Tato smlouva o zpracování osobních údajů (dále jen „DPA“) se uzavírá podle čl. 28 GDPR mezi zákazníkem služby Doruna jako správcem a společností Rosen Tower s.r.o., IČO 23407778, jako zpracovatelem.

DPA je nedílnou součástí Obchodních podmínek. Přijetím Obchodních podmínek zákazník uzavírá i tuto DPA.

1. Předmět a postavení stran

Zpracovatel zpracovává osobní údaje jménem Správce výhradně za účelem poskytování Služby. Správce odpovídá za zákonnost zpracování a existenci právního základu. Bližší popis zpracování je v Příloze 1.

2. Pokyny Správce

Zpracovatel zpracovává osobní údaje pouze na základě doložitelných pokynů Správce (tato DPA, Obchodní podmínky a nastavení ve Službě). Zpracovatel informuje Správce, má-li za to, že pokyn porušuje GDPR.

3. Povinnosti Zpracovatele

Zpracovávat údaje pouze v souladu s pokyny Správce
Zavázat oprávněné osoby k mlčenlivosti
Přijmout vhodná technická a organizační opatření (čl. 32 GDPR)
Dodržovat podmínky pro zapojení dalších zpracovatelů
Napomáhat Správci při plnění povinností vůči subjektům údajů
Ohlašovat porušení zabezpečení bez zbytečného odkladu
Po skončení Služby vrátit nebo vymazat data
Umožnit audit dle čl. 7

4. Další zpracovatelé

Správce uděluje obecné povolení k zapojení dalších zpracovatelů uvedených v Seznamu zpracovatelů. O zamýšlené změně informujeme předem; Správce může vznést námitku.

5. Součinnost při právech subjektů

Obrátí-li se subjekt údajů na Zpracovatele, odkážeme jej na Správce a poskytneme přiměřenou technickou součinnost.

6. Ohlašování porušení bezpečnosti

Zjistíme-li porušení bezpečení osobních údajů, ohlásíme jej Správci bez zbytečného odkladu s informacemi nezbytnými pro splnění jeho povinností vůči ÚOOÚ a subjektům údajů.

7. Audit

Na vyžádání poskytujeme dokumenty a osvědčení prokazující soulad. Fyzický audit je možný na základě přiměřeného předchozího oznámení (zpravidla 30 dnů), v pracovní době, nejvýše jednou ročně (mimo incidenty), na náklady Správce. Auditoři jsou vázáni mlčenlivostí.

8. Výmaz po ukončení

Po ukončení Služby umožníme export dat a po uplynutí retenční lhůty data vymažeme. Lhůty jsou uvedeny v Zásadách ochrany osobních údajů.

9. Předání mimo EU/EHP

Předání probíhá pouze na základě standardních smluvních doložek (SCC) nebo EU-U.S. DPF (viz Seznam zpracovatelů).

10. Odpovědnost

Odpovědnost stran se řídí čl. 82 GDPR a omezením uvedeným v čl. 11 Obchodních podmínek. Správce odpovídá za zákonnost zpracování a pokyny.

Příloha 1 — Popis zpracování

Předmět	Poskytování účetní a CRM služby Doruna
Účel	Ukládání, zpřístupnění a analýza dat vložených Správcem
Doba	Po dobu smlouvy + retenční lhůta
Kategorie subjektů	Zaměstnanci, obchodní partneři, dodavatelé a koncoví zákazníci Správce
Kategorie údajů	Identifikační, kontaktní, bankovní, mzdové a personální údaje, obsah dokladů a datových zpráv
Zvláštní kategorie	Výjimečně v mzdové agendě (zdravotní pojišťovna, ZTP) — pouze na pokyn Správce

Příloha 2 — Další zpracovatelé

Viz Seznam zpracovatelů.

Příloha 3 — Standardní smluvní doložky

Pro předání osobních údajů mimo EU/EHP se použijí standardní smluvní doložky schválené Evropskou komisí — Modul 2 (správce → zpracovatel) ve znění prováděcího rozhodnutí Komise (EU) 2021/914.

Příloha 4 — Technická a organizační opatření

Šifrovaný přenos (HTTPS/TLS, HSTS), hashování hesel (bcrypt), šifrování citlivých polí v databázi (AES-256), řízení přístupu dle rolí (RBAC), dvoufázové ověření (2FA), ochrana proti CSRF, auditní záznamy, provoz infrastruktury v EU.

Smlouva o zpracování osobních údajů (DPA)