Smlouva o zpracování osobních údajů
Příloha Obchodních podmínek služby Recofy · English version
1. Strany a kontext
Tato Smlouva o zpracování osobních údajů ("DPA") je nedílnou přílohou Obchodních podmínek služby Recofy ("Podmínky") a upravuje zpracování osobních údajů Poskytovatelem ("Zpracovatel") jménem Obchodníka ("Správce") ve smyslu čl. 28 nařízení Evropského parlamentu a Rady (EU) 2016/679 ("GDPR").
Pojmy psané s velkým počátečním písmenem mají význam definovaný v Podmínkách, není-li v této DPA stanoveno jinak.
Tato DPA nabývá účinnosti instalací aplikace Recofy v Shoptet Doplňky (§14.3 Podmínek).
2. Předmět a účel zpracování
Zpracovatel zpracovává osobní údaje výhradně za účelem poskytování Služby - generování personalizovaných doporučení produktů na e-shopu Správce prostřednictvím widgetu a trackeru.
Doložený pokyn ke zpracování představuje uzavření Podmínek a faktické užívání Služby. Zpracovatel určuje konkrétní technické prostředky zpracování (infrastruktura, struktura dat, doba retence) jako součást standardní funkcionality Služby.
3. Kategorie subjektů údajů a rozsah dat
Subjekty údajů: anonymní návštěvníci (koncoví uživatelé) e-shopu Správce.
Zpracovávané údaje:
- Anonymní visitor ID - náhodný UUID uložený v cookie
_vtx_vid(platnost 12 měsíců, bez vazby na osobní identitu). - Behaviorální události - zobrazení stránky, kliknutí na doporučený produkt, přidání do košíku, nákup. Události jsou navázány na anonymní visitor ID.
- Kontext produktu - ID a metadata zobrazených/doporučených produktů.
- Attribution token - technický identifikátor pro propojení doporučení s konverzí.
Nezpracováváme: jména, e-maily, telefonní čísla, browser fingerprints, demografická data, finanční údaje koncových uživatelů ani přesnou geolokaci.
4. Doba zpracování
Zpracování trvá po dobu platnosti Podmínek. Po ukončení smlouvy Zpracovatel smaže nebo vrátí osobní údaje dle rozhodnutí Správce do 30 dnů, s výjimkou:
- údajů, jejichž uchování vyžadují právní předpisy (účetní doklady - 10 let);
- anonymizovaných a agregovaných dat, která nepředstavují osobní údaje (§8.3 Podmínek).
Správce může kdykoliv požádat o předčasný výmaz zasláním žádosti na [email protected].
5. Bezpečnost
Zpracovatel přijal vhodná technická a organizační opatření dle čl. 32 GDPR:
- Šifrování dat v přenosu (TLS 1.3) a tokeny šifrované „at rest" (AES-256-GCM s klíči v Google Cloud Secret Manager).
- Řízení přístupu k produkčním systémům („service account" s logovanými operacemi).
- Izolace dat tenantů na úrovni aplikační logiky (
tenant_idfiltrování ve všech dotazech). - Automatické bezpečnostní záplaty (Google Cloud Platform).
- Infrastrukturní logy (Google Cloud Run) mohou dočasně obsahovat IP adresy v rámci standardního provozu platformy; tyto logy jsou automaticky mazány po 30 dnech a nejsou používány k identifikaci osob.
Zpracovatel zavázal všechny osoby s přístupem k osobním údajům k mlčenlivosti.
6. Podzpracovatelé
Správce uděluje Zpracovateli obecné povolení k zapojení podzpracovatelů (dalších zpracovatelů) dle čl. 28 odst. 2 GDPR.
Aktuální podzpracovatelé:
| Podzpracovatel | Účel | Lokace |
|---|---|---|
| Google Cloud Platform (Cloud Run, Vertex AI Search for Commerce) | Compute, AI doporučení | EU |
| Supabase (PostgreSQL) | Databáze | EU |
| Upstash | Redis cache | EU |
| Stripe | Zpracování plateb | EU + US (Stripe je vlastním správcem; DPF) |
| Resend | Transakční e-maily | EU |
Zpracovatel informuje Správce o změně podzpracovatelů nejméně 14 dnů předem (§10.5 Podmínek). Správce může proti změně vznést námitku; nedojde-li k dohodě, je Správce oprávněn smlouvu vypovědět.
Zpracovatel zajistí, že každý podzpracovatel je vázán smlouvou se srovnatelnými povinnostmi ochrany údajů.
7. Součinnost
7.1 Zpracovatel pomůže Správci reagovat na žádosti subjektů údajů o výkon práv dle kapitoly III GDPR (přístup, výmaz, přenositelnost atd.) v rozsahu, v jakém je to technicky možné.
7.2 Zpracovatel pomůže Správci splnit povinnosti dle čl. 32–36 GDPR (bezpečnost, hlášení incidentů, posouzení vlivu na ochranu osobních údajů).
8. Oznamování incidentů
V případě porušení zabezpečení osobních údajů Zpracovatel informuje Správce bez zbytečného odkladu, nejpozději do 72 hodin od zjištění. Oznámení obsahuje:
- popis povahy porušení;
- kategorie a přibližný počet dotčených subjektů údajů a záznamů;
- popis pravděpodobných důsledků;
- popis přijatých nebo navrhovaných opatření k nápravě.
9. Audit
9.1 Zpracovatel na žádost Správce doloží veškeré informace potřebné k prokázání souladu s čl. 28 GDPR.
9.2 Správce (nebo jím pověřený auditor) je oprávněn provést audit za těchto podmínek:
- písemné oznámení alespoň 30 dnů předem;
- audit nesmí ohrozit bezpečnost systémů ani data jiných zákazníků;
- náklady auditu nese Správce, ledaže audit prokáže závažné porušení povinností Zpracovatele.
10. Závěrečná ustanovení
10.1 Tato DPA je nedílnou součástí Podmínek. Pojmy v ní použité, pokud nejsou výslovně definovány, mají význam dle Podmínek.
10.2 V otázkách ochrany osobních údajů má tato DPA přednost před Podmínkami.
10.3 Tato DPA se řídí právem České republiky.
Účinnost od: 1. června 2026 · Verze: 1.0