Zásady ochrany osobných údajov

Tento dokument opisuje, ako spoločnosť eFaktura s.r.o. získava, používa, uchováva a chráni osobné údaje používateľov služieb eFaktúra (ďalej tiež „služba" alebo „platforma"). Zásady vychádzajú z Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 (GDPR) a zo zákona č. 18/2018 Z. z. o ochrane osobných údajov.

1. Úvod a rozsah

Tieto zásady sa vzťahujú na spracúvanie osobných údajov v rámci:

• marketingovej webstránky efaktura.sk vrátane všetkých jej podstránok,

• webovej aplikácie na vystavovanie a správu faktúr app.efaktura.sk,

• modulu eKancelária ekancelaria.efaktura.sk,

• mobilnej aplikácie eFaktúra pre iOS a Android,

• verejných API rozhraní služby,

• e-mailovej komunikácie a zákazníckej podpory.

Používaním ktorejkoľvek časti služby potvrdzujete, že ste si tieto zásady prečítali a porozumeli im.

2. Prevádzkovateľ a kontakt

Prevádzkovateľom v zmysle čl. 4 ods. 7 GDPR je:

• Obchodné meno: eFaktura s. r. o.

• Sídlo: Klčové 94/19, 915 01 Nové Mesto nad Váhom, Slovenská republika

• IČO: 57 465 738

• DIČ: 2122749607

• IČ DPH: SK2122749607

• E-mail: info@efaktura.sk

• Telefón: +421 915 666 607 (Po – Pia, 8:00 – 17:00)

Prevádzkovateľ nie je povinný menovať zodpovednú osobu (Data Protection Officer) podľa čl. 37 GDPR. Všetky žiadosti týkajúce sa ochrany osobných údajov posielajte na info@efaktura.sk s predmetom správy „GDPR".

3. Aké údaje spracúvame

Rozsah spracúvaných údajov závisí od toho, ktoré funkcie služby používate. Nižšie uvádzame úplný prehľad kategórií.

3.1 Identifikačné a účtové údaje

• meno a priezvisko,

• e-mailová adresa,

• profilová fotografia (ak ju nahráte),

• preferovaný jazyk a časové pásmo,

• rola v rámci organizácie, stav účtu, čas registrácie a poslednej aktivity.

3.2 Kontaktné údaje

• telefónne číslo,

• korešpondenčná a fakturačná adresa.

3.3 Firemné a účtovné údaje

• obchodné meno, adresa sídla a prevádzkarne,

• IČO, DIČ, IČ DPH, registračné údaje z obchodného registra,

• IBAN, BIC/SWIFT a názov banky pre vystavené faktúry,

• kontakty na odberateľov a dodávateľov, ktorých zadáte do systému.

3.4 Autentifikačné a bezpečnostné údaje

• šifrovaný hash hesla (spravovaný autentifikačnou službou Supabase),

• faktory viacfaktorovej autentifikácie – TOTP tajomstvo a záložné kódy,

• identifikátory relácií, časy prihlásenia, IP adresa a hlavička User-Agent prehliadača,

• bezpečnostné tokeny pre obnovu hesla a e-mailové verifikácie,

• tokeny zariadení pre push notifikácie (iOS/Android).

3.5 Fakturačné a platobné údaje

• identifikátory Stripe (customer ID, subscription ID, payment method ID); celé číslo platobnej karty neuchovávame – spracúva ho priamo Stripe ako tzv. PCI-DSS Level 1 poskytovateľ,

• história platieb, predplatného a kreditov,

• fakturačné doklady za služby eFaktúry.

3.6 Obsah dokumentov

• vystavené a prijaté faktúry, cenové ponuky, objednávky, dodacie listy,

• bločky a účtenky vrátane ich OCR extraktov,

• prílohy k dokumentom (PDF, obrázky),

• poznámky, komentáre a správy v AI asistentovi.

Dokumenty môžu obsahovať osobné údaje tretích osôb (vašich klientov, dodávateľov, zamestnancov). Vo vzťahu k týmto údajom ste vy prevádzkovateľom a my sprostredkovateľom v zmysle čl. 28 GDPR. Podmienky tohto vzťahu sú súčasťou Všeobecných obchodných podmienok (Spracovateľská zmluva / DPA).

3.7 Bankové dáta

• šifrované prístupové tokeny pre pripojenia k bankám (Tatra banka Premium API a ďalšie),

• zoznam transakcií, IBAN-y, zostatky, metadáta transakcií v rozsahu potrebnom na spárovanie s faktúrami.

3.8 Technické a prevádzkové údaje

• IP adresa, typ zariadenia, operačný systém a verzia prehliadača,

• logy API požiadaviek (endpoint, stavový kód, trvanie),

• chybové hlásenia a diagnostické dáta (Sentry),

• audit logy administratívnych akcií.

3.9 Produktové a analytické údaje

• anonymizované udalosti o používaní produktu (PostHog, iba so súhlasom),

• nahrávky relácií pri chybe (Sentry Session Replay – texty a médiá sú maskované),

• údaje z marketingových meracích nástrojov (Google Analytics, Google Ads, Meta Pixel) – iba so súhlasom.

Cielene nespracúvame osobitné kategórie osobných údajov (čl. 9 GDPR) ako zdravotné údaje, politické názory, biometrické údaje a pod. Ak nám ich sami vložíte do dokumentu alebo správy, odporúčame sa tomu vyhnúť.

4. Účely spracúvania a právne základy

Účel spracúvania Právny základ (čl. 6 GDPR) Kategória údajov Vytvorenie a správa používateľského účtu, poskytovanie služby Plnenie zmluvy – čl. 6 ods. 1 písm. b) 3.1, 3.2, 3.4 Vystavovanie faktúr, ukladanie dokumentov, integrácie s bankami a registrami Plnenie zmluvy – čl. 6 ods. 1 písm. b) 3.3, 3.5, 3.6, 3.7 Archivácia účtovných dokladov po dobu 10 rokov Zákonná povinnosť – čl. 6 ods. 1 písm. c); zákon č. 431/2002 Z. z. o účtovníctve, zákon č. 222/2004 Z. z. o DPH 3.3, 3.5, 3.6 Vedenie daňových a účtovných záznamov prevádzkovateľa Zákonná povinnosť – čl. 6 ods. 1 písm. c) 3.1, 3.3, 3.5 Bezpečnosť účtu, ochrana pred zneužitím, rate-limiting, Cloudflare Turnstile, kontrola hesiel voči databáze úniku Oprávnený záujem – čl. 6 ods. 1 písm. f); záujem na ochrane používateľov a infraštruktúry 3.4, 3.8 Monitoring chýb a výkonu, odhaľovanie a odstraňovanie závad Oprávnený záujem – čl. 6 ods. 1 písm. f) 3.8 Zákaznícka podpora a odpovedanie na otázky Oprávnený záujem / plnenie zmluvy – čl. 6 ods. 1 písm. b), f) 3.1, 3.2, 3.6 Zasielanie transakčných e-mailov (fakturácia, upozornenia, resetovanie hesla) Plnenie zmluvy / oprávnený záujem – čl. 6 ods. 1 písm. b), f) 3.1, 3.2 Analytika používania služby, merania návštevnosti Súhlas – čl. 6 ods. 1 písm. a) 3.9 Marketing, remarketing, meranie kampaní (Google Ads, Meta Pixel) Súhlas – čl. 6 ods. 1 písm. a) 3.9 Zasielanie obchodných oznámení (newsletter) Súhlas – čl. 6 ods. 1 písm. a); § 62 zákona č. 351/2011 Z. z. 3.1, 3.2 Uplatňovanie a obhajoba právnych nárokov Oprávnený záujem – čl. 6 ods. 1 písm. f) 3.1–3.8

5. Príjemcovia a sprostredkovatelia

Pri poskytovaní služby využívame dôveryhodných sprostredkovateľov (čl. 28 GDPR). S každým máme uzatvorenú zmluvu o spracúvaní osobných údajov. Nižšie uvádzame ich úplný zoznam, účel a krajinu spracúvania.

Služba / sprostredkovateľ Účel Krajina Odkaz Stripe Payments Europe, Ltd. Spracovanie platieb a predplatného Írsko / USA stripe.com/privacy Supabase, Inc. Autentifikácia, správa relácií, databáza EÚ supabase.com/privacy Neon, Inc. Hostovanie primárnej PostgreSQL databázy (AWS eu-central-1 Frankfurt) EÚ neon.tech/privacy-policy Cloudflare, Inc. R2 objektové úložisko (súbory, zálohy, exporty), Turnstile (ochrana pred botmi), CDN EÚ / globálne cloudflare.com/privacypolicy Resend, Inc. Odosielanie transakčných a newsletter e-mailov USA resend.com/legal/privacy-policy PostHog, Inc. Produktová analytika (EÚ endpoint eu.i.posthog.com), iba so súhlasom EÚ posthog.com/privacy Functional Software, Inc. (Sentry) Monitoring chýb, performance tracing, session replay (maskovaný) USA sentry.io/privacy Google Ireland, Ltd. Google Analytics 4, Google Ads (iba so súhlasom); Vertex AI / Gemini (AI kategorizácia, OCR) v regióne europe-west1 Írsko / EÚ policies.google.com/privacy Meta Platforms Ireland Ltd. Meta Pixel – meranie marketingových kampaní, iba so súhlasom Írsko facebook.com/privacy/policy OpenAI, L.L.C. Generovanie vektorových reprezentácií textu (embeddings) pre fulltextové vyhľadávanie USA openai.com/policies/privacy-policy Finstat, s.r.o. Vyhľadávanie a overovanie slovenských firiem podľa IČO Slovensko finstat.sk/ochrana-osobnych-udajov Ministerstvo financií ČR – ARES Vyhľadávanie českých firiem podľa IČO Česko ares.gov.cz Slovenské banky (napr. Tatra banka, a.s.) Pripojenie bankového účtu cez Premium API (s vaším súhlasom v banke) Slovensko / EÚ zverejňované príslušnou bankou Vercel, Inc. Hosting webstránky a dashboardu, Vercel Speed Insights (anonymizované) USA / EÚ (edge) vercel.com/legal/privacy-policy Railway Corp. Hosting API backendu USA / EÚ (regióny) railway.com/legal/privacy Finančná správa SR – eKasa Overovanie bločkov registrovaných v systéme eKasa Slovensko financnasprava.sk

V odôvodnených prípadoch sme povinní poskytnúť údaje orgánom verejnej moci (finančná správa, polícia, súdy) na základe platných právnych predpisov.

6. Prenos do tretích krajín

Primárne spracúvame údaje v rámci Európskeho hospodárskeho priestoru. Pri niektorých sprostredkovateľoch (Stripe, Sentry, Cloudflare, Google, Meta, OpenAI, Resend, Vercel) môže dochádzať k prenosu údajov do Spojených štátov amerických. Pri takomto prenose uplatňujeme jeden alebo viac z týchto mechanizmov:

• certifikácia sprostredkovateľa v programe EU – US Data Privacy Framework (rozhodnutie Komisie 2023/1795),

• štandardné zmluvné doložky podľa rozhodnutia Komisie 2021/914,

• dodatočné technické a organizačné opatrenia (šifrovanie v pokoji aj v prenose, pseudonymizácia, kontrola prístupu).

Zoznam aktuálnych certifikácií si môžete overiť na dataprivacyframework.gov.

7. Doba uchovávania

Kategória údajov Doba uchovávania Právny základ / odôvodnenie Údaje o účte (meno, e-mail, profil) Počas trvania zmluvy + 30 dní po podaní žiadosti o zrušenie účtu Plnenie zmluvy; lehota na zrušenie zrušenia Faktúry, bločky a ostatné účtovné doklady 10 rokov od konca účtovného obdobia § 35 zákona č. 431/2002 Z. z.; § 76 zákona č. 222/2004 Z. z. o DPH Daňové a archívne dokumenty 10 rokov Zákonná povinnosť Logy API požiadaviek 90 dní (prevádzkové logy); následne agregované Oprávnený záujem – bezpečnosť Audit logy (administratívne akcie) Počas trvania účtu + 10 rokov u účtovných akcií Oprávnený záujem a zákonná povinnosť Záznamy o reláciách (user sessions) 14 dní od poslednej aktivity Oprávnený záujem – bezpečnosť Súbory v „koši" objektového úložiska 30 dní; potom trvalo zmazané Umožnenie obnovy omylom zmazaných súborov Vygenerované exportné archívy (GDPR export) 24 hodín od vygenerovania Bezpečnosť – minimalizácia dát Zašifrované zálohy databázy 30 dní rolling window Oprávnený záujem – obnova po havárii In-app notifikácie 14 dní Technická nevyhnutnosť Súhlas s cookies (lokálne úložisko prehliadača) 180 dní; potom opätovné vyžiadanie súhlasu Preukázateľnosť súhlasu Údaje z marketingových nástrojov Podľa nastavenia konkrétneho nástroja (zvyčajne 14 – 26 mesiacov) Súhlas – do jeho odvolania Údaje uchovávané pre uplatnenie právnych nárokov Do uplynutia premlčacích lehôt (max. 4 roky po skončení zmluvy) Oprávnený záujem

Po uplynutí príslušnej doby sú údaje trvalo zmazané alebo anonymizované tak, že ich nemožno spätne priradiť ku konkrétnej osobe.

8. Vaše práva

Ako dotknutá osoba máte v zmysle GDPR (čl. 15 – 22) a zákona 18/2018 Z. z. nasledujúce práva:

• Právo na prístup k spracúvaným údajom a na ich kópiu – môžete si kedykoľvek vygenerovať kompletný export svojho účtu (CSV, PDF, ISDOC, ZIP).

• Právo na opravu nesprávnych alebo neúplných údajov – priamo v nastaveniach účtu alebo e-mailom.

• Právo na vymazanie („právo byť zabudnutý") – zrušenie účtu si spustíte v nastaveniach; spustí sa 30-dňová odkladná lehota, počas ktorej môžete zrušenie vrátiť. Po jej uplynutí sú vaše osobné údaje zmazané, s výnimkou údajov, ktoré sme povinní uchovávať zo zákona (účtovné doklady 10 rokov).

• Právo na obmedzenie spracúvania – môžete požiadať o dočasné pozastavenie spracúvania, napr. počas riešenia sťažnosti.

• Právo na prenosnosť údajov – údaje poskytnete v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte (CSV, JSON, ISDOC).

• Právo namietať spracúvanie založené na oprávnenom záujme (čl. 21 GDPR), vrátane priameho marketingu.

• Právo odvolať súhlas – súhlas s analytickými či marketingovými cookies a newsletterom môžete kedykoľvek odvolať bez toho, aby to ovplyvnilo zákonnosť predošlého spracúvania.

• Právo nebyť predmetom automatizovaného rozhodovania s právnymi účinkami (čl. 22 GDPR) – pozri bod 10.

• Právo podať sťažnosť dozornému orgánu:

  • Úrad na ochranu osobných údajov Slovenskej republiky, Hraničná 4826/12, 820 07 Bratislava 27,

  • tel. +421 2 3231 3214, e-mail statny.dozor@pdp.gov.sk,

  • web dataprotection.gov.sk.

Žiadosti vybavujeme bezplatne a bez zbytočného odkladu, najneskôr do 30 dní od prijatia. Pri zložitých alebo opakovaných žiadostiach si vyhradzujeme právo lehotu predĺžiť o ďalšie 60 dní, o čom vás informujeme. Pri zjavne neopodstatnených alebo opakovaných žiadostiach môžeme účtovať primeraný administratívny poplatok alebo žiadosť odmietnuť.

Pred vybavením žiadosti vás môžeme požiadať o overenie totožnosti, aby nedošlo k poskytnutiu údajov nesprávnej osobe.

9. Cookies a podobné technológie

Používame tri kategórie cookies a úložísk v prehliadači:

9.1 Nevyhnutné (essential)

Bez týchto cookies nemožno službu prevádzkovať. Spracúvame ich na právnom základe oprávnený záujem – bez nich by ste sa neprihlásili ani neodoslali formulár. Nevyžadujú súhlas.

9.2 Analytické

Pomáhajú pochopiť, ako návštevníci stránku používajú, kde sa zasekávajú a ktoré funkcie majú najväčšiu hodnotu. Aktivujeme ich len po vašom výslovnom súhlase.

9.3 Marketingové

Umožňujú meranie kampaní a zobrazovanie relevantnej reklamy. Aktivujeme ich len po vašom výslovnom súhlase.

9.4 Prehľad konkrétnych cookies a úložísk

Názov Poskytovateľ Účel Platnosť Kategória sb-*-auth-token, sb-*-auth-token.0, sb-*-auth-token.1 Supabase Prihlásenie a obnovovací token relácie 60 dní (rolling) Nevyhnutné efaktura-cookie-consent (localStorage) eFaktúra Uloženie vašej voľby v cookie banneri 180 dní Nevyhnutné cf_clearance, __cf_bm Cloudflare Ochrana pred botmi (Turnstile, Bot Management) 30 min – 1 rok Nevyhnutné ph_*, ph_*_posthog (localStorage) PostHog Produktová analytika, identifikácia vracajúceho sa používateľa 365 dní Analytické _ga, _ga_* Google Analytics 4 Rozlíšenie používateľov a meranie návštevnosti 2 roky Analytické _gid Google Analytics 4 Rozlíšenie používateľov 24 hodín Analytické _gcl_au, _gcl_aw, _gcl_gb Google Ads / Conversion Linker Priraďovanie konverzií ku kampaniam 90 dní Marketingové _fbp, _fbc Meta Pixel Meranie kampaní a remarketing 90 dní Marketingové Sentry Session Replay ID (sessionStorage) Sentry Nahrávanie relácie pri chybe, texty a médiá maskované Relácia Nevyhnutné

Implementujeme Google Consent Mode v2 – všetky marketingové a analytické tagy majú východiskový stav „denied" a aktivujú sa až po vašom súhlase. Rovnako PostHog štartuje v režime opt-out a deduje sa až po udelení súhlasu.

Svoj súhlas môžete kedykoľvek zmeniť prostredníctvom odkazu „Nastavenia cookies" v pätičke webu.

10. Automatizované rozhodovanie a profilovanie

V rámci služby prebiehajú tieto automatizované spracúvania:

• OCR extrakcia textu z bločkov a faktúr (Google Cloud Document AI / Gemini Vision, Tesseract ako fallback),

• AI kategorizácia dokumentov a transakcií (Google Vertex AI / Gemini),

• Fulltextové vyhľadávanie nad dokumentmi s vektorovými embeddingmi (OpenAI),

• Automatické párovanie platieb s faktúrami podľa variabilného symbolu a IBAN-u,

• Ochranné mechanizmy – detekcia botov (Turnstile), rate-limiting, kontrola hesiel proti databáze známych únikov (Have I Been Pwned, k-anonymita – odosielame iba 5-znakový SHA-1 prefix).

Žiadne z týchto spracúvaní nemá právne účinky pre dotknutú osobu a nepredstavuje automatizované rozhodovanie v zmysle čl. 22 GDPR. Výsledky AI slúžia iba ako odporúčania – finálne rozhodnutie vždy urobí používateľ.

Nerobíme cielený profiling návštevníkov na základe správania ani scoring fyzických osôb.

11. Bezpečnostné opatrenia

Prijímame primerané technické a organizačné opatrenia na zabezpečenie ochrany údajov (čl. 32 GDPR):

• Šifrovanie v prenose – TLS 1.2+ pre všetku komunikáciu, HSTS s preload zoznamom pre produkčné domény,

• Šifrovanie v pokoji – databáza Neon (AES-256), objektové úložisko Cloudflare R2, šifrované bankové prístupové tokeny,

• Hashovanie hesiel – algoritmus bcrypt/scrypt spravovaný Supabase Auth; heslá v otvorenej forme nikdy nevidíme,

• Voliteľná viacfaktorová autentifikácia (TOTP),

• Kontrola hesiel voči databáze Have I Been Pwned pri registrácii a zmene hesla (odosielame iba 5-znakový SHA-1 prefix, nikdy nie celé heslo),

• Cloudflare Turnstile na kritických formulároch (registrácia, reset hesla) – fail-closed v produkcii,

• Rate-limiting kombinovaný podľa IP a hashu e-mailu (SHA-256) s Redis backendom,

• Content Security Policy, X-Robots-Tag, secure-headers middleware,

• Pripravenosť proti enumerácii – generické odpovede a padded timing pri autentifikačných flow,

• Redakcia citlivých hlavičiek (Authorization, Set-Cookie) v logoch,

• Maskovanie obsahu v Sentry Session Replay (maskAllText, blockAllMedia),

• Princíp najmenších privilégií pri prístupe zamestnancov k produkčným dátam,

• Audit logy administratívnych akcií,

• Pravidelné bezpečnostné audity a penetration testing,

• Plán reakcie na incident – pri porušení ochrany osobných údajov informujeme dozorný úrad do 72 hodín a v prípade vysokého rizika aj dotknuté osoby.

12. Deti a maloletí

Služba je určená výhradne pre podnikateľov a právnické osoby. Nie je určená osobám mladším ako 16 rokov. Ak zistíme, že sme získali osobné údaje dieťaťa bez súhlasu nositeľa rodičovskej zodpovednosti, bez zbytočného odkladu ich zmažeme.

13. Newsletter a marketingová komunikácia

Obchodné oznámenia (novinky o produkte, tipy, školenia) zasielame iba na základe vášho výslovného súhlasu. Súhlas môžete kedykoľvek odvolať:

• kliknutím na odkaz „Odhlásiť" v päte každého marketingového e-mailu,

• v nastaveniach vášho účtu v sekcii „Notifikácie",

• zaslaním žiadosti na info@efaktura.sk.

Existujúcim zákazníkom môžeme podľa § 62 ods. 3 zákona č. 351/2011 Z. z. zasielať informácie o podobných produktoch aj bez súhlasu; vždy je však jednoklikové odhlásenie priamo v e-maile.

Transakčné e-maily (fakturácia, bezpečnostné upozornenia, zmeny služby) nie sú marketingovou komunikáciou a zasielame ich na základe plnenia zmluvy a oprávneného záujmu.

14. Zmeny zásad

Tieto zásady priebežne aktualizujeme, aby odrážali zmeny v produkte, zákonoch alebo zozname sprostredkovateľov. O každej podstatnej zmene vás upozorníme:

• bannerom v aplikácii po prihlásení,

• e-mailom aspoň 14 dní pred účinnosťou zmeny, ak sa zmena dotýka vašich práv alebo rozsahu spracúvania.

Aktuálne znenie vždy nájdete na adrese efaktura.sk/privacy. Predchádzajúce verzie si môžete vyžiadať na info@efaktura.sk.

15. Účinnosť

Tento dokument je platný a účinný od dátumu poslednej aktualizácie uvedeného na začiatku stránky. Správny jazyk výkladu je slovenčina; prípadné preklady sú informatívne.

V prípade akýchkoľvek otázok týkajúcich sa ochrany osobných údajov nás kontaktujte na info@efaktura.sk.