Zásady ochrany osobných údajov

pre službu Autogram Portál

platné od 30.4.2026

Preambula

Vaše súkromie berieme vážne. Tieto Zásady ochrany osobných údajov vysvetľujú, aké údaje o vás spracúvame, prečo ich potrebujeme a ako ich chránime. Napísali sme ich zrozumiteľným jazykom, aby ste presne vedeli, čo sa s vašimi údajmi deje.

Spracúvame len tie údaje, ktoré nevyhnutne potrebujeme na to, aby služba fungovala. Vaše dokumenty nečítame, váše bezpečnostné kódy ku karte (napr. podpisový PIN) nevidíme a údaje mažeme hneď, ako prestanú byť potrebné.

  1. Kto spracúva vaše údaje

    1. Prevádzkovateľom vašich osobných údajov je:

    2. Kontakt pre otázky o ochrane osobných údajov:

    3. Čo znamená, že sme prevádzkovateľ Vašich osobných údajov?

      Ako prevádzkovateľ rozhodujeme o tom, prečo a ako sa vaše osobné údaje spracúvajú. Sme zodpovední za ich ochranu a za dodržiavanie vašich práv podľa nariadenia GDPR (Nariadenie EÚ 2016/679) a zákona č. 18/2018 Z. z. o ochrane osobných údajov.

  2. Aké údaje spracúvame

    1. Kategórie spracúvaných údajov

      • Identifikačné údaje - Meno, priezvisko, prípadne ďalšie identifikačné údaje obsiahnuté v podpise alebo podpisovom certifikáte

        Z použitého kvalifikovaného certifikátu pre elektronický podpis, z údajov poskytnutých pri registrácii alebo z údajov získaných pri použití podporovaného spôsobu prihlásenia

      • Kontaktné údaje - E-mailová adresa

        Pri registrácii / Google OAuth

      • Technické údaje / cookies - IP adresa, typ prehliadača, OS

        Automaticky pri návšteve

      • Údaje o certifikátoch - Verejný kľúč, identifikátor alebo číslo certifikátu, údaje o podpisovom certifikáte, podpisové metadáta

        Z použitého kvalifikovaného certifikátu a podpisového prostriedku pri vytváraní podpisu; z už podpísaného dokumentu nahraného na overenie existujúceho podpisu

      • Údaje o aktivite - Čas podpisu, metadáta dokumentu

        Vytvorené počas používania

      • Údaje účtu - E-mail, preferencie, história

        Pri registrácii a používaní

    2. Čo technicky neopúšťa vaše zariadenie a čo neukladáme

      Nasledujúce údaje technicky neopúšťajú vaše zariadenie, alebo použité kvalifikované podpisové zariadenie a my ich neprijímame ani neukladáme:

      • Váš BOK (Bezpečnostný Osobný Kód)
      • Váš Podpisový PIN (PIN na kvalifikovaný elektronický podpis)
      • Váš súkromný kryptografický kľúč
    3. Osobitne o dokumentoch

      Dokumenty, ktoré nahrávate na podpísanie alebo overenie, spracúvame automatizovane len v rozsahu nevyhnutnom na poskytovanie služby, najmä na vytvorenie podpisu, overenie podpisu, uloženie dokumentu, zobrazenie výsledku alebo doručenie výsledku služby. Obsah dokumentov manuálne neprezeráme, ak to nie je nevyhnutné na riešenie technického incidentu, bezpečnostného incidentu alebo na splnenie zákonnej povinnosti.

    4. Upozornenie na názvy súborov

      Názov súboru, ktorý nahrávate, sa dočasne ukladá ako súčasť metadát a môže sa objaviť v diagnostických záznamoch. Ak vám záleží na maximálnej anonymite, odporúčame používať neutrálne názvy súborov (napr. dokument.pdf namiesto Zmluva_Jan_Novak.pdf).

  3. Prečo vaše údaje spracúvame

    1. Účely spracovania a právne základy

      • Poskytnutie služby elektronického podpisovania
        • Právny základ: Čl. 6 ods. 1 písm. b) – plnenie zmluvy
        • Vysvetlenie: Bez týchto údajov by sme službu nemohli poskytnúť
      • Overenie vašej identity
        • Právny základ: Čl. 6 ods. 1 písm. b) – plnenie zmluvy
        • Vysvetlenie: Prihlásenie cez eID alebo Google
      • Správa používateľského účtu
        • Právny základ: Čl. 6 ods. 1 písm. b) – plnenie zmluvy
        • Vysvetlenie: Uchovávanie dokumentov a preferencií
      • Zasielanie notifikácií
        • Právny základ: Čl. 6 ods. 1 písm. b) – plnenie zmluvy
        • Vysvetlenie: Informácie o stave dokumentov
      • Bezpečnosť a prevencia zneužitia
        • Právny základ: Čl. 6 ods. 1 písm. f) – oprávnený záujem
        • Vysvetlenie: Ochrana služby pred útokmi
      • Diagnostika chýb
        • Právny základ: Čl. 6 ods. 1 písm. f) – oprávnený záujem
        • Vysvetlenie: Oprava chýb a zlepšovanie služby
  4. Ako dlho údaje uchovávame

    1. Doba uchovávania podľa typu údajov a typu používateľa

      • Dokumenty od neprihláseného používateľa
        • Nahraté dokumenty pre overenie alebo podpísanie
        • Maximálne 60 minút, potom sú automaticky zmazané
      • Dokumenty od prihláseného používateľa
        • Nahraté dokumenty pre overenie alebo podpísanie
        • Do zmazania používateľom, maximálne však 60 dní, potom sú automaticky zmazané
      • Archivované dokumenty
        • Dokumenty uložené v module dlhodobej archivácie
        • Do zmazania používateľom
      • Údaje účtu
        • Údaje o používateľovi a ním nahraté dokumenty
        • Do zrušenia účtu a následne 30 dní na prípadnú obnovu
      • Serverové logy
        • technické logy pre bezpečnostné a diagnostické účely
        • Uchovávame 30 dní
    2. Automatické mazanie pre neprihlásených používateľov

      Ak nie ste prihlásený, vaše dokumenty uchovávame len po dobu nevyhnutnú na technické spracovanie podpisu, maximálne však 60 minút. Následne sú automaticky a nenávratne vymazané. Ak si dokument nestihnete stiahnuť, nebude ho možné obnoviť.

  5. Komu vaše údaje poskytujeme

    1. Zoznam príjemcov a sprostredkovateľov

      Vaše údaje môžeme poskytnúť nasledujúcim kategóriám príjemcov:

      • Poskytovatelia infraštruktúry (hosting)

        Servery služby sú umiestnené v Európskej únii. Prenos do tretích krajín sa neuskutočňuje.

      • Služba na zachytávanie chýb

        Spracúva len technické údaje o chybách aplikácie (typ chyby, stack trace, typ prehliadača). Vaše osobné údaje sa do služby cielene neposielaju, avšak v chybových hláseniach sa môžu výnimočne vyskytnúť metadáta operácií (napr. názov súboru).

      • Súvisiace aplikácie

        Pri mobilnom podpisovaní môže byť dokument dočasne prenesený na server aplikácie použitej pre vytvorenie podpisu (napríklad Autogram v mobile alebo eIdentita).

        Pre tieto aplikácie platia ich vlastné podmienky používania a zásady ochrany osobných údajov.

      • Google (voliteľné)

        Ak sa rozhodnete prihlásiť cez Google účet, Google spracúva údaje potrebné na autentifikáciu podľa vlastných podmienok.

  6. Technická infraštruktúra a spracovanie údajov

    1. Kde sú uložené vaše dáta

      Všetky vaše údaje sú primárne uložené na serveroch v Európskej únii.

    2. Serverové logy

      Naše servery automaticky zaznamenávajú technické informácie o prevádzke:

      • Časové značky operácií
      • IP adresy (pre bezpečnostné účely)
      • Technické chybové hlásenia

      IP adresy si zámerne neodkladáme nad rámec štandardných serverových logov. Tieto logy sa automaticky premazávajú po 30 dňoch.

    3. Diagnostika chýb

      Na rýchle odhaľovanie softvérových chýb používame službu, ktorá v prípade chyby automaticky zachytí technické informácie potrebné na jej diagnostiku:

      • Typ a popis chyby
      • Technický stack trace (pre vývojárov)
      • Typ prehliadača a operačného systému
      • Hlavičky volania

      Čo služba nezachytáva:

      • Obsah vašich dokumentov
      • Vaše PIN kódy ani heslá
      • Identifikačné údaje z podpisového certifikátu

      V chybových hláseniach sa môžu výnimočne vyskytnúť názvy súborov.

  7. Ako vaše údaje chránime

    1. Technické opatrenia

      Prevádzkovateľ uplatňuje primerané technické bezpečnostné opatrenia na ochranu osobných údajov pred neoprávneným prístupom, stratou, zneužitím alebo poškodením. Komunikácia medzi používateľom a systémom prebieha prostredníctvom šifrovaného spojenia (HTTPS/TLS), čím je zabezpečená dôvernosť údajov počas ich prenosu. Osobné údaje sú zároveň šifrované aj v stave uloženia (tzv. „at rest“), aby sa minimalizovalo riziko ich sprístupnenia v prípade technického incidentu. Dokumenty nahrané neprihlásenými používateľmi sú automaticky vymazané najneskôr do jednej hodiny. Systém je pravidelne aktualizovaný z hľadiska bezpečnosti a je priebežne monitorovaný s cieľom identifikovať a reagovať na potenciálne bezpečnostné hrozby.

    2. Organizačné opatrenia

      Z organizačného hľadiska je prístup k osobným údajom obmedzený výlučne na oprávnených administrátorov, ktorí údaje potrebujú na plnenie svojich pracovných povinností. Uplatňuje sa princíp minimálnych prístupových práv, podľa ktorého má každá oprávnená osoba prístup len k tým údajom a funkciám, ktoré sú nevyhnutné na výkon jej úloh. Prevádzkovateľ má zároveň vypracované a zdokumentované interné postupy pre riešenie bezpečnostných incidentov a pravidelne dbá na ich dodržiavanie.

    3. Čo robíme v prípade bezpečnostného incidentu

      V prípade porušenia ochrany osobných údajov prevádzkovateľ bezodkladne vykoná vyšetrovanie s cieľom zistiť rozsah a povahu incidentu a prijať nápravné opatrenia. Ak to vyžaduje právna úprava, incident bude oznámený Úradu na ochranu osobných údajov Slovenskej republiky bezodkladne. V prípade, že by porušenie ochrany osobných údajov mohlo viesť k vysokému riziku pre práva a slobody dotknutých osôb, budú tieto osoby o incidente informované priamo a bez zbytočného odkladu.

  8. Vaše práva podľa GDPR

    1. Právo na prístup (čl. 15 GDPR) - Máte právo získať potvrdenie o tom, či spracúvame vaše osobné údaje, a ak áno, získať k nim prístup.
    2. Právo na opravu (čl. 16 GDPR) - Máte právo na opravu nesprávnych údajov.
    3. Právo na výmaz (čl. 17 GDPR) - Máte právo požiadať o vymazanie vašich údajov. Upozorňujeme, že elektronický podpis v už podpísanom dokumente nie je možné vymazať bez zneplatnenia dokumentu.
    4. Právo na obmedzenie spracovania (čl. 18 GDPR) - Máte právo požiadať o obmedzenie spracovania v určitých situáciách.
    5. Právo na prenosnosť údajov (čl. 20 GDPR) - Máte právo získať svoje údaje v štruktúrovanom formáte.
    6. Právo namietať (čl. 21 GDPR) - Máte právo namietať proti spracúvaniu na základe oprávneného záujmu.
    7. Právo podať sťažnosť (čl. 77 GDPR) - Máte právo podať sťažnosť dozornému orgánu:

      Úrad na ochranu osobných údajov SR
      Hraničná 12, 820 07 Bratislava 27
      https://dataprotection.gov.sk

    8. Svoje práva môžete uplatniť e-mailom na zodpovednaosoba@slovensko.digital. Odpovieme do 30 dní.

  9. Cookies

    1. Portál používa výlučne technické (nevyhnutné) cookies, ktoré sú potrebné na zabezpečenie základnej funkčnosti služby. Ide najmä o tzv. session cookies, ktoré slúžia na udržiavanie prihlasovacej relácie používateľa, a o bezpečnostné cookies vo forme CSRF tokenov, ktoré chránia systém pred neoprávnenými a škodlivými útokmi. Keďže tieto cookies sú nevyhnutné na riadne fungovanie služby, ich používanie nevyžaduje súhlas používateľa.

    2. Nepoužívame žiadne sledovacie ani marketingové cookies.

  10. Osobitné situácie

    1. Ak službu používate v mene podnikateľského subjektu, prevádzkovateľom osobných údajov vo vzťahu k podpisovaným dokumentom môže byť vaša firma.

    2. Dokumenty, ktoré podpisujete, môžu obsahovať osobné údaje tretích osôb. Za zákonnosť spracovania týchto údajov zodpovedáte vy.

    3. Služba nie je určená pre osoby mladšie ako 18 rokov.

  11. Zmeny týchto zásad

    1. Tieto zásady môžeme príležitostne aktualizovať. O podstatných zmenách vás budeme informovať prostredníctvom webovej stránky alebo e-mailom (ak ste zaregistrovaný používateľ)