EshopIQ
Právní dokumenty

Smlouva o zpracování osobních údajů

Data Processing Agreement (DPA) dle čl. 28 GDPR. Platná od 26. dubna 2026.

Obsah
Další dokumenty Obchodní podmínky Zásady ochrany dat GDPR Cookies

Úvodní ustanovení

Tato Smlouva o zpracování osobních údajů (dále jen „DPA") je uzavřena v souladu s čl. 28 nařízení Evropského parlamentu a Rady (EU) 2016/679 (GDPR) mezi:

Správcem: provozovatel e-shopu využívající službu EshopIQ (dále jen „zákazník" nebo „správce")

Zpracovatelem: Merligo s.r.o., Nové sady 988/2, 602 00 Brno-střed, IČO: 23385383 (dále jen „EshopIQ" nebo „zpracovatel")

DPA je nedílnou součástí smluvního vztahu vzniklého mezi zákazníkem a EshopIQ uzavřením předplatného. Zákazník přijetím Všeobecných obchodních podmínek (VOP) souhlasí s touto DPA. Pokud zákazník jedná jako zpracovatel vůči svým vlastním zákazníkům, zajistí, že je k tomuto zpracování oprávněn.

1. Předmět zpracování

EshopIQ zpracovává osobní údaje zákazníků správce (konečných zákazníků e-shopu) výhradně za účelem poskytování sjednaných funkcí platformy, zejména:

  • synchronizace dat z Eshop-rychle API (zákazníci, objednávky, produkty),
  • analytiky a přehledů o zákaznickém chování (CRM modul),
  • odesílání reaktivačních emailů s kupóny jménem správce zákazníkům e-shopu,
  • generování přehledů a reportů pro správce.

2. Kategorie osobních údajů a subjektů

Kategorie subjektů údajů:

  • Zákazníci e-shopu správce (fyzické osoby — spotřebitelé i podnikatelé)

Kategorie osobních údajů zákazníků e-shopu:

  • Identifikační údaje: jméno a příjmení
  • Kontaktní údaje: emailová adresa, telefon
  • Fakturační a doručovací adresa
  • Transakční data: seznam objednávek, hodnoty nákupů, data objednávek
  • Marketingová data: slevové kupóny přiřazené zákazníkům e-shopu

Provozní data správce ukládaná v EshopIQ:

  • Přihlašovací údaje k emailovému serveru správce (SMTP host, uživatelské jméno, heslo) — pouze pokud správce funkci Email Server aktivuje
  • API přihlašovací token k platformě Eshop-rychle

3. Účel a právní základ zpracování

EshopIQ zpracovává osobní údaje zákazníků e-shopu výhradně na základě pokynů správce a pro účely poskytování sjednané služby. Zpracování je prováděno na základě:

  • Plnění smlouvy se zpracovatelem (EshopIQ) — provoz analytické platformy a CRM funkcí.
  • Oprávněného zájmu správce — reaktivace neaktivních zákazníků formou personalizovaných nabídek.

Správce je povinen zajistit, že disponuje příslušným právním základem pro zpracování osobních údajů svých zákazníků a pro jejich předání ke zpracování EshopIQ.

4. Povinnosti zpracovatele (EshopIQ)

EshopIQ se zavazuje:

  • Zpracovávat osobní údaje výhradně na základě doložených pokynů správce a v souladu s touto DPA, pokud mu to neukládají právní předpisy EU nebo členského státu.
  • Zajistit, aby osoby oprávněné zpracovávat osobní údaje byly vázány mlčenlivostí nebo jim tato povinnost vyplývala z právních předpisů.
  • Přijmout veškerá technická a organizační bezpečnostní opatření dle čl. 32 GDPR (šifrování dat, omezení přístupu, zálohování, HTTPS/TLS).
  • Nepředávat osobní údaje dalším zpracovatelům bez předchozího souhlasu správce, s výjimkou sub-zpracovatelů uvedených v čl. 5 této DPA.
  • Pomáhat správci při plnění jeho povinností reagovat na žádosti o výkon práv subjektů údajů.
  • Po skončení smluvního vztahu osobní údaje zákazníků e-shopu vymazat nebo vrátit správci do 30 dnů od ukončení předplatného.
  • Poskytnout správci veškeré informace potřebné k doložení souladu s povinnostmi stanovenými v čl. 28 GDPR a umožnit audity a inspekce.
  • Neprodleně informovat správce, pokud se podle jeho názoru pokyn správce příčí GDPR nebo jiným předpisům o ochraně údajů.

5. Sub-zpracovatelé

Správce uděluje EshopIQ obecné předchozí povolení ke jmenování sub-zpracovatelů. EshopIQ informuje správce o plánovaných změnách sub-zpracovatelů s přiměřeným předstihem; správce má právo vznést námitky.

Aktuálně využívaní sub-zpracovatelé:

Sub-zpracovatel Účel Sídlo / Region
Brevo SAS Odesílání reaktivačních emailů zákazníkům e-shopu přes SMTP relay Francie / EU
Poskytovatel cloudové infrastruktury (hosting, databáze) Hostování aplikace a databází EU / EHP

Poznámka: Pokud správce aktivuje vlastní SMTP server (funkce Email Server v Nastavení), emaily jsou odesílány přímo přes server správce. V takovém případě Brevo není využíváno jako sub-zpracovatel pro odesílání emailů tohoto správce.

6. Zabezpečení osobních údajů

EshopIQ přijal a udržuje tato technická a organizační bezpečnostní opatření:

  • Šifrování veškeré komunikace protokolem HTTPS (TLS 1.2+)
  • Šifrování citlivých přihlašovacích údajů v databázi
  • Řízení přístupu a autentizace (magic link přihlášení bez trvalých hesel)
  • Pravidelné zálohování databází
  • Omezení přístupu k osobním údajům pouze na oprávněné pracovníky
  • Monitorování a logování přístupů k systému

7. Přeshraniční předávání dat

EshopIQ nepředává osobní údaje do třetích zemí mimo EU/EHP bez zajištění odpovídající úrovně ochrany v souladu s kapitolou V GDPR. Všichni sub-zpracovatelé jsou buď se sídlem v EU, nebo disponují odpovídajícími zárukami (standardní smluvní doložky EU, rozhodnutí o odpovídající ochraně).

8. Hlášení bezpečnostních incidentů

EshopIQ oznámí správci každé porušení zabezpečení osobních údajů bez zbytečného odkladu po jeho zjištění, nejpozději do 72 hodin. Oznámení bude obsahovat alespoň:

  • popis povahy porušení (kategorie a přibližný počet dotčených subjektů a záznamů),
  • kontaktní údaje pověřence nebo jiného kontaktního místa,
  • popis pravděpodobných důsledků porušení,
  • popis přijatých nebo navrhovaných opatření k nápravě.

9. Práva subjektů údajů

Správce je odpovědný za vyřizování žádostí subjektů údajů (zákazníků e-shopu) ohledně jejich práv dle GDPR (přístup, oprava, výmaz, přenositelnost, námitka). EshopIQ poskytne správci technickou součinnost nezbytnou k vyřízení takových žádostí, zejména výmaz nebo export dat konkrétního zákazníka z databáze EshopIQ.

10. Doba trvání a ukončení

Tato DPA je platná po celou dobu trvání smluvního vztahu mezi správcem a EshopIQ. Zaniká automaticky ukončením předplatného. Po ukončení EshopIQ:

  • do 30 dnů trvale vymaže osobní údaje zákazníků e-shopu ze svých systémů,
  • na žádost správce vystaví písemné potvrzení o výmazu.

11. Odpovědnost

Každá strana odpovídá za škody způsobené porušením GDPR v rozsahu stanoveném čl. 82 GDPR. EshopIQ je zproštěn odpovědnosti, pokud prokáže, že za vznik škody nenese žádnou vinu. Odpovědnost EshopIQ vůči správci za porušení této DPA je omezena na výši uhrazeného předplatného za posledních 12 měsíců.

12. Závěrečná ustanovení

Tato DPA se řídí právem České republiky. Pro řešení sporů platí ustanovení VOP. Tato DPA nahrazuje veškerá předchozí ujednání mezi stranami týkající se zpracování osobních údajů. EshopIQ si vyhrazuje právo tuto DPA aktualizovat; o podstatných změnách informuje správce emailem nejméně 30 dní předem.

Merligo s.r.o. | Nové sady 988/2, 602 00 Brno-střed | IČO: 23385383 | DIČ: CZ23385383 | Platná od: 26. 4. 2026