Ochrana osobních údajů
Poslední aktualizace: 19. dubna 2026
1. Úvod
Čekin je B2B nástroj pro odbavování účastníků na akcích — konferencích, workshopech a festivalech. Je poskytován pořadatelům akcí jako softwarová služba. Skládá se ze dvou součástí:
- Webu
cekin.czpro pořadatele (správa akcí, import účastníků, statistiky). - iOS aplikace Čekin pro personál odbavovací služby (skenování QR, tisk visaček).
Tento dokument popisuje, jaké osobní údaje Čekin zpracovává, v jaké roli a za jakých podmínek.
2. Uzavřená platforma bez veřejné registrace
Čekin není veřejná aplikace. Uživatelé se nemohou sami zaregistrovat — jsou vždy přizváni: pořadatel akce je pozván provozovatelem Čekinu, personál odbavovací služby je pozván pořadatelem akce. Každý uživatel tak vědomě vstupuje do byznysového vztahu.
3. Role v systému a GDPR odpovědnost
| Kdo | Typ dat | Právní role Čekinu |
|---|---|---|
| Platformový admin (Čekin staff) | E-mail, jméno | Správce (controller) |
| Pořadatel akce | E-mail, jméno, firma, IČO | Správce (controller) |
| Personál odbavovací služby | E-mail, jméno, heslo (hash), vazba na organizaci | Správce (controller) |
| Účastníci akce | Jméno, příjmení, e-mail, ticket, typ vstupenky, pole pro visačku | Zpracovatel (processor) — správcem je pořadatel akce |
| Check-in logy | Kdo koho odbavil, kdy, zařízení | Správce (pro audit a bezpečnost) |
| Technické logy | IP, user-agent, login pokusy | Správce (bezpečnostní zájem) |
- Kdo
- Platformový admin (Čekin staff)
- Typ dat
- E-mail, jméno
- Právní role Čekinu
- Správce (controller)
- Kdo
- Pořadatel akce
- Typ dat
- E-mail, jméno, firma, IČO
- Právní role Čekinu
- Správce (controller)
- Kdo
- Personál odbavovací služby
- Typ dat
- E-mail, jméno, heslo (hash), vazba na organizaci
- Právní role Čekinu
- Správce (controller)
- Kdo
- Účastníci akce
- Typ dat
- Jméno, příjmení, e-mail, ticket, typ vstupenky, pole pro visačku
- Právní role Čekinu
- Zpracovatel (processor) — správcem je pořadatel akce
- Kdo
- Check-in logy
- Typ dat
- Kdo koho odbavil, kdy, zařízení
- Právní role Čekinu
- Správce (pro audit a bezpečnost)
- Kdo
- Technické logy
- Typ dat
- IP, user-agent, login pokusy
- Právní role Čekinu
- Správce (bezpečnostní zájem)
Klíčové: pro data účastníků akcí je Čekin pouze zpracovatelem. Správcem je pořadatel akce (subjekt, který údaje do systému nahrál). Účastník, který chce uplatnit práva (výmaz, oprava), se obrací v první řadě na pořadatele akce. Čekin poskytuje technickou součinnost pro vyřízení.
4. Jaké údaje zpracováváme
Pořadatelé akcí (po pozvání)
- E-mail, jméno a příjmení
- Název organizace, volitelně IČO, adresa
- Heslo — uloženo pouze jako
bcrypthash v Supabase Auth - Login eventy (IP, datum/čas, user-agent)
Personál odbavovací služby
- E-mail, jméno, heslo (hash)
- Členství v organizacích (vazba na pořadatele)
- Login eventy
- Údaje o zařízení, z nichž se přihlašuje (user-agent)
Účastníci akcí (data vlastní pořadatel)
- Jméno, příjmení
- Ticket ID, typ vstupenky
- Volitelné pole pro visačku (firma, role — max 25 znaků)
- Check-in stav: kdy odbaven a kým
Data nahrává pořadatel prostřednictvím CSV importu nebo (v budoucnu) API integrace.
Check-in logy
- Odkaz na účastníka a akci
- Odkaz na personálistu, který odbavení provedl
- Čas
- Skenovaná hodnota (obvykle ticket ID)
- Výsledek:
success/duplicate/not_found - Údaje o zařízení (model iPhonu, OS verze) pro audit a odhalení anomálií
Technické údaje (všechny role)
- IP adresa
- User-agent (prohlížeč nebo iOS verze)
- Chybové a provozní logy serveru
5. Účely zpracování a právní základ
| Údaj | Účel | Právní základ |
|---|---|---|
| Údaje pořadatelů a personálu | Poskytování služby, autentizace, fakturace | Plnění smlouvy — čl. 6(1)(b) GDPR |
| Údaje účastníků akcí | Zpracování pro pořadatele dle jeho pokynu | Zpracovatelská smlouva se správcem (pořadatel má vlastní právní základ) |
| Check-in logy | Audit odbavení, forenzní analýza | Oprávněný zájem — čl. 6(1)(f) GDPR |
| Login eventy a technické logy | Bezpečnost, detekce útoků | Oprávněný zájem — čl. 6(1)(f) GDPR |
- Údaj
- Údaje pořadatelů a personálu
- Účel
- Poskytování služby, autentizace, fakturace
- Právní základ
- Plnění smlouvy — čl. 6(1)(b) GDPR
- Údaj
- Údaje účastníků akcí
- Účel
- Zpracování pro pořadatele dle jeho pokynu
- Právní základ
- Zpracovatelská smlouva se správcem (pořadatel má vlastní právní základ)
- Údaj
- Check-in logy
- Účel
- Audit odbavení, forenzní analýza
- Právní základ
- Oprávněný zájem — čl. 6(1)(f) GDPR
- Údaj
- Login eventy a technické logy
- Účel
- Bezpečnost, detekce útoků
- Právní základ
- Oprávněný zájem — čl. 6(1)(f) GDPR
6. Subdodavatelé (subprocessors)
| Dodavatel | Co dělá | Lokalita | Záruky |
|---|---|---|---|
| Supabase Inc. | Databáze, autentizace, Storage (obrázky akcí) | EU region | DPA + SCC |
| Vercel Inc. | Hosting webu | USA (Edge Network) | SCC |
| Resend | Odesílání transakčních e-mailů (pozvánky, reset hesla) | EU / USA | SCC |
| Apple Inc. | Distribuce iOS appky přes App Store / TestFlight | USA | Apple Developer Program Agreement |
| Brother Industries, Ltd. | SDK pro tisk visaček — lokálně přes Bluetooth | — | Data neodcházejí na servery Brother, tisk je P2P |
- Dodavatel
- Supabase Inc.
- Co dělá
- Databáze, autentizace, Storage (obrázky akcí)
- Lokalita
- EU region
- Záruky
- DPA + SCC
- Dodavatel
- Vercel Inc.
- Co dělá
- Hosting webu
- Lokalita
- USA (Edge Network)
- Záruky
- SCC
- Dodavatel
- Resend
- Co dělá
- Odesílání transakčních e-mailů (pozvánky, reset hesla)
- Lokalita
- EU / USA
- Záruky
- SCC
- Dodavatel
- Apple Inc.
- Co dělá
- Distribuce iOS appky přes App Store / TestFlight
- Lokalita
- USA
- Záruky
- Apple Developer Program Agreement
- Dodavatel
- Brother Industries, Ltd.
- Co dělá
- SDK pro tisk visaček — lokálně přes Bluetooth
- Lokalita
- —
- Záruky
- Data neodcházejí na servery Brother, tisk je P2P
7. Doba uchování
| Údaj | Doba |
|---|---|
| Účty pořadatelů | Po dobu existence účtu + 3 roky po zrušení (účetní povinnost) |
| Účty personálu | Po dobu členství v organizaci + 1 rok po odebrání |
| Účastníci akce a check-in logy | Řídí se pokynem pořadatele. Defaultně 24 měsíců po konci akce, pak automatický výmaz. |
| Technické logy | 90 dnů |
| Login eventy | 12 měsíců |
- Údaj
- Účty pořadatelů
- Doba
- Po dobu existence účtu + 3 roky po zrušení (účetní povinnost)
- Údaj
- Účty personálu
- Doba
- Po dobu členství v organizaci + 1 rok po odebrání
- Údaj
- Účastníci akce a check-in logy
- Doba
- Řídí se pokynem pořadatele. Defaultně 24 měsíců po konci akce, pak automatický výmaz.
- Údaj
- Technické logy
- Doba
- 90 dnů
- Údaj
- Login eventy
- Doba
- 12 měsíců
8. Práva subjektu údajů
Uživatelé mají právo na:
- přístup ke svým údajům,
- opravu,
- výmaz (právo být zapomenut),
- omezení zpracování,
- přenositelnost údajů,
- námitku proti zpracování.
Žádost můžete zaslat na e-mail privacy@cekin.cz. Reagujeme do 30 dnů.
V případě stížnosti se můžete obrátit na Úřad pro ochranu osobních údajů — uoou.cz.
Pro účastníky akcí: se žádostí se nejprve obraťte na pořadatele akce (správce dat). Čekin jako zpracovatel pořadateli pomůže žádost technicky realizovat.
9. Bezpečnost
- Veškerá komunikace probíhá přes HTTPS / TLS 1.2+.
- Hesla jsou v Supabase Auth hashovaná pomocí bcryptu.
- Session tokeny v iOS jsou uložené v Keychain (hardwarově chráněné úložiště).
- V databázi je zapnutá Row-Level Security — každý dotaz je omezen podle role a členství v organizaci či akci.
- Kritické serverové funkce (např.
check_in_attendee) vyžadují autentizaci přesauth.uid()a ověří členství vevent_staff; anonymní role nemá oprávnění je volat. - Přístup zaměstnanců Čekinu k produkční databázi je omezený — má ho pouze platformový admin.
10. Cookies a lokální úložiště
Web
- Supabase session cookie pro autentizaci — nezbytné.
localStorage: Supabase session tokeny a klíčprofileLastSeenAchievementIdspro vizualizaci nově odemčených úspěchů.- Žádné analytické ani marketingové cookies třetích stran.
iOS aplikace
- Session tokeny uložené v Keychain.
UserDefaults: nastavení vybrané tiskárny a ID shlédnutých úspěchů.- Žádné tracking SDK.
11. Přenos do třetích zemí
Někteří subdodavatelé (Vercel, Apple) mají servery v USA. Přenosy probíhají na základě Standard Contractual Clauses (SCC) a dodatečných technických a organizačních záruk.
12. Dětská ochrana
Čekin je B2B nástroj pro profesionální použití (pořadatelé akcí a jejich personál). Není určen pro osoby mladší 16 let. Údaje od dětí vědomě nesbíráme.
13. Změny této politiky
Případné změny této politiky zveřejníme na této stránce. Významné změny oznámíme registrovaným pořadatelům e-mailem s 30denním předstihem.