Přeskočit na obsah
NemotiQ

Seznam zpracovatelů (subprocessoři)

Verze 8. 7. 2026

Tato stránka obsahuje aktuální seznam dílčích zpracovatelů, které NemotiQ s.r.o. zapojuje do zpracování osobních údajů při poskytování služby NemotiQ. Seznam je nedílnou součástí Smlouvy o zpracování osobních údajů (DPA).

O změnách (přidání, nahrazení nebo odstranění zpracovatele) informujeme zákazníky minimálně 30 dní předem e-mailem a aktualizací této stránky.

Resend

Resend, Inc.

Web ↗
Účel
Odesílání transakčních e-mailů (verifikace, reset hesla, notifikace) a marketingových kampaní z modulu CRM iniciovaných Uživatelem.
Kategorie údajů
E-mail, jméno, obsah zprávy, metriky doručení (otevření, kliknutí, bounce).
Jurisdikce
USA
Mechanismus přenosu
DPA, Standardní smluvní doložky EU (SCC)

Signi

Signi a.s.

Web ↗
Účel
Elektronický podpis dokumentů (pokročilý elektronický podpis dle nařízení eIDAS).
Kategorie údajů
Jméno, e-mail, telefon podepisujícího, IP adresa, otisk prohlížeče, časová razítka, podpisový obraz, podepisovaný dokument.
Jurisdikce
Česká republika
Mechanismus přenosu
DPA dle čl. 28 GDPR (interní EU)

Google

Google Ireland Limited / Google LLC

Web ↗
Účel
Přihlášení přes Google (SSO – volitelné) a synchronizace kalendáře přes Google Calendar API (na základě OAuth souhlasu Uživatele; možno kdykoli odvolat).
Kategorie údajů
Při SSO: e-mailová adresa, jméno a profilová fotografie, identifikátor Google účtu. Při kalendáři: OAuth tokeny (access + refresh, šifrované AES-256-GCM v DB), ID kalendáře, název a popis událostí, účastníci.
Jurisdikce
Irsko / USA
Mechanismus přenosu
Standardní smluvní doložky EU (SCC) + EU-US Data Privacy Framework

Vercel

Vercel, Inc.

Web ↗
Účel
Hosting webové aplikace, edge funkce a plánované úlohy (cron). Volitelné Web Analytics je připravené, ale zatím nenasazené a je bez cookies.
Kategorie údajů
IP adresa, user agent, žádosti o stránky.
Jurisdikce
USA (region eu-west)
Mechanismus přenosu
Standardní smluvní doložky EU (SCC) + EU-US Data Privacy Framework

Stripe

Stripe Payments Europe, Limited

Web ↗
Účel
Zpracování plateb Předplatného kartou. Uživatel zadává platební údaje přímo do hostovaného formuláře Stripe; NemotiQ údaje karty neukládá (přijímá jen webhook o stavu platby).
Kategorie údajů
Údaje karty, fakturační adresa, IČO/DIČ, identifikátor zákazníka a předplatného, status plateb.
Jurisdikce
Irsko / USA
Mechanismus přenosu
DPA, Standardní smluvní doložky EU (SCC) + EU-US Data Privacy Framework

Supabase

Supabase Inc.

Web ↗
Účel
Produkční databáze (PostgreSQL)
Kategorie údajů
Veškerá data uložená v databázi, včetně šifrovaných osobních údajů
Jurisdikce
EU (region Frankfurt, eu-central-1) / USA (podpora)
Mechanismus přenosu
Smlouva o zpracování (DPA) + Standardní smluvní doložky EU (SCC, 2021/914); primární zpracování probíhá v EU regionu

Cloudflare R2

Cloudflare, Inc.

Web ↗
Účel
Objektové úložiště souborů aplikace: dokumenty transakcí, osobní knihovna makléře (šifrovaná at-rest), profilové fotografie.
Kategorie údajů
Nahrané soubory (PDF/DOCX dokumenty, obrázky), které mohou obsahovat osobní údaje smluvních stran; osobní DMS je navíc šifrovaný at-rest AES-256-GCM.
Jurisdikce
EU / USA
Mechanismus přenosu
DPA, Standardní smluvní doložky EU (SCC); ukládání do EU regionu R2

Upstash

Upstash, Inc.

Web ↗
Účel
Perzistentní rate limiting (ochrana proti zneužití přihlašování a citlivých endpointů).
Kategorie údajů
Krátkodobé čítače podle identifikátoru odvozeného z uživatele/IP; bez obsahu zpráv.
Jurisdikce
EU / USA
Mechanismus přenosu
DPA, Standardní smluvní doložky EU (SCC) + EU-US Data Privacy Framework

Sentry

Functional Software, Inc. d/b/a Sentry

Web ↗
Účel
Sledování runtime chyb a výjimek v produkci. Chybové události se zaznamenávají; výkonnostní tracing i Session Replay mají ve výchozím stavu nulové vzorkování (0 %). Odesílání osobních údajů je vypnuté (sendDefaultPii=false).
Kategorie údajů
Stack trace chyby, identifikátor uživatele (UUID), kontext chyby. IP adresa, cookies ani request body s osobními údaji se do Sentry neposílají (sendDefaultPii=false).
Jurisdikce
USA
Mechanismus přenosu
DPA, Standardní smluvní doložky EU (SCC) + EU-US Data Privacy Framework

Veřejné registry a sankční seznamy

Aplikace čerpá data z níže uvedených veřejných registrů pro účely AML / KYC screeningu (z. č. 253/2008 Sb.) a Due Diligence reportů. Z formálního pohledu GDPR se nejedná o zpracovatele (čl. 4 odst. 8 GDPR) – Provozovatel z těchto zdrojů pouze stahuje veřejné údaje, nepředává jim žádné osobní údaje Uživatele ani jeho klientů. Uvádíme je pro plnou transparentnost a možnost ověření.

OpenSanctions (agregátor)

OpenSanctions.org – open-source agregátor oficiálních sankčních seznamů a PEP databází. NemotiQ z něj denně stahuje 4 datasety, proti kterým screeninguje: EU FSF, UN SC, OFAC SDN a otevřenou PEP databázi (ČNB sankce jsou pokryty jako mirror EU FSF).

Web ↗
Účel
Stabilní strojový endpoint pro AML screening dle § 9 z. č. 253/2008 Sb. Originální data pocházejí z oficiálních zdrojů (EU Council, UN SC, US Treasury); OpenSanctions je technický prostředník zajišťující dostupnost (oficiální feedy jsou nestabilní / autentizované).
Jurisdikce
EU (Berlín; provoz)

EU konsolidovaný sankční seznam (přes OpenSanctions)

EU Council Regulation lists / Consolidated Financial Sanctions File (FSF) – dataset `eu_fsf` v OpenSanctions

Web ↗
Účel
Screening klientů a skutečných majitelů dle AML zákona (§ 9 z. č. 253/2008 Sb.). ČR aplikuje EU sankce přímo dle zák. 69/2006 Sb. – tj. EU FSF zároveň pokrývá ČNB.
Jurisdikce
EU

UN sankční seznam (přes OpenSanctions)

United Nations Security Council Consolidated List – dataset `un_sc_sanctions` v OpenSanctions

Web ↗
Účel
Screening dle rezolucí Rady bezpečnosti OSN.
Jurisdikce
OSN (mezinárodní)

OFAC SDN (přes OpenSanctions)

U.S. Treasury OFAC Specially Designated Nationals List – dataset `us_ofac_sdn` v OpenSanctions

Web ↗
Účel
Screening proti sankčním opatřením USA (extrateritoriální působnost).
Jurisdikce
USA

PEP database (přes OpenSanctions)

OpenSanctions PEP dataset – agregát oficiálních databází politicky exponovaných osob (EU Court of Auditors, US OGE, UK Parliament, regulatorní seznamy z 70+ zemí)

Web ↗
Účel
Screening politicky exponovaných osob (§ 4 odst. 5 z. č. 253/2008 Sb.).
Jurisdikce
EU + globální zdroje

ISIR (manuálně)

Ministerstvo spravedlnosti ČR – Insolvenční rejstřík. Strojový endpoint není pro veřejný lookup k dispozici (SOAP IsirWsCxfService vyžaduje smlouvu s MSp).

Web ↗
Účel
Ověření případného insolvenčního řízení klienta. V MVP makléř ověřuje manuálně na portálu.
Jurisdikce
Česká republika

CEE (manuálně)

Exekutorská komora ČR – Centrální evidence exekucí. Manuální výpis (placený lookup), zaznamenaný v systému odpovědnou osobou.

Web ↗
Účel
Ověření probíhajících exekucí klienta pro AML kontrolu dle § 9 z. č. 253/2008 Sb. Ověřuje se ručně již dnes (paralelně k ISIR); automatizované napojení pro DD reporty je teprve v přípravě.
Jurisdikce
Česká republika

ARES

Ministerstvo financí ČR – Administrativní registr ekonomických subjektů

Web ↗
Účel
Doplnění veřejně dostupných údajů o PO podle IČO (jméno, sídlo, statutární orgán).
Jurisdikce
Česká republika

ČÚZK / CEE

Český úřad zeměměřický a katastrální / Centrální evidence exekucí (po produkční integraci)

Web ↗
Účel
Due Diligence reporty – vlastnické vztahy, omezení nakládání, exekuce na nemovitosti. Funkce v přípravě – dosud bez napojení na reálné registry.
Jurisdikce
Česká republika

Řetězec zpracování (DPA chain)

NemotiQ je v B2B režimu zpracovatelem osobních údajů klientů, které makléř spravuje. Některé operace zapojují další subdodavatele (subprocesory). Schéma níže ukazuje, jakou roli má každý článek a jaké údaje jím procházejí.

Subjekt údajů (klient makléře, účastník transakce, návštěvník) │ ▼ Makléř / kancelář ◄── správce osobních údajů uzavřel(a) DPA s NemotiQ (čl. 4 odst. 7 GDPR) │ ▼ NemotiQ s.r.o. (provozovatel) ◄── zpracovatel provozuje SaaS, ukládá data (čl. 4 odst. 8 GDPR) │ ├──► Resend (e-maily) ┐ ├──► Signi (e-podpis) │ ├──► Google (kalendář, SSO; opt-in) │ subprocesoři ├──► Vercel (hosting, edge) │ (čl. 28 odst. 4 GDPR) ├──► Supabase (PostgreSQL databáze) │ ├──► Cloudflare R2 (úložiště souborů) │ ├──► Stripe (platby předplatného) │ ├──► Upstash (rate limiting) │ └──► Sentry (chybové logy) ┘

Pro každý článek řetězce platí:

  • Účel a rozsah jsou striktně omezené na to, co je uvedeno v tabulce výše (princip účelového omezení, čl. 5 odst. 1 b GDPR).
  • Žádný subprocesor nesmí dále zpřístupnit data jinému bez naší předchozí písemné autorizace (čl. 28 odst. 2 GDPR).
  • Datová mlčenlivost osob, které mají k údajům přístup, je zajištěna smluvně (čl. 28 odst. 3 b GDPR).
  • Bezpečnostní opatření (čl. 32 GDPR) jsou stanovena ve smlouvách a auditovány nezávislým certifikátem (SOC 2 / ISO 27001 u většiny dodavatelů). Detail: Ochrana soukromí, oddíl Bezpečnost.
  • Notifikace incidentu – pokud subprocesor objeví porušení zabezpečení, NemotiQ to oznámí makléři a (přes makléře nebo přímo, dle dohody) i subjektu údajů do 72 hodin (čl. 33–34 GDPR).
  • Předávání mimo EU/EHPprobíhá pouze na základě Standardních smluvních doložek EU (SCC) nebo EU-US Data Privacy Framework. Sloupec „Mechanismus přenosu“ výše uvádí konkrétní právní základ pro každý článek.
  • Audit práva – makléř má jako správce právo provést audit u NemotiQ; NemotiQ stejné právo vykonává vůči subprocesorům. Detail v DPA, oddíl Audit a inspekce.
  • Ukončení vztahu – při výpovědi DPA NemotiQ zajistí vrácení nebo výmaz údajů u všech subprocesorů ve lhůtě 30 dní (kromě údajů, na něž se vztahuje zákonná retence – viz Privacy notice, oddíl Retence).

Vznesení námitky proti změně

Pokud jako zákazník vznesete proti zařazení nového subprocessoru námitku, kontaktujte nás na info@nemotiq.cz do 30 dní od oznámení změny. Pokud nedosáhneme dohody, máte právo ukončit smluvní vztah bez výpovědní doby.


Související dokumenty: DPA · Ochrana soukromí.