Smlouva o zpracování osobních údajů

Tato DPA se stává nedílnou součástí Obchodních podmínek služby Kalendo a vstupuje v účinnost okamžikem aktivace Vašeho účtu. Souhlas s touto DPA udělujete potvrzením Obchodních podmínek při registraci nebo dalším používáním služby.

Předmět zpracování: Zpracovatel zpracovává osobní údaje klientů, kontaktů a obchodních partnerů Správce, které Správce vkládá do služby Kalendo nebo které se do služby přenášejí ze synchronizovaného Google Kalendáře Správce.

Doba zpracování: Po dobu trvání smluvního vztahu mezi Správcem a Zpracovatelem (tj. po dobu existence aktivního účtu Správce ve službě Kalendo).

Ukončení: Po ukončení smluvního vztahu Zpracovatel:

• Po dobu 30 dnů od ukončení účtu poskytne Správci možnost exportu dat
• Poté trvale smaže veškerá provozní data (klienti, schůzky, faktury) ze svých systémů
• Fakturační údaje uchovává po dobu vyžadovanou zákonem o účetnictví (10 let)
• Google OAuth tokeny mazány okamžitě při odpojení účtu nebo jeho ukončení

Zpracovatel zpracovává osobní údaje za účelem poskytování služby Kalendo Správci, zejména:

• Vedení databáze klientů a kontaktů Správce (CRM)
• Správa zakázek, schůzek a jejich kalendářní synchronizace s Google Calendar
• Generování a odesílání faktur klientům Správce (PDF + e-mail)
• Automatizované zpracování událostí v Google Kalendáři (parsing, vytváření záznamů)
• Webové push notifikace Správce o stavu jeho účtu/předplatného
• Technická podpora a údržba služby

Zpracovatel zpracovává osobní údaje výhradně na základě dokumentovaných pokynů Správce, které vyplývají z uzavřené smlouvy o poskytování služby Kalendo a z nastavení účtu Správce.

Správce se zavazuje, že:

• Bude zpracovávat osobní údaje subjektů údajů v souladu s GDPR a dalšími platnými právními předpisy
• Má platný právní základ (čl. 6 GDPR) pro zpracování všech osobních údajů, které vkládá do služby Kalendo
• Informoval subjekty údajů o zpracování v souladu s čl. 13 a 14 GDPR
• Bude poskytovat Zpracovateli pouze údaje nezbytné pro plnění služby (princip minimalizace dat)
• Bude včas reagovat na žádosti subjektů údajů, které mu Zpracovatel přepošle
• Neprodleně informuje Zpracovatele o případných změnách v právním základě zpracování

Zpracovatel se zavazuje, že:

• Bude zpracovávat osobní údaje pouze na základě doložených pokynů Správce
• Zajistí, aby osoby oprávněné zpracovávat osobní údaje byly vázány povinností mlčenlivosti
• Přijme veškerá opatření požadovaná podle čl. 32 GDPR (viz oddíl 7)
• Bude dodržovat podmínky pro zapojení dalšího zpracovatele (viz oddíl 8)
• Bude Správci poskytovat součinnost při plnění jeho povinností odpovídat na žádosti subjektů údajů o výkon práv (čl. 12–22 GDPR)
• Bude Správci poskytovat součinnost při plnění povinností podle čl. 32–36 GDPR (bezpečnost, oznamování porušení, posouzení vlivu na ochranu osobních údajů)
• Po ukončení poskytování služby všechny osobní údaje smaže nebo vrátí Správci podle jeho rozhodnutí (čl. 28 odst. 3 písm. g GDPR)
• Poskytne Správci veškeré informace potřebné k doložení splnění povinností podle čl. 28 GDPR a umožní audity či kontroly prováděné Správcem nebo jím pověřeným auditorem

Zpracovatel zavádí přiměřená technická a organizační opatření k zajištění úrovně zabezpečení odpovídající danému riziku, zejména:

• Šifrování v přenosu: TLS 1.2+ pro veškerou komunikaci klient–server (HSTS, vynucené HTTPS)
• Šifrování v klidu: AES-256-GCM pro citlivá data (např. Google OAuth tokeny v databázi)
• Autentizace: Vícefaktorové ověření prostřednictvím Google OAuth 2.0, povinné aktivní předplatné pro privilegované operace
• Autorizace: Row Level Security (RLS) v databázi Supabase - uživatel nemůže přistoupit k datům jiného uživatele
• Ochrana před útoky: CSRF tokeny (double-submit cookie + HMAC), Content Security Policy, rate limiting přes Upstash Redis, timing-safe srovnání API klíčů
• Logování a audit: Sledování přihlášení a kritických operací, automatizované sledování chyb
• Zálohy: Pravidelné zálohy databáze Supabase s point-in-time recovery
• Obnovení dostupnosti: Provoz v distribuované cloudové infrastruktuře s automatickým fail-over
• Mlčenlivost: Všichni zaměstnanci a smluvní partneři jsou vázáni mlčenlivostí (čl. 28 odst. 3 písm. b GDPR)
• Pravidelné testování: Pravidelný interní bezpečnostní audit a testování přijatých opatření

Správce uděluje Zpracovateli obecné povolení zapojit do zpracování další zpracovatele (sub-procesory) za podmínek čl. 28 odst. 2 a 4 GDPR. Aktuální seznam sub-procesorů je uveden v Zásadách ochrany osobních údajů, sekce „Příjemci, zpracovatelé a přenosy dat".

Zpracovatel:

• Uloží každému sub-procesorovi stejné povinnosti, jaké jsou stanoveny v této DPA
• Při přenosech do třetích zemí zajistí odpovídající záruky (Standardní smluvní doložky schválené Evropskou komisí, případně další záruky podle čl. 46 GDPR)
• O zamýšlené změně sub-procesorů Správce informuje s předstihem nejméně 30 dnů prostřednictvím aktualizace seznamu na webu nebo e-mailem; Správce má právo proti změně vznést námitky

Zpracovatel poskytne Správci přiměřenou součinnost k tomu, aby Správce mohl plnit své povinnosti odpovědět na žádosti subjektů údajů, zejména:

• Právo na přístup (čl. 15 GDPR) - Zpracovatel poskytne Správci možnost exportu dat
• Právo na opravu (čl. 16 GDPR) - Správce může opravit údaje přímo v aplikaci
• Právo na výmaz / „právo být zapomenut" (čl. 17 GDPR) - Správce může smazat data v aplikaci
• Právo na omezení zpracování (čl. 18 GDPR)
• Právo na přenositelnost údajů (čl. 20 GDPR) - export do strojově čitelného formátu
• Právo vznést námitku (čl. 21 GDPR)

Pokud žádost subjektu údajů obdrží přímo Zpracovatel, neprodleně ji předá Správci.

V případě porušení zabezpečení osobních údajů Zpracovatel:

• Bez zbytečného odkladu po zjištění porušení oznámí tuto skutečnost Správci na e-mailovou adresu uvedenou v účtu Správce, aby Správce mohl splnit svou oznamovací povinnost vůči dozorovému úřadu podle čl. 33 GDPR (lhůta 72 hodin)
• Poskytne Správci veškeré informace nezbytné k oznámení dozorovému úřadu (ÚOOÚ) podle čl. 33 GDPR - povahu porušení, kategorie a počet subjektů údajů, předpokládané důsledky a přijatá opatření
• Bude poskytovat Správci průběžnou součinnost při řešení incidentu

Kontakt pro hlášení bezpečnostních incidentů ze strany Správce:[email protected]

Tato DPA se řídí právním řádem České republiky, zejména GDPR a zákonem č. 110/2019 Sb., o zpracování osobních údajů.

Případné spory budou řešeny věcně a místně příslušnými soudy České republiky.

V případě rozporu mezi touto DPA a Obchodními podmínkami má v otázkách zpracování osobních údajů přednost tato DPA.

Zpracovatel je oprávněn aktualizovat tuto DPA v souvislosti se změnami právních předpisů nebo bezpečnostních standardů. O podstatných změnách bude Správce informován s předstihem nejméně 30 dnů.

Aktuální verze DPA je vždy dostupná na adresehttps://kalendo.cz/dpa.