Logo Reporty pro podnikateleReporty pro
podnikatele

Smlouva o zpracování osobních údajů

DPA dle čl. 28 nařízení EU 2016/679 (GDPR)

Verze 2.0 · Platná od 26. 5. 2026 · Příloha individuální smlouvy nebo VOP

Jak dokument použít: Žlutě podbarvená políčka [jako toto] vyplní smluvní strany individuálně pro každou zakázku. DPA se uzavírá jako příloha Hlavní smlouvy, kdykoli Zpracovatel zpracovává osobní údaje, jejichž správcem je Klient. Základ tvoří čl. 28 odst. 3 GDPR (nař. EU 2016/679) a zákon č. 110/2019 Sb. Příloha č. 1 se vyplňuje pouze pro nástroje skutečně použité v dané zakázce — ostatní řádky se odstraní. Příloha č. 3 popisuje konkrétní technická a organizační opatření Zpracovatele a je součástí každé DPA.

SMLUVNÍ STRANY

Správce osobních údajů

[Obchodní firma / jméno a příjmení Klienta], IČO: [IČO], se sídlem [adresa], zastoupený/á [jméno zástupce, funkce], e-mail: [kontaktní e-mail Správce]

(dále jen „Správce")

Zpracovatel osobních údajů

Veronika Zumrová, IČO: 19554087, se sídlem Benátecká Vrutice 95, 289 24 Milovice, e-mail: veronika@reportypropodnikatele.cz

(dále jen „Zpracovatel")

Správce a Zpracovatel uzavírají v návaznosti na [název / číslo / datum Hlavní smlouvy nebo odkaz na VOP] (dále jen „Hlavní smlouva") tuto Smlouvu o zpracování osobních údajů (dále jen „DPA").

I. PŘEDMĚT, POVAHA A ÚČEL ZPRACOVÁNÍ

1.1 Zpracovatel bude na základě a v rozsahu Hlavní smlouvy zpracovávat osobní údaje jménem Správce v rámci těchto typů plnění:

  • nastavení a správa automatizovaných procesů (n8n, Make.com) pracujících s daty Správce obsahujícími osobní údaje;
  • napojení datových zdrojů Správce (CRM, e-shop, mailing list, webová analytika) na reportovací nástroje (Data Studio, Google Sheets, BigQuery);
  • příprava analytických reportů a dashboardů z dat Správce;
  • [případné další činnosti – doplnit dle konkrétní zakázky].

1.2 Účel zpracování: [konkrétní účel – např. automatizace marketingové komunikace, reporting obchodních výsledků, synchronizace zákaznických dat apod.]

1.3 Povaha zpracování: shromažďování, ukládání, uspořádání, třídění, přenos, kombinování a výmaz osobních údajů v rozsahu nezbytném pro splnění Hlavní smlouvy.

II. TYPY OSOBNÍCH ÚDAJŮ A KATEGORIE SUBJEKTŮ

2.1 V rámci plnění DPA jsou zpracovávány tyto kategorie osobních údajů (zaškrtnout příslušné pro danou zakázku):

Kategorie OÚPříkladyZahrnuto (✓ / ✗)
Identifikační a kontaktní údajejméno, příjmení, e-mail, telefon, adresa[✓ / ✗]
Transakční a obchodní údajeobjednávky, nákupy, hodnota transakce, stav objednávky[✓ / ✗]
Behaviorální a analytická dataIP adresa, cookies, pohyb na webu, UTM parametry, device ID[✓ / ✗]
Marketingové preferencesegmenty, tagy v mailing listu, souhlasy, frekvence otevření[✓ / ✗]
Jiné[doplnit][✓ / ✗]

2.2 Kategorie subjektů údajů: zákazníci a potenciální zákazníci Správce, kontakty v CRM Správce, návštěvníci webu Správce, [případné další kategorie].

2.3 Zvláštní kategorie (čl. 9 GDPR): Zpracovatel nezpracovává zvláštní kategorie osobních údajů ve smyslu čl. 9 GDPR (údaje o zdravotním stavu, rasovém původu, náboženství atd.), ledaže by to bylo výslovně a písemně sjednáno jako samostatná příloha této DPA.

III. DOBA ZPRACOVÁNÍ

3.1 Zpracovatel zpracovává osobní údaje po dobu trvání Hlavní smlouvy, nejdéle však do [datum nebo: „do ukončení Hlavní smlouvy"].

3.2 Po skončení Hlavní smlouvy (nebo na písemnou žádost Správce) Zpracovatel bez zbytečného odkladu, nejpozději do 30 dní, dle volby Správce písemně sdělené Zpracovateli:

  • vrátí Správci veškeré osobní údaje ve strukturovaném, strojově čitelném formátu a poté je vymaže ze svých systémů; nebo
  • vymaže veškeré osobní údaje a předá písemné potvrzení o výmazu.

3.3 Zpracovatel zajistí, aby stejně postupovali dílčí zpracovatelé.

3.4 Záložní kopie: Záložní kopie uložené v automatizovaných zálohovacích systémech dílčích zpracovatelů (cloudové nástroje) budou vymazány nebo přepsány v rámci standardních retenčních cyklů příslušných systémů (zpravidla do 90 dní). Do doby výmazu ze zálohovacích cyklů nebudou tato data aktivně zpracovávána ani využívána.

3.5 Zpracovatel je oprávněn ponechat si osobní údaje, pokud mu to ukládá přímo použitelné právo EU nebo právní předpis ČR; v takovém případě Správce neprodleně informuje.

IV. POVINNOSTI ZPRACOVATELE

4.1 Zpracování pouze dle pokynů Správce

Zpracovatel zpracovává osobní údaje výhradně na základě doložených pokynů Správce (zejm. Hlavní smlouvy a příloh), pokud mu zpracování neukládá přímo použitelné právo EU nebo právo ČR; v takovém případě Správce informuje před zahájením zpracování, ledaže by to příslušné právo zakazovalo z důvodu veřejného zájmu. Pokud se Zpracovatel domnívá, že pokyn Správce je v rozporu s GDPR nebo jiným právním předpisem, je povinen Správce na tuto skutečnost neprodleně upozornit a ze závažných důvodů je oprávněn takový pokyn odmítnout; do rozhodnutí Správce o nápravě pokynu Zpracovatel dotčenou část zpracování pozastaví.

4.2 Mlčenlivost

Zpracovatel zajistí, aby se všechny fyzické osoby pověřené zpracováním osobních údajů zavázaly k zachování důvěrnosti nebo aby se na ně vztahovala zákonná povinnost zachovávat důvěrnost. Tato povinnost trvá i po skončení DPA.

4.3 Bezpečnostní opatření (čl. 32 GDPR)

Zpracovatel přijme vhodná technická a organizační opatření (TOMs) k zajištění bezpečnosti zpracování odpovídající riziku, zejména v rozsahu Přílohy č. 3 této DPA. TOMs zahrnují minimálně:

  • pseudonymizaci nebo šifrování osobních údajů, je-li to technicky možné a relevantní;
  • zajištění trvalé důvěrnosti, integrity, dostupnosti a odolnosti systémů a služeb zpracování;
  • schopnost obnovit dostupnost a přístup k osobním údajům po fyzickém nebo technickém incidentu;
  • pravidelné testování a hodnocení efektivity bezpečnostních opatření;
  • omezení přístupu k osobním údajům na principu need-to-know;
  • povinné vícefaktorové ověřování (MFA) a silná hesla u všech účtů zpracovávajících osobní údaje.

4.4 Dílčí zpracovatelé (sub-processors)

4.4.1 Správce uděluje generální písemný souhlas se zapojením dílčích zpracovatelů uvedených v Příloze č. 1 (seznam sub-processorů). Zpracovatel informuje Správce o plánovaných změnách (přidání nebo nahrazení dílčího zpracovatele) nejméně 14 dní předem. Správce je oprávněn vznést odůvodněné námitky do 10 dní od oznámení.

4.4.2 Řešení námitek: Námitka musí být odůvodněná konkrétním bezpečnostním nebo právním rizikem pro zpracování osobních údajů. Strany se pokusí do 14 dní od vznesení námitky nalézt alternativní nástroj nebo postup. Pokud náhradní řešení neexistuje nebo by jeho zavedení vyžadovalo nepřiměřené náklady, je Zpracovatel oprávněn dotčenou část plnění neposkytnout nebo ukončit bez sankcí za porušení smlouvy; vícepráce spojené s alternativním řešením budou oceněny samostatně. Vznesení námitky Správcem po schválení daného nástroje v Příloze č. 1 při uzavření DPA nepovažují strany za automaticky odůvodněné.

4.4.3 Na každého dílčího zpracovatele jsou kladeny stejné povinnosti v oblasti ochrany osobních údajů, jako jsou stanoveny v této DPA. Zpracovatel odpovídá za plnění jejich povinností jako za vlastní.

4.5 Asistence Správci při výkonu práv subjektů údajů

Zpracovatel poskytne Správci přiměřenou technickou součinnost při plnění povinností reagovat na žádosti o výkon práv subjektů údajů (přístup, oprava, výmaz, přenositelnost, omezení zpracování, námitka dle kapitoly III GDPR). Věcná odpověď subjektu údajů je povinností Správce; Zpracovatel poskytne relevantní technickou součinnost do 5 pracovních dní od žádosti Správce.

4.5.1 Přímý kontakt subjektu údajů se Zpracovatelem: Obrátí-li se subjekt údajů přímo na Zpracovatele se žádostí týkající se osobních údajů zpracovávaných pro Správce (např. žádost o výmaz, přístup k datům), Zpracovatel tuto žádost bez zbytečného odkladu, nejpozději do 3 pracovních dní, předá Správci a subjektu údajů sdělí, že žádost postoupil příslušnému Správci. Zpracovatel nebude na žádost věcně odpovídat ani ji samostatně vyřizovat, ledaže k tomu dostane písemný pokyn Správce nebo mu to uloží právní předpis.

4.6 Asistence při plnění povinností dle čl. 32–36 GDPR

Zpracovatel poskytne Správci přiměřenou pomoc při zajišťování souladu s povinnostmi dle čl. 32 (bezpečnost), čl. 33 (hlášení porušení ÚOOÚ), čl. 34 (oznámení porušení subjektům), čl. 35 (DPIA) a čl. 36 (předchozí konzultace s ÚOOÚ), a to s přihlédnutím k povaze zpracování a informacím, které má k dispozici.

4.7 Hlášení bezpečnostních incidentů

Zpracovatel bez zbytečného odkladu, nejpozději do 48 hodin od zjištění, oznámí Správci e-mailem jakékoliv porušení zabezpečení osobních údajů. Oznámení musí obsahovat alespoň: popis povahy porušení, kategorie a přibližný počet dotčených subjektů a záznamů, kontaktní údaje pro další informace, popis pravděpodobných důsledků a opatření přijatá nebo navrhovaná k nápravě. Zpracovatel poskytne Správci veškeré informace nezbytné ke splnění jeho oznamovací povinnosti vůči ÚOOÚ (lhůta 72 hodin dle čl. 33 GDPR).

4.8 Výmaz nebo vrácení dat

Viz čl. III odst. 3.2–3.4 výše.

4.9 Audit a kontrola

Zpracovatel zpřístupní Správci veškeré informace potřebné k doložení souladu s touto DPA a umožní audity prováděné Správcem nebo jeho pověřeným auditorem. Platí tyto podmínky:

  • audit lze provést nejvýše 1× za kalendářní rok, ledaže nastal bezpečnostní incident nebo audit požaduje dozorový úřad;
  • Správce je povinen o auditu informovat Zpracovatele nejméně 14 dní předem s uvedením jeho rozsahu a účelu;
  • audit probíhá přednostně formou dokumentárního přezkumu: Zpracovatel poskytne bezpečnostní dotazník, potvrzení o zavedených opatřeních (TOMs) a další relevantní dokumentaci; fyzická inspekce je možná pouze tehdy, pokud dokumentární přezkum prokáže závažné nedostatky;
  • audit se provádí v běžné pracovní době (8–17 h) a nesmí nepřiměřeně narušit provoz Zpracovatele ani umožnit přístup k osobním údajům jiných klientů;
  • pověřený auditor Správce musí být vázán písemnou povinností mlčenlivosti;
  • náklady na audit (čas auditorů, příprava podkladů) nese Správce; čas Zpracovatele strávený součinností při auditu bude fakturován hodinovou sazbou dle Hlavní smlouvy.

V. PRÁVA A POVINNOSTI SPRÁVCE

5.1 Správce odpovídá za to, že má zákonný právní titul pro zpracování osobních údajů subjektů dle čl. 6 GDPR a že Zpracovateli předal pouze osobní údaje, k jejichž zpracování je oprávněn.

5.2 Správce je povinen informovat subjekty údajů o předání jejich osobních údajů Zpracovateli a zajistit splnění informačních povinností dle čl. 13–14 GDPR.

5.3 Správce je oprávněn dávat Zpracovateli pokyny k zpracování osobních údajů. Pokyny musí být dostatečně konkrétní, v souladu s právem a předány v doložitelné formě (e-mail, písemně).

5.4 Správce je povinen bez zbytečného odkladu informovat Zpracovatele o jakýchkoliv změnách zákonného titulu pro zpracování nebo o okolnostech, které mohou ovlivnit zákonnost zpracování.

VI. PŘESHRANIČNÍ PŘEDÁVÁNÍ OSOBNÍCH ÚDAJŮ

6.1 Zpracovatel zpracovává osobní údaje primárně v rámci EHP. V rámci využití dílčích zpracovatelů (Příloha č. 1) mohou být osobní údaje předávány do třetích zemí výhradně na základě některého z těchto nástrojů:

  • rozhodnutí o přiměřenosti dle čl. 45 GDPR (USA: rámec EU–U.S. Data Privacy Framework platný od 10. 7. 2023, pokud je konkrétní entita v době předání aktivně certifikována; Velká Británie, Japonsko, Švýcarsko a další);
  • standardních smluvních doložek (SCC) dle prováděcího rozhodnutí Komise 2021/914/EU v aktuálním znění, začleněných do DPA příslušného poskytovatele;
  • jiné vhodné záruky dle čl. 46 GDPR.

6.2 Pro každého dílčího zpracovatele mimo EHP jsou právní entita, místo zpracování a použitý přenosový mechanismus uvedeny v Příloze č. 1. Zpracovatel ověří aktuální status certifikace DPF pro příslušnou entitu v době uzavření konkrétní DPA.

6.3 Zanikne-li nebo bude-li zpochybněn přenosový mechanismus pro některého dílčího zpracovatele, Zpracovatel o tom neprodleně informuje Správce a společně sjednají náhradní opatření.

VII. ODPOVĚDNOST

7.1 Odpovědnost vůči subjektům údajů a dozorovým úřadům (GDPR): Každá strana odpovídá za škodu způsobenou subjektům údajů porušením GDPR v rozsahu stanoveném čl. 82 GDPR: Správce odpovídá za zpracování v rozporu s GDPR; Zpracovatel odpovídá za nedodržení povinností Zpracovatele specificky stanovených v GDPR nebo za zpracování mimo pokyny Správce. Tuto zákonnou odpovědnost nelze smluvně omezit ani vyloučit.

7.2 Prokáže-li Zpracovatel, že za škodní událost nenese žádnou odpovědnost, bude od odpovědnosti osvobozen dle čl. 82 odst. 3 GDPR.

7.3 Vzájemný regres smluvních stran: Nároky jedné smluvní strany vůči druhé z titulu porušení této DPA (odlišné od zákonné odpovědnosti dle čl. 7.1) se řídí limity odpovědnosti stanovenými v Hlavní smlouvě (zejm. čl. XI VOP), přičemž výjimky pro úmyslné jednání a hrubou nedbalost platí i zde. Tím nejsou dotčena práva subjektů údajů ani pravomoci dozorových úřadů.

VIII. ZPRACOVÁNÍ POMOCÍ AI NÁSTROJŮ

8.1 AI nástroje (zejm. OpenAI API, Claude API a jejich ekvivalenty) mohou být při plnění Hlavní smlouvy použity pouze tehdy, pokud jsou výslovně uvedeny v objednávce, SoW nebo v Příloze č. 1 a Správce s jejich použitím souhlasil.

8.2 Do AI nástrojů nesmějí být bez výslovného písemného souhlasu Správce odesílány:

  • zvláštní kategorie osobních údajů dle čl. 9 GDPR (zdravotní stav, biometrie, náboženské přesvědčení, politické názory, sexuální orientace atd.);
  • přímé identifikátory subjektů údajů (jméno + příjmení, rodné číslo, číslo dokladu, číslo bankovního účtu), pokud lze úkol splnit s anonymizovanými nebo pseudonymizovanými daty.

8.3 Zpracovatel uplatňuje pseudonymizaci nebo anonymizaci vstupních dat pro AI nástroje tam, kde je to technicky proveditelné a nebrání to dosažení účelu zpracování.

8.4 Správce bere na vědomí, že data odeslaná do AI nástrojů mohou být zpracována poskytovatelem daného nástroje mimo EHP v souladu s jeho vlastní DPA a podmínkami ochrany dat; Zpracovatel nemá vliv na interní zpracování na straně poskytovatele AI.

8.5 Výstupy generované AI nástroji jsou považovány za pracovní podklady; Zpracovatel je povinen je odborně zkontrolovat před předáním Správci. Výstupy AI nejsou samy o sobě právním, účetním, daňovým ani datovým rozhodnutím.

8.6 Pokud Správce nesouhlasí s použitím konkrétního AI nástroje, sdělí tuto skutečnost písemně při uzavírání DPA nebo nejpozději před zahájením zpracování. Zákaz použití AI nástroje nezbytného pro splnění zakázky může mít vliv na rozsah, harmonogram a cenu plnění.

IX. ZÁVĚREČNÁ USTANOVENÍ

9.1 Hierarchie dokumentů a kolizní doložka: Tato DPA tvoří nedílnou součást Hlavní smlouvy. V otázkách zpracování osobních údajů a povinností z GDPR má tato DPA přednost před VOP a Hlavní smlouvou. V obchodních otázkách nesouvisejících se zpracováním osobních údajů (cena, termíny, odpovědnost za vady plnění, autorská práva) mají přednost Hlavní smlouva a VOP. V otázkách neupravených touto DPA ani Hlavní smlouvou se použijí přímo použitelné předpisy EU a právo ČR.

9.2 DPA je uzavřena v elektronické podobě (e-mail nebo jiný elektronický dokument splňující požadavky na doložitelnost). Každá smluvní strana obdrží jedno vyhotovení.

9.3 Tato DPA může být měněna pouze písemně. Pokud změna právních předpisů EU nebo ČR v oblasti ochrany osobních údajů vyžaduje změnu DPA, smluvní strany DPA bez zbytečného odkladu přizpůsobí.

9.4 Tato DPA se řídí právem České republiky a GDPR. Pro řešení sporů platí ustanovení VOP (čl. XVI – Rozhodné právo a příslušnost soudu).

9.5 DPA nabývá účinnosti dnem uzavření nebo dnem zahájení zpracování osobních údajů Zpracovatelem (nastane-li dříve) a zaniká ukončením Hlavní smlouvy, vč. splnění povinností dle čl. III.

PŘÍLOHA Č. 1 – SEZNAM DÍLČÍCH ZPRACOVATELŮ (SUB-PROCESSORS)

Platný k datu uzavření DPA. Zpracovatel udržuje seznam aktuální a Správce předem informuje o změnách dle čl. 4.4.1. Pro každou konkrétní zakázku zaškrtnout pouze nástroje skutečně použité — ostatní řádky vymazat nebo označit ✗. Nezahrnuté nástroje nejsou pro danou zakázku schváleny.

⚠️ Před uzavřením konkrétní DPA ověřit: (a) aktuální certifikaci DPF na dataprivacyframework.gov pro příslušnou právní entitu; (b) aktuální DPA poskytovatele a seznam jeho sub-processorů. Informace v tabulce odráží stav ke dni 26. 5. 2026 a může se změnit.
NástrojPrávní entita provozovateleMísto zpracování / uloženíPřenos mimo EHPPřenosový mechanismusZahrnuto (✓ / ✗)Účel v zakázce
Google Analytics 4Google LLC (USA)Celosvětově vč. USA; možnost omezení na EU v nastavení GA4Ano (USA)EU–U.S. DPF (Google LLC certifikována); Google DPA[✓ / ✗]Webová analytika
Looker Studio / Data StudioGoogle LLC (USA)Celosvětově vč. USAAno (USA)EU–U.S. DPF; Google DPA[✓ / ✗]Reporting a dashboardy
Google Sheets / BigQueryGoogle LLC (USA)Celosvětově; BigQuery umožňuje volbu regionu EUPotenciálně ano (USA)EU–U.S. DPF; Google DPA; při volbě EU regionu přenos omezen[✓ / ✗]Datové uložiště, transformace
n8n.io (cloud)n8n GmbH (Německo)EU – Frankfurt (AWS eu-central-1)Ne (v rámci EHP)V rámci EHP – nevyžaduje přenosový mechanismus[✓ / ✗]Automatizace procesů
Make.comMake s.r.o. (ČR)EU (Praha / Německo); EU datová centra dle nastaveníNe (v rámci EHP)V rámci EHP – nevyžaduje přenosový mechanismus[✓ / ✗]Automatizace procesů
OpenAI APIOpenAI, L.L.C. (USA)USA (primárně); data zpravidla nevyužívána k trénování u APIAno (USA)SCC dle OpenAI DPA; ověřit DPF certifikaci entity před podpisem[✓ / ✗]AI zpracování textů (jen pokud sjednáno)
Claude API (Anthropic)Anthropic, PBC (USA)USA; data z API zpravidla nevyužívána k trénováníAno (USA)SCC dle Anthropic DPA (DPF certifikace k datu vzoru není potvrzena)[✓ / ✗]AI zpracování textů a dat (jen pokud sjednáno)
[další nástroj][právní entita (země)][místo zpracování][Ano / Ne][DPF / SCC / EHP / jiné][✓ / ✗][účel]

Zkratky: EHP = Evropský hospodářský prostor; EU–U.S. DPF = rámec EU–USA pro ochranu dat (adequacy decision Komise ze dne 10. 7. 2023, databáze certifikovaných subjektů na dataprivacyframework.gov); SCC = standardní smluvní doložky dle rozhodnutí Komise 2021/914/EU.

PŘÍLOHA Č. 2 – PODPISOVÁ DOLOŽKA

SprávceZpracovatel

[Obchodní firma / jméno]

IČO: [IČO]

Zastoupený/á: [jméno, funkce]

Datum: [DD. MM. YYYY]

Podpis / e-mail akceptace: [...]

Veronika Zumrová

IČO: 19554087

Zastoupená: Veronika Zumrová

Datum: [DD. MM. YYYY]

Podpis / e-mail akceptace: veronika@reportypropodnikatele.cz

DPA lze uzavřít e-mailem: platná je, pokud ji Správce přijme e-mailem z adresy uvedené v Hlavní smlouvě a Zpracovatel potvrdí přijetí na veronika@reportypropodnikatele.cz.

PŘÍLOHA Č. 3 – TECHNICKÁ A ORGANIZAČNÍ OPATŘENÍ (TOMs)

Tato příloha popisuje konkrétní TOMs Zpracovatele dle čl. 32 GDPR, platné k datu uzavření DPA. Zpracovatel je povinen TOMs průběžně přizpůsobovat aktuálnímu stavu techniky a povaze rizik.

A. Přístup a autentizace

  • Povinné vícefaktorové ověřování (MFA / 2FA) u všech účtů, v nichž jsou zpracovávány osobní údaje (Google, n8n, Make, cloudové nástroje).
  • Používání správce hesel; zákaz opakování hesel a používání slabých hesel.
  • Oddělené klientské pracovní prostory / projekty / účty tam, kde to nástroj umožňuje — data jednoho klienta nejsou přístupná jinému klientovi.
  • Přístup k osobním údajům klienta pouze pro osoby, které jej nezbytně potřebují (need-to-know); přístupy jsou evidovány.
  • Deaktivace přístupů ke klientským systémům, API klíčů a webhooků neprodleně po skončení spolupráce.

B. Zařízení a přenos dat

  • Šifrování celého disku (BitLocker / FileVault nebo ekvivalent) na všech pracovních zařízeních.
  • Přenos osobních údajů výhradně přes šifrované kanály (HTTPS, TLS 1.2+, SFTP); zákaz odesílání osobních údajů v nešifrovaném e-mailu.
  • Uzamčení nebo odhlášení zařízení při odchodu od pracovního místa.
  • Postup při ztrátě nebo odcizení zařízení: okamžité vzdálené smazání (remote wipe) a hlášení incidentu Správci do 48 hodin.

C. Zpracování v cloudových nástrojích a automatizacích

  • API klíče a přihlašovací údaje jsou uchovávány výhradně v zabezpečeném úložišti (secrets manager, env proměnné) — nikoli natvrdo v kódu.
  • Webhooky jsou zabezpečeny tokenem nebo HMAC podpisem; veřejně přístupné endpointy automatizací jsou ošetřeny autorizací.
  • Testovací prostředí neobsahují produkční osobní údaje; testuje se s anonymizovanými nebo syntetickými daty.
  • Data exportovaná do Google Sheets nebo jiných sdílených nástrojů jsou sdílena výhradně s oprávněnými osobami; veřejné sdílení je zakázáno.
  • Dočasné soubory a pracovní kopie s osobními údaji jsou po použití mazány.

D. AI nástroje

  • Osobní údaje jsou před odesláním do AI nástrojů pseudonymizovány nebo anonymizovány, je-li to technicky možné a přiměřené.
  • Nepoužívání spotřebitelských verzí AI nástrojů (ChatGPT free, Claude.ai free) pro zpracování osobních údajů klientů; výhradně API přístup s příslušnou DPA.
  • Evidence toho, pro jaké zakázky a s jakým typem dat byly AI nástroje použity.

E. Organizační opatření

  • Interní evidence zpracovatelských aktivit (záznamy o činnostech zpracování dle čl. 30 odst. 2 GDPR).
  • Pravidelná revize přístupů a nástrojů (nejméně 1× ročně a při každé změně zakázky).
  • Subdodavatelé (jsou-li zapojeni) jsou vázáni mlčenlivostí a TOMs minimálně v rozsahu této přílohy.
  • Záznamy o bezpečnostních incidentech a přijatých opatřeních jsou uchovávány po dobu 3 let.

Tato DPA vychází z čl. 28 nařízení EU 2016/679 (GDPR), zákona č. 110/2019 Sb. o zpracování osobních údajů a doporučení EDPB. Platná od 26. 5. 2026. Smluvní strany jsou povinny ověřit soulad s aktuálními předpisy platnými v době uzavření konkrétní DPA.