Zmluva o spracovaní osobných údajov (DPA)

Táto Zmluva o spracovaní osobných údajov (ďalej len „DPA") sa uzatvára podľa článku 28 Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 (GDPR) medzi Používateľom služby Fakturuj.si (ďalej len „Prevádzkovateľ") a spoločnosťou Elite Digital Services, LLC, prevádzkovateľom služby Fakturuj.si (ďalej len „Sprostredkovateľ"). Táto DPA je neoddeliteľnou súčasťou Všeobecných obchodných podmienok.

1. Definície

  • Prevádzkovateľ – Používateľ služby Fakturuj.si, ktorý určuje účely a prostriedky spracúvania osobných údajov svojich klientov prostredníctvom služby.
  • Sprostredkovateľ – Elite Digital Services, LLC, ktorá spracúva osobné údaje v mene Prevádzkovateľa prostredníctvom služby Fakturuj.si.
  • Dotknutá osoba – fyzická osoba, ktorej osobné údaje sú spracúvané (klienti Používateľa, kontaktné osoby).
  • Osobné údaje – akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby v zmysle článku 4 ods. 1 GDPR.
  • Spracúvanie – akákoľvek operácia alebo súbor operácií s osobnými údajmi v zmysle článku 4 ods. 2 GDPR.
  • Sub-sprostredkovateľ – tretia strana poverená Sprostredkovateľom na vykonávanie časti spracúvania osobných údajov.

2. Rozsah a účel spracúvania

2.1 Predmet

Predmetom tejto DPA je spracúvanie osobných údajov Sprostredkovateľom v mene Prevádzkovateľa prostredníctvom online fakturačnej platformy Fakturuj.si.

2.2 Trvanie

Spracúvanie osobných údajov trvá po celú dobu trvania zmluvného vzťahu medzi Prevádzkovateľom a Sprostredkovateľom (t.j. po dobu aktívneho účtu Používateľa v službe Fakturuj.si).

2.3 Povaha a účel

Účelom spracúvania je poskytovanie SaaS platformy na vytváranie, správu a odosielanie faktúr a súvisiacich dokumentov. Osobné údaje sú spracúvané na účely:

  • Vytváranie a správa faktúr, cenových ponúk a dodacích listov
  • Evidencia klientov Používateľa
  • Generovanie a odosielanie dokumentov e-mailom
  • Export dát v rôznych formátoch

2.4 Kategórie dotknutých osôb

  • Klienti Používateľa (odberatelia faktúr)
  • Kontaktné osoby klientov Používateľa

2.5 Typy osobných údajov

  • Kontaktné údaje: meno, priezvisko, e-mailová adresa, telefónne číslo, poštová adresa
  • Fakturačné údaje: fakturačná adresa, bankové údaje (IBAN, SWIFT/BIC)
  • Identifikačné údaje firmy: obchodné meno, IČO, DIČ, IČ DPH, sídlo spoločnosti

3. Povinnosti Sprostredkovateľa

Sprostredkovateľ sa zaväzuje:

  1. Spracúvať osobné údaje výlučne podľa zdokumentovaných pokynov Prevádzkovateľa, vrátane pokynov týkajúcich sa prenosov osobných údajov do tretích krajín, pokiaľ to nevyžaduje právo Únie alebo členského štátu.
  2. Zabezpečiť, aby sa osoby oprávnené spracúvať osobné údaje zaviazali k mlčanlivosti alebo aby sa na ne vzťahovala zákonná povinnosť mlčanlivosti.
  3. Prijať všetky bezpečnostné opatrenia požadované podľa článku 32 GDPR, ako je uvedené v bode 4 tejto DPA.
  4. Dodržiavať podmienky zapojenia sub-sprostredkovateľov uvedené v bode 5 tejto DPA.
  5. Poskytnúť Prevádzkovateľovi súčinnosť pri vybavovaní žiadostí dotknutých osôb o uplatnenie ich práv podľa kapitoly III GDPR (právo na prístup, opravu, vymazanie, prenosnosť údajov a pod.).
  6. Poskytnúť Prevádzkovateľovi súčinnosť pri zabezpečení súladu s povinnosťami podľa článkov 32 až 36 GDPR (bezpečnosť spracúvania, posúdenie vplyvu na ochranu údajov, predchádzajúca konzultácia).
  7. Po ukončení poskytovania služieb vymazať alebo vrátiť všetky osobné údaje Prevádzkovateľovi podľa jeho voľby a vymazať existujúce kópie, pokiaľ právo Únie alebo členského štátu nevyžaduje uchovávanie.
  8. Poskytnúť Prevádzkovateľovi všetky informácie potrebné na preukázanie plnenia povinností podľa článku 28 GDPR a umožniť a prispieť k auditom vrátane inšpekcií.
  9. Viesť záznamy o všetkých kategóriách činností spracúvania vykonávaných v mene Prevádzkovateľa v súlade s článkom 30 ods. 2 GDPR.
  10. Uplatňovať zásady ochrany údajov už od návrhu a štandardne (privacy-by-design a privacy-by-default) v súlade s článkom 25 GDPR.

4. Bezpečnostné opatrenia

Sprostredkovateľ implementuje a udržiava nasledujúce technické a organizačné bezpečnostné opatrenia:

  • Šifrovanie prenosu: TLS 1.2+ pre všetku komunikáciu medzi klientom a serverom.
  • Šifrovanie dát: šifrovanie citlivých dát v úložisku (encryption at rest).
  • Riadenie prístupu: riadenie prístupu na základe rolí (RBAC) a viacfaktorová autentifikácia (MFA) pre administrátorský prístup.
  • Zálohovanie: denné automatické zálohy s uchovávaním po dobu 30 dní.
  • Hosting: služba je hostovaná na infraštruktúre DigitalOcean (región: Frankfurt, Nemecko, EÚ) s certifikáciami SOC 2 Type II a ISO 27001.
  • Aktualizácie: pravidelné aktualizácie softvéru a bezpečnostné záplaty.
  • Hashovanie hesiel: heslá Používateľov sú ukladané výlučne v hashovanej podobe s použitím moderných algoritmov.
  • Logging a monitoring: logovanie prístupov a bezpečnostných udalostí, monitoring dostupnosti a výkonu.
  • Incident response: zavedený postup reakcie na bezpečnostné incidenty vrátane oznamovania porušení ochrany údajov.

5. Sub-sprostredkovatelia

5.1 Schválení sub-sprostredkovatelia

Prevádzkovateľ udeľuje všeobecné písomné povolenie na zapojenie sub-sprostredkovateľov. Aktuálny zoznam schválených sub-sprostredkovateľov:

Sub-sprostredkovateľ Účel Sídlo
DigitalOcean, LLC Hosting a infraštruktúra USA / EÚ
Brevo (Sendinblue) E-mailová komunikácia (odosielanie faktúr, notifikácie) Francúzsko, EÚ
Sentry (Functional Software, Inc.) Monitorovanie chýb a výkonnosti aplikácie USA (EU dáta spracované v EÚ)
Stripe, Inc. Spracovanie platobných transakcií USA / EÚ

Poskytovateľ nevlastní, neprenajíma ani neprevádzkuje vlastné dátové centrá ani fyzickú infraštruktúru v žiadnej krajine. Všetky služby sú prevádzkované prostredníctvom cloudovej infraštruktúry vyššie uvedených subprocesorov.

5.2 Oznámenie o zmene

Sprostredkovateľ informuje Prevádzkovateľa o akýchkoľvek zamýšľaných zmenách v zozname sub-sprostredkovateľov minimálne 30 dní vopred, čím Prevádzkovateľovi umožní vzniesť námietky proti takýmto zmenám.

Ak Prevádzkovateľ vznesie oprávnenú námietku proti novému subprocesorovi do 30 dní od oznámenia, Sprostredkovateľ vynaloží primerané úsilie na zabezpečenie alternatívneho riešenia. Ak alternatívne riešenie nie je možné, Prevádzkovateľ je oprávnený ukončiť zmluvu v rozsahu dotknutých služieb.

5.3 Rovnaké povinnosti

Sprostredkovateľ zabezpečí, aby na každého sub-sprostredkovateľa boli prostredníctvom zmluvy uložené rovnaké povinnosti ochrany údajov, aké sú stanovené v tejto DPA.

6. Práva dotknutých osôb

  • Sprostredkovateľ bez zbytočného odkladu oznámi Prevádzkovateľovi každú žiadosť dotknutej osoby o uplatnenie jej práv (DSAR - Data Subject Access Request).
  • Sprostredkovateľ poskytne Prevádzkovateľovi primeranú súčinnosť pri vybavovaní žiadostí dotknutých osôb.
  • Služba Fakturuj.si poskytuje nástroje na export a vymazanie údajov klientov, ktoré Prevádzkovateľ môže použiť na vybavenie žiadostí dotknutých osôb.

7. Posúdenie vplyvu na ochranu údajov (DPIA)

Vykonanie posúdenia vplyvu na ochranu údajov (DPIA) podľa článku 35 GDPR je zodpovednosťou Prevádzkovateľa. Sprostredkovateľ poskytne Prevádzkovateľovi všetky informácie potrebné na vykonanie DPIA v súvislosti so spracúvaním osobných údajov prostredníctvom služby Fakturuj.si.

8. Oznámenie o porušení ochrany osobných údajov

Sprostredkovateľ sa zaväzuje:

  • Oznámiť Prevádzkovateľovi akékoľvek porušenie ochrany osobných údajov bez zbytočného odkladu, najneskôr do 72 hodín od zistenia porušenia.
  • Poskytnúť Prevádzkovateľovi dostatočné informácie na splnenie oznamovacej povinnosti podľa článkov 33 a 34 GDPR, vrátane povahy porušenia, kategórií a počtu dotknutých osôb, pravdepodobných následkov a prijatých opatrení.

9. Uchovávanie a vymazanie údajov

  • Po ukončení zmluvy (zrušení účtu) má Prevádzkovateľ 30 dní na export všetkých svojich údajov prostredníctvom exportných nástrojov služby.
  • Po uplynutí 30-dňovej lehoty Sprostredkovateľ bezpečne vymaže všetky osobné údaje spracúvané v mene Prevádzkovateľa, pokiaľ právne predpisy nevyžadujú ich ďalšie uchovávanie.
  • Na žiadosť Prevádzkovateľa poskytne Sprostredkovateľ písomné potvrdenie o vymazaní údajov.

10. Medzinárodné prenosy údajov

V prípade prenosu osobných údajov mimo Európsky hospodársky priestor (EHP) Sprostredkovateľ zabezpečí primerané záruky v súlade s kapitolou V GDPR, a to najmä:

  • Štandardné zmluvné doložky (Standard Contractual Clauses - SCCs) schválené Európskou komisiou podľa článku 46 ods. 2 GDPR.
  • Rámec ochrany osobných údajov medzi EÚ a USA (EU-US Data Privacy Framework), ak je príjemca údajov certifikovaný v rámci tohto programu.
  • Posúdenie vplyvu prenosu (Transfer Impact Assessment - TIA) na zabezpečenie primeranej úrovne ochrany v cieľovej krajine.

11. Audity a kontroly

  • Prevádzkovateľ má právo vykonať audit súladu Sprostredkovateľa s touto DPA, a to po predchádzajúcom písomnom oznámení minimálne 30 dní vopred.
  • Audity sa vykonávajú maximálne jedenkrát za 12 mesiacov, pokiaľ nie je audit vyvolaný konkrétnym porušením alebo požiadavkou dozorného orgánu.
  • Náklady na audit znáša Prevádzkovateľ, pokiaľ audit nepreukáže závažné porušenie tejto DPA zo strany Sprostredkovateľa.

12. Zodpovednosť

Zodpovednosť zmluvných strán sa riadi ustanoveniami Všeobecných obchodných podmienok služby Fakturuj.si a príslušnými právnymi predpismi.

13. Zástupca v EÚ

Sprostredkovateľ ako spoločnosť so sídlom mimo EÚ ustanovil zástupcu v EÚ podľa článku 27 GDPR. Zástupca v EÚ plní výhradne funkcie podľa článku 27 GDPR a nevykonáva žiadnu obchodnú činnosť v mene Sprostredkovateľa. Zástupca nezakladá stálu prevádzkareň (Permanent Establishment) Sprostredkovateľa v EÚ.

Euro business company Kft.
Sídlo: Rómer Flóris utca 8/B. 3.em., 1024 Budapest, Maďarsko
Daňové číslo: 28959364-2-41
IČ DPH: HU28959364
E-mail: [email protected]

14. Rozhodné právo

Táto Dohoda o spracovaní osobných údajov sa riadi právom štátu Delaware, USA, a tvorí neoddeliteľnú súčasť Všeobecných obchodných podmienok. V záležitostiach ochrany osobných údajov sa aplikujú výlučne kogentné ustanovenia Nariadenia (EÚ) 2016/679 (GDPR) v rozsahu, v akom sú priamo aplikovateľné.

15. Kontakt

V prípade otázok týkajúcich sa tejto DPA nás kontaktujte:

Elite Digital Services, LLC
Sídlo: 1111B S Governors Ave #21653, Dover, DE 19904, USA
E-mail: [email protected]
Web: www.fakturuj.si

Posledná aktualizácia: marec 2026