Smluvní strany
Zpracovatel (Processor):
Pavel Neuhausl
IČO: 22350471 (není plátcem DPH)
Sídlo: č.p. 261, 289 16 Přerov nad Labem
Zapsán v živnostenském rejstříku
E-mail pro záležitosti GDPR: support@reservly.cz
(dále jen „Reservly")
Správce (Controller): Fyzická nebo právnická osoba registrovaná v Reservly jako vlastník firmy (dále jen „Klient"), identifikovaná kontaktními údaji (a identifikačním číslem (IČO), je-li uvedeno) ve svém účtu Reservly.
1. Předmět a účel zpracování
1.1 Reservly poskytuje Klientovi softwarovou službu (SaaS) pro správu rezervací jeho zákazníků (dále jen „Služba").
1.2 V rámci Služby Reservly zpracovává osobní údaje koncových zákazníků Klienta (osob, které si u Klienta rezervují termín přes Reservly) jako zpracovatel ve smyslu čl. 28 GDPR. Klient je správcem těchto osobních údajů.
1.3 Reservly zpracovává osobní údaje výhradně podle pokynů Klienta a v rozsahu nezbytném pro poskytování Služby.
2. Kategorie subjektů údajů a typy zpracovávaných údajů
| Kategorie subjektu | Typy zpracovávaných údajů |
|---|---|
| Zákazník Klienta (osoba, která si rezervuje termín) | Jméno, příjmení, e-mailová adresa, telefonní číslo, čas rezervace, vybraná služba, případná poznámka k rezervaci, historie rezervací u daného Klienta |
| Zákazník Klienta (provozovatelská poznámka — CRM) | Soukromé poznámky Klienta o jeho zákazníkovi (preference, organizační kontext); viditelné pouze pro Klienta, šifrované column-level AES-256-GCM, cascade-mazané při smazání zákaznického účtu nebo Klienta |
| Recenzent | Hodnocení (1–5 hvězd), textová recenze, jméno (autor recenze), e-mailová adresa recenzenta (neveřejná, pouze pro ověření vazby na rezervaci) |
Služba není určena ke zpracování zvláštních kategorií osobních údajů (čl. 9 GDPR) ani údajů o trestních věcech (čl. 10 GDPR). Klient se zavazuje takové údaje do volných textových polí (zejména poznámek) nevkládat; vloží-li je přesto, činí tak jako správce na vlastní odpovědnost a odpovídá za existenci právního titulu dle čl. 9, resp. 10 GDPR.
3. Doba zpracování
3.1 Reservly zpracovává osobní údaje po dobu trvání smluvního vztahu mezi Klientem a Reservly.
3.2 Po ukončení smluvního vztahu Reservly osobní údaje vymaže nebo vrátí Klientovi (dle volby Klienta) nejpozději do 30 dnů od ukončení, kromě údajů, jejichž uchovávání vyžaduje právní předpis (zejména účetní a daňové doklady).
3.3 Mazání zákaznických účtů koncových zákazníků: Reservly aplikuje mechanismus „soft-delete + 30denní purge".
4. Povinnosti Reservly
Reservly se zavazuje, že:
- (a) zpracovává osobní údaje pouze podle doložených pokynů Klienta;
- (b) zajistí, aby osoby oprávněné zpracovávat osobní údaje byly vázány mlčenlivostí;
- (c) přijal vhodná technická a organizační opatření k zabezpečení (viz čl. 6 této smlouvy);
- (d) bez zbytečného odkladu (nejpozději do 48 hodin od okamžiku, kdy se o porušení dozvěděl) oznámí Klientovi jakékoli porušení zabezpečení osobních údajů tak, aby Klient mohl splnit svou ohlašovací povinnost vůči ÚOOÚ ve lhůtě 72 hodin dle čl. 33 GDPR;
- (e) napomáhá Klientovi při plnění jeho povinností (vyřízení žádostí subjektů údajů, posouzení vlivu na ochranu osobních údajů, konzultace s ÚOOÚ);
- (f) po skončení poskytování Služby vymaže nebo vrátí všechny osobní údaje (dle volby Klienta, viz čl. 3.2);
- (g) poskytne Klientovi veškeré informace nezbytné k prokázání plnění povinností dle čl. 28 GDPR a umožní audity, včetně inspekcí, prováděné Klientem nebo jiným auditorem pověřeným Klientem, a bude k nim poskytovat součinnost;
- (h) neprodleně informuje Klienta, pokud má za to, že některý jeho pokyn porušuje GDPR nebo jiné předpisy o ochraně osobních údajů.
5. Subdodavatelé (sub-processors)
5.1 Klient tímto uděluje Reservly obecné povolení k zapojení subdodavatelů uvedených v aktuálním seznamu zpracovatelů.
5.2 Reservly informuje Klienta minimálně 30 dní před zapojením nového subdodavatele nebo nahrazením stávajícího. Klient má právo do 15 dní od oznámení vyjádřit písemné námitky; v případě námitek se Reservly zavazuje k jednání o náhradním řešení a Klient má právo smlouvu vypovědět ke dni účinnosti změny.
5.3 Reservly uzavře s každým subdodavatelem písemnou smlouvu o zpracování osobních údajů s minimálně stejnou úrovní povinností, jaké jsou stanoveny v této smlouvě.
5.4 Aktuální seznam subdodavatelů je nedílnou přílohou této smlouvy a je dostupný na stránce /sub-processors.
6. Bezpečnostní opatření
Reservly přijal zejména následující technická a organizační opatření:
- Šifrování v přenosu: veškerá komunikace přes HTTPS (TLS 1.2+);
- Šifrování dat v klidu: šifrování databáze (Neon AES-256), šifrování záloh; OAuth tokeny pro propojení s Google kalendářem a obsah interních CRM poznámek o zákaznících navíc chráněny column-level AES-256-GCM cipherem na aplikační vrstvě (defense-in-depth);
- Hesla: uložení pouze ve formě bcrypt hash (knihovna
bcryptjs); nikdy v otevřené formě; - Přístupová práva: princip nejmenších práv; jeden produkční účet (Reservly), oddělená role-based oprávnění uvnitř aplikace (CUSTOMER / OWNER / ADMIN);
- Auditní log: každá administrátorská akce zalogována;
- Monitoring chyb: Sentry se souhlasem cookies pro Session Replay;
- Záložní strategie: Neon point-in-time recovery (7 dní);
- Aktualizace závislostí: automatické sledování zranitelností (Dependabot, týdenní seskupené PR pro npm a GitHub Actions) doplněné pravidelným ručním auditem (
npm audit).
7. Předávání údajů mimo EHP
Reservly může v rámci subdodavatelů předávat osobní údaje do třetích zemí (zejména USA — Vercel, Cloudflare, Stripe, Google). Předávání je vždy zajištěno některým z nástrojů dle čl. 46 GDPR:
- Standardní smluvní doložky (EU SCC) schválené Evropskou komisí, a/nebo
- certifikační rámec EU–U.S. Data Privacy Framework, je-li daný subdodavatel certifikován.
Subdodavatelé hostovaní výhradně v EU (databáze Neon — Frankfurt, primární odesílání e-mailů Scaleway — Paříž, monitoring chyb Sentry — Frankfurt, našeptávač adres Seznam.cz — ČR) osobní údaje mimo EHP nepředávají.
8. Práva subjektů údajů
8.1 Pokud se na Reservly obrátí přímo zákazník Klienta s žádostí o uplatnění svých práv (přístup, oprava, výmaz, omezení, přenositelnost, námitka), Reservly takovou žádost neodbavuje sám, ale bez zbytečného odkladu ji předá Klientovi, který je správcem.
8.2 Reservly poskytuje Klientovi technické nástroje pro uplatnění žádostí, jmenovitě mazání účtů (soft-delete + 30denní hard-purge). Žádosti o přístup a přenositelnost dat (čl. 15 a 20 GDPR) Reservly vyřizuje manuálně e-mailem na support@reservly.cz ve lhůtě 30 dní; veřejný self-service endpoint pro stahování dat neprovozujeme, aby se snížilo riziko zneužití (account takeover).
9. Odpovědnost a sankce
9.1 Každá smluvní strana odpovídá za škodu, kterou způsobí porušením této smlouvy, v rozsahu daném GDPR a obecně závaznými právními předpisy.
9.2 Maximální odpovědnost Reservly za škodu vůči Klientovi je omezena částkou rovnající se předplatnému zaplacenému Klientem za posledních 12 měsíců, není-li v rozporu se zákonem (zejména čl. 82 GDPR neomezuje výši škody způsobené úmyslně nebo z hrubé nedbalosti).
10. Závěrečná ustanovení
10.1 Tato smlouva je nedílnou součástí VOP Reservly. V případě rozporu má přednost tato smlouva v otázkách zpracování osobních údajů.
10.2 Smlouva se řídí právem České republiky, zejména GDPR, zákonem č. 110/2019 Sb. o zpracování osobních údajů a zákonem č. 89/2012 Sb. (občanský zákoník).
10.3 Případné spory budou řešeny obecnými soudy České republiky podle sídla Reservly.
10.4 Reservly je oprávněn tuto smlouvu jednostranně aktualizovat. Klient je o změně informován minimálně 30 dní předem e-mailem na kontaktní adresu vlastníka firmy. V případě nesouhlasu má Klient právo smlouvu vypovědět ke dni účinnosti změny.
11. Kontakt a dozorový úřad
V otázkách týkajících se této smlouvy a zpracování osobních údajů kontaktujte support@reservly.cz.
Dozorovým úřadem pro Českou republiku je Úřad pro ochranu osobních údajů, posta@uoou.gov.cz.