Smlouva o zpracování osobních údajů (Data Processing Agreement — DPA) dle čl. 28 GDPR

Tato smlouva je automaticky uzavřena přijetím Smluvních podmínek zákazníkem Agency tieru. Individuální DPA s vlastními podmínkami je k dispozici na vyžádání — kontaktujte [email protected].

1. Smluvní strany

Správce: [Jméno zákazníka, IČO, adresa] (dále „Správce")

Zpracovatel: Martin Havel, IČO 71677763, Košťálkova 1103/2, 182 00 Praha 8 (dále „Zpracovatel")

2. Předmět smlouvy

Tato smlouva upravuje podmínky zpracování osobních údajů Zpracovatelem na základě pokynů Správce při používání služby cz-agents (app.cz-agents.dev) v rámci tieru Agency.

3. Účel a rozsah zpracování

• Účel: due-diligence kontroly fyzických osob a právnických subjektů ve veřejných registrech.
• Kategorie subjektů: statutární zástupci, jednatelé, prokuristé právnických osob evidovaní v ARES, ISIR, sankčních seznamech.
• Druhy osobních údajů: jméno, datum narození, adresa, funkce, členství v orgánech.
• Trvání zpracování: po dobu účinnosti předplatného Agency.

4. Povinnosti Zpracovatele

Zpracovatel se zavazuje:

• zpracovávat osobní údaje pouze na základě doložených pokynů Správce (= volání nástrojů prostřednictvím API);
• zajistit, aby osoby oprávněné ke zpracování přijaly závazek mlčenlivosti;
• přijmout veškerá opatření dle čl. 32 GDPR (technická a organizační bezpečnost);
• respektovat podmínky pro zapojení sub-zpracovatelů — aktuální seznam v bodě 7;
• asistovat Správci při plnění práv subjektů údajů (čl. 15–22 GDPR);
• po ukončení smlouvy osobní údaje vymazat nebo vrátit (dle volby Správce) do 30 dnů;
• poskytnout Správci veškeré informace nutné k doložení souladu s čl. 28 GDPR.

5. Povinnosti Správce

Správce prohlašuje, že disponuje platným právním základem pro zpracování osobních údajů subjektů, které prověřuje, a že prověřování provádí v souladu s platnými právními předpisy (zejm. zák. č. 253/2008 Sb. o AML/KYC).

6. Technická a organizační bezpečnostní opatření (čl. 32 GDPR)

• Šifrování přenosu: TLS 1.2+ (Cloudflare to Hetzner).
• Fyzická bezpečnost: Hetzner data centrum Falkenstein (DE) — ISO 27001 certifikace.
• Přístupová kontrola: API tokeny per-zákazník, databázový přístup pouze pro provozovatele.
• Audit log: každé volání API je zaznamenáno (timestamp, tool, anonymizované IČO).
• Zálohování: denní zálohy, 30denní retence, geographically co-located (Hetzner).
• Bezpečnostní incidenty: Zpracovatel informuje Správce bez zbytečného odkladu (max. 72 h od zjištění) dle čl. 33 GDPR.

7. Sub-zpracovatelé

Správce tímto uděluje obecný souhlas se zapojením níže uvedených sub-zpracovatelů:

• Hetzner Online GmbH (DE) — hosting serverové infrastruktury;
• Stripe Payments Europe, Limited (IE) — zpracování plateb;
• Cloudflare, Inc. (US) — CDN, DDoS ochrana (EU Standard Contractual Clauses).

Zpracovatel informuje Správce o plánovaných změnách v sub-zpracovatelích s předstihem 30 dní.

8. Přenos dat mimo EU

Data jsou zpracovávána na serverech v EU (Hetzner DE). Cloudflare (bod 7) operuje globálně — přenos zajištěn SCC dle čl. 46 GDPR. Jiné přenosy mimo EU se neuskutečňují.

9. Zánik smlouvy

Smlouva zaniká zrušením předplatného Agency nebo dohodou stran. Zpracovatel do 30 dnů vymaže osobní údaje Správce zpracované v rámci služby.

10. Kontakt DPO / správce

Martin Havel — [email protected]

Tato DPA je standardní šablona platná pro všechny zákazníky Agency tieru. Pro vlastní DPA s upravenými podmínkami kontaktujte [email protected].