Tato zpracovatelská smlouva (Data Processing Agreement, dále jen „Smlouva“) je nedílnou součástí Obchodních podmínek služby VimiaCRM a upravuje zpracování osobních údajů podle čl. 28 nařízení EU 2016/679 (GDPR). Uživatel ji akceptuje registrací do služby.
1. Smluvní strany a role
Uživatel služby (dále jen „Správce“) vkládá do VimiaCRM osobní údaje svých klientů a obchodních kontaktů. O účelu a prostředcích jejich zpracování rozhoduje Správce.
Provozovatel služby (dále jen „Zpracovatel“):
- Kalendo a.s.
- IČO: 23231122
- Sídlo: K Sekance 552, 252 09 Hradištko
- zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 29674
- Kontakt: [email protected]
Pro osobní údaje, které Správce do služby vloží, vystupuje provozovatel jako zpracovatel. (Pro údaje o samotných uživatelích služby — registrace, fakturace předplatného — je provozovatel správcem; to upravují Zásady ochrany osobních údajů.)
2. Předmět, doba, povaha a účel zpracování
- Předmět: zpracování osobních údajů vložených Správcem do služby VimiaCRM.
- Doba: po dobu trvání uživatelského účtu Správce.
- Povaha: uložení, zobrazení, strukturování, vyhledávání, předání (odeslání e-mailu klientovi, push notifikace), automatizované vytěžení (párování plateb) a výmaz.
- Účel: poskytování funkcí služby — správa klientů a leadů, projekty, evidence času, fakturace, párování příchozích plateb, připomínky.
3. Typ osobních údajů a kategorie subjektů údajů
- Subjekty údajů: klienti, leady a obchodní kontakty Správce; případně plátci uvedení v bankovních notifikacích Správce.
- Typ údajů: identifikační a kontaktní údaje (jméno, e-mail, telefon, adresa, IČO/DIČ), fakturační a platební údaje (čísla dokladů, částky, variabilní symboly, jméno plátce), obsah komunikace a poznámek a soubory (podklady) nahrané k projektům, které Správce do služby vloží.
Služba není určena pro zvláštní kategorie údajů (čl. 9 GDPR — např. zdravotní údaje); Správce se zavazuje takové údaje do služby nevkládat.
4. Pokyny Správce
Zpracovatel zpracovává osobní údaje pouze na základě doložených pokynů Správce. Pokynem se rozumí použití funkcí služby (vložení, úprava, odeslání, smazání dat) a ustanovení této Smlouvy. Zpracovatel Správce informuje, pokud podle jeho názoru určitý pokyn porušuje GDPR nebo jiné předpisy o ochraně údajů.
5. Povinnosti Zpracovatele
Zpracovatel se zavazuje:
- zajistit, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti;
- přijmout technická a organizační opatření dle čl. 32 GDPR — šifrování v přenosu (TLS) i v klidu, row-level security (každý uživatel vidí jen svá data), řízení přístupů, minimalizace a automatický výmaz dat (viz Zásady);
- poskytnout Správci součinnost při vyřizování žádostí subjektů údajů(přístup, oprava, výmaz aj.) — primárně samoobslužně přímo funkcemi aplikace, jinak na vyžádání na [email protected];
- poskytnout součinnost při zabezpečení zpracování, ohlašování porušení zabezpečení a posouzení vlivu (DPIA); porušení zabezpečení, které se týká údajů Správce, oznámí Zpracovatel Správci bez zbytečného odkladu po jeho zjištění;
- po ukončení poskytování služby osobní údaje smazat (viz čl. 8);
- poskytnout Správci informace potřebné k doložení souladu s čl. 28 GDPR a umožnit audit (viz čl. 9).
6. Sub-zpracovatelé
Správce uděluje Zpracovateli obecné povolení k zapojení dalších zpracovatelů (sub-zpracovatelů). Zpracovatel jim smluvně uloží stejné povinnosti ochrany údajů, jaké plynou z této Smlouvy, a odpovídá Správci za jejich plnění.
Aktuální seznam sub-zpracovatelů:
- Supabase Inc. (USA, servery v EU) — databáze a autentizace
- Hetzner Online GmbH (Německo, EU) — serverová infrastruktura (hosting aplikace)
- Cloudflare, Inc. (USA) — DNS a směrování síťového provozu
- Mailgun Technologies Inc. (USA) — příjem e-mailových notifikací o platbách (jen při aktivaci párování plateb)
- OpenRouter, Inc. (USA) a provozovatel jazykového modelu Google — strojové vytěžení bankovních notifikací (jen při aktivaci párování plateb; bez ukládání a trénování na datech, e-mailové adresy se před odesláním redigují)
- Seznam.cz, a.s. (ČR) — SMTP server pro odesílání faktur a dokladů e-mailem klientům Správce
- Google (FCM), Apple (APNs), Mozilla — doručování push notifikací (obsah notifikace může nést jméno klienta a částku)
- Sentry (Functional Software, Inc.) (USA) — sledování chyb aplikace (pseudonymizováno)
O zamýšlené změně sub-zpracovatelů informuje Zpracovatel Správce e-mailem nebo upozorněním v aplikaci nejméně 14 dní předem. Správce může proti změně vznést námitku; nedojde-li k dohodě, může smlouvu o užívání služby vypovědět před účinností změny.
7. Předávání do třetích zemí
Někteří sub-zpracovatelé sídlí mimo EU/EHP (USA). Předání se opírá o rozhodnutí o odpovídající ochraně (EU‑US Data Privacy Framework) a/nebo standardní smluvní doložky (SCC) dle čl. 46 GDPR.
8. Výmaz a vrácení údajů po ukončení
Správce si může kdykoli stáhnout kompletní kopii dat ve strojově čitelném formátu (JSON) přímo v aplikaci (Nastavení → Export dat); soubory nahrané k projektům lze stáhnout jednotlivě u příslušného projektu. Při zrušení účtu jsou veškerá data — včetně dokladů vystavených Správcem a nahraných souborů — trvale smazána; ze záloh zmizí nejpozději do 30 dnů. Archivace vlastních účetních dokladů je zákonnou povinností Správce, proto doporučujeme provést export před zrušením účtu.
9. Audit
Zpracovatel poskytne Správci na vyžádání informace nezbytné k doložení plnění povinností dle čl. 28 GDPR. Audit nebo inspekci lze provést po předchozí písemné dohodě o termínu a rozsahu, maximálně jednou ročně, v běžné pracovní době a bez nepřiměřeného narušení provozu; náklady auditu nese Správce.
10. Závěrečná ustanovení
Tato Smlouva se řídí českým právem a trvá po dobu trvání smlouvy o užívání služby. Změny Smlouvy se řídí stejným režimem jako změny Obchodních podmínek (oznámení předem + právo smlouvu vypovědět).