GDPR brief pre pravnika

Strucny vstupny brief pre pravnu reviziu GDPR oblasti.

status: draft

type: legal

#legal

#gdpr

#brief

Migrovane z docs-old-cvrn/legal/GDPR_BRIEF_PRE_PRAVNIKA.md.

Posledna aktualizacia: 2026-02-06
Stav: DRAFT - na pravnu reviziu

Ucel dokumentu: dat pravnikovi rychly prehlad, co aplikacia robi, ake udaje spracuva a co potrebujeme pravne potvrdit.

1) Kontext projektu

Projekt: CVRN (komunitny bikesharing, max ~100 pouzivatelov)
Prevadzka: web app (Next.js + Supabase + Vercel)
Prihlasenie: Google OAuth (cez Supabase Auth)
Roly: bezny pouzivatel, admin

2) Co aplikacia eviduje

profil pouzivatela: id, email, is_admin
allowlist e-mailov: kto moze aplikaciu pouzivat
bicykle: stav, interny kod zamku, aktualny uzivatel, issue poznamka
historia jazd: kto si pozical bicykel, kedy, kedy vratil, poznamka pri vrateni

3) Predbezny navrh pravnych zakladov

poskytovanie sluzby (auth, rental flow): cl. 6(1)(b) GDPR
bezpecnost, audit, riesenie incidentov: cl. 6(1)(f) GDPR
vybavovanie prav dotknutych osob: cl. 6(1)(c)/(f) GDPR

4) Prijemcovia/sprostredkovatelia

Supabase (DB/Auth)
Vercel (hosting)
Google (OAuth provider)

Otazka pre pravnika:

staci standardny model prevadzkovatel + sprostredkovatelia?
ake zmluvy/DPA musime mat formalne uzatvorene?

5) Prenosy mimo EU/EHP

Mozny prenos cez cloud providerov do USA.
Potrebujeme potvrdit:

ci je potrebny doplnujuci transfer impact assessment,
ci postacuju SCC a standardne zmluvne dokumenty providerov.

6) Retencia (navrh)

profiles: pocas aktivneho clenstva + 12 mesiacov
rentals: 24 mesiacov
allowed_emails: do odobratia + 12 mesiacov
technicke logy: 90 dni

Otazka pre pravnika: potvrdit realne lehoty a dovody uchovavania.

7) Dotknute osoby a ich prava

Proces, ktory chceme zaviest:

kontaktna adresa: info@cvrn.sk
interny SLA na odpoved: do 30 dni
evidencia ziadosti (datum, typ ziadosti, vybavenie)

Otazka pre pravnika:

je potrebny formalny interny postup/sablona odpovedi?
je potrebne overenie identity pri ziadostiach a v akej forme?

8) Cookies a ePrivacy

Aktualne pouzivame len nevyhnutne session cookies.
Bez analytics/marketing cookies.

Otazka pre pravnika:

je potrebny samostatny cookie banner uz teraz, alebo staci informacia v zasadach?
co presne doplnit pri buducom pridani analytics?

9) DPIA / DPO (predbezne posudenie)

Odhad: pre malu komunitu do 100 ludi pravdepodobne nie je povinna DPIA ani DPO.
Potrebujeme pravne potvrdenie, ci nasa prevadzka nesplna kriterium "systematicke monitorovanie vo velkom rozsahu".

10) Co potrebujeme od pravnika dodat

finalnu verziu dokumentu Zasady ochrany osobnych udajov
posudenie a upravu pravnych zakladov spracuvania
potvrdenie retencnych lehôt
zoznam povinnych internych dokumentov (RoPA, incident response, ziadosti dotknutych osob)
odporucane znenie podmienok pouzivania appky (ak budu samostatne)

Zasady ochrany osobnych udajov (navrh)RoPA template

On This Page

1) Kontext projektu 2) Co aplikacia eviduje 3) Predbezny navrh pravnych zakladov 4) Prijemcovia/sprostredkovatelia 5) Prenosy mimo EU/EHP 6) Retencia (navrh)7) Dotknute osoby a ich prava 8) Cookies a ePrivacy 9) DPIA / DPO (predbezne posudenie)10) Co potrebujeme od pravnika dodat