Seznam zpracovatelů (subprocessoři)
Verze 8. 7. 2026
Tato stránka obsahuje aktuální seznam dílčích zpracovatelů, které NemotiQ s.r.o. zapojuje do zpracování osobních údajů při poskytování služby NemotiQ. Seznam je nedílnou součástí Smlouvy o zpracování osobních údajů (DPA).
O změnách (přidání, nahrazení nebo odstranění zpracovatele) informujeme zákazníky minimálně 30 dní předem e-mailem a aktualizací této stránky.
Resend
Resend, Inc.
- Účel
- Odesílání transakčních e-mailů (verifikace, reset hesla, notifikace) a marketingových kampaní z modulu CRM iniciovaných Uživatelem.
- Kategorie údajů
- E-mail, jméno, obsah zprávy, metriky doručení (otevření, kliknutí, bounce).
- Jurisdikce
- USA
- Mechanismus přenosu
- DPA, Standardní smluvní doložky EU (SCC)
Signi
Signi a.s.
- Účel
- Elektronický podpis dokumentů (pokročilý elektronický podpis dle nařízení eIDAS).
- Kategorie údajů
- Jméno, e-mail, telefon podepisujícího, IP adresa, otisk prohlížeče, časová razítka, podpisový obraz, podepisovaný dokument.
- Jurisdikce
- Česká republika
- Mechanismus přenosu
- DPA dle čl. 28 GDPR (interní EU)
Google Ireland Limited / Google LLC
- Účel
- Přihlášení přes Google (SSO – volitelné) a synchronizace kalendáře přes Google Calendar API (na základě OAuth souhlasu Uživatele; možno kdykoli odvolat).
- Kategorie údajů
- Při SSO: e-mailová adresa, jméno a profilová fotografie, identifikátor Google účtu. Při kalendáři: OAuth tokeny (access + refresh, šifrované AES-256-GCM v DB), ID kalendáře, název a popis událostí, účastníci.
- Jurisdikce
- Irsko / USA
- Mechanismus přenosu
- Standardní smluvní doložky EU (SCC) + EU-US Data Privacy Framework
Vercel
Vercel, Inc.
- Účel
- Hosting webové aplikace, edge funkce a plánované úlohy (cron). Volitelné Web Analytics je připravené, ale zatím nenasazené a je bez cookies.
- Kategorie údajů
- IP adresa, user agent, žádosti o stránky.
- Jurisdikce
- USA (region eu-west)
- Mechanismus přenosu
- Standardní smluvní doložky EU (SCC) + EU-US Data Privacy Framework
Stripe
Stripe Payments Europe, Limited
- Účel
- Zpracování plateb Předplatného kartou. Uživatel zadává platební údaje přímo do hostovaného formuláře Stripe; NemotiQ údaje karty neukládá (přijímá jen webhook o stavu platby).
- Kategorie údajů
- Údaje karty, fakturační adresa, IČO/DIČ, identifikátor zákazníka a předplatného, status plateb.
- Jurisdikce
- Irsko / USA
- Mechanismus přenosu
- DPA, Standardní smluvní doložky EU (SCC) + EU-US Data Privacy Framework
Supabase
Supabase Inc.
- Účel
- Produkční databáze (PostgreSQL)
- Kategorie údajů
- Veškerá data uložená v databázi, včetně šifrovaných osobních údajů
- Jurisdikce
- EU (region Frankfurt, eu-central-1) / USA (podpora)
- Mechanismus přenosu
- Smlouva o zpracování (DPA) + Standardní smluvní doložky EU (SCC, 2021/914); primární zpracování probíhá v EU regionu
Cloudflare R2
Cloudflare, Inc.
- Účel
- Objektové úložiště souborů aplikace: dokumenty transakcí, osobní knihovna makléře (šifrovaná at-rest), profilové fotografie.
- Kategorie údajů
- Nahrané soubory (PDF/DOCX dokumenty, obrázky), které mohou obsahovat osobní údaje smluvních stran; osobní DMS je navíc šifrovaný at-rest AES-256-GCM.
- Jurisdikce
- EU / USA
- Mechanismus přenosu
- DPA, Standardní smluvní doložky EU (SCC); ukládání do EU regionu R2
Upstash
Upstash, Inc.
- Účel
- Perzistentní rate limiting (ochrana proti zneužití přihlašování a citlivých endpointů).
- Kategorie údajů
- Krátkodobé čítače podle identifikátoru odvozeného z uživatele/IP; bez obsahu zpráv.
- Jurisdikce
- EU / USA
- Mechanismus přenosu
- DPA, Standardní smluvní doložky EU (SCC) + EU-US Data Privacy Framework
Sentry
Functional Software, Inc. d/b/a Sentry
- Účel
- Sledování runtime chyb a výjimek v produkci. Chybové události se zaznamenávají; výkonnostní tracing i Session Replay mají ve výchozím stavu nulové vzorkování (0 %). Odesílání osobních údajů je vypnuté (sendDefaultPii=false).
- Kategorie údajů
- Stack trace chyby, identifikátor uživatele (UUID), kontext chyby. IP adresa, cookies ani request body s osobními údaji se do Sentry neposílají (sendDefaultPii=false).
- Jurisdikce
- USA
- Mechanismus přenosu
- DPA, Standardní smluvní doložky EU (SCC) + EU-US Data Privacy Framework
Veřejné registry a sankční seznamy
Aplikace čerpá data z níže uvedených veřejných registrů pro účely AML / KYC screeningu (z. č. 253/2008 Sb.) a Due Diligence reportů. Z formálního pohledu GDPR se nejedná o zpracovatele (čl. 4 odst. 8 GDPR) – Provozovatel z těchto zdrojů pouze stahuje veřejné údaje, nepředává jim žádné osobní údaje Uživatele ani jeho klientů. Uvádíme je pro plnou transparentnost a možnost ověření.
OpenSanctions (agregátor)
OpenSanctions.org – open-source agregátor oficiálních sankčních seznamů a PEP databází. NemotiQ z něj denně stahuje 4 datasety, proti kterým screeninguje: EU FSF, UN SC, OFAC SDN a otevřenou PEP databázi (ČNB sankce jsou pokryty jako mirror EU FSF).
- Účel
- Stabilní strojový endpoint pro AML screening dle § 9 z. č. 253/2008 Sb. Originální data pocházejí z oficiálních zdrojů (EU Council, UN SC, US Treasury); OpenSanctions je technický prostředník zajišťující dostupnost (oficiální feedy jsou nestabilní / autentizované).
- Jurisdikce
- EU (Berlín; provoz)
EU konsolidovaný sankční seznam (přes OpenSanctions)
EU Council Regulation lists / Consolidated Financial Sanctions File (FSF) – dataset `eu_fsf` v OpenSanctions
- Účel
- Screening klientů a skutečných majitelů dle AML zákona (§ 9 z. č. 253/2008 Sb.). ČR aplikuje EU sankce přímo dle zák. 69/2006 Sb. – tj. EU FSF zároveň pokrývá ČNB.
- Jurisdikce
- EU
UN sankční seznam (přes OpenSanctions)
United Nations Security Council Consolidated List – dataset `un_sc_sanctions` v OpenSanctions
- Účel
- Screening dle rezolucí Rady bezpečnosti OSN.
- Jurisdikce
- OSN (mezinárodní)
OFAC SDN (přes OpenSanctions)
U.S. Treasury OFAC Specially Designated Nationals List – dataset `us_ofac_sdn` v OpenSanctions
- Účel
- Screening proti sankčním opatřením USA (extrateritoriální působnost).
- Jurisdikce
- USA
PEP database (přes OpenSanctions)
OpenSanctions PEP dataset – agregát oficiálních databází politicky exponovaných osob (EU Court of Auditors, US OGE, UK Parliament, regulatorní seznamy z 70+ zemí)
- Účel
- Screening politicky exponovaných osob (§ 4 odst. 5 z. č. 253/2008 Sb.).
- Jurisdikce
- EU + globální zdroje
ISIR (manuálně)
Ministerstvo spravedlnosti ČR – Insolvenční rejstřík. Strojový endpoint není pro veřejný lookup k dispozici (SOAP IsirWsCxfService vyžaduje smlouvu s MSp).
- Účel
- Ověření případného insolvenčního řízení klienta. V MVP makléř ověřuje manuálně na portálu.
- Jurisdikce
- Česká republika
CEE (manuálně)
Exekutorská komora ČR – Centrální evidence exekucí. Manuální výpis (placený lookup), zaznamenaný v systému odpovědnou osobou.
- Účel
- Ověření probíhajících exekucí klienta pro AML kontrolu dle § 9 z. č. 253/2008 Sb. Ověřuje se ručně již dnes (paralelně k ISIR); automatizované napojení pro DD reporty je teprve v přípravě.
- Jurisdikce
- Česká republika
ARES
Ministerstvo financí ČR – Administrativní registr ekonomických subjektů
- Účel
- Doplnění veřejně dostupných údajů o PO podle IČO (jméno, sídlo, statutární orgán).
- Jurisdikce
- Česká republika
ČÚZK / CEE
Český úřad zeměměřický a katastrální / Centrální evidence exekucí (po produkční integraci)
- Účel
- Due Diligence reporty – vlastnické vztahy, omezení nakládání, exekuce na nemovitosti. Funkce v přípravě – dosud bez napojení na reálné registry.
- Jurisdikce
- Česká republika
Řetězec zpracování (DPA chain)
NemotiQ je v B2B režimu zpracovatelem osobních údajů klientů, které makléř spravuje. Některé operace zapojují další subdodavatele (subprocesory). Schéma níže ukazuje, jakou roli má každý článek a jaké údaje jím procházejí.
Pro každý článek řetězce platí:
- Účel a rozsah jsou striktně omezené na to, co je uvedeno v tabulce výše (princip účelového omezení, čl. 5 odst. 1 b GDPR).
- Žádný subprocesor nesmí dále zpřístupnit data jinému bez naší předchozí písemné autorizace (čl. 28 odst. 2 GDPR).
- Datová mlčenlivost osob, které mají k údajům přístup, je zajištěna smluvně (čl. 28 odst. 3 b GDPR).
- Bezpečnostní opatření (čl. 32 GDPR) jsou stanovena ve smlouvách a auditovány nezávislým certifikátem (SOC 2 / ISO 27001 u většiny dodavatelů). Detail: Ochrana soukromí, oddíl Bezpečnost.
- Notifikace incidentu – pokud subprocesor objeví porušení zabezpečení, NemotiQ to oznámí makléři a (přes makléře nebo přímo, dle dohody) i subjektu údajů do 72 hodin (čl. 33–34 GDPR).
- Předávání mimo EU/EHPprobíhá pouze na základě Standardních smluvních doložek EU (SCC) nebo EU-US Data Privacy Framework. Sloupec „Mechanismus přenosu“ výše uvádí konkrétní právní základ pro každý článek.
- Audit práva – makléř má jako správce právo provést audit u NemotiQ; NemotiQ stejné právo vykonává vůči subprocesorům. Detail v DPA, oddíl Audit a inspekce.
- Ukončení vztahu – při výpovědi DPA NemotiQ zajistí vrácení nebo výmaz údajů u všech subprocesorů ve lhůtě 30 dní (kromě údajů, na něž se vztahuje zákonná retence – viz Privacy notice, oddíl Retence).
Vznesení námitky proti změně
Pokud jako zákazník vznesete proti zařazení nového subprocessoru námitku, kontaktujte nás na info@nemotiq.cz do 30 dní od oznámení změny. Pokud nedosáhneme dohody, máte právo ukončit smluvní vztah bez výpovědní doby.
Související dokumenty: DPA · Ochrana soukromí.