Zpracovatelská smlouva (DPA)

Smluvní strany

Správce osobních údajů (dále jen „Správce“):
Uživatel služby DokladBot, který jako podnikající fyzická nebo právnická osoba zpracovává osobní údaje obsažené ve svých účetních dokladech.

Zpracovatel osobních údajů (dále jen „Zpracovatel“):
Eucalypt 4 s.r.o., IČO: 22103741, se sídlem Jičínská 226/17, Žižkov, 130 00 Praha 3, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, sp. zn. C 410771

Kontakt: info@dokladbot.cz, tel.: +420 722 158 002

1. Předmět smlouvy

1.1. Tato Zpracovatelská smlouva (dále jen „Smlouva“) upravuje práva a povinnosti smluvních stran při zpracování osobních údajů Zpracovatelem jménem Správce v rámci poskytování služby DokladBot.

1.2. Tato Smlouva tvoří nedílnou součást Všeobecných obchodních podmínek služby DokladBot a nabývá účinnosti okamžikem registrace Správce ke Službě.

2. Rozsah a účel zpracování

2.1. Zpracovatel zpracovává osobní údaje výhradně za účelem poskytování Služby, tj.:

• příjem a digitalizace účetních dokladů;
• rozpoznávání údajů z dokladů pomocí OCR a AI technologií;
• kategorizace a třídění dokladů;
• export dat do účetního systému Správce;
• dočasné uchování zpracovaných dokladů v rámci Služby.

2.2. Zpracovatel zpracovává osobní údaje pouze na základě doložených pokynů Správce, včetně pokynů ohledně předání do třetích zemí, pokud mu takové zpracování neukládá právo Unie nebo členského státu.

3. Kategorie subjektů údajů a osobních údajů

3.1. Subjekty údajů: Obchodní partneři Správce (dodavatelé, odběratelé, zákazníci), jejichž údaje jsou obsaženy v účetních dokladech zpracovávaných prostřednictvím Služby.

3.2. Kategorie osobních údajů:

• identifikační údaje (název firmy, jméno a příjmení, IČO, DIČ);
• kontaktní údaje (adresa sídla/bydliště, e-mail, telefon);
• finanční údaje (fakturované částky, bankovní spojení, variabilní symboly).

3.3. Zpracovatel nezpracovává zvláštní kategorie osobních údajů ve smyslu čl. 9 GDPR. Správce se zavazuje takové údaje prostřednictvím Služby nezasílat.

4. Povinnosti Zpracovatele

4.1. Zpracovatel se zavazuje:

a) zpracovávat osobní údaje pouze na základě doložených pokynů Správce a pouze v rozsahu nezbytném pro poskytování Služby;

b) zajistit, aby osoby oprávněné zpracovávat osobní údaje byly zavázány k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti;

c) přijmout veškerá opatření požadovaná dle čl. 32 GDPR (zabezpečení zpracování), zejména:

• šifrování osobních údajů při přenosu (TLS/SSL) i v úložišti (AES-256);
• zajištění trvalé důvěrnosti, integrity, dostupnosti a odolnosti systémů;
• schopnost obnovit dostupnost osobních údajů v případě incidentu;
• pravidelné testování a hodnocení účinnosti bezpečnostních opatření;

d) nezapojit dalšího zpracovatele (subdodavatele) bez předchozího obecného písemného souhlasu Správce. Správce tímto uděluje obecný souhlas se zapojením dílčích zpracovatelů za podmínek stanovených v čl. 6 této Smlouvy;

e) zohledňovat povahu zpracování a být Správci nápomocen při plnění jeho povinností (odpovědi na žádosti subjektů údajů, posouzení vlivu na ochranu osobních údajů, konzultace s dozorovým úřadem);

f) po ukončení poskytování Služby na základě rozhodnutí Správce všechny osobní údaje vymazat nebo je vrátit Správci a vymazat existující kopie, pokud právo Unie nebo členského státu nepožaduje uložení daných osobních údajů;

g) poskytnout Správci veškeré informace potřebné k doložení plnění povinností stanovených v čl. 28 GDPR a umožnit audity a inspekce prováděné Správcem nebo jiným auditorem, kterého Správce pověřil.

5. Oznamování porušení zabezpečení

5.1. Zpracovatel informuje Správce o jakémkoli porušení zabezpečení osobních údajů (data breach) bez zbytečného odkladu, nejpozději do 48 hodin od zjištění porušení.

5.2. Oznámení bude obsahovat alespoň:

• popis povahy porušení, včetně kategorií a přibližného počtu dotčených subjektů údajů;
• jméno a kontaktní údaje odpovědné osoby;
• popis pravděpodobných důsledků porušení;
• popis opatření, která Zpracovatel přijal nebo navrhl přijmout.

5.3. Zpracovatel poskytne Správci součinnost při plnění oznamovací povinnosti vůči dozorovému úřadu (ÚOOÚ) a dotčeným subjektům údajů.

6. Dílčí zpracovatelé (subdodavatelé)

6.1. Správce uděluje obecný souhlas s tím, aby Zpracovatel zapojil do zpracování osobních údajů dílčí zpracovatele (sub-processors).

6.2. Aktuální seznam dílčích zpracovatelů je zveřejněn na webových stránkách Zpracovatele a tvoří přílohu této Smlouvy.

6.3. Zpracovatel informuje Správce o zamýšlených změnách týkajících se přijetí dalších nebo výměny dílčích zpracovatelů nejméně 14 dnů předem, čímž poskytne Správci příležitost vyslovit námitku proti těmto změnám.

6.4. Pokud Správce vznese odůvodněnou námitku do 14 dnů od oznámení, Zpracovatel buď:

• upustí od zamýšlené změny; nebo
• nabídne Správci možnost ukončit Smlouvu bez sankce.

6.5. Zpracovatel zajistí, aby na dílčí zpracovatele byly smluvně uloženy stejné povinnosti na ochranu osobních údajů, jaké jsou stanoveny v této Smlouvě. Zpracovatel nese vůči Správci plnou odpovědnost za plnění povinností dílčích zpracovatelů.

7. Předávání údajů do třetích zemí

7.1. Zpracovatel nepředává osobní údaje mimo Evropský hospodářský prostor (EHP) bez předchozího souhlasu Správce a bez zajištění odpovídajících záruk dle kapitoly V GDPR.

7.2. V případě předání do třetích zemí Zpracovatel zajistí ochranu prostřednictvím:

• rozhodnutí Evropské komise o odpovídající ochraně; nebo
• standardních smluvních doložek (SCC) dle čl. 46/2/c GDPR; nebo
• jiných vhodných záruk dle GDPR.

8. Práva subjektů údajů

8.1. Zpracovatel poskytne Správci přiměřenou součinnost při vyřizování žádostí subjektů údajů o výkon jejich práv dle čl. 15–22 GDPR (přístup, oprava, výmaz, omezení zpracování, přenositelnost, námitka).

8.2. Pokud se subjekt údajů obrátí přímo na Zpracovatele, Zpracovatel jej bez zbytečného odkladu přesměruje na Správce a informuje o tom Správce.

9. Audity a kontroly

9.1. Zpracovatel umožní Správci nebo jím pověřenému auditorovi provádět audity a inspekce za účelem ověření dodržování této Smlouvy a povinností dle GDPR.

9.2. Audity budou prováděny na náklady Správce, s přiměřeným předchozím upozorněním (nejméně 14 pracovních dnů), v pracovní době a způsobem, který nenarušuje běžný provoz Zpracovatele.

9.3. Zpracovatel může namísto fyzického auditu poskytnout Správci aktuální certifikáty, zprávy nezávislých auditorů nebo jiné doklady prokazující dodržování bezpečnostních opatření.

10. Doba trvání a ukončení

10.1. Tato Smlouva je účinná po celou dobu trvání smluvního vztahu mezi Správcem a Zpracovatelem (tj. po dobu užívání Služby).

10.2. Po ukončení smluvního vztahu Zpracovatel:

• umožní Správci export dat po dobu 90 dnů;
• po uplynutí 90denní lhůty nevratně vymaže veškeré osobní údaje Správce;
• záložní kopie budou vymazány nejpozději do 45 dnů od výmazu primárních dat;
• na žádost Správce potvrdí provedení výmazu.

10.3. Povinnosti plynoucí z této Smlouvy, zejména mlčenlivost a zabezpečení údajů, trvají i po ukončení smluvního vztahu.

11. Odpovědnost

11.1. Zpracovatel odpovídá za škodu způsobenou zpracováním osobních údajů v rozporu s touto Smlouvou nebo GDPR dle čl. 82 GDPR.

11.2. Omezení odpovědnosti dle Všeobecných obchodních podmínek se vztahují i na tuto Smlouvu.

12. Závěrečná ustanovení

12.1. Tato Smlouva se řídí právním řádem České republiky a přímo použitelnými předpisy Evropské unie, zejména GDPR.

12.2. V případě rozporu mezi touto Smlouvou a Všeobecnými obchodními podmínkami mají v otázkách ochrany osobních údajů přednost ustanovení této Smlouvy.

12.3. Změny této Smlouvy jsou možné pouze písemnou formou.

12.4. Pro řešení sporů z této Smlouvy jsou příslušné soudy České republiky dle sídla Zpracovatele.

Příloha: Technická a organizační opatření (čl. 32 GDPR)

Šifrování

• AES-256 pro data v úložišti (at rest)
• TLS 1.2+ pro data při přenosu (in transit)

Řízení přístupu

• Přístup na základě principu minimálních oprávnění (least privilege)
• Vícefaktorová autentizace pro administrátorské účty
• Pravidelná revize přístupových oprávnění

Zálohování

• Pravidelné automatické zálohy
• Testování obnovy dat

Monitoring

• Logování přístupů k osobním údajům
• Detekce anomálií a bezpečnostních incidentů

Organizační opatření

• Školení zaměstnanců v oblasti ochrany osobních údajů
• Dokumentované interní procesy pro zpracování osobních údajů
• Plán reakce na bezpečnostní incidenty (Incident Response Plan)