GDPR dokumentácia
Posledná aktualizácia: 24. marca 2026 (v2.0)
Táto stránka obsahuje kľúčové dokumenty týkajúce sa ochrany osobných údajov v systéme Resovu v súlade s Nariadením EÚ 2016/679 (GDPR), platným v celej EÚ a EHP, vrátane príslušných vnútroštátnych zákonov na ochranu osobných údajov.
Resovu dodržiava národné predpisy o ochrane údajov vo všetkých krajinách, kde pôsobí: zákon č. 110/2019 Zb. (Česko), zákon č. 18/2018 Z.z. (Slovensko), Bundesdatenschutzgesetz — BDSG (Nemecko), ustawa o ochronie danych osobowych (Poľsko), az információs önrendelkezési jogról szóló törvény — GDPR adaptácia (Maďarsko), Ley Orgánica de Protección de Datos — LOPDGDD (Španielsko), Personopplysningsloven (Nórsko), Loi Informatique et Libertés (Francúzsko).
1. Zmluva o spracovaní osobných údajov (DPA)
1.1 Strany zmluvy
Táto zmluva o spracovaní osobných údajov (ďalej len „DPA”) je uzavretá medzi prevádzkovateľom firmy využívajúcej systém Resovu (ďalej len „Správca”) a Lubomírom Unarom, IČO 05000386 (ďalej len „Spracovateľ”). DPA je neoddeliteľnou súčasťou podmienok používania služby Resovu.
1.2 Predmet a doba spracovania
Spracovateľ spracováva osobné údaje zákazníkov Správcu za účelom poskytovania rezervačného systému. Spracovanie prebieha po dobu trvania zmluvy o poskytovaní služieb. Kategórie subjektov: zákazníci Správcu vykonávajúci rezervácie. Kategórie údajov: meno, priezvisko, e-mail, telefón, údaje o rezerváciách, voliteľné vlastné polia.
1.3 Povinnosti spracovateľa
Spracovateľ sa zaväzuje: spracovávať osobné údaje iba na základe doložených pokynov Správcu; zabezpečiť, aby sa osoby oprávnené na spracovanie zaväzali k mlčanlivosti; prijať všetky opatrenia požadované čl. 32 GDPR; dodržiavať podmienky pre zapojenie ďalšieho spracovateľa; poskytnúť Správcovi súčinnosť pri plnení povinností podľa čl. 32 až 36 GDPR; po ukončení zmluvy vymazať alebo vrátiť všetky osobné údaje; poskytnúť Správcovi všetky informácie potrebné na preukázanie plnenia povinností.
1.4 Pokyny správcu
Správca udeľuje Spracovateľovi všeobecný pokyn na spracovanie osobných údajov v rozsahu nevyhnutnom pre poskytovanie služby Resovu. Správca môže udeľovať ďalšie pokyny prostredníctvom nastavení v administrácii systému. Spracovateľ bezodkladne informuje Správcu, ak sa domnieva, že pokyn porušuje GDPR.
1.5 Subspracovateľia
Správca udeľuje Spracovateľovi všeobecný súhlas so zapojením ďalších spracovateľov (subspracovateľov) uvedených v sekcii Zoznam subspracovateľov. Spracovateľ informuje Správcu o všetkých plánovaných zmenách týkajúcich sa pridania alebo nahradenia subspracovateľov. Správca má možnosť vysloviť námietku proti zmenám do 30 dní.
1.6 Bezpečnostné opatrenia
Spracovateľ implementuje primerané technické a organizačné opatrenia: šifrovanie dát AES-256-GCM pre citlivé polia; HTTPS/TLS pre všetok prenos dát; izolácia dát nájomcov pomocou Row Level Security; riadenie prístupu na základe rolí (RBAC); hashovanie IP adries; automatické mazanie osobných údajov po uplynutí retenčnej doby; bezpečnostné hlavičky (CSP, HSTS, X-Frame-Options); rate limiting pre ochranu proti zneužitiu.
1.7 Oznámenie o narušení bezpečnosti
Spracovateľ oznámi Správcovi akékoľvek porušenie zabezpečenia osobných údajov bez zbytočného odkladu potom, čo sa o ňom dozvie, a to najneskôr do 48 hodín. Oznámenie obsahuje: popis povahy porušenia, kategórie a približný počet dotknutých subjektov, pravdepodobné dôsledky a prijaté opatrenia.
1.8 Súčinnosť pri výkone práv subjektov
Spracovateľ poskytne Správcovi súčinnosť pri plnení povinnosti reagovať na žiadosti subjektov údajov o výkon ich práv podľa kapitoly III GDPR. Systém umožňuje: export dát zákazníka (čl. 20), anonymizáciu/výmaz dát (čl. 17), prehľad spracovávaných údajov (čl. 15).
1.9 Audit
Spracovateľ umožní Správcovi alebo ním poverenému audítorovi vykonávať audity a kontroly a prispeje k nim. Spracovateľ poskytne Správcovi všetky informácie nevyhnutné na preukázanie dodržiavania povinností stanovených v čl. 28 GDPR. Audit je možné vykonať raz ročne s 30-dňovým predstihom.
1.10 Doba spracovania a výmaz
Po ukončení poskytovania služieb Spracovateľ vymaže všetky osobné údaje do 30 dní, pokiaľ právo EÚ alebo členského štátu nevyžaduje ich uchovávanie. Správca môže pred ukončením exportovať všetky dáta prostredníctvom funkcie GDPR export v administrácii systému.
2. Záznamy o činnostiach spracovania (ROPA)
Záznamy podľa čl. 30 GDPR o činnostiach spracovania vykonávaných prostredníctvom systému Resovu.
| Účel | Právny základ | Kategórie údajov | Subjekty údajov | Doba uchovávania |
|---|---|---|---|---|
| Správa rezervácií | Čl. 6(1)(b) — plnenie zmluvy | Meno, e-mail, telefón, dátum rezervácie, poznámka | Zákazníci vykonávajúci rezervácie | Konfigurovateľné (predvolené 365 dní) |
| Komunikácia (potvrdenia, pripomienky) | Čl. 6(1)(b) — plnenie zmluvy | Meno, e-mail, telefón, detail rezervácie | Zákazníci s aktívnou rezerváciou | Podľa retenčnej doby rezervácií |
| Spracovanie platieb | Čl. 6(1)(b) — plnenie zmluvy | Platobné údaje (spracováva Stripe, nikdy uložené v Resovu) | Zákazníci vykonávajúci online platbu | Podľa podmienok Stripe |
| Marketing (so súhlasom) | Čl. 6(1)(a) — súhlas | Meno, e-mail | Zákazníci, ktorí udelili marketingový súhlas | Do odvolania súhlasu |
| Bezpečnosť a ochrana proti zneužitiu | Čl. 6(1)(f) — oprávnený záujem | IP adresa, user-agent (docasne pre rate limiting) | Všetci používatelia systému | Podľa retenčnej doby audit logu |
| Účtovníctvo a fakturácia | Čl. 6(1)(c) — právna povinnosť | Obchodné meno, IČO, DIČ, e-mail, adresa | Prevádzkovatelia (nájomcovia) systému | 5 rokov (zákon o účtovníctve) |
3. Postup pri narušení bezpečnosti osobných údajov
3.1 Detekcia a hlásenie
Resovu implementuje monitorovacie systémy pre detekciu bezpečnostných incidentov. Každý zamestnanec alebo spolupracovník je povinný bezodkladne hlásiť akékoľvek podozrenie na narušenie bezpečnosti dát vedeniu spoločnosti.
3.2 Posúdenie závažnosti
Po zistení incidentu zodpovedná osoba bezodkladne posúdi: rozsah dotknutých dát, počet dotknutých subjektov, pravdepodobný dopad na práva a slobody subjektov, či boli údaje šifrované, či je možné dopad zmirniť.
3.3 Oznámenie dozornému úradu
Ak porušenie zabezpečenia pravdepodobne predstavuje riziko pre práva a slobody fyzických osôb, Resovu oznámi incident príslušnému dozornému úradu do 72 hodín od zistenia. Oznámenie obsahuje: popis povahy porušenia, kontaktné údaje DPO, popis pravdepodobných dôsledkov, popis prijatých opatrení. Dozorné úrady: ÚOOÚ — www.uoou.cz (Česko), ÚOOU SR — www.dataprotection.gov.sk (Slovensko), BfDI — www.bfdi.bund.de (Nemecko), UODO — www.uodo.gov.pl (Poľsko), NAIH — www.naih.hu (Maďarsko), AEPD — www.aepd.es (Španielsko), Datatilsynet — www.datatilsynet.no (Nórsko); CNIL — www.cnil.fr (Francúzsko).
3.4 Oznámenie subjektom údajov
Ak porušenie pravdepodobne predstavuje vysoké riziko pre práva a slobody fyzických osôb, Resovu bez zbytočného odkladu informuje dotknuté subjekty. Oznámenie bude vykonané zrozumiteľným jazykom a bude obsahovať odporúčania pre zmiernenie dopadov.
3.5 Dokumentácia
Všetky bezpečnostné incidenty sú evidované v internom registri, vrátane: dátumu zistenia, popisu incidentu, dotknutých dát a subjektov, prijatých opatrení, rozhodnutí o oznámení úradom a subjektom, výsledkov vyšetrovania.
3.6 Kontakt pre hlásenie incidentov
Bezpečnostné incidenty hláste na: security@resovu.com. V predmete uveďte „Bezpečnostný incident“. Poskytnite čo najviac informácií o povahe a rozsahu incidentu.
4. Zoznam subspracovateľov
| Poskytovateľ | Služba | Umiestnenie | Záruky |
|---|---|---|---|
| Supabase (AWS) | Databáza, autentizácia, úložisko | EÚ (Frankfurt, eu-central-1) | DPA, SOC 2 Type II |
| Stripe | Spracovanie platieb | EÚ (Írsko) + US | DPA, SCC, PCI DSS Level 1 |
| Vercel | Hosting, Edge Network, serverless | Globálny CDN (edge v EÚ) | DPA, SOC 2 Type II |
| Resend | Transakčné e-maily | US | DPA, SCC |
| Infobip | SMS pripomienky | EÚ (Frankfurt) + globálne | DPA, SCC, ISO 27001 |
| Synchronizácia kalendára (voliteľné) | US | DPA, SCC | |
| Sentry (Functional Software Inc.) | Monitorovanie chýb | US | DPA, SCC, SOC 2 |
| Upstash | Rate limiting (Redis) | EÚ (Frankfurt) | DPA, SOC 2 |