Ochrana osobných údajov

Zásady ochrany osobných údajov

Posledná aktualizácia: Júl 2025

Správca údajov:
Spoločnosť Blue Lime s.r.o. (obchodujúca pod názvom ContentPillow.agency), spoločnosť s ručením obmedzeným založená podľa slovenského práva (číslo spoločnosti …), so sídlom Vysoká 4277/12, 811 06 Bratislava, Slovensko. Náš úradník pre ochranu osobných údajov (DPO) je dostupný na adrese info@contentpillow.agency.

Prehľad spracovateľských činností

Tieto Zásady ochrany osobných údajov (ďalej len „Zásady“) poskytujú vyčerpávajúci opis postupov spracovania osobných údajov spoločnosti ContentPillow.sk vo všetkých prevádzkach, produktoch a službách ponúkaných na celom svete. Tieto Zásady vypracoval externý právny poradca špecializujúci sa na ochranu údajov, aby sa zabezpečil úplný súlad so všeobecným nariadením EÚ o ochrane údajov (GDPR), slovenským zákonom o ochrane údajov a príslušnými usmerneniami vydanými Európskym výborom pre ochranu údajov (EDPB). Vysvetľuje kategórie zhromažďovaných osobných údajov; právne základy a konkrétne účely spracúvania údajov; poskytovateľov služieb tretích strán, s ktorými sa osobné údaje zdieľajú na základe záväzných dohôd o spracúvaní údajov (DPA); presné lehoty uchovávania a uplatňované metódy bezpečného vymazávania; zavedené technické a organizačné bezpečnostné opatrenia; postup pri vykonávaní posúdenia vplyvu na ochranu údajov (DPIA) a zakotvenie ochrany súkromia už v štádiu návrhu/úlohy; podrobné práva dotknutých osôb a postupy na ich uplatnenie; kontakty na dozorné orgány; protokoly o oznamovaní porušenia vrátane časových harmonogramov a obsahu; a opatrenia na riešenie medzinárodných prenosov údajov a cezhraničných tokov údajov.

1. Definície

Na účely tejto politiky majú nasledujúce pojmy význam uvedený nižšie:

• „Osobné údaje“ sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby („dotknutá osoba“).
• „Spracovanie“ znamená akúkoľvek operáciu vykonávanú s osobnými údajmi, či už automatizovanými alebo neautomatizovanými prostriedkami, vrátane zhromažďovania, uchovávania, vyhľadávania, šírenia alebo vymazávania.
• „Prevádzkovateľ“ je subjekt, ktorý určuje účely a prostriedky spracovania osobných údajov: Blue Lime s.r.o.
• „Spracovateľ“ znamená akúkoľvek tretiu stranu, ktorá spracúva osobné údaje v mene Prevádzkovateľa na základe ZOOU.
• „GDPR“ označuje nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679.

2. Kategórie osobných údajov a účely spracovania

2.1 Registrácia účtu a správa profilu

Keď sa rozhodnete vytvoriť si účet na ContentPillow.agency, zhromažďujeme nasledujúce kategórie údajov:

• Identifikačné údaje: meno a priezvisko, titul, dátum narodenia (nepovinné) a akékoľvek iné identifikačné údaje, ktoré dobrovoľne poskytnete.
• Kontaktné údaje: e-mailová adresa, telefónne číslo, fakturačná a dodacia adresa.
• Údaje o poverení: používateľské meno a heslo zaheslované pomocou bcrypt.
• Údaje o preferenciách: jazykové preferencie, prihlásenie do marketingovej komunikácie a iné vlastné nastavenia.

Vyššie uvedené údaje sa spracúvajú s cieľom umožniť:

• Bezpečné overovanie a prístup k účtu (článok 6 ods. 1 písm. b) GDPR – plnenie zmluvy).
• Správa účtu a konfigurácia profilu vrátane obnovy hesla a dvojfaktorového overovania.
• Dodávanie personalizovaného obsahu a prispôsobenie používateľského rozhrania.

Údaje o profile uchovávame počas trvania aktívneho účtu plus dva roky nečinnosti po vymazaní účtu, potom sa údaje nenávratne vymažú.

2.2 Transakcie elektronického obchodu a platobné údaje

Naša platforma poháňaná systémom WooCommerce spracúva objednávky na copywritingové služby. Zhromažďujeme nasledujúce údaje:

• Údaje o objednávke: podrobnosti o produkte/službe, množstvá, ceny, časové pečiatky transakcií, stavy objednávky (čakajúca, spracovaná, dokončená, vrátená).
• Finančné údaje: fakturačné záznamy, daňové identifikačné čísla (ak je to relevantné) a metaúdaje transakcie.
• Platobné nástroje: platobné tokeny a odkazy na transakcie poskytnuté spoločnosťou Stripe, Inc.

Spoločnosť Stripe pôsobí ako náš spracovateľ platobnej brány. Všetky platobné údaje sú tokenizované systémami spoločnosti Stripe, ktoré sú v súlade s PCI DSS, čo zabezpečuje, že v našej infraštruktúre nie sú uložené žiadne nespracované čísla kreditných kariet. Údaje o objednávkach a platobných transakciách uchovávame na:

• Plnenie kúpnych zmlúv (článok 6 ods. 1 písm. b) GDPR).
• Spracovanie refundácií, spätných platieb a finančných odsúhlasení.
• Dodržiavanie slovenských a európskych účtovných a daňových zákonov (článok 6 ods. 1 písm. c) GDPR), ktoré vyžadujú sedemročné obdobie uchovávania.

2.3 Technické údaje, údaje o používaní a sledovanie

Na zabezpečenie optimálneho výkonu, zisťovanie bezpečnostných hrozieb a vykonávanie priebežných vylepšení zhromažďujeme:

• Denníky servera: IP adresy, časové pečiatky požiadaviek, hlavičky HTTP, odkazujúce adresy URL a chybové protokoly vedené VPS spoločnosti Contabo.
• Metadáta zariadenia a prehliadača: reťazce user-agent, rozlíšenie obrazovky, typ operačného systému a verzia prehliadača.
• Informácie o relácii: identifikátory relácie, trvanie relácie a zaznamenané udalosti, napríklad časy prihlásenia/odhlásenia.
• Údaje o súboroch cookie: podľa našich kategórií spravovaných spoločnosťou Complianz.

Spracúvanie týchto údajov je odôvodnené našimi oprávnenými záujmami (článok 6 ods. 1 písm. f) GDPR): zachovanie dostupnosti služieb, ochrana pred neoprávneným prístupom, identifikácia úzkych miest výkonu a umožnenie forenzného vyšetrovania v prípade incidentov. Vykonávame pravidelné preskúmania, aby sme zabezpečili, že takéto spracúvanie zostane primerané zamýšľaným bezpečnostným a výkonnostným cieľom.

2.4 Nasadenie súborov cookie a súhlas

V súlade s odôvodnením 32 GDPR a smernicou o súkromí a elektronických komunikáciách používame granulárny mechanizmus súhlasu so súbormi cookie implementovaný prostredníctvom doplnku Complianz. Kategórie súborov cookie zahŕňajú:

• Základné súbory cookie: nevyhnutne potrebné na správu relácie, funkcie nákupného košíka a bezpečné prihlásenie.
• Funkčné súbory cookie: uchovávajú používateľom zvolené preferencie, ako napríklad jazyk, nastavenia zobrazenia a vstupy formulára.
• Výkonnostné súbory cookie: Súbory cookie služby Google Analytics zachytávajúce anonymizované metriky na účely zlepšenia UX a analýzy návštevnosti.
• Marketingové súbory cookie: Meta Pixel a sledovanie tretích strán na meranie konverzií reklám, remarketing a budovanie publika.

Marketingové a výkonnostné súbory cookie sa aktivujú len na základe výslovného súhlasu (článok 6 ods. 1 písm. a) nariadenia GDPR). Záznamy o súhlase obsahujú časové pečiatky a rozsah súhlasu, ktoré sa bezpečne uchovávajú dva roky.

2.5 Profilovanie a automatizované rozhodovanie

Na generovanie personalizovaných návrhov služieb na základe histórie nákupov a interakcií so stránkou používame neinvazívne profilovanie. Tieto procesy nemajú za následok plne automatizované rozhodnutia s právnymi alebo podobne významnými účinkami podľa článku 22 GDPR. Profilovanie môžete kedykoľvek odmietnuť prostredníctvom našich nastavení súborov cookie alebo kontaktovaním adresy privacy@contentpillow.agency.

2.6 Marketingová komunikácia

S vaším súhlasom vám prostredníctvom e-mailu zasielame informačné bulletiny, propagačné ponuky a aktualizácie služieb. Každý e-mail obsahuje odkaz na odhlásenie, ktorý vám umožní bez námahy odvolať súhlas. Na hromadné doručovanie a sledovanie e-mailov používame spoločnosť Mailchimp na základe dohody DPA, čím zabezpečujeme súlad s GDPR a zákonom CAN-SPAM pre príjemcov na celom svete.

2.7 Interakcie so zákazníckou podporou

Keď zadávate otázky prostredníctvom kontaktných formulárov, živého chatu alebo e-mailu, zaznamenávame ich:

• Vaše meno a e-mail.
• Predmet a obsah vašej otázky.
• Stav hárku podpory a podrobnosti o riešení.

Tieto údaje sa uchovávajú na účely plnenia našich servisných povinností, sledovania histórie prípadov a zabezpečenia vysokokvalitnej podpory, spracúvajú sa na základe plnenia zmluvy (článok 6 ods. 1 písm. b) nariadenia GDPR) a oprávnených záujmov (článok 6 ods. 1 písm. f) nariadenia GDPR), pričom sa uchovávajú tak dlho, kým je váš prípad podpory aktívny, plus jeden rok.

3. Právny základ, DPIA a ochrana osobných údajov podľa návrhu

V súlade s článkami 5 a 25 GDPR uplatňujeme zásady Privacy by Design a Default vo všetkých nových projektoch, pričom zabezpečujeme, aby sa zhromažďovalo len minimum osobných údajov potrebných na každý stanovený účel. Pred spustením akejkoľvek novej vysoko rizikovej spracovateľskej činnosti – napríklad rozsiahlej behaviorálnej analýzy alebo zdieľania údajov medzi systémami – vykonávame posúdenie vplyvu na ochranu údajov (DPIA) podľa článku 35 GDPR s cieľom identifikovať a zmierniť potenciálne riziká pre ochranu osobných údajov. Medzi naše právne základy spracúvania patria:

• Zmluvná nevyhnutnosť (článok 6 ods. 1 písm. b) GDPR) pre spracovanie účtov a transakcií.
• Právne povinnosti (článok 6 ods. 1 písm. c) GDPR) na dodržiavanie daňových, účtovných a zákonných záznamov.
• Súhlas (článok 6 ods. 1 písm. a) GDPR) pre cookies, marketingové a profilovacie činnosti.
• Oprávnené záujmy (článok 6 ods. 1 písm. f) GDPR) na monitorovanie bezpečnosti, predchádzanie podvodom a zlepšovanie služieb v rovnováhe s právami používateľov.

4. Spracovatelia tretích strán a medzinárodné prenosy

Spolupracujeme výlučne so spracovateľmi, ktorí uzavreli dohody o ochrane údajov v súlade s GDPR:

• Stripe, Inc. pre spracovanie platieb (https://stripe.com/privacy).
• Contabo GmbH pre hosting VPS so sídlom v EÚ a šifrované zálohovanie.
• Mailchimp na e-mailový marketing (https://mailchimp.com/legal/privacy/).
• Google Analytics na analýzu návštevnosti (https://policies.google.com/privacy).
• Meta Platforms, Inc. pre marketingové pixely (https://www.facebook.com/privacy/explanation).

Prípadné prenosy osobných údajov mimo EHP sú zabezpečené štandardnými zmluvnými doložkami schválenými Európskou komisiou, ktoré zabezpečujú ochranu rovnocennú s GDPR v partnerských jurisdikciách.

5. Uchovávanie údajov, bezpečné vymazanie a RoPA

V súlade s článkom 5 ods. 1 písm. e) GDPR o obmedzení uchovávania údajov uplatňujeme nasledujúci harmonogram uchovávania:

• Údaje o účte/profile: do vymazania účtu 2 roky.
• Údaje o transakciách a platbách: (daňový zákon): 7 rokov.
• Záznamy o prípadoch podpory: aktívny prípad 1 rok.
• Bezpečnostné protokoly (protokol o činnosti WP): (Aktivity): 90 dní, potom anonymizované.
• Analýza výkonnosti: 1 rok, potom sa prepíše.
• Záznamy o súhlase: 2 roky alebo do odvolania.

Údaje presahujúce tieto obdobia sa bezpečne vymažú pomocou štandardných priemyselných techník vymazávania (napr. NIST 800-88) alebo sa nenávratne anonymizujú. Vedieme záznam o spracovateľských činnostiach (RoPA) podľa článku 30 GDPR, v ktorom sú zdokumentované všetky spracovateľské operácie, kategórie údajov, účely, príjemcovia a obdobia uchovávania.

6. Bezpečnostné opatrenia a reakcia na porušenie

Implementujeme stratégiu obrany do hĺbky s opatreniami, ktoré zahŕňajú:

• End-to-end šifrovanie: TLS 1.2 pre prenášané údaje.
• Šifrovanie údajov v režime odpočinku: AES-256 pre databázy a zálohy.
• Sieťové a aplikačné firewally, systémy na detekciu narušenia.
• Riadenie prístupu na základe rolí a povinné dvojfaktorové overovanie pre administratívnych používateľov.
• Pravidelné hodnotenie zraniteľnosti a penetračné testovanie.

V prípade porušenia ochrany údajov:

1. Aktivujeme postupy reakcie na incidenty s cieľom obmedziť a vyšetriť porušenie.
2. Do 72 hodín informovať Úrad na ochranu osobných údajov SR, ako to vyžaduje článok 33 GDPR.
3. Bez zbytočného odkladu informovať dotknuté osoby, ak existuje vysoké riziko pre ich práva a slobody (článok 34 GDPR).
4. Zdokumentovať povahu, rozsah a prijaté nápravné opatrenia a uchovávať tento záznam na účely zodpovednosti.

7. Práva dotknutých osôb a postupy podávania sťažností

Podľa kapitol 3 a 4 GDPR majú dotknuté osoby právo na:

• Prístup k svojim osobným údajom a získať ich kópiu (článok 15).
• Opraviť nepresné alebo neúplné údaje (článok 16).
• Vymazať údaje („právo byť zabudnutý“), ak neexistujú žiadne naliehavé právne dôvody (článok 17).
• Obmedziť spracovanie (článok 18).
• Namietať proti spracovaniu na základe oprávnených záujmov alebo priameho marketingu (článok 21).
• Prenosnosť údajov – získať údaje v štruktúrovanom, bežne používanom, strojovo čitateľnom formáte (článok 20).
• Kedykoľvek odvolať súhlas (článok 7 ods. 3).

Ak chcete uplatniť niektoré z týchto práv alebo podať sťažnosť, obráťte sa na nášho úradníka pre ochranu údajov na adrese privacy@contentpillow.agency. Do siedmich dní potvrdíme prijatie žiadosti a do jedného mesiaca poskytneme vecnú odpoveď, ktorú možno v prípade zložitých žiadostí predĺžiť až o ďalšie dva mesiace. Ak nebudete spokojní, môžete podať sťažnosť dozornému orgánu: Úrad na ochranu osobných údajov(dataprotection.gov.sk).

8. Osobitné ustanovenia pre neplnoleté osoby

Naše služby sú výslovne obmedzené na osoby staršie ako 18 rokov. Osobné údaje od neplnoletých osôb mladších ako 18 rokov vedome nezhromažďujeme. Ak sa dozvieme, že sme neúmyselne zhromaždili údaje od neplnoletej osoby, okamžite podnikneme kroky na overenie súhlasu rodičov alebo úplné odstránenie údajov.

9. Medzinárodné rámce ochrany údajov

V prípade príjemcov mimo EHP dodržiavame príslušné ochranné opatrenia:

• Štandardné zmluvné doložky (SCC) prijaté Európskou komisiou.
• Záväzné podnikové pravidlá (ak sa uplatňujú v rámci našej podnikovej skupiny).
• Dodatočné šifrovanie a pseudonymizácia, ak sa vyžaduje.

10. Signály Do-Not-Track a preferencie súborov cookie

Signály Do-Not-Track založené na prehliadači nie sú programovo rozpoznané z dôvodu chýbajúceho priemyselného štandardu. Namiesto toho môžu používatelia spravovať preferencie súborov cookie prostredníctvom nášho rozhrania Complianz na adrese Zásady používania súborov cookie, aby selektívne povolili alebo zakázali výkonnostné a marketingové súbory cookie.

11. Zmeny a doplnenia zásad

Tieto zásady ochrany osobných údajov sa môžu aktualizovať, aby odrážali zmeny v zákonoch, technológiách alebo obchodných postupoch. Významné zmeny a doplnenia budú oznámené e-mailom všetkým registrovaným používateľom a zvýraznené na našej webovej lokalite. Revidovaný dátum \“Posledná aktualizácia\“ bude signalizovať najnovšiu verziu. Pokračovanie v používaní našich služieb po takýchto oznámeniach predstavuje súhlas so zmenami.