Zpracovatelská smlouva

Správce: ty — fyzická nebo právnická osoba s aktivním účtem v Aplikaci Dokumentomat.

Zpracovatel: Alexandr Gindriouk, IČO 21705381, se sídlem Chvalská 718/10, Hloubětín, 198 00 Praha 9, Česká republika, podnikající fyzická osoba zapsaná v živnostenském rejstříku.

Tato smlouva je nedílnou součástí Všeobecných obchodních podmínek a vzniká spolu s nimi okamžikem registrace tvého účtu.

Pojem „Aplikace" má význam definovaný v čl. 1 Všeobecných obchodních podmínek.

Předmětem této smlouvy je zpracování osobních údajů tvých klientů (dále jen „údaje subjektů"), které zadáš do Aplikace, přičemž my vystupujeme jako zpracovatel.

Zpracovatel zpracovává údaje subjektů výhradně za účelem poskytování služeb Aplikace Správci, zejména:

• ukládání údajů v databázi (CRM modul),
• zobrazování údajů Správci ve webovém rozhraní Aplikace,
• vkládání údajů do dokumentů vygenerovaných ze šablon,
• zálohování za účelem ochrany před ztrátou dat.

Zpracovatel nepoužívá údaje pro vlastní účely, marketing, analytiku, profilování ani je neposkytuje třetím stranám mimo subprocesory uvedené v čl. 7.

Zpracovatel zpracovává údaje po dobu trvání účtu Správce. Po smazání účtu (nebo konkrétního klienta v CRM) jsou údaje vymazány z aktivní databáze do 24 hodin, ze záloh do 30 dnů.

Provozní logy obsahující metadata o aktivitě jsou uchovávány maximálně 12 měsíců a poté anonymizovány.

Zpracovatel se zavazuje:

• zpracovávat údaje subjektů výhradně na základě dokumentovaných pokynů Správce (zadání údajů do Aplikace, použití funkcí Aplikace), včetně v otázkách předávání osobních údajů do třetí země nebo mezinárodní organizaci (vyjma případů, kdy je takové předání vyžadováno právem EU nebo členského státu) — čl. 28 odst. 3 písm. a) GDPR;
• zajistit důvěrnost — všechny osoby s přístupem k údajům jsou zavázány mlčenlivostí, která trvá i po ukončení jejich smluvního vztahu se Zpracovatelem;
• přijmout vhodná technická a organizační opatření k zabezpečení dat (čl. 32 GDPR) — viz čl. 6.1 níže;
• být Správci nápomocen při plnění jeho povinností (např. při žádosti subjektu o přístup nebo výmaz — Správce má v Aplikaci nástroje pro tento účel);
• oznámit Správci jakékoli porušení zabezpečení údajů bez zbytečného odkladu, nejpozději do 72 hodin od zjištění;
• poskytnout Správci na vyžádání veškeré informace nutné k prokázání splnění povinností podle GDPR;
• po ukončení smlouvy postupovat dle čl. 11 (delete-or-return).

Pro provoz Aplikace Zpracovatel využívá tyto další zpracovatele:

Správce uděluje obecný souhlas s využíváním výše uvedených subprocesorů. O zamýšleném zapojení nového subprocesora nebo nahrazení stávajícího Zpracovatel Správce informuje e-mailem nejméně 30 dnů předem. V této lhůtě má Správce právo vznést proti změně písemné odůvodněné námitky. Pokud Zpracovatel nedokáže námitky vyřešit, má Správce právo smlouvu vypovědět smazáním účtu a má nárok na vrácení poměrné části předplatného za nevyčerpané období.

Zpracovatel uzavírá s každým subprocesorem písemnou smlouvu ukládající mu obdobné povinnosti, jako má Zpracovatel vůči Správci podle této smlouvy. Pokud subprocesor svým jednáním poruší své povinnosti, odpovídá Zpracovatel Správci za splnění povinností tohoto subprocesora v souladu s čl. 28 odst. 4 GDPR.

Pokud subprocesor sídlí nebo zpracovává údaje mimo EU/EHP (Stripe sub-zpracovatele v USA, Google), předání probíhá na základě Standardních smluvních doložek (Prováděcí rozhodnutí Komise (EU) 2021/914) nebo certifikace dle EU–U.S. Data Privacy Framework (rozhodnutí Komise z 10. 7. 2023, č. 2023/1795).

Pokud se na Zpracovatele obrátí subjekt údajů s žádostí o uplatnění svých práv podle GDPR (přístup, oprava, výmaz, omezení, přenositelnost, námitka), Zpracovatel:

• sám žádost nevyřizuje — k tomu je oprávněn pouze Správce,
• informuje Správce o žádosti bez zbytečného odkladu,
• poskytuje Správci součinnost a technické nástroje v Aplikaci pro vyřízení žádosti (export, výmaz dat klienta).

Správce má právo prověřit dodržování povinností Zpracovatele podle této smlouvy formou auditu. Audit lze provést jednou ročně, na základě písemné žádosti se min. 30denním předstihem.

Standardní formou auditu je písemný dotazník nebo poskytnutí relevantních dokumentů (certifikace, reporty SOC, DPIA dokumentace).

Pokud písemná forma neumožňuje řádné prověření, má Správce právo na inspekci na místě za podmínky podpisu NDA a v pracovní dny v provozní době.

Náklady na svůj dotazník nese Správce; náklady na součinnost Zpracovatele nese Zpracovatel, vyjma případů, kdy audit prokáže podstatné porušení (pak Zpracovatel hradí i náklady auditu).

Limitace odpovědnosti mezi Správcem a Zpracovatelem podle čl. 8 Všeobecných obchodních podmínek se vztahuje na škody v rámci vzájemného smluvního vztahu.

Tímto NENÍ dotčena odpovědnost Zpracovatele vůči subjektům údajů podle čl. 82 GDPR, ani pokuty uložené dozorovým úřadem podle čl. 83 GDPR. Tyto nároky se řídí přímo nařízením GDPR a nelze je smluvně omezit.

Smlouva trvá po dobu trvání účtu Správce v Aplikaci. Zaniká smazáním účtu nebo ukončením hlavní smlouvy podle Všeobecných obchodních podmínek.

Po ukončení smlouvy Zpracovatel postupuje podle volby Správce (čl. 28 odst. 3 písm. g GDPR):

• (a) Vrácení dat: V případě výslovné žádosti Správce před smazáním účtu nebo do 14 dnů po jeho ukončení poskytne Zpracovatel data ve formátu JSON do 14 dnů od žádosti. Funkce exportu je trvale dostupná v Aplikaci v sekci Nastavení → Profil → „Stáhnout JSON".
• (b) Výmaz: V ostatních případech Zpracovatel data subjektů (klientů Správce) vymaže ze svých systémů podle lhůt v čl. 5 této smlouvy.

Tato smlouva je účinná od 2026-05-16. Aktualizujeme ji společně s ostatními právními dokumenty; o změnách informujeme e-mailem alespoň 14 dnů předem.

V případě rozporu mezi touto smlouvou a Všeobecnými obchodními podmínkami má v otázkách zpracování osobních údajů přednost tato smlouva.