Smlouva o zpracování osobních údajů

Tato Smlouva o zpracování osobních údajů („DPA“) upravuje zpracování osobních údajů Zpracovatelem pro Správce v souvislosti s poskytováním služby Ellitie (CMP) na doménách ellitie.com a app.ellitie.com.

2. Vazba na hlavní smlouvu

Tato DPA je součástí smluvního vztahu mezi Stranami týkajícího se poskytování služby Ellitie („Hlavní smlouva“). V případě rozporu mezi touto DPA a Hlavní smlouvou má přednost tato DPA v rozsahu úpravy zpracování osobních údajů dle čl. 28 GDPR.

3. Definice

• GDPR – Nařízení (EU) 2016/679.
• Osobní údaje – osobní údaje ve smyslu GDPR, které Zpracovatel zpracovává pro Správce.
• Zpracování, Správce, Zpracovatel, Subjekt údajů – mají význam dle GDPR.
• Pokyny – zdokumentované pokyny Správce pro Zpracovatele (zejm. nastavení služby, konfigurace, instrukce v ticketech/e-mailem, API volání, a další dokumentované požadavky).
• Porušení zabezpečení osobních údajů – dle čl. 4 odst. 12 GDPR.

4. Role Stran a rámec zpracování

• Správce je ve vztahu ke koncovým uživatelům svých webů/aplikací výhradním správcem.
• Zpracovatel poskytuje Správci službu CMP (consent management platform) a vystupuje výhradně jako zpracovatel.
• Zpracovatel neurčuje účely zpracování osobních údajů koncových uživatelů Správce ani právní tituly; tyto povinnosti nese Správce.
• Předmět, povaha, účel, kategorie osobních údajů a subjektů údajů jsou popsány v Příloze A.

5. Pokyny Správce

• Zpracovatel zpracovává Osobní údaje pouze na základě zdokumentovaných pokynů Správce a v rozsahu nezbytném k poskytování služby.
• Pokyny mohou být udělovány zejména prostřednictvím uživatelského rozhraní služby, nastavení účtu, API, písemně e-mailem z kontaktní adresy Správce nebo prostřednictvím podpory.
• Pokud by podle názoru Zpracovatele pokyn Správce vedl k porušení GDPR nebo jiných závazných předpisů, Zpracovatel Správce bez zbytečného odkladu upozorní.

6. Povinnosti Zpracovatele dle čl. 28 GDPR

6.1 Důvěrnost

• Zpracovatel zajistí, aby osoby oprávněné zpracovávat Osobní údaje byly vázány povinností mlčenlivosti.

6.2 Bezpečnost

• Zpracovatel zavede a udržuje vhodná technická a organizační opatření dle čl. 32 GDPR, minimálně v rozsahu uvedeném v Příloze B.

6.3 Pomoc Správci

• Zpracovatel poskytne Správci přiměřenou součinnost při:
  • vyřizování žádostí subjektů údajů (čl. 12–22 GDPR),
  • zajištění bezpečnosti, hlášení porušení, DPIA a konzultací s ÚOOÚ (čl. 32–36 GDPR).
• Pokud si součinnost vyžádá nepřiměřené náklady (např. nadstandardní exporty, specifické audity, rozsáhlé konzultace), může Zpracovatel účtovat přiměřené a předem oznámené náklady.

6.4 Oznámení porušení zabezpečení

• Zpracovatel oznámí Správci porušení zabezpečení osobních údajů bez zbytečného odkladu poté, co se o něm prokazatelně dozví, a poskytne dostupné informace přiměřeně potřebné pro splnění povinností Správce.

7. Subzpracovatelé

• Správce uděluje Zpracovateli obecné oprávnění zapojit subzpracovatele uvedené v Příloze A (Seznam subzpracovatelů).
• Zpracovatel informuje Správce o zamýšlených změnách v subzpracovatelích (přidání nebo nahrazení) nejméně 30 dnů předem prostřednictvím e-mailu nebo oznámení ve službě.
• Správce může vznést odůvodněnou námitku do 10 pracovních dnů od oznámení. Pokud Zpracovatel nebude schopen zajistit poskytování služby bez dotčeného subzpracovatele, mohou Strany dohodnout alternativu; nedojde-li k dohodě, může Správce ukončit tu část služby, která na subzpracovateli nezbytně závisí, s přiměřenou výpovědní dobou. (Tím nejsou dotčena ujednání o platbách v Hlavní smlouvě.)
• Zpracovatel uzavírá se subzpracovateli smlouvy ukládající jim povinnosti nejméně rovnocenné této DPA.

8. Mezinárodní předávání

Zpracovatel provozuje infrastrukturu služby v rámci EU/EHP a dle informací dostupných Zpracovateli je služba koncipována tak, aby se Osobní údaje zpracovávaly v EU/EHP. Pokud by však v důsledku zapojení subzpracovatele, podpory výrobce, bezpečnostního incidentu nebo jiné objektivní potřeby došlo k předání Osobních údajů mimo EU/EHP („omezené předání“), Strany zajistí, aby takové předání proběhlo pouze při splnění požadavků kapitoly V GDPR (zejména rozhodnutí o odpovídající ochraně, nebo Standardní smluvní doložky (SCC) dle rozhodnutí Komise (EU) 2021/914, případně doplňující opatření).

Pozn.: Některé globální služby (např. platební infrastruktura) mohou za určitých okolností zahrnovat přístup ze třetích zemí. Zpracovatel bude Správce o relevantních změnách informovat podle čl. 7.

9. Audity

• Zpracovatel poskytne Správci informace přiměřeně nezbytné k prokázání souladu s touto DPA a umožní audit v rozsahu přiměřeném riziku.
• Přednostně bude audit proveden formou poskytnutí dostupných výstupů (např. shrnutí bezpečnostních opatření, potvrzení o opatřeních, výsledky penetračních testů v rozsahu, který neohrozí bezpečnost).
• On-site nebo rozsáhlý audit je možný pouze:
  • po předchozí dohodě rozsahu,
  • s oznámením alespoň 4 týdny předem (neplatí při prokazatelném závažném incidentu),
  • v pracovní době,
  • způsobem, který nenaruší provoz Zpracovatele,
  • na náklady Správce.

10. Výmaz a vrácení údajů

• Po ukončení poskytování služby Zpracovatel na volbu Správce:
  • umožní export/vrácení údajů v dostupném formátu, a/nebo
  • provede výmaz Osobních údajů.
• Retence: Zpracovatel uchovává Osobní údaje (včetně consent logů a technických logů) po dobu 12 měsíců od ukončení smluvního vztahu, ledaže:
  • Správce požádá o dřívější výmaz a je to technicky možné a právně přípustné, nebo
  • právní předpisy vyžadují delší uchování (např. účetní/daňové povinnosti pro B2B údaje), nebo
  • je delší uchování nezbytné pro ochranu právních nároků.
• Zálohy: Pokud se Osobní údaje nacházejí v zálohách, budou přepsány/odstraněny v rámci běžného zálohovacího cyklu, nejpozději však v přiměřené době odpovídající interní politice záloh (pokud není stanoveno jinak v Hlavní smlouvě).

11. Odpovědnost a odškodnění (B2B)

• Správce odpovídá za zákonnost zpracování vůči subjektům údajů, včetně:
  • správného nastavení CMP,
  • volby právních titulů,
  • informování subjektů údajů,
  • správného nastavení cookies/tagů a režimů souhlasu na své straně.
• Zpracovatel neodpovídá za nesoulad Správce s GDPR/ePrivacy, pokud byl způsoben pokyny Správce, jeho nastavením webu, tagů, skriptů třetích stran, chybnou implementací, nebo porušením povinností Správce.
• Správce se zavazuje Zpracovatele odškodnit za škody, pokuty, náklady a nároky třetích stran vzniklé v důsledku:
  • nezákonných pokynů Správce,
  • nesplnění informačních povinností Správce,
  • nesprávné implementace nebo konfigurace CMP na straně Správce,
  • nezákonného nasazení cookies/tagů třetích stran Správcem.
• V maximálním rozsahu povoleném právem se vylučuje náhrada nepřímých škod (ušlý zisk, ztráta goodwill, přerušení podnikání apod.).
• Celková odpovědnost Zpracovatele za nároky související s touto DPA je omezena na částku odpovídající 100 % poplatků uhrazených Správcem Zpracovateli za službu během 12 měsíců před vznikem nároku (není-li v Hlavní smlouvě stanoveno přísnější omezení ve prospěch Zpracovatele, použije se toto přísnější omezení).

12. Rozhodné právo a soudy

Tato DPA se řídí právem České republiky. Veškeré spory budou rozhodovány věcně a místně příslušnými soudy České republiky.

13. Kontakty

Veškeré žádosti, oznámení a komunikace podle této DPA budou zasílány na:

• Zpracovatel: support@ellitie.com
• Správce: e-mail uvedený ve Správcově účtu / v Hlavní smlouvě

---

Příloha A – Popis zpracování

A1. Předmět a povaha zpracování

Zpracování je prováděno v rámci poskytování služby CMP (consent management) Správci. Zpracovatelské operace zahrnují zejména: ukládání a správu voleb souhlasu, generování a uchování záznamů o souhlasu/odmítnutí, poskytování nástrojů pro konfiguraci a audit, provoz a podporu služby, logování a zabezpečení.

A2. Účel zpracování

• poskytování a provoz služby CMP pro Správce,
• zajištění bezpečnosti, prevence zneužití a incidentů,
• zákaznická podpora a řešení technických problémů,
• auditní dohled nad konfigurací souhlasů a změnami nastavení.

A3. Kategorie subjektů údajů

• Koncoví uživatelé webů/aplikací Správce (návštěvníci).
• Uživatelé účtu Správce (B2B administrátoři a oprávnění uživatelé).

A4. Kategorie osobních údajů

Skupina	Typické údaje	Poznámka
Koncoví uživatelé (návštěvníci)	IP adresa; časová značka souhlasu; stav souhlasu (true/false per účel); jazyk/locale; user agent; consent string (např. IAB TCF); hash/pseudonym ID; cookies uložené CMP.	Zpracovatel nezpracovává jméno, e-mail ani jiné přímé identifikátory návštěvníků (pokud je Správce Zpracovateli výslovně neposkytne prostřednictvím služby).
B2B uživatelé účtu Správce	jméno a příjmení; e-mail; fakturační údaje; IP adresy přihlášení; auditní logy změn (kdo co nastavil).	Rozsah určuje Správce a je limitován funkcemi služby.

A5. Zvláštní kategorie údajů

Zpracovatel nezamýšlí zpracovávat zvláštní kategorie osobních údajů dle čl. 9 GDPR. Správce se zavazuje takové údaje do služby neukládat.

A6. Doba zpracování

Průběžně po dobu trvání Hlavní smlouvy a následně dle čl. 10 této DPA (retence 12 měsíců, není-li stanoveno jinak).

A7. Seznam subzpracovatelů

Subzpracovatel	Služba / účel	Umístění zpracování	Poznámka
Google Cloud Platform (GCP)	Hosting / infrastruktura, databáze, provoz služby	EU/EHP (regiony a nastavení dle konfigurace Zpracovatele)	Technická infrastruktura pro provoz služby.
Ecomail	E-mailová komunikace (transakční a provozní komunikace se Správcem)	EU/EHP (dle nastavení poskytovatele)	Komunikace k účtu a službě.
Stripe	Fakturace a platby	Primárně EU/EHP; u globální platební infrastruktury může za určitých okolností dojít k omezenému předání dle čl. 8	Zpracování B2B údajů pro platby a prevenci podvodů.

---

Příloha B – Technická a organizační opatření

Zpracovatel udržuje opatření odpovídající riziku dle čl. 32 GDPR, zejména:

Oblast	Opatření
Šifrování	Šifrování dat v klidu (at-rest) a při přenosu (in-transit) (např. TLS).
Řízení přístupu	Role-based access control (RBAC), princip „need-to-know“ a „least privilege“, správa přístupů, revize oprávnění.
Logování a audit	Logování přístupů a změn, auditní záznamy změn konfigurace (kdo/co/kdy), monitorování bezpečnostních událostí.
Zálohování a obnova	Pravidelné zálohy a postupy obnovy dostupnosti; testování obnovy v přiměřeném rozsahu.
Zabezpečení vývoje a provozu	Penetrační testy (ANO), pravidelné bezpečnostní kontroly, správa zranitelností a aktualizací.
Organizační opatření	Školení osob s přístupem k datům, interní pravidla bezpečnosti, řízení incidentů, prověřený přístup k produkčním systémům.
Certifikace	Zpracovatel udržuje relevantní bezpečnostní standardy a procesy (ISO 27001: ANO, SOC 2: ANO).

Zpracovatel může opatření přiměřeně aktualizovat tak, aby byla minimálně rovnocenná nebo vyšší úrovně zabezpečení.

---

Příloha C – Standardní smluvní doložky (SCC)

Pokud dojde k omezenému předání osobních údajů mimo EU/EHP ve smyslu čl. 8 této DPA, Strany se dohodly, že se použijí Standardní smluvní doložky (SCC) podle prováděcího rozhodnutí Komise (EU) 2021/914, a to v odpovídajícím modulu:

• Modul 2 (Správce → Zpracovatel), pokud Správce předává osobní údaje Zpracovateli do třetí země.
• Modul 3 (Zpracovatel → Zpracovatel), pokud Zpracovatel zapojuje subzpracovatele ve třetí zemi.

Detaily zpracování a bezpečnostních opatření pro účely příloh SCC odpovídají údajům v Příloze A a Příloze B této DPA. V případě rozporu mají SCC přednost v rozsahu požadovaném právem EU.