Smlouva o zpracování osobních údajů

Sigma System • Verze: 1.2 • Platnost od: 1. 6. 2026 • Zpracovatel: Tomáš Gončár, IČO: 10802061, Frýdecká 1535, 739 32 Vratimov

Obsah

Úvodní ustanovení a role stran
Předmět a rozsah zpracování
Povinnosti správce (zákazníka)
Povinnosti zpracovatele
Sub-zpracovatelé
Bezpečnost zpracování
Porušení zabezpečení
Práva subjektů údajů
Přeshraniční předávání dat
Ukončení smlouvy a výmaz dat
Odpovědnost a odškodnění
Závěrečná ustanovení

1. Úvodní ustanovení a role stran

Tato Smlouva o zpracování osobních údajů (dále „Smlouva") je uzavřena dle čl. 28 nařízení Evropského parlamentu a Rady (EU) 2016/679 (dále „GDPR") a tvoří nedílnou součást Všeobecných obchodních podmínek Sigma System (dále „VOP").

Přijetím VOP nebo registrací v Aplikaci zákazník (dále „Správce") potvrzuje uzavření této Smlouvy se Zpracovatelem.

Zpracovatel: Tomáš Gončár, IČO 10802061, Frýdecká 1535, 739 32 Vratimov (provozovatel Sigma System).
Správce: zákazník — fyzická nebo právnická osoba, která využívá Aplikaci a určuje účely a prostředky zpracování osobních údajů svých zákazníků.

Klíčový princip: Správce rozhoduje co, proč a jak dlouho se zpracovává. Zpracovatel zpracovává výhradně na základě doložených pokynů Správce. Za zákonnost zpracování odpovídá primárně Správce.

2. Předmět a rozsah zpracování

2.1 Účel zpracování

Zpracovatel zpracovává osobní údaje výhradně za účelem poskytování služeb Sigma System dle VOP — tj. provoz aplikace, technická podpora, zálohování a zajištění dostupnosti dat Správce.

2.2 Kategorie subjektů údajů

Zpracování se může týkat osobních údajů zákazníků, obchodních partnerů a zaměstnanců Správce, které Správce do Aplikace sám vloží nebo importuje.

2.3 Kategorie osobních údajů

Rozsah zpracovávaných osobních údajů určuje výhradně Správce. Zpracovatel nezná ani nekontroluje, jaká konkrétní data Správce do Aplikace ukládá. Typicky se může jednat o:

Identifikační údaje (jméno, příjmení, název firmy, IČO)
Kontaktní údaje (adresa, telefon, email)
Provozní údaje (registrační značka vozidla, VIN, servisní záznamy)
Finanční údaje (čísla faktur, výše plnění)
Jakékoli další údaje, které Správce do Aplikace vloží

Zpracovatel výslovně nezpracovává zvláštní kategorie osobních údajů dle čl. 9 GDPR (zdravotní stav, biometrika apod.) a Správce je povinen taková data do Aplikace nevkládat.

2.4 Doba zpracování

Zpracovatel zpracovává osobní údaje po dobu trvání smluvního vztahu se Správcem a dále po dobu nezbytnou k plnění zákonných povinností, nejdéle však dle čl. 10 VOP (zálohy max. 90 dní po ukončení smlouvy).

3. Povinnosti správce

Správce je jako jediný subjekt oprávněný určovat účel a prostředky zpracování plně odpovědný za:

Zajištění zákonného právního titulu pro zpracování osobních údajů svých zákazníků (souhlas, oprávněný zájem, plnění smlouvy apod.) dle čl. 6 GDPR.
Plnění informační povinnosti vůči svým zákazníkům (subjektům údajů) dle čl. 13 a 14 GDPR.
Zajištění, že do Aplikace jsou vkládána pouze data, k jejichž zpracování má Správce zákonný titul.
Veškerá rozhodnutí o tom, jaká data, v jakém rozsahu a jak dlouho jsou v Aplikaci uchovávána.
Školení svých zaměstnanců a sub-uživatelů v oblasti GDPR.
Vedení záznamu o činnostech zpracování dle čl. 30 GDPR na straně Správce.
Neprodlené informování Zpracovatele o jakémkoli sporu nebo šetření ze strany dozorového úřadu (ÚOOÚ) týkajícím se dat zpracovávaných v Aplikaci.

Správce bere na vědomí, že Zpracovatel nemá přístup k obsahu dat vložených do Aplikace za účelem jejich čtení, analýzy nebo sdílení s třetími stranami, s výjimkou technicky nezbytných operací (zálohy, migrace, odstraňování chyb).

4. Povinnosti zpracovatele

Zpracovatel se zavazuje:

Zpracovávat osobní údaje výhradně na základě doložených pokynů Správce a pouze pro účely dle čl. 2.1 této Smlouvy.
Zajistit, aby osoby oprávněné zpracovávat osobní údaje byly vázány povinností mlčenlivosti.
Nepředávat osobní údaje třetím stranám bez písemného souhlasu Správce, s výjimkou sub-zpracovatelů dle čl. 5 a zákonných povinností.
Informovat Správce, pokud se Zpracovatel domnívá, že pokyn Správce porušuje GDPR nebo jiné právní předpisy — Zpracovatel však nenese odpovědnost za obsah a zákonnost pokynů Správce.
Poskytnout Správci na vyžádání veškeré informace nezbytné k prokázání souladu s čl. 28 GDPR.
Umožnit audit ze strany Správce nebo jím pověřeného auditora max. 1× ročně, s písemným oznámením min. 30 dní předem, v rozsahu max. 8 pracovních hodin, na náklady Správce. Zpracovatel může odmítnout auditora, který je přímým konkurentem.

5. Sub-zpracovatelé

Správce uděluje Zpracovateli obecné písemné oprávnění zapojit sub-zpracovatele. Aktuální seznam sub-zpracovatelů:

Sub-zpracovatel	Služba	Umístění dat
WEDOS Internet, a.s.	Hosting a zálohy	ČR (Hluboká nad Vltavou)
Poskytovatel SMS brány	SMS notifikace zákazníkům	EU
Poskytovatel emailové brány	Transakční emaily	EU

Zpracovatel informuje Správce o plánované změně nebo přidání sub-zpracovatele s předstihem minimálně 14 dní. Správce může vznést odůvodněné námitky; nedojde-li k dohodě, má právo smlouvu ukončit. Zpracovatel odpovídá za sub-zpracovatele v rozsahu vlastních závazků dle této Smlouvy.

6. Bezpečnost zpracování

Zpracovatel přijal přiměřená technická a organizační opatření dle čl. 32 GDPR k zajištění úrovně zabezpečení odpovídající riziku, zejména:

Šifrování přenosu dat (HTTPS / TLS)
Hashování hesel (jednosměrné šifrování)
Denní zálohy s retencí 90 dní
Přístupová oprávnění na principu nejmenších nutných práv
Logování přístupů a změn
Pravidelná aktualizace softwarových závislostí

Zpracovatel nezaručuje absolutní bezpečnost dat. Správce bere na vědomí, že žádný systém není stoprocentně odolný vůči kybernetickým útokům, a přijímá toto riziko.

Správce je odpovědný za bezpečnost přihlašovacích údajů na své straně a za bezpečné chování svých uživatelů.

7. Porušení zabezpečení osobních údajů

V případě zjištěného porušení zabezpečení osobních údajů Zpracovatel:

Neprodleně, nejpozději do 72 hodin od zjištění, oznámí incident Správci na jeho registrovanou emailovou adresu.
Oznámení bude obsahovat: popis povahy incidentu, přibližný počet dotčených subjektů, přijatá a plánovaná nápravná opatření.
Zpracovatel nenese odpovědnost za oznamovací povinnost Správce vůči ÚOOÚ dle čl. 33 GDPR ani vůči subjektům údajů dle čl. 34 GDPR — tato povinnost náleží výhradně Správci.
Zpracovatel neodpovídá za incident způsobený: kompromitací přihlašovacích údajů Správce nebo jeho uživatelů, jednáním Správce, jeho zaměstnanců nebo třetích stran mimo přímou kontrolu Zpracovatele.

8. Práva subjektů údajů

Veškeré žádosti subjektů údajů (zákazníků Správce) týkající se jejich práv dle GDPR (přístup, oprava, výmaz, přenositelnost, omezení zpracování, námitka) jsou výhradní odpovědností Správce.

Obdrží-li Zpracovatel žádost subjektu údajů přímo, přepošle ji Správci bez zbytečného odkladu. Zpracovatel subjektu údajů sám neodpoví ani data nevydá bez výslovného pokynu Správce, pokud mu to neukládá zákon.

Zpracovatel poskytne Správci přiměřenou technickou asistenci při plnění povinností vůči subjektům údajů — nad rámec standardní podpory za sjednaný poplatek.

9. Přeshraniční předávání dat

Zpracovatel zpracovává osobní údaje výhradně na území EU/EHP. Veškerá data jsou uložena v datových centrech v České republice.

Dojde-li z technických nebo provozních důvodů k předání dat mimo EU/EHP, Zpracovatel zajistí odpovídající záruky dle čl. 46 GDPR (standardní smluvní doložky nebo rovnocenný mechanismus) a Správce o tom předem informuje.

10. Ukončení smlouvy a výmaz dat

Po ukončení smluvního vztahu dle VOP Zpracovatel:

Po dobu 30 dní od ukončení umožní Správci export jeho dat.
Po uplynutí 30 dní smaže aktivní data Správce z produkčních systémů.
Zálohy obsahující data Správce budou trvale přepsány do 90 dní od ukončení smlouvy.
Na písemnou žádost Správce vydá potvrzení o výmazu dat.

Zpracovatel není povinen data archivovat déle, než stanoví tato Smlouva, pokud mu to výslovně neukládá zákon (daňové předpisy apod.).

11. Odpovědnost a odškodnění

Zpracovatel odpovídá za škody způsobené zpracováním osobních údajů pouze tehdy, pokud prokazatelně porušil povinnosti stanovené přímo Zpracovateli nařízením GDPR nebo touto Smlouvou.

Zpracovatel neodpovídá za:

Škody vzniklé v důsledku pokynů Správce, které Zpracovatel byl povinen provést.
Nedostatky na straně Správce — zejména absenci právního titulu, chybnou informační povinnost vůči subjektům údajů, nebo nezákonný obsah dat vložených do Aplikace.
Sankce ÚOOÚ nebo jiného dozorového úřadu uložené Správci z důvodů na jeho straně.
Jednání sub-zpracovatelů, pokud Zpracovatel přijal přiměřená opatření k jejich smluvnímu zavázání.
Jakékoli nepřímé škody, ušlý zisk nebo ztrátu dat způsobenou okolnostmi mimo přímou kontrolu Zpracovatele.

Maximální celková odpovědnost Zpracovatele z titulu této Smlouvy je omezena na výši předplatného uhrazeného Správcem za poslední 3 měsíce před vznikem škodné události.

Správce se zavazuje odškodnit Zpracovatele za veškeré pokuty, sankce, nároky a náklady (včetně nákladů na právní zastoupení) uložené Zpracovateli orgány dohledu nebo třetími stranami v důsledku porušení GDPR na straně Správce.

12. Závěrečná ustanovení

Tato Smlouva je nedílnou součástí VOP Sigma System a nabývá účinnosti současně s nimi — tj. registrací nebo přijetím VOP.
V případě rozporu mezi touto Smlouvou a VOP má tato Smlouva přednost v otázkách zpracování osobních údajů.
Změny Smlouvy se řídí podmínkami pro změnu VOP (min. 15 dní předem).
Rozhodné právo: Česká republika. Příslušný soud dle sídla Zpracovatele.
Tato Smlouva je vyhotovena v českém jazyce; česká verze je závazná.