SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Shoptera

Platné od 1. 1. 2025 | Informativní překlad — závazné znění je anglická verze dostupná na shoptera.ai

Preambule

Tato smlouva o zpracování osobních údajů ("Smlouva") tvoří součást obchodních podmínek a doplňuje je. Je uzavřena mezi společností Statistix s.r.o., IČO: 21035334, Kaprova 42/14, Staré Město, 110 00 Praha, Česká republika ("zpracovatel") a klientem, který přijal Obchodní podmínky ("správce").

Tato Smlouva upravuje zpracování osobních údajů, které správce předává platformě Shoptera v průběhu využívání služby — zejména údajů náhodně přítomných v produktových XML feedech a na veřejně přístupných stránkách e-shopu. Smlouva je uzavřena na základě článku 28 Nařízení (EU) 2016/679 ("GDPR") a odráží dohodu stran o podmínkách, za nichž zpracovatel zpracovává osobní údaje jménem správce.

V případě jakéhokoli rozporu mezi touto Smlouvou a Obchodními podmínkami v otázkách zpracování osobních údajů má tato Smlouva přednost. Pojmy psané s velkým počátečním písmenem, které nejsou v této Smlouvě definovány, mají význam stanovený v Obchodních podmínkách a Zásadách ochrany osobních údajů dostupných na shoptera.ai.

1. Definice

1.1 V této Smlouvě mají následující pojmy níže uvedený význam:

(a) Správce. subjekt, který určuje účely a prostředky zpracování osobních údajů — zde klient.

(b) Zpracovatel. subjekt, který zpracovává osobní údaje jménem správce a na jeho pokyny — zde Statistix s.r.o. provozující platformu Shoptera.

(c) Dílčí zpracovatel. jakákoli třetí strana, kterou zpracovatel pověří prováděním konkrétních zpracovatelských činností jménem správce.

(d) Osobní údaje. veškeré informace o identifikované nebo identifikovatelné fyzické osobě ve smyslu článku 4 odst. 1 GDPR, které jsou obsaženy v datech předaných správcem platformě nebo jsou jejich náhodnou součástí.

(e) Subjekt údajů. fyzická osoba, jejíž osobní údaje jsou zpracovávány na základě této Smlouvy.

(f) Zpracování. jakákoli operace s osobními údaji ve smyslu článku 4 odst. 2 GDPR.

(g) Porušení zabezpečení osobních údajů. porušení bezpečnosti vedoucí k náhodnému nebo protiprávnímu zničení, ztrátě, změně, neoprávněnému zpřístupnění nebo přístupu k osobním údajům ve smyslu článku 4 odst. 12 GDPR.

(h) Standardní smluvní doložky (SCC). standardní smluvní doložky pro předávání osobních údajů do třetích zemí přijaté Evropskou komisí podle článku 46 odst. 2 písm. c) GDPR.

(i) Dozorový úřad. příslušný dozorový úřad pro ochranu osobních údajů — zejména Úřad pro ochranu osobních údajů (ÚOOÚ) nebo, je-li to relevantní, dozorový úřad v zemi sídla správce.

2. Předmět, povaha a účel zpracování

2.1 PŘEDMĚT SMLOUVY. Zpracovatel zpracovává osobní údaje jménem správce výhradně v rozsahu nezbytném pro poskytování služby platformy Shoptera, která spočívá v automatizované analýze a optimalizaci produktových XML feedů správce pro Google Shopping, jak je blíže popsáno v Obchodních podmínkách a v Příloze č. 1 této Smlouvy.

2.2 POVAHA ZPRACOVÁNÍ. Zpracovatelské činnosti prováděné na základě této Smlouvy zahrnují: stahování a ukládání produktového XML feedu správce; automatizovanou analýzu dat feedu AI agenty; přístup k veřejně dostupným produktovým stránkám e-shopu správce za účelem obohacování atributů (Enrichment Agent); generování, ukládání a zpřístupňování Suggestions správci; promítání přijatých Suggestions do spravovaného feedu; a synchronizaci optimalizovaného feedu v intervalech určených plánem předplatného správce.

2.3 OMEZENÍ ÚČELU. Zpracovatel smí zpracovávat osobní údaje výhradně pro účely stanovené v této Smlouvě a v Příloze č. 1. Zpracovatel nesmí zpracovávat osobní údaje pro vlastní účely, pro účely třetích stran ani pro jakékoli účely neslučitelné s účely stanovenými v této Smlouvě, a to mimo jiné pro profilování, reklamu nebo trénování AI modelů za použití dat správce bez jeho výslovného písemného souhlasu.

2.4 NÁHODNÁ POVAHA OSOBNÍCH ÚDAJŮ. Strany berou na vědomí, že služba Shoptera je navržena pro zpracování dat produktového katalogu, nikoli osobních údajů. Veškeré osobní údaje zpracovávané na základě této Smlouvy jsou vedlejším produktem primárního účelu optimalizace feedu a vznikají výhradně proto, že feed nebo veřejně přístupné stránky obchodu správce taková data náhodou obsahují. Správce je odpovědný za minimalizaci přítomnosti osobních údajů v produktových feedech předávaných zpracovateli.

3. Povinnosti správce

3.1 ZÁKONNOST ZPRACOVÁNÍ. Správce prohlašuje, že má platný právní základ pro zpracování osobních údajů předávaných platformě a pro pověření zpracovatele jejich zpracováním ve svém zastoupení. Správce nese výhradní odpovědnost za přesnost, kvalitu a zákonnost osobních údajů a za způsob jejich získání.

3.2 POKYNY. Pokyny správce zpracovateli jsou stanoveny v této Smlouvě a v Obchodních podmínkách. Správce může vydávat další zdokumentované pokyny v rozsahu poskytované služby. Zpracovatel je oprávněn před provedením jakéhokoli pokynu, který považuje za nejednoznačný nebo potenciálně protiprávní, požádat o jeho upřesnění.

3.3 MINIMALIZACE DAT. Správce přijme přiměřená opatření k tomu, aby produktové feedy a stránky obchodu předávané platformě neobsahovaly zbytečné osobní údaje. Správce bere na vědomí, že pokud jsou v feedech zbytečně obsaženy osobní údaje, mohou být zpracovávány AI agenty zpracovatele v rámci automatizované analýzy feedu.

3.4 INFORMAČNÍ POVINNOSTI. Vyžaduje-li to platné právo, je správce povinen informovat subjekty údajů o zpracování jejich osobních údajů zpracovatelem na základě této Smlouvy.

4. Povinnosti zpracovatele

4.1 ZPRACOVÁNÍ VÝHRADNĚ NA ZÁKLADĚ POKYNŮ. Zpracovatel zpracovává osobní údaje pouze na základě zdokumentovaných pokynů správce, a to i pokud jde o předávání osobních údajů do třetích zemí, ledaže mu to ukládá právo EU nebo členského státu. V takovém případě zpracovatel správce o tomto právním požadavku informuje před zahájením zpracování, pokud mu to není zakázáno ze závažných důvodů veřejného zájmu.

4.2 MLČENLIVOST. Zpracovatel zajistí, aby všechny osoby oprávněné zpracovávat osobní údaje na základě této Smlouvy byly vázány povinností mlčenlivosti — ať smluvní nebo zákonnou — a aby zpracovávaly osobní údaje pouze v rozsahu nezbytném pro plnění svých úkolů.

4.3 BEZPEČNOSTNÍ OPATŘENÍ. Zpracovatel zavede a udržuje odpovídající technická a organizační opatření k zajištění úrovně zabezpečení odpovídající riziku zpracování s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování. Aktuálně implementovaná bezpečnostní opatření jsou popsána v Příloze č. 3 této Smlouvy. Zpracovatel je oprávněn tato opatření aktualizovat za předpokladu, že úroveň ochrany nebude snížena.

4.4 DÍLČÍ ZPRACOVATELÉ. Správce tímto uděluje zpracovateli obecný písemný souhlas se zapojením dílčích zpracovatelů. Aktuálně pověření dílčí zpracovatelé jsou uvedeni v Příloze č. 2 této Smlouvy. Zpracovatel: (i) informuje správce o jakýchkoli zamýšlených změnách dílčích zpracovatelů (přidání nebo nahrazení) aktualizací Přílohy č. 2 a oznámením správci s předstihem nejméně 14 dnů; (ii) uloží dílčím zpracovatelům povinnosti v oblasti ochrany osobních údajů rovnocenné povinnostem stanoveným v této Smlouvě; a (iii) zůstane vůči správci plně odpovědný za plnění povinností dílčích zpracovatelů. Správce může vznést námitku proti navrhovanému novému dílčímu zpracovateli písemným oznámením zpracovateli do 14 dnů. Pokud strany námitku nevyřeší, je správce oprávněn smlouvu vypovědět.

4.5 PRÁVA SUBJEKTŮ ÚDAJŮ. Zpracovatel pomáhá správci, a to vhodnými technickými a organizačními opatřeními v míře, která je přiměřeně proveditelná, při plnění jeho povinnosti reagovat na žádosti subjektů údajů o výkon jejich práv podle kapitoly III GDPR. Obdrží-li zpracovatel žádost přímo od subjektu údajů, neprodleně ji postoupí správci a bez jeho souhlasu na ni přímo neodpoví.

4.6 POMOC PŘI PLNĚNÍ POVINNOSTÍ. Zpracovatel pomáhá správci při zajišťování souladu s povinnostmi stanovenými v článcích 32–36 GDPR s přihlédnutím k povaze zpracování a informacím, které má zpracovatel k dispozici. To zahrnuje pomoc při plnění bezpečnostních povinností, oznamování porušení ochrany osobních údajů, posuzování vlivů na ochranu údajů a předchozí konzultaci s dozorovými úřady.

4.7 OZNAMOVÁNÍ PORUŠENÍ ZABEZPEČENÍ. Zpracovatel bez zbytečného odkladu, a v každém případě do 48 hodin od okamžiku, kdy se o porušení zabezpečení osobních údajů zpracovávaných na základě této Smlouvy dozví, oznámí tuto skutečnost správci. Oznámení musí obsahovat: (i) popis povahy porušení, pokud možno včetně kategorií a přibližného počtu dotčených subjektů údajů a dotčených záznamů; (ii) jméno a kontaktní údaje kontaktního místa pro ochranu osobních údajů; (iii) popis pravděpodobných důsledků porušení; a (iv) popis opatření přijatých nebo navrhovaných zpracovatelem k řešení porušení. Nejsou-li veškeré informace dosud k dispozici, zpracovatel poskytuje informace průběžně bez zbytečného dalšího odkladu.

4.8 VRÁCENÍ A VÝMAZ DAT. Po ukončení nebo vypršení smlouvy nebo na základě písemné žádosti správce kdykoli zpracovatel, dle volby správce: (i) vrátí správci veškeré osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu; nebo (ii) bezpečně smaže veškeré osobní údaje, včetně jejich kopií uložených u dílčích zpracovatelů, a poskytne o tom písemné potvrzení. Výmaz bude proveden do 90 dnů od žádosti nebo od ukončení smlouvy, ledaže je zpracovatel povinen data uchovávat na základě práva EU nebo členského státu — v takovém případě správce informuje a zpracování omezí na to, co je danou právní povinností nezbytně vyžadováno.

4.9 ZÁZNAMY O ZPRACOVATELSKÝCH ČINNOSTECH. Zpracovatel vede záznamy o všech kategoriích zpracovatelských činností prováděných jménem správce, jak vyžaduje článek 30 odst. 2 GDPR, a na žádost je zpřístupní správci nebo příslušnému dozorovému úřadu.

4.10 AUDITY A KONTROLY. Zpracovatel poskytne správci veškeré informace nezbytné k prokázání souladu s povinnostmi stanovenými v této Smlouvě a umožní provádění auditů a kontrol správcem nebo auditorem jím pověřeným, za předpokladu, že: (i) správce dá alespoň 30 dnů předem písemné oznámení; (ii) audity jsou prováděny v běžnou pracovní dobu a nejvýše jednou ročně, pokud neexistují přiměřené důvody pro podezření na porušení; (iii) správce nese veškeré náklady auditů, pokud není zjištěno závažné nesplnění povinností. Jako alternativu k auditu na místě může zpracovatel správci poskytnout aktuální zprávu třetí strany (např. ISO 27001, SOC 2) potvrzující rovnocenný soulad.

5. Mezinárodní předávání osobních údajů

5.1 PŘEDÁVÁNÍ MIMO EHP. Jsou-li osobní údaje v souvislosti se zapojením dílčích zpracovatelů uvedených v Příloze č. 2 předávány do zemí mimo Evropský hospodářský prostor nebo tam zpracovávány, zajistí zpracovatel, aby taková předávání podléhala odpovídajícím zárukám podle kapitoly V GDPR. Primárně jsou používány standardní smluvní doložky přijaté Evropskou komisí.

5.2 POSOUZENÍ DOPADU PŘEDÁVÁNÍ. Zpracovatel provádí a udržuje posouzení dopadu předávání (TIA) pro předávání dílčím zpracovatelům ve třetích zemích, kde je to vyžadováno, a uplatňuje veškerá dodatečná technická, smluvní nebo organizační opatření nezbytná k zajištění rovnocenné úrovně ochrany.

5.3 OZNÁMENÍ O PRÁVNÍCH PŘÍKAZECH. Obdrží-li zpracovatel nebo dílčí zpracovatel právně závaznou žádost orgánu veřejné moci třetí země o zpřístupnění osobních údajů zpracovávaných na základě této Smlouvy, zpracovatel, v rozsahu povoleném právem, informuje správce před splněním takové žádosti a využije veškeré dostupné právní prostředky k jejímu napadení nebo omezení.

6. Odpovědnost

6.1 ODPOVĚDNOST SPRÁVCE. Správce odpovídá za zajištění toho, aby osobní údaje předávané platformě byly zpracovávány v souladu s platným právem v oblasti ochrany osobních údajů a aby měl platný právní základ pro veškeré zpracování zadané na základě této Smlouvy.

6.2 ODPOVĚDNOST ZPRACOVATELE. Zpracovatel odpovídá za škodu způsobenou zpracováním, které porušuje GDPR, v rozsahu, v němž nesplnil povinnosti GDPR specificky dopadající na zpracovatele nebo jednal v rozporu s právními pokyny správce nebo nad jejich rámec.

6.3 OMEZENÍ ODPOVĚDNOSTI. Odpovědnost zpracovatele na základě této Smlouvy podléhá omezením stanoveným v Obchodních podmínkách. Zejména celková odpovědnost zpracovatele na základě této Smlouvy nesmí překročit strop stanovený v Obchodních podmínkách. Nic v této Smlouvě nevylučuje ani neomezuje odpovědnost v případě úmyslného protiprávního jednání nebo hrubé nedbalosti.

7. Trvání a ukončení

7.1 TRVÁNÍ. Tato Smlouva nabývá účinnosti dnem přijetí Obchodních podmínek správcem a zůstává v platnosti po celou dobu, po kterou zpracovatel zpracovává osobní údaje jménem správce na základě smlouvy.

7.2 UKONČENÍ. Tato Smlouva zaniká automaticky spolu s ukončením nebo vypršením smlouvy. Povinnosti mlčenlivosti a zabezpečení, povinnosti výmazu dat dle článku 4.8 a veškerá ustanovení nezbytná pro řešení sporů nebo výkon práv zůstávají v platnosti i po ukončení Smlouvy.

8. Rozhodné právo a příslušnost soudu

8.1 ROZHODNÉ PRÁVO. Tato Smlouva se řídí právem České republiky, s výhradou závazných ustanovení práva EU v oblasti ochrany osobních údajů.

8.2 PŘÍSLUŠNOST SOUDU. Veškeré spory vzniklé z této Smlouvy budou rozhodovány věcně a místně příslušnými soudy České republiky, v souladu s doložkou o příslušnosti soudu obsaženou v Obchodních podmínkách.

9. Závěrečná ustanovení

9.1 PŘEDNOST. V případě jakéhokoli rozporu mezi touto Smlouvou a jakoukoli jinou dohodou stran ohledně ochrany osobních údajů má tato Smlouva přednost.

9.2 ZMĚNY. Tato Smlouva může být zpracovatelem změněna s oznámením správci v souladu s postupem pro změny stanoveným v Obchodních podmínkách. Změna vyžadovaná k zajištění souladu s platným právem v oblasti ochrany osobních údajů nabývá účinnosti okamžikem oznámení.

9.3 ODDĚLITELNOST. Bude-li jakékoli ustanovení této Smlouvy shledáno neplatným nebo nevymahatelným, ostatní ustanovení zůstávají plně platná a účinná.

9.4 JAZYK A ZÁVAZNOST VERZÍ. Primárním a právně závazným zněním této Smlouvy je anglická verze dostupná na shoptera.ai. Tento český text je poskytován výhradně jako informativní překlad. V případě jakéhokoli rozporu mezi jazykovými verzemi má přednost anglické znění.

PŘÍLOHY

PŘÍLOHA Č. 1 — Popis zpracovatelských činností

Tato příloha stanoví podrobnosti zpracovatelských činností prováděných zpracovatelem jménem správce podle článku 28 odst. 3 GDPR.

PŘÍLOHA Č. 2 — Oprávnění dílčí zpracovatelé

Níže uvedení dílčí zpracovatelé jsou oprávněni zpracovávat osobní údaje jménem správce ke dni uzavření této Smlouvy. Zpracovatel aktualizuje tento seznam a poskytne oznámení o jakýchkoli změnách s předstihem nejméně 14 dnů.

PŘÍLOHA Č. 3 — Technická a organizační bezpečnostní opatření

Níže jsou uvedena technická a organizační opatření implementovaná zpracovatelem k zajištění úrovně zabezpečení odpovídající riziku podle článku 32 GDPR.

Statistix s.r.o. | IČO: 21035334 | Kaprova 42/14, Staré Město, 110 00 Praha | shoptera.ai