Zasady ochrany osobnych udajov (navrh)

Migrovane z docs-old-cvrn/legal/ZASADY_OCHRANY_OSOBNYCH_UDAJOV.md.

Posledna aktualizacia: 2026-02-06
Stav: DRAFT - na pravnu reviziu

Tento dokument je technicky navrh pre projekt CVRN. Pred zverejnenim ho musi skontrolovat pravnik so specializaciou na IT/GDPR.

1) Kto spracuva osobne udaje (prevadzkovatel)

• Nazov: [DOPLNIT]
• ICO: [DOPLNIT]
• Sidlo: [DOPLNIT]
• Kontakt: info@cvrn.sk

2) Ake udaje spracuvame

Pre fungovanie aplikacie spracuvame najma:

• identifikacne a kontaktne udaje:
  • e-mail (z Google loginu),
  • meno/profilove udaje z Google (ak su dostupne),
  • interny identifikator pouzivatela (uuid);
• udaje o pouzivani sluzby:
  • pozicky bicyklov (bike_id, rented_at, returned_at),
  • poznamky pri vracani bicykla (return_note),
  • verejna poznamka pri bicykli (issue_note);
• autorizacne udaje:
  • rola admin/bezny pouzivatel,
  • allowlist e-mailov.

Poznamka: aplikacia neobsahuje platobne udaje.

3) Ucel a pravny zaklad spracuvania

3.1 Poskytnutie sluzby bikesharingu

• Ucel: prihlasenie, autorizacia, pozicanie a vratenie bicykla, evidencia historiie jazd.
• Pravny zaklad: cl. 6 ods. 1 pism. b) GDPR (plnenie zmluvy/sluzby).

3.2 Bezpecnost a ochrana sluzby

• Ucel: prevencia zneuzitia, riesenie incidentov, auditna stopa.
• Pravny zaklad: cl. 6 ods. 1 pism. f) GDPR (opravneny zaujem prevadzkovatela).

3.3 Plnenie zakonnych povinnosti

• Ucel: vybavenie ziadosti dotknutych osob, spolupraca s uradmi, pravne naroky.
• Pravny zaklad: cl. 6 ods. 1 pism. c) GDPR (zakonna povinnost), pripadne pism. f).

4) Odkial udaje ziskavame

• priamo od pouzivatela (pri pouzivani aplikacie),
• od poskytovatela identity (Google OAuth cez Supabase Auth),
• interne z operacii v aplikacii (pozicka, vratenie, admin akcie).

5) Komu udaje spristupnujeme (prijemcovia)

• technicki poskytovatelia hostingu a infrastruktury:
  • Supabase (DB, Auth),
  • Vercel (hosting aplikacie),
  • Google (OAuth autentifikacia);
• opravneni spravcovia systemu (admin role).

Udaje nepredavame tretim stranam na marketing.

6) Prenos do tretich krajin

Niektori poskytovatelia mozu spracuvat udaje mimo EU/EHP (napr. USA).
V takom pripade sa pouziju primerane zaruky podla GDPR (napr. Standardne zmluvne dolozky - SCC).

7) Ako dlho udaje uchovavame

Navrh retencie (na potvrdenie pravnikom):

• profiles: pocas trvania uctu, potom max. 12 mesiacov po zruseni,
• rentals: max. 24 mesiacov od vratenia bicykla,
• allowed_emails: do odvolania pristupu + max. 12 mesiacov zaznam,
• technicke logy: max. 90 dni.

Retencna politika sa moze upravit podla pravnych poziadaviek.

8) Prava dotknutych osob

Pouzivatel ma pravo na:

• pristup k udajom,
• opravu nepresnych udajov,
• vymazanie (ak su splnene podmienky GDPR),
• obmedzenie spracuvania,
• namietku proti spracuvaniu,
• prenosnost udajov (ak je uplatnitelna).

Ziadosti je mozne poslat na info@cvrn.sk.
Pouzivatel ma pravo podat staznost na Urad na ochranu osobnych udajov SR.

9) Cookies a podobne technologie

Aplikacia pouziva nevyhnutne technicke cookies na prihlasenie a udrzanie session.
Ak sa v buducnosti pridaju analyticke alebo marketingove cookies, bude doplneny cookie banner a samostatna cookie politika.

10) Bezpecnostne opatrenia

Pouzivame primerane technicke a organizacne opatrenia, najma:

• kontrolu pristupu (auth + role),
• databazove RLS pravidla,
• sifrovany prenos dat (HTTPS),
• auditovatelnu historiu operacii,
• obmedzenie pristupov admin roli.

11) Kontakt a dozorny organ

• Kontakt k ochrane osobnych udajov: info@cvrn.sk
• Dozorny organ SR: Urad na ochranu osobnych udajov SR

12) Zmeny dokumentu

Tento dokument mozeme priebezne aktualizovat. Aktualna verzia bude vzdy dostupna v aplikacii/repozitari.