Zpracovatelská smlouva (DPA)

Předmětem je zpracování osobních údajů pacientů Správce (a dalších subjektů údajů, kteří publikovali recenzi na Google Business Profile Správce) za účelem poskytování Služby DentalLocal — zejména:

• synchronizace recenzí a generování návrhů odpovědí pomocí AI, • ukládání obsahu recenzí, jmen pacientů a jejich hodnocení, • analýza výkonu profilu a vytváření měsíčních reportů.

Doba zpracování odpovídá době trvání hlavní smlouvy + 30 dní (export okno) + zákonné lhůty pro účetnictví.

Zpracovávané kategorie údajů:

• Jméno (nebo přezdívka) pacienta tak, jak vystupuje na Google, • veřejný profilový obrázek z Google, • text recenze (může obsahovat zdravotní informace o léčbě, zákroku, vnímání péče), • hodnocení 1-5 hvězdiček, • datum publikace recenze.

Kategorie subjektů údajů: pacienti, případně pečující osoby pacientů, kteří dobrovolně publikovali recenzi na Google. Údaje zvláštní kategorie (zdravotní údaje dle čl. 9 GDPR) zpracovává Poskytovatel pouze v rozsahu, ve kterém jsou součástí textu recenze publikované samotným subjektem údajů; právním základem na straně Správce je nezbytnost pro určení, výkon nebo obhajobu právních nároků (čl. 9 odst. 2 písm. f) nebo výslovný souhlas subjektu projevený publikací recenze.

Poskytovatel se zavazuje:

a) Zpracovávat osobní údaje pouze na základě doložených pokynů Správce (vč. tohoto DPA). b) Zajistit, aby osoby oprávněné zpracovávat osobní údaje byly vázány mlčenlivostí. c) Přijmout vhodná technická a organizační opatření dle čl. 32 GDPR (šifrování přenosu i klidu, izolace dat, kontrola přístupu, log, plán incident response). d) Spolupracovat se Správcem při uplatňování práv subjektů údajů a při komunikaci s dozorovým úřadem. e) Po skončení smlouvy data dle volby Správce vrátit nebo smazat (do 30 dní), s výjimkou kopií vyžadovaných zákonem (účetní doklady). f) Poskytnout Správci součinnost a relevantní informace pro prokázání plnění čl. 28 GDPR (incl. audit, viz čl. 8 tohoto DPA).

Správce uděluje Poskytovateli obecné zmocnění k využití subzpracovatelů uvedených v Zásadách ochrany osobních údajů (dentallocal.cz/cs/privacy, sekce 4). Poskytovatel informuje Správce o případných změnách v seznamu min. 30 dní předem; Správce má právo z důvodu změny odmítnout subzpracovatele a v takovém případě vypovědět hlavní smlouvu.

Pokud dochází k předávání osobních údajů do třetích zemí mimo EHP, probíhá výhradně:

• na základě adekvátnostního rozhodnutí Evropské komise (např. EU-US Data Privacy Framework), • nebo na základě Standardních smluvních doložek 2021/914 (modul 3 — zpracovatel-zpracovatel),

doplněných o dodatečná opatření (šifrování, pseudonymizace) tam, kde to lokální legislativa příjemce vyžaduje.

Poskytovatel oznámí Správci jakékoli porušení zabezpečení osobních údajů bez zbytečného odkladu, nejpozději do 72 hodin od zjištění. Oznámení bude obsahovat popis incidentu, předpokládaných důsledků, přijatých opatření a kontaktní osobu.

Pokud se na Poskytovatele obrátí subjekt údajů s žádostí o uplatnění svých práv (přístup, oprava, výmaz, námitka, přenositelnost), Poskytovatel žádost neodpoví a do 5 pracovních dnů ji předá Správci. Správce má povinnost na žádost odpovědět dle GDPR.

Správce má právo jednou za 12 měsíců provést audit dodržování DPA na vlastní náklady — na základě písemné výzvy s 30denním předstihem, v běžné pracovní době a způsobem, který nenarušuje provoz Služby. Audit může být proveden i nezávislým auditorem vázaným mlčenlivostí. Místo auditu může Správce přijmout audit zprávy SOC 2 / ISO 27001 subzpracovatelů (Supabase, Vercel, Stripe), pokud jsou dostupné.

Odpovědnost stran je upravena v Obchodních podmínkách (čl. 12). Pokud GDPR ukládá zpracovateli přímou odpovědnost vůči subjektu údajů (čl. 82), poskytovatel nese odpovědnost pouze v rozsahu povinností, které mu GDPR výslovně ukládá.

DPA platí po dobu, po kterou Poskytovatel zpracovává osobní údaje pro Správce. Změny tohoto DPA budou účinné 30 dní po e-mailovém oznámení; Správce má právo nesouhlas a v takovém případě smlouvu vypovědět. V případě rozporu mezi DPA a hlavní smlouvou má přednost DPA.