Podmínky zpracování osobních údajů (DPA)

Tyto podmínky zpracování osobních údajů (Data Processing Agreement, dále jen „DPA“) tvoří zpracovatelskou smlouvu dle čl. 28 odst. 3 GDPR mezi zákazníkem služby Trust Tornado jako správcem a provozovatelem služby jako zpracovatelem.

1. Strany a akceptace

Zpracovatel: Radek Šnajdr, IČO 04771761, se sídlem Heřmanova 1119/9, 170 00 Praha 7, fyzická osoba podnikající zapsaná v živnostenském rejstříku, provozovatel služby Trust Tornado (dále jen „Zpracovatel“ nebo „Služba“). Kontakt: hello@trusttornado.com.

Správce: zákazník Služby — provozovatel webu či e-shopu, který prostřednictvím Služby zpracovává osobní údaje svých zákazníků a recenzentů (dále jen „Správce“).

DPA je nedílnou součástí obchodních podmínek a Správce ji akceptuje užíváním Služby (self-service akceptace); samostatný podpis se nevyžaduje. V rozsahu zpracování osobních údajů má DPA přednost před obchodními podmínkami.

2. Předmět, doba, povaha a účel zpracování

  • Předmět: zpracování osobních údajů obsažených v recenzích a kontaktech, které Správce do Služby vloží, importuje nebo které Služba jeho jménem shromáždí.
  • Doba: po dobu trvání smlouvy o poskytování Služby (a následné výmazové lhůty dle čl. 8).
  • Povaha: shromažďování, ukládání, strukturování, zobrazování na webech Správce, automatizovaná moderace a překlady (AI/LLM), rozesílání e-mailových žádostí o recenzi jménem Správce, export a výmaz.
  • Účel: sběr a zobrazování zákaznických recenzí (social proof) na webech Správce a související funkce Služby.

3. Kategorie subjektů údajů a osobních údajů

  • Subjekty údajů: zákazníci a recenzenti Správce; návštěvníci webů Správce (pouze v rozsahu zobrazení widgetu — widget do zařízení návštěvníků nic neukládá).
  • Kategorie údajů: jméno recenzenta, e-mailová adresa, obsah recenze a hodnocení, fotografie/avatar, uváděná role či firma, číslo nebo kontext objednávky, odpověď obchodníka, technická metadata (zdroj recenze, datum).
  • Zvláštní kategorie údajů (čl. 9 GDPR) nejsou předmětem zpracování; Správce se zavazuje je do Služby nevkládat.

4. Povinnosti Zpracovatele

Zpracovatel se zavazuje, že (čl. 28 odst. 3 GDPR):

  • zpracovává osobní údaje pouze na základě doložených pokynů Správce — pokyny jsou dány nastavením a užíváním Služby a touto DPA; to neplatí, vyžaduje-li zpracování právo EU nebo členského státu (o takové povinnosti Správce informuje, nezakazuje-li to zákon);
  • zajišťuje, že osoby oprávněné zpracovávat osobní údaje jsou vázány povinností mlčenlivosti;
  • přijímá bezpečnostní opatření dle čl. 32 GDPR (viz čl. 5 DPA);
  • dodržuje podmínky pro zapojení subzpracovatelů (čl. 7 DPA);
  • je Správci nápomocen s plněním jeho povinností (čl. 6 DPA);
  • po ukončení poskytování Služby osobní údaje vymaže nebo vrátí (čl. 8 DPA);
  • poskytne Správci informace potřebné k doložení souladu a umožní audity (čl. 9 DPA); a
  • upozorní Správce, pokud podle jeho názoru určitý pokyn porušuje GDPR nebo jiné předpisy o ochraně osobních údajů.

5. Zabezpečení (čl. 32 GDPR)

Zpracovatel s přihlédnutím ke stavu techniky, nákladům, povaze a rizikům zpracování udržuje zejména tato technická a organizační opatření: šifrování přenosů (TLS) i uložených dat, řízení přístupů na úrovni řádků databáze (row-level security), oddělení dat jednotlivých Správců, princip minimálních oprávnění, logování přístupů, zálohy a hosting u dodavatelů s certifikacemi průmyslových standardů (viz Subdodavatelé).

6. Asistence Správci

  • Žádosti subjektů údajů: obdrží-li Zpracovatel žádost subjektu údajů (přístup, oprava, výmaz, námitka…), bez zbytečného odkladu ji předá Správci a s ohledem na povahu zpracování mu poskytne součinnost vhodnými technickými a organizačními opatřeními (export, oprava a výmaz údajů ve Službě).
  • Porušení zabezpečení: Zpracovatel ohlásí Správci porušení zabezpečení osobních údajů bez zbytečného odkladu po zjištění, s popisem povahy porušení, pravděpodobných dopadů a přijatých opatření — tak, aby Správce mohl splnit svou povinnost ohlášení dozorovému úřadu do 72 hodin (čl. 33 GDPR).
  • DPIA: Zpracovatel poskytne Správci součinnost při posouzení vlivu na ochranu osobních údajů (čl. 35 GDPR) a předchozích konzultacích (čl. 36 GDPR).

7. Subzpracovatelé

Správce uděluje Zpracovateli obecné povolení (general authorization) k zapojení subzpracovatelů uvedených na veřejné stránce Subdodavatelé.

  • Zamýšlené přidání nebo nahrazení subzpracovatele oznámí Zpracovatel nejméně 30 dní předem (aktualizací seznamu a e-mailem registrovaným zákazníkům).
  • Správce má právo proti změně z oprávněných důvodů týkajících se ochrany osobních údajů vznést námitku; nedojde-li k dohodě na řešení, může Správce smlouvu o Službě vypovědět s účinností přede dnem nasazení nového subzpracovatele.
  • Zpracovatel ukládá každému subzpracovateli smlouvou stejné povinnosti ochrany údajů, jaké má sám dle této DPA, a vůči Správci plně odpovídá za plnění povinností subzpracovatelů (čl. 28 odst. 4 GDPR).

8. Předávání do třetích zemí

Zpracování probíhá přednostně v EU. Předává-li subzpracovatel údaje mimo EU/EHP, děje se tak na základě vhodných záruk dle kapitoly V GDPR — standardních smluvních doložek (SCC), případně EU–US Data Privacy Framework; mechanismus per dodavatel je uveden na stránce Subdodavatelé.

9. Výmaz a vrácení údajů, audit

Po ukončení poskytování Služby má Správce 30 dní na export zpracovávaných údajů (recenzí) ve strukturovaném formátu (CSV/JSON). Po uplynutí lhůty Zpracovatel všechny osobní údaje vymaže, ledaže právo EU nebo členského státu vyžaduje jejich uložení.

Zpracovatel poskytne Správci na vyžádání informace nezbytné k doložení souladu s čl. 28 GDPR a umožní audit či inspekci prováděné Správcem nebo pověřeným auditorem — po písemném oznámení nejméně 30 dní předem, v běžné pracovní době, maximálně jednou ročně (to neplatí po porušení zabezpečení), způsobem nenarušujícím provoz Služby a při zachování důvěrnosti. Náklady auditu nese Správce.

10. Závěrečná ustanovení

DPA trvá po dobu trvání smlouvy o poskytování Služby. Změny DPA se řídí mechanismem změn obchodních podmínek (oznámení 30 dní předem, právo výpovědi). DPA se řídí právním řádem České republiky.