Smlouva o zpracování osobních údajů

Smluvní strany

Tato smlouva o zpracování osobních údajů (dále jen „DPA") se uzavírá dle čl. 28 nařízení Evropského parlamentu a Rady (EU) 2016/679 (GDPR) mezi:

1. Předmět a doba zpracování

Zpracovatel zpracovává osobní údaje zákazníků Správce výhradně za účelem poskytování služby ReviewBoost — automatického sběru hodnocení od zákazníků prostřednictvím emailové komunikace.

Zpracování probíhá po dobu platné smlouvy o poskytování služby ReviewBoost. Po ukončení smlouvy Zpracovatel data nenávratně vymaže do 30 dnů, pokud zákon nestanoví jinak.

2. Povaha a účel zpracování

• Odesílání emailů zákazníkům Správce se žádostí o zanechání recenze na Google
• Sledování otevření a prokliknutí emailů za účelem statistik
• Uchovávání odpovědí zákazníků (hodnocení, soukromý feedback)
• Správa opt-out preferencí zákazníků
• Vedení audit trail souhlasů a opt-outů pro právní ochranu Správce

3. Kategorie osobních údajů

Zpracovávány jsou výhradně tyto kategorie osobních údajů zákazníků Správce:

• Jméno a příjmení zákazníka
• Emailová adresa zákazníka
• Hodnocení (1–5 hvězdiček) a případný textový feedback
• Technická data: IP adresa, User-Agent, časové razítko

Zpracovatel nezpracovává zvláštní kategorie osobních údajů dle čl. 9 GDPR.

4. Povinnosti zpracovatele (ReviewBoost)

• Zpracovávat osobní údaje pouze na základě doložených pokynů Správce
• Zajistit, aby osoby zpracovávající data byly zavázány mlčenlivostí
• Přijmout vhodná technická a organizační bezpečnostní opatření dle čl. 32 GDPR
• Nepověřit jiného zpracovatele bez předchozího souhlasu Správce
• Napomáhat Správci při plnění povinností dle čl. 32–36 GDPR
• Na žádost Správce vymazat nebo vrátit veškeré osobní údaje po skončení smlouvy
• Poskytnout Správci veškeré informace potřebné k doložení souladu s čl. 28 GDPR

5. Povinnosti správce (Firma)

• Mít platný právní základ pro předání osobních údajů zákazníků Zpracovateli
• Zajistit, že zákazníci byli informováni o zpracování jejich údajů
• Odesílat žádosti o recenze pouze zákazníkům s aktivním obchodním vztahem
• Respektovat opt-out přání zákazníků a neopakovat kontakt po odhlášení
• Informovat Zpracovatele o jakýchkoli změnách týkajících se přesnosti dat

6. Práva subjektů údajů

Zákazníci Správce mají právo na přístup, opravu, výmaz, omezení zpracování a přenositelnost svých osobních údajů. Zpracovatel poskytne Správci technickou součinnost při plnění těchto žádostí.

Zákazníci se mohou kdykoli odhlásit z emailové komunikace prostřednictvím odkazu v každém emailu. Odhlášení je zpracováno okamžitě a jsou respektovány všemi budoucími odesíláními.

7. Bezpečnostní opatření

Zpracovatel přijal tato technická a organizační opatření:

• Šifrování dat při přenosu (TLS 1.2+) i v klidu (AES-256)
• Přístup k datům pouze pro autorizované osoby (Row Level Security)
• Pravidelné zálohy dat s šifrováním
• Audit log přístupů a změn
• Dvoufaktorová autentizace pro administrátorský přístup
• Monitoring a alerting bezpečnostních incidentů

8. Subzpracovatelé

Správce touto DPA uděluje obecný písemný souhlas s pověřením níže uvedených subzpracovatelů. Zpracovatel informuje Správce o jakýchkoli zamýšlených změnách těchto subzpracovatelů.

Přenosy do třetích zemí jsou zajištěny standardními smluvními doložkami (SCC) dle čl. 46 GDPR.

9. Odpovědnost a náhrada škody

Zpracovatel odpovídá Správci za škodu způsobenou porušením povinností vyplývajících z GDPR nebo této DPA, pokud nebylo prokázáno, že za škodu nenese odpovědnost. Celková odpovědnost Zpracovatele je omezena na výši uhrazených poplatků za posledních 12 měsíců.

10. Závěrečná ustanovení

Tato DPA je nedílnou součástí smlouvy o poskytování služby ReviewBoost. Registrací a odsouhlasením podmínek Správce potvrzuje přijetí této DPA.

Kontakt na pověřence pro ochranu osobních údajů: gdpr@mypixel.cz

Verze 1.0 · Účinnost od 25. dubna 2026