Smlouva o zpracování osobních údajů

SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

(Data Processing Agreement / DPA)

účinná od 15. 4. 2026

uzavřená mezi:

Beilo s.r.o., IČO: 21136424, se sídlem Obětí 6. května 554/4, Krč, 140 00 Praha 4, zapsanou v obchodním rejstříku vedeném Městským soudem v Praze, oddíl C, vložka 396327, kontaktní e-mail pro záležitosti ochrany osobních údajů a tuto DPA: info@zamdot.cz
jako zpracovatelem
(dále jen „Zpracovatel“)

a

zákazníkem služby Zamdot, identifikovaným v objednávce, registraci, individuální nabídce nebo jiném smluvním dokumentu
jako správcem
(dále jen „Správce“)

⸻

1. Úvodní ustanovení a účel smlouvy

1.1. Tato smlouva o zpracování osobních údajů („DPA“) tvoří nedílnou součást smlouvy o užívání cloudové B2B SaaS aplikace Zamdot a souvisejících služeb, uzavřené mezi Zpracovatelem a Správcem, zejména na základě všeobecných obchodních podmínek, objednávky, registrace, individuální nabídky nebo jiného smluvního dokumentu („Hlavní smlouva“).

1.2. Tato DPA upravuje práva a povinnosti stran při zpracování osobních údajů, které Zpracovatel zpracovává jménem Správce v souvislosti s poskytováním služby Zamdot („Služba“).

1.3. V rozsahu, v jakém Zpracovatel zpracovává osobní údaje jménem Správce, vystupuje Správce jako správce a Zpracovatel jako zpracovatel ve smyslu GDPR.

1.4. V rozsahu, v jakém Zpracovatel určuje účely a prostředky zpracování sám, zejména u některých údajů o účtu, billingových kontaktech, smluvní administraci, podpoře, bezpečnosti nebo plnění vlastních právních povinností, vystupuje Zpracovatel jako samostatný správce; takové zpracování se touto DPA neřídí a podléhá příslušné privacy dokumentaci Zpracovatele.

1.5. V případě rozporu mezi touto DPA a Hlavní smlouvou má v otázkách ochrany osobních údajů přednost tato DPA.

1.6. Tato DPA je uzavřena v písemné formě, včetně elektronické formy.

2. Definice

2.1. GDPR znamená nařízení Evropského parlamentu a Rady (EU) 2016/679 v platném znění.

2.2. Zákaznické osobní údaje znamenají osobní údaje, které Správce nebo osoby jednající jeho jménem vloží, nahrají, importují, zpřístupní nebo jinak nechají zpracovat prostřednictvím Služby a které Zpracovatel zpracovává jménem Správce.

2.3. Subzpracovatel znamená dalšího zpracovatele zapojeného Zpracovatelem do zpracování Zákaznických osobních údajů jménem Správce.

2.4. Porušení zabezpečení osobních údajů znamená porušení zabezpečení ve smyslu čl. 4 odst. 12 GDPR, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně, neoprávněnému zpřístupnění nebo neoprávněnému přístupu k Zákaznickým osobním údajům.

2.5. Třetí země znamená stát mimo Evropský hospodářský prostor, pokud pro něj není relevantní použití rozhodnutí o odpovídající ochraně podle čl. 45 GDPR.

2.6. Pojmy neupravené v této DPA mají význam stanovený v GDPR nebo v Hlavní smlouvě.

3. Předmět, trvání, povaha a účel zpracování

3.1. Zpracovatel zpracovává Zákaznické osobní údaje po dobu trvání Hlavní smlouvy a dále po dobu nezbytnou k vrácení, exportu, výmazu, anonymizaci, běžné rotaci záloh a plnění právních povinností podle této DPA a Hlavní smlouvy.

3.2. Předmět, povaha, účel, typy osobních údajů a kategorie subjektů údajů jsou popsány v Příloze 1 této DPA.

3.3. Pokud Správce využívá Službu pro více spravovaných společností, organizačních složek nebo jiných propojených subjektů, tato DPA se vztahuje i na jejich Zákaznické osobní údaje, pokud je Správce oprávněn jejich jménem jednat a udělovat pokyny. Správce odpovídá za existenci takového oprávnění.

4. Pokyny Správce a povinnosti Správce

4.1. Správce určuje účely a prostředky zpracování Zákaznických osobních údajů a odpovídá za zákonnost jejich zpracování, zejména za:
a) existenci příslušného právního základu,
b) splnění informačních povinností vůči subjektům údajů,
c) přiměřenost, nezbytnost a aktuálnost požadovaných údajů a dokumentů,
d) vyřizování žádostí subjektů údajů, pokud tato DPA nebo kogentní právo nestanoví jinak,
e) posouzení, zda a v jakém rozsahu zpracovává zvláštní kategorie osobních údajů nebo jiné údaje vyžadující zvýšenou ochranu.

4.2. Za dokumentované pokyny Správce se považují zejména:
a) Hlavní smlouva a tato DPA,
b) pokyny zaslané z autorizovaného kontaktního e-mailu Správce,
c) nastavení a konfigurace Služby provedené oprávněnými osobami Správce,
d) užití funkcí Služby, zejména zakládání dotazníků, importy, exporty, nastavení rolí, aktivace připomínek, vlastní otázky, požadavky na dokumenty a obdobné provozní úkony.

4.3. Zpracovatel zpracovává Zákaznické osobní údaje pouze na základě dokumentovaných pokynů Správce, ledaže mu zpracování ukládá právo Unie nebo členského státu, kterému Zpracovatel podléhá. V takovém případě Zpracovatel Správce o tomto právním požadavku informuje, ledaže to příslušný právní předpis zakazuje.

4.4. Pokud se Zpracovatel důvodně domnívá, že určitý pokyn Správce porušuje GDPR nebo jiné použitelné právní předpisy na ochranu osobních údajů, bez zbytečného odkladu na to Správce upozorní a je oprávněn plnění takového pokynu přiměřeně pozastavit do jeho vyjasnění.

4.5. Správce se zavazuje prostřednictvím Služby nepožadovat, neukládat ani nezpracovávat údaje nebo dokumenty, které nejsou pro jím sledovaný účel přiměřeně potřebné nebo jejichž zpracování je protiprávní.

4.6. Pokyny mimo běžný rozsah funkcionalit Služby musí být přiměřené, technicky proveditelné a nesmí nepřiměřeně ohrozit bezpečnost, integritu nebo dostupnost Služby ani práva jiných zákazníků Zpracovatele.

5. Povinnosti Zpracovatele

5.1. Zpracovatel se zavazuje:
a) zpracovávat Zákaznické osobní údaje pouze jménem Správce a v rozsahu potřebném pro poskytování Služby,
b) zajistit, aby osoby oprávněné zpracovávat Zákaznické osobní údaje byly vázány mlčenlivostí nebo zákonnou povinností mlčenlivosti,
c) omezit přístup k Zákaznickým osobním údajům na osoby, které jej nezbytně potřebují,
d) přijmout a udržovat přiměřená technická a organizační opatření podle čl. 32 GDPR,
e) vést přiměřené záznamy a interní procesy pro prokazování souladu s touto DPA, pokud to po něm právní předpisy vyžadují,
f) nepoužívat Zákaznické osobní údaje pro vlastní marketing, prodej dat, profilování pro vlastní účely ani pro trénování obecně použitelných modelů strojového učení nebo umělé inteligence, ledaže k tomu obdrží výslovný a samostatný právně dostačující pokyn Správce nebo mu to umožňuje právní předpis.

5.2. Zpracovatel je oprávněn provádět takové zpracovatelské operace, které jsou nezbytné pro řádný provoz Služby, zejména ukládání, organizaci, strukturování, hostování, přenos, zobrazování, export, zálohování, antivirové skenování, podporu, auditní logování, bezpečnostní monitoring a výmaz.

5.3. Zpracovatel je oprávněn používat agregované a nevratně anonymizované údaje, které již neumožňují identifikaci Správce ani fyzické osoby, pro účely rozvoje, testování, statistiky, bezpečnosti a zlepšování Služby.

6. Technická a organizační opatření

6.1. Zpracovatel zavedl a udržuje technická a organizační opatření odpovídající povaze zpracování a rizikům pro práva a svobody fyzických osob. Přehled těchto opatření je uveden v Příloze 2.

6.2. Zpracovatel je oprávněn technická a organizační opatření průběžně aktualizovat nebo nahrazovat, pokud tím nedojde k podstatnému snížení celkové úrovně zabezpečení Zákaznických osobních údajů.

6.3. Zpracovatel zajišťuje přístup k Zákaznickým osobním údajům podle principu need-to-know a least privilege.

6.4. Tam, kde je to relevantní a technicky přiměřené, Zpracovatel využívá opatření jako šifrování přenosu, ochranu uložených dat, logování přístupů, segregaci prostředí, řízení identit a přístupů, zálohování, obnovu dat a ochranu proti škodlivému kódu.

7. Porušení zabezpečení osobních údajů

7.1. Dozví-li se Zpracovatel o Porušení zabezpečení osobních údajů týkajícím se Zákaznických osobních údajů, oznámí to Správci bez zbytečného odkladu, nejpozději však do 72 hodin poté, co se o něm Zpracovatel prokazatelně dozvěděl, s výjimkou situací, kdy se v této lhůtě nepodaří získat minimální informace potřebné pro smysluplné oznámení; v takovém případě Zpracovatel Správce informuje o této skutečnosti a o předpokládaném termínu doplnění informací.

7.2. Oznámení podle odst. 7.1 bude v rozsahu dostupných informací obsahovat zejména:
a) popis povahy incidentu,
b) dotčené kategorie a přibližný rozsah subjektů údajů a údajů, jsou-li známy,
c) pravděpodobné důsledky incidentu,
d) přijatá nebo navrhovaná nápravná a zmírňující opatření,
e) kontaktní místo pro další komunikaci.

7.3. Pokud nejsou všechny informace dostupné současně, Zpracovatel je poskytne postupně bez zbytečného odkladu, jakmile je získá.

7.4. Zpracovatel přijme přiměřená opatření k omezení negativních dopadů incidentu a ke zjištění jeho příčin.

7.5. O tom, zda bude incident oznamován dozorovému úřadu nebo subjektům údajů, rozhoduje Správce, ledaže právní předpis stanoví Zpracovateli samostatnou oznamovací povinnost.

8. Součinnost při právech subjektů údajů, DPIA a dozorových řízeních

8.1. S ohledem na povahu zpracování a informace dostupné Zpracovateli poskytne Zpracovatel Správci přiměřenou součinnost při plnění povinností podle čl. 12 až 22 a čl. 32 až 36 GDPR, zejména při:
a) vyřizování žádostí subjektů údajů,
b) posuzování vlivu na ochranu osobních údajů,
c) předchozí konzultaci s dozorovým úřadem,
d) prokazování souladu a bezpečnosti zpracování,
e) řešení bezpečnostních incidentů a dotazů dozorových orgánů.

8.2. Obrátí-li se subjekt údajů přímo na Zpracovatele ve věci Zákaznických osobních údajů zpracovávaných jménem Správce, Zpracovatel subjekt údajů v přiměřeném rozsahu odkáže na Správce nebo žádost bez zbytečného odkladu předá Správci, je-li to možné.

8.3. Zpracovatel není odpovědný za obsahové vyřízení žádosti subjektu údajů, pokud za něj odpovídá Správce.

8.4. Vestavěné funkcionality Služby, zejména vyhledávání, opravy, exporty, auditní záznamy a mazání podle oprávnění Správce, se považují za primární způsob poskytování součinnosti.

8.5. Vyžaduje-li Správce mimořádnou, rozsáhlou nebo opakovanou součinnost nad rámec standardních funkcí Služby a běžné podpory, je Zpracovatel oprávněn požadovat přiměřenou náhradu účelně vynaložených nákladů, nevznikla-li potřeba takové součinnosti porušením povinností Zpracovatele.

9. Auditní práva a prokazování souladu

9.1. Zpracovatel zpřístupní Správci informace nezbytné k doložení souladu s touto DPA a čl. 28 GDPR.

9.2. Zpracovatel může povinnost podle odst. 9.1 plnit zejména prostřednictvím:
a) popisu technických a organizačních opatření,
b) bezpečnostní dokumentace v přiměřeném rozsahu,
c) certifikací, auditních zpráv, atestací, zpráv nezávislých auditorů nebo obdobných důkazů,
d) dotazníků a standardizovaných bezpečnostních odpovědí,
pokud tím lze přiměřeně prokázat soulad bez nepřiměřeného ohrožení bezpečnosti Zpracovatele nebo jiných zákazníků.

9.3. Pokud informace podle odst. 9.2 přiměřeně nepostačují, je Správce oprávněn provést audit, sám nebo prostřednictvím nezávislého auditora vázaného mlčenlivostí, za těchto podmínek:
a) nejvýše jednou za 12 měsíců, ledaže nastane důvod podle odst. 9.5,
b) s předchozím oznámením alespoň 30 dnů,
c) v běžné pracovní době a způsobem, který nepřiměřeně nenaruší provoz Zpracovatele,
d) bez přístupu ke zdrojovému kódu, obchodnímu tajemství nesouvisejícímu s plněním této DPA, informacím o jiných zákaznících a detailům, jejichž zpřístupnění by samo o sobě představovalo bezpečnostní riziko,
e) náklady auditu nese Správce, není-li zjištěno podstatné porušení povinností Zpracovatele.

9.4. Zpracovatel je oprávněn odmítnout auditora, který je jeho přímým konkurentem nebo u něhož existuje jiný rozumný střet zájmů; v takovém případě Správce určí jiného auditora.

9.5. V případě důvodného podezření na podstatné porušení této DPA, závažného bezpečnostního incidentu nebo požadavku dozorového orgánu lze provést mimořádný audit s kratším oznámením, přiměřeným okolnostem.

10. Subzpracovatelé

10.1. Správce uděluje Zpracovateli obecné povolení k zapojení Subzpracovatelů za podmínek této DPA.

10.2. K datu uzavření této DPA Správce schvaluje Subzpracovatele uvedené v Příloze 3.

10.3. Zpracovatel uzavře s každým Subzpracovatelem písemnou smlouvu, která mu uloží povinnosti ochrany osobních údajů nejméně ve stejném rozsahu, jaký vyplývá Zpracovateli z této DPA, zejména povinnosti v oblasti důvěrnosti, bezpečnosti, součinnosti, výmazu a mezinárodních přenosů.

10.4. Zpracovatel zůstává vůči Správci plně odpovědný za plnění povinností Subzpracovatelů.

10.5. Zpracovatel bude vést a průběžně aktualizovat seznam Subzpracovatelů, který bude Správci dostupný v administraci Služby nebo na https://zamdot.cz/pravni/subzpracovatele. Tento seznam bude obsahovat alespoň:
a) název Subzpracovatele,
b) sídlo nebo adresu,
c) kontaktní údaj nebo odkaz na relevantní kontaktní místo,
d) popis činností zpracování,
e) lokalitu nebo lokality zpracování.

10.6. Zamýšlí-li Zpracovatel zapojit nového Subzpracovatele nebo nahradit stávajícího Subzpracovatele způsobem, který může mít dopad na zpracování Zákaznických osobních údajů, informuje Správce předem, zpravidla alespoň 14 dnů před účinností změny.

10.7. Správce je oprávněn proti navrženému Subzpracovateli vznést ve lhůtě 14 dnů od doručení oznámení odůvodněnou námitku založenou na ochraně osobních údajů.

10.8. Vznese-li Správce důvodnou námitku, strany v dobré víře projednají možné řešení, zejména alternativního Subzpracovatele, omezení dotčené funkcionality nebo jiné přiměřené opatření.

10.9. Nedojde-li k rozumnému řešení, je Správce oprávněn ukončit dotčenou část Služby nebo Hlavní smlouvu v rozsahu dotčeném změnou bez sankce ke dni účinnosti sporné změny; u předplacených služeb mu v takovém případě náleží vrácení poměrné části ceny za nevyčerpané budoucí období dotčené ukončením.

11. Mezinárodní předávání osobních údajů

11.1. Zpracovatel nebude předávat Zákaznické osobní údaje do Třetí země ani umožňovat k nim přístup z Třetí země, ledaže:
a) jde o zemi, pro kterou existuje rozhodnutí o odpovídající ochraně podle čl. 45 GDPR,
b) přenos je kryt vhodnými zárukami podle čl. 46 GDPR, zejména standardními smluvními doložkami,
c) je použit jiný zákonný mechanismus podle kapitoly V GDPR.

11.2. Zpracovatel zajistí, aby jakýkoli Subzpracovatel ve Třetí zemi nebo jakýkoli vzdálený přístup z Třetí země podléhal odpovídajícímu transferovému mechanismu a přiměřeným doplňujícím opatřením, pokud jsou vyžadována.

11.3. Na žádost Správce Zpracovatel poskytne informace o použitém transferovém mechanismu v rozsahu, který je potřebný pro prokázání souladu a neporušuje závazky důvěrnosti ani bezpečnosti.

11.4. K datu účinnosti této DPA jsou relevantní následující lokality a transferové mechanismy:
a) primární aplikační data jsou ukládána v regionu Amazon Web Services eu-central-1 (Frankfurt, Spolková republika Německo), tedy v rámci EHP;
b) vzdálený support přístup subzpracovatele Amazon Web Services může výjimečně probíhat ze Třetí země; pro tyto případy se použije AWS DPA zahrnující standardní smluvní doložky podle čl. 46 GDPR;
c) u subzpracovatele Stripe Payments Europe, Ltd. se sídlem v Irsku může docházet k předání části údajů pro účely zpracování plateb do Stripe, Inc. (USA) na základě EU-US Data Privacy Framework (Stripe, Inc. je certifikovanou organizací) a standardních smluvních doložek.

12. Vrácení, export a výmaz údajů

12.1. Po skončení Hlavní smlouvy nebo po ukončení zpracování poskytne Zpracovatel Správci možnost Zákaznické osobní údaje vyexportovat nebo si je stáhnout prostřednictvím dostupných funkcí Služby, případně na základě přiměřeného pokynu Správce.

12.2. Není-li dohodnuto jinak, budou Zákaznické osobní údaje po skončení Hlavní smlouvy dostupné k exportu po dobu 30 dnů, pokud tomu nebrání bezpečnostní, právní nebo technické důvody.

12.3. Na základě volby Správce Zpracovatel po skončení zpracování Zákaznické osobní údaje vrátí, zpřístupní k exportu, vymaže nebo nevratně anonymizuje, pokud další uchování nevyžaduje právní předpis.

12.4. Zpracovatel je oprávněn uchovat po přiměřenou dobu:
a) záložní kopie do běžné rotace záloh,
b) auditní a provozní logy,
c) účetní, daňové a jiné záznamy, které musí uchovávat ze zákona,
d) omezené údaje potřebné k ochraně svých práv, řešení sporů a prokazování plnění povinností.

12.5. Správce odpovídá za včasný export údajů, které chce po skončení smluvního vztahu dále používat.

12.6. Na žádost Správce Zpracovatel potvrdí provedení výmazu nebo anonymizace v přiměřeném rozsahu, s výhradou údajů, které je oprávněn nebo povinen dále uchovávat podle odst. 12.4.

13. Odpovědnost

13.1. Každá strana odpovídá za škodu nebo újmu způsobenou porušením této DPA, GDPR nebo jiných použitelných právních předpisů na ochranu osobních údajů v rozsahu stanoveném právem.

13.2. Vůči subjektům údajů a dozorovým orgánům se odpovědnost stran řídí zejména GDPR a kogentními právními předpisy; touto DPA nejsou práva subjektů údajů nijak omezena.

13.3. Ve vzájemném vztahu mezi stranami se použije úprava odpovědnosti sjednaná v Hlavní smlouvě, pokud tím není dotčena kogentní úprava GDPR a pokud takové omezení není v rozporu s povahou porušení. Omezení odpovědnosti se nepoužije v rozsahu úmyslného porušení povinností, hrubé nedbalosti nebo tam, kde to kogentní právo nepřipouští.

13.4. V rozsahu, v jakém jedna strana nahradila škodu nebo újmu způsobenou porušením GDPR, je oprávněna požadovat po druhé straně regres v rozsahu odpovídajícím její odpovědnosti za vzniklou situaci.

14. Závěrečná ustanovení

14.1. Tato DPA se řídí právem České republiky a GDPR, pokud Hlavní smlouva nebo kogentní právní předpis nestanoví jinak.

14.2. Místní a věcná příslušnost soudů se řídí Hlavní smlouvou, není-li v rozporu s kogentním právem.

14.3. Změny a doplňky této DPA musí být učiněny písemně, včetně elektronické formy.

14.4. Pokud je některé ustanovení této DPA neplatné nebo nevymahatelné, nemá to vliv na platnost ostatních ustanovení.

14.5. Nedílnou součástí této DPA jsou:
• Příloha 1 – Popis zpracování
• Příloha 2 – Technická a organizační opatření
• Příloha 3 – Schválení subzpracovatelé

⸻

Příloha 1 – Popis zpracování

1. Předmět zpracování

Poskytování cloudové HR SaaS služby Zamdot, zejména digitální sběr, ukládání, organizace, správa, zabezpečení, export a výmaz osobních údajů potřebných pro onboarding zaměstnanců, mzdovou a personální administrativu, evidenci dokumentů a související provozní úkony zákazníka.

2. Doba zpracování

Po dobu trvání Hlavní smlouvy a dále po dobu nezbytnou pro export, vrácení, výmaz, anonymizaci, rotaci záloh, bezpečnostní logy a splnění právních povinností podle této DPA a Hlavní smlouvy.

3. Povaha zpracování

Shromažďování, zaznamenávání, uspořádání, strukturování, ukládání, hostování, přizpůsobení, změna, vyhledání, nahlížení, použití, přenos, zpřístupnění exportem, omezení, výmaz, anonymizace, zálohování, antivirové skenování nahraných souborů, auditní logování a další operace nezbytné pro poskytování Služby.

4. Účel zpracování

Umožnit Správci:
a) zasílat zaměstnancům a dalším osobám dotazníky a výzvy k doplnění údajů,
b) sbírat a ukládat údaje potřebné pro nástup zaměstnance, personální a mzdovou administrativu,
c) přijímat a ukládat související dokumenty,
d) generovat exporty a přehledy,
e) vést auditní stopu o práci se Službou,
f) spravovat role, firmy a uživatelské přístupy v rámci účtu.

5. Kategorie subjektů údajů

Zpracování se může týkat zejména:
a) zaměstnanců Správce,
b) budoucích zaměstnanců nebo osob v onboarding procesu,
c) dětí a vyživovaných osob zaměstnanců, pokud jejich údaje Správce vkládá kvůli daňovým a obdobným nárokům,
d) uživatelů Správce a osob jednajících jeho jménem, pokud jsou jejich údaje součástí Zákaznických osobních údajů zpracovávaných jménem Správce,
e) dalších fyzických osob, jejichž údaje Správce prostřednictvím Služby oprávněně vloží.

6. Kategorie osobních údajů

Zpracování se může týkat zejména těchto kategorií údajů:
a) identifikační údaje: jméno, příjmení, datum narození, rodné číslo, pohlaví, rodinný stav, státní občanství, místo narození, identifikační údaje z pracovních nebo pobytových dokumentů,
b) adresní údaje: trvalá adresa, korespondenční adresa,
c) kontaktní údaje: e-mail, telefon,
d) mzdové a daňové údaje: zdravotní pojišťovna, bankovní spojení, daňové rezidentství, prohlášení poplatníka, uplatňované slevy na dani a zvýhodnění, údaje o zaměstnání (pozice, datum nástupu, úvazek, vedoucí pracovník, souběžný poměr), vzdělání (úroveň, škola, obor, rok ukončení) a další údaje potřebné pro registraci zaměstnance a související evidenci,
e) údaje o dětech a vyživovaných osobách: jméno, datum narození, rodné číslo, údaje k uplatnění nároků,
f) údaje o cizincích: typ dokladu, pracovní oprávnění, formulář A1, údaje o zahraničním sociálním a zdravotním pojištění,
g) údaje o důchodu, invaliditě a zdravotním postižení v rozsahu vloženém Správcem,
h) údaje o exekuci, insolvenci nebo obdobné srážkové agendě,
i) obsah nahraných dokumentů a příloh,
j) údaje z vlastních polí, vlastních otázek a textových odpovědí vytvořených Správcem,
k) technické a provozní metadata související se zpracováním jménem Správce, zejména časová razítka, stav doručení pozvánek, historie připomínek, exportní logy, přístupové logy a auditní záznamy.

7. Zvláštní kategorie osobních údajů

Zpracování může zahrnovat zejména:
a) údaje o zdravotním stavu nebo zdravotním postižení obsažené v informacích o invaliditě, důchodu nebo v nahraných dokumentech,
b) případné další zvláštní kategorie osobních údajů, pokud je Správce z vlastního rozhodnutí vloží do Služby v souladu s právními předpisy.

8. Údaje vyžadující zvýšenou ochranu, které nejsou zvláštní kategorií podle čl. 9 GDPR

Může jít zejména o:
a) rodná čísla,
b) bankovní údaje,
c) údaje o dětech,
d) údaje o exekuci, insolvenci a srážkách,
e) identifikační a pobytové údaje cizinců.

⸻

Příloha 2 – Technická a organizační opatření

Zpracovatel udržuje přiměřený systém technických a organizačních opatření odpovídající povaze Služby a rizikům zpracování. Opatření zahrnují zejména:

1. Řízení přístupu a identity

1.1. Přístup k produkčním systémům a Zákaznickým osobním údajům je omezen na autorizované osoby podle pracovních rolí.
1.2. Uplatňuje se princip need-to-know a least privilege.
1.3. Přístupová oprávnění jsou pravidelně přezkoumávána a při změně role nebo ukončení spolupráce odebírána.
1.4. Privilegované přístupy jsou zvlášť řízeny a evidovány.

2. Autentizace a ochrana účtů

2.1. Uživatelé přistupují prostřednictvím autentizačního mechanismu podporovaného infrastrukturou Služby.
2.2. Zpracovatel používá přiměřená opatření pro správu hesel, reset hesel, ochranu relací a detekci neobvyklých přístupů.
2.3. Pro privilegované administrativní přístupy se používají posílené bezpečnostní kontroly; tam, kde je technicky dostupné, může být používána vícefaktorová autentizace.

3. Šifrování a přenos

3.1. Komunikace se Službou probíhá prostřednictvím šifrovaného spojení HTTPS/TLS.
3.2. Zpracovatel používá přiměřená opatření k ochraně uložených dat, včetně šifrování nebo ekvivalentních ochranných mechanismů tam, kde je to relevantní a technicky podporované.

4. Ukládání, segregace a infrastruktura

4.1. Produkční data jsou ukládána v cloudové infrastruktuře s řízeným fyzickým a logickým přístupem.
4.2. Produkční, testovací a vývojová prostředí jsou přiměřeně oddělena.
4.3. Zpracovatel dbá na segregaci dat jednotlivých zákazníků na úrovni aplikace, databáze, oprávnění nebo jinými vhodnými prostředky.

5. Logování, monitoring a auditní stopa

5.1. Služba vede auditní a provozní záznamy o přístupech, změnách, exportech a relevantních bezpečnostních událostech.
5.2. Záznamy jsou chráněny proti neoprávněné manipulaci a uchovávány po přiměřenou dobu odpovídající jejich účelu.
5.3. Zpracovatel provádí monitoring dostupnosti, výkonu a bezpečnostních událostí.

6. Ochrana před malware a nahrávané soubory

6.1. Nahrané dokumenty procházejí automatickým antivirovým nebo obdobným bezpečnostním skenováním.
6.2. Soubory, které nesplňují technické nebo bezpečnostní požadavky, mohou být zablokovány, odmítnuty, umístěny do karantény nebo odstraněny.
6.3. Povolené formáty a velikost souborů jsou technicky omezeny podle nastavení Služby.

7. Zálohování, obnova a kontinuita

7.1. Zpracovatel provádí přiměřené zálohování produkčních dat.
7.2. Existují postupy pro obnovu dat a obnovení provozu po incidentu.
7.3. Zálohy jsou chráněny obdobně jako produkční data a uchovávány podle interních retenčních pravidel.

8. Správa zranitelností a bezpečný vývoj

8.1. Zpracovatel používá procesy pro správu bezpečnostních aktualizací, patch management a přiměřené testování změn.
8.2. Při vývoji a nasazování změn uplatňuje přiměřené principy secure development lifecycle.
8.3. Zranitelnosti jsou vyhodnocovány a řešeny podle jejich rizikovosti.

9. Personální a organizační opatření

9.1. Osoby s přístupem k Zákaznickým osobním údajům jsou vázány mlčenlivostí.
9.2. Zaměstnanci a spolupracovníci jsou přiměřeně školeni v oblasti ochrany osobních údajů a bezpečnosti informací.
9.3. Přístupy externích osob jsou omezeny, řízeny a smluvně zabezpečeny.

10. Incident management

10.1. Zpracovatel udržuje postupy pro detekci, evidenci, vyšetřování a řešení bezpečnostních incidentů.
10.2. Incidenty jsou interně eskalovány podle jejich závažnosti.
10.3. V případě Porušení zabezpečení osobních údajů postupuje Zpracovatel podle článku 7 této DPA.

11. Výmaz a anonymizace

11.1. Po skončení oprávněné doby zpracování jsou údaje mazány, anonymizovány nebo vyřazovány z aktivního prostředí podle interních retenčních a bezpečnostních pravidel.
11.2. U záloh a logů se výmaz může realizovat až v rámci běžné rotace, pokud okamžitý individuální výmaz není technicky přiměřený.

12. Pravidelné vyhodnocování

12.1. Zpracovatel přiměřeně pravidelně přezkoumává účinnost zavedených opatření a podle potřeby je aktualizuje.
12.2. Rozsah a podrobnost bezpečnostních informací poskytovaných Správci se řídí zásadou přiměřenosti tak, aby nedocházelo ke snižování účinnosti bezpečnostních mechanismů.

⸻

Příloha 3 – Schválení subzpracovatelé

1. Schválení subzpracovatelé k datu účinnosti DPA

1.1 Amazon Web Services EMEA SARL
• Právní entita: Amazon Web Services EMEA SARL
• Sídlo / adresa: 38 Avenue John F. Kennedy, L-1855 Lucemburk, Lucemburské velkovévodství
• Kontaktní místo: https://aws.amazon.com/compliance/gdpr-center/
• Rozsah zpracování: hosting aplikace (ECS/Fargate), databázové služby (Aurora/RDS PostgreSQL), objektové úložiště dokumentů (S3), e-mailová infrastruktura (SES), autentizace uživatelů (Cognito), zálohování, monitoring a logování (CloudWatch) a související cloudové služby; antivirové skenování nahraných souborů je realizováno interní komponentou (ClamAV) provozovanou v rámci AWS infrastruktury Zpracovatele
• Lokalita zpracování: EHP / EU, primárně Německo — Frankfurt (eu-central-1); výjimečný support přístup z USA kryt AWS DPA a standardními smluvními doložkami
• Transferový mechanismus pro přístup ze Třetí země: standardní smluvní doložky dle čl. 46 GDPR (součást AWS DPA)

1.2 Stripe Payments Europe, Ltd.
• Právní entita: Stripe Payments Europe, Ltd.
• Sídlo / adresa: 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irsko
• Kontaktní místo: https://stripe.com/privacy-center; privacy@stripe.com
• Rozsah zpracování: zpracování plateb, správa předplatného, vystavování daňových dokladů, fakturační evidence v rozsahu jméno / obchodní firma, IČO/DIČ, adresa, e-mail, údaje o transakci (bez údajů o platební kartě — ty jsou zpracovávány přímo Stripe mimo infrastrukturu Zpracovatele)
• Lokalita zpracování: Irsko (EU); přenos do Stripe, Inc. (USA) v rámci globální infrastruktury Stripe
• Transferový mechanismus: EU-US Data Privacy Framework (Stripe, Inc. je certifikovanou organizací) + standardní smluvní doložky dle čl. 46 GDPR

2. Dostupnost aktuálního seznamu

Aktuální seznam Subzpracovatelů je Správci zpřístupněn na https://zamdot.cz/pravni/subzpracovatele a v administraci Služby.