Smlouva o zpracování osobních údajů (DPA)

Tato Smlouva o zpracování osobních údajů (dále jen „DPA") se uzavírá podle článku 28 Nařízení Evropského parlamentu a Rady (EU) 2016/679 (GDPR) mezi Uživatelem služby Fakturuj.si (dále jen „Správce") a společností Elite Digital Services, LLC, provozovatelem služby Fakturuj.si (dále jen „Zpracovatel"). Tato DPA je nedílnou součástí Všeobecných obchodních podmínek.

1. Definice

  • Správce – Uživatel služby Fakturuj.si, který určuje účely a prostředky zpracování osobních údajů svých klientů prostřednictvím služby.
  • Zpracovatel – Elite Digital Services, LLC, která zpracovává osobní údaje jménem Správce prostřednictvím služby Fakturuj.si.
  • Subjekt údajů – fyzická osoba, jejíž osobní údaje jsou zpracovávány (klienti Uživatele, kontaktní osoby).
  • Osobní údaje – jakékoli informace týkající se identifikované nebo identifikovatelné fyzické osoby ve smyslu článku 4 odst. 1 GDPR.
  • Zpracování – jakákoli operace nebo soubor operací s osobními údaji ve smyslu článku 4 odst. 2 GDPR.
  • Dílčí zpracovatel – třetí strana pověřená Zpracovatelem k provádění části zpracování osobních údajů.

2. Rozsah a účel zpracování

2.1 Předmět

Předmětem této DPA je zpracování osobních údajů Zpracovatelem jménem Správce prostřednictvím online fakturační platformy Fakturuj.si.

2.2 Trvání

Zpracování osobních údajů trvá po celou dobu trvání smluvního vztahu mezi Správcem a Zpracovatelem (tj. po dobu aktivního účtu Uživatele ve službě Fakturuj.si).

2.3 Povaha a účel

Účelem zpracování je poskytování SaaS platformy pro vytváření, správu a odesílání faktur a souvisejících dokumentů. Osobní údaje jsou zpracovávány za účelem:

  • Vytváření a správa faktur, cenových nabídek a dodacích listů
  • Evidence klientů Uživatele
  • Generování a odesílání dokumentů e-mailem
  • Export dat v různých formátech

2.4 Kategorie subjektů údajů

  • Klienti Uživatele (odběratelé faktur)
  • Kontaktní osoby klientů Uživatele

2.5 Typy osobních údajů

  • Kontaktní údaje: jméno, příjmení, e-mailová adresa, telefonní číslo, poštovní adresa
  • Fakturační údaje: fakturační adresa, bankovní údaje (IBAN, SWIFT/BIC)
  • Identifikační údaje firmy: obchodní název, IČO, DIČ, IČ DPH, sídlo společnosti

3. Povinnosti Zpracovatele

Zpracovatel se zavazuje:

  1. Zpracovávat osobní údaje výhradně podle zdokumentovaných pokynů Správce, včetně pokynů týkajících se předávání osobních údajů do třetích zemí, pokud to nevyžaduje právo Unie nebo členského státu.
  2. Zajistit, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti.
  3. Přijmout veškerá bezpečnostní opatření požadovaná podle článku 32 GDPR, jak je uvedeno v bodě 4 této DPA.
  4. Dodržovat podmínky zapojení dílčích zpracovatelů uvedené v bodě 5 této DPA.
  5. Poskytnout Správci součinnost při vyřizování žádostí subjektů údajů o uplatnění jejich práv podle kapitoly III GDPR (právo na přístup, opravu, výmaz, přenositelnost údajů apod.).
  6. Poskytnout Správci součinnost při zajištění souladu s povinnostmi podle článků 32 až 36 GDPR (bezpečnost zpracování, posouzení vlivu na ochranu údajů, předchozí konzultace).
  7. Po ukončení poskytování služeb vymazat nebo vrátit všechny osobní údaje Správci podle jeho volby a vymazat existující kopie, pokud právo Unie nebo členského státu nevyžaduje uchovávání.
  8. Poskytnout Správci veškeré informace potřebné k prokázání plnění povinností podle článku 28 GDPR a umožnit a přispět k auditům včetně inspekcí.
  9. Vést záznamy o všech kategoriích činností zpracování prováděných jménem Správce v souladu s článkem 30 odst. 2 GDPR.
  10. Uplatňovat zásady ochrany údajů již od návrhu a standardně (privacy-by-design a privacy-by-default) v souladu s článkem 25 GDPR.

4. Bezpečnostní opatření

Zpracovatel implementuje a udržuje následující technická a organizační bezpečnostní opatření:

  • Šifrování přenosu: TLS 1.2+ pro veškerou komunikaci mezi klientem a serverem.
  • Šifrování dat: šifrování citlivých dat v úložišti (encryption at rest).
  • Řízení přístupu: řízení přístupu na základě rolí (RBAC) a vícefaktorová autentizace (MFA) pro administrátorský přístup.
  • Zálohování: denní automatické zálohy s uchováváním po dobu 30 dní.
  • Hosting: služba je hostovaná na cloudovej infraštruktúre (región: EÚ) s certifikáciami SOC 2 Type II a ISO 27001.
  • Aktualizace: pravidelné aktualizace softwaru a bezpečnostní záplaty.
  • Hashování hesel: hesla Uživatelů jsou ukládána výhradně v hashované podobě s použitím moderních algoritmů.
  • Logging a monitoring: logování přístupů a bezpečnostních událostí, monitoring dostupnosti a výkonu.
  • Incident response: zavedený postup reakce na bezpečnostní incidenty včetně oznamování porušení ochrany údajů.

5. Dílčí zpracovatelé

5.1 Schválení dílčí zpracovatelé

Správce uděluje obecné písemné povolení k zapojení dílčích zpracovatelů. Aktuální seznam schválených dílčích zpracovatelů:

Dílčí zpracovatel Účel Sídlo
Poskytovatel cloudové infrastruktury Hosting a infrastruktura
Brevo (Sendinblue) E-mailová komunikace (odesílání faktur, notifikace) Francie, EU
Sentry (Functional Software, Inc.) Monitorování chyb a výkonnosti aplikace USA (EU data zpracovaná v EU)
Stripe, Inc. Zpracování platebních transakcí USA / EU

Poskytovatel nevlastní, nepronajímá ani neprovozuje vlastní datová centra ani fyzickou infrastrukturu v žádné zemi. Všechny služby jsou provozovány prostřednictvím cloudové infrastruktury výše uvedených dílčích zpracovatelů.

5.2 Oznámení o změně

Zpracovatel informuje Správce o jakýchkoli zamýšlených změnách v seznamu dílčích zpracovatelů minimálně 30 dní předem, čímž Správci umožní vznést námitky proti takovým změnám.

Pokud Správce vznese oprávněnou námitku proti novému dílčímu zpracovateli do 30 dní od oznámení, Zpracovatel vynaloží přiměřené úsilí k zajištění alternativního řešení. Pokud alternativní řešení není možné, Správce je oprávněn ukončit smlouvu v rozsahu dotčených služeb.

5.3 Stejné povinnosti

Zpracovatel zajistí, aby na každého dílčího zpracovatele byly prostřednictvím smlouvy uloženy stejné povinnosti ochrany údajů, jaké jsou stanoveny v této DPA.

6. Práva subjektů údajů

  • Zpracovatel bez zbytečného odkladu oznámí Správci každou žádost subjektu údajů o uplatnění jeho práv (DSAR - Data Subject Access Request).
  • Zpracovatel poskytne Správci přiměřenou součinnost při vyřizování žádostí subjektů údajů.
  • Služba Fakturuj.si poskytuje nástroje pro export a vymazání údajů klientů, které Správce může použít k vyřízení žádostí subjektů údajů.

7. Posouzení vlivu na ochranu osobních údajů (DPIA)

Provedení posouzení vlivu na ochranu osobních údajů (DPIA) podle článku 35 GDPR je odpovědností Správce. Zpracovatel poskytne Správci veškeré informace potřebné k provedení DPIA v souvislosti se zpracováním osobních údajů prostřednictvím služby Fakturuj.si.

8. Oznámení o porušení ochrany osobních údajů

Zpracovatel se zavazuje:

  • Oznámit Správci jakékoli porušení ochrany osobních údajů bez zbytečného odkladu, nejpozději do 72 hodin od zjištění porušení.
  • Poskytnout Správci dostatečné informace ke splnění oznamovací povinnosti podle článků 33 a 34 GDPR, včetně povahy porušení, kategorií a počtu dotčených subjektů údajů, pravděpodobných následků a přijatých opatření.

9. Uchovávání a vymazání údajů

  • Po ukončení smlouvy (zrušení účtu) má Správce 30 dní na export všech svých údajů prostřednictvím exportních nástrojů služby.
  • Po uplynutí 30denní lhůty Zpracovatel bezpečně vymaže všechny osobní údaje zpracovávané jménem Správce, pokud právní předpisy nevyžadují jejich další uchovávání.
  • Na žádost Správce poskytne Zpracovatel písemné potvrzení o vymazání údajů.

10. Mezinárodní předávání údajů

V případě předávání osobních údajů mimo Evropský hospodářský prostor (EHP) Zpracovatel zajistí přiměřené záruky v souladu s kapitolou V GDPR, a to zejména:

  • Standardní smluvní doložky (Standard Contractual Clauses - SCCs) schválené Evropskou komisí podle článku 46 odst. 2 GDPR.
  • Rámec ochrany osobních údajů mezi EU a USA (EU-US Data Privacy Framework), pokud je příjemce údajů certifikován v rámci tohoto programu.
  • Posouzení dopadu předání (Transfer Impact Assessment - TIA) k zajištění přiměřené úrovně ochrany v cílové zemi.

11. Audity a kontroly

  • Správce má právo provést audit souladu Zpracovatele s touto DPA, a to po předchozím písemném oznámení minimálně 30 dní předem.
  • Audity se provádějí maximálně jednou za 12 měsíců, pokud není audit vyvolán konkrétním porušením nebo požadavkem dozorového orgánu.
  • Náklady na audit nese Správce, pokud audit neprokáže závažné porušení této DPA ze strany Zpracovatele.

12. Odpovědnost

Odpovědnost smluvních stran se řídí ustanoveními Všeobecných obchodních podmínek služby Fakturuj.si a příslušnými právními předpisy.

13. Zástupce v EU

Zpracovatel jako společnost se sídlem mimo EU ustanovil zástupce v EU podle článku 27 GDPR. Zástupce v EU plní výhradně funkce podle článku 27 GDPR a nevykonává žádnou obchodní činnost jménem Zpracovatele. Zástupce nezakládá stálou provozovnu (Permanent Establishment) Zpracovatele v EU.

Euro business company Kft.
Sídlo společnosti: Rómer Flóris utca 8/B. 3.em., 1024 Budapest, Maďarsko
Daňové číslo: 28959364-2-41
IČ DPH: HU28959364
E-mail: [email protected]

14. Rozhodné právo

Tato Smlouva o zpracování osobních údajů se řídí právem státu Delaware, USA, a tvoří nedílnou součást Všeobecných obchodních podmínek. V záležitostech ochrany osobních údajů se aplikují výhradně kogentní ustanovení Nařízení (EU) 2016/679 (GDPR) v rozsahu, v jakém jsou přímo aplikovatelná.

15. Kontakt

V případě dotazů týkajících se této DPA nás kontaktujte:

Elite Digital Services, LLC
Sídlo společnosti: 1111B S Governors Ave #21653, Dover, DE 19904, USA
E-mail: [email protected]
Web: www.fakturuj.si

Poslední aktualizace: červen 2026