SignatoZásady ochrany osobných údajov
1. Prevádzkovateľ
Prevádzkovateľom platformy Signato (ďalej len „Služba" alebo „Signato") je:
signato s. r. o.
Sídlo: Landererova 7743/8, 811 09 Bratislava - mestská časť Staré Mesto
IČO: 57637105, DIČ:
Registrácia: Obchodný register Mestského súdu Bratislava III, oddiel Sro, vložka č. 199766/B
E-mail: privacy@signato.sk
(ďalej len „Prevádzkovateľ", „my" alebo „nás")
Zodpovedná osoba (DPO): Prevádzkovateľ neustanovil zodpovednú osobu podľa čl. 37 GDPR — povinnosť sa neuplatňuje, keďže operátor nespĺňa kritériá veľkorozmerného alebo systematického monitorovania pri spracúvaní vlastných údajov. V otázkach ochrany osobných údajov nás kontaktujte na privacy@signato.sk. Pri prekročení 5 platiacich salónov plánujeme dobrovoľne ustanoviť externú zodpovednú osobu.
2. Dve úlohy spracúvania
Signato vystupuje v dvoch odlišných úlohách podľa kontextu spracúvania:
- Ako prevádzkovateľ — pre účely poskytovania Služby našim zákazníkom (kozmetické salóny, PMU štúdiá). Spracúvame osobné údaje používateľov účtov (vlastníci salónov, zamestnanci).
- Ako sprostredkovateľ — pre osobné údaje klientok salónov, ktoré sa spracúvajú v rámci dotazníkov a elektronických podpisov. V tomto prípade je prevádzkovateľom samotný salón. Signato údaje iba technicky spracúva v jeho mene na základe Sprostredkovateľskej zmluvy podľa čl. 28 GDPR.
3. Aké údaje spracúvame (ako prevádzkovateľ)
Pri registrácii a používaní účtu v Signato spracúvame:
| Kategória | Údaje | Účel | Právny základ | Doba uchovávania |
|---|---|---|---|---|
| Identifikačné | Meno, priezvisko, e-mail | Vytvorenie a správa používateľského účtu, prihlasovanie, e-mailová verifikácia, zákaznícka komunikácia | Plnenie zmluvy (čl. 6 ods. 1 písm. b GDPR) | Počas trvania účtu + 3 roky |
| Firemné | Názov spoločnosti, IČO, DIČ, IČ DPH, fakturačná adresa | Vystavovanie faktúr a daňových dokladov, vedenie účtovnej evidencie | Zákonná povinnosť (čl. 6 ods. 1 písm. c GDPR + zákon č. 431/2002 Z. z. o účtovníctve) | 10 rokov (§ 35 zákona o účtovníctve) |
| Platobné | Posledné 4 číslice karty, typ karty (drží Stripe, nie my) | Spracovanie predplatného cez Stripe, identifikácia faktúry | Plnenie zmluvy (čl. 6 ods. 1 písm. b GDPR) | Počas trvania predplatného + zákonná lehota Stripe |
| Technické | IP adresa, user agent, prihlasovacie relácie, audit log akcií | Zabezpečenie systému proti útokom, prevencia podvodov a zneužitia, audit prístupov, riešenie incidentov | Oprávnený záujem (čl. 6 ods. 1 písm. f GDPR) — bezpečnosť systému, prevencia podvodov, audit prístupov | 12 mesiacov pre relácie; 7 rokov pre audit log akcií |
| Marketingové (potenciálny zákazník) | E-mail pri kontaktnom formulári alebo prihlásení k newsletteru | Odpovedanie na otázky cez kontaktný formulár; newsletter o produktových novinkách | Súhlas (čl. 6 ods. 1 písm. a GDPR) | Do odvolania súhlasu, najviac 3 roky bez interakcie |
| Marketingové (existujúci zákazník) | E-mail účtu | Servisná a produktová komunikácia obdobnému zákazníkovi (soft opt-in podľa § 3 ods. 7 zákona č. 351/2011 Z. z. o elektronických komunikáciách) | Oprávnený záujem (čl. 6 ods. 1 písm. f GDPR) — udržanie zákazníka informovaného o vlastnom produkte; právo namietať kedykoľvek | Počas trvania účtu + 12 mesiacov |
| Opustený trial / nedokončená registrácia | E-mail, IP adresa, čas pokusu | Identifikácia opustených registrácií, prevencia zneužitia, voliteľné pripomenutie účtu | Oprávnený záujem (čl. 6 ods. 1 písm. f GDPR) | 30 dní od posledného pokusu, potom anonymizácia |
Je poskytnutie údajov povinné? Identifikačné údaje (meno, e-mail, heslo) sú zmluvnou požiadavkou — bez nich nemôžete vytvoriť účet a používať Službu. Firemné údaje (IČO, DIČ, IČ DPH, fakturačná adresa) sú zákonnou požiadavkou pre vystavovanie faktúr podľa zákona č. 431/2002 Z. z. o účtovníctve; bez nich vám neviem fakturovať predplatné. Marketingový súhlas (newsletter) je dobrovoľný — neudelenie nemá vplyv na poskytovanie Služby. Servisná a produktová komunikácia existujúcim platiacim zákazníkom je založená na oprávnenom záujme (soft opt-in) — máte právo ju kedykoľvek odmietnuť cez odkaz na konci každého e-mailu alebo na privacy@signato.sk.
4. Údaje klientok salónov (úloha sprostredkovateľa)
Ak ste klientka salónu, ktorý používa Signato na dotazníky a súhlasy: prevádzkovateľom vašich údajov je tento salón, nie Signato. Žiadosti o prístup, opravu alebo vymazanie adresujte priamo salónu, v ktorom ste dotazník vyplnili — alebo nám cez verejný formulár /dsar, ktorý žiadosť doručí salónu.
Zdroj vašich údajov: vaše údaje ste poskytli priamo salónu pri návšteve (cez kioskový tablet) alebo cez pre-vizitný link, ktorý vám zaslal salón. Signato dostáva vaše údaje od salónu ako sprostredkovateľ — neukladáme ich na vlastné účely.
Aké údaje:
- Identifikačné a kontaktné: meno, priezvisko, dátum narodenia, e-mail, telefón, adresa (pri laser zákroku)
- Osobitné kategórie podľa čl. 9 GDPR: odpovede na zdravotné otázky (anamnéza, alergie, kontraindikácie, gravidita, lieky, kožné stavy)
- Fotografie stavu pokožky pred zákrokom (laser, len pri samostatnom súhlase)
- Elektronický podpis (PNG kresba) + IP, prehliadač a časová pečiatka pri akceptácii súhlasu
Signato v tejto úlohe spracúva vaše údaje iba podľa pokynov salónu a
na základe Sprostredkovateľskej zmluvy podľa čl. 28 GDPR.
Zdravotné odpovede sú šifrované AES-256 (Laravel encrypted cast)
a uložené na serveroch v Nemecku (Hetzner Online GmbH).
Detailný popis spracúvania je v
RoPA
a posúdenie vplyvu v
DPIA;
obe poskytneme na žiadosť na privacy@signato.sk.
5. Príjemcovia údajov
Vaše údaje môžeme poskytnúť nižšie uvedeným sub-processorom. Aktuálny zoznam vrátane lokácií, právnych základov prenosov a odkazov na DPA každého z nich je na samostatnej stránke Sub-processori.
- Hetzner Online GmbH (Nemecko) — hosting serverov
- Stripe Payments Europe Ltd. (Írsko, parent Stripe Inc. v USA) — spracovanie platieb
- Websupport s.r.o. (SR) — doména a e-mailové služby
- Google Ireland Ltd. (Írsko, parent Google LLC v USA) — reCAPTCHA a Google Sign-In
- Sentry GmbH (Nemecko) — sledovanie technických chýb v aplikácii (PII scrubbed)
- Finančné a daňové úrady v prípade zákonnej povinnosti
Prenos do tretích krajín: niektorí sub-processori spracúvajú údaje aj mimo Európskej únie — najmä Stripe Inc. (USA), Google LLC (USA) a Sentry pri plánoch bez EU residency. Prenos je zákonný na základe:
- Štandardných zmluvných doložiek (SCC) schválených Európskou komisiou rozhodnutím 2021/914
- EU-U.S. Data Privacy Framework (DPF) — adekvačné rozhodnutie EÚ z 2023-07-10, certifikácia každého prenášajúceho overiteľná na dataprivacyframework.gov/list
Kópie štandardných zmluvných doložiek a aktuálne potvrdenie certifikácie každého sub-processora poskytneme na žiadosť na privacy@signato.sk.
6. Vaše práva
V zmysle GDPR máte právo na:
- Prístup k svojim údajom (čl. 15)
- Opravu nesprávnych údajov (čl. 16)
- Vymazanie („právo na zabudnutie") (čl. 17)
- Obmedzenie spracúvania (čl. 18)
- Prenositeľnosť (čl. 20)
- Namietať proti spracúvaniu založenom na oprávnenom záujme (čl. 21)
- Odvolať súhlas — tam, kde je spracúvanie založené na súhlase
- Podať sťažnosť na Úrad na ochranu osobných údajov SR
Žiadosti smerujte na e-mail privacy@signato.sk alebo vyplňte verejný formulár /dsar. Vybavíme ich do 30 dní od prijatia (čl. 12 ods. 3 GDPR).
7. Automatizované rozhodovanie a profilovanie
Signato nevykonáva automatizované rozhodovanie s právnym účinkom podľa čl. 22 GDPR ani profilovanie klientok salónov. Žiadny algoritmus automaticky neodmieta zákroky, nepredpovedá zdravotné riziká bez zásahu Prevádzkovateľa salónu, ani nehodnotí klientky podľa ich osobných údajov. Všetky rozhodnutia o vykonaní zákroku robí salón ako kvalifikovaný prevádzkovateľ na základe vyplneného dotazníka a osobnej konzultácie.
8. Bezpečnosť
Prijímame primerané technické a organizačné opatrenia na ochranu vašich údajov:
- TLS 1.2+ šifrovanie pri všetkých spojeniach
- Šifrovanie hesiel (bcrypt), HSTS, CSP hlavičky
- Pravidelné zálohy a audit prístupov
- Oddelenie dát jednotlivých zákazníkov (multi-tenant isolation)
- Prístup k produkčným dátam obmedzený na autorizovaných zamestnancov
9. Cookies
Používame nevyhnutné cookies na zabezpečenie prihlasovania a ochrany proti botom. Podrobnosti nájdete v samostatných zásadách cookies.
10. Zmeny týchto zásad
Vyhradzujeme si právo tieto zásady aktualizovať. O podstatných zmenách vás budeme informovať e-mailom alebo prostredníctvom Služby najmenej 30 dní pred účinnosťou. Ak so zmenou nesúhlasíte, môžete v tejto lehote ukončiť používanie Služby a požiadať o vymazanie údajov.
11. Kontakt
V otázkach ochrany osobných údajov nás môžete kontaktovať:
E-mail: podpora@signato.sk