Zpracovatelská smlouva (DPA)

Tato smlouva je součástí smluvního vztahu mezi Zákazníkem a Poskytovatelem dle čl. 28 GDPR.

3.1 Strany

• Správce: Zákazník (provozovatel e-shopu)
• Zpracovatel: Roman Grigar, IČO 04943660, Švermova 399, Brodek u Přerova, 751 03

Strany výslovně potvrzují, že mezi nimi nevzniká vztah společných správců ve smyslu čl. 26 GDPR. Každá strana nese vlastní odpovědnost správce, resp. zpracovatele ve smyslu čl. 4 odst. 7 a 8 GDPR.

3.2 Předmět a účel zpracování

Zpracovatel zpracovává osobní údaje návštěvníků e-shopu Správce výhradně za účelem:

• poskytování vyhledávací funkcionality na e-shopu Správce,
• generování vyhledávací analytiky a statistik pro Správce,
• automatické optimalizace řazení výsledků vyhledávání (CTR boost).

3.3 Kategorie subjektů a údajů

• Subjekty údajů: Návštěvníci e-shopu Správce
• Kategorie údajů: Vyhledávací dotazy, kliknutí na výsledky (ID a název produktu, pozice ve výsledcích), kryptografický hash IP adresy (SHA-256 s tajným pepperem), User-Agent, referer URL, technický identifikátor relace (session ID) a technický identifikátor jednoho vyhledávacího záměru (journey ID — náhodné UUID seskupující související analytické události typu psaní → upřesnění → kliknutí, končící klikem nebo 30 sekundami nečinnosti) — oba generované klientsky v sessionStorage prohlížeče návštěvníka, konverzní data (ID objednávky, hodnota, měna, ID produktů a množství — pouze pokud Správce aktivuje server-side conversion tracking integraci, viz Podmínky čl. 1.6, část „Měření nákupních konverzí")
• Zvláštní kategorie údajů (čl. 9 GDPR): Nejsou zpracovávány. Zpracovatel nepřijímá identifikační údaje koncových zákazníků (jméno, e-mail, telefon, doručovací adresa, cookie ID, Google Analytics identifikátory).
• Charakter zpracovávaných údajů: Údaje jsou ve smyslu čl. 4(5) GDPR pseudonymizované — nelze je přiřadit konkrétní fyzické osobě bez použití dodatečných informací, které Zpracovatel nedrží. Pseudonymizovaná data zůstávají osobními údaji dle GDPR.

3.4 Doba zpracování

• Po dobu trvání smluvního vztahu (aktivního předplatného nebo zkušebního období).
• Retence během provozu:
  • Vyhledávací a guide analytika: 90 dnů v produkčních systémech, poté archivace do šifrovaného cloud storage a výmaz z produkce.
  • Konverzní data (objednávky, atribuce): 180 dnů v produkčních systémech (pro LTV analýzu, atribuci a týdenní reporty), poté archivace do šifrovaného cloud storage a výmaz z produkce.
  • Rate-limit a bezpečnostní logy: 30 dnů.
  • Šifrované zálohy databáze: maximálně 60 dnů (rotace).
  • Archivovaná analytická a konverzní data (v šifrovaném cloud storage): nejdéle 24 měsíců od okamžiku archivace, pokud delší uchování není nezbytné pro řešení konkrétního sporu, vyšetřování bezpečnostního incidentu nebo obhajobu právních nároků (v takovém případě po dobu nezbytně nutnou, nejdéle však po dobu zákonných promlčecích lhůt).
• Po ukončení smluvního vztahu: postupuje se dle čl. 3.6 této smlouvy.

3.5 Povinnosti Zpracovatele

Zpracovatel se zavazuje:

1. Zpracovávat údaje pouze na základě doložených pokynů Správce (tj. v rozsahu konfigurace Služby).
2. Zajistit, aby osoby oprávněné zpracovávat údaje byly vázány povinností mlčenlivosti.
3. Přijmout veškerá technická a organizační opatření dle čl. 32 GDPR, zejména:
   • šifrování dat při přenosu (TLS) a šifrování záloh při uložení (AES-256),
   • izolaci dat mezi zákazníky (multi-tenant architektura s automatickou filtrací),
   • pseudonymizaci IP adres (SHA-256 s tajným pepperem) v analytických a bezpečnostních datech,
   • pravidelné zálohování dat s krátkou retencí (max. 60 dnů),
   • dvoufaktorové ověření (2FA) pomocí TOTP standardu:
     • administrátorské účty Zpracovatele: 2FA povinné, nelze deaktivovat,
     • účty Správců (provozovatelů e-shopů): 2FA volitelné, Zpracovatel jeho aktivaci výslovně doporučuje; neaktivace 2FA na straně Správce nezakládá odpovědnost Zpracovatele za případnou kompromitaci přihlašovacích údajů,
   • omezení přístupu k produkčním serverům — výhradně SSH klíčová autentizace, fail2ban,
   • Cloudflare WAF a rate limiting před aplikací; origin přijímá provoz pouze z Cloudflare IP rozsahů,
   • DNSSEC, SPF/DKIM/DMARC pro ochranu doménové identity,
   • interní plán reakce na incident a pravidelný bezpečnostní audit.
4. Správce uděluje Zpracovateli obecné písemné povolení k zapojení dalších sub-zpracovatelů za těchto podmínek:
   • Zpracovatel vede aktuální seznam sub-zpracovatelů, který je veřejně dostupný na woodysfetch.com/subprocessors.
   • Při změně (přidání nebo nahrazení) sub-zpracovatele Zpracovatel informuje Správce e-mailem nejméně 14 dnů předem.
   • Správce má právo proti změně vznést námitku do 14 dnů od oznámení. Pokud Správce námitku vznese a strany nedospějí k řešení, má Správce právo smlouvu vypovědět s okamžitou účinností.
   • Zpracovatel zajistí, že každý sub-zpracovatel bude vázán stejnými povinnostmi ochrany údajů, jaké vyplývají z této smlouvy.
   • Aktuální seznam sub-zpracovatelů (k datu uzavření této smlouvy):
     • Stripe Technology Europe Limited — platforma platebních služeb, Irsko (EU)
     • Stripe Payments Europe Limited — zpracování plateb (regulovaná platební instituce), Irsko (EU)
     • Hetzner Online GmbH — hosting serverů (aplikace, databáze, vyhledávací engine, zálohy), Německo (EU)
     • Cloudflare, Inc. — WAF / CDN / DNS, USA (standardní smluvní doložky EU)
     • Twilio Ireland Limited — SMS verifikace telefonu, Irsko (EU)
     • Anthropic, PBC — Claude API pro generování týdenních AI souhrnů (volitelná funkce), USA (standardní smluvní doložky EU)
     • Google Ireland Limited — Google Drive úložiště pro šifrované zálohy a archivované CSV exporty, Irsko (EU)
     • Zoho Corporation B.V. — Zoho Mail SMTP (transakční e-maily), Nizozemsko (EU)

     Meta Platforms Ireland Limited je využívána výhradně pro marketingové měření na webu Zpracovatele (woodysfetch.com), nikoli při poskytování Služby Správci ani při zpracování osobních údajů návštěvníků jeho e-shopu. Není sub-zpracovatelem v rámci této DPA a je v seznamu uvedena pouze pro úplnost a transparentnost.

     Self-hosted komponenty (Meilisearch, MariaDB, Redis) provozované na infrastruktuře Hetzner nejsou samostatnými sub-zpracovateli; data jsou pokryta sub-zpracovatelskou rolí Hetzner Online GmbH.

5. Pomáhat Správci při plnění povinností dle čl. 32–36 GDPR (zabezpečení, ohlašování incidentů, posouzení vlivu).
6. Po ukončení zpracování smazat veškeré osobní údaje, pokud právní předpisy nevyžadují jejich uchovávání.
7. Poskytnout Správci veškeré informace potřebné k doložení souladu s čl. 28 GDPR.

3.6 Vrácení a zničení údajů po ukončení

1. Po ukončení smluvního vztahu (zrušení předplatného, vypršení účtu) Zpracovatel:
   • do 30 dnů smaže veškeré osobní údaje návštěvníků e-shopu Správce z produkčních systémů,
   • do 60 dnů smaže údaje ze záloh (v rámci běžné rotace záloh),
   • zachová pouze plně agregované statistiky (souhrnné počty vyhledávání, průměrné CTR za celou platformu) bez vazby na konkrétního Správce ani konkrétního návštěvníka.
2. Na písemnou žádost Správce (e-mailem na [email protected]) Zpracovatel:
   • provede předčasný výmaz údajů i před uplynutím 30denní lhůty,
   • poskytne Správci písemné potvrzení o provedení výmazu.
3. Zpracovatel si může ponechat údaje, které je povinen uchovávat na základě právních předpisů (např. pro účely obrany právních nároků), a to po dobu stanovenou příslušným předpisem. O takových údajích informuje Správce.

3.6a Rozhraní AI Buddy (MCP) — postavení mimo subzpracování

Pokud Správce v aplikaci Woody's Fetch aktivuje volitelné rozhraní AI Buddy (MCP — Model Context Protocol) a propojí svůj účet s aplikací třetí strany využívající umělou inteligenci (zejména Claude.ai od Anthropic PBC), data odesílaná této třetí straně jsou předávána z podnětu Správce, nikoli Zpracovatele.

Poskytovatel třetí strany (Anthropic PBC nebo obdobný) zpravidla vystupuje vůči Správci jako samostatný správce údajů, neboť určuje účel a prostředky zpracování v rámci svých vlastních služeb. Z tohoto důvodu není sub-zpracovatelem v rámci této DPA a v seznamu sub-zpracovatelů (čl. 3.5 odst. 4) se v souvislosti s MCP rozhraním neuvádí.

Bližší pravidla použití rozhraní MCP — zejména popis přenášených dat, postavení stran, retence auditního záznamu a postup při změně podmínek třetí strany — upravuje čl. 2.11 Zásad ochrany osobních údajů a samostatná Příloha — AI Buddy / MCP Obchodních podmínek.

3.7 Ohlašování incidentů

V případě porušení zabezpečení osobních údajů Zpracovatel:

1. Informuje Správce bez zbytečného odkladu, nejpozději do 48 hodin od zjištění incidentu.
2. Poskytne Správci veškeré informace potřebné pro splnění ohlašovací povinnosti dle čl. 33 GDPR.

3.8 Audity

Správce má právo provést audit souladu Zpracovatele s touto smlouvou, a to:

• na vlastní náklady,
• po předchozím oznámení alespoň 14 dnů předem,
• v přiměřeném rozsahu, který nenarušuje provoz Služby,
• maximálně jednou ročně, pokud nedojde k bezpečnostnímu incidentu.

Audit nesmí vést k narušení bezpečnosti, dostupnosti nebo důvěrnosti dat jiných zákazníků ani k přístupu ke zdrojovému kódu, interním bezpečnostním mechanismům nebo obchodnímu tajemství Zpracovatele nad nezbytný rozsah. Penetrační testy nebo přístup k infrastruktuře vyžadují samostatnou písemnou dohodu.

Zpracovatel je oprávněn nejprve nabídnout doložení souladu formou dokumentace, self-assessmentu nebo odpovědi na bezpečnostní dotazník Správce. Tím však není dotčeno právo Správce požadovat přiměřený audit dle čl. 28 odst. 3 písm. h) GDPR, pokud takové doložení není dostačující. V takovém případě strany v dobré víře dohodnou rozsah, formu a termín auditu, který bude přiměřený rizikům zpracování a velikosti obou stran.

3.9 Odpovědnost a odškodnění

1. Zpracovatel odpovídá za škodu způsobenou zpracováním pouze v případě, že nesplnil povinnosti uložené GDPR výslovně zpracovatelům nebo jednal nad rámec pokynů Správce.
2. Správce odpovídá za zákonnost získání a předání osobních údajů Zpracovateli, za splnění informační povinnosti vůči subjektům údajů (čl. 13 a 14 GDPR) a za určení právního základu zpracování.
3. Každá strana nese odpovědnost za porušení povinností, které jí ukládají přímo právní předpisy nebo tato smlouva.
4. V případě, že se třetí osoba (subjekt údajů) obrátí s nárokem na Zpracovatele, Zpracovatel neprodleně informuje Správce a strany spolupracují na vyřešení nároku.