Zmluva o spracúvaní osobných údajov (DPA)
Posledná aktualizácia: 06. júla 2026
Táto Zmluva o spracúvaní osobných údajov (ďalej len „DPA") je neoddeliteľnou súčasťou Všeobecných obchodných podmienok služby eFaktúra a upravuje spracúvanie osobných údajov podľa čl. 28 Nariadenia (EÚ) 2016/679 (GDPR), pri ktorom zákazník vystupuje ako prevádzkovateľ a spoločnosť eFaktura s. r. o. ako sprostredkovateľ.
1. Zmluvné strany a predmet
Sprostredkovateľ: eFaktura s. r. o., Klčové 94/19, 915 01 Nové Mesto nad Váhom, IČO 57 465 738, zapísaná v Obchodnom registri Okresného súdu Trenčín, oddiel Sro, vložka č. 57413/R (ďalej len „Poskytovateľ").
Prevádzkovateľ: zákazník – podnikateľ, ktorý používa službu eFaktúra na základe Všeobecných obchodných podmienok (ďalej len „Zákazník" a „VOP").
Zákazník pri používaní služby vkladá do platformy dáta, ktoré môžu obsahovať osobné údaje tretích osôb (najmä jeho odberateľov, dodávateľov, zamestnancov a obchodných kontaktov). Vo vzťahu k týmto údajom je Zákazník prevádzkovateľom a Poskytovateľ ich spracúva v jeho mene ako sprostredkovateľ. Táto DPA sa uzatvára akceptáciou VOP a trvá počas celého trvania zmluvy o používaní služby.
Spracúvanie osobných údajov samotných používateľov služby (účty, fakturácia za službu, podpora), pri ktorom je Poskytovateľ prevádzkovateľom, upravujú Zásady ochrany osobných údajov, nie táto DPA.
2. Povaha, účel a doba spracúvania
- Predmet spracúvania: osobné údaje obsiahnuté v dátach, ktoré Zákazník vloží do služby alebo ktoré pre Zákazníka služba prijme (doklady, kontakty, dokumenty, bankové transakcie, e-maily, elektronické faktúry).
- Povaha spracúvania: ukladanie, štruktúrovanie, zobrazovanie, vyťažovanie údajov z dokumentov (OCR), generovanie dokladov a PDF, odosielanie a prijímanie dokladov (e-mail, sieť Peppol), párovanie platieb, zálohovanie, export a vymazanie.
- Účel spracúvania: poskytovanie služby eFaktúra v rozsahu podľa VOP a konfigurácie zvolenej Zákazníkom.
- Doba spracúvania: počas trvania zmluvy podľa VOP a následne počas lehôt uvedených v článku 10 tejto DPA.
3. Kategórie dotknutých osôb a typy údajov
Kategórie dotknutých osôb:
- odberatelia a dodávatelia Zákazníka a ich kontaktné osoby,
- zamestnanci a spolupracovníci Zákazníka (napr. členovia tímu, osoby na cestovných príkazoch, osoby uvedené vo firemných dokumentoch),
- príjemcovia dokladov a cenových ponúk,
- platitelia a protistrany bankových transakcií,
- iné osoby, ktorých údaje Zákazník do služby vloží.
Typy osobných údajov:
- identifikačné a kontaktné údaje (meno, adresa, e-mail, telefón, funkcia),
- obchodné identifikátory fyzických osôb – podnikateľov (IČO, DIČ, IČ DPH),
- fakturačné a platobné údaje (čísla účtov IBAN, variabilné symboly, sumy, predmety plnenia),
- údaje z bankových výpisov a transakcií (protistrany, popisy platieb, maskované čísla kariet),
- obsah dokumentov a ich príloh vrátane OCR extraktov,
- ďalšie údaje, ktoré Zákazník do služby vloží.
Služba nie je určená na spracúvanie osobitných kategórií osobných údajov (čl. 9 GDPR). Zákazník sa zaväzuje takéto údaje do služby nevkladať, resp. ich vkladá výlučne na vlastnú zodpovednosť.
4. Pokyny prevádzkovateľa
Poskytovateľ spracúva osobné údaje len na základe zdokumentovaných pokynov Zákazníka. Za zdokumentované pokyny sa považujú VOP, táto DPA, konfigurácia služby a úkony vykonané Zákazníkom a jeho používateľmi v aplikácii a cez API (napr. odoslanie dokladu, aktivácia integrácie, žiadosť o export či vymazanie). Poskytovateľ bezodkladne informuje Zákazníka, ak sa domnieva, že pokyn porušuje GDPR alebo iné právne predpisy. Ak právo EÚ alebo právo členského štátu vyžaduje spracúvanie nad rámec pokynov, Poskytovateľ Zákazníka o tejto požiadavke informuje, ibaže to príslušné právo zakazuje.
5. Dôvernosť
Poskytovateľ zabezpečuje, aby všetky osoby oprávnené spracúvať osobné údaje (zamestnanci a spolupracovníci Poskytovateľa) boli zaviazané mlčanlivosťou, a to aj po skončení spolupráce. Prístup k produkčným dátam sa riadi princípom najmenších privilégií a je zaznamenávaný.
6. Bezpečnosť spracúvania
Poskytovateľ prijal a udržiava technické a organizačné opatrenia podľa čl. 32 GDPR zodpovedajúce riziku spracúvania. Ich aktuálny prehľad tvorí Prílohu č. 1 tejto DPA. Poskytovateľ môže opatrenia priebežne aktualizovať a zlepšovať; ich úroveň ochrany pritom nesmie klesnúť.
7. Sub-sprostredkovatelia
- Zákazník udeľuje Poskytovateľovi všeobecné písomné povolenie na zapojenie sub-sprostredkovateľov.
- Aktuálny a úplný zoznam sub-sprostredkovateľov vrátane účelu a krajiny spracúvania je zverejnený v článku 5 Zásad ochrany osobných údajov a tvorí súčasť tejto DPA.
- O zamýšľanom pridaní alebo nahradení sub-sprostredkovateľa informuje Poskytovateľ Zákazníka najmenej 14 dní vopred (aktualizáciou zoznamu a oznámením v aplikácii alebo e-mailom). Zákazník môže z oprávnených dôvodov namietať; ak námietke nemožno vyhovieť technicky ani organizačne, môže Zákazník zmluvu ukončiť podľa VOP.
- Poskytovateľ ukladá každému sub-sprostredkovateľovi zmluvou rovnaké povinnosti ochrany údajov, aké vyplývajú z tejto DPA, a voči Zákazníkovi zodpovedá za plnenie povinností sub-sprostredkovateľov.
- Za sub-sprostredkovateľov sa nepovažujú subjekty, ktorým sa údaje odovzdávajú z pokynu Zákazníka ako samostatným prevádzkovateľom (napr. banka Zákazníka, príjemca e-faktúry a prevádzkovateľ jeho prístupového bodu v sieti Peppol, Finančná správa SR, e-shop alebo iná integrácia aktivovaná Zákazníkom).
8. Pomoc prevádzkovateľovi a žiadosti dotknutých osôb
- Poskytovateľ poskytuje Zákazníkovi súčinnosť pri plnení povinností podľa čl. 32 až 36 GDPR (bezpečnosť, oznamovanie porušení, posúdenie vplyvu, predchádzajúce konzultácie), s prihliadnutím na povahu spracúvania a informácie, ktoré má k dispozícii.
- Služba obsahuje nástroje, ktorými Zákazník dokáže väčšinu žiadostí dotknutých osôb vybaviť samostatne (vyhľadanie, oprava, export a vymazanie záznamov). Ak dotknutá osoba adresuje žiadosť priamo Poskytovateľovi, Poskytovateľ ju bez zbytočného odkladu postúpi Zákazníkovi a bez pokynu Zákazníka na ňu vecne neodpovedá.
9. Oznamovanie porušení ochrany údajov
Poskytovateľ oznámi Zákazníkovi porušenie ochrany osobných údajov týkajúce sa údajov spracúvaných podľa tejto DPA bez zbytočného odkladu po tom, čo sa o ňom dozvedel, na e-mailové adresy vlastníkov a administrátorov organizácie Zákazníka. Oznámenie obsahuje minimálne informácie podľa čl. 33 ods. 3 GDPR (povahu porušenia, pravdepodobné následky, prijaté a navrhované opatrenia, kontaktný bod); informácie možno poskytovať postupne podľa priebehu vyšetrovania.
10. Vymazanie a vrátenie údajov po ukončení
- Zákazník si môže dáta kedykoľvek exportovať priamo v aplikácii (CSV, PDF, ISDOC, kompletný archív). Pri žiadosti o zmazanie organizácie sa automaticky vygeneruje kompletný export dokladov, aby si Zákazník splnil vlastné archivačné povinnosti.
- Po ukončení zmluvy, resp. po uplynutí 30-dňovej ochrannej lehoty po žiadosti o zmazanie, Poskytovateľ všetky osobné údaje spracúvané podľa tejto DPA vymaže, ibaže právo EÚ alebo Slovenskej republiky vyžaduje ich ďalšie uchovanie (najmä doklady, ktoré je Poskytovateľ sám povinný archivovať ako účtovná jednotka, a bezpečnostné či prevádzkové záznamy v nevyhnutnom rozsahu podľa Zásad ochrany osobných údajov).
- Údaje obsiahnuté v krátkodobých rotujúcich zálohách sa vymažú ich prirodzenou rotáciou (spravidla do 30 dní); do ich vymazania sa zálohy nepoužívajú na iný účel než obnovu po havárii.
11. Prenosy do tretích krajín
Spracúvanie prebieha primárne v Európskom hospodárskom priestore (databáza aj úložisko dokumentov). Ak sub-sprostredkovateľ spracúva údaje v tretej krajine, prenos sa opiera o rozhodnutie o primeranosti (vrátane EU–US Data Privacy Framework) alebo štandardné zmluvné doložky podľa rozhodnutia Komisie 2021/914, spolu s dodatočnými opatreniami. Podrobnosti vrátane výhrady ku globálnemu endpointu Vertex AI pri AI funkciách sú uvedené v článku 6 Zásad ochrany osobných údajov.
12. Audit
- Poskytovateľ sprístupní Zákazníkovi informácie potrebné na preukázanie splnenia povinností podľa čl. 28 GDPR – primárne formou tejto DPA, opisu opatrení v Prílohe č. 1, zoznamu sub-sprostredkovateľov a odpovedí na písomné otázky Zákazníka.
- Ak tieto informácie odôvodnene nepostačujú, umožní Poskytovateľ Zákazníkovi (alebo ním poverenému audítorovi viazanému mlčanlivosťou) audit, najviac raz za 12 mesiacov, v bežnom pracovnom čase, po písomnom oznámení najmenej 30 dní vopred a spôsobom, ktorý neohrozí bezpečnosť dát ostatných zákazníkov. Náklady auditu znáša Zákazník.
13. Zodpovednosť a záverečné ustanovenia
- Zodpovednosť strán sa spravuje článkom o zodpovednosti za škodu vo VOP; tým nie sú dotknuté kogentné ustanovenia čl. 82 GDPR.
- Zákazník zodpovedá za zákonnosť spracúvania osobných údajov, ktoré do služby vkladá – najmä za existenciu právneho základu a splnenie informačnej povinnosti voči dotknutým osobám.
- Zmeny tejto DPA sa riadia mechanizmom zmien VOP. Aktuálne znenie je vždy dostupné na efaktura.sk/dpa.
- Táto DPA nadobúda účinnosť dňa 6. 7. 2026.
Príloha č. 1 – Technické a organizačné opatrenia (TOM)
- Šifrovanie v prenose: TLS pre všetku komunikáciu medzi klientmi, aplikáciami a API; bezpečnostné hlavičky (CSP, HSTS).
- Šifrovanie v pokoji: šifrovaná databáza (EÚ, Frankfurt) a šifrované objektové úložisko dokumentov; bankové prístupové tokeny a tajomstvá dvojfaktorovej autentifikácie šifrované aj na aplikačnej úrovni.
- Izolácia tenantov: každá požiadavka je viazaná na konkrétnu organizáciu; oddelenie dát je vynucované aj priamo na úrovni databázy technológiou Row-Level Security (fail-closed – bez kontextu organizácie sa nevrátia žiadne riadky).
- Riadenie prístupu: rolový model prístupu v organizáciách Zákazníka (6 úrovní rolí); princíp najmenších privilégií pre tím Poskytovateľa; povinná dvojfaktorová autentifikácia pre administrátorský tím Poskytovateľa; audit logy administratívnych a dôležitých akcií vrátane IP adresy.
- Autentifikácia používateľov: heslá výhradne vo forme scrypt hashu; voliteľná TOTP dvojfaktorová autentifikácia; časovo obmedzené relácie.
- Ochrana pred zneužitím: rate-limiting (IP + hash e-mailu), anti-bot ochrana kritických formulárov (Cloudflare Turnstile), maskovanie citlivých údajov v logoch a diagnostike.
- Úložisko dokumentov: súkromné buckety bez verejného prístupu; prístup výlučne cez krátkodobé podpísané odkazy; oddelený verejný bucket len pre logá a branding.
- Kontinuita prevádzky: pravidelné automatizované zálohy s krátkodobou rotáciou (spravidla do 30 dní), plán obnovy po havárii, monitoring dostupnosti a chýb.
- Vývoj a prevádzka: oddelené produkčné a testovacie prostredia, revízia kódu, evidencia a riadenie zmien, incident response proces s oznamovaním porušení bez zbytočného odkladu.
- Personál: zmluvná mlčanlivosť všetkých osôb s prístupom k údajom, školenia o ochrane údajov.