Zmluva o spracovaní údajov (DPA)

Verzia 1.0.0 · 27. mája 2026

1. Účel a strany

Táto Zmluva o spracovaní údajov (ďalej len "DPA") tvorí prílohu k Obchodným podmienkam a Zásadám ochrany osobných údajov. Upravuje vzťah medzi:

  • Prevádzkovateľom údajov (Controller) — Používateľ, ktorý cez Uptraq spracováva osobné údaje vlastných klientov (najmä agentúry a MSP);
  • Sprostredkovateľom (Processor)BLD - Agency s.r.o., IČO: 50 058 215, prevádzkovateľ služby Uptraq.
DPA je uzavretá podľa Čl. 28 Nariadenia (EÚ) 2016/679 (GDPR) a stáva sa záväznou momentom, keď Používateľ do svojho Účtu vloží osobné údaje tretích osôb (svojich klientov).

2. Predmet a doba spracovania

2.1. Predmet

Sprostredkovateľ spracováva osobné údaje, ktoré mu Prevádzkovateľ sprístupní prostredníctvom služby Uptraq, výlučne za účelom poskytovania monitorovacích a komunikačných funkcionalít Služby v mene Prevádzkovateľa.

2.2. Doba

Spracovanie trvá počas platnosti Účtu Prevádzkovateľa v Službe a končí 30 dní po jeho zrušení (s výnimkou údajov, ktoré sme povinní uchovať dlhšie zo zákonných dôvodov).

3. Charakter spracovania

3.1. Účely

  • Odosielanie automatických upozornení o incidentoch koncovým klientom Prevádzkovateľa v ich preferovanom jazyku
  • Zobrazenie verejných status stránok s informáciami o dostupnosti služieb
  • Logging a audit pre účely riešenia sporov

3.2. Kategórie dotknutých osôb

  • Koncoví klienti Prevádzkovateľa, ktorých kontaktné údaje boli pridané do Účtu

3.3. Kategórie osobných údajov

  • Meno alebo identifikátor klienta
  • Emailová adresa
  • Preferovaný jazyk komunikácie
  • (voliteľne) telefónne číslo pre SMS upozornenia
  • Logy doručenia upozornení (timestamp, status, response)
Citlivé kategórie údajov (rasa, zdravie, presvedčenie...) sa cez Uptraq nesmú spracovávať.

4. Povinnosti Sprostredkovateľa

Sprostredkovateľ sa zaväzuje:

a. spracovávať osobné údaje iba na základe doložených pokynov Prevádzkovateľa (vrátane konfigurácie funkcií v Účte);

b. zabezpečiť, aby osoby s prístupom k údajom boli zaviazané mlčanlivosťou;

c. prijať technické a organizačné opatrenia podľa Čl. 32 GDPR (viď sekciu 7);

d. poskytnúť Prevádzkovateľovi súčinnosť pri odpovedaní na žiadosti dotknutých osôb a pri plnení povinností podľa Čl. 32–36 GDPR;

e. zmazať alebo vrátiť všetky osobné údaje po skončení poskytovania služby, podľa voľby Prevádzkovateľa, pokiaľ zákon nevyžaduje inak;

f. sprístupniť Prevádzkovateľovi všetky informácie potrebné na preukázanie plnenia povinností a umožniť audit (sekcia 8).

5. Sub-procesori

5.1. Súhlas s aktuálnymi sub-procesormi

Prevádzkovateľ uzavretím tejto DPA udeľuje všeobecný písomný súhlas so zapojením sub-procesorov uvedených na stránke Sub-procesory. Aktuálny zoznam zahŕňa:
  • Hetzner Online GmbH (hosting, Nemecko/Fínsko)
  • Resend Inc. (transakčný email, EÚ regionálne servery)
  • Lemon Squeezy Inc. (platby, Merchant of Record)
  • OpenAI, L.L.C. (voliteľná AI diagnostika)

5.2. Notifikácia o zmenách

Sprostredkovateľ informuje Prevádzkovateľa najmenej 30 dní vopred o pridaní alebo zmene sub-procesora. Prevádzkovateľ má právo voči zmene namietať; v prípade neprijateľnej námietky má právo Účet zrušiť bez sankcie.

5.3. Zodpovednosť

Sprostredkovateľ zodpovedá za sub-procesorov ako za vlastné konanie a uzatvára s nimi DPA s ekvivalentnými povinnosťami.

6. Prenos údajov mimo EÚ

Lemon Squeezy a OpenAI sú v USA. Prenos údajov je zabezpečený štandardnými zmluvnými doložkami (SCC) podľa Čl. 46 ods. 2 písm. c GDPR.

OpenAI dostáva pri AI diagnostike iba: názov a URL monitora, typ monitora, HTTP hlavičky bez citlivých hodnôt, kontrolné kľúčové slová a posledné kontroly (status, response time, error). Osobné údaje koncových klientov sa do OpenAI neposielajú nikdy.

7. Bezpečnostné opatrenia (Čl. 32 GDPR)

  • Šifrovanie pri ukladaní: AES-256-GCM
  • Šifrovanie pri prenose: TLS 1.3 (HTTPS)
  • Autentifikácia: Better Auth, bcrypt hashovanie hesiel, voliteľná 2FA (TOTP), voliteľné passkey
  • Prístup k produkčným systémom: princíp najmenších oprávnení, audit logy
  • Zálohy: denné, šifrované, retencia 30 dní
  • Network izolácia: privátna sieť, firewall, žiadny verejný DB endpoint
  • Patch management: kritické bezpečnostné záplaty do 7 dní

8. Audit

Prevádzkovateľ má právo overiť plnenie tejto DPA. Štandardne sa to deje formou:

  • Preskúmania verejne dostupných certifikácií sub-procesorov (PCI-DSS, ISO 27001 podľa relevancie);
  • Vyplnenia bezpečnostného dotazníka na vyžiadanie;
  • V odôvodnených prípadoch (po incidente) audit treťou stranou na náklady Prevádzkovateľa, dohodnutou aspoň 30 dní vopred a vykonávanou tak, aby nenarúšala prevádzku Sprostredkovateľa.

9. Oznamovanie porušení

Pri zistení úniku osobných údajov Sprostredkovateľ informuje Prevádzkovateľa bez zbytočného odkladu, najneskôr však do 72 hodín, a poskytne všetky informácie potrebné na splnenie povinností Prevádzkovateľa podľa Čl. 33 GDPR.

10. Žiadosti dotknutých osôb

Ak sa dotknutá osoba (koncový klient Prevádzkovateľa) obráti priamo na Sprostredkovateľa s uplatnením práva podľa Čl. 15–22 GDPR, Sprostredkovateľ ju nasmeruje na Prevádzkovateľa. Sprostredkovateľ pomáha pri vybavení takejto žiadosti.

11. Ukončenie a osud údajov

Pri ukončení vzťahu Sprostredkovateľ:

  • zmaže všetky osobné údaje Prevádzkovateľa do 30 dní po zrušení Účtu;
  • na žiadosť pred zmazaním poskytne export údajov v štruktúrovanom formáte;
  • zachová iba údaje vyžadované zákonom (fakturačné doklady — 10 rokov podľa zákona č. 431/2002 Z. z.).

12. Zodpovednosť

Zodpovednosť Sprostredkovateľa za škodu spôsobenú porušením tejto DPA sa riadi sekciou 9 Obchodných podmienok, s výnimkou prípadov, keď ustanovenia GDPR určujú inak (najmä pri pokutách dozorných orgánov).

13. Rozhodné právo

Táto DPA sa riadi právnym poriadkom Slovenskej republiky a aplikovateľnými ustanoveniami GDPR.

14. Kontakt

Sprostredkovateľ: BLD - Agency s.r.o. Email: traq@uptraq.eu Adresa: Jána Ondruša 3357/19F, 900 31 Stupava Platnosť od: 2026-05-27