Zásady ochrany osobných údajov CardMadeEasy.com
Verzia: 1.2 (Beta — Phase 8+ security + auctions + analytics) Účinnosť: 1. jún 2026 Posledná aktualizácia: 22. jún 2026
📌 Poznámka: Platforma je v režime Lean Beta. Spracovateľské činnosti môžu byť počas tejto fázy upravované — o každej zmene budete vopred informovaní emailom. Pre stručný prehľad vašich práv viď GDPR poučenie.
1. Kto sme (Prevádzkovateľ)
1.1. Prevádzkovateľom osobných údajov v zmysle čl. 4 ods. 7 Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 (ďalej len „GDPR") a zákona č. 18/2018 Z. z. o ochrane osobných údajov (ďalej len „Zákon o OOÚ") je:
Marketing support s.r.o. Sídlo: Studenohorská 67, 841 03 Bratislava, Slovenská republika IČO: 36 823 937 DIČ: 2022437153 IČ DPH: SK2022437153 Zapísaná v Obchodnom registri Mestského súdu Bratislava III, oddiel Sro, vložka č. 47594/B Kontaktný email: [email protected] Email pre ochranu osobných údajov: [email protected] (ďalej len „Prevádzkovateľ").
1.2. Tieto Zásady ochrany osobných údajov (ďalej len „Zásady") sa vzťahujú na všetky osobné údaje, ktoré spracúvame v súvislosti s prevádzkou marketplace-u CardMadeEasy.com (ďalej len „Platforma").
1.3. Poverenec pre ochranu osobných údajov (DPO) v zmysle čl. 37 GDPR nie je menovaný — Prevádzkovateľ nespĺňa kritériá podľa čl. 37 ods. 1 GDPR (nie je orgán verejnej moci, hlavné činnosti nezahŕňajú rozsiahle a systematické monitorovanie ani spracovanie osobitných kategórií). Kontaktnou osobou pre otázky ochrany údajov je Prevádzkovateľ ako celok cez email [email protected].
2. Aké osobné údaje spracúvame
2.1. Pri registrácii a vedení účtu:
- emailová adresa,
- zašifrované heslo (hash bcrypt),
- zobrazované meno (môže byť pseudonym),
- časová pečiatka registrácie,
- IP adresa pri registrácii a prihláseniach (audit log),
- jazyková preferencia (default: sk),
- (voliteľne) nastavenia dvojfaktorovej autentifikácie (TOTP secret, recovery kódy — všetko šifrované).
2.2. Pri overovaní Predávajúceho (Stripe Connect KYC):
- meno a priezvisko,
- dátum narodenia,
- národnosť,
- adresa trvalého pobytu,
- (pre vyššie objemy alebo na vyžiadanie Stripe) doklad totožnosti (občiansky preukaz, pas),
- daňové identifikačné údaje (TIN — Rodné číslo / iné identifikátory vyžadované Stripe-om),
- údaje o bankovom účte pre payouts (IBAN, názov banky),
- selfie pre overenie (ak Stripe vyžaduje).
Poznámka: KYC údaje nespracúvame priamo my — sú odovzdávané Stripe-u ako spracovateľovi. Stripe samostatne vystupuje ako prevádzkovateľ pre účely AML/KYC compliance. Detaily viď v Privacy Center Stripe: https://stripe.com/privacy.
2.3. Pri vytvorení a správe Listing-ov:
- údaje o ponúkaných kartách (meno karty, edícia, cena, jazyk, stav),
- fotografie kariet (uložené v Cloudflare R2),
- popis Listing-u napísaný Predávajúcim.
2.4. Pri Transakciách:
- prepojenie Kupujúci ↔ Predávajúci ↔ Listing,
- výška platby a mena,
- stav Transakcie (pending, paid_in_escrow, shipped, delivered, released, refunded, disputed),
- doručovacia adresa Kupujúceho,
- tracking number a prepravca,
- (voliteľne) komunikácia v rámci reklamácie.
2.5. Technické a logové údaje:
- IP adresa pri každom prihlásení a kľúčových akciách (vytvorenie Listing-u, platba, reklamácia),
- typ a verzia prehliadača (User-Agent),
- časové pečiatky činností,
- logy chýb (bez priamych osobných údajov),
- cookies (viď bod 10).
2.6. Pri komunikácii s podporou:
- obsah emailov a správ poslaných na podporu,
- údaje, ktoré dobrovoľne uvediete v komunikácii.
2.7. Z platobného systému Stripe (sprostredkované, nie priamo nami spracovávané):
- maskovaný číslo platobnej karty (last 4 digits, brand),
- typ použitej platobnej metódy,
- výsledok platby a Stripe transaction ID.
Plné údaje o platobnej karte (PAN, CVV) sa nikdy nedostanú na naše servery — sú spracovávané priamo Stripe-om v PCI-DSS Level 1 prostredí.
2.8. Engagement features (Phase 3):
a) Interná komunikácia (chat per-transakcia):
- obsah správ medzi Kupujúcim a Predávajúcim v rámci konkrétnej Transakcie,
- časové pečiatky odoslania a prečítania,
- ID Používateľov v rámci konverzácie.
Správy sú prístupné iba dvom stranám danej Transakcie + administrátorom pre účely moderácie reklamácií / sporov. Po uzavretí Transakcie ostávajú archivované 24 mesiacov pre prípad opätovného otvorenia sporu.
b) Osobná zbierka kariet (wishlist + owned):
- zoznam kariet, ktoré Používateľ vlastní alebo si želá kúpiť,
- voliteľné údaje per karta: stav, dátum nadobudnutia, poznámky, custom cena (override).
Zbierka je iba súkromná — viditeľná výhradne vlastníkovi účtu. Žiadne verejné collection URL, žiadne sharing s tretími stranami. Po vymazaní účtu sa zbierka okamžite a nezvratne maže.
c) Saved searches a wishlist alerty:
- uložené filtre vyhľadávania (názov, kritériá: hra/edícia/cena/stav),
- nastavenie aktívnosti (pause/resume),
- časová pečiatka posledného alertu (anti-spam marker — max 1 email/hod).
Slúžia na automatické emailové upozornenia, keď pribudne ponuka matchujúca uložené kritériá. Možno kedykoľvek vypnúť alebo zmazať.
d) Recenzie a hodnotenia Predávajúcich:
- hviezdičkové hodnotenie (1–5),
- voliteľný textový komentár,
- ID Predávajúceho a Transakcie, ku ktorej sa recenzia viaže.
Hodnotenia sú verejné na profile Predávajúceho — sú integrálnou súčasťou trust systému marketplace-u. Mienka Kupujúceho je chránená slobodou prejavu; abusívne recenzie môžu byť moderované.
e) Notifikačné preferencie (GDPR opt-out granular):
- per-kategória nastavenia (chat / wishlist / saved searches),
- audit log zmien preferencie.
Opt-out je vždy dostupný v sekcii „Notifikácie" v profile. Žiadnu kategóriu nemôžeme „vypnúť" zhora — používateľ si granular volí, čo chce dostávať.
f) Recently viewed cards (lokálny browsing history):
- posledných 12 navštívených kariet uložených v
localStorageprehliadača.
Nikdy sa neodosielajú na naše servery. Sú prístupné iba v rámci jedného browsera, slúžia výhradne na zlepšenie UX (carousel „Nedávno si si pozeral"). Po vymazaní cache prehliadača sa stratia. Nepatria pod cookie consent (nie sú PII).
2.9. Bezpečnostné funkcie (Phase 8–9):
a) Dvojfaktorová autentifikácia (TOTP):
- šifrovaný TOTP secret kľúč (AES),
- šifrované recovery kódy (jednorazové, 8 znakov),
- časová pečiatka aktivácie / poslednej zmeny.
2FA je voliteľné pre Používateľov a povinné pre administrátorov. Po vymazaní účtu sa nezvratne mažú.
b) Login activity log:
- zoznam posledných prihlásení (IP, user agent, krajina, časová pečiatka),
- flag „neznáme zariadenie" pri prvom prihlásení z nového IP / UA.
Slúži na detekciu neoprávneného prístupu — Používateľ vidí všetky aktívne prihlásenia v sekcii „Profil → Bezpečnostná aktivita" a môže si všimnúť, ak sa niekto cudzí pripojil do jeho účtu. Logy sú uchovávané 12 mesiacov, potom sa automaticky mažú.
c) Notifikácia o novom prihlásení (email):
- e-mail odoslaný pri prihlásení z doteraz nevideného zariadenia / IP,
- obsahuje IP, user agent, krajinu a presný čas.
Účel: bezpečnostný „heads-up" v prípade kompromitácie hesla. Nemožno vypnúť (oprávnený záujem — security).
2.10. Web Push notifikácie (Phase 14):
a) Push subscription:
- endpoint URL push servera (Google FCM / Mozilla autopush / Apple),
- verejné kľúče (
p256dh,auth) pre šifrovanú komunikáciu, - čas posledného použitia.
Push notifikácie sú opt-in — vyžadujú explicitný súhlas prehliadača aj toggle v profile. Možno kedykoľvek vypnúť (Profil → Notifikácie alebo v nastaveniach prehliadača). Po vypnutí sa subscription mažú.
2.11. Aukcie (Phase 14):
- história Vašich ponúk (auction bids): suma, časová pečiatka, ID aukcie,
- výsledné víťazstvá (ak ste získali aukciu, pre účely Transakcie),
- shill detection flagy (interné, viditeľné iba administrátorom — pre ochranu pred manipuláciou ceny).
Ponuky v rámci jednej aukcie sú verejné (zoznam najvyšších ponúk, bez emailov a osobných údajov — iba pseudonym). To je integrálna súčasť transparentnosti aukcií, ako pri eBay / TCG burzách.
2.12. AI rozpoznávanie kariet (Phase 14):
a) Pri vytváraní listingu môže Používateľ použiť tlačidlo „Rozpoznať fotkou", ktoré odošle fotografiu karty do Cloudflare Workers AI (model Llama 3.2 Vision) na rozpoznanie názvu karty a edície.
Fotografia je spracovaná stateless — Cloudflare ju nepoužíva na trénovanie modelu ani neukladá po vrátení výsledku. Detaily: viď DPA Cloudflare.
3. Účely spracovania a právne základy
| # | Účel spracovania | Právny základ (GDPR Art. 6) |
|---|---|---|
| 3.1 | Vytvorenie a vedenie účtu Používateľa | Plnenie zmluvy — čl. 6 ods. 1 písm. b) |
| 3.2 | Spracovanie Transakcie (platba, escrow, payout) | Plnenie zmluvy — čl. 6 ods. 1 písm. b) |
| 3.3 | Identifikácia Predávajúceho (Stripe KYC) | Plnenie právnej povinnosti — čl. 6 ods. 1 písm. c) (AML/CTF zákon č. 297/2008 Z. z.) |
| 3.4 | Fakturácia Provízie a vedenie účtovníctva | Plnenie právnej povinnosti — čl. 6 ods. 1 písm. c) (zákon č. 431/2002 Z. z. o účtovníctve, zákon č. 222/2004 Z. z. o DPH) |
| 3.5 | Riešenie reklamácií a sporov | Plnenie zmluvy + oprávnený záujem — čl. 6 ods. 1 písm. b), f) |
| 3.6 | Bezpečnosť účtov, audit log, ochrana pred zneužitím | Oprávnený záujem — čl. 6 ods. 1 písm. f) |
| 3.7 | Štatistické analýzy návštevnosti (bez profilovania) | Oprávnený záujem — čl. 6 ods. 1 písm. f) |
| 3.8 | Marketingové oznámenia (newslettre, nové funkcie) | Súhlas — čl. 6 ods. 1 písm. a) — dobrovoľný, kedykoľvek odvolateľný |
| 3.9 | Plnenie zákonných povinností (žiadosti orgánov verejnej moci) | Plnenie právnej povinnosti — čl. 6 ods. 1 písm. c) |
3.10. Prevádzkovateľ v Lean Beta nepoužíva profilovanie ani automatizované rozhodovanie s právnymi účinkami v zmysle čl. 22 GDPR.
4. Kategórie príjemcov údajov
Vaše osobné údaje sprístupňujeme iba v rozsahu nevyhnutnom pre plnenie účelov uvedených v bode 3 nasledovným kategóriám príjemcov:
4.1. Spracovatelia (processors)
| Spracovateľ | Účel | Krajina | Záruky |
|---|---|---|---|
| Stripe Payments Europe, Ltd. (DPA: https://stripe.com/legal/dpa) | Platobné spracovanie, escrow, KYC, payouts | Írsko / USA | DPA + Standard Contractual Clauses (SCC) pre transfer mimo EÚ |
| Zásilkovna s.r.o. („Packeta", DPA: https://www.zasilkovna.cz/gdpr) | Doprava zásielok cez Z-BOX/výdajné miesta, generovanie etikiet, tracking | Česká republika / EÚ | DPA podľa CZ + EÚ pravidiel |
| Packeta Slovakia s.r.o. | Doručovanie zásielok v rámci SR (regionálna dcérska spoločnosť Zásilkovny) | Slovensko | DPA podľa SK + EÚ pravidiel |
| Cloudflare, Inc. | DNS, CDN (Pages), object storage (R2), Web Analytics (pageviews, Web Vitals — bez cookies a bez identifikácie konkrétneho Používateľa; IP adresa je hashovaná, dáta sú agregované) | EÚ + USA | DPA + SCC |
| Websupport, s.r.o. | Hosting backend-u, hosting databázy, email SMTP | Slovensko | DPA podľa SK + EÚ pravidiel |
| Sentry (Functional Software, Inc.) | Error monitoring (zachytávanie technických chýb — IP, user agent, anonymizované stack trace; bez osobných údajov Používateľa) | USA | DPA + SCC |
| Cloudflare Workers AI | OCR rozpoznávanie kariet z nahranej fotografie (LLM Llama 3.2 Vision; fotografia je spracovaná stateless, neukladá sa) | EÚ + USA | DPA + SCC |
| GitHub, Inc. (Microsoft) | Verzia kódu (zdrojový kód platformy, nie osobné údaje Používateľov) | USA | DPA + SCC |
Údaje odovzdané Packete (per shipment): meno + priezvisko Kupujúceho, email, telefónne číslo, ID vybraného odberného miesta (Z-BOX/výdajňa). Účelom je doručenie zásielky a SMS/email notifikácie o stave doručenia. Údaje sa Packete neodovzdávajú pred okamihom úspešnej platby.
4.2. Tretie strany s prístupom (nie spracovatelia)
- Účtovník Prevádzkovateľa — pre účely účtovníctva a daňových povinností (faktúry Provízie);
- Daňový poradca / advokát — pri konkrétnych žiadostiach o právne stanovisko;
- Orgány verejnej moci — v rozsahu zákonných povinností (najmä daňový úrad, polícia pri trestnom konaní, ÚOOÚ SR).
4.3. Predávajúci ↔ Kupujúci
V rámci uskutočňovania Transakcie sa doručovacia adresa Kupujúceho sprístupní Predávajúcemu (potrebné pre odoslanie zásielky). Ostatné údaje (email, telefón) sa nesprístupňujú — komunikácia prebieha výhradne cez Platformu (v budúcich verziách).
5. Cezhraničný prenos údajov
5.1. Niektorí naši spracovatelia (Stripe, Cloudflare, GitHub) môžu spracovávať údaje aj mimo Európskeho hospodárskeho priestoru (EHP), najmä v Spojených štátoch amerických.
5.2. Pre takéto prenosy uplatňujeme vhodné záruky podľa čl. 46 GDPR:
a) Štandardné zmluvné doložky (SCC) prijaté Európskou komisiou (Rozhodnutie Komisie (EÚ) 2021/914);
b) doplnené o dodatočné záruky podľa odporúčaní Európskeho výboru pre ochranu údajov (EDPB).
5.3. Stripe sa zaviazal dodržiavať EU-US Data Privacy Framework (certifikované U.S. Department of Commerce). Aktuálny stav viď v Privacy Center Stripe.
6. Doba uchovávania údajov
| Kategória | Doba uchovávania |
|---|---|
| Údaje o účte (aktívnom) | Po dobu trvania účtu |
| Údaje o účte (po zrušení) | Vymazané do 30 dní od zrušenia (s výnimkou údajov nižšie) |
| Údaje o Transakciách a faktúrach | 10 rokov od konca účtovného obdobia (§ 35 zákona č. 431/2002 Z. z. o účtovníctve) |
| Údaje pre AML/CTF účely | 5 rokov od ukončenia obchodného vzťahu (§ 19 zákona č. 297/2008 Z. z.) |
| Audit log (prihlásenia, zmeny) | 3 roky (oprávnený záujem — bezpečnosť) |
| Cookies (technické) | Podľa nastavenia jednotlivej cookie (max 1 rok) |
| Cookies (analytické) | Po dobu súhlasu (max 1 rok) |
| Reklamácie a komunikácia s podporou | 3 roky od ukončenia komunikácie |
| Marketingový súhlas | Do odvolania súhlasu |
6.1. Po uplynutí relevantnej doby uchovávania sú údaje bezpečne vymazané alebo anonymizované (najmä v účtovných záznamoch sa nahradia pseudonymom).
7. Práva dotknutej osoby
7.1. V zmysle čl. 15-22 GDPR máte ako dotknutá osoba nasledujúce práva:
a) Právo na prístup (čl. 15) — vyžiadať si potvrdenie, či spracúvame vaše údaje, a získať ich kópiu;
b) Právo na opravu (čl. 16) — opraviť nepresné alebo neúplné údaje;
c) Právo na vymazanie („právo byť zabudnutý" — čl. 17) — v prípadoch ustanovených GDPR (najmä keď údaje už nie sú potrebné, odvoláte súhlas, namietate spracovanie);
d) Právo na obmedzenie spracovania (čl. 18) — dočasne pozastaviť spracovanie (napr. kým prebieha overenie presnosti údajov);
e) Právo na prenosnosť údajov (čl. 20) — získať údaje, ktoré ste nám poskytli, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte;
f) Právo namietať (čl. 21) — proti spracovaniu na základe oprávneného záujmu;
g) Právo nebyť predmetom automatizovaného rozhodovania (čl. 22) — v Lean Beta neuplatňujeme.
7.2. Ako uplatniť práva. Žiadosť zašlite na [email protected]. Pre overenie totožnosti môžeme požiadať o dodatočnú identifikáciu.
7.3. Lehota na vybavenie je 1 mesiac od doručenia žiadosti. V odôvodnených prípadoch (komplexnosť, množstvo žiadostí) môžeme lehotu predĺžiť o ďalšie 2 mesiace — o predĺžení vás informujeme.
7.4. Bezplatnosť. Vybavenie žiadosti je v zásade bezplatné. Pri zjavne neopodstatnených alebo neprimeraných žiadostiach (najmä ich opakovaní) môžeme účtovať primeraný poplatok alebo žiadosť odmietnuť.
7.5. Odvolanie súhlasu je možné kedykoľvek bez vplyvu na zákonnosť predchádzajúceho spracovania.
8. Právo podať sťažnosť
8.1. Ak máte podozrenie, že spracovaním vašich osobných údajov porušujeme GDPR alebo Zákon o OOÚ, máte právo podať sťažnosť na dozorný orgán:
Úrad na ochranu osobných údajov Slovenskej republiky (ÚOOÚ SR) Hraničná 12, 820 07 Bratislava 27 Telefón: +421 2 32 31 32 14 Email: [email protected] Web: https://dataprotection.gov.sk
8.2. Alternatívne sa môžete obrátiť na dozorný orgán krajiny vášho obvyklého pobytu v rámci EÚ.
9. Bezpečnosť spracovania
9.1. Prevádzkovateľ prijíma primerané technické a organizačné opatrenia na ochranu vašich osobných údajov, najmä:
a) šifrovanie prenosu (HTTPS/TLS 1.2+);
b) šifrovanie údajov v pokoji (databázové heslá, 2FA secrety, recovery kódy — šifrované; PostgreSQL na šifrovanom disku);
c) prísne hashovanie hesiel (bcrypt s príslušným cost faktorom);
d) kontrola voči databáze kompromitovaných hesiel pri registrácii (HIBP);
e) dvojfaktorová autentifikácia (TOTP) povinná pre administrátorské účty, voliteľná pre Používateľov;
f) rate-limiting a ochrana pred brute-force útokmi;
g) audit log všetkých kritických udalostí (prihlásenie, zmena hesla, vytvorenie Listing-u, Transakcia);
h) pravidelné zálohy databázy s šifrovanou retenciou;
i) kontrola prístupov k produkčnému prostrediu (SSH kľúče, IP whitelisting).
9.2. Hlásenie porušenia ochrany údajov. V prípade porušenia ochrany osobných údajov, ktoré by mohlo viesť k vysokému riziku pre vaše práva a slobody, vás budeme bezodkladne informovať a oznámime porušenie ÚOOÚ SR najneskôr do 72 hodín od zistenia (čl. 33-34 GDPR).
10. Cookies a podobné technológie
10.1. Platforma používa nasledovné kategórie cookies:
| Kategória | Účel | Súhlas | Životnosť |
|---|---|---|---|
| Technické (nevyhnutné) | Prihlásenie, CSRF protection, session | Nie je potrebný (oprávnený záujem) | Session až 14 dní |
| Funkčné | Zapamätanie jazyka, preferencií UI | Nie je potrebný | 1 rok |
| Analytické | Štatistiky návštevnosti — používame Cloudflare Web Analytics, ktoré NEPOUŽÍVAJÚ cookies ani žiadne perzistentné identifikátory | Nie je potrebný | — |
| Marketingové | (V Lean Beta nepoužívame) | Áno — explicitný | — |
10.2. Tretie strany (Stripe, Cloudflare) môžu pri svojich službách nastaviť vlastné cookies:
- Stripe nastavuje cookies na zabezpečenie platobného toku (fraud prevention) — viď https://stripe.com/cookie-settings;
- Cloudflare používa cookies pre DDoS ochranu (najmä
__cf_bm) — bez nich nie je možné Platformu používať.
10.3. Cloudflare Web Analytics — privacy-first analytika. Pre meranie návštevnosti používame Cloudflare Web Analytics, ktorý nepoužíva cookies ani fingerprinting a IP adresu odovzdáva v hashovanej (anonymizovanej) forme. Zhromažďuje sa iba agregovaná štatistika (počet pageviews, referrer, prehliadač, krajina, Web Vitals performance metriky). Nie je možné identifikovať konkrétneho Používateľa. Z tohto dôvodu pre túto analytiku nevyžadujeme explicitný súhlas — postačuje legitímny záujem podľa čl. 6 ods. 1 písm. f) GDPR. Podrobnosti: https://www.cloudflare.com/web-analytics/
10.4. Súhlas s analytickými cookies (ak by sa v budúcnosti pridali) je možné kedykoľvek odvolať v nastaveniach cookies (v päte stránky).
11. Maloletí
11.1. Platforma je určená výhradne osobám starším ako 18 rokov (viď VOP bod 3.1). Vedome nespracúvame osobné údaje detí mladších ako 16 rokov podľa čl. 8 GDPR.
11.2. Ak zistíme, že sme nadobudli údaje od osoby mladšej ako 18 rokov, bezodkladne pristúpime k zrušeniu účtu a vymazaniu údajov.
12. Zmeny Zásad
12.1. Tieto Zásady ochrany osobných údajov môžu byť priebežne aktualizované. Aktuálna verzia je vždy dostupná na https://cardmadeeasy.com/legal/privacy.
12.2. O podstatných zmenách budeme Používateľov informovať emailom minimálne 30 dní pred nadobudnutím účinnosti.
13. Kontakt
V prípade akýchkoľvek otázok ohľadom spracovania vašich osobných údajov nás kontaktujte:
Email pre ochranu osobných údajov: [email protected] Všeobecný kontakt: [email protected] Poštová adresa: Marketing support s.r.o., Studenohorská 67, 841 03 Bratislava, Slovenská republika
Tieto Zásady ochrany osobných údajov sú vypracované v súlade s Nariadením (EÚ) 2016/679 (GDPR), zákonom č. 18/2018 Z. z. o ochrane osobných údajov a aktuálnymi usmerneniami Úradu na ochranu osobných údajov SR a Európskeho výboru pre ochranu údajov (EDPB).