Smlouva o zpracování osobních údajů

Tato smlouva o zpracování osobních údajů („DPA") je uzavřena dle čl. 28 GDPR mezi:

Správce: Uživatel služby Andyfy (dle Smlouvy/VOP) („Správce")

a

Zpracovatel: ANDYLOGY s.r.o., IČO: 22184121, Osvoboditelů 3778, 760 01 Zlín („Zpracovatel")

1. Předmět a doba trvání

1.1 Předmětem DPA je úprava zpracování osobních údajů, které Správce ukládá nebo jinak zpracovává prostřednictvím Služby Andyfy.

1.2 DPA trvá po dobu trvání Smlouvy a následně po dobu nezbytnou dle čl. 10 (výmaz/vrácení).

2. Povaha a účel zpracování

2.1 Zpracování probíhá automatizovaně i manuálně v rozsahu nezbytném pro:

  • a) poskytování a provoz Služby,
  • b) ukládání, organizaci, zobrazování a export dat Správce,
  • c) podporu, řešení incidentů, zabezpečení, prevenci zneužití,
  • d) plnění zákonných povinností Zpracovatele (v rozsahu, kde je Zpracovatel samostatným správcem – typicky fakturační údaje).

3. Kategorie subjektů údajů a typy údajů

3.1 Subjekty údajů: zejména zákazníci Správce, dodavatelé Správce, zaměstnanci a spolupracovníci Správce, koncové osoby uvedené na dokladech, uživatelé Účtu.

3.2 Typy osobních údajů (dle použití Správce): identifikační a kontaktní údaje (jméno, adresa, e-mail, telefon), IČO/DIČ u OSVČ, bankovní spojení, údaje na účetních dokladech, metadata (logy přístupů), případně další údaje vložené Správcem.

3.3 Zpracování se může týkat rovněž osobních údajů třetích osob, které Správce do Služby uloží nebo jinak zpřístupní, zejména jeho zákazníků, odběratelů, dodavatelů nebo jiných kontaktních osob evidovaných v adresáři, na účetních nebo pokladních dokladech či v souvisejících agendách. Zpracovatel tyto osobní údaje zpracovává výhradně jménem Správce a v rozsahu funkcí Služby.

4. Pokyny Správce

4.1 Zpracovatel zpracovává osobní údaje pouze na základě doložených pokynů Správce, zejména prostřednictvím funkcí Služby a nastavení Účtu.

4.2 Pokud by pokyn Správce vedl k porušení práva EU/ČR, Zpracovatel Správce upozorní, je-li to právně dovoleno.

5. Důvěrnost

5.1 Zpracovatel zajistí, aby osoby oprávněné zpracovávat osobní údaje byly zavázány mlčenlivostí.

6. Technická a organizační opatření (TOMs)

6.1 Zpracovatel zavádí přiměřená TOMs s ohledem na rizika, zejména:

  • a) řízení přístupů (role, autentizace),
  • b) šifrovaný přenos dat (např. TLS),
  • c) logování a monitoring,
  • d) zálohování a obnova dostupnosti,
  • e) ochrana před malware a neoprávněnými přístupy,
  • f) organizační opatření (školení, politiky, řízení incidentů).

6.2 Detailní specifikace TOMs může být aktualizována v čase, pokud je zachována přiměřená úroveň zabezpečení.

7. Další zpracovatelé (subprocesory)

7.1 Správce uděluje Zpracovateli obecný souhlas se zapojením dalších zpracovatelů.

7.2 Seznam subprocesorů je zveřejněn na webu Zpracovatele nebo dostupný na vyžádání.

7.3 Zpracovatel oznámí Správci zamýšlené změny v subprocesorech nejméně 14 dní předem (Oznámením), pokud to je rozumně možné.

7.4 Správce může vznést námitku z vážných důvodů (bezpečnost, compliance) ve lhůtě 14 dní; nedohodnou-li se strany na řešení, může Zpracovatel poskytnutí dotčené části Služby omezit nebo Správce může ukončit Smlouvu dle VOP.

8. Pomoc Správci

8.1 Zpracovatel poskytne Správci přiměřenou součinnost při:

  • a) vyřizování žádostí subjektů údajů (přístup, výmaz apod.),
  • b) posouzení vlivu (DPIA) a konzultacích s ÚOOÚ,
  • c) zabezpečení a incident managementu.

8.2 Není-li sjednáno jinak, může Zpracovatel účtovat přiměřené náklady součinnosti, pokud žádost vyžaduje nadstandardní práci.

8.3 Součinnost Zpracovatele mimo standardní funkce Služby (např. asistované exporty po ukončení smlouvy) může být zpoplatněna dle VOP/individuální nabídky.

9. Porušení zabezpečení osobních údajů

9.1 Zpracovatel oznámí Správci porušení zabezpečení bez zbytečného odkladu, nejpozději do 36 hodin od zjištění, v rozsahu informací dostupných v době oznámení.

9.2 Zpracovatel vede evidenci incidentů a přijímá nápravná opatření.

10. Audit

10.1 Správce je oprávněn provést audit TOMs nejvýše 1× ročně v rozsahu max. 2 člověkodnů, po předchozí dohodě termínu a rozsahu.

10.2 Audit nesmí nepřiměřeně narušit provoz Zpracovatele ani ohrozit bezpečnost ostatních zákazníků; Zpracovatel může nabídnout alternativu (např. report, certifikace, shrnutí opatření).

10.3 Správce nese své náklady auditu; pokud audit odhalí podstatné porušení, strany dohodnou nápravu.

11. Předávání do třetích zemí

11.1 Pokud Zpracovatel nebo subprocesor předává data mimo EHP, zajistí odpovídající záruky (např. standardní smluvní doložky), vyžaduje-li to právní úprava.

12. Vrácení a výmaz po ukončení

12.1 Po ukončení Smlouvy Zpracovatel na pokyn Správce (dle možností Služby) umožní export dat, a následně osobní údaje vymaže v přiměřené době, typicky do 90 dnů, s výjimkou:

  • a) údajů, které musí uchovat dle práva, nebo
  • b) údajů potřebných k ochraně právních nároků Zpracovatele, nebo
  • c) údajů v zálohách po dobu jejich přepisovacího cyklu.

12.2 Pokud právo ukládá uchování, Zpracovatel o tom Správce informuje, pokud to není zakázáno.

12.3 Pokud Správce nepožádá o export před uplynutím lhůty pro výmaz nebo pokud má neuhrazené splatné závazky vůči Zpracovateli, Zpracovatel není povinen export poskytnout.

13. Odpovědnost

13.1 Odpovědnost stran se řídí VOP/Smlouvou a příslušnými právními předpisy; limity odpovědnosti dle VOP se použijí přiměřeně i na DPA, pokud to právní úprava připouští.

14. Závěrečná ustanovení

14.1 DPA je nedílně spojena se Smlouvou; v případě rozporu má přednost DPA v otázkách zpracování osobních údajů.

14.2 Rozhodné právo: Česká republika.

Účinnost DPA: od 1. 1. 2026 (nebo od uzavření Smlouvy, nastane-li později).

Poslední aktualizace: 21. 12. 2025