Zmluva o spracovaní osobných údajov (DPA)

Tato Smlouva o zpracování osobních údajů (dále jen "DPA") se uzavírá podle článku 28 Nařízení Evropského parlamentu a Rady (EU) 2016/679 (GDPR) mezi Uživatelem služby Fakturuj.si (dále jen "Správce") a společností Elite Digital Services, LLC, provozovatelem služby Fakturuj.si (dále jen "Zpracovatel"). Tato DPA je neoddělitelnou součástí Všeobecných obchodních podmínek.

1. Definície

  • Prevádzkovateľ – Uživatel služby Fakturuj.si, který určuje účely a prostředky zpracování osobních údajů svých klientů prostřednictvím služby.
  • Sprostredkovateľ – Elite Digital Services, LLC, která zpracovává osobní údaje jménem Správce prostřednictvím služby Fakturuj.si.
  • Subjekt údajů – fyzická osoba, jejíž osobní údaje jsou zpracovávány (klienti Uživatele, kontaktní osoby).
  • Osobné údaje – jakékoli informace týkající se identifikované nebo identifikovatelné fyzické osoby ve smyslu článku 4 odst. 1 GDPR.
  • Zpracování – jakákoli operace nebo soubor operací s osobními údaji ve smyslu článku 4 odst. 2 GDPR.
  • Subzpracovatel – třetí strana pověřená Zpracovatelem k vykonávání části zpracování osobních údajů.

2. Rozsah a účel zpracování

2.1 Predmet

Předmětem této DPA je zpracování osobních údajů Zpracovatelem jménem Správce prostřednictvím online fakturační platformy Fakturuj.si.

2.2 Trvanie

Zpracování osobních údajů trvá po celou dobu trvání smluvního vztahu mezi Správcem a Zpracovatelem (tj. po dobu aktivního účtu Uživatele ve službě Fakturuj.si).

2.3 Povaha a účel

Účelem zpracování je poskytování SaaS platformy pro vytváření, správu a odesílání faktur a souvisejících dokumentů. Osobní údaje jsou zpracovávány za účelem:

  • Vytváření a správa faktur, cenových nabídek a dodacích listů
  • Evidencia klientov Používateľa
  • Generování a odesílání dokumentů e-mailem
  • Export dát v rôznych formátoch

2.4 Kategorie subjektů údajů

  • Klienti Uživatele (odběratelé faktur)
  • Kontaktné osoby klientov Používateľa

2.5 Typy osobných údajov

  • Kontaktné údaje: meno, priezvisko, e-mailová adresa, telefónne číslo, poštová adresa
  • Fakturační údaje: fakturační adresa, bankovní údaje (IBAN, SWIFT/BIC)
  • Identifikačné údaje firmy: obchodní jméno, IČO, DIČ, IČ DPH, sídlo společnosti

3. Povinnosti Sprostredkovateľa

Sprostredkovateľ sa zaväzuje:

  1. Zpracovávat osobní údaje výhradně podle zdokumentovaných pokynů Správce, včetně pokynů týkajících se přenosů osobních údajů do třetích zemí, pokud to nevyžaduje právo Unie nebo členského státu.
  2. Zajistit, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti.
  3. Přijmout veškerá bezpečnostní opatření požadovaná podle článku 32 GDPR, jak je uvedeno v bodě 4 této DPA.
  4. Dodržovat podmínky zapojení subzpracovatelů uvedené v bodě 5 této DPA.
  5. Poskytnout Správci součinnost při vyřizování žádostí subjektů údajů o uplatnění jejich práv podle kapitoly III GDPR (právo na přístup, opravu, výmaz, přenositelnost údajů apod.).
  6. Poskytnout Správci součinnost při zajišťování souladu s povinnostmi podle článků 32 až 36 GDPR (bezpečnost zpracování, posouzení vlivu na ochranu údajů, předchozí konzultace).
  7. Po ukončení poskytování služeb vymazat nebo vrátit veškeré osobní údaje Správci podle jeho volby a vymazat stávající kopie, pokud právo Unie nebo členského státu nevyžaduje uchovávání.
  8. Poskytnout Správci veškeré informace potřebné k prokázání plnění povinností podle článku 28 GDPR a umožnit a přispět k auditům včetně inspekcí.
  9. Vést záznamy o všech kategoriích činností zpracování prováděných jménem Správce v souladu s článkem 30 odst. 2 GDPR.
  10. Uplatňovat zásady ochrany údajů již od návrhu a standardně (privacy-by-design a privacy-by-default) v souladu s článkem 25 GDPR.

4. Bezpečnostní opatření

Zpracovatel implementuje a udržuje následující technická a organizační bezpečnostní opatření:

  • Šifrování přenosu: TLS 1.2+ pro veškerou komunikaci mezi klientem a serverem.
  • Šifrování dat: šifrování citlivých dat v úložišti (encryption at rest).
  • Řízení přístupu: řízení přístupu na základě rolí (RBAC) a vícefaktorová autentifikace (MFA) pro administrátorský přístup.
  • Zálohování: denní automatické zálohy s uchováváním po dobu 30 dní.
  • Hosting: služba je hostována na infrastruktuře DigitalOcean (region: Frankfurt, Německo, EU) s certifikacemi SOC 2 Type II a ISO 27001.
  • Aktualizace: pravidelné aktualizace softwaru a bezpečnostní záplaty.
  • Hashování hesel: hesla Uživatelů jsou ukládána výhradně v hashované podobě s použitím moderních algoritmů.
  • Logging a monitoring: logování přístupů a bezpečnostních událostí, monitoring dostupnosti a výkonu.
  • Incident response: zavedený postup reakce na bezpečnostní incidenty včetně oznamování porušení ochrany údajů.

5. Subzpracovatelé

5.1 Schválení subzpracovatelé

Správce uděluje obecné písemné svolení k zapojení subzpracovatelů. Aktuální seznam schválených subzpracovatelů:

Subzpracovatel Účel Sídlo
DigitalOcean, LLC Hosting a infrastruktura USA / EU
Brevo (Sendinblue) E-mailová komunikace (odesílání faktur, notifikace) Francie, EU
Sentry (Functional Software, Inc.) Monitorování chyb a výkonnosti aplikace USA (EU data zpracována v EU)
Stripe, Inc. Spracovanie platobných transakcií USA / EU

Poskytovatel nevlastní, nepronajímá ani neprovozuje vlastní datová centra ani fyzickou infrastrukturu v žádné zemi. Všechny služby jsou provozovány prostřednictvím cloudové infrastruktury výše uvedených subzpracovatelů.

5.2 Oznámení o změně

Zpracovatel informuje Správce o jakýchkoli plánovaných změnách v seznamu subzpracovatelů nejméně 30 dní předem, čímž Správci umožní vznést námitky proti těmto změnám.

Pokud Správce vznese oprávněnou námitku proti novému subzpracovateli do 30 dní od oznámení, Zpracovatel vynaloží přiměřené úsilí k zajištění alternativního řešení. Pokud alternativní řešení není možné, je Správce oprávněn ukončit smlouvu v rozsahu dotčených služeb.

5.3 Rovnaké povinnosti

Zpracovatel zajistí, aby na každého subzpracovatele byly prostřednictvím smlouvy uloženy stejné povinnosti ochrany údajů, jaké jsou stanoveny v této DPA.

6. Práva subjektů údajů

  • Zpracovatel bez zbytečného odkladu oznámí Správci každou žádost subjektu údajů o uplatnění jeho práv (DSAR - Data Subject Access Request).
  • Zpracovatel poskytne Správci přiměřenou součinnost při vyřizování žádostí subjektů údajů.
  • Služba Fakturuj.si poskytuje nástroje pro export a vymazání dat klientů, které může Správce použít k vyřízení žádostí subjektů údajů.

7. Posouzení vlivu na ochranu údajů (DPIA)

Provedení posouzení vlivu na ochranu údajů (DPIA) podle článku 35 GDPR je odpovědností Správce. Zpracovatel poskytne Správci všechny informace potřebné k provedení DPIA v souvislosti se zpracováním osobních údajů prostřednictvím služby Fakturuj.si.

8. Oznámenie o porušení ochrany osobných údajov

Sprostredkovateľ sa zaväzuje:

  • Oznámit Správci jakékoli porušení ochrany osobních údajů bez zbytečného odkladu, nejpozději do 72 hodin od zjištění porušení.
  • Poskytnout Správci dostatečné informace ke splnění oznamovací povinnosti podle článků 33 a 34 GDPR, včetně povahy porušení, kategorií a počtu dotčených subjektů údajů, pravděpodobných následků a přijatých opatření.

9. Uchovávanie a vymazanie údajov

  • Po ukončení smlouvy (zrušení účtu) má Správce 30 dní na export všech svých dat prostřednictvím exportních nástrojů služby.
  • Po uplynutí 30denní lhůty Zpracovatel bezpečně vymaže všechna osobní data zpracovávaná jménem Správce, pokud právní předpisy nevyžadují jejich další uchovávání.
  • Na žádost Správce poskytne Zpracovatel písemné potvrzení o vymazání údajů.

10. Medzinárodné prenosy údajov

V případě přenosu osobních údajů mimo Evropský hospodářský prostor (EHP) Zpracovatel zajistí přiměřené záruky v souladu s kapitolou V GDPR, a to zejména:

  • Štandardné zmluvné doložky (Standard Contractual Clauses - SCCs) schválené Európskou komisiou podľa článku 46 ods. 2 GDPR.
  • Rámec ochrany osobných údajov medzi EÚ a USA (EU-US Data Privacy Framework), ak je príjemca údajov certifikovaný v rámci tohto programu.
  • Posouzení dopadu přenosu (Transfer Impact Assessment - TIA) k zajištění přiměřené úrovně ochrany v cílové zemi.

11. Audity a kontroly

  • Správce má právo provést audit souladu Zpracovatele s touto DPA, a to po předchozím písemném oznámení nejméně 30 dní předem.
  • Audity se provádějí nejvýše jednou za 12 měsíců, pokud není audit vyvolán konkrétním porušením nebo požadavkem dozorného orgánu.
  • Náklady na audit nese Správce, pokud audit neprokáže závažné porušení této DPA ze strany Zpracovatele.

12. Zodpovednosť

Odpovědnost smluvních stran se řídí ustanoveními Všeobecných obchodních podmínek služby Fakturuj.si a příslušnými právními předpisy.

13. Zástupca v EÚ

Zpracovatel jako společnost se sídlem mimo EU jmenoval zástupce v EU podle článku 27 GDPR. Zástupce v EU plní výhradně funkce podle článku 27 GDPR a nevykonává žádnou obchodní činnost jménem Zpracovatele. Zástupce nezakládá stálou provozovnu (Permanent Establishment) Zpracovatele v EU.

Euro business company Kft.
Sídlo společnosti: Rómer Flóris utca 8/B. 3.em., 1024 Budapest, Maďarsko
Daňové číslo: 28959364-2-41
IČ DPH: HU28959364
E-mail: [email protected]

14. Rozhodné právo

Tato Dohoda o zpracování osobních údajů se řídí právem státu Delaware, USA, a tvoří nedílnou součást Všeobecných obchodních podmínek. Ve věcech ochrany osobních údajů se uplatní výhradně kogentní ustanovení Nařízení (EU) 2016/679 (GDPR) v rozsahu, v němž jsou přímo použitelná.

15. Kontakt

V případě dotazů týkajících se této DPA nás kontaktujte:

Elite Digital Services, LLC
Sídlo společnosti: 1111B S Governors Ave #21653, Dover, DE 19904, USA
E-mail: [email protected]
Web: www.fakturuj.si

Posledná aktualizácia: březen 2026