Smlouva o zpracování osobních údajů (Data Processing Agreement, DPA)

Tato smlouva o zpracování osobních údajů (dále jen „DPA“) je nedílnou součástí Všeobecných obchodních podmínek a je automaticky uzavřena současně s uzavřením smlouvy o poskytování Služby DataNostro. DPA upravuje vztah mezi vámi (Klientem, dále jen „Správce“) a námi (Poskytovatelem, dále jen „Zpracovatel“) ve smyslu článku 28 GDPR.

1. Předmět zpracování

Předmětem zpracování jsou osobní údaje koncových uživatelů webových stránek Správce, které procházejí přes sGTM Kontejner provozovaný Zpracovatelem. Konkrétně se jedná o data odesílaná Měřícím kódem (GTM, GA4, Meta Pixel, Sklik retargeting pixel apod.) z prohlížeče koncového uživatele přes Kontejner do cílových marketingových a analytických platforem.

2. Doba zpracování

Zpracování probíhá po dobu trvání hlavní smlouvy. Po jejím ukončení se postupuje dle čl. 11 této DPA (návrat nebo výmaz údajů).

3. Povaha a účel zpracování

Zpracovatel zpracovává osobní údaje koncových uživatelů Správce za následujícími účely:

• Příjem a předzpracování měřících událostí (page views, click events, conversion events, custom events).
• Routing událostí na cílové platformy zvolené Správcem v jeho GTM konfiguraci (GA4, Meta CAPI, Google Ads, Sklik, TikTok Pixel a další).
• Aplikace pravidel definovaných Správcem v Kontejneru — anonymizace IP, filtrace bot trafiku, restoration click ID, server-side cookie persistence (jen pokud je odpovídající Power-Up Správcem aktivován).
• Krátkodobé logování pro účely diagnostiky výpadků, kvality dat a bezpečnosti (rate limiting, anti-DDoS) — interní logy uchovávány maximálně 90 dnů.

Zpracovatel nesleduje, neagreguje ani nevyhodnocuje obsah měřících událostí pro vlastní marketingové ani jiné komerční účely.

4. Typy osobních údajů a kategorie subjektů

Zpracovávané osobní údaje koncových uživatelů Správce mohou obsahovat:

• Online identifikátory: IP adresa (typicky maskovaná Anonymizerem), client_id (GA4), fbp (Meta), gclid / fbclid (atribuce), session ID, cookie ID.
• Technické údaje: User-Agent, jazyk prohlížeče, časová zóna, screen resolution, OS, typ zařízení.
• Geolokační údaje (přibližné, na základě IP — typicky země / region / město).
• Údaje o chování: navštívené URL, klikané elementy, čas strávený na stránce, referrer, parametry kampaně (UTM).
• Údaje předávané Správcem do dataLayer: e-mail (typicky pro server-side enhanced conversion measurement), telefon, jméno (pokud je Správce do dataLayer pošle — tuto možnost má Správce pod kontrolou ve svém GTM).

Kategorie subjektů údajů: návštěvníci a zákazníci webových stránek Správce.

Zpracovatel nezpracovává zvláštní kategorie osobních údajů (čl. 9 GDPR — zdraví, sexuální orientace, biometrika, atd.). Pokud by Správce vědomě či omylem začal zvláštní kategorie údajů odesílat do Kontejneru, je povinen Zpracovatele informovat — Zpracovatel pak posoudí, zda je nutné aktualizovat technicko-organizační opatření a zda lze v takovém zpracování pokračovat.

5. Pokyny Správce

Zpracovatel zpracovává osobní údaje výhradně na základě doložených pokynů Správce. Pokynem Správce je každá konfigurace, kterou Správce provede v dashboardu DataNostro, ve svém GTM workspace (kontejnerové nastavení, tagy, triggery, proměnné), nebo prostřednictvím API. Hlavní obchodní podmínky a tato DPA představují počáteční sadu pokynů.

Zpracovatel okamžitě informuje Správce, pokud má dle jeho názoru určitý pokyn za rozporný s GDPR nebo jinými předpisy o ochraně osobních údajů (čl. 28 odst. 3 písm. h GDPR).

6. Mlčenlivost

Zpracovatel zajistí, že osoby pověřené zpracováním osobních údajů (zaměstnanci, smluvní spolupracovníci, subdodavatelé) jsou vázány písemně či zákonně povinností mlčenlivosti, a že přístup k údajům je omezen na osoby, které jej nutně potřebují k plnění svých úkolů.

7. Sub-zpracovatelé (čl. 28 odst. 2 GDPR)

Správce uděluje Zpracovateli obecné povolení zapojit do zpracování osobních údajů sub-zpracovatele. Aktuální seznam sub-zpracovatelů:

Aktuální seznam je veden vždy na této stránce. Zpracovatel oznámí Správci jakoukoli zamýšlenou změnu (přidání nebo nahrazení sub-zpracovatele) e-mailem nejméně 30 dnů předem. Správce má v této době právo proti změně vznést námitku — pokud tak učiní a strany nedosáhnou dohody, má Správce právo smlouvu vypovědět ke dni účinnosti změny.

Zpracovatel uzavírá s každým sub-zpracovatelem smlouvu obsahující ekvivalentní povinnosti k těm, které nese vůči Správci v této DPA, zejména pokud jde o technicko-organizační opatření a předávání mimo EU.

8. Bezpečnostní opatření (čl. 32 GDPR)

Zpracovatel implementuje a udržuje následující technicko-organizační opatření:

Technická opatření

• Šifrování přenosu (TLS 1.2+ / 1.3 s moderními ciphersuitami, HSTS, automatický redirect HTTP→HTTPS)
• Šifrování v klidu pro citlivé sloupce v databázi (Fernet AES-128-CBC + HMAC-SHA256)
• Hashování hesel (Argon2 / PBKDF2 dle Django default — žádné plaintext hesla)
• 2FA / TOTP pro administrátorský přístup
• Network segmentace mezi projekty (Docker network namespaces, iptables DOCKER-USER chain)
• Rate limiting per IP a per tenant (nginx limit_req_zone)
• Pravidelné security update (OS — týdně automaticky; aplikační závislosti — Dependabot grouped weekly PRs)
• Append-only audit log finančních callbacků (ComgateCallbackEvent) a aplikačních akcí (AuditLog)
• Centralizovaný error tracking přes Sentry (EU region, Frankfurt) — viz seznam sub-zpracovatelů
• Automatizované denní zálohování PostgreSQL (pg_dump) ukládané v rámci infrastruktury Hetzner do druhého regionu. Retention 30 dní; formální cadenci restore drillů ladíme s prvním Enterprise klientem.

Organizační opatření

• Princip minimálního přístupu — k produkčním serverům má SSH přístup pouze provozovatel; subdodavatelé / zaměstnanci nemají přímý přístup k osobním údajům
• Politika silných hesel a pravidelná rotace klíčů (SSH klíče, API tokeny, šifrovací klíče databáze)
• Plán reakce na bezpečnostní incident (incident response plan) — viz čl. 10
• Dokumentace zpracování (záznam o činnostech zpracování dle čl. 30 GDPR)
• Sekretní materiály (private keys, fakturoid token, Comgate secret) jsou uložené pouze v souboru .env.prod na produkčním serveru s přístupem 600 root, nikdy v gitu
• Pre-commit hooks pro detekci úniku tajných klíčů (gitleaks)

Zpracovatel pravidelně přezkoumává účinnost těchto opatření — minimálně jednou ročně, vždy po významném bezpečnostním incidentu, a vždy po zásadní architektonické změně Služby.

9. Pomoc Správci s plněním povinností

Zpracovatel je povinen být Správci nápomocen při plnění:

• Práv subjektů údajů (čl. 12-23 GDPR) — Zpracovatel poskytne nezbytné technické nástroje (export dat, mazání) tak, aby Správce mohl v zákonné lhůtě reagovat na žádosti subjektů údajů. Zpracovatel sám neodpovídá subjektům údajů přímo (s výjimkou žádostí, které směřují vůči zpracování v roli Správce dle Zásad ochrany osobních údajů).
• Bezpečnostních povinností (čl. 32 GDPR) — průběžně dokumentovaným technicko-organizačním opatřením (čl. 8 této DPA).
• Oznámení porušení (čl. 33-34 GDPR) — viz čl. 10.
• Posouzení vlivu na ochranu osobních údajů (DPIA) (čl. 35 GDPR) — Zpracovatel poskytne Správci na vyžádání dokumentaci nezbytnou pro provedení DPIA (architekturu, kategorie zpracování, technicko-organizační opatření).

Pomoc je poskytována bezplatně v rozsahu odpovídajícím povaze zpracování. Pokud žádost vyžaduje rozsáhlou dodatečnou práci nad rámec běžné podpory, je Zpracovatel oprávněn účtovat hodinovou sazbu odpovídající platnému Ceníku, a to po předchozí dohodě se Správcem.

10. Oznamování porušení zabezpečení (čl. 33 GDPR)

Zpracovatel oznámí Správci jakékoli porušení zabezpečení osobních údajů, kterého se dotýká, bez zbytečného odkladu, nejpozději do 48 hodin od okamžiku, kdy se o něm dozví. Oznámení je zasláno e-mailem na adresu uvedenou v Účtu a obsahuje minimálně:

• Popis povahy porušení (kategorie a přibližný počet dotčených subjektů a záznamů).
• Pravděpodobné důsledky.
• Přijatá nebo navrhovaná opatření k řešení a zmírnění následků.
• Kontaktní místo, kde lze získat další informace (e-mail [email protected]).

Zpracovatel poskytne Správci součinnost při následném oznamování porušení Úřadu pro ochranu osobních údajů (čl. 33 GDPR) a subjektům údajů (čl. 34 GDPR), za které Správce odpovídá v rámci své role správce.

11. Návrat nebo výmaz údajů po ukončení smlouvy

Po ukončení hlavní smlouvy:

• Po dobu 30 dnů po ukončení může Správce požádat o export osobních údajů zpracovávaných v rámci Služby (zejména logy událostí prošlé Kontejnerem za posledních 30 dní). Export probíhá ve formátu JSON nebo CSV.
• Po uplynutí 30denní lhůty Zpracovatel veškerá osobní data zpracovávaná na účet Správce nevratně smaže ze všech aktivních systémů.
• Záložní snapshoty, které mohou obsahovat data Správce, jsou uchovávány maximálně 90 dnů a poté automaticky přepsány novými zálohami. Zpracovatel netvoří archivní zálohy s delší retenční dobou pro Klientská osobní data.
• Audit logy (ComgateCallbackEvent, AuditLog) jsou uchovávány po dobu 7 let z důvodu plnění právní povinnosti a z důvodu důkazní stopy pro řešení sporů. Tyto záznamy obsahují minimum osobních údajů (e-mail, IP) a nezbytné jsou pro detekci podvodů a řešení reklamací.
• Účetní doklady (faktury) jsou uchovávány po dobu 10 let dle zákona č. 563/1991 Sb.

12. Audit a inspekce (čl. 28 odst. 3 písm. h GDPR)

Zpracovatel poskytne Správci na vyžádání informace nezbytné k prokázání plnění povinností stanovených v této DPA (zejména technicko-organizačních opatření z čl. 8). Konkrétně:

• Aktuální verzi technicko-organizačních opatření (TOM) — k dispozici na vyžádání e-mailem.
• Záznamy o činnostech zpracování (čl. 30 GDPR) v rozsahu zpracování pro Správce.
• Případné externí audit reporty (ISO 27001, SOC 2 — pokud budou v budoucnu k dispozici).

Správce má právo provést na své vlastní náklady audit u Zpracovatele, a to maximálně jednou za 12 měsíců, s předchozím oznámením minimálně 30 dnů. Audit musí být proveden způsobem, který nezpůsobí nepřiměřenou zátěž ani nezpřístupní osobní údaje jiných klientů Zpracovatele. Pokud audit provádí třetí strana (auditorská firma), je tato strana povinna podepsat NDA před zahájením auditu.

Pokud audit identifikuje nedostatky, Zpracovatel je povinen je v rozumné lhůtě (zpravidla do 60 dnů, případně urgentní bezpečnostní zranitelnosti do 30 dnů) napravit. Žádné nálezy auditu, které by spadaly pod obchodní tajemství Zpracovatele, nesmí být sdíleny mimo Správce a auditorskou firmu.

13. Mezinárodní předávání

Veškerá hlavní data (databáze, zálohy) jsou uchovávána v EU (Hetzner, Německo). Doplňkové služby probíhají takto:

• Cloudflare může zpracovávat data na hraně sítě v PoP nejbližším koncovému uživateli (USA, EU, Asie). Předávání pokryto Standardními smluvními doložkami (SCC) přijatými Komisí EU dne 4. 6. 2021 a Cloudflare Data Processing Addendum.
• Sentry (Functional Software, Inc.) — error tracking + performance monitoring. EU region (Frankfurt), žádné předávání mimo EU. Žádná payload data eventů (jen anonymizované stack traces).

Zpracovatel zajistí, že veškerá mezinárodní předávání budou doprovázena vhodnými zárukami dle čl. 46 GDPR (typicky SCC) a doplňkovými technickými opatřeními dle Schrems II (zejména end-to-end šifrování, pseudonymizace).

14. Odpovědnost a sankce

Každá strana odpovídá za škody způsobené porušením této DPA. Limitace odpovědnosti dle hlavních VOP (čl. 19) se nevztahuje na případy, kde GDPR nebo jiný kogentní právní předpis stanoví jinak — zejména na pokuty uložené dozorovým úřadem za porušení, které lze přičíst konkrétní straně.

15. Účinnost a vztah k hlavní smlouvě

Tato DPA nabývá účinnosti současně s hlavní smlouvou a zaniká současně s ní (s výjimkou ustanovení čl. 11, která přežijí ukončení smlouvy). Pokud je hlavní smlouva v rozporu s touto DPA v otázkách zpracování osobních údajů, má přednost tato DPA.