Zpracovatelská smlouva

DATA PROCESSING AGREEMENT (DPA)

ve smyslu čl. 28 Nařízení Evropského parlamentu a Rady (EU) 2016/679 – GDPR

1. Smluvní strany

  • 1.1. Uživatel Služby (dále jen „Správce“) – fyzická nebo právnická osoba, která využívá platformu dsgo.cz a propojila s ní svou datovou schránku.
  • a
  • 1.2. dsgo.cz, s.r.o., se sídlem Školská 689/20, Nové Město, 110 00 Praha 1, IČO: 29631114, e-mail: info@dsgo.cz (dále jen „Zpracovatel“).

2. Předmět a účel smlouvy

  • 2.1. Předmětem této smlouvy je úprava vzájemných práv a povinností při zpracování osobních údajů, ke kterému dochází v rámci poskytování služeb portálu dsgo.cz (dále jen „Hlavní smlouva“).
  • 2.2. Zpracovatel bude pro Správce provádět automatizované stahování, indexaci předmětů/odesílatelů, zasílání notifikací (RCS/e-mail) a ukládání obsahu datových zpráv včetně jejich příloh.
  • 2.3. Účelem zpracování je technické zajištění a provoz Služby spočívající v pohodlném a bezpečném přístupu k datové schránce Správce z mobilních zařízení.

3. Povaha, rozsah a kategorie zpracovávaných údajů

  • 3.1. Povaha a účel zpracování: Automatizované technické zpracování (stahování, šifrované ukládání, přenos a zobrazování dat) bez lidského zásahu ze strany Zpracovatele (tzv. Zero-Knowledge přístup k obsahu).
  • 3.2. Kategorie subjektů údajů: Fyzické osoby, jejichž údaje jsou obsaženy v doručených datových zprávách Správce (např. klienti, zaměstnanci, obchodní partneři Správce, účastníci řízení).
  • 3.3. Typy osobních údajů: Jakékoliv osobní, identifikační, adresné či transakční údaje, které jsou součástí úřední i komerční korespondence v rámci ISDS schránky Správce (včetně rodných čísel, bankovních účtů, detailů řízení apod.).

4. Povinnosti Zpracovatele

Zpracovatel se zavazuje:

  • 4.1. Zpracovávat osobní údaje pouze na základě doložených pokynů Správce (přičemž za pokyn se považuje samotné nastavení a využívání Služby a propojení ISDS).
  • 4.2. Zabezpečit, aby se osoby oprávněné zpracovávat osobní údaje (např. vývojáři či správci infrastruktury, pokud by měli teoretický přístup k systémům) zavázaly k mlčenlivosti.
  • 4.3. Přijmout veškerá technická a organizační opatření požadovaná podle článku 32 GDPR k zajištění úrovně zabezpečení odpovídající danému riziku (viz bod 6 této smlouvy).
  • 4.4. Pomáhat Správci prostřednictvím vhodných technických a organizačních opatření při plnění Správcovy povinnosti reagovat na žádosti o výkon práv subjektů údajů (např. umožněním okamžitého smazání dat).
  • 4.5. Poskytnout Správci součinnost při zajišťování souladu s povinnostmi podle článků 32 až 36 GDPR (zabezpečení, hlášení incidentů, posouzení vlivu na ochranu osobních údajů).
  • 4.6. Po ukončení poskytování služeb (smazání účtu) všechny osobní údaje trvale a bezodkladně smazat z cloudového úložiště, pokud právní předpisy Unie nebo České republiky nevyžadují jejich další uložení (např. daňové zákony pro fakturaci).

5. Zapojení dalších zpracovatelů (Subzpracovatelé)

  • 5.1. Správce Url (Uživatel) uděluje Zpracovateli obecné povolení zapojit do zpracování další zpracovatele (subzpracovatele). Zpracovatel využívá tyto klíčové subzpracovatele:
    • Google Cloud Platform (GCP) – poskytovatel cloudové infrastruktury a šifrovaného úložiště (data jsou uložena výhradně v EU).
    • BulkGate / Infobip / Twilio – poskytovatelé komunikačních bran pro doručování RCS, SMS a e-mailových notifikací.
  • 5.2. Pokud Zpracovatel plánuje změnit nebo přidat subzpracovatele, který má přímý přístup k datovému obsahu, informuje o tom Správce (např. e-mailem nebo na webu). Správce má právo vyjádřit proti těmto změnám námitky.
  • 5.3. Pokud Zpracovatel zapojí subzpracovatele, musí tomuto subzpracovateli uložit smluvně stejné povinnosti na ochranu údajů, jaké jsou uvedeny v této smlouvě.

6. Technická a organizační opatření

Zpracovatel prohlašuje, že implementoval následující opatření k zajištění bezpečnosti dat:

  • 6.1. Šifrování: Všechny datové zprávy a přílohy jsou přenášeny šifrovaným kanálem (HTTPS/TLS) a na úložištích GCP jsou ukládány v zašifrované podobě (Encryption at Rest).
  • 6.2. Biometrická bariéra: Přístup k zobrazení obsahu zpráv v mobilním zařízení je podmíněn lokální autentizací WebAuthn (FaceID/TouchID).
  • 6.3. Izolace dat: Data každého Správce jsou v databázi logicky oddělena, aby se zamezilo neoprávněnému přístupu jiných uživatelů.

7. Odpovědnost

  • 7.1. Správce (Uživatel) nese plnou odpovědnost za legálnost obsahu, který do Služby skrze ISDS přichází, a za to, že má právní titul k tomu, aby nechal tyto zprávy zpracovávat v systémech dsgo.cz.
  • 7.2. Zpracovatel odpovídá za porušení svých povinností podle této smlouvy a GDPR do výše limitu odpovědnosti sjednaného v Hlavní smlouvě (VOP).

8. Závěrečná ustanovení

  • 8.1. Tato Smlouva je platná a účinná po celou dobu trvání Hlavní smlouvy (poskytování Služby). Zaniká automaticky s úplným smazáním uživatelského účtu Správce a odstraněním všech jeho dat ze systémů Zpracovatele.
  • 8.2. Tato Smlouva se řídí právním řádem České republiky.