Zásady spracúvania verejných registrov
Dedikovaná stránka o tom, ako Entyrix získava, agreguje a re-publikuje údaje výlučne z verejných obchodných registrov v EÚ. Pre celkové zásady ochrany súkromia služby viď Ochrana osobných údajov.
1. Zdroje dát
Spracúvame údaje výlučne z nasledujúcich verejných obchodných registrov a ich autorizovaných agregátorov:
| Krajina | Register | Statutory authority |
|---|---|---|
| 🇸🇰 SK | RPO, RPVS, ORSR | § 27 Obchodného zákonníka (513/1991), zákon 315/2016 Z. z. (RPVS), zákon 455/1991 Z. z. § 66a (Živnostenský register) |
| 🇨🇿 CZ | ARES, OR (Justice.cz), ISIR | zákon 304/2013 Sb. (Veřejné rejstříky), 455/1991 Sb. (Živnostenský zákon) |
| 🇫🇷 FR | SIRENE / RNE (Insee + INPI) | Code de commerce L123-1, Open Data License Étalab |
| 🇬🇧 GB | Companies House | Companies Act 2006 ss. 1064-1093, FOI Act 2000 |
| 🇩🇪 DE | Bundesanzeiger / Handelsregister (post-Aug 2022 reform) | HGB § 9, FamFG § 387, Bundesanzeiger Verordnung |
| 🇦🇹 AT | Firmenbuch (BMJ) | FBG § 32-39, FBDV (Firmenbuchdatenbankverordnung) |
| 🇮🇪 IE | CRO (Companies Registration Office) | Companies Act 2014 Part 2 |
| 🇳🇴 NO | Brønnøysund Register Centre | Enhetsregisterloven § 22, Foretaksregisterloven § 8-1 |
| 🇫🇮 FI | PRH (Patentti- ja rekisterihallitus) | Yritys- ja yhteisötietolaki 244/2001 § 16 |
| 🇱🇹 LT | JAR (Registrų centras), LSD EVRK | Civil Code 2.66, Statistics Lithuania open data licenses |
| 🇱🇻 LV | UR (Uzņēmumu reģistrs) | Komerclikuma § 4, atvērto datu licence CC-BY 4.0 |
| 🇪🇪 EE | Äriregister (RIK) | Äriseadustik § 28-32, EE Open Data |
| 🇸🇮 SI | AJPES, FURS Seznam davčnih zavezancev | Zakon o sodnem registru, Zakon o davčnem postopku |
| 🇭🇷 HR | Sudski registar (FINA) | Zakon o sudskom registru NN 1/95 |
| 🇺🇦 UA | EDR (Ministerstvo justytsii) | Zakon № 755-IV (pinned 2023-08-04 per upstream data-protection moratorium) |
Plný katalóg licencií a refresh kadencií: Data sources. Pan-EU vrstvy: GLEIF (LEI), OpenSanctions, ICIJ Offshore, EUIPO, EBA EUCLID, EIOPA, ESMA, CORDIS, TED.
2. Právny základ
Spracúvanie prebieha na základe oprávneného záujmu prevádzkovateľa (čl. 6 ods. 1 písm. f) GDPR). Naše balancing test-y (LIA) pokrývajú 4 dokumentované účely: KYC/KYB compliance, credit a commercial intelligence, sales prospecting (iba B2B identifikácia, žiadne kontaktné údaje FO), akademický a journalistický výskum.
Spracúvanie sa opiera o statutory public-register exception v každej cieľovej jurisdikcii (viď tabuľka §1). Tieto registre sú zákonom určené ako verejné a ich obsah je voľne použiteľný v súlade s príslušnými open-data licenciami a podmienkami opätovného použitia. "Verejné" neznamená automaticky "bezlimitné" downstream processing — aplikujeme princípy minimalizácie, obmedzenia účelu a transparentnosti per GDPR Recital 154.
3. Prečo neinformujeme každú dotknutú osobu individuálne (Art. 14(5)(b) GDPR)
Entyrix agreguje údaje o približne 34,6 miliónoch spoločností a niekoľkých miliónoch štatutárov / UBO / živnostníkov. Individuálne kontaktovanie každej dotknutej osoby per GDPR čl. 14 ods. 1-4 by predstavovalo neprimerané úsilie (disproportionate effort) v zmysle čl. 14 ods. 5 písm. b) GDPR, najmä preto, že:
- Nemáme kontaktné údaje fyzických osôb. Náš dataset úmyselne nezahŕňa e-maily ani telefónne čísla fyzických osôb (statutárov, UBO, živnostníkov). Toto je principálny odklon od Bisnode-PL prípadu (UODO €220 000 fine), kde existencia kontaktných údajov bola killer-fact.
- Zdrojové registre sú zákonom verejné a dotknuté osoby boli o tomto verejnom statuse informované pri zápise do registra (per § 27 OZ a národné ekvivalenty).
- Alternatívne opatrenia v zmysle čl. 14 ods. 5 písm. b) sú implementované: verejné oznámenie (tento dokument + /privacy), DSAR intake formulár, audit-log per access, technické bezpečnostné prvky.
Detail balancing test-u v internom dokumente docs/legal/art-14-5-b-proportionality-memo.md (k dispozícii na požiadanie pre counsel review).
4. Špecifické technické bezpečnostné opatrenia
- Filter FO podnikateľov z verejného autocomplete (commit 3556e43 2026-05-28).
/public/autocompletebez API kľúča nevracia záznamy fyzických osôb-podnikateľov; tieto sú dostupné iba cez Bearer-autentifikované API s purpose-limitation per ToS LIA §1-2. - Credit grade exposure gate: na nezautentifikovanom verejnom povrchu sa credit grade zobrazuje iba pri potvrdených právnických osobách (
entity_type='legal_entity'). Pre fyzické osoby zostáva gradovanie skryté — SCHUFA C-634/21 mitigation. - UBO dátum narodenia maskovaný na rok (commit 433217e 2026-05-28). Plný DOB nie je dostupný v žiadnom verejnom ani autentifikovanom API endpointe.
- FO daňoví dlžníci flagged
internal_use_only=TRUE— exponovaní iba interne, nikdy v public API ani vizitke. - Audit log per access (
gdpr.access_log) na 13 personal-data routes vrátane multi-subject search endpointov. Art. 30 ROPA + Art. 32(1)(d) traceability. - Rate-limit 600 req/min per Bearer/IP fallback, ToS no-bulk klauzula, technické zábrany proti mass-scraping.
- IP hashing — surové IP adresy nikdy nepersistujeme; SHA-256 + denne rotujúca soľ.
5. Práva dotknutých osôb
Bez ohľadu na to, že zdrojové registre sú verejné, dotknutá osoba má voči Entyrix tieto práva:
- Právo na prístup (čl. 15 GDPR) — môžeš požiadať o kópiu údajov, ktoré o tebe spracúvame.
- Právo na opravu (čl. 16 GDPR) — ak sú údaje nesprávne, opravíme ich do 30 dní. Upozorňujeme, že primárna oprava musí prebehnúť v zdrojovom registri; my synchronizujeme do 7 dní po refresh-i.
- Právo na vymazanie (čl. 17 GDPR) — vymazanie je obmedzené, pretože sme povinní zachovať integritu auditovateľnosti voči verejnému registru. Vymazanie aplikujeme keď: zdrojový register záznam odstránil ALEBO právny dôvod spracúvania zanikol ALEBO námietka prevažuje nad oprávneným záujmom.
- Právo namietať (čl. 21 GDPR) — môžeš namietať proti spracúvaniu na základe oprávneného záujmu. Posúdime či tvoja konkrétna situácia mení balancing test.
- Právo na obmedzenie spracúvania (čl. 18 GDPR) — počas posudzovania námietky.
- Sťažnosť na ÚOOÚ SR — máš právo podať sťažnosť na Úrad na ochranu osobných údajov SR (dataprotection.gov.sk).
6. DSAR — Ako podať žiadosť
Pre uplatnenie ktoréhokoľvek z uvedených práv kontaktuj:
- E-mail: [email protected] (subject:
DSAR Public Records) - DSAR formulár: /privacy#dsar
- DPO: [email protected] (pre GDPR Art. 22(3) credit-grade contest, OZ §11–16 personality rights claims, accuracy fixes)
- DSA Art. 16 notice (broader: kopírovacie, sankčné, multi-category): /dsa-notice → [email protected]
Odpovedáme do 30 kalendárnych dní per čl. 12 ods. 3 GDPR. Pri vysokej komplexite alebo veľkom počte žiadostí môžeme túto lehotu predĺžiť o ďalšie 2 mesiace s notifikáciou.
Vyžadujeme identifikáciu (meno + národný ID alebo IČO + jeden ďalší identifikačný údaj) na overenie totožnosti pred sprístupnením údajov per čl. 12 ods. 6 GDPR.
7. Kontaktné údaje prevádzkovateľa
Prevádzkovateľ: Julius German, fyzická osoba – podnikateľ, sídlo: Banská Bystrica, SK.
E-mail: [email protected]
DPO: nebol určený (čl. 37 GDPR — Entyrix nespĺňa core-activity scale criteria pre povinné určenie; review v rámci plnej DPIA).