ZÁSADY OCHRANY OSOBNÝCH ÚDAJOV (PRIVACY POLICY)
Blue Yasuo Consulting, s. r. o.
IČO: 53199341 DIČ: 2121301556 Sídlo: Romanova 1678/33, 851 02 Bratislava - mestská časť Petržalka E-mail: blueyasuoconsulting@gmail.com Telefón: +421 902 638 008 Web: chatbotnamieru.sk
(ďalej len „Prevádzkovateľ")
Dátum účinnosti: 25. 02. 2026 Posledná aktualizácia: 23. 04. 2026
1. Úvod
Tieto Zásady ochrany osobných údajov (ďalej len „Zásady") informujú dotknuté osoby o tom, ako Prevádzkovateľ zhromažďuje, spracúva, uchováva a chráni osobné údaje v súvislosti s poskytovaním služieb vývoja a prevádzky chatbotových riešení na mieru (ďalej len „Služba").
Tieto Zásady sú vypracované v súlade s:
- Nariadením Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (ďalej len „GDPR");
- Zákonom č. 18/2018 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.
2. Kategórie dotknutých osôb
Prevádzkovateľ spracúva osobné údaje nasledujúcich kategórií dotknutých osôb:
2.1 Zákazníci (B2B)
Podnikatelia a zástupcovia právnických osôb, ktorí si objednajú Službu.
2.2 Spotrebitelia (B2C)
Fyzické osoby — nepodnikatelia, ktorí si objednajú Službu.
2.3 Koncové používatelia chatbotov
Osoby, ktoré interagujú s chatbotmi nasadenými pre Zákazníkov Prevádzkovateľa.
2.4 Návštevníci webovej stránky
Osoby, ktoré navštívia webovú stránku Prevádzkovateľa.
3. Aké osobné údaje spracúvame
3.1 Údaje zákazníkov
| Kategória údajov | Príklady |
|---|---|
| Identifikačné údaje | Meno, priezvisko, názov firmy, IČO, DIČ |
| Kontaktné údaje | E-mail, telefón, adresa sídla |
| Fakturačné údaje | Bankový účet, fakturačná adresa |
| Zmluvné údaje | Obsah komunikácie, požiadavky na chatbot |
3.2 Údaje koncových používateľov chatbotov
| Kategória údajov | Príklady |
|---|---|
| Konverzačné údaje | Obsah správ v chate s chatbotom |
| Technické údaje | IP adresa, typ prehliadača, operačný systém |
| Identifikačné údaje (ak sa zbierajú) | Meno, e-mail — len ak chatbot aktívne zbiera tieto údaje podľa nastavenia Zákazníka |
Dôležité: Rozsah údajov koncových používateľov závisí od konkrétnej konfigurácie chatbota podľa požiadaviek Zákazníka. Prevádzkovateľ spracúva len tie údaje, ktoré sú nevyhnutné pre fungovanie chatbota.
3.3 Údaje návštevníkov webu
| Kategória údajov | Príklady |
|---|---|
| Technické údaje | IP adresa, typ prehliadača, rozlíšenie obrazovky |
| Cookies | Funkčné a analytické cookies (viď časť 10) |
4. Účely a právne základy spracúvania
| Účel spracúvania | Právny základ (GDPR) | Kategórie údajov |
|---|---|---|
| Uzatvorenie a plnenie zmluvy | čl. 6 ods. 1 písm. b) — plnenie zmluvy | Identifikačné, kontaktné, fakturačné, zmluvné |
| Poskytovanie služby chatbota | čl. 6 ods. 1 písm. b) — plnenie zmluvy / čl. 6 ods. 1 písm. f) — oprávnený záujem | Konverzačné, technické údaje |
| Fakturácia a účtovníctvo | čl. 6 ods. 1 písm. c) — zákonná povinnosť (zákon o účtovníctve, zákon o DPH) | Fakturačné údaje |
| Zlepšovanie kvality služby | čl. 6 ods. 1 písm. f) — oprávnený záujem | Konverzačné údaje (anonymizované), technické údaje |
| Zabezpečenie bezpečnosti | čl. 6 ods. 1 písm. f) — oprávnený záujem | Technické údaje, IP adresy |
| Marketing a obchodná komunikácia | čl. 6 ods. 1 písm. a) — súhlas | Kontaktné údaje (e-mail) |
| Plnenie zákonných povinností | čl. 6 ods. 1 písm. c) — zákonná povinnosť | Podľa konkrétnej povinnosti |
Oprávnený záujem: Tam, kde sa Prevádzkovateľ odvoláva na oprávnený záujem, vykonal test proporcionality a dospel k záveru, že jeho oprávnené záujmy neprevažujú nad právami a záujmami dotknutých osôb. Dotknutá osoba má právo kedykoľvek namietať proti spracúvaniu na základe oprávneného záujmu.
5. Príjemcovia a sprostredkovatelia
Prevádzkovateľ môže zdieľať osobné údaje s nasledujúcimi kategóriami príjemcov:
5.1 Sprostredkovatelia (sub-spracovatelia)
| Spoločnosť | Účel | Sídlo | Umiestnenie dát | Zmluvný rámec |
|---|---|---|---|---|
| OpenAI, LLC | Spracovanie konverzácií prostredníctvom AI modelu (GPT) | San Francisco, USA | USA | SCC + DPF |
| Supabase, Inc. | Databáza — ukladanie dát | San Francisco, USA | EÚ (Stockholm, Švédsko) | DPA |
| Hostinger International Ltd. | VPS hosting — prevádzka webovej stránky a chatbota | Kaunas, Litva | EÚ (Frankfurt, Nemecko) | DPA súčasťou podmienok |
| Stripe, Inc. | Spracovanie platieb kartou, Apple Pay, Google Pay (iba pre B2B/B2C zákazníkov, nie pre koncových používateľov) | San Francisco, USA / Dublin, Írsko | EÚ + USA | SCC + DPF |
| Resend, Inc. | Odosielanie transakčných e-mailov (potvrdenia, faktúry, oznámenia) | USA | USA | SCC |
Stripe a Resend spracúvajú výlučne údaje Zákazníkov (e-mail, platobné a fakturačné údaje), nie údaje Koncových používateľov chatbota.
5.2 Ďalší príjemcovia
- Účtovná kancelária — spracovanie fakturačných a účtovných dokladov;
- Orgány verejnej moci — ak to vyžadujú právne predpisy (napr. daňový úrad, súdy);
- Právni poradcovia — v prípade riešenia sporov.
Prevádzkovateľ nepredáva osobné údaje tretím stranám na marketingové účely.
6. Prenos osobných údajov do tretích krajín
6.1 OpenAI (USA)
Pri spracúvaní konverzácií chatbotom sa dáta prenášajú na servery spoločnosti OpenAI, LLC v USA. Tento prenos je zabezpečený na základe:
- Štandardných zmluvných doložiek (SCC) podľa vykonávacieho rozhodnutia Európskej komisie (EÚ) 2021/914; a/alebo
- Rámca EU-US Data Privacy Framework (DPF) podľa rozhodnutia Európskej komisie o primeranosti z 10. júla 2023, za predpokladu, že OpenAI je certifikovaná v rámci DPF.
6.2 Doplnkové ochranné opatrenia
- Šifrovanie dát pri prenose (TLS 1.2+);
- Minimalizácia prenášaných údajov — chatbot odosiela len obsah konverzácie nevyhnutný pre generovanie odpovede;
- OpenAI podľa svojich podmienok (API Data Usage Policy) nepoužíva dáta odoslané cez API na trénovanie svojich modelov;
- Dáta sa cez OpenAI API uchovávajú najviac 30 dní pre abuse monitoring, potom sú automaticky vymazané.
6.3 Transfer Impact Assessment (TIA) pre prenos do USA
Prevádzkovateľ v súlade s rozhodnutím Súdneho dvora EÚ vo veci Schrems II (C-311/18) a EDPB Guidelines 05/2022 o prenose do tretích krajín vykonal analýzu vplyvu prenosu osobných údajov do USA. Kľúčové závery:
a) Právny rámec USA (risk):
- FISA Section 702 a Executive Order 12333 umožňujú americkým spravodajským agentúram prístup k dátam držaným poskytovateľmi elektronických komunikácií.
- V kontexte API volaní pre AI model je však riziko reálneho prístupu k individuálnym konverzáciám nízke — nejde o cielený monitoring komunikácie.
b) Kompenzačné opatrenia:
- EU-US Data Privacy Framework (rozhodnutie Komisie z 10. 7. 2023) — OpenAI je certifikovaná podľa DPF, čo zabezpečuje primeranú úroveň ochrany;
- Štandardné zmluvné doložky (SCC) podľa vykonávacieho rozhodnutia Komisie 2021/914 ako dodatočná záruka;
- Minimalizácia dát — do OpenAI API sa posiela iba obsah konverzácie (bez IP adresy, používateľského ID alebo ďalších identifikátorov);
- Zákaz trénovania — OpenAI API Data Usage Policy explicitne zakazuje použitie dát na trénovanie modelov;
- Šifrovanie end-to-end pri prenose cez TLS 1.2+.
c) Záver: Prevádzkovateľ na základe vyššie uvedeného posúdil prenos do USA ako zákonný a primeraný v zmysle čl. 44–49 GDPR. Dotknutá osoba má právo namietať proti tomuto prenosu (čl. 21 GDPR) alebo uplatniť práva podľa čl. 15–22 GDPR.
Kompletný TIA dokument je na vyžiadanie pre audit účely dostupný na blueyasuoconsulting@gmail.com.
6.4 Ostatní poskytovatelia
Supabase (databáza v Stockholme) a Hostinger (VPS vo Frankfurte) uchovávajú dáta v rámci EÚ/EHP — prenos do tretích krajín sa neuskutočňuje.
7. Doba uchovávania osobných údajov
| Kategória údajov | Doba uchovávania |
|---|---|
| Zmluvné a fakturačné údaje | 10 rokov od ukončenia zmluvy (zákon o účtovníctve) |
| Konverzačné údaje chatbota | 12 mesiacov od vytvorenia, pokiaľ Zákazník neurčí inak |
| Technické údaje (logy, IP adresy) | 6 mesiacov |
| Marketingové súhlasy | Do odvolania súhlasu |
| Údaje pre oprávnený záujem | Do uplatnenia námietky alebo do zániku oprávneného záujmu |
Po uplynutí doby uchovávania sú osobné údaje vymazané alebo anonymizované.
Po ukončení zmluvy so Zákazníkom sú údaje koncových používateľov jeho chatbota vymazané do 90 dní, pokiaľ právne predpisy nevyžadujú dlhšiu dobu uchovávania.
8. Práva dotknutých osôb
Podľa GDPR máte nasledujúce práva:
8.1 Právo na prístup (čl. 15 GDPR)
Máte právo získať potvrdenie o tom, či sa vaše osobné údaje spracúvajú, a ak áno, máte právo získať prístup k týmto údajom a informácie o spracúvaní.
8.2 Právo na opravu (čl. 16 GDPR)
Máte právo na opravu nepresných osobných údajov a na doplnenie neúplných údajov.
8.3 Právo na vymazanie — „právo byť zabudnutý" (čl. 17 GDPR)
Máte právo požiadať o vymazanie vašich osobných údajov, ak:
- údaje už nie sú potrebné pre účel, na ktorý boli zhromaždené;
- odvoláte súhlas a neexistuje iný právny základ;
- namietate proti spracúvaniu a neexistujú prevažujúce oprávnené dôvody;
- údaje boli spracúvané nezákonne.
8.4 Právo na obmedzenie spracúvania (čl. 18 GDPR)
Máte právo požiadať o obmedzenie spracúvania v určitých prípadoch (napr. ak napadnete správnosť údajov).
8.5 Právo na prenositeľnosť údajov (čl. 20 GDPR)
Máte právo získať svoje osobné údaje v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a preniesť ich inému prevádzkovateľovi.
8.6 Právo namietať (čl. 21 GDPR)
Máte právo namietať proti spracúvaniu na základe oprávneného záujmu. Prevádzkovateľ prestane údaje spracúvať, pokiaľ nepreukáže nevyhnutné oprávnené dôvody.
8.7 Právo odvolať súhlas (čl. 7 ods. 3 GDPR)
Ak je spracúvanie založené na súhlase, máte právo kedykoľvek súhlas odvolať. Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania pred jeho odvolaním.
8.8 Právo podať sťažnosť
Máte právo podať sťažnosť dozornému orgánu:
Úrad na ochranu osobných údajov Slovenskej republiky Hraničná 12, 820 07 Bratislava 27 Tel.: +421 2 3231 3214 E-mail: statny.dozor@pdp.gov.sk Web: https://dataprotection.gov.sk
Ako uplatniť svoje práva
Svoje práva môžete uplatniť zaslaním žiadosti na e-mail: blueyasuoconsulting@gmail.com. Vašu žiadosť vybavíme bez zbytočného odkladu, najneskôr do 30 dní od jej doručenia. V odôvodnených prípadoch môže byť táto lehota predĺžená o ďalších 60 dní, o čom vás budeme informovať.
9. Automatizované rozhodovanie a profilovanie
Chatboty prevádzkované Prevádzkovateľom využívajú technológiu umelej inteligencie (konkrétne jazykové modely GPT od spoločnosti OpenAI) na generovanie odpovedí.
Dôležité upozornenie:
- Odpovede chatbota sú generované automaticky algoritmom umelej inteligencie;
- Chatbot nevykonáva automatizované rozhodovanie s právnymi účinkami ani s obdobne významným dopadom na dotknuté osoby v zmysle čl. 22 GDPR;
- Chatbot neslúži na profilovanie dotknutých osôb;
- Zákazníci sú povinní informovať Koncových používateľov, že komunikujú s AI chatbotom, nie s živou osobou.
10. Cookies a sledovacie technológie
10.1 Právny rámec
Spracovanie cookies a podobných technológií sa riadi § 55 ods. 5 zákona č. 351/2011 Z. z. o elektronických komunikáciách a smernicou 2002/58/ES (ePrivacy). Nevyhnutné cookies možno používať bez súhlasu, pre ostatné je vyžadovaný explicitný súhlas (opt-in).
10.2 Kategórie cookies
| Typ | Účel | Právny základ |
|---|---|---|
| Nevyhnutné cookies | Zabezpečenie základnej funkcionality webu, prihlásenia a chatbota | Oprávnený záujem / plnenie zmluvy |
| Funkčné cookies | Zapamätanie si preferencií (jazyk, téma) | Súhlas |
| Analytické cookies | Analýza návštevnosti a používania služby | Súhlas |
| Marketingové cookies | Personalizácia reklám (ak sa aktuálne používajú) | Súhlas |
10.3 Konkrétne cookies používané na webe
A) Nevyhnutné cookies (bez súhlasu, § 55 ods. 5 zák. 351/2011)
| Názov | Zdroj | Účel | Doba platnosti |
|---|---|---|---|
sb-access-token | Supabase | Autentifikácia prihlásených používateľov | Session |
sb-refresh-token | Supabase | Obnovenie prihlásenia | 7 dní |
cookie-preferences | chatbotnamieru.sk | Uloženie zvolených cookie preferencií | 365 dní |
cbnm_session_* | chatbotnamieru.sk (iba v iframe widgetu, po GDPR súhlase) | Identifikácia chat relácie koncového používateľa | 30 minút neaktivity / 7 dní |
B) Analytické cookies (iba po súhlase)
| Názov | Zdroj | Účel | Doba platnosti |
|---|---|---|---|
_ga | Google Analytics | Rozlíšenie unikátnych návštevníkov | 2 roky |
_ga_* | Google Analytics 4 | Session a stav sledovania GA4 | 2 roky |
_gid | Google Analytics | Rozlíšenie unikátnych návštevníkov (denne) | 24 hodín |
C) Funkčné / marketingové cookies (iba po súhlase)
V súčasnosti aktívne nepoužívame marketingové tracking pixely (Meta Pixel, LinkedIn Insight Tag a pod.). Ak ich v budúcnosti zavedieme, aktualizujeme túto sekciu a vyžiadame si od používateľov obnovený súhlas.
10.4 Správa cookies
Pri prvej návšteve webovej stránky sa zobrazí cookie banner, v ktorom môžete:
- Súhlasiť so všetkými cookies;
- Odmietnuť všetky nepovinné cookies (nevyhnutné cookies zostávajú);
- Nastaviť si granulárne (ktoré kategórie povolíte, ktoré nie).
Nastavenie môžete kedykoľvek zmeniť kliknutím na tlačidlo „Nastavenia cookies" v pätičke webu.
Bez Vášho súhlasu žiadne analytické ani marketingové skripty (Google Analytics a pod.) nie sú načítané do prehliadača.
11. Bezpečnostné opatrenia
Prevádzkovateľ prijal primerané technické a organizačné opatrenia na ochranu osobných údajov, najmä:
- Šifrovanie dát pri prenose (TLS/SSL);
- Šifrovanie dát v úložisku (encryption at rest);
- Prístupové kontroly a autentifikácia;
- Pravidelné zálohovanie dát;
- Obmedzenie prístupu k osobným údajom len na oprávnených zamestnancov/spolupracovníkov;
- Monitorovanie a logovanie prístupov;
- Pravidelná aktualizácia softvéru a bezpečnostných záplat.
12. Oznamovanie porušení ochrany osobných údajov
V prípade porušenia ochrany osobných údajov (data breach), ktoré pravdepodobne povedie k riziku pre práva a slobody dotknutých osôb, Prevádzkovateľ:
- Oznámi porušenie Úradu na ochranu osobných údajov SR do 72 hodín od jeho zistenia;
- Ak porušenie pravdepodobne povedie k vysokému riziku pre práva dotknutých osôb, bezodkladne informuje aj dotknuté osoby.
13. Spracúvanie údajov v mene zákazníka (Prevádzkovateľ vs. Sprostredkovateľ)
13.1 Kedy sme Prevádzkovateľ
Prevádzkovateľ vystupuje ako prevádzkovateľ pri spracúvaní:
- Údajov svojich Zákazníkov (B2B aj B2C) na účely plnenia zmluvy;
- Údajov návštevníkov vlastnej webovej stránky;
- Údajov pre vlastné marketingové účely.
13.2 Kedy sme Sprostredkovateľ
Prevádzkovateľ vystupuje ako sprostredkovateľ pri spracúvaní:
- Osobných údajov Koncových používateľov chatbotov nasadených pre B2B Zákazníkov.
V takom prípade je Zákazník prevádzkovateľom a Prevádzkovateľ spracúva údaje výlučne podľa pokynov Zákazníka na základe Zmluvy o spracúvaní osobných údajov (DPA — viď /dpa).
13.3 Povinnosti Zákazníka pri integrácii chatbot widgetu
Zákazník, ktorý si nainštaluje chatbot widget na svoju webovú stránku, vystupuje voči Koncovým používateľom ako prevádzkovateľ osobných údajov a je povinný najmä:
a) Transparentnosť voči Koncovým používateľom (čl. 13/14 GDPR):
- Jasne informovať návštevníkov svojej webovej stránky, že na nej beží AI chatbot, nie ľudský operátor;
- Zverejniť vlastné Zásady ochrany osobných údajov, ktoré zahŕňajú spracovanie údajov prostredníctvom chatbot widgetu a odkaz na týchto Zásad Prevádzkovateľa (ako sub-procesora);
- Informovať, že konverzácie sa spracúvajú cez AI model od spoločnosti OpenAI (USA) a že dochádza k prenosu do tretej krajiny zabezpečenému SCC/DPF.
b) Právny základ spracúvania:
- Určiť vlastný právny základ podľa čl. 6 GDPR (typicky súhlas alebo oprávnený záujem) pre spracúvanie správ Koncových používateľov;
- Ak chatbot aktívne zhromažďuje kontaktné údaje (meno, e-mail, telefón), zabezpečiť platný súhlas v súlade s čl. 7 GDPR alebo iný právny základ.
c) Súhlas s ukladaním údajov do zariadenia (čl. 5 ePrivacy smernice, § 55 ods. 5 zákona č. 351/2011 Z. z.):
- Widget sám o sebe neukladá žiadne cookies ani localStorage položky na doméne Zákazníka — identifikátor konverzácie sa vytvára až v iframe widgetu po udelení súhlasu Koncovým používateľom vnútri widgetu;
- Zákazník je zodpovedný za vlastný cookie consent banner pre ostatné tracking technológie na svojej stránke.
d) DPA so Prevádzkovateľom:
- Uzatvoriť so Prevádzkovateľom Zmluvu o spracúvaní osobných údajov podľa čl. 28 GDPR. Štandardný DPA dokument je k dispozícii na /dpa alebo na vyžiadanie na blueyasuoconsulting@gmail.com.
e) Reagovanie na žiadosti dotknutých osôb:
- Ak Koncový používateľ uplatní voči Zákazníkovi svoje práva (prístup, vymazanie, prenositeľnosť), Zákazník je prvoradou kontaktnou osobou. Prevádzkovateľ na základe pokynov Zákazníka poskytne súčinnosť pri vyhľadaní, oprave alebo vymazaní relevantných údajov.
f) Oznamovanie porušení:
- V prípade zistenia bezpečnostného incidentu je Zákazník povinný bezodkladne informovať Prevádzkovateľa. Prevádzkovateľ poskytne súčinnosť pri vyšetrovaní a oznámení porušení dozornému orgánu podľa čl. 33 GDPR.
Prevádzkovateľ Zákazníkov aktívne nekontroluje, ale výslovne upozorňuje, že nerešpektovanie týchto povinností zo strany Zákazníka môže viesť k sankciám zo strany Úradu na ochranu osobných údajov SR podľa čl. 83 GDPR.
14. Zmeny Zásad ochrany osobných údajov
Prevádzkovateľ si vyhradzuje právo tieto Zásady aktualizovať. O podstatných zmenách budeme informovať:
- Zverejnením aktualizovaných Zásad na webovej stránke;
- E-mailom Zákazníkom, ak ide o zmeny s významným dopadom na spracúvanie.
Odporúčame pravidelne kontrolovať túto stránku pre aktuálne informácie.
15. Kontakt
V prípade akýchkoľvek otázok týkajúcich sa ochrany osobných údajov nás kontaktujte:
Blue Yasuo Consulting, s. r. o. E-mail: blueyasuoconsulting@gmail.com Telefón: +421 902 638 008 Adresa: Romanova 1678/33, 851 02 Bratislava - mestská časť Petržalka
Tieto Zásady sú vyhotovené v slovenskom a anglickom jazyku. V prípade rozporu medzi jazykovými verziami má prednosť slovenská verzia.