Zpracovatelská smlouva (DPA)
Vzor účinný od 4. 7. 2026
Tato zpracovatelská smlouva upravuje zpracování osobních údajů podle článku 28 nařízení GDPR (EU 2016/679) při provozu vašeho e-shopu na platformě Behio. Jde o vzorové znění. Podepsanou verzi vám na vyžádání vystavíme na adrese [email protected] nebo přes kontaktní formulář.
1. Smluvní strany
Tato smlouva se uzavírá mezi:
- Správcem: provozovatel e-shopu, tedy zákazník, který využívá platformu Behio k provozu vlastního obchodu. Správce určuje účely a prostředky zpracování osobních údajů svých koncových zákazníků.
- Zpracovatelem: Radovan Pelka, IČO 08951012, DIČ CZ9704084500, se sídlem Podhoří 172/102, 664 34 Kuřim, Česká republika, provozovatel platformy Behio.
Zpracovatel zpracovává osobní údaje jménem správce výhradně za účelem poskytování služeb platformy Behio a v rozsahu popsaném níže.
2. Předmět a doba zpracování
Předmětem zpracování je poskytování e-commerce platformy Behio: provoz e-shopu, správa katalogu, objednávek, zákazníků, fakturace, skladu a souvisejících funkcí, které správce v rámci služby využívá.
Zpracování probíhá po dobu trvání smlouvy o poskytování služby mezi správcem a zpracovatelem, tedy po celou dobu, po kterou správce platformu Behio využívá.
3. Povaha a účel zpracování
Osobní údaje zpracovává zpracovatel pouze proto, aby správci umožnil provozovat e-shop a využívat funkce platformy. Povaha zpracování zahrnuje zejména shromažďování, ukládání, uspořádání, nahlížení, úpravu, předávání pověřeným subzpracovatelům a výmaz údajů.
Zpracovatel osobní údaje nevyužívá pro vlastní účely a nepředává je dál nad rámec této smlouvy a seznamu subzpracovatelů.
4. Kategorie subjektů a osobních údajů
Kategorie subjektů údajů
- Koncoví zákazníci e-shopu správce.
- Kontaktní osoby a odběratelé v rámci B2B vztahů správce.
- Uživatelé účtů, které správce v platformě zřídí.
Kategorie osobních údajů
- Identifikační údaje: jméno, příjmení, název firmy, IČO a DIČ.
- Kontaktní údaje: e-mail, telefon, doručovací a fakturační adresa.
- Objednávkové údaje: obsah objednávek, historie nákupů, komunikace k objednávce.
- Platební metadata: stav platby, identifikátory transakcí a metoda platby (samotné údaje o platebních kartách zpracovávají certifikované platební brány, ne Behio).
Zpracovatel nezpracovává zvláštní kategorie osobních údajů, ledaže je do platformy vloží sám správce v rámci obsahu svého e-shopu.
5. Povinnosti zpracovatele
Zpracovatel se zavazuje zejména:
- Zpracovávat osobní údaje pouze na základě doložených pokynů správce, včetně pokynů k předání údajů do třetí země, ledaže mu takové zpracování ukládá právo EU nebo členského státu.
- Zajistit, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo se na ně vztahovala zákonná povinnost mlčenlivosti.
- Přijmout technická a organizační opatření k zabezpečení zpracování podle článku 32 GDPR (viz část 7).
- Zapojovat další subzpracovatele pouze za podmínek uvedených v části 6 a zavázat je ke stejné úrovni ochrany.
- Být správci nápomocen vhodnými opatřeními při plnění jeho povinnosti reagovat na žádosti subjektů údajů o výkon jejich práv.
- Být správci nápomocen při zajišťování souladu s články 32 až 36 GDPR (zabezpečení, ohlašování porušení, posouzení vlivu), s ohledem na povahu zpracování a dostupné informace.
- Ohlásit správci bez zbytečného odkladu jakékoli porušení zabezpečení osobních údajů, jakmile se o něm dozví.
- Po ukončení poskytování služby na pokyn správce všechny osobní údaje vymazat nebo je správci vrátit a vymazat existující kopie, nebrání-li tomu právní povinnost jejich uložení.
- Poskytnout správci informace potřebné k doložení plnění povinností podle článku 28 GDPR a umožnit audity nebo inspekce prováděné správcem nebo jím pověřeným auditorem, v přiměřeném rozsahu a po předchozí domluvě.
6. Subzpracovatelé
Správce uděluje zpracovateli obecné povolení k zapojení subzpracovatelů nutných pro provoz platformy (hosting, ukládání souborů, platební brány, odesílání e-mailů, AI funkce, dopravci a srovnávače, pokud je správce využívá).
Aktuální seznam subzpracovatelů je součástí zásad ochrany osobních údajů. O záměru změnit subzpracovatele zpracovatel správce informuje a správce má právo vznést proti změně odůvodněné námitky.
Každý subzpracovatel je zavázán ke stejné úrovni ochrany osobních údajů, jaká vyplývá z této smlouvy.
7. Technická a organizační opatření
Zpracovatel s ohledem na stav techniky a povahu zpracování zavádí zejména tato opatření podle článku 32 GDPR:
- Šifrování přenosu: veškerá komunikace probíhá výhradně přes protokol TLS.
- Šifrování citlivých údajů: přístupové klíče a přihlašovací údaje k integracím šifrujeme na aplikační úrovni algoritmem AES-256-GCM.
- Izolace dat: každý dotaz je striktně vázaný na organizaci správce, přístup je řízený rolemi a oprávněními.
- Dedikovaná infrastruktura v EU: aplikace běží na vlastních dedikovaných serverech v Německu, úložiště souborů je v jurisdikci EU, provoz chrání infrastruktura Cloudflare.
- Zálohování: pravidelné zálohy dat pro obnovu dostupnosti a přístupu k údajům v případě incidentu.
- Řízení přístupů: přístup k produkčním datům mají jen pověřené osoby vázané mlčenlivostí, v rozsahu nezbytném pro provoz služby.
8. Doba trvání a ukončení
Tato smlouva je účinná po dobu trvání smlouvy o poskytování služby a po dobu, po kterou zpracovatel zpracovává osobní údaje jménem správce.
Po ukončení služby zpracovatel naloží s osobními údaji podle pokynu správce, tedy je vymaže nebo vrátí, nebrání-li tomu právní povinnost jejich dalšího uložení.
9. Závěrečná ustanovení
Tato smlouva se řídí právem České republiky a nařízením GDPR. V otázkách zde neupravených se použijí zásady ochrany osobních údajů zpracovatele a obchodní podmínky služby.
Toto je vzorové znění. Podepsanou zpracovatelskou smlouvu vám vystavíme na vyžádání na adrese [email protected] nebo přes kontaktní formulář.