Zásady ochrany osobných údajov (BETA)
Verzia: 0.9-beta | Platnosť od: 17. 4. 2026
1. Prevádzkovateľ (správca osobných údajov)
Správcom osobných údajov je zakladateľ projektu NaradoShare (fyzická osoba — jednotlivec, nie obchodná spoločnosť). Kontakt pre všetky žiadosti podľa GDPR: privacy@naradoshare.eu.
Spracúvanie prebieha v súlade s Nariadením (EÚ) 2016/679 (GDPR) a zákonom č. 18/2018 Z.z. o ochrane osobných údajov.
2. Aké osobné údaje spracúvame
| Kategória údajov | Konkrétne údaje | Právny základ | Doba uchovávania |
|---|---|---|---|
| Identifikácia účtu | meno, e-mail, heslo (hash bcrypt) | čl. 6(1)(b) GDPR — plnenie zmluvy | 3 roky od poslednej aktivity |
| Kontaktné údaje | telefón, mesto, ulica, PSČ, krajina | čl. 6(1)(a) — súhlas | do odvolania alebo zrušenia účtu |
| Profil | avatar, bio, odkazy na sociálne siete | čl. 6(1)(a) — súhlas | do vymazania profilu |
| Overenie | emailVerified flag, log overení | čl. 6(1)(b) — plnenie zmluvy | 3 roky od poslednej aktivity |
| Prenájmy | história výpožičiek, recenzie, hodnotenia | čl. 6(1)(b) — plnenie zmluvy | 3 roky od ukončenia prenájmu |
| Komunikácia | správy v chate medzi používateľmi | čl. 6(1)(b) + (f) | 3 roky od poslednej správy |
| Platby (simulované) | suma, mena, status, ID transakcie | čl. 6(1)(b); po go-live (c) | beta: 3 roky; produkcia: 10 rokov |
| Calendar sync tokeny | OAuth refresh tokeny (šifrované) | čl. 6(1)(a) — súhlas | do odpojenia integrácie |
| Technické údaje | IP, user-agent, request ID | čl. 6(1)(f) — bezpečnosť | 90 dní |
3. Právny základ a účel
- Plnenie zmluvy (čl. 6(1)(b)): registrácia, prenájom, komunikácia, platby, riešenie sporov
- Súhlas (čl. 6(1)(a)): voliteľné profilové údaje, marketingové e-maily, Calendar sync
- Zákonná povinnosť (čl. 6(1)(c)): účtovná evidencia (po go-live), reakcia na rozhodnutia orgánov
- Oprávnený záujem (čl. 6(1)(f)): bezpečnosť, prevencia podvodov, dôkazy v sporoch — vykonali sme balancing test, záujmy používateľov neprevažujú
- Prístup (čl. 15) — získať kópiu vašich údajov
- Oprava (čl. 16) — opraviť nepresné údaje priamo v profile alebo žiadosťou
- Výmaz (čl. 17) — „právo byť zabudnutý", realizujeme do 30 dní od žiadosti
- Obmedzenie (čl. 18) — dočasné pozastavenie spracúvania
- Prenositeľnosť (čl. 20) — export údajov v strojovo čitateľnom formáte (JSON)
- Námietka (čl. 21) — proti spracúvaniu na základe oprávneného záujmu
- Odvolanie súhlasu (čl. 7 ods. 3) — kedykoľvek
- Sťažnosť na dozorný orgán: Úrad na ochranu osobných údajov SR, Hraničná 12, 820 07 Bratislava, dataprotection.gov.sk
- Esenciálne cookies (bez súhlasu podľa čl. 5 ods. 3 ePrivacy smernice): autentifikačný JWT v HttpOnly cookie, CSRF token, session
- Plausible Analytics — agregovaná, cookieless štatistika. Nespracúva osobné údaje podľa stanoviska EDPB.
- LocalStorage (nie cookies): preferovaný jazyk, uložený consent pre marketing, UI nastavenia
4. Sprostredkovatelia (sub-processors)
| Služba | Účel | Lokalita | DPA / SCC |
|---|---|---|---|
| Resend | transakčné e-maily | USA | DPA + SCC — resend.com/legal/dpa |
| Railway | hosting backendu + PostgreSQL | EÚ (Amsterdam) | DPA — railway.app/legal/dpa |
| Vercel | hosting frontendu, edge CDN | EÚ/globálne edge | DPA + SCC — vercel.com/legal/dpa |
| Comgate | platobná brána — počas bety iba SANDBOX | ČR | DPA — help.comgate.cz/docs/dpa |
| Plausible | anonymná štatistika (cookieless) | EÚ (DE) | bez osobných údajov — plausible.io/data-policy |
5. Vaše práva (čl. 15–22 GDPR)
Žiadosti zasielajte na privacy@naradoshare.eu. Odpovedáme do 30 dní.
6. Cookies a sledovacie technológie
NaradoShare používa minimálnu sadu cookies:
Ak v budúcnosti pridáme sledovacie cookies, zobrazíme cookie banner s explicitným opt-in.
7. Bezpečnosť údajov
Heslá hashujeme bcryptom (cost 12+), komunikácia prebieha cez HTTPS/TLS 1.2+, JWT tokeny majú krátku platnosť a rotujú sa. Máme nasadený rate limiting proti brute-force útokom a auditný log pre kritické akcie.
Notifikácia úniku dát: oznámime incident Úradu na ochranu osobných údajov SR do 72 hodín (čl. 33 GDPR) a dotknutým používateľom bez zbytočného odkladu (čl. 34 GDPR).
8. Automatizované rozhodovanie
Nevykonávame automatizované rozhodovanie s právnym účinkom ani profilovanie podľa čl. 22 GDPR. Kľúčové rozhodnutia (dispute, suspension) robí človek.
9. Ochrana maloletých
Služba je určená osobám starším ako 18 rokov. Údaje osôb mladších vedome nespracúvame. Ak zistíme, že účet patrí maloletému, účet zrušíme a údaje vymažeme.
10. Zmeny zásad
Podstatné zmeny oznámime e-mailom a vyznačíme v hornej časti tohto dokumentu minimálne 30 dní pred nadobudnutím účinnosti.