Tento dokument je vzorovou DPA pro zákazníky, kteří jsou ve vztahu ke svým osobním údajům správcem a Proklepni.to využívají jako zpracovatele. Kontaktování e-mailem na admin@proklepnito.cz s žádostí o uzavření DPA postačí k jejímu sjednání mezi smluvními stranami; akceptací obchodních podmínek a aktivním placeným tarifem se uplatňuje níže uvedené ujednání bez nutnosti dalších podpisů, pokud zákazník výslovně nepožaduje papírovou verzi.
1. Strany
- Správce — zákazník služby Proklepni.to, identifikovaný e-mailem účtu a IČO uvedeným ve fakturačních údajích.
- Zpracovatel — společnost refactorials s.r.o., IČO 05460409, se sídlem V jezevčinách 1201/6, Klánovice, 190 14 Praha 9.
2. Předmět a doba zpracování
Zpracovatel poskytuje Správci službu Proklepni.to (compliance monitoring nad českým trhem) na základě Obchodních podmínek. Při poskytování služby může zpracovávat osobní údaje, ke kterým má Správce ve vztahu k subjektům údajů postavení správce.
DPA je účinná po dobu trvání hlavní smlouvy (Obchodních podmínek) a zaniká vrácením nebo výmazem osobních údajů dle oddílu 8.
3. Povaha a účel zpracování, kategorie osobních údajů
Účel: poskytování služby — monitoring veřejných rejstříků k IČO, která Správce nahraje, generování upozornění a reportů, AI asistence nad monitorovanými daty, vyúčtování.
Kategorie osobních údajů a subjektů údajů:
- Uživatelé Správce v aplikaci — kontaktní údaje (e-mail, jméno), autentizační hash, IP, logy aktivit, případně obsah chatu s AI.
- Fyzické osoby v roli statutárů / jednatelů monitorovaných firem — pouze v rozsahu, v jakém jsou veřejně publikovány v ARES / Obchodním rejstříku (jméno, role, datum jmenování).
4. Povinnosti Zpracovatele
Zpracovatel se zavazuje:
- zpracovávat osobní údaje pouze na základě doložených pokynů Správce (faktickým pokynem je samotné používání služby v souladu s těmito dokumenty),
- zachovávat mlčenlivost a zajistit ji u všech osob s přístupem,
- uplatňovat technická a organizační opatření přiměřená rizikům (viz oddíl 7),
- být součinný při uplatňování práv subjektů údajů — pokud subjekt osloví Zpracovatele přímo, postoupí žádost Správci,
- oznámit Správci porušení zabezpečení osobních údajů bez zbytečného odkladu, nejpozději do 48 hodin od zjištění (čl. 33 odst. 2 GDPR),
- poskytnout Správci součinnost při DPIA dle čl. 35–36 GDPR,
- po skončení poskytování služby osobní údaje smazat nebo vrátit (viz oddíl 8).
5. Sub-zpracovatelé (sub-processors)
Správce uděluje Zpracovateli obecné svolení k využití sub-zpracovatelů za podmínek čl. 28 odst. 2 a 4 GDPR. Zpracovatel se zavazuje, že sub-zpracovatelům uloží stejné povinnosti jako sám má dle této DPA.
Aktuální seznam sub-zpracovatelů odpovídá zpracovatelům uvedeným v oddíle 5 Zásad ochrany osobních údajů, v souhrnu:
- Railway Corp. (USA, SCC) — hosting aplikace a databáze.
- Resend, Inc. (USA, SCC) — transakční e-maily.
- Comgate Payments, a.s. (ČR) — platební brána.
- Sentry / Functional Software, Inc. (USA, SCC) — error tracking.
- Axiom Industries Ltd. (USA/UK, SCC) — server logging.
- Healthchecks.io / Monkey See Monkey Do, s.r.o. (ČR/EU) — job monitoring.
- OpenAI, L.L.C. (USA, EU-US DPF + SCC) — primární LLM pro AI asistenta.
- Anthropic, PBC (USA, EU-US DPF + SCC) — záložní LLM, extrakce finančních ukazatelů.
- Google LLC (USA, EU-US DPF + SCC) — reCAPTCHA v3, OAuth Sign-In, volitelná analytika Google Analytics 4 (pouze se souhlasem).
O záměru přidat nebo nahradit sub-zpracovatele Zpracovatel Správce informuje s minimálně 30denním předstihem e-mailem. Pokud má Správce proti změně oprávněnou námitku, je oprávněn smlouvu vypovědět bez sankce.
6. Mezinárodní předání
Předání mimo EHP je zajištěno standardními smluvními doložkami Evropské komise (modul „processor-to-processor", rozhodnutí č. 2021/914) a u USA zpracovatelů certifikovaných v rámci EU-US Data Privacy Framework rovněž rozhodnutím Evropské komise o odpovídající úrovni ochrany z roku 2023.
7. Zabezpečení (čl. 32 GDPR)
Zpracovatel zavádí přiměřená technická a organizační opatření, mezi něž patří:
- šifrování přenosu (TLS 1.3) a šifrování v klidu (managed disk encryption na úrovni hostingu),
- hesla uložena výhradně jako BCrypt hash; refresh tokeny jako SHA-256 hash s rotací při každém použití,
- JWT access tokeny s krátkou platností (15 min), ne v perzistentním úložišti,
- přístup do databáze jen z aplikace, nikoli z veřejné sítě,
- logování přístupů, hlídání anomálií (Sentry, Axiom),
- oddělení produkčního prostředí od vývojového,
- pravidelné aktualizace závislostí a knihoven,
- princip minimalizace dat — sbíráme jen to, co je k poskytnutí služby nezbytné.
8. Vrácení / výmaz po skončení zpracování
Po skončení poskytování služby (zrušení účtu Správce, ukončení Obchodních podmínek) Zpracovatel:
- do 30 dnů smaže všechna aktivní data Správce,
- vystaví Správci na žádost potvrzení o výmazu,
- zachová pouze údaje, u nichž k tomu má zákonnou povinnost (fakturační doklady — 10 let dle zákona o účetnictví),
- na výslovnou žádost Správce před výmazem poskytne export dat ve strojově čitelném formátu (JSON / CSV) — uplatnění práva na přenositelnost dle čl. 20 GDPR.
9. Audit a kontrola
Správce má právo si na vlastní náklady ověřit dodržování této DPA. Zpracovatel poskytne Správci na žádost dokumentaci k bezpečnostním opatřením (souhrnný popis, nikoli interní artefakty), ne častěji než jednou ročně, pokud nedojde k porušení zabezpečení.
Z důvodu obchodního tajemství a sdílené infrastruktury s ostatními zákazníky není možný fyzický audit prostor; pro účely auditu slouží výše uvedená dokumentace a případně dotazník (SIG-lite, CAIQ).
10. Odpovědnost
Odpovědnost Zpracovatele dle této DPA je omezena obdobně jako v Obchodních podmínkách (oddíl 7) — výší poplatku uhrazeného Správcem za posledních 12 měsíců, nejde-li o úmyslné porušení.
11. Rozhodné právo
Tato DPA se řídí právem České republiky a zejména obecným nařízením GDPR (EU) 2016/679. Spory řeší příslušné soudy v ČR.
12. Související dokumenty
13. Kontakt
Pro uzavření individuální verze DPA (např. na korporátním papíře s podpisy obou stran) nebo pro otázky kolem zpracování osobních údajů kontaktujte: admin@proklepnito.cz.