Zmluva o spracúvaní osobných údajov (DPA)
1. Zmluvné strany
Sprostredkovateľ (processor):
- Lumevo s. r. o.
- Sídlo: Budatínska 24, 851 06 Bratislava
- IČO: 57 600 660
- DIČ: 2122842436
- Štatutár: PhDr. Peter Nováček, PhD.
- Kontakt: [email protected]
Prevádzkovateľ (controller): klient identifikovaný pri registrácii v Bezúčto (právnická alebo fyzická osoba, IČO/RČ uvedené v profile).
Spravované firmy (účtovník vedie firmu klienta bez jeho vlastného prístupu): Ak používateľ s rolou účtovníka založí v Bezúčto „spravovanú firmu" pre svojho klienta, ktorý nemá vlastný účet, vystupuje voči Lumevo ako prevádzkovateľ konajúci v mene a na základe mandátu koncového klienta; Lumevo je sprostredkovateľ. Účtovník pri založení takejto firmy vyhlasuje a zaručuje, že má písomný súhlas alebo zmluvný mandát klienta a platný právny základ na spracúvanie jeho osobných údajov vrátane údajov jeho zamestnancov (meno, rodné číslo, mzda, bankový účet) a že koná v súlade s GDPR. Toto vyhlásenie sa zaznamenáva do nezmeniteľného audit logu (záznam managed_firma_created). Účtovník zodpovedá za vybavovanie žiadostí dotknutých osôb (čl. 12–22 GDPR) takejto firmy; Lumevo mu pri ich plnení poskytuje súčinnosť. Účtovník sa zaväzuje nahradiť Lumevo škodu vzniknutú porušením tohto vyhlásenia.
2. Predmet a účel spracúvania
Sprostredkovateľ spracúva osobné údaje výlučne na základe pokynov prevádzkovateľa za účelom poskytovania účtovno-mzdovej Služby Bezúčto, ktorá zahŕňa najmä:
- Vystavovanie a evidencia faktúr (vydaných a prijatých)
- Účtovné zápisy, hlavná kniha, súvaha, výkaz ziskov a strát
- Mzdové výpočty, evidencia zamestnancov, výpočet odvodov a dane
- DPH priznania, kontrolný výkaz, výkaz zostatkov, daňové priznania
- Auto-import elektronickej PN (ePN) zo Sociálnej poisťovne SR — viac v sekcii 11
- Odosielanie prevádzkových pripomienok klientom prevádzkovateľa v jeho mene (napr. mesačná výzva na zaslanie účtovných dokladov; odpoveď klienta smeruje priamo prevádzkovateľovi) — výlučne ak si ich prevádzkovateľ sám aktivuje, predvolene vypnuté. Evidencia odoslaní sa uchováva počas trvania zmluvy; kontaktný email príjemcu sa pri vymazaní jeho účtu z evidencie odstraňuje
- Komunikácia s Finančnou správou SR (XSD eDane), ÚRZ ZBÚ, Sociálnou poisťovňou
Trvanie: počas trvania zmluvy o poskytovaní Služby + zákonné lehoty uchovávania účtovných dokladov.
3. Povinnosti sprostredkovateľa
Sprostredkovateľ sa zaväzuje:
- Spracúvať osobné údaje len na základe doložených pokynov prevádzkovateľa, vrátane pokynov ohľadom prenosov mimo EÚ.
- Zabezpečiť, aby osoby s prístupom k údajom boli viazané mlčanlivosťou.
- Implementovať technické a organizačné opatrenia podľa čl. 32 GDPR (sekcia 6).
- Pomáhať prevádzkovateľovi pri plnení jeho povinností (čl. 32–36 GDPR, čl. 12–22 práva dotknutých osôb).
- Po skončení poskytovania Služby vymazať alebo vrátiť osobné údaje (sekcia 10).
- Sprístupniť prevádzkovateľovi všetky informácie potrebné na preukázanie súladu s čl. 28 GDPR a umožniť audity (sekcia 9).
- Bezodkladne informovať prevádzkovateľa, ak podľa neho pokyn porušuje GDPR alebo iný predpis.
4. Povinnosti prevádzkovateľa
- Spracúvať osobné údaje v súlade s GDPR a zák. 18/2018 — sprostredkovateľ neoveruje právny titul prevádzkovateľa.
- Informovať dotknuté osoby (čl. 13–14 GDPR) — najmä zamestnancov o spracúvaní mzdových a ePN údajov.
- Viesť záznam o spracovateľských činnostiach (čl. 30) na svojej strane.
- Pri aktivácii ePN modulu udeliť explicitný súhlas (opt-in) v aplikácii a viesť internú evidenciu opt-out požiadaviek zamestnancov (sekcia 11.6).
- Zabezpečiť bezpečnosť svojich prihlasovacích údajov a nezdieľať ich s tretími osobami.
5. Subprocesori
Prevádzkovateľ udeľuje sprostredkovateľovi všeobecné povolenie na využitie nasledovných subprocesorov:
| Subprocesor | Účel | Krajina / mechanizmus prenosu |
|---|---|---|
| Railway, Inc. | Hosting aplikácie + PostgreSQL DB | USA — SCC (čl. 46 GDPR) |
| Stripe Payments Europe | Spracovanie platieb predplatného | EÚ (Írsko) + USA — SCC, PCI DSS |
| Resend, Inc. | Transakčné e-maily | USA — SCC |
| Anthropic PBC | AI asistent (Claude API). Anthropic netrénuje modely na API vstupoch. | USA — SCC |
| Cloudflare, Inc. | R2 šifrované zálohy DB, CDN | EÚ (Frankfurt) |
| Functional Software (Sentry) | Monitoring chýb (PII redaction) | USA — SCC |
| Pinecone Systems, Inc. | Vektorová databáza pre RAG (iba verejná legislatíva, BEZ klientskych údajov) | USA — SCC (clickwrap, čl. 28 ods. 3) |
| Google LLC (Gmail API + Identity + Analytics 4) | Gmail scanner BETA (opt-in) + Identity SSO + GA4 návštevnosti (consent-gated) | USA — SCC (clickwrap, čl. 28 ods. 3) |
| Firecrawl, Inc. | Scrape verejnej SK legislatívy (BEZ klientskych údajov) | USA — SCC |
| PostHog, Inc. | Produktová analytika (behaviorálne eventy prihlásených — EÚ Cloud Frankfurt, localStorage, maskované vstupy, bez session recordingu, len po cookie súhlase) | EÚ (Frankfurt) — PostHog Inc. USA (DPF, clickwrap) |
| FCM / APNS / Mozilla autopush | Push notifikácie (E2E šifrovaný payload, opt-in) | USA / EÚ |
| Sociálna poisťovňa SR | Zdroj dát pre ePN modul (čl. 9 GDPR) | SR — orgán verejnej moci (joint controller, NIE processor) |
Sprostredkovateľ informuje prevádzkovateľa o akejkoľvek zmene subprocesorov najmenej 30 dní vopred. Prevádzkovateľ má právo namietať; v prípade odôvodnenej námietky bude zmluva ukončená bez sankcií. Úplný a aktuálny zoznam vrátane DPA odkazov je verejne dostupný na /legal/sub-processors.
6. Bezpečnostné opatrenia (čl. 32 GDPR)
- Šifrovanie pri prenose: TLS 1.2+ pre všetku komunikáciu (klient ↔ Bezúčto, Bezúčto ↔ subprocesori, Bezúčto ↔ Sociálna poisťovňa).
- Šifrovanie at-rest: citlivé polia (IBAN, Bearer tokeny, prístupové údaje k externým API) cez AES-256-GCM s kľúčom mimo DB. Zálohy DB v R2 šifrované server-side.
- Hashovanie hesiel: bcrypt cost factor 12.
- Izolácia klientov: každý DB query obsahuje filter na úrovni používateľa (row-level isolation), žiadny cross-tenant prístup.
- Audit log: kritické operácie (login, zmena mzdy, fetch ePN, export dát) sa logujú do nemeniteľného auditného logu reťazeného HMAC.
- JWT autentifikácia: 30-dňová platnosť, token revocation cez token_version.
- Rate limiting: 300 req/min globálne, prísnejšie limity pre auth endpointy.
- Monitoring: Sentry s aktívnou PII redakciou (heslá, tokeny, RČ, ePN polia).
- Backup: denný šifrovaný backup do Cloudflare R2 (EÚ, Frankfurt), retention 30 dní.
- Restore drill: kvartálne testovanie obnovy z backupu.
7. Bezpečnostné incidenty (čl. 33–34)
Sprostredkovateľ informuje prevádzkovateľa o akomkoľvek porušení ochrany osobných údajov (data breach) bez zbytočného odkladu, najneskôr do 72 hodín od zistenia. Notifikácia obsahuje:
- Povahu incidentu (kategórie a približný počet dotknutých osôb a záznamov)
- Pravdepodobné dôsledky
- Prijaté alebo navrhované opatrenia
- Kontakt na zodpovednú osobu
Prevádzkovateľ následne posúdi povinnosť oznámenia ÚOOÚ (čl. 33) a dotknutým osobám (čl. 34). Sprostredkovateľ poskytuje súčinnosť pri vyšetrovaní a remedy.
8. Práva dotknutých osôb (čl. 12–22)
Sprostredkovateľ poskytuje prevádzkovateľovi tieto nástroje na plnenie práv dotknutých osôb:
- Prístup (čl. 15): export všetkých údajov používateľa vo formátoch CSV, PDF, XML, JSON
- Oprava (čl. 16): priame UI nástroje na úpravu údajov
- Výmaz (čl. 17): soft-delete + automatická pseudonymizácia po 30 dňoch (denný cron 04:30)
- Obmedzenie (čl. 18): možnosť pozastaviť účet
- Prenosnosť (čl. 20): štruktúrovaný export (CSV/JSON/XML)
- Námietka (čl. 21): per-zamestnanec opt-out checkbox pre automatizované spracovanie ePN
9. Audit a kontrola
Prevádzkovateľ má právo raz ročne (alebo po incidente) vyžiadať:
- Aktuálnu verziu DPIA a záznamu o spracovateľských činnostiach
- Reporty z monitorovania (Sentry, audit log výňatky týkajúce sa jeho účtu)
- Zoznam aktívnych subprocesorov
- Dôkaz o vykonaní restore drill
Pri nadviazanom auditom riziku alebo zákonnej požiadavke umožní sprostredkovateľ aj on-site audit prevádzkovateľom alebo ním povereným audítorom za primeraných podmienok dohodnutých vopred.
10. Ukončenie a vymazanie údajov
Po ukončení poskytovania Služby sprostredkovateľ na voľbu prevádzkovateľa:
- Vráti osobné údaje vo formáte CSV/JSON/XML, alebo
- Vymaže osobné údaje
Predvolene: 30 dní po ukončení sa údaje sprístupnia na čítanie a export, následne sa pseudonymizujú. Účtovné doklady ostávajú v evidencii podľa zákonných lehôt (10 rokov § 35 zák. 431/2002). Údaje ePN sa mažú podľa retention 4 roky po skončení prac. pomeru zamestnanca.
11. Spracúvanie ePN — čl. 9 GDPR (osobitná kategória)
11.1 Predmet spracúvania
Údaje o dočasnej pracovnej neschopnosti (DPN) zamestnancov prevádzkovateľa získané zo Sociálnej poisťovne SR cez B2B portál eSluzby, konkrétne:
- Dátum vzniku DPN (od)
- Dátum ukončenia DPN (do, alebo trvá)
- Príznak je_pracovny_uraz (Áno / Nie)
Diagnóza, MKCH-10 kód, ošetrujúci lekár ani zdravotnícke zariadenie sa nespracúvajú — Sociálna poisťovňa ich cez B2B API neposkytuje (privacy-by-design).
11.2 Účel
Výpočet náhrady príjmu pri DPN podľa § 7 a § 8 zákona č. 462/2003 Z. z. (prvých 14 dní zamestnávateľ — pri PN vzniknutej do 31. 12. 2025 prvých 10 dní; potom Sociálna poisťovňa). Údaje sa nepoužívajú na žiaden iný účel, najmä nie na profilovanie alebo automatizované rozhodovanie podľa čl. 22 GDPR.
11.3 Právny titul (čl. 9 ods. 2 GDPR)
- čl. 9 ods. 2 písm. b) GDPR — pracovné právo, sociálne zabezpečenie a sociálna ochrana
- § 78 ods. 2 zák. 18/2018 Z. z. — výnimka zo zákazu spracúvania osobitnej kategórie
- § 7 a § 8 zákona č. 462/2003 Z. z. — povinnosť zamestnávateľa
- § 233 zák. 461/2003 Z. z. — oprávnenie zamestnávateľa získavať údaje zo SP
11.4 Doba uloženia
4 roky po skončení pracovného pomeru zamestnanca. Lehota je odvodená z § 35 ods. 3 zák. 461/2003 (premlčanie odvodových nárokov). Po uplynutí lehoty sa záznamy ePN automaticky mažú denným cronom (04:30 SELČ).
11.5 Subprocesori pre ePN
| Subjekt | Rola | Krajina |
|---|---|---|
| Sociálna poisťovňa SR (IČO 30 807 484) | Zdroj dát (B2B portál eSluzby) | SR — orgán verejnej moci, právny titul § 233 zák. 461/2003 |
| Railway, Inc. | Hosting DB (ePN polia šifrované) | USA — SCC |
| Cloudflare R2 | Šifrovaný backup DB | EÚ (Frankfurt) |
ePN dáta sa neposkytujú Anthropic API, Resend, Stripe ani žiadnemu inému subprocesoru — modul je z AI asistenta a marketingových emailov vylúčený.
11.6 Bezpečnostné opatrenia
- AES-256-GCM šifrovanie Bearer tokenu zamestnávateľa do SP B2B (DB stĺpec sp_b2b_token_enc, kľúč BANK_ENCRYPTION_KEY mimo DB)
- Row-level isolation: každý SQL query filtruje WHERE user_id = $N AND ico_zamestnavatel = $companies.ico — IČZ verifikácia z dôveryhodného zdroja, nie z user inputu
- Audit log: každý fetch ePN a každá retention delete operácia sa loguje (kto, kedy, koľko záznamov; bez obsahu)
- Sentry redaction: beforeSend hook striá tokeny a polia ePN z chybových reportov
- Token rotation: automatická pripomienka na rotáciu Bearer tokenu po 90 dňoch
- TLS 1.2+ k Sociálnej poisťovni
- Žiadne plain-text logy payloadu ePN (ani v debug, ani v console)
11.7 Povinnosti prevádzkovateľa (klienta-zamestnávateľa)
- Informovanie zamestnancov podľa čl. 13–14 GDPR — pred prvým importom ePN musí zamestnávateľ zamestnancov písomne informovať o:
- Identite prevádzkovateľa a sprostredkovateľa
- Účele a právnom titule (čl. 9 ods. 2 písm. b) GDPR + § 78)
- Dobe uchovávania (4 roky po skončení prac. pomeru)
- Práve namietať (per-zamestnanec opt-out)
- Práve podať sťažnosť ÚOOÚ
- Vedenie evidencie opt-out požiadaviek — ak zamestnanec namieta podľa čl. 21 GDPR, prevádzkovateľ:
- Zaeviduje žiadosť (písomná, e-mailová, ústna so záznamom)
- V Bezúčto v karte zamestnanca zaškrtne
epn_optout = TRUE - Naďalej plní § 7-8 z. 462/2003 manuálnym zadaním PN potvrdenia (ktoré zamestnanec doručí v listinnej forme zo SP)
- Aktivácia modulu — zaškrtnutie opt-in checkboxu v aplikácii sa loguje s timestampom do audit logu ako súčasť vedenia záznamu o spracovateľských činnostiach (čl. 30).
- Kontrola IČZ — prevádzkovateľ je povinný uviesť pravdivé IČZ. V prípade zámerne nepravdivého údaja zodpovedá za prípadný cross-tenant únik dát.
11.8 Breach notifikácia pre ePN
Vzhľadom na osobitnú kategóriu údajov (čl. 9) je breach týkajúci sa ePN spravidla vždy oznamovaný ÚOOÚ aj dotknutým osobám (pravdepodobnosť vysokého rizika pre práva a slobody dotknutých osôb). Sprostredkovateľ oznámi prevádzkovateľovi do 72h, prevádzkovateľ následne ÚOOÚ a zamestnancom.
11.9 Obmedzenia spracúvania ePN
Sprostredkovateľ sa zaväzuje:
- Nepoužívať ePN dáta na žiadne profilovanie, štatistiku alebo benchmarking (interný ani externý)
- Neagregovať ePN dáta naprieč klientami
- Nepublikovať a neposkytovať tretím stranám okrem zákonom vyžadovaných prípadov
- Pri ukončení Služby vymazať ePN dáta podľa sekcie 10 (s prednosťou pred prípadným exportom — ak prevádzkovateľ chce export ePN, musí explicitne požiadať a doložiť právny titul)
12. Záverečné ustanovenia
- Táto DPA sa riadi právom Slovenskej republiky a GDPR (Nariadenie EÚ 2016/679).
- V prípade rozporu medzi DPA a Obchodnými podmienkami má prednosť DPA vo veciach ochrany osobných údajov.
- Zmeny DPA budú oznámené prevádzkovateľovi e-mailom najmenej 30 dní vopred. Pokračovanie v používaní Služby po nadobudnutí účinnosti zmien znamená súhlas s novou verziou.
- Aktuálna verzia: 1.1 (ePN dodatok), platná od 1. 6. 2026. História verzií je dostupná na vyžiadanie.
Pre podpísanú písomnú verziu DPA s vašimi firemnými údajmi nás kontaktujte na [email protected].