Zásady spracúvania osobných údajov

• Verteco digital services, s. r. o.
• so sídlom v Žiline, Slovenská republika; IČO: 53412834, IČ DPH: SK2121358349
• zapísaná v Obchodnom registri Okresného súdu Žilina, oddiel: Sro
• Peppol Seat ID: PSK001128
• kontaktná osoba: Ing. Mariana Považanová, [email protected], +421 902 059 753

(ďalej len „Prevádzkovateľ"). Prevádzkovateľ neustanovil zodpovednú osobu (DPO), keďže mu táto povinnosť zo Zákona/GDPR nevyplýva; vo veciach ochrany údajov sa obracajte na vyššie uvedený kontakt.

• registrovaní používatelia (majitelia účtov);
• kontaktné a oprávnené osoby spravovaných firiem;
• fyzické osoby uvedené ako odosielatelia, príjemcovia alebo kontakty vo vymieňaných dokumentoch.

• Údaje účtu: e‑mailová adresa, hash hesla, dátum registrácie a overenia e‑mailu, stav účtu.
• Údaje firiem: IČO, IČ DPH, obchodné meno, sídlo, Peppol identifikátor účastníka.
• Údaje dokumentov (metaúdaje): identifikátory odosielateľa/príjemcu, číslo a dátum dokladu, suma, mena, stav doručenia; vecný obsah dokumentov v rozsahu nevyhnutnom na ich prenos sieťou Peppol.
• Technické a prevádzkové údaje: IP adresa, časové pečiatky, identifikátory tokenov, protokoly (logy) o prístupoch a prevádzke.

Údaje získavame priamo od dotknutých osôb (registrácia, zadanie firiem, použitie API), automatizovane pri prevádzke a z dokumentov, ktoré Používateľ posiela alebo prijíma.

• Poskytovanie Služby (správa účtu a firiem, príjem a odosielanie dokumentov, validácia) — plnenie zmluvy podľa čl. 6 ods. 1 písm. b) GDPR.
• Evidencia a uchovávanie záznamov v sieti Peppol, daňové reportovanie a vedenie účtovných/daňových dokladov — plnenie zákonných povinností podľa čl. 6 ods. 1 písm. c) GDPR.
• Bezpečnosť, prevencia zneužitia, rate‑limiting a sledovateľnosť — oprávnený záujem podľa čl. 6 ods. 1 písm. f) GDPR (záujem na bezpečnej a spoľahlivej prevádzke).
• Overenie e‑mailu a prevádzková komunikácia — plnenie zmluvy a oprávnený záujem.
• Uplatňovanie a obhajoba právnych nárokov — oprávnený záujem podľa čl. 6 ods. 1 písm. f) GDPR.

Vo vzťahu k údajom účtu a prevádzke Služby koná Prevádzkovateľ ako prevádzkovateľ. Vo vzťahu k obsahu vymieňaných dokumentov vystupujú Prevádzkovateľ aj Používateľ ako nezávislí prevádzkovatelia (každý nesie vlastnú zodpovednosť); plnenie zmluvy ako také nezakladá medzi nimi vzťah spoločných prevádzkovateľov ani vzťah prevádzkovateľa a sprostredkovateľa. Za zákonnosť a obsah údajov v dokumentoch zodpovedá koncový používateľ.

• Sieť Peppol — iní poskytovatelia služieb Peppol a Access Pointy odosielateľov/príjemcov (nevyhnutné na doručenie dokumentov).
• Finančné riaditeľstvo SR (Peppol Autorita) — v rozsahu daňového reportovania a dohľadu podľa rámca Peppol.
• Brevo (Sendinblue SAS), Francúzsko — sprostredkovateľ pre odosielanie transakčných e‑mailov.
• DigitalOcean — sprostredkovateľ poskytujúci cloudovú infraštruktúru (hosting, región Frankfurt, EÚ).
• poskytovatelia ochrany pred botmi a DDoS (napr. Cloudflare) v rozsahu technicky nevyhnutnom.

So sprostredkovateľmi má Prevádzkovateľ uzavreté zmluvy o spracúvaní osobných údajov podľa čl. 28 GDPR. Osobné údaje neposkytujeme tretím osobám na marketingové účely a nepredávame ich.

Osobné údaje spracúvame primárne v rámci EÚ/EHP. Ak by u niektorého sprostredkovateľa dochádzalo k prenosu do tretej krajiny, deje sa tak na základe primeraných záruk podľa GDPR, najmä štandardných zmluvných doložiek (SCC) prijatých Európskou komisiou, prípadne rozhodnutia o primeranosti.

• Údaje účtu a firiem — počas trvania zmluvného vzťahu a primeraný čas po jeho ukončení (na účely vysporiadania nárokov).
• Protokoly o prevádzke a dokumentoch — počas obdobia stanoveného právnymi predpismi, najmenej však 3 mesiace v zmysle požiadaviek rámca Peppol.
• Daňové a účtovné doklady — počas zákonných archivačných lehôt podľa daňových a účtovných predpisov (spravidla 10 rokov).

Po uplynutí lehôt sa údaje vymažú alebo anonymizujú.

Dotknutá osoba má v rozsahu podľa GDPR a Zákona právo:

• na prístup k osobným údajom a na ich opravu;
• na výmaz („právo na zabudnutie") a na obmedzenie spracúvania;
• na prenosnosť údajov spracúvaných na základe zmluvy alebo súhlasu;
• namietať proti spracúvaniu založenému na oprávnenom záujme;
• kedykoľvek odvolať súhlas, ak je spracúvanie založené na súhlase (bez vplyvu na zákonnosť spracúvania pred odvolaním);
• podať návrh na začatie konania, resp. sťažnosť dozornému orgánu.

Žiadosti vybavujeme bez zbytočného odkladu, najneskôr do jedného (1) mesiaca, na [email protected]. Niektoré práva môžu byť obmedzené zákonnými povinnosťami Prevádzkovateľa (napr. povinné uchovávanie dokladov).

Prevádzkovateľ nevykonáva automatizované individuálne rozhodovanie vrátane profilovania s právnymi alebo obdobne významnými účinkami na dotknutú osobu podľa čl. 22 GDPR.

Používame iba nevyhnutné cookies a technické súbory: prihlasovaciu cookie portal_session (httpOnly, Secure) na udržanie prihlásenia a technické cookies poskytovateľa siete (napr. Cloudflare __cf_bm) na ochranu pred botmi. Nepoužívame marketingové, reklamné ani analytické sledovacie cookies, preto sa nevyžaduje súhlas s cookies.

Prevádzkovateľ prijíma primerané technické a organizačné opatrenia na zaistenie úrovne bezpečnosti zodpovedajúcej riziku, najmä šifrovanie prenosu (TLS), hashovanie hesiel, riadenie prístupov, oddelenie prostredí, rate‑limiting a evidenciu prístupov. V prípade porušenia ochrany osobných údajov postupuje Prevádzkovateľ podľa čl. 33 a 34 GDPR.

Poskytnutie údajov účtu a identifikačných údajov firiem je zmluvnou, resp. zákonnou požiadavkou nevyhnutnou na poskytovanie Služby; bez ich poskytnutia nie je možné Službu poskytnúť (zriadiť účet, registrovať firmu, odosielať/prijímať dokumenty).

Dozorným orgánom je Úrad na ochranu osobných údajov Slovenskej republiky, Hraničná 12, 820 07 Bratislava, uoou.sk, na ktorý má dotknutá osoba právo podať návrh na začatie konania.

Tieto zásady môže Prevádzkovateľ aktualizovať; o podstatných zmenách bude informovať vhodným spôsobom. Otázky a žiadosti smerujte na [email protected].