Zmluva o spracúvaní osobných údajov (DPA)

Čl. 28 GDPR · § 34 zák. 18/2018 Z. z. · Verzia 1.1 (ePN dodatok) · Platná od 1. 6. 2026
Táto zmluva sa uzatvára medzi klientom-zamestnávateľom (prevádzkovateľ) a Lumevo s. r. o. (sprostredkovateľ, prevádzkuje SaaS Bezúčto). Akceptáciou Obchodných podmienok a aktiváciou platenej Služby klient potvrdzuje, že súhlasí s touto DPA. Pre podpísanú písomnú verziu kontaktujte [email protected].
Obsah 1. Zmluvné strany 2. Predmet a účel spracúvania 3. Povinnosti sprostredkovateľa 4. Povinnosti prevádzkovateľa 5. Subprocesori 6. Bezpečnostné opatrenia 7. Bezpečnostné incidenty (čl. 33–34) 8. Práva dotknutých osôb 9. Audit a kontrola 10. Ukončenie a vymazanie údajov 11. Spracúvanie ePN — čl. 9 GDPR 12. Záverečné ustanovenia

1. Zmluvné strany

Sprostredkovateľ (processor):

Prevádzkovateľ (controller): klient identifikovaný pri registrácii v Bezúčto (právnická alebo fyzická osoba, IČO/RČ uvedené v profile).

Spravované firmy (účtovník vedie firmu klienta bez jeho vlastného prístupu): Ak používateľ s rolou účtovníka založí v Bezúčto „spravovanú firmu" pre svojho klienta, ktorý nemá vlastný účet, vystupuje voči Lumevo ako prevádzkovateľ konajúci v mene a na základe mandátu koncového klienta; Lumevo je sprostredkovateľ. Účtovník pri založení takejto firmy vyhlasuje a zaručuje, že má písomný súhlas alebo zmluvný mandát klienta a platný právny základ na spracúvanie jeho osobných údajov vrátane údajov jeho zamestnancov (meno, rodné číslo, mzda, bankový účet) a že koná v súlade s GDPR. Toto vyhlásenie sa zaznamenáva do nezmeniteľného audit logu (záznam managed_firma_created). Účtovník zodpovedá za vybavovanie žiadostí dotknutých osôb (čl. 12–22 GDPR) takejto firmy; Lumevo mu pri ich plnení poskytuje súčinnosť. Účtovník sa zaväzuje nahradiť Lumevo škodu vzniknutú porušením tohto vyhlásenia.

2. Predmet a účel spracúvania

Sprostredkovateľ spracúva osobné údaje výlučne na základe pokynov prevádzkovateľa za účelom poskytovania účtovno-mzdovej Služby Bezúčto, ktorá zahŕňa najmä:

Trvanie: počas trvania zmluvy o poskytovaní Služby + zákonné lehoty uchovávania účtovných dokladov.

3. Povinnosti sprostredkovateľa

Sprostredkovateľ sa zaväzuje:

  1. Spracúvať osobné údaje len na základe doložených pokynov prevádzkovateľa, vrátane pokynov ohľadom prenosov mimo EÚ.
  2. Zabezpečiť, aby osoby s prístupom k údajom boli viazané mlčanlivosťou.
  3. Implementovať technické a organizačné opatrenia podľa čl. 32 GDPR (sekcia 6).
  4. Pomáhať prevádzkovateľovi pri plnení jeho povinností (čl. 32–36 GDPR, čl. 12–22 práva dotknutých osôb).
  5. Po skončení poskytovania Služby vymazať alebo vrátiť osobné údaje (sekcia 10).
  6. Sprístupniť prevádzkovateľovi všetky informácie potrebné na preukázanie súladu s čl. 28 GDPR a umožniť audity (sekcia 9).
  7. Bezodkladne informovať prevádzkovateľa, ak podľa neho pokyn porušuje GDPR alebo iný predpis.

4. Povinnosti prevádzkovateľa

  1. Spracúvať osobné údaje v súlade s GDPR a zák. 18/2018 — sprostredkovateľ neoveruje právny titul prevádzkovateľa.
  2. Informovať dotknuté osoby (čl. 13–14 GDPR) — najmä zamestnancov o spracúvaní mzdových a ePN údajov.
  3. Viesť záznam o spracovateľských činnostiach (čl. 30) na svojej strane.
  4. Pri aktivácii ePN modulu udeliť explicitný súhlas (opt-in) v aplikácii a viesť internú evidenciu opt-out požiadaviek zamestnancov (sekcia 11.6).
  5. Zabezpečiť bezpečnosť svojich prihlasovacích údajov a nezdieľať ich s tretími osobami.

5. Subprocesori

Prevádzkovateľ udeľuje sprostredkovateľovi všeobecné povolenie na využitie nasledovných subprocesorov:

SubprocesorÚčelKrajina / mechanizmus prenosu
Railway, Inc.Hosting aplikácie + PostgreSQL DBUSA — SCC (čl. 46 GDPR)
Stripe Payments EuropeSpracovanie platieb predplatnéhoEÚ (Írsko) + USA — SCC, PCI DSS
Resend, Inc.Transakčné e-mailyUSA — SCC
Anthropic PBCAI asistent (Claude API). Anthropic netrénuje modely na API vstupoch.USA — SCC
Cloudflare, Inc.R2 šifrované zálohy DB, CDNEÚ (Frankfurt)
Functional Software (Sentry)Monitoring chýb (PII redaction)USA — SCC
Pinecone Systems, Inc.Vektorová databáza pre RAG (iba verejná legislatíva, BEZ klientskych údajov)USA — SCC (clickwrap, čl. 28 ods. 3)
Google LLC (Gmail API + Identity + Analytics 4)Gmail scanner BETA (opt-in) + Identity SSO + GA4 návštevnosti (consent-gated)USA — SCC (clickwrap, čl. 28 ods. 3)
Firecrawl, Inc.Scrape verejnej SK legislatívy (BEZ klientskych údajov)USA — SCC
PostHog, Inc.Produktová analytika (behaviorálne eventy prihlásených — EÚ Cloud Frankfurt, localStorage, maskované vstupy, bez session recordingu, len po cookie súhlase)EÚ (Frankfurt) — PostHog Inc. USA (DPF, clickwrap)
FCM / APNS / Mozilla autopushPush notifikácie (E2E šifrovaný payload, opt-in)USA / EÚ
Sociálna poisťovňa SRZdroj dát pre ePN modul (čl. 9 GDPR)SR — orgán verejnej moci (joint controller, NIE processor)

Sprostredkovateľ informuje prevádzkovateľa o akejkoľvek zmene subprocesorov najmenej 30 dní vopred. Prevádzkovateľ má právo namietať; v prípade odôvodnenej námietky bude zmluva ukončená bez sankcií. Úplný a aktuálny zoznam vrátane DPA odkazov je verejne dostupný na /legal/sub-processors.

6. Bezpečnostné opatrenia (čl. 32 GDPR)

7. Bezpečnostné incidenty (čl. 33–34)

Sprostredkovateľ informuje prevádzkovateľa o akomkoľvek porušení ochrany osobných údajov (data breach) bez zbytočného odkladu, najneskôr do 72 hodín od zistenia. Notifikácia obsahuje:

Prevádzkovateľ následne posúdi povinnosť oznámenia ÚOOÚ (čl. 33) a dotknutým osobám (čl. 34). Sprostredkovateľ poskytuje súčinnosť pri vyšetrovaní a remedy.

8. Práva dotknutých osôb (čl. 12–22)

Sprostredkovateľ poskytuje prevádzkovateľovi tieto nástroje na plnenie práv dotknutých osôb:

9. Audit a kontrola

Prevádzkovateľ má právo raz ročne (alebo po incidente) vyžiadať:

Pri nadviazanom auditom riziku alebo zákonnej požiadavke umožní sprostredkovateľ aj on-site audit prevádzkovateľom alebo ním povereným audítorom za primeraných podmienok dohodnutých vopred.

10. Ukončenie a vymazanie údajov

Po ukončení poskytovania Služby sprostredkovateľ na voľbu prevádzkovateľa:

  1. Vráti osobné údaje vo formáte CSV/JSON/XML, alebo
  2. Vymaže osobné údaje

Predvolene: 30 dní po ukončení sa údaje sprístupnia na čítanie a export, následne sa pseudonymizujú. Účtovné doklady ostávajú v evidencii podľa zákonných lehôt (10 rokov § 35 zák. 431/2002). Údaje ePN sa mažú podľa retention 4 roky po skončení prac. pomeru zamestnanca.

11. Spracúvanie ePN — čl. 9 GDPR (osobitná kategória)

Tento dodatok sa aktivuje, ak prevádzkovateľ povolí modul Auto-import elektronickej PN v Nastaveniach Bezúčto. Spracúvanie je v zmysle čl. 9 GDPR osobitne regulované, keďže ide o údaje o zdraví. Aktiváciou modulu prevádzkovateľ potvrdzuje, že spĺňa podmienky čl. 9 ods. 2 písm. b) GDPR.

11.1 Predmet spracúvania

Údaje o dočasnej pracovnej neschopnosti (DPN) zamestnancov prevádzkovateľa získané zo Sociálnej poisťovne SR cez B2B portál eSluzby, konkrétne:

Diagnóza, MKCH-10 kód, ošetrujúci lekár ani zdravotnícke zariadenie sa nespracúvajú — Sociálna poisťovňa ich cez B2B API neposkytuje (privacy-by-design).

11.2 Účel

Výpočet náhrady príjmu pri DPN podľa § 7 a § 8 zákona č. 462/2003 Z. z. (prvých 14 dní zamestnávateľ — pri PN vzniknutej do 31. 12. 2025 prvých 10 dní; potom Sociálna poisťovňa). Údaje sa nepoužívajú na žiaden iný účel, najmä nie na profilovanie alebo automatizované rozhodovanie podľa čl. 22 GDPR.

11.3 Právny titul (čl. 9 ods. 2 GDPR)

11.4 Doba uloženia

4 roky po skončení pracovného pomeru zamestnanca. Lehota je odvodená z § 35 ods. 3 zák. 461/2003 (premlčanie odvodových nárokov). Po uplynutí lehoty sa záznamy ePN automaticky mažú denným cronom (04:30 SELČ).

11.5 Subprocesori pre ePN

SubjektRolaKrajina
Sociálna poisťovňa SR (IČO 30 807 484)Zdroj dát (B2B portál eSluzby)SR — orgán verejnej moci, právny titul § 233 zák. 461/2003
Railway, Inc.Hosting DB (ePN polia šifrované)USA — SCC
Cloudflare R2Šifrovaný backup DBEÚ (Frankfurt)

ePN dáta sa neposkytujú Anthropic API, Resend, Stripe ani žiadnemu inému subprocesoru — modul je z AI asistenta a marketingových emailov vylúčený.

11.6 Bezpečnostné opatrenia

11.7 Povinnosti prevádzkovateľa (klienta-zamestnávateľa)

  1. Informovanie zamestnancov podľa čl. 13–14 GDPR — pred prvým importom ePN musí zamestnávateľ zamestnancov písomne informovať o:
    • Identite prevádzkovateľa a sprostredkovateľa
    • Účele a právnom titule (čl. 9 ods. 2 písm. b) GDPR + § 78)
    • Dobe uchovávania (4 roky po skončení prac. pomeru)
    • Práve namietať (per-zamestnanec opt-out)
    • Práve podať sťažnosť ÚOOÚ
    Bezúčto poskytuje vzorový text v Nastaveniach → ePN → "Vzorové oznámenie zamestnancom".
  2. Vedenie evidencie opt-out požiadaviek — ak zamestnanec namieta podľa čl. 21 GDPR, prevádzkovateľ:
    • Zaeviduje žiadosť (písomná, e-mailová, ústna so záznamom)
    • V Bezúčto v karte zamestnanca zaškrtne epn_optout = TRUE
    • Naďalej plní § 7-8 z. 462/2003 manuálnym zadaním PN potvrdenia (ktoré zamestnanec doručí v listinnej forme zo SP)
  3. Aktivácia modulu — zaškrtnutie opt-in checkboxu v aplikácii sa loguje s timestampom do audit logu ako súčasť vedenia záznamu o spracovateľských činnostiach (čl. 30).
  4. Kontrola IČZ — prevádzkovateľ je povinný uviesť pravdivé IČZ. V prípade zámerne nepravdivého údaja zodpovedá za prípadný cross-tenant únik dát.

11.8 Breach notifikácia pre ePN

Vzhľadom na osobitnú kategóriu údajov (čl. 9) je breach týkajúci sa ePN spravidla vždy oznamovaný ÚOOÚ aj dotknutým osobám (pravdepodobnosť vysokého rizika pre práva a slobody dotknutých osôb). Sprostredkovateľ oznámi prevádzkovateľovi do 72h, prevádzkovateľ následne ÚOOÚ a zamestnancom.

11.9 Obmedzenia spracúvania ePN

Sprostredkovateľ sa zaväzuje:

12. Záverečné ustanovenia

Pre podpísanú písomnú verziu DPA s vašimi firemnými údajmi nás kontaktujte na [email protected].