Přeskočit na obsah
Vytvořit účet

Právní informace

Smlouva o zpracování osobních údajů (DPA)

Tato smlouva (Data Processing Agreement) upravuje vztah mezi obchodníkem (správcem) a Recenzia.cz (zpracovatelem) v souladu s článkem 28 GDPR. Verze 1.1, účinné od 28. května 2026.

1. Smluvní strany

Zpracovatel: CPU s.r.o., IČO 08125163, DIČ CZ08125163, se sídlem Akademická 663/5, Malešice, 108 00 Praha 10, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl C, vložka 313409, provozovatel služby Recenzia.cz (dále jen „Zpracovatel“).

Správce: Zákazník služby Recenzia.cz, jehož identifikační údaje jsou uvedeny v jeho Účtu a v daňových dokladech (dále jen „Správce“).

Tato DPA je nedílnou součástí Obchodních podmínek a vztahuje se na veškeré zpracování osobních údajů, při kterém Zpracovatel zpracovává osobní údaje jménem Správce. Akceptací Obchodních podmínek Správce zároveň přistupuje k této DPA. Na žádost je Zpracovatel připraven uzavřít tuto DPA i samostatně v podepsané podobě.

2. Předmět a doba trvání

Předmětem této DPA je zpracování osobních údajů koncových zákazníků a kontaktů Správce, které jsou Službě předány nebo Službou sbírány v rámci provozu (importy z externích zdrojů, recenze, formuláře, kampaně, integrace). DPA trvá po dobu trvání hlavního smluvního vztahu a po jeho ukončení po dobu, po kterou jsou údaje uchovávány dle bodu 10.

3. Povaha a účel zpracování

Zpracovatel zpracovává osobní údaje výhradně za účelem poskytování Služby Správci, zejména:

  • import, ukládání, moderace a překlady recenzí;
  • odesílání žádostí o recenzi (e-mail, SMS);
  • provoz veřejných widgetů a exportů recenzí;
  • analytika a reporting v rámci administrace Správce;
  • provozní logy, bezpečnost, řešení incidentů.

4. Kategorie subjektů údajů a osobních údajů

Kategorie subjektů údajů:

  • koncoví zákazníci Správce (recenzenti);
  • návštěvníci e-shopu Správce, kteří poskytli kontaktní údaje;
  • uživatelé administrace Správce.

Kategorie osobních údajů:

  • identifikační a kontaktní údaje (jméno, e-mail, telefon);
  • údaje o objednávce a zakoupeném produktu (číslo objednávky, název produktu, datum);
  • obsah recenze (hodnocení, text, případně přiložená média);
  • technické metadata (IP adresa, časová známka, jazyk prohlížeče, zdroj recenze).

Zpracovatel zásadně nezpracovává zvláštní kategorie osobních údajů (čl. 9 GDPR); pokud by Správce takové údaje do Služby vložil, činí tak na vlastní odpovědnost a Zpracovatel je oprávněn jejich zpracování odmítnout nebo omezit.

5. Povinnosti Zpracovatele

Zpracovatel se zavazuje:

  • zpracovávat osobní údaje výhradně na základě doložených pokynů Správce (akceptace VOP a používání Služby se považuje za pokyn);
  • zajistit, aby osoby oprávněné zpracovávat osobní údaje byly vázány mlčenlivostí;
  • přijmout přiměřená technická a organizační opatření (viz bod 7);
  • být Správci nápomocen při plnění povinností reagovat na žádosti subjektů údajů (čl. 12–22 GDPR), zejména poskytnutím nástrojů v administraci;
  • být Správci nápomocen při zajištění souladu s čl. 32–36 GDPR (zabezpečení, ohlašování porušení, DPIA);
  • oznámit Správci porušení zabezpečení osobních údajů bez zbytečného odkladu, nejpozději do 72 hodin od jeho zjištění;
  • na pokyn Správce po ukončení zpracování všechny osobní údaje smazat nebo vrátit (viz bod 10);
  • poskytnout Správci veškeré informace nezbytné k prokázání plnění této DPA, umožnit audit a kontrolu za podmínek bodu 8.

6. Sub-zpracovatelé

Správce uděluje Zpracovateli obecné předchozí povolení pověřit dalším zpracováním sub-zpracovatele uvedené v aktuálním seznamu na stránce Sub-zpracovatelé. Zpracovatel zajistí, aby každý sub-zpracovatel byl vázán smluvními závazky odpovídajícími úrovni ochrany podle této DPA.

O záměru pověřit nového sub-zpracovatele Zpracovatel informuje Správce nejméně 30 dnů před zahájením zpracování, a to e-mailem na kontaktní adresu Správce a aktualizací výše uvedené stránky. Správce má právo proti zařazení nového sub-zpracovatele vznést z důvodů ochrany osobních údajů odůvodněnou námitku, a to nejpozději do 15 dnů od oznámení. Pokud strany nedohodnou alternativní řešení, je Správce oprávněn ukončit smluvní vztah ke dni účinnosti změny.

7. Zabezpečení zpracování

Zpracovatel přijal s ohledem na stav techniky, povahu a rizika zpracování zejména tato opatření:

  • šifrování přenosu (HTTPS/TLS) a šifrované zálohy;
  • řízení přístupů na principu nejmenších oprávnění, MFA pro privilegované účty;
  • oddělení produkčního, testovacího a vývojového prostředí;
  • audit log přístupů k osobním údajům;
  • monitoring a hashing hesel uživatelů administrace;
  • pravidelné aktualizace a hardening serverů;
  • plán obnovy po havárii a pravidelné zálohy s definovaným RPO/RTO;
  • závazek mlčenlivosti všech osob s přístupem k údajům.

8. Audit a kontrola

Správce je oprávněn jednou za 12 měsíců (a kdykoli po vzniku závažného porušení zabezpečení) ověřit dodržování této DPA. Audit probíhá zpravidla formou dotazníku a předložení dokumentace; v odůvodněných případech může být veden nezávislým auditorem na náklady Správce, s přiměřeným předstihem (min. 30 dnů) a způsobem, který nenaruší provoz Služby. Mlčenlivost a důvěrnost vůči ostatním zákazníkům Zpracovatele musí být zachována.

9. Předávání mimo EU/EHP

V rozsahu, v jakém sub-zpracovatelé uvedení v seznamu zpracovávají osobní údaje mimo EU/EHP, zajišťuje Zpracovatel odpovídající záruky podle kapitoly V GDPR – zejména prostřednictvím Standardních smluvních doložek (SCC) Evropské komise a doplňkových technických a organizačních opatření.

10. Ukončení zpracování

Po ukončení smluvního vztahu Zpracovatel:

  • umožní Správci po dobu 30 dnů export dat ve strukturovaném strojově čitelném formátu (CSV/JSON);
  • po uplynutí této lhůty osobní údaje koncových zákazníků (recenzentů) – jméno, e-mail, telefon, IP adresa autora, identifikátory objednávky a další přímé i nepřímé identifikátory – smaže nebo nevratně anonymizuje, ledaže právní předpisy ukládají povinnost údaje uchovávat;
  • Veřejně publikovaný obsah Recenzí (hodnocení, text, datum, zdroj a příznak ověření) zůstává Zpracovateli zachován v anonymizované podobě (bez identifikace autora a Správce) na základě oprávněného zájmu Zpracovatele a třetích stran na transparentnosti a integritě trhu (čl. 6 odst. 1 písm. f) GDPR) a v souladu s nařízením 2022/2065 (Digital Services Act). Toto zachování brání zpětnému selektivnímu mazání nepříznivých hodnocení po ukončení smlouvy a chrání důvěru veřejnosti v Službu. Subjekt údajů má i v této fázi právo na výmaz dle čl. 17 GDPR podáním samostatné žádosti na info@recenzia.cz, která je posouzena s ohledem na vyvážení práv subjektu a oprávněného zájmu;
  • zálohy obsahující osobní údaje se rotují a budou trvale přepsány nejpozději do 90 dnů od ukončení.

11. Odpovědnost

Odpovědnost stran se řídí GDPR, zejména čl. 82, a v rozsahu, který GDPR umožňuje, též ujednáními v Obchodních podmínkách (zejména limitací výše náhrady škody). Strana, která porušila své povinnosti, hradí druhé straně škodu, kterou tím způsobila.

12. Kontakt

Otázky a požadavky vyplývající z této DPA směřujte na info@recenzia.cz. Na žádost zašleme podepsanou verzi této DPA ve formátu PDF.

Nastavení cookies

GDPR

Používáme cookies pro provoz služby a – s Vaším souhlasem – pro analytiku a marketing. Souhlas můžete kdykoli upravit v patičce stránky. Více v Zásadách cookies.

Volba