Ochrana osobných údajov

Prevádzkovateľom v zmysle čl. 4 ods. 7 GDPR je Digitálny Inovátor, s. r. o., so sídlom Záhradná ulica 10017/27, 917 08 Trnava, IČO 54 085 543, zapísaná v Obchodnom registri Okresného súdu Trnava, oddiel Sro, vložka č. 50020/T. Dotknutou osobou je každý používateľ služby grantus, ktorý si zriadi účet alebo využíva integrácie (API kľúč, MCP server, OAuth pripojenia na HubSpot/Pipedrive/Notion).

Zodpovedná osoba pre ochranu údajov: gdpr@grantus.sk.

• Identifikačné a kontaktné: e-mail účtu, meno (voliteľné), názov organizácie, voliteľne IČO (na /opravnenost eligibility wizard).
• Prevádzkové: prihlasovacie udalosti, IP adresa pri prihlasovaní (uchovávané 30 dní pre bezpečnostný audit), zoznam vytvorených watchdogov, použitie API.
• Platobné: nezadávame, ani neukládame údaje platobnej karty — tie spracuje payment provider (Stripe; bude doplnený v ďalšom release). Uchovávame fakturačnú adresu a IČO/DIČ na vystavenie faktúry.
• OAuth tokeny: pri pripojení HubSpot/Pipedrive/Notion uchovávame access + refresh token a workspace identifier. Nikdy nečítame obsah mimo cieľovej databázy/CRM objektu, ktorý vyberiete.

• Plnenie zmluvy (čl. 6 ods. 1 písm. b GDPR) — prevádzka služby, vystavenie faktúr, technická podpora.
• Oprávnený záujem (čl. 6 ods. 1 písm. f) — bezpečnostný monitoring, rate-limiting, prevencia zneužitia.
• Súhlas (čl. 6 ods. 1 písm. a) — newsletter / marketing komunikácia (ak sa prihlásite); odvolateľný kedykoľvek e-mailom alebo cez odhlasovací link v každej správe.
• Zákonná povinnosť (čl. 6 ods. 1 písm. c) — archivácia účtovných dokladov 10 rokov.

Vaše údaje spracúvajú v našom mene títo sub-spracovatelia:

• Hostinger Cloud (EÚ región) — hostovanie databáz, súborového úložiska a aplikačných serverov.
• Resend — odosielanie transakčných a notifikačných e-mailov.
• Anthropic — AI klasifikácia výziev (Claude API). Posielame iba public obsah výzvy + vašu eligibility query; neposielame e-mail ani kontaktné údaje.
• Voyage AI — generovanie embeddings pre semantické vyhľadávanie.
• Sentry (EÚ región) — monitoring chýb backendu a frontendu. Posielame stack trace + voliteľný trace id; nezadávame request body, query string, ani prihlasovacie údaje.
• PostHog (EÚ inštancia eu.posthog.com) — produktová analytika, funnely, retencia. IP adresa nie je posielaná, autocapture je vypnutý, posielame iba explicitne pomenované udalosti (signup, paywall hit, watchdog created, atď). Respektuje Do Not Track.
• Better Stack (EÚ región) — uptime monitoring + log shipping. Loguje pino-JSON štruktúru (žiadne request bodies / form payloads).
• Stripe (po spustení platieb) — spracovanie platieb, uchovávanie údajov karty.

Aktuálny verzionovaný zoznam s dátumami zaradenia udržiavame v /dpa/subprocessors; samotná DPA žije na /dpa.

• Účet a obsah — počas trvania platnosti predplatného alebo do vašej žiadosti o vymazanie.
• Po zmazaní účtu — backup retention max. 30 dní; po uplynutí definitívne odstránené z primárnych databáz aj záloh.
• Účtovné doklady — 10 rokov podľa zákona č. 431/2002 Z. z.
• Audit log a IP záznamy — 30 dní.

Podľa čl. 15–22 GDPR máte právo:

• na prístup k svojim údajom a ich kópiu (čl. 15),
• na opravu nepresných údajov (čl. 16),
• na vymazanie („zabudnutie") — z admin UI „Zmazať účet" alebo e-mailom (čl. 17),
• na obmedzenie spracovania (čl. 18),
• na prenositeľnosť — strojovo čitateľný JSON export (čl. 20),
• namietať proti spracovaniu na základe oprávneného záujmu (čl. 21),
• podať sťažnosť na Úrad na ochranu osobných údajov SR.

Technické cookies — povinné pre prevádzku Služby: autentifikačná session (authjs.session-token), CSRF token, paywall counter (grantus_paywall_v1). Bez nich Služba nemôže fungovať; nezbierajú sa skrz ne identifikačné údaje.

Analytické cookies — voliteľné, používané iba ak máte v prehliadači vypnutú voľbu „Do Not Track" a zároveň ste prihlásení. PostHog ukladá anonymný ph_* distinct id, ktorý je po prihlásení spojený s vaším účtom kvôli reportingu vlastných používateľských ciest. Nepoužívame reklamné, ani retargeting cookies.

Cookies analytickej kategórie môžete kedykoľvek odstrániť cez nastavenia prehliadača; ďalšie zbieranie udalostí zastavíme nastavením DNT.

Pre nahlasovanie zraniteľností používame štandard RFC 9116. Detaily na /security.txt.