Právní dokument

Smlouva o zpracování osobních údajů

Vzor smlouvy o zpracování osobních údajů (DPA) uzavírané mezi obcí jako správcem a Meedy.cz s.r.o. jako zpracovatelem podle čl. 28 nařízení GDPR.

Účinnost od 21. 4. 2026 · vzor · verze 1.0

Smluvní strany

Správce:
Obec / Město [název], se sídlem [adresa], IČO [číslo], zastoupená starostou/starostkou [jméno]

Zpracovatel:
Meedy.cz s.r.o., IČO 03813223, se sídlem U Stadionu 1840/7, 792 01 Bruntál, zapsaná v obchodním rejstříku vedeném Krajským soudem v Ostravě, zastoupená jednatelem

Článek 1 — Předmět smlouvy

1.1. Předmětem této smlouvy je úprava práv a povinností smluvních stran při zpracování osobních údajů Zpracovatelem pro Správce podle čl. 28 nařízení GDPR.

1.2. Zpracovatel zpracovává osobní údaje výhradně za účelem poskytování služby ObecníAI (AI asistent pro web obce) a v rozsahu nezbytném pro plnění hlavní smlouvy.

Článek 2 — Kategorie subjektů údajů a osobních údajů

2.1. Kategorie subjektů údajů: návštěvníci webu obce, kteří využijí AI asistenta (občané obce, turisté, podnikatelé).

2.2. Kategorie zpracovávaných osobních údajů:

  • obsah dotazů vložených do AI asistenta (může obsahovat jméno, adresu nebo jiné údaje, pokud je občan sám uvede),
  • časové razítko dotazu,
  • náhodně generovaný identifikátor konverzace,
  • technické metadata (typ prohlížeče, anonymizovaná IP — pouze pro ochranu proti zneužití).

Článek 3 — Doba zpracování

3.1. Zpracovatel zpracovává osobní údaje po dobu trvání hlavní smlouvy, nejdéle však po dobu 12 měsíců od okamžiku zaznamenání konkrétního dotazu.

3.2. Po ukončení hlavní smlouvy Zpracovatel veškeré osobní údaje Správce do 30 dnů zlikviduje nebo Správci vrátí, podle jeho volby.

Článek 4 — Povinnosti Zpracovatele

Zpracovatel se zavazuje:

  • zpracovávat osobní údaje pouze na základě doložených pokynů Správce,
  • zajistit mlčenlivost osob, které mají přístup k osobním údajům,
  • přijmout technická a organizační opatření podle čl. 32 GDPR (viz článek 6),
  • nezapojovat další zpracovatele bez předchozího povolení Správce (viz článek 5),
  • být Správci nápomocen při plnění jeho povinností vyplývajících z čl. 32–36 GDPR,
  • být Správci nápomocen při vyřizování žádostí subjektů údajů,
  • poskytnout Správci veškeré informace nutné k prokázání plnění povinností podle čl. 28 GDPR,
  • umožnit Správci audit, a to max. jednou ročně po předchozí dohodě.

Článek 5 — Další zpracovatelé (subdodavatelé)

5.1. Správce dává Zpracovateli obecné povolení zapojit následující subdodavatele:

  • poskytovatel VPS hostingu v ČR,
  • poskytovatel e-mailové služby v ČR,
  • poskytovatel DNS a doménových služeb v ČR,
  • veřejná certifikační autorita Let's Encrypt (pouze vystavování HTTPS certifikátů, nezpracovává obsah zpráv).

5.2. O jakékoli změně v okruhu subdodavatelů Zpracovatel informuje Správce minimálně 30 dnů předem. Správce má právo vznést písemně námitku.

5.3. Zpracovatel ručí Správci za plnění povinností případným subdodavatelem stejně, jako by je prováděl sám.

Článek 6 — Bezpečnostní opatření

Zpracovatel přijal zejména tato technická a organizační opatření:

  • šifrovaná komunikace přes HTTPS (TLS 1.2+),
  • hesla uchovávána pouze jako bcrypt hash,
  • přístup do administrace chráněn JWT tokeny s krátkou dobou platnosti,
  • rate-limiting pro ochranu proti útokům hrubou silou,
  • systemd sandboxing procesu aplikace,
  • pravidelné bezpečnostní aktualizace systému,
  • pravidelné zálohování databáze (šifrované, uchovávané v ČR),
  • přístup k produkčním datům omezen na úzký okruh osob.

Článek 7 — Porušení zabezpečení

7.1. Zpracovatel bez zbytečného odkladu, nejpozději však do 72 hodin od zjištění, oznámí Správci jakékoli porušení zabezpečení osobních údajů.

7.2. Oznámení bude obsahovat popis porušení, kategorie a přibližný počet dotčených subjektů, pravděpodobné důsledky a přijatá opatření.

Článek 8 — Předávání do třetích zemí

Zpracovatel nepředává osobní údaje mimo území Evropského hospodářského prostoru.

Článek 9 — Doba platnosti a ukončení

9.1. Tato smlouva se uzavírá na dobu trvání hlavní smlouvy.

9.2. Při ukončení smlouvy Zpracovatel postupuje podle čl. 3 odst. 2.

Článek 10 — Závěrečná ustanovení

10.1. Smlouva se řídí právním řádem České republiky a nařízením GDPR.

10.2. Případné spory budou řešeny přednostně dohodou.

10.3. Smlouva nabývá účinnosti dnem podpisu oběma smluvními stranami.

Potřebujete text smlouvy v editovatelné podobě? Napište nám na libor@liborpolak.cz a pošleme vám DPA přizpůsobenou vaší obci ve formátu DOCX.

← Zpět na hlavní stránku