Sensyo
FunkcieCenníkFAQBlog
Vyskúšať 14 dní zadarmo

Zmluva o spracúvaní osobných údajov (DPA)

Posledná aktualizácia: 17. marca 2026

ČLÁNOK 1 — Predmet zmluvy

Táto Zmluva o spracúvaní osobných údajov (ďalej len "DPA") sa uzatvára podľa čl. 28 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 (GDPR) medzi zákazníkom (ďalej len "Prevádzkovateľ") a spoločnosťou Sensyo s.r.o. (ďalej len "Spracovateľ").

Spracovateľ spracúva osobné údaje v mene Prevádzkovateľa výhradne za účelom poskytovania služieb platformy Sensyo — sledovanie zásielok, unifikácia kuriérskych statusov, notifikácie koncových zákazníkov a analytika doručovania.

ČLÁNOK 2 — Kategórie údajov a dotknuté osoby

Dotknuté osoby:

  • Koncoví zákazníci e-shopu Prevádzkovateľa (príjemcovia zásielok)

Kategórie osobných údajov:

  • Doručovacia adresa
  • Tracking číslo zásielky
  • GPS súradnice zásielky
  • História stavov zásielky
  • Číslo objednávky

ČLÁNOK 3 — Záväzky Spracovateľa

Spracovateľ sa zaväzuje:

  • a) Spracúvať osobné údaje výhradne na základe zdokumentovaných pokynov Prevádzkovateľa, vrátane pokynov týkajúcich sa prenosov osobných údajov do tretej krajiny alebo medzinárodnej organizácie.
  • b) Zabezpečiť, aby sa osoby oprávnené spracúvať osobné údaje zaviazali k mlčanlivosti alebo aby podliehali zákonnej povinnosti mlčanlivosti.
  • c) Prijať všetky bezpečnostné opatrenia požadované podľa čl. 32 GDPR, vrátane:
    • Šifrovanie prenosu dát pomocou TLS 1.3
    • Šifrovanie dát v pokoji pomocou AES-256
    • Dvojfaktorová autentifikácia (2FA) pre prístup k systémom
    • Princíp najmenších oprávnení (least privilege)
  • d) Po ukončení poskytovania služieb vymazať alebo vrátiť všetky osobné údaje Prevádzkovateľovi podľa jeho rozhodnutia a vymazať existujúce kópie, pokiaľ právo Únie alebo právo členského štátu nepožaduje uchovávanie osobných údajov.
  • e) Poskytnúť Prevádzkovateľovi všetky informácie potrebné na preukázanie splnenia povinností stanovených v čl. 28 GDPR.

ČLÁNOK 4 — Sub-procesori

Prevádzkovateľ udeľuje Spracovateľovi všeobecné písomné povolenie na zapojenie ďalších spracovateľov (sub-procesorov). Spracovateľ informuje Prevádzkovateľa o každej zamýšľanej zmene týkajúcej sa pridania alebo nahradenia sub-procesorov minimálne 30 dní pred takouto zmenou, čím poskytne Prevádzkovateľovi možnosť namietať proti takýmto zmenám.

Aktuálny zoznam sub-procesorov je dostupný na adrese sensyo.eu/sub-processors.

Na každého sub-procesora sa vzťahujú rovnaké povinnosti ochrany údajov, ako sú stanovené v tejto DPA.

ČLÁNOK 5 — Prenosy do tretích krajín

Akýkoľvek prenos osobných údajov do tretích krajín sa uskutočňuje výhradne na základe:

  • Štandardných zmluvných doložiek (SCC) podľa vykonávacieho rozhodnutia Európskej komisie (EÚ) 2021/914
  • EU-U.S. Data Privacy Framework (DPF) pre poskytovateľov certifikovaných v rámci DPF

Spracovateľ zabezpečí, aby boli prijaté primerané záruky v súlade s kapitolou V GDPR.

ČLÁNOK 6 — Pomoc Prevádzkovateľovi

Spracovateľ poskytne Prevádzkovateľovi pomoc pri plnení jeho povinností, a to najmä:

  • Práva dotknutých osôb (čl. 15–22 GDPR): Spracovateľ pomáha Prevádzkovateľovi pri vybavovaní žiadostí dotknutých osôb o prístup, opravu, výmaz, portabilitu a námietky.
  • Posúdenie vplyvu na ochranu údajov (čl. 35–36 GDPR): Spracovateľ poskytne potrebné informácie a súčinnosť pri vykonávaní DPIA a prípadných predchádzajúcich konzultáciách s dozorným orgánom.

ČLÁNOK 7 — Porušenie ochrany osobných údajov (Data Breach)

Spracovateľ oznámi Prevádzkovateľovi akékoľvek porušenie ochrany osobných údajov bez zbytočného odkladu, najneskôr do 48 hodín od jeho zistenia. Oznámenie bude obsahovať:

  • Opis povahy porušenia vrátane kategórií a približného počtu dotknutých osôb
  • Meno a kontaktné údaje zodpovednej osoby
  • Opis pravdepodobných dôsledkov porušenia
  • Opis opatrení prijatých alebo navrhnutých na riešenie porušenia

ČLÁNOK 8 — Audit

Spracovateľ umožní audity a kontroly vykonávané Prevádzkovateľom alebo iným audítorom, ktorého Prevádzkovateľ poverí, a prispeje k nim. Prevádzkovateľ oznámi zámer vykonať audit písomne minimálne 30 dní vopred.

Audit sa vykonáva počas bežných pracovných hodín a nesmie neprimerane narušiť prevádzku Spracovateľa. Náklady na audit znáša Prevádzkovateľ, pokiaľ audit neodhalí podstatné porušenie tejto DPA.

ČLÁNOK 9 — Trvanie a ukončenie

Táto DPA nadobúda účinnosť dňom uzatvorenia hlavnej zmluvy o poskytovaní služieb a platí počas celej doby trvania tejto zmluvy.

Po ukončení hlavnej zmluvy Spracovateľ podľa voľby Prevádzkovateľa:

  • Vymaže všetky osobné údaje do 30 dní od ukončenia zmluvy, alebo
  • Vráti všetky osobné údaje Prevádzkovateľovi vo formáte JSON alebo CSV do 30 dní od ukončenia zmluvy

Po vymazaní alebo vrátení údajov Spracovateľ písomne potvrdí, že všetky kópie osobných údajov boli vymazané, s výnimkou údajov, ktorých uchovanie vyžaduje platné právo.