Zásady ochrany osobných údajov (GDPR)
Účinné od: 12. mája 2026
Tento dokument popisuje, ako služba veritra.io spracúva osobné údaje svojich používateľov. Zásady sú v súlade s Nariadením Európskeho parlamentu a Rady (EÚ) 2016/679 (GDPR) a so zákonom č. 110/2019 Sb. o spracovaní osobných údajov.
1. Prevádzkovateľ osobných údajov
Prevádzkovateľom osobných údajov v zmysle čl. 4 ods. 7 GDPR je:
- RWX, s.r.o., IČO: 14235111
- Sídlo: Sadová 1646, 560 02 Česká Třebová
- Zapísaný v obchodnom registri vedenom Krajským súdom v Hradci Králové, oddiel C, vložka 49019
- Kontaktný e-mail: michal@veritra.io
- Telefón: +420 608 379 273
Vzhľadom na rozsah spracúvania poskytovateľ nemá povinnosť určiť zodpovednú osobu za ochranu osobných údajov (DPO) v zmysle čl. 37 GDPR. Pre všetky záležitosti ochrany osobných údajov slúži vyššie uvedený kontaktný e-mail.
2. Aké údaje spracúvame
Pri registrácii a používaní služby spracúvame tieto kategórie osobných údajov:
| Kategória | Konkrétne údaje | Účel |
|---|---|---|
| Registračné | E-mail, meno, názov firmy, IČO, telefón | Vytvorenie a správa účtu, komunikácia |
| Fakturačné | Fakturačná adresa, platiteľ DPH, číslo bankového účtu | Vystavovanie faktúr, účtovné povinnosti |
| Prevádzkové | IP adresa, User-Agent, lokalita podľa IP, časové pečiatky | Bezpečnosť, prevencia zneužívania, štatistiky |
| Autentifikačné | Heslo (hašované), tokeny, API kľúče (hašované) | Prihlásenie, autorizácia API |
| Obsahové | Konfigurácia filtrov sledovania, história hlásení, dotazy do API | Plnenie zmluvy o poskytovaní služby |
| Komunikačné | E-mailová komunikácia, obsah formulárov spätnej väzby | Zákaznícka podpora |
| Marketingové (voliteľne) | Sledovanie otvorenia e-mailových newsletterov | Zlepšovanie komunikácie |
Heslá sú ukladané vo forme jednosmerného hašu (bcrypt); poskytovateľ heslá v čistom texte nevidí. API kľúče sú ukladané ako SHA-256 haš; po vygenerovaní je kľúč zobrazený používateľovi jedenkrát a poskytovateľ ho v čistom texte neuchová.
3. Účel a právny základ spracúvania
Spracúvanie každej kategórie údajov má svoj právny základ podľa čl. 6 GDPR:
- Plnenie zmluvy (čl. 6 ods. 1 písm. b) — registračné, fakturačné, autentifikačné a obsahové údaje. Bez nich nie je možné službu poskytovať.
- Plnenie zákonnej povinnosti (čl. 6 ods. 1 písm. c) — uchovávanie účtovných dokladov (10 rokov podľa zákona č. 563/1991 Sb. o účtovníctve), daňových dokladov.
- Oprávnený záujem (čl. 6 ods. 1 písm. f) — prevádzkové údaje na účely bezpečnosti a prevencie zneužívania (rate limit, ochrana proti útokom, fraud detection). Náš oprávnený záujem prevažuje nad záujmom používateľa na nesledovaní týchto údajov z dôvodu zabezpečenia stabilnej a bezpečnej prevádzky služby.
- Súhlas (čl. 6 ods. 1 písm. a) — marketingová komunikácia nad rámec zmluvného vzťahu (napr. newsletter o nových funkciách), ktorý možno kedykoľvek odvolať v nastaveniach účtu.
4. Doba uchovávania
| Kategória | Doba uchovávania |
|---|---|
| Registračné a obsahové | Po dobu trvania zmluvy + 30 dní po jej ukončení (export window) |
| Fakturačné doklady | 10 rokov od konca príslušného účtovného obdobia |
| Prevádzkové logy (IP, User-Agent, časy) | 90 dní |
| Komunikačná história | 3 roky od posledného kontaktu |
| Autentifikačné (heslá, API kľúče) | Po dobu trvania účtu, následne vymazanie |
Po uplynutí lehoty sú údaje trvalo vymazané alebo anonymizované.
5. Príjemcovia osobných údajov (Sprostredkovatelia)
Vaše osobné údaje odovzdávame nasledujúcim sprostredkovateľom, ktorí poskytujú infraštruktúrne a podporné služby. Všetci sprostredkovatelia sú viazaní zmluvou o spracúvaní osobných údajov (DPA) a poskytujú záruky zodpovedajúcej úrovne ochrany podľa GDPR.
| Sprostredkovateľ | Účel | Lokalita spracúvania |
|---|---|---|
| Vercel Inc. (USA) | Hosting webovej aplikácie, edge runtime | EÚ (Frankfurt) primárne, US fallback (SCCs) |
| DigitalOcean LLC (USA) | MySQL databáza, objektové úložisko | EÚ (Frankfurt) |
| Cloudflare Inc. (USA) | CDN, DDoS protection, DNS, WAF | Global edge (EÚ node predvolene) |
| Upstash Inc. (USA) | Redis pre rate limit | EÚ (Frankfurt) |
| Stripe Payments Europe Ltd. (Írsko) | Spracúvanie platieb kartou | EÚ |
| Resend Inc. (USA) | Odosielanie transakčných a marketingových e-mailov | EÚ (Frankfurt) + US fallback (SCCs) |
| AWS SES (Amazon Web Services EMEA) | Odosielanie niektorých systémových e-mailov, inbound mail | EÚ (eu-west-1) |
| Anthropic PBC (USA) | AI generovanie obsahu blogu (žiadne údaje používateľov); generácia faktúr AI nevyužíva | US (SCCs) |
| WEDOS Internet, a.s. (ČR) | Registrácia domény veritra.io | ČR |
Sprostredkovatelia v USA sú krytí Standard Contractual Clauses (SCCs) podľa rozhodnutia Komisie (EÚ) 2021/914 a Data Privacy Framework, kde to je uplatniteľné.
Údaje neposkytujeme:
- inzerentom ani reklamným sieťam (Google Ads, Facebook Pixel a pod. v súčasnosti nepoužívame),
- predajcom údajov ani dátovým brokerom.
6. Vaše práva
Ako dotknutá osoba máte nasledujúce práva podľa čl. 15 až 22 GDPR:
- Právo na prístup (čl. 15) — môžete si vyžiadať kópiu všetkých osobných údajov, ktoré o vás spracúvame.
- Právo na opravu (čl. 16) — môžete žiadať opravu nesprávnych alebo neaktuálnych údajov. Väčšinu z nich možno upraviť priamo v dashboarde (sekcia Settings).
- Právo na vymazanie (čl. 17, „právo byť zabudnutý") — môžete žiadať vymazanie svojich osobných údajov. Údaje, ktoré sme povinní uchovávať zo zákona (účtovné, daňové), vymazať nie je možné.
- Právo na obmedzenie spracúvania (čl. 18) — môžete žiadať dočasné obmedzenie spracúvania v prípade sporu o jeho zákonnosť.
- Právo na prenosnosť (čl. 20) — môžete si vyžiadať svoje údaje v strojovo čitateľnom formáte (JSON alebo CSV) na prenos k inému poskytovateľovi. Túto funkciu ponúkame aj automaticky po ukončení zmluvy v rámci 30-dňového export window.
- Právo namietať (čl. 21) — proti spracúvaniu na základe oprávneného záujmu (prevádzkové logy, marketing).
- Právo odvolať súhlas (čl. 7 ods. 3) — súhlas s marketingovou komunikáciou možno kedykoľvek odvolať odhlásením sa z každého e-mailu alebo v nastaveniach účtu. Odvolanie nemá spätnú účinnosť.
- Právo nebyť predmetom automatizovaného rozhodovania (čl. 22) — neuplatňujeme.
Na uplatnenie práv nás kontaktujte na michal@veritra.io. Odpovedáme bez zbytočného odkladu, najneskôr do 1 mesiaca od doručenia žiadosti (čl. 12 ods. 3 GDPR).
7. Cookies a podobné technológie
Webové stránky veritra.io používajú iba technicky nevyhnutné cookies (session cookies na prihlásenie, CSRF tokeny, preferovaný jazyk). Tieto cookies nepodliehajú súhlasu podľa § 89 ods. 3 zákona č. 127/2005 Sb. o elektronických komunikáciách.
Analytické a marketingové cookies tretích strán (Google Analytics, Facebook Pixel a pod.) v súčasnosti nepoužívame. Ak bude ich nasadenie v budúcnosti zvažované, bude implementovaný cookie banner so súhlasom podľa smernice ePrivacy.
8. Bezpečnosť údajov
Poskytovateľ prijíma technické a organizačné opatrenia na zabezpečenie ochrany údajov primerané rizikám spracúvania:
- TLS 1.2+ šifrovanie pre všetku komunikáciu klient–server,
- bcrypt haš pre heslá, SHA-256 haš pre API kľúče,
- rate limiting a Cloudflare WAF proti zneužívaniu,
- princíp minimálnych oprávnení pre prístup zamestnancov a sprostredkovateľov,
- pravidelné zálohovanie databázy (denné inkrementálne, týždenné úplné),
- šifrovanie údajov v pokoji (storage encryption u Vercel, DigitalOcean, Stripe).
Žiadne opatrenie neposkytuje 100 % záruku. V prípade porušenia ochrany osobných údajov, ktoré pravdepodobne povedie k vysokému riziku pre práva a slobody používateľov, vás budeme informovať bez zbytočného odkladu (čl. 34 GDPR) a udalosť oznámime Úradu na ochranu osobných údajov do 72 hodín (čl. 33 GDPR).
9. Prenos do tretích krajín
Niektorí sprostredkovatelia majú sídlo v USA. Prenos osobných údajov do tretích krajín mimo EÚ/EHP je založený na:
- Standard Contractual Clauses (SCCs) podľa rozhodnutia Komisie (EÚ) 2021/914,
- Data Privacy Framework pre certifikované subjekty (Vercel, Cloudflare),
- rozhodnutí Komisie o primeranosti, kde existuje.
Môžete si vyžiadať kópiu SCCs uzatvorených s konkrétnym sprostredkovateľom.
10. Sťažnosť na dozornom orgáne
Ak sa domnievate, že spracúvaním vašich osobných údajov dochádza k porušeniu GDPR, máte právo podať sťažnosť na dozornom orgáne:
- Úrad na ochranu osobných údajov Slovenskej republiky
- Hraničná 12, 820 07 Bratislava 27
- Web: https://www.dataprotection.gov.sk
- E-mail: statny.dozor@pdp.gov.sk
11. Zmeny zásad
Tieto Zásady ochrany osobných údajov môžu byť aktualizované. Aktuálna verzia je vždy zverejnená na https://veritra.io/gdpr. Zmeny s podstatným vplyvom na používateľov oznámime 30 dní vopred e-mailom.
Verzia 1.0, účinná od 12. mája 2026. Prevádzkovateľ: RWX, s.r.o., IČO 14235111. Kontakt: michal@veritra.io.