Ochrana osobných údajov

Informácie o spracúvaní osobných údajov službou entyrix.com podľa čl. 13 a 14 GDPR.

Verzia v1.0 · Účinné od 2026-04-24 · Podmienky používania

Hľadáš info o tom, ako spracúvame dáta z verejných obchodných registrov? Viď dedikovanú stránku Zásady spracúvania verejných registrov — fokusovaný výklad pre štatutárov, UBO a živnostníkov ktorých dáta sú v RPO, ARES, Companies House, SIRENE a ďalších 11 EU registroch. Statutory authority per krajinu + Art. 14(5)(b) proportionality + DSAR workflow na jednom mieste.

1. Prevádzkovateľ

Prevádzkovateľom spracúvania osobných údajov je:

Prevádzkovateľ neurčil zodpovednú osobu (DPO), keďže nespĺňa kritériá čl. 37 GDPR.

2. Účel spracúvania

Osobné údaje spracúvame za účelom:

  • Poskytovania Služby — sprístupnenie REST API s dátami z verejných registrov pre účely KYC/KYB, compliance, credit scoringu, sales prospectingu a akademického výskumu.
  • Správy používateľských účtov — autentifikácia cez API kľúč, komunikácia, fakturácia (v prípade platených plánov).
  • Bezpečnosti a prevádzky — monitoring rate-limitov, detekcia zneužitia, diagnostika incidentov.

3. Právny základ spracúvania

KategóriaPrávny základ (GDPR)Pozn.
Zmluvné údaje (e-mail, API kľúč, fakturácia)čl. 6 ods. 1 písm. b) — plnenie zmluvynevyhnutné pre poskytnutie Služby
Dáta z verejných registrov (štatutári, UBO, PEP, sankcie)čl. 6 ods. 1 písm. f) — oprávnený záujemviď čl. 4 nižšie
Logy prístupu (IP, request-id, timestamps)čl. 6 ods. 1 písm. f) — oprávnený záujem (bezpečnosť)retention 90 dní
Účtovné údaječl. 6 ods. 1 písm. c) — zákonná povinnosťzákon č. 431/2002 Z. z., 10 rokov

4. Oprávnený záujem — balancing test

Pri spracúvaní údajov z verejných registrov (meno, funkcia, obdobie výkonu funkcie štatutára/UBO, sankcie, PEP statusy, daňové nedoplatky) sa opierame o oprávnený záujem (čl. 6 ods. 1 písm. f) GDPR).

  1. Legitímny záujem Prevádzkovateľa a Používateľov: KYC/KYB compliance (povinnosti AML zákon č. 297/2008 Z. z., NIS2 zákon č. 366/2024 Z. z., sankčné režimy EÚ), prevencia podvodov, credit risk management, B2B sales.
  2. Nevyhnutnosť: tieto ciele nie je možné dosiahnuť menej invazívnym spôsobom, keďže agregácia verejných registrov je jediný praktický spôsob zistenia compliance signálu.
  3. Vyváženie s právami dotknutej osoby: údaje sú publikované v úradných verejných registroch (RPO, RPVS, OpenSanctions). Dotknutá osoba primerane očakáva spracovanie týchto údajov tretími stranami na účely verejného záujmu. Sprístupnenie je obmedzené na B2B kontext (autentifikované API), nie je dostupné v neobmedzených bulk dumpoch.

Dotknutá osoba má právo namietať voči spracúvaniu (čl. 21 GDPR) — viď čl. 8.

5. Kategórie osobných údajov a ich zdroje (čl. 14 GDPR)

Spracúvame nasledujúce kategórie údajov pochádzajúce z verejných registrov:

Kategória údajovZdrojLicencia
Identifikačné údaje štatutárov (meno, funkcia, obdobie)RPO (ŠÚSR), ARES (CZ MF)CC-BY 4.0
Údaje o konečných užívateľoch výhod (UBO)RPVS (MS SR), UK Companies House PSCverejná databáza
Daňové a insolvenčné záznamy (tax debt, bankruptcy, restructuring)Finančná správa SR, Obchodný vestník (ŠÚSR)CC-BY 4.0
Dlžníci sociálneho/zdravotného poisteniaSociálna poisťovňa, VšZPCC-BY 4.0
Sankčné zoznamy, PEP, crime/debarmentOpenSanctions (OFAC, EU, UN, UK HMT, OFSI, ...)CC-BY-NC / CC-BY 4.0 per dataset
Dodávatelia verejného sektoraCRZ (ÚV SR), RPVSCC-BY 4.0
Účastníci antitrust konaníProtimonopolný úrad SRverejná databáza
LEI (Legal Entity Identifier)GLEIFCC0 1.0

Kompletný katalóg s aktualizačnou kadenciou a licenčnými podmienkami je zverejnený na /data-sources.

Zákonné ukotvenie verejnosti zdrojov: spracúvanie údajov z verejných registrov sa opiera o nasledovné slovenské právne predpisy a princípy publicity, ktoré vylučujú očakávanie súkromia vo vzťahu k uvedeným informáciám:

  • § 27 Obchodného zákonníka (zákon č. 513/1991 Zb.) — princíp materiálnej publicity obchodného registra; údaje o štatutároch, sídle a vzniku/zániku spoločnosti sú voči tretím osobám účinné dňom zápisu.
  • Zákon č. 211/2000 Z. z. o slobodnom prístupe k informáciám — verejnosť zmlúv financovaných z verejných zdrojov (CRZ), agendy verejnej správy.
  • Zákon č. 297/2008 Z. z. o ochrane pred legalizáciou príjmov z trestnej činnosti a financovaním terorizmu (AML, transpozícia 4./5. AMLD) — povinnosti KYC/KYB voči povinným osobám.
  • Zákon č. 315/2016 Z. z. o registri partnerov verejného sektora (RPVS) — povinné zverejnenie konečných užívateľov výhod (UBO) všetkých subjektov v partnerskom vzťahu so SR.
  • Zákon č. 366/2024 Z. z. o kybernetickej bezpečnosti — transpozícia smernice NIS2, definícia esenciálnych a dôležitých subjektov.
  • Zákon č. 18/2018 Z. z. o ochrane osobných údajov (slovenská transpozícia GDPR).
  • GDPR Recitál 154 + čl. 86 — interakcia s vnútroštátnymi predpismi o sprístupňovaní úradných dokumentov; verejné registre patria do tejto kategórie.

Kombinácia uvedených predpisov tvorí compelling legitimate grounds v zmysle čl. 21 ods. 1 GDPR, ktoré majú prednosť pred záujmom dotknutej osoby namietať voči spracúvaniu, ak ide o údaje s povinne verejným charakterom (štatutári OR, UBO RPVS, sankcie a PEP zoznamy publikované úradmi).

6. Príjemcovia údajov

  • Používatelia Služby — B2B zákazníci s platným API kľúčom v rámci svojich KYC/KYB a compliance procesov.
  • Sprostredkovatelia (sub-processors):
    • Hetzner Online GmbH (DE) — hosting a infraštruktúra, EU data center. DPA uzavretý so spracovateľom v zákazníckom účte.
    • Cloudflare, Inc. (US/EU edge) — CDN, DDoS ochrana, TLS termination, edge cache. Cloudflare EU Data Boundary + SCCs (DPA).
    • Functional Software, Inc. (dba Sentry, US) — agregácia chybových reportov. EU ingest región (*.ingest.de.sentry.io, Frankfurt) + SCCs (DPA).
    • GitHub, Inc. (US) — git repository mirror, žiadne user-facing osobné údaje. DPA + SCCs.
    • Telegram FZ-LLC (AE/global) — administratívny alert kanál pre prevádzkové upozornenia (systemd OnFailure, build/deploy oznámenia). Bot prijíma iba neidentifikujúce metadata (request-id, počty riadkov, error kódy); osobné údaje dotknutých osôb sa do Telegramu neposielajú.
  • Orgány verejnej moci — iba v rozsahu zákonných povinností (napr. na základe zákonného opatrenia).

Osobné údaje neprenášame do tretích krajín mimo EÚ/EHP okrem uvedených sub-processorov, ktorí sú viazaní štandardnými zmluvnými doložkami (SCCs).

7. Doba uchovávania

KategóriaDoba uchovávania
Dáta z verejných registrovpriebežná aktualizácia podľa upstream zdroja; archívne kópie max. 7 rokov pre auditovateľnosť
Používateľské účty a API kľúčepočas trvania zmluvy + 7 rokov (účtovná povinnosť)
Access logy90 dní
Bezpečnostné incidenty (breach log)5 rokov

8. Práva dotknutej osoby

V súlade s GDPR máte nasledujúce práva:

  • Právo na prístup (čl. 15) — potvrdenie či spracúvame vaše údaje a ich kópia;
  • Právo na opravu (čl. 16) — oprava nepresných údajov (upozorňujeme, že prvotné zdroje sú verejné registre a ich obsah opravujú príslušné štátne orgány);
  • Právo na výmaz (čl. 17) — „právo byť zabudnutý“ s výnimkami pre spracúvanie z oprávneného záujmu verejného záujmu (čl. 17 ods. 3 písm. d));
  • Právo na obmedzenie spracúvania (čl. 18);
  • Právo na prenosnosť (čl. 20) — vo formáte JSON/CSV pre údaje spracované na základe zmluvy alebo súhlasu;
  • Právo namietať (čl. 21) — máte právo kedykoľvek namietať voči spracúvaniu na základe oprávneného záujmu. V takom prípade spracúvanie ukončíme, pokiaľ nepreukážeme závažné oprávnené dôvody.

Práva si môžete jednoducho uplatniť cez online formulár žiadosti (GDPR) alebo e-mailom na [email protected]. Odpoveď poskytneme do 30 dní od prijatia žiadosti.

Podanie sťažnosti: máte právo podať sťažnosť dozornému orgánu — Úrad na ochranu osobných údajov SR, Hraničná 12, 820 07 Bratislava.

9. Cookies a tracking

Služba nepoužíva marketingové ani tracking cookies. Používame výlučne funkčné session cookies nevyhnutné pre prevádzku dashboardu. Analytika je server-side (access logy) bez cross-site trackingu.

10. Automatizované rozhodovanie a profilovanie (čl. 22 GDPR)

Agregované ukazovatele credit score (0-100 + A-F grade), NIS2 scoping a risk tier sú informatívne metriky určené na podporu rozhodovania (decision support), nie automatizované individuálne rozhodnutia s právnymi účinkami v zmysle čl. 22 ods. 1 GDPR. Záverečné rozhodnutie (poskytnutie úveru, výber dodávateľa, prijatie do compliance scope) musí byť výsledkom ľudskej úvahy používateľa Služby.

Rozsah profilovania: všetky tri ukazovatele sa počítajú výlučne nad údajmi právnických osôb (companies_core entity = obchodné spoločnosti, družstvá, prípadne subjekty verejného sektora). GDPR sa na profilovanie právnických osôb nevzťahuje (čl. 4 ods. 1 + Recitál 14). Výnimkou sú záznamy samostatne zárobkovo činných osôb (živnostníkov), kde IČO identifikuje fyzickú osobu — v takom prípade je výsledný score informatívny ukazovateľ na strane Služby a downstream používateľ je povinný v zmysle čl. 22 zabezpečiť, aby nadväzujúce rozhodnutie nebolo založené výlučne na ňom.

Logika výpočtu (povinné disclosure pri profilovaní podľa rozhodnutia CJEU C-203/22 Dun & Bradstreet Austria, 27. 2. 2025):

  • Vstupné kategórie: finančné ukazovatele (turnover, profit, equity, debt ratio, ROA/ROE z účtovných závierok), daňová a odvodová compliance (DPH register, daňová spoľahlivosť, sociálne/zdravotné nedoplatky), insolvencia (konkurz, likvidácia, reštrukturalizácia), sankčný status (OpenSanctions), vek spoločnosti, history verejných zákaziek, antitrust history (AMO SR).
  • Smer vplyvu: kladné signály (zisk, RPVS registrácia, aktívne kontrakty, dlhá história) score zvyšujú; záporné (dlhy, sankcie, insolvencia) znižujú. Hard-stop: sankcie / konkurz / likvidácia → ≤10 (red).
  • Baseline: 70 (priemerná spoločnosť). Clamp 0-100. Heuristické váhy, prvá iterácia — bez napojenia na ML model alebo extern self-learning systém.
  • Postup výpočtu: deterministický súčet bonusov a penalizácií podľa zafixovaného pravidlového setu (zdrojový kód src/lib/credit-score.ts); žiadne strojové učenie ani black-box modely.
  • Význam a dôsledky: score sa zobrazuje len autentifikovaným B2B používateľom v ich KYB/credit screening workflow. Žiadny právny účinok voči dotknutej osobe nevyplýva priamo z výstupu Služby.

Práva dotknutej osoby: samostatne zárobkovo činné osoby majú v zmysle čl. 22 ods. 3 GDPR právo požiadať o (a) ľudskú intervenciu (manuálne preskúmanie skóre), (b) vyjadriť svoj názor a (c) napadnúť výsledok. Žiadosti smerujte na [email protected] — odpoveď do 30 dní.

11. Zabezpečenie

Uplatňujeme primerané technické a organizačné opatrenia v súlade s čl. 32 GDPR:

  • TLS 1.2+ na všetkých endpointoch, HSTS (1 rok + includeSubDomains);
  • API kľúče hashované (SHA-256), žiadne plaintext v databáze;
  • Rate limiting (600 req/min), fail2ban, SSH password auth disabled;
  • Denné zálohy databázy (Hetzner snapshot + weekly SQL dump);
  • Systemd monitoring + Sentry error tracking (EU ingest).

12. Zmeny zásad

O podstatných zmenách týchto zásad informujeme aspoň 30 dní vopred e-mailom alebo na status stránke. Posledná aktualizácia: 2026-04-24.

13. Kontakt

Otázky týkajúce sa ochrany osobných údajov smerujte na [email protected].

Verzia v1.0 · Účinné od 2026-04-24