Zásady ochrany osobných údajov
Posledná aktualizácia: 23. apríla 2026
Tento dokument opisuje, ako spoločnosť eFaktura s.r.o. získava, používa, uchováva a chráni osobné údaje používateľov služieb eFaktúra (ďalej tiež „služba" alebo „platforma"). Zásady vychádzajú z Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 (GDPR) a zo zákona č. 18/2018 Z. z. o ochrane osobných údajov.
1. Úvod a rozsah
Tieto zásady sa vzťahujú na spracúvanie osobných údajov v rámci:
- marketingovej webstránky efaktura.sk vrátane všetkých jej podstránok,
- webovej aplikácie na vystavovanie a správu faktúr app.efaktura.sk,
- modulu eKancelária ekancelaria.efaktura.sk,
- mobilnej aplikácie eFaktúra pre iOS a Android,
- verejných API rozhraní služby,
- e-mailovej komunikácie a zákazníckej podpory.
Používaním ktorejkoľvek časti služby potvrdzujete, že ste si tieto zásady prečítali a porozumeli im.
2. Prevádzkovateľ a kontakt
Prevádzkovateľom v zmysle čl. 4 ods. 7 GDPR je:
- Obchodné meno: eFaktura s. r. o.
- Sídlo: Klčové 94/19, 915 01 Nové Mesto nad Váhom, Slovenská republika
- IČO: 57 465 738
- DIČ: 2120652534
- IČ DPH: SK2120652534
- E-mail: info@efaktura.sk
- Telefón: +421 915 666 607 (Po – Pia, 8:00 – 17:00)
Prevádzkovateľ nie je povinný menovať zodpovednú osobu (Data Protection Officer) podľa čl. 37 GDPR. Všetky žiadosti týkajúce sa ochrany osobných údajov posielajte na info@efaktura.sk s predmetom správy „GDPR".
3. Aké údaje spracúvame
Rozsah spracúvaných údajov závisí od toho, ktoré funkcie služby používate. Nižšie uvádzame úplný prehľad kategórií.
3.1 Identifikačné a účtové údaje
- meno a priezvisko,
- e-mailová adresa,
- profilová fotografia (ak ju nahráte),
- preferovaný jazyk a časové pásmo,
- rola v rámci organizácie, stav účtu, čas registrácie a poslednej aktivity.
3.2 Kontaktné údaje
- telefónne číslo,
- korešpondenčná a fakturačná adresa.
3.3 Firemné a účtovné údaje
- obchodné meno, adresa sídla a prevádzkarne,
- IČO, DIČ, IČ DPH, registračné údaje z obchodného registra,
- IBAN, BIC/SWIFT a názov banky pre vystavené faktúry,
- kontakty na odberateľov a dodávateľov, ktorých zadáte do systému.
3.4 Autentifikačné a bezpečnostné údaje
- šifrovaný hash hesla (spravovaný autentifikačnou službou Supabase),
- faktory viacfaktorovej autentifikácie – TOTP tajomstvo a záložné kódy,
- identifikátory relácií, časy prihlásenia, IP adresa a hlavička User-Agent prehliadača,
- bezpečnostné tokeny pre obnovu hesla a e-mailové verifikácie,
- tokeny zariadení pre push notifikácie (iOS/Android).
3.5 Fakturačné a platobné údaje
- identifikátory Stripe (customer ID, subscription ID, payment method ID); celé číslo platobnej karty neuchovávame – spracúva ho priamo Stripe ako tzv. PCI-DSS Level 1 poskytovateľ,
- história platieb, predplatného a kreditov,
- fakturačné doklady za služby eFaktúry.
3.6 Obsah dokumentov
- vystavené a prijaté faktúry, cenové ponuky, objednávky, dodacie listy,
- bločky a účtenky vrátane ich OCR extraktov,
- prílohy k dokumentom (PDF, obrázky),
- poznámky, komentáre a správy v AI asistentovi.
Dokumenty môžu obsahovať osobné údaje tretích osôb (vašich klientov, dodávateľov, zamestnancov). Vo vzťahu k týmto údajom ste vy prevádzkovateľom a my sprostredkovateľom v zmysle čl. 28 GDPR. Podmienky tohto vzťahu sú súčasťou Všeobecných obchodných podmienok (Spracovateľská zmluva / DPA).
3.7 Bankové dáta
- šifrované prístupové tokeny pre pripojenia k bankám (Tatra banka Premium API a ďalšie),
- zoznam transakcií, IBAN-y, zostatky, metadáta transakcií v rozsahu potrebnom na spárovanie s faktúrami.
3.8 Technické a prevádzkové údaje
- IP adresa, typ zariadenia, operačný systém a verzia prehliadača,
- logy API požiadaviek (endpoint, stavový kód, trvanie),
- chybové hlásenia a diagnostické dáta (Sentry),
- audit logy administratívnych akcií.
3.9 Produktové a analytické údaje
- anonymizované udalosti o používaní produktu (PostHog, iba so súhlasom),
- nahrávky relácií pri chybe (Sentry Session Replay – texty a médiá sú maskované),
- údaje z marketingových meracích nástrojov (Google Analytics, Google Ads, Meta Pixel) – iba so súhlasom.
Cielene nespracúvame osobitné kategórie osobných údajov (čl. 9 GDPR) ako zdravotné údaje, politické názory, biometrické údaje a pod. Ak nám ich sami vložíte do dokumentu alebo správy, odporúčame sa tomu vyhnúť.
4. Účely spracúvania a právne základy
| Účel spracúvania | Právny základ (čl. 6 GDPR) | Kategória údajov |
|---|---|---|
| Vytvorenie a správa používateľského účtu, poskytovanie služby | Plnenie zmluvy – čl. 6 ods. 1 písm. b) | 3.1, 3.2, 3.4 |
| Vystavovanie faktúr, ukladanie dokumentov, integrácie s bankami a registrami | Plnenie zmluvy – čl. 6 ods. 1 písm. b) | 3.3, 3.5, 3.6, 3.7 |
| Archivácia účtovných dokladov po dobu 10 rokov | Zákonná povinnosť – čl. 6 ods. 1 písm. c); zákon č. 431/2002 Z. z. o účtovníctve, zákon č. 222/2004 Z. z. o DPH | 3.3, 3.5, 3.6 |
| Vedenie daňových a účtovných záznamov prevádzkovateľa | Zákonná povinnosť – čl. 6 ods. 1 písm. c) | 3.1, 3.3, 3.5 |
| Bezpečnosť účtu, ochrana pred zneužitím, rate-limiting, Cloudflare Turnstile, kontrola hesiel voči databáze úniku | Oprávnený záujem – čl. 6 ods. 1 písm. f); záujem na ochrane používateľov a infraštruktúry | 3.4, 3.8 |
| Monitoring chýb a výkonu, odhaľovanie a odstraňovanie závad | Oprávnený záujem – čl. 6 ods. 1 písm. f) | 3.8 |
| Zákaznícka podpora a odpovedanie na otázky | Oprávnený záujem / plnenie zmluvy – čl. 6 ods. 1 písm. b), f) | 3.1, 3.2, 3.6 |
| Zasielanie transakčných e-mailov (fakturácia, upozornenia, resetovanie hesla) | Plnenie zmluvy / oprávnený záujem – čl. 6 ods. 1 písm. b), f) | 3.1, 3.2 |
| Analytika používania služby, merania návštevnosti | Súhlas – čl. 6 ods. 1 písm. a) | 3.9 |
| Marketing, remarketing, meranie kampaní (Google Ads, Meta Pixel) | Súhlas – čl. 6 ods. 1 písm. a) | 3.9 |
| Zasielanie obchodných oznámení (newsletter) | Súhlas – čl. 6 ods. 1 písm. a); § 62 zákona č. 351/2011 Z. z. | 3.1, 3.2 |
| Uplatňovanie a obhajoba právnych nárokov | Oprávnený záujem – čl. 6 ods. 1 písm. f) | 3.1–3.8 |
5. Príjemcovia a sprostredkovatelia
Pri poskytovaní služby využívame dôveryhodných sprostredkovateľov (čl. 28 GDPR). S každým máme uzatvorenú zmluvu o spracúvaní osobných údajov. Nižšie uvádzame ich úplný zoznam, účel a krajinu spracúvania.
| Služba / sprostredkovateľ | Účel | Krajina | Odkaz |
|---|---|---|---|
| Stripe Payments Europe, Ltd. | Spracovanie platieb a predplatného | Írsko / USA | stripe.com/privacy |
| Supabase, Inc. | Autentifikácia, správa relácií, databáza | EÚ | supabase.com/privacy |
| Neon, Inc. | Hostovanie primárnej PostgreSQL databázy (AWS eu-central-1 Frankfurt) | EÚ | neon.tech/privacy-policy |
| Cloudflare, Inc. | R2 objektové úložisko (súbory, zálohy, exporty), Turnstile (ochrana pred botmi), CDN | EÚ / globálne | cloudflare.com/privacypolicy |
| Resend, Inc. | Odosielanie transakčných a newsletter e-mailov | USA | resend.com/legal/privacy-policy |
| PostHog, Inc. | Produktová analytika (EÚ endpoint eu.i.posthog.com), iba so súhlasom | EÚ | posthog.com/privacy |
| Functional Software, Inc. (Sentry) | Monitoring chýb, performance tracing, session replay (maskovaný) | USA | sentry.io/privacy |
| Google Ireland, Ltd. | Google Analytics 4, Google Ads (iba so súhlasom); Vertex AI / Gemini (AI kategorizácia, OCR) v regióne europe-west1 | Írsko / EÚ | policies.google.com/privacy |
| Meta Platforms Ireland Ltd. | Meta Pixel – meranie marketingových kampaní, iba so súhlasom | Írsko | facebook.com/privacy/policy |
| OpenAI, L.L.C. | Generovanie vektorových reprezentácií textu (embeddings) pre fulltextové vyhľadávanie | USA | openai.com/policies/privacy-policy |
| Finstat, s.r.o. | Vyhľadávanie a overovanie slovenských firiem podľa IČO | Slovensko | finstat.sk/ochrana-osobnych-udajov |
| Ministerstvo financií ČR – ARES | Vyhľadávanie českých firiem podľa IČO | Česko | ares.gov.cz |
| ion-AP / Peppol Authority | Odosielanie a prijímanie e-faktúr cez sieť Peppol | EÚ | ionite.com/privacy |
| Slovenské banky (napr. Tatra banka, a.s.) | Pripojenie bankového účtu cez Premium API (s vaším súhlasom v banke) | Slovensko / EÚ | zverejňované príslušnou bankou |
| Vercel, Inc. | Hosting webstránky a dashboardu, Vercel Speed Insights (anonymizované) | USA / EÚ (edge) | vercel.com/legal/privacy-policy |
| Railway Corp. | Hosting API backendu | USA / EÚ (regióny) | railway.com/legal/privacy |
| Finančná správa SR – eKasa | Overovanie bločkov registrovaných v systéme eKasa | Slovensko | financnasprava.sk |
V odôvodnených prípadoch sme povinní poskytnúť údaje orgánom verejnej moci (finančná správa, polícia, súdy) na základe platných právnych predpisov.
6. Prenos do tretích krajín
Primárne spracúvame údaje v rámci Európskeho hospodárskeho priestoru. Pri niektorých sprostredkovateľoch (Stripe, Sentry, Cloudflare, Google, Meta, OpenAI, Resend, Vercel) môže dochádzať k prenosu údajov do Spojených štátov amerických. Pri takomto prenose uplatňujeme jeden alebo viac z týchto mechanizmov:
- certifikácia sprostredkovateľa v programe EU – US Data Privacy Framework (rozhodnutie Komisie 2023/1795),
- štandardné zmluvné doložky podľa rozhodnutia Komisie 2021/914,
- dodatočné technické a organizačné opatrenia (šifrovanie v pokoji aj v prenose, pseudonymizácia, kontrola prístupu).
Zoznam aktuálnych certifikácií si môžete overiť na dataprivacyframework.gov.
7. Doba uchovávania
| Kategória údajov | Doba uchovávania | Právny základ / odôvodnenie |
|---|---|---|
| Údaje o účte (meno, e-mail, profil) | Počas trvania zmluvy + 30 dní po podaní žiadosti o zrušenie účtu | Plnenie zmluvy; lehota na zrušenie zrušenia |
| Faktúry, bločky a ostatné účtovné doklady | 10 rokov od konca účtovného obdobia | § 35 zákona č. 431/2002 Z. z.; § 76 zákona č. 222/2004 Z. z. o DPH |
| Daňové a archívne dokumenty | 10 rokov | Zákonná povinnosť |
| Logy API požiadaviek | 90 dní (prevádzkové logy); následne agregované | Oprávnený záujem – bezpečnosť |
| Audit logy (administratívne akcie) | Počas trvania účtu + 10 rokov u účtovných akcií | Oprávnený záujem a zákonná povinnosť |
| Záznamy o reláciách (user sessions) | 14 dní od poslednej aktivity | Oprávnený záujem – bezpečnosť |
| Súbory v „koši" objektového úložiska | 30 dní; potom trvalo zmazané | Umožnenie obnovy omylom zmazaných súborov |
| Vygenerované exportné archívy (GDPR export) | 24 hodín od vygenerovania | Bezpečnosť – minimalizácia dát |
| Zašifrované zálohy databázy | 30 dní rolling window | Oprávnený záujem – obnova po havárii |
| In-app notifikácie | 14 dní | Technická nevyhnutnosť |
| Súhlas s cookies (lokálne úložisko prehliadača) | 180 dní; potom opätovné vyžiadanie súhlasu | Preukázateľnosť súhlasu |
| Údaje z marketingových nástrojov | Podľa nastavenia konkrétneho nástroja (zvyčajne 14 – 26 mesiacov) | Súhlas – do jeho odvolania |
| Údaje uchovávané pre uplatnenie právnych nárokov | Do uplynutia premlčacích lehôt (max. 4 roky po skončení zmluvy) | Oprávnený záujem |
Po uplynutí príslušnej doby sú údaje trvalo zmazané alebo anonymizované tak, že ich nemožno spätne priradiť ku konkrétnej osobe.
8. Vaše práva
Ako dotknutá osoba máte v zmysle GDPR (čl. 15 – 22) a zákona 18/2018 Z. z. nasledujúce práva:
- Právo na prístup k spracúvaným údajom a na ich kópiu – môžete si kedykoľvek vygenerovať kompletný export svojho účtu (CSV, PDF, ISDOC, ZIP).
- Právo na opravu nesprávnych alebo neúplných údajov – priamo v nastaveniach účtu alebo e-mailom.
- Právo na vymazanie („právo byť zabudnutý") – zrušenie účtu si spustíte v nastaveniach; spustí sa 30-dňová odkladná lehota, počas ktorej môžete zrušenie vrátiť. Po jej uplynutí sú vaše osobné údaje zmazané, s výnimkou údajov, ktoré sme povinní uchovávať zo zákona (účtovné doklady 10 rokov).
- Právo na obmedzenie spracúvania – môžete požiadať o dočasné pozastavenie spracúvania, napr. počas riešenia sťažnosti.
- Právo na prenosnosť údajov – údaje poskytnete v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte (CSV, JSON, ISDOC).
- Právo namietať spracúvanie založené na oprávnenom záujme (čl. 21 GDPR), vrátane priameho marketingu.
- Právo odvolať súhlas – súhlas s analytickými či marketingovými cookies a newsletterom môžete kedykoľvek odvolať bez toho, aby to ovplyvnilo zákonnosť predošlého spracúvania.
- Právo nebyť predmetom automatizovaného rozhodovania s právnymi účinkami (čl. 22 GDPR) – pozri bod 10.
- Právo podať sťažnosť dozornému orgánu:
- Úrad na ochranu osobných údajov Slovenskej republiky, Hraničná 4826/12, 820 07 Bratislava 27,
- tel. +421 2 3231 3214, e-mail statny.dozor@pdp.gov.sk,
- web dataprotection.gov.sk.
Žiadosti vybavujeme bezplatne a bez zbytočného odkladu, najneskôr do 30 dní od prijatia. Pri zložitých alebo opakovaných žiadostiach si vyhradzujeme právo lehotu predĺžiť o ďalšie 60 dní, o čom vás informujeme. Pri zjavne neopodstatnených alebo opakovaných žiadostiach môžeme účtovať primeraný administratívny poplatok alebo žiadosť odmietnuť.
Pred vybavením žiadosti vás môžeme požiadať o overenie totožnosti, aby nedošlo k poskytnutiu údajov nesprávnej osobe.
9. Cookies a podobné technológie
Používame tri kategórie cookies a úložísk v prehliadači:
9.1 Nevyhnutné (essential)
Bez týchto cookies nemožno službu prevádzkovať. Spracúvame ich na právnom základe oprávnený záujem – bez nich by ste sa neprihlásili ani neodoslali formulár. Nevyžadujú súhlas.
9.2 Analytické
Pomáhajú pochopiť, ako návštevníci stránku používajú, kde sa zasekávajú a ktoré funkcie majú najväčšiu hodnotu. Aktivujeme ich len po vašom výslovnom súhlase.
9.3 Marketingové
Umožňujú meranie kampaní a zobrazovanie relevantnej reklamy. Aktivujeme ich len po vašom výslovnom súhlase.
9.4 Prehľad konkrétnych cookies a úložísk
| Názov | Poskytovateľ | Účel | Platnosť | Kategória |
|---|---|---|---|---|
sb-*-auth-token, sb-*-auth-token.0, sb-*-auth-token.1 |
Supabase | Prihlásenie a obnovovací token relácie | 60 dní (rolling) | Nevyhnutné |
efaktura-cookie-consent (localStorage) |
eFaktúra | Uloženie vašej voľby v cookie banneri | 180 dní | Nevyhnutné |
cf_clearance, __cf_bm |
Cloudflare | Ochrana pred botmi (Turnstile, Bot Management) | 30 min – 1 rok | Nevyhnutné |
ph_*, ph_*_posthog (localStorage) |
PostHog | Produktová analytika, identifikácia vracajúceho sa používateľa | 365 dní | Analytické |
_ga, _ga_* |
Google Analytics 4 | Rozlíšenie používateľov a meranie návštevnosti | 2 roky | Analytické |
_gid |
Google Analytics 4 | Rozlíšenie používateľov | 24 hodín | Analytické |
_gcl_au, _gcl_aw, _gcl_gb |
Google Ads / Conversion Linker | Priraďovanie konverzií ku kampaniam | 90 dní | Marketingové |
_fbp, _fbc |
Meta Pixel | Meranie kampaní a remarketing | 90 dní | Marketingové |
| Sentry Session Replay ID (sessionStorage) | Sentry | Nahrávanie relácie pri chybe, texty a médiá maskované | Relácia | Nevyhnutné |
Implementujeme Google Consent Mode v2 – všetky marketingové a analytické tagy majú východiskový stav „denied" a aktivujú sa až po vašom súhlase. Rovnako PostHog štartuje v režime opt-out a deduje sa až po udelení súhlasu.
Svoj súhlas môžete kedykoľvek zmeniť prostredníctvom odkazu „Nastavenia cookies" v pätičke webu.
10. Automatizované rozhodovanie a profilovanie
V rámci služby prebiehajú tieto automatizované spracúvania:
- OCR extrakcia textu z bločkov a faktúr (Google Cloud Document AI / Gemini Vision, Tesseract ako fallback),
- AI kategorizácia dokumentov a transakcií (Google Vertex AI / Gemini),
- Fulltextové vyhľadávanie nad dokumentmi s vektorovými embeddingmi (OpenAI),
- Automatické párovanie platieb s faktúrami podľa variabilného symbolu a IBAN-u,
- Ochranné mechanizmy – detekcia botov (Turnstile), rate-limiting, kontrola hesiel proti databáze známych únikov (Have I Been Pwned, k-anonymita – odosielame iba 5-znakový SHA-1 prefix).
Žiadne z týchto spracúvaní nemá právne účinky pre dotknutú osobu a nepredstavuje automatizované rozhodovanie v zmysle čl. 22 GDPR. Výsledky AI slúžia iba ako odporúčania – finálne rozhodnutie vždy urobí používateľ.
Nerobíme cielený profiling návštevníkov na základe správania ani scoring fyzických osôb.
11. Bezpečnostné opatrenia
Prijímame primerané technické a organizačné opatrenia na zabezpečenie ochrany údajov (čl. 32 GDPR):
- Šifrovanie v prenose – TLS 1.2+ pre všetku komunikáciu, HSTS s preload zoznamom pre produkčné domény,
- Šifrovanie v pokoji – databáza Neon (AES-256), objektové úložisko Cloudflare R2, šifrované bankové prístupové tokeny,
- Hashovanie hesiel – algoritmus bcrypt/scrypt spravovaný Supabase Auth; heslá v otvorenej forme nikdy nevidíme,
- Voliteľná viacfaktorová autentifikácia (TOTP),
- Kontrola hesiel voči databáze Have I Been Pwned pri registrácii a zmene hesla (odosielame iba 5-znakový SHA-1 prefix, nikdy nie celé heslo),
- Cloudflare Turnstile na kritických formulároch (registrácia, reset hesla) – fail-closed v produkcii,
- Rate-limiting kombinovaný podľa IP a hashu e-mailu (SHA-256) s Redis backendom,
- Content Security Policy,
X-Robots-Tag, secure-headers middleware, - Pripravenosť proti enumerácii – generické odpovede a padded timing pri autentifikačných flow,
- Redakcia citlivých hlavičiek (Authorization, Set-Cookie) v logoch,
- Maskovanie obsahu v Sentry Session Replay (
maskAllText,blockAllMedia), - Princíp najmenších privilégií pri prístupe zamestnancov k produkčným dátam,
- Audit logy administratívnych akcií,
- Pravidelné bezpečnostné audity a penetration testing,
- Plán reakcie na incident – pri porušení ochrany osobných údajov informujeme dozorný úrad do 72 hodín a v prípade vysokého rizika aj dotknuté osoby.
12. Deti a maloletí
Služba je určená výhradne pre podnikateľov a právnické osoby. Nie je určená osobám mladším ako 16 rokov. Ak zistíme, že sme získali osobné údaje dieťaťa bez súhlasu nositeľa rodičovskej zodpovednosti, bez zbytočného odkladu ich zmažeme.
13. Newsletter a marketingová komunikácia
Obchodné oznámenia (novinky o produkte, tipy, školenia) zasielame iba na základe vášho výslovného súhlasu. Súhlas môžete kedykoľvek odvolať:
- kliknutím na odkaz „Odhlásiť" v päte každého marketingového e-mailu,
- v nastaveniach vášho účtu v sekcii „Notifikácie",
- zaslaním žiadosti na info@efaktura.sk.
Existujúcim zákazníkom môžeme podľa § 62 ods. 3 zákona č. 351/2011 Z. z. zasielať informácie o podobných produktoch aj bez súhlasu; vždy je však jednoklikové odhlásenie priamo v e-maile.
Transakčné e-maily (fakturácia, bezpečnostné upozornenia, zmeny služby) nie sú marketingovou komunikáciou a zasielame ich na základe plnenia zmluvy a oprávneného záujmu.
14. Zmeny zásad
Tieto zásady priebežne aktualizujeme, aby odrážali zmeny v produkte, zákonoch alebo zozname sprostredkovateľov. O každej podstatnej zmene vás upozorníme:
- bannerom v aplikácii po prihlásení,
- e-mailom aspoň 14 dní pred účinnosťou zmeny, ak sa zmena dotýka vašich práv alebo rozsahu spracúvania.
Aktuálne znenie vždy nájdete na adrese efaktura.sk/privacy. Predchádzajúce verzie si môžete vyžiadať na info@efaktura.sk.
15. Účinnosť
Tento dokument je platný a účinný od dátumu poslednej aktualizácie uvedeného na začiatku stránky. Správny jazyk výkladu je slovenčina; prípadné preklady sú informatívne.
V prípade akýchkoľvek otázok týkajúcich sa ochrany osobných údajov nás kontaktujte na info@efaktura.sk.