MONIVIO / OCHRANA OSOBNÝCH ÚDAJOV

Ochrana osobných údajov

Verzia 1.0 · Posledná aktualizácia 2026-05-04

1. Kto sme (Prevádzkovateľ)

Prevádzkovateľom osobných údajov je spoločnosť Monivio s. r. o., so sídlom Ota Holúska 9150/5A, 841 06 Bratislava — mestská časť Záhorská Bystrica, Slovenská republika, IČO: 57 146 110, DIČ: 2122587621, zapísaná v Obchodnom registri Mestského súdu Bratislava III, oddiel: Sro, vložka č. 190871/B.

Kontakt pre otázky o ochrane údajov: gdpr@monivio.sk

Zodpovednú osobu (DPO) sme nemenovali, nemáme zákonnú povinnosť. Ako kontaktný bod pre všetky GDPR otázky slúži vyššie uvedený e-mail.

2. Stručne, čo robíme s vašimi údajmi

Údaje nikdy nepredávame tretím stranám.
Údaje nepoužívame na trénovanie AI modelov.
Vaše dáta sú uložené v dátových centrách v Európskej únii (Nemecko).
AI funkcie (asistentka Mona, automatická extrakcia dokladov) bežia tiež v EÚ (Google Cloud, Frankfurt).
Údaje spracúvame len v rozsahu, ktorý je potrebný na fungovanie Služby a dodržanie zákonov.

3. Aké údaje spracúvame

3.1 Údaje, ktoré nám poskytnete priamo

Pri registrácii a používaní Účtu:

meno a priezvisko
e-mailová adresa
telefónne číslo (ak ho dobrovoľne uvediete)
heslo (uložené výhradne v hashovanej podobe — nikdy nemáme prístup k otvorenému heslu)
nastavenie dvojfaktorovej autentifikácie (2FA secret, recovery kódy)

Pri vytvorení Organizácie:

obchodný názov, IČO, DIČ, IČ DPH
adresa sídla a fakturačná adresa
bankové účty pre fakturáciu
logo a iné firemné údaje

V rámci používania Služby:

obsah, ktorý do Služby vkladáte (kontakty, faktúry, doklady, prílohy, anotácie, poznámky)
texty, ktoré píšete asistentke Mone (chat správy, e-maily zaslané na Monu)
komunikácia so zákazníckou podporou

3.2 Údaje, ktoré získavame automaticky

IP adresa, typ a verzia prehliadača, operačný systém, jazyk
prístupové logy (časy prihlásení, akcie v aplikácii) — z bezpečnostných dôvodov a pre audit
cookies a podobné technológie (podrobnosti v § 9)
dáta o používaní (klikanie, prechody medzi stránkami) — len ak udelíte súhlas s analytickými cookies

3.3 Údaje, ktoré získavame od tretích strán

pri prihlásení cez Google (OAuth) získame od Google vašu e-mailovú adresu, meno a profilový obrázok — výlučne na účely prihlásenia
pri vyhľadaní firmy podľa IČO načítame verejne dostupné údaje z registrov (ARES/RPO/OR SR/Finstat) — toto nie je sprostredkovateľ, ide o jednorazový lookup verejne dostupných informácií, vaše osobné údaje pri tom neposielame

4. Účely a právny základ

Účel	Príklady činností	Právny základ
Poskytovanie Služby	registrácia, vedenie Účtu, vystavovanie faktúr, fungovanie aplikácie	Plnenie zmluvy (čl. 6 ods. 1 písm. b GDPR)
Fakturácia a platby	spracovanie platby, vystavenie daňového dokladu	Plnenie zmluvy + Zákonná povinnosť (čl. 6 ods. 1 písm. b a c)
Účtovníctvo	uchovávanie účtovných dokladov a daňových dokladov	Zákonná povinnosť — § 35 zákona č. 431/2002 Z. z. o účtovníctve (čl. 6 ods. 1 písm. c)
Bezpečnosť a prevencia zneužitia	logovanie prihlásení, detekcia útokov, error tracking	Oprávnený záujem (čl. 6 ods. 1 písm. f)
Komunikácia so zákazníkmi	odpoveď na podporu, zasielanie servisných e-mailov (faktúra, upomienka, oznámenie o zmene)	Plnenie zmluvy + Oprávnený záujem
Vylepšovanie Služby	analýza používania, A/B testy, štatistiky	Súhlas (analytické cookies)
Marketingová komunikácia (newsletter)	newsletter, oznámenia o novinkách	Súhlas (čl. 6 ods. 1 písm. a)

5. Doba uchovávania

Kategória údajov	Doba uchovávania
Údaje aktívneho Účtu	po dobu trvania zmluvy
Vystavené faktúry a daňové doklady	10 rokov od konca účtovného obdobia (zákon č. 431/2002 Z. z.)
Údaje po zrušení Účtu	30 dní od deaktivácie — možnosť exportu, potom nenávratné zmazanie (s výnimkou účtovných dokladov)
Zálohy databázy	30 dní rotujúce
Prístupové logy a bezpečnostné záznamy	12 mesiacov
Komunikácia so zákazníckou podporou	3 roky od posledného kontaktu
Marketingová databáza (newsletter)	do odvolania súhlasu
AI chat história s Monou	po dobu trvania Účtu, alebo do vlastného zmazania Používateľom

6. Komu poskytujeme údaje (Sub-spracovatelia)

Pre poskytovanie Služby spolupracujeme so starostlivo vybranými poskytovateľmi (sub-spracovateľmi). S každým z nich máme uzavretú zmluvu o spracúvaní osobných údajov, ktorá zaručuje úroveň ochrany rovnocennú s GDPR.

Spoločnosť	Sídlo a lokalita dát	Účel spracúvania
Hetzner Online GmbH	Nemecko (EÚ)	hosting aplikácie, databáza, ukladanie príloh a dokumentov
Google Cloud EMEA Limited	Írsko (EÚ); spracúvanie v dátovom centre Frankfurt (Nemecko)	AI funkcie pre asistentku Monu a automatickú extrakciu údajov z dokladov
Stripe Payments Europe, Limited	Írsko (EÚ)	spracovanie platieb kartou; údaje o karte spravuje výhradne Stripe, my k nim nemáme prístup
Sendinblue SAS (Brevo)	Francúzsko (EÚ)	odosielanie transakčných a marketingových e-mailov
Google Ireland Limited	Írsko (EÚ); analytické dáta cez Google Analytics 4	webová analytika (len pri udelení súhlasu)
PostHog, Inc.	USA, prevádzkujeme v EÚ regióne (eu.posthog.com)	analytika produktu — meranie používania funkcií (len pri udelení súhlasu)
Functional Software, Inc. (Sentry)	USA, prevádzkujeme v EÚ regióne (sentry.io/eu)	sledovanie technických chýb a výpadkov v aplikácii

Aktuálny zoznam sub-spracovateľov uverejňujeme tu, v týchto Zásadách. O zmene sub-spracovateľa Vás vopred informujeme e-mailom alebo oznamom v aplikácii a budete mať možnosť proti zmene namietať.

7. Prenos údajov mimo Európskej únie

Aktívne sa snažíme všetky dáta spracúvať v Európskej únii.

V určitých prípadoch môže pri použití niektorých sub-spracovateľov (PostHog, Sentry — obaja prevádzkovaní v EÚ regióne) dochádzať k podpornej technickej komunikácii so spoločnosťami so sídlom v USA. Pre tieto prenosy uplatňujeme Štandardné zmluvné doložky EÚ Komisie (SCC) podľa rozhodnutia 2021/914, ktoré poskytujú primeranú úroveň ochrany podľa GDPR.

8. Vzťah prevádzkovateľ — sprostredkovateľ (DPA)

Keď do Služby vkladáte údaje vašich klientov, dodávateľov, zamestnancov alebo iných osôb (napríklad pri tvorbe faktúry, kontakty v adresári, údaje na zmluvách):

Vy (Používateľ) ste prevádzkovateľom týchto údajov v zmysle čl. 4 GDPR.
My (Monivio) sme sprostredkovateľom týchto údajov v zmysle čl. 28 GDPR.

Tieto Zásady zároveň plnia úlohu zmluvy o spracúvaní osobných údajov medzi nami podľa čl. 28 ods. 3 GDPR. Konkrétne:

8.1 Predmet a doba spracúvania

Predmetom je spracúvanie osobných údajov v rozsahu nevyhnutnom na poskytovanie Služby. Doba spracúvania je obmedzená trvaním zmluvy a zákonnými lehotami uchovávania.

8.2 Povaha a účel spracúvania

Spracúvanie zahŕňa: ukladanie, organizovanie, vyhľadávanie, zálohovanie, mazanie, sprístupňovanie údajov v aplikácii a ich prenos podľa pokynov Používateľa.

8.3 Druh osobných údajov a kategórie dotknutých osôb

Druh: identifikačné, kontaktné, fakturačné a iné údaje, ktoré Používateľ rozhodne spracúvať. Kategórie: zákazníci Používateľa, dodávatelia, zamestnanci, kontakty, prípadne iné osoby v rámci podnikateľskej činnosti Používateľa.

8.4 Naše záväzky ako sprostredkovateľa

Spracúvame údaje výhradne na základe pokynov Používateľa podľa funkcií Služby.
Zaviazali sme našich zamestnancov a sub-spracovateľov k mlčanlivosti.
Vykonávame technické a organizačné bezpečnostné opatrenia podľa čl. 32 GDPR (pozri § 10).
Pri bezpečnostnom incidente Používateľa informujeme bez zbytočného odkladu, najneskôr do 72 hodín od zistenia.
Asistujeme pri uplatnení práv dotknutých osôb (napríklad keď klient Používateľa žiada o výmaz údajov).
Po skončení zmluvy údaje vymažeme alebo na žiadosť Používateľa odovzdáme v štruktúrovanej forme.

8.5 Sub-spracovatelia

Používame sub-spracovateľov uvedených v § 6. Pri zmene budeme Používateľov vopred informovať (najmenej 30 dní vopred). Používateľ má právo voči zmene namietať; v takom prípade má právo na ukončenie zmluvy.

9. Cookies a podobné technológie

9.1 Čo sú cookies

Cookies sú malé textové súbory, ktoré sa ukladajú do vášho zariadenia pri prehliadaní webu. Slúžia na uchovávanie informácií o vašej návšteve (napríklad prihlásenie, nastavenie jazyka).

9.2 Aké cookies používame

Nevyhnutné cookies (vždy aktívne)

Tieto cookies sú potrebné pre základné fungovanie Služby a nedajú sa vypnúť. Spracúvame ich na základe oprávneného záujmu (čl. 6 ods. 1 písm. f GDPR).

Názov	Účel	Doba
`monivio.session`	Prihlasovacia relácia (autentifikácia)	trvanie relácie
`monivio.csrf`	Ochrana proti útokom CSRF	trvanie relácie
`monivio.consent`	Uchovanie vašej voľby ohľadom cookies	12 mesiacov
`monivio.theme`	Preferencia tmavého/svetlého režimu	12 mesiacov
`monivio.locale`	Preferencia jazyka	12 mesiacov

Analytické cookies (vyžadujú váš súhlas)

Tieto cookies používame, aby sme rozumeli, ako sa Služba používa, a mohli ju vylepšovať. Spracúvame ich na základe vášho súhlasu (čl. 6 ods. 1 písm. a GDPR), ktorý môžete kedykoľvek odvolať.

Poskytovateľ	Cookies / identifikátory	Účel
Google Analytics 4	`_ga`, `_ga_*`	Štatistiky návštev a správania
PostHog (EU)	`ph_*`	Analytika produktu (ktoré funkcie sa používajú)

9.3 Anonymné meranie pred udelením súhlasu

Pred udelením súhlasu nepoužívame žiadne identifikujúce cookies ani profilovanie. V obmedzenom rozsahu sledujeme iba anonymné, agregované metriky:

Google Analytics beží v režime Consent Mode v2 — bez cookies, posiela len anonymizované „signály" pre agregované štatistiky.
PostHog beží v režime anonymous — bez cookies, len v rámci jednej relácie.
Sentry sleduje technické chyby aplikácie bez priraďovania k osobe (žiadne PII v error reportoch). Sentry je nevyhnutný pre udržanie kvality Služby a používame ho na základe oprávneného záujmu.

Pred udelením súhlasu vás teda nesledujeme ako jednotlivca, len pomáhame Službe fungovať a meriame agregované použitie.

9.4 Ako spravovať cookies

Pri prvej návšteve sa zobrazí cookie banner s tromi možnosťami: Prijať všetko, Odmietnuť a Nastavenia.
Svoje rozhodnutie môžete kedykoľvek zmeniť cez odkaz Cookies v päte stránky alebo v Účte → Nastavenia → Súkromie.
Cookies si môžete kedykoľvek vymazať aj priamo v nastaveniach prehliadača.

10. Bezpečnostné opatrenia

Vaše údaje chránime kombináciou technických a organizačných opatrení:

Šifrovanie pri prenose — všetka komunikácia prebieha cez HTTPS/TLS 1.3
Šifrovanie pri uložení — databáza a zálohy sú šifrované (AES-256)
Hashovanie hesiel — heslá sú hashované algoritmom Argon2id; my k nim nikdy nemáme prístup
Multi-tenant izolácia — dáta jednotlivých Organizácií sú oddelené na úrovni databázy (Row Level Security)
Pravidelné zálohy — každodenné zálohy databázy s 30-dňovou rotáciou
Monitoring a auditné logy — sledujeme prístupy a podozrivé aktivity
Aktualizácie a security patches — pravidelne aktualizujeme softvérové komponenty
Mlčanlivosť — zamestnanci a dodávatelia sú zmluvne zaviazaní k mlčanlivosti
Princíp minimálnych oprávnení — prístup k produkčným dátam má len obmedzený okruh osôb a len na nevyhnutný čas

11. Vaše práva ako dotknutej osoby

Podľa GDPR máte tieto práva:

11.1 Právo na prístup (čl. 15)

Máte právo vedieť, či o vás spracúvame osobné údaje, a ak áno, dostať ich kópiu.

11.2 Právo na opravu (čl. 16)

Ak sú vaše údaje nesprávne alebo neúplné, máte právo požiadať o ich opravu. Väčšinu údajov si môžete sami upraviť priamo v Účte.

11.3 Právo na výmaz / „právo na zabudnutie" (čl. 17)

Môžete požiadať o vymazanie údajov, ak už nie sú potrebné na účely, na ktoré sme ich získali. Toto právo je obmedzené v rozsahu, v akom sme povinní údaje uchovávať podľa zákona (napr. faktúry — 10 rokov).

11.4 Právo na obmedzenie spracúvania (čl. 18)

Máte právo požiadať, aby sme spracúvanie údajov dočasne pozastavili, napríklad ak namietate ich správnosť.

11.5 Právo na prenosnosť (čl. 20)

Máte právo dostať svoje údaje v štruktúrovanej, bežne používanej a strojovo čitateľnej forme. V Monivio nájdete v Účte funkciu GDPR export, ktorá vygeneruje kompletný balík vašich dát.

11.6 Právo namietať (čl. 21)

Pri spracúvaní na základe oprávneného záujmu máte právo namietať. Pri marketingovej komunikácii máte vždy právo odhlásiť sa.

11.7 Právo odvolať súhlas (čl. 7)

Ak ste udelili súhlas (napr. pre analytické cookies, newsletter), môžete ho kedykoľvek odvolať. Odvolanie sa nedotýka spracúvania pred odvolaním.

11.8 Právo na sťažnosť (čl. 77)

Ak sa domnievate, že vaše údaje spracúvame v rozpore s GDPR, máte právo podať sťažnosť dozornému orgánu:

Úrad na ochranu osobných údajov Slovenskej republiky Hraničná 12, 820 07 Bratislava 27 https://dataprotection.gov.sk statny.dozor@pdp.gov.sk

Predtým ale prosím skúste vec vyriešiť priamo s nami — väčšinu situácií dokážeme rýchlo a ústretovo vyriešiť.

12. Ako uplatniť svoje práva

Najjednoduchšie:

V Účte — väčšinu údajov si môžete pozrieť, upraviť alebo exportovať priamo v sekcii Nastavenia → Účet a Nastavenia → Súkromie.
E-mailom — pre čokoľvek, čo nedokážete vyriešiť v aplikácii, napíšte na gdpr@monivio.sk. Odpovieme do 30 dní (v zložitejších prípadoch v zákonnej lehote do 90 dní s priebežným informovaním).

Pre overenie identity môžeme požiadať o doplňujúce informácie (napr. potvrdenie, že žiadosť skutočne podáva osoba, ktorej sa údaje týkajú).

13. Automatizované rozhodovanie a profilovanie

Nepoužívame automatizované rozhodovanie s právnym alebo podobne závažným účinkom na vás v zmysle čl. 22 GDPR.

AI asistentka Mona používa AI modely poskytované cez Google Cloud na pomoc pri práci v aplikácii — napríklad navrhuje vyplnenie faktúr alebo kategorizáciu dokladov. Mona vám však len navrhuje a pomáha — všetky podstatné rozhodnutia robíte sami a Mona ich nevykonáva bez vášho potvrdenia.

Vaše prompty zaslané Mone nepoužívame na trénovanie AI modelov. Sub-spracovateľ Google na základe zmluvy nepoužíva vstupné dáta na zlepšovanie svojich modelov.

14. Zmena Zásad

Tieto Zásady môžeme priebežne aktualizovať (napríklad pri pridaní nového sub-spracovateľa alebo zmene právnych predpisov). Pri podstatnej zmene vás budeme informovať e-mailom alebo oznamom v aplikácii najmenej 30 dní vopred.

História verzií:

Verzia	Účinné od	Zmeny
1.0	[doplníme]	Prvá verzia

15. Záverečné

Ak máte otázky, niečomu nerozumiete, alebo si chcete uplatniť svoje práva, napíšte nám. Sme malý tím, ale na ochrane údajov nám reálne záleží a odpovieme každému.

gdpr@monivio.sk

Tento dokument tvorí neoddeliteľnú súčasť Pravidiel používania a popisuje aj zmluvný vzťah medzi Vami ako prevádzkovateľom a Monivio ako sprostredkovateľom v zmysle čl. 28 GDPR.