Ochrana osobných údajov

GDPR · Zákon 18/2018 Z.z. · Platné od 11. 6. 2026 · Verzia 1.3 (príjemcovia údajov — samostatní prevádzkovatelia)
Vaše dáta sú vaše. Bezúčto ich nikdy nepredáva, nezdieľa na marketingové účely ani nepoužíva na trénovanie AI modelov.
Obsah 1. Prevádzkovateľ 2. Aké údaje zbierame a prečo 3. Právny základ spracovania 4. Uchovávanie údajov 5. Sprostredkovatelia (procesori) 6. Vaše práva (GDPR) 7. Spracovanie zdravotných údajov (ePN) — čl. 9 GDPR 8. Dozorný orgán

1. Prevádzkovateľ

Prevádzkovateľom v zmysle čl. 4 ods. 7 GDPR a § 5 písm. o) zákona č. 18/2018 Z. z. je spoločnosť:

2. Aké údaje zbierame a prečo

KategóriaÚdajeÚčel
RegistračnéE-mail, hashované heslo, menoVytvorenie a správa účtu
FiremnéNázov firmy, IČO, DIČ, IBANVystavovanie faktúr, účtovná evidencia
Účtovné dátaFaktúry, výdavky, mzdy, zápisyPoskytovanie funkcionality aplikácie
MzdovéÚdaje zamestnancov: meno, RČ, mzda, odpracované dniVýpočet miezd, odvodov, dane § 19 ZDP
Zdravotné (ePN)Dátumy DPN, príznak pracovného úrazuNáhrada príjmu § 7-8 z. 462/2003 — viac v sekcii 7
TechnickéIP adresa, časy prihlásení, logyBezpečnosť, ladenie chýb
PodporaSprávy a prílohy (screenshoty), ktoré pošlete cez in-app podporuRiešenie požiadaviek a chýb (čl. 6 ods. 1 písm. b + f GDPR)
Spätná väzbaOdpoveď v ankete spokojnosti a voliteľný komentárZlepšovanie produktu (čl. 6 ods. 1 písm. f GDPR); odpovede nezdieľame s tretími stranami

3. Právny základ spracovania

4. Uchovávanie údajov

5. Sprostredkovatelia (procesori)

Úplný a aktualizovaný zoznam sub-processors s DPA statusom a krajinami spracovania je verejne publikovaný na /legal/sub-processors (čl. 28 GDPR). Na tej istej stránke sú pre úplnosť uvedení aj príjemcovia údajov, ktorí vystupujú ako samostatní prevádzkovatelia, nie sprostredkovatelia Bezúčta (informačná povinnosť podľa čl. 13 ods. 1 písm. e) GDPR). Pri pridaní nového sub-processor klient dostane 30-dňový predchádzajúci notice.

SpoločnosťÚčelKrajina
RailwayHosting + PostgreSQL DBUSA (SCC)
StripeSpracovanie platiebUSA / EÚ (PCI DSS)
ResendTransakčné a produktové e-mailyUSA (SCC)
AnthropicAI asistent (Claude API; Anthropic netrénuje na vstupoch)USA (SCC)
Cloudflare R2Šifrované zálohy DB (gzip + AES) + prílohy/screenshoty zákazníckej podpory (SSE-AES256)EÚ (Frankfurt)
Cloudflare Workers + Email RoutingEmail parsing (PDF faktúry z in.bezucto.sk, bankové notifikácie z bmail.bezucto.sk) — text/PDF prejde Workerom, postupuje na Bezúčto BE; nikdy sa neuloží na CF straneEÚ (Frankfurt)
SentryMonitoring chýb (PII redaction aktívna — IBAN/RČ/email scrub-nuté pred odoslaním)USA (SCC)
Pinecone SystemsVektorová databáza pre anti-halucinačný RAG (iba verejná SK legislatíva a FAQ — BEZ klientskych údajov)USA (SCC)
OpenAIVektorové embeddingy (text-embedding-3-small) pre RAG — embedduje text otázky používateľa pred Pinecone lookupom; OpenAI netrénuje na API vstupoch, retencia ≤ 30 dní (abuse monitoring)USA (SCC)
Google LLC (Gmail API + Identity + Analytics 4)Gmail scanner BETA (opt-in, prichádzajúce faktúry) + voliteľné SSO prihlásenie + Google Analytics 4 návštevnosti (consent-gated, cookieless ping default, anonymize_ip)USA (SCC)
FirecrawlScrape verejnej SK legislatívy pre týždenný digest (BEZ klientskych údajov)USA (SCC)
PostHog, Inc.Produktová analytika (behaviorálne eventy prihlásených používateľov) — EÚ Cloud Frankfurt, localStorage, maskované vstupy (IBAN/RČ/heslá sa nesnímajú), bez session recordingu, len po cookie súhlaseEÚ (Frankfurt) — PostHog Inc. USA (DPF)
Sociálna poisťovňa SRZdroj ePN dát (B2B portál eSluzby)SR — orgán verejnej moci
Google FCM / Apple APNS / Mozilla autopushPush notifikácie (opt-in, anonymizovaný payload, ECDH+AES-GCM šifrované)USA (SCC)

5a. Import z externých účtovných systémov (opt-in)

Klient môže aktivovať read-only API import historických faktúr z externých systémov (napr. SuperFaktúra) alebo manuálny XML upload (POHODA, ABRA Flexi). Tieto systémy nie sú sprostredkovateľmi Bezúčta — Bezúčto im neposiela dáta, len pull-uje na pokyn klienta. Právny základ: čl. 6 ods. 1 písm. b) GDPR (plnenie zmluvy s klientom). API kľúč klienta sa ukladá šifrovaný AES-256-GCM, kľúč v secrets s prístupom len pre prevádzku. Klient môže kedykoľvek odpojiť (Import dát → Odpojiť) — kľúč sa okamžite vymaže. Importované dáta partnerov klienta podliehajú rovnakým retenciám ako bežné záznamy v Bezúčto.

6. Vaše práva (GDPR)

Žiadosti: [email protected] (alebo priamo zodpovednej osobe: [email protected]). Odpoveď do 30 dní.

7. Spracovanie zdravotných údajov (ePN) — čl. 9 GDPR

Pre koho je táto sekcia dôležitá: ak ste zamestnanec klienta-zamestnávateľa, ktorý používa Bezúčto na výpočet miezd, vaše údaje o dočasnej pracovnej neschopnosti (PN) sú spracúvané automaticky cez B2B rozhranie Sociálnej poisťovne SR. Táto sekcia vysvetľuje čo, prečo, ako dlho a aké máte práva.

7.1 Aké údaje sa spracúvajú

Bezúčto v mene vášho zamestnávateľa (ktorý je v zmysle GDPR prevádzkovateľom) získava zo Sociálnej poisťovne SR výhradne tieto údaje o vašej PN:

Čo Bezúčto NEVIE a nebude vedieť: diagnózu, MKCH-10 kód, meno ošetrujúceho lekára, zdravotnícke zariadenie, lieky. Sociálna poisťovňa tieto údaje cez B2B API neposkytuje (privacy-by-design SP).

7.2 Zdroj údajov

Údaje o vašej PN sa získavajú zo Sociálnej poisťovne SR (IČO 30 807 484, Ul. 29. augusta 8-10, 813 63 Bratislava) cez oficiálne B2B rozhranie eSluzby. Zamestnávateľ má na prístup oprávnenie podľa § 233 zák. 461/2003 Z. z. o sociálnom poistení.

7.3 Účel spracovania

Údaje sa používajú výlučne na výpočet náhrady príjmu pri DPN podľa § 7 a § 8 zákona č. 462/2003 Z. z. (prvých 14 dní hradí zamestnávateľ — pri PN vzniknutej do 31. 12. 2025 prvých 10 dní; potom Sociálna poisťovňa). Bez týchto údajov vám zamestnávateľ nemôže vyplatiť zákonom určenú náhradu.

7.4 Právny základ (čl. 9 ods. 2 GDPR)

Súhlas sa nevyžaduje — spracovanie je založené na zákonnej povinnosti, nie na vašom súhlase. Aj tak však máte právo namietať (sekcia 7.7).

7.5 Doba uchovávania

4 roky po skončení vášho pracovného pomeru. Lehota je odvodená z § 35 ods. 3 zák. 461/2003 (premlčanie odvodových nárokov 4 roky) a slúži pre prípadné kontroly Sociálnej poisťovne, Finančnej správy alebo inšpektorátu práce. Po uplynutí 4 rokov sú záznamy ePN automaticky vymazané z databázy (denný cron 04:30).

7.6 Bezpečnostné opatrenia

7.7 Vaše práva ako zamestnanca

7.8 Komu sa údaje sprístupňujú

Údaje o ePN sa nikdy neposkytujú tretím stranám okrem:

Údaje sa neprenášajú mimo EÚ. PostgreSQL DB je na Railway (USA, štandardné zmluvné doložky), ale ePN polia sú šifrované a Anthropic / iné AI procesory ich nikdy nevidia (ePN modul je z AI asistenta vylúčený).

7.9 Kontakt pre otázky o ePN

Primárne sa obráťte na svojho zamestnávateľa (prevádzkovateľa). Pre otázky technického charakteru o spracovaní v Bezúčto: [email protected].

8. Dozorný orgán

Sťažnosti môžete podávať na:

Úrad na ochranu osobných údajov Slovenskej republiky
Hraničná 12, 820 07 Bratislava
dataprotection.gov.sk · [email protected]