GDPR Data Processing Agreement (DPA) — zmluva s dodávateľom

# Zmluva o spracúvaní osobných údajov (DPA)

**Podľa GDPR čl. 28 — uzatvára sa medzi prevádzkovateľom a sprostredkovateľom pred začatím spracúvania.**

Uzavretá medzi:

**Prevádzkovateľ (Controller):**
- Názov: {{CONTROLLER_NAME}}
- IČO: {{CONTROLLER_REG_ID}}
- Sídlo: {{CONTROLLER_ADDRESS}}
- DPO: {{CONTROLLER_DPO_EMAIL}}
- Zastúpený: {{CONTROLLER_SIGNATORY}}

**Sprostredkovateľ (Processor):**
- Názov: {{PROCESSOR_NAME}}
- IČO: {{PROCESSOR_REG_ID}}
- Sídlo: {{PROCESSOR_ADDRESS}}
- DPO / Bezpečnostný kontakt: {{PROCESSOR_DPO_EMAIL}}
- Zastúpený: {{PROCESSOR_SIGNATORY}}

Ďalej spolu "zmluvné strany".

---

## Článok 1 — Predmet zmluvy

Táto zmluva upravuje povinnosti zmluvných strán pri spracúvaní osobných údajov v súvislosti s poskytovaním služby **{{SERVICE_NAME}}** (ďalej "hlavná zmluva" uzatvorená dňa {{MAIN_CONTRACT_DATE}}, referencia: {{MAIN_CONTRACT_REF}}).

## Článok 2 — Predmet a trvanie spracúvania

### 2.1 Účel spracúvania
{{PROCESSING_PURPOSE}}

### 2.2 Typ operácií
- [ ] Zhromažďovanie
- [ ] Ukladanie (hosting)
- [ ] Používanie (napr. pre analytiku, rozhodovanie)
- [ ] Prenos (v rámci EU / mimo EU)
- [ ] Vymazanie
- [ ] Iné: {{OTHER_OPERATIONS}}

### 2.3 Trvanie spracúvania
- Spracúvanie sa začína: {{START_DATE}}
- Končí: s ukončením hlavnej zmluvy alebo skôr na žiadosť Controllera.
- Lehoty na mazanie po ukončení: {{POST_TERMINATION_DELETION}}

## Článok 3 — Kategórie dotknutých osôb a údajov

### 3.1 Kategórie dotknutých osôb
{{DATA_SUBJECT_CATEGORIES}}

_Príklady: zákazníci Controllera, zamestnanci Controllera, návštevníci webu, dodávatelia._

### 3.2 Kategórie osobných údajov
**Bežné kategórie:**
{{DATA_CATEGORIES_REGULAR}}

**Citlivé kategórie (čl. 9 GDPR):** {{SPECIAL_CATEGORIES_IF_ANY}} (ak aplikovateľné — zdravie, etnikum, orientácia, biometria)

### 3.3 Odhadovaný rozsah
- Počet dotknutých osôb: {{DATA_SUBJECT_COUNT}}
- Záznamov: {{RECORD_COUNT}}

## Článok 4 — Povinnosti sprostredkovateľa

Sprostredkovateľ je povinný:

### 4.1 Spracúvať iba na základe pokynov
Spracovávať osobné údaje výlučne na základe písomných pokynov Controllera. Akékoľvek spracovanie nad rámec pokynov je porušením zmluvy.

### 4.2 Zachovávať mlčanlivosť
Zabezpečiť, že osoby oprávnené spracúvať osobné údaje (zamestnanci, subdodávatelia) sú zaviazané mlčanlivosťou (NDA alebo zákonnou povinnosťou).

### 4.3 Technické a organizačné opatrenia (TOMs)
Implementovať primerané bezpečnostné opatrenia podľa čl. 32 GDPR — viď **Príloha A**.

### 4.4 Subdodávatelia (sub-processors)
- Aktuálny zoznam: viď **Príloha B**.
- **Mechanizmus pridávania nových:** {{SUBPROCESSOR_NOTIFICATION_DAYS}} dní vopred (minimum 30 dní).
- **Právo Controllera vetovať** zmenu subdodávateľa z objektívnych bezpečnostných dôvodov.
- Subdodávatelia musia mať uzavretú DPA s ekvivalentnými podmienkami.

### 4.5 Súčinnosť pri právach dotknutých osôb
Pomôcť Controllerovi primeranými technickými a organizačnými opatreniami plniť povinnosti odpovedať na žiadosti dotknutých osôb (prístup, oprava, výmaz, prenos, námietka).
- **SLA odpovede:** do {{DSAR_SLA_DAYS}} pracovných dní od žiadosti Controllera.

### 4.6 Notifikácia pri porušení zabezpečenia
**Bez zbytočného odkladu a najneskôr do {{BREACH_NOTIFICATION_HOURS}} hodín** od zistenia (max. 24h) oznámiť Controllerovi porušenie ochrany osobných údajov obsahujúce minimálne:
- Povahu porušenia + dotknuté kategórie a orientačný počet
- Pravdepodobné dôsledky
- Prijaté / navrhované opatrenia
- Kontakt pre ďalšiu komunikáciu

### 4.7 Súčinnosť pri DPIA
Pri vysoko rizikovom spracovaní (čl. 35-36 GDPR) poskytnúť Controllerovi informácie nutné pre DPIA / konzultáciu s dozorným orgánom.

### 4.8 Audity a kontroly
- Predložiť Controllerovi na žiadosť: ISO 27001 / SOC 2 / TISAX certifikáty, pentest reporty (executive summary).
- Umožniť audit na mieste maximálne **{{ONSITE_AUDIT_FREQ}}** za kalendárny rok s notifikáciou minimálne 30 dní vopred.
- Audit vykonáva Controller alebo nezávislý audítor (NDA povinné).

## Článok 5 — Povinnosti Controllera

Controller je povinný:
- Poskytnúť iba zákonne získané osobné údaje.
- Informovať dotknuté osoby o spracovaní (čl. 13-14 GDPR).
- Oznámiť Processorovi účel a rozsah spracovania.
- Na žiadosť potvrdiť pokyny písomne (email postačuje).

## Článok 6 — Medzinárodné prenosy dát

### 6.1 Umiestnenie spracovania
{{DATA_LOCATION}}

_Napr.: EU / EEA, Supabase Frankfurt, AWS eu-central-1._

### 6.2 Prenosy mimo EU / EEA
**Prebiehajú prenosy mimo EU/EEA?** {{TRANSFERS_OUTSIDE_EU}} (áno / nie)

Ak áno, mechanizmus:
- [ ] Adekvátne rozhodnutie Komisie (napr. UK, Švajčiarsko)
- [ ] Štandardné zmluvné doložky (SCC Decision 2021/914)
- [ ] Záväzné podnikové pravidlá (BCR)
- [ ] Výnimočné situácie čl. 49 GDPR

**Cieľové krajiny:** {{TRANSFER_COUNTRIES}}

Sprostredkovateľ vykonal Transfer Impact Assessment (TIA) pre každý prenos a implementoval doplnkové opatrenia (šifrovanie, pseudonymizácia).

## Článok 7 — Zodpovednosť a poistenie

- **Obmedzenie zodpovednosti:** podľa hlavnej zmluvy. Nevzťahuje sa na úmyselné porušenie, hrubú nedbanlivosť, ani na pokuty uložené Controllerovi v dôsledku zavinenia Processora.
- **Cyber insurance Processora:** poistka s krytím minimálne **{{INSURANCE_MIN}}** EUR na jeden incident.
- **Regres:** Controller má právo na náhradu škody od Processora v rozsahu pokút ÚOOÚ udelených v dôsledku porušenia tejto zmluvy Processorom.

## Článok 8 — Ukončenie zmluvy a vrátenie / vymazanie dát

### 8.1 Ukončenie
- Automatické ukončenie s hlavnou zmluvou.
- Samostatné vypovedanie s výpovednou lehotou {{NOTICE_PERIOD}}.
- Okamžité ukončenie pri závažnom porušení (napr. nezabezpečené spracovanie, strata certifikácie).

### 8.2 Vrátenie alebo vymazanie dát
Po ukončení Processor na žiadosť Controllera (výber v žiadosti):
- **Vráti** všetky osobné údaje vo štruktúrovanom formáte ({{EXPORT_FORMAT}}) **do {{RETURN_SLA_DAYS}} dní**.
- Alebo **vymaže** všetky osobné údaje vrátane záloh a kópií u subdodávateľov **do {{DELETION_SLA_DAYS}} dní**.
- **Potvrdí** vymazanie písomne (certifikát vymazania).

Výnimky: dáta, ktoré musí Processor uchovať zo zákona (napr. účtovné záznamy — min. 10 rokov v SR / ČR).

## Článok 9 — Záverečné ustanovenia

- Zmena tejto DPA si vyžaduje písomný dodatok podpísaný oboma stranami.
- Rozhodné právo: {{GOVERNING_LAW}} (odporúčané: SK / ČR podľa miesta sídla Controllera).
- Rozhodný jazyk: {{GOVERNING_LANGUAGE}}.
- V prípade rozporu s hlavnou zmluvou má táto DPA prednosť pri otázkach ochrany údajov.

---

## Podpisy

| Prevádzkovateľ | Sprostredkovateľ |
|----------------|------------------|
| {{CONTROLLER_SIGNATORY}} | {{PROCESSOR_SIGNATORY}} |
| Funkcia: {{CONTROLLER_ROLE}} | Funkcia: {{PROCESSOR_ROLE}} |
| Dátum: {{SIGN_DATE_CONTROLLER}} | Dátum: {{SIGN_DATE_PROCESSOR}} |
| Podpis: | Podpis: |

---

## Príloha A — Technické a organizačné opatrenia (TOMs)

### A.1 Dôvernosť
- Prístup na princípe least privilege (RBAC)
- MFA povinné pre všetky privilegované účty
- Disk / storage šifrovanie AES-256
- TLS 1.2+ pre všetky sieťové prenosy
- Segregácia dát medzi zákazníkmi (multi-tenancy izolácia)

### A.2 Integrita
- Audit logovanie všetkých zmien osobných údajov
- Checksum/hash validácia pri prenose
- Version control záloh

### A.3 Dostupnosť
- RTO: {{RTO}}, RPO: {{RPO}}
- Zálohovanie: {{BACKUP_FREQ}}, retencia: {{BACKUP_RETENTION}}
- DR testy: {{DR_TEST_FREQ}}

### A.4 Odolnosť systémov
- Patchovanie critical CVE: do 72 hodín
- Vulnerability scan: minimálne týždenne
- Pentest: ročne (nezávislý)

### A.5 Monitoring a detekcia
- SIEM / centralizovaný logging
- 24/7 alerting na anomálie
- MTTD cieľ: {{MTTD_GOAL}}

### A.6 Incident response
- IR plán aktualizovaný ročne
- Tabletop cvičenie minimálne ročne
- Notifikácia Controllera do {{BREACH_NOTIFICATION_HOURS}}h

---

## Príloha B — Zoznam sub-processorov

| Subdodávateľ | Služba | Umiestnenie dát | Mechanizmus prenosu (ak mimo EU) |
|--------------|--------|-----------------|----------------------------------|
| {{SUB_1_NAME}} | {{SUB_1_SERVICE}} | {{SUB_1_LOCATION}} | {{SUB_1_TRANSFER}} |
| {{SUB_2_NAME}} | {{SUB_2_SERVICE}} | {{SUB_2_LOCATION}} | {{SUB_2_TRANSFER}} |
| {{SUB_3_NAME}} | {{SUB_3_SERVICE}} | {{SUB_3_LOCATION}} | {{SUB_3_TRANSFER}} |

Aktualizovaný zoznam je dostupný na {{SUBPROCESSOR_LIST_URL}}.

---

_Šablóna podľa GDPR čl. 28 a Štandardných zmluvných doložiek medzi prevádzkovateľom a sprostredkovateľom (Decision (EU) 2021/915 z 4. 6. 2021). Pred podpisom nechajte skontrolovať DPO / právnikom. Pre prenosy mimo EU doplňte samostatné SCC (Decision 2021/914) + TIA._