Tyto Zásady ochrany osobních údajů vysvětlují, jak CoinKirin («Služba», «my», «nás» nebo «naše») shromažďuje, používá, sdílí a chrání osobní údaje návštěvníků a registrovaných uživatelů («vy»). Jsou napsány v souladu s obecným nařízením EU o ochraně osobních údajů (GDPR), California Consumer Privacy Act (CCPA/CPRA) a Zákonem o ochraně osobních údajů Čínské lidové republiky (PIPL). Použitím CoinKirin potvrzujete, že jste si přečetli a porozuměli těmto Zásadám.
1. Správce dat
Subjekt odpovědný za zpracování vašich osobních údajů («správce dat» podle GDPR nebo «správce osobních informací» podle PIPL) je:
- Subjekt: CoinKirin.com
- Obecný kontakt pro soukromí: privacy@coinkirin.com
- Pověřenec pro ochranu osobních údajů (DPO): dpo@coinkirin.com
- Zástupce v EU (čl. 27 GDPR): Jsme v procesu jmenování zástupce EU. Než bude jmenován, kontaktujte nás na privacy@coinkirin.com.
- Zástupce PIPL v Číně: Dosud nejmenován. Čínští uživatelé mohou kontaktovat privacy@coinkirin.com s předmětem «PIPL Request».
2. Kategorie osobních údajů, které shromažďujeme
Shromažďujeme minimum dat potřebných k provozu Služby. Konkrétně zpracováváme následující kategorie osobních údajů:
Data účtu
E-mailová adresa, heslo (uloženo pouze jako bcrypt hash s nákladovým faktorem 12 — nikdy nevidíme ani neukládáme čistý text), tajemství TOTP pro dvoufaktorovou autentizaci (šifrováno AES-GCM v klidu), zobrazované jméno, časové razítko vytvoření účtu.
Uživatelské předvolby
Jazyk, téma, region, předvolby oznámení, předvolba měny.
Finanční data (zadaná uživatelem)
Pozice portfolia, záznamy watchlistu, pravidla cenových upozornění. Tato data jsou vámi zadávána dobrovolně a nikdy nejsou přenášena externím brokerům nebo burzám — používají se výhradně pro napájení funkcí, které požadujete.
Data zařízení a technická data
IP adresa (zkrácena na /24 před použitím v analytice), řetězec User-Agent, otisk zařízení / ID zařízení refresh-tokenu, rozlišení obrazovky a jazyk (volitelné, pouze na straně klienta).
Data o použití
Zobrazené stránky, použité funkce, vyhledávací dotazy, události kliknutí, Core Web Vitals (LCP, CLS, INP) a anonymizované chybové zprávy.
Cookies a podobné technologie
Striktně nezbytné cookies (relace, CSRF, jazyk), předvolbové cookies (téma) a — pouze s vaším výslovným souhlasem — analytické cookies. Úplný seznam najdete v našich Zásadách cookies.
Úmyslně neshromažďujeme údaje zvláštní kategorie (rasa, náboženství, zdraví, sexuální orientace, politické názory, biometrická nebo genetická data). Prosím, neposílejte nám taková data.
3. Jak shromažďujeme vaše data
Osobní údaje získáváme následujícími způsoby:
Přímo od vás
Když si registrujete účet, upravujete profil, zadáváte pozice portfolia, odesíláte žádost o podporu nebo jinak interagujete se Službou.
Automaticky
Prostřednictvím cookies, serverových protokolů a analýzy použití při návštěvě Služby.
Od třetích stran
Cloudflare nám poskytuje přibližné informace o zemi odvozené z vaší IP adresy pro účely bezpečnosti a lokalizace. Nekoupíme osobní údaje od datových zprostředkovatelů.
4. Účely zpracování a právní základ
Podle článku 6 GDPR zpracováváme vaše osobní údaje pouze tehdy, pokud platí alespoň jeden právní základ. Tabulka níže uvádí naše účely a odpovídající právní základ:
| Účel | Právní základ |
|---|---|
| Poskytování Služby (vytváření účtu, autentizace, poskytování tržních dat, funkce portfolia a watchlistu) | Plnění smlouvy (čl. 6(1)(b) GDPR) |
| Bezpečnost, prevence zneužití a detekce podvodů (omezení rychlosti, CAPTCHA, detekce anomálií, auditní protokolování) | Oprávněné zájmy (čl. 6(1)(f) GDPR) |
| Transakční e-maily (ověření e-mailu, obnovení hesla, bezpečnostní upozornění, uvítací zprávy) | Plnění smlouvy / oprávněné zájmy |
| Produktová analytika a zlepšování Služby | Oprávněné zájmy, s opt-out prostřednictvím nastavení cookies |
| Marketingové e-maily a propagační obsah (budoucí funkce) | Souhlas (čl. 6(1)(a) GDPR); souhlas můžete kdykoli odvolat |
| Dodržování právních povinností (daňové záznamy, odpovědi na zákonné žádosti) | Právní povinnost (čl. 6(1)(c) GDPR) |
5. Uchovávání dat
Osobní údaje uchováváme pouze po dobu nezbytnou pro splnění účelů popsaných výše nebo podle požadavku zákona. Konkrétně:
- Data účtu: po dobu životnosti vašeho aktivního účtu. Po vyžádání smazání účet vstupuje do 30denního období odloženého smazání, během něhož jej můžete obnovit; poté je trvale smazán.
- Auditní protokoly (obecné): 1 rok.
- Auditní protokoly pokrývající kritické události (akce administrátora, smazání účtů, bezpečnostní incidenty): až 7 let, kde je to požadováno pro regulační soulad.
- Klientské chybové zprávy: 90 dní (automatické TTL).
- Analytická data: 90 dní (automatické TTL), poté jsou buď smazána, nebo plně agregována/anonymizována.
- Refresh tokeny: maximálně 30 dní; vypršené tokeny jsou automaticky mazány.
- Zálohy: až 35 dní, šifrovány v klidu, poté rotovány ven.
6. Jak sdílíme vaše data
Neprodáváme vaše osobní údaje. Nesdílíme vaše osobní údaje pro mezi-kontextovou behaviorální reklamu, jak je definováno podle CCPA/CPRA.
Spoléháme na omezený počet důvěryhodných dílčích zpracovatelů, kteří jednají podle našich pokynů na základě písemných smluv o zpracování dat (DPA) se Standardními smluvními doložkami (SCC), kde je to aplikovatelné:
Aktivní subzpracovatelé
| Poskytovatel | Služba | Zpracovávaná data | Umístění | DPA / SCC |
|---|---|---|---|---|
| Společnost Cloudflare, Inc. | DNS, CDN, ochrana před DDoS, WAF, Turnstile (ochrana před boty), Access (zero-trust tunel) | IP adresy, user-agent, TLS metadata, cesty požadavků, Turnstile challenge tokeny | USA (globální edge; EU PoP dostupné) | DPA + SCC (Modul 2) |
Nové subzpracovatele oznamujeme nejméně 30 dní před aktivací prostřednictvím blogového příspěvku a této stránky. Máte právo vznést námitku proti novému subzpracovateli podle čl. 28 odst. 2 GDPR.
Plánovaní / podmíněni subzpracovatelé
Následující nejsou aktuálně zapojeni, ale jsou v našem plánu. Aktivaci oznámíme 30 dní předem.
- Grafana Labs, Inc. (Grafana Cloud) — V případě migrace observability ze self-hosted
- Anthropic, PBC — Při spuštění funkcí AI / MCP
Nejsou subzpracovatelé
Následující poskytovatelé nezpracovávají osobní údaje uživatelů a nejsou proto uvedeni jako subzpracovatelé: GitHub (pouze hosting kódu), npm / Go module proxy (závislosti), Let's Encrypt (TLS certifikáty), Docker Hub (distribuce obrazů).
Vaše právo vznést námitku
Proti novému subzpracovateli můžete kdykoli vznést námitku napsáním na dpo@coinkirin.com. Pokud nemůžeme vaší námitce rozumně vyhovět, ponecháváte si právo smazat svůj účet po předchozím exportu dat.
Právní zveřejnění
Osobní údaje můžeme zveřejnit, pokud to vyžaduje platný zákon, soudní příkaz nebo platný právní proces — například v reakci na předvolání nebo regulační žádost. Kde je to právně povoleno, upozorníme dotčené uživatele před zveřejněním.
Obchodní převody
Pokud je CoinKirin zapojen do fúze, akvizice nebo prodeje majetku, vaše osobní údaje mohou být převedeny jako součást této transakce. Upozorníme uživatele a poskytneme smysluplnou volbu, kde to vyžaduje zákon.
7. Mezinárodní přenosy dat
Zálohy a infrastruktura dílčích zpracovatelů mohou být také umístěny ve Spojených státech.
Pro uživatele v Evropském hospodářském prostoru, Spojeném království a Švýcarsku se přenos osobních údajů do Spojených států spoléhá na Standardní smluvní doložky (SCC) Evropské komise jako vhodnou záruku podle článku 46 GDPR. Kopii SCC lze vyžádat na privacy@coinkirin.com.
Pro uživatele Velké Británie se spoléháme na UK International Data Transfer Addendum k SCC.
Pro uživatele v Čínské lidové republice budou vaše osobní údaje přeneseny, uloženy a zpracovány mimo pevninskou Čínu, zejména ve Spojených státech. Vytvořením účtu a používáním CoinKirin výslovně souhlasíte s tímto přeshraničním přenosem vašich osobních údajů, jak vyžadují články 38-39 PIPL. Tento souhlas můžete kdykoli odvolat smazáním účtu; upozorňujeme, že Službu nemůžeme poskytovat bez takového přenosu.
8. Vaše práva
V závislosti na tom, kde bydlíte, máte následující práva týkající se vašich osobních údajů. Tato práva respektujeme pro všechny uživatele v maximální praktické míře, bez ohledu na jurisdikci.
Právo na přístup / právo vědět
Můžete požádat o kopii osobních údajů, které o vás uchováváme. Registrovaní uživatelé mohou svá data kdykoli exportovat přes /api/v1/auth/me/export («Exportovat moje data» v nastavení profilu). (Čl. 15 GDPR / právo vědět CCPA / čl. 45 PIPL.)
Právo na opravu
Nepřesné nebo neúplné osobní údaje můžete opravit prostřednictvím stránky profilu. Pro data, která nemůžete upravit přímo, kontaktujte privacy@coinkirin.com. (Čl. 16 GDPR.)
Právo na výmaz / právo na smazání
Svůj účet můžete smazat ze stránky profilu. Smazání spouští 30denní období odloženého smazání, poté je váš účet a související osobní údaje trvale vymazán z produkčních systémů. Zálohy obsahující vaše data jsou rotovány ven do 35 dnů. (Čl. 17 GDPR / právo na smazání CCPA / čl. 47 PIPL.)
Právo na omezení zpracování
Můžete nás požádat o omezení zpracování vašich osobních údajů v určitých situacích (např. zatímco napadáte jejich přesnost). Kontaktujte privacy@coinkirin.com. (Čl. 18 GDPR.)
Právo na přenositelnost dat
Koncový bod exportu dat vrací vaše data ve strukturovaném, běžně používaném, strojově čitelném formátu JSON. (Čl. 20 GDPR / čl. 45 PIPL.)
Právo vznést námitku
Můžete vznést námitku proti zpracování založenému na oprávněných zájmech, včetně přímého marketingu. Každý marketingový e-mail obsahuje odkaz pro odhlášení jedním kliknutím. (Čl. 21 GDPR.)
Právo odvolat souhlas
Pokud je zpracování založeno na souhlasu (např. analytické cookies, marketingové e-maily), souhlas můžete kdykoli odvolat prostřednictvím našeho banneru cookies («Odmítnout vše») nebo odhlášením.
Právo týkající se automatizovaného rozhodování
Uživatele nepodrobujeme výhradně automatizovaným rozhodnutím, která vyvolávají právní nebo podobné významné účinky.
Specifická práva Kalifornie (CCPA/CPRA)
Obyvatelé Kalifornie mohou navíc požádat o zveřejnění kategorií shromážděných osobních údajů, zdrojů těchto informací, obchodního účelu shromažďování a kategorií třetích stran, s nimiž jsou sdíleny. Neprodáváme vaše osobní údaje a neudělali jsme to v předcházejících 12 měsících.
Specifická práva PIPL
Uživatelé v Číně mají práva rovnocenná těm výše, plus právo na přenos kopie vašich osobních údajů jinému správci a právo podat stížnost u Cyberspace Administration of China (CAC).
Právo podat stížnost
Můžete podat stížnost u svého místního Úřadu pro ochranu osobních údajů. Uživatelé EU mohou najít svůj DPA na https://edpb.europa.eu/about-edpb/about-edpb/members_en. Oceníme příležitost řešit vaše obavy přímo nejprve — napište prosím na privacy@coinkirin.com.
Jak uplatnit tato práva
Kde je to možné, integrovali jsme samoobslužné nástroje do Služby (export, smazání, odhlášení). Pro všechny ostatní žádosti napište na privacy@coinkirin.com. Odpovíme do 30 dnů (GDPR / PIPL) nebo 45 dnů (CCPA). Můžeme vás požádat o ověření totožnosti před akcí na žádost.
9. Data dětí
CoinKirin není určen pro a vědomě nesměrujeme Službu k osobám mladším 18 let. Zejména vědomě neshromažďujeme osobní údaje od dětí mladších 13 let (COPPA v USA) nebo mladších 16 let (čl. 8 GDPR v EU). Pokud zjistíme, že jsme shromáždili osobní údaje od dítěte bez rodičovského souhlasu, neprodleně je odstraníme a, pokud je to vhodné, oznámíme to rodiči nebo opatrovníkovi. Pokud se domníváte, že jsme shromáždili data od dítěte, kontaktujte privacy@coinkirin.com.
10. Bezpečnostní opatření
Implementujeme vhodná technická a organizační opatření k ochraně vašich osobních údajů před náhodným nebo nezákonným zničením, ztrátou, změnou, neoprávněným zveřejněním nebo přístupem, včetně:
- Šifrování TLS 1.2+ pro všechna data při přenosu.
- Šifrování AES-GCM v klidu pro tajemství TOTP a jiná vysoce citlivá pole.
- Hesla hashovaná s bcrypt při nákladovém faktoru 12 — nikdy se neukládají ani nepřenášejí v čistém textu.
- Pouze HTTPS, HSTS preloaded, striktní Content Security Policy (CSP) a moderní bezpečnostní hlavičky.
- Omezení rychlosti, CAPTCHA Cloudflare Turnstile na citlivých koncových bodech a volitelná dvoufaktorová autentizace TOTP pro uživatelské účty.
- Komplexní auditní protokolování pro všechny administrativní akce.
- Princip nejmenších oprávnění pro přístup zaměstnanců, s kontrolami přístupu a oprávněními založenými na rolích.
- Pravidelné skenování závislostí a bezpečnostní záplatování.
Přestože bezpečnost bereme vážně, žádný systém není 100% bezpečný. Jste odpovědní za zachování důvěrnosti přihlašovacích údajů účtu.
11. Oznámení porušení dat
V nepravděpodobném případě porušení osobních údajů oznámíme příslušnému dozorovému orgánu bez zbytečného odkladu a, pokud je to možné, do 72 hodin od zjištění porušení, v souladu s článkem 33 GDPR. Pokud je pravděpodobné, že porušení bude mít za následek vysoké riziko pro vaše práva a svobody, oznámíme vám to také přímo e-mailem a oznámením v aplikaci bez zbytečného odkladu.
12. Změny těchto Zásad ochrany osobních údajů
Tyto Zásady ochrany osobních údajů můžeme čas od času aktualizovat, abychom odrazili změny v našich postupech, technologiích, právních požadavcích nebo jiných faktorech. O podstatných změnách budou registrovaní uživatelé informováni e-mailem (kde máme adresu) a prostřednictvím výrazného oznámení na Službě nejméně 14 dní před jejich účinností. Datum «Naposledy aktualizováno» v horní části této stránky vždy odráží aktuální verzi.
Předchozí verze těchto Zásad jsou archivovány. Pro vyžádání kopie historické verze napište na privacy@coinkirin.com.
13. Jak nás kontaktovat
Pro jakýkoli dotaz související se soukromím nebo uplatnění vašich práv použijte příslušný kanál níže:
- Obecné dotazy k soukromí: privacy@coinkirin.com
- Pověřenec pro ochranu osobních údajů: dpo@coinkirin.com
- CCPA žádosti Kalifornie: privacy@coinkirin.com — předmět: «CCPA Request»
- PIPL žádosti Čína: privacy@coinkirin.com — předmět: «PIPL Request»
- Poštovní zásilka: Kontaktujte nás nejprve e-mailem; poštovní adresa bude poskytnuta na vyžádání.