Smlouva o zpracování osobních údajů (DPA)
Platné a účinné od 24. 6. 2026 | dle čl. 28 nařízení (EU) 2016/679 (GDPR)
Tato smlouva o zpracování osobních údajů (dále jen „DPA") je nedílnou součástí obchodních podmínek služby ChatnaWeb.cz a uzavírá se mezi:
- Správcem — uživatelem služby (provozovatelem webu), který prostřednictvím služby zpracovává osobní údaje svých návštěvníků, a
- Zpracovatelem — společností Printoria a.s., IČO: 17571171, Chudenická 1059/30, Hostivař, 102 00 Praha, provozovatelem služby ChatnaWeb.cz.
DPA je účinná po dobu, po kterou zpracovatel poskytuje správci službu a zpracovává pro něj osobní údaje.
1. Předmět a doba zpracování
Zpracovatel zpracovává pro správce osobní údaje výhradně za účelem poskytování služby live chatu (správa konverzací s návštěvníky webu správce). Zpracování trvá po dobu trvání smlouvy o užívání služby.
2. Povaha a účel zpracování
Povahou zpracování je automatizované shromažďování, ukládání, zobrazování, organizace a výmaz osobních údajů návštěvníků v rozsahu nezbytném pro fungování chatu a operátorského dashboardu. Účelem je umožnit správci komunikaci s jeho návštěvníky.
3. Kategorie subjektů údajů a osobních údajů
Subjekty údajů: návštěvníci webových stránek správce, kteří využijí chat.
Kategorie údajů:
- obsah chatové konverzace,
- jméno a e-mailová adresa (jsou-li návštěvníkem dobrovolně vyplněny),
- URL stránky, ze které byl chat spuštěn,
- anonymní identifikátor návštěvníka,
- IP adresa a přibližná geolokace (stát, město).
Služba není určena ke zpracování zvláštních kategorií osobních údajů. Správce je nemá do chatu vkládat.
4. Povinnosti zpracovatele
Zpracovatel se zavazuje:
- zpracovávat osobní údaje pouze na základě doložených pokynů správce (za pokyn se považuje i užívání služby v souladu s její funkcionalitou), nestanoví-li právo EU nebo ČR jinak;
- zajistit mlčenlivost osob oprávněných zpracovávat osobní údaje;
- přijmout vhodná technická a organizační opatření dle čl. 32 GDPR (čl. 7 této DPA);
- být správci nápomocen při plnění žádostí subjektů údajů (čl. 12–23 GDPR) a při plnění povinností dle čl. 32–36 GDPR;
- po skončení poskytování služby osobní údaje vymazat nebo vrátit dle volby správce (čl. 9);
- poskytnout správci informace nezbytné k doložení plnění povinností a umožnit audit (čl. 10).
5. Subdodavatelé (další zpracovatelé)
Správce uděluje zpracovateli obecné povolení zapojit do zpracování další zpracovatele. Zpracovatel s nimi uzavírá smluvní podmínky poskytující odpovídající záruky dle GDPR. Aktuální seznam:
| Subdodavatel | Účel | Umístění dat |
|---|---|---|
| Supabase Inc. | databáze, autentizace, realtime | EU / Švýcarsko |
| Vercel Inc. | hosting aplikace | EU / USA |
| Stripe Inc. | platební brána | EU / USA |
| Resend (Plus Five Five, Inc.) | transakční e-maily | EU / USA |
| Google Ireland Ltd. | push notifikace (Firebase) | EU / USA |
O zamýšlené změně subdodavatelů (přidání či nahrazení) zpracovatel správce předem informuje a umožní mu vznést námitky.
6. Předání do třetích zemí
Osobní údaje jsou zpracovávány primárně v rámci EU/EHP, resp. v zemích s rozhodnutím o odpovídající úrovni ochrany (např. Švýcarsko). Dochází-li k předání mimo EU/EHP, je zajištěno na základě vhodných záruk dle čl. 46 GDPR, zejména standardních smluvních doložek EU, případně na základě rozhodnutí o odpovídající ochraně.
7. Technická a organizační opatření
- šifrování přenosu (HTTPS/TLS) a šifrování dat u poskytovatelů infrastruktury,
- ukládání hesel v hashované podobě,
- řízení přístupu — přístup k datům mají jen oprávněné osoby,
- oddělení dat jednotlivých zákazníků a omezení přístupu na úrovni aplikace,
- pravidelné zálohování a aktualizace systémů,
- ochrana proti zneužití (rate-limiting, blokace spamu).
8. Porušení zabezpečení
Zjistí-li zpracovatel porušení zabezpečení osobních údajů, ohlásí jej správci bez zbytečného odkladu poté, co se o něm dozví, a poskytne součinnost potřebnou k případnému splnění ohlašovacích povinností správce dle čl. 33 a 34 GDPR.
9. Výmaz nebo vrácení údajů
Po ukončení poskytování služby zpracovatel dle volby správce osobní údaje vymaže nebo je správci zpřístupní k převzetí, nebrání-li tomu právní povinnost je dále uchovávat. Doby uchování jsou uvedeny v Zásadách ochrany soukromí.
10. Audit a součinnost
Zpracovatel poskytne správci na vyžádání informace nezbytné k doložení splnění povinností dle čl. 28 GDPR a umožní kontroly (audity) provedené správcem nebo jím pověřeným auditorem, a to v přiměřeném rozsahu a po předchozí dohodě tak, aby nebyl narušen provoz služby a důvěrnost dat ostatních zákazníků.
11. Závěrečná ustanovení
Tato DPA se řídí právním řádem České republiky a vykládá se v souladu s GDPR. V případě rozporu mezi touto DPA a obchodními podmínkami má v otázkách ochrany osobních údajů přednost tato DPA. Kontakt ve věcech ochrany osobních údajů: info@chatnaweb.cz.