Zásady ochrany osobných údajov

1. Prevádzkovateľ

Prevádzkovateľom spracovania osobných údajov v zmysle nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 (ďalej len “GDPR”) a zákona č. 18/2018 Z. z. o ochrane osobných údajov v rámci Služby MojeFaktury.sk je spoločnosť:

Prevádzkovateľ nemá ustanovenú zodpovednú osobu pre ochranu osobných údajov (DPO), keďže mu to zákon neukladá. Všetky otázky týkajúce sa ochrany osobných údajov môžete smerovať priamo na e-mail info@mojefaktury.sk.

Pri spracúvaní osobných údajov klientov Používateľa (napr. príjemcov faktúr, zákazníkov e-shopu) vystupuje NeoPixel s. r. o. ako sprostredkovateľ spracúvajúci údaje v mene Používateľa (prevádzkovateľa). Vzájomné podmienky sa riadia týmto dokumentom a Obchodnými podmienkami, ktoré predstavujú rámcovú zmluvu o spracúvaní osobných údajov v zmysle čl. 28 GDPR.

2. Kategórie spracúvaných údajov

Pri používaní Služby spracúvame nasledovné kategórie osobných a firemných údajov:

Registračné a účtové údaje

• meno a priezvisko Používateľa, e-mailová adresa, heslo v podobe zašifrovaného hashu, telefónne číslo (ak ho Používateľ zadá),
• jazyk rozhrania, časové pásmo, preferencie zobrazenia, podporné PIN pre overenie identity pri telefonickej podpore,
• identifikátor z OAuth poskytovateľa (Google, GitHub), ak sa Používateľ prihlasuje sociálnym prihlásením.

Firemné a fakturačné údaje Organizácií

• obchodné meno, právna forma, sídlo, IČO, DIČ, IČ DPH, zápis v obchodnom registri, webová stránka,
• čísla bankových účtov v tvare IBAN, konštantný a variabilný symbol pre platby,
• údaje osôb podpisujúcich faktúry (meno, pozícia) a vložené logo Organizácie.

Údaje o klientoch a obchodnom styku

• obchodné identifikačné údaje klientov Používateľa, ich adresy, kontaktné e-maily a telefóny, IČO/DIČ,
• obsah faktúr, cenových ponúk, dobropisov (popis položiek, ceny, sadzby DPH, dátumy splatnosti),
• história komunikácie s klientom - doručenie a otvorenie e-mailov, stav platby, reakcie na upomienky,
• v prípade WooCommerce integrácie: meno zákazníka, dodacia a fakturačná adresa, e-mail a obsah objednávky.

Bankové údaje (Open Banking / PSD2)

• IBAN pripojeného bankového účtu, názov účtu, mena, identifikátor banky,
• údaje o bankových transakciách - dátum, suma, protistrana (IBAN, názov), variabilný, konštantný a špecifický symbol, textový popis, referencie,
• autorizačné tokeny a identifikátor PSD2 súhlasu (consent ID), ktoré sú uložené výhradne v šifrovanej podobe (AES-256-GCM).

Dokumenty a náklady

• nahraté alebo e-mailom prijaté faktúry, bločky, zmluvy a iné doklady vrátane metadát (veľkosť, typ súboru, autor),
• údaje rozpoznané pomocou OCR (dodávateľ, dátum, suma, DPH, IBAN) - slúžia na zjednodušenie zadávania a sú uložené spolu s dokumentom,
• metadáta prichádzajúcich e-mailov spracúvaných cez inbound adresy (odosielateľ, predmet, čas doručenia, počet príloh) ukladané do systémového logu na účely dohľadateľnosti a ochrany proti spamu.

AI interakcie a OCR logy

• obsah požiadaviek na AI asistenta (vložený text, odpovede modelu, zvolené návrhy) je automaticky logovaný pre účely diagnostiky, auditu a kontroly kvality,
• metriky o používaní AI (typ promptu, počet vstupných a výstupných tokenov, odhadovaná cena, trvanie požiadavky, ID dokumentu pri OCR, status success/error) ukladané do interného logu využívaného na vyúčtovanie spotreby tretím stranám a na detekciu anomálií,
• tieto záznamy sú uchovávané v dobe podľa článku 7 a nie sú využívané na trénovanie AI modelov ani poskytované tretím stranám na marketingové účely.

E-mailové doručovanie a tracking

• pri odosielaní faktúr, upomienok, cenových ponúk a notifikácií zaznamenávame stav doručenia (delivered, bounced, spam, dropped), otvorenie e-mailu a prekliknutie odkazov z SendGrid spolu s IP adresou a user-agentom prijímateľa. Tieto údaje môžu obsahovať osobné údaje prijímateľa (klienta Používateľa) a slúžia Používateľovi na overenie, že jeho zákazník faktúru dostal a otvoril,
• Používateľ v postavení prevádzkovateľa je v zmysle GDPR povinný svojich klientov o tomto sledovaní informovať vo vlastnej zásade ochrany osobných údajov. Poskytovateľ vystupuje pri tomto spracúvaní ako sprostredkovateľ podľa čl. 28 GDPR,
• pre organizáciu tímu logujeme aj pozvánky členov (e-mail pozvanej osoby, pozývateľ, čas expirácie, akceptovanie).

Webhooky a integrácie

• záznamy o doručení odchádzajúcich webhookov - URL cieľa, HTTP status, telo odpovede (skrátené), timestamp, počet pokusov, HMAC podpis,
• logy synchronizácie bankových transakcií a objednávok z e-shopov (typ synchronizácie, počet importovaných/preskočených záznamov, chyby) slúžiace na diagnostiku a zákaznícku podporu,
• logy exportov pre účtovníkov (typ exportu, rozsah dátumov, počet záznamov) a logy importov zo SuperFaktúry, iDokladu, Flowii a CSV súborov.

Platobné údaje

• identifikátor zákazníka v Stripe, stav Predplatného, typ plánu, fakturačná adresa. Plné údaje o platobnej karte spracúva výhradne Stripe; Poskytovateľ k nim nemá prístup.

Technické a prevádzkové údaje

• IP adresa, typ prehliadača, operačný systém, zariadenie, rozlíšenie obrazovky, identifikátor relácie,
• časy a druh akcií v aplikácii potrebné pre bezpečnostné audity a diagnostiku chýb,
• logy API požiadaviek (vrátane identifikátorov API kľúčov, nie však ich hodnôt).

3. Účely spracovania

• Poskytovanie Služby - vystavovanie, správa a archivácia faktúr a dokumentov, fungovanie používateľského rozhrania a API.
• Plnenie zákonných povinností - uchovávanie účtovných a daňových dokladov, evidencia podľa predpisov o účtovníctve a DPH, spracovanie fakturácie Predplatného.
• Automatizované párovanie platieb - prepojenie bankových transakcií s faktúrami podľa variabilného symbolu, sumy a protistrany.
• Automatizácia fakturácie - opakujúce sa faktúry, automatické upomienky, prepojenie s e-shopmi.
• AI a OCR asistencia - rozpoznávanie údajov z dokumentov, návrhy položiek a textových formulácií na urýchlenie práce Používateľa. AI interakcie sú automaticky logované na účely diagnostiky, kontroly kvality výstupov a vyúčtovania spotreby tretím stranám.
• Doručovanie a sledovanie e-mailov - odosielanie faktúr, upomienok, cenových ponúk a notifikácií cez transakčnú bránu so záznamom stavu doručenia, otvorenia a prekliku. Tieto metriky slúžia Používateľovi ako dôkaz doručenia zákazníkovi.
• Doručovanie webhookov a synchronizácia tretích strán - prevádzka odchádzajúcich webhookov, synchronizácia transakcií s bankami a objednávok s e-shopmi, automatické opakované pokusy pri zlyhaní.
• Zasielanie systémových oznámení - bezpečnostné upozornenia, notifikácie o platbách, zmeny Služby, informácie o stave účtu.
• Zlepšovanie a bezpečnosť Služby - diagnostika chýb, ochrana pred zneužitím, detekcia anomálií, audit bezpečnostných incidentov. Na tieto účely sa využívajú automatizované systémové logy.
• Zákaznícka podpora - riešenie požiadaviek používateľov e-mailom, cez podporu v aplikácii a telefonicky s overením PIN.
• Marketing - výhradne na základe osobitného súhlasu (napr. newsletter), ktorý je možné kedykoľvek odvolať.

4. Právne základy spracovania

• Čl. 6 ods. 1 písm. b) GDPR - plnenie zmluvy: väčšina spracúvania prebieha z dôvodu poskytovania Služby, ktorú si Používateľ objednal.
• Čl. 6 ods. 1 písm. c) GDPR - zákonná povinnosť: uchovávanie účtovných dokladov podľa zákona č. 431/2002 Z. z. o účtovníctve, plnenie daňových a registračných povinností.
• Čl. 6 ods. 1 písm. f) GDPR - oprávnený záujem: bezpečnosť Služby, prevencia zneužitia, diagnostika a zlepšovanie, základná produktová komunikácia so zákazníkmi.
• Čl. 6 ods. 1 písm. a) GDPR - súhlas: pripojenie bankového účtu cez PSD2 (udeľované priamo v banke), využívanie AI a OCR funkcií, prihlásenie na marketingové oznámenia. Súhlas je možné kedykoľvek odvolať.

5. Sprostredkovatelia a tretie strany

Aby sme mohli poskytovať Službu na vysokej úrovni, využívame starostlivo vybraných sprostredkovateľov. So všetkými máme uzavreté zmluvy o spracúvaní osobných údajov (čl. 28 GDPR) a prednostne uprednostňujeme poskytovateľov so spracovaním v rámci EÚ/EHP.

Aktuálny a záväzný zoznam sprostredkovateľov je zverejnený na samostatnej stránke Zoznam sprostredkovateľov. Pri akejkoľvek zmene sprostredkovateľa informujeme Používateľov najmenej 14 dní vopred e-mailom alebo oznámením v Službe, v súlade s čl. 28 ods. 2 GDPR. Používateľ má právo vzniesť voči zmene námietku.

Osobné údaje nepredávame tretím stranám na marketingové účely a neposkytujeme ich reklamným sieťam na profilovanie. Sprostredkovatelia môžu spracúvať údaje výhradne podľa našich pokynov a v rozsahu nevyhnutnom na poskytovanie svojich služieb.

Osobné údaje môžu byť poskytnuté orgánom verejnej moci (napr. finančná správa, polícia) na základe zákonnej povinnosti.

Pre B2B zákazníkov, ktorí Službu používajú na spracovanie údajov svojich vlastných klientov, sme uverejnili samostatnú Zmluvu o spracúvaní osobných údajov (DPA) v zmysle čl. 28 GDPR, ktorá tvorí neoddeliteľnú súčasť zmluvného vzťahu.

6. Prenos mimo EÚ

Dáta Používateľa sú primárne uložené v dátových centrách v Európskej únii (Nemecko). Niektorí sprostredkovatelia (napr. SendGrid, OAuth prevádzkovatelia) môžu mať sídlo mimo EÚ. V takých prípadoch je prenos zabezpečený štandardnými zmluvnými doložkami (SCC) schválenými Európskou komisiou, prípadne doplňujúcimi technickými a organizačnými opatreniami.

7. Doby uchovávania

• Účtovné a daňové doklady (vystavené aj prijaté faktúry, dobropisy, proformy, bločky): minimálne 10 rokov od konca účtovného obdobia v súlade s § 35 zákona č. 431/2002 Z. z. o účtovníctve.
• Používateľský účet a základné profilové údaje: po dobu aktívneho používania Služby. Po zrušení účtu deaktivujeme prístup do 30 dní a dáta zanonymizujeme alebo vymažeme, s výnimkou údajov, ktoré je potrebné uchovať zo zákona.
• Bankové transakcie a PSD2 tokeny: tokeny po dobu trvania PSD2 súhlasu (typicky 180 dní), transakcie najdlhšie 12 mesiacov po odpojení účtu pre prípad dodatočného párovania.
• OAuth tokeny a API kľúče: do ich revokácie Používateľom alebo do zrušenia účtu.
• E-mailové logy a tracking eventy (odoslané, prijaté, otvorenia, bounces, IP prijímateľa): 24 mesiacov.
• AI interakcie a Gemini API logy (prompty, odpovede, token metriky, OCR výstupy): 12 mesiacov na účely auditu kvality a vyúčtovania spotreby; následne sú anonymizované alebo vymazané.
• Webhook delivery logy (URL, HTTP status, počet pokusov, skrátené telá odpovedí): 6 mesiacov.
• Logy synchronizácie bánk a e-shopov, logy exportov a importov: 12 mesiacov.
• Logy automatických upomienok a automatizácie: 24 mesiacov.
• Aktivitné (audit) logy zmien v Službe (kto, kedy, čo): 24 mesiacov.
• Bezpečnostné a prevádzkové logy infraštruktúry (IP, user-agent, chybové stopy): maximálne 90 dní, ak zákon neustanovuje inak.
• Súhlasy (verzia a čas prijatia VOP a GDPR, prípadné ďalšie súhlasy): po dobu 3 rokov od odvolania, resp. po dobu trvania účtu + 3 roky, na preukázanie zákonnosti spracúvania v zmysle čl. 7 ods. 1 GDPR.
• Zálohy dát: v šifrovanej podobe s retenciou 7 dní (denné) a max. 30 dní post-deletion (pre prípad omylom zmazaných údajov).

8. Cookies a merania

Na webových stránkach a v aplikácii používame nevyhnutné cookies potrebné na fungovanie prihlasovania, bezpečnosť relácie a zapamätanie si voľby v cookie lište. Analytické a marketingové cookies spúšťame iba na základe osobitného súhlasu udeleného v cookie lište.

Nevyhnutné cookies

Analytické cookies (voliteľné)

V prípade ich nasadenia v budúcnosti slúžia na anonymizované meranie návštevnosti a výkonu Služby. Budú spúšťané iba so súhlasom a ich kompletný zoznam zverejníme v tomto dokumente pred ich aktiváciou.

V rámci administrácie meriame anonymizované štatistiky použitia (počet prihlásení, chybovosť, latencia) ukladané bez osobných identifikátorov.

9. Zabezpečenie údajov

• Komunikácia so Službou prebieha výhradne cez šifrovaný kanál TLS 1.2+/1.3 s HSTS politikou.
• Citlivé údaje (bankové tokeny, API kľúče, prístupové údaje k integráciám) sú uložené šifrované v databáze algoritmom AES-256-GCM.
• Heslá používateľov sú uložené výhradne ako bcrypt/argon2 hashe cez Supabase Auth - nie sú nám dostupné v čitateľnej podobe.
• Prístupy k produkčným systémom sú chránené viacfaktorovou autentifikáciou a na princípe najmenších potrebných oprávnení.
• Denné zálohovanie s retenciou v EÚ dátovom centre, pravidelné testovanie obnovy.
• Monitorovanie bezpečnostných incidentov; v prípade incidentu, ktorý môže mať vplyv na práva a slobody dotknutých osôb, informujeme dotknuté osoby do 72 hodín v zmysle čl. 33 – 34 GDPR.

10. Vaše práva

V zmysle GDPR máte pri spracúvaní osobných údajov nasledovné práva, ktoré si môžete uplatniť u Prevádzkovateľa:

• Právo na prístup (čl. 15) - získať informáciu o tom, aké údaje o vás spracúvame a prípadne ich kópiu.
• Právo na opravu (čl. 16) - požiadať o opravu nesprávnych alebo doplnenie neúplných údajov.
• Právo na vymazanie (čl. 17) - “byť zabudnutý”, ak neexistuje zákonný dôvod pre ďalšie spracovanie.
• Právo na obmedzenie spracovania (čl. 18).
• Právo na prenosnosť údajov (čl. 20) - získať svoje údaje v strojovo čitateľnom formáte a preniesť ich k inému poskytovateľovi.
• Právo namietať (čl. 21) - najmä proti spracúvaniu na základe oprávneného záujmu a proti priamemu marketingu.
• Právo kedykoľvek odvolať súhlas (čl. 7 ods. 3) - platí pre všetky spracovania založené na súhlase (napr. PSD2 bankové pripojenie, newsletter, AI funkcie).
• Právo nepodliehať automatizovanému individuálnemu rozhodovaniu (čl. 22) - v Službe nevykonávame rozhodovanie s právnymi dôsledkami na dotknutú osobu výhradne automatizovaným spôsobom.

Svoje práva môžete uplatniť e-mailom na info@mojefaktury.sk. Žiadosť vybavíme bezodkladne, najneskôr do 30 dní od doručenia. Ak žiadosť nebude dostatočne určitá, môžeme vás požiadať o dodatočné overenie identity.

11. Dozorný orgán

Ak sa domnievate, že spracúvanie vašich osobných údajov porušuje GDPR alebo zákon č. 18/2018 Z. z. o ochrane osobných údajov, máte právo podať sťažnosť dozornému orgánu:

12. Zmeny zásad

Tieto zásady priebežne aktualizujeme v závislosti od zmien v Službe, legislatívy alebo používaných sprostredkovateľov. O podstatných zmenách vás budeme informovať e-mailom alebo upozornením v aplikácii najmenej 14 dní pred ich účinnosťou. Historické verzie uchovávame a poskytneme na vyžiadanie.