Smlouva o zpracování osobních údajů (DPA)
Právní dokumenty Ellity pro českou společnost poskytující služby klientům v EU.
Tato Smlouva o zpracování osobních údajů (dále jen „DPA") je uzavřena podle čl. 28 nařízení Evropského parlamentu a Rady (EU) 2016/679 (dále jen „GDPR") mezi:
Zpracovatel: GALANDR COMMUNICATION, s.r.o., IČ 07977085, se sídlem Žeranovice 294, PSČ 769 01, Česká republika (dále jen „zpracovatel" nebo „Ellity")
a
Správce: provozovatel e-shopu, který jako uživatel užívá službu Ellity na základě Všeobecných obchodních podmínek dostupných na ellity.eu (dále jen „správce" nebo „uživatel").
Účinnost od: 1. dubna 2026 (resp. ode dne zahájení užívání služby, nastane-li později)
Verze: 1.0
Kontakt zpracovatele ve věcech ochrany údajů: support@ellity.eu; pověřenec: Jiří Galandr
Úvodní ustanovení
(A) Zpracovatel poskytuje správci věrnostní systém Ellity a související služby na základě Všeobecných obchodních podmínek (dále jen „Hlavní smlouva").
(B) Při poskytování služby zpracovává zpracovatel osobní údaje koncových zákazníků správce jménem správce. Správce je ve vztahu k těmto údajům správcem a Ellity zpracovatelem.
(C) Účelem této DPA je upravit práva a povinnosti stran při zpracování osobních údajů v souladu s GDPR. Podrobnosti zpracování jsou uvedeny v Příloze I.
1. Definice
1.1 Pojmy „osobní údaje", „zvláštní kategorie osobních údajů", „subjekt údajů", „zpracování", „správce", „zpracovatel", „další zpracovatel", „porušení zabezpečení osobních údajů" a „dozorový úřad" mají význam podle GDPR.
1.2 Ostatní pojmy psané s velkým počátečním písmenem mají význam podle Hlavní smlouvy.
2. Předmět, role a doba zpracování
2.1 Zpracovatel zpracovává osobní údaje výhradně za účelem poskytování služby podle Hlavní smlouvy a této DPA, a to v rozsahu, po dobu, za účelem a způsobem uvedeným v Příloze I.
2.2 Správce je odpovědný za zákonnost zpracování a určuje účel a prostředky zpracování. Zpracovatel jedná jako zpracovatel na pokyn správce.
2.3 Tato DPA trvá po dobu trvání Hlavní smlouvy a po dobu, po kterou zpracovatel zpracovává osobní údaje pro správce.
3. Povinnosti a prohlášení správce
3.1 Správce zajišťuje a odpovídá za to, že: a) má pro předání a zpracování osobních údajů zpracovatelem platný právní titul a případné souhlasy subjektů údajů; b) jeho pokyny jsou v souladu s právními předpisy; a c) splnil vůči subjektům údajů informační povinnost.
3.2 Správce uděluje zpracovateli pokyny prostřednictvím konfigurace a užívání služby, Hlavní smlouvy, této DPA a případných dalších písemných pokynů. Zpracovatel není povinen zjišťovat či ověřovat, zda má správce k danému zpracování právní titul.
3.3 Správce odpovídá za správnost, kvalitu a legálnost osobních údajů, které do služby vloží on nebo jeho koncoví zákazníci.
4. Povinnosti zpracovatele
Zpracovatel se zavazuje:
4.1 Zpracovávat osobní údaje pouze na základě doložených pokynů správce, včetně otázek předání do třetí země, ledaže mu zpracování ukládá právo Unie nebo členského státu; v takovém případě správce informuje před zpracováním, nezakazuje-li to daný předpis z důvodu veřejného zájmu.
4.2 Informovat správce, má-li za to, že určitý pokyn porušuje GDPR nebo jiné předpisy o ochraně údajů; zpracovatel je oprávněn takový pokyn až do jeho vyjasnění pozastavit.
4.3 Zavázat mlčenlivostí osoby oprávněné zpracovávat osobní údaje a zajistit jejich proškolení.
4.4 Přijmout a udržovat technická a organizační opatření podle čl. 32 GDPR uvedená v Příloze II.
4.5 Zapojovat další zpracovatele pouze za podmínek podle čl. 7 této DPA.
4.6 Být správci přiměřeně nápomocen vhodnými technickými a organizačními opatřeními při plnění povinnosti reagovat na žádosti subjektů údajů podle kapitoly III GDPR, a to v rozsahu, v jakém je to s ohledem na povahu zpracování možné.
4.7 Být správci přiměřeně nápomocen při zajišťování souladu s povinnostmi podle čl. 32 až 36 GDPR (zabezpečení, ohlašování porušení, posouzení vlivu, předchozí konzultace), s přihlédnutím k povaze zpracování a informacím, jež má k dispozici.
4.8 Po ukončení poskytování služby naložit s osobními údaji podle čl. 12 této DPA.
4.9 Poskytnout správci informace nezbytné k doložení plnění povinností podle čl. 28 GDPR a umožnit audity za podmínek čl. 11 této DPA.
4.10 Zpracovatel je oprávněn zpracovávat údaje ve zcela anonymizované nebo agregované podobě, která neumožňuje identifikaci subjektu údajů, pro statistické účely, zabezpečení a zlepšování služby; takové údaje již nejsou osobními údaji.
5. Mlčenlivost
5.1 Zpracovatel zachovává mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení. Povinnost trvá i po skončení této DPA.
6. Zabezpečení zpracování
6.1 Zpracovatel s přihlédnutím ke stavu techniky, nákladům, povaze, rozsahu, kontextu a účelům zpracování i k rizikům pro práva a svobody subjektů údajů přijal a udržuje vhodná technická a organizační opatření uvedená v Příloze II.
6.2 Správce prohlašuje, že tato opatření považuje s ohledem na dané zpracování za dostatečná. Zpracovatel je oprávněn opatření v čase aktualizovat, nesníží-li tím úroveň zabezpečení.
7. Další zpracovatelé (subdodavatelé)
7.1 Správce uděluje zpracovateli obecné povolení zapojit další zpracovatele. Aktuální seznam schválených dalších zpracovatelů je uveden v Příloze III, resp. zveřejněn zpracovatelem.
7.2 Zpracovatel informuje správce o zamýšlené změně (přidání či nahrazení) dalšího zpracovatele a poskytne správci přiměřenou lhůtu k vyjádření námitky. Podá-li správce z vážných důvodů týkajících se ochrany osobních údajů odůvodněnou námitku, strany v dobré víře hledají řešení; nelze-li ho dosáhnout, je kterákoli strana oprávněna dotčenou část služby ukončit.
7.3 Zpracovatel uloží dalšímu zpracovateli stejné povinnosti ochrany údajů, jaké má sám podle této DPA. Zpracovatel odpovídá za plnění povinností dalšího zpracovatele ve stejném rozsahu, jako by je plnil sám.
8. Předání do třetích zemí
8.1 Zpracovatel může osobní údaje předat nebo zpřístupnit v třetí zemi (mimo EU/EHP), zejména v souvislosti se zapojením dalších zpracovatelů (např. cloudové a analytické nástroje). Správce tímto uděluje zpracovateli pokyn a zmocnění zajistit takové předání.
8.2 Každé takové předání proběhne pouze při zajištění vhodných záruk podle kapitoly V GDPR, zejména na základě rozhodnutí o odpovídající ochraně (např. certifikace v rámci EU–US Data Privacy Framework) nebo standardních smluvních doložek (SCC) přijatých Evropskou komisí. Správce zmocňuje zpracovatele k uzavření SCC s dalšími zpracovateli svým jménem, je-li to potřebné.
9. Součinnost při právech subjektů údajů
9.1 Obrátí-li se subjekt údajů se žádostí přímo na zpracovatele, zpracovatel žádost bez zbytečného odkladu předá správci a bez pokynu správce ji sám nevyřizuje, ledaže mu to ukládá právní předpis.
9.2 Součinnost nad rámec běžné a přiměřené míry (zejména rozsáhlá nebo opakovaná asistence) je zpracovatel oprávněn poskytnout za náhradu účelně vynaložených nákladů, na kterou správce předem upozorní.
10. Ohlašování porušení zabezpečení
10.1 Zjistí-li zpracovatel porušení zabezpečení osobních údajů, ohlásí je správci bez zbytečného odkladu, nejpozději do 36 hodin od zjištění, a poskytne správci dostupné informace potřebné k plnění jeho ohlašovací povinnosti.
10.2 Ohlášení porušení dozorovému úřadu a subjektům údajů zajišťuje správce. Zpracovatel vede evidenci porušení a přijatých nápravných opatření.
11. Audity
11.1 Zpracovatel umožní správci ověření plnění povinností podle této DPA. Správce je oprávněn primárně vycházet z dostupných dokumentů, certifikací a zpráv o auditu poskytnutých zpracovatelem.
11.2 Nepostačují-li podklady dle čl. 11.1, je správce oprávněn provést audit (nebo jej nechat provést nezávislým auditorem vázaným mlčenlivostí) nejvýše jednou za kalendářní rok v rozsahu nepřesahujícím 2 člověkodny, na základě oznámení nejméně 30 dní předem, v pracovní době a způsobem, který nenaruší provoz zpracovatele. Auditor nesmí být konkurentem zpracovatele.
11.3 Náklady auditu nese správce. Vyžádaný audit nezahrnuje přístup k datům jiných zákazníků zpracovatele ani k důvěrným informacím třetích stran.
12. Výmaz a vrácení údajů
12.1 Po ukončení poskytování služby zpracovatel podle volby správce v přiměřené době (zpravidla do 30 dnů) osobní údaje zpracovávané pro správce vymaže nebo vrátí, a vymaže existující kopie, nevyžaduje-li právo Unie nebo členského státu jejich uložení.
12.2 Zpracovatel je oprávněn uchovat osobní údaje po dobu a v rozsahu vyžadovaném právním předpisem, nebo má-li k jejich zpracování jiný samostatný právní titul; po tuto dobu je nadále chrání podle této DPA.
13. Odpovědnost a odškodnění
13.1 Odpovědnost stran z této DPA se řídí a je omezena ustanoveními o omezení odpovědnosti uvedenými v Hlavní smlouvě (zejména souhrnným stropem odpovědnosti), v rozsahu, v jakém to GDPR a kogentní předpisy připouštějí. Tím nejsou dotčena práva subjektů údajů podle čl. 82 GDPR.
13.2 Odškodnění. Správce odškodní zpracovatele za újmu, pokuty a náklady (včetně nákladů právního zastoupení) vzniklé v důsledku toho, že správce neměl pro zpracování platný právní titul či souhlas, udělil protiprávní pokyn, porušil informační povinnost vůči subjektům údajů nebo jinak porušil své povinnosti podle GDPR či této DPA.
13.3 Uhradí-li jedna strana subjektu údajů náhradu převyšující svůj podíl odpovědnosti podle čl. 82 GDPR, má vůči druhé straně nárok na vypořádání odpovídající jejímu podílu na způsobené újmě.
14. Trvání a závěrečná ustanovení
14.1 Tato DPA je nedílnou součástí Hlavní smlouvy a trvá po dobu její účinnosti. V otázkách zpracování osobních údajů má tato DPA v případě rozporu přednost před Hlavní smlouvou.
14.2 Zpracovatel je oprávněn tuto DPA přiměřeně měnit postupem pro změnu Všeobecných obchodních podmínek, zejména vyžaduje-li to změna právních předpisů nebo rozhodovací praxe; podstatné změny oznámí správci předem.
14.3 Tato DPA se řídí právem České republiky. Stane-li se některé ustanovení neplatným či nevymahatelným, ostatní zůstávají v platnosti a nahradí se ustanovením co nejbližším jeho účelu.
Příloha I — Specifikace zpracování
| Položka | Popis |
|---|---|
| Předmět zpracování | Poskytování věrnostního systému Ellity a souvisejících funkcí (věrnostní body, VIP a referral program, e-mailing, analytika a Business Intelligence AI). |
| Povaha a účel | Ukládání, organizace, strukturování, nahlížení, používání a mazání osobních údajů za účelem provozu věrnostního programu a souvisejících funkcí pro správce. |
| Doba zpracování | Po dobu trvání Hlavní smlouvy a následného období pro export/výmaz podle čl. 12. |
| Kategorie subjektů údajů | Koncoví zákazníci správce (registrovaní účastníci věrnostního programu). |
| Kategorie osobních údajů | Identifikační a kontaktní údaje (jméno, příjmení, e-mail, telefon), údaje o účtu a věrnostní aktivitě (body, odměny, VIP status, referral), údaje o objednávkách nezbytné pro věrnostní funkce, technické identifikátory. |
| Zvláštní kategorie údajů | Nezpracovávají se; správce je nesmí do služby vkládat. |
Příloha II — Technická a organizační opatření
Zpracovatel přijal a udržuje zejména:
1. řízení přístupu na základě individuálních oprávnění (přístup pouze pověřených osob v rozsahu odpovídajícím jejich oprávnění);
2. šifrování a/nebo pseudonymizaci či anonymizaci osobních údajů tam, kde je to vhodné;
3. opatření k zajištění důvěrnosti, integrity, dostupnosti a odolnosti systémů a služeb;
4. schopnost obnovit dostupnost osobních údajů (zálohování a obnova);
5. pravidelné testování, posuzování a hodnocení účinnosti opatření;
6. ochranu integrity komunikačních sítí a zabezpečený přenos dat;
7. antivirovou ochranu a kontrolu neoprávněných přístupů;
8. závazek mlčenlivosti osob s přístupem k osobním údajům;
9. zajištění fyzické bezpečnosti zpracovávaných a uchovávaných údajů;
10. evidenci porušení zabezpečení a přijatých nápravných opatření.
Příloha III — Schválení další zpracovatelé
| Kategorie | Účel | Umístění / záruky |
|---|---|---|
| Cloudová infrastruktura a hosting | provoz aplikace, ukládání dat | EU a/nebo USA (SCC / EU–US DPF) |
| Analytika | analýza užívání služby | EU a/nebo USA (SCC / EU–US DPF) |
| E-mailing | doručování zpráv koncovým zákazníkům | dle poskytovatele (SCC, je-li mimo EU) |
| AI / analytické nástroje | funkce Business Intelligence AI | dle poskytovatele (SCC, je-li mimo EU) |
| Zákaznická podpora | řešení požadavků | dle poskytovatele |
*Aktuální a úplný seznam konkrétních dalších zpracovatelů poskytne zpracovatel na vyžádání na support@ellity.eu.*

