Smlouva o zpracování osobních údajů (DPA)

Poslední aktualizace: 1. 1. 2025

Tato smlouva o zpracování osobních údajů (Data Processing Agreement) upravuje podmínky zpracování osobních údajů, které DataNostro zpracovává jménem Klienta v rámci poskytování služby server-side tracking.

1. Definice

  • Správce: Klient využívající službu DataNostro
  • Zpracovatel: Jan Malatinský, IČO: 19152361
  • Osobní údaje: data procházející sGTM kontejnerem Klienta
  • Subjekt údajů: návštěvník webu Klienta

2. Předmět a účel zpracování

Zpracovatel zpracovává osobní údaje výhradně za účelem poskytování služby server-side Google Tag Manager, konkrétně:

  • Přijímání a přeposílání trackingových eventů
  • Server-side zpracování konverzí pro reklamní platformy
  • Transformace a obohacení dat dle konfigurace GTM kontejneru
  • Dočasné ukládání dat pro účely zpracování

3. Kategorie osobních údajů

V závislosti na konfiguraci GTM kontejneru Klienta mohou být zpracovávány:

  • IP adresy (maskovány automaticky)
  • Identifikátory cookies (client_id, session_id)
  • User-Agent a informace o zařízení
  • E-mailové adresy (hashované pro server-side matching)
  • Údaje o transakcích (pokud klient konfiguruje e-commerce tracking)

4. Povinnosti Zpracovatele

  • Zpracovávat osobní údaje pouze na základě pokynů Správce
  • Zajistit, aby osoby oprávněné zpracovávat údaje byly vázány mlčenlivostí
  • Přijmout vhodná technická a organizační opatření k zabezpečení údajů
  • Neangažovat dalšího zpracovatele bez předchozího souhlasu Správce
  • Pomáhat Správci při plnění povinností vůči subjektům údajů
  • Po ukončení zpracování vymazat nebo vrátit všechny osobní údaje
  • Umožnit audity a kontroly Správcem

5. Sub-zpracovatelé

Zpracovatel využívá následující sub-zpracovatele:

Název Účel Umístění
Hetzner Online GmbH Hosting sGTM kontejnerů EU (Německo)
Google LLC GTM Server Container runtime EU/US (SCC)

O zapojení nového sub-zpracovatele bude Správce informován minimálně 30 dní předem.

6. Bezpečnostní opatření

Zpracovatel implementuje minimálně následující opatření:

  • Šifrování dat při přenosu (TLS 1.2+)
  • Šifrování disků na serverech
  • Automatická IP anonymizace
  • Řízení přístupu (SSH klíče, MFA)
  • Pravidelné bezpečnostní záplaty
  • Logování přístupu k datům
  • Izolace kontejnerů mezi klienty (Docker)

7. Oznamování narušení bezpečnosti

V případě narušení bezpečnosti osobních údajů Zpracovatel:

  • Oznámí incident Správci bez zbytečného odkladu, nejpozději do 48 hodin
  • Poskytne veškeré informace potřebné pro splnění oznamovací povinnosti dle čl. 33 GDPR
  • Přijme okamžitá opatření k minimalizaci dopadu

8. Doba zpracování a výmaz

  • Trackingová data jsou uchovávána maximálně 30 dní
  • Provozní logy: maximálně 90 dní
  • Po ukončení služby jsou veškerá data vymazána do 30 dní
  • Na žádost Správce provedeme výmaz okamžitě

9. Kontakt

Pro záležitosti týkající se DPA: [email protected]