Dodatek o zpracování osobních údajů

Poslední aktualizace: 15. května 2026

Tento DPA je začleněn odkazem do Obchodních podmínek služby a nabývá účinnosti okamžikem, kdy Zákazník přijme Obchodní podmínky služby nebo poprvé použije Službu po výše uvedeném datu, podle toho, co nastane dříve. Zákazník, který požaduje protipodepsaný výtisk tohoto DPA na hlavičkovém papíře společnosti, může o něj požádat písemně na adrese privacy@easyweek.io. EasyWeek dokument protipodepíše bez změn obsahu této šablony.

1. Definice

Pojmy psané s velkým počátečním písmenem, které nejsou v tomto DPA definovány, mají význam uvedený v Obchodních podmínkách, v GDPR nebo v zákoně č. 110/2019 Sb., o zpracování osobních údajů. Zejména:

• „GDPR" — nařízení (EU) 2016/679 ve spojení se zákonem č. 110/2019 Sb., o zpracování osobních údajů, a tam, kde je to relevantní, britské GDPR a švýcarský zákon o ochraně osobních údajů (FADP) vykládané s nezbytnými úpravami.
• „Správce", „Zpracovatel", „Subjekt údajů", „Osobní údaje", „Porušení zabezpečení osobních údajů", „Zpracování", „Dílčí zpracovatel", „Dozorový úřad" — ve smyslu čl. 4 GDPR.
• „Osobní údaje zákazníka" — Osobní údaje, které Zákazník nebo jeho oprávnění uživatelé zadávají do Služby nebo prostřednictvím Služby vytvářejí a které EasyWeek zpracovává jménem Zákazníka.
• „Standardní smluvní doložky" — standardní smluvní doložky pro předávání osobních údajů do třetích zemí podle GDPR přijaté prováděcím rozhodnutím Komise (EU) 2021/914 ze dne 4. června 2021.

2. Role

Zákazník je správcem osobních údajů Zákazníka. EasyWeek je zpracovatelem a zpracovává osobní údaje Zákazníka pouze na základě zdokumentovaných pokynů Zákazníka a v souladu s touto DPA, Obchodními podmínkami a platným právem.

Strany berou na vědomí, že EasyWeek je správcem pro omezené kategorie osobních údajů, které EasyWeek zpracovává pro vlastní účely — například přihlašovací údaje oprávněných uživatelů, fakturační údaje a telemetrii využívání Služby. Na toto zpracování se vztahují Zásady ochrany osobních údajů pro firmy, nikoli tato DPA.

3. Předmět, doba trvání, účel

Předmět, povaha, účel, doba trvání, kategorie osobních údajů a kategorie subjektů údajů jsou popsány v Příloze I.

Tato DPA je účinná po dobu, po kterou EasyWeek zpracovává osobní údaje Zákazníka jménem Zákazníka, a přetrvává ukončení Obchodních podmínek po dobu nezbytnou k dodržení článku 13.

4. Pokyny zákazníka

Samotný Service, konfigurace uplatněná Zákazníkem prostřednictvím uživatelského rozhraní a API Serviceu, Obchodní podmínky a tato DPA představují úplné a konečné zdokumentované pokyny Zákazníka pro EasyWeek týkající se zpracování osobních údajů Zákazníka. Jakékoli další nebo odlišné pokyny vyžadují písemnou dohodu a mohou být spojeny s dodatečnými poplatky.

EasyWeek informuje Zákazníka bez zbytečného odkladu, pokud se podle jeho názoru některý pokyn dostává do rozporu s GDPR nebo jiným unijním či vnitrostátním předpisem o ochraně osobních údajů, a může pozastavit provedení sporného pokynu až do písemného potvrzení ze strany Zákazníka.

5. Důvěrnost

EasyWeek zajišťuje, že pracovníci oprávnění zpracovávat osobní údaje Zákazníka se zavázali k zachování důvěrnosti (nebo se na ně vztahuje příslušná zákonná povinnost mlčenlivosti) a jsou vázáni kontrolami přístupu a principem nejmenších oprávnění. Přístup k osobním údajům Zákazníka je omezen na pracovníky, kteří jej potřebují k provozování nebo zlepšování Služby.

6. Bezpečnost (TOM)

EasyWeek zavádí vhodná technická a organizační opatření k zajištění úrovně bezpečnosti přiměřené danému riziku, jak je uvedeno v příloze II. EasyWeek může svá TOM průběžně aktualizovat, pokud tím nedojde ke snížení úrovně ochrany.

7. Dílčí zpracovatelé

Zákazník tímto uděluje EasyWeek obecné písemné oprávnění zapojit dílčí zpracovatele. Seznam schválených dílčích zpracovatelů k datu tohoto DPA je uveden v příloze III a je průběžně aktualizován na /business/subprocessors.

EasyWeek oznámí Zákazníkovi nejméně třicet (30) dní předem každý zamýšlený přírůstek nebo výměnu dílčích zpracovatelů prostřednictvím oznamovacího centra v aplikaci a, pokud k tomu Zákazník přihlásil odběr, rovněž e-mailem. Zákazník může vznést námitku z důvodných, doložených důvodů ochrany osobních údajů ve lhůtě třiceti (30) dní od doručení tohoto oznámení. Nedohodnou-li se strany na řešení, může Zákazník ukončit Obchodní podmínky služby v rozsahu té části Služby, která vyžaduje sporného dílčího zpracovatele, s poměrným vrácením předplacených poplatků za zbývající dobu.

EasyWeek ukládá každému dílčímu zpracovateli povinnosti v oblasti ochrany osobních údajů písemnou smlouvou, jejíž ochrana není nižší než ochrana stanovená v tomto DPA. EasyWeek zůstává Zákazníkovi plně odpovědná za plnění povinností svých dílčích zpracovatelů.

8. Mezinárodní přenosy

Osobní údaje Zákazníka jsou primárně zpracovávány v Evropském hospodářském prostoru. Pokud jsou Osobní údaje Zákazníka přenášeny do země mimo EHP bez rozhodnutí Evropské komise o odpovídající ochraně, použijí se Standardní smluvní doložky s následujícím výběrem:

• Modul Dvě (Správce na Zpracovatele) je začleněn odkazem pro přenosy od Zákazníka (nebo jeho správce v EHP) ke společnosti EasyWeek, kde EasyWeek zpracovává Osobní údaje Zákazníka ve třetí zemi.
• Modul Tři (Zpracovatel na Zpracovatele) je začleněn odkazem pro následné přenosy od společnosti EasyWeek k Dílčím zpracovatelům ve třetí zemi.
• Článek 7 (Dokovací doložka) je zahrnut.
• Článek 9(a) — Možnost 2 (obecné písemné oprávnění, 30denní výpovědní lhůta) se použije.
• Článek 11(a) — nezávislý orgán pro řešení sporů není zvolen.
• Článek 17 — rozhodným právem je právo Německa.
• Článek 18 — příslušnými soudy jsou soudy v Düsseldorfu, Německo.
• Příloha I Standardních smluvních doložek je vyplněna odkazem na Přílohu I této DPA.
• Příloha II Standardních smluvních doložek je vyplněna odkazem na Přílohu II této DPA.
• Příloha III Standardních smluvních doložek je vyplněna odkazem na Přílohu III této DPA.

Posouzení dopadu přenosu shrnující hodnocení právních předpisů cílové země ze strany společnosti EasyWeek a veškerá doplňková technická, smluvní nebo organizační opatření je k dispozici na vyžádání na adrese privacy@easyweek.io.

Pro přenosy do Spojeného království se použije Adendum ke Standardním smluvním doložkám pro mezinárodní přenosy dat ve Spojeném království (vydané ICO a platné od 21. března 2022). Pro přenosy do Švýcarska se Standardní smluvní doložky čtou s náhradami požadovanými FDPIC.

9. Žádosti subjektů údajů

Služba poskytuje samoobslužné funkce, které umožňují Zákazníkovi plnit žádosti subjektů údajů o přístup, opravu, výmaz, omezení, přenositelnost a námitku. Pokud se subjekt údajů obrátí přímo na EasyWeek, EasyWeek postoupí žádost Zákazníkovi bez zbytečného odkladu a nebude subjektu údajů odpovídat jinak než za účelem potvrzení přijetí a předání žádosti Zákazníkovi.

EasyWeek bude Zákazníkovi nápomocen, s přihlédnutím k povaze zpracování, prostřednictvím vhodných technických a organizačních opatření při plnění povinnosti Zákazníka reagovat na žádosti subjektů údajů podle čl. 12 až 22 GDPR a zákona č. 110/2019 Sb., o zpracování osobních údajů.

10. Porušení zabezpečení osobních údajů

EasyWeek oznámí Zákazníkovi bez zbytečného odkladu, a v každém případě do sedmdesáti dvou (72) hodin od okamžiku, kdy se dozví o Porušení zabezpečení osobních údajů týkajícím se Osobních údajů Zákazníka. Oznámení bude obsahovat přinejmenším informace požadované čl. 33 odst. 3 nařízení GDPR a zákona č. 110/2019 Sb., o zpracování osobních údajů, v rozsahu, v jakém jsou v danou chvíli známy: povahu Porušení, kategorie a přibližný počet dotčených Subjektů údajů a dotčených záznamů, pravděpodobné důsledky a přijatá nebo navrhovaná opatření.

EasyWeek přijme přiměřené kroky k omezení následků Porušení a k nápravě a poskytne Zákazníkovi informace nezbytné k tomu, aby Zákazník mohl splnit své vlastní oznamovací povinnosti vůči svému Dozorovému úřadu — ÚOOÚ (Úřad pro ochranu osobních údajů, https://www.uoou.cz/) — a vůči dotčeným Subjektům údajů.

11. Posouzení vlivu na ochranu osobních údajů a předchozí konzultace

EasyWeek poskytne Zákazníkovi přiměřenou součinnost při jakémkoli posouzení vlivu na ochranu osobních údajů nebo předchozí konzultaci, které je Zákazník povinen provést podle čl. 35 nebo 36 GDPR a zákona č. 110/2019 Sb., o zpracování osobních údajů, v rozsahu, v jakém je taková součinnost přiměřeně nutná a příslušné informace jsou v držení EasyWeek.

12. Audit

EasyWeek zpřístupní Zákazníkovi veškeré informace nezbytné k prokázání souladu s touto Smlouvou o zpracování osobních údajů, včetně:

• Aktuálních kopií nejrelevantnějších certifikací a auditních zpráv (jako je ISO 27001, je-li k dispozici, a zprávy SOC 2 typu II příslušných Dílčích zpracovatelů).
• Písemných odpovědí na přiměřený bezpečnostní dotazník, jednou za dvanáctiměsíční období, bezplatně.

Pokud výše uvedené informace nejsou dostatečné a Zákazník je ze strany svého dozorového úřadu povinen provést audit na místě, může Zákazník provést audit sám nebo pověřit nezávislého auditora, aby audit provedl na náklady Zákazníka, a to na základě alespoň šedesáti (60) dní předchozího písemného oznámení, v průběhu pracovní doby, nejvýše jednou za dvanáctiměsíční období (pokud nedošlo k Porušení zabezpečení osobních údajů), za přiměřených závazků zachování důvěrnosti a bez narušení obchodních operací EasyWeek nebo bezpečnosti ostatních zákazníků. Rozsah auditu je omezen na ověření souladu EasyWeek s touto Smlouvou o zpracování osobních údajů.

13. Vrácení a výmaz

Do třiceti (30) dnů od ukončení Obchodních podmínek může Zákazník exportovat Osobní údaje zákazníka prostřednictvím nástrojů pro samoobslužný export poskytovaných Službou. Po uplynutí této třicetidenní lhůty EasyWeek vymaže nebo anonymizuje Osobní údaje zákazníka v přiměřené lhůtě, v každém případě však do devadesáti (90) dnů, s výjimkou případů, kdy je EasyWeek povinen podle práva EU nebo členského státu uchovávat jejich část nebo celek (v takovém případě zůstávají uchovávaná data nadále podřízena povinnostem mlčenlivosti a zabezpečení stanoveným touto DPA).

Zálohy obsahující Osobní údaje zákazníka jsou přepisovány průběžně v rámci standardní doby uchovávání záloh a po celou tuto dobu podléhají této DPA.

14. Odpovědnost a různá ustanovení

Odpovědnost každé strany vyplývající z tohoto DPA nebo v souvislosti s ním podléhá omezením a vyloučením odpovědnosti stanoveným v Obchodních podmínkách.

Toto DPA tvoří součást Obchodních podmínek. V případě jakéhokoli rozporu mezi tímto DPA a Obchodními podmínkami v souvislosti se zpracováním osobních údajů Zákazníka má toto DPA přednost. V případě jakéhokoli rozporu mezi tímto DPA a Standardními smluvními doložkami mají Standardní smluvní doložky přednost.

Toto DPA se řídí právem Spolkové republiky Německo. Soudy v Düsseldorfu, Německo, mají výlučnou příslušnost, aniž jsou dotčena závazná práva ochrany subjektů údajů vyplývající z místa jejich obvyklého bydliště.

Příloha I – Popis zpracování

Předmět zpracování Zpracování nezbytné k poskytování obchodní Služby EasyWeek Zákazníkovi.

Doba trvání Po dobu platnosti Obchodních podmínek a veškerých lhůt uchování po ukončení smlouvy vyžadovaných k plnění článku 13.

Povaha a účel zpracování Hosting, ukládání, vyhledávání, organizace, úprava, přenos, výmaz, anonymizace, statistická analýza a další operace zpracování nezbytné k poskytování online rezervací, správy vztahů se zákazníky, financí a fakturace, marketingové automatizace, tvorby webových stránek, připomínek a oznámení, zápisu do tržiště, funkcí s podporou umělé inteligence a doplňkových funkcí.

Kategorie subjektů údajů

• Koncoví zákazníci a potenciální zákazníci Zákazníka
• Zaměstnanci, osoby samostatně výdělečně činné, smluvní partneři a ostatní oprávnění uživatelé Zákazníka
• Návštěvníci online rezervačních stránek Zákazníka a vložených widgetů
• Odesílatelé a příjemci komunikace zprostředkované prostřednictvím Služby

Kategorie osobních údajů

• Identifikační údaje (jméno, fotografie, pohlaví)
• Kontaktní údaje (e-mail, telefon, adresa)
• Přihlašovací údaje oprávněných uživatelů Zákazníka
• Historie rezervací a schůzek
• Poznámky, soubory, fotografie a dokumenty nahrané Zákazníkem
• Údaje věrnostního programu, zůstatky dárkových karet, segmenty zákazníků
• Obsah komunikace (SMS, WhatsApp, tělo e-mailu, tělo push oznámení, chat v aplikaci)
• Finanční údaje (záznamy faktur, stav plateb, poslední 4 číslice platebních karet — úplné údaje o kartách jsou zpracovávány přímo společností Stripe a nejsou ze strany EasyWeek ukládány)
• Technické údaje (IP adresa, identifikátor zařízení, prohlížeč, jazyk, časová razítka)
• V případě, že se Zákazník rozhodne je zaznamenat: poznámky týkající se zdraví (v kontextu beauty, wellness, medicínských nebo stomatologických služeb). Zákazník je odpovědný za zajištění toho, aby měl platný právní základ podle čl. 9 GDPR před zaznamenáním těchto údajů.

Frekvence předávání Průběžná.

Uchovávání Osobní údaje Zákazníka jsou uchovávány po dobu, po kterou tak Zákazník pokyn udělí, a jak je dále popsáno v článku 13.

Příloha II – Technická a organizační opatření

EasyWeek implementuje přinejmenším následující opatření, která může čas od času aktualizovat za předpokladu, že úroveň ochrany nebude snížena:

• Pseudonymizace a šifrování — TLS 1.3 pro data přenášená po veřejných sítích; AES-256 pro data uložená v klidu (databázové úložiště, objektové úložiště, zálohy); šifrovací klíče pro jednotlivé nájemce pro citlivá pole, kde je to použitelné.
• Důvěrnost — řízení přístupu na základě rolí s principem nejnižších oprávnění, vícefaktorové ověřování požadované pro veškerý administrativní přístup, automatické vypršení relace, přístupová kontrola na základě IP adresy pro produkční systémy, písemné závazky mlčenlivosti pro veškerý personál.
• Integrita — správa změn, přezkoumání kódu, automatizované skenování závislostí, podepsané artefakty nasazení, kontroly integrity záloh.
• Dostupnost a odolnost — produkční hosting v datových centrech Hetzner v Německu s redundantním napájením a sítí, orchestrace Kubernetes s automatickým obnovením, denní zálohy s replikací mezi zónami, zdokumentovaný plán obnovy po havárii s každoročními cvičeními formou tabletop exercises, stavová stránka na status.easyweek.io.
• Obnova — uchovávání záloh v rozsahu dostatečném pro obnovení služby po fyzickém nebo technickém incidentu; čtvrtletní testy obnovy.
• Testování a hodnocení — každoroční penetrační test produkčního prostředí prováděný třetí stranou, průběžné statické a dynamické testování bezpečnosti aplikací v CI/CD, proces správy zranitelností s definovanými SLA pro nápravu.
• Síťová segmentace — produkční, staging a vývojová prostředí jsou logicky i fyzicky oddělena; administrativní přístup výhradně prostřednictvím bastion hostů.
• Protokolování a monitoring — centralizované protokoly auditu pro autentizaci, autorizaci, změny konfigurace a události exportu dat, uchovávané po dobu nejméně jednoho roku; monitorování bezpečnostních informací a událostí s upozorněním na anomálie.
• Bezpečný vývoj — SDLC s modelováním hrozeb, přezkoumáním kódu, skenováním tajných informací, soulad s licencemi a standardy kódování v souladu s OWASP.
• Správa dodavatelů — písemné smlouvy se všemi Podpověřenci ukládající rovnocenné povinnosti; pravidelné přezkoumávání.
• Bezpečnost personálu — prověrky spolehlivosti tam, kde to zákon umožňuje; školení v oblasti bezpečnostního povědomí a ochrany osobních údajů při nástupu do zaměstnání a každoročně poté.
• Správa incidentů — pohotovostní rotace 24/7; zdokumentovaný plán reakce na incidenty; oznámení o porušení do 72 hodin podle oddílu 10.
• Fyzická bezpečnost — fyzický přístup k zařízením pro zpracování dat je řízen Podpověřencem provozujícím dané zařízení (Hetzner, Google Cloud) v rámci kontrol certifikovaných podle ISO 27001 / SOC 2.

Příloha III – Schválení dílčí zpracovatelé

Aktuální seznam dílčích zpracovatelů EasyWeek je zveřejněn a průběžně aktualizován na adrese /business/subprocessors. Seznam dostupný na uvedené URL adrese je tímto začleněn odkazem do této DPA a Přílohy III.