Zásady ochrany osobných údajov

1. Prevádzkovateľ (Data Controller)

Prevádzkovateľom osobných údajov je efakturia.sk, s.r.o., so sídlom [adresa sídla], IČO: [IČO], DIČ: [DIČ], zapísaná v Obchodnom registri Mestského súdu [mesto], oddiel: Sro, vložka č. [číslo] (ďalej len "Prevádzkovateľ" alebo "my").

Kontaktné údaje prevádzkovateľa:

• E-mail: gdpr@efakturia.sk
• Adresa: [adresa sídla]
• Telefón: [telefónne číslo]

Zodpovedná osoba (DPO) nie je ustanovená, keďže prevádzkovateľ nespĺňa podmienky podľa čl. 37 GDPR. Pre otázky týkajúce sa ochrany osobných údajov nás kontaktujte na gdpr@efakturia.sk.

2. Aké osobné údaje zbierame

V závislosti od spôsobu používania služby efakturia.sk zbierame nasledovné kategórie osobných údajov:

• Identifikačné údaje - meno, priezvisko, názov firmy, IČO, DIČ, IČ DPH
• Kontaktné údaje - emailová adresa, adresa sídla/bydliska, telefónne číslo
• Fakturačné údaje - údaje na faktúrach vrátane bankových účtov (IBAN), variabilných symbolov, údaje o dodávateľovi a odberateľovi
• Prihlasovacie údaje - emailová adresa, hashované heslo (bcrypt)
• Technické údaje - IP adresa, typ a verzia prehliadača, operačný systém, záznamy o prístupe k službe (logy), údaje o relácii (session)
• Údaje Peppol siete - Peppol identifikátory účastníkov (Peppol ID), údaje o prenose e-faktúr

Osobné údaje získavame priamo od vás (pri registrácii, vytváraní faktúr, komunikácii) a automaticky (technické údaje pri používaní služby).

3. Účel a právny základ spracovania

Vaše osobné údaje spracúvame vždy na konkrétny účel a na základe príslušného právneho základu:

a) Plnenie zmluvy (čl. 6 ods. 1 písm. b) GDPR)

• Registrácia a správa používateľského účtu
• Vytváranie, správa a odosielanie faktúr a e-faktúr
• Odosielanie a prijímanie elektronických faktúr prostredníctvom siete Peppol
• Spracovanie platieb za predplatné a vystavovanie daňových dokladov
• Komunikácia súvisiaca s poskytovaním služby (servisné oznámenia, technická podpora)

b) Plnenie zákonnej povinnosti (čl. 6 ods. 1 písm. c) GDPR)

• Uchovávanie účtovných dokladov podľa zákona č. 431/2002 Z. z. o účtovníctve
• Plnenie daňových povinností podľa zákona č. 595/2003 Z. z. o dani z príjmov a zákona č. 222/2004 Z. z. o DPH

c) Oprávnený záujem (čl. 6 ods. 1 písm. f) GDPR)

• Bezpečnosť služby - ochrana pred neoprávneným prístupom, podvodmi a zneužitím; monitorovanie bezpečnostných incidentov; uchovávanie prístupových logov
• Analytika a zlepšovanie služby - analýza používania služby na účely vylepšenia funkcionality a používateľského zážitku (na základe agregovaných a anonymizovaných údajov, kde je to možné)
• Vymáhanie právnych nárokov - ochrana a uplatňovanie právnych nárokov prevádzkovateľa

d) Súhlas (čl. 6 ods. 1 písm. a) GDPR)

• Voliteľné (analytické) cookies - používanie analytických cookies na sledovanie správania na stránke (iba so súhlasom)
• Marketingová komunikácia - zasielanie noviniek, špeciálnych ponúk a informácií o nových funkciách (iba so súhlasom)

Súhlas je vždy dobrovoľný a môžete ho kedykoľvek odvolať bez vplyvu na zákonnosť spracovania pred jeho odvolaním. Súhlas odvoláte zaslaním e-mailu na gdpr@efakturia.sk alebo prostredníctvom nastavení vo vašom účte.

4. Doba uchovávania údajov

Osobné údaje uchovávame iba po dobu nevyhnutnú na splnenie účelu, na ktorý boli zhromaždené:

• Údaje o účte - po celú dobu trvania účtu. Po zrušení účtu budú údaje vymazané do 30 dní, s výnimkou údajov, ktoré sme povinní uchovávať podľa právnych predpisov.
• Faktúry a účtovné doklady - 10 rokov od konca účtovného obdobia, v ktorom boli vystavené, v súlade so zákonom č. 431/2002 Z. z. o účtovníctve.
• Záznamy o Peppol prenosoch - 5 rokov od dátumu odoslania/prijatia.
• Technické záznamy a logy - 12 mesiacov od ich vzniku.
• Marketingový súhlas - do odvolania súhlasu dotknutou osobou.
• Údaje pre cookie súhlas - po dobu platnosti súhlasu, maximálne 12 mesiacov od udelenia.

Po uplynutí doby uchovávania budú osobné údaje bezpečne vymazané alebo anonymizované.

5. Príjemcovia údajov

Vaše osobné údaje môžeme zdieľať s nasledovnými kategóriami príjemcov (spracovateľov):

• e-invoice.be (Peppol Access Point) - pre odosielanie a prijímanie elektronických faktúr cez sieť Peppol. Prenášajú sa údaje dodávateľa a odberateľa uvedené na faktúre (meno/názov, adresa, IČO, DIČ, bankové údaje).
• SMTP provider (poskytovateľ emailových služieb) - pre zasielanie transakčných emailov (potvrdenia registrácie, notifikácie o faktúrach, servisné oznámenia).
• Hosting provider - pre ukladanie a spracovanie dát na serveroch v rámci EÚ/EHP.
• Platobný spracovateľ - pre spracovanie platieb kartou za predplatné.

So všetkými spracovateľmi máme uzavreté zmluvy o spracovaní osobných údajov podľa čl. 28 GDPR, ktoré zaručujú primeranú úroveň ochrany vašich údajov.

Vaše údaje môžu byť sprístupnené aj orgánom verejnej moci (napr. daňový úrad, súdy), ak nám to ukladá zákon.

6. Medzinárodný prenos údajov

Vaše osobné údaje spracúvame a uchovávame výlučne v rámci Európskeho hospodárskeho priestoru (EHP). Všetci naši spracovateľia (hosting, e-mail, Peppol Access Point) majú servery umiestnené v krajinách EHP.

V prípade, že by v budúcnosti došlo k prenosu údajov mimo EHP, zabezpečíme primerané záruky v súlade s čl. 46 GDPR (napr. štandardné zmluvné doložky schválené Európskou komisiou alebo rozhodnutie o primeranosti podľa čl. 45 GDPR).

7. Práva dotknutej osoby

Ako dotknutá osoba máte podľa GDPR nasledovné práva:

• Právo na prístup (čl. 15 GDPR) - máte právo získať potvrdenie o tom, či sa spracúvajú vaše osobné údaje, a ak áno, právo získať prístup k týmto údajom a informácie o ich spracúvaní. Na požiadanie vám poskytneme kópiu spracúvaných údajov.
• Právo na opravu (čl. 16 GDPR) - máte právo na opravu nesprávnych osobných údajov, ktoré sa vás týkajú, a na doplnenie neúplných údajov.
• Právo na vymazanie ("právo byť zabudnutý") (čl. 17 GDPR) - máte právo požiadať o vymazanie vašich osobných údajov, ak už nie sú potrebné na účel, na ktorý boli zhromaždené, ak odvoláte súhlas, ak namietate proti spracovaniu, alebo ak boli údaje spracované nezákonne. Toto právo sa neuplatní, ak je spracovanie nevyhnutné na plnenie zákonnej povinnosti (napr. uchovávanie faktúr).
• Právo na obmedzenie spracovania (čl. 18 GDPR) - máte právo požiadať o obmedzenie spracovania vašich údajov, napríklad ak napadnete správnosť údajov alebo namietate proti spracovaniu.
• Právo na prenosnosť údajov (čl. 20 GDPR) - máte právo získať svoje osobné údaje v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte (napr. JSON, CSV) a preniesť ich inému prevádzkovateľovi.
• Právo namietať (čl. 21 GDPR) - máte právo kedykoľvek namietať proti spracovaniu vašich osobných údajov na základe oprávneného záujmu (čl. 6 ods. 1 písm. f) GDPR). V takom prípade údaje nebudeme ďalej spracúvať, pokiaľ nepreukážeme závažné oprávnené dôvody na spracovanie.
• Právo odvolať súhlas - ak je spracovanie založené na súhlase (čl. 6 ods. 1 písm. a) GDPR), máte právo ho kedykoľvek odvolať. Odvolanie súhlasu nemá vplyv na zákonnosť spracovania vykonaného pred jeho odvolaním.
• Právo podať sťažnosť dozornému orgánu - ak sa domnievate, že spracovanie vašich osobných údajov je v rozpore s GDPR, máte právo podať sťažnosť na Úrad na ochranu osobných údajov Slovenskej republiky, Hraničná 12, 820 07 Bratislava 27, tel.: +421 2 3231 3214, e-mail: statny.dozor@pdp.gov.sk, web: dataprotection.gov.sk.

Ako si uplatniť práva: Svoje práva si môžete uplatniť zaslaním žiadosti na e-mailovú adresu gdpr@efakturia.sk. Vašu totožnosť si môžeme overiť na účely ochrany pred neoprávneným prístupom. Na vašu žiadosť odpovieme bez zbytočného odkladu, najneskôr do 30 dní od jej doručenia. V odôvodnených prípadoch môže byť lehota predĺžená o ďalšie 2 mesiace, o čom vás budeme informovať.

8. Cookies

Služba efakturia.sk používa nasledovné typy cookies:

a) Nevyhnutné cookies (bez súhlasu)

Tieto cookies sú nevyhnutné pre správne fungovanie služby a nie je možné ich vypnúť. Právny základ: čl. 6 ods. 1 písm. f) GDPR (oprávnený záujem).

• Session cookie - uchovávanie informácie o prihlásení používateľa; platnosť: po dobu relácie alebo podľa nastavenia "zapamätať si ma"
• CSRF token - ochrana pred cross-site request forgery útokmi; platnosť: po dobu relácie
• Cookie súhlas - uchovávanie vašich preferencií ohľadom cookies; platnosť: 12 mesiacov

b) Voliteľné cookies (iba so súhlasom)

Tieto cookies sa aktivujú iba s vaším výslovným súhlasom. Právny základ: čl. 6 ods. 1 písm. a) GDPR (súhlas).

• Analytické cookies - pomáhajú nám porozumieť, ako používatelia používajú službu, aby sme ju mohli zlepšovať (napr. počet návštev, najnavštevovanejšie stránky); platnosť: 12 mesiacov

Súhlas s voliteľnými cookies môžete kedykoľvek odvolať prostredníctvom nastavení cookies na našej stránke alebo v nastaveniach vášho prehliadača.

9. Bezpečnosť údajov

Prijímame primerané technické a organizačné opatrenia na ochranu vašich osobných údajov pred neoprávneným prístupom, zmenou, zverejnením alebo zničením. Medzi tieto opatrenia patria najmä:

• Šifrovanie prenosu dát (TLS/HTTPS)
• Hashované heslá (bcrypt) - vaše heslo nikdy neukladáme v čitateľnej forme
• Šifrované pripojenie k databáze
• Pravidelné bezpečnostné aktualizácie a audity
• Obmedzený prístup k údajom - k vašim údajom majú prístup iba oprávnení zamestnanci na základe princípu "need-to-know"
• Zálohovanie dát a plán obnovy po havárii

10. Zmeny zásad ochrany osobných údajov

Tieto zásady môžeme priebežne aktualizovať, aby odrážali zmeny v našich postupoch spracovania údajov alebo zmeny právnych predpisov. O podstatných zmenách vás budeme informovať prostredníctvom oznámenia na našej webovej stránke alebo e-mailom. Odporúčame vám tieto zásady pravidelne kontrolovať.

Dátum poslednej aktualizácie je uvedený v záhlaví tohto dokumentu.

11. Kontakt

V prípade akýchkoľvek otázok, žiadostí alebo sťažností týkajúcich sa spracovania vašich osobných údajov nás kontaktujte:

• E-mail: gdpr@efakturia.sk
• Poštová adresa: efakturia.sk, s.r.o., [adresa sídla]
• Telefón: [telefónne číslo]

Na vašu žiadosť odpovieme bez zbytočného odkladu, najneskôr do 30 dní.