Skip to content

Smlouva o zpracování osobních údajů (DPA)

Smlouva o zpracování osobních údajů dle čl. 28 GDPR pro službu Deratix.

Smlouva o zpracování osobních údajů

Platnost od: 17. 3. 2026

Tato smlouva o zpracování osobních údajů (dále jen „DPA") tvoří přílohu k Všeobecným obchodním podmínkám služby Deratix (dále jen „VOP") a upravuje vzájemná práva a povinnosti smluvních stran při zpracování osobních údajů ve smyslu čl. 28 nařízení Evropského parlamentu a Rady (EU) 2016/679 (GDPR).

1. Smluvní strany a jejich postavení

1.1. Správce (Zákazník): Fyzická nebo právnická osoba – podnikatel, který uzavřel s Poskytovatelem smlouvu dle VOP a zadává osobní údaje do Služby.
1.2. Zpracovatel (Poskytovatel): Deratix s. r. o., se sídlem Štúrova 1359/12, 900 28 Ivanka pri Dunaji, Slovenská republika, IČO: 57512833.
1.3. Zákazník je Správcem osobních údajů, které vkládá do Služby. Poskytovatel je zpracovává výhradně podle pokynů Zákazníka a v rozsahu nezbytném pro poskytování Služby.

2. Předmět a účel zpracování

2.1. Poskytovatel zpracovává osobní údaje výhradně za účelem poskytování Služby dle VOP, a to zejména:

  • provozování aplikace Deratix (SaaS),
  • uchovávání a zobrazování DDD protokolů,
  • generování PDF dokumentů,
  • správa klientské databáze Zákazníka,
  • zasílání systémových e-mailových notifikací.

3. Kategorie subjektů údajů a osobních údajů

3.1. Subjekty údajů:

  • klienti Zákazníka (odběratelé DDD služeb),
  • zaměstnanci a technici Zákazníka.

3.2. Kategorie osobních údajů:

  • identifikační údaje (jméno, příjmení, IČO, DIČ),
  • kontaktní údaje (e-mail, telefon, adresa),
  • lokalizační údaje (GPS souřadnice při provedení služby),
  • podpisy (elektronické, v PDF dokumentech),
  • fotodokumentace (fotografie z provedených prací),
  • údaje o DDD činnosti (typ zákroku, použité materiály, zjištění).

4. Povinnosti Zpracovatele

Zpracovatel se zavazuje:

  • 4.1. Zpracovávat osobní údaje výhradně na základě doložených pokynů Správce včetně přenosu údajů do třetích zemí.
  • 4.2. Zajistit, aby osoby oprávněné zpracovávat osobní údaje byly vázány povinností zachovávat mlčenlivost.
  • 4.3. Přijmout přiměřená technická a organizační opatření k zabezpečení ochrany osobních údajů (viz čl. 7).
  • 4.4. Nevyužívat dalšího zpracovatele bez předchozího písemného souhlasu Správce (viz čl. 5).
  • 4.5. Pomáhat Správci při plnění jeho povinností dle čl. 32 – 36 GDPR.
  • 4.6. Bezodkladně informovat Správce o jakémkoli porušení ochrany osobních údajů, a to nejpozději do 48 hodin od jeho zjištění.
  • 4.7. Po ukončení poskytování Služby vymazat osobní údaje do 30 dnů, pokud právní předpisy nevyžadují jejich uchovávání.
  • 4.8. Poskytnout Správci veškeré informace potřebné k prokázání plnění povinností dle čl. 28 GDPR a umožnit audity.

5. Sub-zpracovatelé

5.1. Správce uděluje Zpracovateli obecný písemný souhlas se zapojením sub-zpracovatelů uvedených v následující tabulce. Zpracovatel informuje Správce o jakékoli změně sub-zpracovatelů minimálně 14 dnů předem e-mailem. Správce má právo vznést námitku.

5.2. Aktuální seznam sub-zpracovatelů:

Sub-zpracovatel Sídlo / Umístění dat Účel
Hetzner Online GmbH Německo (EU) Hosting serverů a databází
SFTPCloud.io Frankfurt, Německo (EU) Šifrované zálohy dat
MechanicWeb Inc. USA → Data: Německo (EU) Správa serverové infrastruktury
cPanel / Softaculous USA → Data: Německo (EU) Správa serverového prostředí
Emailit (emailit.com) EU Doručování transakčních e-mailů

5.3. Pro sub-zpracovatele se sídlem v USA jsou data fyzicky uložena výhradně v EU (Německo). Přenos se uskutečňuje na základě standardních smluvních doložek (SCC) dle čl. 46 odst. 2 písm. c) GDPR.

6. Povinnosti Správce

Správce se zavazuje:

  • 6.1. Zajistit zákonný právní základ zpracování údajů vkládaných do Služby.
  • 6.2. Plnit informační povinnost vůči subjektům údajů.
  • 6.3. Reagovat na žádosti subjektů údajů o výkon jejich práv.
  • 6.4. Nezadávat do Služby zvláštní kategorie údajů (čl. 9 GDPR) nad rámec nezbytný pro DDD činnost.

7. Technická a organizační opatření (TOMs)

Zpracovatel implementuje a udržuje následující opatření:

Šifrování a přenos:

  • komunikace mezi klientem a serverem je šifrována protokolem TLS 1.2+,
  • zálohy jsou šifrovány algoritmem AES-256,
  • databáze jsou přístupné výhradně z interní sítě serveru.

Řízení přístupu:

  • přístup k údajům je řízen systémem rolí a oprávnění (RBAC),
  • každý přístup je zaznamenáván v auditním záznamu (audit trail),
  • hesla jsou ukládána výhradně v hashované podobě (bcrypt).

Dostupnost a obnova:

  • automatické denní zálohy na geograficky oddělené úložiště (SFTPCloud, Frankfurt),
  • monitoring dostupnosti 24/7,
  • garantovaná dostupnost 99,5 % měsíčně (viz VOP).

Organizační opatření:

  • personál s přístupem k osobním údajům je vázán mlčenlivostí,
  • pravidelné aktualizace softwaru a bezpečnostní záplaty,
  • postup pro řešení bezpečnostních incidentů (incident response).

8. Doba zpracování a výmaz

8.1. Tato DPA je účinná po celou dobu platnosti smlouvy o poskytování Služby dle VOP.
8.2. Po ukončení Služby Zpracovatel vymaže veškeré osobní údaje Zákazníka do 30 dnů. Na požádání poskytne potvrzení o výmazu.
8.3. Zákazník je povinen si před ukončením Služby exportovat údaje (viz čl. 9 VOP – Export dat).

9. Audity

9.1. Správce má právo provést audit dodržování této DPA, a to maximálně jednou ročně s předchozím oznámením minimálně 30 dnů předem.
9.2. Audit může být proveden Správcem nebo jím pověřeným nezávislým auditorem vázaným mlčenlivostí.
9.3. Náklady auditu nese Správce, pokud audit neodhalí podstatné porušení této DPA.

10. Závěrečná ustanovení

10.1. Tato DPA se řídí slovenským právem a nařízením GDPR.
10.2. V případě rozporu mezi touto DPA a VOP má přednost tato DPA v rozsahu ochrany osobních údajů.
10.3. Dotazy týkající se ochrany osobních údajů: support@deratix.com

Obchodní podmínky