Sub-processors Bezúčto

Článok 28 GDPR · Posledná aktualizácia: 2. 7. 2026 · Verzia 1.8

Bezúčto je SaaS účtovnícky nástroj a v zmysle GDPR vystupuje ako sprostredkovateľ (processor) pri spracovaní osobných údajov v mene klienta-prevádzkovateľa. Na poskytovanie služby využívame nižšie uvedených sub-sprostredkovateľov (sub-processors) — výhradne overených dodávateľov s GDPR-compliant DPA a SCC pri prenose mimo EÚ.

Verejný zoznam sub-processors (subdodávateľov spracúvania) podľa čl. 28 ods. 2 GDPR. Pri pridaní nového sub-processora dostanete 30-dňový predchádzajúci notice e-mailom a v aplikácii s právom namietať bez sankcie (čl. 28 ods. 2 druhý pododsek GDPR).

Bezúčto (prevádzkované spoločnosťou Lumevo s. r. o.) využíva nižšie uvedených sub-processors na hosting, infraštruktúru, platby, monitoring a komunikáciu. So všetkými je uzavreté Data Processing Agreement (DPA) podľa čl. 28 GDPR — platné cez clickwrap akceptáciu obchodných podmienok poskytovateľa, ktorých je DPA neoddeliteľnou súčasťou (viď sekciu Platnosť DPA bez podpisu). Prenos údajov mimo EÚ prebieha výhradne na základe Standard Contractual Clauses (SCC, Decision 2021/914).

Aktuálny zoznam sub-processors #

DPA clickwrap uzavretá akceptáciou obchodných podmienok poskytovateľa (čl. 28 ods. 3 GDPR) bez DPA orgán verejnej moci / bez PII / opt-in
Spoločnosť Účel Krajina DPA Pridané
Stripe Payments Europe Ltd. Spracovanie platieb (karty, subscription, Payment Links). PCI DSS scope na strane Stripe — Bezúčto neukladá kartové údaje. DPA ↗ Írsko (EÚ) + USA (SCC) DPA clickwrap 2026-04
Resend, Inc. Doručovanie transakčných e-mailov (verifikácia, upomienky, notifikácie). DPA ↗ USA (SCC) DPA clickwrap 2026-04
Anthropic, PBC AI asistent (Claude API — kategorizácia, AI Tax Planner, AI chat). Anthropic netrénuje modely na vstupoch klientov (per Commercial Terms). Commercial Terms ↗ · DPA ↗ USA (SCC) DPA clickwrap 2026-05
Cloudflare, Inc. CDN, Workers (Email Routing pre in.bezucto.sk + bmail.bezucto.sk), R2 (šifrované DB zálohy — gzip + AES). DPA ↗ EÚ (Frankfurt) + global edge DPA clickwrap 2026-04
Sentry (Functional Software, Inc.) Monitoring chýb + Session Replay. PII redaction aktívna — IBAN/RČ/e-mail/JWT scrub-nuté pred odoslaním. DPA ↗ USA (SCC) DPA clickwrap 2026-04
Railway Corp. Hosting Node.js aplikácie + PostgreSQL databáza (encrypted at rest). DPA ↗ USA (SCC) DPA clickwrap 2026-04
Pinecone Systems, Inc. Vektorová databáza pre anti-halucinačný RAG. Index obsahuje VÝLUČNE: verejnú SK legislatívu (paragrafy zákonov), kanonické FAQ, interné learning poznámky. Žiadne klientske údaje, faktúry, IČO, sumy ani PII sa do indexu neukladajú. DPA ↗ (SCC moduly v sekcii 11.3) USA (SCC) DPA clickwrap 2026-05
OpenAI, L.L.C. Generovanie vektorových embeddingov (model text-embedding-3-small) pre anti-halucinačný RAG. Pred vyhľadaním v Pinecone sa text otázky používateľa AI asistentovi odošle OpenAI na embedding — môže obsahovať kontext, ktorý používateľ do otázky zadá. OpenAI netrénuje modely na API vstupoch (API Data Usage Policy), retencia ≤ 30 dní (abuse monitoring). DPA ↗ USA (SCC) DPA clickwrap 2026-06
Google LLC (Gmail API + Identity + Analytics 4) Gmail API — BETA opt-in scanner prichádzajúcich faktúr v inboxe klienta (žiadne emaily sa neukladajú dlhodobo, iba parsing → záznam faktúry). Google Identity — voliteľné SSO prihlásenie cez Google účet. Google Analytics 4 — návštevnosť landing page + app: cookieless ping default (Consent Mode v2 default denied), `_ga`/`_ga_*` cookies až po cookie súhlase, anonymize_ip vždy zapnuté, žiadne ad-cookies. Google Cloud DPA ↗ USA (SCC) DPA clickwrap 2026-05
Firecrawl, Inc. Web scrape SK legislatívneho changelogu (Slov-lex, FS SR, Mihál, Relia, Podnikajte). Žiadne osobné ani klientske údaje — iba verejné zdrojové URL pre týždenný digest. firecrawl.dev ↗ USA (SCC) bez PII 2026-05
PostHog, Inc. Produktová analytika (behaviorálne eventy prihlásených používateľov — napr. section_view, použitie funkcie). EÚ Cloud (Frankfurt, AWS eu-central-1) — dáta zostávajú v EÚ. localStorage (žiadne tracking cookies), mask_all_inputs (IBAN/RČ/heslá sa nesnímajú), session recording aj autocapture vypnuté, identifikácia len interným ID účtu (NIE e-mail/IČO/IBAN). Aktívne výhradne po cookie súhlase. DPA ↗ EÚ (Frankfurt) · PostHog Inc. USA (DPF) DPA clickwrap 2026-05
Sociálna poisťovňa SR Zdroj ePN dát (B2B portál eSluzby) — auto-import dočasnej pracovnej neschopnosti zamestnancov. Žiadne diagnózy — iba dátumy DPN + príznak prac. úrazu. SR orgán verejnej moci 2026-05 (po SP B2B reg klienta)
Google FCM · Apple APNS · Mozilla autopush Push notifikácie (ECDH+AES-GCM šifrovaný payload, opt-in only). Doručovacie servery vidia iba zašifrovanú správu, nie obsah. USA / EÚ opt-in only 2026-04

Platnosť DPA bez podpisu (clickwrap) #

Pri všetkých sub-processoroch je DPA platné cez clickwrap akceptáciu obchodných podmienok pri registrácii Lumevo s. r. o. ako zákazníka — DPA je neoddeliteľnou súčasťou zmluvných podmienok poskytovateľa (Commercial Terms / Services Agreement / Customer Agreement). Žiadne DPA nie je uzavreté ako countersigned PDF dokument; taký dokument poskytovatelia ponúkajú len voliteľne na vyžiadanie a pre súlad s GDPR nie je potrebný.

Toto je v plnom súlade s čl. 28 ods. 3 GDPR, ktorý vyžaduje "zmluvu alebo iný právny akt" (en. "a contract or other legal act") — výslovne nevyžaduje podpis. Klikwrapová akceptácia ToS, ktorých neoddeliteľnou súčasťou je DPA, je platným záväzkom prevádzkovateľa aj sprostredkovateľa. SCC moduly 2 (controller → processor) a 3 (processor → sub-processor) sú zahrnuté v štandardných textoch DPA týchto poskytovateľov.

Kópiu týchto verejne zverejnených DPA si môžete kedykoľvek stiahnuť z odkazov v tabuľke vyššie. Na základe písomnej žiadosti ([email protected]) poskytneme aj internú dokumentáciu o dátume a spôsobe akceptácie ToS Lumevom.

Externé API zdroje a príjemcovia údajov #

Tieto systémy nie sú sub-processormi v zmysle čl. 28 GDPR — nespracúvajú údaje v našom mene ani podľa našich pokynov. Buď z nich Bezúčto dáta iba číta (read-only import na klientov pokyn, čl. 6 ods. 1 písm. b) GDPR — plnenie zmluvy), alebo im odovzdáva výlučne krátky vyhľadávací dopyt (IČO / obchodné meno) a oni ho spracúvajú ako samostatní prevádzkovatelia pre vlastnú službu (príjemcovia podľa čl. 4 ods. 9 a čl. 30 ods. 1 písm. d) GDPR):

SystémÚčelLokalitaAktivácia
SuperFaktúra (SF) Read-only API import historických vydaných + prijatých faktúr. API kľúč šifrovaný AES-256-GCM. Bezúčto neposiela dáta späť. SR opt-in (klient zadá API kľúč)
POHODA (Stormware) · ABRA Flexi Read-only XML upload (bez API prepojenia). Klient exportuje XML a manuálne uploaduje. SR / EÚ opt-in (manuálny upload)
FS SR (fs-vies + fs-rpo) Verejné read-only volania — overovanie IČ DPH (VIES) a vyhľadávanie IČO (Register právnických osôb ŠÚ SR). Bezúčto pošle iba IČO/VAT číslo na overenie. EÚ + SR automatické (verejné API)
FinStat, s. r. o. Autofill firemných údajov pri registrácii, overenie protistrany a hodnotenie rizika partnera. Bezúčto odovzdá iba IČO alebo hľadaný reťazec (obchodné meno — pri SZČO obsahuje meno a priezvisko FO); FinStat odpovedá údajmi zo svojej databázy zostavenej z oficiálnych štátnych registrov. FinStat je samostatný prevádzkovateľ (deklaruje to vo vlastných zásadách OOÚ ↗) — príjemca údajov podľa čl. 30 ods. 1 písm. d) GDPR, nie sub-processor. Právny základ: čl. 6 ods. 1 písm. f) — oprávnený záujem na overení obchodného partnera z verejných zdrojov; pri autofille vlastných údajov čl. 6 ods. 1 písm. b). SR (EÚ) — IČO 47 165 367, Bratislava automatické (funkcia overenia / autofill)

Kategórie spracúvaných údajov #

Pre každého sub-processora je rozsah obmedzený na nevyhnutné minimum (data minimization, čl. 5 ods. 1 písm. c) GDPR):

DPH samozdanenie sub-processor faktúr #

Lumevo s. r. o. nie je platiteľom DPH podľa § 4 zákona č. 222/2004 Z. z. o DPH (ZDPH). Má pridelené IČ DPH SK2122842436 výlučne z titulu registrácie podľa § 7a ZDPH (prijímanie služieb od dodávateľov z iných členských štátov EÚ a zo zahraničia). Faktúry od sub-processorov v zahraničí preto Lumevo spracúva v režime samozdanenia bez nároku na odpočet:

Sub-processorSídloRežim DPHÚčtovanie
Stripe Payments Europe Ltd. Írsko (EÚ) Miesto dodania služby v SR (§ 15 ods. 1 ZDPH). Stripe fakturuje bez DPH na IČ DPH SK2122842436 (neplatiteľ DPH). Daň platí príjemca — § 69 ods. 3 ZDPH. Samozdanenie 23 % (§ 27 ods. 1 ZDPH). Bez nároku na odpočet — DPH je daňovým nákladom (MD 548 / DAL 343).
Anthropic · OpenAI · Cloudflare · Sentry · Railway · Resend · Pinecone · Firecrawl · PostHog USA (mimo EÚ) Miesto dodania služby v SR (§ 15 ods. 1 ZDPH). Daň platí príjemca — § 69 ods. 3 ZDPH. USD → EUR prepočet referenčným kurzom ECB k dňu vzniku daňovej povinnosti. Samozdanenie 23 %, bez nároku na odpočet (MD 548 / DAL 343).
Google LLC (Workspace billing) Írsko alebo USA podľa entity Miesto dodania služby v SR (§ 15 ods. 1 ZDPH) bez ohľadu na entitu. Daň platí príjemca — § 69 ods. 3 ZDPH. Per faktúra — samozdanenie 23 %, bez nároku na odpočet (MD 548 / DAL 343).

Lumevo ako neplatiteľ DPH registrovaný podľa § 7a nepodáva kontrolný výkaz DPH — ten podáva len platiteľ dane (§ 78a ods. 2 ZDPH). Lumevo podáva daňové priznanie k DPH (vzor DPHv21) iba za zdaňovacie obdobie (kalendárny mesiac), v ktorom prijal službu, a to do 25 dní po skončení tohto obdobia (§ 78 ods. 3 ZDPH); v mesiacoch bez prijatej zahraničnej služby priznanie nepodáva. Súhrnný výkaz by podával len vtedy, ak by služby do iného členského štátu EÚ dodával (§ 80 ZDPH) — čo nerobí.

Notifikácia o zmenách #

Pri pridaní nového sub-processora klient dostane 30-dňový predchádzajúci notice cez:

Klient má právo počas 30-dňovej lehoty namietať (čl. 28 ods. 2 GDPR). Námietku posielajte na [email protected]. Ak Bezúčto nedokáže poskytnúť alternatívu, klient má právo Zmluvu vypovedať bez výpovednej doby a získať pomerný vrátok platby.

Change log #

História zmien

Kontakt #

Pre otázky o sub-processoroch, žiadosti o kópiu DPA alebo námietky:

Súvisiace dokumenty: Ochrana údajov · Spracovateľská zmluva (DPA) · Compliance log