SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

(Data Processing Agreement — DPA)

Poskytovatel (Zpracovatel): Cloud IS, s.r.o., IČO: 21883912, sídlo: Sadová 1646, 560 02 Česká Třebová (dále jen „Zpracovatel")

Odběratel (Správce): [Název společnosti Odběratele], IČO: [IČO], sídlo: [adresa] (dále jen „Správce")

Datum uzavření: uzavřením Smlouvy o poskytování Služby eProtokol dle VOP Verze: 1.0 | Datum účinnosti: 14. 3. 2026

PREAMBULE

Tato Smlouva o zpracování osobních údajů (dále jen „DPA") upravuje podmínky zpracování osobních údajů ve smyslu čl. 28 Nařízení Evropského parlamentu a Rady (EU) 2016/679 (dále jen „GDPR") a zákona č. 110/2019 Sb., o zpracování osobních údajů.

Zpracovatel provozuje softwarovou službu eProtokol, prostřednictvím níž Správce eviduje a zpracovává osobní údaje svých zaměstnanců a spolupracovníků. Zpracovatel jedná výhradně na základě pokynů Správce.

Tato DPA je nedílnou součástí Smlouvy o poskytování Služby eProtokol uzavřené dle Všeobecných obchodních podmínek Zpracovatele.

ČLÁNEK 1 — PŘEDMĚT A POVAHA ZPRACOVÁNÍ

1.1 Zpracovatel zpracovává osobní údaje jménem Správce při provozu služby eProtokol, zejména:

evidenci zaměstnanců a spolupracovníků Správce v systému,
zpracování výkazů práce, docházkových záznamů a mezd,
vedení stavebního deníku,
správu zakázek, faktur a objednávek,
ukládání a zpracování dokumentů nahraných do systému.

1.2 Zpracování je prováděno automatizovaně prostřednictvím cloudového software eProtokol provozovaného na serverové infrastruktuře subdodavatelů Zpracovatele.

ČLÁNEK 2 — ÚČEL ZPRACOVÁNÍ

Osobní údaje jsou zpracovávány výhradně za účelem:

poskytování Služby eProtokol dle uzavřené Smlouvy,
plnění zákonných povinností Zpracovatele,
zajištění bezpečnosti a provozu Služby.

Zpracovatel není oprávněn zpracovávat osobní údaje Správce nebo jeho zaměstnanců k jiným účelům, zejména ne pro vlastní obchodní nebo marketingové účely ani pro trénování AI modelů.

ČLÁNEK 3 — KATEGORIE OSOBNÍCH ÚDAJŮ A SUBJEKTŮ ÚDAJŮ

3.1 Subjekty údajů:

Zaměstnanci a spolupracovníci Správce
Osoby oprávněné jednat jménem Správce
Třetí osoby, jejichž údaje Správce do Služby vloží (dodavatelé, kontaktní osoby)

3.2 Kategorie osobních údajů:

Kategorie	Příklady	Právní základ
Identifikační údaje	Jméno, příjmení, tituly, datum narození	Oprávněný zájem / smlouva
Kontaktní údaje	E-mail, telefon, adresa	Oprávněný zájem / smlouva
Pracovněprávní údaje	Pracovní zařazení, typ smlouvy, datum nástupu/ukončení	Plnění smlouvy
Mzdové údaje	Mzda, zálohy, bonusy, typ odměňování	Plnění smlouvy
Platební údaje	Číslo bankovního účtu	Plnění smlouvy
Identifikační doklady	Rodné číslo, číslo OP nebo pasu	Zákonná povinnost
Biometrické a dokumentační údaje	Fotografie, podpis, sken OP	Souhlas / zákonná povinnost
Provozní záznamy	Výkazy práce, jízdy, docházka	Oprávněný zájem

3.3 Rodné číslo a číslo identifikačního dokladu jsou zvláštní kategorií citlivých dat dle zákona č. 133/2000 Sb. a zákona č. 110/2019 Sb. Zpracovatel je oprávněn je zpracovávat výhradně v rozsahu nezbytném pro mzdovou agendu a zákonné povinnosti Správce.

ČLÁNEK 4 — POVINNOSTI ZPRACOVATELE

Zpracovatel se zavazuje:

4.1 Zpracovávat osobní údaje výhradně na základě doložených pokynů Správce, pokud zpracování nevyžaduje právo EU nebo členského státu, které se na Zpracovatele vztahuje.

4.2 Zajistit, aby osoby oprávněné zpracovávat osobní údaje byly vázány povinností mlčenlivosti.

4.3 Přijmout veškerá opatření požadovaná dle čl. 32 GDPR, zejména:

šifrování osobních údajů při přenosu (TLS/HTTPS) i při uložení,
zajištění trvalé důvěrnosti, integrity a dostupnosti systémů zpracování,
pravidelné zálohování dat,
řízení přístupu na principu nejmenšího oprávnění (least privilege).

4.4 Respektovat podmínky pro zapojení dalšího zpracovatele (sub-zpracovatele) dle čl. 5 této DPA.

4.5 Zohledňovat povahu zpracování a být Správci nápomocen při plnění jeho povinnosti reagovat na žádosti subjektů údajů o výkon jejich práv (přístup, oprava, výmaz, přenositelnost, omezení zpracování, námitka).

4.6 Být Správci nápomocen při zajišťování souladu s povinnostmi dle čl. 32–36 GDPR (bezpečnost zpracování, ohlašování porušení, posouzení vlivu).

4.7 Na základě rozhodnutí Správce veškeré osobní údaje vymazat nebo vrátit po ukončení Smlouvy, a to ve lhůtě 30 dnů od ukončení. Výjimkou jsou data, jejichž uchování ukládá právo EU nebo členského státu; v takovém případě Zpracovatel uchová data po zákonem stanovenou dobu (zejména 10 let dle zákona č. 563/1991 Sb., o účetnictví) a poté je nenávratně smaže.

4.8 Poskytnout Správci veškeré informace potřebné k doložení souladu s povinnostmi stanovenými v čl. 28 GDPR a umožnit audity a inspekce prováděné Správcem nebo auditorem jím pověřeným (s přiměřeným předstihem a náklady na straně Správce).

ČLÁNEK 5 — SUB-ZPRACOVATELÉ

5.1 Správce tímto uděluje Zpracovateli obecné písemné svolení k zapojení sub-zpracovatelů.

5.2 Zpracovatel využívá při poskytování Služby následující sub-zpracovatele:

Sub-zpracovatel	Sídlo	Účel	Ochrana přenosu
DigitalOcean LLC	EU (Frankfurt, Německo)	Databázový server (MySQL)	Zpracování v EU
DigitalOcean LLC	EU (Frankfurt, Německo)	Úložiště souborů a příloh (Spaces)	Zpracování v EU
Vercel Inc.	USA	Hosting aplikace, CDN	Data Privacy Framework (DPF)
OpenAI Inc.	USA	AI funkce: OCR faktur a dodacích listů, generování textu stavebního deníku	Data Privacy Framework (DPF) + API Terms (bez trénování modelů)
Resend Inc.	USA	Odesílání transakčních a notifikačních e-mailů	Data Privacy Framework (DPF)

5.3 Zpracovatel informuje Správce o záměru přidat nebo nahradit sub-zpracovatele s předstihem nejméně 30 dnů. Správce je oprávněn vznést odůvodněnou námitku. Pokud Zpracovatel na námitce trvá a Správce nesouhlasí, je Správce oprávněn Smlouvu vypovědět.

5.4 Zpracovatel zajistí, že sub-zpracovatelé jsou smluvně vázáni povinnostmi ochrany osobních údajů odpovídajícími povinnostem Zpracovatele dle této DPA.

5.5 Přenos osobních údajů do třetích zemí (USA) prostřednictvím sub-zpracovatelů Vercel, OpenAI a Resend je zajištěn na základě rozhodnutí Evropské komise o přiměřenosti dle Data Privacy Framework (DPF) ze dne 10. 7. 2023.

ČLÁNEK 6 — POVINNOSTI SPRÁVCE

Správce se zavazuje:

6.1 Zpracovávat osobní údaje zaměstnanců a třetích osob do Služby vkládané v souladu s platnými právními předpisy a mít k takovému zpracování zákonný právní základ.

6.2 Zajistit, že zaměstnanci a třetí osoby, jejichž údaje do Služby vkládá, byli řádně informováni o zpracování jejich osobních údajů.

6.3 Zajistit přístup ke Službě pouze oprávněným osobám a chránit přihlašovací údaje.

6.4 Neprodleně informovat Zpracovatele o jakýchkoliv pokynech, o nichž se domnívá, že jsou v rozporu s GDPR nebo jinými předpisy EU nebo členského státu.

ČLÁNEK 7 — PORUŠENÍ ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ

7.1 Zpracovatel informuje Správce o zjištěném porušení zabezpečení osobních údajů bez zbytečného odkladu, nejpozději do 48 hodin od zjištění, a to na e-mailovou adresu Správce uvedenou v systému.

7.2 Oznámení dle odst. 7.1 bude obsahovat alespoň:

popis povahy porušení,
přibližný počet dotčených subjektů údajů a záznamy,
pravděpodobné důsledky,
přijatá nebo navrhovaná opatření k nápravě.

7.3 Správce je povinen porušení splňující podmínky čl. 33 GDPR ohlásit příslušnému dozorovému úřadu (ÚOOÚ) bez zbytečného odkladu, nejpozději do 72 hodin od jeho zjištění.

ČLÁNEK 8 — ZÁZNAMY O ČINNOSTECH ZPRACOVÁNÍ

Zpracovatel vede záznamy o všech kategoriích činností zpracování prováděných jménem Správce dle čl. 30 odst. 2 GDPR. Na žádost Správce nebo ÚOOÚ zpřístupní tyto záznamy.

ČLÁNEK 9 — DOBA ZPRACOVÁNÍ A VÝMAZ DAT

9.1 Osobní údaje jsou zpracovávány po dobu trvání Smlouvy o poskytování Služby.

9.2 Po ukončení Smlouvy jsou data Správce přístupná k exportu po dobu 30 dnů. Po uplynutí této lhůty Zpracovatel data nenávratně smaže, s výjimkou dat jejichž uchování vyžaduje zákon (zejména účetní doklady — 10 let dle zákona č. 563/1991 Sb.).

9.3 Zpracovatel potvrdí výmaz dat písemně (e-mailem) na žádost Správce.

ČLÁNEK 10 — ZÁVĚREČNÁ USTANOVENÍ

10.1 Tato DPA se řídí právem České republiky a přímo použitelným právem EU, zejména GDPR.

10.2 V otázkách neupravených touto DPA se použijí VOP Zpracovatele a obecně závazné právní předpisy.

10.3 Tato DPA je uzavřena na dobu trvání Smlouvy o poskytování Služby.

10.4 Zpracovatel je oprávněn tuto DPA aktualizovat v souladu se změnami právní úpravy nebo své technické infrastruktury. O změnách informuje Správce s předstihem minimálně 30 dní.

10.5 Tato DPA nabývá účinnosti dnem 14. 3. 2026.

Cloud IS, s.r.o. | IČO: 21883912 | Sadová 1646, 560 02 Česká Třebová Verze 1.0 | Datum účinnosti: 14. 3. 2026

(Data Processing Agreement — DPA)​

PREAMBULE​

ČLÁNEK 1 — PŘEDMĚT A POVAHA ZPRACOVÁNÍ​

ČLÁNEK 2 — ÚČEL ZPRACOVÁNÍ​

ČLÁNEK 3 — KATEGORIE OSOBNÍCH ÚDAJŮ A SUBJEKTŮ ÚDAJŮ​

ČLÁNEK 4 — POVINNOSTI ZPRACOVATELE​

ČLÁNEK 5 — SUB-ZPRACOVATELÉ​

ČLÁNEK 6 — POVINNOSTI SPRÁVCE​

ČLÁNEK 7 — PORUŠENÍ ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ​

ČLÁNEK 8 — ZÁZNAMY O ČINNOSTECH ZPRACOVÁNÍ​

ČLÁNEK 9 — DOBA ZPRACOVÁNÍ A VÝMAZ DAT​

ČLÁNEK 10 — ZÁVĚREČNÁ USTANOVENÍ​