Posúdenie vplyvu na ochranu údajov (DPIA)
Posledná aktualizácia: 19. apríl 2026
1. Účel tohto dokumentu
Tento dokument predstavuje Posúdenie vplyvu na ochranu osobných údajov (Data Protection Impact Assessment, DPIA) pre platformu NISMap prevádzkovanú spoločnosťou Complura. DPIA je vypracované podľa čl. 35 GDPR, pretože NISMap systematicky a vo veľkom rozsahu spracúva údaje súvisiace s kybernetickou bezpečnosťou a compliance organizácií (čl. 35 ods. 3 písm. b GDPR — rozsiahle spracúvanie osobitných kategórií údajov a údajov o dôveryhodnosti / bezpečnostnom postavení subjektov). Cieľom je identifikovať riziká pre práva a slobody dotknutých osôb a preukázať, že boli prijaté primerané opatrenia na ich zmiernenie.
2. Popis spracúvania
2.1 Aké údaje spracúvame
- Doména a IČO organizácie zadané na sken — verejne dostupné údaje
- Výsledky technického scanu (TLS, hlavičky, DNS, CMS fingerprint, otvorené porty)
- Odpovede na NIS2 compliance dotazník
- E-mailová adresa, meno a názov firmy registrovaného používateľa
- Fakturačné údaje (spracúva Stripe ako samostatný prevádzkovateľ pre platobné účely)
- Aplikačný audit log (kto, kedy, akú akciu vykonal)
- IČO a IBAN dodávateľov zadaných vendormi pre supply-chain audit (NIS2 čl. 21 ods. 2 písm. d), graf prepojení (RPO, RPVS) a overenie IBAN proti FS registru — všetko verejné údaje cez entyrix.com
2.2 Účely spracúvania
- Poskytovanie automatizovaného NIS2 / kybernetického bezpečnostného posúdenia
- Generovanie reportov a odporúčaní (vrátane AI-generovaných cez Claude API s anonymizovaným vstupom)
- Správa používateľského účtu a prístupových práv
- Fakturácia, účtovníctvo a plnenie zákonných povinností
- Bezpečnostný monitoring a prevencia zneužitia služby
2.3 Doba uchovávania
- Výsledky scanou — 90 dní, potom automaticky anonymizované
- Audit log — 12 mesiacov
- Účtovné a fakturačné záznamy — 10 rokov (zákonná povinnosť)
- Údaje o účte — po dobu trvania účtu + 30 dní po zrušení
3. Posúdenie nevyhnutnosti a primeranosti
Spracúvanie je nevyhnutné na poskytnutie samotnej služby — bez údajov o doméne, IČO a odpovediach na dotazník nie je možné vykonať NIS2 posúdenie. Rozsah údajov je minimalizovaný na to, čo je technicky a právne potrebné:
- Minimalizácia údajov — nezbierame žiadne osobné údaje koncových zamestnancov klientskej organizácie, len kontaktné údaje primárneho používateľa účtu
- Účelové obmedzenie — údaje slúžia výhradne na NIS2 compliance posúdenie a vystavenie reportu
- Pseudonymizácia / anonymizácia — pred odoslaním do Claude API sú údaje anonymizované (bez IČO, názvu firmy a kontaktných údajov)
- Žiadny tracking — NISMap nepoužíva tracking cookies ani reklamné identifikátory
- Právny základ — plnenie zmluvy (čl. 6 ods. 1 písm. b GDPR), oprávnený záujem na poskytovaní služby (písm. f) a zákonná povinnosť pre účtovníctvo (písm. c)
4. Identifikované riziká
Nasledujúca tabuľka sumarizuje hlavné riziká pre práva a slobody dotknutých osôb identifikované pri spracúvaní v rámci NISMap, vrátane pravdepodobnosti, dopadu a prijatých opatrení na ich zmiernenie.
| Riziko | Pravdepodobnosť | Dopad | Opatrenia na zmiernenie |
|---|---|---|---|
| Únik údajov v dôsledku útoku (data breach) | Nízka | Vysoký | Šifrovanie at-rest a in-transit, RLS na úrovni databázy, pravidelné security audity, hosting v EU (Supabase Frankfurt), incident response plán s 72h notifikáciou. |
| Neoprávnený prístup k dátam iného nájomcu | Nízka | Vysoký | Row-Level Security (RLS) v Supabase, izolácia dát na úrovni org_id, povinné autorizačné kontroly v API routes, pokrytie testami. |
| Únik citlivých údajov cez AI prompt (Claude API) | Stredná | Stredný | Anonymizácia vstupu pred každým volaním Claude API (odstránenie IČO, názvu firmy, e-mailov), DPA s Anthropic, EU SCCs, no-training klauzula podľa Anthropic Commercial Terms. |
| Bezpečnostný incident u sprostredkovateľa (sub-processor) | Nízka | Vysoký | Výber renomovaných sprostredkovateľov so SOC 2 / ISO 27001 certifikáciou, podpísané DPA, monitorovanie status pages, kontaktný plán pre breach notifikáciu od dodávateľa. |
| Account takeover (prevzatie účtu) | Stredná | Stredný | Voliteľné MFA cez Supabase Auth, rate limiting na prihlasovacích endpointoch, e-mail notifikácia o novom prihlásení, magic-link a OAuth ako preferované metódy, vynútená rotácia hesiel pri podozrení na únik. |
| Strata dostupnosti služby (DoS, výpadok) | Stredná | Nízky | Redundantný hosting (Vercel CDN, Supabase HA), denné zálohy databázy, status page, žiadne kritické osobné údaje neuchovávame výhradne v NISMap. |
| Nesprávna interpretácia AI-generovaných odporúčaní zo strany používateľa | Stredná | Nízky | Explicitný disclaimer pri každom AI výstupe ("orientačné posúdenie, pre záväzné určenie kontaktujte NBÚ/NÚKIB"), odkazy na konkrétne paragrafy SK vyhlášky 227/2025 a NÚKIB vyhlášky. |
5. Mitigačné opatrenia
Riziká sú aktívne riadené organizačnými aj technickými opatreniami. Nižšie je súhrn kľúčových kontrol implementovaných v platforme.
- Row-Level Security (RLS) — v PostgreSQL pre tenantovú izoláciu
- Šifrovanie in-transit — (TLS 1.2+) pre všetku komunikáciu s aplikáciou aj sprostredkovateľmi
- Šifrovanie at-rest — pre celú databázu a Supabase Storage
- MFA — dostupné pre všetky používateľské účty cez Supabase Auth
- Anonymizácia — vstupu pred odoslaním do Claude API (odstránenie IČO, názvu firmy, e-mailov)
- Audit log — citlivých akcií s 12-mesačnou retenciou
- Principle of least privilege — pre service role kľúče a interné prístupy
- Pravidelné dependency audity — a CSP hlavičky pre frontend
- DPA — podpísané so všetkými sprostredkovateľmi (Vercel, Supabase, Anthropic, Stripe, Resend, PostHog, Cloudflare, Sentry, Upstash, entyrix.com) — zoznam v /sub-processors
- Backup & recovery — denné zálohy s point-in-time recovery
- Opendata data boundary — na entyrix.com sa posielajú iba verejné identifikátory firiem (IČO, doména) — nikdy meno používateľa, e-mail ani iné PII
6. Konzultácia s dotknutými osobami
Vzhľadom na to, že NISMap je samoobslužná SaaS služba a okruh dotknutých osôb je široký a otvorený, prebieha konzultácia formou zverejnenia tohto DPIA dokumentu spolu so zásadami ochrany osobných údajov. Akýkoľvek používateľ alebo dotknutá osoba môže v ľubovoľnom čase zaslať pripomienky, otázky alebo žiadosti na adresu privacy@nismap.com. Pripomienky budú zohľadnené pri ďalšom prehodnotení tohto dokumentu.
7. Záver a re-assessment
Po zvážení identifikovaných rizík, prijatých opatrení a charakteru spracúvania považujeme zostatkové riziko (residual risk) pre práva a slobody dotknutých osôb za prijateľné. Spracúvanie nespôsobuje vysoké riziko, ktoré by si vyžadovalo predchádzajúcu konzultáciu s dozorným orgánom podľa čl. 36 GDPR. Tento dokument je živý a bude prehodnocovaný:
- Minimálne raz ročne
- Pri pridaní nového sprostredkovateľa alebo zmene jurisdikcie spracúvania
- Pri zmene rozsahu spracúvaných údajov alebo nového produktového modulu
- Po každom významnom bezpečnostnom incidente
8. Kontakt
Otázky, pripomienky alebo žiadosti súvisiace s týmto DPIA dokumentom alebo so spracúvaním osobných údajov v NISMap zasielajte na privacy@nismap.com.