Smlouva o zpracování osobních údajů (DPA)

Účinnost od: 3. 10. 2025

Tato Smlouva o zpracování osobních údajů (dále jen "DPA" nebo "Smlouva") je uzavřena v souladu s čl. 28 Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen "GDPR") a je nedílnou součástí Obchodních podmínek platformy MONLE.

Smluvní strany

Správce osobních údajů:
Prodejce, který se registroval k užívání platformy MONLE a jehož identifikační údaje jsou uvedeny v registračním formuláři a v potvrzení o aktivaci účtu.
(dále jen "Správce")

a

Zpracovatel osobních údajů:
Ignác Vašek
IČO: 17653398
Sídlo: Vojtova 1030/7, 639 00 Brno
E-mail: privacy@monle.eu
(dále jen "Zpracovatel")

Tato Smlouva nabývá účinnosti okamžikem schválení registrace Prodejce a odsouhlasením Obchodních podmínek platformy MONLE.

1. Předmět a účel zpracování

1. 1.1. Zpracovatel se zavazuje pro Správce zpracovávat osobní údaje za účelem technického a organizačního zajištění fungování prodejního procesu prostřednictvím platformy MONLE, jak je specifikováno v Obchodních podmínkách.
2. 1.2. Zpracování osobních údajů je prováděno výhradně na základě doložených pokynů Správce, které jsou vymezeny touto Smlouvou, Obchodními podmínkami a technickou dokumentací platformy.
3. 1.3. Zpracovatel nezpracovává osobní údaje pro jiné účely, než jsou uvedeny v této Smlouvě, a to ani pro své vlastní účely.

2. Kategorie údajů a subjektů

2.1. Kategorie subjektů údajů

• Kupující (koncový zákazníci Správce): Fyzické osoby, které nakupují zboží od Správce prostřednictvím platformy MONLE.

2.2. Kategorie zpracovávaných osobních údajů

2.3. Citlivé údaje

Zpracovatel NEZPRACOVÁVÁ žádné zvláštní kategorie osobních údajů ve smyslu čl. 9 GDPR (např. údaje o zdravotním stavu, náboženském přesvědčení, biometrické údaje apod.).

3. Doba zpracování

Zpracovatel zpracovává osobní údaje po dobu trvání smluvního vztahu mezi Správcem a Zpracovatelem a dále po dobu nezbytnou pro dokončení všech rozpracovaných objednávek a splnění právních povinností (např. účetní a daňová legislativa).

4. Povinnosti Zpracovatele

Zpracovatel se zavazuje zejména:

1. 4.1. Zpracování pouze na základě pokynů: Zpracovávat osobní údaje pouze na základě doložených pokynů Správce. Pokud by Zpracovatel byl dle práva Unie nebo členského státu povinen osobní údaje zpracovat i jinak, před tímto zpracováním Správce vyrozumí, pokud dotčené právo takové vyrozumění nezakazuje z důvodu důležitého veřejného zájmu.
2. 4.2. Mlčenlivost: Zajistit, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti. Tato povinnost trvá i po skončení pracovního nebo smluvního vztahu.
3. 4.3. Technická a organizační opatření: Přijmout vhodná technická a organizační opatření (TOMs) pro zabezpečení osobních údajů v souladu s čl. 32 GDPR. Detailní popis těchto opatření je uveden v Příloze č. 1 této Smlouvy.
4. 4.4. Další zpracovatelé (sub-zpracovatelé): Správce uděluje Zpracovateli obecné povolení k zapojení dalších zpracovatelů. Seznam sub-zpracovatelů je uveden v Příloze č. 2. Zpracovatel informuje Správce o zamýšlených změnách v tomto seznamu alespoň 30 dnů předem prostřednictvím e-mailu nebo oznámení v administraci platformy.
5. 4.5. Nápomoc Správci: Být Správci nápomocen při:
   • Vyřizování žádostí subjektů údajů o výkon jejich práv (přístup, oprava, výmaz, omezení zpracování, přenositelnost, námitka).
   • Plnění povinností podle čl. 32 až 36 GDPR (bezpečnost zpracování, oznamování porušení zabezpečení, posouzení vlivu na ochranu osobních údajů).
6. 4.6. Oznamování porušení zabezpečení: Bez zbytečného odkladu, nejpozději do 24 hodin od zjištění, oznámit Správci jakékoliv porušení zabezpečení osobních údajů, které může mít za následek riziko pro práva a svobody fyzických osob.
7. 4.7. Evidence zpracovatelských činností: Vést záznamy o kategoriích činností zpracování prováděných jménem Správce v souladu s čl. 30 odst. 2 GDPR.
8. 4.8. Vrácení nebo výmaz údajů: Po ukončení poskytování služeb souvisejících se zpracováním údajů podle výběru Správce buď vymazat všechny osobní údaje, nebo je Správci vrátit, a vymazat existující kopie, pokud právo Unie nebo členského státu nevyžaduje uložení osobních údajů.
9. 4.9. Umožnění auditů: Poskytnout Správci veškeré informace nezbytné k prokázání plnění povinností stanovených tímto článkem a umožnit audity, včetně inspekcí, prováděné Správcem nebo jím pověřeným auditorem, a k těmto auditům přispívat.

5. Práva a povinnosti Správce

1. 5.1. Poskytování pokynů: Správce je povinen poskytovat Zpracovateli jasné a doložené pokyny ke zpracování osobních údajů.
2. 5.2. Odpovědnost vůči subjektům údajů: Správce nese plnou odpovědnost za dodržování povinností plynoucích z GDPR vůči subjektům údajů (zákazníkům), zejména za informování subjektů údajů o zpracování a vyřizování jejich žádostí.
3. 5.3. Právní základ zpracování: Správce je odpovědný za stanovení právního základu zpracování osobních údajů (typicky plnění smlouvy dle čl. 6 odst. 1 písm. b) GDPR).

6. Další zpracovatelé (Sub-zpracovatelé)

1. 6.1. Správce uděluje Zpracovateli obecné povolení k zapojení dalších zpracovatelů (sub-zpracovatelů) pro zajištění funkčnosti platformy.
2. 6.2. Aktuální seznam sub-zpracovatelů je uveden v Příloze č. 2 této Smlouvy.
3. 6.3. Zpracovatel se zavazuje informovat Správce o zamýšlených změnách v seznamu sub-zpracovatelů (přidání nebo nahrazení) alespoň 30 dnů předem prostřednictvím e-mailu na kontaktní adresu Správce nebo oznámením v administraci platformy.
4. 6.4. Správce má právo vznést námitku proti zapojení nového sub-zpracovatele do 15 dnů od oznámení. Námitka musí být podložena oprávněnými důvody týkajícími se ochrany osobních údajů.
5. 6.5. Pokud Správce vznese oprávněnou námitku a Zpracovatel není schopen námitku vyřešit, má Správce právo vypovědět smlouvu o poskytování služeb platformy.
6. 6.6. Zpracovatel se zavazuje uzavřít se sub-zpracovateli smlouvy obsahující stejné povinnosti v oblasti ochrany osobních údajů, jaké jsou stanoveny v této Smlouvě, zejména poskytování dostatečných záruk o provedení vhodných technických a organizačních opatření.
7. 6.7. Zpracovatel nese vůči Správci plnou odpovědnost za plnění povinností sub-zpracovatele v oblasti ochrany osobních údajů.

7. Předávání osobních údajů do třetích zemí

1. 7.1. Primární servery a datová centra pro provoz platformy se nacházejí v Evropské unii (poskytovatel FORPSI.cz, Česká republika).
2. 7.2. K předání osobních údajů do zemí mimo EU/EHP (třetí země) může docházet prostřednictvím sub-zpracovatelů, zejména:
   • Meta Platforms, Inc. (USA) – poskytovatel API pro komunikaci na sociálních sítích Instagram a Facebook.
3. 7.3. Přenos osobních údajů do třetích zemí je vždy zabezpečen pomocí vhodných záruk v souladu s čl. 46 GDPR, konkrétně:
   • Standardní smluvní doložky (SCC) schválené Evropskou komisí (Decision 2021/914).
   • Dodatečná technická a organizační opatření k zajištění odpovídající úrovně ochrany údajů (např. šifrování, pseudonymizace).
4. 7.4. Kopie příslušných záruk (SCC) jsou k dispozici na vyžádání u Zpracovatele.

8. Odpovědnost a náhrada škody

1. 8.1. Za porušení povinností stanovených v GDPR a této Smlouvě odpovídá Zpracovatel pouze tehdy, pokud nedodržel povinnosti uložené GDPR výslovně zpracovatelům nebo pokud jednal mimo nebo v rozporu s oprávněnými pokyny Správce.
2. 8.2. Pokud se na témže zpracování podílí jak Správce, tak Zpracovatel, odpovídají Správce i Zpracovatel za celkovou škodu, aby byla zajištěna účinná náhrada škody subjektu údajů.
3. 8.3. Zpracovatel je vůči subjektu údajů zbaven odpovědnosti, pokud prokáže, že nenese za danou škodní událost žádnou odpovědnost.

9. Ukončení Smlouvy

1. 9.1. Tato Smlouva je uzavřena na dobu určitou odpovídající době trvání smlouvy o poskytování služeb platformy MONLE mezi Zpracovatelem a Správcem.
2. 9.2. Po ukončení této Smlouvy se Zpracovatel zavazuje:
   • Podle výběru Správce buď vymazat všechny osobní údaje, nebo je Správci vrátit ve strukturovaném, běžně používaném a strojově čitelném formátu.
   • Vymazat existující kopie osobních údajů, pokud právo Unie nebo členského státu nevyžaduje jejich uložení.
   • Poskytovat Správci certifikaci o provedení výmazu nebo vrácení údajů.
3. 9.3. Lhůta pro vrácení/výmaz údajů je 30 dnů od ukončení Smlouvy, s výjimkou údajů, které je Zpracovatel povinen uchovávat ze zákona (např. pro účetní a daňové účely dle českých právních předpisů).

10. Závěrečná ustanovení

1. 10.1. Tato Smlouva se řídí právním řádem České republiky a GDPR.
2. 10.2. Změny této Smlouvy jsou možné pouze formou písemného dodatku podepsaného oběma stranami, s výjimkou aktualizace Příloh č. 1 a č. 2, které mohou být aktualizovány Zpracovatelem v souladu s čl. 6 této Smlouvy.
3. 10.3. Tato Smlouva je vyhotovena v elektronické podobě a je nedílnou součástí Obchodních podmínek platformy MONLE.
4. 10.4. Kontaktní osoba pro otázky ochrany osobních údajů u Zpracovatele: privacy@monle.eu

Příloha č. 1: Technická a organizační opatření (TOMs)

Zpracovatel prohlašuje, že zavedl následující opatření k zajištění ochrany osobních údajů v souladu s článkem 32 GDPR:

A) Šifrování a pseudonymizace

• Šifrování v přenosu: Veškerá komunikace mezi klientem (webový prohlížeč) a serverem je šifrována pomocí protokolu TLS 1.3 s moderními šifrovacími algoritmy (AES-256, ChaCha20).
• Šifrování v klidu (at-rest): Citlivá data v databázi, zejména API klíče a přihlašovací tokeny, jsou šifrována standardem AES-256-GCM s unikátními šifrovacími klíči pro každý záznam.
• Hashování hesel: Uživatelská hesla jsou bezpečně hashována pomocí algoritmu bcrypt s vysokým nákladovým faktorem (cost factor 12), který poskytuje ochranu proti útokům hrubou silou.
• Pseudonymizace: Tam, kde je to technicky možné, jsou osobní údaje pseudonymizovány pomocí vnitřních ID, která nejsou sama o sobě identifikující bez přiřazení k dekódovacímu klíči.

B) Řízení přístupu a autentizace

• Princip nejmenších oprávnění: Přístup k produkčním systémům a osobním údajům je striktně omezen na minimální nutný počet autorizovaných osob a je založen na principu nejnižších oprávnění (least privilege).
• Dvoufaktorová autentizace (2FA): Pro veškerý administrativní přístup k produkčním systémům je vyžadována dvoufaktorová autentizace pomocí TOTP (Time-based One-Time Password).
• Silná hesla: Všechny uživatelské účty musí používat silná hesla (minimálně 12 znaků, kombinace velkých a malých písmen, číslic a speciálních znaků).
• Časově omezené přihlášení: Relace (sessions) mají omezenou platnost a po období neaktivity dochází k automatickému odhlášení.
• Auditní logy přístupů: Všechny pokusy o přihlášení a přístupy k citlivým datům jsou logovány s časovým razítkem, IP adresou a identifikátorem uživatele.

C) Zálohování a obnova

• Automatické zálohování: Databáze je automaticky zálohována každých 6 hodin. Zálohy jsou šifrovány standardem AES-256.
• Geografická redundance: Zálohy jsou ukládány v geograficky oddělené lokaci v rámci EU (odlišné datové centrum v ČR), aby byla zajištěna ochrana proti lokálním katastrofám.
• Retenční politika: Zálohy jsou uchovávány po dobu 30 dnů. Starší zálohy jsou bezpečně smazány.
• Testování obnovy: Schopnost obnovy dat ze záloh je testována minimálně čtvrtletně, aby byla zajištěna kontinuita provozu v případě selhání.

D) Monitoring, logování a detekce incidentů

• Centralizované logování: Veškeré přístupy k osobním údajům, systémové události a bezpečnostní události jsou logovány v centralizovaném logovacím systému.
• Ochrana logů: Logy jsou chráněny proti neoprávněné manipulaci pomocí kryptografických hash funkcí a jsou uchovávány po dobu 90 dnů pro účely auditu a bezpečnostní analýzy.
• Monitoring bezpečnostních událostí: Systém je monitorován 24/7 pomocí automatizovaných nástrojů pro detekci podezřelých aktivit (např. opakované neúspěšné pokusy o přihlášení, přístup z neobvyklých IP adres).
• Alerting: V případě detekce podezřelé aktivity je automaticky odeslán alert odpovědné osobě pro bezpečnost.

E) Fyzické zabezpečení

• Certifikované datové centrum: Hostingové služby jsou poskytovány certifikovaným datovým centrem (FORPSI.cz) v České republice, které splňuje přísné standardy fyzického zabezpečení:
  • Fyzická ochrana vstupu (24/7 ostraha, biometrický přístup)
  • Videomonitoring prostor
  • Redundantní napájení (UPS, dieselové generátory)
  • Klimatizace a požární ochrana
  • Certifikace ISO 27001 (bezpečnost informací)

F) Bezpečnost aplikací

• Bezpečný vývoj (SDLC): Aplikace je vyvíjena s důrazem na bezpečnost v souladu s principy OWASP (Open Web Application Security Project).
• Ochrana proti běžným zranitelnostem: Implementovány ochranné mechanismy proti běžným útokům:
  • SQL Injection – používání parametrizovaných dotazů (prepared statements)
  • Cross-Site Scripting (XSS) – escape speciálních znaků ve výstupech
  • Cross-Site Request Forgery (CSRF) – CSRF tokeny u všech formulářů
  • Clickjacking – HTTP hlavičky X-Frame-Options a CSP
• Pravidelné bezpečnostní aktualizace: Bezpečnostní aktualizace operačního systému, webového serveru, databázového serveru a použitých knihoven jsou aplikovány bez zbytečného odkladu (typicky do 48 hodin od vydání kritické záplaty).
• Testování zranitelností: Pravidelné skenování zranitelností pomocí automatizovaných nástrojů (minimálně měsíčně).

G) Plán reakce na bezpečnostní incidenty

• Incident Response Plan: Zpracovatel má zdokumentovaný plán reakce na bezpečnostní incidenty, který definuje:
  • Postup detekce a klasifikace incidentu
  • Eskalační postupy a odpovědné osoby
  • Postupy pro containment (omezení dopadu), eradikaci (odstranění příčiny) a recovery (obnovu)
  • Komunikační plán pro informování Správce v souladu s čl. 4.6. této Smlouvy

Příloha č. 2: Seznam dalších zpracovatelů (Sub-zpracovatelů)

Správce bere na vědomí a souhlasí s tím, že Zpracovatel využívá pro zajištění funkčnosti platformy níže uvedené subjekty. Zpracovatel se zavazuje, že se všemi sub-zpracovateli, kteří zpracovávají osobní údaje jménem Zpracovatele, uzavřel smlouvy splňující požadavky čl. 28 GDPR.

Zpracovatel se zavazuje informovat Správce o zamýšlených změnách v tomto seznamu v souladu s čl. 6 této Smlouvy.