dle čl. 28 nařízení (EU) 2016/679 (GDPR)
Zpracovatel: CUBE-IN solutions s.r.o., IČO: 28621778, se sídlem Jaromíra Šamala 914/9, Polanka nad Odrou, 725 25 Ostrava
(provozovatel služby SprávaDat — Personální data online (JMHZ), dále jen „Zpracovatel")
Správce: Uživatel služby SprávaDat — zaměstnavatel nebo účetní kancelář
(osoba, která si vytvořila účet ve Službě, dále jen „Správce")
Tato zpracovatelská smlouva (dále jen „DPA") je nedílnou součástí Obchodních podmínek služby SprávaDat a nabývá účinnosti okamžikem přijetí Obchodních podmínek při registraci účtu.
1.1. Zpracovatel na základě této smlouvy zpracovává osobní údaje jménem Správce v souvislosti s poskytováním služby SprávaDat — Personální data online (JMHZ).
1.2. Tato smlouva stanoví práva a povinnosti smluvních stran při zpracování osobních údajů v souladu s čl. 28 nařízení Evropského parlamentu a Rady (EU) 2016/679 (dále jen „GDPR") a zákonem č. 110/2019 Sb., o zpracování osobních údajů.
2.1. Účel zpracování: Sběr, uložení (v šifrované podobě) a zpřístupnění personálních údajů zaměstnanců Správce potřebných pro Jednotné měsíční hlášení zaměstnavatelů dle zákona č. 323/2025 Sb. Sběr probíhá prostřednictvím jednorázových odkazů (e-mail, SMS) nebo sběru dat na místě na sdíleném zařízení.
2.2. Doba zpracování: Po dobu trvání účtu Správce ve Službě. Správce může kdykoli smazat záznamy zaměstnanců z administrace Služby. Po zrušení účtu jsou data uchovávána po dobu 30 dnů pro možnost exportu a poté trvale smazána.
| Kategorie | Typ dat | Uložení |
|---|---|---|
| Zaměstnanci — metadata | Jméno, e-mail, telefon, stav vyplnění | Plaintext (nutné pro odeslání odkazů a správu) |
| Zaměstnanci — personální data | Rodné číslo, adresa, vzdělání, zdravotní pojišťovna, daňové slevy, vyživované děti, OZP status, bankovní spojení, státní občanství, elektronický podpis (sběr dat na místě) aj. | Šifrovaný ciphertext (Zpracovatel nemá přístup k obsahu) |
| Uživatelé účtu | E-mail, hash hesla, hash IP adresy, záznamy o aktivitě | Plaintext / hashované |
4.1. Zpracovatel zpracovává osobní údaje pouze na základě doložených pokynů Správce, včetně pokynů týkajících se předání osobních údajů do třetí země, ledaže by mu zpracování ukládalo právo Unie nebo členského státu.
4.2. Zpracovatel zajistí, aby osoby oprávněné zpracovávat osobní údaje byly vázány povinností mlčenlivosti.
4.3. Zpracovatel přijme veškerá opatření požadovaná dle čl. 32 GDPR (viz článek 6 této smlouvy).
4.4. Zpracovatel zapojí dalšího zpracovatele (subdodavatele) pouze za podmínek stanovených v článku 9 této smlouvy.
4.5. Zpracovatel je Správci nápomocen při plnění povinností souvisejících s právy subjektů údajů dle čl. 15–22 GDPR, a to v rozsahu, který je technicky možný s ohledem na zero-knowledge architekturu (Zpracovatel nemůže poskytnout obsah šifrovaných dat).
4.6. Zpracovatel je Správci nápomocen při zajišťování souladu s povinnostmi dle čl. 32–36 GDPR, včetně posouzení vlivu na ochranu osobních údajů (DPIA), pokud je vyžadováno.
4.7. Po ukončení poskytování služby Zpracovatel na žádost Správce všechny osobní údaje vymaže nebo vrátí, a to v souladu s článkem 8 této smlouvy.
4.8. Zpracovatel poskytne Správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v čl. 28 GDPR, a umožní audity a inspekce prováděné Správcem nebo jím pověřeným auditorem. Audity budou prováděny po předchozí dohodě a na náklady Správce.
5.1. Správce odpovídá za zákonnost zpracování osobních údajů zaměstnanců. Zákonným titulem pro zpracování je plnění zákonné povinnosti dle čl. 6 odst. 1 písm. c) GDPR ve spojení se zákonem č. 323/2025 Sb.
5.2. Správce je povinen řádně informovat zaměstnance o zpracování jejich osobních údajů dle čl. 13 a 14 GDPR ještě před zahájením sběru dat.
5.3. Správce nese plnou odpovědnost za bezpečné uložení hesla a obnovovací fráze. Zpracovatel nemá technickou možnost obnovit přístup k šifrovaným datům v případě jejich ztráty.
6.1. Zpracovatel implementuje následující technická a organizační opatření dle čl. 32 GDPR:
| Opatření | Popis |
|---|---|
| End-to-end šifrování | Zero-knowledge architektura: data šifrována v prohlížeči algoritmem X25519 (ECDH) + XChaCha20-Poly1305 před odesláním na server. |
| Derivace klíčů | Argon2id (memory 64 MB, 3 iterace, 4 paralelní vlákna) pro odvození šifrovacích klíčů z hesla. |
| Hashování hesel | Bcrypt s dostatečným cost factorem pro uživatelská hesla. |
| Anonymizace IP | IP adresy hashované SHA-256 se solí — nelze zpětně odvodit konkrétní IP. |
| Dvoufaktorové ověření | Podpora TOTP 2FA pro uživatelské účty. |
| Šifrovaná komunikace | HTTPS/TLS pro veškerou komunikaci, HSTS. |
| Bezpečnostní hlavičky | CSP (Content Security Policy), X-Frame-Options, X-Content-Type-Options. |
| Hosting v EU | Servery výhradně v datových centrech v Evropské unii (Česká republika, Exmasters s.r.o.). |
| Zálohování | Pravidelné zálohy šifrovaných dat na EU serverech. |
| Audit trail | Kompletní log veškerých akcí — přihlášení, odemčení záznamů, export dat, změny nastavení, doručení e-mailů. Zaznamenáno: čas, typ akce, IP hash, identifikátor účtu. |
7.1. Zpracovatel oznámí Správci jakékoli porušení zabezpečení osobních údajů bez zbytečného odkladu, nejpozději do 48 hodin od okamžiku, kdy se o porušení dozvěděl.
7.2. Oznámení bude obsahovat:
7.3. Správce odpovídá za oznámení incidentu dozorovému úřadu (ÚOOÚ) do 72 hodin dle čl. 33 GDPR a za případné informování dotčených subjektů údajů dle čl. 34 GDPR.
7.4. S ohledem na zero-knowledge architekturu: i v případě porušení zabezpečení na straně Zpracovatele je riziko pro citlivá personální data zaměstnanců minimální, neboť jsou uložena výhradně v šifrované podobě, kterou Zpracovatel nemůže dešifrovat.
8.1. Po ukončení poskytování služby (zrušení účtu) Zpracovatel umožní Správci export veškerých dat po dobu 30 dnů.
8.2. Po uplynutí 30 dnů od zrušení účtu Zpracovatel trvale vymaže veškerá data Správce včetně šifrovaných záznamů zaměstnanců, metadat a auditních záznamů.
8.3. Zpracovatel potvrdí provedení výmazu na žádost Správce.
8.4. Výjimka: Zpracovatel může uchovat anonymizovaná nebo agregovaná data (neobsahující osobní údaje) pro statistické účely.
9.1. Správce uděluje Zpracovateli obecný písemný souhlas se zapojením dalších zpracovatelů (subdodavatelů) dle čl. 28 odst. 2 GDPR.
9.2. Ke dni účinnosti této smlouvy Zpracovatel využívá následující subdodavatele:
| Subdodavatel | Účel | Sídlo / umístění dat |
|---|---|---|
| Exmasters s.r.o. | Hosting serverů a databáze | Česká republika, EU |
| Stripe Technology Europe, Ltd. | Zpracování plateb | Irsko, EU |
| Exmasters s.r.o. (poštovní server) | Odesílání transakčních e-mailů (SMTP) | Česká republika, EU |
9.3. Zpracovatel informuje Správce o záměru přidat nového nebo nahradit stávajícího subdodavatele e-mailem minimálně 30 dní předem. Správce má právo proti změně vznést námitku. Pokud nedojde k dohodě, má Správce právo smlouvu vypovědět.
9.4. Zpracovatel zajistí, aby na subdodavatele byly smluvně přeneseny stejné povinnosti ochrany osobních údajů jako v této smlouvě.
10.1. Tato smlouva se řídí právním řádem České republiky, zejména nařízením GDPR a zákonem č. 110/2019 Sb.
10.2. Tato smlouva je nedílnou součástí Obchodních podmínek služby SprávaDat a přijímá se společně s nimi.
10.3. Případné spory budou řešeny věcně a místně příslušnými soudy České republiky.
10.4. Zpracovatel si vyhrazuje právo tuto smlouvu aktualizovat. O změnách bude Správce informován e-mailem minimálně 30 dní předem.
10.5. Tato smlouva nabývá účinnosti dne 20. 3. 2026.