Easyst
Právní · Příloha č. 1 VOP

Smlouva o zpracování osobních údajů

Data Processing Agreement (DPA) podle čl. 28 GDPR mezi zákazníkem (správcem) a poskytovatelem služby Easyst (zpracovatelem).

Verze 1.0

Příloha č. 1 Všeobecných obchodních podmínek služby Easyst

uzavřená podle čl. 28 nařízení Evropského parlamentu a Rady (EU) 2016/679 (dále jen „GDPR")

mezi:

  • Správce: Zákazník (Tenant) ve smyslu VOP — podnikatel užívající Službu Easyst (dále jen „Správce"), a
  • Zpracovatel: Daniel Prokop, IČO 05358183, se sídlem Růžový-Pahorek 312, 738 01 Frýdek-Místek (dále jen „Zpracovatel").

1. Předmět a účel zpracování

1.1. Tato smlouva o zpracování osobních údajů (dále jen „DPA") upravuje zpracování osobních údajů, které Zpracovatel provádí pro Správce při poskytování Služby Easyst podle VOP.

1.2. Předmět zpracování: poskytování cloudové služby Easyst (řízení terénních služeb a CRM) Správci. Účel zpracování: zpřístupnění a provoz Služby, ukládání a synchronizace dat, generování dokumentů, doručování notifikací a poskytování dalších objednaných funkcí. Povaha zpracování: ukládání, organizace, strukturování, nahlížení, používání, výmaz a další operace nezbytné k provozu Služby, prováděné automatizovaně.

1.3. Zpracovatel zpracovává osobní údaje pouze za účelem plnění Smlouvy a na základě doložených pokynů Správce; za takový pokyn se považuje i běžné užívání Služby Správcem a jeho Uživateli v souladu s VOP a dokumentací.

2. Kategorie subjektů údajů a typy osobních údajů

2.1. Kategorie subjektů údajů (dle obsahu vloženého Správcem):

  • zákazníci a kontaktní osoby Správce (vč. potenciálních zákazníků / leadů),
  • Uživatelé Správce (technici, obchodníci, dispečeři, administrátoři),
  • případně další fyzické osoby uvedené v Zákaznických datech.

2.2. Typy osobních údajů:

  • identifikační a kontaktní údaje (jméno, název firmy, IČO/DIČ, adresa, e-mail, telefon),
  • údaje o pracovní roli a aktivitě Uživatele,
  • provozní data zásahů: záznamy checklistů, fotodokumentace, podpisy, dodací listy, nabídky a smlouvy,
  • lokační údaje (GPS poloha technika při zahájení zásahu, je-li funkce aktivní),
  • údaje vložené do vlastních polí (custom fields) Správcem.

2.3. Správce nesmí do Služby vkládat zvláštní kategorie osobních údajů podle čl. 9 GDPR, ledaže se strany písemně dohodnou jinak a budou přijata odpovídající opatření. Vloží-li je přesto, činí tak na vlastní odpovědnost.

2.4. Doba zpracování: po dobu trvání Smlouvy a dále po dobu nezbytnou pro export, výmaz nebo anonymizaci dle čl. 8 a VOP.

3. Povinnosti Zpracovatele

3.1. Zpracovatel se zavazuje:

  • a) zpracovávat osobní údaje pouze na doložené pokyny Správce, vč. předání do třetí země jen je-li k tomu zavázán právem (o čemž Správce předem informuje, nezakazuje-li to právo);
  • b) zajistit, aby osoby oprávněné zpracovávat osobní údaje byly zavázány mlčenlivostí;
  • c) přijmout vhodná technická a organizační opatření podle čl. 32 GDPR (viz čl. 4);
  • d) dodržovat podmínky pro zapojení subzpracovatelů (čl. 5);
  • e) být Správci nápomocen vhodnými opatřeními při plnění povinnosti reagovat na žádosti subjektů údajů o výkon jejich práv (čl. 12–23 GDPR), s ohledem na povahu zpracování a v rozsahu funkcí Služby (export, anonymizace, výmaz);
  • f) být Správci nápomocen při zajištění souladu s čl. 32–36 GDPR (zabezpečení, ohlašování porušení, posouzení vlivu, předchozí konzultace), s ohledem na povahu zpracování a informace, jež má k dispozici;
  • g) po skončení poskytování Služby naložit s osobními údaji dle čl. 8;
  • h) poskytnout Správci informace nezbytné k prokázání souladu s čl. 28 GDPR a umožnit audity dle čl. 7.

3.2. Zpracovatel neprodleně informuje Správce, má-li za to, že určitý pokyn porušuje GDPR nebo jiné předpisy o ochraně osobních údajů.

4. Zabezpečení zpracování (čl. 32 GDPR)

4.1. Zpracovatel s ohledem na stav techniky, náklady, povahu, rozsah a účely zpracování i rizika zavádí zejména:

  • šifrování přenosu (TLS) a šifrování dat v klidu (at-rest),
  • multi-tenantní izolaci dat na úrovni databáze (Row Level Security v PostgreSQL),
  • řízení přístupu na základě rolí (role-based access) a správu uživatelských relací,
  • ukládání hesel formou solených hashů, ukládání tokenů a PIN v zabezpečeném úložišti zařízení,
  • logování auditních a bezpečnostních událostí a monitoring (Sentry),
  • zálohování v rámci běžného provozu,
  • opatření k obnovení dostupnosti a přístupu k údajům.

4.2. Strany berou na vědomí, že rozsah bezpečnostních opatření odpovídá aktuálnímu stavu Služby a je průběžně rozvíjen.

5. Subzpracovatelé

5.1. Správce uděluje Zpracovateli obecné povolení k zapojení subzpracovatelů za podmínek tohoto článku. Zpracovatel s každým subzpracovatelem uzavře smlouvu ukládající srovnatelné povinnosti ochrany údajů jako tato DPA a zůstává Správci odpovědný za plnění jejich povinností.

5.2. Aktuální subzpracovatelé ke dni účinnosti:

SubzpracovatelÚčelLokalita
Supabase / Hetznerhosting, databáze, úložiště, autentizaceEU/EHP
OpenAI, L.L.C.AI funkce (přepis, strukturování, asistent) — jen aktivní modul AIUSA (SCC dle čl. 46 GDPR)
Google Ireland Ltd. (Gemini API)AI funkce (analýzy, parsování) — jen aktivní modul AIEU / USA (SCC dle čl. 46 GDPR)
Google Ireland Ltd. (Calendar API)obousměrná synchronizace kalendáře (aktivity ↔ události) — jen Uživatelé s aktivovaným propojenímEU / USA (SCC dle čl. 46 GDPR)
Resend, Inc.odesílání transakčních e-mailů a notifikacíEU (SCC dle čl. 46 GDPR)
Functional Software, Inc. (Sentry)monitoring a sledování chybEU (SCC dle čl. 46 GDPR)

5.3. Zpracovatel informuje Správce o zamýšlené změně (přidání/nahrazení) subzpracovatele s přiměřeným předstihem. Správce může proti změně z důvodů ochrany údajů vznést námitku ve lhůtě 14 dnů; nedojde-li k řešení, je Správce oprávněn dotčenou část Služby nebo Smlouvu ukončit.

5.4. AI subzpracovatelé jsou zapojeni pouze pro Správce s aktivním modulem AI & Voice a pouze v rozsahu konkrétního požadavku. Zvukové nahrávky se trvale neukládají.

5.5. Propojení s Google Calendar je aktivováno pouze na základě výslovného souhlasu (opt-in) konkrétního Uživatele. Do služby Google se v takovém případě předávají pouze údaje nezbytné pro synchronizaci událostí (zejména předmět, datum a čas aktivity a související poznámky). Synchronizaci může Uživatel kdykoli vypnout.

6. Předání do třetích zemí

6.1. Osobní údaje jsou zpracovávány zásadně v rámci EU/EHP. Dojde-li k předání do třetí země (zejména u některých AI služeb), zajistí Zpracovatel odpovídající záruky podle kapitoly V GDPR, zejména standardní smluvní doložky (SCC) podle čl. 46 GDPR, popř. rozhodnutí o odpovídající úrovni ochrany.

7. Audit a kontrola

7.1. Zpracovatel poskytne Správci na vyžádání informace nezbytné k prokázání souladu s čl. 28 GDPR.

7.2. Správce je oprávněn provést audit (vč. inspekce) nejvýše jednou ročně, po předchozím písemném oznámení v přiměřené lhůtě, v pracovní době, způsobem nenarušujícím provoz a při zachování mlčenlivosti a ochrany dat ostatních zákazníků (multi-tenant prostředí). Náklady na audit nad rámec poskytnutí standardní dokumentace nese Správce.

8. Výmaz a vrácení údajů po skončení

8.1. Po ukončení poskytování Služby Zpracovatel podle volby Správce osobní údaje vymaže nebo je Správci vrátí (umožní export) a vymaže existující kopie, ledaže právo EU nebo členského státu vyžaduje jejich uložení.

8.2. Není-li sjednáno jinak, Zpracovatel umožní export Zákaznických dat po dobu 30 dnů od ukončení; po jejím uplynutí údaje vymaže nebo anonymizuje. Mechanismem výmazu může být i anonymizace zajišťující neidentifikovatelnost při zachování integrity dat.

9. Ohlašování porušení zabezpečení

9.1. Zpracovatel ohlásí Správci jakékoli porušení zabezpečení osobních údajů, které zpracovává pro Správce, bez zbytečného odkladu poté, co se o něm dozví, a poskytne Správci dostupné informace potřebné ke splnění jeho ohlašovacích povinností podle čl. 33 a 34 GDPR.

10. Odpovědnost a závěrečná ustanovení

10.1. Odpovědnost stran z této DPA se řídí GDPR a omezeními odpovědnosti sjednanými ve VOP, nestanoví-li kogentní předpis jinak.

10.2. Tato DPA je nedílnou součástí VOP a Smlouvy; uzavírá se na dobu trvání zpracování podle čl. 2.4. V otázkách neupravených touto DPA se použijí VOP a právní řád České republiky.

10.3. V případě rozporu mezi touto DPA a VOP v otázkách ochrany osobních údajů má přednost tato DPA.

10.4. Tato DPA nabývá účinnosti současně se Smlouvou.

Zpracovatel: Daniel Prokop, IČO 05358183, Růžový-Pahorek 312, 738 01 Frýdek-Místek. Kontakt pro ochranu údajů: gdpr@easyst.cz.