Ochrana osobných údajov (GDPR)

Posledná aktualizácia: 30. apríl 2026 · Verzia 1.1

1. Prevádzkovateľ

Reality Investor je provozovaný fyzickou osobou Ivanom Hroncom. Kontakt: hronec@gmail.com.

2. Aké údaje spracovávame

• Email + heslo — pre login a komunikáciu (heslo iba ako Argon2 hash, nikdy plain-text).
• FIO Bank API token — ak ho zadáš v settings, šifrujeme ho Fernet kľúčom a používame výhradne na sťahovanie tvojich výpisov.
• Portfólio dáta — byty, predpisy, platby, dokumenty, fotky. Sú tvoje, my k nim pristupujeme len pre poskytnutie služby.
• OAuth profile (ak login cez Google) — email + meno z Google. Žiadne ďalšie scopes (Drive, Calendar, ...).

3. Účel spracovania

Údaje spracovávame výhradne pre poskytnutie služby. Nepredávame tvoje dáta tretím stranám. Nepoužívame ich na trénovanie AI modelov mimo interného fair-price modelu (anonymizovane, len agregované transakčné dáta).

4. Zdielanie s tretími stranami

Nutné technické zdielanie:

• Hetzner Cloud (DE) — hosting servera + DB. EU jurisdikcia.
• Cloudflare (US/EU) — DDoS protection, edge cache. Iba metadata HTTP requestov, žiadny obsah.
• Resend (US) — transakčné emaily (verify, password reset). Pošleme im len tvoj email + obsah konkrétneho emailu.
• Anthropic (US) — AI Brief generation. Pošleme im len agregované market dáta, nie osobné údaje.
• FIO Banka (SK) — read-only API volanie tvojím tokenom.
• Stripe (US/IE) — platby Pro/Premium. Stripe je PCI DSS Level 1 + GDPR compliant, oni držia kreditkové dáta (my len Customer ID + subscription ID). Stripe Customer Portal ti umožňuje cancel-núť subscription kedykoľvek, stiahnuť faktúry, zmeniť platobnú metódu — link je v Settings.

5. Tvoje práva

• Právo na prístup — Settings → Export portfolio (CSV/JSON dump všetkých tvojich dát).
• Právo na opravu — všetky portfólio dáta vieš editovať priamo cez UI.
• Právo na zmazanie (Art. 17 GDPR) — Settings → "🗑 Zmazať účet". Účet sa okamžite deaktivuje (nemôžeš sa prihlásiť), po 30 dňoch sa všetky tvoje dáta natrvalo zmažú (cascade delete: byty, predpisy, platby, dokumenty, fotky, history). Počas 30-dňovej grace period môžeš účet obnoviť emailom. FIO Bank token sa zmaže okamžite pri soft-delete-e — žiadne ďalšie API volania na tvoj bankový účet.
• Právo na prenos — Export funkcia ti dá dáta v štandardnom JSON.
• Právo na námietku — Email na hronec@gmail.com.

6. Cookies

Používame iba technické cookies:

• realityinvestor_session — JWT auth cookie, 7 dní expiry, HttpOnly + Secure + SameSite=Lax.

Žiadne tracking cookies (Google Analytics, Facebook Pixel, ...). Žiadne consent banner-y nepotrebujeme — necookie-ujeme tvoje správanie.

7. Doba uchovávania

• Aktívny účet — kým ho používaš.
• Po cancel-e účtu — 30 dní hard delete.
• Backups — 7 dní auto-backup, potom rotujú.
• Audit logy — 1 rok (povinné pre security incident response).

8. Bezpečnosť

• HTTPS-only (Let's Encrypt cert, HSTS preload).
• Postgres encrypted at-rest (Hetzner volume).
• Heslo iba Argon2id hash (žiadne MD5/SHA1).
• FIO token Fernet-encrypted v DB.
• fail2ban + ufw na hosting servere.

9. Sťažnosť

Ak si myslíš že tvoje práva boli porušené, môžeš sa obrátiť na Úrad na ochranu osobných údajov SR.

10. Zmeny tejto stránky

Akúkoľvek zmenu týchto pravidiel oznámime emailom všetkým aktívnym user-om aspoň 14 dní vopred. Pokračovanie používania služby po úprave znamená súhlas s novou verziou.

11. Súvisiace dokumenty

• Obchodné podmienky — predmet zmluvy, ceny, platby, zodpovednosť.