Zmluva o spracovaní osobných údajov

Data Processing Agreement (DPA) — GDPR čl. 28

Verzia 1.0 · Platná od 1. januára 2025

1. Zmluvné strany

Spracovateľ:
[DOPLŇTE: Meno/Názov prevádzkovateľa aplikácie]
[DOPLŇTE: Adresa]
IČO: [DOPLŇTE: IČO]
(ďalej len „Spracovateľ" alebo „Poskytovateľ aplikácie")

Prevádzkovateľ:
Firma registrovaná v systéme HVAC InManager na adrese hetaxe.com
(ďalej len „Prevádzkovateľ" alebo „Zákazník")

2. Predmet zmluvy

Táto zmluva upravuje podmienky, za ktorých Spracovateľ spracúva osobné údaje v mene Prevádzkovateľa pri poskytovaní softvérovej služby HVAC InManager — systému správy zákazníkov, zariadení a servisných záznamov.

3. Rozsah a účel spracovania

Spracovateľ spracúva nasledovné kategórie osobných údajov:

  • Identifikačné údaje zákazníkov (meno, priezvisko)
  • Kontaktné údaje (adresa, telefón, email)
  • Údaje o zariadeniach a servisnej histórii
  • Fotografie zariadení (môžu obsahovať osobné identifikátory)

Účel spracovania: vedenie evidencie zákazníkov, zariadení a servisných záznamov v mene Prevádzkovateľa.

4. Povinnosti Spracovateľa

Spracovateľ sa zaväzuje:

  • Spracúvať osobné údaje výlučne na základe zdokumentovaných pokynov Prevádzkovateľa
  • Zabezpečiť, že osoby oprávnené spracúvať osobné údaje sú viazané povinnosťou mlčanlivosti
  • Prijať všetky opatrenia podľa čl. 32 GDPR (technické a organizačné bezpečnostné opatrenia)
  • Neposkytnúť osobné údaje Prevádzkovateľa tretím stranám bez jeho súhlasu
  • Poskytnúť súčinnosť pri plnení povinností podľa čl. 32–36 GDPR
  • Po ukončení poskytovania služieb vymazať alebo vrátiť všetky osobné údaje
  • Poskytnúť Prevádzkovateľovi všetky informácie potrebné na preukázanie súladu s GDPR

5. Technické a organizačné opatrenia

Spracovateľ zabezpečuje ochranu osobných údajov prostredníctvom:

  • Šifrovania prenosu dát (TLS/HTTPS)
  • Izolácie dát medzi zákazníkmi (multi-tenant architektúra s identifikátorom tenanta)
  • Autentifikácie pomocou JWT tokenov s obmedzenou platnosťou
  • Logovania prístupov a zmien pre auditné účely
  • Možnosti biometrickej autentifikácie (WebAuthn)
  • Pravidelných záloh databázy (Neon PostgreSQL)

6. Subdodávatelia (podspracúvatelia)

Spracovateľ využíva nasledovných podspracovateľov:

SpoločnosťÚčelKrajina
Vercel Inc.Hosting aplikácieUSA (SCCs)
Neon Inc.Databáza PostgreSQLUSA (SCCs)
Microsoft AzureOCR rozpoznávanie štítkovEÚ/USA
Resend Inc.Odosielanie emailov (voliteľné)USA (SCCs)

SCCs = Štandardné zmluvné doložky EÚ pre prenos dát do tretích krajín

7. Práva dotknutých osôb

Prevádzkovateľ je zodpovedný za vybavovanie žiadostí dotknutých osôb (zákazníkov firmy). Spracovateľ poskytne technickú súčinnosť — konkrétne:

  • Právo na prístup (čl. 15): Export dát zákazníka cez funkciu GDPR export v aplikácii
  • Právo na vymazanie (čl. 17): Soft-delete zákazníka v aplikácii; trvalé vymazanie na žiadosť
  • Právo na prenosnosť (čl. 20): Export vo formáte JSON

8. Porušenie ochrany osobných údajov

V prípade porušenia ochrany osobných údajov Spracovateľ bezodkladne, najneskôr do 72 hodín od zistenia, upovedomí Prevádzkovateľa o porušení vrátane informácií podľa čl. 33 ods. 3 GDPR.

9. Trvanie a ukončenie

Táto zmluva je platná po dobu poskytovania služby HVAC InManager. Po ukončení zmluvy Spracovateľ do 30 dní vymaže všetky osobné údaje Prevádzkovateľa, pokiaľ právne predpisy nevyžadujú ich uchovanie.

10. Rozhodné právo

Táto zmluva sa riadi právom Slovenskej republiky a príslušnými predpismi EÚ, predovšetkým nariadením (EÚ) 2016/679 (GDPR).

⚠️ Právne upozornenie

Tento dokument je šablóna. Pred nasadením do produkcie odporúčame konzultáciu s právnikom špecializujúcim sa na ochranu osobných údajov v SR/EÚ. Doplňte chýbajúce údaje označené [DOPLŇTE].