Is Road to Headliner really free?

Yes, 100% free with no ads or pay-to-win mechanics. All players compete on equal footing. We believe the best game is one where skill and strategy determine success, not your wallet.

How long is a season?

Each season lasts 12 real-world weeks. After a season ends, there's a brief offseason period, then you start fresh with a new band while keeping your awards, prestige, and account history.

Can I play on mobile?

Road to Headliner is designed primarily for PC/desktop browsers. The interface works reasonably on tablets, but the complex management screens are best experienced on a larger screen. A dedicated mobile experience may come in the future.

Yes! You share the game world with other players in real-time. Compete on leaderboards, enter festival brackets, collaborate on features, and declare rivalries with other bands.

What is MT (Management Time)?

MT is your action currency — think of it as your manager's energy. It regenerates 1 per hour up to a maximum of 48. Every action like booking shows, rehearsing, or recording costs MT, so planning your time wisely is key to success.

Zásady ochrany súkromia | Road to Headliner

1. Kto sme

Road to Headliner je online multiplayerová hra o manažmente kapely prevádzkovaná nezávislým vývojárom so sídlom na Slovensku v Európskej únii. Sme prevádzkovateľom osobných údajov spracúvaných prostredníctvom tejto služby podľa nariadenia (EÚ) 2016/679 (všeobecné nariadenie o ochrane údajov, „GDPR“). Naše herné servery a databáza sú hostované v Hetzner Cloud vo Falkensteine v Nemecku (EÚ). Vo všetkých otázkach ochrany súkromia, žiadostí dotknutých osôb alebo sťažností nás kontaktujte na [email protected].

2. Aké údaje zhromažďujeme

Údaje o účte: e-mailová adresa, zobrazované meno, hash hesla
Preferenčné údaje: jazyk, časové pásmo
Technické údaje: IP adresa, user agent (prehliadač), identifikátory relácií
Herné údaje: názov kapely, herné akcie, štatistiky, sezónne skóre
Komunikačné údaje: priame správy, príspevky na fóre (obsah vytvorený používateľmi)
Bezpečnostné údaje: pokusy o autentifikáciu, signály detekcie multiúčtov

3. Ako vaše údaje používame

Poskytovanie a prevádzka hernej služby
Bezpečnosť, anti-cheat a prevencia podvodov
Produktová analytika bez cookies cez PostHog EU cloud (iba v pamäti, bez cookies a localStorage).
Transakčné e-maily (overovacie kódy, obnovy hesla, bezpečnostné varovania) odosielané cez náš self-hosted mailserver.

4. Právne základy spracúvania (GDPR)

Plnenie zmluvy (čl. 6 ods. 1 písm. b)): správa účtu, herné údaje, komunikácia
Oprávnený záujem (čl. 6 ods. 1 písm. f)): bezpečnostné monitorovanie, anti-cheat, analytika
Súhlas (čl. 6 ods. 1 písm. a)): iba ak to budú vyžadovať konkrétne budúce funkcie

5. Uchovávanie údajov

Osobné údaje uchovávame len tak dlho, ako je to nevyhnutné na účely, na ktoré boli získané, v súlade so zásadou obmedzenia uchovávania (čl. 5 ods. 1 písm. e) GDPR). Nasledujúce lehoty uchovávania sa uplatňujú automaticky prostredníctvom denného čistenia dát:

Aktívne účty: údaje uchovávame, kým účet existuje a je aktívny
Pokusy o autentifikáciu: automaticky mazané po 90 dňoch
Relácie: maximálne 30 dní, expirované relácie sa čistia denne
Request a bezpečnostné logy: automaticky prerezávané po 90 dňoch
Admin audit logy: uchovávané 1 rok kvôli regulačným povinnostiam, potom mazané
Upozornenia: prečítané sa mažú po 90 dňoch, neprečítané po 180 dňoch
Bezpečnostné alerty: vyriešené sa mažú po 180 dňoch, otvorené po 365 dňoch
Herné systémové logy: mazané po 30 dňoch. Výpočtové stopy a RNG audit záznamy: mazané po 90 dňoch
Priame správy: prečítané sa mažú po 180 dňoch, neprečítané po 365 dňoch
Logy hráčskych akcií: mazané po 30 dňoch
Snapshoty stavu a týždenné snapshoty: mazané po 365 dňoch
Hlásenia hráčov: vyriešené alebo zamietnuté hlásenia sa mažú po 180 dňoch
Expirované alebo použité overovacie a reset tokeny: mazané po 7 dňoch
Zmazané účty: osobné údaje sa anonymizujú okamžite po zmazaní účtu. Herné záznamy (poradie kapiel, história hitparád) sa zachovávajú v pseudonymizovanej forme kvôli súťažnej integrite
Zálohy: osobné údaje môžu po zmazaní pretrvávať v šifrovaných zálohách najviac 30 dní. Zálohy sú šifrované v pokoji, prístupovo chránené a automaticky čistené v rámci tejto lehoty. Ide o akceptované obmedzenie zverejnené podľa recitálu 65 GDPR

6. Vaše práva

Podľa GDPR (články 15-22) máte v súvislosti so svojimi osobnými údajmi nasledujúce práva. Ak chcete niektoré z týchto práv uplatniť, napíšte na [email protected] s predmetom „Data Subject Request“ a uveďte, ktoré právo si želáte uplatniť. Pred spracovaním žiadosti overíme vašu totožnosť. Odpovieme do 30 dní (čl. 12 ods. 3 GDPR); pri zložitejších žiadostiach sa lehota môže predĺžiť o ďalších 60 dní, pričom vás o predĺžení budeme informovať v pôvodnej 30-dňovej lehote.

Právo na prístup (čl. 15): požiadať o kópiu všetkých osobných údajov, ktoré o vás vedieme. Svoje údaje si môžete kedykoľvek stiahnuť aj v strojovo čitateľnom formáte JSON cez Nastavenia > Export údajov alebo zaslaním GET požiadavky na /api/v1/auth/data-export po prihlásení. Export zahŕňa údaje o účte, herné údaje, správy, príspevky na fóre a históriu transakcií.
Právo na vymazanie (čl. 17): požiadať o trvalé zmazanie účtu a anonymizáciu všetkých osobných údajov. Môžete to urobiť sami cez Nastavenia > Zmazať účet (vyžaduje potvrdenie heslom). Osobné údaje sa anonymizujú okamžite. Herné záznamy (poradia kapiel, záznamy v hitparádach) sa zachovávajú v pseudonymizovanej forme kvôli súťažnej integrite. Upozornenie: anonymizované dáta môžu zostať v šifrovaných zálohách najviac 30 dní.
Právo na opravu (čl. 16): požiadať o opravu nepresných osobných údajov. Údaje profilu si môžete upraviť v nastaveniach účtu. Ak sa niektoré údaje nedajú zmeniť cez rozhranie (napríklad e-mailová adresa), kontaktujte [email protected].
Právo na prenosnosť údajov (čl. 20): získať svoje osobné údaje v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte (JSON). Môžete použiť spomenutú funkciu exportu údajov alebo požiadať o kópiu e-mailom.
Právo namietať (čl. 21): namietať proti spracúvaniu založenému na našom oprávnenom záujme (čl. 6 ods. 1 písm. f)), vrátane anti-cheat profilovania a bezpečnostného monitorovania. Napíšte na [email protected] a uveďte konkrétne spracúvanie, proti ktorému namietate. Spracúvanie zastavíme, pokiaľ nepreukážeme závažné oprávnené dôvody, ktoré prevažujú nad vašimi záujmami.
Právo na obmedzenie spracúvania (čl. 18): požiadať o dočasné obmedzenie spracúvania počas overovania presnosti údajov, posudzovania vašej námietky alebo zisťovania, či naše oprávnené dôvody prevažujú nad vašimi. Počas obmedzenia budeme údaje uchovávať, ale nebudeme ich aktívne spracúvať. O obmedzenie požiadajte na [email protected].
Právo odvolať súhlas (čl. 7 ods. 3): ak je spracúvanie založené na vašom súhlase, môžete ho kedykoľvek odvolať. Odvolanie nemá vplyv na zákonnosť spracúvania vykonaného pred odvolaním. V súčasnosti je spracúvanie založené na plnení zmluvy alebo oprávnenom záujme, nie na súhlase.
Právo podať sťažnosť (čl. 77): máte právo podať sťažnosť dozornému orgánu. Príslušným orgánom pre našu prevádzku je Úrad na ochranu osobných údajov Slovenskej republiky, Hraničná 12, 820 07 Bratislava, Slovensko (https://dataprotection.gov.sk). Môžete sa obrátiť aj na dozorný orgán v členskom štáte EÚ, kde máte obvyklý pobyt alebo miesto výkonu práce.

7. Zdieľanie údajov a subprocesori

Na prevádzku tejto služby využívame nasledujúcich subprocesorov. Každý subprocesor je zapojený na základe zmluvy o spracúvaní osobných údajov (čl. 28 GDPR) a spracúva len údaje nevyhnutné na svoj účel:

Hetzner Cloud (Hetzner Online GmbH, Nemecko): hosting infraštruktúry a ukladanie šifrovaných záloh. Kategórie údajov: celý obsah databázy (údaje o účtoch, herné údaje, komunikácia). Lokalita: dátové centrum Falkenstein, Nemecko — bez medzinárodného prenosu. DPA: štandardná DPA spoločnosti Hetzner podľa čl. 28 GDPR (https://docs.hetzner.com/general/general-terms-and-conditions/data-privacy-faq/).
Cloudflare (Cloudflare, Inc., USA s edge uzlami v EÚ): CDN, ochrana proti DDoS a web application firewall. Kategórie údajov: IP adresy, HTTP hlavičky, URL požiadaviek. Mechanizmus prenosu: EU-US Data Privacy Framework (DPF, čl. 45 rozhodnutie o primeranosti) a štandardné zmluvné doložky (SCC, modul 2: prevádzkovateľ-sprostredkovateľ, čl. 46 ods. 2 písm. c)). DPA: Cloudflare Customer DPA (https://www.cloudflare.com/cloudflare-customer-dpa/).
Transakčné doručovanie e-mailov: overovacie e-maily, obnovy hesla a bezpečnostné oznámenia sú momentálne odosielané cez náš self-hosted SMTP/Postfix server na rovnakej Hetzner infraštruktúre ako aplikácia. E-mailové adresy a zobrazované mená sa spracúvajú iba na účely doručenia správ.
PostHog Cloud (región EÚ): produktová analytika a analytika CTA na verejnom webe. Kategórie údajov: pseudonymné ID používateľov, ID kapiel, ID sezón, cesty stránok a explicitné vlastnosti udalostí. Ukladanie na klientovi je vypnuté (`persistence: memory`), takže PostHog v tomto režime nevytvára v prehliadači analytické cookies ani identifikátory v localStorage. DPA: https://posthog.com/dpa.

Vaše osobné údaje nepredávame, neprenajímame, nevymieňame ani neposkytujeme tretím stranám na marketing, reklamu alebo profilovanie. Údaje zdieľame len so subprocesormi uvedenými vyššie a výlučne na popísané účely.

8. Medzinárodné prenosy údajov

Vaše údaje sú primárne uložené v Nemecku (Hetzner Cloud, dátové centrum Falkenstein). Cloudflare spracúva HTTP požiadavky na edge uzloch v EÚ; pri akomkoľvek spracúvaní mimo EÚ sa Cloudflare opiera o EU-US Data Privacy Framework (DPF, čl. 45 rozhodnutie o primeranosti) a o štandardné zmluvné doložky (SCC, modul 2, čl. 46 ods. 2 písm. c)) ako doplnkové záruky. Produktová analytika sa spracúva v EÚ cloude PostHog v režime bez cookies a bez úložiska v prehliadači. Transakčné e-maily sú momentálne odosielané cez náš self-hosted SMTP/Postfix server na Hetzner infraštruktúre, takže v produkcii nepoužívame samostatného e-mailového spracovateľa z tretej krajiny. Všetky prenášané dáta sú šifrované cez TLS 1.2+. Osobné údaje neprenášame do krajín bez rozhodnutia EÚ o primeranosti alebo bez vhodných záruk (čl. 46 GDPR).

9. Bezpečnostné opatrenia

Šifrovanie počas prenosu (TLS 1.2+)
Heslá hashované algoritmom Argon2id (špičkový priemyselný štandard)
HttpOnly session cookies s CSRF ochranou
Prístupové oprávnenia podľa rolí a komplexné audit logovanie

10. Cookies a local storage

Používame len striktne nevyhnutné a funkčné cookies v zmysle smernice o súkromí a elektronických komunikáciách (čl. 5 ods. 3 smernice 2002/58/ES). Na tieto cookies sa nevyžaduje súhlas, pretože sú nevyhnutné na poskytovanie vami požadovanej služby. Nepoužívame žiadne trackingové, reklamné ani analytické cookies tretích strán:

access_token (httpOnly, Secure, SameSite=Strict, 1 hodina): autentifikačný session cookie. Je striktne nevyhnutný na udržanie prihlásenej relácie.
refresh_token (httpOnly, Secure, SameSite=Strict, 30 dní): cookie na obnovu relácie. Je striktne nevyhnutný na plynulé znovuoverenie.
rth-lang (funkčný): ukladá váš jazykový výber. Funkčný cookie je podľa čl. 5 ods. 3 smernice o súkromí a elektronických komunikáciách oslobodený od súhlasu, pretože je potrebný na poskytovanie služby vo vami zvolenom jazyku.
__cf_bm (Cloudflare, third-party, dĺžka relácie): cookie na správu botov. Je striktne nevyhnutný na ochranu pred DDoS a na bezpečnosť.
Analytika: používame PostHog v režime iba v pamäti na produktovú analytiku a analytiku verejného webu. V tejto konfigurácii PostHog v prehliadači nenastavuje analytické cookies ani identifikátory v localStorage.
Local storage: v prehliadači ukladáme neosobné nastavenia rozhrania (zatvorenie cookie oznamu, postup tutoriálu, UI nápovedy). Tieto údaje neobsahujú osobné údaje.

11. Ochrana súkromia detí a overovanie veku

Road to Headliner vyžaduje, aby používatelia mali aspoň 16 rokov, v súlade s čl. 8 GDPR (podmienky súhlasu dieťaťa v súvislosti so službami informačnej spoločnosti). Pri registrácii musia všetci používatelia potvrdiť, že majú minimálne 16 rokov, zaškrtnutím povinného políčka. Toto potvrdenie sa zaznamenáva ako auditovateľný dôkaz. Vedome nezhromažďujeme ani nespracúvame osobné údaje detí mladších ako 16 rokov. Ak zistíme, že používateľ má menej ako 16 rokov, jeho účet aj všetky súvisiace osobné údaje bezodkladne vymažeme. Ak sa domnievate, že si osoba mladšia ako 16 rokov vytvorila účet, kontaktujte nás na [email protected].

12. Anti-cheat a automatizované profilovanie

Na udržanie fair-play používame automatizovanú koreláciu na základe IP adries na detekciu možného používania viacerých účtov. Systém porovnáva IP adresy a vzory prihlásení medzi účtami. Výstrahy z detekcie pred akýmkoľvek zásahom vždy kontroluje ľudský administrátor — žiadny účet nie je automaticky zabanovaný ani penalizovaný výlučne na základe automatizovanej detekcie. Toto spracúvanie je založené na našom oprávnenom záujme chrániť integritu hry (čl. 6 ods. 1 písm. f) GDPR). Proti tomuto spracúvaniu môžete namietať kontaktovaním [email protected].

13. Oznámenie porušenia ochrany údajov

V prípade porušenia ochrany osobných údajov, ktoré predstavuje riziko pre vaše práva a slobody, oznámime incident príslušnému dozornému orgánu do 72 hodín od chvíle, keď sa o ňom dozvieme (čl. 33 GDPR). Ak je pravdepodobné, že porušenie povedie k vysokému riziku pre vás, budeme vás bez zbytočného odkladu informovať aj e-mailom alebo upozornením v hre (čl. 34 GDPR).

14. Zodpovedná osoba a dozorný orgán

Ako malý prevádzkovateľ, ktorý nevykonáva rozsiahle spracúvanie osobitných kategórií údajov ani rozsiahle systematické monitorovanie, nemáme povinnosť vymenovať zodpovednú osobu podľa čl. 37 ods. 1 GDPR. Vo všetkých otázkach ochrany súkromia, žiadostiach dotknutých osôb alebo sťažnostiach nás kontaktujte priamo na [email protected]. Príslušným dozorným orgánom pre túto službu je Úrad na ochranu osobných údajov Slovenskej republiky, Hraničná 12, 820 07 Bratislava, Slovensko, web: https://dataprotection.gov.sk. Máte tiež právo podať sťažnosť dozornému orgánu v členskom štáte EÚ svojho obvyklého pobytu alebo miesta výkonu práce (čl. 77 GDPR).

15. Zmeny týchto zásad

Tieto zásady ochrany súkromia môžeme občas aktualizovať. Podstatné zmeny oznámime prostredníctvom upozornenia v hre alebo e-mailom. Pokračovanie v používaní služby po zmene znamená prijatie aktualizovaných zásad.

16. Kontakt

Vo veciach ochrany súkromia, žiadostí o prístup k údajom (SAR), žiadostí o výmaz, opravu údajov alebo sťažností nás kontaktujte na [email protected]. Pre rýchlejšie spracovanie uveďte do predmetu „Data Subject Request“. Potvrdenie prijatia sa snažíme zaslať do 5 pracovných dní a obsahovo odpovedať na všetky žiadosti dotknutých osôb do 30 dní od prijatia (čl. 12 ods. 3 GDPR). Ak bude žiadosť zložitá alebo dostaneme vysoký počet žiadostí, môžeme lehotu predĺžiť o ďalších 60 dní; v takom prípade vás o tom budeme informovať v pôvodnej 30-dňovej lehote.