Zásady ochrany osobných údajov
Platné od: 1. mája 2026
Prehľad o spracúvaní osobných údajov Zákazníkov podľa Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 (ďalej len „nariadenie GDPR") a Zákona č. 18/2018 Z. z. o ochrane osobných údajov. Cieľom tohto prehľadu je poskytnúť Vám úplné informácie o spracúvaní Vašich osobných údajov pri využívaní online softvérových služieb prevádzkovaných na doméne kreker.tech a jej subdoménach (moduly Kairos, Nomos, Hodos, Oikos).
Identifikačné a kontaktné údaje
Prevádzkovateľom spracúvajúcim Vaše osobné údaje je Ing. Tomáš Kremeň, Doležalova 3424/15c, 821 04 Bratislava, IČO: 50109952, e-mail: kr3ker.vii@gmail.com (ďalej len „Prevádzkovateľ").
V prípade nejasností, otázok týkajúcich sa spracúvania Vašich osobných údajov, podnetov alebo sťažností, ak sa domnievate, že Vaše osobné údaje spracúvame nezákonne alebo nespravodlivo, alebo v prípade uplatnenia niektorého z Vašich práv, sa na nás môžete kedykoľvek obrátiť zaslaním e-mailu na adresu kr3ker.vii@gmail.com, alebo písomne na adresu Prevádzkovateľa.
Prevádzkovateľ nemenoval zodpovednú osobu (DPO) v zmysle čl. 37 GDPR, nakoľko to jeho rozsah spracúvania osobných údajov nevyžaduje. Kontaktnou osobou pre všetky záležitosti ochrany osobných údajov je priamo Prevádzkovateľ na e-mailovej adrese kr3ker.vii@gmail.com.
Základný prehľad spracovateľských činností
Vaše osobné údaje môžeme spracúvať v rámci nasledovných spracovateľských činností:
1. Autentifikácia a správa prístupu (Google OAuth 2.0)
Prihlásenie do Služieb kreker.tech prebieha výlučne prostredníctvom Google OAuth 2.0. Pri prvom prihlásení získavame z Google účtu Vaše meno, e-mailovú adresu a profilovú fotografiu, ktoré ukladáme do našej databázy za účelom Vašej identifikácie a správy prístupu k Službám. Autentifikačné tokeny (refresh token) ukladáme v šifrovanej forme výlučne na účely obnovenia prístupu bez opakovaného prihlasovania. Prevádzkovateľ neuchováva heslá Zákazníkov — správa hesiel prebieha výlučne na strane Google.
| Kategórie dotknutých osôb | Kategórie osobných údajov | Právny základ | Lehota na výmaz | Kategória príjemcov |
|---|
| Zákazníci (Vlastníci kalendárov, Členovia). | Meno, e-mailová adresa, profilová fotografia (z Google účtu); autentifikačné session cookies (kairos_tokens, kairos_user — httpOnly, Secure). | Plnenie zmluvy (čl. 6 ods. 1 písm. b) GDPR). | Po dobu trvania zmluvy + 6 mesiacov od skončenia zmluvy. | Google Ireland Ltd. (autentifikácia); Namecheap Inc. (hosting databázy). |
2. Správa udalostí, členov a zariadení (modul Kairos)
Kairos ukladá všetky dáta vytvorené Zákazníkom v rámci správy kalendára — udalosti (názov, čas, miesto, popis, farba, prítomní), zoznamy interných a externých členov (meno, e-mail, Google účet), záznamy o zariadeniach/technike priradených k udalostiam a záznamy o prípadoch (cases). Tieto dáta spracúvame výlučne za účelom poskytovania funkcionality modulu Kairos a nie sú využívané na žiadny iný účel. Zákazník je pri zadávaní osobných údajov tretích osôb (napr. mien a e-mailov členov a účastníkov) v pozícii prevádzkovateľa a Poskytovateľ v pozícii sprostredkovateľa.
| Kategórie dotknutých osôb | Kategórie osobných údajov | Právny základ | Lehota na výmaz | Kategória príjemcov |
|---|
| Zákazníci; tretie osoby, ktorých údaje zadal Zákazník (členovia, účastníci udalostí). | Meno a e-mail členov; obsah udalostí (názov, čas, miesto, popis); zoznamy techniky a prípadov; logy aktivít (calendar_id, user_email, action, created_at). | Plnenie zmluvy (čl. 6 ods. 1 písm. b) GDPR); oprávnený záujem — bezpečnostné logy (čl. 6 ods. 1 písm. f) GDPR). | Po dobu trvania zmluvy; logy aktivít 90 dní. | Google Ireland Ltd. (Google Calendar API — synchronizácia udalostí); Namecheap Inc. (hosting databázy). |
3. Synchronizácia s Google Calendar (Kairos — Google Calendar API)
Kairos synchronizuje udalosti s Google Calendar Zákazníka prostredníctvom Google Calendar API. Na tento účel Zákazník (Vlastník kalendára) nastavuje „master" Google účet pre každý kalendár; Prevádzkovateľ uchováva obnovovací token (refresh token) tohto účtu v šifrovanej databáze. Synchronizácia zahŕňa vytváranie, aktualizáciu a mazanie udalostí v Google Calendar a zasielanie pozvánok účastníkom. Prístup k Google Calendar je obmedzený výlučne na udalosti vytvorené prostredníctvom Kairos (scope calendar.events).
| Kategórie dotknutých osôb | Kategórie osobných údajov | Právny základ | Lehota na výmaz | Kategória príjemcov |
|---|
| Zákazníci (Vlastníci kalendárov); tretie osoby pozvané na udalosti. | Refresh token master Google účtu (šifrovaný); obsah udalostí odosielaný do Google Calendar; e-mailové adresy pozvaných účastníkov. | Plnenie zmluvy (čl. 6 ods. 1 písm. b) GDPR); výslovný súhlas pri nastavení master účtu (čl. 6 ods. 1 písm. a) GDPR). | Po dobu trvania zmluvy; zrušením master účtu v nastaveniach. | Google Ireland Ltd. (Google Calendar API). |
4. Emailové notifikácie účastníkom (Gmail API)
Kairos umožňuje zasielanie e-mailových notifikácií o udalostiach (pozvánky, aktualizácie, zrušenia) účastníkom udalostí prostredníctvom Gmail API master Google účtu. Prevádzkovateľ tieto e-maily generuje a odosiela na základe inštrukcie Zákazníka (Vlastníka/Člena), pričom neuchováva obsah odoslaných e-mailov ani e-mailové adresy príjemcov v rozsahu nad rámec existujúcich záznamov o udalostiach. Zasielanie notifikácií je voliteľné a riadi sa nastaveniami Zákazníka pri každej udalosti.
| Kategórie dotknutých osôb | Kategórie osobných údajov | Právny základ | Lehota na výmaz | Kategória príjemcov |
|---|
| Zákazníci; tretie osoby — príjemcovia notifikácií (účastníci udalostí). | E-mailové adresy príjemcov; obsah notifikácie (názov udalosti, čas, miesto). | Oprávnený záujem Zákazníka (čl. 6 ods. 1 písm. f) GDPR) — informovanie pozvaných osôb; Zákazník zodpovedá za právny základ voči príjemcom. | Neuchováva sa (odoslanie je jednorazová operácia). | Google Ireland Ltd. (Gmail API). |
5. Zálohovanie dát na Google Drive
Kairos umožňuje export zálohy kalendárových dát (udalosti, členovia, zariadenia) na Google Drive Zákazníka vo formáte JSON/ICS. Záloha sa ukladá do priečinka vytvoreného výlučne aplikáciou Kairos v Google Drive Zákazníka. Prevádzkovateľ pristupuje k Google Drive Zákazníka výlučne za účelom uloženia zálohy do tohto priečinka a nemá prístup k iným súborom ani priečinkom Google Drive Zákazníka (scope drive.file). Zálohy v Google Drive Zákazníka sa riadia podmienkami ochrany súkromia Google a ich správa (uchovávanie, mazanie) je výlučne v kompetencii Zákazníka.
| Kategórie dotknutých osôb | Kategórie osobných údajov | Právny základ | Lehota na výmaz | Kategória príjemcov |
|---|
| Zákazníci; tretie osoby, ktorých údaje sú súčasťou zálohy. | Obsah kalendárových dát (udalosti, mená a e-maily členov) exportovaný do Google Drive Zákazníka. | Plnenie zmluvy (čl. 6 ods. 1 písm. b) GDPR); výslovný súhlas Zákazníka aktiváciou zálohy. | Zálohy v Google Drive Zákazníka spravuje výlučne Zákazník. | Google Ireland Ltd. (Google Drive API). |
6. Prepis nahrávok a AI analýza (modul Nomos — OpenAI API)
Modul Nomos umožňuje prepis hlasových nahrávok pomocou OpenAI Whisper API. Nahrávka je odosielaná priamo z prehliadača Zákazníka na servery OpenAI — Prevádzkovateľ nie je priamou stranou tohto prenosu a nahrávka neprechádza cez servery Prevádzkovateľa. OpenAI API kľúč Zákazníka je ukladaný výlučne v localStorage prehliadača Zákazníka a nie je nikdy odosielaný na servery Prevádzkovateľa. Zákazník je zodpovedný za to, že osoby zachytené v nahrávanom obsahu súhlasili s nahrávaním a prípadným spracovaním AI nástrojmi. Spracúvanie nahrávok sa riadi podmienkami ochrany osobných údajov spoločnosti OpenAI, LLC.
| Kategórie dotknutých osôb | Kategórie osobných údajov | Právny základ | Lehota na výmaz | Kategória príjemcov |
|---|
| Zákazníci; tretie osoby zachytené v nahrávanom obsahu. | Hlasová nahrávka a jej textový prepis (odosielané priamo z prehliadača Zákazníka); OpenAI API kľúč (uložený výlučne v localStorage prehliadača Zákazníka — Prevádzkovateľ k nemu nemá prístup). | Plnenie zmluvy (čl. 6 ods. 1 písm. b) GDPR); súhlas dotknutých osôb s nahrávaním (zodpovednosť Zákazníka). | Zákazník spravuje výlučne sám; Prevádzkovateľ neuchováva nahrávky ani prepisy. | OpenAI, LLC (priamy prenos z prehliadača Zákazníka; riadi sa podmienkami OpenAI). |
7. Správa zásoby a prípadov (modul Nomos — Sklad)
Nomos umožňuje evidenciu zásoby vybavenia (skupiny, položky, kusovníky, poznámky) a pracovných prípadov (cases) priradených k udalostiam Kairos. Tieto dáta sú ukladané v databáze Prevádzkovateľa. Väčšina týchto dát neobsahuje osobné údaje fyzických osôb; v rozsahu, v akom záznamy o prípadoch alebo zásobách obsahujú identifikačné údaje fyzických osôb, sa na ne vzťahuje táto sekcia.
| Kategórie dotknutých osôb | Kategórie osobných údajov | Právny základ | Lehota na výmaz | Kategória príjemcov |
|---|
| Zákazníci; tretie osoby, ktorých údaje zadal Zákazník v rámci správy zásoby/prípadov. | Záznamy o vybavení a prípadoch (môžu obsahovať mená zodpovedných osôb, poznámky). | Plnenie zmluvy (čl. 6 ods. 1 písm. b) GDPR). | Po dobu trvania zmluvy. | Namecheap Inc. (hosting databázy). |
8. Správa lokalít a máp (modul Hodos)
Hodos umožňuje vytváranie máp lokalít viazaných na udalosti Kairos, ich zobrazenie na interaktívnej mape (OpenStreetMap) a kalkuláciu cestovných trás. GPS súradnice lokalít zadáva Zákazník manuálne alebo prostredníctvom geokódera Nominatim (OpenStreetMap). Pri vyhľadávaní adresy cez Nominatim je odosielaný len text vyhľadávacieho dotazu (nie osobné údaje Zákazníka). Výpočet trás prebieha cez OSRM API — odosielané sú iba GPS súradnice bodov trasy, nie identifikačné údaje Zákazníka. Geolokácia zariadenia Zákazníka (HTML5 Geolocation API) je využívaná výlučne s výslovným súhlasom Zákazníka prostredníctvom povolenia v prehliadači a nie je Prevádzkovateľom ukladaná.
| Kategórie dotknutých osôb | Kategórie osobných údajov | Právny základ | Lehota na výmaz | Kategória príjemcov |
|---|
| Zákazníci. | GPS súradnice a názvy lokalít uložené v databáze; geolokácia zariadenia (spracúvaná výlučne v prehliadači Zákazníka, neukladaná). | Plnenie zmluvy (čl. 6 ods. 1 písm. b) GDPR); súhlas pre geolokáciu zariadenia (čl. 6 ods. 1 písm. a) GDPR). | Po dobu trvania zmluvy. | OpenStreetMap Foundation / Nominatim (geokódovanie — anonymný dotaz); OSRM (výpočet trás — GPS súradnice); Namecheap Inc. (hosting). |
9. Fakturácia a správa nákladov (modul Oikos)
Oikos umožňuje evidenciu zákazníkov, dodávateľov, faktúr a nákladov. Zákazníkove záznamy o svojich obchodných partneroch (zákazníci, dodávatelia) môžu obsahovať osobné údaje fyzických osôb — v takom prípade je Zákazník voči týmto osobám v pozícii prevádzkovateľa a Prevádzkovateľ Služieb je sprostredkovateľom. Zákazník zodpovedá za zákonnosť spracúvania osobných údajov svojich obchodných partnerov vrátane zabezpečenia primeraného právneho základu. Oikos umožňuje voliteľnú integráciu so SuperFaktúra API pre export faktúr — táto integrácia si vyžaduje API kľúč SuperFaktúra zadaný Zákazníkom.
| Kategórie dotknutých osôb | Kategórie osobných údajov | Právny základ | Lehota na výmaz | Kategória príjemcov |
|---|
| Zákazníci; tretie osoby — zákazníci a dodávatelia Zákazníka (fyzické osoby). | Identifikačné a fakturačné údaje obchodných partnerov (meno/názov, adresa, IČO, DIČ, e-mail, bankové spojenie); obsah faktúr a nákladových záznamov. | Plnenie zmluvy (čl. 6 ods. 1 písm. b) GDPR) — Zákazník spracúva údaje za účelom vedenia svojej fakturácie; Zákazník zodpovedá za právny základ voči svojim obchodným partnerom. | Po dobu trvania zmluvy; zákonné doklady (faktúry) 10 rokov. | SuperFaktúra, s.r.o. (len ak Zákazník aktivuje integráciu); Namecheap Inc. (hosting). |
10. Predplatné a fakturácia Prevádzkovateľa
Prevádzkovateľ spracúva osobné a fakturačné údaje Zákazníka v súvislosti s uzatvorením a plnením zmluvy o Predplatnom — za účelom vystavenia faktúry, vedenia účtovných a daňových záznamov a správy aktívnych Predplatných. Faktúry sú vystavované a zasielané výlučne v elektronickej forme.
| Kategórie dotknutých osôb | Kategórie osobných údajov | Právny základ | Lehota na výmaz | Kategória príjemcov |
|---|
| Zákazníci — platitelia Predplatného. | Meno/názov, adresa, IČO, DIČ (ak sú uvedené), e-mailová adresa, výška a dátum platby, číslo faktúry. | Plnenie zmluvy (čl. 6 ods. 1 písm. b) GDPR); plnenie zákonnej povinnosti — účtovné a daňové predpisy (čl. 6 ods. 1 písm. c) GDPR). | 10 rokov (v súlade s § 35 zákona č. 431/2002 Z. z. o účtovníctve). | Správca dane (v prípade daňovej kontroly); audítor (ak je menovaný); iný oprávnený subjekt. |
11. Bezpečnostné logy, technické záznamy a ochrana pred zneužitím
Za účelom zachovania bezpečnosti Služieb, ochrany Zákazníkov a infraštruktúry, diagnostiky chýb a preukazovania plnenia zákonných povinností Prevádzkovateľ spracúva technické záznamy o aktivite v systéme. Logy aktivít (activity_logs) zaznamenávajú operácie s kalendárovými dátami (vytvorenie/úprava/zmazanie udalostí, pridanie/odobranie členov) vrátane identifikátora kalendára, e-mailu používateľa, typu operácie a časovej pečiatky. IP adresy sú spracúvané výlučne na účely rate limitingu a ochrany pred neoprávneným prístupom a nie sú trvalo ukladané (okrem záznamu posledného prihlásenia, viditeľného výlučne Prevádzkovateľovi v admin rozhraní). Záznamy sa môžu použiť ako dôkaz v prípade bezpečnostného incidentu alebo právneho sporu.
| Kategórie dotknutých osôb | Kategórie osobných údajov | Právny základ | Lehota na výmaz | Kategória príjemcov |
|---|
| Zákazníci; tretie osoby zapojené do bezpečnostného incidentu. | Logy aktivít (calendar_id, user_email, action, source, details, created_at); IP adresa posledného prihlásenia; serverové logy (chybové hlásenia bez osobných údajov). | Oprávnený záujem Prevádzkovateľa — bezpečnosť a ochrana Služieb (čl. 6 ods. 1 písm. f) GDPR); plnenie zákonnej povinnosti (čl. 6 ods. 1 písm. c) GDPR). | Logy aktivít 90 dní; serverové error logy 30 dní; IP adresa posledného prihlásenia po dobu trvania zmluvy. | Úrad na ochranu osobných údajov SR (v prípade incidentu); Polícia SR; iný oprávnený subjekt. |
12. Cookies a localStorage
Prevádzkovateľ využíva výlučne nevyhnutné technické cookies a localStorage záznamy, ktoré sú potrebné na fungovanie Služieb. Marketingové, analytické ani sledovacie cookies tretích strán nie sú využívané. Aplikácie kreker.tech neobsahujú žiadne reklamné sledovače.
| Názov | Typ | Účel | Lehota |
|---|
kairos_tokens | httpOnly cookie | Uloženie autentifikačného tokenu (refresh token) pre zachovanie prihlásenia do Kairos. | Do odhlásenia alebo expirácie tokenu. |
kairos_user | httpOnly cookie | Identifikácia aktívnej relácie Zákazníka (e-mail, tier, platnosť). | Do odhlásenia. |
kairos_pkce | httpOnly cookie | Dočasný PKCE parameter pre bezpečný OAuth flow. | Max. 10 minút (expirácia). |
krs_admin_device | httpOnly cookie | Zapamätanie zariadenia administrátora po OTP overení. | 30 dní. |
kairos_lang / nomos_lang / hodos_lang | localStorage | Jazykové preferencie Zákazníka (SK/EN). | Trvalé (do manuálneho vymazania). |
nomos_openai_key | localStorage | OpenAI API kľúč Zákazníka pre modul Nomos — ukladaný výlučne v prehliadači, neprechádza serverom. | Trvalé (do manuálneho vymazania). |
| Kategórie dotknutých osôb | Kategórie osobných údajov | Právny základ | Lehota na výmaz | Kategória príjemcov |
|---|
| Zákazníci — návštevníci webového sídla a Používatelia Služieb. | Session identifikátor (šifrovaný), jazykové nastavenie, OpenAI API kľúč (iba localStorage). | Nevyhnutné cookies: oprávnený záujem / plnenie zmluvy (čl. 6 ods. 1 písm. b) a f) GDPR) — bez súhlasu. Iné cookies: nevyužívame. | Podľa tabuľky vyššie. | Žiadni (cookies sú spracúvané výlučne serverom Prevádzkovateľa alebo lokálne v prehliadači). |
13. Demo prístup
Pri registrácii Demo prístupu Prevádzkovateľ spracúva osobné údaje Zákazníka v rovnakom rozsahu ako pri bežnej registrácii (sekcia 1), avšak tieto údaje sú ukladané do oddelenej databázy (kairos_demo). Demo dáta sú prístupné po dobu 7 dní aktívneho Demo prístupu; po expirácii Demo účtu sú dáta dostupné ešte 14 dní (pre prípad prechodu na platené Predplatné) a následne môžu byť trvalo vymazané. Zákazník, ktorý aktivoval Demo prístup viacnásobne, berie na vedomie, že Prevádzkovateľ môže zmazať duplicitné Demo účty bez predchádzajúceho upozornenia.
| Kategórie dotknutých osôb | Kategórie osobných údajov | Právny základ | Lehota na výmaz | Kategória príjemcov |
|---|
| Zákazníci využívajúci Demo prístup. | Meno, e-mail, profilová fotografia (z Google OAuth); demo kalendárové dáta (udalosti, členovia, zariadenia). | Plnenie zmluvy / Demo prístupu (čl. 6 ods. 1 písm. b) GDPR). | 7 dní (aktívny Demo) + 14 dní po expirácii; max. 21 dní od aktivácie. | Google Ireland Ltd. (OAuth); Namecheap Inc. (hosting demo databázy). |
Cezhraničný prenos osobných údajov
Niektorí príjemcovia uvedení v prehľade spracovateľských činností sú so sídlom mimo Európskeho hospodárskeho priestoru (EHP), najmä v USA. Prevádzkovateľ zabezpečuje zákonnosť takýchto prenosov nasledovne:
| Príjemca | Krajina | Základ prenosu |
|---|
| Google Ireland Ltd. | Írsko (EHP) | Prenos v rámci EHP — nevyžaduje osobitný základ. |
| Google LLC | USA | Štandardné zmluvné doložky (SCC) podľa čl. 46 GDPR; mechanizmus EU-US Data Privacy Framework. |
| OpenAI, LLC | USA | Štandardné zmluvné doložky (SCC) podľa čl. 46 GDPR. Pozn.: prenos prebieha priamo z prehliadača Zákazníka — Prevádzkovateľ nie je stranou prenosu. |
| Namecheap Inc. | USA | Štandardné zmluvné doložky (SCC) podľa čl. 46 GDPR; hosting zmluva so zárukami ochrany údajov. |
| SuperFaktúra, s.r.o. | Slovenská republika (EHP) | Prenos v rámci EHP — nevyžaduje osobitný základ. |
| OpenStreetMap / Nominatim | Medzinárodné (UK/EHP) | Anonymizovaný dotaz (adresný text) — nevzťahuje sa GDPR (neobsahuje osobné údaje). |
| OSRM | Medzinárodné | Anonymizovaný dotaz (GPS súradnice) — nevzťahuje sa GDPR (neobsahuje osobné údaje). |
Ďalšie dôležité informácie
Dáta tretích osôb v záznamoch Zákazníka
Záznamy Zákazníka v Službách kreker.tech môžu obsahovať osobné údaje tretích osôb (mená a e-maily členov, účastníkov udalostí, zákazníkov a dodávateľov Zákazníka v module Oikos). V takomto prípade je Zákazník voči týmto osobám v pozícii prevádzkovateľa osobných údajov a Prevádzkovateľ Služieb je sprostredkovateľom v zmysle čl. 4 ods. 8 GDPR. Prevádzkovateľ spracúva tieto údaje výlučne na pokyn Zákazníka a v rozsahu nevyhnutnom na poskytovanie Služieb. Zákazník je povinný spracúvať osobné údaje tretích osôb v súlade s platnými právnymi predpismi a zabezpečiť primeraný právny základ pre takéto spracúvanie.
Automatizované rozhodovanie a profilovanie
Prevádzkovateľ nevykonáva automatizované individuálne rozhodovanie vrátane profilovania v zmysle čl. 22 GDPR, ktoré by malo právne účinky alebo podobne závažný dopad na Zákazníka.
Bezpečnostné incidenty
V prípade porušenia ochrany osobných údajov, ktoré môže mať za následok vysoké riziko pre práva a slobody fyzických osôb, Prevádzkovateľ informuje dotknuté osoby bez zbytočného odkladu, najneskôr do 72 hodín od zistenia incidentu, v súlade s čl. 33 a 34 GDPR.
Vaše práva
Ako dotknutá osoba, o ktorej spracúvame osobné údaje, máte v zmysle nariadenia GDPR a zákona o OOÚ nasledujúce práva:
- Právo na prístup (čl. 15 GDPR): máte právo požadovať od Prevádzkovateľa potvrdenie o tom, či o Vás spracúvame osobné údaje, a ak áno, máte právo získať kópiu týchto osobných údajov.
- Právo na opravu (čl. 16 GDPR): máte právo požadovať opravu nesprávnych alebo doplnenie neúplných osobných údajov.
- Právo na vymazanie (čl. 17 GDPR): máte právo požadovať vymazanie osobných údajov, ak sú splnené zákonné podmienky (napr. údaje už nie sú potrebné na účel, na ktorý boli spracúvané).
- Právo na obmedzenie spracúvania (čl. 18 GDPR): máte právo požadovať obmedzenie spracúvania v prípadoch stanovených GDPR.
- Právo namietať (čl. 21 GDPR): máte právo namietať voči spracúvaniu osobných údajov, ktoré je founded na oprávnenom záujme Prevádzkovateľa.
- Právo na prenosnosť (čl. 20 GDPR): máte právo získať osobné údaje, ktoré ste nám poskytli, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a právo preniesť tieto údaje inému prevádzkovateľovi.
- Právo odvolať súhlas: ak je spracúvanie osobných údajov founded na Vašom súhlase, máte právo súhlas kedykoľvek odvolať bez toho, aby to malo vplyv na zákonnosť spracúvania pred jeho odvolaním.
- Právo na neúčinnosť automatizovaného rozhodovania (čl. 22 GDPR): Prevádzkovateľ nevykonáva automatizované individuálne rozhodovanie vrátane profilovania.
V prípade, ak sa rozhodnete využiť niektoré zo svojich práv, zašlite svoju žiadosť e-mailom na adresu kr3ker.vii@gmail.com s predmetom „Žiadosť o uplatnenie práva GDPR". Prevádzkovateľ odpovie na žiadosť v lehote 30 dní od jej doručenia; v zložitých prípadoch môže túto lehotu predĺžiť o ďalšie 2 mesiace, o čom Vás bez zbytočného odkladu informuje.
V prípade, ak nie ste spokojný s odpoveďou Prevádzkovateľa alebo sa domnievate, že Vaše osobné údaje spracúvame nespravodlivo alebo nezákonne, máte právo podať sťažnosť dozornému orgánu, ktorým je Úrad na ochranu osobných údajov Slovenskej republiky, so sídlom Hraničná 12, 820 07 Bratislava, web: uoou.sk, e-mail: statny.dozor@uoou.sk.
Záverečné ustanovenia
- Tieto Zásady ochrany osobných údajov sú zverejnené na webovom sídle Prevádzkovateľa na adrese https://kreker.tech/privacy/ a sú neoddeliteľnou súčasťou Licenčných podmienok kreker.tech a Všeobecných obchodných podmienok kreker.tech.
- Prevádzkovateľ je oprávnený tieto Zásady jednostranne zmeniť, pričom je povinný novú verziu zverejniť na Webovom sídle a informovať Zákazníkov o zmene e-mailom alebo oznámením v aplikácii.
- Tieto Zásady ochrany osobných údajov nadobúdajú platnosť a účinnosť dňa 1. mája 2026 a nahrádzajú všetky predchádzajúce verzie zverejnené na adrese kreker.tech/privacy/.
- Jazyková verzia: tieto Zásady sú vyhotovené v slovenskom jazyku. Anglický preklad je dostupný na https://kreker.tech/privacy/. V prípade rozporu medzi slovenskou a anglickou verziou má prednosť slovenská verzia.
Privacy Policy
Effective: 1 May 2026
Overview of personal data processing for Customers pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council (GDPR) and Act No. 18/2018 Coll. on Personal Data Protection. The purpose of this overview is to provide you with complete information about the processing of your personal data when using the online software services operated on the kreker.tech domain and its subdomains (Kairos, Nomos, Hodos, Oikos modules).
Identity and Contact Details
The data controller processing your personal data is Ing. Tomáš Kremeň, Doležalova 3424/15c, 821 04 Bratislava, Business ID: 50109952, e-mail: kr3ker.vii@gmail.com (hereinafter "Controller").
If you have any questions about the processing of your personal data, complaints, or wish to exercise any of your rights, you may contact us at any time by sending an e-mail to kr3ker.vii@gmail.com or in writing to the Controller's address.
The Controller has not appointed a Data Protection Officer (DPO) under Art. 37 GDPR, as the scope of personal data processing does not require it. The contact person for all data protection matters is the Controller directly at kr3ker.vii@gmail.com.
Overview of Processing Activities
We may process your personal data within the following processing activities:
1. Authentication and Access Management (Google OAuth 2.0)
Login to kreker.tech Services is carried out exclusively via Google OAuth 2.0. Upon first login, we obtain your name, e-mail address and profile photo from your Google account, which we store in our database for the purpose of identifying you and managing access to the Services. Authentication tokens (refresh token) are stored in encrypted form solely for the purpose of renewing access without repeated logins. The Controller does not store customer passwords — password management is handled exclusively by Google.
| Categories of data subjects | Categories of personal data | Legal basis | Retention period | Categories of recipients |
|---|
| Customers (Calendar Owners, Members). | Name, e-mail address, profile photo (from Google account); authentication session cookies (kairos_tokens, kairos_user — httpOnly, Secure). | Performance of contract (Art. 6(1)(b) GDPR). | Duration of contract + 6 months after termination. | Google Ireland Ltd. (authentication); Namecheap Inc. (database hosting). |
2. Event, Member and Equipment Management (Kairos module)
Kairos stores all data created by the Customer in the management of a calendar — events (name, time, location, description, colour, attendees), lists of internal and external members (name, e-mail, Google account), records of equipment/gear assigned to events, and case records. We process this data solely for the purpose of providing the functionality of the Kairos module and it is not used for any other purpose. When the Customer enters personal data of third parties (e.g. names and e-mails of members and attendees), the Customer acts as the data controller and the Service Provider as a data processor.
| Categories of data subjects | Categories of personal data | Legal basis | Retention period | Categories of recipients |
|---|
| Customers; third parties whose data was entered by the Customer (members, event attendees). | Member names and e-mails; event content (name, time, location, description); equipment and case lists; activity logs (calendar_id, user_email, action, created_at). | Performance of contract (Art. 6(1)(b) GDPR); legitimate interest — security logs (Art. 6(1)(f) GDPR). | Duration of contract; activity logs 90 days. | Google Ireland Ltd. (Google Calendar API — event synchronisation); Namecheap Inc. (database hosting). |
3. Google Calendar Synchronisation (Kairos — Google Calendar API)
Kairos synchronises events with the Customer's Google Calendar via the Google Calendar API. For this purpose, the Customer (Calendar Owner) sets up a "master" Google account for each calendar; the Controller stores the refresh token of this account in an encrypted database. Synchronisation includes creating, updating and deleting events in Google Calendar and sending invitations to attendees. Access to Google Calendar is restricted exclusively to events created via Kairos (scope calendar.events).
| Categories of data subjects | Categories of personal data | Legal basis | Retention period | Categories of recipients |
|---|
| Customers (Calendar Owners); third parties invited to events. | Master Google account refresh token (encrypted); event content sent to Google Calendar; e-mail addresses of invited attendees. | Performance of contract (Art. 6(1)(b) GDPR); explicit consent when setting the master account (Art. 6(1)(a) GDPR). | Duration of contract; until master account is removed in settings. | Google Ireland Ltd. (Google Calendar API). |
4. Email Notifications to Attendees (Gmail API)
Kairos allows sending e-mail notifications about events (invitations, updates, cancellations) to event attendees via the Gmail API of the master Google account. The Controller generates and sends these e-mails on the instruction of the Customer (Owner/Member), and does not retain the content of sent e-mails or recipient e-mail addresses beyond what is already recorded in event data. Sending notifications is optional and governed by the Customer's settings for each event.
| Categories of data subjects | Categories of personal data | Legal basis | Retention period | Categories of recipients |
|---|
| Customers; third parties — notification recipients (event attendees). | Recipient e-mail addresses; notification content (event name, time, location). | Legitimate interest of the Customer (Art. 6(1)(f) GDPR) — informing invited persons; the Customer is responsible for the legal basis vis-à-vis recipients. | Not retained (sending is a one-time operation). | Google Ireland Ltd. (Gmail API). |
5. Data Backup to Google Drive
Kairos allows the export of calendar data backups (events, members, equipment) to the Customer's Google Drive in JSON/ICS format. The backup is saved to a folder created exclusively by the Kairos application in the Customer's Google Drive. The Controller accesses the Customer's Google Drive solely to save the backup to this folder and has no access to any other files or folders in the Customer's Google Drive (scope drive.file). Backups in the Customer's Google Drive are governed by Google's Privacy Policy and their management (retention, deletion) is the sole responsibility of the Customer.
| Categories of data subjects | Categories of personal data | Legal basis | Retention period | Categories of recipients |
|---|
| Customers; third parties whose data is included in the backup. | Calendar data content (events, member names and e-mails) exported to the Customer's Google Drive. | Performance of contract (Art. 6(1)(b) GDPR); explicit consent of the Customer upon activating the backup. | Backups in the Customer's Google Drive are managed solely by the Customer. | Google Ireland Ltd. (Google Drive API). |
6. Recording Transcription and AI Analysis (Nomos module — OpenAI API)
The Nomos module enables transcription of voice recordings using the OpenAI Whisper API. The recording is sent directly from the Customer's browser to OpenAI servers — the Controller is not a direct party to this transfer and the recording does not pass through the Controller's servers. The Customer's OpenAI API key is stored exclusively in the Customer's browser localStorage and is never sent to the Controller's servers. The Customer is responsible for ensuring that persons captured in the recorded content have consented to the recording and any AI processing. Processing of recordings is governed by OpenAI LLC's Privacy Policy.
| Categories of data subjects | Categories of personal data | Legal basis | Retention period | Categories of recipients |
|---|
| Customers; third parties captured in the recorded content. | Voice recording and its text transcript (sent directly from the Customer's browser); OpenAI API key (stored exclusively in the Customer's browser localStorage — the Controller has no access to it). | Performance of contract (Art. 6(1)(b) GDPR); consent of data subjects to recording (Customer's responsibility). | Managed solely by the Customer; the Controller does not retain recordings or transcripts. | OpenAI, LLC (direct transfer from the Customer's browser; governed by OpenAI's terms). |
7. Inventory and Case Management (Nomos module — Storage)
Nomos enables management of equipment inventory (groups, items, bills of materials, notes) and work cases assigned to Kairos events. This data is stored in the Controller's database. Most of this data does not contain personal data of natural persons; to the extent that case or inventory records contain identifying data of natural persons, this section applies.
| Categories of data subjects | Categories of personal data | Legal basis | Retention period | Categories of recipients |
|---|
| Customers; third parties whose data was entered by the Customer in inventory/case management. | Equipment and case records (may contain names of responsible persons, notes). | Performance of contract (Art. 6(1)(b) GDPR). | Duration of contract. | Namecheap Inc. (database hosting). |
8. Location and Map Management (Hodos module)
Hodos enables the creation of location maps linked to Kairos events, their display on an interactive map (OpenStreetMap), and route calculation. GPS coordinates of locations are entered by the Customer manually or via the Nominatim geocoder (OpenStreetMap). When searching for an address via Nominatim, only the text of the search query is sent (not the Customer's personal data). Route calculation is performed via the OSRM API — only the GPS coordinates of route points are sent, not the Customer's identifying data. The Customer's device geolocation (HTML5 Geolocation API) is used exclusively with the Customer's explicit consent via browser permission and is not stored by the Controller.
| Categories of data subjects | Categories of personal data | Legal basis | Retention period | Categories of recipients |
|---|
| Customers. | GPS coordinates and location names stored in the database; device geolocation (processed exclusively in the Customer's browser, not stored). | Performance of contract (Art. 6(1)(b) GDPR); consent for device geolocation (Art. 6(1)(a) GDPR). | Duration of contract. | OpenStreetMap Foundation / Nominatim (geocoding — anonymous query); OSRM (route calculation — GPS coordinates); Namecheap Inc. (hosting). |
9. Invoicing and Cost Management (Oikos module)
Oikos enables management of customers, suppliers, invoices and costs. The Customer's records about their business partners (customers, suppliers) may contain personal data of natural persons — in such case the Customer acts as the data controller vis-à-vis those persons and the Service Controller acts as a data processor. The Customer is responsible for the lawfulness of processing personal data of their business partners, including ensuring an appropriate legal basis. Oikos provides an optional integration with the SuperFaktúra API for invoice export — this integration requires a SuperFaktúra API key entered by the Customer.
| Categories of data subjects | Categories of personal data | Legal basis | Retention period | Categories of recipients |
|---|
| Customers; third parties — the Customer's customers and suppliers (natural persons). | Identifying and billing data of business partners (name/company name, address, business ID, tax ID, e-mail, bank details); invoice and cost record content. | Performance of contract (Art. 6(1)(b) GDPR) — the Customer processes data for their own invoicing; the Customer is responsible for the legal basis vis-à-vis their business partners. | Duration of contract; statutory documents (invoices) 10 years. | SuperFaktúra, s.r.o. (only if the Customer activates the integration); Namecheap Inc. (hosting). |
10. Subscription and Controller's Invoicing
The Controller processes the Customer's personal and billing data in connection with the conclusion and performance of the Subscription agreement — for the purpose of issuing invoices, maintaining accounting and tax records, and managing active Subscriptions. Invoices are issued and sent exclusively in electronic form.
| Categories of data subjects | Categories of personal data | Legal basis | Retention period | Categories of recipients |
|---|
| Customers — Subscription payers. | Name/company name, address, business ID, tax ID (if provided), e-mail address, payment amount and date, invoice number. | Performance of contract (Art. 6(1)(b) GDPR); compliance with a legal obligation — accounting and tax regulations (Art. 6(1)(c) GDPR). | 10 years (pursuant to accounting legislation). | Tax authority (in case of tax audit); auditor (if appointed); other authorised entity. |
11. Security Logs, Technical Records and Abuse Prevention
In order to maintain the security of the Services, protect Customers and infrastructure, diagnose errors, and demonstrate compliance with legal obligations, the Controller processes technical records of system activity. Activity logs (activity_logs) record operations on calendar data (creation/modification/deletion of events, addition/removal of members) including the calendar identifier, user e-mail, type of operation, and timestamp. IP addresses are processed solely for rate limiting and protection against unauthorised access and are not permanently stored (except for the last login record, visible only to the Controller in the admin interface). Records may be used as evidence in the event of a security incident or legal dispute.
| Categories of data subjects | Categories of personal data | Legal basis | Retention period | Categories of recipients |
|---|
| Customers; third parties involved in a security incident. | Activity logs (calendar_id, user_email, action, source, details, created_at); IP address of last login; server logs (error messages without personal data). | Legitimate interest of the Controller — security and protection of the Services (Art. 6(1)(f) GDPR); compliance with a legal obligation (Art. 6(1)(c) GDPR). | Activity logs 90 days; server error logs 30 days; IP address of last login for the duration of the contract. | Data Protection Authority of the Slovak Republic (in case of incident); Slovak Police; other authorised entity. |
12. Cookies and localStorage
The Controller uses only strictly necessary technical cookies and localStorage records required for the Services to function. No marketing, analytics or third-party tracking cookies are used. kreker.tech applications contain no advertising trackers.
| Name | Type | Purpose | Retention |
|---|
kairos_tokens | httpOnly cookie | Stores the authentication token (refresh token) to maintain login to Kairos. | Until logout or token expiry. |
kairos_user | httpOnly cookie | Identifies the active Customer session (e-mail, tier, validity). | Until logout. |
kairos_pkce | httpOnly cookie | Temporary PKCE parameter for secure OAuth flow. | Max. 10 minutes (expiry). |
krs_admin_device | httpOnly cookie | Remembers administrator's device after OTP verification. | 30 days. |
kairos_lang / nomos_lang / hodos_lang | localStorage | Customer's language preferences (SK/EN). | Permanent (until manually deleted). |
nomos_openai_key | localStorage | Customer's OpenAI API key for the Nomos module — stored exclusively in the browser, does not pass through the server. | Permanent (until manually deleted). |
| Categories of data subjects | Categories of personal data | Legal basis | Retention period | Categories of recipients |
|---|
| Customers — visitors to the website and Service users. | Session identifier (encrypted), language preference, OpenAI API key (localStorage only). | Necessary cookies: legitimate interest / performance of contract (Art. 6(1)(b) and (f) GDPR) — no consent required. Other cookies: not used. | See table above. | None (cookies are processed exclusively by the Controller's server or locally in the browser). |
13. Demo Access
When registering for Demo access, the Controller processes the Customer's personal data to the same extent as for a regular registration (section 1), however this data is stored in a separate database (kairos_demo). Demo data is accessible for 7 days of active Demo access; after Demo account expiry, the data is available for a further 14 days (to allow migration to a paid Subscription) and may then be permanently deleted. A Customer who has activated Demo access multiple times acknowledges that the Controller may delete duplicate Demo accounts without prior notice.
| Categories of data subjects | Categories of personal data | Legal basis | Retention period | Categories of recipients |
|---|
| Customers using Demo access. | Name, e-mail, profile photo (from Google OAuth); demo calendar data (events, members, equipment). | Performance of contract / Demo access (Art. 6(1)(b) GDPR). | 7 days (active Demo) + 14 days after expiry; max. 21 days from activation. | Google Ireland Ltd. (OAuth); Namecheap Inc. (demo database hosting). |
Cross-Border Transfers of Personal Data
Some recipients listed in the processing activities overview are located outside the European Economic Area (EEA), particularly in the USA. The Controller ensures the lawfulness of such transfers as follows:
| Recipient | Country | Transfer basis |
|---|
| Google Ireland Ltd. | Ireland (EEA) | Transfer within the EEA — no specific basis required. |
| Google LLC | USA | Standard Contractual Clauses (SCC) under Art. 46 GDPR; EU-US Data Privacy Framework. |
| OpenAI, LLC | USA | Standard Contractual Clauses (SCC) under Art. 46 GDPR. Note: transfer occurs directly from the Customer's browser — the Controller is not a party to the transfer. |
| Namecheap Inc. | USA | Standard Contractual Clauses (SCC) under Art. 46 GDPR; hosting agreement with data protection guarantees. |
| SuperFaktúra, s.r.o. | Slovak Republic (EEA) | Transfer within the EEA — no specific basis required. |
| OpenStreetMap / Nominatim | International (UK/EEA) | Anonymised query (address text) — GDPR does not apply (no personal data). |
| OSRM | International | Anonymised query (GPS coordinates) — GDPR does not apply (no personal data). |
Further Important Information
Third-Party Data in Customer Records
The Customer's records in kreker.tech Services may contain personal data of third parties (names and e-mails of members, event attendees, and the Customer's customers and suppliers in the Oikos module). In such cases, the Customer acts as the data controller vis-à-vis those persons and the Service Controller acts as a data processor under Art. 4(8) GDPR. The Controller processes such data solely on the Customer's instruction and to the extent necessary for providing the Services. The Customer must process third-party personal data in compliance with applicable legislation and ensure an appropriate legal basis for such processing.
Automated Decision-Making and Profiling
The Controller does not carry out automated individual decision-making including profiling within the meaning of Art. 22 GDPR that would have legal effects or similarly significant impact on the Customer.
Security Incidents
In the event of a personal data breach likely to result in a high risk to the rights and freedoms of natural persons, the Controller will notify affected data subjects without undue delay, no later than 72 hours after becoming aware of the incident, in accordance with Art. 33 and 34 GDPR.
Your Rights
As a data subject whose personal data we process, you have the following rights under the GDPR and the Personal Data Protection Act:
- Right of access (Art. 15 GDPR): you have the right to request confirmation from the Controller as to whether we process personal data about you, and if so, to obtain a copy of that data.
- Right to rectification (Art. 16 GDPR): you have the right to request the correction of inaccurate or the completion of incomplete personal data.
- Right to erasure (Art. 17 GDPR): you have the right to request the erasure of personal data if the statutory conditions are met (e.g. the data is no longer needed for the purpose for which it was processed).
- Right to restriction of processing (Art. 18 GDPR): you have the right to request restriction of processing in cases provided for by GDPR.
- Right to object (Art. 21 GDPR): you have the right to object to the processing of personal data based on the Controller's legitimate interest.
- Right to data portability (Art. 20 GDPR): you have the right to receive personal data you have provided to us in a structured, commonly used and machine-readable format and to transmit that data to another controller.
- Right to withdraw consent: where processing is based on your consent, you have the right to withdraw consent at any time without affecting the lawfulness of processing before the withdrawal.
- Right not to be subject to automated decision-making (Art. 22 GDPR): the Controller does not carry out automated individual decision-making including profiling.
To exercise any of your rights, please send your request by e-mail to kr3ker.vii@gmail.com with the subject line "GDPR Data Subject Request". The Controller will respond within 30 days of receipt; in complex cases this period may be extended by a further 2 months, of which you will be informed without undue delay.
If you are not satisfied with the Controller's response or believe that your personal data is being processed unfairly or unlawfully, you have the right to lodge a complaint with the supervisory authority, which is the Office for Personal Data Protection of the Slovak Republic, Hraničná 12, 820 07 Bratislava, web: uoou.sk, e-mail: statny.dozor@uoou.sk.
Final Provisions
- This Privacy Policy is published on the Controller's website at https://kreker.tech/privacy/ and forms an integral part of the kreker.tech Licence Terms and General Terms and Conditions.
- The Controller is entitled to amend this Policy unilaterally and must publish the new version on the website and inform Customers of the change by e-mail or in-app notification.
- This Privacy Policy enters into force and effect on 1 May 2026 and supersedes all previous versions published at kreker.tech/privacy/.
- Language: this Policy is drawn up in Slovak. An English translation is available at https://kreker.tech/privacy/. In the event of a conflict between the Slovak and English versions, the Slovak version prevails.