Data Processing Agreement (DPA)

Tato smlouva o zpracování osobních údajů (dále jen „DPA") upravuje vztahy mezi správcem osobních údajů (Zákazník užívající službu ProfiBrew.com) a zpracovatelem osobních údajů (ProfiBrew s.r.o.) v souladu s článkem 28 GDPR — nařízením Evropského parlamentu a Rady (EU) 2016/679.

DPA tvoří nedílnou součást Obchodních podmínek ProfiBrew.com. Pro zákazníky, kteří vyžadují podepsanou verzi (zejména právnické osoby s vlastní GDPR politikou), je dostupná podepsaná verze na vyžádání zasláním e-mailu na info@profibrew.com.

---

1. Smluvní strany

Správce:

Zákazník — fyzická nebo právnická osoba, která uzavřela s ProfiBrew s.r.o. smlouvu o poskytování služby ProfiBrew.com (dále jen „Správce").

Zpracovatel:

• Název: ProfiBrew s.r.o.
• IČO: 29562724
• Sídlo: U Zlatého potoka 253, 251 63 Kunice
• Zápis v OR: obchodní rejstřík Městského soudu v Praze, spisová značka C 448526/MSPH
• E-mail: info@profibrew.com

(dále jen „Zpracovatel")

---

2. Předmět a doba zpracování

2.1 Předmět

Předmětem DPA je zpracování osobních údajů, které Správce v rámci užívání služby ProfiBrew.com vkládá do systému nebo které jsou v systému vytvořeny automaticky v souvislosti s jeho činností.

2.2 Doba

DPA je účinná po celou dobu trvání smluvního vztahu mezi Správcem a Zpracovatelem dle Obchodních podmínek. Povinnosti Zpracovatele vyplývající z této DPA, které svou povahou trvají i po skončení smluvního vztahu (mlčenlivost, hlášení incidentů, smazání dat), zůstávají v platnosti.

---

3. Povaha, účel a typ zpracování

3.1 Povaha zpracování

Zpracovatel zpracovává osobní údaje výhradně automatizovaně v rámci provozu cloudové aplikace ProfiBrew.com. Manuální přístup k údajům je omezen na úzce vymezené případy uvedené v Obchodních podmínkách (čl. 9 — administrátorský přístup).

3.2 Účel zpracování

Účelem je výhradně poskytování smluveného plnění — provoz informačního systému pro řízení podnikatelské či zájmové činnosti zákazníka, jeho údržba, technická podpora a zajištění bezpečnosti.

3.3 Typ zpracovávaných osobních údajů

V rámci provozu Služby může Správce vložit nebo systém vytvořit zejména:

• Identifikační údaje zaměstnanců Správce (jméno, role v pivovaru)
• Kontaktní údaje odběratelů, dodavatelů a obchodních partnerů (jméno, e-mail, telefon, adresa)
• Fakturační údaje obchodních partnerů (IČO, DIČ, sídlo, bankovní spojení)
• Provozní údaje zaměstnanců (záznamy o aktivitě v systému, čas a IP přihlášení)
• Komunikace (obsah objednávek, faktur, poznámek)
• Údaje koncových zákazníků POS (pokud Správce zaznamenává — typicky jméno na účtu/paragonu, e-mail pro účtenku)

3.4 Kategorie subjektů údajů

• Zaměstnanci a spolupracovníci Správce
• Zákazníci Správce (velkoodběratelé B2B, maloodběratelé B2C)
• Dodavatelé a obchodní partneři Správce

3.5 Citlivé údaje

Zpracovatel nezpracovává zvláštní kategorie osobních údajů ve smyslu čl. 9 GDPR. Pokud by Správce takové údaje vložil do systému (například údaje o zdravotním stavu zaměstnance v poznámce), činí tak na vlastní odpovědnost a Zpracovatel s nimi zachází se stejnou bezpečností jako s ostatními údaji.

---

4. Povinnosti Zpracovatele

Zpracovatel se zavazuje:

1. Zpracovávat osobní údaje pouze na základě doložených pokynů Správce, kterými jsou tato DPA, Obchodní podmínky, příkazy zadané přes uživatelské rozhraní aplikace a případné samostatné písemné pokyny. Pokud bude některý pokyn v rozporu s GDPR, Zpracovatel o tom Správce neprodleně informuje.

2. Zajistit, aby osoby oprávněné zpracovávat osobní údaje byly vázány závazkem mlčenlivosti.

3. Přijmout všechna opatření dle čl. 32 GDPR k zajištění bezpečnosti zpracování (viz čl. 6 této DPA).

4. Zapojovat dalšího zpracovatele (subzpracovatele) pouze za podmínek dle čl. 5 této DPA.

5. Pomoci Správci splnit povinnosti reagovat na žádosti subjektů údajů dle kapitoly III GDPR (přístup, oprava, výmaz, omezení, přenositelnost). Praktická pomoc spočívá v těchto nástrojích dostupných přímo v aplikaci:

   Pro jednotlivého subjektu údajů (typicky partner — zákazník nebo dodavatel Správce):

   • přístup a přenositelnost — strojově čitelný JSON export osobních údajů partnera (tlačítko „GDPR: Stáhnout údaje (JSON)" v detailu partnera) zahrnující identifikační údaje, kontakty, adresy, bankovní účty a přehled dokumentů, v nichž subjekt figuruje,
   • oprava — standardní CRUD nad partnerským záznamem, kontakty a adresami,
   • výmaz — anonymizační funkce (tlačítko „GDPR: Anonymizovat (právo na výmaz)"), která trvale přepíše PII placeholderem a smaže související kontakty, další adresy a bankovní účty; historické dokumenty (faktury, objednávky, výdejky) zůstávají zachovány s anonymizovaným odkazem z důvodu zákonných povinností Správce v oblasti účetnictví a daňové stopy,
   • omezení zpracování — Správce může partnera deaktivovat (isActive = false), čímž zabrání jeho dalšímu použití v transakcích bez ztráty dat,
   • vyhledávání — fulltext nad partnery a kontakty.

   Pro celý účet Správce (typicky pro účely vlastní zálohy, migrace do jiného systému nebo přípravy podkladů pro žádost subjektu údajů, kterou nelze vyřídit jen pomocí partnerských nástrojů):

   • kompletní export dat — tlačítko „Stáhnout všechna data (JSON)" v Nastavení → Soukromí a data vyexportuje strojově čitelný JSON soubor obsahující všechny tabulky vázané na Správce (partnery, kontakty, suroviny, receptury, vary, sklad, faktury, objednávky, uživatele a další). Akce je dostupná majiteli a administrátorovi účtu, 1× za 24 hodin. Stejnou akci může na vyžádání spustit Zpracovatel z administrátorského rozhraní.

   Pokud nástroje v aplikaci nepokryjí specifickou žádost (např. dohledání PII v provozních logech infrastruktury, sestavení vlastního strojově čitelného formátu, posouzení dopadu na ochranu osobních údajů), Zpracovatel poskytne dodatečnou součinnost na základě e-mailové komunikace na info@profibrew.com v přiměřené lhůtě, nejpozději však ve lhůtách dle čl. 12 GDPR.

6. Pomoci Správci splnit povinnosti dle čl. 32 až 36 GDPR (zabezpečení, hlášení incidentů, posouzení vlivu na ochranu osobních údajů, předchozí konzultace) v rozsahu odpovídajícím povaze zpracování a údajům dostupným Zpracovateli.

7. Po ukončení smluvního vztahu osobní údaje smazat nebo vrátit Správci dle volby Správce (viz čl. 8 této DPA).

8. Poskytnout Správci veškeré informace nezbytné k prokázání plnění povinností plynoucích z čl. 28 GDPR a umožnit audit (viz čl. 7 této DPA).

---

5. Subzpracovatelé

5.1 Obecný souhlas

Správce uděluje Zpracovateli obecný souhlas se zapojením dalších subzpracovatelů potřebných pro provoz Služby. Aktuální seznam subzpracovatelů je vždy dostupný v dokumentu Zásady ochrany osobních údajů (/privacy, čl. 5).

Aktuální seznam k datu účinnosti této verze:

• Supabase Inc. — hosting databáze a autentizace (Irsko)
• Vercel Inc. — hosting aplikace (EU)
• Anthropic, PBC — AI funkce (Frankfurt)
• Resend, Inc. — doručování e-mailů (Irsko)
• Cloudflare, Inc. — captcha ochrana (Frankfurt)
• Upstash Inc. — rate limiting (Irsko)
• Mapbox, Inc. — mapové podklady (EU)
• Functional Software, Inc. (Sentry) — sledování chyb aplikace (Frankfurt)
• Google Ireland Ltd. — webová analytika (jen se souhlasem, Irsko)

5.2 Změny v seznamu subzpracovatelů

Zpracovatel je oprávněn seznam subzpracovatelů měnit. O záměru zapojit nového subzpracovatele Zpracovatel Správce informuje e-mailem nebo oznámením v aplikaci nejméně 30 dní předem.

Pokud Správce s novým subzpracovatelem nesouhlasí, má právo smluvní vztah vypovědět bez sankce před účinností změny. Pokud Správce nepodá námitku, platí, že se změnou souhlasí.

5.3 Odpovědnost za subzpracovatele

Zpracovatel uzavře s každým subzpracovatelem písemnou smlouvu, která mu ukládá stejné nebo přísnější povinnosti ohledně ochrany osobních údajů, jaké jsou stanoveny touto DPA. Pokud subzpracovatel své povinnosti nesplní, odpovídá za to Zpracovatel vůči Správci v plném rozsahu.

---

6. Zabezpečení zpracování

Zpracovatel zavedl technická a organizační opatření přiměřená riziku dle čl. 32 GDPR:

• Šifrování přenosu přes HTTPS/TLS pro veškerou komunikaci
• Šifrování dat v klidu (at-rest encryption databáze a záloh)
• Izolace dat na úrovni databáze (PostgreSQL Row Level Security) — žádný zákazník nemůže vidět data jiného zákazníka
• Vícevrstvé řízení přístupu (RBAC): systémové role + jemná oprávnění per modul, agendu a objekt
• Dvoufaktorová autentizace (2FA) pro administrátory i běžné uživatele (volitelně)
• Auditní stopa významných operací v databázi, dostupná Správci v nastavení účtu
• Automatické denní zálohování databáze na úrovni infrastruktury
• Automatické bezpečnostní aktualizace infrastruktury
• Žádné ukládání citlivých dat na klientovi — žádné lokální databáze, žádné citlivé tokeny v URL

Aktuální podrobnosti viz Technický popis pro IT.

---

7. Audit a kontrola

7.1 Právo na informace

Zpracovatel je povinen Správci na vyžádání poskytnout informace nezbytné k prokázání plnění povinností plynoucích z čl. 28 GDPR — zejména seznam subzpracovatelů, popis bezpečnostních opatření, certifikace, výsledky bezpečnostních auditů.

7.2 Audit na místě

Správce má právo provést audit zpracování osobních údajů u Zpracovatele. Audit lze provést maximálně jednou ročně (vyjma případů důvodného podezření z porušení) za následujících podmínek:

• Správce oznámí audit písemně nejméně 30 dní předem
• Audit provádí Správce nebo jím pověřený nezávislý auditor (vázaný mlčenlivostí)
• Audit nesmí narušit běžný provoz Služby a bezpečnost dat ostatních zákazníků
• Náklady auditora nese Správce; Zpracovatel nese náklady na svou součinnost
• Pokud audit odhalí závažné porušení této DPA, nese náklady auditu Zpracovatel

7.3 Alternativa — auditní zprávy třetích stran

Zpracovatel může povinnost auditu splnit poskytnutím aktuální certifikace nebo auditní zprávy nezávislé třetí strany (například SOC 2, ISO 27001 — pokud jsou k dispozici), které pokrývají zpracování osobních údajů.

---

8. Smazání nebo vrácení dat po ukončení

8.1 Volba Správce

Po ukončení smluvního vztahu Zpracovatel:

• Vrátí všechna osobní data Správci ve strojově čitelném formátu JSON prostřednictvím funkce „Stáhnout všechna data" v aplikaci (viz čl. 4 odst. 5) nebo na vyžádání zasláním na info@profibrew.com, a/nebo
• Smaže veškerá osobní data s výjimkou těch, jejichž uchování je vyžadováno zákonem (zejména účetní a daňová evidence).

8.2 Lhůty a samoobslužný postup

Standardní postup spuštěný majitelem účtu z Nastavení → Soukromí a data → Zrušit účet:

• 30 dní ochranná lhůta od zrušení — účet zůstává plně funkční, data jsou nedotčená a majitel ho může jediným klikem obnovit. Doporučujeme si v této lhůtě stáhnout export dat (tlačítko „Stáhnout všechna data" v téže sekci).
• Po uplynutí 30denní lhůty — účet se uzamkne pro běžné použití a data jsou připravena k trvalému výmazu. Hard-delete provádí Zpracovatel na základě interního procesu, zpravidla v řádu dnů, s výjimkou údajů uchovávaných ze zákonných důvodů.

Na výslovnou žádost Správce může Zpracovatel ochrannou lhůtu zkrátit a údaje smazat dříve, nebo naopak obnovit účet i po jejím uplynutí (před fyzickým výmazem). Obnova během běžící ochranné lhůty je vždy samoobslužná.

Zpracovatel zasílá majiteli i administrátorům účtu potvrzovací e-mail o spuštění i o obnovení účtu se uvedením data konce ochranné lhůty.

---

9. Hlášení porušení zabezpečení

9.1 Povinnost Zpracovatele

V případě porušení zabezpečení osobních údajů (data breach) Zpracovatel bez zbytečného odkladu, nejpozději do 72 hodin od zjištění, informuje Správce e-mailem na kontaktní adresu uvedenou v účtu.

9.2 Obsah hlášení

Hlášení obsahuje:

• popis povahy porušení (kategorie a přibližný počet dotčených subjektů údajů a záznamů)
• pravděpodobné důsledky
• přijatá nebo navrhovaná opatření k řešení a zmírnění nepříznivých dopadů
• kontakt pro získání dalších informací

9.3 Spolupráce se Správcem

Zpracovatel spolupracuje se Správcem při plnění jeho povinnosti oznámit porušení dozorovému úřadu (čl. 33 GDPR) a případně subjektům údajů (čl. 34 GDPR). Pro tento účel Zpracovatel vede interní registr bezpečnostních incidentů s časovou stopou (kdy zjištěno, kdy hlášeno, kdy notifikováni dotčení) a má připravené šablony hlášení pro Úřad pro ochranu osobních údajů (čl. 33) i pro notifikaci dotčeným subjektům (čl. 34), které lze rychle naplnit konkrétními údaji o incidentu.

---

10. Mezinárodní předávání údajů

Veškerá osobní data jsou uložena v datových centrech v Evropské unii (primárně Irsko a Německo). Žádný subzpracovatel údaje aktivně nepředává mimo EU/EHP.

V případě, že by k takovému předání mělo dojít, proběhne výhradně na základě:

• standardních smluvních doložek schválených Evropskou komisí (čl. 46 odst. 2 písm. c) GDPR), nebo
• přiměřených záruk dle rámce EU-US Data Privacy Framework.

Zpracovatel Správce předem informuje a Správce má právo vyjádřit námitku.

---

11. Odpovědnost

Smluvní strany odpovídají za škody způsobené porušením této DPA dle obecných ustanovení občanského zákoníku a GDPR. Maximální výše náhrady škody je omezena dle čl. 10.3 Obchodních podmínek (souhrnně výše tří posledních měsíčních plateb Správce), s výjimkou škod způsobených úmyslně nebo hrubou nedbalostí.

---

12. Závěrečná ustanovení

12.1 Vztah k Obchodním podmínkám

Tato DPA tvoří nedílnou součást Obchodních podmínek. V případě rozporu mezi DPA a Obchodními podmínkami v otázkách ochrany osobních údajů má přednost DPA.

12.2 Změny DPA

Změny této DPA jsou účinné pouze v případě, že je Správce odsouhlasí v souladu s procesem dle čl. 14 Obchodních podmínek (informování s minimálně 30denním předstihem, právo na výpověď bez sankce v případě nesouhlasu).

12.3 Rozhodné právo

Tato DPA se řídí právním řádem České republiky a nařízením GDPR.

12.4 Salvátorská klauzule

Pokud se některé ustanovení této DPA stane neplatným nebo nevymahatelným, nemá to vliv na platnost ostatních ustanovení. Strany se zavazují neplatné ustanovení nahradit ustanovením, které svým obsahem nejlépe odpovídá původnímu záměru.

---

13. Kontakty

---

Verze 1.0 — Platnost od: 1. 6. 2026

Tato DPA je veřejně dostupná na adrese profibrew.com/zpracovatelska-smlouva. Podepsaná verze na firemním hlavičkovém papíře je dostupná na vyžádání.