Zpracovatelská smlouva

Zpracovatel: Jiří Joneš, IČO: 10785922, adresa: Rostovská 698/6, 101 00 Praha 10, Česká republika (dále jen „Provozovatel" nebo „Zpracovatel")

Správce: uživatel aplikace Živnostník.art, který do aplikace vkládá osobní údaje svých klientů, dodavatelů a dalších třetích osob (dále jen „Uživatel" nebo „Správce")

Tato smlouva je nedílnou součástí smluvního vztahu vzniklého přijetím Obchodních podmínek Živnostník.art. Používáním aplikace Uživatel potvrzuje, že s touto smlouvou souhlasí.

Provozovatel jakožto Zpracovatel zpracovává osobní údaje klientů, dodavatelů a dalších třetích osob Uživatele (jakožto Správce), a to výhradně za účelem poskytování aplikace Živnostník.art a s tím spojených funkcí.

Uživatel tímto uděluje Provozovateli oprávnění zpracovávat osobní údaje třetích osob v rozsahu a za podmínek stanovených touto smlouvou.

Kategorie subjektů údajů: klienti Uživatele, dodavatelé Uživatele, další obchodní partneři Uživatele

Kategorie osobních údajů:

• Identifikační údaje: jméno, příjmení, obchodní firma, IČO, DIČ
• Kontaktní údaje: e-mailová adresa, telefonní číslo
• Adresní údaje: ulice, město, PSČ, stát
• Finanční údaje: číslo bankovního účtu, fakturované částky, platební podmínky
• Smluvní dokumentace: obsah smluv, objednávek a předávacích protokolů

Povaha zpracování: ukládání, zobrazování, úprava, export, mazání

Účel zpracování: výhradně poskytování funkcí aplikace Živnostník.art (správa faktur, CRM klientů, generování dokumentů, odesílání e-mailů jménem Uživatele)

Doba zpracování: po dobu trvání uživatelského účtu Správce a dále dle zákonných retenčních lhůt (viz Zásady ochrany osobních údajů, sekce 6)

Provozovatel se zavazuje:

• Zpracovávat osobní údaje výhradně na základě doložených pokynů Uživatele, není-li ke zpracování povinen právem EU nebo členského státu
• Zajistit, aby osoby oprávněné zpracovávat osobní údaje byly vázány povinností mlčenlivosti
• Přijmout veškerá technická a organizační opatření dle čl. 32 GDPR — zejména šifrování dat v klidu a při přenosu (TLS), Row-Level Security, řízení přístupu
• Respektovat podmínky pro zapojení dalšího zpracovatele (viz sekce 5)
• Zohledňovat povahu zpracování a být Uživateli nápomocen při plnění jeho povinností vůči subjektům údajů (práva dle čl. 15–22 GDPR)
• Po ukončení poskytování služeb na žádost Uživatele všechny osobní údaje vymazat nebo vrátit, a vymazat existující kopie, pokud právní předpisy EU nebo členského státu nevyžadují jejich uložení
• Poskytovat Uživateli veškeré informace potřebné k doložení souladu s povinnostmi stanovenými v čl. 28 GDPR a umožnit audity a kontroly prováděné Uživatelem nebo jiným auditorem pověřeným Uživatelem
• Neprodleně informovat Uživatele, pokud má za to, že pokyn Uživatele porušuje GDPR nebo jiné předpisy EU nebo členského státu týkající se ochrany osobních údajů

Uživatel tímto uděluje obecné oprávnění k zapojení dalších zpracovatelů. Aktuální seznam dalších zpracovatelů:

• Supabase Inc. (EU — Frankfurt, Německo) — databáze a autentizace
• Anthropic PBC (USA) — zpracování dotazů AI asistenta
• Resend Inc. (USA) — odesílání e-mailů
• Vercel Inc. (USA) — hosting aplikace
• Upstash Inc. (USA) — plánování upomínek (QStash)
• Stripe Payments Europe, Ltd (EU — Irsko) — zpracování plateb a správa předplatného
• Google LLC (USA) — přihlášení přes Google OAuth; přenosy do USA zajištěny SCCs

Provozovatel informuje Uživatele o veškerých zamýšlených změnách týkajících se přijetí nových nebo nahrazení stávajících dalších zpracovatelů, a to e-mailem nebo oznámením v aplikaci nejméně 14 dní předem. Uživatel má právo vznést námitku proti takovým změnám.

Všichni další zpracovatelé jsou vázáni smluvními zárukami dle čl. 28 odst. 4 GDPR. Přenosy osobních údajů mimo EHP jsou zajištěny standardními smluvními doložkami (SCCs) dle prováděcího rozhodnutí Komise 2021/914, modul 2 (správce–zpracovatel).

Uživatel se zavazuje:

• Zpracovávat osobní údaje třetích osob v aplikaci pouze v souladu s platnými právními předpisy o ochraně osobních údajů
• Zajistit odpovídající právní základ pro předání osobních údajů třetích osob do aplikace (např. plnění smlouvy, oprávněný zájem)
• Splnit informační povinnost vůči svým klientům a dodavatelům, jejichž údaje do aplikace vkládá, včetně informace o předání dat zpracovateli
• Nevkládat do aplikace zvláštní kategorie osobních údajů dle čl. 9 GDPR (zdravotní údaje, rodná čísla, biometrické údaje apod.) ani osobní údaje osob mladších 16 let

V případě zjištění porušení zabezpečení osobních údajů Provozovatel neprodleně, nejpozději do 72 hodin od zjištění, informuje Uživatele e-mailem na adresu registrovanou v aplikaci. Oznámení bude obsahovat:

• popis povahy porušení zabezpečení
• kategorii a přibližný počet dotčených subjektů a záznamů údajů
• jméno a kontaktní údaje osoby, od níž lze získat více informací
• popis pravděpodobných důsledků porušení
• popis opatření přijatých nebo navrhovaných k nápravě

Tato smlouva je platná po dobu trvání uživatelského účtu v aplikaci Živnostník.art. Zrušením uživatelského účtu smlouva zaniká. Povinnosti Provozovatele týkající se důvěrnosti a zabezpečení trvají i po zániku smlouvy.

Veškeré žádosti a oznámení týkající se této smlouvy zasílejte na jonesjiri@gmail.com.