1. Strany a rozsah
Tato smlouva o zpracování osobních údajů („DPA") je součástí Obchodních podmínekmezi Institucí („Správce") a společností Digifox s.r.o.(„Zpracovatel", „UniformCV"). Upravuje zpracování osobních údajů uchazečů odevzdaných prostřednictvím šablon Správce a odráží povinnosti podle článku 28 GDPR.
2. Předmět a doba
Zpracovatel zpracovává osobní údaje uchazečů jménem Správce výhradně za účelem poskytování Služby. Zpracování začíná vznikem účtu a trvá po dobu existence účtu plus retenční lhůty uvedené v Zásadách ochrany osobních údajů.
3. Kategorie subjektů údajů a údajů
- Subjekty údajů: uchazeči odevzdávající CV přes šablonu Správce.
- Kategorie údajů: identifikační, kontaktní, obsah CV, volitelná fotografie, záznam souhlasu, signály prevence zneužití (hash IP, časová razítka). Správce nesmí sbírat zvláštní kategorie údajů (čl. 9), ledaže má platný právní titul a písemně nás o tom informoval.
4. Pokyny ke zpracování
Zpracovatel zpracovává údaje uchazečů pouze na základě doložených pokynů Správce. Vytvoření a publikování šablony společně s přijetím těchto Podmínek představují takové pokyny. Zpracovatel Správce upozorní, pokud je dle jeho názoru pokyn v rozporu s GDPR nebo jiným právem EU.
5. Zpracovatelé (sub-processors)
Správce pověřuje Zpracovatele zapojením zpracovatelů uvedených v Zásadách ochrany osobních údajů. Pokud Zpracovatel hodlá zapojit nového zpracovatele nebo nahradit stávajícího, oznámí to Správci e-mailem nejméně 30 dní předem. Správce může v této lhůtě z důvodných datově-ochranných důvodů vznést námitku; nelze-li ji vyřešit, může dotčenou část Služby ukončit a obdržet poměrnou refundaci.
6. Technická a organizační opatření
Zpracovatel udržuje minimálně tato opatření:
- Row-level security (RLS) na každé tabulce databáze — zabraňuje cross-institucionálnímu přístupu přímo na úrovni Postgres.
- HTTPS / TLS end-to-end pro veškerou komunikaci; HSTS zapnuto.
- Hesla hashovaná bcrypt v Supabase Auth; plaintext se neukládá.
- Rate limiting na všech veřejných endpoinech provádějících změnu stavu — per-IP i per-šablona.
- Hash IP rotující solí, aby se reálné IP nikdy nezapisovaly na disk.
- Neveřejné storage buckety pro fotografie uchazečů a vygenerovaná PDF; přístup je pouze přes krátkodobé signed URL.
- Tvrzení obrázků: server-side MIME sniffing, odstranění EXIF a zmenšení před uložením.
- Princip nejmenších práv: service-role klíč je používán jen v nutných server-side cestách; admin routy jsou gatované rolí v databázi.
7. Součinnost Správci
Zpracovatel pomáhá Správci při plnění povinností týkajících se odpovědí na žádosti subjektů údajů, provádění DPIA a spolupráce s dozorovými úřady. Standardní součinnost je součástí Služby; mimořádná součinnost může být po předchozí písemné dohodě účtována v tehdy platných hodinových sazbách.
8. Reakce na incidenty
Zpracovatel oznámí Správci bez zbytečného odkladu a v každém případě do 72 hodin od zjištění porušení zabezpečení osobních údajů dotýkajících se dat Správce. Oznámení popíše povahu porušení, kategorie a přibližný počet dotčených subjektů, pravděpodobné důsledky a přijatá či navrhovaná opatření.
9. Audity
Zpracovatel poskytne veškeré informace nezbytné k prokázání souladu s čl. 28 GDPR a umožní provádění auditů, včetně inspekcí, ze strany Správce nebo jím pověřeného auditora. Audity lze provádět nejvýše jednou za 12 měsíců, s 30denním písemným oznámením, v pracovní době a za přiměřených závazků mlčenlivosti.
10. Vrácení a výmaz dat
Po ukončení Služby má Správce 30 dní na export všech dat prostřednictvím dashboardu nebo na písemnou žádost. Po uplynutí této lhůty Zpracovatel veškerá data Správce, včetně záloh, smaže do dalších 30 dnů, s výjimkou případů, kdy uchování vyžaduje právo Unie nebo členského státu (např. daňové doklady).
11. Odpovědnost
Každá strana odpovídá za škody způsobené svým nesouladem s GDPR dle čl. 82 GDPR. Omezení odpovědnosti uvedené v Obchodních podmínkách se vztahuje i na tuto DPA.
12. Kontakt
Kontakt pro privacy a signatář DPA: privacy@uniformcv.com.