Zpracování osobních údajů

Zpracovatelská smlouva dle čl. 28 nařízení (EU) 2016/679 (GDPR)
Platné od 1. 6. 2026 · Poslední aktualizace: 1. 6. 2026

1. Smluvní strany a role

Tato smlouva o zpracování osobních údajů (dále jen „DPA") je uzavřena mezi:

  • Správce— zákazník, který používá službu Visitors SafetyFrog a zadává do ní osobní údaje návštěvníků svého pracoviště (dále jen „Správce").
  • Zpracovatel— Ing. Vít Hofman, IČO: 020 65 681, se sídlem Města Mayen 1536, 686 01 Uherské Hradiště, provozovatel služby na adrese visitors.safetyfrog.cz (dále jen „Zpracovatel").

Registrací a používáním Služby Správce uzavírá s Zpracovatelem tuto DPA jako nedílnou součást Podmínek služby.

2. Předmět a účel zpracování

Zpracovatel zpracovává osobní údaje výhradně za účelem poskytování služby elektronické knihy návštěv, a to zejména:

  • Evidence příchodů a odchodů návštěvníků
  • Zasílání pozvánek a notifikací
  • Správa školení a informování o bezpečnostních rizicích
  • Generování evakuačních seznamů
  • Audit log přístupů

Zpracovatel nezpracovává osobní údaje pro žádné jiné účely a neprovádí profilování ani automatizované rozhodování.

3. Kategorie subjektů údajů

  • Návštěvníci — fyzické osoby, které navštěvují pracoviště Správce
  • Kontaktní osoby dodavatelů — zástupci firem navštěvujících pracoviště
  • Uživatelé systému — zaměstnanci Správce s přístupem do aplikace

4. Typy osobních údajů

KategorieKonkrétní údajeÚčel
IdentifikačníJméno, příjmení, pozice/funkceEvidence návštěvy
KontaktníE-mail, telefonZasílání pozvánek a notifikací
FiremníNázev firmy, IČOIdentifikace dodavatele
ProvozníČas příchodu/odchodu, navštívené budovyBezpečnostní evidence, evakuace
ŠkoleníStav absolvování školení, certifikátyPlnění povinností BOZP
Zpracovatel nezpracovává zvláštní kategorie osobních údajů (zdravotní stav, biometrické údaje, údaje o trestních deliktech) ve smyslu čl. 9 a 10 GDPR.

5. Doba zpracování

Zpracovatel zpracovává osobní údaje po dobu:

  • Trvání smluvního vztahu (platného předplatného)
  • 30 dnů po ukončení předplatného (přechodné období pro obnovu)
  • Po uplynutí přechodného období jsou veškerá data trvale smazána

Správce může kdykoliv požádat o dřívější smazání dat na vit.hofman@sawuh.cz.

6. Povinnosti zpracovatele

Zpracovatel se zavazuje:

  1. Zpracovávat osobní údaje pouze na základě doložených pokynů Správce (tj. v rámci funkcí Služby).
  2. Zajistit, aby osoby oprávněné zpracovávat osobní údaje byly vázány povinností mlčenlivosti.
  3. Přijmout veškerá opatření požadovaná dle čl. 32 GDPR (viz čl. 8 této DPA).
  4. Dodržovat podmínky pro zapojení dalších zpracovatelů (viz čl. 7).
  5. Být Správci nápomocen při plnění povinnosti reagovat na žádosti subjektů údajů.
  6. Být Správci nápomocen při zajišťování souladu s čl. 32–36 GDPR.
  7. Na žádost Správce smazat nebo vrátit veškeré osobní údaje po ukončení zpracování.
  8. Poskytnout Správci veškeré informace potřebné k doložení souladu s čl. 28 GDPR.

7. Sub-zpracovatelé

Správce uděluje Zpracovateli obecný souhlas se zapojením sub-zpracovatelů. Zpracovatel informuje Správce o plánovaných změnách sub-zpracovatelů e-mailem minimálně 14 dní předem.

Aktuální seznam sub-zpracovatelů:

Sub-zpracovatelSídloÚčelUmístění dat
Hetzner Online GmbHIndustriestr. 25, 91710 Gunzenhausen, NěmeckoHosting serverů a databázeEU (Falkenstein/Norimberk, Německo)
Hetzner Online GmbHIndustriestr. 25, 91710 Gunzenhausen, NěmeckoObjektové úložiště (S3) — soubory a přílohyEU (Falkenstein, Německo)
Brevo (Sendinblue SAS)106 Boulevard Haussmann, 75008 Paříž, FrancieOdesílání transakčních e-mailůEU (Francie)
Veškerá data jsou uložena a zpracovávána výhradně v rámci EU/EHP. Nedochází k předávání osobních údajů do třetích zemí.

8. Technická a organizační opatření

Zpracovatel implementuje následující opatření k zajištění bezpečnosti zpracování dle čl. 32 GDPR:

8.1 Šifrování

  • Veškerá komunikace je šifrována protokolem TLS 1.2+ (HTTPS)
  • Hesla uživatelů jsou hashována algoritmem bcrypt
  • Databáze je uložena na šifrovaném disku

8.2 Řízení přístupu

  • Autentizace pomocí JWT tokenů s omezenou platností
  • Role-based access control (RBAC) s granulárními oprávněními
  • Izolace dat zákazníků na úrovni databáze (customerId)

8.3 Dostupnost a odolnost

  • Automatické denní zálohy databáze
  • Monitoring dostupnosti serverů
  • Kontejnerizovaná infrastruktura (Docker) s automatickým restartem

8.4 Audit

  • Audit log veškerých operací s osobními údaji
  • Logování přístupů k systému

9. Oznamování porušení zabezpečení

V případě porušení zabezpečení osobních údajů (data breach) Zpracovatel:

  1. Oznámí Správci porušení bez zbytečného odkladu, nejpozději do 48 hodin od zjištění.
  2. Poskytne Správci veškeré informace potřebné pro splnění oznamovací povinnosti vůči dozorovému úřadu (ÚOOÚ) dle čl. 33 GDPR.
  3. Přijme okamžitá opatření k minimalizaci dopadů a zamezení dalšímu porušení.

10. Práva subjektů údajů

Zpracovatel pomáhá Správci plnit povinnosti vůči subjektům údajů, zejména právo na:

  • Přístup (čl. 15) — export dat návštěvníka
  • Opravu (čl. 16) — editace údajů v administraci
  • Výmaz (čl. 17) — smazání záznamu návštěvníka
  • Přenositelnost (čl. 20) — export ve strojově čitelném formátu (CSV)
  • Námitku (čl. 21) — kontaktování provozovatele

Žádosti subjektů údajů přijaté přímo Zpracovatelem budou neprodleně předány Správci.

11. Dozorový úřad

Příslušným dozorovým úřadem je Úřad pro ochranu osobních údajů (ÚOOÚ), Pplk. Sochora 27, 170 00 Praha 7, www.uoou.cz.

12. Kontakt

Pro veškeré záležitosti týkající se zpracování osobních údajů kontaktujte: vit.hofman@sawuh.cz