Ochrana osobných údajov
Tieto zásady vysvetľujú, ako spracúvame osobné údaje v súvislosti s platformou ANDESA — webovou aplikáciou (app.andesa.eu) aj mobilnou aplikáciou pre iOS. Obe využívajú spoločný backend. Spracúvanie prebieha v súlade s Nariadením (EÚ) 2016/679 (GDPR) a zákonom č. 18/2018 Z. z.
1. Prevádzkovateľ
Prevádzkovateľom, ktorý určuje účely a prostriedky spracúvania, je:
(ďalej len „prevádzkovateľ" alebo „ANDESA"). Zodpovedná osoba (DPO) nie je určená — vo veciach ochrany osobných údajov nás kontaktujte na [email protected].
2. Rozsah a postavenie strán
Zásady sa vzťahujú na webovú aj mobilnú aplikáciu ANDESA, ktoré zdieľajú spoločný backend.
- ANDESA ako prevádzkovateľ — pri údajoch potrebných na poskytovanie služby a vzťah so zákazníkom: kontá používateľov, prihlasovacie a kontaktné údaje, fakturácia voči zákazníkovi.
- ANDESA ako sprostredkovateľ — pri údajoch, ktoré do aplikácie vkladá zákazník o svojich zamestnancoch, klientoch a dodávateľoch (napr. dochádzka, denník, adresár, fotodokumentácia). V tomto vzťahu je zákazník prevádzkovateľom a ANDESA spracúva údaje na základe jeho pokynov. Na požiadanie uzatvoríme so zákazníkom zmluvu o spracúvaní osobných údajov (DPA) podľa čl. 28 GDPR.
Zdroj údajov a informačná povinnosť pri tretích osobách. Časť údajov nezískavame priamo od dotknutej osoby, ale ich do aplikácie vkladá zákazník alebo jeho používatelia — najmä údaje o klientoch a dodávateľoch (adresár, doklady), osoby a evidenčné čísla vozidiel zachytené vo fotodokumentácii a údaje korešpondentov v e-mailovom module (IMAP). Pri týchto údajoch vystupuje ANDESA ako sprostredkovateľ a spracúva ich na pokyn zákazníka; informačnú povinnosť voči týmto osobám podľa čl. 14 GDPR nesie zákazník ako prevádzkovateľ. E-mailový modul funguje cez vlastný účet používateľa a ANDESA k obsahu schránky nemá samostatný prístup.
3. Aké údaje spracúvame
Podľa modulov, ktoré v aplikácii používate:
| Modul | Aké údaje | Koho sa týkajú |
|---|---|---|
| Účet / prihlásenie | meno, e-mail, heslo (spravované cez Keycloak), telefón, avatar, rola | používateľ |
| Adresár / CRM | meno, firma, IČO/DIČ/IČ DPH, e-mail, telefón, adresa, bankové účty, kontaktné osoby | klienti, dodávatelia |
| Obchodné prípady | názov, adresa stavby a GPS, klient, stavbyvedúci, poznámky | klienti, zamestnanci |
| Doklady / Faktúry | fakturačné údaje, sumy, IBAN, platby, IČO/DIČ | klienti, dodávatelia |
| Stavebný denník | dátum, počasie, mená pracovníkov, vykonané práce, podpisy, fotky | zamestnanci, dodávatelia |
| Dochádzka | časy príchodu/odchodu, prestávky, priradenie k zákazke, GPS poloha zaznamenaná jednorazovo pri potvrdení príchodu/odchodu (overenie prítomnosti na stavbe), hodinová sadzba | zamestnanci |
| Fotodokumentácia | fotky zo stavby (môžu zachytávať osoby alebo EČV vozidiel), popisy, dátum | zamestnanci, tretie osoby na fotkách |
| BOZP | dokumenty a záznamy o školeniach, podpisy účastníkov | zamestnanci |
| Vozový park | EČV, VIN, vodič, termíny STK/EK/poistky, servisy, náklady | firma, vodiči |
| Chat | textové správy, prílohy, hlasové správy (audio), reakcie | používatelia |
| E-mail (IMAP) | pripojené e-mailové účty používateľa, e-maily a prílohy; prístupové heslá sú šifrované (AES-256) | používateľ a jeho korešpondenti |
| Úlohy / Kalendár | názvy, termíny, priradení ľudia, udalosti | používatelia |
| Sklad / Katalóg | položky, ceny, dodávatelia (osobné údaje minimálne) | dodávatelia |
| Mzdy / financie | odpracované hodiny, hodinová sadzba, hrubá mzda, zálohy a platby | zamestnanci |
| Zdieľané odkazy | obsah zdieľaný klientovi cez odkaz chránený PIN-om | klient |
| Web (andesa.eu) | technické údaje (IP, prehliadač, zariadenie), údaje o používaní, cookies/analytika | návštevník webu |
Osobitné kategórie údajov (čl. 9 GDPR): ANDESA nespracúva osobitné kategórie osobných údajov (napr. zdravotné údaje) ani rodné čísla. Modul BOZP obsahuje v rámci obchodného prípadu dotazník a záznamy o školeniach — bez zdravotných údajov.
4. Účely a právne základy
- Poskytovanie služby a plnenie zmluvy (čl. 6 ods. 1 písm. b) — vytvorenie a správa účtu, funkcie aplikácie, podpora.
- Plnenie zákonných povinností (čl. 6 ods. 1 písm. c) — najmä účtovné a daňové povinnosti.
- Oprávnené záujmy (čl. 6 ods. 1 písm. f) — zabezpečenie a ochrana služby, prevencia zneužitia, zlepšovanie produktu, základná analytika webu.
- Súhlas (čl. 6 ods. 1 písm. a) — pri nepovinných cookies/analytike a prípadnej marketingovej komunikácii. Súhlas možno kedykoľvek odvolať.
Pri údajoch, kde je ANDESA sprostredkovateľom, je právny základ určený zákazníkom (prevádzkovateľom).
5. Cookies a analytika (web)
Na webovej stránke používame:
- Nevyhnutné cookies — potrebné na základné fungovanie webu (používame ich vždy).
- Analytické cookies — Google Analytics 4 (Google Ireland Limited) — na anonymnú štatistiku návštevnosti a zlepšovanie webu. Aktivujú sa až po vašom súhlase kliknutím na „Prijať všetky" v cookie lište; do udelenia súhlasu beží Google Analytics v režime Consent Mode bez ukladania cookies.
Súhlas môžete kedykoľvek zmeniť vymazaním cookies, resp. lokálneho úložiska (localStorage) v prehliadači — cookie lišta sa následne zobrazí znova. Mobilná aplikácia neobsahuje žiadne reklamné ani analytické nástroje tretích strán.
6. Mobilná aplikácia — povolenia (iOS)
Aplikácia si vyžiada nasledujúce povolenia, výlučne na uvedený účel:
| Povolenie | Účel |
|---|---|
| Kamera | fotografovanie na stavbe (fotodokumentácia) |
| Fotky | pridávanie a ukladanie fotodokumentácie z galérie |
| Mikrofón | hlasové správy v chate |
| Rozpoznávanie reči | diktovanie zápisov do stavebného denníka |
| Poloha — pri používaní | jednorazové GPS overenie polohy v momente, keď si používateľ zaznamenáva príchod/odchod (dochádzka); poloha sa nesníma priebežne na pozadí |
| Face ID | rýchle a bezpečné prihlásenie |
| Notifikácie | len lokálne upozornenia — bez push tokenov, bez Apple Push (APNs) |
Biometria a hlasové funkcie. Odomknutie cez Face ID prebieha výhradne na zariadení prostredníctvom systému Apple — ANDESA k biometrickým údajom nemá prístup a nespracúva ich; aplikácia dostáva len informáciu, či overenie prebehlo úspešne. Funkcia rozpoznávania reči (diktovanie zápisov) môže na prevod reči na text využívať spracovanie zo strany spoločnosti Apple v súlade s jej podmienkami. ANDESA neuchováva zvukové nahrávky z diktovania; hlasové správy v chate sa ukladajú len vtedy, keď ich používateľ sám odošle.
Aplikácia nepristupuje k systémovým kontaktom zariadenia (má vlastný adresár). Prihlásenie prebieha cez e-mail a heslo (Keycloak); na webe je dostupné aj prihlásenie cez Google. Iné prihlasovacie metódy nepoužívame.
7. Príjemcovia údajov
Údaje sprístupňujeme len dôveryhodným poskytovateľom potrebným na fungovanie služby (sprostredkovateľom), na základe zmluvy:
| Služba | Účel |
|---|---|
| Hetzner Online GmbH (EÚ — Nemecko/Fínsko) | hosting webovej aplikácie (app.andesa.eu), backendu, databázy a identity (Keycloak) |
| Cloudflare, Inc. | hosting marketingovej webovej stránky (andesa.eu) a objektové úložisko súborov (R2) |
| Google Ireland Ltd. — Analytics | štatistika návštevnosti webu (len so súhlasom) |
| Google — Mapy (web) | zobrazenie máp na webe |
| Open-Meteo | počasie v stavebnom denníku (odošle sa poloha) |
| Apple | distribúcia mobilnej aplikácie (App Store) |
| E-mailoví poskytovatelia (IMAP/SMTP) | e-mailový modul — cez vlastný účet používateľa; poskytovateľa určuje používateľ, ANDESA k schránke nemá samostatný prístup |
| Orgány verejnej moci | ak to ukladá zákon |
Mobilná aplikácia nepoužíva žiadne reklamné SDK, ani nástroje ako Firebase, Mixpanel, Sentry či platobné brány tretích strán.
8. Prenos do tretích krajín
Backend, databáza a identita (Keycloak) sú uložené v rámci EÚ (Hetzner — Nemecko/Fínsko). Súbory sú v objektovom úložisku Cloudflare R2 a webová stránka beží cez Cloudflare; keďže ide o poskytovateľov so sídlom v USA, prípadný prenos je zabezpečený štandardnými zmluvnými doložkami (SCC). Rovnako Google Analytics a Google Mapy (web) môžu prenášať údaje do USA cez SCC — analytika len na základe súhlasu, s anonymizáciou a režimom Consent Mode.
9. Bezpečnosť a uloženie údajov
Údaje spracúvame na vlastnej serverovej infraštruktúre v EÚ (Hetzner) a v objektovom úložisku Cloudflare R2:
- Webová aplikácia a API — webová aplikácia (
app.andesa.eu) a vlastný .NET backend (api.andesa.eu). - Databáza — PostgreSQL; súbory (fotky, doklady, prílohy) — objektové úložisko Cloudflare R2.
- Identita a heslá — spravované cez Keycloak (na vlastnom serveri).
Prijímame primerané technické a organizačné opatrenia: šifrovaný prenos (HTTPS/TLS), šifrovanie citlivých prístupových údajov (napr. heslá k e-mailovým účtom AES-256), riadenie prístupov, oddelenie dát zákazníkov a pravidelné zálohovanie.
10. Doba uchovávania a zrušenie účtu
- Údaje účtu a obsah spracúvame počas trvania zmluvy a po jej skončení po dobu nevyhnutnú na vysporiadanie vzťahov a uplatnenie nárokov.
- Účtovné a daňové doklady uchovávame po dobu stanovenú zákonom (spravidla 10 rokov).
- Zákazková dokumentácia (stavebný denník, dochádzka, fotodokumentácia, BOZP) — počas trvania zmluvy a následne po dobu, počas ktorej môžu vzniknúť nároky z diela (zodpovednosť za vady, reklamácie), spravidla do 5 rokov od ukončenia zákazky.
- Mzdové a dochádzkové podklady, ak slúžia ako účtovné/mzdové doklady — po dobu podľa osobitných predpisov.
- Pri údajoch, kde je ANDESA sprostredkovateľom, určuje dobu uchovávania zákazník (prevádzkovateľ).
- Zrušenie účtu — priamo v aplikácii (Profil → „Zmazať účet"). Účet sa anonymizuje: osobné údaje sa odstránia, pričom záznamy s povinnou zákonnou retenciou (napr. faktúry) ostávajú zachované v nevyhnutnom rozsahu.
- Údaje z Google Analytics sa uchovávajú v agregovanej/anonymizovanej podobe; štandardná doba na úrovni používateľa je 14 mesiacov.
11. Vaše práva
Ako dotknutá osoba máte právo na prístup, opravu, vymazanie, obmedzenie spracúvania, prenosnosť, namietať proti spracúvaniu na základe oprávneného záujmu a odvolať súhlas. Ak je ANDESA pri vašich údajoch sprostredkovateľom (údaje zadané vaším zamestnávateľom), uplatnite si práva u neho ako prevádzkovateľa.
Práva si uplatníte e-mailom na [email protected]; žiadosť vybavíme bez zbytočného odkladu, najneskôr do jedného mesiaca. Máte tiež právo podať sťažnosť Úradu na ochranu osobných údajov SR (dataprotection.gov.sk).
12. Deti, marketing, profilovanie
- Deti — služba je určená výhradne na podnikateľské (B2B) účely a nie je určená osobám mladším ako 16 rokov.
- Marketing — bez vášho súhlasu vám neposielame marketingovú komunikáciu.
- Automatizované rozhodovanie a profilovanie — nevykonávame.
13. Zmeny a kontakt
Tieto zásady môžeme aktualizovať; aktuálna verzia je vždy dostupná na tejto stránke a pri podstatných zmenách vás budeme informovať vhodným spôsobom. S otázkami nás kontaktujte na [email protected].