PhotoRobot
Trust Center
Legální
Dohoda o zpracování dat PhotoRobot (DPA)
Podmínky služby PhotoRobot
Licenční smlouva PhotoRobot
Dokumenty o ochraně soukromí PhotoRobot - Přehled
Zásady ochrany osobních údajů PhotoRobot
Oznámení o ochraně soukromí PhotoRobot GDPR (článek 13)
Dohoda o zpracování dat PhotoRobot (DPA)
Pravidla přijatelného používání PhotoRobot (AUP)
Smlouvy o úrovni služeb PhotoRobot (SLA)
Dohoda o úrovni služeb (SLA) pro software PhotoRobot
Smlouva o úrovni služeb (SLA) pro hardware PhotoRobot
Podmínky zákaznické podpory PhotoRobot
Zásady cookies PhotoRobot
Zásady souhlasu s marketingem PhotoRobot
Seznam subprocesorů PhotoRobot
PhotoRobot právní definice a slovník
Naposledy upraveno: 29. prosince 2025

Dohoda o zpracování dat PhotoRobot (DPA)

Tento dokument představuje Dohodu o zpracování dat PhotoRobot: Verze 1.0 — PhotoRobot Edition, uni-Robot Ltd., Česká republika.

1. Strany

Tato Smlouva o zpracování dat ("DPA") je uzavřena mezi:

Řídicí jednotka (zákazník)
Fyzická nebo právnická osoba, která uzavřela Podmínky služby PhotoRobot a používá tuto službu.

a

Procesor:
uni-Robot Ltd.
Vodičkova 710/31
110 00 Praha 1
Česká republika
Identifikace společnosti: 01478061
Identifikační číslo DPH: CZ01478061
Email: legal@photorobot.com

dále společně označovány jako "Strany".

Tato DPA doplňuje Podmínky služby PhotoRobot a platí tehdy, když PhotoRobot zpracovává osobní údaje jménem zákazníka.

2. Předmět a povaha zpracování

PhotoRobot ("Procesor") poskytuje cloudové služby, lokální softwarová rozšíření, správu firmwaru a hostingovou infrastrukturu potřebnou k zpracování obrázků, metadat a souvisejícího digitálního obsahu nahraného zákazníkem ("Controller").

Zpracování zahrnuje:

  • Sbírka
  • Skladování
  • Přenos
  • Extrakce metadat
  • synchronizace mezi CL ↔ Cloud
  • Hostování obsahu nahraného zákazníkem
  • vytváření záznamů a diagnostiky
  • Záložní operace

Zpracování probíhá výhradně jménem kontrolora podle jeho zdokumentovaných pokynů.

3. Doba trvání

Tato DPA platí po dobu trvání smluvního vztahu mezi stranami a poté po dobu, dokud zpracovatel uchovává nebo zpracovává jakékoli osobní údaje jménem Controllera.

4. Osobní údaje a kategorie subjektů

4.1. Typy osobních údajů

V závislosti na způsobu používání služby mohou zpracovaná data zahrnovat:

  • Identifikační údaje (jméno, příjmení, společnost)
  • Kontaktní údaje (e-mail, telefon)
  • Vizuální obsah (obrázky, videa)
  • Metadata spojená s nahraným obsahem
  • logovací data, IP adresy, technické identifikátory
  • Data na úrovni projektu
  • Přihlašovací údaje (hashované), přístupové tokeny

Zpracovatel nevyžaduje ani úmyslně nezpracovává speciální kategorie dat (čl. 9 GDPR).

4.2. Kategorie datových subjektů

  • Zaměstnanci zákazníka
  • Klienti nebo partneři zákazníka
  • Oprávnění uživatelé
  • Jakékoli osoby prezentované ve vizuálním obsahu nahraném zákazníkem

Zákazník je výhradně odpovědný za zajištění zákonného sběru údajů od subjektů údajů.

5. Pokyny od řídícího

Zpracovatel zpracovává pouze osobní údaje:

  1. podle dokumentovaných pokynů Controllera,
  2. podle potřeby poskytování služby,
  3. zajistit bezpečnost, integritu a dostupnost systémů,
  4. jak vyžaduje právo EU nebo českého práva.

Pokud zpracovatel považuje příkaz za nezákonný, musí o tom informovat správce.

6. Důvěrnost

Zpracovatel zajišťuje, že všechny osoby oprávněné zpracovávat osobní údaje:

  • podléhají povinnostem důvěrnosti,
  • absolvovali odpovídající výcvik,
  • zpracovávat data pouze na základě pokynů Controllera.

7. Subprocesory

Procesor využívá určité třetí strany ("Sub-Processors") k podpoře služby.

7.1. Schválení subprocesory

Kontrolor uděluje zpracovateli obecné oprávnění zapojit se do následujících kategorií podprocesorů:

  • Poskytovatelé cloudové infrastruktury (např. Google Cloud Platform)
  • Poskytovatelé doručování e-mailů
  • Poskytovatelé analytiky
  • Systémy pro prodej jízdenek
  • Služby monitorování bezpečnosti
  • Systémy zálohování a obnovy po havárii

Kompletní seznam je udržován v seznamu PhotoRobot Sub-Processor List a může být aktualizován.

7.2. Oznámení o změnách

Zpracovatel musí informovat Controllera o jakýchkoli zamýšlených změnách u podprocesorů nejméně 15 dní předem, což umožní Controllerovi vznést námitku na základě rozumných důvodů.

8. Mezinárodní přenosy dat

Pokud jsou subprocesory nebo infrastruktura umístěny mimo EEA, zpracovatel zajišťuje:

  • aplikace standardních smluvních doložek (SCC 2021),
  • doplňková technická a organizační opatření,
  • minimalizovaný přístup a šifrování,
  • audity souladu ze strany původního poskytovatele.

Google Cloud Platform nabízí:

  • ISO 27001, ISO 27017, ISO 27018
  • Zprávy SOC 1/2/3
  • Dokumentace souladu s GDPR

Podrobnosti jsou k dispozici na https://cloud.google.com/security.

9. Bezpečnostní opatření

Procesor musí implementovat průmyslové standardy technických a organizačních opatření (TOM), včetně:

9.1. Technická opatření

  • TLS šifrování dat během přenosu
  • Bezpečné úložiště s šifrovanými přístupovými tokeny
  • Izolovaná zpracovatelská prostředí
  • Hashování hesel
  • Limity rychlosti a systémy detekce průniků
  • Vícevrstvé firewallování
  • Fyzická bezpečnost datového centra (přes Google Cloud)

9.2. Organizační opatření

  • Řízení přístupu založené na rolích
  • Záznam a monitorování přístupu
  • Interní politiky pro nakládání s daty
  • Povinnosti zaměstnanců v mlčenlivosti
  • Periodické bezpečnostní školení
  • Řízení rizik dodavatelů

Kompletní seznam TOMů je k dispozici na vyžádání.

10. Práva subjektů osobních údajů

Procesor pomáhá kontroloru reagovat na:

  • Žádosti o přístup
  • Náprava
  • Smazání
  • Omezení
  • Přenosnost dat
  • Námitky

Procesor musí bez zbytečného zdržení předávat jakýkoli přímý požadavek od subjektu dat kontrolorovi.

11. Oznámení o úniku dat

V případě úniku osobních údajů musí zpracovatel informovat správce:

  • Bez zbytečného otálení,
  • včetně všech informací požadovaných článkem 33 GDPR,
  • a poskytovat průběžné aktualizace až do dokončení sanace.

Kontrolor zůstává odpovědný za informování úřadů a dotčených osob.

12. Smazání nebo vrácení dat

Po ukončení smlouvy:

  • Procesor smaže zákaznická data po 30 dnech,
  • pokud nenařídí Řídící jinak,
  • kromě případů, kdy je udržení vyžadováno zákonem.

Zálohy jsou během svého běžného životního cyklu přepisovány.

13. Audity

Ovladač má právo:

  • obdržení dokumentace prokazující shodu s GDPR
  • požádat o zprávu o TOMech
  • Provádějte přiměřené audity, omezené na jednou ročně
  • spoléhat na certifikace třetích stran (ISO/SOC zprávy Google Cloud)

Audity nesmí ohrožovat bezpečnost ani narušovat provoz.

14. Odpovědnost

Odpovědnost stran se řídí Podmínkami služby.
Zpracovatel je odpovědný pouze za porušení svých vlastních povinností podle GDPR.

15. Řídící právo a jurisdikce

Tato DPA se řídí zákony České republiky.

Spory řeší soudy v Praze, Česká republika.

16. Standardní smluvní klauzule (SCC)

Pokud je to potřeba, SCC 2021 (Modul 2: Controller → Processor) se vztahuje jako příloha k této DPA.

PhotoRobot:

  • zahrnuje SCC podle odkazu,
  • zahrnuje všechny povinné klauzule,
  • implementuje doplňková technická opatření
  • zajišťuje dodržování předpisů na subprocesory mimo EHP.

SCC může být poskytnut v plném rozsahu na vyžádání.

17. Kontakt

uni-Robot Ltd.
Vodičkova 710/31
110 00 Praha 1
Česká republika

Email: legal@photorobot.com