právní dokument
Zpracovatelská smlouva.
Rámcová smlouva o zpracování osobních údajů podle čl. 28 GDPR pro budoucí firemní nasazení Šepotu.
Účinnost od: 16. dubna 2026 | Verze 1.1 (šablona)
1. Předmět a účel zpracování
Tato zpracovatelská smlouva (dále jen „DPA“) upravuje podmínky zpracování osobních údajů mezi:
- Správce: Organizace využívající službu Šepot pro své zaměstnance nebo členy (dále jen „Správce“)
- Zpracovatel: Julius Joska, podnikající pod značkou ajtak.it, IČO: 24409979, sídlo č.p. 98, 262 11 Rosovice (dále jen „Zpracovatel“)
Zpracovatel poskytuje Správci komunikační službu Šepot s end-to-end šifrováním. V rámci poskytování služby Zpracovatel zpracovává osobní údaje jménem Správce v rozsahu nezbytném pro provoz služby.
Účel zpracování: Provoz komunikační platformy s E2E šifrováním, správa uživatelských účtů, doručování zašifrovaných zpráv.
Důležité upozornění: Vzhledem k zero-knowledge architektuře a end-to-end šifrování Zpracovatel nemá technickou možnost přistupovat k obsahu komunikace uživatelů. Obsah zpráv proto nelze považovat za osobní údaje zpracovávané Zpracovatelem.
2. Kategorie subjektů a údajů
Kategorie subjektů údajů
- Zaměstnanci a spolupracovníci Správce
- Členové organizace Správce
- Další osoby, kterým Správce přidělí přístup ke Službě
Kategorie osobních údajů
- Uživatelské jméno (pseudonym)
- E-mailová adresa (pokud je poskytnuta)
- Veřejný šifrovací klíč
- Časové razítko registrace a poslední aktivity
- Hash hesla (Argon2id)
- Organizační příslušnost (přiřazení ke Správci)
Údaje MIMO rozsah zpracování
- Obsah zpráv (E2E šifrování — Zpracovatel nemá přístup)
- Metadata konverzací
- IP adresy uživatelů
- Soukromé šifrovací klíče
3. Povinnosti zpracovatele
Zpracovatel se zavazuje:
- Zpracovávat osobní údaje pouze na základě doložených pokynů Správce, a to i pokud jde o předání osobních údajů do třetí země (čl. 28 odst. 3 písm. a) GDPR)
- Zajistit, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti (čl. 28 odst. 3 písm. b) GDPR)
- Přijmout veškerá opatření požadovaná dle čl. 32 GDPR (zabezpečení zpracování)
- Dodržovat podmínky pro zapojení dalšího zpracovatele (sub-zpracovatele) stanovené v čl. 28 odst. 2 a 4 GDPR
- Být Správci nápomocen při plnění povinnosti reagovat na žádosti subjektů údajů o výkon jejich práv dle kapitoly III GDPR
- Být Správci nápomocen při zajištění souladu s povinnostmi dle čl. 32 až 36 GDPR (zabezpečení, hlášení porušení, posouzení vlivu)
- Po ukončení poskytování služby vymazat nebo vrátit všechny osobní údaje dle rozhodnutí Správce a vymazat existující kopie (čl. 28 odst. 3 písm. g) GDPR)
- Poskytnout Správci veškeré informace potřebné k doložení plnění povinností a umožnit audity a inspekce (čl. 28 odst. 3 písm. h) GDPR)
4. Sub-zpracovatelé
Zpracovatel v současnosti nevyužívá žádné sub-zpracovatele. Veškerá infrastruktura je provozována pod vlastní správou na území České republiky.
V případě záměru zapojit sub-zpracovatele Zpracovatel:
- Předem písemně informuje Správce o zamýšleném zapojení nebo nahrazení sub-zpracovatele
- Poskytne Správci možnost vznést námitku proti změnám do 30 dnů od oznámení
- Zajistí, aby na sub-zpracovatele byly uloženy stejné povinnosti ohledně ochrany údajů jako na Zpracovatele
- Ponese plnou odpovědnost za plnění povinností sub-zpracovatele
Aktuální seznam sub-zpracovatelů (pokud existují) je dostupný na vyžádání.
5. Bezpečnostní opatření
Zpracovatel přijímá následující technická a organizační opatření dle čl. 32 GDPR:
Technická opatření
- End-to-end šifrování veškeré komunikace (Signal Protocol — X3DH/PQXDH, Double Ratchet)
- Zero-knowledge architektura serveru
- Hashování hesel algoritmem Argon2id
- TLS 1.3 pro veškerý síťový provoz
- Šifrování dat v klidu na serverových discích
- Automatizovaný monitoring a detekce anomálií
- Pravidelné bezpečnostní audity a penetrační testy
- Automatizovaná aktualizace bezpečnostních záplat
Organizační opatření
- Princip minimálních oprávnění pro přístup k infrastruktuře
- Vícefaktorová autentizace pro administrátorský přístup
- Pravidelné školení bezpečnosti pro všechny osoby s přístupem
- Dokumentovaný proces řízení incidentů
- Plán kontinuity činností a obnovy po havárii
Podrobný popis bezpečnostních opatření je dostupný v Bezpečnostní politice.
6. Přeshraniční přenosy
Osobní údaje jsou zpracovávány výhradně na území České republiky (Evropský hospodářský prostor).
Zpracovatel nepředává osobní údaje do třetích zemí mimo EHP. V případě, že by takový přenos byl v budoucnu nezbytný, Zpracovatel:
- Předem získá písemný souhlas Správce
- Zajistí odpovídající záruky dle kapitoly V GDPR (standardní smluvní doložky schválené Evropskou komisí, rozhodnutí o přiměřenosti apod.)
- Provede posouzení vlivu přenosu (Transfer Impact Assessment)
- Poskytne Správci dokumentaci k přijatým zárukám
7. Audit a kontrola
Správce má právo provádět audity souladu zpracování s touto DPA:
- Audit na místě — po předchozím písemném oznámení alespoň 30 dní předem, v pracovní době, maximálně jednou ročně (pokud není odůvodněno incidentem)
- Dokumentační audit — Zpracovatel poskytne na vyžádání relevantní dokumentaci, certifikáty a zprávy z auditů
- Třetí strana — audit může provádět nezávislý auditor pověřený Správcem, za předpokladu podpisu dohody o mlčenlivosti
Zpracovatel neprodleně informuje Správce, pokud se dle jeho názoru pokyn Správce porušuje GDPR nebo jiné právní předpisy v oblasti ochrany údajů (čl. 28 odst. 3 GDPR).
Náklady auditu nese Správce, pokud audit neprokáže porušení povinností Zpracovatele — v takovém případě náklady nese Zpracovatel.
8. Hlášení porušení zabezpečení
V případě porušení zabezpečení osobních údajů (data breach) Zpracovatel:
- Bez zbytečného odkladu (nejpozději do 24 hodin od zjištění) oznámí porušení Správci
- Poskytne Správci veškeré dostupné informace potřebné pro oznámení dozorovému úřadu dle čl. 33 GDPR, zejména:
- Povahu porušení včetně kategorií a přibližného počtu dotčených subjektů
- Pravděpodobné důsledky porušení
- Opatření přijatá nebo navrhovaná k řešení porušení
- Kontaktní údaje na osobu odpovědnou za řešení
- Spolupracuje se Správcem při zmírnění následků a dokumentaci incidentu
Vzhledem k zero-knowledge architektuře je dopad porušení zabezpečení na obsah komunikace uživatelů minimální, protože Zpracovatel nemá přístup k soukromým klíčům ani obsahu zpráv.
9. Ukončení a výmaz údajů
Po ukončení poskytování služby (ať již výpovědí smlouvy, uplynutím doby nebo jiným způsobem) Zpracovatel:
- Dle rozhodnutí Správce buď vymaže, nebo vrátí všechny osobní údaje zpracovávané jménem Správce
- Vymaže veškeré existující kopie, pokud právní předpisy nevyžadují jejich uchování
- Lhůta pro výmaz: 30 dnů od ukončení poskytování služby
- Na vyžádání poskytne Správci písemné potvrzení o provedení výmazu
Správce má možnost před ukončením exportovat data svých uživatelů prostřednictvím administrátorského rozhraní.
10. Doba trvání
Tato DPA nabývá účinnosti dnem podpisu oběma stranami a zůstává v platnosti po celou dobu poskytování Služby Zpracovatelem Správci.
Ustanovení týkající se mlčenlivosti, výmazu údajů a odpovědnosti přetrvávají i po ukončení platnosti této DPA.
11. Rozhodné právo
Tato DPA se řídí právním řádem České republiky a GDPR. V případě rozporu mezi touto DPA a hlavní smlouvou o poskytování služby mají přednost ustanovení této DPA týkající se ochrany osobních údajů.
Případné spory budou řešeny příslušnými českými soudy.
12. Kontakt
Pro uzavření zpracovatelské smlouvy nebo dotazy k této šabloně kontaktujte:
- E-mail: [email protected]
- Předmět: DPA / Zpracovatelská smlouva
Tuto šablonu DPA je možné uzavřít elektronicky. Pro individuální úpravy nás kontaktujte.