Zmluva o spracovaní osobných údajov

1. Predmet a účel spracovania

Spracovateľ poskytuje Prevádzkovateľovi softvérový systém GemiSys™ na riadenie pekárenskej alebo cukrárenskej prevádzky. V rámci poskytovania tejto služby Spracovateľ technicky spracováva osobné údaje, ktoré Prevádzkovateľ do systému vkladá — výhradne za účelom poskytovania a prevádzky dohodnutej služby.

Právny základ: čl. 28 GDPR — spracovanie v mene prevádzkovateľa.

2. Kategórie spracovávaných údajov

V závislosti od využívania systému môžu byť spracovávané nasledujúce kategórie údajov:

• Mená a kontaktné údaje zákazníkov pekárne / cukrárne
• História nákupov a objednávok
• Prevádzkové záznamy (výroba, zásoby, receptúry)
• Prihlasovacie údaje zamestnancov (meno, e-mail)

Spracovateľ nespracováva osobitné kategórie citlivých údajov (zdravotné, biometrické a pod.).

3. Technický prístup Spracovateľa

Spracovateľ má technický prístup k databáze Prevádzkovateľa výhradne za nasledujúcich podmienok:

• Na žiadosť Prevádzkovateľa — pri riešení nahláseného technického problému
• Pri výpadku systému — za účelom obnovy funkčnosti a integrity dát
• Pravidelné zálohovanie — automatizované, bez prezerania obsahu
• Bezpečnostný monitoring — sledovanie dostupnosti a výkonu, nie obsahu

Spracovateľ sa zaväzuje, že do databázy Prevádzkovateľa nevstúpi bez odôvodneného technického dôvodu a že obsah obchodných dát (zákazníci, tržby, receptúry) nebude sledovať, analyzovať ani akokoľvek využívať pre vlastné účely.

4. Izolácia dát

Každý klient systému GemiSys™ má vlastnú izolovanú databázu, fyzicky a logicky oddelenú od databáz ostatných klientov. Spracovateľ nezlučuje, neagreguje ani neprepája dáta rôznych klientov. Iný klient systému GemiSys™ nemá a nemôže mať prístup k dátam Prevádzkovateľa — technicky ani zmluvne.

5. Subdodávatelia (Sub-spracovateľia)

Spracovateľ využíva nasledujúcich sub-spracovateľov:

• Google LLC (Vertex AI) — AI asistentka Linda. Zmluvne garantované: dáta klientov sa nikdy nepoužívajú na trénovanie AI modelov.
• Cloudflare, Inc. — ochrana sieťovej vrstvy (Zero Trust). Obsah dát nie je spracovávaný.

Fyzické servery sú prevádzkované výhradne Spracovateľom v dátovom centre v Rosine, SR. Dáta neopúšťajú územie Európskej únie.

6. Bezpečnostné opatrenia

Spracovateľ zabezpečuje ochranu osobných údajov prostredníctvom:

• Šifrovania všetkých spojení (TLS/SSL)
• Cloudflare Zero Trust — ochrana pred neoprávneným prístupom
• Pravidelných záloh s overením integrity
• Prístupu k systému len pre oprávnených zamestnancov Spracovateľa

7. Práva Prevádzkovateľa

Prevádzkovateľ má právo kedykoľvek:

• Požiadať o výpis alebo export svojich dát
• Požiadať o vymazanie dát pri ukončení zmluvy
• Vykonať alebo nechať vykonať audit spracovania osobných údajov
• Dostať informáciu o každom prístupe Spracovateľa do jeho databázy

8. Povinnosti Spracovateľa

Spracovateľ sa zaväzuje:

• Spracovávať údaje len na základe doložených pokynov Prevádzkovateľa
• Zachovávať mlčanlivosť o spracovávaných údajoch
• Bezodkladne informovať Prevádzkovateľa o akomkoľvek bezpečnostnom incidente
• Po ukončení zmluvy vymazať alebo vrátiť všetky osobné údaje
• Poskytnúť súčinnosť pri plnení povinností Prevádzkovateľa voči dotknutým osobám

9. Trvanie a ukončenie

Táto zmluva je platná po dobu trvania hlavnej zmluvy o poskytovaní systému GemiSys™. Po ukončení hlavnej zmluvy Spracovateľ do 30 dní vymaže všetky osobné údaje Prevádzkovateľa, pokiaľ právne predpisy nevyžadujú ich uchovanie.

10. Rozhodné právo

Táto zmluva sa riadi právom Slovenskej republiky a príslušnými predpismi EÚ (GDPR). Príslušným súdom je Okresný súd Žilina.

Kontakt pre záležitosti ochrany osobných údajov: [email protected]