DPA - Dohoda o zpracování osobních údajů
Data Processing Agreement (DPA) dle čl. 28 GDPR
⚠️ DŮLEŽITÉ UPOZORNĚNÍ
Článek 1 - Předmět smlouvy
1.1. Tato zpracovatelská smlouva (dále jen „Smlouva") upravuje vztahy při zpracování osobních údajů mezi:
- •Správcem: Zákazníkem využívajícím služby AI chat widgetu
- •Zpracovatelem: Společností ProdejUP, s.r.o., IČO: 221 71 746
1.2. Zpracovatel se zavazuje zpracovávat osobní údaje pro Správce v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 (GDPR) a souvisejícími právními předpisy.
Článek 2 - Doba trvání a rozsah zpracování
2.1. Doba zpracování: Po dobu trvání hlavní smlouvy o poskytování služeb (Obchodní podmínky) plus 30 dnů po jejím ukončení pro účely migrace dat.
2.2. Povaha a účel zpracování:
- •Poskytování AI chat služeb na webových stránkách Správce
- •Ukládání a analýza konverzací mezi návštěvníky a AI chatem
- •Generování statistik a přehledů pro Správce
- •Technická podpora a řešení incidentů
2.3. Typ osobních údajů:
- •Identifikátory návštěvníků (session ID, cookies)
- •Obsah konverzací v chatu
- •Metadata o návštěvě (čas, stránky, zařízení)
- •Kontaktní údaje (pokud je návštěvník poskytne)
- •Další údaje dle konfigurace Správce
2.4. Kategorie subjektů údajů:
- •Návštěvníci webových stránek Správce
- •Zákazníci Správce
- •Potenciální zákazníci a zájemci
Článek 3 - Povinnosti Zpracovatele
3.1. Zpracovatel se zavazuje:
a) Zpracování podle pokynů
- •Zpracovávat osobní údaje pouze na základě doložených pokynů Správce
- •Informovat Správce, pokud pokyn porušuje GDPR nebo jiné předpisy
- •Nezpracovávat údaje pro vlastní účely
b) Důvěrnost
- •Zajistit, aby se osoby oprávněné zpracovávat údaje zavázaly k mlčenlivosti
- •Zachovávat důvěrnost o všech osobních údajích
- •Omezit přístup k údajům pouze na nezbytné osoby
c) Bezpečnost zpracování
- •Přijmout vhodná technická a organizační opatření podle čl. 32 GDPR:
- •Šifrování osobních údajů při přenosu (TLS/SSL) i v klidu
- •Zajištění trvalé důvěrnosti, integrity a dostupnosti systémů
- •Schopnost obnovit dostupnost údajů při incidentu
- •Pravidelné testování a hodnocení účinnosti opatření
- •Implementace přístupových kontrol a autentizace
- •Pravidelné zálohování dat
- •Monitoring a detekce bezpečnostních incidentů
d) Další zpracovatelé
- •Nezapojit dalšího zpracovatele bez předchozího písemného povolení Správce
- •Informovat Správce o všech zamýšlených změnách týkajících se přijetí dalších zpracovatelů
- •Zajistit, aby další zpracovatelé poskytovali stejné záruky
e) Práva subjektů údajů
- •Pomáhat Správci při plnění jeho povinností reagovat na žádosti subjektů údajů
- •Předávat žádosti subjektů údajů Správci bez zbytečného odkladu
- •Neposkytovat údaje přímo subjektům údajů bez pokynu Správce
f) Součinnost
- •Pomáhat Správci zajistit soulad s povinnostmi podle čl. 32 až 36 GDPR
- •Poskytovat Správci veškeré informace potřebné k doložení souladu
- •Umožnit a přispívat k auditům prováděným Správcem
Článek 4 - Povinnosti Správce
4.1. Správce se zavazuje:
- •Poskytovat Zpracovateli jasné a zákonné pokyny
- •Zajistit právní základ pro zpracování osobních údajů
- •Informovat subjekty údajů o zpracování
- •Dodržovat všechny povinnosti vyplývající z GDPR
- •Spolupracovat se Zpracovatelem při řešení incidentů
Článek 5 - Technická a organizační opatření
5.1. Zpracovatel implementuje následující opatření:
| Oblast | Opatření | Popis |
|---|---|---|
| Šifrování | TLS 1.3, AES-256 | Šifrování při přenosu i v klidu |
| Přístupová kontrola | RBAC, MFA | Role-based access control, vícefaktorová autentizace |
| Zálohování | Denní zálohy | Automatické zálohování s 30denní retencí |
| Monitoring | 24/7 SOC | Nepřetržité monitorování bezpečnosti |
| Fyzická bezpečnost | ISO 27001 DC | Certifikovaná datacentra v EU |
| Incident management | CSIRT tým | Specializovaný tým pro řešení incidentů |
EU-U.S. Data Privacy Framework: Stripe je od 17. 7. 2023 certifikován v rámci DPF pro služby "Stripe Payments" a "Stripe Billing". Zpracovatel nejméně jednou ročně ověřuje platnost certifikace a v případě zrušení rámce okamžitě aktivuje SCC 2021 s doplňkovým šifrováním (AES-256/TLS 1.3) a pseudonymizací dat.
Článek 11a - DORA & incidentní hlášení
Zpracovatel vede registr poskytovatelů ICT služeb dle nařízení (EU) 2022/2554 (DORA), v němž je Stripe uveden jako kritický subdodavatel. Závažné incidenty (výpadek plateb, únik dat, kompromitace API klíčů) jsou klasifikovány do 30 minut, předběžné oznámení Správci odesíláme do 4 hodin, následný report do 72 hodin a závěrečnou zprávu do 30 dnů. Správce je oprávněn použít tyto podklady pro hlášení ČNB nebo jiným dozorovým orgánům.
Článek 6 - Mezinárodní přenosy údajů
6.1. Zpracovatel se zavazuje nepředávat osobní údaje do třetích zemí nebo mezinárodním organizacím bez předchozího písemného souhlasu Správce.
6.2. Pro schválené přenosy (např. OpenRouter) používáme SCCs.
Článek 7 - Porušení zabezpečení údajů
7.1. Zpracovatel oznámí Správci jakékoliv porušení zabezpečení osobních údajů bez zbytečného odkladu, nejpozději do 24 hodin od zjištění.
7.2. Zpracovatel poskytne součinnost při oznamování incidentu ÚOOÚ.
7.3. Oznámení bude obsahovat minimálně:
- •Popis povahy porušení zabezpečení
- •Kategorie a přibližný počet dotčených subjektů údajů
- •Kategorie a přibližný počet dotčených záznamů
- •Popis pravděpodobných důsledků
- •Popis přijatých nebo navrhovaných opatření
- •Kontaktní údaje pověřence pro ochranu osobních údajů
Článek 8 - Audit a kontrola
8.1. Zpracovatel umožní Správci nebo jím pověřenému auditorovi provádět audity a kontroly zpracování osobních údajů.
8.2. Audity budou prováděny:
- •Maximálně jednou ročně (kromě případů podezření na porušení)
- •S předchozím oznámením alespoň 30 dnů předem
- •V běžné pracovní době
- •Způsobem minimalizujícím narušení provozu
Článek 9 - Vrácení a výmaz údajů
9.1. Po ukončení poskytování služeb Zpracovatel podle volby Správce:
- •Vrátí všechny osobní údaje Správci ve strukturovaném formátu
- •Vymaže všechny osobní údaje a existující kopie
- •Poskytne potvrzení o výmazu údajů
9.2. Zpracovatel může ponechat údaje pouze pokud to vyžaduje právo EU nebo členského státu.
Článek 10 - Odpovědnost a náhrada škody
10.1. Každá strana odpovídá za škody způsobené porušením GDPR v rozsahu stanoveném čl. 82 GDPR.
10.2. Zpracovatel odškodní Správce za jakékoliv škody vzniklé porušením této Smlouvy nebo GDPR ze strany Zpracovatele.
Článek 11 - Seznam schválených dalších zpracovatelů
11.1. Správce uděluje obecné povolení k zapojení následujících dalších zpracovatelů. Správce má právo vznést námitku proti novému zpracovateli do 14 dnů od oznámení.
| Zpracovatel | Služba | Umístění | Účel |
|---|---|---|---|
| MongoDB (Railway) | Databáze | EU | Ukládání dat |
| Railway | Hosting | EU | Provoz aplikace |
| OpenRouter | AI služby | USA | AI zpracování (anonymizované) |
| Stripe | Platby | EU/USA | Zpracování plateb |
Článek 12 - Závěrečná ustanovení
12.1. Tato Smlouva se řídí právním řádem České republiky a GDPR.
12.2. Tato Smlouva je nedílnou součástí Obchodních podmínek a vstupuje v platnost současně s nimi.
12.3. V případě rozporu mezi touto Smlouvou a Obchodními podmínkami má přednost tato Smlouva v otázkách ochrany osobních údajů.
12.4. Změny této Smlouvy jsou možné pouze písemnou formou po dohodě obou stran.
Článek 13 - Kontaktní údaje
Zpracovatel:
ProdejUP, s.r.o.IČO: 221 71 746
Sídlo: Příčná 1892/4, Nové Město, 110 00 Praha 1
Email pro DPA záležitosti: info@dvojkavit.com
Kontakt pro bezpečnostní incidenty: info@dvojkavit.com (24/7)
POTVRZENÍ ZPRACOVATELE
Společnost ProdejUP, s.r.o. tímto potvrzuje, že má zavedeny veškeré technické a organizační opatření potřebné pro zajištění bezpečnosti zpracování osobních údajů v souladu s GDPR a touto Smlouvou.
Právní upozornění
Používáním našich služeb pro zpracování osobních údajů třetích osob automaticky souhlasíte s podmínkami této zpracovatelské smlouvy. Ujistěte se, že máte právní základ pro zpracování osobních údajů vašich návštěvníků.