Verze v1.0 — Účinnost 10. dubna 2026

Zpracování osobních
údajů

Zpracovatelská smlouva pro osobní údaje Účastníků akcí podle čl. 28 Nařízení GDPR. Tvoří nedílnou součást Obchodních podmínek ve chvíli, kdy Pořadatel zpracovává data Účastníků přes Platformu.

Poskytovatel
Michal Král
IČO
07526521
Sídlo
Bohuslava Martinů 1559
258 01 Vlašim, ČR
Zápis
Živnostenský rejstřík
Kontakt
info@entrylog.eu

Smlouva o zpracování osobních údajů

Poskytovatel: Michal Král

IČO: 07526521

Sídlo: Bohuslava Martinů 1559, 258 01 Vlašim, Česká republika

Zápis: Živnostenský rejstřík

Kontakt: info@entrylog.eu

Verze: v1.0 — 10. dubna 2026

Účinnost: 10. dubna 2026

Tato Smlouva o zpracování osobních údajů (dále jen „DPA") je nedílnou součástí Všeobecných obchodních podmínek mezi Poskytovatelem a Zákazníkem a reguluje zpracování osobních údajů účastníků. DPA se vztahuje vždy, když Zákazník (jako správce) zpracovává osobní údaje účastníků (subjekty údajů) prostřednictvím Služby na Platformě.

1. Strany a definice

1.1 Strany. Stranami této DPA jsou:

  • Správce: Zákazník (Pořadatel), který sbírá a nahrává osobní údaje účastníků na Platformu a určuje účely a způsoby zpracování; a
  • Zpracovatel: Michal Král, Poskytovatel, který zpracovává osobní údaje účastníků výhradně na základě dokumentovaných pokynů Správce prostřednictvím Platformy.

1.2 Vztah. Vztah mezi Správcem a Zpracovatelem je upraven čl. 28 nařízení Evropského parlamentu a Rady (EU) 2016/679 (dále jen „GDPR") a hlava II, čl. 24 zákona č. 110/2019 Sb., o zpracování osobních údajů (dále jen „Zákon o ochraně osobních údajů").

1.3 Definice. V této DPA mají, není-li zde výslovně definováno jinak, kapitalizované výrazy stejný smysl jako ve Všeobecných obchodních podmínkách. Kromě toho:

  • „Osobní údaje" znamená jakoukoli informaci týkající se určené nebo určitelné fyzické osoby (čl. 4(1) GDPR), včetně jmen účastníků, e-mailových adres, vlastních polí, časových razítek odbavení, stavu doručení e-mailu, podání zpětné vazby a technických identifikátorů.
  • „Subjekt údajů" znamená určenou nebo určitelnou fyzickou osobu, k níž se osobní údaje vztahují — v této DPA účastníky.
  • „Zpracování" má smysl uvedený v čl. 4(2) GDPR.
  • „Další zpracovatel" znamená jakoukoli entitu, kterou oprávnila Zpracovatel k zpracování osobních údajů jejím jménem (čl. 28(2) GDPR).
  • „Porušení zabezpečení osobních údajů" znamená narušení zabezpečení vedoucí k neúmyslnému nebo protiprávnímu zničení, ztrátě, změně, neoprávněnému zpřístupnění nebo přístupu k osobním údajům (čl. 4(12) GDPR).
  • „Technická a organizační opatření" nebo „TOO" znamenají technické a organizační zásady zabezpečení vyžadované čl. 32 GDPR k ochraně osobních údajů.

2. Předmět a rozsah

2.1 Tato DPA reguluje zpracování osobních údajů účastníků Zpracovatelem jménem Správce v souvislosti s poskytováním Služby.

2.2 DPA se vztahuje na veškeré zpracování osobních údajů účastníků prováděné Zpracovatelem, ať už prováděné v EU nebo prostřednictvím oprávněných dalších zpracovatelů, a pokrývá všechny aspekty vztahu popsaného v čl. 28(3) GDPR.

3. Role stran

3.1 Povinnosti Správce. Správce (Pořadatel) je odpovědný za:

  • určení účelů, rozsahu a právního základu pro zpracování osobních údajů účastníků;
  • zajištění, aby byla zpracování právně přípustná podle GDPR a příslušných národních zákonů;
  • poskytnutí jasných, dokumentovaných pokynů Zpracovatelovi týkajících se zpracování osobních údajů účastníků;
  • získání jakéhokoliv nezbytného právního základu (jako je souhlas) a poskytnutí informací o transparentnosti účastníkům;
  • odpověď na žádosti o práva subjektu údajů; a
  • pomoc Zpracovatelovi plnit jeho povinnosti podle čl. 32–36 GDPR.

3.2 Povinnosti Zpracovatelé. Zpracovatel (EntryLog) je odpovědný za:

  • zpracování osobních údajů pouze v souladu s dokumentovanými pokyny od Správce;
  • zavedení TOO zajišťujících úroveň zabezpečení vhodnou pro riziko;
  • pomoc Správci s žádostmi o práva subjektu údajů a dalšími povinnostmi podle GDPR;
  • oznámení Správci o porušení zabezpečení osobních údajů bez zbytečného odkladu;
  • vedení záznamů o činnostech zpracování;
  • nezavádění dalších zpracovatelů bez autorizace Správce; a
  • jinak plnit povinnosti stanovené v této DPA a čl. 28(3) GDPR.

4. Povaha a účel zpracování

4.1 Zpracovatel zpracovává osobní údaje účastníků za účelem poskytnutí Služby, která zahrnuje:

  • ukládání a organizaci záznamů o účastnicích (jména, e-maily, vlastní pole);
  • umožnění funkce odbavení (záznam časových razítek a stavu odbavení);
  • doručování transakčních a marketingových e-mailů jménem Správce;
  • sledování stavu doručení e-mailu (odeslán, doručen, vrácen, stížnost);
  • sběr zpětné vazby od účastníků;
  • správu digitálních vstupenek a QR kódů;
  • údržbu technických protokolů a stop auditu; a
  • jinak naplnění funkcionalit popsaných ve Všeobecných obchodních podmínkách.

4.2 Zpracovatel neprovádí žádné nezávislé zpracování nad rámec nezbytného pro poskytnutí Služby. Účely zpracování určuje výhradně Správce.

5. Druhy osobních údajů a kategorie subjektů údajů

5.1 Kategorie subjektů údajů. Subjekty údajů jsou účastníci — fyzické osoby pozvané, zaregistrované nebo přijaté na Akci Pořadatelem prostřednictvím Platformy. Účastníci nejsou Zákazníky a nejsou smluvou viazáni Poskytovatelem.

5.2 Kategorie osobních údajů. Zpracovatel zpracovává následující kategorie osobních údajů:

  • Identifikační údaje: jméno, e-mailová adresa;
  • Vlastní pole: jakákoli vlastní pole, která Pořadatel sbírá během registrace nebo importu, která mohou (podle uvážení Pořadatele) zahrnovat dietní požadavky, požadavky na dostupnost, informace o profesích nebo jiné informace;
  • Data akce: stav odbavení, časové razítka odbavení, stav doručení e-mailu (odeslán, doručen, vrácen, stížnost), podání zpětné vazby, tokeny vstupenek/QR kódů, stav registrace;
  • Technické identifikátory: jedinečné hashovací tokeny používané v adresách URL vstupenek účastníků, metadata relace, IP adresy (v protokolech serveru), identifikátory uživatelů, metadata mezipaměti service workeru.

5.3 Údaje zvláštní kategorie. Zpracovatel nesbírá úmyslně nebo přímo údaje zvláštní kategorie (údaje odhalující rasu, etnický původ, politické názory, náboženské přesvědčení, členství v odborech, genetické údaje, biometrické údaje pro identifikaci, zdravotní údaje nebo údaje o sexuálním životě) jak jsou definovány v čl. 9 GDPR. Pořadatelé však mohou dobrovolně nahrávat takové údaje jako vlastní pole (například dietní omezení nebo poznámky k dostupnosti). Pořadatel nese výhradní odpovědnost za zajištění právně přípustného zpracování jakýchkoli údajů zvláštní kategorie. Zpracovatel pouze ukládá a zpracovává takové údaje dle pokynů Pořadatele a neprovádí žádné automatizované rozhodování nebo profilování na základě zvláštních kategorií.

6. Trvání zpracování

6.1 Aktivní období zpracování. Zpracovatel zpracovává osobní údaje účastníků po dobu, kdy je Akce aktivní a provozní v Platformě.

6.2 Uchovávání po skončení akce. Po skončení Akce jsou osobní údaje účastníků uchovávány podle následujícího harmonogramu:

  • Data účtu účastníků: uchovávány 12 měsíců po datu ukončení Akce, poté smazána nebo anonymizována;
  • Protokoly odbavení: uchovávány 24 měsíců;
  • Protokoly doručení e-mailů: uchovávány 12 měsíců;
  • Podání zpětné vazby: uchovávána dokud je Pořadatel neodstraní nebo dokud není uzavřen Účet;
  • Zálohování databáze: uchovávány 90 dnů jako součást standardního cyklu zálohování, poté vypršelého.

6.3 Uchovávání při ukončení. Při ukončení vztahu mezi Správcem a Zpracovatelem (uzavření Účtu) postupuje Zpracovatel podle cyklu údajů stanoveného v čl. 10 (§ 4) Všeobecných obchodních podmínek:

  • Den 0: Účet vstupuje do měkkého smazání. Údaje uchovávány 30 dnů. Obnovení možné na základě písemného požadavku.
  • Den 30: Trvalé smazání. Všechny osobní údaje Pořadatele a účastníků vymazány z primární databáze.
  • Den 30–120: Zbytková kopie mohou zůstat v šifrovaných zálohách do doby, kdy uplyne 90denní okno uchovávání záloh.
  • Neomezeně: Anonymizované souhrnné statistiky (neobsahující osobní údaje) mohou být uchovávány bez časového omezení.

6.4 Povinné výjimky z uchovávání. Faktury a účetní záznamy jsou uchovávány 10 let podle zákona č. 563/1991 Sb. o účetnictví. Smazání nemůže proběhnout dříve a přepíše jakoukoli žádost o výmaz subjektu údajů v rozsahu, v jakém jsou takové záznamy vyžadovány zákonem.

7. Povinnosti Zpracovatelé

7.1 Zpracování na základě dokumentovaných pokynů

7.1.1 Zpracovatel zpracovává osobní údaje účastníků pouze na základě dokumentovaných pokynů od Správce. Dokumentované pokyny Správce jsou:

  • funkce, nastavení a konfigurace dostupné prostřednictvím rozhraní Platformy; a
  • jakékoli specifické písemné pokyny poskytnuté Zpracovatelovi na adrese info@entrylog.eu.

7.1.2 Využívání Služby prostřednictvím jejích dokumentovaných funkcí a výchozí funkcionality představuje stálý, trvalý pokyn od Správce Zpracovatelovi k provedení tohoto zpracování. Zpracovatel nebude zpracovávat osobní údaje žádným způsobem, který by byl v rozporu s explicitní konfigurací Služby Správcem.

7.1.3 Pokud Zpracovatel obdrží pokyn od Správce, který se Zpracovatelovi zdá protiprávní nebo nevhodný (například hromadné smazání záznamů účastníků porušující práva subjektu údajů), Zpracovatel upozorní Správce písemně a může odložit zpracování do doby, kdy bude situace objasněna.

7.2 Důvěrnost

7.2.1 Zpracovatel zajišťuje, aby jakákoliv osoba oprávněná zpracovávat osobní údaje jménem Zpracovatelé byla vázána závaznou povinností důvěrnosti (ať už smlouvou o zaměstnání, dohodou o mlčenlivosti nebo ekvivalentním právním závazkem), která je ekvivalentní povinnostem důvěrnosti ukládaným touto DPA.

7.2.2 Povinnosti důvěrnosti přetrvávají ukončení zaměstnání nebo angažmá.

7.3 Další zpracovatelé

7.3.1 Zpracovatel může přizvat další zpracovatele pouze s předchozí písemnou autorizací Správce. Podrobnosti o autorizovaných dalších zpracovatelích a jejich aktivitách zpracování jsou uvedeny v Příloze II.

7.3.2 Pokud Zpracovatel změní, přidá nebo odstraní dalšího zpracovatele, Zpracovatel upozorní Správce písemně e-mailem na registrovanou kontaktní e-mailovou adresu Správce společně s opětovným zveřejněním této DPA odrážející změnu v Příloze II.

7.3.3 Zpracovatel poskytne nejméně 30 dnů předem písemně e-mailem oznámení, než bude nový nebo náhradní další zpracovatel zpracovávat osobní údaje účastníků. Pokud se Správce vzepře na rozumných základech ochrany údajů, Správce může ukončit ovlivněné zpracování poskytnutím písemného oznámení před účinností změny. Pokud Správce a Zpracovatel nemohou námitku vyřešit, Správce může ukončit ovlivněné zpracování nebo Smlouvu v plném rozsahu bez penále.

7.3.4 Zpracovatel zůstává plně odpovědný Správci za výkon povinností jakéhokoliv dalšího zpracovatele.

7.4 Bezpečnost a ochrana osobních údajů

7.4.1 Zpracovatel zavádí technická a organizační opatření v souladu s průmyslovými standardy k ochraně osobních údajů účastníků proti protiprávnímu nebo neoprávněnému zpracování a proti neúmyslné ztrátě, zničení nebo poškození. Tato opatření zahrnují šifrování TLS při přenosu, šifrování v klidu, přísné kontroly přístupu a pravidelné aktualizace zabezpečení. Podrobnosti jsou obsaženy v Příloze III.

7.4.2 Zpracovatel zajišťuje, aby osoby oprávněné zpracovávat osobní údaje se zavázaly k důvěrnosti a jsou oprávněny zpracovávat osobní údaje pouze dle pokynů.

7.4.3 Zpracovatel zavádí a udržuje vhodné technické a organizační zásady zabezpečení v souladu s čl. 32 GDPR.

7.5 Oznámení o porušení zabezpečení osobních údajů

7.5.1 Zpracovatel upozorní Správce na jakékoli známé nebo podezřelé porušení zabezpečení osobních údajů bez zbytečného odkladu a v každém případě do 72 hodin od zjištění porušení. Oznámení bude zasláno e-mailem na registrovanou kontaktní adresu Správce.

7.5.2 Oznámení Zpracovatelé bude obsahovat, pokud je v čase oznámení známo:

  • (a) povahu a rozsah porušení (jaké údaje byly zasaženy, kolik účastníků);
  • (b) pravděpodobné důsledky pro účastníky (úroveň rizika: nízká, střední, vysoká);
  • (c) identitu a kontaktní údaje kontaktní osoby Zpracovatelé;
  • (d) opatření, která Zpracovatel přijal nebo navrhuje přijmout k řešení porušení a zmírnění škody;
  • (e) datum a čas zjištění porušení; a
  • (f) informace, které Správci pomohou splnit jeho vlastní povinnosti oznámení podle čl. 33 a 34 GDPR.

7.5.3 Zpracovatel vedl interní registr porušení zaznamenávající datum zjištění, skutečnosti porušení, účinky a nápravná opatření, v souladu s čl. 33(5) GDPR.

7.5.4 Zpracovatel upozorní Úřad pro ochranu osobních údajů (ÚOOÚ) do 72 hodin od zjištění porušení, pokud není porušení nepravděpodobné, že by mělo za následek riziko pro práva a svobody fyzických osob, v souladu s čl. 33 GDPR.

7.6 Pomoc při výkonu práv subjektu údajů

7.6.1 Zpracovatel bude asistovat Správci plnit povinnost Správce reagovat na žádosti subjektu údajů o přístup, opravu, výmaz, omezení, námitku a přenositelnost (čl. 15–22 GDPR) podle:

  • (a) zpřístupnění nástrojů a funkcionality v Platformě, aby Správce mohl spravovat a exportovat data účastníků;
  • (b) poskytnutí Správci informací potřebných k odpovědi na žádosti subjektu údajů; a
  • (c) spolupráce se Správcem na zrychleném výmazu, omezení nebo jiné akci dle pokynů.

7.6.2 Pokud Zpracovatel obdrží žádost subjektu údajů o přístup, výmaz nebo jinou žádost o práva týkající se osobních údajů účastníků, Zpracovatel:

  • (a) předá žádost Správci bez zbytečného odkladu;
  • (b) nebude reagovat přímo na subjekt údajů bez pokynů od Správce; a
  • (c) bude asistovat Správci v reagování dle pokynů.

7.6.3 Zpracovatel bude asistovat Správci v odpovědi na požadavky Správce, které zahrnují zveřejnění informací týkajících se zpracování osobních údajů účastníků, kde to vyžadují orgány dohledu nebo soudy.

7.7 Pomoc s posouzením vlivu na ochranu údajů

7.7.1 Zpracovatel bude poskytovat přiměřenou asistenci Správci při provádění posouzení vlivu na ochranu údajů (DPIA) dle požadavků čl. 35 GDPR, včetně poskytnutí informací o bezpečnostních opatřeních Zpracovatelé, postupech zpracování údajů a dalších zpracovatelích.

7.8 Spolupráce s orgány dohledu

7.8.1 Zpracovatel bude spolupracovat s Úřadem pro ochranu osobních údajů (ÚOOÚ) a dalšími orgány dohledu, včetně:

  • (a) odpovědi na informační žádosti od orgánu dohledu;
  • (b) povolení auditů a inspekcí, jak je popsáno v části 15 níže; a
  • (c) asistace Správci v naplnění jeho vlastních povinností ke spolupráci.

7.9 Vymazání nebo vrácení osobních údajů

7.9.1 Na konci poskytování Služby (bez ohledu na to, zda je to vypršením pevného termínu, ukončením z důvodů, ukončením bez důvodu nebo uzavřením Účtu Správce) Zpracovatel:

  • (a) vymaže všechny osobní údaje účastníků a existující kopie těchto údajů, pokud to nevyžadují práva EU nebo České republiky; nebo
  • (b) vrátí všechny osobní údaje účastníků Správci ve strukturovaném, běžně používaném, strojově čitelném formátu (podléhá možnostem exportu uvedeným v Příloze II).

7.9.2 Zpracovatel může uchovat osobní údaje v šifrovaných zálohách až 90 dnů po datu vymazání nebo vrácení jako součást standardního cyklu uchovávání záloh. Po uplynutí tohoto období jsou zálohy obsahující osobní údaje vymazány.

7.9.3 Faktury a účetní záznamy jsou uchovávány 10 let podle zákona č. 563/1991 Sb. o účetnictví a nejsou smazány dříve nebo na žádost.

8. Další zpracovatelé a autorizované změny

8.1 Správce autorizuje Zpracovatele přizvat další zpracovatele uvedené v Příloze II ke zpracování osobních údajů účastníků. Příloha II identifikuje každého dalšího zpracovatele, jeho místo, jeho účel zpracování a odkaz na jeho mechanismus převodu (např. Standardní smluvní doložky), jsou-li použitelné.

8.2 Příloha II této DPA je úplný a autorizativní záznam všech dalších zpracovatelů angažovaných v zpracování osobních údajů účastníků k datu účinnosti. Změny v Příloze II jsou zveřejňovány prostřednictvím nové verze této DPA vydané v souladu s částí 7.3.

8.3 Zpracovatel neangažuje žádného nového dalšího zpracovatele bez poskytnutí Správci nejméně 30 dnů předem písemného oznámení e-mailem na registrovanou kontaktní adresu Správce. Pokud se Správce vzepře na rozumných základech ochrany údajů, Zpracovatel a Správce se budou snažit v dobré víře námitku vyřešit. Pokud nedojde k vyřešení před účinností změny, Správce může ukončit ovlivněné zpracování nebo Smlouvu v plném rozsahu bez penále, jak je uvedeno v části 7.3.3.

8.4 Každý další zpracovatel je vázán písemným podmínkami zpracování údajů nejméně tak přísné jako ty v této DPA.

9. Mezinárodní převody

9.1 Místo primárního ukládání. Všechny osobní údaje účastníků jsou uchovávány a zpracovávány v Evropské unii (České republice) Zpracovatelem. Primární servery, databáze a infrastruktura zálohování Zpracovatelé jsou umístěny v České republice.

9.2 Převody dalšího zpracovatele. Někteří autorizovaní další zpracovatelé mohou být umístěni mimo Evropský hospodářský prostor (EHP) nebo mohou převádět osobní údaje do zemí mimo EHP. V takových případech se Zpracovatel opírá o:

  • (a) Standardní smluvní doložky (SCC) publikované každým dalším zpracovatelem v jejich standardní Smlouvě o zpracování údajů nebo Zásadách ochrany osobních údajů;
  • (b) rozhodnutí o přiměřenosti vydaná Evropskou komisí podle čl. 45 GDPR; nebo
  • (c) další vhodné zásady uznávané GDPR.

9.3 Pro každého dalšího zpracovatele převádějícího osobní údaje mimo EHP identifikuje Příloha II jurisdikci a mechanismus převodu (např. „SCC dle DPA dalšího zpracovatele"). Správce může zkontrolovat zveřejněnou standardní DPA nebo dokumentaci o převodu každého dalšího zpracovatele k ověření souladu.

9.4 Zpracovatel upozorní Správce bez zbytečného odkladu na jakoukoli změnu místa nebo mechanismu převodu dalšího zpracovatele.

10. Bezpečnost zpracování

10.1 Zpracovatel zavádí Technická a organizační opatření popsaná v čl. 32 GDPR. Opatření zavedená Zpracovatelem jsou podrobně uvedena v Příloze III.

10.2 Obecné principy. Zpracovatel aplikuje TOO navržená k zajištění úrovně zabezpečení vhodné pro riziko neoprávněného nebo protiprávního zpracování, neúmyslné ztráty, zničení nebo poškození osobních údajů účastníků. TOO se zakládají na následujících principech a cílech:

  • Pseudonymizace a šifrování kde je to proveditelné;
  • Důvěrnost (prevence neoprávněného přístupu);
  • Integritu (prevence neoprávněné nebo neodhalené změny);
  • Dostupnost a odolnost (zachování kontinuity služby a obnovení přístupu po incidentech);
  • Pravidelné testování a hodnocení efektivnosti TOO.

10.3 Opatření v souladu s průmyslovými standardy. Zpracovatel zavádí technická a organizační opatření v souladu s průmyslovými standardy, včetně:

  • Šifrování TLS při přenosu (HTTPS/TLS 1.2+);
  • šifrování v klidu pro citlivé údaje;
  • přísté kontroly přístupu (na základě role, princip nejnižší oprávnění);
  • pravidelné bezpečnostní aktualizace a opravy;
  • protokolování a monitorování auditu;
  • bezpečné vymazání údajů.

10.4 Příloha III. Další podrobnosti o kategoriích TOO naleznete v Příloze III této DPA.

11. Oznámení o porušení zabezpečení osobních údajů

11.1 72hodinové oznámení. Po zjištění porušení zabezpečení osobních údajů ovlivňujícího osobní údaje účastníků upozorní Zpracovatel Správce bez zbytečného odkladu a v každém případě do 72 hodin, pokud porušení neklade v sázku práva a svobody účastníků.

11.2 Obsah oznámení. Oznámení bude obsahovat informace popsané v části 7.5.2 výše, pokud je v čase oznámení známo.

11.3 Oznámení ÚOOÚ. Zpracovatel upozorní český orgán dohledu (ÚOOÚ) do 72 hodin od zjištění porušení, pokud je porušení pravděpodobné, že má za následek riziko pro práva a svobody fyzických osob, v souladu s čl. 33 GDPR.

11.4 Registr porušení. Zpracovatel vede registr všech porušení (ať už byla oznámení vyžadována či ne) v souladu s čl. 33(5) GDPR.

12. Pomoc s posouzením vlivu na ochranu údajů

12.1 Zpracovatel bude spolupracovat se Správcem a poskytne informace a asistenci potřebné k provedení posouzení vlivu na ochranu údajů (DPIA) dle požadavků čl. 35 GDPR, včetně poskytnutí podrobností o:

  • povaze a rozsahu aktivit zpracování;
  • Technických a organizačních opatření zavedených;
  • jakýchkoliv známých nebo předvídaných rizicích a opatřeních ke zmírnění;
  • dalších zpracovatelích a jejich postupech zpracování.

13. Pomoc s právy subjektu údajů

13.1 Přístup a export. Zpracovatel zpřístupňuje v Platformě nástroje umožňující Správci přistupovat a exportovat osobní údaje účastníků v strojově čitelných formátech, což usnadňuje odpověď Správce na žádosti subjektu údajů o přístup (čl. 15 GDPR) a žádosti o přenositelnost (čl. 20 GDPR).

13.2 Oprava a výmaz. Zpracovatel poskytuje funkčnost v Platformě umožňující Správci opravit nepřesné údaje účastníků a vymazat záznamy účastníků, což usnadňuje plnění povinností Správce v oblasti opravy a výmazu (čl. 16 a 17 GDPR).

13.3 Přímé žádosti Zpracovatelé. Pokud subjekt údajů pošle žádost o přístup, výmaz nebo jinou žádost o práva přímo Zpracovatelovi (na adrese info@entrylog.eu) týkající se osobních údajů účastníků, Zpracovatel:

  • (a) informuje subjekt údajů, že by měl kontaktovat Správce (Pořadatele); a
  • (b) předá žádost Správci bez zbytečného odkladu; a
  • (c) poskytne subjektu údajů kontaktní informace Správce.

14. Vymazání a vrácení osobních údajů na konci zpracování

14.1 Povinnost při ukončení. Při ukončení Smlouvy (Správcem nebo Zpracovatelem) nebo na pokyn Správce Zpracovatel vymaže všechny osobní údaje účastníků, nebo se podle volby Správce vrátí takové osobní údaje ve strukturovaném, běžně používaném, strojově čitelném formátu vhodném pro import do jiných systémů.

14.2 Načasování. Vymazání bude dokončeno do 30 dnů od data ukončení, jak je popsáno v čl. X § 4 Všeobecných obchodních podmínek (Den 0: měkké smazání; Den 30: trvalé smazání z primární databáze).

14.3 Uchovávání zálohy. Zpracovatel může uchovat osobní údaje účastníků v šifrovaných zálohách databáze až 90 dnů po vymazání z primární databáze jako součást standardního okna uchovávání záloh. Jakmile okno 90denního zálohování uplyne, zálohy obsahující takové údaje jsou vymazány.

14.4 Výjimky. Zpracovatel není povinnen vymazat faktury nebo účetní záznamy, které musí být uchovávány 10 let podle zákona č. 563/1991 Sb. o účetnictví.

15. Práva auditu

15.1 Práva auditu a inspekce. Správce má právo auditovat soulad Zpracovatelé s touto DPA a GDPR, realizované následovně:

15.2 Informační žádosti. Správce může vyžadovat informace o zpracování osobních údajů účastníků Zpracovatelem, bezpečnostních opatřeních, dalších zpracovatelích a souladu s touto DPA. Zpracovatel poskytne takové informace do 30 dnů od žádosti (nebo delší lhůty, pokud je žádost neobvykle složitá).

15.3 Audity na místě. Správce může provést audit na místě nebo inspekci zařízení a systémů Zpracovatelé, podléhá následujícím podmínkám:

  • (a) Přiměřenost upozornění: Správce poskytne Zpracovatelovi aspoň 30denní předchozí písemné upozornění;
  • (b) Přiměřený rozsah: Audit bude omezen na zpracování osobních údajů účastníků Zpracovatelem a soulad s touto DPA. Audity nesouvisejících aktivit, systémů nebo infrastruktury třetích stran nejsou povoleny;
  • (c) Frekvence: Nejvíce jednou za kalendářní rok bez důvodu. Další audity mohou být prováděny, pokud Zpracovatel podstatně porušil tuto DPA nebo GDPR, nebo v odpovědi na vyšetřování orgánu dohledu;
  • (d) Načasování: Během běžné pracovní doby a plánováno v čase vhodném pro obě strany;
  • (e) Náklady: Správce ponese plné náklady auditu, včetně přiměřených nákladů na čas Zpracovatelé;
  • (f) Důvěrnost: Správce a jeho auditoré jsou vázáni povinností důvěrnosti s ohledem na jakékoli patentované nebo citlivé informace zjištěné během auditu;
  • (g) Nerušivost: Audit bude provádění způsobem, který nenarušuje operace Zpracovatelé nebo Službu.

15.4 Spolupráce orgánu dohledu. V případě auditu nebo vyšetřování orgánem dohledu (jako je ÚOOÚ) bude Zpracovatel plně spolupracovat a zpřístupní Správci práva auditu orgánu dohledu, pokud to vyžaduje zákon.

15.5 Certifikace. Zpracovatel může podle svého výhradního uvážení poskytovat Správci certifikát nebo osvědčení o souladu připravené nezávislým auditorem jako alternativu k úplnému auditu na místě.

16. Odpovědnost

16.1 Omezení odpovědnosti. Odpovědnost vycházející z nebo související s touto DPA podléhá omezením odpovědnosti stanoveným v čl. VIII § 3 Všeobecných obchodních podmínek, které stanoví, že celková kumulativní odpovědnost Zpracovatelé vůči Správci vyplývající z nebo související s jedinou Akcí nepřekročí vyšší z (a) Aktivačního poplatku zaplaceného za tu Akci a (b) 15 000 Kč.

16.2 Výjimka povinného práva. Bez ohledu na část 16.1 Zpracovatel neomezuje ani nevylučuje:

  • (a) jakoukoli odpovědnost, kterou nelze omezit dle povinného práva, včetně podle § 2898 zákona č. 89/2012 Sb., občanský zákoník (odpovědnost za úmyslně způsobenou nebo hrubě nedbalou škodu);
  • (b) odpovědnost za smrt nebo zranění osoby způsobené nedbalostí;
  • (c) odpovědnost podle čl. 82 GDPR (přímé právo subjektu údajů na nárok na náhradu materiální nebo nematerialní škody); nebo
  • (d) jakoukoli jinou odpovědnost, kterou povinné české nebo unijní právo neumožňuje omezit nebo vyloučit.

16.3 Interakce s VOP. Tato DPA obsahuje limitaci odpovědnosti Všeobecných obchodních podmínek odkazem. V případě jakéhokoliv konfliktu mezi touto DPA a Všeobecnými obchodními podmínkami týkajícího se zpracování osobních údajů má přednost tato DPA; jinak mají Všeobecné obchodní podmínky přednost.

17. Trvání a ukončení

17.1 Začátek. Tato DPA nabývá účinnosti k datu účinnosti uvedenému na začátku tohoto dokumentu a vztahuje se od chvíle, kdy Správce poprvé zpracovává osobní údaje účastníků prostřednictvím Platformy.

17.2 Pokračování. Tato DPA zůstane v platnosti, dokud Zpracovatel zpracovává osobní údaje účastníků jménem Správce.

17.3 Ukončení. Tato DPA se automaticky ukončí při ukončení Smlouvy mezi Správcem a Zpracovatelem, jak je popsáno v čl. X Všeobecných obchodních podmínek.

17.4 Dohad. Práva auditu Správce (část 15), povinnosti důvěrnosti Zpracovatelé (část 7.2) a rámec odpovědnosti Zpracovatelé (část 16) přetrvávají ukončení tak dlouho, jak zůstávají relevantní, a v každém případě po dobu dvou let po ukončení, pokud povinné právo nevyžaduje delší lhůtu.

18. Rozhodné právo a příslušnost

18.1 Rozhodné právo. Tato DPA se řídí zákony České republiky, zejména zákonem č. 89/2012 Sb., občanský zákoník, a zákonem č. 110/2019 Sb., o zpracování osobních údajů.

18.2 Příslušnost. Strany se dohodly na příslušnosti českých soudů. Pro podnikatelské zákazníky je místně příslušným soudem prvního stupně soud příslušný dle sídla Poskytovatele, kterým je Okresní soud v Benešově. Spotřebitelé si zachovávají jakákoli povinná práva na zahájení řízení v soudech své domovské členské země.

19. Pořadí precedence

19.1 V případě jakéhokoliv konfliktu mezi touto DPA a Všeobecnými obchodními podmínkami týkajícího se zpracování osobních údajů účastníků má tato DPA přednost.

19.2 Pro všechny ostatní věci nesouvisející se zpracováním osobních údajů mají Všeobecné obchodní podmínky přednost.

20. Různé

20.1 Jazyk. Tato DPA je zveřejněna v angličtině a češtině. Obě verze jsou závazné; v případě jakéhokoliv konfliktu má přednost česká verze.

20.2 Celá smlouva. Tato DPA spolu se Všeobecnými obchodními podmínkami, Zásadami ochrany osobních údajů, Pravidly přijatelného užívání a dalšími začleněnými dokumenty představuje celou dohodu mezi stranami s ohledem na zpracování osobních údajů účastníků a nahrazuje veškerou předchozí komunikaci a návrhy.

20.3 Soupor. Pokud je nějaké ustanovení této DPA shledáno neplatné, nezákonné nebo nevymahatelné, zbývající ustanovení zůstávají v plné platnosti a účinnosti, a neplatné ustanovení je nahrazeno platným ustanovením, které nejlépe odráželo ekonomický záměr původního.

20.4 Oznámení. Všechna oznámení podle této DPA budou poskytnuta e-mailem na kontaktní adresu uvedenou ve Všeobecných obchodních podmínkách (Poskytovatel: info@entrylog.eu; Správce: registrovaná kontaktní e-mailová adresa na Účtu). Oznámení se považuje za doručené v pracovní den následující po odeslání.

20.5 Bez vzdání se. Selhání některé ze stran vymáhat jakékoli ustanovení této DPA se nebude vykládat jako vzdání se takového ustanovení nebo práva je vymáhat později.

Příloha I — Podrobnosti zpracování

Předmět a rozsah

Zpracovatel zpracovává osobní údaje účastníků pro umožnění Služby popsané v čl. III Všeobecných obchodních podmínek.

Povaha a účel zpracování

Zpracovatel zpracovává osobní údaje účastníků za následujícími účely:

  1. Ukládání a organizace záznamů o účastnicích;
  2. Usnadnění funkce odbavení (skenování QR kódu, záznam časových razítek);
  3. Doručování transakčních a marketingových e-mailů;
  4. Sledování stavu doručení e-mailu (doručení, vrácení, stížnost);
  5. Sběr a ukládání zpětné vazby účastníků;
  6. Správa digitálních vstupenek a tokenů vstupenek;
  7. Údržba bezpečnostních a auditních protokolů;
  8. Podpora funkcionality Platformy dle konfigurace Pořadatelem.

Kategorie subjektů údajů

  • Účastníci: fyzické osoby pozvané, zaregistrované nebo přijaté na Akci prostřednictvím Platformy.

Kategorie osobních údajů

  • Identifikační údaje: jméno, e-mailová adresa;
  • Vlastní pole: dietní omezení, požadavky na dostupnost, profesní informace nebo další údaje sbírané Pořadatelem;
  • Data akce a transakcí: stav odbavení, časové razítka odbavení, stav doručení e-mailu, podání zpětné vazby, tokeny vstupenek, stav registrace;
  • Technické údaje: IP adresy (v protokolech serveru), identifikátory uživatelů, metadata relace, metadata mezipaměti service workeru.

Údaje zvláštní kategorie

Zpracovatel nesbírá úmyslně údaje zvláštní kategorie. Pořadatelé mohou dobrovolně nahrávat údaje zvláštní kategorie jako vlastní pole. Pořadatel nese výhradní odpovědnost za zajištění právně přípustného zpracování. Zpracovatel neprovádí automatizované rozhodování na základě zvláštních kategorií.

Trvání zpracování

  • Aktivní Akce: Osobní údaje účastníků jsou zpracovávány během doby, kdy je Akce aktivní.
  • Po skončení Akce: 12 měsíců pro většinu údajů účastníků; 24 měsíců pro protokoly odbavení; 12 měsíců pro protokoly doručení e-mailů.
  • Při ukončení Účtu: 30 dnů měkkého smazání, poté trvalého smazání na Den 30; zbytková zálohování až 90 dnů.
  • Faktury: 10 let (povinné právní uchovávání).

Příloha II — Další zpracovatelé

Tato Příloha představuje úplný a závazný seznam Dalších zpracovatelů, které Správce autorizuje ke zpracování Osobních údajů Účastníků ke dni účinnosti této DPA. Jakákoliv změna je oznamována v souladu s článkem 8 této DPA a provedena opětovným zveřejněním této DPA.

Další zpracovatelé používaní aplikací EntryLog (app.entrylog.eu):

Další zpracovatel Provozovatel Jurisdikce Účel Mechanismus předání
Stripe Stripe Payments Europe Ltd. Irsko (EU) Zpracování plateb pro fakturaci Pořadatele (Aktivační poplatky). Nezpracovávají při běžném provozu osobní údaje Účastníků. Zpracování v rámci EU; platí standardní Smlouva o zpracování osobních údajů Stripe.
MailerSend MailerLite Ltd. Irsko (EU) Doručování transakčních e-mailů a e-mailových kampaní Účastníkům. Zpracování v rámci EU; platí standardní Smlouva o zpracování osobních údajů MailerSend, včetně SCC pro jakýkoliv další převod na její americké pobočky.
Cloudflare R2 Cloudflare Inc. USA (mateřská společnost); vynuceno úložiště v regionu EU Ukládání nahraných souborů, příloh a generovaných prostředků, které mohou obsahovat osobní údaje Účastníků. Standardní smluvní doložky (SCC) podle Proveřovacího rozhodnutí Komise (EU) 2021/914, zapracované do Smlouvy o zpracování osobních údajů Cloudflare.
Cloudflare Turnstile Cloudflare Inc. USA (mateřská společnost) CAPTCHA a ochrana proti botům na přihlašovacích a registračních stránkách (nezbytné pro zabezpečení). Standardní smluvní doložky (SCC) podle Proveřovacího rozhodnutí Komise (EU) 2021/914, zapracované do Smlouvy o zpracování osobních údajů Cloudflare.
Sentry Functional Software Inc. EU region (Frankfurt, sentry.io/eu) Monitorování chyb a výjimek. Může příležitostně zachytit diagnostická data obsahující osobní údaje. Zpracování v regionu EU; SCC nejsou vyžadovány.

Poznámky k této Příloze:

  • Mechanismus převodu pro každého Dalšího zpracovatele je uveden přímo v tabulce výše. Správce může prohlédnout zveřejněnou standardní Smlouvu o zpracování osobních údajů každého Dalšího zpracovatele pro další podrobnosti.
  • Každý Další zpracovatel je vázán písemnou smlouvou o zpracování osobních údajů ukládající povinnosti nejméně tak přísné jako ty v této DPA.
  • Správce může namítnout jakéhokoliv nového nebo náhradního Dalšího zpracovatele na rozumných základech ochrany údajů, se právem ukončit ovlivněné zpracování nebo Smlouvu, pokud nemohou být řešeny námitky, jak je uvedeno v části 8 této DPA.

Příloha III — Technická a organizační opatření

Zpracovatel zavádí následující Technická a organizační opatření v souladu s čl. 32 GDPR:

A. Pseudonymizace a šifrování

  • Šifrování při přenosu: Všechna data přenášená mezi účastníky, pořadateli a Platformou jsou šifrována pomocí TLS 1.2 nebo vyšší.
  • Šifrování v klidu: Citlivé osobní údaje (hesla, API tokeny) jsou šifrována v klidu pomocí průmyslově běžných šifrovacích algoritmů.
  • Šifrování databáze: Kde je to proveditelné, osobní údaje uložené v databázi jsou šifrována.

B. Důvěrnost a integritu

  • Kontroly přístupu: Přístup k osobním údajům je omezen na autorizovaný personál na základě principu nejnižších oprávnění. Kontrola přístupu na základě role (RBAC) je zavedena v rámci Platformy.
  • Ověřování: Zaměstnanci s přístupem k osobním údajům jsou ověřeni pomocí bezpečných metod (heslo + vícefaktorové ověřování, kde je to vhodné).
  • Dohody o důvěrnosti: Všichni zaměstnanci oprávněni přistupovat k osobním údajům jsou vázáni písemnými povinnostmi důvěrnosti.
  • Integritu údajů: Systémy implementují mechanismy k detekci a prevenci neoprávněné nebo neodhalené změny osobních údajů (kontrolní součty, auditní protokoly).

C. Dostupnost a odolnost

  • Zálohování a obnovení: Denní automatizované zálohy jsou prováděny a uchovávány 90 dnů. Procedury obnovení se pravidelně testují.
  • Redundance: Kritické systémy jsou navrženy s redundancí, aby se zabránilo jediným bodům selhání.
  • Plán reakce na incidenty: Dokumentovaný plán reakce na incidenty je na místě pro rychlou reakci na bezpečnostní incidenty a porušení.
  • Monitorování služby: Systémy jsou neustále monitorovány na bezpečnostní anomálie a degradaci služby.

D. Pravidelné testování a hodnocení

  • Monitorování a audit protokolů: Systémové a aplikační protokoly jsou zkontrolovány na příznaky neoprávněného přístupu nebo anomální aktivity.
  • Protokolování incidentů: Bezpečnostní incidenty jsou zaznamenány a zkontrolovány, aby se identifikovaly vzory a zlepšily ovládací prvky.
  • Periodické přezkoumání TOO: Zpracovatel pravidelně přezkoumává efektivnost svých technických a organizačních opatření a aktualizuje je s ohledem na stav techniky, náklady implementace a povahu, rozsah, kontext a účely zpracování, v souladu s čl. 32 GDPR.

E. Bezpečnost dalšího zpracovatele

  • Průzkum zdrojů: Všichni další zpracovatelé jsou hodnoceni na bezpečnostní postupy před angažmá a následně periodicky.
  • Smluvní povinnosti: Všichni další zpracovatelé jsou smluvně vázáni na zavedení ekvivalentních bezpečnostních opatření.
  • Monitorování: Zpracovatel monitoruje další zpracovatele na bezpečnostní incidenty a soulad se smluvními povinnostmi.

F. Fyzické a environmentální bezpečnosti

  • Bezpečnost datového centra: Servery Zpracovatelé jsou umístěny v zabezpečeném datovém centru s fyzickými kontrolami přístupu, dohledem a monitorováním prostředí.
  • Bezpečné smazání: Když jsou osobní údaje smazány, jsou použity vhodné metody bezpečného smazání, aby se zabránilo obnovení.