Ochrana osobných údajov

Pravidlá spracovania osobných údajov v aplikácii Štáb.

Verzia 1.0 Účinnosť: 1. máj 2026 Správca: FioArt s. r. o.

Poznámka. Tento dokument bol pripravený ako shell. Pred produkčným nasadením odporúčame právnu kontrolu autorizovaným právnikom alebo DPO špecialistom.

1. Správca osobných údajov

Správcom osobných údajov v zmysle Nariadenia (EÚ) 2016/679 (GDPR) a zákona č. 18/2018 Z. z. o ochrane osobných údajov je:

FioArt s. r. o. — IČO 56 968 574, DIČ 2122519905, prevádzkovateľ aplikácie Štáb
Kontakt: info@stab.sk
Lokalita serverov: Slovenská republika (EÚ)

Aplikácia Štáb (ďalej len „Služba") je B2B nástroj na riadenie úloh a internú komunikáciu, prevádzkovaný na vlastnej infraštruktúre. Nie je to verejná cloudová služba a údaje neprenášame tretím stranám okrem prípadov uvedených nižšie.

2. Aké údaje spracúvame

2.1 Údaje účtu

Identifikačné údaje: e-mailová adresa, meno, priezvisko
Heslo: uložené ako bcrypt hash, nikdy nie v otvorenej podobe
Dvojfaktorové overenie (2FA): TOTP kľúč šifrovaný symetricky algoritmom AES-256-GCM, recovery kódy uložené ako SHA-256 hash

2.2 Obsah vytvorený používateľom

Úlohy, kalendárové záznamy, podujatia
Chatové správy a prílohy
Súbory, fotografie a galérie nahrané do Služby
Stretnutia, výkazy práce, oddelenia a tímové štruktúry

2.3 Bezpečnostné a prevádzkové dáta

Audit log: IP adresa, user agent, vykonané akcie (prihlásenie, vytvorenie, úprava, mazanie). IP adresy sa anonymizujú po 12 mesiacoch. Záznamy sú na úrovni databázy append-only a uchovávajú sa neobmedzene na účely compliance a forenznej analýzy (po anonymizácii IP).
Technické cookies: JWT autentifikačný token, CSRF token, identifikátor session
Mobilná aplikácia: device token Firebase Cloud Messaging (FCM) pre doručovanie push notifikácií

3. Účel spracovania

Poskytovanie funkcií task managementu a internej komunikácie
Autentifikácia a riadenie prístupu
Doručovanie push notifikácií na mobilné zariadenia
Audit a bezpečnosť (detekcia zneužitia, recovery účtu)
Poskytovanie technickej podpory

4. Právny základ

Údaje spracúvame na základe:

Čl. 6 ods. 1 písm. b) GDPR — plnenie zmluvy so zamestnávajúcou firmou (B2B vzťah). Prístup do Služby je viazaný na pracovný vzťah s organizáciou, ktorá si Službu objednala.
Čl. 6 ods. 1 písm. f) GDPR — oprávnený záujem na zaistení bezpečnosti, audite prístupov a prevencii zneužitia.
Čl. 6 ods. 1 písm. c) GDPR — plnenie zákonných povinností (napr. evidencia v účtovníctve).

5. Doba uchovávania

Aktívny obsah: po dobu trvania predplatného organizácie
Vymazaný obsah (Kôš): 30 dní od vymazania, potom natrvalo odstránený
Audit log: append-only, IP adresy anonymizované po 12 mesiacoch; samotné záznamy sa uchovávajú neobmedzene pre účely compliance
Zálohy: 30 dní (šifrované AES-256, rotácia)
Účtovné doklady: 10 rokov v zmysle zákona o účtovníctve

6. Príjemcovia údajov

Vaše údaje nepredávame ani neprenášame tretím stranám na marketingové účely. Spracovateľmi v zmysle GDPR sú výlučne:

Google LLC (Firebase Cloud Messaging) — výhradne na doručovanie push notifikácií. Prenáša sa iba device token a samotná notifikácia (názov + krátky text). Plný obsah správ ostáva na našom serveri.
Brevo SAS (newsletter a marketing emaily) — synchronizujeme emaily, mená a stav prihlásenia odberateľov newsletteru do Brevo Contact Lists. Brevo servery sú v EÚ (Francúzsko). DPA k dispozícii na vyžiadanie. Užívateľ môže súhlas kedykoľvek zrušiť cez unsubscribe link v pätičke každého emailu.
Apple Inc. / Google LLC (App Store, Google Play) — pri inštalácii aplikácie cez ich obchody platia ich vlastné zásady spracovania.

Žiadne analytické nástroje, advertising SDK ani trackingové platformy nepoužívame.

7. Vaše práva

V zmysle čl. 15 – 22 GDPR máte právo na:

Prístup k Vašim osobným údajom (čl. 15)
Opravu nesprávnych údajov (čl. 16)
Výmaz ("právo na zabudnutie", čl. 17) — dostupné v sekcii Môj účet → Vymazať účet
Obmedzenie spracovania (čl. 18)
Prenosnosť údajov v štruktúrovanom formáte (čl. 20)
Námietku proti spracovaniu na základe oprávneného záujmu (čl. 21)
Sťažnosť na dozorný orgán — Úrad na ochranu osobných údajov SR (dataprotection.gov.sk)

Žiadosti vybavíme bez zbytočného odkladu, najneskôr do 30 dní. Pre uplatnenie práv kontaktujte info@stab.sk.

8. Cookies

Služba používa výhradne technické cookies nevyhnutné pre fungovanie:

auth_token — JWT autentifikačný token (HttpOnly, Secure, SameSite=Lax)
csrf_token — ochrana proti CSRF útokom
theme — preferencia svetlého/tmavého režimu (localStorage)

Žiadne marketingové, analytické ani trackingové cookies nepoužívame. Súhlas s cookies nie je vyžadovaný, keďže ide o technicky nevyhnutné cookies.

9. Bezpečnostné opatrenia

Komunikácia výhradne cez HTTPS (TLS 1.2+)
Heslá hashované algoritmom bcrypt (cost 12)
Voliteľné dvojfaktorové overenie (2FA) cez TOTP
Zálohy šifrované AES-256-GCM, kľúče oddelene
Antivírusová kontrola nahrávaných súborov (ClamAV)
Rate limiting a ochrana proti brute-force útokom
Kompletný audit log kritických operácií
Pravidelné bezpečnostné aktualizácie a monitoring

10. Medzinárodné prenosy

Servery a zálohy sú umiestnené výhradne na území Slovenskej republiky (Európska únia). Vaše údaje neopúšťajú EÚ s výnimkou push notifikácií doručovaných cez Firebase Cloud Messaging (Google), kde sa prenáša len device token a krátky text notifikácie.

11. Oznámenie o porušení ochrany osobných údajov

V prípade narušenia bezpečnosti osobných údajov:

Notifikujeme Úrad na ochranu osobných údajov SR (ÚOOÚ) do 72 hodín od zistenia v zmysle čl. 33 GDPR.
Notifikujeme dotknutých používateľov bez zbytočného odkladu, ak narušenie pravdepodobne predstavuje vysoké riziko pre ich práva a slobody (čl. 34 GDPR).
Kontakt pre incident response: info@stab.sk
Vedieme interný register incidentov vrátane chronológie udalostí, dotknutých dát a vykonaných nápravných opatrení.

12. Zmeny tejto politiky

Túto politiku môžeme z času na čas aktualizovať. O podstatných zmenách Vás upozorníme aspoň 30 dní vopred e-mailom alebo notifikáciou v aplikácii. Aktuálna verzia je vždy dostupná na tejto adrese.

13. Kontakt

Otázky, žiadosti alebo sťažnosti týkajúce sa ochrany osobných údajov:

E-mail: info@stab.sk
Dozorný orgán: Úrad na ochranu osobných údajov SR — dataprotection.gov.sk

Privacy Policy

How the Štáb application processes personal data.

Version 1.0 Effective: 1 May 2026 Controller: FioArt s. r. o.

Note. This document was prepared as a shell. We recommend a legal review by a qualified attorney or DPO specialist before production deployment.

1. Data Controller

Pursuant to Regulation (EU) 2016/679 (GDPR) and Slovak Act No. 18/2018 on personal data protection, the controller is:

FioArt s. r. o. — Company ID 56 968 574, VAT ID 2122519905, operator of the Štáb application
Contact: info@stab.sk
Server location: Slovak Republic (EU)

Štáb (the "Service") is a B2B task management and internal communication tool, operated on our own infrastructure. It is not a public cloud service and data is not transferred to third parties except as listed below.

2. Data We Collect

2.1 Account data

Identification: email address, first name, last name
Password: stored as bcrypt hash, never in plaintext
Two-factor authentication (2FA): TOTP secret encrypted with AES-256-GCM, recovery codes stored as SHA-256 hashes

2.2 User-generated content

Tasks, calendar entries, public events
Chat messages and attachments
Files, photos and galleries uploaded to the Service
Meetings, time tracking, departments and team structure

2.3 Security and operational data

Audit log: IP address, user agent, performed actions (login, create, edit, delete). IP addresses are anonymised after 12 months. Entries are append-only at the database level and retained indefinitely for compliance and forensic purposes (with IP anonymised).
Technical cookies: JWT authentication token, CSRF token, session identifier
Mobile app: Firebase Cloud Messaging (FCM) device token used to deliver push notifications

3. Purpose of Processing

Providing task management and internal communication features
Authentication and access control
Delivery of push notifications to mobile devices
Audit and security (abuse detection, account recovery)
Technical support

4. Legal Basis

GDPR Art. 6(1)(b) — performance of a contract with the employing organisation (B2B). Access to the Service is bound to an employment relationship with the customer organisation.
GDPR Art. 6(1)(f) — legitimate interest in security, access auditing and abuse prevention.
GDPR Art. 6(1)(c) — compliance with legal obligations (e.g. accounting records).

5. Retention

Active content: for the duration of the organisation's subscription
Deleted content (Trash): 30 days after deletion, then permanently removed
Audit log: append-only, IP addresses anonymised after 12 months; entries themselves retained indefinitely for compliance
Backups: 30 days (AES-256 encrypted, rotated)
Accounting records: 10 years per Slovak Accounting Act

6. Recipients

We do not sell or transfer your data to third parties for marketing purposes. The only processors under GDPR are:

Google LLC (Firebase Cloud Messaging) — solely for push notification delivery. Only the device token and the notification itself (title + short text) are transmitted. Full message content remains on our server.
Brevo SAS (newsletter and marketing emails) — we sync subscriber emails, names and opt-in status to Brevo Contact Lists. Brevo servers are located in the EU (France). DPA available on request. Users may revoke consent at any time via the unsubscribe link in the footer of every email.
Apple Inc. / Google LLC (App Store, Google Play) — when installing the app via their stores, their own privacy policies apply.

We do not use any analytics tools, advertising SDKs or tracking platforms.

7. Your Rights

Under GDPR Art. 15–22 you have the right to:

Access your personal data (Art. 15)
Rectification of inaccurate data (Art. 16)
Erasure ("right to be forgotten", Art. 17) — available in My Account → Delete Account
Restriction of processing (Art. 18)
Data portability in a structured format (Art. 20)
Object to processing based on legitimate interest (Art. 21)
Lodge a complaint with the supervisory authority — Office for Personal Data Protection of the Slovak Republic (dataprotection.gov.sk)

Requests will be handled without undue delay, no later than within 30 days. To exercise your rights, contact info@stab.sk.

8. Cookies

The Service uses strictly necessary technical cookies only:

auth_token — JWT authentication token (HttpOnly, Secure, SameSite=Lax)
csrf_token — CSRF protection
theme — light/dark mode preference (localStorage)

No marketing, analytics or tracking cookies are used. Cookie consent is not required as these are strictly necessary.

9. Security

All traffic over HTTPS (TLS 1.2+)
Passwords hashed with bcrypt (cost 12)
Optional two-factor authentication (2FA) via TOTP
Backups encrypted with AES-256-GCM, keys stored separately
Antivirus scanning of uploaded files (ClamAV)
Rate limiting and brute-force protection
Comprehensive audit log of critical operations
Regular security updates and monitoring

10. International Transfers

Servers and backups are located exclusively in the Slovak Republic (European Union). Your data does not leave the EU, except for push notifications delivered via Firebase Cloud Messaging (Google), where only the device token and short notification text are transmitted.

11. Data Breach Notification

In the event of a personal data breach:

We will notify the Slovak Office for Personal Data Protection within 72 hours of becoming aware, pursuant to GDPR Art. 33.
We will notify affected users without undue delay where the breach is likely to result in a high risk to their rights and freedoms (GDPR Art. 34).
Incident response contact: info@stab.sk
We maintain an internal incident register documenting the timeline of events, affected data and remediation measures taken.

12. Changes to This Policy

We may update this policy from time to time. We will notify you of material changes at least 30 days in advance by email or in-app notification. The current version is always available at this URL.

13. Contact

Questions, requests or complaints regarding personal data protection:

Email: info@stab.sk
Supervisory authority: Office for Personal Data Protection of the Slovak Republic — dataprotection.gov.sk