Smlouva o zpracování osobních údajů (DPA)
dle čl. 28 GDPR (EU) 2016/679
Poslední aktualizace: 17. 3. 2026
Smluvní strany
Správce: Klient — podnikatel registrovaný ke službě Reputive
Zpracovatel: Digifox s.r.o., IČO: 23894865, Kostice, ČR, Datová schránka: pq4uk35, info@reputive.app
Tato DPA je nedílnou součástí Obchodních podmínek a nabývá účinnosti registrací ke službě.
1. Předmět a účel zpracování
1.1 Účel
Zpracovatel zpracovává osobní údaje zákazníků Správce za účelem:
- Zasílání automatizovaných e-mailových a SMS žádostí o Google recenzi
- Sledování stavu komunikace (odesláno, kliknuto, recenze napsána)
- Deduplikace zákazníků
1.2 Typy zpracovávaných dat
- Jméno, příjmení
- E-mailová adresa, telefonní číslo
- Komunikační metadata (datum odeslání, kliknutí, stav sekvence)
1.3 Subjekty údajů
Zákazníci provozoven Správce — fyzické osoby které navštívily provozovnu.
1.4 Trvání
Po dobu trvání Smlouvy. Po ukončení Zpracovatel smaže/vrátí data do 30 dní.
2. Povinnosti Zpracovatele
2.1 Zpracovávat pouze na pokyn Správce
Zpracovatel zpracovává osobní údaje pouze na základě pokynů Správce (konfigurace v Reputive a tato DPA). O povinném zpracování dle práva EU informuje Správce předem.
2.2 Mlčenlivost
Osoby zpracovávající data jsou vázány mlčenlivostí.
2.3 Technická a organizační opatření (čl. 32 GDPR)
Technická:
- Šifrování přenosu (TLS 1.3), šifrování hesel (bcrypt)
- Row Level Security — izolace dat jednotlivých Správců
- Přístup na principu nejmenšího privilegia
- Monitoring incidentů, pravidelné zálohy (EU region)
Organizační:
- Přístup zaměstnanců pouze v nezbytném rozsahu
- Pravidelné bezpečnostní audity
2.4 Podpracovatelé
Správce uděluje obecné povolení pro níže uvedené podpracovatele. O změnách informujeme 30 dní předem.
| Podpracovatel | Sídlo | Rozsah | Záruka |
|---|---|---|---|
| Supabase Inc. | USA (server: Frankfurt, EU) | Databáze | SCCs, EU region |
| Vercel Inc. | USA | Hosting | SCCs |
| Resend Inc. | USA | Odesílání e-mailů | SCCs |
| Google LLC (Gemini) | USA | AI analýza textů recenzí | SCCs |
| Sentry Inc. | USA | Chybové logy | SCCs |
| ThePay.cz s.r.o. | ČR | Platby | EU |
Aktuální seznam: reputive.cz/subprocessors
2.5 Pomoc s právy subjektů údajů
Zpracovatel poskytne součinnost při vyřizování žádostí subjektů. Export zákazníků (CSV/JSON) dostupný přímo v aplikaci.
2.6 Hlášení incidentů
Bezpečnostní incidenty hlásíme Správci do 48 hodin od zjištění s popisem povahy, rozsahu a přijatých opatření.
2.7 Audit
Na žádost s 14denním předstihem zpřístupníme informace potřebné k prokázání souladu s čl. 28 GDPR.
2.8 Smazání dat po ukončení
Do 30 dní od ukončení smlouvy smažeme veškerá data nebo poskytneme export.
3. Povinnosti Správce
- Zpracovávat zákaznická data na základě platného právního základu (typicky oprávněný zájem dle čl. 6 odst. 1 písm. f) GDPR)
- Informovat zákazníky o zpracování dle čl. 13 GDPR (v podmínkách prodeje své provozovny)
- Neposkytovat zvláštní kategorie osobních údajů dle čl. 9 GDPR
4. Přenos dat mimo EU
Přenosy do USA jsou zajištěny SCCs dle rozhodnutí Komise 2021/914. Databáze Supabase je fyzicky v EU (Frankfurt) — data neopouštějí EU.
5. Rozhodné právo
Tato DPA se řídí právem České republiky.
6. Kontakt
info@reputive.app | Datová schránka: pq4uk35