Podle článku 28 Obecného nařízení (EU) 2016/679 („GDPR")
1.1Předmětem této smlouvy je úprava práv a povinností při zpracování osobních údajů v rámci užívání služby Billify.
1.2Zpracovatel se zavazuje zpracovávat osobní údaje pro Správce za podmínek stanovených touto smlouvou a v souladu s GDPR.
2.1Tato smlouva nabývá účinnosti okamžikem registrace Uživatele a zaniká ukončením poskytování služby (zrušením účtu), s výjimkou ustanovení o mlčenlivosti a náhradě škody.
3.1Účelem zpracování je provoz cloudového fakturačního systému pro vystavování a správu dokladů Správce.
4.1Subjekty údajů: Zákazníci, odběratelé, zaměstnanci nebo spolupracovníci Správce.
4.2Typy osobních údajů: Jméno, e-mail, adresa sídla, IČO/DIČ, bankovní spojení, variabilní symbol, částky faktur a metadata o dokladech (datum vystavení, splatnosti, stav úhrady).
4.3Vyloučení: Billify nezpracovává a Správce se zavazuje nevkládat do systému zvláštní kategorie údajů dle čl. 9 GDPR (citlivé údaje) ani údaje týkající se rozsudků v trestních věcech dle čl. 10 GDPR.
5.1Správce odpovídá za to, že osobní údaje byly získány v souladu s právními předpisy a že má právní titul k jejich předání Zpracovateli.
5.2Správce odpovídá za plnění informační povinnosti vůči svým subjektům údajů.
5.3Správce nese plnou odpovědnost za správnost a aktuálnost vložených údajů.
6.1Zpracovatel zpracovává údaje pouze na základě doložených pokynů Správce (včetně nastavení v aplikaci a API požadavků).
6.2Zpracovatel zajišťuje mlčenlivost osob, které mají k údajům přístup.
6.3Zpracovatel vede záznamy o činnostech zpracování podle čl. 30 odst. 2 GDPR a na vyžádání je poskytne Správci.
7.1Správce souhlasí se zapojením subprocesorů uvedených v Seznamu zpracovatelů.
7.2O záměru přidat nového subprocesora informuje Zpracovatel e-mailem minimálně 30 dní předem. Správce má právo vznést námitku, což může vést k ukončení poskytování služby.
| Zpracovatel | Účel | Lokace |
|---|---|---|
| Hetzner Online GmbH | Cloudová infrastruktura — servery, storage, síť | Norimberk, Německo (EU) |
| WEDOS, a.s. | Transakční e-mail — ověření účtu, notifikace | Hluboká nad Vltavou, ČR (EU) |
| Stripe Payments Europe, Ltd. | Zpracování plateb předplatného (Pro / Pro+) | Irsko (EU); část zpracování v USA — SCCs |
| Anthropic PBC | AI extrakce z nahraných přijatých faktur — pouze modul Daňové přiznání (volitelný) | USA — SCCs |
8.1Primární aplikační data a databáze zůstávají v EU (Hetzner — Německo, WEDOS — ČR). Do USA se předávají osobní údaje pouze u dvou funkcí: zpracování plateb (Stripe) a volitelná AI extrakce v modulu Daňové přiznání (Anthropic). Předání ke Stripe je kryto certifikací Stripe v EU-US Data Privacy Framework (rozhodnutí o odpovídající ochraně dle čl. 45 GDPR) s doplňkovými Standardními smluvními doložkami; předání k Anthropic je ošetřeno Standardními smluvními doložkami (SCCs) dle čl. 46 GDPR.
8.2Pokud do budoucna Zpracovatel zapojí sub-procesora se sídlem mimo EU, předávání osobních údajů bude ošetřeno pod ochranou Data Privacy Framework (DPF), Standardních smluvních doložek (SCCs) přijatých Evropskou komisí, případně jiným nástrojem dle čl. 46 GDPR. O takové změně bude Zpracovatel informovat Správce minimálně 30 dní předem (čl. 7.2).
9.1Zpracovatel zavedl technická opatření: šifrování HTTPS (TLS 1.3), šifrování databází at-rest, API autentizaci (Laravel Sanctum s tokenovým prefixem „bfy_"), tier-aware Rate Limiting per Sanctum token, hashování hesel (bcrypt), volitelné dvoufaktorové ověření (TOTP) a pravidelné zálohování v rámci EU infrastruktury.
10.1Zpracovatel ohlásí Správci porušení zabezpečení bez zbytečného odkladu, nejpozději však do 72 hodin od okamžiku, kdy se o něm dozvěděl. Ohlášení musí obsahovat popis povahy incidentu a doporučená opatření.
11.1Zpracovatel poskytne Správci součinnost při vyřizování žádostí subjektů údajů.
11.2Zpracovatel umožní audity (včetně inspekcí) prováděné Správcem nebo nezávislým auditorem. Správce se zavazuje, že audit bude prováděn maximálně 1× ročně, bude oznámen minimálně 30 dní předem a veškeré náklady s ním spojené nese Správce. Audity u subprocesorů jsou nahrazeny předložením jejich aktuálních bezpečnostních certifikací (typicky ISO 27001, BSI C5, PCI DSS, SOC 1/2 nebo ekvivalent dle profilu sub-procesora).
12.1Po ukončení smlouvy (zrušení účtu) ponechá Zpracovatel data Správce dostupná pro export po dobu 30 dnů. Po uplynutí této lhůty Zpracovatel nevratně vymaže všechna data Správce (faktury, profily odběratelů a dodavatelů) v plném rozsahu. Zpracovatel není archivační ani účetní službou — uchování daňových dokladů po zákonnou dobu je výhradně odpovědností Správce jako jejich vlastníka. Tím nejsou dotčeny vlastní účetní doklady Zpracovatele (faktury za předplatné Billify), které Zpracovatel uchovává jako správce vlastního účetnictví po zákonem stanovenou dobu (čl. 17 odst. 3 písm. b) GDPR).
13.1Smluvní strany odpovídají za škodu v souladu s platnými právními předpisy.
13.2Celková kumulativní odpovědnost Zpracovatele za veškerá porušení této smlouvy nebo GDPR je omezena na částku odpovídající celkovému poplatku zaplacenému Správcem za posledních 12 měsíců předcházejících vzniku škody. Toto omezení neplatí pro škodu způsobenou úmyslně nebo z hrubé nedbalosti. Smlouva je uzavírána výhradně mezi podnikateli (B2B); Správce toto omezení výslovně bere na vědomí a akceptuje je akceptací této smlouvy při registraci.
14.1Tato smlouva se řídí právním řádem České republiky.
14.2Smlouva je uzavřena elektronicky akceptací při registraci. Pro enterprise klienty, kteří vyžadují samostatně podepsanou verzi, je tato tisková verze volitelně podepsatelná níže.