ZÁZNAM O ČINNOSTECH ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
(Records of Processing Activities — ROPA)
dle čl. 30 odst. 2 GDPR
Správce / Zpracovatel: Cloud IS, s.r.o., IČO: 21883912, Sadová 1646, 560 02 Česká Třebová Kontaktní e-mail: info@eprotokol.cz Datum poslední aktualizace: 14. 3. 2026
Interní dokument — nepublikovat. Předložit na žádost ÚOOÚ.
A. ZPRACOVÁNÍ JAKO SPRÁVCE
(osobní údaje zákazníků a návštěvníků webu)
A1 — Správa zákaznických účtů
| Položka | Obsah |
|---|---|
| Účel zpracování | Registrace, správa a fakturace zákaznických účtů služby eProtokol |
| Právní základ | Čl. 6 odst. 1 písm. b) GDPR — plnění smlouvy |
| Kategorie subjektů | Fyzické osoby — zástupci zákazníků (podnikatelé, jednatelé s.r.o.) |
| Kategorie osobních údajů | Jméno, příjmení, e-mail, telefon, IČO, adresa sídla, přihlašovací jméno, heslo (hash) |
| Příjemci | DigitalOcean LLC (databáze, EU), Vercel Inc. (hosting, USA/DPF), Resend Inc. (email, USA/DPF) |
| Přenos do třetích zemí | USA — Vercel, Resend (DPF) |
| Doba uchování | Po dobu trvání smlouvy + 3 roky; fakturační záznamy 10 let |
| Technická opatření | Šifrování přenosu (HTTPS/TLS), šifrování hesel (bcrypt), přístup omezen na adminy |
A2 — Fakturace a účetnictví
| Položka | Obsah |
|---|---|
| Účel zpracování | Vystavování faktur, vedení účetnictví |
| Právní základ | Čl. 6 odst. 1 písm. c) GDPR — zákonná povinnost (zákon č. 563/1991 Sb.) |
| Kategorie subjektů | Zástupci zákazníků |
| Kategorie osobních údajů | Jméno, adresa, IČO, fakturační údaje |
| Příjemci | Externí účetní Cloud IS s.r.o.; orgány státní správy (FÚ) |
| Přenos do třetích zemí | Ne |
| Doba uchování | 10 let od vystavení dokladu |
| Technická opatření | Šifrování, přístup omezen na oprávněné osoby |
A3 — Zákaznická komunikace a podpora
| Položka | Obsah |
|---|---|
| Účel zpracování | Odpovědi na dotazy, řešení technických problémů |
| Právní základ | Čl. 6 odst. 1 písm. b) GDPR — plnění smlouvy; písm. f) oprávněný zájem |
| Kategorie subjektů | Zákazníci a zájemci o Službu |
| Kategorie osobních údajů | Jméno, e-mail, obsah komunikace |
| Příjemci | Resend Inc. (email, USA/DPF) |
| Přenos do třetích zemí | USA — Resend (DPF) |
| Doba uchování | 3 roky od poslední komunikace |
| Technická opatření | Šifrování e-mailového přenosu |
A4 — Marketing a analýza webu
| Položka | Obsah |
|---|---|
| Účel zpracování | Analýza návštěvnosti webu a aplikace, měření efektivity reklam |
| Právní základ | Čl. 6 odst. 1 písm. a) GDPR — souhlas (cookie banner) |
| Kategorie subjektů | Návštěvníci webu eprotokol.cz |
| Kategorie osobních údajů | Anonymizovaná/pseudonymizovaná data o chování, IP adresa (anonymizována), cookie identifikátory |
| Příjemci | Google LLC / GA4 (USA/DPF), Meta Platforms Inc. (USA/DPF), X Corp. (USA/DPF) |
| Přenos do třetích zemí | USA — Google, Meta, X Corp. (DPF) |
| Doba uchování | GA4: 14 měsíců; Meta/X: dle podmínek poskytovatelů (max. 3 měsíce pro konverzní data) |
| Technická opatření | Anonymizace IP, souhlas vyžadován před načtením skriptů |
| ⚠️ Akční bod | Cookie banner zatím není implementován — NUTNO DOŘEŠIT |
A5 — Provozní a bezpečnostní logy
| Položka | Obsah |
|---|---|
| Účel zpracování | Zajištění bezpečnosti a stability Služby, diagnostika problémů |
| Právní základ | Čl. 6 odst. 1 písm. f) GDPR — oprávněný zájem (bezpečnost systému) |
| Kategorie subjektů | Všichni uživatelé Služby |
| Kategorie osobních údajů | IP adresa, čas přístupu, typ prohlížeče, identifikátor uživatele (lastLogin) |
| Příjemci | DigitalOcean LLC (EU), Vercel Inc. (USA/DPF) |
| Přenos do třetích zemí | USA — Vercel (DPF) |
| Doba uchování | Provozní logy 90 dní; bezpečnostní záznamy 1 rok |
| Technická opatření | Přístup k logům omezen na administrátory |
B. ZPRACOVÁNÍ JAKO ZPRACOVATEL
(osobní údaje zaměstnanců zákazníků — na pokyn zákazníka jako správce)
B1 — Zpracování osobních údajů zaměstnanců zákazníků v rámci Služby eProtokol
| Položka | Obsah |
|---|---|
| Jméno správce | Zákazník — stavební nebo řemeslná firma (identifikace dle uzavřené DPA) |
| Účel zpracování | Provoz Služby eProtokol — evidence práce, mezd, docházky, stavebního deníku, zakázek |
| Právní základ | Pokyn správce (zákazníka); čl. 28 GDPR |
| Kategorie subjektů | Zaměstnanci a spolupracovníci zákazníka |
| Kategorie osobních údajů | Viz DPA čl. 3 — identifikační, kontaktní, pracovněprávní, mzdové, platební údaje, identifikační doklady (RČ, OP), fotografie, podpisy, pracovní záznamy |
| Zvláštní kategorie | Rodné číslo (zpracování povoleno pro mzdovou agendu dle § 13c zákona 133/2000 Sb.) |
| Příjemci / sub-zpracovatelé | DigitalOcean LLC (databáze + soubory, EU/Frankfurt), Vercel Inc. (hosting, USA/DPF), OpenAI Inc. (OCR, USA/DPF), Resend Inc. (email, USA/DPF) |
| Přenos do třetích zemí | USA — Vercel, OpenAI, Resend (DPF). Databáze a soubory výhradně v EU. |
| Doba uchování | Po dobu trvání smlouvy se zákazníkem + 30 dní pro export; zákonné výjimky dle DPA čl. 9 |
| Technická opatření | Šifrování přenosu a uložení, přístup omezen per-company (multi-tenant architektura), bcrypt hesla, SSL/TLS |
| Smluvní základ | DPA uzavřená se zákazníkem dle VOP |
C. PŘEHLED SUB-ZPRACOVATELŮ
| Sub-zpracovatel | Sídlo | Zpracovávané údaje | Ochrana přenosu | DPA / certifikace |
|---|---|---|---|---|
| DigitalOcean LLC | EU (Frankfurt, DE) | Veškerá data v databázi a souborech | Zpracování v EU | DO DPA + GDPR |
| Vercel Inc. | USA | HTTP požadavky, cache, CDN | DPF | Vercel DPA |
| OpenAI Inc. | USA | Obsah faktur/dodacích listů pro OCR, text pro AI deník | DPF + API Terms | OpenAI DPA |
| Resend Inc. | USA | E-mailové adresy, obsah notifikačních e-mailů | DPF | Resend DPA |
| Google LLC | USA | Analytická data webu a aplikace (GA4) | DPF | Google DPA |
| Meta Platforms | USA | Konverzní data webu (Pixel) — pouze web, ne aplikace | DPF | Meta DPA |
| X Corp. | USA | Konverzní data webu (Pixel) — pouze web, ne aplikace | DPF | X DPA |
D. TECHNICKÁ A ORGANIZAČNÍ OPATŘENÍ (přehled)
| Oblast | Opatření |
|---|---|
| Šifrování přenosu | HTTPS/TLS pro veškerý provoz |
| Šifrování hesel | bcrypt s dostatečným salt factor |
| Přístup k datům | Multi-tenant architektura (každá firma vidí jen svá data), RBAC |
| Autentizace | Dvoufaktorová autentizace dostupná (TOTP) |
| Zálohy | Pravidelné zálohy databáze (DigitalOcean managed DB) |
| Fyzická bezpečnost | Zajištěna DigitalOcean (ISO 27001 certifikace datových center Frankfurt) |
| Správa přístupu | Přístup zaměstnanců Cloud IS k datům pouze v nezbytném rozsahu |
| Incident response | Postup dle bezpečnostní politiky — viz samostatný dokument |
| Monitoring | ⚠️ Zatím neimplementován (Sentry — plánováno) |
Cloud IS, s.r.o. | Interní dokument | Verze 1.0 | 14. 3. 2026 Aktualizovat při: změně sub-zpracovatelů, nové kategorii dat, změně účelu zpracování