Zpracovatelská smlouva (DPA)

Vzor účinný od 4. 7. 2026

Tato zpracovatelská smlouva upravuje zpracování osobních údajů podle článku 28 nařízení GDPR (EU 2016/679) při provozu vašeho e-shopu na platformě Behio. Jde o vzorové znění. Podepsanou verzi vám na vyžádání vystavíme na adrese [email protected] nebo přes kontaktní formulář.

1. Smluvní strany

Tato smlouva se uzavírá mezi:

  • Správcem: provozovatel e-shopu, tedy zákazník, který využívá platformu Behio k provozu vlastního obchodu. Správce určuje účely a prostředky zpracování osobních údajů svých koncových zákazníků.
  • Zpracovatelem: Radovan Pelka, IČO 08951012, DIČ CZ9704084500, se sídlem Podhoří 172/102, 664 34 Kuřim, Česká republika, provozovatel platformy Behio.

Zpracovatel zpracovává osobní údaje jménem správce výhradně za účelem poskytování služeb platformy Behio a v rozsahu popsaném níže.

2. Předmět a doba zpracování

Předmětem zpracování je poskytování e-commerce platformy Behio: provoz e-shopu, správa katalogu, objednávek, zákazníků, fakturace, skladu a souvisejících funkcí, které správce v rámci služby využívá.

Zpracování probíhá po dobu trvání smlouvy o poskytování služby mezi správcem a zpracovatelem, tedy po celou dobu, po kterou správce platformu Behio využívá.

3. Povaha a účel zpracování

Osobní údaje zpracovává zpracovatel pouze proto, aby správci umožnil provozovat e-shop a využívat funkce platformy. Povaha zpracování zahrnuje zejména shromažďování, ukládání, uspořádání, nahlížení, úpravu, předávání pověřeným subzpracovatelům a výmaz údajů.

Zpracovatel osobní údaje nevyužívá pro vlastní účely a nepředává je dál nad rámec této smlouvy a seznamu subzpracovatelů.

4. Kategorie subjektů a osobních údajů

Kategorie subjektů údajů

  • Koncoví zákazníci e-shopu správce.
  • Kontaktní osoby a odběratelé v rámci B2B vztahů správce.
  • Uživatelé účtů, které správce v platformě zřídí.

Kategorie osobních údajů

  • Identifikační údaje: jméno, příjmení, název firmy, IČO a DIČ.
  • Kontaktní údaje: e-mail, telefon, doručovací a fakturační adresa.
  • Objednávkové údaje: obsah objednávek, historie nákupů, komunikace k objednávce.
  • Platební metadata: stav platby, identifikátory transakcí a metoda platby (samotné údaje o platebních kartách zpracovávají certifikované platební brány, ne Behio).

Zpracovatel nezpracovává zvláštní kategorie osobních údajů, ledaže je do platformy vloží sám správce v rámci obsahu svého e-shopu.

5. Povinnosti zpracovatele

Zpracovatel se zavazuje zejména:

  • Zpracovávat osobní údaje pouze na základě doložených pokynů správce, včetně pokynů k předání údajů do třetí země, ledaže mu takové zpracování ukládá právo EU nebo členského státu.
  • Zajistit, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo se na ně vztahovala zákonná povinnost mlčenlivosti.
  • Přijmout technická a organizační opatření k zabezpečení zpracování podle článku 32 GDPR (viz část 7).
  • Zapojovat další subzpracovatele pouze za podmínek uvedených v části 6 a zavázat je ke stejné úrovni ochrany.
  • Být správci nápomocen vhodnými opatřeními při plnění jeho povinnosti reagovat na žádosti subjektů údajů o výkon jejich práv.
  • Být správci nápomocen při zajišťování souladu s články 32 až 36 GDPR (zabezpečení, ohlašování porušení, posouzení vlivu), s ohledem na povahu zpracování a dostupné informace.
  • Ohlásit správci bez zbytečného odkladu jakékoli porušení zabezpečení osobních údajů, jakmile se o něm dozví.
  • Po ukončení poskytování služby na pokyn správce všechny osobní údaje vymazat nebo je správci vrátit a vymazat existující kopie, nebrání-li tomu právní povinnost jejich uložení.
  • Poskytnout správci informace potřebné k doložení plnění povinností podle článku 28 GDPR a umožnit audity nebo inspekce prováděné správcem nebo jím pověřeným auditorem, v přiměřeném rozsahu a po předchozí domluvě.

6. Subzpracovatelé

Správce uděluje zpracovateli obecné povolení k zapojení subzpracovatelů nutných pro provoz platformy (hosting, ukládání souborů, platební brány, odesílání e-mailů, AI funkce, dopravci a srovnávače, pokud je správce využívá).

Aktuální seznam subzpracovatelů je součástí zásad ochrany osobních údajů. O záměru změnit subzpracovatele zpracovatel správce informuje a správce má právo vznést proti změně odůvodněné námitky.

Každý subzpracovatel je zavázán ke stejné úrovni ochrany osobních údajů, jaká vyplývá z této smlouvy.

7. Technická a organizační opatření

Zpracovatel s ohledem na stav techniky a povahu zpracování zavádí zejména tato opatření podle článku 32 GDPR:

  • Šifrování přenosu: veškerá komunikace probíhá výhradně přes protokol TLS.
  • Šifrování citlivých údajů: přístupové klíče a přihlašovací údaje k integracím šifrujeme na aplikační úrovni algoritmem AES-256-GCM.
  • Izolace dat: každý dotaz je striktně vázaný na organizaci správce, přístup je řízený rolemi a oprávněními.
  • Dedikovaná infrastruktura v EU: aplikace běží na vlastních dedikovaných serverech v Německu, úložiště souborů je v jurisdikci EU, provoz chrání infrastruktura Cloudflare.
  • Zálohování: pravidelné zálohy dat pro obnovu dostupnosti a přístupu k údajům v případě incidentu.
  • Řízení přístupů: přístup k produkčním datům mají jen pověřené osoby vázané mlčenlivostí, v rozsahu nezbytném pro provoz služby.

8. Doba trvání a ukončení

Tato smlouva je účinná po dobu trvání smlouvy o poskytování služby a po dobu, po kterou zpracovatel zpracovává osobní údaje jménem správce.

Po ukončení služby zpracovatel naloží s osobními údaji podle pokynu správce, tedy je vymaže nebo vrátí, nebrání-li tomu právní povinnost jejich dalšího uložení.

9. Závěrečná ustanovení

Tato smlouva se řídí právem České republiky a nařízením GDPR. V otázkách zde neupravených se použijí zásady ochrany osobních údajů zpracovatele a obchodní podmínky služby.

Toto je vzorové znění. Podepsanou zpracovatelskou smlouvu vám vystavíme na vyžádání na adrese [email protected] nebo přes kontaktní formulář.