Ochrana súkromia

Tento dokument popisuje, ako spoločnosť AI Studio s. r. o. spracúva osobné údaje používateľov služby Quotry. Postupujeme v súlade s Nariadením (EÚ) 2016/679 (GDPR) a zákonom č. 18/2018 Z. z. o ochrane osobných údajov.

1. Prevádzkovateľ

2. Aké údaje spracúvame

2.1 Registrácia a používateľský účet

• Identifikačné údaje: meno, priezvisko, e-mailová adresa, prípadne telefónne číslo.
• Firemné údaje: názov spoločnosti, IČO, DIČ, sídlo, ktoré uvádzate v profile firmy.
• Prihlasovacie údaje: e-mail a heslo (uložené ako bezpečný hash, nie v čitateľnej podobe). Pri prihlásení cez Google iba e-mail a OAuth identifikátor.

2.2 Obsah, ktorý do služby nahráte

• Výkazy výmer a iné projektové súbory (Excel, PDF), ktoré nahráte na analýzu.
• Údaje o vašich dodávateľoch a subdodávateľoch (názov, kontakt, e-mail), ak si ich vediete v aplikácii.
• Komunikácia s dodávateľmi vedená cez Quotry (znenie dopytov, prijaté ponuky, vyjednávacie e-maily).

2.3 Platobné údaje

Platby spracúva tretia strana Stripe Payments Europe, Ltd. Číslo platobnej karty sa nikdy nedostane na naše servery. My uchovávame iba identifikátor zákazníka v Stripe, údaje o pláne, faktúrach a stave predplatného.

2.4 Technické údaje

• IP adresa, typ prehliadača, jazyk, časová zóna (zapisované v logoch servera pre bezpečnosť a debugovanie).
• Cookies (viď bod 6).

3. Účely spracúvania a právny základ

• Poskytovanie služby (analýza výkazov, RFQ, vyjednávanie, harmonogram) — právny základ: plnenie zmluvy (čl. 6 ods. 1 písm. b GDPR).
• Fakturácia a vedenie účtovníctva — právny základ: plnenie zákonných povinností (čl. 6 ods. 1 písm. c GDPR), najmä zákon č. 431/2002 Z. z. o účtovníctve.
• Komunikácia s vami (zákaznícka podpora, prevádzkové oznámenia) — právny základ: plnenie zmluvy.
• Zabezpečenie a prevencia zneužitia (logy, rate-limiting) — právny základ: oprávnený záujem (čl. 6 ods. 1 písm. f GDPR).
• Marketingová komunikácia (newsletter, novinky) — len ak nám udelíte súhlas; právny základ: súhlas dotknutej osoby (čl. 6 ods. 1 písm. a GDPR), kedykoľvek odvolateľný bez vplyvu na zákonnosť spracúvania pred odvolaním.

3a. Umelá inteligencia a automatizované rozhodovanie

Pri analýze výkazov výmer a generovaní vyjednávacích správ využívame umelú inteligenciu (sprostredkovatelia Anthropic/OpenAI — viď bod 4). Výstupy AI majú výlučne informatívny a podporný charakter — nevykonávame automatizované individuálne rozhodovanie, ktoré by malo právne účinky alebo by sa vás podobne významne dotýkalo v zmysle čl. 22 GDPR. Konečné obchodné rozhodnutia (ocenenie, výber dodávateľa, podanie ponuky) robíte vždy vy. Logika spracovania spočíva v rozpoznávaní a kategorizácii položiek výkazu a v odhade cien; spracovanie nezahŕňa profilovanie dotknutých osôb.

4. Príjemcovia a sprostredkovatelia (subprocesori)

Na poskytovanie služby využívame nasledujúcich sprostredkovateľov, ktorí majú prístup k vašim údajom v rozsahu nevyhnutnom na plnenie ich úlohy:

• Stripe Payments Europe, Ltd. (Írsko) — spracovanie platieb a predplatného.
• Mailgun Technologies, Inc. (USA; e-maily sa spracúvajú v EÚ regióne) — odosielanie transakčných a vyjednávacích e-mailov dodávateľom. Prenos do USA viď bod 4a.
• Anthropic, PBC (USA) / OpenAI, L.L.C. (USA) — AI analýza výkazu výmer a generovanie vyjednávacích správ. Obsah výkazu sa odosiela ako vstup do API; podľa zmluvných podmienok týchto poskytovateľov sa nepoužíva na trénovanie modelov. Prenos do USA viď bod 4a.
• Google LLC (USA; Google Drive API) — len pre používateľov, ktorí si dobrovoľne pripoja Google Drive na ukladanie tendrových dokumentov. Quotry pristupuje výhradne k zložkám, ktoré vytvorila (drive.file scope). Prenos do USA viď bod 4a.
• DigitalOcean, LLC (USA) — hosting serverovej infraštruktúry, na ktorej beží produkčný server aplikácie. Údaje sú uložené v dátovom centre v EÚ (región Amsterdam); keďže spoločnosť sídli v USA, prenos viď bod 4a.
• Laravel Forge (prevádzkovateľ Laravel Holdings, Inc., USA) — provisioning, nasadzovanie a správa servera cez SSH (poskytovateľ má technický prístup k prostrediu servera). Prenos do USA viď bod 4a.

4a. Prenos údajov do tretích krajín

Niektorí naši sprostredkovatelia (Anthropic, PBC; OpenAI, L.L.C.; Google LLC; Mailgun Technologies, Inc.; poskytovateľ hostingu DigitalOcean, LLC a platforma Laravel Forge prevádzkovaná spoločnosťou Laravel Holdings, Inc.) sídlia v Spojených štátoch amerických, ktoré nie sú podľa práva EÚ automaticky považované za krajinu so zodpovedajúcou úrovňou ochrany osobných údajov. Aj v prípadoch, keď sa údaje fyzicky spracúvajú v EÚ regióne (napr. servery DigitalOcean v Amsterdame alebo e-maily Mailgun v EÚ regióne), tieto spoločnosti ako americké subjekty naďalej podliehajú deklarácii prenosu.

Prenos osobných údajov do USA zabezpečujeme na základe Štandardných zmluvných doložiek (Standard Contractual Clauses) schválených Európskou komisiou podľa čl. 46 ods. 2 písm. c) GDPR, prípadne prostredníctvom certifikácie poskytovateľa v rámci EU-US Data Privacy Framework, ak je daný poskytovateľ certifikovaný. Kópiu uplatnených záruk vám na požiadanie poskytneme na adrese [email protected].

5. Doba uchovávania

• Údaje účtu a obsah projektov: počas trvania predplatného a 30 dní po jeho zrušení (potom anonymizácia alebo výmaz na žiadosť).
• Účtovné doklady a faktúry: 10 rokov (zákonná povinnosť podľa § 35 zákona č. 431/2002 Z. z.).
• Komunikácia so zákazníckou podporou: 3 roky od posledného kontaktu.
• Servrovské logy: 90 dní (security & debug).
• Identifikátor zákazníka v Stripe a fakturačné metadáta: počas trvania zmluvy a následne v rámci účtovnej a archivačnej lehoty (10 rokov).
• Vstupy odoslané do AI (Anthropic/OpenAI): podľa podmienok týchto poskytovateľov sa obsah nepoužíva na trénovanie modelov a maže sa spravidla do 30 dní; samostatnú kópiu nad rámec vašich projektov si neuchovávame.

6. Cookies a sledovanie

Quotry aktuálne používa iba technicky nevyhnutné cookies:

• laravel_session, XSRF-TOKEN — prihlásenie a ochrana pred CSRF útokmi.
• quotry_cookie_ack — uloženie potvrdenia cookie oznámenia (localStorage).
• Cookies tretích strán potrebné pre platbu (Stripe) sa nastavujú iba na stránkach týkajúcich sa platby.

Nepoužívame reklamné cookies. Analytické cookies (napríklad Google Analytics) zatiaľ nenasadzujeme; ak ich v budúcnosti zavedieme, vyžiadame si od vás samostatný informovaný súhlas.

7. Vaše práva

Ako dotknutá osoba máte v zmysle GDPR právo na:

• prístup k svojim osobným údajom,
• opravu nepresných údajov,
• výmaz údajov („právo na zabudnutie"),
• obmedzenie spracúvania,
• prenosnosť údajov (export vašich projektov),
• namietať proti spracúvaniu na základe oprávneného záujmu,
• kedykoľvek odvolať udelený súhlas,
• nebyť predmetom výlučne automatizovaného individuálneho rozhodovania (čl. 22 GDPR) — také rozhodovanie nevykonávame.

Žiadosť zašlite na [email protected]. Odpovieme do 30 dní. Ak máte pocit, že vaše práva sú porušené, môžete podať sťažnosť na dozorný úrad: Úrad na ochranu osobných údajov Slovenskej republiky, Hraničná 12, 820 07 Bratislava 27 (dataprotection.gov.sk).

8. Bezpečnosť

Komunikácia so službou prebieha výhradne cez šifrované spojenie (HTTPS/TLS 1.2+). Heslá sú uložené ako bezpečný hash (bcrypt). Prístupy k databáze majú len autorizovaní vývojári s 2FA. Pravidelne zálohujeme dáta a testujeme obnovu.

9. Zmeny tejto politiky

Vyhradzujeme si právo aktualizovať túto politiku tak, aby reflektovala zmeny v službe alebo v legislatíve. O podstatných zmenách vás budeme informovať e-mailom alebo cez aplikáciu. Aktuálna verzia je vždy dostupná na tejto stránke.