Smlouva o zpracování osobních údajů
Data Processing Agreement (DPA) — dle čl. 28 Nařízení GDPR (EU) 2016/679
Správce
Klient — fyzická nebo právnická osoba, která uzavřela smlouvu o používání systému GemiSys™ se společností Xbiz s.r.o. (dále jen „Správce")
Zpracovatel
Xbiz s.r.o., Rosina 541, 013 22 Rosina, Slovenská republika, IČO: 51654814 (dále jen „Zpracovatel")
1. Předmět a účel zpracování
Zpracovatel poskytuje Správci softwarový systém GemiSys™ pro řízení pekárny nebo cukrárny. V rámci poskytování této služby Zpracovatel technicky zpracovává osobní údaje, které Správce do systému vkládá — výhradně za účelem poskytování a provozování sjednané služby.
Právní základ: čl. 28 GDPR — zpracování jménem správce.
2. Kategorie zpracovávaných údajů
V závislosti na využívání systému mohou být zpracovávány následující kategorie údajů:
- Jména a kontaktní údaje zákazníků pekárny / cukrárny
- Historie nákupů a objednávek
- Provozní záznamy (výroba, zásoby, receptury)
- Přihlašovací údaje zaměstnanců (jméno, e-mail)
Zpracovatel nezpracovává zvláštní kategorie citlivých údajů.
„Veškeré údaje vložené Správcem do systému GemiSys™ jsou a zůstávají výhradním vlastnictvím Správce. Zpracovatel je nepoužívá k žádnému jinému účelu než k provozu systému pro tohoto konkrétního klienta."
3. Technický přístup Zpracovatele
Zpracovatel má technický přístup k databázi Správce výhradně za následujících podmínek:
- Na žádost Správce — při řešení nahlášeného technického problému
- Při výpadku systému — za účelem obnovy funkčnosti a integrity dat
- Pravidelné zálohování — automatizované, bez prohlížení obsahu
- Bezpečnostní monitoring — sledování dostupnosti a výkonu, nikoli obsahu
Zpracovatel se zavazuje, že do databáze Správce nevstoupí bez odůvodněného technického důvodu a obsah obchodních dat nebude sledovat, analyzovat ani využívat pro vlastní účely.
4. Izolace dat
Každý klient systému GemiSys™ má vlastní izolovanou databázi, fyzicky a logicky oddělenou od databází ostatních klientů. Zpracovatel neslučuje, neagreguje ani nepropojuje data různých klientů. Jiný klient systému GemiSys™ nemá a nemůže mít přístup k datům Správce.
5. Subdodavatelé
- Google LLC (Vertex AI) — AI asistentka Linda. Smluvně garantováno: data klientů se nikdy nepoužívají pro trénování AI modelů.
- Cloudflare, Inc. — ochrana síťové vrstvy. Obsah dat není zpracováván.
Fyzické servery jsou provozovány výhradně Zpracovatelem v Rosině, SR. Data neopouštějí území Evropské unie.
6. Práva Správce
- Požádat o export svých dat
- Požádat o vymazání dat při ukončení smlouvy
- Provést audit zpracování osobních údajů
- Získat informaci o každém přístupu Zpracovatele do jeho databáze
7. Povinnosti Zpracovatele
- Zpracovávat údaje pouze na základě pokynů Správce
- Zachovávat mlčenlivost o zpracovávaných údajích
- Neprodleně informovat Správce o bezpečnostním incidentu
- Po ukončení smlouvy vymazat nebo vrátit všechny osobní údaje do 30 dní
8. Rozhodné právo
Tato smlouva se řídí právem Slovenské republiky a příslušnými předpisy EU (GDPR). Kontakt: [email protected]