Smlouva o zpracování osobních údajů (DPA)
Verze 8. 7. 2026 · Vychází z čl. 28 odst. 3 nařízení (EU) 2016/679 (GDPR)
Smluvní strany
Správce: Provozovatel zákaznického účtu (makléř, realitní kancelář), který se prostřednictvím akceptace Obchodních podmínek stal uživatelem služby NemotiQ.
Zpracovatel: NemotiQ s.r.o., kontakt: info@nemotiq.cz.
1. Předmět a doba zpracování
Zpracovatel zpracovává osobní údaje, které mu Správce předá nebo které vzniknou v rámci využívání služby NemotiQ (deal room, klientský portál, CRM, modul nabídek, e-podpis, kalendář, due diligence reporty, osobní knihovna dokumentů a poznámek makléře), a to výhradně za účelem poskytnutí této služby Správci.
Zpracování trvá po dobu trvání smluvního vztahu mezi Správcem a Zpracovatelem podle Obchodních podmínek a po dobu nezbytnou pro řádný výmaz nebo navrácení údajů (viz čl. 9 této DPA).
2. Povaha a účel zpracování
Zpracovatel zpracovává osobní údaje formou ukládání v databázi PostgreSQL, zobrazování v uživatelském rozhraní, odesílání e-mailové komunikace iniciované Správcem, generování dokumentů a předávání podkladů do nástroje elektronického podpisu (vždy na základě pokynu Správce).
AML / KYC modul: v rámci plnění povinností Správce dle z. č. 253/2008 Sb. (AML zákon) Zpracovatel poskytuje technický nástroj pro identifikaci klientů a screening proti veřejným sankčním seznamům. Citlivé identifikační údaje (rodné číslo, číslo dokladu, adresa, statutární orgán) jsou ukládány šifrovaně (AES-256-GCM). Zpracovatel nepředává tyto údaje žádné třetí straně; screening probíhá výhradně lokálně proti datasetům staženým z veřejných zdrojů přes agregátor OpenSanctions (EU FSF konsolidovaný sankční seznam, UN Security Council sankce, OFAC SDN, otevřená PEP data). ČNB sankce jsou pokryty jako mirror EU FSF dle zákona č. 69/2006 Sb. Insolvenční rejstřík (ISIR) a Centrální evidence exekucí (CEE) ověřuje povinná osoba ručně.
Osobní knihovna (interní DMS): Zpracovatel poskytuje Správci interní úložiště pro jeho vlastní dokumenty a poznámky (např. doklady, certifikáty, smlouva s realitní kanceláří, pracovní poznámky). Nahrané soubory jsou ukládány šifrovaně (AES-256-GCM) a citlivá pole (název souboru, popis, obsah poznámky) jsou šifrována zvlášť. Tyto údaje nejsou sdíleny s žádnou třetí stranou; uchovávají se po dobu, po kterou je Správce ponechá ve službě, a po smazání zůstávají v koši 30 dní, než jsou trvale odstraněny (včetně fyzického smazání souborů). Při zrušení účtu Správce jsou tyto soubory rovněž trvale smazány.
3. Druhy zpracovávaných osobních údajů a kategorie subjektů
- Identifikační a kontaktní údaje: jméno a příjmení, e-mail, telefon, adresa, IČO, datum narození.
- Údaje o nemovitosti a transakci: adresa nemovitosti, cena, poznámky, dokumenty, fotografie nemovitosti (mohou obsahovat osobní údaje zachycených osob; jsou interní a při výmazu účtu se fyzicky odstraňují z úložiště).
- Provozní údaje: IP adresa, log přihlášení, časová razítka.
- Údaje pro elektronický podpis: jméno podepisujícího, e-mail, IP, otisk prohlížeče, podpisový obraz.
Kategorie subjektů údajů:
- Klienti Správce (kupující, prodávající, pronajímatelé, nájemci).
- Účastníci transakcí, kterým Správce zpřístupní klientský portál.
- Zaměstnanci a spolupracovníci Správce (členové realitní kanceláře).
Zpracovatel nezpracovává zvláštní kategorie osobních údajů podle čl. 9 GDPR, ledaže je Správce výslovně do služby vloží na vlastní odpovědnost (např. do polí poznámek). Doporučujeme se zpracování zvláštních kategorií ve službě vyhnout.
4. Povinnosti Zpracovatele
Zpracovatel se zavazuje:
- Zpracovávat osobní údaje pouze na základě doložených pokynů Správce (zadáním do služby), ledaže mu zpracování ukládá právo EU nebo ČR.
- Zajistit, aby osoby pověřené zpracováním byly vázány závazkem mlčenlivosti nebo zákonnou povinností mlčenlivosti.
- Přijmout vhodná technická a organizační opatření k zabezpečení (čl. 32 GDPR) – viz čl. 6 této DPA.
- Být Správci nápomocen při plnění žádostí subjektů údajů (čl. 12–22 GDPR) prostřednictvím nástrojů ve službě (export, výmaz, oprava) a na vyžádání poskytnout součinnost.
- Být Správci nápomocen při zajišťování souladu s čl. 32–36 GDPR (zabezpečení, oznámení porušení, posouzení vlivu).
- Po skončení poskytování služby v souladu s pokyny Správce všechny osobní údaje vymazat nebo navrátit (viz čl. 9).
- Poskytnout Správci veškeré informace nutné k doložení souladu s čl. 28 GDPR a umožnit a přispět ke kontrolám prováděným Správcem nebo jím pověřeným auditorem (zpravidla formou kontrolního dokumentu / SOC report).
5. Další zpracovatelé (subprocessoři)
Správce uděluje Zpracovateli obecné povolení k zapojení dalších zpracovatelů. Aktuální seznam subprocessorů včetně účelu a jurisdikce je veřejně dostupný na stránce Seznam zpracovatelů.
O zamýšlené změně (přidání nebo nahrazení subprocessoru) Zpracovatel Správce informuje minimálně 30 dní předem e-mailem nebo zveřejněním na webu, čímž poskytne Správci možnost vznést námitku. Vznesení námitky nezakládá nárok na vrácení již zaplacené úplaty, opravňuje však Správce ukončit smluvní vztah bez výpovědní doby.
Subprocessor je zavázán smluvně ke stejným povinnostem na ochranu údajů jako Zpracovatel podle této DPA.
6. Bezpečnost zpracování
Zpracovatel uplatňuje zejména následující opatření:
- Šifrování přenosu (TLS 1.3, HSTS).
- Šifrování citlivých polí v databázi (AES-256-GCM); přístupové tokeny klientského portálu jsou uchovávány jako jednosměrný otisk (SHA-256) doplněný o šifrovanou kopii (AES-256-GCM) pro rekonstrukci odkazu, nikdy v otevřené podobě.
- Hashování hesel (bcrypt s cost faktorem ≥ 12).
- Řízení přístupu na základě rolí (RBAC), princip nejmenších oprávnění.
- Granulární oprávnění k dokumentům per účastník transakce.
- Ověření pravosti příchozích webhooků (Resend přes HMAC-SHA256, Stripe přes ověření podpisu, Signi přes tajný token v URL ověřený časově konstantním porovnáním).
- Rate limiting a brute-force ochrana přihlášení.
- Audit log činnosti uchovávaný 3 roky.
- Pravidelné zálohy s point-in-time recovery.
Detail technických opatření je popsán v interním dokumentu SECURITY.md, který Zpracovatel zpřístupní Správci na vyžádání.
7. Oznámení porušení zabezpečení
Zpracovatel oznámí Správci porušení zabezpečení osobních údajů bez zbytečného odkladu, nejpozději však do 48 hodin od okamžiku, kdy se o něm dozvěděl. Oznámení obsahuje informace nutné pro splnění oznamovací povinnosti Správce vůči ÚOOÚ a dotčeným subjektům (čl. 33 a 34 GDPR).
8. Předávání údajů mimo EHP
Zpracovatel nepředává osobní údaje do třetích zemí mimo EHP, ledaže je to uvedeno v aktuálním seznamu subprocessorů a zajistí přiměřené záruky, zejména standardní smluvní doložky EU (Commission Implementing Decision (EU) 2021/914) a doplňková opatření podle doporučení EDPB.
9. Výmaz nebo navrácení údajů po skončení zpracování
Po skončení smluvního vztahu Zpracovatel na žádost Správce všechny osobní údaje:
- Navrátí ve strojově čitelném formátu (JSON export) – žádost musí být doručena nejpozději do 30 dní od ukončení smluvního vztahu, nebo
- Vymaže ze všech systémů Zpracovatele (včetně provozních záloh), nejpozději do 90 dní po skončení smluvního vztahu, ledaže právo vyžaduje jejich uchování.
Audit log obsahující identifikační údaje Správce a jeho uživatelů je uchováván 3 roky pro účely doložení souladu (oprávněný zájem dle čl. 6 odst. 1 písm. f) GDPR).
10. Audit a inspekce
Správce je oprávněn ověřit plnění povinností Zpracovatele podle této smlouvy, a to nejvýše jednou ročně, případně kdykoli při důvodném podezření na porušení nebo po bezpečnostním incidentu. Ověření probíhá primárně formou písemného dotazníku nebo zpřístupněním aktuálního přehledu technických a organizačních opatření, popřípadě dostupných auditních zpráv (například SOC 2) subdodavatelů. Fyzická inspekce na místě je možná po předchozí písemné dohodě, v rozsahu nezbytně nutném a při zachování důvěrnosti údajů ostatních zákazníků Zpracovatele. Náklady na audit nese Správce, ledaže audit prokáže podstatné porušení povinností Zpracovatele.
11. Odpovědnost
Odpovědnost smluvních stran z této smlouvy se řídí čl. 82 GDPR a omezeními sjednanými ve Všeobecných obchodních podmínkách. Každá ze stran odpovídá za újmu způsobenou zpracováním pouze tehdy, pokud nesplnila povinnosti, které GDPR nebo tato smlouva ukládají přímo jí.
12. Závěrečná ustanovení
Tato DPA tvoří nedílnou součást Obchodních podmínek a její účinnost je vázána na účinnost smluvního vztahu mezi Správcem a Zpracovatelem.
V případě rozporu mezi touto DPA a Obchodními podmínkami má v otázkách zpracování osobních údajů přednost tato DPA.
Tato DPA se řídí právem České republiky a spory z ní jsou rozhodovány obecnými soudy ČR podle sídla Zpracovatele.
Související dokumenty: Obchodní podmínky · Zásady ochrany osobních údajů · Seznam zpracovatelů.