Zpracovatelská smlouva

Name: Chytrý Servis
Author: Chytrý Servis

Účinné od 2. 5. 2026 · verze 2.0

Tato Zpracovatelská smlouva (dále jen „Smlouva“) je dodatkem Obchodních podmínek mezi Jaroslavem Pažoutem — Chytrý Servis (dále jen „Poskytovatel“ nebo „Zpracovatel“) a Uživatelem (dále jen „Správce“) a upravuje zpracování osobních údajů zákazníků Uživatele dle čl. 28 GDPR.

1. Vymezení základních pojmů

1.1. Pojmy „Poskytovatel“, „Uživatel“, „Licenční smlouva“, „Aplikace“ mají stejný význam, který definují Obchodní podmínky; termíny „GDPR“, „správce dat“, „zpracovatel dat“, „osobní údaje“, „zpracování“, „odpovídající technická a organizační opatření“ mají význam, jak je definuje Zásady ochrany osobních údajů.

1.2. Tato Smlouva definuje způsob zpracování osobních dat zákazníků Uživatele v souladu s požadavky GDPR (zejména čl. 28).

1.3. Poskytovatel je ve vztahu k osobním údajům zákazníků Uživatele zpracovatelem, Uživatel je správcem těchto údajů.

1.4. Poskytovatel není oprávněn osobní údaje zpracovávat v rozporu anebo nad rámec stanovený touto Smlouvou bez doloženého pokynu Uživatele (čl. 28 odst. 3 písm. a GDPR).

2. Předmět a rozsah zpracování

2.1. Účel zpracování: poskytování Aplikace Chytrý Servis a podpora Uživatele při jejím používání.

2.2. Doba zpracování: po dobu trvání Licenční smlouvy mezi Poskytovatelem a Uživatelem.

2.3. Povaha zpracování: shromažďování, ukládání, uchovávání, prohlížení (pouze v nezbytném rozsahu pro provoz a podporu), zálohování, mazání.

2.4. Kategorie subjektů údajů: zákazníci Uživatele (fyzické osoby — odběratelé servisních služeb Uživatele).

2.5. Kategorie zpracovávaných osobních údajů:

Identifikační údaje: jméno, příjmení
Adresní údaje: ulice, město, PSČ
Kontaktní údaje: email, telefon
Údaje o přijatých opravách (předmět opravy, popis závady, sériové číslo, fotografie)
Volné poznámky, které Uživatel zapíše do karty opravy nebo kontaktu

2.6. Zpracování zvláštní kategorie údajů podle čl. 9 GDPR (např. zdravotní stav, biometrické údaje) je v rámci Aplikace zakázáno. Uživatel se zavazuje takové údaje do Aplikace nevkládat.

3. Povinnosti Zpracovatele

3.1. Zpracovatel zpracovává osobní údaje pouze na základě doložených pokynů Správce (čl. 28 odst. 3 písm. a GDPR).

3.2. Zpracovatel zajistí, aby osoby oprávněné zpracovávat osobní údaje byly zavázány k mlčenlivosti, která trvá i po skončení pracovněprávního či jiného vztahu k Zpracovateli (čl. 28 odst. 3 písm. b GDPR).

3.3. Zpracovatel přijal a udržuje technická a organizační opatření odpovídající míře rizika, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům či jinému neoprávněnému zpracování. Konkrétně:

Šifrovaný HTTPS přenos (TLS) mezi Aplikací a uživatelem
Hesla uložena pomocí algoritmu bcrypt (one-way hash)
Hosting na vlastním VPS v ČR (Váš Hosting s.r.o., Nymburk)
Denní automatické zálohy databáze (Cloudflare R2, EU region, retence 30 dní)
Pravidelné testování obnovení záloh
Oddělená produkční a vývojová prostředí
Logování přístupů, monitoring podezřelé aktivity

3.4. Pomoc Správci s právy subjektů údajů. Zpracovatel je Správci nápomocen při plnění jeho povinnosti reagovat na žádosti subjektů údajů o výkon jejich práv (čl. 28 odst. 3 písm. e GDPR). Aplikace poskytuje Správci nástroje pro export, opravu a mazání dat zákazníků.

3.5. Pomoc Správci s dalšími povinnostmi. Zpracovatel poskytne Správci součinnost při zajištění souladu s čl. 32 (zabezpečení), čl. 33–34 (oznamování porušení), čl. 35 (DPIA) a čl. 36 (předchozí konzultace) GDPR (čl. 28 odst. 3 písm. f).

3.6. Oznámení porušení zabezpečení. V případě porušení zabezpečení osobních údajů zákazníků Uživatele Zpracovatel oznámí porušení Správci bez zbytečného odkladu, nejpozději do 72 hodin od okamžiku, kdy se o něm dozvěděl. Oznámení obsahuje informace dle čl. 33 odst. 3 GDPR (povaha porušení, kategorie a přibližný počet dotčených subjektů a záznamů, pravděpodobné důsledky, opatření přijatá k nápravě).

3.7. Audit. Zpracovatel poskytne Správci veškeré informace potřebné k doložení splnění povinností podle této Smlouvy a GDPR a umožní audity či inspekce prováděné Správcem nebo jím pověřeným auditorem (čl. 28 odst. 3 písm. h GDPR). Audit musí být oznámen nejméně 30 dnů předem, probíhá v pracovní dny v běžné pracovní době a nesmí narušit chod Aplikace. Náklady auditu nese Správce, pokud audit neprokáže porušení povinností Zpracovatele.

4. Další zpracovatelé (subzpracovatelé)

4.1. Uživatel uděluje Poskytovateli obecné povolení zapojit do zpracování dalšího zpracovatele osobních údajů (čl. 28 odst. 2 GDPR). Poskytovatel uloží svým subzpracovatelům stejné povinnosti na ochranu osobních údajů, jak jsou stanoveny v této Smlouvě.

4.2. Aktuální seznam subzpracovatelů je dostupný na www.chytryservis.cz/zpracovatele.

4.3. Pokud chce být Uživatel informován o budoucích změnách v seznamu subzpracovatelů, může o to požádat napsáním na info@chytryservis.cz. Poskytovatel bude takové Uživatele informovat nejpozději 14 dní před zamýšlenou změnou. Uživatel může v dané lhůtě vznést námitky. Legitimní námitky musí obsahovat zdokumentované porušení zásad ochrany osobních údajů daného subzpracovatele.

4.4. V závažných případech, kdy by byla ohrožena bezpečnost dat nebo chod aplikace, má Poskytovatel právo změnit subzpracovatele bez předchozího upozornění Uživatele. Poskytovatel na takovou změnu upozorní Uživatele dodatečně a není tím dotčeno právo Uživatele na vyjádření legitimní námitky.

5. Předávání mimo EU

5.1. Pro denní zálohy databáze využívá Poskytovatel službu Cloudflare R2 (Cloudflare, Inc., USA). Data jsou ukládána v datacentrum v EU regionu.

5.2. Předání je zajištěno odpovídajícími zárukami podle čl. 46 GDPR — Cloudflare, Inc. je certifikována v rámci EU-U.S. Data Privacy Framework a má uzavřené Standardní smluvní doložky (SCC) ve znění rozhodnutí Komise (EU) 2021/914.

5.3. Žádný jiný subzpracovatel mimo EU/EHP není v současné době využíván.

6. Práva Uživatele exportovat data

6.1. Uživatel má právo kdykoli si exportovat své zákazníky a opravy ve strojově zpracovatelných formátech (CSV, PDF) přímo z Aplikace.

6.2. Uživatel může požádat o export dalších dat ze svého účtu, ale Poskytovatel má právo za to účtovat cenu odpovídající vynaloženému času a jiných nákladů spojených s takovým exportem.

7. Smazání nebo vrácení dat po skončení zpracování

7.1. Po skončení poskytování plnění Licenční smlouvy Zpracovatel dle volby Správce všechny osobní údaje vymaže nebo vrátí Správci a vymaže existující kopie, pokud právo Unie nebo členského státu nepožaduje uložení daných osobních údajů (čl. 28 odst. 3 písm. g GDPR).

7.2. Data uživatelského účtu se mažou ihned s ukončením poskytování plnění Licenční smlouvy.

7.3. Do 45 dnů od smazání účtu Poskytovatel vymaže data účtu Uživatele i ze záloh aplikace.

7.4. Záznamy o činnosti Aplikace (logy) Poskytovatel maže do 12 měsíců od zrušení účtu.

8. Ostatní

8.1. Uživatel se zavazuje neprodleně ohlašovat všechny jemu známé skutečnosti, které by mohly nepříznivě ovlivnit řádné a včasné plnění závazků vyplývajících z těchto podmínek, a poskytnout Poskytovateli součinnost nezbytnou pro plnění těchto podmínek.

8.2. Tato Smlouva je nedílnou součástí Obchodních podmínek a nahrazuje předchozí znění Zpracovatelské smlouvy účinné před 2. 5. 2026. Účinnost: 2. 5. 2026, verze: 2.0.