Späť na hlavnú stránku
Zásady ochrany osobných údajov

Verzia 2.1 — účinné od 30. júna 2026 (nahrádza verziu 2.0 z 26. mája 2026)

VivaShelf („my", „nás") prevádzkuje stránku vivashelf.com a SaaS platformu. Zaväzujeme sa chrániť vaše osobné údaje v súlade s Nariadením (EÚ) 2016/679 („GDPR") a brazílskym LGPD (zákon 13.709/2018). Služba je určená podnikom v Európskej únii a v Brazílii; ak k nej pristupujete odinakiaľ, zodpovedáte za súlad s vlastným miestnym právom. Tieto zásady opisujú, aké údaje zbierame, prečo a aké práva máte.

1. Prevádzkovateľ

VivaShelf v súčasnosti pred vznikom spoločnosti prevádzkujú jeho zakladatelia, ktorí majú pobyt v Poľsku a sú až do zápisu prevádzkovej spoločnosti spoločnými prevádzkovateľmi vašich osobných údajov. Mienime založiť VivaShelf sp. z o.o., poľskú spoločnosť s ručením obmedzeným so sídlom v Poľsku; po zápise sa táto spoločnosť stane prevádzkovateľom údajov a tieto zásady budú doplnené o jej sídlo, číslo v obchodnom registri (KRS) a daňové číslo (NIP/DIČ) [doplní sa po vzniku spoločnosti]. Osoby zodpovedné za vaše údaje môžete kedykoľvek kontaktovať na [email protected]. Keďže VivaShelf je usadený v Európskej únii, zástupca podľa čl. 27 GDPR sa nevyžaduje.

2. Zodpovedná osoba

Naša hlavná činnosť nevyžaduje formálne menovanie zodpovednej osoby podľa čl. 37 GDPR a žiadnu sme nemenovali. Záležitosti ochrany údajov rieši priamo osoba zodpovedná za VivaShelf, dostupná na [email protected]. Tá istá adresa slúži ako kontakt pre účely zodpovedajúce LGPD „Encarregado pelo Tratamento de Dados Pessoais". Zodpovednú osobu formálne menujeme, akonáhle to bude vyžadovať rozsah, povaha alebo citlivosť spracúvania.

3. Úlohy prevádzkovateľa a sprostredkovateľa

VivaShelf je prevádzkovateľom v rámci údajov na úrovni účtu (meno, e-mail, prihlasovacie údaje, fakturačné údaje, auditný záznam a komunikácia). VivaShelf je sprostredkovateľom v mene organizácie, ktorá vás zamestnáva alebo s vami spolupracuje, pri spracúvaní prevádzkových údajov nahrávaných organizáciou — položky skladu, šarže, dodávatelia, recepty, role personálu, udalosti spotreby. Tam, kde VivaShelf koná ako sprostredkovateľ, je prevádzkovateľom zákaznícka organizácia a musí s nami uzavrieť Zmluvu o spracúvaní (DPA) zverejnenú na /dpa, ktorá tvorí súčasť Podmienok prostredníctvom odkazu. Spoločné prevádzkovanie sa nepredpokladá.

4. Kategórie spracúvaných osobných údajov

(a) Údaje účtu — meno, e-mail, hash hesla (bcrypt alebo ekvivalent; heslo nikdy v čistom tvare), preferovaný jazyk, role v organizácii (vlastník, manager, personál, šéfkuchár) a, ak aktivujete, šifrované TOTP MFA tajomstvo (AES-256-GCM). (b) Údaje organizácie — názov, lokality, role členov tímu, plán predplatného, fakturačná referencia. (c) Prevádzkové údaje organizácie — názvy produktov, čísla šarží, množstvá, dátumy spotreby, dodávatelia, recepty, udalosti spotreby, hlásenia strát, snímky inventúr. (d) Údaje o používaní — časy prihlásenia, vykonané akcie (audit), vzorce používania. (e) Technické údaje — IP, prehliadač, OS, typ zariadenia, referrer URL. (f) Komunikácia — žiadosti o podporu. (g) Doklady o súhlase — pre každý súhlas (podmienky, zásady, cookies, leaderboard opt-in, marketing) uchovávame čas, verziu, ID používateľa, úroveň súhlasu, IP a User-Agent. Právny základ: čl. 7 ods. 1 GDPR. (h) Údaje push odberu — ak zapnete web push, ukladáme endpoint URL a kryptografické kľúče potrebné na doručenie. (i) Diagnostické údaje o chybách — chyby aplikácie sa odovzdávajú nášmu subdodávateľovi na monitoring; session replay v Sentry nie je povolené. (j) Údaje benchmarkov a leaderboardu — pozri bod 9. Osobitné kategórie podľa čl. 9 GDPR vedome nespracúvame.

5. Účely spracúvania

Údaje spracúvame na: prevádzku a údržbu platformy VivaShelf; správu účtu a členstva v organizácii; zasielanie upozornení na spotrebu, nízky stav skladu a iných kritických komunikácií; generovanie reportov a analytiky; vymáhanie Podmienok a prevenciu zneužitia; reakciu na podporu; plnenie právnych povinností vrátane sledovateľnosti potravín podľa Nariadenia (ES) č. 178/2002; zabezpečenie služby; a zlepšovanie spoľahlivosti agregovanou analytikou. Údaje nepoužívame na reklamu a nepredávame ich.

6. Právne základy (čl. 6 GDPR) a test vyváženia

(a) Plnenie zmluvy (čl. 6 ods. 1 písm. b). (b) Oprávnené záujmy (čl. 6 ods. 1 písm. f) — zabezpečenie, obhajoba nárokov, agregovaná analytika a evidencia pre dôkaz čl. 5 ods. 2. Test vyváženia: záujmy neprevažujú nad vašimi právami vzhľadom na obmedzený rozsah, B2B kontext, šifrovanie, kontrolu prístupu a krátku retenciu; námietku môžete podať podľa bodu 13. LIA na žiadosť. (c) Súhlas (čl. 6 ods. 1 písm. a) — pre voliteľné spracúvanie (leaderboard, marketing). Odvolanie v Nastaveniach. (d) Právna povinnosť (čl. 6 ods. 1 písm. c). Pri LGPD platia čl. 7 II, V, IX a čl. 8.

7. Subdodávatelia spracúvania

Osobné údaje zdieľame iba so subdodávateľmi konajúcimi v našom mene na základe písomných zmlúv podľa čl. 28 GDPR: (1) Supabase, Inc. — PostgreSQL hosting; EU (Frankfurt), USA záloha; SCC (rozh. 2021/914) + šifrovanie. (2) Vercel, Inc. — hosting, edge, CDN; primárne EU (fra1, cdg1); SCC + DPF. (3) Resend, Inc. — transakčné e-maily; USA; SCC + DPF. (4) Google LLC — Google Identity OAuth (voliteľné); USA; DPF + SCC. (5) Upstash, Inc. — Redis rate-limiting; EU ak dostupné; SCC. (6) Functional Software, Inc. d/b/a Sentry — monitoring chýb; USA; SCC + DPF; session replay vypnutý. (7) Google / Apple / Mozilla push — endpointy web push (len pri zapnutí). (8) Cloudflare, Inc. — origin shield, DDoS, boti; anycast; SCC + DPF. (9) Stripe Payments Europe, Ltd. (Írsko), s nadväzujúcim spracúvaním spoločnosťou Stripe, Inc. (USA) — spracovanie platieb a fakturácia predplatného, kontaktované len pri objednaní plateného plánu; SCC + DPF EU-US. Údaje nepredávame. Zoznam: /sub-processors. O zmenách informujeme min. 30 dní vopred; v tejto lehote možno namietať.

8. Medzinárodné prenosy (čl. 44-49 GDPR)

Pri prenosoch mimo EÚ/EHP sa opierame o: Štandardné zmluvné doložky podľa rozhodnutia Komisie 2021/914; certifikácie subdodávateľov v rámci EU-US Data Privacy Framework; a doplnkové technické opatrenia (šifrovanie pri prenose TLS 1.2+ a v pokoji, pseudonymizácia, prísna kontrola prístupu). Pri používateľoch v Brazílii sa náš primárny hosting nachádza v Európskej únii; akýkoľvek prenos týchto údajov z Brazílie sa uskutočňuje na základoch povolených čl. 33 LGPD — najmä zárukami prenosu a štandardnými zmluvnými doložkami prijatými brazílskym úradom na ochranu údajov (uznesenie CD/ANPD č. 19/2024) a prípadne nevyhnutnosťou prenosu na plnenie našej zmluvy. Kópiu príslušných záruk poskytneme na žiadosť na [email protected].

9. Priemyselné benchmarky a anonymný leaderboard

VivaShelf ponúka dva voliteľné reporty porovnávajúce váš odpad s priemyselnými benchmarkmi a inými zákazníkmi. Benchmarky (/reports/benchmarks) používajú verejné údaje a vaše lokálne metriky; žiadne osobné údaje neopúšťajú váš účet. Leaderboard (/reports/benchmarks/leaderboard) vyžaduje aktívny súhlas. Pseudonymný identifikátor sa generuje SHA-256 z ID organizácie, čísla týždňa a serverového tajomstva; ID organizácie ostáva len na serveri. Skupiny pod päť organizácií sa potláčajú (k-anonymita ≥ 5). Záznamy sa uchovávajú max. 12 týždňov. Súhlas možno odvolať v Nastaveniach → Ochrana údajov → Leaderboard; po odvolaní sa záznamy zmažú (čl. 17 GDPR / čl. 18 LGPD).

10. Profilovanie a automatizované rozhodnutia (čl. 22 GDPR)

VivaShelf vás nepodriaďuje rozhodnutiam založeným výlučne na automatizovanom spracúvaní s právnymi účinkami. FEFO len radí zásoby. Pre bezpečnosť robíme obmedzené profilovanie (rate-limiting, detekcia kompromitácie); pri obmedzení napíšte na [email protected] pre ľudský prieskum.

11. Doby uchovávania (podľa kategórie)

Údaje uchovávame iba na nevyhnutný čas. Konkrétne: profil účtu — počas trvania účtu; po zrušení účtu sa mažú bezodkladne, najneskôr do 30 dní; tokeny a relácie — do 30 dní od posledného použitia; prevádzkové údaje (sklad, šarže, audit) — počas predplatného plus 24 mesiacov pre sledovateľnosť potravín podľa Nariadenia (ES) č. 178/2002; metadáta transakčných e-mailov — 90 dní; logy serverov a IP — 30 dní; bezpečnostná telemetria — 30 dní; chybové reporty — 90 dní; záznamy súhlasov — počas spracúvania plus 2 roky (čl. 7 ods. 1 GDPR); push odbery — do odhlásenia; leaderboard — 12 týždňov; šifrované zálohy — do 35 dní; fakturačné údaje — 7 rokov. Potom údaje bezpečne mažeme alebo nezvratne anonymizujeme.

12. Bezpečnosť (TOM)

Zavádzame primerané opatrenia: TLS 1.2+ v prenose a AES-256 v pokoji; bcrypt pre heslá; AES-256-GCM pre MFA s oddelením kľúčov; izoláciu nájomcov v aplikácii (withTenant) i v DB (PostgreSQL Row-Level Security); RBAC (vlastník > manager > personál > šéfkuchár); CSP s nonce; origin shield; rate-limiting (60/min API, 10/min health); auditné logovanie; rotácia tajomstiev; skenovanie zraniteľností; princíp najmenších oprávnení; postup riešenia incidentov. Súhrn v Prílohe II DPA. Bezpečnosť priebežne zlepšujeme.

13. Vaše práva

Podľa GDPR máte právo na prístup (čl. 15), opravu (16), výmaz (17), obmedzenie (18), prenositeľnosť v JSON (20), námietku (21) a nepodliehať výlučne automatizovaným rozhodnutiam (22). Podľa LGPD navyše potvrdenie (čl. 18 I), anonymizáciu (IV), prenositeľnosť (V), informácie o zdieľaní (VII), odvolanie súhlasu (IX). Väčšinu uplatníte v Nastaveniach → Ochrana údajov; ostatné e-mailom na [email protected]. Potvrdíme do 5 pracovných dní, odpovieme do 30 dní (lehotu možno predĺžiť o 60 dní).

14. Informácia pre používateľov v Brazílii (LGPD)

Ak sa nachádzate v Brazílii, na spracúvanie vašich osobných údajov sa vzťahuje aj LGPD. Kontakt pre ochranu údajov zodpovedajúci „Encarregado" podľa LGPD je dostupný na [email protected]. Môžete uplatniť práva uvedené v bode 13 a ak sa domnievate, že sa vaše údaje spracúvajú nezákonne, podať sťažnosť na Autoridade Nacional de Proteção de Dados (ANPD) na gov.br/anpd.

15. Hlásenie porušení (čl. 33-34 GDPR)

Pri porušení s pravdepodobným rizikom pre vaše práva oznámime dozornému orgánu bez zbytočného odkladu, najneskôr do 72 hodín. Pri vysokom riziku informujeme aj vás priamo. Vedieme interný register podľa čl. 33 ods. 5 GDPR.

16. Právo podať sťažnosť

Máte právo podať sťažnosť dozornému orgánu — v EÚ/EHP podľa pobytu, práce alebo miesta porušenia. Zoznam: edpb.europa.eu. V SR: Úrad na ochranu osobných údajov (dataprotection.gov.sk). V Brazílii: Autoridade Nacional de Proteção de Dados (ANPD) na gov.br/anpd.

17. Služba nie je určená deťom

VivaShelf je B2B služba pre profesionálov gastronómie. Nie je určená osobám mladším ako 18 rokov. Ak by sme neúmyselne zhromaždili údaje dieťaťa, bezodkladne ich zmažeme a, kde to vyžaduje čl. 33 GDPR, oznámime dozornému orgánu.

18. PWA, service worker a lokálne úložisko

VivaShelf je PWA. Service worker Serwist ukladá aktíva aplikácie a obmedzenú podmnožinu skladových údajov do Cache Storage a IndexedDB pre offline. Iba lokálne spracúvanie bez prenosu tretím stranám, výnimka „nevyhnutne potrebné" čl. 5 ods. 3 e-privacy smernice. Vyčistite v nastaveniach prehliadača alebo v Nastavenia → Ochrana údajov → Vymazať lokálnu cache.

19. Zmeny týchto zásad

Zásady môžeme aktualizovať. Pri podstatných zmenách aktualizujeme verziu a dátum hore, zobrazíme oznámenie v aplikácii a vyžiadame nový súhlas, ak to právo vyžaduje. Pokračovanie v používaní po účinnosti znamená akceptáciu.

20. Kontakt

Otázky a uplatnenie práv: [email protected]. Potvrdíme do 5 pracovných dní, odpovieme do 30 dní. Poštová adresa bude zverejnená po vzniku VivaShelf sp. z o.o. [doplní sa po vzniku spoločnosti].

See also our Data Processing Agreement, Sub-processor list, and Cookie Policy.