Skip to content
DPA

Smlouva o zpracování osobních údajů

Podmínky podle čl. 28 GDPR, za nichž společnost Alpha Analytics s.r.o. zpracovává osobní údaje jménem svých zákazníků při poskytování služeb Carsdata.com.

Naposledy aktualizováno9. června 2026

Rozsah a role smluvních stran

Tato Smlouva o zpracování osobních údajů (dále jen „DPA“) tvoří součást smlouvy mezi zákazníkem (dále jen „správce“) a společností Alpha Analytics s.r.o. (dále jen „zpracovatel“) o užívání služeb Carsdata.com (dále jen „služby“). Upravuje zpracování osobních údajů, které zpracovatel provádí jménem správce, a uplatní se vždy, když takové zpracování podléhá Nařízení (EU) 2016/679 (dále jen „GDPR“).

Správce určuje účely a prostředky zpracování osobních údajů a odpovídá za zákonnost tohoto zpracování. Zpracovatel zpracovává osobní údaje pouze jménem správce a na základě jeho doložených pokynů. Pokud zpracovatel určuje účely a prostředky zpracování pro vlastní činnost, vystupuje jako správce a takové zpracování se řídí Zásadami ochrany osobních údajů, nikoli touto DPA.

V případě jakéhokoli rozporu mezi touto DPA a zbývající částí smlouvy mezi stranami ve vztahu ke zpracování osobních údajů má přednost tato DPA.

Definice

Pojmy jako „osobní údaje“, „zpracování“, „správce“, „zpracovatel“, „další zpracovatel“, „subjekt údajů“, „porušení zabezpečení osobních údajů“ a „dozorový úřad“ mají význam, který jim přiznává GDPR. „Příslušné právní předpisy o ochraně osobních údajů“ znamenají GDPR a další právní předpisy o ochraně osobních údajů či soukromí použitelné na zpracování osobních údajů podle smlouvy.

Předmět, doba trvání, povaha a účel zpracování

Předmětem zpracování je poskytování služeb. Zpracovatel zpracovává osobní údaje po dobu trvání smlouvy a následně po dobu nezbytnou ke splnění jeho právních povinností nebo v rozsahu jinak stanoveném v této DPA.

Povahou a účelem zpracování je provoz a poskytování služeb správci, včetně hostingu, ukládání, analýzy a technických operací nezbytných ke zpřístupnění služeb. Zpracovatel zpracovává ty kategorie osobních údajů a subjektů údajů, které správce do služeb vloží nebo jejich prostřednictvím zpřístupní – typicky identifikační a kontaktní údaje zástupců správce a oprávněných uživatelů a jakékoli osobní údaje obsažené v záznamech, které se správce rozhodne prostřednictvím služeb zpracovávat.

Povinnosti zpracovatele

Zpracovatel se zavazuje:

  • zpracovávat osobní údaje pouze na základě doložených pokynů správce, a to i ve vztahu k předávání osobních údajů do třetí země, ledaže mu takové zpracování ukládá právo – v takovém případě zpracovatel informuje správce o tomto právním požadavku před zpracováním, ledaže by takové informování právo zakazovalo z důležitých důvodů veřejného zájmu;
  • neprodleně informovat správce, pokud podle jeho názoru určitý pokyn porušuje příslušné právní předpisy o ochraně osobních údajů;
  • zajistit, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala odpovídající zákonná povinnost mlčenlivosti;
  • zavést a udržovat technická a organizační bezpečnostní opatření popsaná v této DPA;
  • dodržovat podmínky pro zapojení dalších zpracovatelů stanovené v této DPA;
  • být správci nápomocen, s ohledem na povahu zpracování, při plnění žádostí subjektů údajů uplatňujících svá práva;
  • být správci nápomocen při zajišťování souladu s jeho povinnostmi v oblasti zabezpečení zpracování, ohlašování případů porušení zabezpečení, posouzení vlivu na ochranu osobních údajů a předchozích konzultací, s ohledem na povahu zpracování a informace dostupné zpracovateli;
  • podle volby správce vymazat nebo vrátit veškeré osobní údaje po ukončení poskytování služeb a vymazat existující kopie, ledaže právo požaduje jejich uchování;
  • poskytnout správci informace nezbytné k doložení splnění povinností zpracovatele a umožnit audity a přispět k nim způsobem uvedeným v této DPA.

Povinnosti správce

Správce odpovídá za to, že má platný právní základ pro zpracování osobních údajů prostřednictvím služeb, že poskytl veškerá oznámení a získal veškeré souhlasy vyžadované od subjektů údajů a že jeho pokyny zpracovateli jsou v souladu s příslušnými právními předpisy o ochraně osobních údajů. Správce nesmí prostřednictvím služeb vkládat žádné osobní údaje, k jejichž zpracování není oprávněn.

Mlčenlivost

Zpracovatel nakládá se všemi osobními údaji jako s důvěrnými a zajišťuje, aby přístup k nim měli pouze ti pracovníci, kteří je potřebují k poskytování služeb. Tito pracovníci jsou vázáni písemnými povinnostmi mlčenlivosti a absolvují odpovídající školení v oblasti ochrany osobních údajů a bezpečnosti.

Zabezpečení zpracování

S přihlédnutím ke stavu techniky, nákladům na provedení a povaze, rozsahu, kontextu a účelům zpracování i k riziku pro práva a svobody subjektů údajů zavádí zpracovatel vhodná technická a organizační opatření k zajištění úrovně zabezpečení odpovídající danému riziku, v souladu s čl. 32 GDPR. Tato opatření jsou popsána v přehledu Zabezpečení a zahrnují podle potřeby šifrování osobních údajů, schopnost zajistit trvalou důvěrnost, integritu, dostupnost a odolnost systémů zpracování, schopnost včas obnovit dostupnost a přístup po incidentu a proces pravidelného testování a hodnocení účinnosti těchto opatření.

Další zpracovatelé

Správce uděluje zpracovateli obecné povolení zapojit další zpracovatele na podporu poskytování služeb (například poskytovatele cloudové infrastruktury a úložiště). Zpracovatel vede aktuální seznam dalších zpracovatelů a informuje správce o jakýchkoli zamýšlených změnách týkajících se přidání nebo nahrazení dalších zpracovatelů a poskytuje správci možnost vznést proti nim z opodstatněných důvodů ochrany osobních údajů námitku.

Zpracovatel ukládá každému dalšímu zpracovateli prostřednictvím smlouvy povinnosti v oblasti ochrany osobních údajů, které nejsou méně přísné než povinnosti stanovené v této DPA, a zůstává vůči správci plně odpovědný za plnění povinností každého dalšího zpracovatele.

Součinnost při výkonu práv subjektů údajů

S přihlédnutím k povaze zpracování je zpracovatel správci nápomocen prostřednictvím vhodných technických a organizačních opatření, je-li to možné, při plnění povinnosti správce reagovat na žádosti subjektů údajů uplatňujících svá práva na přístup, opravu, výmaz, omezení, přenositelnost a vznesení námitky. Pokud zpracovatel obdrží žádost přímo od subjektu údajů, bez zbytečného odkladu ji předá správci a sám na ni neodpovídá, ledaže k tomu dostane od správce pokyn.

Oznamování případů porušení zabezpečení osobních údajů

Zpracovatel oznámí správci bez zbytečného odkladu poté, co se dozví o porušení zabezpečení osobních údajů týkajícím se osobních údajů zpracovávaných jménem správce. Oznámení obsahuje v dostupném rozsahu popis povahy porušení, pravděpodobné důsledky, opatření přijatá nebo navržená k jeho řešení a kontaktní místo pro další informace. Zpracovatel je správci nápomocen při plnění jeho vlastních povinností ohlašovat porušení dozorovým úřadům a oznamovat je subjektům údajů.

Posouzení vlivu na ochranu osobních údajů

Zpracovatel poskytuje správci přiměřenou součinnost při posouzeních vlivu na ochranu osobních údajů a předchozích konzultacích s dozorovými úřady, které správce důvodně považuje za vyžadované podle čl. 35 nebo 36 GDPR, vždy výhradně ve vztahu ke zpracování osobních údajů zpracovatelem jménem správce a s ohledem na informace dostupné zpracovateli.

Předávání osobních údajů do třetích zemí

Zpracovatel zpracovává a ukládá osobní údaje především v rámci Evropské unie / Evropského hospodářského prostoru. Zpracovatel nepředává osobní údaje do země mimo EHP, na kterou se nevztahuje rozhodnutí o odpovídající ochraně, ledaže zavedl vhodný mechanismus pro předávání uznaný podle GDPR, jako jsou standardní smluvní doložky Evropské komise, spolu s případnými doplňkovými opatřeními nezbytnými k zajištění odpovídající úrovně ochrany.

Audity a kontroly

Zpracovatel poskytuje správci informace přiměřeně nezbytné k doložení souladu s touto DPA a umožňuje audity, včetně kontrol, prováděné správcem nebo auditorem, kterého správce pověřil, a přispívá k nim. Audity se provádějí na základě přiměřeného předchozího oznámení, v běžné pracovní době, nejvýše jednou ročně (s výjimkou případů vyžadovaných dozorovým úřadem nebo po porušení zabezpečení osobních údajů) a způsobem, který nenarušuje provoz zpracovatele ani neohrožuje důvěrnost údajů jiných zákazníků. Zpracovatel může žádostem o audit vyhovět poskytnutím relevantních auditních zpráv nebo certifikací třetích stran, jsou-li k dispozici.

Vrácení a výmaz údajů

Po ukončení nebo zániku služeb zpracovatel podle volby správce vymaže nebo vrátí veškeré osobní údaje zpracovávané jménem správce a vymaže existující kopie, ledaže příslušné právní předpisy vyžadují jejich další uchovávání. Standardní systémové zálohy se mažou v souladu s doloženým retenčním cyklem zpracovatele.

Odpovědnost, doba trvání a rozhodné právo

Odpovědnost každé strany podle této DPA podléhá omezením a vyloučením odpovědnosti uvedeným ve smlouvě mezi stranami. Tato DPA nabývá účinnosti dnem účinnosti smlouvy a zůstává v platnosti po dobu, po kterou zpracovatel zpracovává osobní údaje jménem správce. Tato DPA se řídí právem České republiky, nestanoví-li smlouva mezi stranami jinak, a aniž jsou dotčena kogentní ustanovení GDPR.

Chcete-li si vyžádat protipodepsané vyhotovení této DPA nebo projednat konkrétní ujednání o ochraně osobních údajů, kontaktujte nás na info@carsdata.com.

Údaje o společnosti
Alpha Analytics s.r.o.
Sídlo
Gustav Mahlerplein 2
1082 MA Amsterdam
Nizozemsko
IČO
228 01 154
Obchodní rejstřík
Krajský soud v Ústí nad Labem
sp. zn. C 32406

Máte dotaz k tomuto dokumentu? Napište nám na info@carsdata.com.