Ochrana osobných údajov (GDPR)

Posledná aktualizácia: 29. apríl 2026

1. Prevádzkovateľ

Reality Investor je provozovaný fyzickou osobou Ivanom Hroncom. Kontakt: hronec@gmail.com.

2. Aké údaje spracovávame

• Email + heslo — pre login a komunikáciu (heslo iba ako Argon2 hash, nikdy plain-text).
• FIO Bank API token — ak ho zadáš v settings, šifrujeme ho Fernet kľúčom a používame výhradne na sťahovanie tvojich výpisov.
• Portfólio dáta — byty, predpisy, platby, dokumenty, fotky. Sú tvoje, my k nim pristupujeme len pre poskytnutie služby.
• OAuth profile (ak login cez Google) — email + meno z Google. Žiadne ďalšie scopes (Drive, Calendar, ...).

3. Účel spracovania

Údaje spracovávame výhradne pre poskytnutie služby. Nepredávame tvoje dáta tretím stranám. Nepoužívame ich na trénovanie AI modelov mimo interného fair-price modelu (anonymizovane, len agregované transakčné dáta).

4. Zdielanie s tretími stranami

Nutné technické zdielanie:

• Hetzner Cloud (DE) — hosting servera + DB. EU jurisdikcia.
• Cloudflare (US/EU) — DDoS protection, edge cache. Iba metadata HTTP requestov, žiadny obsah.
• Resend (US) — transakčné emaily (verify, password reset). Pošleme im len tvoj email + obsah konkrétneho emailu.
• Anthropic (US) — AI Brief generation. Pošleme im len agregované market dáta, nie osobné údaje.
• FIO Banka (SK) — read-only API volanie tvojím tokenom.
• Stripe (US) — od Q2 2026 platby. Stripe je SEPA-compliant, oni držia kreditkové dáta, my len Customer ID.

5. Tvoje práva

• Právo na prístup — Settings → Export portfolio (CSV/JSON dump všetkých tvojich dát).
• Právo na opravu — všetky portfólio dáta vieš editovať priamo cez UI.
• Právo na zmazanie — Settings → Delete account. Hard delete do 30 dní. FIO token sa zmaže okamžite.
• Právo na prenos — Export funkcia ti dá dáta v štandardnom JSON.
• Právo na námietku — Email na hronec@gmail.com.

6. Cookies

Používame iba technické cookies:

• realityinvestor_session — JWT auth cookie, 7 dní expiry, HttpOnly + Secure + SameSite=Lax.

Žiadne tracking cookies (Google Analytics, Facebook Pixel, ...). Žiadne consent banner-y nepotrebujeme — necookie-ujeme tvoje správanie.

7. Doba uchovávania

• Aktívny účet — kým ho používaš.
• Po cancel-e účtu — 30 dní hard delete.
• Backups — 7 dní auto-backup, potom rotujú.
• Audit logy — 1 rok (povinné pre security incident response).

8. Bezpečnosť

• HTTPS-only (Let's Encrypt cert, HSTS preload).
• Postgres encrypted at-rest (Hetzner volume).
• Heslo iba Argon2id hash (žiadne MD5/SHA1).
• FIO token Fernet-encrypted v DB.
• fail2ban + ufw na hosting servere.

9. Sťažnosť

Ak si myslíš že tvoje práva boli porušené, môžeš sa obrátiť na Úrad na ochranu osobných údajov SR.

10. Zmeny tejto stránky

Akúkoľvek zmenu týchto pravidiel oznámime emailom všetkým aktívnym user-om aspoň 14 dní vopred. Pokračovanie používania služby po úprave znamená súhlas s novou verziou.