Zpracovatelská smlouva

1. Smluvní strany

Zpracovatel:

Mitro Group Solutions s.r.o.
Novodvorská 1099/130, Braník, 142 00 Praha 4
IČO: 23760311 · Spis. zn. C 432501, MS Praha
Kontakt: podpora@kliker.cz

Správce:

Zákazník služby Kliker — typicky společenství vlastníků jednotek (SVJ), bytové družstvo (BD), neziskové organizace nebo účetní firma. Identifikační údaje správce jsou uvedeny v jeho účtu v aplikaci Kliker (název, IČO, sídlo).

2. Předmět a právní základ

Předmětem této DPA je úprava práv a povinností smluvních stran při zpracování osobních údajů, které správce vkládá do aplikace Kliker o svých vlastnících jednotek, členech, nájemnících, dodavatelích a dalších subjektech (dále jen „údaje subjektů"), přičemž zpracovatel údaje zpracovává jménem správce a na jeho pokyn.

Vztah správce a zpracovatele se řídí čl. 28 GDPR a zákonem č. 110/2019 Sb.

3. Předmět, doba, povaha a účel zpracování

Předmět zpracování	Provoz cloudové aplikace Kliker pro správu agendy správce (předpisy záloh, platby, vyúčtování služeb dle 67/2013 Sb., upomínky, evidence vlastníků a jednotek).
Doba zpracování	Po dobu trvání smlouvy o poskytování služby Kliker mezi správcem a zpracovatelem.
Povaha zpracování	Shromažďování, ukládání, používání, zobrazování, úprava, zpřístupňování, zálohování a vymazávání údajů subjektů prostřednictvím aplikace.
Účel zpracování	Plnění zákonných a smluvních povinností správce vůči subjektům údajů (zejména dle 67/2013 Sb. a NOZ §1158+).

4. Kategorie subjektů údajů a rozsah údajů

4.1 Kategorie subjektů údajů

• Vlastníci jednotek a členové SVJ / BD
• Spoluvlastníci a nájemníci
• Členové statutárních orgánů správce
• Dodavatelé služeb (úklid, energie, opravy) — kontaktní údaje
• Zaměstnanci a spolupracovníci správce, kteří aplikaci používají

4.2 Kategorie zpracovávaných údajů

• Identifikační údaje (jméno, příjmení, datum narození pokud zadáno)
• Adresní údaje (jednotka, kontaktní adresa)
• Kontaktní údaje (e-mail, telefon)
• Bankovní údaje (číslo účtu, variabilní symbol, historie plateb a předpisů)
• Údaje o jednotce (podíl, počet osob, plocha, odečty měřidel)
• Údaje o vlastnictví (datum nabytí / pozbytí, doba užívání)
• Komunikace (upomínky, e-mailové notifikace)

Služba není určena pro ukládání zvláštních kategorií osobních údajů podle čl. 9 GDPR ani údajů o odsouzeních podle čl. 10 GDPR. Správce se zavazuje tyto údaje do služby nevkládat, pokud k tomu nemá vlastní právní základ a výslovný pokyn vůči zpracovateli.

5. Povinnosti zpracovatele

Zpracovatel se zavazuje:

• zpracovávat údaje subjektů výhradně na základě doložených pokynů správce, včetně předávání mimo EU/EHP — k předávání mimo EU/EHP nedochází;
• zajistit, aby osoby oprávněné zpracovávat údaje byly zavázány k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti;
• přijmout všechna opatření vyžadovaná podle čl. 32 GDPR (zabezpečení zpracování — viz čl. 7 této DPA);
• respektovat podmínky pro zapojení dalšího zpracovatele uvedené v čl. 6 této DPA;
• být správci nápomocen prostřednictvím vhodných technických a organizačních opatření, aby správce mohl plnit svou povinnost reagovat na žádosti o výkon práv subjektu údajů (čl. 15–22 GDPR);
• být správci nápomocen při zajištění souladu s čl. 32 až 36 GDPR (zabezpečení, ohlášení porušení, posouzení vlivu);
• v souladu s rozhodnutím správce všechny osobní údaje vymazat nebo vrátit po ukončení poskytování služby;
• poskytnout správci veškeré informace potřebné k doložení splnění povinností stanovených v čl. 28 GDPR a umožnit audity.

6. Subdodavatelé (další zpracovatelé)

Správce dává zpracovateli obecné povolení zapojit do zpracování další zpracovatele (subdodavatele) za podmínek čl. 28 odst. 2 GDPR. Aktuální seznam subdodavatelů, jejich sídla, role a jurisdikce je dostupný na /subdodavatele a tvoří přílohu této DPA.

O jakékoli zamýšlené změně týkající se přijetí nového subdodavatele nebo nahrazení stávajícího bude zpracovatel správce informovat nejméně 30 dnů předem e-mailem nebo upozorněním v aplikaci. Správce má v této lhůtě právo vznést odůvodněnou námitku; pokud správce námitku vznese a strany se nedohodnou, má správce právo smlouvu k datu plánované změny ukončit.

Zpracovatel ukládá svým subdodavatelům stejné povinnosti ochrany údajů, jaké jsou stanoveny v této DPA.

7. Zabezpečení (čl. 32 GDPR)

Zpracovatel přijal zejména tato technická a organizační opatření:

• Šifrované spojení (HTTPS / TLS 1.2+) na všech doménách, HSTS, security headers
• Hesla uložená pouze ve formě scrypt hashe; volitelné dvoufázové ověření (TOTP)
• Citlivé per-tenant secrets (SMTP heslo, Fio API token) jsou v databázi šifrovány (envelope encryption)
• Oddělení dat jednotlivých organizací pomocí tenant_id, aplikační autorizace a kontrol přístupu
• Role-based access control (5 úrovní oprávnění: OWNER / ADMIN / ACCOUNTANT / CLERK / VIEWER)
• Audit log všech důležitých operací (kdo, kdy, co — stav před/po, IP, User-Agent)
• Pravidelné zálohy databáze (denní snapshoty, retence 7 dnů na straně poskytovatele hostingu + lokální zálohy na straně aplikace)
• Provoz výhradně v EU jurisdikci (Hetzner Online GmbH, datacentrum HEL1 Helsinki, Finsko)
• Detailní popis viz Provozní pravidla a Zásady ochrany osobních údajů

8. Ohlášení porušení zabezpečení (čl. 33 GDPR)

Pokud dojde k porušení zabezpečení osobních údajů, zpracovatel správce vyrozumí bez zbytečného odkladu, nejpozději do 72 hodin od okamžiku, kdy se o porušení dozvěděl, e-mailem na kontaktní adresu správce uvedenou v jeho účtu. Vyrozumění obsahuje informace nutné podle čl. 33 odst. 3 GDPR (povaha porušení, kategorie a přibližný počet dotčených subjektů, pravděpodobné důsledky, přijatá opatření).

9. Pomoc správci a práva subjektů údajů

• Pokud subjekt údajů uplatní právo přímo u zpracovatele, zpracovatel ho odkáže na správce a žádost mu předá k vyřízení.
• Zpracovatel poskytuje správci nástroje v aplikaci pro vyřízení žádostí (export dat subjektu, export celého tenantu, výmaz).
• Zpracovatel je správci nápomocen při posouzení vlivu (DPIA) a předchozí konzultaci s dozorovým úřadem (ÚOOÚ), pokud o to správce požádá.

10. Audit

Správce má právo provést audit plnění povinností zpracovatele podle čl. 28 odst. 3 písm. h) GDPR. Audit probíhá nejvýše jednou za 12 měsíců, písemnou formou (dotazník) nebo na dálku, v rozsahu, který nezasahuje do provozu jiných zákazníků zpracovatele a do jeho obchodního tajemství. Náklady auditu nese správce. V případě podezření z porušení této DPA může správce požadovat audit ad hoc.

11. Vrácení a výmaz údajů po ukončení

Po ukončení smlouvy o poskytování služby má správce 30 dnů na export svých dat z aplikace. Po této lhůtě jsou provozní data smazána zpravidla nejpozději do 90 dnů od ukončení. Zálohy na straně poskytovatele hostingu jsou rotovány v cyklu 7 dnů a starší zálohy postupně zanikají.

Údaje, jejichž uchování ukládá právní předpis (zejména účetní a daňové doklady), zpracovatel uchovává po zákonem stanovenou dobu. Detaily viz Provozní pravidla.

12. Předávání mimo EU/EHP

Zpracovatel nepředává osobní údaje mimo EU/EHP. Všichni subdodavatelé uvedení v /subdodavatele zpracovávají údaje výhradně v EU. Pokud by v budoucnu mělo dojít k předání mimo EU/EHP, zpracovatel správce informuje předem a zajistí odpovídající záruky podle čl. 46 GDPR.

13. Odpovědnost

Smluvní strany odpovídají za porušení povinností podle GDPR samostatně v rozsahu odpovídajícím své roli (správce, zpracovatel). Omezení odpovědnosti sjednané v obchodních podmínkách se vztahuje i na tuto DPA, pokud právní předpis nestanoví jinak.

14. Účinnost a přijetí

Tato DPA je účinná okamžikem, kdy správce dokončí registraci v aplikaci Kliker a potvrdí obchodní podmínky, jejichž nedílnou součástí tato DPA je. Pokud správce vyžaduje samostatně podepsanou písemnou DPA (např. pro interní účely), může požádat o její vyhotovení na podpora@kliker.cz — zpracovatel ji zašle k podpisu (PDF / kvalifikovaný elektronický podpis).

V případě rozporu mezi touto DPA a obchodními podmínkami má v otázkách ochrany osobních údajů přednost tato DPA.

15. Související dokumenty

• Zásady ochrany osobních údajů
• Obchodní podmínky
• Seznam subdodavatelů (příloha této DPA)
• Provozní pravidla