Naposledy aktualizováno: 29. 05. 2026 · Verze 1.0
Zpracovatelská smlouva (Data Processing Agreement)
Stručně a srozumitelně
Tato smlouva (vyžadovaná čl. 28 GDPR) říká, jak nakládáme s osobními údaji, které do DBI vkládáte. Vy jste správce (rozhodujete, co se zpracovává), my jsme zpracovatel (zpracováváme jen podle vašich pokynů). Je zde seznam našich sub-zpracovatelů (AI poskytovatelé, hosting), bezpečnostní opatření a vaše práva na audit. Souhlasem s Podmínkami souhlasíte i s touto DPA.
Tato Zpracovatelská smlouva (dále „DPA“) je nedílnou součástí Podmínek užívání DBI a upravuje zpracování osobních údajů ve smyslu čl. 28 GDPR (Nařízení EU 2016/679).
1. Strany a vymezení rolí
- Správce: Zákazník (vaše organizace) — určuje účely a prostředky zpracování osobních údajů vkládaných do platformy.
- Zpracovatel: ideabox s.r.o., IČO 02823519, se sídlem Minická 376/2, Čimice, 181 00 Praha 8, zapsaná v obchodním rejstříku vedeném Městský soud v Praze, oddíl C, vložka 224168 — zpracovává osobní údaje výhradně dle pokynů Správce.
Pozn.: U údajů účtů uživatelů a fakturačních údajů vystupuje ideabox s.r.o. jako samostatný správce — to upravují Zásady ochrany osobních údajů. Tato DPA se týká výhradně osobních údajů, které Správce vkládá do platformy.
2. Předmět, doba, povaha a účel zpracování (čl. 28 odst. 3 GDPR)
Zpracovatel zpracovává osobní údaje, které Správce vkládá do platformy DBI při definici značek, klíčových slov a kontaktních informací, a které vznikají v generovaných reportech. Zpracování probíhá po dobu trvání smluvního vztahu a 90 dní po jeho ukončení.
Účelem zpracování je výhradně:
- Poskytování služby monitoringu značky
- Generování reportů (SERP, GEO, strategická analýza)
- Provozní podpora a diagnostika
3. Typy osobních údajů a kategorie subjektů
- Identifikační údaje uživatelů Správce (jméno, příjmení, e-mail)
- Údaje o značce (název, web, kontext pro AI)
- Technické údaje (IP adresa, identifikace prohlížeče, časová razítka)
Kategorie subjektů: zaměstnanci a spolupracovníci Správce s přístupem do platformy; veřejně dostupné informace o značce Správce.
4. Povinnosti Zpracovatele (čl. 28 odst. 3 GDPR)
4.1 Zpracování pouze dle pokynů
Zpracovatel zpracovává údaje výhradně podle doložených pokynů Správce a nepoužívá je k vlastním účelům. Pokud se domnívá, že pokyn porušuje GDPR, neprodleně Správce informuje.
4.2 Důvěrnost
Všechny osoby s přístupem k údajům jsou vázány mlčenlivostí.
4.3 Bezpečnostní opatření (čl. 32 GDPR)
- Šifrování při přenosu (HTTPS / TLS) i citlivých údajů v databázi
- Šifrování API klíčů (Fernet)
- Hashování hesel (bcrypt)
- Izolace dat jednotlivých organizací na úrovni databáze
- Řízení přístupu dle rolí a audit administrativních akcí
- Pravidelné zálohy
4.4 Sub-zpracovatelé (čl. 28 odst. 2 a 4 GDPR)
Zpracovatel využívá níže uvedené sub-zpracovatele; souhlas Správce s nimi je udělen souhlasem s touto DPA. S každým sub-zpracovatelem uzavírá smlouvu ukládající mu stejné povinnosti na ochranu osobních údajů jako tato DPA. Pokud sub-zpracovatel své povinnosti nesplní, odpovídá Zpracovatel Správci za splnění jeho povinností v plném rozsahu.
| Sub-zpracovatel | Země | Předávaná data |
|---|---|---|
| Hetzner Online GmbH | DE 🇪🇺 | hosting (vše) |
| HasData | USA | klíčová slova |
| Anthropic PBC | USA | dotazy, kontext značky |
| OpenAI LLC | USA | dotazy, kontext značky |
| Google LLC | USA / IE | dotazy, kontext značky |
| Perplexity AI | USA | dotazy |
| xAI Corp. | USA | dotazy |
| DeepSeek (čínská AI platforma) | CN ⚠ | klíčová slova, název značky — jen po výslovném zapnutí Správcem (zpravidla bez osobních údajů; výjimka u OSVČ viz čl. 4.5) |
| Resend | USA | e-mail, jméno příjemce |
| Sentry | USA | IP adresa, technické logy |
Změnu sub-zpracovatele oznámí Zpracovatel nejméně 30 dní předem. Správce má právo vznést proti nové změně odůvodněnou námitku do 14 dnů; nevyřeší-li strany námitku dohodou, má Správce právo smlouvu vypovědět.
4.5 Přenosy mimo EU (čl. 44–49 GDPR)
U přenosů do USA se opíráme primárně o rozhodnutí o odpovídající úrovni ochrany (EU-US Data Privacy Framework, čl. 45) u certifikovaných sub-zpracovatelů; u ostatních a jako záložní záruku používáme Standardní smluvní doložky (čl. 46).
Čínské AI platformy (DeepSeek): Čína nemá rozhodnutí o odpovídající úrovni ochrany. Dotazování čínských AI platforem je ve výchozím stavu vypnuté — Zpracovatel je provede pouze tehdy, pokud je Správce výslovně zapne v nastavení účtu (vědomý souhlas s přenosem). Přenos pak zajišťujeme Standardními smluvními doložkami doplněnými o posouzení dopadu přenosu (Transfer Impact Assessment) a o datovou minimalizaci — předáváme výhradně klíčová slova a název značky, nikdy identifikační údaje subjektů. Správce může tuto volbu kdykoli vypnout; bez zapnutí Zpracovatel do těchto platforem žádná data nepřenáší.
4.6 Asistence Správci (čl. 28 odst. 3 písm. e, f GDPR)
Zpracovatel poskytne přiměřenou asistenci při žádostech subjektů údajů, při posouzení vlivu na ochranu údajů (DPIA) a při řešení bezpečnostních incidentů.
4.7 Ohlašování porušení zabezpečení (čl. 33 odst. 2 GDPR)
Zpracovatel ohlásí Správci jakékoliv porušení zabezpečení osobních údajů bez zbytečného odkladu poté, co se o něm dozvěděl, nejpozději do 48 hodin, aby Správce mohl splnit svou ohlašovací povinnost vůči dozorovému úřadu do 72 hodin.
4.8 Po ukončení smlouvy (čl. 28 odst. 3 písm. g GDPR)
Po ukončení smlouvy Zpracovatel na žádost Správce exportuje veškerá osobní data (JSON / CSV / PDF) a poté je bezpečně smaže ze svých systémů (do 90 dnů, zálohy do 30 dnů) — s výjimkou dokladů, jejichž archivaci ukládá zákon (účetní a daňové doklady).
5. Audity (čl. 28 odst. 3 písm. h GDPR)
Zpracovatel umožní Správci audit shody s touto DPA. Audit bude oznámen 30 dní předem a proveden v pracovní době tak, aby nenarušil běžný provoz.
6. Odpovědnost a rozhodné právo
Odpovědnost Zpracovatele se řídí Podmínkami užívání a čl. 82 GDPR. Tato DPA se řídí právem České republiky; spory řeší obecné soudy ČR příslušné podle sídla Zpracovatele.
Provozovatelem služby a správcem je ideabox s.r.o., IČO 02823519, se sídlem Minická 376/2, Čimice, 181 00 Praha 8, zapsaná v obchodním rejstříku vedeném Městský soud v Praze, oddíl C, vložka 224168.
Máte otázky? Napište nám na admin@getdbi.cz.