Zmluva o spracúvaní osobných údajov

Platné od: 17. 3. 2026

Táto zmluva o spracúvaní osobných údajov (ďalej len „DPA") tvorí prílohu k Všeobecným obchodným podmienkam služby Deratix (ďalej len „VOP") a upravuje vzájomné práva a povinnosti zmluvných strán pri spracúvaní osobných údajov v zmysle čl. 28 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 (GDPR).

1. Zmluvné strany a ich postavenie

1.1. Prevádzkovateľ (Zákazník): Fyzická alebo právnická osoba – podnikateľ, ktorý uzavrel s Poskytovateľom zmluvu podľa VOP a zadáva osobné údaje do Služby.
1.2. Sprostredkovateľ (Poskytovateľ): Deratix s. r. o., so sídlom Štúrova 1359/12, 900 28 Ivanka pri Dunaji, IČO: 57512833, DIČ: 2122785731, IČ DPH: SK2122785731 (registrácia podľa § 7a zákona č. 222/2004 Z. z. o DPH).
1.3. Zákazník je Prevádzkovateľom osobných údajov, ktoré vkladá do Služby. Poskytovateľ ich spracúva výhradne podľa pokynov Zákazníka a v rozsahu nevyhnutnom na poskytovanie Služby.

2. Predmet a účel spracúvania

2.1. Poskytovateľ spracúva osobné údaje výhradne za účelom poskytovania Služby podľa VOP, a to najmä:

• prevádzkovanie aplikácie Deratix (SaaS),
• uchovávanie a zobrazovanie DDD protokolov,
• generovanie PDF dokumentov,
• správa klientskej databázy Zákazníka,
• zasielanie systémových e-mailových notifikácií.

3. Kategórie dotknutých osôb a osobných údajov

3.1. Dotknuté osoby:

• klienti Zákazníka (odberatelia DDD služieb),
• zamestnanci a technici Zákazníka.

3.2. Kategórie osobných údajov:

• identifikačné údaje (meno, priezvisko, IČO, DIČ),
• kontaktné údaje (e-mail, telefón, adresa),
• lokalizačné údaje (GPS súradnice pri vykonaní služby),
• podpisy (elektronické, v PDF dokumentoch),
• fotodokumentácia (fotografie z vykonaných prác),
• údaje o DDD činnosti (typ zákroku, použité materiály, zistenia).

4. Povinnosti Sprostredkovateľa

Sprostredkovateľ sa zaväzuje:

• 4.1. Spracúvať osobné údaje výhradne na základe zdokumentovaných pokynov Prevádzkovateľa vrátane prenosu údajov do tretích krajín.
• 4.2. Zabezpečiť, aby osoby oprávnené spracúvať osobné údaje boli viazané povinnosťou zachovávať mlčanlivosť.
• 4.3. Prijať primerané technické a organizačné opatrenia na zabezpečenie ochrany osobných údajov (viď čl. 7).
• 4.4. Nevyužívať ďalšieho sprostredkovateľa bez predchádzajúceho písomného súhlasu Prevádzkovateľa (viď čl. 5).
• 4.5. Pomáhať Prevádzkovateľovi pri plnení jeho povinností podľa čl. 32 – 36 GDPR (bezpečnosť, oznamovanie porušení, posúdenie vplyvu).
• 4.6. Bezodkladne informovať Prevádzkovateľa o akomkoľvek porušení ochrany osobných údajov, a to najneskôr do 48 hodín od jeho zistenia.
• 4.7. Po ukončení poskytovania Služby vymazať osobné údaje do 30 dní, pokiaľ právne predpisy nevyžadujú ich uchovávanie.
• 4.8. Poskytnúť Prevádzkovateľovi všetky informácie potrebné na preukázanie plnenia povinností podľa čl. 28 GDPR a umožniť audity a kontroly.

5. Sub-sprostredkovatelia

5.1. Prevádzkovateľ udeľuje Sprostredkovateľovi všeobecný písomný súhlas na zapojenie sub-sprostredkovateľov uvedených v nasledujúcej tabuľke. Sprostredkovateľ informuje Prevádzkovateľa o akejkoľvek zmene sub-sprostredkovateľov minimálne 14 dní vopred e-mailom. Prevádzkovateľ má právo vzniesť námietku.

5.2. Aktuálny zoznam sub-sprostredkovateľov:

Sub-sprostredkovateľ	Sídlo / Umiestnenie dát	Účel
Hetzner Online GmbH	Nemecko (EÚ)	Hosting serverov a databáz
SFTPCloud.io	Frankfurt, Nemecko (EÚ)	Šifrované zálohy dát
MechanicWeb Inc.	USA → Dáta: Nemecko (EÚ)	Správa serverovej infraštruktúry
cPanel / Softaculous	USA → Dáta: Nemecko (EÚ)	Správa serverového prostredia
Emailit (emailit.com)	EÚ	Doručovanie transakčných e-mailov

5.3. Pre sub-sprostredkovateľov so sídlom v USA sú dáta fyzicky uložené výhradne v EÚ (Nemecko). Prenos sa uskutočňuje na základe štandardných zmluvných doložiek (SCC) podľa čl. 46 ods. 2 písm. c) GDPR.

6. Povinnosti Prevádzkovateľa

Prevádzkovateľ sa zaväzuje:

• 6.1. Zabezpečiť zákonný právny základ spracúvania údajov vkladaných do Služby.
• 6.2. Plniť informačnú povinnosť voči dotknutým osobám.
• 6.3. Reagovať na žiadosti dotknutých osôb o výkon ich práv (prístup, oprava, vymazanie, prenosnosť).
• 6.4. Nezadávať do Služby osobitné kategórie údajov (čl. 9 GDPR) nad rámec nevyhnutný pre DDD činnosť.

7. Technické a organizačné opatrenia (TOMs)

Sprostredkovateľ implementuje a udržiava nasledujúce opatrenia:

Šifrovanie a prenos:

• komunikácia medzi klientom a serverom je šifrovaná protokolom TLS 1.2+,
• zálohy sú šifrované algoritmom AES-256,
• databázy sú prístupné výhradne z internej siete servera.

Riadenie prístupu:

• prístup k údajom je riadený systémom rolí a oprávnení (RBAC),
• každý prístup je zaznamenávaný v auditovacom zázname (audit trail),
• heslá sú ukladané výhradne v hashovanej podobe (bcrypt).

Dostupnosť a obnova:

• automatické denné zálohy na geograficky oddelené úložisko (SFTPCloud, Frankfurt),
• monitoring dostupnosti 24/7,
• garantovaná dostupnosť 99,5 % mesačne (viď VOP).

Organizačné opatrenia:

• personál s prístupom k osobným údajom je viazaný mlčanlivosťou,
• pravidelné aktualizácie softvéru a bezpečnostné záplaty,
• postup pre riešenie bezpečnostných incidentov (incident response).

8. Doba spracúvania a výmaz

8.1. Táto DPA je účinná po celú dobu platnosti zmluvy o poskytovaní Služby podľa VOP.
8.2. Po ukončení Služby Sprostredkovateľ vymaže všetky osobné údaje Zákazníka do 30 dní. Na požiadanie poskytne potvrdenie o vymazaní.
8.3. Zákazník je povinný si pred ukončením Služby exportovať údaje (viď čl. 9 VOP – Export dát).

9. Audity

9.1. Prevádzkovateľ má právo vykonať audit dodržiavania tejto DPA, a to maximálne raz ročne s predchádzajúcim oznámením minimálne 30 dní vopred.
9.2. Audit môže byť vykonaný Prevádzkovateľom alebo ním povereným nezávislým audítorom viazaným mlčanlivosťou.
9.3. Náklady auditu znáša Prevádzkovateľ, pokiaľ audit neodhalí podstatné porušenie tejto DPA.

10. Záverečné ustanovenia

10.1. Táto DPA sa riadi slovenským právom a nariadením GDPR.
10.2. V prípade rozporu medzi touto DPA a VOP má prednosť táto DPA v rozsahu týkajúcom sa ochrany osobných údajov.
10.3. Otázky týkajúce sa ochrany osobných údajov: support@deratix.com