Zásady ochrany osobných údajov služby ePodatelna24
Platné od: 2026-05-24 Verzia: 2.2
1. Úvod a identifikácia prevádzkovateľa
1.1. Tento dokument popisuje, ako spoločnosť epodatelna24, s. r. o. (ďalej len „Prevádzkovateľ" alebo „my") spracúva osobné údaje v súvislosti s prevádzkou služby ePodatelna24 (ďalej len „Služba"), dostupnej na adrese www.epodatelna24.sk.
1.2. Prevádzkovateľom je:
epodatelna24, s. r. o. Sídlo: Karpatské námestie 7770/10A, 831 06 Bratislava IČO: 57 592 071 DIČ: 2122839279 IČ DPH: SK2122839279 Kontaktný e-mail: info@epodatelna24.sk Kontakt pre ochranu osobných údajov: info@epodatelna24.sk
1.3. Spracúvanie osobných údajov prebieha v súlade s nariadením Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov (GDPR) a so zákonom č. 18/2018 Z. z. o ochrane osobných údajov.
2. Roly a vzťahy pri spracúvaní
2.1. V kontexte Služby pôsobíme v dvoch rôznych roliach:
A) Ako prevádzkovateľ (data controller) vo vzťahu k:
- údajom našich vlastných používateľov a zákazníkov, ktoré sú nevyhnutné na poskytovanie a fakturáciu Služby.
B) Ako sprostredkovateľ (data processor) vo vzťahu k:
- osobným údajom obsiahnutým v elektronických faktúrach a iných obchodných dokumentoch, ktoré sa cez Službu prijímajú alebo odosielajú v mene zákazníka.
V rámci tejto úlohy sa na nás vzťahuje samostatná Zmluva o spracúvaní osobných údajov (DPA), ktorá je súčasťou zmluvného vzťahu so zákazníkom.
2.2. Tento dokument popisuje predovšetkým prvú rolu (prevádzkovateľa).
3. Aké údaje spracúvame
3.1. Údaje o používateľoch (fyzických osobách)
| Kategória | Príklad údajov | Účel spracúvania |
|---|---|---|
| Identifikačné údaje | meno, priezvisko | Identifikácia v rámci Služby |
| Kontaktné údaje | e-mail, telefónne číslo | Prihlasovanie, doručovanie notifikácií, jednorazové overovacie kódy (OTP) |
| Účtové údaje | identifikátor v systéme, rola, prepojené spoločnosti | Riadenie prístupových oprávnení |
| Údaje o aktivite | história prihlásení, IP adresa, typ prehliadača (user-agent) | Bezpečnosť, audit, prevencia zneužitia |
| Súhlas s dokumentmi | verzia VOP a Zásad, dátum, IP | Preukázanie udelenia súhlasu |
| Mobilné push tokeny | APNs / FCM identifikátory zariadenia | Odosielanie push notifikácií o nových dokumentoch (pre zariadenia, kde si používateľ povolil notifikácie) |
3.2. Údaje o zákazníkoch (právnických osobách)
| Kategória | Príklad údajov | Účel spracúvania |
|---|---|---|
| Identifikácia spoločnosti | obchodné meno, IČO, DIČ, IČ DPH, sídlo | Fakturácia, registrácia na sieti Peppol |
| Kontakt | e-mail spoločnosti, telefón | Notifikácie o prijatých dokumentoch, jednorazová prevádzková pripomienka po 14 dňoch (VOP §10.1 písm. f) |
| Údaje o platbách | história dobití, zostatok peňaženky, transakcie | Účtovníctvo, daňové povinnosti |
| Stav Peppol funkcií | flagy inbox_enabled, outbox_enabled a dôvod blokácie prijímania | Riadenie viditeľnosti a fakturácie funkcií schránky (VOP článok 15) |
3.3. Údaje obsiahnuté v dokumentoch (faktúrach)
V prijatých aj odoslaných faktúrach a dobropisoch sa môžu nachádzať osobné údaje fyzických osôb (napr. meno kontaktnej osoby na strane dodávateľa alebo odberateľa). Tieto údaje spracúvame v role sprostredkovateľa v mene zákazníka. Účelom je výlučne sprístupnenie dokumentov zákazníkovi a doručenie notifikácií.
Pri odoslaných dokumentoch dodatočne uchovávame Peppol SBDH potvrdenie o doručení (Standard Business Document Header) vystavené prístupovým bodom adresáta — ide o štruktúrované XML potvrdenie veľkosti typicky 5–20 KB, ktoré slúži ako dôkaz doručenia pre prípad sporu a ako podklad pre audit Poskytovateľa ako Peppol prístupového bodu (VOP §16.8). SBDH potvrdenie obsahuje technické identifikátory prístupových bodov odosielateľa a adresáta, časovú pečiatku doručenia a referenciu na dokument; neobsahuje samotný obsah faktúry ani osobné údaje fyzických osôb nad rámec údajov už uvedených v samotnom dokumente.
3.4. Audit log a režim „pozerať ako" (impersonation)
3.4.1. Pre účely bezpečnosti, riešenia incidentov a podpory zákazníkov vedie Služba auditný záznam dôležitých operácií (CEF formát). Záznam obsahuje identifikátor používateľa, časovú pečiatku, IP adresu, typ udalosti a kontextové detaily v JSON.
3.4.2. Režim „pozerať ako" (impersonation). Hlavný administrátor Poskytovateľa (super-admin) má pre účely podpory a riešenia incidentov možnosť dočasne sa „pozerať ako" konkrétny používateľ. Pri tomto režime:
- a) sa identita pre účely zobrazovania prispôsobí cieľovému používateľovi;
- b) všetky vykonané akcie sú v auditnom zázname vždy pripísané pôvodnému super-adminovi (nie cieľovému používateľovi), takže audit trail vždy odzrkadľuje, kto akciu skutočne vykonal;
- c) v užívateľskom rozhraní je počas celého trvania režimu zobrazený jasný vizuálny indikátor (žltá lišta v hornej časti dashboardu);
- d) režim sa technicky realizuje HMAC-podpísanou cookie s platnosťou 8 hodín;
- e) udalosti zapnutia a vypnutia režimu sa zapisujú do audit logu (
IMPERSONATION_STARTED,IMPERSONATION_STOPPED).
3.4.3. Tento režim je určený výlučne na podporu zákazníka pri jeho explicitnej alebo odôvodnenej požiadavke, prípadne na riešenie ohlásených bezpečnostných incidentov. Použitie režimu mimo týchto účelov je interne zakázané a kontrolované.
3.5. Peppol Directory (verejný zoznam účastníkov siete)
3.5.1. Sieť Peppol prevádzkuje verejne dostupný zoznam účastníkov — Peppol Directory (https://directory.peppol.eu) — ktorý slúži na to, aby si akýkoľvek odosielateľ mohol overiť, či je daný príjemca pripojený do siete Peppol a aké typy dokumentov dokáže prijímať.
3.5.2. Pre Zákazníka, ktorý má aktivovanú schránku v režime Plná schránka alebo Iba prijímanie (článok 15 VOP), môže byť v Peppol Directory zverejnený:
- a) obchodné meno spoločnosti;
- b) Peppol identifikátor (zvyčajne odvodený od IČO alebo DIČ);
- c) krajina sídla;
- d) zoznam podporovaných typov dokumentov (doctype identifikátory).
Nezverejňujú sa žiadne osobné údaje fyzických osôb (mená kontaktných osôb, e-maily, telefónne čísla) ani obsah dokumentov.
3.5.3. Údaje do Peppol Directory zverejňuje prevádzkovateľ prístupového bodu (Ionite B.V.) v úlohe Peppol Service Provider, na základe povinnosti vyplývajúcej z pravidiel siete Peppol (OpenPeppol Internal Regulations §4.8). Akceptáciou týchto Zásad pri aktivácii je Zákazník o tejto skutočnosti informovaný.
3.5.4. Námietka proti zverejneniu. Ak Zákazník nesúhlasí so zverejnením v Peppol Directory, môže požiadať o odstránenie zápisu na info@epodatelna24.sk. Zákazník berie na vedomie, že odstránenie z Peppol Directory môže obmedziť schopnosť iných subjektov nájsť Zákazníka pri odosielaní dokumentov — v takom prípade musí Peppol identifikátor distribuovať mimo Directory (napríklad e-mailom dodávateľom).
3.6. Cieľové úložiská (voliteľné automatické doručovanie do cloudu zákazníka)
3.6.1. Zákazník si môže prostredníctvom Služby aktivovať voliteľnú funkciu automatického doručovania prijatých (a podľa nastavenia aj odoslaných) dokumentov do externého cieľového úložiska vo svojom vlastníctve — typicky cloudového úložiska tretej strany (Microsoft OneDrive, Google Drive, ďalší poskytovatelia podľa VOP §17.4). Podrobnú právnu úpravu tejto funkcie obsahuje článok 17 VOP.
3.6.2. GDPR rola. Pri aktivácii Cieľového úložiska sa Zákazník stáva prevádzkovateľom (data controller) vo vzťahu k osobným údajom obsiahnutým v doručených dokumentoch voči poskytovateľovi tohto úložiska (napríklad Microsoft, Google). Predmetné spracúvanie sa uskutočňuje na základe priameho pokynu Zákazníka udeleného prostredníctvom OAuth súhlasu pri pripojení úložiska.
3.6.3. Poskytovateľ úložiska NIE JE sub-sprostredkovateľom Poskytovateľa. Microsoft / Google (alebo iný zvolený poskytovateľ úložiska) nevystupuje v sprostredkovateľskom reťazci Poskytovateľa služby ePodatelna24 v zmysle čl. 28 GDPR. Z tohto dôvodu sa neuvádza ani v Prílohe č. 1 DPA medzi sub-sprostredkovateľmi Poskytovateľa.
3.6.4. Zmluvný vzťah s poskytovateľom úložiska (napríklad Microsoft Services Agreement, Microsoft Data Protection Addendum, Google Workspace Terms of Service, Google Cloud Data Processing Addendum) má Zákazník uzavretý priamo s tretí stranou, nie prostredníctvom Poskytovateľa. Zákazník je oprávnený a zodpovedný za:
- a) primerané informovanie dotknutých osôb (najmä svojich klientov a kontaktných osôb dodávateľov), že ich osobné údaje môžu byť spracúvané poskytovateľom Cieľového úložiska;
- b) uzatvorenie prípadných ďalších zmlúv o spracúvaní osobných údajov s poskytovateľom úložiska (najmä DPA pre business-tier účty Microsoft 365 / Google Workspace);
- c) overenie, či poskytovateľ úložiska poskytuje primeranú úroveň ochrany osobných údajov pri prenose do tretích krajín, ak je takýto prenos súčasťou jeho služby.
3.6.5. Údaje, ktoré Poskytovateľ uchováva v súvislosti s Cieľovým úložiskom. Poskytovateľ uchováva výlučne:
- a) šifrovaný obnovovací token (refresh token) potrebný na opakované doručovania; šifrovanie je vykonané symetrickým algoritmom AES-256-GCM s verziovaným kľúčom, ktorý je prístupný iba serverovým komponentom Služby;
- b) konfiguráciu Cieľového úložiska (typ poskytovateľa, identifikátor účtu Zákazníka u poskytovateľa, zvolený koreňový priečinok);
- c) doručovací záznam (delivery log) — pre každý úspešne doručený dokument záznam {dokument, destinácia, čas doručenia, vzdialený identifikátor súboru}.
Poskytovateľ neuchováva kópie dokumentov nad rámec ich uloženia podľa článku 16 VOP, ani prístupové tokeny v dešifrovanej podobe.
3.6.6. Odpojenie a vymazanie. Zákazník môže kedykoľvek odpojiť Cieľové úložisko v užívateľskom rozhraní (Dashboard → Nastavenia → Automatické sťahovanie). Pri odpojení Poskytovateľ odstráni šifrovaný obnovovací token zo svojich databáz (v zmysle odvolania súhlasu Zákazníka). Doručovací záznam môže byť zachovaný pre účely audit-trailu. Dokumenty už doručené do Cieľového úložiska zostávajú v správe Zákazníka podľa pravidiel daného poskytovateľa úložiska — ich vymazanie z úložiska musí Zákazník vykonať samostatne v rozhraní daného poskytovateľa.
3.7. Pravidelný e-mailový digest s priloženým ZIP archívom
3.7.1. Zákazník si môže prostredníctvom Služby aktivovať pravidelný (denný alebo týždenný) e-mailový digest, v ktorom Služba zostaví ZIP archív obsahujúci XML aj PDF každej faktúry prijatej (a podľa nastavenia aj odoslanej) v zvolenom období a doručí ho na nastavenú e-mailovú adresu. Funkciu právne upravuje článok 20 VOP.
3.7.2. Údaje, ktoré v rámci digestu spracúvame:
- a) cieľová e-mailová adresa zvolená Zákazníkom (môže byť odlišná od kontaktnej e-mailovej adresy);
- b) zvolená frekvencia (denne / týždenne) a posledné úspešné odoslanie (pre výpočet inkrementálneho výberu „od posledného odoslania" podľa VOP §20.4);
- c) kópie samotných UBL/XML a PDF dokumentov za príslušné obdobie, zostavené do ZIP archívu výlučne pre účely jeho doručenia.
3.7.3. Doručenie ZIP archívu — dve cesty.
- a) Príloha k e-mailu (predvolene). Ak je ZIP menší alebo rovný 18 MB, archív sa pripojí priamo k e-mailu odoslanému cez sprostredkovateľa transakčného e-mailu (Resend — pozri §6.2 a DPA, Príloha č. 1). Po doručení e-mailu Poskytovateľ ZIP nikde dlhodobo neuchováva.
- b) Odkaz na stiahnutie pri veľkom ZIP-e. Ak ZIP presahuje 18 MB, Poskytovateľ ho nahrá na Vercel Blob storage (EÚ, Frankfurt — pozri §6.1) a v e-maile pošle Zákazníkovi odkaz s neuhádnuteľným náhodným identifikátorom v ceste (256-bitová entropia). Archív je dostupný cez tento odkaz 14 dní, po uplynutí lehoty je automaticky odstránený. Účelom je vyhnúť sa zlyhaniam doručenia e-mailu z dôvodu prekročenia limitov prílohy u poskytovateľov e-mailovej schránky (Gmail 25 MB, Outlook 20 MB).
3.7.4. Bezpečnosť. E-mail prenášaný cez Resend nie je end-to-end šifrovaný — Zákazník by mal pre osobitne citlivý obsah preferovať Cieľové úložisko podľa §3.6 (kde sú dáta šifrované pri prenose aj v cieli). Odkaz podľa §3.7.3 písm. b) je capability URL — kto má URL, môže ZIP stiahnuť bez prihlásenia po dobu 14 dní; Zákazník je povinný chrániť e-mail s odkazom rovnako ako akýkoľvek iný e-mail obsahujúci finančné dáta.
3.7.5. GDPR rola. Aktivácia e-mailového digestu je pokynom Zákazníka Službe (sprostredkovateľovi) doručiť kópie dokumentov na ním zvolenú e-mailovú adresu. Zákazník je výlučne zodpovedný za to, že:
- a) e-mailová adresa, ktorú zadal, je pod jeho kontrolou alebo pod kontrolou ním poverenej osoby (napríklad jeho účtovník);
- b) adresát je oprávnený spracúvať osobné údaje obsiahnuté v dokumentoch v rámci ich obvyklého účtovného spracovania;
- c) na strane e-mailovej schránky adresáta sú vhodné technické a organizačné opatrenia (najmä zabezpečenie heslom, viacfaktorová autentifikácia, retenčné pravidlá).
3.7.6. Odpojenie. Zákazník môže e-mailový digest kedykoľvek odpojiť v užívateľskom rozhraní (Dashboard → Nastavenia → Automatické sťahovanie). Odpojenie zastavuje budúce odosielanie; už odoslané e-maily ani aktívne 14-dňové odkazy na stiahnutie sa neodvolávajú — Zákazník je oprávnený požiadať o predčasné odstránenie konkrétneho ZIP archívu z Vercel Blob storage na info@epodatelna24.sk.
4. Právne základy spracúvania
| Účel | Právny základ podľa GDPR |
|---|---|
| Poskytovanie a fakturácia Služby | čl. 6 ods. 1 písm. b) – plnenie zmluvy |
| Registrácia a riadenie účtu | čl. 6 ods. 1 písm. b) – plnenie zmluvy |
| Vystavovanie faktúr a daňové povinnosti | čl. 6 ods. 1 písm. c) – plnenie zákonných povinností (zákon o DPH, zákon o účtovníctve) |
| Bezpečnosť, audit a režim „pozerať ako" | čl. 6 ods. 1 písm. f) – oprávnený záujem (ochrana Služby pred zneužitím, podpora zákazníkov) |
| Riešenie sporov a vymáhanie pohľadávok | čl. 6 ods. 1 písm. f) – oprávnený záujem |
| Webová analytika (Vercel Analytics) | čl. 6 ods. 1 písm. f) – oprávnený záujem (zlepšovanie Služby) na základe agregovaných údajov bez identifikácie jednotlivca |
| Sledovanie chýb (Sentry) a stavu systému | čl. 6 ods. 1 písm. f) – oprávnený záujem (prevádzková spoľahlivosť) |
| Jednorazová prevádzková pripomienka po 14 dňoch | čl. 6 ods. 1 písm. b) – plnenie zmluvy (pomoc novému zákazníkovi začať efektívne využívať Službu) |
5. Doba uchovávania údajov
| Kategória údajov | Doba uchovávania |
|---|---|
| Účet a profil používateľa | Po dobu existencie účtu. Vymazanie účtu vykoná Poskytovateľ na výslovnú žiadosť používateľa — samoobslužne v dashboard-e alebo žiadosťou na info@epodatelna24.sk (pozri §8.2). Poskytovateľ aktuálne nevykonáva automatické vymazávanie účtu po dobe nečinnosti; účet zostáva v databáze až do žiadosti o vymazanie alebo zákonných dôvodov ukončenia (napríklad ak Zákazník zruší spoločnosť — pozri VOP §11). |
| Prijaté a odoslané dokumenty (faktúry, dobropisy) | Zobrazené v bežných výpisoch po dobu kvartálneho okna podľa VOP článok 16 (cca jeden štvrťrok + 15 pracovných dní). Následne soft archive — dokumenty zostávajú v databáze najmenej 12 mesiacov a Poskytovateľ ich môže fyzicky odstrániť podľa svojich interných postupov (RUNBOOK_RETENTION.md). Služba nevykonáva dlhodobú archiváciu — zákazník je povinný stiahnuť a archivovať dokumenty pre svoje účtovné a daňové účely. |
| Auditné záznamy | Kvartálne partície sú odpojené po skončení viditeľného okna; Poskytovateľ ich uchováva po dobu odôvodnenú prevádzkovými alebo vyšetrovacími potrebami. |
| Záznamy o platbách a faktúry vystavené Prevádzkovateľom | 10 rokov v zmysle zákona č. 431/2002 Z. z. o účtovníctve. |
| Verifikačné kódy (OTP) | 5 minút od vygenerovania. |
| QR platobné odkazy | 24 hodín do expirácie + 90 dní história. |
| Magic-link tokeny | 24 hodín od vygenerovania alebo do prvého použitia (jednorazové). |
| Mobilné push tokeny | Po dobu používania zariadenia. Token sa odstráni pri odhlásení z mobilnej aplikácie alebo po opakovanom potvrdení od APNs/FCM, že zariadenie nie je dostupné. |
| Kontaktné e-maily a podporné požiadavky | 3 roky od ukončenia komunikácie. |
| Impersonation cookie (super-admin) | Maximálne 8 hodín od zapnutia režimu. Zápis v audit logu zostáva podľa horeuvedeného. |
| ZIP archív e-mailového digestu (pri ZIP > 18 MB) | 14 dní od nahrania na Vercel Blob storage; po uplynutí lehoty je automaticky odstránený. Pre ZIP ≤ 18 MB sa archív nikde dlhodobo neuchováva — odošle sa ako príloha e-mailu a Poskytovateľ ho nepersistuje (pozri §3.7.3). |
| Záznam o úspešnom odoslaní digestu | Bez časového limitu počas trvania účtu; obsahuje časovú pečiatku, počty doručených dokumentov a metadáta o ZIP-e (veľkosť, či bol priložený alebo odkazom). Neobsahuje obsah dokumentov. |
| Peppol SBDH potvrdenie o doručení odoslaných dokumentov | Spolu s odoslaným dokumentom — podlieha rovnakej kvartálnej politike ako dokument (VOP §16). |
6. Príjemcovia a sprostredkovatelia
Pri prevádzke Služby využívame nasledujúcich poskytovateľov („sub-processors"), ktorí spracúvajú osobné údaje v našom mene. Úplný a aktuálny zoznam je v Prílohe č. 1 DPA.
6.1. Infraštruktúra a hosting
| Sprostredkovateľ | Účel | Krajina spracúvania | Záruky prenosu |
|---|---|---|---|
| Supabase | Databáza, autentifikácia, úložisko | EÚ (Frankfurt) | Spracúvanie v rámci EÚ |
| Vercel | Hosting webovej aplikácie, Analytics, Vercel Blob | EÚ (Frankfurt) | Spracúvanie v rámci EÚ |
| Fly.io | Hosting pracovného procesu (worker) spracúvajúceho prijímanie a odosielanie dokumentov | EÚ (Frankfurt) | Spracúvanie v rámci EÚ |
6.2. Komunikácia
| Sprostredkovateľ | Účel | Krajina spracúvania | Záruky prenosu |
|---|---|---|---|
| Resend | Odosielanie transakčných e-mailov | USA | Štandardné zmluvné doložky (SCC) podľa GDPR |
| Twilio | Odosielanie SMS s overovacími kódmi | USA | Štandardné zmluvné doložky (SCC) podľa GDPR |
| APNs (Apple Push Notification service) | Doručovanie push notifikácií do iOS zariadení používateľa | USA | Štandardné zmluvné doložky (SCC) podľa GDPR |
| FCM (Firebase Cloud Messaging od Google) | Doručovanie push notifikácií do Android zariadení používateľa | USA | Štandardné zmluvné doložky (SCC) podľa GDPR |
6.3. Sieť Peppol a render dokumentov
| Sprostredkovateľ | Účel | Krajina spracúvania |
|---|---|---|
| ion-AP (Peppol Access Point od Ionite) | Prijímanie a odosielanie elektronických faktúr cez sieť Peppol | EÚ |
| zobrazfakturu (vnútorný projekt Poskytovateľa) | Render PDF z UBL XML | EÚ (Frankfurt, na infraštruktúre Vercel) |
6.4. Prevádzkové monitorovanie
| Sprostredkovateľ | Účel | Krajina spracúvania | Záruky prenosu |
|---|---|---|---|
| Sentry | Zaznamenávanie chýb na serveri a v prehliadači používateľa pre účely diagnostiky | EÚ (Nemecko, *.ingest.de.sentry.io) | Spracúvanie v rámci EÚ |
| Slack | Notifikácie pre prevádzkový tím Poskytovateľa pri závažných chybách (severity = error). Záznam obsahuje identifikátor udalosti, čas, identifikátor spoločnosti, krátky výpis — nikdy obsah dokumentu ani plné meno fyzickej osoby. | USA | Štandardné zmluvné doložky (SCC) podľa GDPR |
| Healthchecks.io | Prevádzkový „dead-man's switch" — zaznamenáva, či cron joby bežia. Prenáša iba metadata (čas, status), nie osobné údaje. | USA | Žiadne osobné údaje sa neprenášajú; pre úplnosť uvedené SCC podľa GDPR. |
6.5. Platobný systém
| Systém | Účel | Charakter |
|---|---|---|
| NOP – Notifikátor okamžitých platieb (Finančná správa SR) | Generovanie QR platieb a potvrdzovanie prijatia platieb | Štátny systém Slovenskej republiky – nie je sprostredkovateľom v zmysle GDPR, ale autoritou prevádzkujúcou platobný štandard |
6.6. Zmena sprostredkovateľov
Vyhradzujeme si právo zmeniť alebo doplniť sprostredkovateľov. O takejto zmene budú zákazníci informovaní e-mailom alebo prostredníctvom aktualizácie tohto dokumentu najmenej 30 dní vopred.
6.7. Hlásenie štatistických údajov siete Peppol
V zmysle pravidiel siete Peppol (OpenPeppol Internal Regulations on Use of the Peppol Network, kapitola 4) je prevádzkovateľ prístupového bodu Ionite B.V. povinný pravidelne (typicky mesačne) hlásiť OpenPeppol AISBL súhrnné štatistické údaje o:
- a) počte zákazníkov využívajúcich sieť Peppol, rozdelených podľa krajiny, sektora a typu identifikátora;
- b) počte a type prenášaných dokumentov (Peppol Dataset Types) — agregovane podľa doctype identifikátorov a jurisdikcií;
- c) kapacitách zaregistrovaných v SMP (Service Metadata Publisher) — t. j. typoch dokumentov, ktoré dokáže Zákazník prijímať.
Tieto údaje sú anonymizované a agregované — nikdy nezahŕňajú obsah dokumentov, mená fyzických osôb ani identifikátory konkrétneho odberateľa alebo dodávateľa. Účelom je dohľad nad fungovaním siete Peppol, plánovanie kapacít a štatistická správa.
Ako intermediár Ionite B.V. poskytuje Poskytovateľ podkladové údaje o aktivite Zákazníkov v rozsahu nevyhnutnom na splnenie tejto reportovacej povinnosti.
| Pole | Hodnota |
|---|---|
| Príjemca údajov | OpenPeppol AISBL (Belgicko, Brusel) — sprostredkovateľsky cez Ionite B.V. |
| Typ údajov | Agregované štatistiky (počty, doctype identifikátory, krajina) |
| Právny základ | Čl. 6 ods. 1 písm. f) GDPR — oprávnený záujem (dohľad nad sieťou Peppol a plnenie záväzkov voči prístupovému bodu) |
| Prenos do tretích krajín | Žiadny — OpenPeppol AISBL sídli v EÚ |
7. Prenosy do tretích krajín
Niektorí naši sprostredkovatelia (Resend, Twilio, Apple, Google, Slack, Healthchecks.io) sídlia v USA. Pre tieto prenosy uplatňujeme štandardné zmluvné doložky (SCC) schválené Európskou komisiou v rozhodnutí 2021/914 ako záruku zodpovedajúcej úrovne ochrany osobných údajov.
Žiadne osobné údaje neprenášame do krajín, ktoré nemajú zodpovedajúcu úroveň ochrany alebo s ktorými nemáme uzavreté SCC.
8. Práva dotknutých osôb
V súlade s GDPR máte ako dotknutá osoba nasledujúce práva:
| Právo | Popis |
|---|---|
| Právo na prístup (čl. 15) | Získať potvrdenie, či spracúvame vaše údaje, a ich kópiu. |
| Právo na opravu (čl. 16) | Žiadať opravu nesprávnych alebo doplnenie neúplných údajov. |
| Právo na vymazanie („právo byť zabudnutý", čl. 17) | Žiadať vymazanie údajov, ak už nie sú potrebné na účel spracúvania. |
| Právo na obmedzenie spracúvania (čl. 18) | Žiadať dočasné obmedzenie spracúvania. |
| Právo na prenosnosť (čl. 20) | Získať svoje údaje v štruktúrovanom strojovo čitateľnom formáte. |
| Právo namietať (čl. 21) | Namietať spracúvanie založené na oprávnenom záujme. |
| Právo podať sťažnosť | Podať sťažnosť dozornému orgánu – Úrad na ochranu osobných údajov SR, Hraničná 12, 820 07 Bratislava 27 (www.dataprotection.gov.sk). |
8.1. Ako uplatniť svoje práva
Žiadosti smerujte na: info@epodatelna24.sk
Žiadosť spracujeme do 30 dní od jej doručenia. V odôvodnených prípadoch (zložitosť, počet požiadaviek) môžeme túto lehotu predĺžiť o ďalšie 60 dní, o čom vás budeme informovať.
8.2. Vymazanie účtu — samoobsluha
Vymazanie účtu je možné samoobslužne v sekcii Dashboard → Nastavenia → Vymazať môj účet. Akcia vyžaduje potvrdenie 6-miestnym jednorazovým kódom (OTP) a okamžite spustí kaskádové vymazanie:
- profilu používateľa,
- aktívnych členstiev v spoločnostiach,
- mobilných push tokenov,
- nepoužitých magic-link tokenov.
Alternatívne môžete o vymazanie požiadať e-mailom na info@epodatelna24.sk.
Niektoré údaje sú aj po vymazaní účtu uchované v rozsahu nevyhnutnom pre splnenie zákonných povinností alebo zachovanie integrity zdieľaných údajov:
- účtovné záznamy a faktúry vystavené zákazníkovi (10 rokov);
- záznamy
wallet_transactionspeňaženky spoločnosti — sú pripojiteľné k používateľovi iba historicky a sú audit-trail-load-bearing (append-only); - obchodné dokumenty (faktúry) firmy — patria spoločnosti, nie jednotlivému používateľovi, a podliehajú kvartálnej politike retencie podľa VOP článok 16;
tos_acceptances— po vymazaní účtu sa identifikátor používateľa anonymizuje (NULL), aby zostal zachovaný právny záznam o udelení súhlasu bez väzby na konkrétnu osobu.
Obmedzenia samoobslužného vymazania: ak ste jediným hlavným administrátorom (genesis admin) niektorej spoločnosti, žiadosť sa neuplatní automaticky — najprv musíte previesť rolu genesis admina na iného člena spoločnosti, alebo nás kontaktovať na info@epodatelna24.sk.
8.3. Export údajov — samoobsluha
V sekcii Dashboard → Nastavenia → Stiahnuť moje dáta si môžete kedykoľvek samoobslužne stiahnuť všetky vaše osobné údaje v strojovo čitateľnom formáte (JSON). Export zahŕňa profil, členstvá v spoločnostiach, záznamy o súhlasoch (tos_acceptances), mobilné push tokeny a posledných 90 dní záznamov z audit logu, kde ste vystupovali ako aktér.
Z dôvodu ochrany proti zneužitiu je akcia rate-limitovaná na 1 export za 24 hodín. Pre staršie záznamy alebo neštandardný formát kontaktujte info@epodatelna24.sk.
9. Bezpečnosť údajov
9.1. Pri spracúvaní osobných údajov uplatňujeme primerané technické a organizačné opatrenia, najmä:
- a) šifrované spojenia (HTTPS, TLS) pre všetku komunikáciu;
- b) šifrované úložisko hesiel a citlivých údajov;
- c) viacstupňové oprávnenia (rola super-admin, company admin, operátor, processor);
- d) auditné záznamy všetkých dôležitých operácií (CEF formát);
- e) izolácia účtov jednotlivých zákazníkov na úrovni databázy (Row Level Security);
- f) append-only databázový trigger na ledger peňaženky (znemožňuje UPDATE/DELETE mimo definovaných RPC funkcií);
- g) per-IP rate limiting verejných endpointov a OTP rozhraní;
- h) pravidelné aktualizácie softvérových komponentov;
- i) zabezpečenie fyzických serverov v dátových centrách s certifikáciou ISO 27001 (Frankfurt);
- j) prevádzkové monitorovanie — sledovanie chýb (Sentry), upozornenia v reálnom čase pri závažných chybách (Slack), dead-man's switch nad cron jobmi (Healthchecks.io).
9.2. Bezpečnostný incident. V prípade porušenia ochrany osobných údajov vás budeme informovať bez zbytočného odkladu, ak je pravdepodobné, že incident má za následok vysoké riziko pre vaše práva a slobody. Dozorný orgán informujeme do 72 hodín od zistenia incidentu.
10. Cookies a sledovacie technológie
10.1. Služba používa nasledujúce typy súborov cookies a podobných technológií:
| Typ | Účel | Súhlas potrebný? |
|---|---|---|
| Funkčné cookies | Udržanie prihlásenej relácie, jazykové nastavenia, téma (svetlá/tmavá) | Nie – sú nevyhnutné na fungovanie Služby |
| Impersonation cookie | HMAC-podpísaná cookie (platnosť 8h) pre režim „pozerať ako" super-admina (§3.4). Nastavuje sa iba pri explicitnom kliknutí super-admina na akciu „Pozerať ako". | Nie – súčasť bezpečnostných opatrení Služby, viditeľne signalizovaná v UI |
| Analytické cookies (Vercel Analytics) | Agregovaná štatistika návštevnosti, optimalizácia výkonu | Áno – súhlas sa získava cez cookie banner |
10.2. Vercel Analytics nezhromažďuje IP adresy v identifikovateľnej forme a nepoužíva cookies tretích strán na sledovanie naprieč webmi. Údaje sú agregované a anonymizované.
10.3. Súhlas s analytickými cookies môžete kedykoľvek odvolať v nastaveniach prehliadača alebo prostredníctvom cookie bannera.
11. Automatizované rozhodovanie a profilovanie
Služba nevykonáva automatizované rozhodovanie ani profilovanie v zmysle čl. 22 GDPR, ktoré by malo právne účinky alebo obdobne významný vplyv na používateľa.
Jednorazová prevádzková pripomienka po 14 dňoch od aktivácie (VOP §10.1 písm. f) je odoslaná všetkým novým zákazníkom, ktorí ešte nezačali prijímať dokumenty, na základe rovnakej podmienky — nejde o profilovanie, ale o štandardnú onboarding-podporu pre každého nového používateľa.
12. Zmena Zásad ochrany osobných údajov
12.1. Tento dokument môžeme z času na čas aktualizovať. O každej podstatnej zmene budeme informovať e-mailom najmenej 30 dní vopred.
12.2. Aktuálna verzia je vždy dostupná na: https://www.epodatelna24.sk/legal/ochrana-udajov
13. Kontakt
Akékoľvek otázky týkajúce sa spracúvania osobných údajov smerujte na:
epodatelna24, s. r. o. Karpatské námestie 7770/10A, 831 06 Bratislava
epodatelna24, s. r. o. Verzia 2.3 Účinnosť od: 2026-05-26