Smlouva o zpracování osobních údajů
(Data Processing Agreement / DPA)
Poslední aktualizace: 31. 12. 2025
Tato smlouva je součástí Obchodních podmínek pro firmy a vstupuje v platnost uzavřením firemního předplatného. Pro individuální podpis kontaktujte firmy@ctu.to.
1. Smluvní strany
Zpracovatel:
punkový digitál s.r.o., IČO: 21830886
Sídlo: Jaurisova 515/4, 140 00 Praha
(dále jen „Zpracovatel" nebo „Čtuto")
Správce:
Organizace, která uzavřela firemní předplatné služby Čtuto
(dále jen „Správce" nebo „Odběratel")
2. Předmět smlouvy
Tato smlouva upravuje zpracování osobních údajů zaměstnanců a členů organizace Správce v rámci poskytování služby Čtuto pro firmy v souladu s Nařízením (EU) 2016/679 (GDPR).
3. Zpracovávané osobní údaje
3.1 Kategorie subjektů údajů
- Zaměstnanci a členové organizace Správce
- Administrátoři firemního účtu
3.2 Typy zpracovávaných údajů
- Identifikační údaje: jméno, e-mailová adresa
- Přístupové údaje: heslo (hashované), přihlašovací tokeny
- Údaje o aktivitě: historie čtení, pokrok, zvýraznění
- Technické údaje: IP adresa, typ zařízení, prohlížeč
3.3 Účely zpracování
- Poskytování přístupu ke službě Čtuto
- Správa uživatelských účtů a přístupů
- Generování agregované analytiky pro administrátory
- Technická podpora a řešení problémů
- Zabezpečení služby a prevence zneužití
4. Povinnosti Zpracovatele
Zpracovatel se zavazuje:
- Zpracovávat osobní údaje pouze na základě dokumentovaných pokynů Správce
- Zajistit, aby osoby oprávněné zpracovávat osobní údaje byly vázány povinností mlčenlivosti
- Přijmout veškerá technická a organizační opatření k zabezpečení osobních údajů (čl. 32 GDPR)
- Nepověřit dalšího zpracovatele bez předchozího písemného souhlasu Správce
- Být Správci nápomocen při plnění povinností vůči subjektům údajů
- Po ukončení zpracování osobní údaje vymazat nebo vrátit (dle volby Správce)
- Poskytnout Správci veškeré informace potřebné k doložení souladu s GDPR
5. Bezpečnostní opatření
Zpracovatel implementuje následující bezpečnostní opatření:
5.1 Technická opatření
- Šifrování dat v přenosu (TLS 1.3)
- Šifrování dat v klidu (AES-256)
- Hashování hesel (bcrypt)
- Pravidelné bezpečnostní zálohy
- Monitoring a detekce hrozeb
- Pravidelné aktualizace a záplaty
5.2 Organizační opatření
- Omezený přístup k datům (princip need-to-know)
- Školení zaměstnanců v oblasti bezpečnosti
- Dokumentované bezpečnostní postupy
- Plán reakce na bezpečnostní incidenty
6. Další zpracovatelé (sub-processors)
Správce tímto uděluje obecný souhlas s využitím dalších zpracovatelů za podmínky, že Zpracovatel:
- Uzavře s každým dalším zpracovatelem smlouvu o zpracování
- Informuje Správce o změnách v seznamu dalších zpracovatelů
- Zůstane plně odpovědný za plnění povinností dalšími zpracovateli
Aktuální seznam dalších zpracovatelů:
| Zpracovatel | Účel | Umístění |
|---|---|---|
| Google Cloud (Firebase) | Hostování, databáze, autentizace | EU (Frankfurt) |
| Stripe | Platební brána | EU/USA (SCC) |
| Vercel | Hosting webové aplikace | EU (Frankfurt) |
| SendGrid | Transakční e-maily | USA (SCC) |
SCC = Standardní smluvní doložky pro mezinárodní přenosy dat
7. Mezinárodní přenosy dat
Některé údaje mohou být přeneseny mimo EU/EHP. V těchto případech jsou přenosy zajištěny:
- Standardními smluvními doložkami (SCC) schválenými Evropskou komisí
- Rozhodnutím o odpovídající ochraně (pokud existuje)
- Závaznými podnikovými pravidly (BCR) zpracovatele
8. Práva subjektů údajů
Zpracovatel je povinen být Správci nápomocen při vyřizování žádostí subjektů údajů o:
- Přístup k osobním údajům
- Opravu nepřesných údajů
- Výmaz údajů („právo být zapomenut")
- Omezení zpracování
- Přenositelnost údajů
- Námitku proti zpracování
9. Bezpečnostní incidenty
V případě porušení zabezpečení osobních údajů Zpracovatel:
- Oznámí incident Správci bez zbytečného odkladu (nejpozději do 24 hodin)
- Poskytne veškeré informace potřebné pro oznámení dozorovému úřadu
- Spolupracuje při zmírnění následků a prevenci budoucích incidentů
10. Doba uchování a výmaz
- Údaje jsou uchovávány po dobu trvání předplatného
- Po ukončení jsou údaje automaticky vymazány do 30 dnů
- Na žádost Správce může být proveden dřívější výmaz nebo export dat
- Anonymizovaná data mohou být uchována pro statistické účely
11. Audity a kontroly
Správce má právo provádět audity souladu s touto smlouvou. Zpracovatel:
- Poskytne na vyžádání dokumentaci o bezpečnostních opatřeních
- Umožní audit s předchozím oznámením (min. 14 dní)
- Na vyžádání poskytne certifikáty nebo zprávy z nezávislých auditů
12. Doba platnosti
Tato smlouva je platná po dobu trvání firemního předplatného. Povinnosti týkající se důvěrnosti a bezpečnosti přetrvávají i po ukončení smlouvy.
13. Kontakt
Pověřenec pro ochranu osobních údajů (DPO):
Email: gdpr@ctu.to
Firemní zákazníci:
Email: firmy@ctu.to