Verze 1.0 — účinné od 26. května 2026
Tato Smlouva o zpracování („DPA") je uzavřena mezi vámi (Zákazník, správce) a VivaShelf [PRÁVNÍ ENTITA] („VivaShelf", zpracovatel) a tvoří nedílnou součást Podmínek. Je uzavřena podle čl. 28 odst. 3 GDPR, UK GDPR (s IDTA odkazem), švýcarského revFADP a brazilského LGPD, kde platí. Akceptací Podmínek Zákazník akceptuje DPA jménem správce.
Předmět: poskytování SaaS platformy VivaShelf. Doba: období předplatného Zákazníka plus dodatečná retence dle Přílohy III. Povaha a účel: hostování, ukládání, organizování, vyhledávání, zobrazování, přenos a (po ukončení) výmaz osobních údajů.
Subjekty: zaměstnanci, dodavatelé a fyzické osoby, jejichž údaje Zákazník nahraje (zpravidla personál restaurace a dodavatelé). Kategorie: jméno, pracovní e-mail, pracovní telefon, role v organizaci, přihlašovací údaje, auditní záznam akcí a údaje dobrovolně nahrávané. Zákazník nesmí nahrávat zvláštní kategorie podle čl. 9 GDPR ani údaje o trestních odsouzeních.
VivaShelf: (a) zpracovává údaje pouze na základě doložených pokynů Zákazníka (Podmínky jsou stálé pokyny); (b) zajišťuje mlčenlivost oprávněných osob; (c) implementuje opatření z Přílohy II; (d) dodržuje pravidla zapojení dalších subdodavatelů (bod 5); (e) pomáhá Zákazníkovi vyřizovat žádosti subjektů údajů (bod 6); (f) pomáhá s bezpečnostními povinnostmi a čl. 32–36 GDPR; (g) po ukončení mazat nebo vrátit údaje (bod 8); (h) zpřístupňuje informace pro doložení souladu s čl. 28 GDPR a umožňuje audity (bod 7).
VivaShelf zpracovává údaje pouze podle doložených pokynů, včetně transferů, nestanoví-li jinak právo Unie nebo členského státu; v takovém případě informujeme Zákazníka, ledaže by to právo zakazovalo. Bez prodlení informujeme, pokud pokyn v naší analýze porušuje GDPR.
Zákazník uděluje obecný písemný souhlas s pověřením subdodavatelů z Přílohy I. VivaShelf: (a) informuje min. 30 dní předem o přidání nebo nahrazení; (b) umožňuje námitku z odůvodněných důvodů; (c) pokud námitku nelze vyřešit, umožní ukončení dotčené služby s poměrným vrácením; (d) ukládá subdodavatelům stejné povinnosti smlouvou; (e) plně odpovídá za jejich plnění.
VivaShelf pomáhá vhodnými technickými a organizačními opatřeními při vyřizování žádostí podle Kapitoly III GDPR. Služba obsahuje samoobslužné nástroje pro export, výmaz, opravu a správu souhlasů.
VivaShelf zpřístupní informace potřebné k doložení čl. 28, zejména: (a) roční shrnutí výsledků penetračních testů; (b) nejnovější SOC 2 Type II nebo ekvivalentní atestace hlavních hostingových subdodavatelů (pokud platí); (c) právo na audit Zákazníkem nebo nezávislým auditorem po písemném oznámení a nejvýše jednou ročně (výjimkou je potvrzené porušení). Audity probíhají v pracovní době, nesmí narušit Službu a podléhají mlčenlivosti; náklady nese Zákazník.
Dle volby Zákazníka po ukončení Služby údaje vrátíme nebo smažeme, s výjimkou povinného uchovávání právem Unie nebo členského státu (např. sledovatelnost potravin dle Nařízení (ES) č. 178/2002, daňové právo). Výmaz z produkce do 30 dní; ze šifrovaných záloh do dalších 35 dní.
Transfery mimo EU/EHP, UK, Švýcarsko nebo Brazílii podléhají zárukám čl. 44-49 GDPR, včetně SSC dle rozhodnutí 2021/914 (zde Modul 2; pro další transfery Modul 3). UK IDTA a švýcarské dodatky FDPIC jsou začleněny odkazem.
Odpovědnost smluvních stran podle DPA podléhá omezením a vyloučením z bodu 10 Podmínek; žádné ustanovení neomezuje odpovědnost vůči subjektům údajů dle čl. 82 GDPR ani jiných kogentních norem.
Aktuální seznam: /sub-processors. Pro pohodlí: (1) Supabase, Inc. — PostgreSQL, region EU; (2) Vercel, Inc. — hosting, edge, CDN, region EU; (3) Resend, Inc. — transakční e-mail; (4) Google LLC — OAuth (volitelné); (5) Upstash, Inc. — Redis rate-limiting; (6) Functional Software, Inc. d/b/a Sentry — monitoring chyb, session replay vypnut; (7) Google / Apple / Mozilla push — web push; (8) Cloudflare, Inc. — origin shield, DDoS, boti.
Šifrování v přenosu (TLS 1.2+) a v klidu (AES-256, poskytováno DB subdodavatelem). bcrypt pro hesla. AES-256-GCM pro MFA s oddělením klíčů. PostgreSQL Row-Level Security pro izolaci nájemců navíc k aplikační kontrole. RBAC (vlastník/manager/personál/šéfkuchař). CSP s nonce. Origin shield a Cloudflare bot mitigace. Rate-limiting (60/min API, 10/min health). Auditní logování. Skenování zranitelností. Princip nejmenších oprávnění; MFA doporučeno pro personál VivaShelf. Dokumentovaný postup řešení porušení s 72hod oznámením. Externí penetrační testování zatím není v pevném cyklu; zavedeme před komerčním GA nebo dříve, pokud to bude vyžadovat Zákazník.
Dle bodu 11 Zásad ochrany. Na pokyn k výmazu jednáme ve lhůtách bodu 8 s výhradou retencí dle Nařízení (ES) č. 178/2002 (min. 2 roky) a daňového práva (7 let).
Related: Privacy Policy, Sub-processors, Terms of Service.