← Zpět na hlavní stránku

Smlouva o zpracování údajů (DPA)

Verze 1.0 · Účinnost od 2026-04-30

Tato DPA tvoří nedílnou součást obchodních podmínek. Splňuje článek 28 Nařízení (EU) 2016/679 ("GDPR") a upravuje, jak zpracováváme osobní údaje vaším jménem.

1. Strany a role

Správce: Vy (zákaznická organizace, která se zaregistrovala — typicky společenství vlastníků jednotek nebo jeho zástupce).

Zpracovatel: Filip Vnenčák, OSVČ, Slovenská republika, provozující ResiApp Cloud.

2. Předmět a doba

Předmět: hosting a provozování izolované instance OpenResiApp vaším jménem, včetně úložiště databáze, běhu aplikace a automatických záloh.

Doba: do ukončení základní smlouvy o službě.

3. Povaha a účel zpracování

Osobní údaje zpracováváme pouze k provozu služby: jejich uchovávání, zálohování, zobrazování zpět vám a zajištění bezpečnosti a dostupnosti. Údaje zákazníka neanalyzujeme, neprofilujeme ani jinak nepoužíváme.

4. Kategorie subjektů údajů

  • Členové vašeho společenství vlastníků jednotek
  • Vlastníci a nájemci jednotek ve vaší budově
  • Členové výboru / předsednictva
  • Hosté / dodavatelé uvedení v záznamech

5. Kategorie osobních údajů

Cokoliv nahrajete — typicky: jména, adresy, čísla bytů, kontaktní údaje (e-mail, telefon), spoluvlastnický podíl, hlasovací záznamy, zápisy ze schůzí, přílohy dokumentů. Můžete také nahrávat zvláštní kategorie údajů (např. zdravotní informace pro záznamy o přístupnosti); v takovém případě viz část 13.

6. Naše povinnosti jako zpracovatele

Zavazujeme se:

  • zpracovávat vaše údaje pouze na základě vašich zdokumentovaných pokynů, kromě případů, které vyžaduje právo EU nebo SR;
  • zajistit, aby osoby oprávněné přistupovat k vašim údajům byly vázány mlčenlivostí;
  • zavést přiměřená technická a organizační bezpečnostní opatření (část 9);
  • zapojit pouze sub-zpracovatele uvedené v části 7 a oznamovat vám změny;
  • pomáhat vám při vyřizování žádostí subjektů údajů;
  • pomáhat vám při plnění povinností podle čl. 32-36 GDPR (bezpečnost, oznamování porušení, DPIA, předchozí konzultace);
  • po ukončení smlouvy údaje smazat nebo vrátit (část 10);
  • poskytnout informace nutné k prokázání souladu a umožnit audity.

7. Sub-zpracovatelé

Souhlasíte se sub-zpracovateli uvedenými na /legal/subprocessors. Přidání nebo nahrazení sub-zpracovatele vám oznámíme e-mailem nejméně 30 dní předem. Můžete vznést námitku z odůvodněných důvodů; pokud námitce nemůžeme vyhovět, můžete ukončit smlouvu.

8. Mezinárodní přenosy

Údaje aplikace jsou hostovány v EU (AWS eu-central-1, Německo). Stripe může přenášet fakturační údaje do USA na základě standardních smluvních doložek EU (2021/914). Jiné přenosy Údajů zákazníka mimo EHP se neuskutečňují.

9. Bezpečnostní opatření

  • AES-256 šifrování při uložení pro databáze a zálohy
  • TLS 1.3 při přenosu
  • Izolovaná databáze pro každou zákaznickou instanci
  • Princip nejmenších oprávnění v IAM (žádný přímý lidský přístup k DB při rutinním provozu)
  • Denní šifrované zálohy uchovávané 30 dní v samostatném S3 bucket-u pro každou organizaci
  • Veřejný přístup zablokován na všech záložních úložištích
  • Audit logy administrátorských akcí
  • MFA dostupné pro administrátorské účty zákazníků
  • Pravidelné aktualizace závislostí a bezpečnostní záplaty

10. Vrácení a smazání údajů

Při ukončení smlouvy o službě:

  • vaše údaje zůstávají dostupné k exportu 30 dní;
  • po 30 dnech je produkční databáze trvale smazána;
  • šifrované zálohy mohou existovat ještě dalších 30 dní v rámci naší politiky uchovávání záloh, poté jsou automaticky smazány;
  • toto 30denní uchovávání záloh je dokumentováno jako bezpečnostní opatření podle čl. 32 GDPR a je nezbytné pro obnovu po incidentech — 30denní okno je minimum, které jsme určili jako provozně přiměřené.

Dřívější smazání můžete požádat e-mailem na privacy@resiapp.cloud. Produkční údaje smažeme do 7 dní; uchovávání záloh se stále uplatní (toto omezení přijímáte podpisem této DPA).

11. Porušení ochrany osobních údajů

Bez zbytečného odkladu, a v každém případě do 72 hodin od oznámení o porušení ochrany osobních údajů týkajícím se vašich údajů, vás budeme informovat se všemi informacemi požadovanými čl. 33 odst. 3 GDPR, abyste mohli splnit vlastní oznamovací povinnosti vůči dozorovému úřadu.

12. Audit

Náš soulad s touto DPA můžete auditovat jednou za kalendářní rok, s 30denním písemným oznámením, během běžných pracovních hodin a způsobem, který neomezuje náš provoz. Audity se mohou provádět písemně (dotazník) nebo přezkoumáním certifikací třetích stran (např. AWS SOC 2). Audit na místě může být požadován z odůvodněného důvodu.

13. Zvláštní kategorie údajů

Pokud nahráváte zvláštní kategorie údajů (čl. 9 GDPR — zdravotní, biometrické, rasový/etnický původ, náboženské vyznání atd.), odpovídáte za zajištění právního základu podle čl. 9 odst. 2. Všechny údaje zpracováváme se stejnými bezpečnostními opatřeními bez ohledu na kategorii.

14. Odpovědnost

Každá strana odpovídá za škody vyplývající z vlastního porušení GDPR. Omezení odpovědnosti podle hlavních obchodních podmínek se vztahuje na tuto DPA, kromě případů, kde to zakazuje čl. 82 GDPR.

15. Změny této DPA

Podstatné změny (nové kategorie sub-zpracovatelů, změny uchovávání, podstatné bezpečnostní změny) oznámíme 30 dní předem a mohou vyžadovat vaše opětovné přijetí. Vaše další používání služby po datu účinnosti představuje souhlas s nepodstatnými změnami.

16. Přijetí

Přijetím podmínek při registraci souhlasíte s touto DPA. Vaše přijetí je zaznamenáno s časovým razítkem a verzí DPA ve vašem organizačním záznamu. Podepsanou PDF kopii si můžete kdykoliv vyžádat e-mailem na privacy@resiapp.cloud.

Poskytovatel: Filip Vnenčák, Slovenská republika.

Kontakt: privacy@resiapp.cloud

SoukromíPodmínkyDPASub-zpracovateléCookiesVaše práva