1. Úvodní ustanovení
Tato Smlouva o zpracování osobních údajů (dále jen „DPA“) je uzavřena mezi společností ADVICE, spol. s r.o., se sídlem Žežická 665, 400 07 Ústí nad Labem, IČO: 25017896, provozovatelem platformy Samvio dostupné na samvio.cz (dále jen „Zpracovatel“), a uživatelem, který se registroval na platformě a využívá její služby (dále jen „Zákazník“; Zákazník vystupuje jako Správce osobních údajů ve smyslu čl. 4 odst. 7 GDPR). DPA je nedílnou součástí Obchodních podmínek a upravuje zpracování osobních údajů v souladu s čl. 28 Nařízení (EU) 2016/679 (GDPR).
2. Předmět smlouvy
Zpracovatel zpracovává osobní údaje jménem Zákazníka v rozsahu nezbytném pro poskytování služeb platformy Samvio — zejména správy uživatelských účtů, předplatných, plateb a jednotné autentizace (SSO) do aktivovaných aplikací. Tato DPA se vztahuje pouze na zpracování na úrovni platformy Samvio. Zpracování v rámci konkrétních aplikací upravují samostatné přílohy této DPA, které Zákazník akceptuje při aktivaci dané aplikace.
3. Povaha, účel a doba zpracování
Zpracování je automatizované a probíhá za účelem provozu platformy, fakturace, autentizace a zabezpečení služby. Doba zpracování odpovídá trvání smluvního vztahu mezi Zákazníkem a Zpracovatelem. Po ukončení vztahu se uplatní ustanovení čl. 10 této DPA.
4. Kategorie subjektů a typy údajů
Subjekty údajů: administrátoři a kontaktní osoby Zákazníka (zpravidla statutární zástupce nebo pověřený zaměstnanec Zákazníka), kteří se registrují na platformě a spravují předplatné.
Zpracovávané údaje: identifikační údaje (jméno, příjmení, email), fakturační údaje (název firmy, IČO, DIČ, adresa sídla), přihlašovací údaje (heslo uložené nevratnou kryptografickou transformací, autentizační identifikátory třetích stran), technická data (IP adresa, časové razítko přihlášení, identifikátory relace), údaje o využívání služeb (aktivní předplatná, historie plateb).
5. Povinnosti Zpracovatele
Zpracovatel se zavazuje: (a) zpracovávat osobní údaje pouze na základě doložených pokynů Zákazníka; (b) zajistit mlčenlivost osob oprávněných zpracovávat osobní údaje; (c) přijmout technická a organizační opatření podle čl. 32 GDPR (viz čl. 7); (d) poskytnout Zákazníkovi součinnost při plnění jeho povinností podle čl. 32–36 GDPR; (e) po ukončení smlouvy smazat nebo vrátit osobní údaje podle volby Zákazníka; (f) poskytnout Zákazníkovi informace potřebné k prokázání splnění povinností Zpracovatele.
6. Sub-zpracovatelé
Zpracovatel využívá následující sub-zpracovatele, se kterými má uzavřené odpovídající smlouvy zajišťující úroveň ochrany podle GDPR:
| Sub-zpracovatel | Role | Umístění |
|---|
| WEDOS Internet, a.s. | Hosting (VPS, databáze, SMTP) | Česká republika |
| Fakturoid s.r.o. | Fakturace (generování a archivace faktur) | Česká republika |
| Google LLC | OAuth přihlášení (volitelné) | EU / USA (Standardní smluvní doložky) |
Zákazník souhlasí s využitím uvedených sub-zpracovatelů. Zpracovatel oznámí Zákazníkovi každou změnu sub-zpracovatelů (přidání nebo výměnu) nejméně 30 dní předem emailem s možností vznést námitku.
7. Bezpečnostní opatření
Zpracovatel přijal vhodná technická a organizační opatření odpovídající povaze zpracování a rizikům dle čl. 32 GDPR, zejména: a) šifrování dat při přenosu i v klidovém stavu; b) pseudonymizaci přístupových údajů (uložení nevratným kryptografickým algoritmem); c) logické oddělení dat jednotlivých zákazníků (multi-tenant izolace); d) řízení přístupu na principu minimálních oprávnění; e) krátkou dobu platnosti přístupových tokenů a rotaci dlouhodobých přihlašovacích údajů; f) ochranu proti automatizovaným útokům (rate limiting); g) pravidelné zálohování dat a postupy pro obnovu po incidentu; h) audit log přístupů k citlivým operacím; i) pravidelné posuzování účinnosti opatření. Konkrétní použité technologie a postupy se mohou v čase měnit dle vývoje osvědčených bezpečnostních praktik. Detailní popis aktuálních opatření poskytne Zpracovatel Zákazníkovi na vyžádání.
8. Práva subjektů údajů
Zpracovatel poskytne Zákazníkovi přiměřenou součinnost při plnění žádostí subjektů údajů o přístup, opravu, výmaz, omezení zpracování, přenositelnost a námitku. Žádosti subjektů směřované přímo na Zpracovatele budou bez zbytečného odkladu předány Zákazníkovi k vyřízení.
9. Oznamování incidentů
Zpracovatel oznámí Zákazníkovi každé porušení zabezpečení osobních údajů bez zbytečného odkladu, nejpozději do 72 hodin od okamžiku, kdy se o něm dozvěděl. Oznámení bude obsahovat povahu porušení, dotčené kategorie a přibližný počet subjektů, pravděpodobné následky a přijatá či navrhovaná opatření. Kontaktní email pro hlášení: info@samvio.cz.
10. Ukončení smlouvy a výmaz dat
Po ukončení smluvního vztahu Zpracovatel na volbu Zákazníka buď vrátí všechny osobní údaje Zákazníkovi ve strojově čitelném formátu, nebo je smaže, nejpozději do 30 dnů od ukončení. Zálohy obsahující osobní údaje budou smazány v rámci standardní retence zálohovacího cyklu (max. 30 dní). Zpracovatel Zákazníkovi na žádost písemně potvrdí provedení výmazu.
