Zásady ochrany osobných údajov - KockaLovec

Zásady ochrany osobných údajov

Naposledy aktualizované: 2026-04-19

Tieto zásady ochrany osobných údajov opisujú, ako KockaLovec („my", „nás") zhromažďuje, používa, uchováva a zdieľa osobné údaje pri Vašom používaní našej webovej stránky a súvisiacich služieb („Služba"). Sú vypracované v súlade s nariadením (EÚ) 2016/679 (všeobecné nariadenie o ochrane údajov, „GDPR") a maďarským zákonom CXII z roku 2011 o práve na informačné sebaurčenie a o slobode informácií („Infotv.").

Používaním Služby potvrdzujete, že ste si tieto zásady prečítali. Spracúvanie, ktoré sa opiera o Váš súhlas, prebieha až po tom, ako ste tento súhlas udelili.

1. Prevádzkovateľ

Prevádzkovateľom zodpovedným za spracúvanie Vašich osobných údajov je:

  • Názov: Geiger Tamás e.v. (samostatne zárobkovo činná osoba)
  • Adresa: Váci út 83/A 2/208, 1044 Budapešť, Maďarsko
  • Daňové identifikačné číslo: HU60384649
  • E-mail: [email protected]

Nevymenovali sme zodpovednú osobu pre ochranu osobných údajov, keďže nám takáto povinnosť nevyplýva z čl. 37 GDPR. Vo všetkých záležitostiach týkajúcich sa ochrany osobných údajov nás môžete kontaktovať na vyššie uvedenej adrese.

Príslušným dozorným orgánom pre prevádzkovateľa je Národný úrad pre ochranu osobných údajov a slobodu informácií Maďarska (Nemzeti Adatvédelmi és Információszabadság Hatóság, „NAIH"). Jeho kontaktné údaje sú uvedené v bode 11.

2. Rozsah a právne základy spracúvania

Osobné údaje sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby. Nasledujúca tabuľka uvádza jednotlivé spracovateľské činnosti, ktoré vykonávame, kategórie dotknutých údajov, účel, právny základ podľa čl. 6 ods. 1 GDPR a dobu uchovávania.

2.1 Registrácia a správa používateľského účtu

  • Údaje: e-mailová adresa, meno, hash hesla, trh registrácie (domovský trh), časové pásmo, nastavenia upozornení, časové pečiatky prijatia podmienok používania a zásad ochrany osobných údajov, voliteľné polia na personalizáciu profilu (nákupné záujmy, nákupná motivácia, rok narodenia — pozri bod 2.14). Ak sa prihlásite cez Google alebo Facebook, uchovávame navyše aj identifikátor používateľa vrátený daným poskytovateľom.
  • Účel: vytvoriť a spravovať Váš používateľský účet, autentifikovať Vás, vymáhať naše podmienky používania a zaznamenať, že ste tieto zásady prijali.
  • Právny základ: plnenie zmluvy medzi Vami a nami — čl. 6 ods. 1 písm. b) GDPR.
  • Doba uchovávania: počas celej existencie Vášho účtu. Ak požiadate o vymazanie, Váš účet sa uchová počas 14-dňovej ochrannej lehoty (pozri bod 2.9) a následne sa vymaže.

2.2 Prihlásenie cez Google / prihlásenie cez Facebook

  • Údaje: Vaše Google alebo Facebook ID používateľa, e-mailová adresa, meno a (ak je dostupná) informácia, či je e-mail overený.
  • Účel: umožniť Vám autentifikáciu prostredníctvom externého poskytovateľa identity namiesto hesla.
  • Právny základ: plnenie zmluvy — čl. 6 ods. 1 písm. b) GDPR. Kliknutím na tlačidlo prihlásenia iniciujete autentifikačný proces, ktorý je nevyhnutný na poskytovanie Služby.
  • Príjemcovia: Google Ireland Limited a Meta Platforms Ireland Limited vystupujú ako samostatní prevádzkovatelia pri svojich autentifikačných službách. Pozri bod 3.
  • Doba uchovávania: identifikátor používateľa u poskytovateľa sa uchováva, kým máte účet prepojený s daným poskytovateľom, a vymaže sa spolu s Vaším účtom.

2.3 Zoznam želaní, cenové upozornenia a preferencie

  • Údaje: odkazy na produkty, ktoré pridáte do zoznamu želaní, cieľové ceny, osobné poznámky k položkám zoznamu želaní (nepovinné, do 500 znakov), nastavenia upozornení (upozorniť pri akomkoľvek poklese ceny, upozorniť pri návrate na sklad), trh, na ktorom ste si prezerali stránku pri pridaní každej položky.
  • Účel: poskytovať funkcie zoznamu želaní a cenových upozornení, o ktoré ste požiadali.
  • Právny základ: plnenie zmluvy — čl. 6 ods. 1 písm. b) GDPR.
  • Doba uchovávania: dovtedy, kým položky zostávajú vo Vašom zozname želaní, a až do vymazania účtu (položky sa vymažú spolu s účtom).

2.4 Tokeny push notifikácií

  • Údaje: tokeny zariadenia Firebase Cloud Messaging (FCM) zaregistrované Vaším prehliadačom alebo v budúcnosti našou mobilnou aplikáciou; platforma, užívateľský agent a stav aktivity každého tokenu.
  • Účel: doručovať push notifikácie do prehliadača a mobilného zariadenia, ktoré ste si predtým aktivovali (napríklad upozornenia na pokles ceny).
  • Právny základ: Váš súhlas — čl. 6 ods. 1 písm. a) GDPR. Súhlas udeľujete v dvoch krokoch: prijatím výzvy prehliadača alebo operačného systému a zapnutím push notifikácií v nastaveniach Vášho účtu. Súhlas môžete kedykoľvek odvolať vypnutím notifikácií v Službe alebo odobratím oprávnenia v prehliadači / OS.
  • Doba uchovávania: aktívne tokeny sa uchovávajú, kým máte push notifikácie zapnuté. Tokeny, ktoré sa stanú neaktívnymi (napríklad keď prehliadač zruší predplatné), sa vymažú 30 dní po tom, ako boli naposledy aktívne. Všetky tokeny sa vymažú pri vymazaní Vášho účtu.

2.5 Transakčné e-maily

  • Údaje: Vaša e-mailová adresa, meno a obsah správy (napríklad odkaz na pokles ceny, overovací odkaz na e-mail alebo odkaz na obnovenie hesla).
  • Účel: odosielať e-maily, ktoré sú striktne nevyhnutné na prevádzku Služby — overenie e-mailu, obnovenie hesla, potvrdenie zmeny e-mailu, potvrdenie vymazania účtu a cenové upozornenia, ktoré ste si aktivovali.
  • Právny základ: plnenie zmluvy — čl. 6 ods. 1 písm. b) GDPR.
  • Príjemca: Sendinblue SAS (pôsobiaca pod značkou Brevo) — pozri bod 3.
  • Doba uchovávania: počas celej existencie Vášho účtu. Metadáta o doručení (otvorenia, odmietnutia) uchovávané u spoločnosti Brevo sa uchovávajú podľa jej zásad uchovávania.

2.6 Marketingové e-maily a segmentácia publika

  • Údaje: vedieme Vás ako kontakt u spoločnosti Brevo s nasledujúcimi identifikačnými poľami — e-mailová adresa, meno, trh, lokalizácia, časové pásmo, dátum registrácie, príznak overenia e-mailu, poskytovateľ overenia (heslo / Google / Facebook) — a s nasledujúcimi segmentačnými atribútmi odvodenými z Vašej činnosti na Službe: stavy Vašich súhlasov (marketing, e-mailové notifikácie, push notifikácie), Vaše voliteľné profilové odpovede (záujmy, motivácia nákupu, rok narodenia — pozri bod 2.14), aktivačné signály (či máte nejaké položky v zozname prianí, počet položiek, dátum prvého pridania do zoznamu prianí, dátum poslednej aktivity v Službe), slugy piatich najčastejších LEGO tém vo Vašom zozname prianí, až dvadsať čísel setov z Vášho zoznamu prianí, slugy piatich najčastejších tém produktov, na ktoré ste v posledných 30 dňoch klikli smerom do partnerských obchodov, slugy piatich najčastejších tém produktov, ktoré ste si v posledných 30 dňoch prezreli, a celkový počet kliknutí smerom do partnerských obchodov za posledných 30 dní. Nikdy nezasielame spoločnosti Brevo voľný text zadaný používateľom (poznámky k zoznamu prianí, názvy kategórií), prihlasovacie údaje ani identifikátory špecifické pre poskytovateľov (Google / Facebook ID).
  • Účel: zasielať Vám personalizované správy o LEGO® stavebniciach, cenových ponukách a novinkách v Službe, ktoré sú podľa nás pre Vás relevantné; a počítať segmenty publika podľa trhu (napríklad používatelia so súhlasom, ktorých zoznam prianí alebo nedávno prezerané témy sa prekrývajú s konkrétnou LEGO témou), aby sme mohli spúšťať partnerské marketingové kampane priamo z prostredia Brevo bez toho, aby sme partnerom sprístupnili akékoľvek údaje používateľov.
  • Právny základ: Váš súhlas — čl. 6 ods. 1 písm. a) GDPR. Pridáme Vás do marketingového zoznamu a pošleme Vám marketingový e-mail len vtedy, ak ste k tomu udelili výslovný súhlas, a to buď zaškrtnutím samostatnej možnosti pri registrácii, alebo zapnutím možnosti „Prispôsobené ponuky a odporúčania" v nastaveniach účtu. Súhlas môžete kedykoľvek odvolať prostredníctvom odkazu „odhlásiť sa z odberu" v každom marketingovom e-maile alebo v nastaveniach účtu; v takom prípade Vás okamžite odstránime zo všetkých trhových zoznamov v Brevo a segmentačné atribúty sa prestanú aktualizovať. Odvolaním súhlasu nie je dotknutá zákonnosť spracúvania pred odvolaním.
  • Príjemca: Sendinblue SAS (Brevo) — pozri bod 3.
  • Doba uchovávania: kontaktné atribúty sú v Brevo uchovávané, kým súhlas neodvoláte alebo nevymažete svoj účet. Údaje o udalostiach (spúšťače pracovných postupov, napríklad user_registered, wishlist_add, price_drop_notified) sú v Brevo uchovávané podľa štandardnej 90-dňovej doby uchovávania udalostí Brevo. Pri zmazaní účtu (bod 2.9) sa Váš kontakt v Brevo odstráni na konci 14-dňovej lehoty odkladu; história udalostí v Brevo vyprší samostatne podľa vyššie uvedeného harmonogramu. Ak súhlas odvoláte, kým účet ešte existuje, Váš e-mail bude umiestnený na interný zoznam zakázaných adries výlučne s cieľom zabezpečiť, aby sme Vám už nezasielali žiadne e-maily.

2.7 Sledovanie odchádzajúcich kliknutí

  • Údaje: pri každom kliknutí na tlačidlo „navštíviť obchod" zaznamenávame: ID produktu, ID obchodu, ID trhu, ID odkazujúceho používateľa (ak ste prihlásení), kľúčovaný hash HMAC-SHA256 Vašej IP adresy, reťazec užívateľského agenta, hlavičku Accept-Language, ID klienta GA4 a ID relácie GA4 spojené s Vašou návštevou (ak sú k dispozícii) a časovú pečiatku.
  • Účel: merať, ktoré ponuky sú najužitočnejšie, poskytovať agregované reporty o výkonnosti obchodov a produktov, odhaľovať podvodnú alebo automatizovanú návštevnosť a zosúladiť odchádzajúcu návštevnosť s našimi partnerskými predajcami.
  • Právny základ: náš oprávnený záujem na prevádzke a zlepšovaní Služby a na predchádzaní zneužitiu — čl. 6 ods. 1 písm. f) GDPR. Údaje, ktoré uchovávame, Vás priamo neidentifikujú (IP adresy sa nikdy neukladajú v otvorenej podobe — iba ich kľúčovaný hash).
  • Doba uchovávania: agregované štatistiky obchodov sa uchovávajú neobmedzene, pretože Vás neidentifikujú. Polia relevantné z hľadiska GDPR pripojené ku každému záznamu o kliknutí — hashovaná IP, užívateľský agent, hlavička Accept-Language, ID klienta GA4, ID relácie GA4 a (ak existuje) prepojenie na Váš používateľský účet — sa odstraňujú po 12 mesiacoch, takže zostávajú iba neidentifikujúce štatistiky. Ak svoj účet vymažete skôr, prepojenie na používateľský účet sa zo záznamov o kliknutiach odstráni okamžite.

2.8 Reláciové súbory cookies a autentifikácia

  • Údaje: identifikátor relácie uložený v súbore cookies brickhunter-session a — počas aktívnej relácie — používateľ, pod ktorým ste prihlásení, Váš aktívny trh, kľúčovaný hash HMAC-SHA256 Vašej IP adresy (nie samotná IP) a Váš užívateľský agent.
  • Účel: udržať Vás prihláseného, chrániť pred únosom relácie a zobrazovať správny trh.
  • Právny základ: plnenie zmluvy — čl. 6 ods. 1 písm. b) GDPR. Reláciové súbory cookies sú striktne nevyhnutné pre Službu a nevyžadujú súhlasný banner.
  • Doba uchovávania: reláciový súbor cookies vyprší 120 minút po Vašej poslednej aktivite alebo skôr, ak sa odhlásite. Záznamy relácií sa následne automaticky odstraňujú.

2.9 Vymazanie účtu

  • Údaje: e-mail Vášho účtu, plánovaný dátum vymazania.
  • Účel: umožniť Vám uplatniť právo na vymazanie. Keď požiadate o vymazanie, Váš účet sa označí plánovaným dátumom vymazania o 14 dní a odošle sa overovací e-mail. Na konci tohto obdobia sa účet spracuje.
  • Právny základ: plnenie zákonnej povinnosti podľa čl. 17 GDPR — čl. 6 ods. 1 písm. c) GDPR. 14-dňová ochranná lehota je opatrenie na základe oprávneného záujmu (čl. 6 ods. 1 písm. f)), ktoré Vám umožňuje zrušiť náhodnú alebo neautorizovanú žiadosť o vymazanie.
  • Čo sa vymaže: Váš používateľský záznam, položky zoznamu želaní, záznamy v logu upozornení, tokeny zariadení a všetky API tokeny. V tabuľke clicks sa osobné identifikátory (hashovaná IP, užívateľský agent, hlavička Accept-Language, GA ID a prepojenie na Vaše používateľské ID) nastavia na null — samotné udalosti kliknutia zostávajú ako anonymné štatistiky obchodov.
  • Doba uchovávania: záznam účtu sa vymaže v naplánovaný deň. Pozri bod 2.7 o anonymizovaných údajoch o kliknutiach.

2.10 Komunikácia so zákazníckou podporou

  • Údaje: Vaša e-mailová adresa a obsah správ, ktoré nám posielate.
  • Účel: odpovedať na Vaše požiadavky na podporu, sťažnosti alebo žiadosti dotknutej osoby.
  • Právny základ: plnenie zmluvy — čl. 6 ods. 1 písm. b) GDPR pri požiadavkách súvisiacich so Službou; plnenie zákonnej povinnosti — čl. 6 ods. 1 písm. c) GDPR pri žiadostiach dotknutej osoby, na ktoré musíme odpovedať podľa kapitoly III GDPR.
  • Doba uchovávania: 3 roky od poslednej správy na preukázanie, že sme odpovedali v zákonom stanovených lehotách. Žiadosti dotknutých osôb, na ktoré sme konali, sa uchovávajú 3 roky na preukázanie súladu.

2.11 Bezpečnostné logovanie

  • Údaje: serverové aplikačné logy obsahujúce metadáta požiadaviek (URL, HTTP stav, čas), chybové stack trace a — v malom počte prípadov na rozhodovanie o rýchlostných limitoch — kľúčované hashe HMAC-SHA256 IP adries. IP adresy nikdy nelogujeme v otvorenej podobe.
  • Účel: odhaľovať a vyšetrovať bezpečnostné incidenty, chrániť pred útokmi hrubou silou na prihlásenie a zneužitím, ladiť chyby Služby.
  • Právny základ: náš oprávnený záujem na prevádzke bezpečnej Služby — čl. 6 ods. 1 písm. f) GDPR.
  • Doba uchovávania: 14 dní, po ktorých sa logy automaticky rotujú.

2.12 Webová analytika (Google Analytics 4)

  • Údaje (so súhlasom s analytikou): ID klienta GA4 (uložené v súbore cookies brickhunter_client_id), ID relácie GA4, zobrazenia stránok, udalosti (vyhľadávania, akcie v zozname želaní, odchádzajúce kliknutia atď.), približná lokalita odvodená z IP (samotnú IP GA4 neukladá v identifikovateľnej podobe — Google ju pred uložením skráti), údaje o zariadení a prehliadači. Pri autentifikovaných používateľoch odosielame do GA4 aj SHA-256 hash Vášho ID používateľa a SHA-256 hash Vášho e-mailu na atribúciu medzi zariadeniami; otvorené hodnoty nikdy neopúšťajú naše servery.
  • Údaje (bez súhlasu s analytikou): nenastavujú ani nečítajú sa žiadne súbory cookies Google Analytics (_ga, _ga_*) a neprenáša sa žiadny trvalý identifikátor používateľa ani zariadenia. Google Analytics beží v režime Google Consent Mode v2 v pokročilom režime (pozri dokumentáciu Google): do Googlu sa odosiela bezcookie „ping" obsahujúci iba časovú pečiatku, reťazec užívateľského agenta, URL odkazujúcej stránky, boolovský stav súhlasu, príznak označujúci, či aktuálna alebo predchádzajúca stránka obsahovala v URL informácie o kliknutí na reklamu (napríklad gclid / dclid) a náhodné číslo generované pri každom načítaní stránky. Google uvádza, že IP adresa prijatá ako súčasť sieťovej požiadavky sa neuchováva ani neloguje. Tieto signály Google používa výlučne na tvorbu agregovaných, modelovaných reportov — na ich základe sa nebuduje žiadny individuálny používateľský profil.
  • Serverové udalosti: keď dôjde k udalosti relevantnej z hľadiska konverzie, odosielame ju do GA4 z nášho servera pomocou protokolu Measurement Protocol. Udalosť preberá aktuálne signály súhlasu z Vašej relácie v prehliadači (analytics_storage aj ad_storage). Ak nie je k dispozícii žiadne ID klienta GA4, vygeneruje sa jednorazové UUID a udalosť sa odošle s explicitným stavom trvalého odmietnutia súhlasu.
  • Účel: pochopiť, ako sa Služba používa, a zlepšovať ju.
  • Právny základ: Váš súhlas — čl. 6 ods. 1 písm. a) GDPR. Svoju voľbu môžete kedykoľvek udeliť, odmietnuť alebo zmeniť prostredníctvom banneru pre súbory cookies alebo odkazu na nastavenia cookies v päte stránky.
  • Príjemca: Google Ireland Limited — pozri bod 3.
  • Doba uchovávania: GA4 uchováva údaje na úrovni udalostí štandardne 14 mesiacov. Naše vlastné cookies brickhunter_client_id (až 24 mesiacov) a brickhunter_session_id (30 minút) sa používajú na koreláciu s GA4.

2.13 Reklama (Google Ads, Meta Ads)

  • Údaje (so súhlasom s marketingom): konverzné udalosti, zobrazenia stránok a interakcie, ktoré vykonáte počas používania Služby, odoslané službám Google Ads a Meta (Facebook) Pixel na meranie a remarketing. V závislosti od správania platformy to môže zahŕňať Vašu IP adresu, identifikátory cookies a hashovanú verziu Vášho e-mailu (pre rozšírené konverzie Google a rozšírenú zhodu Meta).
  • Údaje (bez súhlasu s marketingom):
    • Google Ads naďalej beží v pokročilom režime Google Consent Mode v2. Nenastavujú ani nečítajú sa žiadne cookies Google Ads (_gcl_*) a akékoľvek identifikátory gclid / dclid sú redigované z odchádzajúcich sieťových požiadaviek. Do Googlu sa stále odosielajú bezcookie pingy s rovnakými minimálnymi signálmi opísanými v bode 2.12 a používajú sa výhradne na agregované modelovanie konverzií (na odhadovanie, na agregovanej úrovni, konverzií, ktoré by inak boli merané so súhlasom). Žiadny individuálny používateľ nie je sledovaný, profilovaný ani remarketingovaný.
    • Meta Pixel nemá ekvivalentný mechanizmus režimu súhlasu. Keď odmietnete marketingovú kategóriu, Meta Pixel sa vôbec nenačíta ani sa neaktivuje — v tomto prípade sa zo Služby neodosiela žiadna požiadavka do Meta.
  • Účel: merať účinnosť našich reklamných kampaní a, ak ste udelili súhlas s marketingom, zobrazovať Vám relevantnú reklamu na platformách tretích strán.
  • Právny základ: Váš súhlas — čl. 6 ods. 1 písm. a) GDPR. Aktivácia tagov je riadená cez Google Tag Manager podľa Vašich volieb v banneri súborov cookies. Súhlas môžete kedykoľvek odvolať prostredníctvom odkazu na nastavenia cookies.
  • Príjemcovia: Google Ireland Limited a Meta Platforms Ireland Limited — pozri bod 3.
  • Doba uchovávania: riadi sa zásadami uchovávania platformy tretej strany. Reklamné identifikátory neuchovávame na vlastných serveroch.
  • Aktuálne informácie tretích strán: Google vedie aktuálny zoznam súborov cookies používaných jeho reklamnými produktmi na stránke business.safety.google/adscookies. Meta zverejňuje aktuálny zoznam cookies, ktoré nastavuje, na stránke facebook.com/privacy/policies/cookies. Tieto stránky majú prednosť pred názvami cookies uvedenými v bode 6, ak sa odlišujú.

2.14 Personalizácia profilu

  • Údaje: Vaše odpovede na tri dobrovoľné úvodné otázky — pre koho zvyčajne nakupujete (pre seba, pre deti, pre širšiu rodinu, pre priateľov/známych), čo je pre Vás pri nákupe najdôležitejšie (najnižšia cena, najlepší pomer ceny a kvality) a rok narodenia. Všetky tri otázky sú voliteľné a možno ich preskočiť jednotlivo; na používanie Služby nie je potrebná žiadna odpoveď. Zbierame iba rok narodenia, nikdy presný dátum, a používame ho výlučne na zaradenie používateľov do širokých vekových skupín. Pri každej otázke tiež ukladáme interný časový údaj, ktorý zaznamenáva, kedy ste s ňou naposledy interagovali.
  • Účel: personalizovať zážitok na stránke a — po tom, ako ste udelili výslovný marketingový súhlas (bod 2.6) — informovať zacielenie partnerských kupónov prostredníctvom služby Brevo.
  • Právny základ: náš oprávnený záujem na personalizácii zážitku na stránke — čl. 6 ods. 1 písm. f) GDPR — pre použitie na stránke; Váš súhlas podľa čl. 6 ods. 1 písm. a) GDPR pre marketingové použitie cez Brevo, ktoré sa aktivuje iba v prípade, že ste sa prihlásili na odber marketingových e-mailov.
  • Doba uchovávania: počas celej existencie Vášho účtu. Tieto polia sú vymazané spolu s účtom na konci ochrannej lehoty pred vymazaním (bod 2.9). Ktorúkoľvek z troch odpovedí môžete kedykoľvek vymazať alebo zmeniť v nastaveniach účtu.

2.15 Agregovaná história prehliadania (na úrovni tém)

  • Údaje: kým ste prihlásení a zároveň máte zapnutú možnosť „Prispôsobené ponuky a odporúčania" (pozri bod 2.6), ku každej navštívenej stránke detailu LEGO produktu zaznamenávame záznam na úrovni témy — konkrétne: Vaše ID používateľa, ID LEGO témy prezeraného produktu, trh, na ktorom ste ho prezerali, a časovú pečiatku. Nezaznamenávame jednotlivý produkt, cenu, ktorú ste videli, obchod, na ktorý ste prípadne klikli (odchádzajúce kliknutia sú samostatnou činnosťou spracovania — bod 2.7), ani žiadne informácie o rozložení stránky alebo Vašom posúvaní/interakcii. Známu návštevnosť od botov preskakujeme.
  • Účel: na úrovni tém určiť, ktoré časti LEGO katalógu Vás aktuálne zaujímajú, aby týždenné prehľady životného cyklu produktov (novo oznámené sety, sety nanovo dostupné na predobjednávku alebo kúpu, sety prechádzajúce do stavu „Končí sa") a ďalšie marketingové správy opísané v bode 2.6 bolo možné filtrovať alebo prioritizovať podľa tém, s ktorými skutočne interagujete.
  • Právny základ: Váš súhlas — čl. 6 ods. 1 písm. a) GDPR. Žiadny záznam o zobrazení témy sa nevytvorí, pokiaľ nie ste prihlásení A zároveň ste výslovne neudelili marketingový súhlas. Vypnutie marketingu okamžite zastaví ďalšie zaznamenávanie zobrazení tém; existujúce záznamy vypršia podľa vlastného harmonogramu nižšie. Anonymní návštevníci a prihlásení používatelia, ktorí nevyjadrili súhlas, nikdy nemajú vytvorené záznamy o zobrazení tém.
  • Doba uchovávania: 90 dní. Záznamy o zobrazení tém staršie ako 90 dní sú automaticky vymazávané dennou plánovanou úlohou. 90-dňové okno zodpovedá 30-dňovému oknu recencie používanému vo Vašich segmentačných atribútoch Brevo (pozri bod 2.6) s rezervou na operačné prepracovanie. Pri zmazaní účtu sa všetky Vaše záznamy o zobrazení tém odstránia spolu s účtom.

3. Príjemcovia údajov (sprostredkovatelia)

Osobné údaje zdieľame iba so sprostredkovateľmi a samostatnými službami uvedenými nižšie, pričom každý z nich poskytuje primeranú úroveň ochrany údajov. Údaje sa nikdy nepredávajú tretím stranám.

3.1 Hostingová infraštruktúra

  • Laravel Holdings Inc. — 60 Broad Street, 24th Floor, #1559, New York, NY 10004, USA. Poskytuje platformu na správu serverov („Laravel Forge"), prostredníctvom ktorej Službu prevádzkujeme. Úloha: sprostredkovateľ. Podmienky: laravel.com/legal/forge-terms. Trust Center: trust.laravel.com.
  • DigitalOcean, LLC — 105 Edgeview Drive, Suite 425, Broomfield, CO 80021, USA. Prevádzkuje podkladový virtuálny server, na ktorom Služba beží. Server sa nachádza v dátovom centre vo Frankfurte (Nemecko). Úloha: sprostredkovateľ. Zmluva o spracúvaní údajov: digitalocean.com/legal/data-processing-agreement. Zásady ochrany osobných údajov: digitalocean.com/legal/privacy-policy.

3.2 Doručovanie e-mailov

  • Sendinblue SAS (Brevo) — 17 rue Salneuve, 75017 Paríž, Francúzsko. Doručuje transakčné e-maily a — ak ste udelili marketingový súhlas — ukladá Váš kontaktný záznam so segmentačnými atribútmi uvedenými v bode 2.6, spravuje Vaše členstvo v našich kontaktných zoznamoch podľa trhu, prijíma serverové spúšťacie udalosti pracovných postupov (ako registrácia, overenie e-mailu, pridanie do zoznamu prianí, upozornenie na pokles ceny a tri spúšťače týždenných prehľadov životného cyklu produktov: novo oznámené sety, sety nanovo dostupné na predobjednávku alebo kúpu, sety prechádzajúce do stavu „Končí sa") a odosiela z nich vyplývajúce marketingové správy. Úloha: sprostredkovateľ. Údaje sú spracúvané v rámci Európskej únie. Zásady ochrany osobných údajov: brevo.com/legal/privacypolicy. Zodpovedná osoba: [email protected].

3.3 Poskytovatelia identity

  • Google Ireland Limited — Gordon House, Barrow Street, Dublin 4, Írsko. Poskytuje „Prihlásenie cez Google". Úloha: samostatný prevádzkovateľ pre autentifikačný tok, sprostredkovateľ pre informácie vrátené nám. Zásady ochrany osobných údajov: policies.google.com/privacy.
  • Meta Platforms Ireland Limited — Merrion Road, Dublin 4, D04 X2K5, Írsko. Poskytuje „Prihlásenie cez Facebook". Úloha: samostatný prevádzkovateľ pre autentifikačný tok, sprostredkovateľ pre informácie vrátené nám. Zásady ochrany osobných údajov: facebook.com/privacy/policy.

3.4 Analytika a reklama

  • Google Ireland Limited — ako vyššie. Poskytuje Google Analytics 4, Google Tag Manager a Google Ads. Úloha: sprostredkovateľ pre Google Analytics; spoločný/samostatný prevádzkovateľ pre Google Ads, v závislosti od produktu. Dokumentácia Consent Mode v2: support.google.com/analytics/answer/9976101. Aktuálne informácie o cookies používaných reklamnými produktmi Google: business.safety.google/adscookies.
  • Meta Platforms Ireland Limited — ako vyššie. Poskytuje Meta (Facebook) Pixel a Meta Ads. Úloha: spoločný prevádzkovateľ s nami (podľa prípadu SDEÚ C-40/17, Fashion ID) pre Pixel. Informácie o spoločnom prevádzkovaní sú dostupné prostredníctvom podmienok obchodných nástrojov Meta. Aktuálne informácie o cookies používaných Metou: facebook.com/privacy/policies/cookies.

4. Medzinárodné prenosy údajov

Osobné údaje, ktoré spracúvame, sú uchovávané prevažne na serveroch umiestnených v Európskej únii (Frankfurt, Nemecko). Niektorí z príjemcov uvedených v bode 3 sú usadení v krajinách mimo Európskeho hospodárskeho priestoru (najmä v Spojených štátoch) alebo do nich údaje prenášajú.

Pri akomkoľvek takomto prenose sa opierame o jedno alebo viaceré z nasledujúcich záruk podľa kapitoly V GDPR:

  • Štandardné zmluvné doložky Európskej komisie (rozhodnutie (EÚ) 2021/914) zapracované do zmluvy o spracúvaní údajov každého poskytovateľa.
  • Rozhodnutie o primeranosti rámca EÚ–USA pre ochranu údajov z 10. júla 2023, ak je príjemca v rámci tohto rámca samostatne certifikovaný.

Kópiu príslušných záruk si môžete vyžiadať e-mailom.

5. Vaše práva podľa GDPR

Vo vzťahu k Vašim osobným údajom máte tieto práva:

  • Právo na prístup (čl. 15) — získať potvrdenie, či o Vás spracúvame osobné údaje, a ak áno, kópiu týchto údajov.
  • Právo na opravu (čl. 16) — dať opraviť alebo doplniť nepresné osobné údaje.
  • Právo na vymazanie / „právo byť zabudnutý" (čl. 17) — dať vymazať Vaše osobné údaje, s obmedzeniami podľa čl. 17 ods. 3. Vymazanie si môžete kedykoľvek spustiť sami v nastaveniach účtu.
  • Právo na obmedzenie spracúvania (čl. 18) — požiadať nás o obmedzenie spracúvania v určených situáciách.
  • Právo na prenosnosť údajov (čl. 20) — získať svoje osobné údaje v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a preniesť ich inému prevádzkovateľovi.
  • Právo namietať (čl. 21) — namietať voči spracúvaniu, ktoré sa opiera o náš oprávnený záujem (bod 2.7, ochranná lehota v bode 2.9, bod 2.11).
  • Právo odvolať súhlas (čl. 7 ods. 3) — ak je spracúvanie založené na súhlase (body 2.4, 2.6, 2.12, 2.13), môžete ho kedykoľvek odvolať. Odvolaním nie je dotknutá zákonnosť spracúvania, ktoré sa uskutočnilo pred odvolaním.
  • Právo nebyť predmetom automatizovaného individuálneho rozhodovania (čl. 22) — nerozhodujeme o Vás výlučne na základe automatizovaného spracúvania, ktoré má právne alebo podobne významné účinky.
  • Právo podať sťažnosť dozornému orgánu (čl. 77) — pozri bod 11.

Ako uplatniť svoje práva

Napíšte nám na [email protected] z e-mailovej adresy priradenej k Vášmu účtu alebo použite príslušnú akciu v nastaveniach Vášho účtu. Odpovieme do 30 dní od prijatia zrozumiteľnej žiadosti. Ak je žiadosť zložitá, môžeme túto lehotu predĺžiť o ďalšie dva mesiace a počas prvých 30 dní Vás o predĺžení informujeme. Uplatnenie Vašich práv je bezplatné; primeraný poplatok môžeme účtovať alebo žiadosť odmietnuť len vtedy, ak je zjavne neopodstatnená alebo neprimeraná (čl. 12 ods. 5 GDPR).

Na Vašu ochranu Vás môžeme pred odpoveďou požiadať o overenie totožnosti — zvyčajne tak, že potvrdíte, že viete konať z príslušného účtu.

6. Súbory cookies

Služba používa súbory cookies a podobné technológie. Cookies sú rozdelené do troch kategórií — striktne nevyhnutné, analytické a marketingové — a každá kategória sa riadi Vašimi voľbami v banneri súhlasu s cookies. Spracovateľské činnosti stojace za analytickými a marketingovými cookies — vrátane účelov, právneho základu a dĺžky uchovávania — sú popísané v bodoch 2.12 a 2.13 vyššie.

Úplný zoznam cookies, ktoré nastavujeme a čítame, ich trvanie a spôsob, akým môžete kedykoľvek zmeniť svoje voľby, nájdete v samostatných Zásadách používania súborov cookies.

7. Postup pri porušení ochrany osobných údajov

Ak dôjde k porušeniu ochrany osobných údajov, ktoré pravdepodobne povedie k riziku pre Vaše práva a slobody, bez zbytočného odkladu — a ak je to možné, do 72 hodín od okamihu, keď sa o porušení dozvieme — oznámime to príslušnému dozornému orgánu (NAIH), ako vyžaduje čl. 33 GDPR. Ak porušenie pravdepodobne povedie k vysokému riziku pre Vaše práva a slobody, bez zbytočného odkladu Vás o tom priamo upovedomíme aj my, podľa čl. 34 GDPR. Vedieme interný register všetkých porušení, bez ohľadu na oznamovaciu povinnosť.

8. Bezpečnosť údajov

Prijímame primerané technické a organizačné opatrenia na ochranu Vašich osobných údajov pred neoprávneným prístupom, stratou, zmenou alebo sprístupnením, v súlade s čl. 32 GDPR. Patria sem:

  • HTTPS s HTTP Strict Transport Security (HSTS) na všetkých doménach.
  • Heslá sú uložené ako bcrypt hashe — heslá v otvorenej podobe sa nikdy neukladajú ani nelogujú.
  • IP adresy sú uložené iba ako kľúčované hashe HMAC-SHA256; kľúč hashu sa rotuje nezávisle od databázy.
  • API tokeny a inštalačné tokeny sú uložené iba ako hashe HMAC-SHA256.
  • Reláciové súbory cookies označené ako Secure, HttpOnly a SameSite=Lax.
  • Serverová ochrana CSRF pri všetkých webových požiadavkách meniacich stav a rýchlostné limity API na klienta, inštaláciu a autentifikovaného používateľa.
  • Ochrana pred útokmi hrubou silou na prihlasovacom endpointe (limity na e-mail / inštaláciu / hodinu).
  • Pravidelné bezpečnostné aktualizácie serverového operačného systému a závislostí aplikácie.
  • Prístup do produkčného prostredia obmedzený na prevádzkovateľa; všetci sprostredkovatelia uvedení v bode 3 podpísali zmluvu o spracúvaní údajov alebo prijali rovnocenné zmluvné podmienky.
  • Aplikačné logy sa rotujú a po 14 dňoch sa vymazávajú.

9. Deti

Služba nie je určená deťom. Ak máte menej ako 16 rokov, nesmiete Službu používať ani si vytvoriť účet bez súhlasu rodiča alebo zákonného zástupcu, ako vyžaduje čl. 8 GDPR a § 6 ods. 3 maďarského zákona Infotv. Ak sa dozvieme, že sme zhromaždili osobné údaje od dieťaťa bez riadneho oprávnenia, bezodkladne ich vymažeme.

10. Automatizované rozhodovanie a profilovanie

Nevykonávame automatizované rozhodovanie, ktoré by o Vás vyvolávalo právne alebo podobne významné účinky v zmysle čl. 22 GDPR. Používame agregované, neindividuálne profilovanie na zobrazovanie modelovanej reklamy (Google Ads, Meta Ads) a na usporiadanie produktov v zoznamoch; toto profilovanie nikdy nevedie k rozhodnutiu s právnym účinkom a vždy podlieha Vášmu súhlasu (pozri bod 2.13).

11. Právne prostriedky

Ak sa domnievate, že naše spracúvanie Vašich osobných údajov porušuje GDPR alebo maďarské predpisy o ochrane osobných údajov, máte právo:

  1. Kontaktovať najprv nás na [email protected] — preveríme vec a odpovieme do 30 dní.
  2. Podať sťažnosť dozornému orgánu:
    • Národný úrad pre ochranu osobných údajov a slobodu informácií Maďarska (NAIH)
    • Adresa: 1055 Budapešť, Falk Miksa utca 9–11, Maďarsko
    • Poštová adresa: 1363 Budapešť, P.O. Box 9
    • Telefón: +36 (1) 391-1400
    • E-mail: [email protected]
    • Webová stránka: naih.hu
    • Sťažnosť môžete podať aj dozornému orgánu členského štátu EÚ, v ktorom máte zvyčajný pobyt, pracujete, alebo kde došlo k údajnému porušeniu.
  3. Domáhať sa súdnej nápravy na príslušnom súde v mieste Vášho zvyčajného pobytu alebo v mieste zvyčajného pobytu prevádzkovateľa (maďarské súdy pri nárokoch voči nám), podľa čl. 78 – 79 GDPR.

12. Zmeny týchto zásad

Tieto zásady ochrany osobných údajov môžeme z času na čas aktualizovať, aby odrážali zmeny v Službe, v platných právnych predpisoch alebo u našich sprostredkovateľov. Keď vykonáme podstatné zmeny, aktualizujeme dátum „Naposledy aktualizované" v hornej časti tejto stránky, a ak sa zmena dotýka spracovateľskej činnosti založenej na Vašom súhlase, požiadame Vás o obnovenie súhlasu. Odporúčame Vám pravidelne si túto stránku prezerať.

13. Kontakt

V prípade akejkoľvek otázky týkajúcej sa týchto zásad ochrany osobných údajov alebo Vašich osobných údajov nás, prosím, kontaktujte:

  • E-mail: [email protected]
  • Poštová adresa: Geiger Tamás e.v., Váci út 83/A 2/208, 1044 Budapešť, Maďarsko