Smlouva o zpracování osobních údajů
Tato Smlouva o zpracování osobních údajů („Smlouva o zpracování osobních údajů“) tvoří nedílnou součást Všeobecných obchodních podmínek („Podmínky“) mezi Poskytovatelem a Klientem. Upravuje zpracování osobních údajů, pokud Klient jedná jako instituce nebo vzdělávací subjekt.
Poslední aktualizace: květen 2026
Definice a interpretace
1.1. „Řadič“ znamená Klienta (instituci), který určuje účely a prostředky zpracování osobních údajů.
1.2. „Procesor“ znamená Poskytovatele provozujícího webové stránky www.schoolpressclub.com.
1.3. „GDPR“ znamená Nařízení (EU) 2016/679 (obecné nařízení o ochraně osobních údajů) a veškeré platné české vnitrostátní právní předpisy o ochraně osobních údajů (zejména zákon č. 110/2019 Sb.).
1.4. Pojmy jako „osobní údaje“, „zpracování“, „subjekt údajů“ a „porušení ochrany osobních údajů“ mají význam, který jim je přiřazen v článku 4 GDPR.
Rozsah, povaha a účel zpracování
2.1. Předmět: Zpracovatel poskytuje digitální platformu, která umožňuje správci navrhovat, vytvářet, spravovat a publikovat školní noviny.
2.2. Účel zpracování: Zpracování je prováděno výhradně za účelem poskytování, údržby, zabezpečení a optimalizace digitálních služeb Platformy dle požadavků Správce..
2.3. Doba zpracování: Údaje budou zpracovávány po dobu aktivního předplatného nebo do doby, než Správce smaže účet nebo požádá o vymazání údajů..
2.4. Kategorie subjektů údajů: Jednotlivci, studenti, žáci, učitelé, zaměstnanci školy a přispěvatelé, kterým Správce povolil přístup k Platformě.
2,5. Kategorie osobních údajů: Jména, e-mailové adresy, příslušnost ke škole, role v účtu a obsahová/mediální data (včetně textových článků a fotografií/obrázků nahraných do layoutů novin).
Povinnosti zpracovatele
V souladu s článkem 28 GDPR se Zpracovatel zavazuje a souhlasí s tím, že:
3.1. Instrukce: Zpracovávat osobní údaje výhradně jménem Správce a v souladu s jeho zdokumentovanými pokyny, včetně pokynů týkajících se přeshraničních přenosů údajů..
3.2. Důvěrnost: Zajistit, aby se všichni pracovníci oprávnění ke zpracování osobních údajů zavázali k přísné mlčenlivosti nebo aby na ně byla uvalena příslušná zákonná povinnost mlčenlivosti..
3.3. Bezpečnostní opatření: Zavést vhodná technická a organizační bezpečnostní opatření k zajištění úrovně zabezpečení odpovídající riziku a splnění požadavků článku 32 GDPR (včetně kontroly přístupu, šifrování a pravidelného zálohování dat)..
3.4. Pomoc: S ohledem na povahu zpracování pomáhat správci prostřednictvím vhodných technických a organizačních opatření při plnění povinnosti správce reagovat na žádosti subjektů údajů, které uplatňují svá práva podle kapitoly III GDPR (např. právo na přístup nebo výmaz).
3,5. Oznámení o porušení: Bez zbytečného odkladu (a nejpozději do 48 hodin) informovat Správce o jakémkoli náhodném, neoprávněném nebo protiprávním narušení bezpečnosti osobních údajů na serverech Platformy.
Dílčí zpracovatelé
4.1 Předchozí autorizace: Správce uděluje Zpracovateli obecné písemné a/nebo elektronické zmocnění k zapojení třetích stran – subzpracovatelů – k podpoře provozu platformy (např. poskytovatelé cloudového hostingu, zabezpečené platební brány, automatizované fakturační systémy)..
4.2. Smluvní rovnocennost: Zpracovatel uloží všem zapojeným dílčím zpracovatelům stejné povinnosti ochrany osobních údajů, jaké jsou stanoveny v této Dohodě o ochraně osobních údajů..
4.3. Aktuální dodavatelé infrastruktury: Správce bere na vědomí a souhlasí s tím, že Zpracovatel využívá pro hostování dat a provoz transakčních platforem následující dílčí zpracovatele základní infrastruktury:
- Infrastruktura cloudových serverů a datové úložiště: Web4u.cz (provozovatel: Web4u sro), Hukot.net (provozovatel: subreg.cz sro) / Wedos Internet, as, využívající vysoce zabezpečená datová centra umístěná výhradně v České republice a Evropské unii.
- Brána pro transakční fakturaci a elektronické obchodování: Stripe Payments Europe, Limited / ComGate Payments, as, zajišťující plně šifrované zpracování plateb v souladu s GDPR.
- Automatizovaný fakturační a účetní systém: Fakturoid sro / Vyfakturuj.cz (provozovatel: Redbit sro), slouží výhradně ke generování zákonem požadovaných daňových dokladů.
- Bankovní služby a vypořádání transakcí: UniCredit Bank Czech Republic and Slovakia, as, používaná výhradně pro příjem a zpracování bankovních převodů a správu historie obchodních transakcí.
Audity a dodržování předpisů
5.1. Zpracovatel poskytne správci veškeré informace nezbytné k prokázání souladu s povinnostmi stanovenými v článku 28 GDPR.
5.2. Zpracovatel umožní a přispěje k přiměřeným auditům nebo digitálním kontrolám prováděným Správcem nebo oprávněným nezávislým auditorem, za předpokladu, že takové audity jsou vyžádány alespoň 14 pracovních dnů předem, probíhají během standardní pracovní doby a nenarušují provozní bezpečnost ostatních klientů hostovaných na Platformě.
Ukončení a smazání údajů
6.1. Po ukončení smluvního vztahu nebo na základě výslovné žádosti Správce o smazání digitálního účtu Zpracovatel smaže nebo vrátí Správci veškeré osobní údaje a smaže stávající kopie, pokud právo Evropské unie nebo České republiky nenařizuje uchovávání konkrétních transakčních protokolů nebo účetních daňových záznamů (například fakturačních údajů, které musí být archivovány po dobu 10 let).
6.2. Vydání veřejných novin výslovně uchovávaná v rámci možnosti trvalého veřejného historického archivu (oddíl 7.2 Podmínek) jsou z automatického smazání vyloučena, pokud oprávněný autor nebo Správce nepodá konkrétní, individuální žádost o odstranění.
Závěrečná ustanovení
7.1. Tato Smlouva se řídí právními předpisy Česká republika.
7.2. Pokud by jakékoli ustanovení této Dohody o ochraně osobních údajů bylo v rozporu s hlavními Obchodními podmínkami, mají přednost ustanovení této Dohody o ochraně osobních údajů, a to zejména v otázkách ochrany osobních údajů.