Podmínky zpracování osobních údajů (DPA)
Tyto podmínky zpracování osobních údajů (Data Processing Agreement, dále jen „DPA“) tvoří zpracovatelskou smlouvu dle čl. 28 odst. 3 GDPR mezi zákazníkem služby Trust Tornado jako správcem a provozovatelem služby jako zpracovatelem.
1. Strany a akceptace
Zpracovatel: Radek Šnajdr, IČO 04771761, se sídlem Heřmanova 1119/9, 170 00 Praha 7, fyzická osoba podnikající zapsaná v živnostenském rejstříku, provozovatel služby Trust Tornado (dále jen „Zpracovatel“ nebo „Služba“). Kontakt: hello@trusttornado.com.
Správce: zákazník Služby — provozovatel webu či e-shopu, který prostřednictvím Služby zpracovává osobní údaje svých zákazníků a recenzentů (dále jen „Správce“).
DPA je nedílnou součástí obchodních podmínek a Správce ji akceptuje užíváním Služby (self-service akceptace); samostatný podpis se nevyžaduje. V rozsahu zpracování osobních údajů má DPA přednost před obchodními podmínkami.
2. Předmět, doba, povaha a účel zpracování
- Předmět: zpracování osobních údajů obsažených v recenzích a kontaktech, které Správce do Služby vloží, importuje nebo které Služba jeho jménem shromáždí.
- Doba: po dobu trvání smlouvy o poskytování Služby (a následné výmazové lhůty dle čl. 8).
- Povaha: shromažďování, ukládání, strukturování, zobrazování na webech Správce, automatizovaná moderace a překlady (AI/LLM), rozesílání e-mailových žádostí o recenzi jménem Správce, export a výmaz.
- Účel: sběr a zobrazování zákaznických recenzí (social proof) na webech Správce a související funkce Služby.
3. Kategorie subjektů údajů a osobních údajů
- Subjekty údajů: zákazníci a recenzenti Správce; návštěvníci webů Správce (pouze v rozsahu zobrazení widgetu — widget do zařízení návštěvníků nic neukládá).
- Kategorie údajů: jméno recenzenta, e-mailová adresa, obsah recenze a hodnocení, fotografie/avatar, uváděná role či firma, číslo nebo kontext objednávky, odpověď obchodníka, technická metadata (zdroj recenze, datum).
- Zvláštní kategorie údajů (čl. 9 GDPR) nejsou předmětem zpracování; Správce se zavazuje je do Služby nevkládat.
4. Povinnosti Zpracovatele
Zpracovatel se zavazuje, že (čl. 28 odst. 3 GDPR):
- zpracovává osobní údaje pouze na základě doložených pokynů Správce — pokyny jsou dány nastavením a užíváním Služby a touto DPA; to neplatí, vyžaduje-li zpracování právo EU nebo členského státu (o takové povinnosti Správce informuje, nezakazuje-li to zákon);
- zajišťuje, že osoby oprávněné zpracovávat osobní údaje jsou vázány povinností mlčenlivosti;
- přijímá bezpečnostní opatření dle čl. 32 GDPR (viz čl. 5 DPA);
- dodržuje podmínky pro zapojení subzpracovatelů (čl. 7 DPA);
- je Správci nápomocen s plněním jeho povinností (čl. 6 DPA);
- po ukončení poskytování Služby osobní údaje vymaže nebo vrátí (čl. 8 DPA);
- poskytne Správci informace potřebné k doložení souladu a umožní audity (čl. 9 DPA); a
- upozorní Správce, pokud podle jeho názoru určitý pokyn porušuje GDPR nebo jiné předpisy o ochraně osobních údajů.
5. Zabezpečení (čl. 32 GDPR)
Zpracovatel s přihlédnutím ke stavu techniky, nákladům, povaze a rizikům zpracování udržuje zejména tato technická a organizační opatření: šifrování přenosů (TLS) i uložených dat, řízení přístupů na úrovni řádků databáze (row-level security), oddělení dat jednotlivých Správců, princip minimálních oprávnění, logování přístupů, zálohy a hosting u dodavatelů s certifikacemi průmyslových standardů (viz Subdodavatelé).
6. Asistence Správci
- Žádosti subjektů údajů: obdrží-li Zpracovatel žádost subjektu údajů (přístup, oprava, výmaz, námitka…), bez zbytečného odkladu ji předá Správci a s ohledem na povahu zpracování mu poskytne součinnost vhodnými technickými a organizačními opatřeními (export, oprava a výmaz údajů ve Službě).
- Porušení zabezpečení: Zpracovatel ohlásí Správci porušení zabezpečení osobních údajů bez zbytečného odkladu po zjištění, s popisem povahy porušení, pravděpodobných dopadů a přijatých opatření — tak, aby Správce mohl splnit svou povinnost ohlášení dozorovému úřadu do 72 hodin (čl. 33 GDPR).
- DPIA: Zpracovatel poskytne Správci součinnost při posouzení vlivu na ochranu osobních údajů (čl. 35 GDPR) a předchozích konzultacích (čl. 36 GDPR).
7. Subzpracovatelé
Správce uděluje Zpracovateli obecné povolení (general authorization) k zapojení subzpracovatelů uvedených na veřejné stránce Subdodavatelé.
- Zamýšlené přidání nebo nahrazení subzpracovatele oznámí Zpracovatel nejméně 30 dní předem (aktualizací seznamu a e-mailem registrovaným zákazníkům).
- Správce má právo proti změně z oprávněných důvodů týkajících se ochrany osobních údajů vznést námitku; nedojde-li k dohodě na řešení, může Správce smlouvu o Službě vypovědět s účinností přede dnem nasazení nového subzpracovatele.
- Zpracovatel ukládá každému subzpracovateli smlouvou stejné povinnosti ochrany údajů, jaké má sám dle této DPA, a vůči Správci plně odpovídá za plnění povinností subzpracovatelů (čl. 28 odst. 4 GDPR).
8. Předávání do třetích zemí
Zpracování probíhá přednostně v EU. Předává-li subzpracovatel údaje mimo EU/EHP, děje se tak na základě vhodných záruk dle kapitoly V GDPR — standardních smluvních doložek (SCC), případně EU–US Data Privacy Framework; mechanismus per dodavatel je uveden na stránce Subdodavatelé.
9. Výmaz a vrácení údajů, audit
Po ukončení poskytování Služby má Správce 30 dní na export zpracovávaných údajů (recenzí) ve strukturovaném formátu (CSV/JSON). Po uplynutí lhůty Zpracovatel všechny osobní údaje vymaže, ledaže právo EU nebo členského státu vyžaduje jejich uložení.
Zpracovatel poskytne Správci na vyžádání informace nezbytné k doložení souladu s čl. 28 GDPR a umožní audit či inspekci prováděné Správcem nebo pověřeným auditorem — po písemném oznámení nejméně 30 dní předem, v běžné pracovní době, maximálně jednou ročně (to neplatí po porušení zabezpečení), způsobem nenarušujícím provoz Služby a při zachování důvěrnosti. Náklady auditu nese Správce.
10. Závěrečná ustanovení
DPA trvá po dobu trvání smlouvy o poskytování Služby. Změny DPA se řídí mechanismem změn obchodních podmínek (oznámení 30 dní předem, právo výpovědi). DPA se řídí právním řádem České republiky.
Verze 2026-07-13, účinnost od 13. 7. 2026.