RoPA template

Migrovane z docs-old-cvrn/legal/ROPA_TEMPLATE.md.

Posledna aktualizacia: 2026-02-06
Stav: TEMPLATE

Ucel: interny zaznam podla cl. 30 GDPR.
Poznamka: vyplnit a potvrdit s pravnikom.

1) Prevadzkovatel

• Nazov: [DOPLNIT]
• ICO: [DOPLNIT]
• Sidlo: [DOPLNIT]
• Kontakt: info@cvrn.sk

2) Prehlad cinnosti spracuvania

Cinnost A: Sprava pouzivatelskych uctov

• Ucel: prihlasenie a sprava pristupu do appky
• Kategoria osob: registrovani pouzivatelia
• Kategoria udajov: e-mail, uuid, rola (is_admin)
• Pravny zaklad: cl. 6(1)(b)
• Prijemcovia: Supabase, Vercel, Google
• Prenos mimo EU/EHP: [ANO/NIE + mechanizmus]
• Retencia: [DOPLNIT]
• Bezpecnostne opatrenia: auth, RLS, pristupove roly

Cinnost B: Evidencia poziciek bicyklov

• Ucel: umoznit rental flow a historiu jazd
• Kategoria osob: registrovani pouzivatelia
• Kategoria udajov: user_id, bike_id, casy rental/return, return_note
• Pravny zaklad: cl. 6(1)(b), cl. 6(1)(f)
• Prijemcovia: Supabase, Vercel
• Prenos mimo EU/EHP: [ANO/NIE + mechanizmus]
• Retencia: [DOPLNIT]
• Bezpecnostne opatrenia: RLS, oddelenie admin pristupov

Cinnost C: Allowlist a administracia pristupov

• Ucel: kontrola opravnenych clenov komunity
• Kategoria osob: potencionalni a aktivni pouzivatelia
• Kategoria udajov: e-mail, datum pridania, kto pridal
• Pravny zaklad: cl. 6(1)(f)
• Prijemcovia: Supabase, Vercel
• Prenos mimo EU/EHP: [ANO/NIE + mechanizmus]
• Retencia: [DOPLNIT]
• Bezpecnostne opatrenia: admin-only pristup

3) Technicke a organizacne opatrenia (TOMs)

• role-based pristup (admin/user)
• RLS pravidla v DB
• HTTPS/TLS
• logovanie klucovych operacii
• pravidelna kontrola pristupov adminov
• postup pri bezpecnostnom incidente

4) Proces pre prava dotknutych osob

• Kontakt: info@cvrn.sk
• Lehota vybavenia: do 30 dni
• Interny postup:
  • overenie identity ziadatela,
  • klasifikacia ziadosti,
  • export/uprava/vymaz podla pravneho zakladu,
  • zapis o vybaveni.

5) Proces pre incidenty (data breach)

• Zodpovedna osoba: [DOPLNIT]
• Kroky:
  • detekcia a zastavenie incidentu,
  • odhad dopadu,
  • rozhodnutie o notifikacii UOOU (do 72 hodin, ak je to relevantne),
  • notifikacia dotknutych osob (ak vysoke riziko),
  • postmortem a preventivne opatrenia.

6) Otvorene body na potvrdenie pravnikom

• finalne pravne zaklady pre jednotlive cinnosti
• finalne retencne lehoty
• potreba DPIA / DPO
• finalne znenie informacnej povinnosti a cookies textu