Domov · Ochrana osobných údajov

Ochrana osobných údajov (GDPR)

Ako na portáli Ellavia spracúvame Vaše osobné údaje, na aký účel, ako dlho ich uchovávame a aké máte práva.

Verzia v1 — platné od 3. maj 2026 r.
Prevádzkovateľ portálu: HORECA GROUP s.r.o., Francisciho 20/B, 058 01 Poprad, IČO: 49 912 618.

Verzia 2026-05-03 — platné od 3. máj 2026.
Prevádzkovateľ portálu: HORECA GROUP s.r.o., Francisciho 20/B, 058 01 Poprad, IČO: 49 912 618.

Tento dokument poskytuje informácie o spracúvaní osobných údajov na portáli Ellavia (https://ellavia.sk) v zmysle Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 (GDPR) a zákona č. 18/2018 Z. z. o ochrane osobných údajov.

Článok 1. Prevádzkovateľ

Prevádzkovateľom, ktorý určuje účely a prostriedky spracúvania osobných údajov, je:

  • Spoločnosť: HORECA GROUP s.r.o.
  • Sídlo: Francisciho 20/B, 058 01 Poprad
  • IČO: 49 912 618 · DIČ: 2120534256
  • Registrácia: Obchodný register Okresného súdu Prešov, oddiel: Sro, vložka č. 30909/P
  • Web: https://ellavia.sk
  • Kontakt: [email protected]
  • Kontakt pre GDPR žiadosti: [email protected]

(ďalej len „Prevádzkovateľ" alebo „my")

Článok 2. Základné pojmy

  • Osobné údaje — akékoľvek údaje o identifikovanej alebo identifikovateľnej fyzickej osobe (meno, e-mail, IP adresa, online identifikátor, lokalizačné údaje atď.).
  • Spracúvanie — akákoľvek operácia s osobnými údajmi (získavanie, uchovávanie, zmena, používanie, mazanie, prenos).
  • Dotknutá osoba — fyzická osoba, ktorej sa osobné údaje týkajú (návštevník Portálu, registrovaný ubytovateľ, klient, používateľ administrácie).
  • Sprostredkovateľ — subjekt, ktorý spracúva osobné údaje v mene Prevádzkovateľa (napr. hostingový poskytovateľ, e-mailový relay).

Článok 3. Aké osobné údaje spracúvame

Rozsah spracúvaných osobných údajov závisí od toho, v akom postavení s nami komunikujete. Minimalizujeme rozsah údajov tak, aby postačoval na kvalitné splnenie účelu, splnenie zákonných povinností a ochranu našich oprávnených záujmov.

3.1 Návštevníci a klienti Portálu

  • Technické údaje pri prehliadaní: IP adresa, user-agent (typ prehliadača, OS, jazyk), prístupový čas, requested URL, referrer URL, country / city z IP geolokácie.
  • Cookies a online identifikátory: session cookie, consent cookie, technické cookies pre fungovanie Portálu (pozri Článok 9).
  • Browsing behavior: ktoré stránky / hotely / balíky ste si pozreli, vyhľadávacie filtre, klikané prvky (interná analytika).
  • Údaje z chatu s AI asistentkou Ella: obsah Vašej konverzácie (text otázok a odpovedí), prípadne preferencie zo session (termín, počet osôb, lokalita). Konverzácie sa anonymizovane môžu logovať pre účely zlepšovania kvality.
  • Údaje z kontaktných formulárov: meno, e-mail, telefón a obsah Vašej správy / požiadavky.
  • Pri Rezervácii ubytovania doplnia sa: dátum pobytu, počet osôb, fakturačné údaje, platobná metóda (samotné platobné údaje spracováva platobná brána, my k nim nemáme prístup).

3.2 Registrovaní ubytovatelia

  • Identifikačné údaje: meno a priezvisko, e-mail, telefón.
  • Fakturačné údaje: obchodné meno, sídlo / adresa, IČO, DIČ, IČ DPH, IBAN.
  • Prihlasovacie údaje: e-mail (login) a hash hesla (heslo nikdy neukladáme v čitateľnej podobe).
  • Záznam o súhlase: dátum a verzia akceptovaných VOP a tohto GDPR dokumentu.
  • Záznamy o aktivite v administrácii: prihlásenia, IP, pridané a upravené Objekty, push do MCP gatewayu.
  • Údaje pre eSign zmluvu o partnerstve: meno a priezvisko signatára, funkcia (konateľ, SZČO), e-mail, telefón, IP a user-agent z podpisu, časové známky OTP overení, obrázok podpisu (PNG), SHA-256 hash zmluvy a kompletný audit trail (host_contracts + host_contract_audit).

3.3 CMS / admin používatelia

  • Identifikačné údaje: meno, e-mail, role (admin / editor / host).
  • Prihlasovacie údaje: e-mail, hash hesla, prípadné MFA tokeny.
  • Audit log: prihlásenia, IP, vykonané operácie v administrácii.

3.4 Bezpečnostné údaje (audit log)

  • Údaje z anti-bot ochrany (Cloudflare Turnstile token, výsledok overenia).
  • Záznamy z rate-limitingu, neúspešné prihlásenia, geo-block udalosti.
  • Tieto údaje uchovávame v cms_security_log a používame na ochranu Portálu pred zneužitím.

Článok 4. Účel spracúvania

  • Sprostredkovanie ubytovania a služieb — zobrazenie ponúk, vyhľadávanie, prepojenie klienta a ubytovateľa, prevádzka rezervačného flow.
  • Prevádzka účtu ubytovateľa / admina — registrácia, prihlásenie, správa Objektov, fakturácia, elektronický podpis Dohody o poskytovaní služieb portálu (eSign).
  • E-mailová komunikácia — transakčné e-maily (potvrdenie registrácie, reset hesla, notifikácie o rezerváciách), zákaznícka podpora.
  • AI asistentka Ella — interpretácia Vašej otázky, ponúknutie vhodných hotelov / pobytov, kontextualizácia odpovedí (jazyk, lokalita, dostupnosť).
  • Bezpečnosť a ochrana Portálu — anti-bot (Cloudflare Turnstile), rate-limiting, geo-filter, audit log, ochrana pred zneužitím (CSRF, brute-force).
  • Plnenie zákonných povinností — najmä účtovníctvo (zákon č. 431/2002 Z. z.), DPH (zákon č. 222/2004 Z. z.), ochrana spotrebiteľa, archivácia daňových dokladov.
  • Marketingová komunikácia (len so súhlasom) — newsletter, ponuky pobytov, akcie partnerov.
  • Analytika a zlepšovanie služieb — interná štatistika návštevnosti, A/B testy, identifikácia chýb, vývoj nových funkcií.

Článok 5. Právny základ spracúvania

Vaše osobné údaje spracúvame v súlade s GDPR výhradne na základe niektorého z týchto právnych základov:

  • Plnenie zmluvy (Čl. 6 ods. 1 písm. b GDPR) — vytvorenie a prevádzka účtu, spracovanie Rezervácie, fakturácia služieb voči ubytovateľovi.
  • Plnenie zákonnej povinnosti (Čl. 6 ods. 1 písm. c GDPR) — účtovníctvo, daňové doklady, hlásenia podľa AML / iných povinných predpisov.
  • Oprávnený záujem (Čl. 6 ods. 1 písm. f GDPR) — bezpečnosť Portálu (anti-bot, rate-limit, audit), prevencia podvodov, technická analytika, B2B komunikácia s registrovanými ubytovateľmi.
  • Súhlas dotknutej osoby (Čl. 6 ods. 1 písm. a GDPR) — marketingové cookies, newsletter, profilovanie nad rámec oprávneného záujmu, cezhraničný prenos do USA pri službách Open AI / Google (pozri Článok 8).

Článok 6. Doba uchovávania

Osobné údaje uchovávame len tak dlho, ako je to potrebné na účel spracúvania, alebo ako nám ukladá zákon. Konkrétne lehoty:

  • Cookies a technické logy: 24 hodín až 12 mesiacov (podľa typu cookie).
  • AI chat session: aktívna session v pamäti prehliadača; serverové logy konverzácií (ak sú zapnuté pre ladenie) max. 90 dní.
  • Účet ubytovateľa / admina: po dobu trvania účtu + 30 dní po jeho zrušení (na vyriešenie posledných sporov / reklamácií).
  • eSign zmluva (Dohoda o poskytovaní služieb portálu) + audit trail: 10 rokov od podpisu (zhodne s archivačnou lehotou účtovných dokladov), aby bola po celú dobu spätne preukázateľná identita signatára a obsah zmluvy.
  • Fakturačné a účtovné údaje: 10 rokov v súlade so zákonom č. 431/2002 Z. z. o účtovníctve a zákonom č. 222/2004 Z. z. o DPH.
  • Daňové doklady a archív:10 rokov v zmysle § 76 zákona o DPH.
  • Údaje o Rezerváciách: 5 rokov po skončení pobytu (premlčacia lehota nárokov + reklamácie).
  • Marketingový súhlas / newsletter: po dobu trvania súhlasu, max. 24 mesiacov, alebo do odvolania.
  • Audit log bezpečnosti: 12 mesiacov.

Po uplynutí týchto lehôt osobné údaje bezpečne vymažeme alebo anonymizujeme tak, aby sa nedali priradiť ku konkrétnej osobe.

Článok 7. Príjemcovia osobných údajov

Vaše osobné údaje môžu byť poskytnuté nasledujúcim kategóriám príjemcov a sprostredkovateľov, výhradne v rozsahu nevyhnutnom pre splnenie účelu:

  • Plesk hosting / Ellipse Cloud Solutions — hostingový poskytovateľ, technická prevádzka serverov a databázy v rámci EÚ (Slovensko).
  • Cloudflare, Inc. — CDN, WAF, anti-bot Turnstile, DDoS ochrana; spracúva IP adresy a request metadata. Cloudflare má globálnu sieť; prenos do USA prebieha podľa Štandardných zmluvných doložiek (SCC) EÚ.
  • OpenAI, L.L.C. — poskytovateľ jazykového modelu pre AI asistentku Ella; obsah Vašej chat konverzácie sa odosiela do OpenAI API. Prenos do USA prebieha podľa SCC; OpenAI nepoužíva údaje z API na trénovanie modelov (zmluvný záväzok).
  • Google LLC — Google Maps Places API (vyhľadávanie miest, geokódovanie); odosielajú sa textové dopyty, nie identifikátory používateľa. Prenos do USA podľa SCC.
  • MCP gateway (mcp.ellipsecloud.com) — interná infraštruktúra Ellipse Cloud pre prepojenie hotelových katalógov a AI; prevádzkovaná v rámci EÚ.
  • HORECA SMTP relay — odosielateľ transakčných e-mailov (registrácia, notifikácie, reset hesla); prevádzkovaný v rámci EÚ.
  • Ubytovatelia (registrovaní hostia) — pri Rezervácii sa kontaktné údaje Klienta (meno, e-mail, telefón, údaje o Rezervácii) sprístupnia konkrétnemu Ubytovateľovi výhradne na účel splnenia ubytovacej zmluvy. Ubytovateľ je v tomto vzťahu samostatným prevádzkovateľom.
  • Účtovná a právna kancelária — externí poskytovatelia účtovných a právnych služieb v rámci EÚ; sú viazaní mlčanlivosťou.
  • Daňový úrad, Sociálna poisťovňa, Štatistický úrad, Úrad na ochranu osobných údajov SR a iné orgány verejnej moci — len v rozsahu vyžadovanom platnými zákonmi.
  • V prípade súdneho sporu: súdy, advokátske kancelárie, súdny exekútori.

Osobné údaje nepredávame tretím stranám a neposkytujeme ich na marketing iných subjektov.

Článok 8. Cezhraničný prenos do tretích krajín

Pri niektorých službách dochádza k prenosu osobných údajov mimo EÚ:

  • OpenAI (USA) — chat s asistentkou Ella; prenos podľa Štandardných zmluvných doložiek (SCC) EÚ a doplnkových opatrení podľa Schrems II.
  • Google (USA) — Maps Places API; prenos podľa SCC.
  • Cloudflare (globálna sieť) — anti-bot, CDN; prenos podľa SCC; Cloudflare prevádzkuje EU-only datacentrá pre väčšinu typov dát.

Ak nesúhlasíte s týmito prenosmi, môžete obmedziť funkcionalitu Portálu (napríklad nepoužívať AI chat); väčšina služieb Portálu funguje aj bez nich.

Článok 9. Cookies

Portál používa tri kategórie súborov cookie:

  • Technické (nevyhnutné): session cookie, CSRF token, consent cookie. Bez nich Portál nemôže korektne fungovať. Spracúvajú sa na základe oprávneného záujmu.
  • Analytické: interná štatistika návštevnosti, identifikácia popularity stránok. Anonymizované; spracovávané na základe oprávneného záujmu (event. súhlasu po nasadení banneru).
  • Marketingové: remarketing, sledovanie konverzií, A/B testovanie ponúk. Spracovávané výhradne na základe Vášho súhlasu.

Cookies môžete kedykoľvek zakázať / vymazať v nastaveniach prehliadača. Niektoré funkcie Portálu však môžu prestať fungovať.

Článok 10. Vaše práva

V súlade s GDPR a zákonom č. 18/2018 Z. z. máte ako dotknutá osoba nasledujúce práva:

  • Právo na prístup (Čl. 15 GDPR) — môžete od nás žiadať potvrdenie, či spracúvame Vaše osobné údaje, a kópiu týchto údajov spolu s informáciami o spracúvaní.
  • Právo na opravu (Čl. 16) — pri nesprávnych alebo neúplných údajoch máte právo na ich opravu / doplnenie.
  • Právo na vymazanie / „právo na zabudnutie" (Čl. 17) — môžete žiadať vymazanie osobných údajov, ak už nie sú potrebné na účel, ak ste odvolali súhlas, ak namietate proti spracúvaniu alebo ak boli údaje spracúvané nezákonne. Toto právo je obmedzené tam, kde nám ukladá zákon údaje uchovávať (napr. fakturačné údaje 10 rokov).
  • Právo na obmedzenie spracúvania (Čl. 18) — počas riešenia námietky alebo overenia správnosti údajov.
  • Právo na prenosnosť údajov (Čl. 20) — pri spracúvaní na základe zmluvy alebo súhlasu môžete požiadať o vydanie údajov v štruktúrovanom, strojovo čitateľnom formáte.
  • Právo namietať (Čl. 21) — proti spracúvaniu na základe oprávneného záujmu (vrátane priameho marketingu a profilovania).
  • Právo odvolať súhlas (Čl. 7 ods. 3) — kedykoľvek, bez vplyvu na zákonnosť spracúvania pred odvolaním. Súhlas odvoláte e-mailom alebo v nastaveniach Vášho účtu.
  • Právo nebyť predmetom automatizovaného rozhodovania (Čl. 22) — Ellavia nepoužíva automatizované rozhodovanie s právnymi účinkami pre dotknuté osoby.
  • Právo podať sťažnosť dozornému orgánu — Úrad na ochranu osobných údajov SR, Hraničná 12, 820 07 Bratislava 27, IČO: 36 064 220, tel. +421 2 3231 3214, https://dataprotection.gov.sk/uoou/.

Článok 11. Ako uplatniť práva

Svoje práva môžete uplatniť:

  • e-mailom na [email protected]
  • písomne na adresu sídla Prevádzkovateľa: HORECA GROUP s.r.o., Francisciho 20/B, 058 01 Poprad
  • v Extranete cez funkciu „Moje údaje" (pre registrovaných ubytovateľov).

Vašej žiadosti odpovieme najneskôr do 30 dní od jej doručenia. V odôvodnených prípadoch (komplexné žiadosti) môžeme túto lehotu predĺžiť o ďalšie 2 mesiace, pričom Vás o predĺžení informujeme. Vybavenie žiadostí je bezplatné; pri zjavne neodôvodnených alebo opakovaných žiadostiach môžeme účtovať primeraný administratívny poplatok alebo žiadosť odmietnuť.

Pred vybavením žiadosti si môžeme vyžiadať dodatočné informácie na overenie Vašej identity (ochrana pred neoprávneným prístupom k cudzím údajom).

Článok 12. Zabezpečenie údajov

Prijímame primerané technické a organizačné opatrenia na ochranu Vašich osobných údajov pred neoprávneným prístupom, zmenou, zničením alebo zverejnením, najmä:

  • HTTPS / TLS na všetky komunikačné kanály;
  • Hashovanie hesiel (bcrypt / argon2);
  • Cloudflare WAF + Turnstile anti-bot ochrana;
  • Rate-limiting a geo-filter pre administračné endpointy;
  • Audit log bezpečnostných udalostí;
  • Obmedzený prístup k databáze (princíp najmenších privilégií);
  • Pravidelné backupy s kontrolovanou retenciou.

Článok 13. Alternatívne riešenie sporov (ARS)

Ak nie ste spokojní s tým, ako sme vybavili Vašu GDPR žiadosť, alebo s iným aspektom služby, máte ako spotrebiteľ právo využiť aj alternatívne riešenie sporov v zmysle zákona č. 391/2015 Z. z.:

V oblasti ochrany osobných údajov sa môžete obrátiť aj priamo na Úrad na ochranu osobných údajov SR (kontakt v Článku 10).

Článok 14. Zmeny tohto dokumentu

Tento dokument môžeme priebežne aktualizovať. O zásadných zmenách Vás budeme informovať e-mailom (registrovaných ubytovateľov) alebo upozornením na Portáli minimálne 5 dní pred účinnosťou novej verzie. Aktuálna verzia je vždy zverejnená na https://ellavia.sk/gdpr.

Verzia 2026-05-03 — platné od 3. máj 2026.
Otázky a žiadosti GDPR: [email protected].
Súvisiace dokumenty: Podmienky pre ubytovateľov · VOP pre klientov.