Verze: 1.0 | Publikováno: 08. 04. 2026 | Účinnost od: 08. 04. 2026 | 📂 Stáhnout aktuální znění v PDF
Tato příloha je nedílnou součástí VOP a doplňuje jejich obecnou část. Její ustanovení mají stejnou právní sílu jako ustanovení obecné části VOP a v rozsahu své odlišné úpravy mají přednost; v ostatním se použijí ustanovení obecné části VOP. Pojmy použité v této příloze mají stejný význam jako ve VOP, není-li uvedeno jinak. Příloha je dostupná dálkovým přístupem obdobně jako VOP.
- Příloha upravuje práva a povinnosti smluvních stran při zpracování osobních údajů v souladu s čl. 28 Nařízení Evropského parlamentu a Rady (EU) 2016/679 (GDPR).
Tato příloha se uplatní pouze v případě, kdy Poskytovatel v rámci plnění Smlouvy (např. hosting, správa databáze, SaaS) zpracovává osobní údaje, jejichž správcem je Zákazník (dále jen „Data Zákazníka“). V tomto vztahu vystupuje Zákazník jako Správce a Poskytovatel jako Zpracovatel.
- Poskytovatel se zavazuje zpracovávat Data Zákazníka pouze pro účely poskytování Služeb dle Smlouvy (např. uložení dat na serveru, zálohování, technická podpora).
- Zpracování probíhá po dobu trvání Smlouvy a dále po dobu nezbytnou k technickému ukončení poskytování Služby (např. doběh záloh) nebo v rozsahu vyžadovaném právními předpisy.
- Povaha zpracování zahrnuje: shromažďování, ukládání, zpřístupňování, přenášení, vyhledávání, používání a výmaz (automatizovaně v informačních systémech Poskytovatele).
- Typy osobních údajů a kategorie subjektů údajů jsou určeny Zákazníkem (typicky jde o identifikační a kontaktní údaje, přihlašovací údaje, údaje o využívání služby (logy) a obsah vložený Zákazníkem; kategorie subjektů: zákazníci, zaměstnanci, uživatelé webu/aplikace Zákazníka).
Zákazník uděluje obecné povolení k zapojení dalších zpracovatelů – sub-zpracovatelů (např. poskytovatele datacentra / cloudových služeb). Seznam aktuálních sub-zpracovatelů (tj. subdodavatelů Poskytovatele, kteří při poskytování Služeb zpracovávají osobní údaje) je uveden v Zásadách ochrany osobních údajů Poskytovatele. Poskytovatel zajistí, aby sub-zpracovatelé byli vázáni povinnostmi v rozsahu odpovídajícím alespoň této doložce.
- Poskytovatel informuje dotčené Zákazníky o plánované změně sub-zpracovatele nejméně 30 dnů předem (není-li změna nutná z bezpečnostních či zákonných důvodů). Zákazník může ve lhůtě 14 dnů vznést odůvodněnou námitku. V takovém případě Poskytovatel nabídne přiměřené alternativní řešení; není-li dostupné, může Zákazník ukončit dotčenou Službu.
Poskytovatel se zavazuje:
- Doložené pokyny: Zpracovávat Data Zákazníka výhradně na základě doložených pokynů Zákazníka (za pokyn se považuje i Smlouva a konfigurace Služby) nebo vyžaduje-li to platný právní předpis. Pokud by pokyn Zákazníka porušoval GDPR, Poskytovatel jej na to, je-li to možné, upozorní.
- Poskytovatel je oprávněn provést nezbytný technický nebo bezpečnostní zásah i bez pokynu Zákazníka, je-li to nutné k ochraně osobních údajů, infrastruktury nebo k odvrácení bezprostřední škody (např. při kompromitaci, útoku, havárii nebo zneužití Služby v rozporu s VOP / Pravidly užití). O takovém zásahu Poskytovatel Zákazníka informuje bez zbytečného odkladu.
- Mlčenlivost: Zajistit, aby se osoby oprávněné zpracovávat osobní údaje (zaměstnanci, kontraktoři, sub-zpracovatelé) zavázaly k mlčenlivosti.
- Zabezpečení: Přijmout vhodná technická a organizační opatření k zabezpečení dat dle čl. 32 GDPR (šifrování, zálohování, řízení přístupů), jak je uvedeno v bezpečnostní dokumentaci nebo Zásadách ochrany osobních údajů Poskytovatele. V případě porušení zabezpečení osobních údajů musí Poskytovatel bez zbytečného odkladu uvědomit Zákazníka.
- Součinnost: Být nápomocen Zákazníkovi při plnění jeho povinností reagovat na žádosti o výkon práv subjektů údajů (např. výmaz dat z hostingu) a při ohlašování bezpečnostních incidentů. Poskytovatel poskytne součinnost v přiměřeném rozsahu a s ohledem na povahu zpracování. Nad rámec běžné podpory může být součinnost zpoplatněna dle hodinové sazby / ceníku, pokud se strany nedohodnou jinak.
- Výmaz dat: Po ukončení poskytování Služeb spojených se zpracováním Data Zákazníka vymazat nebo vrátit Zákazníkovi (dle jeho volby), pokud právní předpisy nevyžadují jejich další uložení. Vrácení probíhá v přiměřeném exportním formátu, je-li to technicky možné. Výmaz se může týkat i záloh, avšak až po uplynutí jejich retenční doby.
- Přenosy dat mimo EU/EHP: Pokud by mělo docházet k předání osobních údajů mimo EU/EHP, zajistit odpovídající záruky dle GDPR (např. standardní smluvní doložky).
- Evidence: Vést záznamy o činnostech zpracování v rozsahu vyžadovaném GDPR.
Zákazník odpovídá za zákonnost zpracování Dat Zákazníka, zejména za právní základ, plnění informačních povinností vůči subjektům údajů a za to, že jeho pokyny jsou v souladu s GDPR.
- Poskytovatel doloží Zákazníkovi na jeho písemnou žádost a v přiměřené lhůtě soulad s povinnostmi dle čl. 28 GDPR.
- Vzhledem k tomu, že Služby jsou poskytovány převážně prostřednictvím virtuální/cloudové infrastruktury a Poskytovatel typicky neuchovává Data Zákazníka ve vlastním datacentru, se audit provádí primárně dálkovou formou.
- Audit probíhá formou:
- Poskytnutí vyplněných bezpečnostních dotazníků.
- Předložení dokumentace k technickému a organizačnímu zabezpečení.
- Předložení certifikátů nebo auditorských zpráv sub-zpracovatelů (např. ISO 27001 certifikát hostingu/datacentra).
- Audit lze provést přiměřeně, nejvýše 1× ročně, není-li důvodem bezpečnostní incident nebo zákonný požadavek. Náklady auditu nese Zákazník, pokud se strany nedohodnou jinak; v případě zjištěného podstatného porušení povinností na straně Poskytovatele ponese přiměřené náklady Poskytovatel.
- On-site audit je možný pouze ve výjimečných případech, pokud je odůvodněně nezbytný, a vždy za předem dohodnutých podmínek, které chrání bezpečnost a důvěrnost. Kontroly v datacentrech sub-zpracovatelů se řídí jejich podmínkami a jsou typicky nahrazovány certifikacemi / auditorskými zprávami.
Účinnost této přílohy se řídí datem účinnosti VOP, jejichž je příloha nedílnou součástí.