Smlouva o zpracování osobních údajů

Smluvní strany

Zpracovatel:
PB DIGITAL s.r.o.
IČO: 19653123
sídlo: Zbraslavská 12/11, Malá Chuchle, 159 00 Praha
datová schránka: i3x5bmc
kontaktní e-mail: ahoj@dokladik.cz
(dále jen „Zpracovatel")

Správce:
Uživatel služby Dokladik — fyzická nebo právnická osoba, která uzavřela se Zpracovatelem smlouvu o poskytování služby Dokladik a jejíž identifikační údaje jsou uvedeny v účtu uživatele (dále jen „Správce").

(Zpracovatel a Správce společně dále také jako „Smluvní strany" a jednotlivě jako „Smluvní strana".)

1. Úvodní ustanovení a vztah k Hlavní smlouvě

1.1. Tato DPA upravuje vzájemná práva a povinnosti Smluvních stran při zpracování osobních údajů, k němuž dochází v souvislosti s poskytováním služby Dokladik dostupné z domény dokladik.cz a souvisejících subdomén (dále jen „Služba").

1.2. DPA je nedílnou přílohou a součástí Všeobecných obchodních podmínek Zpracovatele ke Službě Dokladik (dále jen „VOP"), s nimiž Správce vyslovil souhlas při registraci či používání Služby (dále souhrnně „Hlavní smlouva").

1.3. V případě rozporu mezi DPA a Hlavní smlouvou ve věcech týkajících se zpracování osobních údajů má přednost tato DPA. V ostatních otázkách má přednost Hlavní smlouva.

1.4. Pojmy použité v této DPA mají význam uvedený v GDPR, není-li stanoveno jinak. Zejména „osobní údaje", „zpracování", „správce", „zpracovatel", „subjekt údajů", „porušení zabezpečení osobních údajů" a „dozorový úřad" mají význam dle čl. 4 GDPR.

1.5. Uzavřením Hlavní smlouvy a akceptací VOP Správce výslovně potvrzuje, že s touto DPA souhlasí a že jsou splněny všechny náležitosti smlouvy o zpracování osobních údajů dle čl. 28 odst. 3 GDPR.

2. Postavení Smluvních stran

2.1. Ve vztahu k osobním údajům, které Správce sám nebo prostřednictvím svých oprávněných uživatelů vkládá do Služby nebo které Služba pro Správce zpracovává (zejména údaje o klientech, dodavatelích, zaměstnancích, kontaktních osobách, příjemcích dokladů a dalších subjektech údajů), vystupuje:

• Správce v postavení správce osobních údajů ve smyslu čl. 4 odst. 7 GDPR;
• Zpracovatel v postavení zpracovatele osobních údajů ve smyslu čl. 4 odst. 8 GDPR.

2.2. Správce určuje účely a prostředky zpracování osobních údajů. Zpracovatel zpracovává osobní údaje pouze na základě a v rozsahu doložených pokynů Správce, kterými jsou zejména Hlavní smlouva, tato DPA, nastavení Služby učiněná Správcem a jednotlivé úkony Správce v Aplikaci.

2.3. Ve vztahu k osobním údajům Správce samotného (zejména identifikační, fakturační a kontaktní údaje osoby, která uzavřela Hlavní smlouvu, včetně údajů jejích členů a oprávněných uživatelů) je Zpracovatel sám správcem. Toto zpracování se řídí samostatným dokumentem Zásady zpracování osobních údajů a nespadá pod režim této DPA.

2.4. V případech, kdy Zpracovatel určuje účel zpracování samostatně (např. pro účely prevence podvodů, zajištění bezpečnosti sítě, plnění svých vlastních právních povinností, účetnictví, reporting a analytiku vlastního provozu), jedná rovněž jako samostatný správce a toto zpracování se této DPA netýká.

3. Předmět, povaha, účel a doba zpracování

3.1. Předmět zpracování: zpracování osobních údajů nezbytné pro poskytování Služby Správci v souladu s Hlavní smlouvou.

3.2. Povaha a účel zpracování: poskytování cloudové fakturační a evidenční aplikace, zejména:

• vystavování, ukládání, úprava, odesílání a správa faktur, zálohových faktur, dobropisů, dodacích listů, přijatých objednávek a dalších dokladů;
• vedení evidence klientů, dodavatelů, produktů, služeb, skladu a inventur;
• evidence nákladů a výdajů;
• vedení bankovní rekonciliace a párování plateb;
• automatizované generování opakovaných dokladů a odesílání upomínek;
• generování PDF, ISDOC, XML a CSV výstupů;
• odesílání e-mailů jménem Správce (doklady, upomínky, potvrzení, avíza);
• import a migrace dat z jiných systémů;
• vyhledávání ve veřejných registrech (ARES) a přepočty kurzy ČNB;
• zálohování, zajištění bezpečnosti a provozu Služby;
• zpřístupnění dokladů prostřednictvím veřejných odkazů s unikátními tokeny;
• poskytování statistik, přehledů a analytiky v Aplikaci výhradně pro Správce.

3.3. Doba zpracování: Zpracovatel zpracovává osobní údaje po celou dobu trvání Hlavní smlouvy a následně po dobu nezbytnou pro splnění povinností Zpracovatele dle této DPA, VOP a právních předpisů (zejména archivační povinnosti). Podrobné retenční lhůty jsou uvedeny v čl. 9 této DPA a v čl. 13.11 VOP.

3.4. Kategorie subjektů údajů: osobní údaje se týkají zejména následujících kategorií subjektů údajů, které určuje Správce:

• klienti a odběratelé Správce (fyzické osoby a fyzické osoby podnikající);
• dodavatelé Správce (fyzické osoby a fyzické osoby podnikající);
• kontaktní osoby právnických osob, s nimiž Správce obchoduje;
• zaměstnanci a spolupracovníci Správce (pokud je Správce do Aplikace vkládá, např. jako kontakty nebo jako uživatele svého účtu);
• příjemci e-mailů odesílaných prostřednictvím Služby;
• osoby uvedené na importovaných nebo migrovaných dokladech;
• další osoby, jejichž údaje Správce svým rozhodnutím do Služby vloží.

3.5. Kategorie osobních údajů: kategorie osobních údajů určuje Správce svým vložením dat do Aplikace. Typicky se jedná zejména o:

• identifikační údaje: jméno, příjmení, titul, obchodní firma, IČO, DIČ;
• kontaktní údaje: adresa (sídlo, fakturační, dodací), e-mail, telefonní číslo;
• ekonomické a transakční údaje: čísla bankovních účtů, IBAN, SWIFT, variabilní, konstantní a specifické symboly, částky, splatnosti, datum vystavení, datum uskutečnění zdanitelného plnění;
• údaje o vztahu: historie fakturace, historie plateb, stavy pohledávek, výše obratu s konkrétním subjektem;
• obsahové údaje dokladů: popis plnění, položky, poznámky, přílohy vložené Správcem;
• komunikační údaje: e-mailové adresy příjemců, obsah odeslaných e-mailů, datum a čas odeslání, doručenky, bounce informace;
• technické údaje ve vztahu k uživatelům účtu Správce: IP adresa, identifikátor relace, časy přihlášení, auditní záznamy.

3.6. Zvláštní kategorie osobních údajů. Služba není určena ke zpracování zvláštních kategorií osobních údajů ve smyslu čl. 9 GDPR (údaje o zdravotním stavu, rasovém původu, politických názorech, náboženském vyznání, biometrické údaje apod.) ani osobních údajů týkajících se rozsudků v trestních věcech a trestných činů dle čl. 10 GDPR. Správce se zavazuje takové údaje do Aplikace nevkládat. Pokud tak přesto učiní, činí tak výlučně na vlastní odpovědnost a riziko a Zpracovatel v souvislosti s takovými údaji nenese žádnou další zvýšenou odpovědnost.

4. Pokyny Správce

4.1. Zpracovatel se zavazuje zpracovávat osobní údaje výhradně na základě doložených pokynů Správce, včetně otázek předání osobních údajů do třetí země, nestanoví-li mu takové zpracování právo Unie nebo členského státu, které se na Zpracovatele vztahuje; v takovém případě Zpracovatel Správce informuje o tomto právním požadavku před zpracováním, ledaže by to tyto právní předpisy zakazovaly z důležitých důvodů veřejného zájmu.

4.2. Doloženými pokyny Správce jsou zejména:

• tato DPA, Hlavní smlouva a VOP;
• nastavení provedená Správcem v Aplikaci (zejména nastavení firmy, dokladů, e-mailových šablon, notifikací, párování, účetních období, uživatelů a rolí);
• jednotlivé úkony Správce nebo jeho oprávněných uživatelů v Aplikaci (vytvoření, úprava, odeslání nebo smazání záznamu);
• písemné pokyny zaslané Zpracovateli e-mailem na ahoj@dokladik.cz.

4.3. Pokud Zpracovatel získá důvodné podezření, že pokyn Správce porušuje GDPR nebo jiné předpisy o ochraně osobních údajů, bez zbytečného odkladu na to Správce upozorní. Zpracovatel je oprávněn odmítnout provedení zjevně protiprávního pokynu.

4.4. Správce prohlašuje, že získal veškeré potřebné právní tituly pro zpracování osobních údajů, které do Aplikace vkládá, a že splnil informační povinnost vůči subjektům údajů ve smyslu čl. 13 a 14 GDPR.

5. Povinnosti Zpracovatele

5.1. Zpracovatel se zavazuje zejména:

• zpracovávat osobní údaje výhradně na základě doložených pokynů Správce a v rozsahu nezbytném pro poskytování Služby;
• zajistit, aby osoby oprávněné zpracovávat osobní údaje byly zavázány k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti;
• přijmout všechna opatření požadovaná podle čl. 32 GDPR (zabezpečení zpracování — viz čl. 6 této DPA);
• dodržet podmínky pro zapojení dalšího zpracovatele (Subzpracovatele) uvedené v čl. 7 této DPA;
• zohlednit povahu zpracování a být Správci nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění jeho povinnosti reagovat na žádosti subjektů údajů o výkon jejich práv (viz čl. 8);
• být Správci nápomocen při zajišťování souladu s povinnostmi dle čl. 32 až 36 GDPR, a to při zohlednění povahy zpracování a informací, jež má Zpracovatel k dispozici;
• v souladu s rozhodnutím Správce po ukončení poskytování Služby všechny osobní údaje buď vymazat, nebo vrátit Správci a vymazat existující kopie, pokud právo Unie nebo členského státu nepožaduje jejich uložení (viz čl. 9);
• poskytnout Správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v čl. 28 GDPR, a umožnit audity prováděné Správcem nebo jiným auditorem, kterého Správce pověřil, a k těmto auditům přispět (viz čl. 11);
• vést záznamy o činnostech zpracování prováděných pro Správce v souladu s čl. 30 odst. 2 GDPR;
• bez zbytečného odkladu informovat Správce o porušení zabezpečení osobních údajů dle čl. 10 této DPA.

5.2. Zpracovatel se zavazuje zpracovávat osobní údaje pouze v rozsahu, za účelem a způsobem, který je nezbytný k poskytnutí Služby, a nepoužívat je k žádným jiným účelům, zejména je neprodávat, nepronajímat, nesdílet pro účely přímého marketingu třetích stran ani nevyužívat k trénování modelů strojového učení nebo umělé inteligence.

6. Technická a organizační opatření (čl. 32 GDPR)

6.1. Zpracovatel přijímá s ohledem na stav techniky, náklady na provedení, povahu, rozsah, kontext a účely zpracování i na různě pravděpodobná a různě závažná rizika pro práva a svobody fyzických osob vhodná technická a organizační opatření, aby zajistil úroveň zabezpečení odpovídající danému riziku.

6.2. Technická opatření zahrnují zejména:

• Šifrování při přenosu — veškerá komunikace mezi uživatelem a Službou probíhá výhradně prostřednictvím protokolu HTTPS / TLS 1.2+;
• Šifrování v klidu (at-rest) — osobní údaje v produkční databázi a souborovém úložišti jsou šifrovány standardními algoritmy poskytovanými infrastrukturou Subzpracovatelů (typicky AES-256);
• Hashování hesel — hesla uživatelů jsou ukládána výhradně jako jednosměrné hashe (bcrypt nebo obdobný silný algoritmus); Zpracovatel hesla v otevřené podobě nezná ani neukládá;
• Multi-tenant izolace — data jednotlivých Správců (organizací) jsou oddělena na úrovni databáze prostřednictvím row-level security a striktního filtrování podle identifikátoru organizace;
• Řízení přístupu — přístup k produkčním systémům má pouze omezený okruh pověřených osob s principem nejmenších nutných oprávnění (least privilege);
• Autentizace a autorizace uživatelů prostřednictvím zavedené autentizační vrstvy Subzpracovatele (Supabase Auth) s podporou silných hesel a možnosti vynucené změny hesla;
• Veřejné odkazy chráněné unikátními tokeny (UUID v4 s vysokou entropií), které lze kdykoli revokovat;
• Audit log — záznam všech významných operací (kdo, co, kdy, změny polí, snímky), append-only, popsaný v čl. 14 VOP;
• Error logging a monitoring infrastruktury a aplikace pro detekci anomálií, chybových stavů a incidentů;
• Pravidelné zálohování databáze a souborových úložišť prostřednictvím infrastruktury Subzpracovatelů;
• Rate limiting a ochrana proti zneužití API;
• Pravidelná aktualizace aplikačních knihoven, frameworků a závislostí pro odstranění známých zranitelností;
• Oddělení vývojového, testovacího a produkčního prostředí.

6.3. Organizační opatření zahrnují zejména:

• závazek mlčenlivosti osob, které mají přístup k produkčním systémům a datům;
• interní pravidla pro přístup k produkci a řešení bezpečnostních incidentů;
• smluvní zajištění ochrany dat u všech Subzpracovatelů;
• výběr Subzpracovatelů na základě hodnocení jejich bezpečnostních standardů a certifikací;
• pravidelný přezkum přijatých opatření.

6.4. Zpracovatel je oprávněn jednotlivá technická a organizační opatření v čase měnit a rozvíjet, zejména s ohledem na vývoj stavu techniky a na nové hrozby, vždy však při zachování nejméně stejné úrovně zabezpečení.

7. Subzpracovatelé (další zpracovatelé)

7.1. Správce uděluje Zpracovateli obecné povolení k zapojení dalších zpracovatelů (Subzpracovatelů) ve smyslu čl. 28 odst. 2 GDPR. Obecné povolení se vztahuje zejména na Subzpracovatele uvedené v čl. 7.3 této DPA.

7.2. Zpracovatel zajistí, aby každý Subzpracovatel:

• byl vázán obdobnými povinnostmi na ochranu osobních údajů, jaké vyplývají z této DPA;
• poskytoval dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby zpracování splňovalo požadavky GDPR;
• v případě předání osobních údajů do třetí země (mimo EU/EHP) měl zavedeny odpovídající záruky dle kapitoly V GDPR, zejména standardní smluvní doložky (SCC) přijaté Evropskou komisí (rozhodnutí 2021/914).

7.3. Seznam současných Subzpracovatelů ke dni účinnosti této DPA:

7.4. Aktuální seznam Subzpracovatelů je vždy k dispozici na vyžádání na e-mailu ahoj@dokladik.cz nebo může být zveřejněn v Aplikaci či na webu Zpracovatele.

7.5. Změna Subzpracovatelů. Zpracovatel informuje Správce o jakýchkoli zamýšlených změnách týkajících se přijetí dalších Subzpracovatelů nebo jejich nahrazení, a to nejméně 15 dnů předem, zpravidla prostřednictvím e-mailu, oznámení v Aplikaci nebo aktualizací této DPA. Správce má právo proti těmto změnám vznést odůvodněné námitky ve stejné lhůtě. Pokud Správce vznese odůvodněné námitky, Smluvní strany v dobré víře jednají o řešení. Pokud k dohodě nedojde, je Správce oprávněn Hlavní smlouvu vypovědět.

7.6. Zpracovatel odpovídá Správci za plnění povinností příslušných Subzpracovatelů ve smyslu čl. 28 odst. 4 GDPR.

8. Součinnost při uplatňování práv subjektů údajů

8.1. Zpracovatel je Správci nápomocen při plnění jeho povinností reagovat na žádosti subjektů údajů o výkon jejich práv dle kapitoly III GDPR, zejména:

• práva na přístup k osobním údajům (čl. 15);
• práva na opravu (čl. 16);
• práva na výmaz („práva být zapomenut", čl. 17);
• práva na omezení zpracování (čl. 18);
• práva na přenositelnost údajů (čl. 20);
• práva vznést námitku (čl. 21);
• práv v souvislosti s automatizovaným individuálním rozhodováním, včetně profilování (čl. 22) — Zpracovatel neprovádí automatizované rozhodování s právními účinky pro subjekty údajů.

8.2. Správce primárně realizuje práva subjektů údajů sám, prostřednictvím funkcí Aplikace (vkládání, úprava, export, mazání klientů, dokladů a souvisejících záznamů).

8.3. Pokud Správce výjimečně potřebuje další součinnost Zpracovatele (např. při exportu dat ve specifickém formátu, při technickém výmazu nebo při forenzním dohledání údajů), je Zpracovatel povinen takovou součinnost poskytnout v přiměřené lhůtě. Rozsáhlejší součinnost nad rámec běžného provozu Služby může být poskytnuta za přiměřenou úplatu podle aktuálního ceníku Zpracovatele.

8.4. Pokud se subjekt údajů obrátí přímo na Zpracovatele, Zpracovatel jej bez zbytečného odkladu odkáže na Správce a informuje o tom Správce, není-li Zpracovatel povinen podle právních předpisů jednat jinak.

9. Výmaz a vrácení dat po ukončení Služby

9.1. Po ukončení poskytování Služby (tj. po ukončení Hlavní smlouvy) Zpracovatel, v souladu s rozhodnutím Správce, osobní údaje:

• vrátí Správci prostřednictvím exportních funkcí Aplikace (PDF, ISDOC, XML, CSV); nebo
• vymaže je z produkčních systémů, s výjimkou případů, kdy je jejich uložení vyžadováno právem Unie nebo členského státu.

9.2. Správce je povinen si svá data exportovat ve lhůtě 30 dnů od ukončení Hlavní smlouvy. Po uplynutí této lhůty Zpracovatel osobní údaje vymaže, s výjimkou:

• údajů, které je povinen uchovávat podle zákonů o účetnictví, DPH a dalších právních předpisů (zejména archivace účetních a daňových dokladů Zpracovatele, které se Správce týkají);
• anonymizovaných a statistických údajů, které nelze přiřadit konkrétní osobě;
• záznamů v audit logu a chybových záznamů v rozsahu nezbytném pro provoz, bezpečnost a obhajobu právních nároků Zpracovatele — v souladu s retenčními lhůtami v čl. 13.11 VOP.

9.3. Konkrétní retenční lhůty pro jednotlivé kategorie dat jsou uvedeny v čl. 13.11 VOP, který je součástí této DPA.

9.4. Výmaz zálohovaných dat probíhá v souladu s rotací záloh u Subzpracovatelů infrastruktury (zpravidla 7 až 30 dnů). Z již nerotovaných záloh nelze jednotlivé záznamy obnovit a jejich další výmaz probíhá v rámci automatické rotace záloh.

9.5. Na vyžádání Správce Zpracovatel potvrdí výmaz osobních údajů písemně.

10. Porušení zabezpečení osobních údajů (data breach)

10.1. Dojde-li k porušení zabezpečení osobních údajů ve smyslu čl. 4 odst. 12 GDPR, Zpracovatel oznámí tuto skutečnost Správci bez zbytečného odkladu poté, co se o ní dozvěděl, zpravidla do 72 hodin, a to e-mailem na kontaktní adresu Správce uvedenou v Aplikaci.

10.2. Oznámení dle čl. 10.1 bude obsahovat alespoň:

• popis povahy porušení, pokud možno včetně kategorií a přibližného počtu dotčených subjektů údajů a přibližného počtu dotčených záznamů;
• jméno a kontaktní údaje kontaktní osoby, u níž lze získat další informace;
• popis pravděpodobných důsledků porušení;
• popis opatření, která Zpracovatel přijal nebo navrhl s cílem porušení řešit a zmírnit jeho nepříznivé důsledky.

10.3. Pokud není možné poskytnout všechny informace najednou, lze je poskytnout postupně bez dalšího zbytečného odkladu.

10.4. Zpracovatel poskytne Správci veškerou nezbytnou součinnost při plnění jeho oznamovacích povinností vůči Úřadu pro ochranu osobních údajů (čl. 33 GDPR) a vůči subjektům údajů (čl. 34 GDPR).

10.5. Samotné oznámení porušení zabezpečení není uznáním odpovědnosti Zpracovatele za dané porušení.

10.6. Správce je povinen přijímat a vyhodnocovat oznámení o porušení zabezpečení a splnit vlastní oznamovací povinnosti vůči dozorovému úřadu a subjektům údajů tam, kde to ukládá GDPR.

11. Audit a kontrola

11.1. Zpracovatel Správci poskytne veškeré informace nezbytné k prokázání splnění povinností stanovených v čl. 28 GDPR a umožní provedení auditu, a to za podmínek uvedených v tomto článku.

11.2. Správce je oprávněn provést audit nejvýše jednou za 12 měsíců, s výjimkou případů, kdy existuje důvodné podezření na porušení povinností Zpracovatele nebo kdy audit vyžaduje dozorový úřad.

11.3. Audit musí být Zpracovateli oznámen písemně nejméně 30 dnů předem a musí být proveden v pracovní době, způsobem, který nezpůsobí neúměrné narušení provozu Zpracovatele. Audit provádí Správce nebo nezávislý auditor, kterého Správce pověřil; auditor musí být předem odsouhlasen Zpracovatelem (souhlas nesmí být bezdůvodně odepřen) a musí být vázán povinností mlčenlivosti.

11.4. Zpracovatel je primárně oprávněn splnit svou povinnost poskytnout informace pro účely auditu formou dokumentace, zejména:

• aktuálního znění této DPA a VOP;
• aktuálního seznamu Subzpracovatelů;
• popisu přijatých technických a organizačních opatření;
• certifikací, zpráv o auditech a reportů typu SOC 2 / ISO 27001 (vlastních nebo Subzpracovatelů), jsou-li k dispozici;
• odpovědí na konkrétní dotazník Správce.

11.5. Pokud předložená dokumentace není pro účely auditu dostačující, je Správce oprávněn provést audit na místě, a to za podmínek dle čl. 11.3. Náklady na takový audit nese Správce, ledaže audit prokáže závažné porušení povinností ze strany Zpracovatele.

11.6. Zpracovatel není povinen umožnit audit, který by ohrozil důvěrnost dat jiných správců, bezpečnost Služby nebo obchodní tajemství Zpracovatele.

12. Předání osobních údajů do třetí země

12.1. Zpracovatel primárně zpracovává osobní údaje v rámci Evropské unie a Evropského hospodářského prostoru.

12.2. V případech, kdy někteří Subzpracovatelé mají sídlo mimo EU/EHP (zejména v USA), může docházet k předání osobních údajů do třetí země. Zpracovatel zajistí, aby bylo takové předání provedeno v souladu s kapitolou V GDPR, zejména:

• na základě rozhodnutí o odpovídající ochraně vydaného Evropskou komisí (např. EU-U.S. Data Privacy Framework pro certifikované subjekty);
• na základě standardních smluvních doložek (SCC) dle rozhodnutí Evropské komise 2021/914;
• s využitím dalších odpovídajících záruk dle čl. 46 GDPR.

12.3. Správce tímto uděluje Zpracovateli obecný souhlas s předáním osobních údajů do třetí země v rozsahu nezbytném pro poskytování Služby a za podmínek uvedených v čl. 12.2.

13. Odpovědnost a náhrada škody

13.1. Smluvní strany si navzájem odpovídají za škodu způsobenou porušením této DPA v souladu s GDPR a českými právními předpisy.

13.2. Limity odpovědnosti stanovené v čl. 9.3 VOP se uplatní přiměřeně i na nároky vyplývající z této DPA, s výjimkou případů, kdy to kogentní ustanovení GDPR nebo jiných právních předpisů neumožňují.

13.3. Správce bere na vědomí, že primární odpovědnost za zákonné zpracování osobních údajů, za získání právních titulů, za splnění informačních povinností vůči subjektům údajů a za plnění dalších povinností správce podle GDPR leží na Správci.

13.4. Zpracovatel se zprošťuje odpovědnosti ve smyslu čl. 82 odst. 3 GDPR, pokud prokáže, že nenese žádnou odpovědnost za událost, ze které škoda vznikla.

14. Doba platnosti a ukončení DPA

14.1. Tato DPA nabývá účinnosti dnem, kdy Správce akceptoval VOP nebo jinak vyjádřil souhlas s touto DPA (zejména registrací do Služby nebo zaplacením Předplatného).

14.2. DPA je uzavřena na dobu trvání Hlavní smlouvy a zaniká jejím ukončením, s výjimkou ustanovení, která svou povahou mají přetrvat (zejména povinnost mlčenlivosti, povinnost výmazu dat, vyřízení bezpečnostních incidentů a odpovědnostní ustanovení).

14.3. Zpracovatel je oprávněn tuto DPA jednostranně měnit, zejména s ohledem na vývoj právní úpravy, změnu Subzpracovatelů a rozvoj Služby. Změnu DPA Zpracovatel Správci oznámí e-mailem nebo oznámením v Aplikaci, nejméně 15 dnů předem. Pokud Správce se změnou nesouhlasí, je oprávněn Hlavní smlouvu vypovědět ke dni účinnosti nového znění DPA.

15. Závěrečná ustanovení

15.1. Tato DPA a všechny právní vztahy z ní vyplývající se řídí právním řádem České republiky a přímo použitelnými předpisy Evropské unie, zejména GDPR.

15.2. Pro řešení sporů z této DPA jsou příslušné soudy České republiky v souladu s čl. 22 VOP.

15.3. Kontaktním místem pro záležitosti ochrany osobních údajů na straně Zpracovatele je e-mail ahoj@dokladik.cz.

15.4. Dozorovým úřadem je Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, www.uoou.gov.cz.

15.5. Je-li některé ustanovení této DPA neplatné, neúčinné nebo nevymahatelné, nedotýká se to platnosti a účinnosti ostatních ustanovení. Neplatné ustanovení bude nahrazeno ustanovením, jehož smysl se mu nejvíce blíží a je v souladu s GDPR.

15.6. Tato DPA tvoří úplnou dohodu Smluvních stran o zpracování osobních údajů a nahrazuje veškerá dřívější ujednání mezi Smluvními stranami v této věci.

15.7. Tato DPA nabývá účinnosti dne 7. 4. 2026.