Verzia 1.0 — účinné od 26. mája 2026
Zmluva o spracúvaní („DPA") je uzavretá medzi vami (Zákazník, prevádzkovateľ) a VivaShelf [PRÁVNA OSOBA] („VivaShelf", sprostredkovateľ) a tvorí súčasť Podmienok. Uzavretá podľa čl. 28 ods. 3 GDPR, UK GDPR (s IDTA), revFADP a LGPD tam, kde platia.
Predmet: poskytovanie SaaS platformy VivaShelf. Doba: predplatné Zákazníka plus dodatočná retencia podľa Prílohy III. Povaha a účel: hostovanie, ukladanie, organizovanie, vyhľadávanie, zobrazovanie, prenos a (po ukončení) výmaz osobných údajov.
Subjekty: zamestnanci, dodávatelia a osoby, ktorých údaje Zákazník nahrá. Kategórie: meno, pracovný e-mail, pracovný telefón, role, prihlasovacie údaje, auditný záznam a údaje dobrovoľne nahrávané. Zákazník nesmie nahrávať zvláštne kategórie podľa čl. 9 GDPR ani údaje o trestných odsúdeniach.
VivaShelf: (a) spracúva len podľa doložených pokynov Zákazníka; (b) zabezpečuje mlčanlivosť osôb; (c) implementuje opatrenia z Prílohy II; (d) dodržiava pravidlá zapojenia subdodávateľov (bod 5); (e) pomáha Zákazníkovi s právami subjektov (bod 6); (f) pomáha s povinnosťami čl. 32–36 GDPR; (g) po ukončení vráti alebo zmaže údaje (bod 8); (h) sprístupňuje informácie pre čl. 28 a audity (bod 7).
VivaShelf spracúva údaje len podľa doložených pokynov, vrátane prenosov, ak právo Únie alebo členského štátu nestanovuje inak; vtedy informujeme Zákazníka, pokiaľ to právo nezakazuje. Bezodkladne informujeme, ak pokyn porušuje GDPR.
Zákazník udeľuje všeobecný písomný súhlas s pôsobením subdodávateľov z Prílohy I. VivaShelf: (a) informuje min. 30 dní vopred; (b) umožňuje námietku z odôvodnených dôvodov; (c) ak námietku nemožno riešiť, umožní ukončenie dotknutej služby s pomerným vrátením; (d) ukladá subdodávateľom rovnaké povinnosti zmluvne; (e) plne zodpovedá za ich plnenie.
VivaShelf pomáha vhodnými opatreniami pri vybavovaní žiadostí podľa Kapitoly III GDPR. Služba ponúka samoobslužné nástroje export, výmaz, oprava, správa súhlasov.
VivaShelf sprístupní informácie pre dôkaz čl. 28, zejména: (a) ročné zhrnutie penetračných testov; (b) najnovšie SOC 2 Type II hlavných hostingových subdodávateľov; (c) právo auditu Zákazníka alebo nezávislého audítora po písomnom oznámení a nie častejšie ako raz ročne (mimo potvrdeného porušenia). Audity prebiehajú v pracovnom čase, nesmú narušiť Službu a podliehajú mlčanlivosti; náklady znáša Zákazník.
Podľa voľby Zákazníka po ukončení Služby údaje vrátime alebo zmažeme s výnimkou povinnej retencie (Nariadenie (ES) č. 178/2002, daňové právo). Výmaz z produkcie do 30 dní; zo šifrovaných záloh do ďalších 35 dní.
Prenosy mimo EÚ/EHP, UK, Švajčiarska alebo Brazílie podliehajú zárukám čl. 44-49 GDPR vrátane SCC z rozhodnutia 2021/914 (Modul 2; pre ďalšie prenosy Modul 3). UK IDTA a švajčiarske dodatky FDPIC sú začlenené odkazom.
Zodpovednosť podľa DPA podlieha obmedzeniam z bodu 10 Podmienok, žiadne ustanovenie však neobmedzuje zodpovednosť voči subjektom podľa čl. 82 GDPR ani inej kogentnej norme.
Aktuálne na /sub-processors. Pre pohodlie: (1) Supabase, Inc. — PostgreSQL, EU; (2) Vercel, Inc. — hosting, edge, CDN, EU; (3) Resend, Inc. — e-mail; (4) Google LLC — OAuth (voliteľné); (5) Upstash, Inc. — Redis rate-limiting; (6) Functional Software, Inc. d/b/a Sentry — monitoring chýb, bez session replay; (7) Google/Apple/Mozilla push — web push; (8) Cloudflare, Inc. — origin shield, DDoS, boti.
Šifrovanie v prenose (TLS 1.2+) a v pokoji (AES-256 cez DB subdodávateľa). bcrypt pre heslá. AES-256-GCM pre MFA s oddelením kľúčov. PostgreSQL Row-Level Security. RBAC. CSP s nonce. Origin shield a Cloudflare. Rate-limiting (60/min API, 10/min health). Auditné logovanie. Skenovanie zraniteľností. Princíp najmenších oprávnení; MFA odporúčané pre personál. Dokumentovaný postup riešenia porušení s 72hod oznámením. Externé penetračné testy zatiaľ nemajú pevný cyklus; zavedieme pred komerčným GA alebo skôr na žiadosť Zákazníka.
Podľa bodu 11 Zásad ochrany. Na pokyn k výmazu konáme v lehotách bodu 8 s výhradou retencií Nariadenia (ES) č. 178/2002 (min. 2 roky) a daňového práva (7 rokov).
Related: Privacy Policy, Sub-processors, Terms of Service.