SpäťeP24

Zmluva o spracúvaní osobných údajov (DPA)

ePodatelna24 – epodatelna24, s. r. o.

Platné od: 2026-05-23 Verzia: 2.1

Úvodné ustanovenia

Táto Zmluva o spracúvaní osobných údajov (ďalej len „DPA") je neoddeliteľnou súčasťou Všeobecných obchodných podmienok služby ePodatelna24 a uzaviera sa medzi:

Poskytovateľom služby (Sprostredkovateľom v zmysle GDPR):

epodatelna24, s. r. o. Sídlo: Karpatské námestie 7770/10A, 831 06 Bratislava IČO: 57 592 071 DIČ: [DOPLNIŤ] Kontakt pre ochranu osobných údajov: info@epodatelna24.sk

(ďalej len „Sprostredkovateľ")

a

Zákazníkom (Prevádzkovateľom v zmysle GDPR):

Akýkoľvek zákazník využívajúci službu ePodatelna24, ktorý akceptoval VOP a túto DPA pri aktivácii svojho účtu.

(ďalej len „Prevádzkovateľ")

(spoločne len „Strany")

1. Definície

V tejto DPA majú nasledujúce pojmy význam stanovený v nariadení GDPR (Nariadenie (EÚ) 2016/679):

  • „Osobné údaje" – akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby;
  • „Spracúvanie" – akákoľvek operácia s osobnými údajmi;
  • „Prevádzkovateľ" (data controller) – Zákazník, ktorý určuje účely a prostriedky spracúvania;
  • „Sprostredkovateľ" (data processor) – epodatelna24, s. r. o., ktorý spracúva údaje v mene Prevádzkovateľa;
  • „Sub-sprostredkovateľ" – tretia strana, ktorú Sprostredkovateľ poveril ďalším spracúvaním;
  • „Dotknutá osoba" – fyzická osoba, ktorej osobné údaje sa spracúvajú;
  • „Bezpečnostný incident" – porušenie ochrany osobných údajov v zmysle čl. 4 ods. 12 GDPR.

2. Predmet a účel spracúvania

2.1. Sprostredkovateľ spracúva osobné údaje výlučne na účely poskytovania služby ePodatelna24 Prevádzkovateľovi, najmä:

  • a) prijímanie elektronických faktúr a iných obchodných dokumentov cez sieť Peppol;
  • b) odosielanie elektronických faktúr a dobropisov v mene Prevádzkovateľa cez sieť Peppol;
  • c) sprístupnenie dokumentov v užívateľskom rozhraní (web + mobil);
  • d) zasielanie e-mailových notifikácií a push notifikácií do mobilných zariadení Prevádzkovateľa;
  • e) prevádzkovanie peňaženky a fakturácia služby;
  • f) audit, bezpečnosť, podpora zákazníkov (vrátane režimu „pozerať ako" podľa §3.4 Zásad ochrany osobných údajov).

2.2. Sprostredkovateľ je oprávnený spracúvať údaje výlučne v rozsahu a spôsobom potrebným na splnenie zmluvy o poskytovaní Služby.

2.3. Sprostredkovateľ nepoužije spracúvané údaje na vlastné účely, marketing, profilovanie, ani na účely tretích strán.

3. Trvanie spracúvania

3.1. Spracúvanie trvá počas celej doby zmluvného vzťahu medzi Stranami.

3.2. Po ukončení zmluvného vzťahu sa údaje spracúvajú v rozsahu nevyhnutnom pre:

  • a) vrátenie zostatku peňaženky a finančné vyrovnanie;
  • b) splnenie zákonných povinností (najmä účtovníctvo, daňová evidencia – 10 rokov);
  • c) ochranu práv Sprostredkovateľa pri prípadných sporoch.

3.3. Po uplynutí všetkých zákonných lehôt budú údaje vymazané. Pre obchodné dokumenty (faktúry) platia osobitné pravidlá kvartálnej viditeľnosti a fyzickej retencie podľa článku 16 VOP a §5 Zásad ochrany osobných údajov.

4. Kategórie dotknutých osôb a osobných údajov

4.1. Kategórie dotknutých osôb

  • a) zamestnanci a oprávnené osoby Prevádzkovateľa pristupujúce k Službe;
  • b) kontaktné osoby Prevádzkovateľa uvedené v prijatých a odoslaných dokumentoch;
  • c) zamestnanci, štatutári a kontaktné osoby tretích strán, ktorých údaje sú obsiahnuté v prijatých alebo odoslaných faktúrach (najmä dodávatelia a odberatelia Prevádzkovateľa);
  • d) klienti Prevádzkovateľa (ak Prevádzkovateľ je účtovná firma alebo iný sprostredkovateľ).

4.2. Kategórie osobných údajov

KategóriaTypické príklady
Identifikačné údajeMeno a priezvisko
Kontaktné údajeE-mail, telefónne číslo, adresa
Identifikátory v SlužbeUžívateľské ID, prihlasovacia história, IP adresa, mobilné push tokeny (APNs/FCM)
Údaje o aktiviteAudit log, stiahnutia dokumentov, prihlásenia, akcie v režime „pozerať ako" (vždy pripísané pôvodnému super-adminovi Sprostredkovateľa)
Údaje obsiahnuté v dokumentochMená, kontaktné údaje, daňové identifikačné údaje uvedené v elektronických faktúrach a dobropisoch (prijatých aj odoslaných)

4.3. Osobitné kategórie údajov

Sprostredkovateľ nespracúva osobitné kategórie údajov v zmysle čl. 9 GDPR (napr. zdravotné údaje, biometria, údaje o presvedčení), pokiaľ takéto údaje Prevádzkovateľ neuloží do Služby z vlastnej iniciatívy. V takom prípade Prevádzkovateľ zodpovedá za zákonnosť ich spracúvania.

5. Povinnosti Sprostredkovateľa

5.1. Sprostredkovateľ sa zaväzuje:

  • a) spracúvať osobné údaje výlučne na základe zdokumentovaných pokynov Prevádzkovateľa, ak osobitný právny predpis nevyžaduje spracúvanie z iného dôvodu (v takom prípade o tom bezodkladne informuje Prevádzkovateľa, ak to právny predpis nezakazuje);
  • b) zabezpečiť, aby osoby oprávnené spracúvať osobné údaje boli viazané mlčanlivosťou;
  • c) prijať primerané technické a organizačné opatrenia podľa čl. 32 GDPR (viď článok 7);
  • d) nezapojiť ďalšieho sprostredkovateľa bez všeobecného alebo osobitného predchádzajúceho súhlasu Prevádzkovateľa (viď článok 6);
  • e) pomáhať Prevádzkovateľovi pri vybavovaní žiadostí dotknutých osôb (vrátane samoobslužných nástrojov uvedených v §8.2 a §8.3 Zásad ochrany osobných údajov);
  • f) pomáhať Prevádzkovateľovi pri zabezpečovaní povinností podľa čl. 32 až 36 GDPR (bezpečnosť, oznamovanie incidentov, posúdenie vplyvu);
  • g) vymazať alebo vrátiť všetky osobné údaje po ukončení poskytovania Služby (viď článok 11);
  • h) sprístupniť Prevádzkovateľovi všetky informácie potrebné na preukázanie plnenia povinností a umožniť audity (viď článok 9);
  • i) viesť audit log dôležitých operácií v CEF formáte tak, aby každá akcia bola pripísaná konkrétnemu aktérovi — vrátane prípadu režimu „pozerať ako" (super-admin Sprostredkovateľa), kde audit log vždy obsahuje identifikátor pôvodného super-admina (nie cieľového používateľa);
  • j) sprístupniť identifikačné údaje Prevádzkovateľa prevádzkovateľovi prístupového bodu (Ionite B.V.) a prostredníctvom neho príslušnej Peppol Authority alebo OpenPeppol AISBL v rozsahu vyžadovanom OpenPeppol Entity Identification Policy (Internal Regulations §3.3).

6. Sub-sprostredkovatelia

6.1. Prevádzkovateľ udeľuje Sprostredkovateľovi všeobecné poverenie zapojiť do spracúvania ďalších sub-sprostredkovateľov uvedených v Prílohe č. 1 k tejto DPA.

6.2. Sprostredkovateľ informuje Prevádzkovateľa o akýchkoľvek zamýšľaných zmenách týkajúcich sa pridania alebo nahradenia sub-sprostredkovateľov najmenej 30 dní vopred prostredníctvom e-mailu alebo aktualizácie tohto dokumentu.

6.3. Prevádzkovateľ má právo proti zmene sub-sprostredkovateľa namietať. V prípade dôvodnej námietky majú Strany povinnosť hľadať riešenie. Ak sa nedohodnú, Prevádzkovateľ je oprávnený ukončiť zmluvný vzťah bez sankcií.

6.4. Sprostredkovateľ je povinný zaviazať každého sub-sprostredkovateľa zmluvne k plneniu rovnakých povinností v oblasti ochrany osobných údajov, aké sú stanovené v tejto DPA.

6.5. Sprostredkovateľ zostáva voči Prevádzkovateľovi plne zodpovedný za plnenie povinností sub-sprostredkovateľa.

7. Bezpečnostné opatrenia

7.1. Sprostredkovateľ zavádza nasledujúce technické a organizačné opatrenia:

7.1.1. Technické opatrenia

  • a) šifrovaný prenos údajov (HTTPS/TLS 1.2 alebo vyššie);
  • b) šifrované uloženie hesiel a citlivých údajov (bcrypt/argon2);
  • c) pseudonymizácia kde to je relevantné;
  • d) izolácia údajov jednotlivých zákazníkov na úrovni databázy (Row Level Security);
  • e) append-only databázový trigger na ledger peňaženky — wallet_transactions nie je možné modifikovať alebo zmazať mimo definovaných SECURITY DEFINER funkcií. Zaisťuje integritu finančných záznamov aj voči omylom v aplikačnej vrstve;
  • f) per-IP rate limiting verejných endpointov a OTP rozhraní;
  • g) partial unique indexes ako race-guard pri odosielaní dokumentov (zabraňujú dvojitému odoslaniu pri rýchlych dvojkliknutiach alebo recovery scenároch);
  • h) ochrana pred nelegálnym prístupom (rate limiting, monitoring prihlásení);
  • i) pravidelné aktualizácie softvérových komponentov;
  • j) zálohovanie databázy s časovou kópiou (PITR — Point-In-Time Recovery);
  • k) hosting v dátových centrách s certifikáciou ISO 27001 (Frankfurt).

7.1.2. Organizačné opatrenia

  • a) viacstupňové oprávnenia s rolovým modelom (super admin, company admin, operator, processor);
  • b) HMAC-podpísaná cookie s 8-hodinovou platnosťou pre režim „pozerať ako" — fail-closed kontrola pred každým spracovaním (ak super-admin medzitým stratil práva, cookie sa ignoruje);
  • c) auditné záznamy všetkých dôležitých operácií (CEF formát) — viď §3.4 Zásad ochrany osobných údajov;
  • d) povinnosť mlčanlivosti pre všetkých členov tímu;
  • e) zásady minimalizácie údajov – spracúvame len to, čo je nevyhnutné;
  • f) pravidelné revízie prístupových oprávnení.

7.1.3. Prevádzkové monitorovanie

  • a) Sentry — sledovanie chýb na strane servera a klienta, EÚ región (DE);
  • b) Slack — okamžité upozornenia pre prevádzkový tím pri závažných chybách (severity = error); prenášané iba metadata udalosti, nikdy obsah dokumentu;
  • c) Healthchecks.io — dead-man's switch nad cron jobmi; pri vynechanej heartbeat sa spustí alert. Nespracúva osobné údaje;
  • d) Public status page na adrese https://www.epodatelna24.sk/status — zverejňuje iba agregované stavy bez identifikácie zákazníka.

7.2. Sprostredkovateľ pravidelne reviduje a aktualizuje bezpečnostné opatrenia v súlade s technickým pokrokom.

8. Bezpečnostné incidenty

8.1. V prípade zistenia bezpečnostného incidentu Sprostredkovateľ:

  • a) bez zbytočného odkladu, najneskôr však do 48 hodín od zistenia, informuje Prevádzkovateľa e-mailom;
  • b) v oznámení uvedie:
    • povahu porušenia,
    • kategórie a približný počet dotknutých osôb,
    • kategórie a približný počet záznamov,
    • predpokladané následky,
    • prijaté alebo navrhované opatrenia.

8.2. Sprostredkovateľ poskytne Prevádzkovateľovi všetku súčinnosť pri:

  • a) plnení oznamovacej povinnosti voči dozornému orgánu (čl. 33 GDPR);
  • b) oznámení porušenia dotknutým osobám (čl. 34 GDPR);
  • c) následnom vyšetrovaní a prijatí opatrení.

9. Audit a kontrola

9.1. Sprostredkovateľ poskytne Prevádzkovateľovi na požiadanie všetky informácie potrebné na preukázanie plnenia povinností podľa čl. 28 GDPR a tejto DPA.

9.2. Prevádzkovateľ je oprávnený raz ročne vykonať audit alebo poveriť ním nezávislého audítora. O audite informuje Sprostredkovateľa najmenej 30 dní vopred.

9.3. Audit sa uskutoční v pracovných dňoch a hodinách spôsobom, ktorý nenarúša prevádzku Sprostredkovateľa. Náklady auditu znáša Prevádzkovateľ, okrem prípadu, keď audit preukáže závažné porušenie zo strany Sprostredkovateľa.

9.4. Sprostredkovateľ je oprávnený namiesto vlastného auditu predložiť výsledky nezávislých auditov tretích strán (napr. ISO 27001, SOC 2), ak existujú a sú aktuálne.

10. Pomoc pri uplatňovaní práv dotknutých osôb

10.1. Sprostredkovateľ pomôže Prevádzkovateľovi prostredníctvom vhodných technických a organizačných opatrení splniť povinnosť reagovať na žiadosti o uplatnenie práv dotknutých osôb (čl. 15–22 GDPR). Súčasťou tejto pomoci sú samoobslužné nástroje pre používateľov v sekcii Dashboard → Nastavenia:

  • a) Stiahnuť moje dáta (čl. 15) — export profilu, členstiev, súhlasov a 90-dňovej histórie audit logu vo formáte JSON;
  • b) Vymazať môj účet (čl. 17) — kaskádové vymazanie s OTP potvrdením; ochranné gátrovanie pre genesis adminov.

10.2. Ak Sprostredkovateľ obdrží žiadosť priamo od dotknutej osoby v rozsahu, ktorý prekračuje samoobslužné nástroje (napr. historické záznamy, neštandardný formát), sám na ňu neodpovie, ale bezodkladne ju postúpi Prevádzkovateľovi.

11. Vymazanie alebo vrátenie údajov

11.1. Po ukončení zmluvného vzťahu Sprostredkovateľ na pokyn Prevádzkovateľa:

  • a) vráti všetky osobné údaje Prevádzkovateľovi v strojovo čitateľnom formáte, alebo
  • b) vymaže všetky osobné údaje, vrátane existujúcich kópií.

11.2. Prevádzkovateľ má 30 dní od ukončenia zmluvy na voľbu medzi vrátením alebo vymazaním. Ak voľbu nevykoná, údaje budú vymazané.

11.3. Sprostredkovateľ môže ponechať osobné údaje v rozsahu, v akom to vyžaduje právo Únie alebo právo členského štátu (napr. záznamy o platbách pre účely účtovníctva – 10 rokov), prípadne v rozsahu integrity audit-trailu (najmä wallet_transactions peňaženky spoločnosti, ktoré zostávajú zviazané so spoločnosťou aj po vymazaní jednotlivého používateľa).

12. Prenosy do tretích krajín

12.1. Niektorí sub-sprostredkovatelia (uvedení v Prílohe č. 1) sú so sídlom v USA. Pre tieto prenosy sa uplatňujú štandardné zmluvné doložky (SCC) schválené Európskou komisiou rozhodnutím 2021/914.

12.2. Sprostredkovateľ vyhlasuje, že má so všetkými sub-sprostredkovateľmi mimo EÚ uzatvorené príslušné SCC.

13. Zodpovednosť

13.1. Každá Strana zodpovedá za škody spôsobené porušením povinností vyplývajúcich z tejto DPA podľa GDPR a platných právnych predpisov.

13.2. Maximálna zodpovednosť Sprostredkovateľa voči Prevádzkovateľovi za škody vzniknuté v súvislosti s touto DPA je obmedzená na 100,00 EUR, v súlade s čl. 8.2 VOP. Toto obmedzenie sa neuplatní v prípadoch, kedy GDPR alebo iný kogentný predpis vyžaduje neobmedzenú zodpovednosť.

14. Trvanie a ukončenie DPA

14.1. Táto DPA nadobúda účinnosť dňom akceptácie VOP zo strany Prevádzkovateľa.

14.2. DPA zostáva v platnosti počas celého trvania zmluvného vzťahu medzi Stranami a aj po ňom v rozsahu, v akom Sprostredkovateľ uchováva osobné údaje Prevádzkovateľa.

15. Záverečné ustanovenia

15.1. V prípade rozporu medzi VOP a touto DPA má prednosť táto DPA v otázkach týkajúcich sa spracúvania osobných údajov.

15.2. Táto DPA sa riadi právnym poriadkom Slovenskej republiky.

15.3. Aktuálna verzia tejto DPA je vždy dostupná na: https://www.epodatelna24.sk/legal/dpa

Príloha č. 1 – Zoznam sub-sprostredkovateľov

#Sub-sprostredkovateľAdresa / krajinaÚčel spracúvaniaLokalita spracúvaniaZáruka prenosu
1Supabase Inc.970 Toa Payoh North #07-04, Singapore (s európskym deploymentom)Databáza, autentifikácia, úložisko súborovEÚ – Frankfurt
2Vercel Inc.440 N Barranca Avenue #4133, Covina, CA 91723, USAHosting webovej aplikácie, Vercel Analytics, Vercel Blob (úložisko UBL XML a vyrenderovaných PDF)EÚ – Frankfurt
3Fly.io (Fly, Inc.)2230 California St, San Francisco, CA 94115, USAHosting pracovného procesu (Fly worker) spracúvajúceho prijaté a odosielané dokumentyEÚ – Frankfurt
4Resend, Inc.2261 Market Street #5039, San Francisco, CA 94114, USAOdosielanie transakčných e-mailovUSASCC (rozhodnutie EK 2021/914)
5Twilio Inc.101 Spear Street, 5. poschodie, San Francisco, CA 94105, USAOdosielanie SMS s overovacími kódmiUSASCC (rozhodnutie EK 2021/914)
6Apple Inc. (APNs)One Apple Park Way, Cupertino, CA 95014, USADoručovanie push notifikácií do iOS zariadení používateľaUSASCC (rozhodnutie EK 2021/914)
7Google LLC (FCM)1600 Amphitheatre Parkway, Mountain View, CA 94043, USADoručovanie push notifikácií do Android zariadení používateľaUSASCC (rozhodnutie EK 2021/914)
8ion-AP (Ionite)Prijímanie a odosielanie elektronických faktúr cez sieť Peppol
9Sentry (Functional Software, Inc.)132 Hawthorne Street, San Francisco, CA 94107, USAZaznamenávanie chýb na serveri a v prehliadači používateľaEÚ – Nemecko (*.ingest.de.sentry.io)
10Slack (Salesforce, Inc.)415 Mission Street, 3rd Floor, San Francisco, CA 94105, USANotifikácie pre prevádzkový tím Poskytovateľa pri závažných chybách (iba metadata, žiadny obsah dokumentu)USASCC (rozhodnutie EK 2021/914)
11Healthchecks.io (Monkey See Monkey Do, s.r.o.)Brno, Česká republikaDead-man's switch nad cron jobmi (iba metadata stavu, žiadne osobné údaje)EÚ – ČR

Zoznam je platný od: 2026-05-16

Poznámky:

  1. Systém NOP (Notifikátor okamžitých platieb) prevádzkovaný Finančnou správou SR nie je sub-sprostredkovateľom v zmysle GDPR. Ide o štátny platobný systém, s ktorým Sprostredkovateľ komunikuje výlučne pre účely generovania QR platieb a potvrdzovania prijatia platieb.

  2. KVERKOM (mTLS API pre platobnú integráciu) — komunikuje so štátnou platobnou autoritou a nie je sub-sprostredkovateľom v zmysle GDPR; ide o platobnú integráciu.

  3. zobrazfakturu je interný projekt Poskytovateľa (samostatný Vercel projekt) — render UBL XML → PDF prebieha na rovnakej infraštruktúre ako webová aplikácia (EÚ – Frankfurt). Z hľadiska sub-sprostredkovateľov sa preto započítava pod Vercel (riadok č. 2).

  4. OpenPeppol AISBL (Rond-point Schuman 6, 1040 Brusel, Belgicko) je príjemcom agregovaných a anonymizovaných štatistických údajov o aktivite v sieti Peppol prostredníctvom prevádzkovateľa prístupového bodu (Ionite B.V.). OpenPeppol AISBL nie je sub-sprostredkovateľom v zmysle čl. 28 GDPR, keďže prijíma výlučne anonymizované údaje bez možnosti identifikácie konkrétnej dotknutej osoby. Podrobnosti pozri §6.7 Zásad ochrany osobných údajov.

Príloha č. 2 – História verzií DPA

VerziaÚčinnosť odHlavné zmeny
1.0(pôvodná verzia)Prvá verzia
2.02026-05-16Rebrand peppolbox → ePodatelna24; doplnenie predmetu o odosielanie (§2.1); rozšírenie §4.2 o push tokeny a audit log režimu „pozerať ako"; rozšírenie §7 o append-only ledger, race-guard indexy, HMAC impersonation cookie, prevádzkové monitorovanie (Sentry/Slack/Healthchecks); §10 doplnené o samoobslužné GDPR nástroje (Art. 15 + 17 v Dashboard → Nastavenia); úplne nová Príloha č. 1 — pribudli sub-sprostredkovatelia Fly.io, APNs, FCM, Sentry, Slack, Healthchecks.io.
2.12026-05-23Doplnenie povinnosti sprístupniť identifikačné údaje Prevádzkovateľa prevádzkovateľovi prístupového bodu (§5.1 písm. j); doplnenie poznámky k Prílohe č. 1 o OpenPeppol AISBL ako príjemcovi agregovaných štatistických údajov (poznámka č. 4).

epodatelna24, s. r. o. DPA verzia 2.1 Účinnosť od: 2026-05-23