebo pouhém čtení obsahu (viz bod 6.2).

6.5 Doba uložení

IP adresa, User-Agent a hash otisku k jednotlivému hlasu nebo komentáři se po 90 dnech automaticky odstraní, pokud neprobíhá žádné otevřené prověřování zneužití. Samotný komentář nebo záznam o hlasu zůstává zachován, avšak bez těchto ochranných znaků.

6.6 Právo vznést námitku

Proti zpracování můžete kdykoli vznést námitku podle Art. 21 DSGVO. V tomto případě vám zapisovací akce případně nemůžeme nabídnout nebo jen omezeně, protože technické ochranné znaky jsou pro obranu proti zneužití nezbytné. Pouhý čtecí přístup je nadále možný.

7. Ochrana proti manipulaci a rozpoznávání anomálií

Údaje shromážděné podle bodu 6 prověřujeme proti vzorcům, které naznačují koordinovanou manipulaci (např. neobvykle mnoho hlasů z identických otisků nebo IP v krátkém čase). Při shodě se vytvoří interní upozornění na anomálii (anomaly_flag), které obsahuje:

  • druh a závažnost upozornění
  • případně dotčená uživatelská ID, IP adresu, hash otisku
  • doplňková metadata (např. časové okno, prahová hodnota)

Důležité: takové upozornění nevede automaticky k zablokování nebo sankci. Každé upozornění je prověřeno člověkem. Výlučně automatizované rozhodnutí o zablokování se neuskutečňuje (Art. 22 DSGVO).

Pokud jste opatřením dotčeni, můžete nám neformálně vznést námitku (viz bod 16); vaše právo na lidský zásah podle Art. 22 odst. 3 DSGVO zůstává nedotčeno.

Právní základ: Art. 6 odst. 1 písm. f DSGVO (viz bod 6.4).

Doba uložení: Upozornění na anomálie se mažou nebo anonymizují, jakmile je případ uzavřen, nejpozději po 12 měsících.

Rizika těchto opatření proti manipulaci a otiskování jsme posoudili v rámci posouzení vlivu na ochranu osobních údajů podle Art. 35 DSGVO.

8. Komentáře a obsah, který zveřejníte

Pokud zveřejníte komentář, zpracováváme:

  • text komentáře (body)
  • vaše nepovinné přiřazení k zemi
  • přiřazení k vašemu účtu
  • technické ochranné znaky z bodu 6

Komentáře jsou zpravidla veřejně viditelné. Nezveřejňujte tam prosím žádné osobní údaje třetích osob ani obsah, který nechcete zveřejnit.

Moderace: Komentáře jsou moderovány před zveřejněním nebo po něm. Přitom se používá předběžná kontrola s podporou UI; každé konečné rozhodnutí o zablokování nebo smazání činí člověk (viz bod 7 a bod 10).

Překlad: Aby váš komentář zůstal čitelný i v jiných jazycích EU, vytváříme automatizovaně překlady (viz bod 10). Ty se ukládají s vaším komentářem.

Právní základ: Art. 6 odst. 1 písm. b DSGVO (plnění smlouvy; poskytnutí diskusní funkce) a Art. 6 odst. 1 písm. f DSGVO (pro moderaci a překlad jako související zpracování).

Doba uložení: Komentáře zůstávají zásadně trvale zachovány, aby byl průběh diskuse dohledatelný. Při smazání účtu se váš komentář pseudonymizuje (viz bod 13).

9. Hlasování / Voting

Pokud hlasujete o svém postoji k rámcovací ose události, zpracováváme:

  • ID osy a vaši pozici (číselnou hodnotu)
  • vaše nepovinné přiřazení k zemi
  • přiřazení k vašemu účtu
  • technické ochranné znaky z bodu 6

Na účet je u každé osy možný jeden hlas; pozdější změny nahrazují předchozí hlas.

Agregovaná a na jednotlivé osoby nezpětně dohledatelná vyhodnocení (např. „X % účastníků ze země Y hlasovalo v této ose napravo od středu") se na platformě zobrazují veřejně.

Právní základ: Art. 6 odst. 1 písm. b DSGVO (plnění smlouvy) a Art. 6 odst. 1 písm. f DSGVO (ochranné znaky z bodu 6).

10. Nasazení umělé inteligence (Anthropic Claude)

EuroPrisma používá modely UI poskytovatele Anthropic PBC, 548 Market St, San Francisco, CA 94104, USA, k následujícím účelům:

  1. Hledání témat (Discovery): Identifikace celoevropsky relevantních událostí z veřejně dostupných zdrojů.
  2. Tvorba rámcovacích os: Návrhy hodnotících dimenzí pro jednotlivé události (dva protikladné póly).
  3. Moderace komentářů jako předfiltr: automatická předběžná klasifikace, zda komentář porušuje naše Standardy komunity. Konečné rozhodnutí činí člověk.
  4. Překlad vašich komentářů a našeho obsahu do dalších podporovaných jazyků EU (němčina, angličtina, francouzština, španělština, polština, italština).

Při překladu vašich komentářů a moderaci pomocí UI se obsah vašeho komentáře předává Anthropicu. Identifikace vaší osoby nad rámec textu komentáře se neuskutečňuje; zejména nepředáváme Anthropicu žádný e-mail, IP, User-Agent ani údaje otisku.

Obsah generovaný UI (shrnutí, rámcovací osy, automatické překlady) je jako takový v rozhraní označen (Art. 50 KI-VO).

Role Anthropic: zpracovatel (Art. 28 DSGVO). Zpracování probíhá na základě smlouvy o zpracování (Data Processing Addendum) společnosti Anthropic, která zahrnuje standardní smluvní doložky EU (srov. bod 12).

Předání do třetí země: USA. Viz bod 12.

Právní základ: Art. 6 odst. 1 písm. b a odst. 1 písm. f DSGVO. Oprávněným zájmem je vícejazyčná dostupnost platformy, jakož i předběžná moderace k zajištění uctivého diskusního prostředí.

Rizika spojená s moderací pomocí UI (zejména nadměrné a nedostatečné blokování) jsou zmírněna lidským přezkumem a řízením o námitkách (viz bod 16), v souladu s judikaturou k algoritmickému filtrování obsahu.

11. Minimální věk

Užívání EuroPrisma předpokládá minimální věk 16 let (Art. 8 DSGVO). Při registraci to potvrzujete aktivním (nikoli předem zaškrtnutým) zaškrtávacím políčkem. Datum narození neshromažďujeme.

Pokud se dozvíme, že je účet veden osobou mladší 16 let, tento účet smažeme.

12. Předání do třetí země (USA)

Někteří z uvedených poskytovatelů mají sídlo v USA, resp. tam zpracovávají údaje:

  • Google (přihlášení SSO; bod 5.1): Google LLC je certifikován podle EU-US Data Privacy Framework (DPF). Předání se proto opírá o rozhodnutí Evropské komise o odpovídající ochraně ze dne 10.07.2023 (Art. 45 DSGVO).
  • Anthropic (moderace a překlad komentářů s podporou UI; bod 10): Anthropic není certifikován podle DPF. Předání se opírá o standardní smluvní doložky EU podle Art. 46 odst. 2 písm. c DSGVO (modul správce zpracovateli), které jsou součástí smlouvy o zpracování uzavřené s Anthropicem. Doplňkové posouzení rizik („Transfer Impact Assessment") je interně k dispozici.
  • Wikimedia (zobrazení volně licencovaných obrázků událostí; bod 14.2): Vložené obrázky jsou vaším prohlížečem stahovány přímo z infrastruktury Wikimedia, čímž se IP adresa a User-Agent mohou dostat k Wikimedia Foundation, Inc. (USA). Wikimedia je přitom samostatným správcem; neexistuje žádná smlouva o zpracování nebo o předávání údajů s námi a žádná certifikace DPF. Předání je technickým důsledkem stažení veřejně a volně licencovaně poskytnutého zdroje vaším prohlížečem.

Při zpracováních bez osobního vztahu (automatický výběr a příprava událostí) se žádné osobní údaje do USA nepředávají.

Máte právo požádat o kopii záruk (žádost e-mailem na info@latuke.com).

13. Doba uložení a smazání

Osobní údaje zásadně ukládáme jen tak dlouho, jak je to nutné pro účely uvedené v těchto zásadách, nebo jak to předepisují zákonné lhůty pro uchovávání.

Druh údajeDoba uložení
Údaje účtu (e-mail, příp. Username, Country)po dobu trvání účtu
Identifikace Google SSO (google_id)po dobu trvání účtu
Serverové logy (IP, čas přístupu)nejpozději 14 dní
Ochranné znaky při zapisovacích akcích (IP/UA/FP)90 dní
Upozornění na anomáliedo vyjasnění, nejdéle 12 měsíců
Komentáře a hlasytrvale (s pseudonymizací při smazání účtu)
Zálohy7denní rotace na dvou úrovních (lokální pg_dump + Hetzner Cloud Backups, obojí EU; viz registr compliance A15)

Zálohy slouží výhradně k zajištění dostupnosti a integrity systémů a podléhají stejným koncepcím mazání jako produkční data (např. 7denní rotace).

13.1 Smazání účtu

Svůj účet můžete kdykoli nechat smazat prostřednictvím nastavení (DELETE /users/me po dvoukrokovém potvrzení). V tomto případě:

  • se smažou vaše údaje účtu (e-mail, Username, Google-ID)
  • se vaše hlasy a komentáře nesmažou, nýbrž pseudonymizují: přiřazení k vaší identitě se nahradí náhodně přidělenou, stabilní identifikací ve tvaru deleted_user_<náhodné>
  • IP adresa, User-Agent, hash otisku a e-mailová adresa se k vašim dosavadním hlasům a komentářům odstraní

Text komentáře vědomě ponecháváme, abychom dodatečně nezkreslili veřejný průběh diskuse. Jednotlivé komentáře si můžete před smazáním účtu sami odstranit.

14. Příjemci vašich údajů

Příjemci vašich údajů jsou pouze místa nezbytná v rámci výše popsaných účelů:

  • hoster uvedený v bodě 2 (Hetzner Online GmbH) jako zpracovatel
  • Anthropic PBC jako zpracovatel pro funkce UI uvedené v bodě 10
  • Google Ireland Ltd. při použití přihlášení Google (samostatný správce; bod 5.1)
  • případně orgány činné v trestním řízení v rámci zákonných informačních povinností

Vaše údaje neprodáváme a nepředáváme je k reklamním účelům.

14.1 Upozornění: Event Registry

Pro hledání témat využíváme externí službu mediálních dat Event Registry (poskytovatel: Quintelligence d.o.o., Slowenien). Přitom se nepředávají žádné osobní údaje našich uživatelů. Event Registry nám dodává výhradně agregovaná metadata o veřejně zveřejněném mediálním obsahu.

14.2 Upozornění: Wikimedia / CC-licencované obrázky

Vložené obrazové materiály k událostem mohou pocházet z Wikimedia Commons a být poskytovány pod volnými licencemi (Creative Commons). Údaje o autorovi a licenci jsou u každého obrázku viditelné.

Tyto obrázky se nedodávají z našich serverů, nýbrž jsou při načtení stránky stahovány přímo z infrastruktury Wikimedia (upload.wikimedia.org) vaším prohlížečem. Přitom mohou být technicky podmíněně vaše IP adresa a váš User-Agent předány Wikimedia Foundation, Inc. (San Francisco, USA). Wikimedia je v tomto rozsahu samostatným správcem; smlouva o zpracování nebo jiná smlouva o předávání údajů s Wikimedií neexistuje. Zásady ochrany osobních údajů Wikimedia: https://foundation.wikimedia.org/wiki/Policy:Privacy_policy

Právní základ: Art. 6 odst. 1 písm. f DSGVO. Oprávněným zájmem je obohacení zobrazení události tematicky vhodnými, volně licencovanými obrázky z etablovaného, neziskového zdroje.

Předání do třetí země: Předání probíhá do USA. Viz bod 12.

15. Bezpečnost údajů

Přijímáme technická a organizační opatření k ochraně vašich údajů před neúmyslným nebo protiprávním zničením, ztrátou, změnou, jakož i neoprávněným zpřístupněním nebo přístupem, zejména:

  • přenos výhradně přes TLS-šifrovaná spojení (HTTPS)
  • autentizace výhradně přes Google Single Sign-On - neukládáme žádná hesla
  • přístup k produkčním datům omezený na malý okruh oprávněných osob
  • pravidelné bezpečnostní aktualizace používaného softwaru

16. Vaše práva

Podle DSGVO vám vůči nám náležejí následující práva:

  • Přístup k údajům o vás uloženým (Art. 15 DSGVO)
  • Oprava nesprávných údajů (Art. 16 DSGVO)
  • Smazání vašich údajů (Art. 17 DSGVO; viz bod 13.1)
  • Omezení zpracování (Art. 18 DSGVO)
  • Přenositelnost údajů (Art. 20 DSGVO) - můžete požádat o strojově čitelnou kopii svých údajů
  • Námitka proti zpracováním, která se opírají o Art. 6 odst. 1 písm. f DSGVO (Art. 21 DSGVO; viz bod 6.6)
  • Odvolání udělených souhlasů s účinkem do budoucna (Art. 7 odst. 3 DSGVO)
  • Stížnost u dozorového úřadu (Art. 77 DSGVO; viz bod 17)

K uplatnění postačí neformální e-mail na info@latuke.com. Odpovídáme zpravidla do jednoho měsíce (Art. 12 odst. 3 DSGVO).

16.1 Námitka proti rozhodnutím o moderaci nebo proti opatřením proti manipulaci

Pokud jste dotčeni rozhodnutím o moderaci nebo opatřením na základě upozornění na anomálii (bod 7), můžete nám to neformálně sdělit e-mailem na info@latuke.com. Tuto nabídku námitky poskytujeme dobrovolně; jako mikropodnik nejsme povinni provozovat formální interní řízení o stížnostech podle Art. 20 DSA (Art. 19 DSA). Odůvodnění opatření podle našich Podmínek užívání probíhá v souladu s Art. 17 DSA (povinnost odůvodnění); vaše námitka je námi v každém jednotlivém případě prověřena. Vaše právo na lidský zásah podle Art. 22 odst. 3 DSGVO a vaše právo podat stížnost u dozorového úřadu (bod 17) zůstávají nedotčeny.

17. Právo podat stížnost u dozorového úřadu

Bez ohledu na jiné opravné prostředky máte právo podat stížnost u dozorového úřadu pro ochranu osobních údajů, zejména v členském státě svého místa pobytu, pracoviště nebo místa údajného porušení.

Příslušným dozorovým úřadem pro naše sídlo je:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI Baden-Württemberg), Lautenschlagerstraße 20, 70173 Stuttgart.

18. Automatizovaná rozhodnutí a profilování

Výlučně automatizované rozhodnutí ve smyslu Art. 22 DSGVO - tedy rozhodnutí s právním účinkem nebo srovnatelným podstatným dopadem na vás, učiněné bez lidské účasti - se na EuroPrisma neuskutečňuje.

Předběžné kontroly s podporou UI (moderace komentářů, rozpoznávání anomálií) probíhají, konečná rozhodnutí o zablokování, smazání nebo jiných opatřeních však vždy činí člověk.

19. Změny těchto Zásad ochrany osobních údajů

Tyto Zásady ochrany osobních údajů můžeme upravit, pokud se změní právní požadavky nebo naše zpracování. Vždy aktuální znění je dostupné na platformě; o podstatných změnách informujeme registrované uživatele e-mailem.

20. Jazyková znění

Tyto Zásady ochrany osobních údajů jsou poskytovány v několika jazycích, abyste si mohli informace vyvolat v jazyce pro vás srozumitelném. Rozhodující je německé znění; překlady do jiných jazyků slouží pouze ke snazšímu porozumění.

Ochrana soukromí | EuroPrisma