Ochrana osobných údajov
Informácie o spracúvaní osobných údajov službou entyrix.com podľa čl. 13 a 14 GDPR.
1. Prevádzkovateľ
Prevádzkovateľom spracúvania osobných údajov je:
- Julius German, fyzická osoba – podnikateľ
- Kontakt: [email protected]
- Webové sídlo: entyrix.com
Prevádzkovateľ neurčil zodpovednú osobu (DPO), keďže nespĺňa kritériá čl. 37 GDPR.
2. Účel spracúvania
Osobné údaje spracúvame za účelom:
- Poskytovania Služby — sprístupnenie REST API s dátami z verejných registrov pre účely KYC/KYB, compliance, credit scoringu, sales prospectingu a akademického výskumu.
- Správy používateľských účtov — autentifikácia cez API kľúč, komunikácia, fakturácia (v prípade platených plánov).
- Bezpečnosti a prevádzky — monitoring rate-limitov, detekcia zneužitia, diagnostika incidentov.
3. Právny základ spracúvania
| Kategória | Právny základ (GDPR) | Pozn. |
|---|---|---|
| Zmluvné údaje (e-mail, API kľúč, fakturácia) | čl. 6 ods. 1 písm. b) — plnenie zmluvy | nevyhnutné pre poskytnutie Služby |
| Dáta z verejných registrov (štatutári, UBO, PEP, sankcie) | čl. 6 ods. 1 písm. f) — oprávnený záujem | viď čl. 4 nižšie |
| Logy prístupu (IP, request-id, timestamps) | čl. 6 ods. 1 písm. f) — oprávnený záujem (bezpečnosť) | retention 90 dní |
| Účtovné údaje | čl. 6 ods. 1 písm. c) — zákonná povinnosť | zákon č. 431/2002 Z. z., 10 rokov |
4. Oprávnený záujem — balancing test
Pri spracúvaní údajov z verejných registrov (meno, funkcia, obdobie výkonu funkcie štatutára/UBO, sankcie, PEP statusy, daňové nedoplatky) sa opierame o oprávnený záujem (čl. 6 ods. 1 písm. f) GDPR).
- Legitímny záujem Prevádzkovateľa a Používateľov: KYC/KYB compliance (povinnosti AML zákon č. 297/2008 Z. z., NIS2 zákon č. 366/2024 Z. z., sankčné režimy EÚ), prevencia podvodov, credit risk management, B2B sales.
- Nevyhnutnosť: tieto ciele nie je možné dosiahnuť menej invazívnym spôsobom, keďže agregácia verejných registrov je jediný praktický spôsob zistenia compliance signálu.
- Vyváženie s právami dotknutej osoby: údaje sú publikované v úradných verejných registroch (RPO, RPVS, OpenSanctions). Dotknutá osoba primerane očakáva spracovanie týchto údajov tretími stranami na účely verejného záujmu. Sprístupnenie je obmedzené na B2B kontext (autentifikované API), nie je dostupné v neobmedzených bulk dumpoch.
Dotknutá osoba má právo namietať voči spracúvaniu (čl. 21 GDPR) — viď čl. 8.
5. Kategórie osobných údajov a ich zdroje (čl. 14 GDPR)
Spracúvame nasledujúce kategórie údajov pochádzajúce z verejných registrov:
| Kategória údajov | Zdroj | Licencia |
|---|---|---|
| Identifikačné údaje štatutárov (meno, funkcia, obdobie) | RPO (ŠÚSR), ARES (CZ MF) | CC-BY 4.0 |
| Údaje o konečných užívateľoch výhod (UBO) | RPVS (MS SR), UK Companies House PSC | verejná databáza |
| Daňové a insolvenčné záznamy (tax debt, bankruptcy, restructuring) | Finančná správa SR, Obchodný vestník (ŠÚSR) | CC-BY 4.0 |
| Dlžníci sociálneho/zdravotného poistenia | Sociálna poisťovňa, VšZP | CC-BY 4.0 |
| Sankčné zoznamy, PEP, crime/debarment | OpenSanctions (OFAC, EU, UN, UK HMT, OFSI, ...) | CC-BY-NC / CC-BY 4.0 per dataset |
| Dodávatelia verejného sektora | CRZ (ÚV SR), RPVS | CC-BY 4.0 |
| Účastníci antitrust konaní | Protimonopolný úrad SR | verejná databáza |
| LEI (Legal Entity Identifier) | GLEIF | CC0 1.0 |
Kompletný katalóg s aktualizačnou kadenciou a licenčnými podmienkami je zverejnený na /data-sources.
6. Príjemcovia údajov
- Používatelia Služby — B2B zákazníci s platným API kľúčom v rámci svojich KYC/KYB a compliance procesov.
- Sprostredkovatelia (sub-processors):
- Hetzner Online GmbH (DE) — hosting a infraštruktúra, EU data center
- GitHub, Inc. (US) — git repository mirror, BCRs + SCCs
- Orgány verejnej moci — iba v rozsahu zákonných povinností (napr. na základe zákonného opatrenia).
Osobné údaje neprenášame do tretích krajín mimo EÚ/EHP okrem uvedených sub-processorov, ktorí sú viazaní štandardnými zmluvnými doložkami (SCCs).
7. Doba uchovávania
| Kategória | Doba uchovávania |
|---|---|
| Dáta z verejných registrov | priebežná aktualizácia podľa upstream zdroja; archívne kópie max. 7 rokov pre auditovateľnosť |
| Používateľské účty a API kľúče | počas trvania zmluvy + 7 rokov (účtovná povinnosť) |
| Access logy | 90 dní |
| Bezpečnostné incidenty (breach log) | 5 rokov |
8. Práva dotknutej osoby
V súlade s GDPR máte nasledujúce práva:
- Právo na prístup (čl. 15) — potvrdenie či spracúvame vaše údaje a ich kópia;
- Právo na opravu (čl. 16) — oprava nepresných údajov (upozorňujeme, že prvotné zdroje sú verejné registre a ich obsah opravujú príslušné štátne orgány);
- Právo na výmaz (čl. 17) — „právo byť zabudnutý“ s výnimkami pre spracúvanie z oprávneného záujmu verejného záujmu (čl. 17 ods. 3 písm. d));
- Právo na obmedzenie spracúvania (čl. 18);
- Právo na prenosnosť (čl. 20) — vo formáte JSON/CSV pre údaje spracované na základe zmluvy alebo súhlasu;
- Právo namietať (čl. 21) — máte právo kedykoľvek namietať voči spracúvaniu na základe oprávneného záujmu. V takom prípade spracúvanie ukončíme, pokiaľ nepreukážeme závažné oprávnené dôvody.
Uplatniť práva môžete e-mailom na [email protected]. Odpoveď poskytneme do 30 dní od prijatia žiadosti.
Podanie sťažnosti: máte právo podať sťažnosť dozornému orgánu — Úrad na ochranu osobných údajov SR, Hraničná 12, 820 07 Bratislava.
9. Cookies a tracking
Služba nepoužíva marketingové ani tracking cookies. Používame výlučne funkčné session cookies nevyhnutné pre prevádzku dashboardu. Analytika je server-side (access logy) bez cross-site trackingu.
10. Automatizované rozhodovanie
Agregované ukazovatele (credit score, NIS2 scoping, risk tiers) sú informatívne metriky. Služba nevykonáva automatizované individuálne rozhodovanie s právnymi účinkami na dotknuté osoby v zmysle čl. 22 GDPR. Používatelia Služby sú povinní vykonávať ľudskú supervíziu pri akomkoľvek rozhodovaní nadväzujúcom na tieto metriky.
11. Zabezpečenie
Uplatňujeme primerané technické a organizačné opatrenia v súlade s čl. 32 GDPR:
- TLS 1.2+ na všetkých endpointoch, HSTS (1 rok + includeSubDomains);
- API kľúče hashované (SHA-256), žiadne plaintext v databáze;
- Rate limiting (600 req/min), fail2ban, SSH password auth disabled;
- Denné zálohy databázy (Hetzner snapshot + weekly SQL dump);
- Systemd monitoring + Sentry error tracking (EU ingest).
12. Zmeny zásad
O podstatných zmenách týchto zásad informujeme aspoň 30 dní vopred e-mailom alebo na status stránke. Posledná aktualizácia: 2026-04-24.
13. Kontakt
Otázky týkajúce sa ochrany osobných údajov smerujte na [email protected].