Smlouva o zpracování osobních údajů

Tato smlouva o zpracování osobních údajů (dále jen „DPA“) doplňuje obchodní podmínky a upravuje vztah mezi vámi (správce) a Quote Bench Pro s. r. o. (zpracovatel) ve smyslu čl. 28 GDPR.

1. Předmět zpracování

Zpracovatel zpracovává osobní údaje v rozsahu nezbytném pro poskytování služby Quote Bench Pro — sestavení, výpočet a přípravu cenových nabídek z podkladů zadaných správcem.

2. Trvání zpracování

Zpracování trvá po dobu platnosti smlouvy o poskytování služby a 30 dnů po jejím vypovězení (lhůta pro export dat). Po této době jsou data smazána.

3. Povaha a účel zpracování

Účelem je poskytnutí služby. Povaha zpracování zahrnuje extrakci údajů ze zadání zakázek (textových i hlasových), ukládání do databáze, deterministický výpočet cen, generování PDF nabídek a — při propojení Gmailu — odesílání zpráv z účtu uživatele.

4. Druh osobních údajů a kategorie subjektů

Druh: identifikační a kontaktní údaje (jméno, e-mail, telefon, adresa), obsah komunikace a zadání zakázek, přílohy (fotografie, dokumenty).

Kategorie subjektů údajů: zaměstnanci a spolupracovníci správce, koncoví zákazníci správce.

5. Bezpečnostní opatření

Zpracovatel zajišťuje:

• Šifrování dat v klidu (Postgres + Cloudflare R2 v EU).
• Šifrování dat v přenosu (TLS 1.2+).
• Multi-tenant izolaci v databázi pomocí Row-Level Security a samostatného šifrovacího klíče (DEK) pro každého správce.
• Auditní log všech operací nad daty.
• Řízení přístupů založené na rolích (OWNER / FOREMAN / VIEWER).
• Pravidelné zálohy databáze a testování obnovení.

6. Subdodavatelé (sub-zpracovatelé)

Zpracovatel je oprávněn využívat subdodavatele uvedené v zásadách ochrany osobních údajů. O změně subdodavatele informuje správce nejméně 30 dní předem; správce může v této lhůtě vznést námitku.

7. Hlášení porušení zabezpečení

V případě porušení zabezpečení osobních údajů informuje zpracovatel správce bez zbytečného odkladu, nejpozději do 72 hodin od zjištění, prostřednictvím e-mailu na registrovanou adresu. Hlášení obsahuje povahu porušení, kategorie a počet dotčených subjektů a navrhovaná zmírňující opatření.

8. Pomoc se žádostmi subjektů údajů

Zpracovatel poskytuje správci přiměřenou součinnost při vyřizování žádostí subjektů údajů (přístup, oprava, výmaz, přenositelnost). Veřejné rozhraní služby umožňuje OWNER roli provést export a smazání samostatně.

9. Audit

Zpracovatel poskytne správci na vyžádání informace prokazující soulad s touto smlouvou a umožní audit (nejvýše jednou ročně, s ohlášením 30 dní předem), případně audit provedený nezávislým auditorem.

10. Po skončení zpracování

Po skončení zpracování zpracovatel zajistí export dat ve strojově čitelném formátu a následnou úplnou likvidaci do 30 dnů, není-li dán zákonný důvod pro další uchovávání.